D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Dlink-3000 802.1х

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 5 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

sae076

Заголовок сообщения: Dlink-3000 802.1х

Добавлено: Чт сен 03, 2020 16:18

Зарегистрирован: Чт сен 03, 2020 15:59
Сообщений: 4

Коммутатор DGS-3000-52L
Firmware Version : Build 4.16.B005
конфиг основные моменты

enable pvid auto_assign
config vlan default delete 1-52
config vlan default add untagged 48
config vlan default advertisement enable

create vlan 2 tag 2
config vlan 2 add tagged 48

create vlan 30 tag 30
config vlan 30 add tagged 47

config port_vlan 1-16,18,20,22,24-52 ingress_checking enable acceptable_frame admit_all pvid 1
config port_vlan 1-52 gvrp_state disable
config port_vlan 17 ingress_checking enable acceptable_frame admit_all pvid 2
config port_vlan 23 ingress_checking enable acceptable_frame admit_all pvid 30

# 8021X

enable 802.1x
config 802.1x auth_mode mac_based
config 802.1x auth_protocol radius_eap
config 802.1x fwd_pdu system disable
config 802.1x max_users no_limit
config 802.1x authorization attributes radius enable
config 802.1x capability ports 1-52 none
config 802.1x auth_parameter ports 1-2 direction both port_control auto quiet_period 60 tx_period 30 supp_timeout 30 server_timeout 30 max_req 2 reauth_period 60 enable_reauth disable
config 802.1x auth_parameter ports 1-52 max_users 16
config 802.1x auth_parameter ports 3-52 direction both port_control auto quiet_period 60 tx_period 30 supp_timeout 30 server_timeout 30 max_req 2 reauth_period 3600 enable_reauth disable

# RADIUS

config radius add 1 10.хх.хх.ххх key test123 auth_port 1812 acct_port 1813 timeout 5 retransmit 2
config radius dynamic_author state disable
config radius dynamic_author port 3799
config radius server attribute 55 state disable

# MAC-based_Access_Control

enable mac_based_access_control
config mac_based_access_control authorization attributes radius enable local disable
config mac_based_access_control ports 1-52 state disable

# COMPOUND_AUTHENTICATION

config authentication ports 1-52 auth_mode host_based
config authentication ports 3-52 multi_authen_methods none
config authentication ports 1-2 multi_authen_methods any
create authentication guest_vlan vlan 30
config authentication guest_vlan vlan 30 add ports 1-2
enable authorization attributes
config authentication server failover block
config authentication command bounce_port state enable
config authentication command disable_port state enable

# ACCESS_AUTHENTICATION_CONTROL

config authen_login default method local
config authen_enable default method local_enable
config accounting default method none
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default
config authen application http login default
config authen application http enable default
disable aaa_server_password_encryption
disable authen_policy
config authen parameter response_timeout 30
config authen parameter attempt 3
config admin local_enable

-----------------

в первый порт воткнут комп с Windows. После загрузки операционной 1 порт успешно авторизуется на радиусе используя логин(это видно по логам freeradius)
User-Name = "host/my-notebook1.corp.local.ru"

порт переходит в состояние Authenticated и его можно попинговать через vlan2.
DGS-3000-52L:admin#show 802.1x auth_state ports 1

Status: A - Authorized; U - Unauthorized; (P): Port-Based 802.1X;Pri:Priority
Port MAC Address Auth PAE State Backend State Status VID Pri
VID
----- -------------------- ------ -------------- ------------- ------ ---- ---
1 50-B7-C3-0E-1A-B7 30 Authenticated Idle A 2 -

DGS-3000-52L:admin#show fdb
VID VLAN Name MAC Address Port Type Status
---- -------------------------------- ----------------- ----- ------- -------
2 2 50-B7-C3-0E-1A-B7 1 Static Forward
2 2 74-4D-28-83-8D-C7 48 Dynamic Forward

DGS-3000-52L:admin#show vlan

VID : 2 VLAN Name : 2
VLAN Type : Static Advertisement : Enabled
Member Ports : 1,48
Static Ports : 48

Но после того как пользователь вводит логин/пароль чтобы подключиться к контроллеру домена через порт перестает ходить трафик (перестает пинговаться) и
в windows показывается состояние сетевого интерфейса "Не прошел авторизацию".

В этот момент windows отсылает eapol запросы на авторизацию с иcпользованием логина User-Name = "MYDOMAIN\username" но коммутатор их игнорирует и на radius не отсылает.
Как это можно исправить ?

Вернуться наверх

sae076

Заголовок сообщения: Re: Dlink-3000 802.1х

Добавлено: Пт сен 04, 2020 16:07

Зарегистрирован: Чт сен 03, 2020 15:59
Сообщений: 4

Вернуться наверх

sae076

Заголовок сообщения: Re: Dlink-3000 802.1х

Добавлено: Ср сен 23, 2020 09:21

Зарегистрирован: Чт сен 03, 2020 15:59
Сообщений: 4

up up, неужели коммутаторы dlink не поддерживает пере-авторизацию порта.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: Dlink-3000 802.1х

Добавлено: Ср сен 23, 2020 12:56

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Добрый день.

Пришлите, пожалуйста, ссылку на эту тему и этот eapol пакет на switch@dlink.ru

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

sae076

Заголовок сообщения: Re: Dlink-3000 802.1х

Добавлено: Вт окт 06, 2020 15:57

Зарегистрирован: Чт сен 03, 2020 15:59
Сообщений: 4

Помогла версия DGS-3000_Run_4_18_B004.had

Вернуться наверх

Страница 1 из 1

[ Сообщений: 5 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: valgard83 и гости: 162

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения