Добрый день! Никак не получается скрестить mac_based_control_access и isolated vlan. Помогите советом, пожалуйста!
Сама по себе технология mac_based_control_access (с обычными VLAN) работает шикарно. Свич получает от radius атрибуты: Tunnel-Medium-Type = IEEE-802 Tunnel-Type = VLAN Tunnel-Private-Group-Id = "30" И клиенты в соответствии со своими mac-адресами распределяются по vlan.
Начинаю исследовать возможность применения isolated vlan (сейчас живём с traffic_segmentation, не нравится) - в статической конфигурации (config vlan test-isolated add untagged 13) всё работает как ожидалось.
Как только начинаю скрещивать (чтобы технология mac_based_access_control добавляла клиента в primary/secondary vlan) - всё разваливается, клиенты не попадают в primary/secondary vlan.
Вот незамысловатая схема vlan в тестовой среде: 1 - все клиентские порты включены сюда untagged, это фактически failover vlan для неизвестных клиентов. 30 - обычный vlan, куда клиенты попадают untagged в соответствии с указаниями radius 101 - create vlan test-primary tag 101 type private_vlan - сюда должно untagged попадать серверное оборудование 102 - create vlan test-secondary tag 102 / config private_vlan test-primary add isolated test-secondary - сюда должно untagged попадать клиентское оборудование
Для простоты пробовал исключить из головоломки radius и прописывал клиента локально - config mac_based_access_control method local config mac_based_access_control authorization attributes local enable create mac_based_access_control_local mac 90-1B-0E-3F-D0-EF vlanid 102 - поведение оставалось тем же.
Если я этому клиенту прописываю 30 (обычный vlan, не являющийся primary/secondary) - всё ок: 2019-04-24 17:47:25 INFO(6) MAC-based Access Control host login successful (MAC: 90-1B-0E-3F-D0-EF, port: 13, VID: 1) 2019-04-24 17:47:25 INFO(6) RADIUS server 2A00:... assigned VID: 30 to port 13 (account : 901B0E3FD0EF ) show mac_based_access_control auth_state ports 13 13 90-1B-0E-3F-D0-EF Authenticated 30 - 1440
Если прописываю 101 или 102 (куда этот клиент должен попадать в боевом режиме), то строчку "radius server assigned" я в логе не вижу вообще (при этом свич обращается к радиусу и радиус отдаёт свичу Tunnel-Private-Group-Id = "102") и свич оставляет этого клиента в том же vlanid 1, куда был изначально приписан порт этого клиента: 2019-04-24 18:28:43 INFO(6) MAC-based Access Control host login successful (MAC: 90-1B-0E-3F-D0-EF, port: 13, VID: 1) show mac_based_access_control auth_state ports 13 13 90-1B-0E-3F-D0-EF Authenticated 1 - 1440
Если ради теста я убираю клиентский порт из vlanid 1 и ставлю его статически untagged в vlanid 102 - картина похожая: если radius отдаёт vlanid 30, то клиент попадает в 30, а если отдаёт 101/102 - клиент остаётся в 102.
Прошивка самая распоследняя для B1 - 4.19.R010
Есть какие-нибудь идеи, в какую сторону копать?
|