web-dev-qa-db-ja.com

Cisco Voice VLAN 802.1X認証付き

802.1X有線認証を使用してリモートオフィス用に設定しようとしているCiscoCatalyst2960があります。

私がしようとしているセットアップはSwitch -> VoIP Phone via Internal Switch -> PC/Laptop (Domain Joined Win 7/8).です

私たちの認証サーバーは、Windows Server 2008R2上のNPSです。

802.1XをサポートするSnom300ハンドセットを使用していますが、すべてのハンドセットで構成することは実際には不可能であるため、電話にMAB(MAC認証バイパス)を使用するようにスイッチを構成しました。

これはほとんどの部分で見事に機能しており、ハンドセットは認証されてVOICEドメインに入れられ、VLANポリシーは音声VLANである501を表示しています。

ただし、電話はデータVLANに完全にアクセスできます-何が間違っていますか?

接続されているポートの802.1xセッションは次のとおりです。

int-remote-sw-1#show auth sessions int Fa0/9
        Interface:  FastEthernet0/9
      MAC Address:  0004.133d.69cc
       IP Address:  Unknown
        User-Name:  0004133d69cc
           Status:  Authz Success
           Domain:  VOICE
   Oper Host mode:  multi-domain
 Oper control dir:  both
    Authorized By:  Authentication Server
      Vlan Policy:  501
  Session timeout:  600s (local), Remaining: 409s
   Timeout action:  Reauthenticate
     Idle timeout:  N/A
Common Session ID:  0A9402F50000005F094C7DC3
  Acct Session ID:  0x0000007D
           Handle:  0xD6000060

Runnable methods list:
   Method   State
   mab      Authc Success
   dot1x    Not run

802.1xに関連するスイッチ構成:

aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
aaa session-id common
!
!
dot1x system-auth-control
!
!
errdisable detect cause security-violation shutdown vlan
!
!
vlan 501
    name VOICE-LAN
!
!
interface FastEthernet0/9
    switchport access vlan 502
    switchport mode access
    switchport voice vlan 501
    authentication event fail action authorize vlan 503
    authentication event server dead action reinitialize vlan 503
    authentication event no-response action authorize vlan 503
    authentication event server alive action reinitialize
    authentication Host-mode multi-domain
    authentication order mab dot1x
    authentication port-control auto
    authentication periodic
    authentication timer reauthenticate 600
    mab
    mls qos trust cos
    dot1x pae authenticator
    spanning-tree portfast
!
!
radius-server dead-criteria time 30 tries 10
radius-server Host 10.***.***.***
radius-server Host 10.***.***.***
radius-server retry method reorder
radius-server key ******************

スイッチバージョン:

int-remote-sw-1#show ver
    Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE (fc1)

NPSサーバー構成:

NPS Config

2
iamacarpet

これをどのように機能させるかという質問に対する最良の答えかどうかはわかりませんが、より良い答えがないので、自分でそれを機能させる方法を考え出しました。

基本的に、本質的に動的なVLAN割り当て(音声機能と呼ばれますが))を使用している場合は、VOICEドメインとDATAドメインの両方に使用する必要があるという考えに基づいています。私が探していた結果を得る。

アクセスVLANをスイッチの外部にルーティングしないVLANに変更したので、私の場合はswitchport access vlan 504

次に、NPSサーバーのポリシーを変更して、コンピューターが認証されるときにVLAN割り当てをコンピューターに渡すようにしました。

これには、電話またはデバイスのMACスプーフィングを、VLANが構成されていないものとして、本質的にブラックホールネットワークに配置され、何にもアクセスできないようにする効果があります。ただし、正しい構成になっている場合はVLAN ID、彼らはよりロックダウンされた音声ネットワークにアクセスできます。

ただし、コンピューターが直接接続され、DATAドメイン内の電話のスイッチを介して認証された場合、スイッチはNPSサーバーの指示に従って内部ネットワークへのアクセスまたはネイティブVLAN)を変更します。

これは私が探していた結果です-それは私が避けようとしていたより基本的な形でポリシーサーバーを利用する他のスイッチの設定を変更しなければならないことを意味しました。

0
iamacarpet