Работает ли ? Клиент WINXP_SP1 , типы авторизации ставил все по очереди.
На DHS:
FW: 6.00.115
802.1x - MAC-based (с port-based тоже самое вобщемто)

В статусе - [port],[mac],connecting,idle,unauthorized , через некоторое время по таймауту запись естественно исчезает. К радиусу никаких обращений.
В какую сторону копать или это неизлечимо?

А если все-таки конкретно: какой тип авторизации использовался? Какой сервер RADIUS, настройки DHS выполнялись по мануалу?

_________________
С уважением, Карагезов Владислав

Тип авторизации:
1. MD5
2. EAP-MSCHAP. проверка сертификатов выключена.

Самое интересное что к радиусу оно и не пытается обращаться - смотрел сниффером. Радиус физически видит свитч и наоборот (пингуется). С локальной авторизацией собственно тоже самое
DHS настраивал по мануалу. Кстати надо ли прописывать маки при m-b авторизации на портах (инициализировать?) А то данная процедура тоже както странно работает - то дает ввести мак то пишет что он неправильный . На всякий случай залил свежую прошивку (123) - результат неизменен.

P.S. А радиус - FreeRadius 0.9.3 - но к сожалению на данный момент это не имеет ровно никакого значения

А тем же снифером если посмотреть - между клиентом windows и коммутатором что происходит?

_________________
С уважением, Карагезов Владислав

Frame 1 (42 bytes on wire, 42 bytes captured)
Arrival Time: Apr 23, 2004 12:49:03.582128000
Time delta from previous packet: 0.000000000 seconds
Time since reference or first frame: 0.000000000 seconds
Frame Number: 1
Packet Length: 42 bytes
Capture Length: 42 bytes
Ethernet II, Src: 00:ec:39:00:12:8d, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (Broadcast)
Source: 00:ec:39:00:12:8d (192.168.5.1)
Type: ARP (0x0806)
Address Resolution Protocol (request)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: request (0x0001)
Sender MAC address: 00:ec:39:00:12:8d (192.168.5.1)
Sender IP address: 192.168.5.1 (192.168.5.1)
Target MAC address: 00:00:00:00:00:00 (00:00:00_00:00:00)
Target IP address: 192.168.5.1 (192.168.5.1)

0000 ff ff ff ff ff ff 00 ec 39 00 12 8d 08 06 00 01 ........9.......
0010 08 00 06 04 00 01 00 ec 39 00 12 8d c0 a8 05 01 ........9.......
0020 00 00 00 00 00 00 c0 a8 05 01 ..........

Frame 2 (42 bytes on wire, 42 bytes captured)
Arrival Time: Apr 23, 2004 12:49:03.582990000
Time delta from previous packet: 0.000862000 seconds
Time since reference or first frame: 0.000862000 seconds
Frame Number: 2
Packet Length: 42 bytes
Capture Length: 42 bytes
Ethernet II, Src: 00:ec:39:00:12:8d, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (Broadcast)
Source: 00:ec:39:00:12:8d (192.168.5.1)
Type: ARP (0x0806)
Address Resolution Protocol (request)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: request (0x0001)
Sender MAC address: 00:ec:39:00:12:8d (192.168.5.1)
Sender IP address: 172.16.1.58 (172.16.1.58)
Target MAC address: 00:00:00:00:00:00 (00:00:00_00:00:00)
Target IP address: 172.16.1.58 (172.16.1.58)

0000 ff ff ff ff ff ff 00 ec 39 00 12 8d 08 06 00 01 ........9.......
0010 08 00 06 04 00 01 00 ec 39 00 12 8d ac 10 01 3a ........9......:
0020 00 00 00 00 00 00 ac 10 01 3a .........:

Frame 3 (60 bytes on wire, 60 bytes captured)
Arrival Time: Apr 23, 2004 12:49:03.593428000
Time delta from previous packet: 0.010438000 seconds
Time since reference or first frame: 0.011300000 seconds
Frame Number: 3
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II, Src: 00:0d:88:c7:e7:2c, Dst: 00:ec:39:00:12:8d
Destination: 00:ec:39:00:12:8d (192.168.5.1)
Source: 00:0d:88:c7:e7:2c (D-Link_c7:e7:2c)
Type: 802.1X Authentication (0x888e)
Trailer: 00000000000000000000000000000000...
802.1x Authentication
Version: 1
Type: EAP Packet (0)
Length: 15
Extensible Authentication Protocol
Code: Request (1)
Id: 1
Length: 15
Type: Identity [RFC2284] (1)
Identity (10 bytes): User name:

0000 00 ec 39 00 12 8d 00 0d 88 c7 e7 2c 88 8e 01 00 ..9........,....
0010 00 0f 01 01 00 0f 01 55 73 65 72 20 6e 61 6d 65 .......User name
0020 3a 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 :...............
0030 00 00 00 00 00 00 00 00 00 00 00 00 ............

