Toon posts:

probleem met dynamisch vlan toekennen via radius

Pagina: 1
Acties:

dinsdag 29 maart 2011 15:46

Acties:

Verwijderd

Topicstarter
hallo

Wij zijn met een project bezig waarvoor we moeten zorgen dat onze NPS server dynamishc VLANS toekent aan switchpoorten aan de hand van de AD usergroups.

We kunnen telnet opstellen naar onze switch, en hierop met telnet verbinding maken zonder problemen, maar als we proberen iets aan te passen gebeurt er niets.

wij werken met een catalyst 3560 switch, met iosv12.2
Hieronder staat de running config en een sample van de debug van radius+aaa

ik vermoed dat het probleem in de switch zit, daar hij zowel het "shell:priv-lvl=15" AV-pair negeert(niet rechtstreeks naar privileged exec) als dat hij de pakketjes als onbekend aanziet die volgens de RFC wel juist zijn.

Als iemand weet wat er fout gaat waardoor we onze poorten niet in een andere VLAN krijgen zullen we je zeer dankbaar zijn

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170

switch1#sh run
Building configuration...

Current configuration : 1904 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname switch1
!
enable secret 5 $1$IB/B$yh3Ramwu295q6j34NC0SC/
!
username cisco secret 5 $1$fpVm$hZJQ6C9tyjWobATdZajUH1
username test password 7 0728244942584B5643
aaa new-model
aaa authentication login default group radius local
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
aaa session-id common
ip subnet-zero
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
 switchport mode access
 dot1x port-control auto
 spanning-tree portfast
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 ip address 192.168.22.1 255.255.255.0
!
ip classless
ip http server
ip radius source-interface FastEthernet0/1
!
radius-server host 192.168.22.10 auth-port 1812 acct-port 1813
radius-server source-ports 1645-1646
radius-server key 7 1430170E0055787870
!
control-plane
!
!
line con 0
 logging synchronous
line vty 5 15
 logging synchronous
!
!
end


-----------------------------------------------------------------------------------------------------------------

00:14:40: AAA/AUTHEN/CONT (1898373443): continue_login (user='(undef)')
00:14:40: AAA/AUTHEN (1898373443): status = GETUSER
00:14:40: AAA/AUTHEN (1898373443): Method=radius (radius)
00:14:40: AAA/AUTHEN (1898373443): status = GETPASS
switch1#
00:14:44: AAA/AUTHEN/CONT (1898373443): continue_login (user='vlan10')
00:14:44: AAA/AUTHEN (1898373443): status = GETPASS
00:14:44: AAA/AUTHEN (1898373443): Method=radius (radius)
00:14:44: RADIUS: Pick NAS IP for u=0x2533720 tableid=0 cfg_addr=0.0.0.0
00:14:44: RADIUS: ustruct sharecount=1
00:14:44: Radius: radius_port_info() success=1 radius_nas_port=1
00:14:44: RADIUS(00000000): Send Access-Request to 192.168.22.10:1812 id 1645/4,
 len 80
00:14:44: RADIUS:  authenticator FC DF B3 40 39 A2 0F D3
switch1# - C0 94 FE 63 CC D8 10 24
00:14:44: RADIUS:  NAS-IP-Address      [4]   6   192.168.22.1
00:14:44: RADIUS:  NAS-Port            [5]   6   2
00:14:44: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
00:14:44: RADIUS:  User-Name           [1]   8   "vlan10"
00:14:44: RADIUS:  Calling-Station-Id  [31]  16  "192.168.22.150"
00:14:44: RADIUS:  User-Password       [2]   18  *
00:14:44: RADIUS: Received from id 1645/4 192.168.22.10:1812, Access-Ac
switch1#cept, len 137
00:14:44: RADIUS:  authenticator 9A D9 B5 82 B0 F0 C0 6C - 46 3D 0B 00 D3 E4 87
A1
00:14:44: RADIUS:  Service-Type        [6]   6   Framed                    [2] 
00:14:44: RADIUS:  Tunnel-Medium-Type  [65]  6   00:Unsupported            [6]      ///  medium-type in policy = 802    
00:14:44: RADIUS:  Tunnel-Private-Group[81]  4   "10"
00:14:44: RADIUS:  Tunnel-Type         [64]  6   00:Unsupported            [13]     /// type in policy = Virtual LAN(VLAN)  
00:14:44: RADIUS:  Class               [25]  46
00:14:44: RADIUS:   AA A0 08 EA 00 00 01 37 00 01 17 00 FE 80 00
switch1#00  [???????7????????]
00:14:44: RADIUS:   00 00 00 00 08 52 95 49 A1 09 DD A0 01 CB EE 01  [?????R?I??
??????]
00:14:44: RADIUS:   7A 42 BB 86 00 00 00 00 00 00 00 04              [zB????????
??]
00:14:44: RADIUS:  Vendor, Cisco       [26]  25
00:14:44: RADIUS:   Cisco AVpair       [1]   19  "shell:priv-lvl=15"
00:14:44: RADIUS:  Vendor, Microsoft   [26]  12
00:14:44: RADIUS:   MS-Link-Util-Thresh[14]  6
00:14:44: RADIUS:   00 00 00 32                                      [???2]
00:14:44: RAD
switch1#IUS:  Vendor, Microsoft   [26]  12
00:14:44: RADIUS:   MS-Link-Drop-Time-L[15]  6
00:14:44: RADIUS:   00 00 00 78                                      [???x]
00:14:44: RADIUS: saved authorization data for user 2533720 at 2FAFA38
00:14:44: AAA/AUTHEN (1898373443): status = PASS
switch1#
00:14:54: tty2 AAA/DISC: 1/"User Request"
00:14:54: tty2 AAA/DISC/EXT: 1020/"User Request"
00:14:54: tty2 AAA/DISC: 9/"NAS Error"
00:14:54: tty2 AAA/DISC/EXT: 1002/"Unknown"
00:14:54: AAA/MEMORY: free_user (0x2533720) user='vlan10' ruser='NULL' port='tty
2' rem_addr='192.168.22.150' authen_type=ASCII service=LOGIN priv=1

[ Voor 0% gewijzigd door Koffie op 30-03-2011 09:10 . Reden: Code tags toegevoegd ]

woensdag 30 maart 2011 09:12

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 09:33

Koffie

Koffiebierbrouwer

Braaimeneer

Ik heb je topic even bewerkt, leest wat makkelijker.
Eerlijk gezegd vind ik je topic wel een hoog 'het werkt niet, hier is mijn config, help!' gehalte hebben.
Wat heb je nu exact allemaal geprobeerd, wat lukt er niet, tegen welke limieten loop je aan, wat kreeg je bij de support afdeling van het apparaat te horen, etc.

Tijd voor een nieuwe sig..

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq