Deutschsprachiges Forum

Reply
New Contributor

Aruba Clearpass 6.7.1 NAC + WIN 802.1x Sleep Modus

Hallo zusammen,

 

ich habe bei einem Kunden ein Clearpass Cluster installiert und NAC implementiert. Es gibt einen Wired 802.1x Host Service der checkt, ob die Windows Rechner/Laptops einen Hostnamen haben und im AD vorhanden sind. Des Weiteren gibt es einen Wired 802.1x User Service der darauf aufsetzt und je nach Nutzeranmeldung diese dynamisch in das vorgesehene VLAN schiebt.

 

Es gibt auch einen MAC-auth Services für Geräte die kein 802.1x sprechen und einen Quarantäne Service für neue Geräte die darin provisioniert werden.

 

 

 

Jetzt habe ich folgende Anomalie:

Wenn die Windows Rechner + Laptops nach einer gewissen Zeit in den Sleep Modus gehen und nachher wieder aufgeweckt werden, machen diese nur noch MAC Auth und keine 802.1x Authentifizierung mehr. Es ist nicht bei allen Geräten so nur bei einigen. Durch die MAC Auth landen diese im falschen VLAN. Erst nach Ab- und wieder Anmeldung wird wieder die 802.1x Auth durchgeführt.

 

Kennt jemand das Problem mit dem Energiesparmodus von Windows in Verbindung mit Clearpass? Es sind WIN7/WIN10 Geräte im Einsatz.

 

Danke für die Mithilfe und Gruß

Matthias

MVP

Re: Aruba Clearpass 6.7.1 NAC + WIN 802.1x Sleep Modus

Es gibt es unterschiedliche, und algemein problem mit Windows und schlafmodus. Im Internet findet mann mehere Forumen wo sollche problematik immer wieder angesprochen wird.

 

Die Frage ist - nach aufwecken - sendet der STA 802.1x oder antwortet es auf 802.1x von Netz ?

 

AOS oder IAP Befehle werden hilfreich:

 

# user-debug einschalten

conf t

log level debug user-debug <client mac>

 

# client packet-capture einschalten

packet-capture dest local

packet-capture datapath mac(oder wifi) <client mac> all

show ap association  inc  | client mac

show user-table verbose | inc <client mac>

clear  dot1x supplicant-info <client mac> <bssid>

show dot1x supplicant-info <client mac> <bssid>

 

 

---> client einschlafen lassen

show auth mac <client mac>

 

### beobachten ob dier STA von user-table verschwindet ist

### (gewissen Zeit ?) 

 

----> client wecken

show ap client trail <client mac>

show ap remote debug mgmt-frames ap-name <apname> client-mac <client mac>

 

show dot1x supplicant-info <client mac> <bssid>

 

show packet-capture datapath

show log user-debug 500

 

Schlüsselig ist die erste 802.1x frames von oder an den client nach aufwecken.

 

zumindest ein erste schritt...

 

 

 

 

Shawn Adams
Aruba Networks Customer Advocacy
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: