HPE 5130 switch - Radius Mac Auth

Hálózati eszközök

Sziasztok!

Szeretnék segítséget kérni, mert nagyon hosszú ideje egyszerűen nem tudok már beljebb jutni, jobban debugolni a dolgot, és ehhez kérnék valami útmutatást a tapasztaltabbaktól.

Adott egy radius szerver, ami teszi a dolgát, azonban a HPE 5130-as switchhel meggyűlik a bajom. Minden működik szépen, ahogy kell egészen addig, amíg az ip telefonak nem tudok a pc portjába egy pc-t, ami külön vlanhoz tartozik mint a telefon. Külön potba dugva őket a radius, a 2 eszközt a megfelelő vlanba teszi, de ha pc a telefonba van dugva, akkor a telefon hitelesítése nem sikerül, "Authorization process failed." hibát kapok, és csak a telefonra. Kevés a végpont, ezért van szükség a telefonba dugott pc-kre.

Illetve debug módba: Called-Station-Id nas-error -t.

pc vlan: 667
telefon vlan: 668

A port config:

port link-type hybrid
 undo port hybrid vlan 1
 port hybrid vlan 667 668 untagged
 port hybrid pvid vlan 667
 stp edged-port
 poe enable
 mac-authentication
 mac-authentication domain xy.lan
 mac-authentication timer auth-delay 60
 mac-authentication re-authenticate server-unreachable keep-online
 mac-authentication host-mode multi-vlan
 mac-authentication timer reauth-period 60
 mac-authentication re-authenticate

Debug mode:

terminal monitor
terminal debugging
debugging radius packet

    User-Name="73-3d-18-35-aa-5e"
    NAS-Identifier="HPE"
    NAS-Port=16789505
    NAS-Port-Type=Ethernet
    NAS-IP-Address=192.168.10.11
    Calling-Station-Id="73-3D-18-35-AA-5E"
    Called-Station-Id="1C-13-2A-B1-A7-CD"
    Acct-Session-Id="000000042023-07-11:14:43:12-000000da081"
    Acct-Session-Time=10801
    Acct-Authentic=RADIUS
    Acct-Status-Type=Interim-Update
    Acct-Delay-Time=0
    Event-Timestamp="Jul 11 2023 11:43:13 CET"
*Jul 11 19:43:13:285 2023 HPE RADIUS/7/PACKET:
 04 e5 00 ab 1e 7d 8d 79 1f d5 02 44 cc d6 d5 e8
 30 82 ec 84 01 13 37 34 2d 34 64 2d 32 38 2d 33
...

az első lépésnél az Acct-Status-Type=START, de a másodiknál megkapja a "Called-Station-Id NAS-error" -t és a "Acct-Status-Type=STOP"-ra vált, de megkapja a következő csomagban, hogy

"
Reply-Message="Accounting OK"

"

A pc pedig pluszban, hogy

    Tunnel-Type:0=VLAN
    Tunnel-Medium-Type:0=IEEE-802
    Tunnel-Private-Group-Id:0="667"

A telefon meg semmit.

Radius oldalról pedig:

