802.1x Error-disable
Inviato: ven 17 giu , 2011 4:37 pm
Can you help me ?
Ciao
Io ho un problema che non riesco a risolvere ormai da 4 giorni.
Nel mio Campus ( 2 core distribution e 180 Switch 3560-E IOS 12.2(55)SE1 ) abbiamo implementato ormai da circa 1 anno il protocollo 802.1x.
Tutto funziona alla grande, almeno fino a qualche giorno fa.
Un Client (pc windows xp sp3 ) ha fatto accesso e giusta autenticazione su una determinata porta di rete f0/28
Quando la sera si disconette la TCAM si aggiorna e cancella quel determinato MAC imparato dinamicamente dall'interfaccia.
Lo stesso Client il gionro dopo si ricollega alla rete da un'altra interfaccia (f0/32) dello stesso SW. con la stessa VLAN, con le stesse credenziali di accesso e automaticvamente "error-disable". arrgrgrgrgagrgrga.
Direte voi ... Magari ha qualche VM in piedi (no)
Magari sbaglia autenticazione (no)
Magari ha fatto qualche aggiornamente Microsoft che da fastidio (no)
Magari la configurazione della porta è sbagliata (no tutte le porte hanno la stessa configuarzione)
facendo un po di troubleshooting mi sono accorto che il MAC di quel determinato PC era rimasto magicamente incollato Staticamente al' interfaccia del giorno prima (f0/28). Come è possibile ????????????? quando il mio aging-time è settato di default a 300 s ?????
Come mai mettendo in SH la porta rimane ancora fissato il MAC ??????
Come mai andando a pulire tutte le tabelle MAC / ARP mi rimane in piedi sempre su quell'interfaccia ?
L'unica soluzione che sono riuscito a trovare è stata quella di riattestare il pc sull'interfaccia del giorno prima (f0/28) poi scollegarla e attestarla nuovamente sull' ultima interfaccia (f0/32).
Utilizzando questo work-around tutto torna alla normalità fino al giorno successivo....
Premetto che su 180 SW al momento questa realtà si presenta solamente su 2.
posto la con delle due interfaccie ( praticamente la stessa )
interface FastEthernet0/28
switchport access vlan xxx
switchport mode access
switchport voice vlan xxx
speed 100
duplex full
authentication event fail action authorize vlan xxx
authentication event no-response action authorize vlan xxx
authentication port-control auto
authentication timer reauthenticate 65535
dot1x pae authenticator
dot1x timeout quiet-period 1
dot1x timeout server-timeout 10
dot1x timeout tx-period 1
dot1x timeout supp-timeout 1
spanning-tree portfast
QUALCHE IDEA ?????
Ciao
Io ho un problema che non riesco a risolvere ormai da 4 giorni.
Nel mio Campus ( 2 core distribution e 180 Switch 3560-E IOS 12.2(55)SE1 ) abbiamo implementato ormai da circa 1 anno il protocollo 802.1x.
Tutto funziona alla grande, almeno fino a qualche giorno fa.
Un Client (pc windows xp sp3 ) ha fatto accesso e giusta autenticazione su una determinata porta di rete f0/28
Quando la sera si disconette la TCAM si aggiorna e cancella quel determinato MAC imparato dinamicamente dall'interfaccia.
Lo stesso Client il gionro dopo si ricollega alla rete da un'altra interfaccia (f0/32) dello stesso SW. con la stessa VLAN, con le stesse credenziali di accesso e automaticvamente "error-disable". arrgrgrgrgagrgrga.
Direte voi ... Magari ha qualche VM in piedi (no)
Magari sbaglia autenticazione (no)
Magari ha fatto qualche aggiornamente Microsoft che da fastidio (no)
Magari la configurazione della porta è sbagliata (no tutte le porte hanno la stessa configuarzione)
facendo un po di troubleshooting mi sono accorto che il MAC di quel determinato PC era rimasto magicamente incollato Staticamente al' interfaccia del giorno prima (f0/28). Come è possibile ????????????? quando il mio aging-time è settato di default a 300 s ?????
Come mai mettendo in SH la porta rimane ancora fissato il MAC ??????
Come mai andando a pulire tutte le tabelle MAC / ARP mi rimane in piedi sempre su quell'interfaccia ?
L'unica soluzione che sono riuscito a trovare è stata quella di riattestare il pc sull'interfaccia del giorno prima (f0/28) poi scollegarla e attestarla nuovamente sull' ultima interfaccia (f0/32).
Utilizzando questo work-around tutto torna alla normalità fino al giorno successivo....
Premetto che su 180 SW al momento questa realtà si presenta solamente su 2.
posto la con delle due interfaccie ( praticamente la stessa )
interface FastEthernet0/28
switchport access vlan xxx
switchport mode access
switchport voice vlan xxx
speed 100
duplex full
authentication event fail action authorize vlan xxx
authentication event no-response action authorize vlan xxx
authentication port-control auto
authentication timer reauthenticate 65535
dot1x pae authenticator
dot1x timeout quiet-period 1
dot1x timeout server-timeout 10
dot1x timeout tx-period 1
dot1x timeout supp-timeout 1
spanning-tree portfast
QUALCHE IDEA ?????