AT x900 IEEE 802.1x Dynamic Vlan

Все что связано с маршрутизирующими коммутаторами и работе с ними

Модератор: Allied Telesis Russia

AT x900 IEEE 802.1x Dynamic Vlan

Сообщение nikolaynovikov10 » 10 сен 2015, 13:07

В наличии:
1)Radius Server
2)Active Directory
3)AT-x900
4) DHCP

Задача:

Есть порядка 10 сетей и каждой присвоен свой vlan. Нужно что бы пользователь со своей смарт картой мог с любого компьютера в сети заходить именно в свою сеть с помощью radius server.

Настроил x900 и radius, но ничего не работает.При подключении компьютера к свичу выдает сообщение , что аунтефикация не пройдена и компьютер не отправляется даже в гостевой vlan .
Подскажите как узнать в чем проблема в настройках свича или в настройках radius server ? Как посмотреть на radius server отчеты о попытках аунтефикации пользователя.
nikolaynovikov10
 
Сообщения: 4
Зарегистрирован: 14 авг 2015, 10:56

Re: AT x900 IEEE 802.1x Dynamic Vlan

Сообщение Ginodman Mikhail » 10 сен 2015, 13:18

Ginodman Mikhail
Site Admin
 
Сообщения: 2509
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: AT x900 IEEE 802.1x Dynamic Vlan

Сообщение nikolaynovikov10 » 23 окт 2015, 13:55

Спасибо за инструкцию , пробовал сделать по ней.
Взял свич x900 и настроил его следующим образом
service password-encryption
!
no banner motd
!
username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0
!
no service ssh
!
service telnet
!
service http
!
no clock timezone

!
snmp-server
!
radius-server host 192.0.0.1 key x900
!
aaa authentication enable default local
aaa authentication login default local
aaa authentication dot1x default group radius
!
ip domain-lookup
!
!
!
service dhcp-server
!
no ip multicast-routing
!
spanning-tree mode rstp
!
switch 1 provision x900-24
!
vlan database
vlan 1 name gr1
vlan 2 name gr2
vlan 3 name admin
vlan 4 name guest
vlan 1-4 state enable
!
interface port1.0.1-1.0.4
switchport
switchport mode access
!
interface port1.0.5-1.0.9
switchport
switchport mode trunk
switchport trunk allowed vlan add 1-4
switchport trunk native vlan none
dot1x port-control auto
dot1x control-direction both
auth guest-vlan 4
auth dynamic-vlan-creation
spanning-tree portfast
!
interface port1.0.10
switchport
switchport mode access
switchport access vlan 3
spanning-tree portfast
!
interface port1.0.11-1.0.24
switchport
switchport mode access
!
interface vlan1
ip dhcp-relay server-address 192.0.0.2
ip helper-address 192.0.0.2
!
interface vlan2
ip address 192.0.2.1/24
ip dhcp-relay server-address 192.0.0.2
ip helper-address 192.0.0.2
!
interface vlan3
ip address 192.0.0.3/24
ip dhcp-relay server-address 192.0.0.2
!
interface vlan4
ip address 192.5.5.5/24
ip dhcp-relay server-address 192.0.0.2
ip helper-address 192.0.0.2
!
!
line con 0
line vty 0 4
!
end

в порт 1.0.5 я подключаю ноутбук который будет выполнять роль клиента
в 1.0.10 я подключаю моноблок на котором создано две виртуальные машины , на одной машине(192.0.0.2) установлены Ad,DHCP а на другой виртуальной машине(192.0.0.1) radius server
В Ad есть две группы gr1 и gr2 и соответственно пользователи в них user1 и user2 , а в настройках radius server к gr1 привязан vlan1, а к gr2 привязан vlan2
Виртуальные машины пингуют vlan и со свича тоже пинг идет до виртуальных машин.При подключении клиента к порту 1.0.5 пишет что идет индефикация и через 5 секунд пишет что индефикация не пройдена .И я не могу понять где ошибка , то ли я x900 настраиваю не правильно или неправильно настроен сам radius server ? Подскажите пожалуйста .
nikolaynovikov10
 
Сообщения: 4
Зарегистрирован: 14 авг 2015, 10:56

Re: AT x900 IEEE 802.1x Dynamic Vlan

Сообщение Ginodman Mikhail » 26 окт 2015, 12:09

выше приведен рабочий пример. конечно его не нужно копировать в лоб. зачем на клиенских портах вы используете switchport mode trunk?
можете посмотреть еще
http://alliedtelesis.com/userfiles/file ... _Guide.pdf
http://alliedtelesis.com/userfiles/file ... s_RevB.pdf

см логи радиус-сервера, можете см логи на коммутаторе
Ginodman Mikhail
Site Admin
 
Сообщения: 2509
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: AT x900 IEEE 802.1x Dynamic Vlan

Сообщение nikolaynovikov10 » 30 окт 2015, 12:27

Код: Выделить всё
 vlan 5 name guest
 vlan 7 name test
 vlan 1-5,7 state enable
!
interface port1.0.1-1.0.4
 switchport
 switchport mode access
!
interface port1.0.5
 switchport
 switchport mode access
 dot1x port-control auto
 dot1x control-direction both
 auth guest-vlan 5


 auth dynamic-vlan-creation
!
interface port1.0.6-1.0.9
 switchport
 switchport mode access
!
interface port1.0.10
 switchport
 switchport mode access
 switchport access vlan 4
!
interface port1.0.11-1.0.23
 switchport
 switchport mode access
!
interface port1.0.24
 switchport
 switchport mode access
 switchport access vlan 4
!
interface vlan1
 ip address 192.0.1.3/24
 ip dhcp-relay server-address 192.0.0.2
!
interface vlan2
 ip address 192.0.2.3/24
 ip dhcp-relay server-address 192.0.0.2
!
interface vlan3
 ip dhcp-relay server-address 192.0.0.2
!
interface vlan4
 ip address 192.0.0.10/24
 ip dhcp-relay server-address 192.0.0.2
!
interface vlan5
 ip address 192.5.5.5/24
 ip dhcp-relay server-address 192.0.0.2
!
!
line con 0
line vty 0 4
!
end



Немного изменил настройки на x900 , теперь пользователь проходит аутентификацию и в логах на свчие и на радиус сервере ошибок нет.Пользователю под которым мы заходим согласно настройкам в радиусе должен присваиваться ip адрес из пула адресов который создан на dhcp. Но компьютер никакой адрес не получает, в чем может быть проблема?

Настройки пула в dhcp :
http://screenshot.ru/upload/image/NJoo
http://screenshot.ru/upload/image/NJo1

Настройка radius где просписано что пользователю должен присвоиться vlan1:
http://screenshot.ru/upload/image/NJof

Как нужно правильно настроить dhcp что бы на отдельные vlan он раздавал разные сети?
nikolaynovikov10
 
Сообщения: 4
Зарегистрирован: 14 авг 2015, 10:56

Re: AT x900 IEEE 802.1x Dynamic Vlan

Сообщение nikolaynovikov10 » 10 ноя 2015, 12:37

Разобрался.Проблема была в dhcp на сервере , он почему то не хотел раздавать ip правильно.Решил проблему поднятием dhcp на самом свиче и все заработало как надо.
nikolaynovikov10
 
Сообщения: 4
Зарегистрирован: 14 авг 2015, 10:56


Вернуться в Коммутаторы 3го уровня

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron