802.1x Error-disable

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Mocuisla82
Cisco fan
Messaggi: 50
Iscritto il: mer 13 ago , 2008 3:19 pm
Contatta:

Can you help me ?

Ciao
Io ho un problema che non riesco a risolvere ormai da 4 giorni.

Nel mio Campus ( 2 core distribution e 180 Switch 3560-E IOS 12.2(55)SE1 ) abbiamo implementato ormai da circa 1 anno il protocollo 802.1x.

Tutto funziona alla grande, almeno fino a qualche giorno fa.
Un Client (pc windows xp sp3 ) ha fatto accesso e giusta autenticazione su una determinata porta di rete f0/28
Quando la sera si disconette la TCAM si aggiorna e cancella quel determinato MAC imparato dinamicamente dall'interfaccia.
Lo stesso Client il gionro dopo si ricollega alla rete da un'altra interfaccia (f0/32) dello stesso SW. con la stessa VLAN, con le stesse credenziali di accesso e automaticvamente "error-disable". arrgrgrgrgagrgrga.

Direte voi ... Magari ha qualche VM in piedi (no)
Magari sbaglia autenticazione (no)
Magari ha fatto qualche aggiornamente Microsoft che da fastidio (no)
Magari la configurazione della porta è sbagliata (no tutte le porte hanno la stessa configuarzione)

facendo un po di troubleshooting mi sono accorto che il MAC di quel determinato PC era rimasto magicamente incollato Staticamente al' interfaccia del giorno prima (f0/28). Come è possibile ????????????? quando il mio aging-time è settato di default a 300 s ?????
Come mai mettendo in SH la porta rimane ancora fissato il MAC ??????
Come mai andando a pulire tutte le tabelle MAC / ARP mi rimane in piedi sempre su quell'interfaccia ?
L'unica soluzione che sono riuscito a trovare è stata quella di riattestare il pc sull'interfaccia del giorno prima (f0/28) poi scollegarla e attestarla nuovamente sull' ultima interfaccia (f0/32).
Utilizzando questo work-around tutto torna alla normalità fino al giorno successivo....
Premetto che su 180 SW al momento questa realtà si presenta solamente su 2.

posto la con delle due interfaccie ( praticamente la stessa )

interface FastEthernet0/28
switchport access vlan xxx
switchport mode access
switchport voice vlan xxx
speed 100
duplex full
authentication event fail action authorize vlan xxx
authentication event no-response action authorize vlan xxx
authentication port-control auto
authentication timer reauthenticate 65535
dot1x pae authenticator
dot1x timeout quiet-period 1
dot1x timeout server-timeout 10
dot1x timeout tx-period 1
dot1x timeout supp-timeout 1
spanning-tree portfast

QUALCHE IDEA ?????
MALEDETTI CISCO 3725 !!!!!! - 20 KG
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

Mocuisla82 ha scritto:Can you help me ?

...
facendo un po di troubleshooting mi sono accorto che il MAC di quel determinato PC era rimasto magicamente incollato Staticamente al' interfaccia del giorno prima (f0/28).

port-security sticky da qualche parte?

ciao!
Mocuisla82
Cisco fan
Messaggi: 50
Iscritto il: mer 13 ago , 2008 3:19 pm
Contatta:

no nessun port security l'autenticazione viene fatta solamente tramite 802.1x
MALEDETTI CISCO 3725 !!!!!! - 20 KG
Mocuisla82
Cisco fan
Messaggi: 50
Iscritto il: mer 13 ago , 2008 3:19 pm
Contatta:

Nessuno con qualche idea ????
MALEDETTI CISCO 3725 !!!!!! - 20 KG
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

che io sappia, e coerentemente con quanto studiato, l'unico modo per un MAC address di rimanere incollato e' a causa del port-security sticky.

Vediamo se qualcun altro la pensa diversamente.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Mocuisla82 ha scritto:Nessuno con qualche idea ????
Se riavvii lo switch il problema rimane? Perchè imho è un bug.
Verifica la versione versione di IOS ed eventuali aggiornamenti.
Da tutto quello che hai detto e da quello che hai postato imho è l'unica soluzione rimasta.

Rizio
Si vis pacem para bellum
Mocuisla82
Cisco fan
Messaggi: 50
Iscritto il: mer 13 ago , 2008 3:19 pm
Contatta:

Rizio ha scritto:
Mocuisla82 ha scritto:Nessuno con qualche idea ????
Se riavvii lo switch il problema rimane? Perchè imho è un bug.
Verifica la versione versione di IOS ed eventuali aggiornamenti.
Da tutto quello che hai detto e da quello che hai postato imho è l'unica soluzione rimasta.

Rizio

Lo avevo pensato anche io ....
Per il riavvio dello Sw è già stato fatto ma con risultato negativo.
Per la Ios faccio subito una verifica anche se non credo di aver visto Aggiornamenti sostanziali a questa problematica

GRAZIE MILLE
MALEDETTI CISCO 3725 !!!!!! - 20 KG
Rispondi