Форум программистов, компьютерный форум, киберфорум
Juniper
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.71/7: Рейтинг темы: голосов - 7, средняя оценка - 4.71
1 / 1 / 0
Регистрация: 15.06.2015
Сообщений: 12
1

Назначение VLAN через 802.1x

14.11.2019, 18:19. Просмотров 1382. Ответов 6
Метки нет (Все метки)


Доброго времени суток. Столкнулся с такой проблемой: Хочу динамически раздавать пользователям vlan используя централизованую систему на основе freeradius + 802.1x. Коммутаторы используем Juniper EX3400. Поднял Radius сервер, включил аутентификацию на порту комутора.
Код
 ge-0/0/47 {
        unit 0 {
            family ethernet-switching {
                interface-mode access;
            }
        }
    }


access {
    radius-server {
        192.168.10.39 secret "$9$BKZErvx7VY2axNs4oJkqtuO1IclK87dsKvoJDjq.BIREhy";
    }
    profile juniper-access-profile {
        accounting-order radius;
        authentication-order radius;
        radius {
            authentication-server 192.168.10.39;
            accounting-server 192.168.10.39;
        }
    }
}


protocols {
    dot1x {
        authenticator {
            authentication-profile-name juniper-access-profile;
            interface {
                ge-0/0/47.0 {
                    supplicant single;
                    no-reauthentication;
                }
            }
        }
    }
Радиус сервер идентифицирует пользователя, отдает атрибуты

Код
Tunnel-Private-Group-Id = "furii_nle80"
Tunnel-Type = VLAN
Tunnel-Medium-Type = IEEE-802
Но при этом коммутатор помещает пользователя в default vlan. Походу свич игнорирует параметры сообщаемые ему radius сервером. Буду очень благодерен за подсказку куда копать))
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
14.11.2019, 18:19
Ответы с готовыми решениями:

Как настроить VLAN 802.1Q на коммутаторе Tp-Link SG1016DE
Всем привет, помогите пожалуйста разобраться с настройкой, когда собирал на коленке сеть в 3...

QTECH QSW 8400 Назначение одного порта двум vlan
Есть два vlan, один для ip-телефонии, второй для рабочих станций. Надо сделать так, чтобы к порту...

Atheros AR5006X как изменить 802.11a на 802.11b
Всем добрый день! КАК изменить скорость? У меня на ноуте TOSHIBA - винда 7, драйвера менял для...

Реальная скорость wi-fi подключения (Адаптер стандарта 802.11ac + ноут со стандартом 802.11n)?
Добрый день! Я честно пытался гуглить, но по запросам мне выдавалась куча раздельных тем про...

__________________
Помогаю в написании курсовых работ и дипломов здесь.
Записывайтесь на профессиональные курсы DevOps-инженеров
6
Эксперт по компьютерным сетямЭксперт NIX
12171 / 7048 / 715
Регистрация: 09.09.2009
Сообщений: 27,579
15.11.2019, 05:55 2
Цитата Сообщение от kselltrum Посмотреть сообщение
игнорирует параметры сообщаемые ему radius сервером
возможно, в настройках freeradius нужно подключить "словарь" (dictionary) для вашего оборудования?!...
0
1 / 1 / 0
Регистрация: 15.06.2015
Сообщений: 12
15.11.2019, 13:26  [ТС] 3
Изходя из описания, даного Juniper там используется стандартный словарь RFC2868

Код
The RADIUS server attributes used for dynamic VLAN assignment described in RFC 2868, RADIUS Attributes for Tunnel Protocol Support.

Tunnel-Type—Defined as RADIUS attribute type 64. The value should be set to VLAN.

Tunnel-Medium-Type—Defined as RADIUS attribute type 65. The value should be set to IEEE-802.

Tunnel-Private-Group-ID—Defined as RADIUS attribute type 81. The value should be set to the VLAN ID or the VLAN name.
Думал уже что проблема в настройке radiusa. Но на коммутаторах cisco все отлично работает.
0
53 / 53 / 12
Регистрация: 01.08.2017
Сообщений: 173
15.11.2019, 15:48 4
kselltrum,
freeradius -X
что отдает клиенту? (отдает ли вообще)
furii_nle80 - vlan с таким именем точно существует? не создан динамически?
> show dot1x interface ge-0/0/47.0 detail
что показывает?
0
1 / 1 / 0
Регистрация: 15.06.2015
Сообщений: 12
15.11.2019, 16:59  [ТС] 5
Да такой VLAN ЕСТЬ. Явно в него хост можно добавить
Код
 furii_nle80 {
        vlan-id 80;
        forwarding-options {
            dhcp-security {
                arp-inspection;
                ip-source-guard;
            }
        }
    }
Коммутатор показывает

Код
show dot1x interface ge-0/0/47.0 detail
ge-0/0/46.0
  Role: Authenticator
  Administrative state: Auto
  Supplicant mode: Single-Secure
  Number of retries: 3
  Quiet period: 60 seconds
  Transmit period: 30 seconds
  Mac Radius: Disabled
  Mac Radius Restrict: Disabled
  Reauthentication: Disabled
  Reauthentication interval: 3600 seconds
  Supplicant timeout: 30 seconds
  Server timeout: 30 seconds
  Maximum EAPOL requests: 2
  Guest VLAN member: not configured
  Number of connected supplicants: 1
    Supplicant: test, E0:D5:5E:86:F4:6C
      Operational state: Authenticated
      Backend Authentication state: Idle
      Authentication method: Radius
      Authenticated VLAN: default
      Session Reauth interval: 3600 seconds
      Reauthentication due in 0 seconds
      Eapol-Block: Not In Effect
Radius отдает параметры. смотрел через monitor trafic
0
Миниатюры
Назначение VLAN через 802.1x  
100 / 74 / 34
Регистрация: 06.11.2018
Сообщений: 376
Записей в блоге: 1
02.12.2019, 22:17 6
Отсылает. А что в нем?

Попробуйте махнуть
Tunnel-Private-Group-Id = "furii_nle80"
на
Tunnel-Private-Group-Id = "80"
и
Tunnel-Medium-Type = IEEE-802
на
Tunnel-Medium-Type = 802
0
1 / 1 / 0
Регистрация: 15.06.2015
Сообщений: 12
03.12.2019, 16:34  [ТС] 7
Проблему решил. Ошибка была в самом конфиге радиуса. Радиус отправлял параметры коммутатору как non-tunneled-output. Настраивается в inner-tunel.conf. После изменения опции на Use_Tunneled_Reply=yes все заработало.
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
03.12.2019, 16:34

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь или здесь.

IEEE 802.1Q и 802.1p
Пишу дипломную и возникла ситуация, когда необходимо распознавать передаваемый тип трафика для...

IEEE 802.1Q VLAN VID
Помогите разобраться с тегом, который добавляется внутрь фрейма для нумерации Vlan'ов. Почему полю...

Назначение root свича для vlan
Подскажите команды для привязки определенного свича к vlan'у....

Vlan через разные маршрутизаторы
Ребят помогите как сделать, чтобы компы на разных свитчах были в одном влане или пинговались разные...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.