controller与思科交换机使用MAC旁路认证失败问题处理

发布时间:  2016-03-04 浏览次数:  175 下载次数:  0
问题描述

版本:Agile_Controller-Campus_V100R002C00SPC100

组网:controller服务器---核心交换机(C4500)---接入交换机(C2960)---AVAYA IP电话---PC

问题描述:controllerC2960MAC旁路认证,avaya ip电话及PC同时接入进行MAC旁路认证时,测试失败

配置脚本:

interface FastEthernet0/45

 switchport mode access

 switchport access vlan 221

 authentication host-mode multi-auth

 authentication open

 authentication order mab dot1x

 authentication priority mab dot1x

 authentication port-control auto

 authentication periodic

 authentication violation restrict

 mab

 dot1x pae authenticator

 spanning-tree portfast

测试过程:

1、  controller--- C2960---测试PC组网,测试802.1x正常

2、  controller--- C2960--- avaya ipphone组网,测试MAC旁路认证正常

3、  controller---- C2960---avaya ipphone---测试PC组网,authentication host-mode multi-hostipphone正常获取IP,但下接的PC不进行认证而直接可以访问网络。

4、  结合测试组网,将端口更改为“authentication host-mode multi-domain/multi-auth”时,交换机上提示认证成功,contoller上面正常显示在线用户,但ip电话DHCP获取不到IP地址。

告警信息

controller上提示认证失败

处理过程

在controller上配置针对ip电话的授权规则,配置自定义授权规则,配置修改如下:

修改自定义授权参数

厂商类型/标准属性:思科

属性号/名称:cisco-AVPair(1)

属性类型:字符串

属性值:device-traffice-class=voice

根因

针对思科交换机下同时接入IP电话和PC场景,需要单独添加自定义授权参数配置(cisco-AVPair),让数据VLAN与语音VLAN分开授权,从而解决数据VLAN正常时语音VLAN异常,或者语音VLAN正常时而数据VLAN异常的问题产生。

解决方案

在controller上配置针对ip电话的授权规则,配置自定义授权参数,配置如下:

修改自定义授权参数

厂商类型/标准属性:思科

属性号/名称:cisco-AVPair(1)

属性类型:字符串

属性值:device-traffice-class=voice

END