Les ACL préconfigurées attribuées par Radius Dell Networking série N affichent les noms dynamiques dans la version 6.7.X

Les ACL préconfigurées attribuées à Radius sont des listes d’accès créées localement sur le commutateur au lieu d’être créées sur le serveur Radius pour être attribuées dynamiquement. Lorsque des ACL préconfigurées sont appliquées à l’aide de l’authentification Radius, le nom de l’ACL affiche une valeur dynamique au lieu du nom correct de l’ACL. Cette valeur créée dynamiquement est «IP-STATIC-IN-<session-id>#" où <session-id> est le suffixe de session 802.1X. Il s’agit du comportement observé même lorsque les captures de paquets montrent que le serveur Radius envoie la valeur d’ACL correcte. En outre, le comportement est observé soit lors de la configuration d’un Filter-ID, soit d’une paire AV-Pair propriétaire du fournisseur (26) ip:inacl attribut.   

Dans l’exemple suivant, une ACL est créée sur le commutateur et une interface est configurée pour s’authentifier à l’aide de 802.1X ou MAB (MAC Authentication Bypass). Après cette configuration, le serveur Radius doit être configuré pour attribuer l’ACL préconfigurée créée.

ip access-list TEST_ACL
10 permit every
exit

interface Gi1/0/1
spanning-tree portfast
authentication host-mode multi-domain
...
mab auth-type pap
authentication order dot1x mab
authentication priority dot1x mab
exit

Après avoir configuré l’authentification, il est possible de voir la valeur correcte dans le paquet Radius Access-Accept :

RADIUS Protocol
    Code: Access-Accept (2)
    Packet identifier: 0x5e (94)
    Length: 89
    Authenticator: d38a0bc0dc1c0af01c210abf94634fd4
    [This is a response to a request in frame 140]
    [Time from request: 0.006635000 seconds]
    Attribute Value Pairs
        AVP: t=Filter-Id(11) l=11 val=TEST_ACL
            Type: 11
            Length: 11
            Filter-Id: TEST_ACL
        AVP: t=Framed-Protocol(7) l=6 val=PPP(1)
        AVP: t=Service-Type(6) l=6 val=Framed(2)
        AVP: t=Class(25) l=46 val=c3a30ab300000137000102000aedb346000000002cb41edf368d6bb101db61e21976dfe4…

Sous « show authentication clients », la valeur DACL (ACL dynamique) affiche un nom dynamique (IP-STATIC-IN-000000004 dans l’exemple) au lieu du nom correct de l’ACL (TEST_ACL) :

SW-OS6#show authentication clients gigabitethernet 1/0/1

Interface...................................... Gi1/0/1
Mac Address.................................... 00:aa:bb:cc:dd:ee
User Name...................................... 00:aa:bb:cc:dd:ee
VLAN Assigned Reason........................... RADIUS Assigned VLAN (100)
Host Mode...................................... multi-domain
Method......................................... mab
Control Mode................................... auto
Session time................................... 273403
Session timeout ............................... 0
Session Termination Action..................... Default
Filter ID......................................
RADIUS Framed IPv4/IPv6 address................
DACL........................................... IP-STATIC-IN-00000004
Redirect ACL...................................
Redirect URL...................................
Acct SessionId................................. 001565207661:100000004

Ainsi, l’identification des ACL associées au client disposant d’ACL prédéfinies n’est pas un processus simple. 

Il s’agit du comportement par défaut dans les versions 6.7. 

Il s’agit du comportement par défaut dans les versions 6.7. Ce comportement a déjà été corrigé dans la version 6.8.0.1. Pour les commutateurs de la série N qui ne prennent en charge que les versions jusqu’à 6.7 (comme les N2000), le comportement sera modifié dans une future version 6.7.1.X. En attendant, les ACL attribuées à l’aide de Radius peuvent toujours être diagnostiquées à l’aide de la commande "show ip access-lists <ACL-dynamic-name>", where <ACL-dynamic-name> is the DACL attribute shown under "show authentication clients <PORT>", mais la correspondance entre le nom d’ACL dynamique et l’ACL configurée localement est un processus manuel.