Сообщения без ответов | Активные темы Текущее время: 15 ноя 2019, 00:35



Ответить на тему  [ Сообщений: 7 ] 
Cisco ISE 2.6 и профайлинг. Все через тунель. Костыли etc 
Автор Сообщение

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Привет!

Есть такая схема ISE ---ASA-----ASA---SWITCH 2960C---Phone--PC

Если комп подключён напрямую к коммутатору то авторизация по EAP-TLS проходит нормально, но при этом Profile все равно определяется как неопознанный, если я подключаю компьютер через телефон я вижу авторизацию, точнее попытку авторизации как MAB устройсва и в этом случае профайл определяется как Cisco Device и в Identities я вижу инфу по коммутатору. Есть такое ощущение, что никакие другие пробы ISE не делает, хотя включено все по умолчанию + HTTP. В вышеуказзаной схеме, все видят всех, единственное, что не видин сторона тонеля с ISE - это DHCP сервер. То есть такое ощущение, что никакие пробы не проходят именн из-за тонеля. Или я что-то не так делаю?

Конфигурация на интерфейсе:
Код:
 switchport access vlan 63
 switchport mode access
 switchport voice vlan 57
 authentication event fail action next-method
 authentication event server dead action authorize vlan 56
 authentication event server dead action authorize voice
 authentication event server alive action reinitialize
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority dot1x mab
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate server
 authentication violation restrict
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 3


08 окт 2019, 19:06
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Почему он не переключает на войс я не знаю:

Fa0/9 7c95.f3c9.3df4 mab DATA Unauth AC10FE02000002CD1106B0EA

А должно быть же войс.

Вот сам профайл. Что я делаю не так?
Код:
Access Type = ACCESS_ACCEPT
DACL = FCCPS-Permit-Any-Any
cisco-av-pair = device-traffic-class=voice


08 окт 2019, 19:54
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Ошибся, не multi-domain, a multi-auth. Но профайлинг так и не работает


08 окт 2019, 20:25
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 211
Настройки порта это не единственное, что необходимо сделать для работы с ISE.
Приведите полный конфиг. Может например не настроена передача radius атрибутов.


09 окт 2019, 12:05
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Что вы имеете в видо под конфигом?

Это ?

radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf upper-case
radius-server attribute 31 send nas-port-detail
radius-server dead-criteria tries 10


09 окт 2019, 13:01
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Видать дело все же в VPN, в кампусной сети в теми-же настройками все профайлится прекрасно!


09 окт 2019, 16:19
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 377
Профайлится, но не все, категорически не показыает поле NetworkDevice


09 окт 2019, 16:36
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: root99 и гости: 13


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB