中文讨论区

Reply
Occasional Contributor I

CPPM 与cisco switch 做802.1X认证问题

架构描述:cisco交换机-----voip------PC ,

交换机配置是:

 interface FastEthernet0/3
 switchport access vlan 4
 switchport mode access
 switchport voice vlan 144
 authentication host-mode multi-host
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate server
 mab
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 dot1x pae authenticator
 dot1x timeout server-timeout 30
 dot1x timeout tx-period 10
 dot1x max-req 3
 dot1x max-reauth-req 3
 spanning-tree portfast
!

我想实现的功能就是voip不做任何认证,pc需要做802.1x认证。

请问各位有什么解决方案,多谢?

Occasional Contributor II

Re: CPPM 与cisco switch 做802.1X认证问题

之前做过一个跟你类似情况的测试,当时我的做法是802.1x的mac bypass。

 

Moderator

Re: CPPM 与cisco switch 做802.1X认证问题

看起来是两个独立VLAN分别作认证的问题。

 

只要Cisco能把这两个VLAN都透传上去,认证方式就可以分别作了吧。

Occasional Contributor I

Re: CPPM 与cisco switch 做802.1X认证问题

hi brother:

       能不能share一下你当时的测试报告或者相关的文档?多谢,急。

Aruba Employee

Re: CPPM 与cisco switch 做802.1X认证问题

似乎只要开启voice vlan就可以,数据vlan按正常dot1x配置。

 

找到的思科文档,你验证下给个结果。

 

This example shows how to enable 802.1X with voice VLAN feature on Fast Ethernet interface 5/9:

 

Cisco IOS Release 12.2(50)SG

 

Switch# configure terminal

 

Switch(config)# interface fastethernet5/9

 

Switch(config-if)# switchport access vlan 2

 

Switch(config-if)# switchport mode access

 

Switch(config-if)# switchport voice vlan 10

 

Switch(config-if)# dot1x pae authenticator

 

Switch(config-if)# authentication port-control auto

 

Switch(config-if)# end

 

Switch(config# end

 

Switch#
 

 

Cisco IOS Release 12.2(46)SG or earlier

 

Switch# configure terminal

 

Switch(config)# interface fastethernet5/9

 

Switch(config-if)# switchport access vlan 2

 

Switch(config-if)# switchport mode access

 

Switch(config-if)# switchport voice vlan 10

 

Switch(config-if)# dot1x pae authenticator

 

Switch(config-if)# dot1x port-control auto

 

Switch(config-if)# end

 

Switch(config# end

 

Switch#
Occasional Contributor I

Re: CPPM 与cisco switch 做802.1X认证问题

这个问题我今天已经解决了,并完成了测试,这里注重有两点:

1、auth host-mode (singe-host multi-host multi-domian multi-auth)

 2、mab 

  举例:1、  如果voip是cisco的话,只需要在接口下启用auth host-mode singe-host 或者multi-host即可,因为cisco会通过私有协议CDP来发现,会自动将电话划入voice vlan,此时电话不需要做认证认证

      2、voip是avaya或者其他厂商的,必须要开始auth host-mode multi-auth,同时开启mab。

 

        host-mode四种方式的解释:sigle-host  只允许单台设备做认证,其它的全部拒绝

                                                     multi-host  允许多台设备,但只需要其中一台设备认证通过,该端口状态即为认证完成

                                                     multi-domain  允许多台设备登录,但第一个认证通过后,第二台再认证通过的话会导致端口变成err-disable(这个我也没搞明白是什么原因)

                                                    multi-auth  允许多台设备登录,每个设备都需要做认证 

 

mab  的意思是首先做802.1x认证,如果认证失败会自动启用mac认证。

此次测试我就是采用voip做mac认证,PC做802.1x认证

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: