Schwogi 10 Geschrieben 12. Oktober 2006 Melden Teilen Geschrieben 12. Oktober 2006 Hallo zusammen, bin neu hier. ich hab folgendes problem: hab einen cisco switch 3550 auf dem ich gerade 802.1x "teste". an einigen test ports wurde 802.1x aktiviert, bei erfolgreicher authentifizierung gegen einen IAS von MS soll der user ins vlan 101 sonst ins gästelan (vlan 3) funktioniert auch soweit, allerdings dauert die authentifizierung etwa eine minute. hab auch schon debug angeworfen werd aber aus den infos nicht schlau. es sieht so aus als ob beim ersten request des pcs die mac adresse nicht mitgeschickt wird und deshalb der switch das timeout von 30 sekunden abwartet. hat irgendwer eine erklärung dafür? Folgendes hab ich am switch mitgelesen: SW69# Oct 12 15:01:10: dot1x-ev:dot1x_port_enable: set dot1x ask handler on interface FastEthernet0/18 Oct 12 15:01:10: dot1x-ev:auth_initialize_enter:0000.0000.0000: Current ID=0 Oct 12 15:01:10: dot1x-ev:dot1x_port_cleanup_author: cleanup author on interface FastEthernet0/18 Oct 12 15:01:10: dot1x-ev:dot1x_update_port_status: Called with host_mode=0 state UNAUTHORIZED Oct 12 15:01:10: dot1x-ev:dot1x_update_port_status: using mac 0000.0000.0000 to send port to unauthorized on vlan 0 Oct 12 15:01:10: dot1x-ev:Found a supplicant block for mac 0000.0000.0000 BB5A08 Oct 12 15:01:10: dot1x-ev:dot1x_port_unauthorized: Host-mode=0 radius/guest vlan=0 Oct 12 15:01:10: dot1x-ev: GuestVlan configured=0 Oct 12 15:01:10: dot1x-ev:supplicant 0000.0000.0000 is default Oct 12 15:01:10: dot1x-ev:supplicant 0000.0000.0000 is last Oct 12 15:01:10: dot1x-ev:dot1x_port_cleanup_author: cleanup author on interface FastEthernet0/18 Oct 12 15:01:10: dot1x-ev:Created port supplicant block 0000.0000.0000 expected_id=0 current_id=0 Oct 12 15:01:10: dot1x-ev:dot1x_init_sb_oper_info:Default port supplicant at memloc BB5A08 Oct 12 15:01:10: dot1x-ev:dot1x_post_message_to_auth_sm: cleanup author from interface FastEthernet0/18 Oct 12 15:01:10: dot1x-ev: dot1x_post_message_to_auth_sm:0000.0000.0000: Sending TX_FAIL Oct 12 15:01:10: dot1x-ev:dot1x_post_message_to_auth_sm:0000.0000.0000: Current ID=1 Oct 12 15:01:10: dot1x-ev:dot1x_tx_eap: EAP Ptk Oct 12 15:01:10: dot1x-ev:EAP-code=FAILURE Oct 12 15:01:10: dot1x-ev:EAP Type= IDENTITY Oct 12 15:01:10: dot1x-ev:ID=0 Oct 12 15:01:10: dot1x-ev:dot1x_post_message_to_auth_sm: cleanup author from interface FastEthernet0/18 Oct 12 15:01:10: dot1x-ev:dot1x_post_message_to_auth_sm: Tx for req_id for supplicant 0000.0000.0000 Oct 12 15:01:10: dot1x-ev:dot1x_tx_eap: EAP Ptk Oct 12 15:01:10: dot1x-ev:EAP-code=REQUEST Oct 12 15:01:10: dot1x-ev:EAP Type= IDENTITY Oct 12 15:01:10: dot1x-ev:ID=1 Oct 12 15:01:12: %LINK-3-UPDOWN: Interface FastEthernet0/18, changed state to up Oct 12 15:01:40: dot1x-ev:dot1x_post_message_to_auth_sm: Tx for req_id for supplicant 0000.0000.0000 Oct 12 15:01:40: dot1x-ev:dot1x_tx_eap: EAP Ptk Oct 12 15:01:40: dot1x-ev:EAP-code=REQUEST Oct 12 15:01:40: dot1x-ev:EAP Type= IDENTITY Oct 12 15:01:40: dot1x-ev:ID=1 Oct 12 15:01:40: dot1x-ev:Received pkt saddr =0015.c550.071e , daddr = 0180.c200.0003,pae-ether-type = 34958 Oct 12 15:01:40: dot1x-ev:Couldn't find a supplicant block for mac 0015.c550.071e Oct 12 15:01:40: dot1x-ev:Found a supplicant block for mac 0000.0000.0000 BB5A08 Oct 12 15:01:40: dot1x-ev:auth_initialize_enter:0015.c550.071e: Current ID=0 Oct 12 15:01:40: dot1x-ev:dot1x_port_cleanup_author: cleanup author on interface FastEthernet0/18 Oct 12 15:01:40: dot1x-ev:dot1x_update_port_status: Called with host_mode=0 state UNAUTHORIZED auffällig: 15:01:10 erster versuch 15:01:40 zweiter versuch - macadresse aufeinmal da sieht also verdammt nach 30 sekunden timer aus (die sind auch standardmässig eingestellt) nur glaub ich trotzdem das da irgendwas anderes nicht stimmt weils ja kaum so sein wird das damit gerechnet wird das der erste request "daneben" geht. bin für jede hilfe dankbar mfg Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 12. Oktober 2006 Melden Teilen Geschrieben 12. Oktober 2006 Hi, ein paar mehr Informationen wären nicht schlecht. Welches Betriebssystem (ServicePack) und Konfig der Ports. Es gibt z.B. einen Hotfix für Authentifizierung von XP an einem Cisco Radius von MS. Fu Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 12. Oktober 2006 Autor Melden Teilen Geschrieben 12. Oktober 2006 versucht mit verschiedenen PCs: Alle mit XP Pro SP2 + alle updates, Authentifizierung: 802.1x aktiviert, EAPTyp: Smartcard oder anderes Zertifikat (User und PC Zertifikat sind vorhanden) ist auf IAS hinterlegt das beide in einer speziellen gruppe sein müssen und sind dieses auch 0815 Portkonfig für 802.1x: (aus dem kopf.. bin grad nicht bei dem gerät) spanning-tree portfast switchport mode access dot1x port-control auto switchport access vlan 101 dot1x guest-vlan 3 und natürlich sind die beiden radius server am switch angegeben und dot1x global aufgedreht. Wiegesagt: funktionieren tuts ja nur meiner meinung nach viel zu langsam. genaue konfig könnt ich morgen früh schicken. Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 12. Oktober 2006 Melden Teilen Geschrieben 12. Oktober 2006 Hi, Es gibt ein: dot1x timeout tx-period seconds für den Port. Damit könntest du die 30 Sekunden runtersetzen die der Switch wartet bis er eine Antwort vom Client bekommt. Das wäre zumindest schonmal ein Würgaround. Fu Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 13. Oktober 2006 Autor Melden Teilen Geschrieben 13. Oktober 2006 So hier meine wirkliche switchkonfig in kurzform: (alles 802.1x spezifische) dot1x system-auth-control interface FastEthernet0/18 switchport access vlan 101 switchport mode access dot1x port-control auto dot1x guest-vlan 3 spanning-tree portfast radius-server host 172.16.100.6 auth-port 1812 acct-port 1813 key xxxx radius-server host 172.16.100.29 auth-port 1812 acct-port 1813 key xxxx radius-server retransmit 3 Das mit timer runtersetzen hab ich natürlich schon gemacht, nur hab ich in den cisco how to's gelesen das man die werte nur im "notfall" ändern sollte. kann mir nicht vorstellen das da alles so funkt wies soll. Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 13. Oktober 2006 Melden Teilen Geschrieben 13. Oktober 2006 Hi, hast du mal nachgesehen was auf der XP Seite und auf dem ISA im Log steht? Ob da irgendeine Fehlermeldung ist. Das könnte auch weiterhelfen. Also ich würde sagen, wenn sonst nix weiterhilft, dann ist das runtersetzen des Timers genau hier richtig. Weil es ja anscheinend nur ein Timingproblem ist, wenn es beim zweiten Mal immer klappt. Fu Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 15. Oktober 2006 Autor Melden Teilen Geschrieben 15. Oktober 2006 Also weder im IAS Log noch im XP log ist was auffällig zu finden. vielleicht ist es aber wirklich normal das es "solang" dauert bis der switch den port freigibt. hat vielleicht irgendwer ähnliche konfig (Cisco switch mit 802.1x+IAS und dhcp server) und kann mir sagen wielangs bei ihm dauert bis switch port freigibt und rechner ip adresse bekommt? mfg martin Zitieren Link zu diesem Kommentar
CarstenS72 10 Geschrieben 19. Oktober 2006 Melden Teilen Geschrieben 19. Oktober 2006 Hallo Schwogi, wir haben auch das Problem. Hast Du eine Lösung??? Eins weiss ich aber schon: Die Verzögerung ist nicht normal! Gruß Carsten Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 20. Oktober 2006 Autor Melden Teilen Geschrieben 20. Oktober 2006 Hallo, eine wirkliche Lösung habe ich noch nicht dafür. Eine Möglichkeit wäre, den/die Timer etwas herabzusetzen (tx-period) auf wenige sekunden statt 30. irgendwie hab ich den verdacht, dass vielleicht ein securityupdate von xp schuld daran sein könnte, weil ich glaube mich erinnern zu können, dass wir das problem vor einem halben jahr beim testen nicht gehabt haben. mfg Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 20. Oktober 2006 Melden Teilen Geschrieben 20. Oktober 2006 Hallo, welche IOS Version? Geht's mir einem anderen Sup (z.B.) dem von Cisco oder einem anderen.. ==> dann weißt du an welcher Seite es liegt.. Cisco Trust Agent: http://www.cisco.com/kobayashi/sw-center/sw-ciscosecure.shtml Ciao Zitieren Link zu diesem Kommentar
