Guest

Implementación UCS con la autenticación MAB/802.1x en el Switch

Opciones de descarga

  • PDF     (5.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (74.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (68.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:6 de octubre de 2016
ID del documento:200709
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe el escenario específico de implementar la serie C UCS con la autenticación MAB/802.1x en los switches Cisco.

Antecedente

Uno de la técnica del control de acceso que Cisco proporciona se llama puente de la autenticación de MAC (MAB). El MAB utiliza el MAC address de un dispositivo para determinar qué clase de acceso a la red a proporcionar.

En una red que incluya ambos dispositivos que soporte y los dispositivos que no soportan el IEEE 802.1X, el MAB se puede desplegar como retraso, o complementario, mecanismo al IEEE 802.1X. Si la red no tiene ninguna dispositivos de IEEE 802.1X-capable, el MAB se puede desplegar como mecanismo de autenticación independiente.

Para aprender más sobre los casos de las aplicaciones del solución-nivel, el diseño, y una metodología organizada del despliegue, consideran el Guía de despliegue de puente de la autenticación de MAC.

Problema

Topología:

UCS (C220)mgnt interface ?? gig 1/0/1[3750-X]  ??? ISE (configured for MAB)

Esto sucede con diverso UCS y en diverso Switches. Lo mismo se observa en el 4500 Switch.

Dispositivos UCS (UCS-C210-M2: el problema observado) no trabaja cuando el MAB con la acceso-sesión se cerró o ningún comando authentication open.

Escenario de trabajo:

La interfaz de administración UCS está conectada en el switchport y ésta es la configuración (trabajo):

interface GigabitEthernet1/0/1
description DVR-UCS-dot1x-issue
switchport access vlan 300
switchport mode access
switchport voice vlan 400
ip arp inspection trust
ipv6 nd raguard
dot1x timeout quiet-period 300
dot1x timeout tx-period 5
dot1x timeout supp-timeout 5
dot1x timeout ratelimit-period 300
no mdix auto
source template ENT-TEMPLATE
spanning-tree portfast
spanning-tree guard root
end
3750# show access-sess int g1/0/1 details
Interface: GigabitEthernet1/0/1
IIF-ID: 0x102AEC0000003D7
MAC Address: 30f7.0d08.7ace
IPv6 Address: Unknown
IPv4 Address: 10.141.49.205
User-Name: 30-F7-0D-08-7A-CE
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: 65535s (local), Remaining: 11282s
Timeout action: Reauthenticate
Common Session ID: 0A8D31C7000017BD723AF6C2
Acct Session ID: 0x0000287D
Handle: 0x980002D5
Current Policy: ENT-IDENTITY-POLServer Policies:
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
SGT Value: 12Method status list:
Method State
dot1x Stopped
mab Authc Success

Escenario festivo:

Sin embargo, con la acceso-sesión cerrada, usted no puede hacerla ping y no puede ver la información de la acceso-sesión.

3750(config)#int g1/0/1
3750(config-if)#access-session closed
3750(config-if)#shutdown
3750(config-if)#no shutdown


11 de mayo 16:33:14.311 JST: %LINK-3-UPDOWN: Interfaz GigabitEthernet1/0/1, estado cambiado a abajo
11 de mayo 16:33:15.312 JST: %LINEPROTO-5-UPDOWN: Line Protocol en la interfaz GigabitEthernet1/0/1, estado cambiado a abajo
11 de mayo 16:33:17.891 JST: %LINK-3-UPDOWN: Interfaz GigabitEthernet1/0/1, estado cambiado a para arriba
11 de mayo 16:33:18.891 JST: %LINEPROTO-5-UPDOWN: Line Protocol en la interfaz GigabitEthernet1/0/1, estado cambiado a para arriba


Enviando 5, el echos del 100-byte ICMP a 10.141.49.205, descanso es 2 segundos:
.....
El índice de éxito es el 0 por ciento (0/5)
3750#do detalles sh del acceso-sess internacional g1/0/1
Ningunos criterios suministrados coincidencia de las sesiones.

Solución

Haga el debug de (debug MAB todo) la demostración la entrada MAC del UCS no aprendida en el Switch que se requiere autenticar con la parte.

3750  (config)#  interface GigabitEthernet1/0/37
3750(config-if)#access-session control-direction in

Habilite la control-dirección de la acceso-sesión adentro (previamente control-dirección de la autenticación adentro), nosotros permiten al Switch para enviar el tráfico en la salida al host pero no a la otra manera alrededor. El comando se utiliza generalmente en los clientes tales como impresoras/dispositivos que no envíen continuamente el tráfico como manera de iniciar la comunicación (también usada para la estela en el Lan). Esencialmente un paquete se envía del Switch y el cliente responde. La respuesta contendrá la dirección MAC que entonces se utiliza para el MAB. En la configuración ya establecida, el MAC address del cliente no era recibido.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Sivakumar Sukumar
    Cisco TAC Engineer

¿Resultó útil este documento?

FeedbackComentarios

Déjenos ayudarlo

Debates relacionados con la comunidad de soporte

Este documento se aplica a estos productos