ISE — IP не отображается — Конечная точка не получает IP
-
Всем привет, У меня огромные проблемы с ISE (я думаю, что проблема в ISE). Каждый раз, когда конечная точка подключается через WIRED MAB, она переходит к соответствующей политике, а затем к авторизации. Это происходит следующим образом ПК ---> КОММУТАТОР ----> ISE (Политика MAB ->
Аутентификация
по умолчанию внутренних конечных точек ->
Авторизация
коммутатора X, местоположение Z ->
Профиль
Vlan 244) У меня нет проблем с этим, так как после подключения ПК он сразу переходит к этой политике и переходит к VLAN 244 Моя проблема заключается в том, что я не получаю IP-адрес, присвоенный конечной точке, и в LIVE LOGS я не получаю IP в TAB IP Address SWITCH#sh authentication sessions int gi0/16
Интерфейс: GigabitEthernet0/16
MAC-адрес: 18a9.0598.f631
IP-адрес: Неизвестный
Имя пользователя: 18-A9-05-98-F6-31
Статус: Authz Success
Домен: DATA
Политика безопасности: Should Secure
Статус безопасности: Unsecure Режим
оператора: single-host Директория
управления оператором: both
Авторизован: Сервер аутентификации
Политика Vlan: 244
ACS ACL: xACSACLx-IP-PERMIT_ANY-5fad6532
Таймаут сеанса: N/A
Таймаут бездействия: N/A
Общий ID сеанса: 0AC31DFC0000002743AE10BE ID сеанса
учетной записи: 0x00000034
Дескриптор: 0xAC000027 Список выполнимых методов:
Метод Состояние
mab Authc Success
dot1x Не выполняется КОНФИГУРАЦИЯ КОММУТАТОРА aaa group server radius ISE
server 10.194.224.21 auth-port 1812 acct-port 1813
!
aaa authentication dot1x default group ISE
aaa authorization network default group ISE
aaa accounting dot1x default start-stop group ISE
!
ip radius source-interface
!
radius-server host 10.194.224.21 auth-port 1812 acct-port 1813
!
radius-server key XXXXXXX ! dot1x system-auth-control
dot1x critical eapol ! ip device tracking probe delay 10 ! radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf upper-case
radius-server attribute 31 send nas-port-detail
radius-server dead-criteria tries 2
radius-server key XXXXXXX
radius-server vsa send authentication
radius-server vsa send accounting ! Интерфейс GI0/16 switchport mode access сбой события аутентификации действие следующий
метод событие аутентификации сервер активен действие переинициализация
аутентификация режим хоста мультидоменная
аутентификация порядок dot1x mab
приоритет аутентификации dot1x mab
аутентификация контроль порта авто
аутентификация периодический таймер
аутентификации повторная аутентификация нарушение аутентификации
сервера ограничение
mab
dot1x pae аутентификатор
dot1x таймаут tx-период 3 ! Что я упустил? -
Отслеживание устройств позволит коммутатору заменить любое ключевое слово, определённое в dACL, на IP-адрес подключенного устройства. Если вы не включите эту функцию на интересующем вас интерфейсе, коммутатор не сможет выполнить эту операцию. Вот как вы можете включить отслеживание устройств глобально и применить его к интерфейсам: ip device tracking interface Gi0/x ip device tracking maximum <максимальное количество устройств на порту> В зависимости от используемого коммутатора вам может понадобиться использовать другой набор синтаксисов, например: device-tracking tracking
device-tracking policy MY-TRACKING-POLICY
limit address-count 10
no protocol udp
tracking enable
interface GigabitEthernet1/0/x
device-tracking attach-policy MY-TRACKING-POLICY Или, если вы хотите включить его для каждой VLAN: vlan configuration 10 device-tracking attach-policy MY-TRACKING-POLICY Чтобы проверить базу данных отслеживания устройств, используйте команду
show ip device tracking all
или, в зависимости от платформы коммутатора,
show device-tracking database
. Вы также можете указать интересующий вас интерфейс, который хотите проверить. -
Кто-нибудь может дать подсказку? Я застрял, я уже многое перепробовал, но все безрезультатно =/ Что я упускаю?
-
Я бы начал с базовой диагностики подключения. Если отключить аутентификацию на порту коммутатора (authentication port-control force-authorized) и вручную настроить порт коммутатора для vlan 244 (switchport access vlan 244), получит ли ваш конечный узел IP-адрес?
-
Только с
switchport access vlan 244
— это будет работать нормально С ISE посередине (вся аутентификация и авторизация проходит) и с настройкой на коммутаторе для dot1x я не могу получить IP ![2.jpg]
-
ACS ACL: xACSACLx-IP-PERMIT_ANY-5fad6532 Это означает, что вы отправляете DACL из ISE. С DACL необходимо, чтобы отслеживание IP-устройств работало. Ознакомьтесь с
[руководством по внедрению ISE Secure Wired Access Prescriptive Deployment Guide] Кроме того, вам следует проверить и сравнить, как DHCP-запросы отправляются на DHCP-сервер с включенной и выключенной аутентификацией 802.1X/MAB. -
Здравствуйте, Мне нужна помощь, у меня возникла проблема. Устройство подключилось успешно, но не получает IP-адрес. Поможет ли этот метод решить мою проблему? Надеюсь, вы сможете мне помочь. Спасибо. ![success no ip.jpg]
-
Невозможность получения IP-адреса может быть связана с неправильной VLAN на порту коммутатора или, возможно, с правилом брандмауэра, которое блокирует трафик DHCP в направлении сервера DHCP. Вы проверили аренду DHCP на сервере, чтобы увидеть, была ли создана аренда IP-адреса для этого конечного устройства?
-
Просто не отображается IP-адрес, когда вы выполняете команду show auth sessions int FiX/0/XX, show auth sessions method mab details или show auth sessions dot1x details. Возможно, в некоторых версиях Cisco IOS есть ошибка, из-за которой устройство фактически получает IP-адрес. Однако он может не отображаться. Вы выполнили команду show arp vlan ###, где ### — это VLAN, в которую устройство прошло аутентификацию. Пример: show arp vlan 101. Если устройство успешно прошло аутентификацию, оно может иметь IP-адрес, но он не отображается при использовании команды show auth sessions method (mab или dot1x) details. В ISE IP-адрес также не обновляется, если коммутатор не отображает IP-адрес. Когда вы выполняете команду show arp VLAN ### сравните MAC-адрес устройства со списком из вывода, чтобы определить, действительно ли устройство получает IP-адрес.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти