Foro en Español

Reply
Highlighted
Aruba Employee

[Tutorial] [Novedades] Orden y Prioridad de los Métodos de Autenticación (AOS-SW 16.08)

Descripción:

En las versiones anteriores, los métodos de autenticación se ejecutaban en paralelo. 802.1X tenía la prioridad más alta, seguida de la autenticación MAC, Web y MAC local. Pero los métodos de autenticación iniciados en paralelo pueden causar problemas para algunos clientes, que rápidamente obtienen IP tras finalizar la autenticación MAC sin esperar a que concluya la autenticación 802.1X. A partir de la versión 16.08, ArubaOS-Switch permite especificar el orden y la prioridad de los métodos de autenticación. El administrador de red puede asignar un orden de autenticación entre 802.1X y la autenticación MAC. Si ambos métodos fallan, el método de autenticación predeterminado es autenticación MAC local, en caso de estar configurada.
 
Especificar la prioridad de autenticación es opcional. Los usuarios deben configurar el orden de autenticación antes de configurar la prioridad. El método de autenticación con la prioridad más alta se utiliza para usar una autenticación cuando varios métodos están configurados para autenticar contra RADIUS.

 

Configuración: 

Para configurar el orden de autenticación (con fallback), se usa:

aaa port-access <ports> auth-order <authenticator|mac-based> <mac-based|authenticator> [local-mac]

Para configurar la prioridad de autenticación, se usa:

aaa port-access <ports> auth-priority <authenticator|mac-based> <mac-based|authenticator>
  • authenticator: establece la autenticación 802.1X como el método de autenticación principal para los clientes de este puerto.
  • mac-based: establece la autenticación basada en la dirección MAC como el método de autenticación principal para los clientes de este puerto.
  • local-mac: establece la autenticación basada en la dirección MAC local como el método de autenticación de fallback para los clientes de este puerto.
Access-1# show port-access clients 1/4 detailed
 
 Port Access Client Status Detail
 
  Client Base Details :
   Port            : 1/4                   Authentication Type : mac-based
   Client Status   : authenticated         Session Time        : 22 seconds
   Client Name     : aca31ec4b988          Session Timeout     : 0 seconds
   MAC Address     : aca31e-c4b988
   IP              : n/a
 
   Auth Order      : Mac-Auth, 8021x
   Auth Priority   : Not Set
   LMA Fallback    : Enabled
!
!

Resultado esperado:

  • Si solo se configura el orden de autenticación, la prioridad de autenticación será igual al orden de autenticación.
  • Si la autenticación Mac-local está configurada en un puerto sin la opción de fallback en el orden de autenticación, la autenticación MAC-local no se activará.
  • Si el orden o la prioridad de la autenticación se configura o actualiza, los clientes existentes son desautenticados y el proceso de autenticación se reinicia en los puertos donde la configuración se ha cambiado.

Si la orden de autenticación no se configura, los ambos métodos de autenticación se intentan al mismo tiempo:

0024:09:07:22.30 MAC  mWebAuth:Port: 1/4 now being monitored for mac-based authentication.
0024:09:07:22.30 1X   m8021xCtrl:Port 1/4: connection detected.
0024:09:07:22.30 1X   m8021xCtrl:Port 1/4: sent ReqId #1 to 0180c2-000003.
I 02/09/19 00:12:50 00435 ports: ST1-CMDR: port 1/4 is Blocked by AAA
0024:09:07:23.21 1X   m8021xCtrl:Port 1/4: added new client aca31e-c4b988.
0024:09:07:23.21 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 new client detected on vid: 1.
0024:09:07:23.21 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 RADIUS CHAP authentication started, session: 2342.
0024:09:07:23.21 RAD  mRadiusCtrl:Received RADIUS MSG: AUTH REQUEST, session:2342, access method: MAC-AUTH.
0024:09:07:23.21 RAD  mRadiusCtrl:Received RADIUS MSG: DATA, session: 2342.
0024:09:07:23.21 RAD  mRadiusCtrl:ACCESS REQUEST id: 212 to 172.16.10.102
   session: 2342, access method: MAC-AUTH, User-Name: aca31ec4b988,
   Calling-Station-Id: aca31e-c4b988, NAS-Port-Id: 1/4, NAS-IP-Address:
   172.16.10.22.
0024:09:07:23.21 RAD  mRadiusCtrl:ACCESS REQUEST id: 212 to 172.16.10.102 session: 2342, access method: MAC-AUTH, NAS-identifier: 3810-1.
0024:09:07:23.26 RAD  tRadiusR:ACCESS ACCEPT id: 212 from 172.16.10.102 received.
0024:09:07:23.26 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 RADIUS Attributes,tagged vid: 10.
0024:09:07:23.26 MAC  mWebAuth:Device attribute is applied from aca31e-c4b988
   Client on port 1/4.Aruba_SW_role_dur_iap_role-3021-6_7Z4q role with device
   attribute is applied on port 1/4.
0024:09:07:23.26 1X   mWebAuth:Port 1/4: aca31e-c4b988: Port mode changed to 1 by RADIUS Attr.
0024:09:07:23.26 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 RADIUS Dynamic overide port changed to port-mode.
0024:09:07:23.26 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 [2342] client
   accepted with role 'Aruba_SW_role_dur_iap_role-3021-6_7Z4q'.
0024:09:07:23.26 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 client successfully placed into vid: 0.
0024:09:07:23.26 AUOR  mWebAuth:Auth Order: Port 1/4: Client status updated for
   client: aca31e-c4b988, auth-method: 2 , auth-state: 2 .
0024:09:07:23.26 RAD  tRadiusR:Removing RADIUS REQUEST id: 212 from queue.
I 02/09/19 00:12:51 00076 ports: ST1-CMDR: port 1/4 is now on-line
I 02/09/19 00:12:51 00001 vlan: ST1-CMDR: VLAN10 virtual LAN enabled (3 times in 60 seconds)
0024:09:07:51.90 1X   m8021xCtrl:Port 1/4: sent ReqId #1 to 0180c2-000003.
0024:09:07:51.90 1X   m8021xCtrl:Port 1/4:No. of EAP Id request sent: 1 to client:aca31e-c4b988.
0024:09:08:21.90 1X   m8021xCtrl:Port 1/4: sent ReqId #1 to 0180c2-000003.
0024:09:08:21.90 1X   m8021xCtrl:Port 1/4:No. of EAP Id request sent: 2 to client:aca31e-c4b988.
!
!
Access-1# show port-access clients
Downloaded user roles are preceded by *
 
 Port Access Client Status
 
  Port  Client Name   MAC Address       IP Address      User Role         Type  VLAN
  ----- ------------- ----------------- --------------- ----------------- ----- -------------------------------------------------------
  1/4                 aca31e-c4b988     172.31.98.1                       8021X 10
  1/4   aca31ec4b988  aca31e-c4b988     172.31.98.1     *Aruba_SW_role... MAC   10

Si MAC-Auth se configura como la primera autenticación (aaa port-access 1/4 auth-order mac-based authenticator local-mac), la secuencia de los eventos será:

0024:08:36:40.30 MAC  mWebAuth:Port: 1/4 now being monitored for mac-based authentication.
0024:08:36:40.30 1X   m8021xCtrl:Port 1/4: connection detected.
0024:08:36:40.30 1X   m8021xCtrl:Port 1/4: sent ReqId #1 to 0180c2-000003.
I 02/08/19 23:42:08 00435 ports: ST1-CMDR: port 1/4 is Blocked by AAA
0024:08:36:41.26 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 new client detected on vid: 1.
0024:08:36:41.26 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 RADIUS CHAP authentication started, session: 2329.
0024:08:36:41.26 RAD  mRadiusCtrl:Received RADIUS MSG: AUTH REQUEST, session:2329, access method: MAC-AUTH.
0024:08:36:41.26 RAD  mRadiusCtrl:Received RADIUS MSG: DATA, session: 2329.
0024:08:36:41.26 RAD  mRadiusCtrl:ACCESS REQUEST id: 199 to 172.16.10.102 session: 2329, access method: MAC-AUTH, User-Name: aca31ec4b988, Calling-Station-Id: aca31e-c4b988, NAS-Port-Id: 1/4, NAS-IP-Address:
   172.16.10.22.
0024:08:36:41.26 RAD  mRadiusCtrl:ACCESS REQUEST id: 199 to 172.16.10.102 session: 2329, access method: MAC-AUTH, NAS-identifier: 3810-1.
0024:08:36:41.30 RAD  tRadiusR:ACCESS ACCEPT id: 199 from 172.16.10.102 received.
0024:08:36:41.30 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 RADIUS Attributes, tagged vid: 10.
0024:08:36:41.30 MAC  mWebAuth:Device attribute is applied from aca31e-c4b988
   Client on port 1/4.Aruba_SW_role_dur_iap_role-3021-6_7Z4q role with device attribute is applied on port 1/4.
0024:08:36:41.30 1X   mWebAuth:Port 1/4: aca31e-c4b988: Port mode changed to 1 by RADIUS Attr.
0024:08:36:41.30 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 RADIUS Dynamic overide port changed to port-mode.
0024:08:36:41.30 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 [2329] client accepted with role 'Aruba_SW_role_dur_iap_role-3021-6_7Z4q'.
0024:08:36:41.30 MAC  mWebAuth:Port: 1/4 MAC: aca31e-c4b988 client successfully placed into vid: 0.
0024:08:36:41.30 AUOR  mWebAuth:Auth Order: Port 1/4:Added auth order client: aca31e-c4b988.
0024:08:36:41.30 AUOR  mWebAuth:Auth Order: Port 1/4: Client status updated for client: aca31e-c4b988, auth-method: 2 , auth-state: 2 .
0024:08:36:41.30 RAD  tRadiusR:Removing RADIUS REQUEST id: 199 from queue.
I 02/08/19 23:42:09 00076 ports: ST1-CMDR: port 1/4 is now on-line
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: