Anticisco
http://www.anticisco.ru/forum/

Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли etc
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11135
Страница 1 из 1

Автор:  AlexNiko [ 08 окт 2019, 19:06 ]
Заголовок сообщения:  Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли etc

Привет!

Есть такая схема ISE ---ASA-----ASA---SWITCH 2960C---Phone--PC

Если комп подключён напрямую к коммутатору то авторизация по EAP-TLS проходит нормально, но при этом Profile все равно определяется как неопознанный, если я подключаю компьютер через телефон я вижу авторизацию, точнее попытку авторизации как MAB устройсва и в этом случае профайл определяется как Cisco Device и в Identities я вижу инфу по коммутатору. Есть такое ощущение, что никакие другие пробы ISE не делает, хотя включено все по умолчанию + HTTP. В вышеуказзаной схеме, все видят всех, единственное, что не видин сторона тонеля с ISE - это DHCP сервер. То есть такое ощущение, что никакие пробы не проходят именн из-за тонеля. Или я что-то не так делаю?

Конфигурация на интерфейсе:
Код:
 switchport access vlan 63
 switchport mode access
 switchport voice vlan 57
 authentication event fail action next-method
 authentication event server dead action authorize vlan 56
 authentication event server dead action authorize voice
 authentication event server alive action reinitialize
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority dot1x mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate server
 authentication violation restrict
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 3

Автор:  AlexNiko [ 08 окт 2019, 19:54 ]
Заголовок сообщения:  Re: Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли et

Почему он не переключает на войс я не знаю:

Fa0/9 7c95.f3c9.3df4 mab DATA Unauth AC10FE02000002CD1106B0EA

А должно быть же войс.

Вот сам профайл. Что я делаю не так?
Код:
Access Type = ACCESS_ACCEPT
DACL = FCCPS-Permit-Any-Any
cisco-av-pair = device-traffic-class=voice

Автор:  AlexNiko [ 08 окт 2019, 20:25 ]
Заголовок сообщения:  Re: Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли et

Ошибся, не multi-domain, a multi-auth. Но профайлинг так и не работает

Автор:  Starican [ 09 окт 2019, 12:05 ]
Заголовок сообщения:  Re: Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли et

Настройки порта это не единственное, что необходимо сделать для работы с ISE.
Приведите полный конфиг. Может например не настроена передача radius атрибутов.

Автор:  AlexNiko [ 09 окт 2019, 13:01 ]
Заголовок сообщения:  Re: Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли et

Что вы имеете в видо под конфигом?

Это ?

radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf upper-case
radius-server attribute 31 send nas-port-detail
radius-server dead-criteria tries 10

Автор:  AlexNiko [ 09 окт 2019, 16:19 ]
Заголовок сообщения:  Re: Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли et

Видать дело все же в VPN, в кампусной сети в теми-же настройками все профайлится прекрасно!

Автор:  AlexNiko [ 09 окт 2019, 16:36 ]
Заголовок сообщения:  Re: Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли et

Профайлится, но не все, категорически не показыает поле NetworkDevice

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/