Настроить таймер на VLAN резервного доступа 802.1x

Настроить таймер на VLAN резервного доступа 802.1x, UniFi Network

anotherbhav

Guest

04.01.2019 21:53:00

Я знаю, что функция fallback VLAN для 802.1x появилась только в версии 5.9.29 и она работает, но мне хотелось бы точнее настроить таймер. Сейчас он ждет 90 секунд, прежде чем перевести пользователя на fallback VLAN. За это время Windows/Mac уже присвоит себе адрес 169.254.x.x и будет ждать еще минуту, прежде чем снова попытаться получить IP по DHCP. Можно ли уменьшить этот таймер до значения меньше 90 секунд? Я готов вручную прописать этот таймер в конфиге контроллера (я слышал, что эти настройки можно глобально раздать с контроллера), если не планируется добавлять возможность менять его через GUI контроллера.

На данный момент в конфиге коммутаторов я вижу только такие строчки:
switch.dot1x.guest_vlan=###
switch.port.#.port-security=disabled

Таймер в 90 секунд я взял из логов /var/log/messages:

Jan 4 16:03:19 switch1 daemon.notice switch: TRAPMGR: Link Up: 0/4
Jan 4 16:04:49 switch1 daemon.notice switch: DOT1X: Interface [ifName not found(144)] gets authenticated on guest VLAN ID 999 due to guest VLAN timer expiry.
Jan 4 16:04:49 switch1 daemon.info switch: DOT1S: Port (4) inst(0) role changing from ROLE_DISABLED to ROLE_DESIGNATED

edit 2019-01-22: лог изначально был вставлен в одну строку, я его отформатировал.

dlow Guest	#2 01.12.2021 16:48:00 @anotherbhav тебе, возможно, стоит добавить к исходному посту тег «Feature Request».

wxsis

Guest

01.12.2021 15:43:00

Просто добавлю немного подробностей, так как мы тоже с этим сталкиваемся. Похоже, они реализовали обходной путь, потому что наши Windows-клиенты получают доступ к гостевой VLAN только спустя 90 секунд, хотя клиент DHCP уже успевает "засечь таймаут". Они просто заново запрашивают IP через DHCP после этого таймаута. Тем не менее, полторы минуты — это действительно слишком долго, и этот параметр должен быть настраиваемым или, может быть, установленным на меньшее значение. Настройка, необходимая для каждого интерфейса, называется "dot1x timeout guest-vlan-period" и по умолчанию равна 90 секундам. Ручное добавление или изменение этого значения на меньшее обеспечивает приемлемо быстрый доступ к гостевой сети.

denetwerkdokter Guest	#4 04.11.2020 14:11:00 Есть ли у кого-нибудь решение по этому вопросу, пожалуйста?

christian_vsf Guest	#5 05.09.2020 10:03:00 То же самое у нас. Это мешает нам запускать это в продакшн. У некоторых наших пользователей Mac и на некоторых телефонах IP адрес вообще не назначается, если аутентификация не проходит.

pvl Guest	#6 02.09.2020 07:33:00 Согласен! Без этого это не корпоративный коммутатор!

vbman213 Guest	#7 12.09.2019 22:57:00 Согласен.

Gramkow Guest	#8 31.08.2019 10:19:00 Полностью согласен. Отсутствие этой функции делает 802.1x бесполезным в нынешней реализации по указанным причинам.

teropihlaja

Guest

17.07.2019 20:36:00

Отсутствие этой функции мешает нам использовать 802.1X в нашей компании: у нас есть несколько встроенных устройств, которые не поддерживают 802.1X. Стандартный таймаут (кажется, 90 секунд) для fallback VLAN в 802.1X слишком длинный для этих устройств, и они полностью перестают отправлять DHCP-запросы примерно через 25 секунд. В итоге устройство так и не получает IP-адрес, управляемый DHCP, на порту с включённым 802.1X.

anotherbhav Guest	#10 22.01.2019 19:16:00 Согласен. @UBNT-MikeD Можете сказать, кто отвечает за эту функцию? Можно ли её реализовать? В последних обсуждениях по 802.1x не слишком много представителей UBNT.

corsbj Guest	#11 22.01.2019 11:34:00 У меня та же ситуация. Текущая функция работает, но я не смогу запускать продукты, пока это не исправят или не изменят. Наши коммутаторы HP переключаются почти мгновенно, а коммутаторы Unifi переключаются очень долго.

Читают тему (гостей: 1)