Cisco Cisco Identity Services Engine 1.3 전단

 

 
 

© 2015 思科系统公司 

第

 15 页  

安全访问操作指南

策略不匹配

如果

 ISE 实时身份验证显示终端的身份验证成功，但是 show authentication sessions interface 

Gigabit x/y/z 的结果表明端口未经授权，则 ISE 策略和交换机之间可能策略不匹配。这意味着，虽然 

ISE 能够对会话进行身份验证和授权，但是从 ISE 发送到 NAD 的属性值对无效。此情况的常见原因包括： 

•

  VLAN 不存在。 

•

  存在 ACL 语法错误。 

•

  存在 AVP 语法错误。 

如果

 AAA 服务器已尝试分配交换机上未定义的 VLAN，则交换机将无法对端口授权。在以下示例中，

AAA 服务器尝试分配名为 EMPLOYEE 的 VLAN。交换机返回以下系统日志消息： 

Switch# 

Switch# 

May 28 07:06:11.156 UTC: %AUTHMGR-5-START: Starting 'dot1x' for client (0016.d42e.e8ba) on 

Interface Fa0/1 AuditSessionID C0A8013C0000066D9D16ABF7 

May 28 07:06:11.592 UTC: %DOT1X-5-SUCCESS: Authentication successful for client (0016.d42e.e8ba) 

on Interface Fa0/1 AuditSessionID  

May 28 07:06:11.592 UTC: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for 

client (0016.d42e.e8ba) on Interface Fa0/1 AuditSessionID C0A8013C0000066D9D16ABF7 

May 28 07:06:11.592 UTC: %DOT1X_SWITCH-5-ERR_VLAN_NOT_FOUND: Attempt to assign non-existent or 

shutdown VLAN EMPLOYEE to 802.1x port FastEthernet0/1 AuditSessionID C0A8013C0000066D9D16ABF7 

May 28 07:06:11.592 UTC: %AUTHMGR-5-FAIL: Authorization failed for client (0016.d42e.e8ba) on 

Interface Fa0/1 AuditSessionID C0A8013C0000066D9D16ABF7 

May 28 07:06:11.592 UTC: %EPM-6-POLICY_REQ: IP 0.0.0.0| MAC 0016.d42e.e8ba| AuditSessionID 

C0A8013C0000066D9D16ABF7| AUTHTYPE DOT1X| EVENT APPLY 

May 28 07:06:11.592 UTC: %EPM-6-IPEVENT: IP 0.0.0.0| MAC 0016.d42e.e8ba| AuditSessionID 

C0A8013C0000066D9D16ABF7| AUTHTYPE DOT1X| EVENT IP-WAIT 

May 28 07:06:11.592 UTC: %EPM-6-POLICY_REQ: IP 0.0.0.0| MAC 0016.d42e.e8ba| AuditSessionID 

C0A8013C0000066D9D16ABF7| AUTHTYPE DOT1X| EVENT REMOVE 

May 28 07:06:11.592 UTC: %DOT1X-5-RESULT_OVERRIDE: Authentication result overridden for client 

(0016.d42e.e8ba) on Interface Fa0/1 AuditSessionID C0A8013C0000066D9D16ABF7 

Switch# 

Switch# 

从以下输出中您可以看到，交换机的员工

 VLAN 命名为 EMP 而不是 EMPLOYEE： 

Switch#sh vlan | i EMP 

100  EMP     active    Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22,  

由于交换机没有

 VLAN 名称 EMPLOYEE 的精确匹配，因此其会向终端发送 EAP 失败消息。要修复此问题，

请重命名交换机上的

 VLAN，或者在 ISE 授权配置文件中定义正确的名称。 

在以下示例中，

dACL 使用错误的语法。ISE 发送了 allow ip any any 而不是 permit ip any any。 

Switch# 

May 28 07:11:59.395 UTC: %AUTHMGR-5-START: Starting 'dot1x' for client (0016.d42e.e8ba) on 

Interface Fa0/1 AuditSessionID C0A8013C000006719D1BFAB1 

May 28 07:11:59.815 UTC: %DOT1X-5-SUCCESS: Authentication successful for client (0016.d42e.e8ba) 

on Interface Fa0/1 AuditSessionID  

May 28 07:11:59.815 UTC: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for 

client (0016.d42e.e8ba) on Interface Fa0/1 AuditSessionID C0A8013C000006719D1BFAB1 

May 28 07:11:59.823 UTC: %EPM-6-POLICY_REQ: IP 0.0.0.0| MAC 0016.d42e.e8ba| AuditSessionID 

C0A8013C000006719D1BFAB1| AUTHTYPE DOT1X| EVENT APPLY 

May 28 07:11:59.823 UTC: %EPM-6-AUTH_ACL: POLICY Auth-Default-ACL| EVENT Auth-Default-ACL Attached 

Successfully