thepinky777
Goto Top

802.1x Cisco Port config für Voip Telefone

Hallo,

vielleicht hat ja jemand die Config...
Und zwar setzen wir Cisco Switche ein.

Wir haben Mitel Voip Telefone welche per LAN Kabel am Switch angeklemmt sind, aber am Telefon gibts noch nen PC Port wo dann auch teilweise eine PC dran hängt.

Telefone sind Tagged VLAN 10
PCs sind untagged VLAN 20

Am CISCO aktuelle Port Konfig als Beispiel, ohne 802.1x:

interface GigabitEthernet1/0/1
 switchport access vlan 20
 switchport mode access
 switchport voice vlan 10
 spanning-tree portfast edge
!

So haben wir es ohne 802.1x aktuell am laufen.

Hab verschiedene neue settings probiert, aber das klappt nicht, vor allem weil die telefone tagged sind scheint der switch die auth anforderung nicht an den radius server weiter zu leiten, da kommt nix an.
Bedeutet am Radius Server versucht sich das Telefon nicht zu authentifizieren, Telefon hat Login + Passwort konfiguriert welches mit ner Regel am Radius es ins VLAN 10 setzen soll.

Die Telefone sind wohl so konfiguriert das wenn man das tagged wegmacht, das telefon beim boot bemerkt das die lokale konfig nicht mit der zentralen telefon konfig zusammen passen, daher lädt es die wieder runter welches wieder VLAN 10 tagged am telefon setzt und volla nix geht mehr face-smile

Da ich die telefone nicht verbiegen will, die zentrale config, hat jemand vielleicht eine Portconfig als Beispiel an der ich mich orientieren könnte, danke.

Content-Key: 2760714353

Url: https://administrator.de/contentid/2760714353

Printed on: July 21, 2024 at 22:07 o'clock

Member: ThePinky777
ThePinky777 Mar 11, 2024 updated at 14:28:58 (UTC)
Goto Top
Folgende Configs hab ich probiert:

interface GigabitEthernet1/0/1
 switchport access vlan 14
 switchport mode access
 switchport voice vlan 10
 authentication event fail action authorize vlan 14
 authentication port-control auto
 dot1x pae authenticator
 spanning-tree portfast edge
!


interface GigabitEthernet1/0/2
 switchport trunk allowed vlan 10,12,17,20
 switchport trunk native vlan 10
 switchport mode trunk
 switchport voice vlan 10
 authentication event fail action authorize vlan 14
 authentication port-control auto
 dot1x pae authenticator
 spanning-tree portfast edge
!

Port 1/0/1

Funktioniert mit PCs die Authentication, klemmt man das Tel an kommt aber nix beim Radius Server an....

VLAN 14 ist Gäste VLAN nur zur Info

Dann Port 1/0/2

Hab ich mit Trunk versucht das irgendwie hin zu bekommen, aber hat auch nicht geklappt, kommt auch nix beim Radius Server an... Hier hab ich nur mit dem Tel getestet, weil PC war mir erstmal egal >> sekundäres Problem dann.
Member: aqui
aqui Mar 11, 2024 updated at 15:44:39 (UTC)
Goto Top
Letzteres kann nicht funktionieren, denn die Voice VLAN Funktion ist auf Trunk Port nicht supportet.
https://www.cisco.com/en/US/docs/switches/lan/catalyst3850/software/rele ... (Seite 1)
Du hättest in dem Falle mit einer Trunk Konfig ohne Voice VLAN arbeiten müssen und da das Telefon ja den Voice Traffic (10) tagged sendet und PC Traffic untagged ist (29) müsste der Port im Trunk Mode dann so aussehen:
switchport mode trunk
switchport trunk allowed vlan 10,20
switchport trunk native vlan 20
portfast

Damit sollte sich dann das Telefon zumindestens genau so verhalten wie an einem Access Port mit Voice VLAN Konfig. Es sendet den Voice Traffic tagged mit VLAN 10 ID und PC Traffic wird untagged ins VLAN 20 geforwardet (PVID VLAN).
Die Telefone sind wohl so konfiguriert
Nein, das voice vlan Kommando bestimmt dies über das CDP Protokoll. Deine Telefone müssen dafür CDP sprechen oder verstehen. Siehe Cisco Voice VLAN Doku oben!
Bei Cisco gibt es einen entsprechenden .1x Guide für Telefonie:
https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/Trus ...
Weitere Infos zur Port Authentisierung am Switch findest du u.a. hier.
Member: ThePinky777
ThePinky777 Mar 11, 2024 at 15:44:33 (UTC)
Goto Top
ok danke
werde es mal testen, gebe Morgen bescheid ob es geklappt hat.

Aber Telefone sind bei uns Tagged eingestellt am Telefon siehe screenshot.

Egal wird wohl daran liegen was du erwähnt hast, ich melde mich.
2024-03-11 16_43_26-mitel ip phone configuration
Member: aqui
aqui Mar 11, 2024 updated at 15:53:15 (UTC)
Goto Top
Aber Telefone sind bei uns Tagged eingestellt am Telefon siehe screenshot.
Gut, ihr erzwingt das dann statisch am Telefon weil die Mitel Telefone vermutlich kein CDP sprechen.
Sinnvollerweise würde man das bei nicht-CDP Endgeräten dann mit dem Standard LLDP an den Switchports machen wenn man das dynamisiert machen möchte.
Da ihr es aber eh statisch fest vorgebt, weil ihr sehr wahrscheinlich Voice im Layer 2 mit 802.1p priorisiert, ist das voice vlan Kommando dann natürlich eh obsolet und funktionslos. face-wink
.1p ist immer ein Teilderivat von .1q deshalb erzwingt die L2 QoS Priorisierung den .1q VLAN Tag.
PCP Feld: https://de.wikipedia.org/wiki/IEEE_802.1Q#Funktionsweise_nach_IEEE_802.1 ...
Member: ThePinky777
ThePinky777 Mar 11, 2024 at 16:18:10 (UTC)
Goto Top
hab es nun so probiert:

interface GigabitEthernet1/0/2
 switchport trunk allowed vlan 10,12,17,20
 switchport trunk native vlan 20
 switchport mode trunk
 authentication event fail action authorize vlan 14
 authentication port-control auto
 dot1x pae authenticator
 spanning-tree portfast edge
!

hat das Telefon aber auch nicht geschluckt...
kommt nix beim Radius an... Ergo gehts nicht weiter als bis zum Port und dort hängts, weil anderer Port mit PC dran kommt durch bis zum Radius (denke dann sollte es ja diesbezüglich passen)
Telefon ist VLAN 10 Tagged.

hmhmhm... bin halt nicht der ober ober Switch config fachmann face-smile

hmpf...
Member: aqui
aqui Mar 11, 2024 updated at 16:32:55 (UTC)
Goto Top
Ergo gehts nicht weiter als bis zum Port und dort hängts
Oder dein Telefon hat gar keinen .1x Client an Bord und kann deshalb gar kein 802.1x sondern nur MAB?! Im Screenshot oben ist ja nix zu sehen von .1x. Kann ja viele Ursachen haben....
Den Switch kannst du zu 99,9% ausschliessen, denn das ist eine simple Standard Funktion die die Catalysten mit Links beherrschen in allen Formen und Farben. Thema FlexAuth.

Wie sieht denn deine Radius Konfig auf dem Switch aus?? Ggf. ist auch da der Fehler so das der Switch gar nicht erst Radius Requests senden kann obwohl er EAPoL Pakete vom Telefon bekommt?! 🤔
Eine funktionierende Catalyst Konfig kannst du dir HIER ansehen.
Hast du hier auch mal den Debugger laufen lassen um das zu verifizieren? (debug dot1x) Der Cisco bietet dir doch alle Optionen dazu und sagt dir imemr genau was schief läuft und warum. Die debug Funktion ist ein bester Freund! 😉
Member: ThePinky777
ThePinky777 Mar 11, 2024 at 17:07:29 (UTC)
Goto Top
danke schau ich mir morgen mal an
Member: ThePinky777
ThePinky777 Mar 12, 2024 updated at 16:54:07 (UTC)
Goto Top
Hallo, Heute nach ewigem testen funktioniert es nur so halb

Bedeutet:

interface GigabitEthernet1/0/6
 switchport trunk allowed vlan 10,12,17,20
 switchport trunk native vlan 20
 switchport voice vlan 20
 switchport mode trunk
 authentication event fail action authorize vlan 14
 authentication order mab dot1x
 authentication port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast edge
!

Nur so kommt auch beim Radius auch an....
Er vergibt das korrekte VLAN wie gedacht per MAC Auth
AD User wo heisst wie MAC + PW was am Swith gesetzt wurde...

Und dann findet der switch es blöd das
switchport trunk native vlan 20
switchport voice vlan 20

das das gleiche VLAN ist.
und schmeisst wieder alles über bord.

Aber wenn ich nur eine der Zeilen entferne, egal welche, kommt nix mehr zum Radius....

Achja... macht spass face-smile

Log :

Mar 12 16:36:12.486: RADIUS: Received from id 1645/48 10.200.224.126:1645, Access-Accept, len 118
Mar 12 16:36:12.486: RADIUS:  authenticator C8 75 3C 25 43 50 3D 2A - D2 02 CA 86 9B 16 86 7E
Mar 12 16:36:12.489: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Mar 12 16:36:12.489: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Mar 12 16:36:12.489: RADIUS:  Tunnel-Medium-Type  [65]  6   00:ALL_802                [6]
Mar 12 16:36:12.489: RADIUS:  Tunnel-Private-Group[81]  4   "20"  
Mar 12 16:36:12.489: RADIUS:  Tunnel-Type         [64]  6   00:VLAN                   [13]
Mar 12 16:36:12.489: RADIUS:  Class               [25]  46
Mar 12 16:36:12.489: RADIUS:   DB EF 0B 8D 00 00 01 37 00 01 02 00 0A 63 FE 92 00 00 00 00 AD F1 59 EE 3D AC A3 AF 01 DA 68 FD 0D 58 7A 8F 00 00 00 00 00 00 00 86           [ 7cY=hXz]
Mar 12 16:36:12.489: RADIUS:  Vendor, Microsoft   [26]  12
Mar 12 16:36:12.489: RADIUS:   MS-Link-Util-Thresh[14]  6
Mar 12 16:36:12.489: RADIUS:   00 00 00 32                 [ 2]
Mar 12 16:36:12.489: RADIUS:  Vendor, Microsoft   [26]  12
Mar 12 16:36:12.489: RADIUS:   MS-Link-Drop-Time-L[15]  6
Mar 12 16:36:12.489: RADIUS:   00 00 00 78                 [ x]
Mar 12 16:36:12.489: RADIUS(00000000): Received from id 1645/48
Mar 12 16:36:12.493: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Authc success from MAB (2), status OK (0) / event success (0)
Mar 12 16:36:12.493: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Highest prio method: INVALID, Authz method: INVALID, Conn hdl: mab
Mar 12 16:36:12.493: AUTH-EVENT: Raised event APPLY_USER_PROFILE (15) on handle 0xDC00001E
Mar 12 16:36:12.493: AUTH-EVENT: Raised event RX_METHOD_AUTHC_SUCCESS (3) on handle 0xDC00001E
Mar 12 16:36:12.493: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queued AUTHC SUCCESS from MAB for session 0xDC00001E (0008.5d98.c517)
Mar 12 16:36:12.493: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Received internal event APPLY_USER_PROFILE (handle 0xDC00001E)
Mar 12 16:36:12.493: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Clearing AAA data for: 0008.5d98.c517
Mar 12 16:36:12.493: AUTH-EVENT: Handling client event RX_IDENTITY_UPDATE (19) for PRE, handle 0xDC00001E
Mar 12 16:36:12.493: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Policy event will be processed synchronously for 0xDC00001E
Mar 12 16:36:12.493: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing default action(s) for event RX_IDENTITY_UPDATE for session 0xDC00001E.
Mar 12 16:36:12.493: AUTH-SYNC: [0008.5d98.c517, Gi1/0/6] Delay add/update sync of username for 0008.5d98.c517 / 0xDC00001E
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Received User-Name 00085d98c517 for client 0008.5d98.c517
Mar 12 16:36:12.496: AUTH-SYNC: [0008.5d98.c517, Gi1/0/6] Delay add/update sync of auth-domain for 0008.5d98.c517 / 0xDC00001E
Mar 12 16:36:12.496: AUTH-SYNC: [0008.5d98.c517, Gi1/0/6] Delay add/update sync of target-scope for 0008.5d98.c517 / 0xDC00001E
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Existing AAA ID: 0x000001E7
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Client 0008.5d98.c517, Method mab changing state from 'Running' to 'Authc Success'  
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Client 0008.5d98.c517, Context changing state from 'Running' to 'Authc Success'  
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] User Profile will be applied (async) for 0xDC00001E - merge
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Block events for 0008.5d98.c517 pending async User Profile Application for apply user profile (1).
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Pending SVM reponse for user profile applicationxDC00001E(0008.5d98.c517)
Mar 12 16:36:12.496: AUTH-EVENT: Handling client event RX_METHOD_AUTHC_SUCCESS (3) for PRE, handle 0xDC00001E
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queueing event RX_METHOD_AUTHC_SUCCESS(3) for 0xDC00001E -  process in turn later
Mar 12 16:36:12.496: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queued the event RX_METHOD_AUTHC_SUCCESS for 0xDC00001E & pre crit status 0
Mar 12 16:36:12.496: AUTH-EVENT: Find first by keys - retrieve index'dhdl DC00001E, 1  
Mar 12 16:36:12.496: %DOT1X_SWITCH-5-ERR_VLAN_EQ_VVLAN: Data VLAN 20 on port GigabitEthernet1/0/6 cannot be equivalent to the Voice VLAN AuditSessionID 0A631094000001E705A1D852
Mar 12 16:36:12.500: AUTH-EVENT: UP SVM CB resp 0xDC00001E Client Ctx:0xD9F76F0
Mar 12 16:36:12.500: AUTH-ERROR: [0008.5d98.c517, Gi1/0/6] User Profile application failed for 0xDC00001E - ASYNC - err 0x10
Mar 12 16:36:12.500: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queued RESUME_PROCESSING event for 0xDC00001E(0008.5d98.c517) - User Profile Application(1)
Mar 12 16:36:12.500: AUTH-EVENT: Raised event AUTHZ_FAIL (11) on handle 0xDC00001E
Mar 12 16:36:12.503: AUTH-EVENT: Handling ASYNC RESUME for handle 0xDC00001E
Mar 12 16:36:12.503: AUTH-EVENT: Event id 25 is reported but not defined in history queue for handle DC00001E
Mar 12 16:36:12.503: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Dequeueing event(s): block on User Profile Application(1) / clear on User Profile Application(1) for 0008.5d98.c517
Mar 12 16:36:12.503: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Dequeueing message RX_METHOD_AUTHC_SUCCESS
Mar 12 16:36:12.503: AUTH-EVENT: Handling client event RX_METHOD_AUTHC_SUCCESS (3) for PRE, handle 0xDC00001E
Mar 12 16:36:12.503: AUTH-EVENT: PRE will return asynchronous response for RX_METHOD_AUTHC_SUCCESS on DC00001E
Mar 12 16:36:12.503: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Policy event will be processed asynchronously for 0xDC00001E
Mar 12 16:36:12.503: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Block events for 0008.5d98.c517 pending async PRE Event Handling for AuthC Success (3).
Mar 12 16:36:12.503: AUTH-EVENT: Handling client event AUTHZ_FAIL (11) for PRE, handle 0xDC00001E
Mar 12 16:36:12.503: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queueing event AUTHZ_FAIL(11) for 0xDC00001E -  process in turn later
Mar 12 16:36:12.503: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queued the event AUTHZ_FAIL for 0xDC00001E & pre crit status 0
Mar 12 16:36:12.507: AUTH-EVENT: Rcvd IPC call for pre 0x9A000002, inst 0x18000046, hdl 0x65000047
Mar 12 16:36:12.507: AUTH-EVENT: Raising ext evt Template Activated (9) on session 0xDC00001E, client mab (18), hdl 0x00000000, attr_list 0xDF0007A3
Mar 12 16:36:12.507: AUTH-EVENT: Handling PRE async callback, pre 0x9A000002, inst 0x18000046, pre hdl 0x65000047, session handle 0x00000000
Mar 12 16:36:12.507: AUTH-EVENT: Event id 26 is reported but not defined in history queue for handle 0
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] PRE Return ASYNC SUCCESS for 0xDC00001E
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Non-client-based generic callback for 0xDC00001E
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Authorization profile successfully applied for the event AuthC Success
Mar 12 16:36:12.507: AUTH-EVENT: Raising ext evt AuthZ Success (21) on session 0xDC00001E, client (unknown) (0), hdl 0x00000000, attr_list 0x00000000
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing default action(s) for event RX_METHOD_AUTHC_SUCCESS for session 0xDC00001E.
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Executing default action handler for AUTHC SUCCESS (0xDC00001E)
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] AUTHC_SUCCESS, UP fail - raise AUTHZ FAIL to PRE
Mar 12 16:36:12.507: AUTH-EVENT: Raised event AUTHZ_FAIL (11) on handle 0xDC00001E
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queued RESUME_PROCESSING event for 0xDC00001E(0008.5d98.c517) - PRE Event Handling(3)
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] PRE proc finished, queued RESUME_PROCESSING for 0xDC00001E(0008.5d98.c517)
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queuing external PRE event Template Activated for context 0xDC00001E
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queueing event EXTERNAL_PRE_EVENT(27) for 0xDC00001E -  process in turn later
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queuing external PRE event AuthZ Success for context 0xDC00001E
Mar 12 16:36:12.507: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queueing event EXTERNAL_PRE_EVENT(27) for 0xDC00001E -  process in turn later
Mar 12 16:36:12.510: AUTH-EVENT: Handling client event AUTHZ_FAIL (11) for PRE, handle 0xDC00001E
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queueing event AUTHZ_FAIL(11) for 0xDC00001E -  process in turn later
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queued the event AUTHZ_FAIL for 0xDC00001E & pre crit status 0
Mar 12 16:36:12.510: AUTH-EVENT: Handling ASYNC RESUME for handle 0xDC00001E
Mar 12 16:36:12.510: AUTH-EVENT: Event id 25 is reported but not defined in history queue for handle DC00001E
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Dequeueing event(s): block on PRE Event Handling(3) / clear on PRE Event Handling(3) for 0008.5d98.c517
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Dequeueing message AUTHZ_FAIL
Mar 12 16:36:12.510: AUTH-EVENT: Handling client event AUTHZ_FAIL (11) for PRE, handle 0xDC00001E
Mar 12 16:36:12.510: AUTH-EVENT: SM UP Authz failed Attr list:0xAD00079C
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Policy event will be processed synchronously for 0xDC00001E
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing default action(s) for event AUTHZ_FAIL for session 0xDC00001E.
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Removing User Profile post authz fail
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] User Profile will be unapplied asynchronously for 0xDC00001E
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Block events for 0008.5d98.c517 pending async User Profile Removal for remove UP on authc fail, no retries left (4).
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Pending SVM reponse for user profile applicationxDC00001E(0008.5d98.c517)
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] AUTHZ_FAIL - unauthorize as default
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing AUTHZ_CB RESULT (failure) for 0xDC00001E
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Authz failed/unapplied for 0xDC00001E (0008.5d98.c517), method: INVALID. Signal switch PI.
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Client 0008.5d98.c517, Context changing state from 'Authc Success' to 'Authz Failed'  
Mar 12 16:36:12.510: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing SM CB request for 0xDC00001E: Event: Unauthorize request (167)
Mar 12 16:36:12.510: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] Create attr list, session 0xDC00001E:
Mar 12 16:36:12.510: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding MAC 0008.5d98.c517
Mar 12 16:36:12.510: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Swidb 0xA741BDC
Mar 12 16:36:12.510: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding AAA_ID=1E7
Mar 12 16:36:12.514: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Audit_sid=0A631094000001E705A1D852
Mar 12 16:36:12.514: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Domain=DATA (1)
Mar 12 16:36:12.514: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Username=00085d98c517
Mar 12 16:36:12.514: AUTH-SYNC: [0008.5d98.c517, Gi1/0/6] Sync_data->reauth_on_sso = 0
Mar 12 16:36:12.514: AUTH-SYNC: [0008.5d98.c517, Gi1/0/6] Syncing update for context (0008.5d98.c517) - method No method
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Dequeueing message EXTERNAL_PRE_EVENT
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Handling external PRE event Template Activated for context 0xDC00001E.
Mar 12 16:36:12.514: AUTH-EVENT: Event id 27 is reported but not defined in history queue for handle DC00001E
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Dequeueing message EXTERNAL_PRE_EVENT
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Handling external PRE event AuthZ Success for context 0xDC00001E.
Mar 12 16:36:12.514: AUTH-EVENT: Event id 27 is reported but not defined in history queue for handle DC00001E
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Dequeueing message AUTHZ_FAIL
Mar 12 16:36:12.514: AUTH-EVENT: Handling client event AUTHZ_FAIL (11) for PRE, handle 0xDC00001E
Mar 12 16:36:12.514: AUTH-EVENT: SM UP Authz failed Attr list:0x0
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Policy event will be processed synchronously for 0xDC00001E
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing default action(s) for event AUTHZ_FAIL for session 0xDC00001E.
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Removing User Profile post authz fail
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] No user profile to unapply
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] AUTHZ_FAIL - unauthorize as default
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing AUTHZ_CB RESULT (failure) for 0xDC00001E
Mar 12 16:36:12.514: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Authz failed/unapplied for 0xDC00001E (0008.5d98.c517), method: mab. Signal switch PI.
Mar 12 16:36:12.514: AUTH-SYNC: [0008.5d98.c517, Gi1/0/6] Delay add/update sync of method for 0008.5d98.c517 / 0xDC00001E
Mar 12 16:36:12.517: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing SM CB request for 0xDC00001E: Event: Unauthorize request (167)
Mar 12 16:36:12.517: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] Create attr list, session 0xDC00001E:
Mar 12 16:36:12.517: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding MAC 0008.5d98.c517
Mar 12 16:36:12.517: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Swidb 0xA741BDC
Mar 12 16:36:12.517: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding AAA_ID=1E7
Mar 12 16:36:12.517: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Audit_sid=0A631094000001E705A1D852
Mar 12 16:36:12.517: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Method type=MAB (2)
Mar 12 16:36:12.517: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Domain=DATA (1)
Mar 12 16:36:12.517: AUTH-DETAIL: [0008.5d98.c517, Gi1/0/6] - adding Username=00085d98c517
Mar 12 16:36:12.517: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Processing SM CB request for 0xDC00001E: Event: Authz result processed (165)
Mar 12 16:36:12.517: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Authz result processed, result: 3
Mar 12 16:36:12.517: AUTH-SYNC: [0008.5d98.c517, Gi1/0/6] Sync_data->reauth_on_sso = 0
Mar 12 16:36:12.517: AUTH-SYNC: [0008.5d98.c517, Gi1/0/6] Syncing update for context (0008.5d98.c517) - method MAB
Mar 12 16:36:12.517: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Unblock events for 0008.5d98.c517.
Mar 12 16:36:12.531: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] User Profile removed for 0xDC00001E - ASYNC - remove UP on authc fail, no retries left
Mar 12 16:36:12.531: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Queued RESUME_PROCESSING event for 0xDC00001E(0008.5d98.c517) - User Profile Removal(4)
Mar 12 16:36:12.531: AUTH-EVENT: Handling ASYNC RESUME for handle 0xDC00001E
Mar 12 16:36:12.531: AUTH-EVENT: Event id 25 is reported but not defined in history queue for handle DC00001E
Mar 12 16:36:12.531: AUTH-EVENT: [0008.5d98.c517, Gi1/0/6] Nothing to dequeue for 0DC00001E

eine Idee?
Member: aqui
aqui Mar 12, 2024 updated at 17:14:04 (UTC)
Goto Top
und schmeisst wieder alles über bord.
Wurde dir oben auch mehrfach schon gesagt. Ist von Cisco so nicht supportet! Aber scheinbar interessieren dich die Cisco Dokus mit diesen Hinweisen wohl nicht und dann lernt man bekanntlich nur durch Schmerzen. face-sad
Das Voice VLAN ist so oder so überflüssig und ohne Funktion bei dir wenn du das Tagging eh im Setup der Telefone erzwingst. Auch wenn die Telefone gar kein CDP supporten was dafür zwingend ist.

Das gepostete Log kommt woher?? Debug, welcher?? Switch ist Catalyst oder Billo?? 🤔
Nur nochmal nachgefragt der Sicherheit halber:
Ist das so gewollt das du eine duale Authentisierung machst?? Der Port so wie er oben konfiguriert ist erzwingt eine duale Authentisierung, also Mac Adresse und .1x.
Wenn das Telefon rein nur .1x authentisieren soll wird das immer scheitern.
Lies dazu die Cisco Doku zum Thema "Flexible Authentication"! Und...wirklich mal lesen..
https://www.cisco.com/c/dam/en/us/support/docs/ios-nx-os-software/identi ...
Member: ThePinky777
ThePinky777 Mar 12, 2024 updated at 17:14:33 (UTC)
Goto Top
ja vom switch

und ist mir schon klar das das nicht supportet ist aber wenn eine der zeilen fehlt kommt einfach nix mehr an, im debug log vom switch ist lediglich das kein device auf EAP antworten würde und das wars >> wird nix forwarded zum radius server... Daher *finde den fehler* ich bin leider an der stelle etwas nicht so fachkundig... irgendwo hörts auch auf face-smile
für tips warum es mit den beiden befehlen bis zum radius kommt, und ansonsten nicht... wäre ich dankbar.

also meine Theorie Abstrakt gesprochen:

Telefon ist Tagged VLAN 20
wenn dann redet es nur auf VLAN 20 mit dem switch

Switch labbert es aber vermutlich auf VLAN 1 an und will ne authentifizierung...
Und telefon denkt sich... war da was? neeeeeeeee face-smile
Und Switch geht in timeout und sagt dann "fisch dich" face-smile

Wie bekomme ich den siwtch dazu das er auch VLAN 20 nachfragt ( auth request an das telefon), das ist hier die frage face-smile
Member: ThePinky777
ThePinky777 Mar 12, 2024 at 17:21:30 (UTC)
Goto Top
Zitat von @aqui:


Das Voice VLAN ist so oder so überflüssig und ohne Funktion bei dir wenn du das Tagging eh im Setup der Telefone erzwingst. Auch wenn die Telefone gar kein CDP supporten was dafür zwingend ist.

also aktuell ganz oben hab ich die setting unserer ports aktuell gepostet, da ist voiceVLAN auf 20 an und die telefone laufen aktuell so, und sind deshlab so konfiguriert. also so geht es aktuell ohne 802.1x
daher wäre es toll wenn man die telefone nicht umstellen müsste, wenn man auf 802.1x umstellt.


Das gepostete Log kommt woher?? Debug, welcher?? Switch ist Catalyst oder Billo?? 🤔
Catalyst 2960x

Nur nochmal nachgefragt der Sicherheit halber:
Ist das so gewollt das du eine duale Authentisierung machst?? Der Port so wie er oben konfiguriert ist erzwingt eine duale Authentisierung, also Mac Adresse und .1x.
Wenn das Telefon rein nur .1x authentisieren soll wird das immer scheitern.

also so wie ich die doku gelesen habe ist das dann ein entweder oder option, nur so geht auch mac auth, falls das gerät 802.1x nicht kann. Und so schaft das telefon es ja auch bis zum radius (NPS Server von MS) und der sagt auch brav im LOG ACCEES GRANTED mit der richtigen Network Policy. Daher sagt ich jetz mal das authentifizieren geht.
Sieht man im Log oben auch das der Radius sagt OK und ihm entsprechend alles zuweist.
was nun doof ist das der switch aufgrund des konflikts der 2 Zeilen mit dem native VLAN und Voice VLAN dann den Port wieder deauthentifiziert.... und somit ist sense an der stelle. aber entferne ich eine der zeilen der port config dann landet wieder nix beim radius server... face-smile
Member: ThePinky777
ThePinky777 Mar 12, 2024 updated at 17:24:56 (UTC)
Goto Top
ah noch ne idee...

muss man vielleicht bei den

interface VLAN Configs
da irgendwo reinpopeln das er im VLAN 20 die 802.1x auth machen soll und nicht nur VLAN 1 (default) oder so ?

also an der stelle in der config vom switch:

vlan 20
 name Voice
!
Member: aqui
aqui Mar 12, 2024 updated at 17:26:37 (UTC)
Goto Top
Switch labbert es aber vermutlich auf VLAN 1 an und will ne authentifizierung...
https://www.duden.de/rechtschreibung/labern
VLAN 1 ist doch nirgendwo an dem Port konfiguriert?? Wie sollte das also gehen?

Solange Port Authentisierung aktiv ist reagiert der Switch einzig nur auf EAPoL Frames vom Telefon und ist sonst stumm und blockt alles inbound.
https://de.wikipedia.org/wiki/IEEE_802.1X

Die grundsätzliche Frage ist ob duale Authentisierung gewollt ist oder nicht?
Zweite Unstimmigkeit ist das der Radius scheinbar (wenn der Trace stimmt) ein dynamisches VLAN mitgibt (20). Leider hast du bis dato keine Angaben gemacht ob das der Fall ist für den .1x User Account. Wenn ja, wäre die Port Konfig grundsätzlich falsch, weil das ganze VLAN Setup des Ports oben ja statisch ist. Das dürfte es bei dynamischen VLANs aber logischerweise nicht sein.
Member: ThePinky777
ThePinky777 Mar 12, 2024 at 17:47:49 (UTC)
Goto Top
Zitat von @aqui:

Die grundsätzliche Frage ist ob duale Authentisierung gewollt ist oder nicht?
Zweite Unstimmigkeit ist das der Radius scheinbar (wenn der Trace stimmt) ein dynamisches VLAN mitgibt (20). Leider hast du bis dato keine Angaben gemacht ob das der Fall ist für den .1x User Account. Wenn ja, wäre die Port Konfig grundsätzlich falsch, weil das ganze VLAN Setup des Ports oben ja statisch ist. Das dürfte es bei dynamischen VLANs aber logischerweise nicht sein.

ja das mit der MAC auth hab ich rein weil normale 802.1x funktionierte nicht...
ist also absicht, und er authentifiziert sich ja auch über mab auth, siehe log.

ja ist bissl statisch der port mit dem VLAN 20 aber die Telefone sind ja auch ein wenig statisch.
und wie man sieht wenn sich das gerät nicht korrekt authentfiziert kommts ja nicht ans netz... somit erfüllt die auth schon irgendwie den sinn dahinter wenn auch nicht so voll dynamisch wie man es gern haben möchte.
Es sei ja nochmal erwähnt, ich hab ne port konfig, mit denen funktionieren die PCs einwandfrei an dem Port, nur nachdem Jubel Trubel heiterkeit bestand von mir JAWOHL die PCs funzen... kam ein kollege an und meinte... du weist schon das wir da noch telefone haben... ja und seit dem eier ich mit den telefonen rum....

aber ich hab so ein wenig das gefühl... das wird nur funzen wenn wir die telefone umstellen auf nicht tagged...
und dann wirds vermutlich was...
wollte ich vermeiden weil paar hundert telefone rumfummeln ist auch nerfig...
Member: aqui
aqui Mar 12, 2024 at 18:26:17 (UTC)
Goto Top
ja das mit der MAC auth hab ich rein weil normale 802.1x funktionierte nicht...
Mit anderen Worten kann dein Telefon gar keine .1x Authentisierung und hat also keinen .1x Client an Bord.
und er authentifiziert sich ja auch über mab auth, siehe log.
Ja, das ist klar aber der Port zumindestens ind er letzten Konfig ist für beide Konfiguriert und dann verlangt der Switch auch beides. Wenn das Telefon also nur MAB kann aber kein Dot1x und der Port erzwingt beides scheitert die Authentisierung weil .1x immer scheitert.
ja ist bissl statisch der port mit dem VLAN 20 aber die Telefone sind ja auch ein wenig statisch.
Ääähhh.. bisserl und wenig was soll das heissen. Es geht nur entweder oder. Bzw. statisch tötet die dynamische VLAN Zuweisung.
wenn sich das gerät nicht korrekt authentfiziert kommts ja nicht ans netz.
Ääähh, ja...das ist ja aber auch gewollt an Switches mit Netzwerk Security! Wasch mich aber mach mich nicht naß klappt bekanntlich nicht.

Wie gesagt, normal ist das eine Lachnummer und in 5 Minuten erledigt. Leider hast du aber nicht geschafft zu klären ob nun eine dynamische VLAN Zuweisung erfolgen soll (Radius Konfig) oder nicht, oder wirklich duale Authentisierung erforderlich ist. Das ein wilder Mischmasch nicht funktionieren kann schon gar nicht wenn die Voice VLAN Funktion gar nicht supportet ist von den Endgeräten usw. usw.
Das sind einfach zu viele Unbekannte die du erstmal klären solltest.
Normalerweise öffnet bei MAB der erste untagged Frame mit seiner Mac den Port und dann greifen die statischen VLAN Settings. Ne simple Nummer...

P.S.: Etwas bessere Rechtschreibung insbesondere Groß- Kleinschreibung hilft hier allen und gehört zu Foren Netiquette. face-wink
Member: ThePinky777
ThePinky777 Mar 15, 2024 updated at 15:47:46 (UTC)
Goto Top
So ich möchte hier mal auch was klar stellen, ich finde dein verhalten ziemlich arogant.
Aber das kenne ich nicht anders von Netzwerklern... meist wegen 10 Zeilen Code ein Geheimnis draus machen ohne Ende.

Falls es jemand interessiert, also Port Auth über MAC machen auf ein bestimmtes VLAN, ja dann ist nix mehr felxible aber Telefon funktioniert (geht halt nur das Telefon am Port oder garnix):

interface GigabitEthernet1/0/7
 switchport access vlan 20
 switchport mode access
 authentication event fail action authorize vlan 14
 authentication order mab
 authentication port-control auto
 mab
 spanning-tree portfast edge
!

Aber wenn man es flexibel haben will und multi auth an einem Port, bedeutet
Telefon in ein VLAN per max auth und PCs in andere VLANs:

interface GigabitEthernet1/0/8
 switchport mode access
 switchport voice vlan 20
 authentication event fail action authorize vlan 14
 authentication event no-response action authorize vlan 14
 authentication event server alive action reinitialize
 authentication host-mode multi-domain
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 mab
 mls qos trust cos
 dot1x pae authenticator
 dot1x timeout tx-period 10
 spanning-tree portfast edge
!

und im gegensatz zu deiner aussahe das
 switchport voice vlan 20

nicht geht, es ist sogar zwingend notwendig damit man einmal das Telefon ins VOICE VLAN bekommt und der PC dann ins DATA VLAN kommt AM SELBEN PORT, für die unwissenden es gibt auf dem Switch VLAN Domains DATA/VOICE die der switch unterschiedlich behandelt.

Aktuell nur noch ien letztes Problem hab ich das er mein Telefon immer ins DATA VLAN setzen will.
dazu muss man wohl am Switch Netzwerkprofile einrichten und diese dann in der Portkonfig noch einbinden...
ja bin dran... aber deine Tips hier kannst echt den Hasen geben.
Hättest ja als Tip auch erwähnen können das man wenn man MAC Auth machen will
der Switch die MAC des geräts ermittelt und dann an den Radius schickt als Login und das Passwort kann man mit dem Befehl am Switch fixieren:

mab request format attribute 2 0 PASSWORT_WAS_MAN_WILL

anschliessend kann man im Active DIrectory User erstellen mit Login MAC und PW was man am Switch gesetzt hat >> und das per AD Gruppe dann am Radius Server checken lassen und entsprechende config zuweisen >> und damit das VLAN zuweisen.

 dot1x timeout tx-period 10

Auch ein wichtiger Befehl den Timeout runter zu setzen damit das Telefon nicht gefühlt ne halbe stunde wartet bis der Switch mit der MAC auth beginnt... weil der Switch erst dot1x macht und anschliessend dann MAC auth
zu erkennen an dem Befehl in der Port config:

authentication order dot1x mab

Ja die Zeile hatte ich weiter oben als ich um hilfe fragte gut brauchen können als Tip, oben im Post meine Zeile war andersrum erst mab dann dot1x.

Deine Antwort oben ist also auch nur halb halb:
Solange Port Authentisierung aktiv ist reagiert der Switch einzig nur auf EAPoL Frames vom Telefon und ist sonst >stumm und blockt alles inbound.
https://de.wikipedia.org/wiki/IEEE_802.1X

Die grundsätzliche Frage ist ob duale Authentisierung gewollt ist oder nicht?

der tip das andersrum zu machen hätte auch geholfen, weil natürlich ist es gewollt, nämlich wen dot1x nicht geht soll er mab machen...

aber wie gesagt danke für quasi nix, vielleicht hilft es ja jemandem hier.

Sollte ich noch das problem hinbekommen das die telefone nicht ins DATA VLAN 20 kommen sondern VOICE VLAN 20 werde ich die Portkonfig hier noch posten.
Member: aqui
aqui Mar 15, 2024 updated at 16:35:53 (UTC)
Goto Top
es ist sogar zwingend notwendig
Das stimmt so nicht, denn die o.a. Cisco Dokumentation ist da ja eindeutig. Das Voice VLAN basiert rein auf CDP was in heterogenen Voice Umgebungen wie bei dir schon einmal grundsätzlich der falsche Ansatz ist denn dort machen es verantwortungsvolle Netzwerker immer mit dem Standard LLDP. Zumal du bis dato keinerlei Aussage gemacht hast ob deine Mitel Telefone CDP können. LLDP können sie ganz sicher!
Aber gut lassen wir das wenn du meinst das es anders und entgegen der Doku rennt oder rennen sollte oder was auch immer. Es sollte keinesfalls arrogant rüberkommen und sorry wenn es so geklungen hat. Hier rennt es zumindestens an einem Cat2960 mit latest Firmware sowohl mit einem Cisco 88er Phone (was aber kein Wunder ist) als auch mit einem Swyx ohne jegliche Probleme und das ganz ohne Voice VLAN. Wenn es grundsäzlich nicht klappen würde hätte Cisco sicherlich weltweit ein Problem. Folglich kann es also nur an deiner falschen Konfiguration liegen. Aber nundenn... Case closed...
Member: ThePinky777
ThePinky777 Mar 18, 2024 updated at 15:01:17 (UTC)
Goto Top
Cisco Systems, Inc.

IEEE 802.1X Multiple Authentication

https://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration ...


Example: Configuring IEEE 802.1X Multiple Authentication

aaa new-model
!
!
aaa authentication login CON local
aaa authentication login VTY local
aaa authentication dot1x default group radius
aaa authorization network default group radius 
aaa authorization auth-proxy default group radius 
aaa accounting auth-proxy default start-stop group radius
aaa accounting dot1x default start-stop group radius
!
!
!
!
!
aaa session-id common
!
dot1x system-auth-control
!

interface FastEthernet1
 switchport access vlan 20
 switchport voice vlan 117
 no ip address
 authentication host-mode multi-auth
 authentication order mab
 authentication port-control auto
 mab
 dot1x pae authenticator
end

Ist ne Offizielle Cisco Anleitung wie man das umzusetzen hat, daher so eindeutig ist die Cisco Dokumentation wohl nicht...

Natürlich wenn dein Phone CDP kann muss du das nicht so machen aber wenn nicht und mit MAC Auth dann halt schon...

Additionale Infos Links:

https://community.cisco.com/t5/network-access-control/mab-voice-authenti ...

https://community.cisco.com/t5/switching/dot1x-switch-messages-causing-h ...

https://community.cisco.com/t5/network-access-control/802-1x-port-based- ...

Irgendwo da drin im Mix ist die Lösung begraben die ich aktuell noch am erforschen bin...