服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 思科语音VLAN与802.1Xvalidation
Intereting Posts
DDoS虚假IP攻击 为什么端口20在我将它添加到iptables中接受时仍然被阻塞 IIS中的“.NET Framework版本”设置实际上是做什么的? PowerDNS错误与奴隶 IIS / SMTP – 邮件卡在邮件根目录/队列中 在星号服务器中调用时出现错误 我可以删除exim4文件吗? Exchange前端服务器的用途是什么? 使用Nginx作为子目录托pipe一个WordPress博客 Centos硬件支持 gpo实现windows server 2012r2 RHEL7上有多个域realmd / sssdconfiguration? exec sudo和/或发送信号给孩子 debuggingnetworking缓慢 在Apacheconfiguration文件中使用variables来减less重复?

思科语音VLAN与802.1Xvalidation

我有一个Cisco Catalyst 2960,我正尝试使用802.1X有线authenticationconfiguration远程办公室。

我要去的设置是Switch -> VoIP Phone via Internal Switch -> PC/Laptop (Domain Joined Win 7/8).

我们的身份validation服务器是Windows Server 2008 R2上的NPS。

我们使用支持802.1X的Snom 300手机,但是在所有的手机上configuration它并不是真的可行,所以我configuration了交换机为手机使用MAB(MAC身份validation旁路)。

这大部分工作得非常出色,手机被authentication并放入VOICE域,VLAN策略显示501,这是我们的语音VLAN。

但是,手机仍然可以完全访问数据VLAN我做错了什么?

这是连接端口的802.1x会话: 

 int-remote-sw-1#show auth sessions int Fa0/9 Interface: FastEthernet0/9 MAC Address: 0004.133d.69cc IP Address: Unknown User-Name: 0004133d69cc Status: Authz Success Domain: VOICE Oper host mode: multi-domain Oper control dir: both Authorized By: Authentication Server Vlan Policy: 501 Session timeout: 600s (local), Remaining: 409s Timeout action: Reauthenticate Idle timeout: N/A Common Session ID: 0A9402F50000005F094C7DC3 Acct Session ID: 0x0000007D Handle: 0xD6000060 Runnable methods list: Method State mab Authc Success dot1x Not run

与802.1x相关的交换机configuration: 

 aaa new-model ! ! aaa authentication dot1x default group radius aaa authorization network default group radius ! ! aaa session-id common ! ! dot1x system-auth-control ! ! errdisable detect cause security-violation shutdown vlan ! ! vlan 501 name VOICE-LAN ! ! interface FastEthernet0/9 switchport access vlan 502 switchport mode access switchport voice vlan 501 authentication event fail action authorize vlan 503 authentication event server dead action reinitialize vlan 503 authentication event no-response action authorize vlan 503 authentication event server alive action reinitialize authentication host-mode multi-domain authentication order mab dot1x authentication port-control auto authentication periodic authentication timer reauthenticate 600 mab mls qos trust cos dot1x pae authenticator spanning-tree portfast ! ! radius-server dead-criteria time 30 tries 10 radius-server host 10.***.***.*** radius-server host 10.***.***.*** radius-server retry method reorder radius-server key ******************

切换版本: 

 int-remote-sw-1#show ver Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE (fc1)

NPS服务器configuration:

NPS配置

我不确定这是如何做这个工作的最好的答案,但是如果没有更好的答案,我想出了一个办法让它自己工作。

基本上,我认为如果您使用的是本质上dynamic的VLAN分配(即使它被称为语音function),您必须将其用于VOICE和DATA域,以获得我期待的结果。

我把接入VLAN改成了一个不在交换机外部路由的VLAN,所以在我的情况下是switchport access vlan 504

然后,我修改了我们的NPS服务器上的策略,在进行身份validation时将VLAN分配传递给计算机。

这样做会将电话或任何设备的MAC欺骗作为一个没有configurationVLAN的设备放入本质上是黑洞networking的设备中,以至于无法访问任何内容 – 但是如果configuration了正确的VLAN ID,则可以访问更加locking的下来的语音networking。

但是,如果在DATA域中直接或通过电话上的交换机连接并validation计算机,则交换机将按照NPS服务器的指示将访问或本地VLAN更改为我们的内部networking。

这是我正在寻找的结果 – 这只是意味着必须改变其他交换机上的configuration,使用策略服务器在一个更基本的forms,我试图避免。