Forum Français

 View Only

  • 1.  mac authentification toutes les 5 minutes VOIP

    Posted Jul 16, 2019 08:57 AM
      |   view attached

    Bonjour,

     

    Je commence à mettre en place clearpass et je me suis rendu compte que les téléphones Mitel se réauthentifient toutes les 5 minutes sur les switches aruba 2930M. Les switches sont en version 16.08.0001 et j'authentifie les téléphones via leur mac.

     

    Ma configuration sur le port est la suivante:

    rate-limit bcast in percent 2
    rate-limit mcast in percent 2
    untagged vlan 888
    aaa port-access authenticator
    aaa port-access authenticator tx-period 10
    aaa port-access authenticator supplicant-timeout 10
    aaa port-access authenticator max-requests 3
    aaa port-access authenticator client-limit 3
    aaa port-access authenticator cached-reauth-period 86400
    aaa port-access supplicant
    aaa port-access mac-based
    aaa port-access mac-based addr-limit 10
    aaa port-access mac-based reauth-period 86400
    aaa port-access mac-based auth-vid 888
    aaa port-access mac-based cached-reauth-period 86400
    aaa port-access controlled-direction in
    aaa port-access auth-order authenticator mac-based

     

    J'utilise un download role:

    aaa authorization user-role name "TOIP_PF"
    reauth-period 86400
    vlan-id-tagged 999
    exit

     

    Seul les téléphones font cela. Avez-vous une idée ?



  • 2.  RE: mac authentification toutes les 5 minutes VOIP

    Posted Jul 23, 2019 12:24 PM

    Salut,

     

    pourrais-tu allez voir dans clearpass policy manager, dans configuration / authentification / sources et valider si tu as une sources qui correspond à la DB qui contiennent tes mac?

     

    Si oui, vérifie dans général, le cachetime out est suposé être à 36000....

     

    J'ai déjà eu ce genre de problème dans un de mes déploiement antérieur mais c'était avec une imprimante

     

     



  • 3.  RE: mac authentification toutes les 5 minutes VOIP
    Best Answer

    Posted Jul 25, 2019 06:36 AM

    J'ai essayé mais ça n'a rien donné. Pourtant, ça correspondait puisqu'il était réglé sur 300 secondes.

    Merci quand même.

     

    A priori, ça viendrait du fait que, dans le rôle, il n'y avait qu'un vlan taggé. en y ajoutant un vlan non taggé (un vlan sans accès), les requêtes ne se font plus toutes les 5 min mais comme les autres équipements.

    Je vais garder cette solution poru le moment jusque trouver mieux comme ça n'empêche pas les pc de se connecter dérrière le téléphone. Ca se produit que sur les switches aruba.

     

    Le rôle que j'envoie maintenant ressemble à ceci:

    aaa authorization user-role name "TOIP_PF"

    vlan-id 777
    vlan-id-tagged 999

     



  • 4.  RE: mac authentification toutes les 5 minutes VOIP

    Posted Aug 26, 2019 07:29 AM

    C'est peut-être la modification du rôle qui à refresh le timeout de 300 secondes vers la nouvelle valeur au push du nouveau DUR ? Il faudrais tester en retirant le VLAN Untag non utilisé et voir.



  • 5.  RE: mac authentification toutes les 5 minutes VOIP

    Posted Aug 27, 2019 10:43 AM

    Apparemment, il y avait un problème avec les user rôles et les vlan taggés dans la version 6.8.0 .

    J'ai dû ajouter le vlan unttaged pour que cela fonctionne. Mais je vais pouvoir tester avec le patch 6.8.2 sans le vlan untagged.

    Policy Manager Issues Fixed in 6.8.2

     

    CP‑33054

    A user role for an Aruba Downloadable Role Enforcement profile could not be downloaded by ArubaOS-Switch 16.08 if the user role included the vlan-name-tagged attribute in the command.



Related Content