المقدمة
يوضح هذا المستند كيفية تنفيذ UCS C-Series باستخدام مصادقة MAB/802.1x على محولات Cisco.
الخلفية
أحد تقنيات التحكم في الوصول التي توفرها Cisco هو تجاوز مصادقة MAC (MAB). يستخدم MAB عنوان MAC الخاص بجهاز ما لتحديد نوع وصول الشبكة الذي سيتم توفيره.
في شبكة تتضمن كلا من الأجهزة التي تدعم والأجهزة التي لا تدعم IEEE 802.1X، يمكن نشر MAB كآلية إحتياطية أو مكملة ل IEEE 802.1X. إذا لم تكن الشبكة تحتوي على أي أجهزة تدعم معيار IEEE 802.1X، يمكن نشر قاعدة معلومات الإدارة (MAB) كآلية مصادقة مستقلة.
لمعرفة المزيد حول حالات الاستخدام على مستوى الحلول والتصميم ومنهجية النشر المتدرج، راجع
دليل النشر الالتفافي لمصادقة MAC.
المشكلة
طوبولوجيا
UCS (C220)mgnt interface —— gig 1/0/1[3750-X] ——— ISE (configured for MAB)
يحدث هذا مع UCS مختلف وعلى محولات مختلفة. ويلاحظ نفس الشيء على محول 4500.
لا تعمل أجهزة UCS (UCS-C210-M2: تمت ملاحظة مشكلة) مع MAB مع إغلاق جلسة عمل الوصول أو الأمر no authentication open.
سيناريو العمل
يتم توصيل واجهة إدارة UCS على switchport. هذا هو التكوين (العمل):
interface GigabitEthernet1/0/1
description DVR-UCS-dot1x-issue
switchport access vlan 300
switchport mode access
switchport voice vlan 400
ip arp inspection trust
ipv6 nd raguard
dot1x timeout quiet-period 300
dot1x timeout tx-period 5
dot1x timeout supp-timeout 5
dot1x timeout ratelimit-period 300
no mdix auto
source template ENT-TEMPLATE
spanning-tree portfast
spanning-tree guard root
end
3750# show access-sess int g1/0/1 details
Interface: GigabitEthernet1/0/1
IIF-ID: 0x102AEC0000003D7
MAC Address: 30f7.0d08.7ace
IPv6 Address: Unknown
IPv4 Address: 10.141.49.205
User-Name: 30-F7-0D-08-7A-CE
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: 65535s (local), Remaining: 11282s
Timeout action: Reauthenticate
Common Session ID: 0A8D31C7000017BD723AF6C2
Acct Session ID: 0x0000287D
Handle: 0x980002D5
Current Policy: ENT-IDENTITY-POL
Server Policies:
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
SGT Value: 12
Method status list:
Method State
dot1x Stopped
mab Authc Success
سيناريو عدم العمل
ومع ذلك، مع إغلاق جلسة عمل الوصول، لا يمكنك إختبار الاتصال به ولا يمكنك رؤية معلومات جلسة عمل الوصول.
3750(config)#int g1/0/1
3750(config-if)#access-session closed
3750(config-if)#shutdown
3750(config-if)#no shutdown
May 11 16:33:14.311 JST: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/1, changed state to down
May 11 16:33:15.312 JST: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/1, changed state to down
May 11 16:33:17.891 JST: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/1, changed state to up
May 11 16:33:18.891 JST: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/1, changed state to up
Sending 5, 100-byte ICMP Echos to 10.141.49.205, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
3750#do sh access-sess int g1/0/1 details
No sessions match supplied criteria.
الحل
يعرض debug (الأمر debug mab all) إدخال MAC الخاص ب UCS الذي لم يتم التعرف عليه على المحول، والذي يكون مطلوبا للمصادقة مع الطرف الخلفي.
3750 (config)# interface GigabitEthernet1/0/37
3750(config-if)#access-session control-direction in
دخلت ال access-session control-direction في أمر (سابقا المصادقة control-direction في أمر) in order to مكنت المفتاح أن يرسل حركة مرور في مخرج إلى المضيف، غير أن لا العكس حول. عادة ما يتم إستخدام الأمر على العملاء مثل الطابعات/الأجهزة التي لا ترسل حركة مرور البيانات باستمرار كطريقة لبدء الاتصال (تستخدم أيضا للتنبيه عبر الشبكة المحلية (LAN)). أساسا أرسلت ربط من المفتاح والعميل يستجيب. ستحتوي الاستجابة على عنوان MAC الذي يتم إستخدامه بعد ذلك ل MAB. في الإعداد الذي تم إنشاؤه بالفعل، لم يتم إستلام عنوان MAC من العميل.
التعليقات