我正尝试使用802.1x通过RADIUS的dynamicVLAN分配对我的networking上的客户端进行身份validation。 我们拥有仅支持EAP-MD5的IP电话(由PoE供电),并且我们宁愿使用MAB(它也使用LLDP-MED进行某些设置)来使用来自电话供应商的MAC范围的电话进行authentication。 以下情况完美:
但是,下面的scheme不起作用:
现在发生的事情是,在手机启动之前,使用802.1x对计算机进行身份validation,并通过MAB进行身份validation。 手机准备就绪后,通过MABvalidation,一切正常。 但是,经过一段时间(比如说一分钟),使用debug authentication all ,我们看到一个“NEW LL MAC:phones mac”消息(这是很奇怪的,因为mac已经被MABauthentication了),然后我们无法使用ping联系电话。 当我检查show mac address-table它现在已经把Port Gi 0/12的Mac移到了Port Drop 。 但是,如果我检查show mab interface Gi 0/12或show authentication sessions则会列出phones-mac为mab auth sucess 。
任何人都可以解释为什么第一个场景有效,而不是第二个?
该交换机是一个3560E PoE 24p交换机configuration的IOS 12.2.58SE2Sample。
network-policy profile 1 voice vlan 90 ! interface GigabitEthernet0/12 switchport mode access network-policy 1 authentication control-direction in authentication event fail retry 1 action authorize vlan 60 authentication event server dead action authorize vlan 60 authentication event no-response action authorize vlan 60 authentication event server alive action reinitialize authentication host-mode multi-domain authentication order mab dot1x authentication priority mab dot1x authentication port-control auto authentication periodic authentication violation replace mab dot1x pae authenticator dot1x timeout tx-period 5 dot1x max-reauth-req 1 spanning-tree portfast !
顺便说一下,当我们尝试使用802.1xvalidation电话(EAP-MD5)时,在任何情况下都没有问题。 但是,我们希望使用MAB而不是802.1x来避免使用用户名和密码configuration电话的要求。
你有没有尝试添加“无CDP启用”该接口? 我有这个问题一次,解决了。