<![CDATA[IBNS 2.0 с ISE для dot1x]]>Всем привет Надеюсь, кто-нибудь сможет ответить на мой вопрос. Обязательно ли наличие карты политик для работы dot1x при использовании IBNS 2.0 с ISE? У меня есть два порта на коммутаторе, настроенные для dot1x. Один из них настроен без карты политик, а другой имеет прикрепленную базовую карту политик. Порт с прикрепленной политикой работает как ожидается, но порт, который не использует шаблон или политику, не проходит аутентификацию. show access-session Интерфейс MAC-адрес Метод Домен Статус Fg ID сеанса -------------------------------------------------------------------------------------------- Gi1/0/2 MAC-адрес dot1x VOICE Auth 040DA8C00000004D804E276C Gi1/0/1 MAC-адрес N/A UNKNOWN Unauth 040DA8C000000053806D94FC Gi1/0/1 MAC-адрес N/A UNKNOWN Unauth 040DA8C000000052806D8DC4 Я тестирую со следующей конфигурацией: ISE версии 3.3.0.430 Коммутатор — Cat9200-24P на IOS-XE 17.15.03 Порт 1 на коммутаторе настроен, как показано ниже, без привязки шаблона или карты политик: интерфейс GigabitEthernet1/0/1 описание Корпоративные данные [VLAN xxxx] / Голос [VLAN yyyy] switchport access vlan xxxx switchport mode access switchport voice vlan yyyy отслеживание устройств присоединительная политика MERAKI_ACCESS_TRACK ip flow monitor MERAKI_TA1_V4_IN input ip flow monitor MERAKI_TA2_IPV4 input ip flow monitor MERAKI_TA1_V4_OUT output ip flow monitor MERAKI_TA2_IPV4 output периодическая аутентификация таймер аутентификации повторная аутентификация сервера доступ-сессия хост-режим мультидомен access-session control-direction in access-session port-control auto mab dot1x pae аутентификатор dot1x timeout tx-period 7 dot1x timeout supp-timeout 7 dot1x max-req 3 dot1x max-reauth-req 3 уровень контроля шторма широковещания 10.00 уровень контроля шторма многоадресной рассылки 10.00 storm-control action shutdown storm-control action trap spanning-tree portfast охрана корня связующего дерева конец порт 2 на коммутаторе настраивается с помощью шаблона с прикрепленным набором правил: интерфейс GigabitEthernet1/0/2 отслеживание устройств присоединить политику MERAKI_ACCESS_TRACK монитор потока ip MERAKI_TA1_V4_IN вход ip flow monitor MERAKI_TA2_IPV4 input ip flow monitor MERAKI_TA1_V4_OUT output монитор потока IP MERAKI_TA2_IPV4 выход шаблон источника
wired-dot1x-closed spanning-tree portfast конец ! шаблон
wired-dot1x-closed dot1x pae аутентификатор dot1x timeout supp-timeout 7 dot1x max-req 3 уровень контроля шторма широковещания 10.00 уровень контроля шторма многоадресной рассылки 10.00 storm-control action shutdown storm-control action trap spanning-tree portfast spanning-tree guard root switchport access vlan xxxx режим доступа switchport switchport voice vlan yyyy mab доступ-сессия хост-режим мульти-домен access-session control-direction in доступ-сессия закрыта access-session port-control auto аутентификация периодическая таймер аутентификации повторная аутентификация сервер тип политики обслуживания control абонент
test_Wired_dot1x_MAB описание Корпоративные данные [VLAN xxxx] / Голос [VLAN yyyy] ! тип карты политики control абонент
test_Wired_dot1x_MAB событие сеанс-запущен соответствие-все 10 класс всегда до сбоя 10 аутентификация с помощью dot1x попыток 2 время повторной попытки 0 приоритет 10 ! Похоже, что с картой политик порт коммутатора не пытается пройти аутентификацию, так как я не вижу никаких журналов в ISE для него. Это сделано специально или я что-то упустил?

