通过IP电话连接的计算机的Dot1x重新认证

网络工程 转变 ip IEEE-802.1x
2021-07-21 14:55:29

我目前正在为有线用户开发 dot1x 解决方案。我们拥有的配置对于我们的大多数用例都可以正常工作,除了一个。我们为通过 IP 电话连接到网络的用户提供了有效的解决方案。但是,其中一组用户在白天经常更换工作地点(他们轮班工作)。这是一个很大的问题,因为每次当一个用户断开笔记本电脑 A 并且新用户将笔记本电脑 B 连接到电话时,IP 电话都会重新启动。我不知道为什么改变连接到 IP 电话的设备,提示电话重新启动。

我使用 MAB 作为 IP 电话的身份验证和终端站的 dot1x。

请参阅下面的交换机端口配置。

Interface XXX
 switchport mode access
 switchport voice vlan xxx
 authentication event fail action authorize vlan xxx
 authentication event server dead action authorize vlan xxx
 authentication event server dead action authorize voice
 authentication event no-response action authorize vlan xxx
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority dot1x mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate server
 authentication timer restart 10
 authentication timer inactivity server dynamic
 mab
 dot1x pae authenticator
 dot1x timeout server-timeout 30
 dot1x timeout tx-period 3
 dot1x max-req 3
 dot1x max-reauth-req 5
 spanning-tree portfast

如您所见,主机模式是多域的。因此,我认为已经成功认证的IP电话做VOICE域,不必每次改变电话后面的DATA设备时都重新认证。

认证成功示例:

switchxxx#show authentication sessions | inc Gi1/0/37
Gi1/0/37   28d2.xxxx.xxx  dot1x    DATA     Authz Success  0AF07F0F000004F5F45C4567
Gi1/0/37   0080.xxxx.xxxx  mab      VOICE    Authz Success  0AF07F0F000004F7F45C6E86

在我看来,当计算机发生变化时,交换机会从特定接口的 CAM 中删除所有 MAC 地址。但是当端口上没有配置 dot1x 时,这不会发生。在这种情况下,IP 电话不会重新启动。它必须有一些与 dot1x 相关的东西。

你知道如何解决它吗?

非常感谢。

1个回答

我发现我们的阿尔卡特 IP 电话无法代表数据设备发送 EAPoL-Logoff 消息,当电话检测到该设备已从电话后面拔出时。因此,当用户更换设备时,交换机将其视为安全意愿,并将端口置于错误禁用状态。

我已经向我们的 Radius 服务器添加了附加属性(RADIUS 属性 28),以便在不活动的情况下删除经过身份验证的(数据)会话。

到目前为止,它按预期工作。

我在这里找到了所有信息:https : //www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/TrustSec_1-99/IP_Tele/IP_Telephony_DIG.html#pgfId-389486

其它你可能感兴趣的问题
上一篇跨 ipsec vpn 隧道的公共 ip 下一篇VXLAN 入口复制限制?