如果通过 Cisco IP 电话连接,802.1X 身份验证在客户端计算机上不起作用

网络工程 IEEE-802.11 验证
2022-02-23 12:53:37

我尝试使用证书进行 802.1x 身份验证。当我通过 Cisco IP 电话连接时,我遇到了无法与 RADIUS 服务器 (NPS) 通信的问题客户端计算机。

如果我直接将客户端连接到交换机端口,问题就会消失。如果 NPS 服务器具有所需的证书,则允许建立连接。

  1. 启用 NAP 的交换机端口连接到 Cisco IP 电话,然后从那里连接到客户端计算机(这不起作用)。IP 电话可以工作,但客户端计算机上的 LAN 不能工作
  2. 交换机端口直接连接到客户端计算机(按预期工作)。客户端计算机与 NPS 服务器对话。

这里有趣的是,在建立一次连接后,第一个不起作用的设置直到计算机重新启动才起作用。

开关配置

aaa group server radius radius-dot1x-group
server-private 192.168.22.122 auth-port 1812 acct-port 1813 key 7 02090A5904071!
aaa authentication dot1x default group radius-dot1x-group
aaa authorization console
aaa authorization network default group radius-dot1x-group

端口配置 

interface FastEthernet0/21
switchport access vlan 20
switchport mode access
switchport voice vlan 40
speed 100
duplex full
authentication port-control auto
authentication periodic
authentication timer reauthenticate server
dot1x pae authenticator
spanning-tree portfast
3个回答

通过电话设置 802.1x是一件复杂的事情。

请参阅 Cisco 指南的“电话身份验证背后的设备”部分:

如果数据设备未准备好或无法执行 IEEE 802.lX,则交换机超时并继续下一个身份验证方法,例如 MAB,和/或授权类型,例如访客 VLAN。如果设备稍后变得能够执行 802.1X,可能是因为操作系统完成启动或手动启用了请求者,数据设备应发送 EAPoL-Start 消息以明确告知交换机开始身份验证。

也许您的 PC 系统需要配置为显式发送 EAPOL-Start 消息。(大多数系统默认情况下不这样做。)

(注意:该文档当然是 Cisco 的交换机。)

你没有说思科电话是否也有证书。如果没有,您可能必须尝试启用 IEEE 802.1X 多重身份验证 - 这可以让您指定一个 VoIP LAN 并让其上的主机通过 MAC 地址进行身份验证,而 PC 仍然通过证书进行身份验证。对于插入 802.1x 端口的微型交换机,我们也遇到了类似的问题——如果微型交换机上的任何设备无法进行身份验证(例如,您知道的打印机),整个端口就会关闭。如果手机确实有证书,您仍然需要打开多重身份验证,它只是更容易配置。

思科关于多重身份验证的文档始于http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration/15-2mt/sec-ieee-802x-multi-auth.html#GUID -ECD4BDFA-0AA3-4474-BA56-35342811E9E6

这个过程是这样工作的

当我启动 PC 并登录时。

在此处输入图像描述

无法验证,从他们我禁用了网卡。

现在我启用网卡

这次他们将在 NAP 身份验证中没有问题,它工作正常 在此处输入图像描述

其它你可能感兴趣的问题
上一篇选择从中分配 IP 地址的 DHCP 池 下一篇从 ASA 中删除 ASDM