Jump to content

802.1x Authentifizierung langsam


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

bin neu hier.

 

ich hab folgendes problem: hab einen cisco switch 3550 auf dem ich gerade 802.1x "teste". an einigen test ports wurde 802.1x aktiviert, bei erfolgreicher authentifizierung gegen einen IAS von MS soll der user ins vlan 101 sonst ins gästelan (vlan 3)

funktioniert auch soweit, allerdings dauert die authentifizierung etwa eine minute.

hab auch schon debug angeworfen werd aber aus den infos nicht schlau. es sieht so aus als ob beim ersten request des pcs die mac adresse nicht mitgeschickt wird und deshalb der switch das timeout von 30 sekunden abwartet. hat irgendwer eine erklärung dafür?

 

Folgendes hab ich am switch mitgelesen:

 

SW69#

Oct 12 15:01:10: dot1x-ev:dot1x_port_enable: set dot1x ask handler on interface FastEthernet0/18

Oct 12 15:01:10: dot1x-ev:auth_initialize_enter:0000.0000.0000: Current ID=0

 

Oct 12 15:01:10: dot1x-ev:dot1x_port_cleanup_author: cleanup author on interface FastEthernet0/18

Oct 12 15:01:10: dot1x-ev:dot1x_update_port_status: Called with host_mode=0 state UNAUTHORIZED

 

Oct 12 15:01:10: dot1x-ev:dot1x_update_port_status: using mac 0000.0000.0000 to send port to unauthorized on vlan 0

 

Oct 12 15:01:10: dot1x-ev:Found a supplicant block for mac 0000.0000.0000 BB5A08

 

Oct 12 15:01:10: dot1x-ev:dot1x_port_unauthorized: Host-mode=0 radius/guest vlan=0

 

Oct 12 15:01:10: dot1x-ev: GuestVlan configured=0

 

Oct 12 15:01:10: dot1x-ev:supplicant 0000.0000.0000 is default

 

Oct 12 15:01:10: dot1x-ev:supplicant 0000.0000.0000 is last

 

Oct 12 15:01:10: dot1x-ev:dot1x_port_cleanup_author: cleanup author on interface FastEthernet0/18

Oct 12 15:01:10: dot1x-ev:Created port supplicant block 0000.0000.0000 expected_id=0 current_id=0

 

Oct 12 15:01:10: dot1x-ev:dot1x_init_sb_oper_info:Default port supplicant at memloc BB5A08

 

Oct 12 15:01:10: dot1x-ev:dot1x_post_message_to_auth_sm: cleanup author from interface FastEthernet0/18

Oct 12 15:01:10: dot1x-ev:

dot1x_post_message_to_auth_sm:0000.0000.0000: Sending TX_FAIL

 

Oct 12 15:01:10: dot1x-ev:dot1x_post_message_to_auth_sm:0000.0000.0000: Current ID=1

 

Oct 12 15:01:10: dot1x-ev:dot1x_tx_eap: EAP Ptk

Oct 12 15:01:10: dot1x-ev:EAP-code=FAILURE

Oct 12 15:01:10: dot1x-ev:EAP Type= IDENTITY

Oct 12 15:01:10: dot1x-ev:ID=0

 

Oct 12 15:01:10: dot1x-ev:dot1x_post_message_to_auth_sm: cleanup author from interface FastEthernet0/18

Oct 12 15:01:10: dot1x-ev:dot1x_post_message_to_auth_sm: Tx for req_id for supplicant 0000.0000.0000

 

Oct 12 15:01:10: dot1x-ev:dot1x_tx_eap: EAP Ptk

Oct 12 15:01:10: dot1x-ev:EAP-code=REQUEST

Oct 12 15:01:10: dot1x-ev:EAP Type= IDENTITY

Oct 12 15:01:10: dot1x-ev:ID=1

 

Oct 12 15:01:12: %LINK-3-UPDOWN: Interface FastEthernet0/18, changed state to up

Oct 12 15:01:40: dot1x-ev:dot1x_post_message_to_auth_sm: Tx for req_id for supplicant 0000.0000.0000

 

Oct 12 15:01:40: dot1x-ev:dot1x_tx_eap: EAP Ptk

Oct 12 15:01:40: dot1x-ev:EAP-code=REQUEST

Oct 12 15:01:40: dot1x-ev:EAP Type= IDENTITY

Oct 12 15:01:40: dot1x-ev:ID=1

 

Oct 12 15:01:40: dot1x-ev:Received pkt saddr =0015.c550.071e , daddr = 0180.c200.0003,pae-ether-type = 34958

Oct 12 15:01:40: dot1x-ev:Couldn't find a supplicant block for mac 0015.c550.071e

 

Oct 12 15:01:40: dot1x-ev:Found a supplicant block for mac 0000.0000.0000 BB5A08

 

Oct 12 15:01:40: dot1x-ev:auth_initialize_enter:0015.c550.071e: Current ID=0

 

Oct 12 15:01:40: dot1x-ev:dot1x_port_cleanup_author: cleanup author on interface FastEthernet0/18

Oct 12 15:01:40: dot1x-ev:dot1x_update_port_status: Called with host_mode=0 state UNAUTHORIZED

 

auffällig:

15:01:10 erster versuch

15:01:40 zweiter versuch - macadresse aufeinmal da

sieht also verdammt nach 30 sekunden timer aus (die sind auch standardmässig eingestellt) nur glaub ich trotzdem das da irgendwas anderes nicht stimmt weils ja kaum so sein wird das damit gerechnet wird das der erste request "daneben" geht.

 

bin für jede hilfe dankbar

mfg

Link zu diesem Kommentar

versucht mit verschiedenen PCs:

Alle mit XP Pro SP2 + alle updates, Authentifizierung: 802.1x aktiviert, EAPTyp: Smartcard oder anderes Zertifikat (User und PC Zertifikat sind vorhanden) ist auf IAS hinterlegt das beide in einer speziellen gruppe sein müssen und sind dieses auch

 

0815 Portkonfig für 802.1x: (aus dem kopf.. bin grad nicht bei dem gerät)

 

spanning-tree portfast

switchport mode access

dot1x port-control auto

switchport access vlan 101

dot1x guest-vlan 3

 

und natürlich sind die beiden radius server am switch angegeben und dot1x global aufgedreht.

 

Wiegesagt: funktionieren tuts ja nur meiner meinung nach viel zu langsam.

genaue konfig könnt ich morgen früh schicken.

Link zu diesem Kommentar

So hier meine wirkliche switchkonfig in kurzform: (alles 802.1x spezifische)

 

dot1x system-auth-control

 

interface FastEthernet0/18

switchport access vlan 101

switchport mode access

dot1x port-control auto

dot1x guest-vlan 3

spanning-tree portfast

 

radius-server host 172.16.100.6 auth-port 1812 acct-port 1813 key xxxx

radius-server host 172.16.100.29 auth-port 1812 acct-port 1813 key xxxx

radius-server retransmit 3

 

 

Das mit timer runtersetzen hab ich natürlich schon gemacht, nur hab ich in den cisco how to's gelesen das man die werte nur im "notfall" ändern sollte. kann mir nicht vorstellen das da alles so funkt wies soll.

Link zu diesem Kommentar

Hi,

 

hast du mal nachgesehen was auf der XP Seite und auf dem ISA im Log steht? Ob da irgendeine Fehlermeldung ist. Das könnte auch weiterhelfen.

 

Also ich würde sagen, wenn sonst nix weiterhilft, dann ist das runtersetzen des Timers genau hier richtig. Weil es ja anscheinend nur ein Timingproblem ist, wenn es beim zweiten Mal immer klappt.

 

Fu

Link zu diesem Kommentar

Also weder im IAS Log noch im XP log ist was auffällig zu finden.

 

vielleicht ist es aber wirklich normal das es "solang" dauert bis der switch den port freigibt.

 

hat vielleicht irgendwer ähnliche konfig (Cisco switch mit 802.1x+IAS und dhcp server) und kann mir sagen wielangs bei ihm dauert bis switch port freigibt und rechner ip adresse bekommt?

 

mfg

martin

Link zu diesem Kommentar

Hallo,

 

eine wirkliche Lösung habe ich noch nicht dafür.

Eine Möglichkeit wäre, den/die Timer etwas herabzusetzen (tx-period) auf wenige sekunden statt 30.

 

irgendwie hab ich den verdacht, dass vielleicht ein securityupdate von xp schuld daran sein könnte, weil ich glaube mich erinnern zu können, dass wir das problem vor einem halben jahr beim testen nicht gehabt haben.

 

 

mfg

Link zu diesem Kommentar

Hallo,

 

wir gehen am Montag nochmal das Thema an. Wir arbeiten mit unserem Systemhaus zusammen an diesem Thema. Die hatten schon einige solcher Installationen, aber noch nie dieses Problem. Wir testen das Ganze am Montag mit einer anderen Cisco Switch, damit wir wenigstens mal festlegen können, auf welcher Seite der Fehler zu suchen ist. Ich halte Euch auf dem laufenden ...

 

Gruß

Carsten

Link zu diesem Kommentar

Hallo,

 

wir haben heute den ganzen Tag getestet ... leider bisher ohne Erfolg!

 

Wir haben derzeit rausgefunden, dass der Switch auf den Client wartet und von XP erst nach ca. 1-2 Minuten eine Antwort kommt. Ein XP ohne ServicePack bringt das gleiche Resultat wie ein XP mit den allerneuesten Updates. Ebenso ein 2950 mit 12.1 IOS und ein 3550 mit 12.2 IOS.

 

Wir suchen weiter ...

 

Gruß

Carsten

Link zu diesem Kommentar

Hallo,

 

bei mir ist es so, wenn ich Radius-Debugging einschalte das beim ersten Request des Switches der PC bei der Antwort keine MAC Adresse mitgeschickt. daraufhin wartet der Switch lt. timer 30 sekunden und probierts anschließend wieder. (zumindest habe ich es so interepretiert, ich weiß nicht 100pro ob es sich tatsächlich so verhält)

 

sehr komisch, vorallem das eure Firma solche Konfigurationen schon durchgeführt hat und aufeinmal auch dieses Problem hat und nicht weiter weiß.

 

ich weiß nur das wir im februar dieses jahres schonmal getestet haben, und damals wär mir die lange wartezeit nicht aufgefallen. (gleicher switch damals, gleiches IOS -> deshalb auch meine vermutung das client (->XP) "schuld" ist).

 

mfg

Martin

Link zu diesem Kommentar

Hola,

 

Windows XP SP2:

 

|Time | Cisco_12:0c:1a | Spanning-tree-(for-bridges)_03| Ibm_2d:50:31 |

|0,718 | Request, Identity [ | |EAP: Request, Identity [RFC3748]

| |(0) ------------------> (0) | |

|31,587 | Request, Identity [ | |EAP: Request, Identity [RFC3748]

| |(0) ------------------> (0) | |

|62,456 | Request, Identity [ | |EAP: Request, Identity [RFC3748]

| |(0) ------------------> (0) | |

|94,361 | Request, Identity [ | |EAP: Request, Identity [RFC3748]

| |(0) ------------------> (0) | |

***************************************************************

==> 94 Sekunden später ==> WinXP antwortet

***************************************************************

|104,537 | | Response, Identity |EAP: Response, Identity [RFC3748]

| | |(0) <------------------ (0) |

|104,559 | Request, MD5-Challe | |EAP: Request, MD5-Challenge [RFC3748]

| |(0) ------------------> (0) | |

|104,562 | | Response, MD5-Chall |EAP: Response, MD5-Challenge [RFC3748]

| | |(0) <------------------ (0) |

|104,580 | Success | | |EAP: Success

| |(0) ------------------> (0) | |

 

 

 

Anderer Sup:

|Time | Cisco_6b:07:0c | Spanning-tree-(for-bridges)_03| Ibm_d0:dd:40 |

|0,000 | Failure | | |EAP: Failure

| |(0) ------------------> (0) | |

|0,000 | Request, Identity [ | |EAP: Request, Identity [RFC3748]

| |(0) ------------------> (0) | |

|0,014 | | Response, Identity |EAP: Response, Identity [RFC3748]

| | |(0) <------------------ (0) |

|10,018 | Request, Identity [ | |EAP: Request, Identity [RFC3748]

| |(0) ------------------> (0) | |

|10,018 | | Response, Identity |EAP: Response, Identity [RFC3748]

| | |(0) <------------------ (0) |

|10,029 | Request, PEAP [Pale | |EAP: Request, PEAP [Palekar]

| |(0) ------------------> (0) | |

|10,029 | | Response, Nak (Resp |EAP: Response, Nak (Response only) [RFC3748]

| | |(0) <------------------ (0) |

|10,040 | Request, MD5-Challe | |EAP: Request, MD5-Challenge [RFC3748]

| |(0) ------------------> (0) | |

|10,040 | | Response, MD5-Chall |EAP: Response, MD5-Challenge [RFC3748]

| | |(0) <------------------ (0) |

|10,068 | Success | | |EAP: Success

| |(0) ------------------> (0) | |

 

==> kein Cisco Thema ==> Windows

 

Ciao

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...