Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Авторизация CiscoPhone по 802.1х (ISE - dot1x - phone6911)

Добрый день, коллеги!

Только начинаю разбираться с ISE, пробую механизмы и оборудование на стенде. Возник вопрос: Подскажите пожалуйста, кто-нибудь использует схему авторизации телефона 6911 через ISE, с использованием LSC сертификата и dot1x? И возможна ли это вообще с данной моделью?

На модели 6941 все завелось на ура! Телефон устанавливает связь, ISE авторизует по предзагруженному сертификату, доступ предоставляется. Но с 11-моделью все стопорится и причина отбоя следующая: 5440 Endpoint abandoned EAP session and started new, и так по кругу.

Степы на ISE:
11001 Received RADIUS Access-Request
11017 RADIUS created a new session
15049 Evaluating Policy Group
15008 Evaluating Service Selection Policy
15048 Queried PIP - Normalised Radius.RadiusFlowType
15048 Queried PIP - Radius.NAS-Port-Type
15004 Matched rule - BLK-WIRED-DOT1X
11507 Extracted EAP-Response/Identity
12500 Prepared EAP-Request proposing EAP-TLS with challenge
12625 Valid EAP-Key-Name attribute received
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
11018 RADIUS is re-using an existing session
12502 Extracted EAP-Response containing EAP-TLS challenge-response and accepting EAP-TLS as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12505 Prepared EAP-Request with another EAP-TLS challenge
11006 Returned RADIUS Access-Challenge
5440 Endpoint abandoned EAP session and started new ( Step latency=95705 ms)
 

Конфиг порта коммутатора:

switchport access vlan 200
switchport mode access
switchport voice vlan 100
ip access-group Auth-Default-ACL in
authentication event fail action next-method
authentication host-mode multi-domain
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
authentication violation restrict
mab
snmp trap mac-notification change added
snmp trap mac-notification change removed
dot1x pae authenticator
dot1x timeout tx-period 10
spanning-tree portfast
spanning-tree bpduguard enable

Подскажите куда смотреть, и что можно подкрутить.

55
Просмотры
0
Полезный материал
0
Ответы
СоздатьДля создания публикации, пожалуйста в систему