]]>https://sla247.ru/forum/topic/2307/ibns-20-с-ise-для-dot1xRSS for NodeFri, 15 May 2026 08:36:29 GMTMon, 02 Mar 2026 12:22:38 GMT60<![CDATA[Reply to IBNS 2.0 с ISE для dot1x on Mon, 02 Mar 2026 12:22:44 GMT]]>Спасибо, Роб. Я использовал это руководство по развертыванию для своего развертывания, и оно действительно очень хорошее. А следующая сессия Cisco Live также дает хорошее представление об IBNS 2.0. https://www.ciscolive.com/c/dam/r/ciscolive/global-event/docs/2025/pdf/BRKCRT-3002.pdf
. Я понимаю, что мы не можем запускать IBNS 1.0 и 2.0 на одном и том же коммутаторе, но в моей конфигурации оба порта используют команды IBNS 2.0. Таким образом, производная конфигурация gi1/0/2 и рабочая конфигурация gi1/0/1 идентичны, за исключением политики обслуживания, привязанной к gi1/0/2. Меня смущает то, что следующие команды в gi1/0/1 включают dot1x, так зачем же нужна политика обслуживания (предполагая, что я не ищу резервное решение для недоступных серверов ISE)? interface GigabitEthernet1/0/1 ...
device-tracking attach-policy MERAKI_ACCESS_TRACK
authentication periodic
таймер аутентификации повторная аутентификация сервера
access-session host-mode multi-domain
доступ-сессия control-direction in
доступ-сессия контроль порта авто
mab
dot1x pae аутентификатор
dot1x timeout tx-period 7
dot1x timeout supp-timeout 7
dot1x max-req 3
dot1x max-reauth-req 3
...

]]>https://sla247.ru/forum/post/16238https://sla247.ru/forum/post/16238Mon, 02 Mar 2026 12:22:44 GMT<![CDATA[Reply to IBNS 2.0 с ISE для dot1x on Mon, 02 Mar 2026 12:22:43 GMT]]>Спасибо
[, @Karsten Iwen]
. Пожалуйста, посмотрите мой ответ Робу.

]]>https://sla247.ru/forum/post/16237https://sla247.ru/forum/post/16237Mon, 02 Mar 2026 12:22:43 GMT<![CDATA[Reply to IBNS 2.0 с ISE для dot1x on Mon, 02 Mar 2026 12:22:42 GMT]]>@Rob Ingram
уже сказал вам, что это необходимо. Для лучшего понимания: на вашем интерфейсе Gig1/0/1 есть несколько команд, которые указывают интерфейсу, что нужно делать, если используется 802.1X. Но вы упустили часть, где 802.1X наконец-то включается, так как это контролируется в policy-map.

]]>https://sla247.ru/forum/post/16236https://sla247.ru/forum/post/16236Mon, 02 Mar 2026 12:22:42 GMT<![CDATA[Reply to IBNS 2.0 с ISE для dot1x on Mon, 02 Mar 2026 12:22:41 GMT]]>Извините, в конце была опечатка... Должно было быть... «
Похоже, что
без
карты политик порт коммутатора не пытается провести аутентификацию, так как я не вижу никаких журналов в ISE для него. Это сделано специально или я что-то упустил?
»

]]>https://sla247.ru/forum/post/16235https://sla247.ru/forum/post/16235Mon, 02 Mar 2026 12:22:41 GMT<![CDATA[Reply to IBNS 2.0 с ISE для dot1x on Mon, 02 Mar 2026 12:22:40 GMT]]>@harryraju
написал:
Меня смущает то, что следующие команды в gi1/0/1 включают dot1x нет, не включают!

]]>https://sla247.ru/forum/post/16234https://sla247.ru/forum/post/16234Mon, 02 Mar 2026 12:22:40 GMT<![CDATA[Reply to IBNS 2.0 с ISE для dot1x on Mon, 02 Mar 2026 12:22:39 GMT]]>@harryraju
Да, при использовании IBNS 2.0 вам понадобятся карта политик и соответствующие карты классов. Вы должны преобразовать конфигурацию IBNS 1.0 в синтаксис IBNS 2.0 с помощью команды -
authentication display new-style.
Я не думаю, что вы можете запускать IBNS 1.0 и 2.0 одновременно. Обратитесь к руководству по внедрению проводных сетей -
[)
и
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2025/pdf/BRKOPS-2584.pdf

]]>https://sla247.ru/forum/post/16233https://sla247.ru/forum/post/16233Mon, 02 Mar 2026 12:22:39 GMT