CarstenS72 10 Geschrieben 20. Oktober 2006 Melden Teilen Geschrieben 20. Oktober 2006 Hallo, wir gehen am Montag nochmal das Thema an. Wir arbeiten mit unserem Systemhaus zusammen an diesem Thema. Die hatten schon einige solcher Installationen, aber noch nie dieses Problem. Wir testen das Ganze am Montag mit einer anderen Cisco Switch, damit wir wenigstens mal festlegen können, auf welcher Seite der Fehler zu suchen ist. Ich halte Euch auf dem laufenden ... Gruß Carsten Zitieren Link zu diesem Kommentar
CarstenS72 10 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Hallo, wir haben heute den ganzen Tag getestet ... leider bisher ohne Erfolg! Wir haben derzeit rausgefunden, dass der Switch auf den Client wartet und von XP erst nach ca. 1-2 Minuten eine Antwort kommt. Ein XP ohne ServicePack bringt das gleiche Resultat wie ein XP mit den allerneuesten Updates. Ebenso ein 2950 mit 12.1 IOS und ein 3550 mit 12.2 IOS. Wir suchen weiter ... Gruß Carsten Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 23. Oktober 2006 Autor Melden Teilen Geschrieben 23. Oktober 2006 Hallo, bei mir ist es so, wenn ich Radius-Debugging einschalte das beim ersten Request des Switches der PC bei der Antwort keine MAC Adresse mitgeschickt. daraufhin wartet der Switch lt. timer 30 sekunden und probierts anschließend wieder. (zumindest habe ich es so interepretiert, ich weiß nicht 100pro ob es sich tatsächlich so verhält) sehr komisch, vorallem das eure Firma solche Konfigurationen schon durchgeführt hat und aufeinmal auch dieses Problem hat und nicht weiter weiß. ich weiß nur das wir im februar dieses jahres schonmal getestet haben, und damals wär mir die lange wartezeit nicht aufgefallen. (gleicher switch damals, gleiches IOS -> deshalb auch meine vermutung das client (->XP) "schuld" ist). mfg Martin Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Hallo, desshalb einfach mit einem anderen supplicant testen und die Sache ist klar..... Ciao Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 23. Oktober 2006 Melden Teilen Geschrieben 23. Oktober 2006 Hola, Windows XP SP2: |Time | Cisco_12:0c:1a | Spanning-tree-(for-bridges)_03| Ibm_2d:50:31 | |0,718 | Request, Identity [ | |EAP: Request, Identity [RFC3748] | |(0) ------------------> (0) | | |31,587 | Request, Identity [ | |EAP: Request, Identity [RFC3748] | |(0) ------------------> (0) | | |62,456 | Request, Identity [ | |EAP: Request, Identity [RFC3748] | |(0) ------------------> (0) | | |94,361 | Request, Identity [ | |EAP: Request, Identity [RFC3748] | |(0) ------------------> (0) | | *************************************************************** ==> 94 Sekunden später ==> WinXP antwortet *************************************************************** |104,537 | | Response, Identity |EAP: Response, Identity [RFC3748] | | |(0) <------------------ (0) | |104,559 | Request, MD5-Challe | |EAP: Request, MD5-Challenge [RFC3748] | |(0) ------------------> (0) | | |104,562 | | Response, MD5-Chall |EAP: Response, MD5-Challenge [RFC3748] | | |(0) <------------------ (0) | |104,580 | Success | | |EAP: Success | |(0) ------------------> (0) | | Anderer Sup: |Time | Cisco_6b:07:0c | Spanning-tree-(for-bridges)_03| Ibm_d0:dd:40 | |0,000 | Failure | | |EAP: Failure | |(0) ------------------> (0) | | |0,000 | Request, Identity [ | |EAP: Request, Identity [RFC3748] | |(0) ------------------> (0) | | |0,014 | | Response, Identity |EAP: Response, Identity [RFC3748] | | |(0) <------------------ (0) | |10,018 | Request, Identity [ | |EAP: Request, Identity [RFC3748] | |(0) ------------------> (0) | | |10,018 | | Response, Identity |EAP: Response, Identity [RFC3748] | | |(0) <------------------ (0) | |10,029 | Request, PEAP [Pale | |EAP: Request, PEAP [Palekar] | |(0) ------------------> (0) | | |10,029 | | Response, Nak (Resp |EAP: Response, Nak (Response only) [RFC3748] | | |(0) <------------------ (0) | |10,040 | Request, MD5-Challe | |EAP: Request, MD5-Challenge [RFC3748] | |(0) ------------------> (0) | | |10,040 | | Response, MD5-Chall |EAP: Response, MD5-Challenge [RFC3748] | | |(0) <------------------ (0) | |10,068 | Success | | |EAP: Success | |(0) ------------------> (0) | | ==> kein Cisco Thema ==> Windows Ciao Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.