1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 16:26

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 20 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Skifych
 Заголовок сообщения: DES-3028 802.1x
СообщениеДобавлено: Вт июл 28, 2009 16:20 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
Сабж. немогу настроить.
Что есть. Сервер Windows 2k3 EE SP2 rus с порднятым IAS(RADSRV1 IP:10.1.1.9). Тестовый коммутатор DES-3028.
На IAS настроен радиус клиент 10.1.1.244 (IP-адресс тестового коммутатора). Клиент-вендор - Radius Standard.
На коммутаторе произведены манипуляции
enable 802.1x
указан Radius сервер 10.1.1.9. (Security -> 802.1.x ->Radius Server)
на первый порт коммутатора 802.1X Authenticator Settings указано на первый порт коммутатора PortControl - Auto, ReAuth - Enable
на первый порт коммутатора 802.1X Capability Settings - Capability - Authenticator
производил Initialize Port для первого порта

Access Authentication Control -> Authentication Server Host указан Radius server 10.1.1.9 протокол Radius
Login Method Lists - default, radius
Enable Method Lists - default, radius

Вывод. Проверку подлинности на клиенте пройти не могу. первое. Второе. Мне нужно каждый порт закрепить за отдельной машиной/пользователем. Как это сделать не нашёл. :( курение мануала пока ни к чему умному не подтолкнуло.
Кто делал подобное, подскажите, пожалуйста.

_________________
Жизнь прекрасна - и это здорово!
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 28, 2009 16:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Цитата:
Вывод. Проверку подлинности на клиенте пройти не могу.

Что в логах сервера?
Цитата:
Мне нужно каждый порт закрепить за отдельной машиной/пользователем

только радиусом тут не обойтись. Чтобы закрепить компьтеры за опрееленными портами нужно еще использовать Port security
Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 28, 2009 17:36 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
Лог

Код:
Не удалось получить сертификат сервера удаленного доступа из-за следующей ошибки: Объект или свойство не найдено.



Код:
Запрос доступа для пользователя "CTS\v.vvvvvv" отвергнут.
 Полное-имя-пользователя = cts.grp/MC/Владимир vvvvv
 NAS-IP-адрес = 10.1.1.244
 NAS-идентификатор = D-Link
 Идентификатор-вызываемой-станции = 00-1e-58-a0-e0-4a
 Идентификатор-вызывающей-станции = 00-a0-d1-c8-d5-2f
 Понятное-имя-клиента = DES-3028-4(IT-Reserv)
 IP-адрес-клиента = 10.1.1.244
 Тип-NAS-порта = Ethernet
 NAS-порт = 1
 Имя-политики-прокси = Использовать проверку подлинности Windows для всех пользователей
 Поставщик-проверки-подлинности = Windows
 Сервер-проверки-подлинности = <не определено>
 Код-причины = 23
 Причина = Непредвиденная ошибка. Возможна ошибка в конфигурации сервера или клиента.


Странно секрет общий. :(

по поводу portsecurity, что имеется ввиду? прибить макадрес? Через Unicast Forwarding или IP-MAC-Port Binding ?

_________________
Жизнь прекрасна - и это здорово!
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 29, 2009 14:40 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
ftp://ftp.dlink.ru/pub/Trainings/D-Link ... 802.1x.rar

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 29, 2009 23:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Версия прошивки?
Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 10:57 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
За доку спасибо, почитаю.

Boot PROM Version Build 1.00-B04
Firmware Version Build 2.00.B27
Hardware Version A1

нарыл тут еще одну вещь. Сейчас эксперименты веду на машине с XP SP3 А там отсутствует авторизация по компьютеру(http://pic.ipicture.ru/uploads/090729/MRR4BfZnOl.png). линк http://support.microsoft.com/kb/929847 , но возможно причина в этом. Манипуляции провёл, но чек боксы(http://pic.ipicture.ru/uploads/090729/rCEgCROjgj.gif), так и не появились

_________________
Жизнь прекрасна - и это здорово!
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 22:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Лучше использовать прошивку которую я Вам выслал.
Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 12:09 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
Интересно получилось.
Смог настроить авторизацию по смарт-карте/сертификату
Вот лог сервера

Цитата:
Пользователю "host/uk-i04.cts.grp" предоставлен доступ.
Полное-имя-пользователя = <не определено>
NAS-IP-адрес = 10.1.1.244
NAS-идентификатор = D-Link
Понятное-имя-клиента = DES-3028-4(IT-Reserv)
IP-адрес-клиента = 10.1.1.244
Идентификатор-вызывающей-станции = 00-a0-d1-c8-d5-2f
Тип-NAS-порта = Ethernet
NAS-порт = 1
Имя-политики-прокси = qweSkifqwe
Поставщик-проверки-подлинности = <отсутствует>
Сервер-проверки-подлинности = <не определено>
Имя-политики = <не определено>
Тип-проверки-подлинности = <не определено>
EAP-тип = <не определено>

Тут всё ок. Я как бы прошёл авторизацию, в сеть вошёл.
Но на клиенте другая ситуация
Цитата:
Не удалось выполнить проверку подлинности в проводной сети по протоколу 802.1X.