(88156) Fri Jul  7 14:04:51 2023: Debug:     } # if (! EAP-Type || (EAP-Type != TTLS  && EAP-Type != PEAP) )  = updated
(88156) Fri Jul  7 14:04:51 2023: Debug: attr_filter.packetfence_post_auth: EXPAND %{User-Name}
(88156) Fri Jul  7 14:04:51 2023: Debug: attr_filter.packetfence_post_auth:    --> 00-0b-81-50-62-84
(88156) Fri Jul  7 14:04:51 2023: Debug: attr_filter.packetfence_post_auth: Matched entry DEFAULT at line 10
(88156) Fri Jul  7 14:04:51 2023: Debug:     [attr_filter.packetfence_post_auth] = updated
(88156) Fri Jul  7 14:04:51 2023: Debug: linelog: EXPAND messages.%{%{reply:Packet-Type}:-default}
(88156) Fri Jul  7 14:04:51 2023: Debug: linelog:    --> messages.Access-Accept
(88156) Fri Jul  7 14:04:51 2023: Debug: linelog: EXPAND [mac:%{Calling-Station-Id}] Accepted user: %{reply:User-Name} and returned VLAN %{reply:Tunnel-Private-Group-ID}
(88156) Fri Jul  7 14:04:51 2023: Debug: linelog:    --> [mac:00:0b:81:50:62:84] Accepted user:  and returned VLAN 668
(88156) Fri Jul  7 14:04:51 2023: Debug: linelog: EXPAND stdout
(88156) Fri Jul  7 14:04:51 2023: Debug: linelog:    --> stdout
(88156) Fri Jul  7 14:04:51 2023: Debug:     [linelog] = ok
(88156) Fri Jul  7 14:04:51 2023: Debug:   } # post-auth = updated
(88156) Fri Jul  7 14:04:51 2023: Debug: Sent Access-Accept Id 55 from 192.168.10.10:1812 to 192.168.10.11:39040 length 36
(88156) Fri Jul  7 14:04:51 2023: Debug:   Tunnel-Private-Group-Id = "668"
(88156) Fri Jul  7 14:04:51 2023: Debug:   Tunnel-Type = VLAN
(88156) Fri Jul  7 14:04:51 2023: Debug:   Tunnel-Medium-Type = IEEE-802
(88156) Fri Jul  7 14:04:51 2023: Debug: Finished request
(88156) Fri Jul  7 14:04:56 2023: Debug: Cleaning up request packet ID 55 with timestamp +610559 due to cleanup_delay was reached
(88157) Fri Jul  7 14:04:57 2023: Debug: Received Status-Server Id 116 from 127.0.0.1:56311 to 127.0.0.1:18121 length 50
(88157) Fri Jul  7 14:04:57 2023: Debug:   Message-Authenticator = 0x92214154e76b88b852c8ad45f1b8199b
(88157) Fri Jul  7 14:04:57 2023: Debug:   FreeRADIUS-Statistics-Type = 15
(88157) Fri Jul  7 14:04:57 2023: Debug: # Executing group from file /usr/local/pf/raddb/sites-enabled/status
(88157) Fri Jul  7 14:04:57 2023: Debug:   Autz-Type Status-Server {
(88157) Fri Jul  7 14:04:57 2023: Debug:     [ok] = ok
(88157) Fri Jul  7 14:04:57 2023: Debug:   } # Autz-Type Status-Server = ok
(88157) Fri Jul  7 14:04:57 2023: Debug: Sent Access-Accept Id 116 from 127.0.0.1:18121 to 127.0.0.1:56311 length 428

Bármitféle ötletet szívesen elfogadok, és köszönöm előre is!

  • 410 megtekintés

( ggallo | 2023. 07. 11., k – 20:47 )

Tudtommal dot1x/Radius használatával egy porthoz egyetlen, untagged vlan rendelhető, ami a Radius session időtartama alatt lesz érvényes. Én még nem találtam "kommersz" switch-nél olyan lehetőséget, hogy dot1x/Radius használatával két vlan-t rendeljek egy adott porthoz bármilyen felállásban (1 untagged+1 tagged vagy 2 tagged). Annyi mozgástér van, hogy ha az adott porton vannak "fixen" tagged vlan-ok, akkor a dot1x session azokat nem befolyásolja, rendelkezésre állnak.

Emiatt én a telefonon átfűzött PC esetét úgy oldottam eddig meg, hogy a telefon vlan tagged fixen a portokon, a PC (vagy bármi más) vlan-ja pedig dot1x-el áll be a switch-en untagged-ként.

Ha van rá jobb megoldás, engem is érdekelne! Emiatt az (általam így tudott) korlát miatt próbálom mellőzni az ilyen felállást, ahol csak lehet, és egy port-egy eszközt részesítek előnyben.

Szerintem nem erre van:

https://techhub.hpe.com/eginfolib/networking/docs/switches/5130ei/5200-…

"When the port receives a packet sourced from the user in a VLAN not matching the existing MAC-VLAN mapping, the device neither logs off the user nor reauthenticates the user. The device creates a new MAC-VLAN mapping for the user, and traffic transmission is not interrupted"

( debtamas88 | 2023. 07. 11., k – 21:37 )

Szerkesztve: 2023. 07. 11., k – 21:40

VLAN szerintem itt lényegtelen, mert MAC cím alapján megy a szűrés.
Natív vlan a PC(667), tagged pedig az IP-telefon(668) - Így amikor megkerülve a IP-telefont bedugja a fali konnektorba a gépet a USER, akkor a PC hálózata fog menni ).
Általában a IP-telefonok MAC címének eleje ( prefixe ) egyforma, vége különbözik.

Esetleg probáld meg így:

port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 667 668
port trunk pvid vlan 667
 stp edged-port
 poe enable
 mac-authentication
 mac-authentication domain xy.lan
 mac-authentication timer auth-delay 60
 mac-authentication re-authenticate server-unreachable keep-online
 mac-authentication max-user 2
 mac-authentication timer reauth-period 60
 mac-authentication re-authenticate

Külön potba dugva őket a radius, a 2 eszközt a megfelelő vlanba teszi ...

Ha ezt akarod: "Dynamic vlan Assignment by radius attribute" , akkor kell hozzá a saját megoldása: Aruba ClearPass
Mondjuk packet dump-al ha rájösz miket kell küldeni a switchnek, akkor működhet :D

https://www.youtube.com/watch?v=HeRIpF-x3nA

radius scheme radxy
 primary authentication 192.168.10.11
 primary accounting 192.168.10.11
 key authentication cipher $xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 key accounting cipher $xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 user-name-format without-domain
#
domain xy.lan
 authentication default radius-scheme radxy
 authorization default radius-scheme radxy
 accounting default radius-scheme radxy

Elméletileg megoldható Radius paraméterként átadod a VLAN-t is, hivatalosan kellene a "gyári megoldás hozzá", de ha debuggolod akár működhet is.

radius scheme radxy
 nas-ip x.x.x.x

Melyik firmware verzió fut rajta? ( Lehet, hogy újabb szoftverrel működne )

Másik megoldás lehet, hogy "MAC-auth" helyett port-sec. használsz, ott megadod a MAC-címet/címeket ( ha használsz a switchen dot1x -et, akkor ez nem fog menni, mert egyszerre nem lehet port-sec. és dot1x  szolgáltatás bekapcsolva   - sehol nem írják le.
( Megj.:  Cisco tudja egyszerre a kettőt ).

system view
 port-security enable
 dot1x enable

PortSec. Megoldással:

system view
 port-security enable
 port-security timer autolearn aging 30
 port-security timer disableport 30

interfac ge1/0/1
 port-security max-mac-count 3
 port-security port-mode autolearn
 port-security intrusion-mode disableport
 port-security mac-address security sticky <MAC> vlan <VLAN>
 port-security mac-address security sticky <MAC> vlan <VLAN>

 

Szia Tamás!

Bocsi, igen a nas-ip is ott van, csak lemaradt.

Firmwareből pedig elvileg a legfrissebb: 5130EI-CMW710-R3507P08.ipe

Ez gondolom "port-security mac-address security sticky <MAC> vlan <VLAN>" kézi vagy radius által kezelt, kell ehhez még valamit módosítani a radiuson? 
A cél, hogy dynamic vlan működjön telefon + pc-vel az, hogy dot1x vagy sem az most mindegy a lényeg, hogy működjön. Dot1x most nincs.

( sibike | 2023. 07. 12., sze – 10:52 )

Nagyon keveset foglalkoztam ip telefonokkal, de nekem úgy rémlik, hogy neked a voice vlan feature-re lenne szükséged.