Frame 4 (60 bytes on wire, 60 bytes captured)
Arrival Time: Apr 23, 2004 12:49:03.594082000
Time delta from previous packet: 0.000654000 seconds
Time since reference or first frame: 0.011954000 seconds
Frame Number: 4
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II, Src: 00:0d:88:c7:e7:2c, Dst: 00:ec:39:00:12:8d
Destination: 00:ec:39:00:12:8d (192.168.5.1)
Source: 00:0d:88:c7:e7:2c (D-Link_c7:e7:2c)
Type: 802.1X Authentication (0x888e)
Trailer: 00000000000000000000000000000000...
802.1x Authentication
Version: 1
Type: EAP Packet (0)
Length: 4
Extensible Authentication Protocol
Code: Failure (4)
Id: 0
Length: 4

0000 00 ec 39 00 12 8d 00 0d 88 c7 e7 2c 88 8e 01 00 ..9........,....
0010 00 04 04 00 00 04 00 00 00 00 00 00 00 00 00 00 ................
0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0030 00 00 00 00 00 00 00 00 00 00 00 00 ............

Frame 5 (60 bytes on wire, 60 bytes captured)
Arrival Time: Apr 23, 2004 12:49:03.594740000
Time delta from previous packet: 0.000658000 seconds
Time since reference or first frame: 0.012612000 seconds
Frame Number: 5
Packet Length: 60 bytes
Capture Length: 60 bytes
Ethernet II, Src: 00:0d:88:c7:e7:2c, Dst: 00:ec:39:00:12:8d
Destination: 00:ec:39:00:12:8d (192.168.5.1)
Source: 00:0d:88:c7:e7:2c (D-Link_c7:e7:2c)
Type: 802.1X Authentication (0x888e)
Trailer: 00000000000000000000000000000000...
802.1x Authentication
Version: 1
Type: EAP Packet (0)
Length: 15
Extensible Authentication Protocol
Code: Request (1)
Id: 1
Length: 15
Type: Identity [RFC2284] (1)
Identity (10 bytes): User name:

0000 00 ec 39 00 12 8d 00 0d 88 c7 e7 2c 88 8e 01 00 ..9........,....
0010 00 0f 01 01 00 0f 01 55 73 65 72 20 6e 61 6d 65 .......User name
0020 3a 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 :...............
0030 00 00 00 00 00 00 00 00 00 00 00 00 ............


Вобщем не дожидаясь ответа шлет failure.

А с последней версией прошивки тоже такая проблема?

_________________
С уважением, Карагезов Владислав

Ага.. Только вчера заливал 127 - никаких положительных изменений.

Ок, проверим.

_________________
С уважением, Карагезов Владислав

На выходных проверил как работает с Linux (open1x) - заработало. Похоже всеже проблема с совместимостью с XP (очередное спасибо дядюшке Биллу). Попробую с другими клиентами протестить...

P.S. Кстати , какие девайсы поддерживают таблицу фильтрации MAC размером >=512 записей?

Никакие.
In 802.1x MAC based, we can config max 16 MAC addresses per port. If the switch has 26 ports, then we can config 16 * 26 = 416 MAC address in 802.1x MAC-based.

_________________
С уважением, Карагезов Владислав

А ограничение это программное или это в железе заложено?

P.S. Хотя уже все равно видимо Даже если и программно исправить можно - дизасмить прошивку и править довольно много времени займет . Жаль... По соотношению цена/качество DES,DHS очень неплохие железки.

Если честно, то не вижу здесь проблемы: эти коммутаторы - уровня доступа. Потому подразумевают прямое подключение клиентов. Но даже если у Вас на порту каскадируются еще коммутаторы - то 16 записей на порт - это уже достаточно. Иначе - нужен уже не свич рабочей группы, а уровня распределения. Или дургие схемы контроля подключений клиентов.

_________________
С уважением, Карагезов Владислав

Можно подумать и над таким вариантом. Но , к сожалению мне так и не удалось решить проблему с авторизацией 802.1x на WinXP_SP1. Причем сторонние клиенты (odissey например) авторизуют нормально. Вы не проверяли как DHS с WIN XP живет?

А насчет свитчей уровня распределения - не делает DLINK к сожалению железа подобного например C.Catalyst 2950 Во всяком случая я не смог подобрать аналог.

по поводу win_xp - проверяли встроенный клиент с DES-3226S - работал.
По поводу аналогов Catalist - скажите, что нужно - может все-таки найдем решение?

_________________
С уважением, Карагезов Владислав

1. Работающий 802.1x ++++
2. Большая табл. фильтрации MAC (132 На порт в 2950 например) +++
3. 48(24) 100Base-Tx + 1-2 GBIC ext || 2 Гиг. порта.
4. Стандартные возможности (есть практически у всех устройств такого уровня) - SNMPv2, VLAN(Potr,Tagged), QoS L2,3 , Radius, SSH.
5. Произвидительная внутр. шина
6. Рез. питание - опционально.
7. Если оно L3 то +OSPF
8. Port Mirroring - полезно но не критично.
9. Accounting в каком нибудь виде - тоже орошо но не критично
10 И конечно же цена не такая как у каталиста

Вобщемто и все наверное.