Сетевой адаптер: Generic Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller - NetmonZ Miniport
GUID интерфейса: {fb7fa294-4bd1-47a5-b0d4-991b6a11e64c}
Адрес назначения: 001E58A0E04A
Локальный адрес: 00A0D1C8D52F
ИД подключения: 0x00000008
Удостоверение: host/uk-i04.cts.grp
Пользователь: -
Домен: -
Причина: 327687
Текст причины: Нет ответа на пакет EAP Response Identity
Код ошибки: 0

Цитата:
Для данного сетевого адаптера попытки проверки подлинности сети временно приостановлены.

Сетевой адаптер: Generic Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller - NetmonZ Miniport
GUID интерфейса: fb7fa294-4bd1-47a5-b0d4-991b6a11e64c
Код причины: 327687
Продолжительность блокировки (секунд): 1200

Вот вопрос. Как я понимаю сервер отдаёт такой ответ. Но не пущает коммутатор.
Конфигурация на порту, к которому подключён клиент
Цитата:
DES-3028:4#show 802.1x auth_configuration ports 1
Command: show 802.1x auth_configuration ports 1

802.1X : Enabled
Authentication Mode : Port_based
Authentication Protocol : Radius_EAP

Port Number : 1
Capability : Authenticator
AdminCrlDir : Both
OpenCrlDir : Both
Port Control : Auto
QuietPeriod : 60 sec
TxPeriod : 30 sec
SuppTimeout : 30 sec
ServerTimeout : 30 sec
MaxReq : 2 times
ReAuthPeriod : 3600 sec
ReAuthenticate : Enabled

Может коммутатор не занет о существовании сертификатов? Тогда как он пропускает в один конец, а во второй нет?
Demin Ivan
А можно повторить? Нету :(

_________________
Жизнь прекрасна - и это здорово!
Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 12:31 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
Опа. Новая фишка.
Повтооряем тоже самое.
Клиент (все ошибки в разделе приложения служба dot3svc)
Цитата:
Проверка подлинности в проводной сети по протоколу 802.1X запущена.

Сетевой адаптер: Generic Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller - NetmonZ Miniport
GUID интерфейса: {fb7fa294-4bd1-47a5-b0d4-991b6a11e64c}
ИД подключения: 0x0000000B

Цитата:
Не удалось выполнить проверку подлинности в проводной сети по протоколу 802.1X.

Сетевой адаптер: Generic Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller - NetmonZ Miniport
GUID интерфейса: {fb7fa294-4bd1-47a5-b0d4-991b6a11e64c}
Адрес назначения: 001E58A0E04A
Локальный адрес: 00A0D1C8D52F
ИД подключения: 0x0000000B
Удостоверение: -
Пользователь: -
Домен: -
Причина: 327683
Текст причины: UI необходим для проверки подлинности, но UI был отключен для данного порта 1X
Код ошибки: 0

Цитата:
Для данного сетевого адаптера попытки проверки подлинности сети временно приостановлены.

Сетевой адаптер: Generic Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller - NetmonZ Miniport
GUID интерфейса: fb7fa294-4bd1-47a5-b0d4-991b6a11e64c
Код причины: 327683
Продолжительность блокировки (секунд): 1200


теперь смотрим сервер
Система
Цитата:
LDAP-подключение к контроллеру домена dc1.cts.grp в домене CTS установлено.

Безопасность
Цитата:
Успешный сетевой вход в систему:
Пользователь: UK-I04$
Домен: CTS
Код входа: (0x0,0x934C54)
Тип входа: 3
Процесс входа: Schannel
Пакет проверки: Microsoft Unified Security Protocol Provider
Рабочая станция: -
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: -
Порт источника: -

Цитата:
Успешный сетевой вход в систему:
Пользователь: UK-I04$
Домен: CTS
Код входа: (0x0,0x934DFC)
Тип входа: 3
Процесс входа: Schannel
Пакет проверки: Microsoft Unified Security Protocol Provider
Рабочая станция: -
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: -
Порт источника: -


Всё страньше и страньше. хм... Что ещё бы такое почитать...

_________________
Жизнь прекрасна - и это здорово!
Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 17:03 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
Настройки сервера
Цитата:
Политики
Имя qqqq:
«Nas-Port-Type соответствует Ethernet AND
Windows-Groups соответствует «CTS\Компьютеры домена »»

Вкладка проверка подлинности
Не отмечена ни одна галочка.
Кнопка "Методы ЕАР":
Поставщики ЕАР:
Тип ЕАР: «Защищенный ЕАР(РЕАР)»
Его свойства.
«Смарт-карта или иной сертификат»
Указана галочка быстрое переподключение.




