802.1x

[m2555 10]

Ich haben unter 802.1x ein kleines Problem. Alle Catalyst 4006 und 4506 Switche haben wir mit der Supervisor II+ bestückt und auf diesen Switchen tritt unter der IOS Version 12.2(25)EW hin und wieder bei einzelnen Port das Phänomen auf, dass diese Port aus einem uns noch nicht bekannten Grunde in den Status Err-Disabled geschaltet werden. Im Logging steht anschließend das es eine Security Violation mit einer doppelten MAC gegeben habe und das der Port abgeschaltet worden sei. Im ACS sieht alles ganz normal aus, also erfolgreiche Authentifizierung. Es sieht für mich so aus als ob im IOS ein Fehler ist, vielleicht in Richtung MAC-Cache?

 

Was haben ich schon unternommen:

 

Nach dem ich bei Cisco im Internet nicht brauchbares zu dem o.g. Problem gefunden habe, habe ich auf unserem Reserve und Test-Switch die neueste IOS Version also

12.2(31)SGA1 installiert. Ob der o.g. Fehler mit dieser Version nicht mehr besteht wissen wir noch nicht genau, da der Fehler nur sporadisch, vereinzelt und sehr stark gestreut auftritt. D.h. man kann dies eigentlich nur in einer großen Produktivumgebung heraus finden.

Was wir allerdings sofort heraus gefunden haben ist die Tatsache das auf diesem neuen IOS die Authentifizierung der Thin-Clients nicht mehr richtig funktioniert. Die der Fat-Clients läuft ohne Probleme ab.

 

Kann mir einer weiterhelfen ???

 

Danke

M2555

[daking 10]

Hallo,

 

wie lautet die genau Fehlermeldung?

Habt ihr Server Interface Teaming im Einsatz (welche MAC?).

wie sieht die Port Config aus?

was ist der Unterschied zwischen den Thin/Fat-Clients?

Welche Clients/Supplicants (Hersteller)?

 

==> zwischen 12.2(25)EW und 12.2(31)SGA sind einige neue 1x Features hinzugekommen.

 

ciao

[m2555 10]

Morgen zusammen

 

 

Alle Clients sind von Fujitzu Siemens.

 

Interface Configs:

 

interface FastEthernet4/1

switchport mode access

dot1x port-control auto

dot1x guest-vlan 506

spanning-tree portfast

 

Hier mal das Log.

 

 

Jan 10 10:21:44.616 MET: pm_extern_port_link_event: link-down on Fa4/7

Jan 10 10:21:44.616 MET: pm_port 4/7: during state authen_fail, got event 5(link_down)

Jan 10 10:21:44.616 MET: @@@ pm_port 4/7: authen_fail -> present

Jan 10 10:21:44.616 MET: GaliosPmPort_setVlanState(Vlan 1, Fa4/7, disabled)

Jan 10 10:21:44.616 MET: *** port_dtp_stop: 4/7

Jan 10 10:21:44.616 MET: GaliosPmPort_setDtpSpecialEnabled(Fa4/7,disable) (Vlan 1)

Jan 10 10:21:44.616 MET: GaliosPmPort_setPagpSpecialEnabled(Fa4/7,disable) (default vlan 1)

Jan 10 10:21:44.616 MET: GaliosPmPort_setSpanSpecialEnabled disable(vid - 1)

Jan 10 10:21:44.616 MET: pm_flap_timer_stop: Fa4/7 pagp

Jan 10 10:21:44.616 MET: pm_flap_timer_stop: Fa4/7 dtp

Jan 10 10:21:44.616 MET: GaliosPmPort_onPhysicalLinkchange(FastEthernet4/7,pm_port_link_down)

Jan 10 10:21:44.616 MET: *** port_linkchange: reason_link_change(3): link_down(0)4/7

Jan 10 10:21:44.616 MET: pm_port 4/7: during state present, got event 9(authen_success) (ignored)

Jan 10 10:21:44.616 MET: GaliosPmPort_setDefaultHostAccess(Fa4/7,permit)

Jan 10 10:21:44.616 MET: GaliosPmPort_setHostAccessFeature(Fa4/7,none)

Jan 10 10:21:44.620 MET: pm_port 4/7: idle during state present

Jan 10 10:21:44.620 MET: @@@ pm_port 4/7: present -> link_down

Jan 10 10:21:47.224 MET: pm_port_set_duplex_internal: 4/7 duplex = full

Jan 10 10:21:47.224 MET: pm_port_set_speed_internal: 4/7 speed = 100M

Jan 10 10:21:47.224 MET: pm_extern_port_link_event: link-up on Fa4/7

Jan 10 10:21:47.224 MET: pm_port 4/7: during state link_down, got event 4(link_up)

Jan 10 10:21:47.224 MET: @@@ pm_port 4/7: link_down -> link_up

Jan 10 10:21:47.224 MET: pm_flap_count: Fa4/7 Linkcnt = 0

Jan 10 10:21:47.224 MET: GaliosPmPort_onPhysicalLinkchange(FastEthernet4/7,pm_port_link_up)

Jan 10 10:21:47.224 MET: pm_port 4/7: idle during state link_up

Jan 10 10:21:47.224 MET: @@@ pm_port 4/7: link_up -> link_authentication

Jan 10 10:21:47.224 MET: pm_port 4/7: during state link_authentication, got event 7(authen_enable)

Jan 10 10:21:47.224 MET: @@@ pm_port 4/7: link_authentication -> authen_fail

Jan 10 10:21:47.224 MET: GaliosPmPort_setAccessMode(Fa4/7)

Jan 10 10:21:47.224 MET: Calling GaliosPmPort_setAccessVlan(Fa4/7, accessVlan=1, voiceVlan=4096)

Jan 10 10:21:47.224 MET: GaliosPmPort_setVlanState(Vlan 1, Fa4/7, blocking)

Jan 10 10:21:47.224 MET: GaliosPmPort_setHostAccessFeature(Fa4/7,dot1x)

Jan 10 10:21:47.224 MET: GaliosPmPort_setDefaultHostAccess(Fa4/7,deny)

 

Das Spiel macht der Switch dann drei mal und danach kommt folgende Meldung im LOG:

Jan 10 10:22:27.791 MET: %DOT1X-5-SECURITY_VIOLATION: Security violation on interface FastEthernet4/7, New MAC address 0030.0545.f71b is seen

on the interface in Single Host mode

Jan 10 10:22:27.791 MET: pm_port_set_errdisable_internal: Fa4/7 reason security-violation

Jan 10 10:22:27.791 MET: %PM-4-ERR_DISABLE: security-violation error detected on Fa4/7, putting Fa4/7 in err-disable state

 

 

Die neue MAC Adresse die gesehen wird gibt es im gleichen V-Lan auf dem gleichen Switch, aber auf einem ganz anderen Port.

 

 

Server interface teaming haben wir nicht im Einsatz.

 

Danke für die Antwort.

 

 

M2555