Foro en Español

Reply
Occasional Contributor II

Stateful 802.1x en Branch Gateway

Hola, configuramos el stateful 802.1x en un branch gateway para las autenticaciones de un instant pero el rol que aparece en el Gateway normalmente es logon y "a veces" cambia al rol que regresa clearpass.

 

Lo raro es que:

El rol default de stateful 802.1x no se asigna.

El rol específico regresado por Clearpass se asigna a los clientes en el instant pero no el branch gateway

No hemos identificado una constante cuando se logra cambiar el rol al que debe ser en el BG, no por tiempo, no por cambio de usuario.

 

La configruación en general es así:

 

La vlan del instant es Untrusted y tiene asiando un AAA con initial role de logon

La vlan en la que se asignan los clientes es untrusted y tiene asignado un aaa con initial role de logon

Stateful 802.1x etá habilitado de forma global con un default-role

 

¿Alguna idea de qué pudiera ser?

 

 

Moderator

Re: Stateful 802.1x en Branch Gateway

Hola

 

Me he pegado bastante con este tema y creo que tu problema es precisamente que tienes los AP en el role de logon. Mi recomendación sería que pusieras los AP en el role de "stateful-dot1x", ya que el role de "logon" es un tanto especial (se utiliza para dispositivos que aún no están autenticados).

 

Adjunto un documento que debería resultarte útil para hacer esta configuración.

 


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II

Re: Stateful 802.1x en Branch Gateway

Muchas gracias Samuel.

 

 

De hecho cree un rol que se llama iaps con la regla de allow all y lo puse de inicial rol en el aaa de la vlan del IAP. Los dispositivos se quedarán con el rol de logon en initial role con su propio aaa profile.

 

Duda: La utenticación por MAC en el IAP y el servicio en Clearpass No son estrictamente necesarios ¿cierto? Porque los dispositivos como quiera lo hacen bien sin esa parte en el Instant.

Nota: No estoy autenticando al IAP en este momento.

 

Saludos

Highlighted
Occasional Contributor II

Re: Stateful 802.1x en Branch Gateway

Samuel, aquí un update

 

Después de varias pruebas vi que cuando funciona "a veces" el IAP y los cleintes necesitan estar en el mismo AAA Profile por lo que le agregué autenticación al IAP y le asigné el rol que mencionaste

 

Los clientes ahora se siguen quedando en logon pero el Auth si es stateful-8021x.

 

Ahora dejé mi maqueta con los servicios, policies y profiles como mencionas en el documento pero tengo el mismo comportamiento que al inicio con el IAP en logon.

 

Aquí dejo una imagen donde se ve que el IAP tiene el Rol (y el rol tiene Allow all) y los clientes se quedan en logon.

 

Es como si no hiciera el snooping al inicio y sólo a veces lo hiciera.

 

La versiónd el BG es : 8.4.0.0-1.0.5.0_69800

 

¿Alguna otra sugerencia?

 

Saludos y gracias de antemano

Moderator

Re: Stateful 802.1x en Branch Gateway

Hola,

 

Tengo la sensación de que el role que se está enviando de vuelta desde el RADIUS no existe en el GW (o que hay alguna pequeña errata). Puedes cambiar el role por defecto de Stateful-Dot1X por otro que no sea "logon"?

 

Saludos


Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: