Forum Français

Reply
Occasional Contributor II

mac authentification toutes les 5 minutes VOIP

Bonjour,

 

Je commence à mettre en place clearpass et je me suis rendu compte que les téléphones Mitel se réauthentifient toutes les 5 minutes sur les switches aruba 2930M. Les switches sont en version 16.08.0001 et j'authentifie les téléphones via leur mac.

 

Ma configuration sur le port est la suivante:

rate-limit bcast in percent 2
rate-limit mcast in percent 2
untagged vlan 888
aaa port-access authenticator
aaa port-access authenticator tx-period 10
aaa port-access authenticator supplicant-timeout 10
aaa port-access authenticator max-requests 3
aaa port-access authenticator client-limit 3
aaa port-access authenticator cached-reauth-period 86400
aaa port-access supplicant
aaa port-access mac-based
aaa port-access mac-based addr-limit 10
aaa port-access mac-based reauth-period 86400
aaa port-access mac-based auth-vid 888
aaa port-access mac-based cached-reauth-period 86400
aaa port-access controlled-direction in
aaa port-access auth-order authenticator mac-based

 

J'utilise un download role:

aaa authorization user-role name "TOIP_PF"
reauth-period 86400
vlan-id-tagged 999
exit

 

Seul les téléphones font cela. Avez-vous une idée ?

Contributor I

Re: mac authentification toutes les 5 minutes VOIP

Salut,

 

pourrais-tu allez voir dans clearpass policy manager, dans configuration / authentification / sources et valider si tu as une sources qui correspond à la DB qui contiennent tes mac?

 

Si oui, vérifie dans général, le cachetime out est suposé être à 36000....

 

J'ai déjà eu ce genre de problème dans un de mes déploiement antérieur mais c'était avec une imprimante

 

 

Mathias Troncoso-Aballay
ACMP, ACCP, ACSA | Aruba Partner Ambassador
Occasional Contributor II

Re: mac authentification toutes les 5 minutes VOIP

J'ai essayé mais ça n'a rien donné. Pourtant, ça correspondait puisqu'il était réglé sur 300 secondes.

Merci quand même.

 

A priori, ça viendrait du fait que, dans le rôle, il n'y avait qu'un vlan taggé. en y ajoutant un vlan non taggé (un vlan sans accès), les requêtes ne se font plus toutes les 5 min mais comme les autres équipements.

Je vais garder cette solution poru le moment jusque trouver mieux comme ça n'empêche pas les pc de se connecter dérrière le téléphone. Ca se produit que sur les switches aruba.

 

Le rôle que j'envoie maintenant ressemble à ceci:

aaa authorization user-role name "TOIP_PF"

vlan-id 777
vlan-id-tagged 999

 

New Contributor

Re: mac authentification toutes les 5 minutes VOIP

C'est peut-être la modification du rôle qui à refresh le timeout de 300 secondes vers la nouvelle valeur au push du nouveau DUR ? Il faudrais tester en retirant le VLAN Untag non utilisé et voir.

Highlighted
Occasional Contributor II

Re: mac authentification toutes les 5 minutes VOIP

Apparemment, il y avait un problème avec les user rôles et les vlan taggés dans la version 6.8.0 .

J'ai dû ajouter le vlan unttaged pour que cela fonctionne. Mais je vais pouvoir tester avec le patch 6.8.2 sans le vlan untagged.

Policy Manager Issues Fixed in 6.8.2

 

CP‑33054

A user role for an Aruba Downloadable Role Enforcement profile could not be downloaded by ArubaOS-Switch 16.08 if the user role included the vlan-name-tagged attribute in the command.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: