请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1165|回复: 10

802.1X认证的问题

[复制链接]
发表于 2018-6-30 11:02:18 | 显示全部楼层 |阅读模式
0可用金钱
最近在测试这个802.1X的认证,认证服务器是ACS 5.6  目前认证已经做成功了,但是还有些问题没有解决,在这里想请教一下大家!
现在问题是:终端PC(Win10) 可以通过802.1X认证的,但是我在交换机上做了认证失败后将划入vlan 12,并且VLAN 12 也做了DHCP的下放,默认情况下认证通过是在VLAN 1 ,但是现在发现认证失败后win10并没有获得VLAN 12网段的IP地址,而依旧是169开头的IP地址。下面是一些接口配置信息

interface FastEthernet2/0/19
switchport mode access
authentication event fail action authorize vlan 12
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
end


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2018-6-30 11:55:59 | 显示全部楼层
认证失败后win10所接的接口是不是在vlan 12,这个检查过没有?如果在的话,那问题可能在DHCP上面。如果不在,那问题就可能在认证失败跳转到vlan的配置上。以上是我意见,楼主参考一下。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
 楼主| 发表于 2018-7-1 08:39:48 | 显示全部楼层
Rocky 发表于 2018-6-30 11:55
认证失败后win10所接的接口是不是在vlan 12,这个检查过没有?如果在的话,那问题可能在DHCP上面。如果不在 ...

你好,DHCP地址池下放地址了, 接口也是在这个接口,现在就是认证失败不跳转到VLAN 12
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
发表于 2018-7-1 09:53:27 | 显示全部楼层
yssqt5211 发表于 2018-7-1 08:39
你好,DHCP地址池下放地址了, 接口也是在这个接口,现在就是认证失败不跳转到VLAN 12

那就是跳转那里有问题,接口没跳转到vlan 12,那当然是没办法获取到正常的IP地址。检查一下看看或者重新配一遍。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
 楼主| 发表于 2018-7-1 14:50:12 | 显示全部楼层
Rocky 发表于 2018-7-1 09:53
那就是跳转那里有问题,接口没跳转到vlan 12,那当然是没办法获取到正常的IP地址。检查一下看看或者重新 ...

你好 这个配置我不太清楚 做的对不对。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
发表于 2018-7-1 21:13:58 | 显示全部楼层
yssqt5211 发表于 2018-7-1 14:50
你好 这个配置我不太清楚 做的对不对。

我也没做过,不清楚,看看有没有网友有做过类似的配置能够帮到你。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
 楼主| 发表于 2018-7-2 09:24:41 | 显示全部楼层
Rocky 发表于 2018-7-1 21:13
我也没做过,不清楚,看看有没有网友有做过类似的配置能够帮到你。

好的 谢谢你了。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
发表于 2018-7-3 15:46:48 | 显示全部楼层
交换机2960配置参考下:
dot1x system-auth-control
dot1x guest-vlan supplicant
!

!
interface FastEthernet0/5
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x host-mode multi-host
dot1x violation-mode protect
dot1x timeout quiet-period 1
dot1x timeout tx-period 1
dot1x timeout supp-timeout 1
dot1x guest-vlan 108
dot1x auth-fail vlan 109
dot1x auth-fail max-attempts 1
spanning-tree portfast
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
发表于 2018-7-4 23:19:06 | 显示全部楼层
yssqt5211 发表于 2018-7-2 09:24
好的 谢谢你了。

在Cisco Catalyst层3固定配置交换机上的IEEE 802.1x多域认证配置示例
https://www.cisco.com/c/zh_cn/su ... 21x-cat-layer3.html

Cisco 利用 802.1X、动态VLAN和DHCP技术实现方案
http://www.net130.com/CMS/Pub/Tech/tech_zh/2010_10_31_30407.htm

思科C3750+802.1X+freeradius+动态vlan
https://blog.csdn.net/openbox2008/article/details/79700795

利用802.1X、动态VLAN和DHCP技术实现方案
https://wenku.baidu.com/view/de6cebc32cc58bd63186bd09

这些你都可以参考一下,对比你的配置看看
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
 楼主| 发表于 2018-7-5 09:32:35 | 显示全部楼层
Rocky 发表于 2018-7-4 23:19
在Cisco Catalyst层3固定配置交换机上的IEEE 802.1x多域认证配置示例
https://www.cisco.com/c/zh_cn/su ...

好的 谢谢了 我先看一下。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-9-23 05:35 , Processed in 0.102065 second(s), 53 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表