Настройки клиента
Цитата:
Свойства сетевого подключения -> Проверка подлинности -> Защищенные ЕАР(РЕАР)
Параметры
«Проверять сертификат сервера» - галочка есть
Доверенные корневые центры сертификации: перечислены центры сертификации компании.

Выбор метода проверки подлинности:
«Смарт-карта или иной сертификат»
Настройки:
«Использовать сертификат на этом компьютере» – галочка есть
«Использовать выбор простого сертификата» – тоже есть
«Проверка сертификата сервера» - есть
Доверенные корневые центры сертификации: перечислены центры сертификации компании.


Лог Сервера
Цитата:
Пользователю "host/uk-i04.cts.grp" предоставлен доступ.
Полное-имя-пользователя = cts.grp/symbackup/UK-I04
NAS-IP-адрес = 10.1.1.244
NAS-идентификатор = D-Link
Понятное-имя-клиента = DES-3028-4(IT-Reserv)
IP-адрес-клиента = 10.1.1.244
Идентификатор-вызывающей-станции = 00-a0-d1-c8-d5-2f
Тип-NAS-порта = Ethernet
NAS-порт = 1
Имя-политики-прокси = qweSkifqwe
Поставщик-проверки-подлинности = Windows
Сервер-проверки-подлинности = <не определено>
Имя-политики = qqqq
Тип-проверки-подлинности = PEAP
EAP-тип = Смарт-карта или иной сертификат


Лог клиента

Цитата:
Проверка подлинности в проводной сети по протоколу 802.1X выполнена успешно.

Сетевой адаптер: Generic Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller - NetmonZ Miniport
GUID интерфейса: {fb7fa294-4bd1-47a5-b0d4-991b6a11e64c}
Адрес назначения: 001E58A0E04A
Локальный адрес: 00A0D1C8D52F
ИД подключения: 0x00000002
Удостоверение: host/uk-i04.cts.grp
Пользователь: -
Домен: -
Причина: 0
Текст причины: Операция выполнена успешно
Код ошибки: 0


Коммутатор

Код:

DES-3028:4#show auth_session_statistics
Command: show auth_session_statistics

Port number  : 1

SessionOctetsRx                   26652
SessionOctetsTx                   32189
SessionFramesRx                   162
SessionFramesTx                   219
SessionId                         ether1_1-9
SessionAuthenticMethod            Remote Authentication Server
SessionTime                       114
SessionTerminateCause             NotTerminatedYet
SessionUserName                   host/uk-i04.cts.grp


Вроде бы вот оно. УРА! Да, но НЕТ. Пакеты не идут. Хотя все торжественно дали добро на выход в сеть. Порверка подлинности пройдена, но увы и ах...
Подскажите, пожалуйста, устал уже…

_________________
Жизнь прекрасна - и это здорово!


Последний раз редактировалось Skifych Сб авг 01, 2009 22:44, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 18:21 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
Добавочка скоммутатора состояние порта при удачной авторизации

Код:
DES-3028:4#show 802.1x auth_state ports 1

Port    Auth PAE State  Backend State  Port Status
------  --------------  -------------  ------------
1       Authenticated   Idle           Authorized

_________________
Жизнь прекрасна - и это здорово!


Последний раз редактировалось Skifych Сб авг 01, 2009 22:43, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Сб авг 01, 2009 22:43 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
прошивку поменял. Спасибо, но увы, разницы нет.
Да и ещё момент. сначала со статикой эксперименты проводил, но тут пешил с DHCP проверить, так вот. Авторизация на порту успешно прошла, а IP я так и не получил... :(

_________________
Жизнь прекрасна - и это здорово!
Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 03, 2009 13:32 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
Вроде бы поборол. Сейчас проверяю с работой GP для домена.
В чём была загвоздка. При настройке PortSecurity Admin state был сменен на некоторых портах с Enable на Disable. После изменения настройки на Enable авторизация прошла успешно и коммутатор пустил в сеть.

PS: по firmware, что мне выслали. На нём есть какая-то лажа. Через некоторое время работы отвалиались из WEB-консоли некоторые вкладки. например настройки IP адреса - страница недоступна, настройки portSecurity - страница недоступна и т.д. Перезагрузки не помогали.

_________________
Жизнь прекрасна - и это здорово!


Последний раз редактировалось Skifych Вт авг 04, 2009 09:38, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 03, 2009 20:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать! А Вы какой браузер используете?
Вернуться наверх
 Профиль  
 
Skifych
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 04, 2009 09:24 
Не в сети

Зарегистрирован: Ср апр 29, 2009 09:28
Сообщений: 29
IE8.0

_________________
Жизнь прекрасна - и это здорово!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 20 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Ivan Karbovskii и гости: 152

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB