配置:1、交换机是否支持802.1x:大致判断方法:全局模式或系统模式或接口模式下尝试输入dot1x ?严格判断方法:收集到客户交换机品牌型号,到交换机厂商官网查看用户手册确认支持802.1x功能。
2、确认接入交换机已进行了正确的配置,包括全局配置和端口配置都正确,共享秘钥。可参考对应的交换机厂家配置指南。参考交换机配置如下:交换机配置生成工具
3、哑终端认证(MAB)需确认存在用户绑定配置和交换机是否开启了MAB认证,且填写绑定的绑定目的是免认证;该绑定关系不能绑定IP不然否者会导致MAB认证不成功。 4.多机环境下802.1x认证配置当前版本暂不同步
5.认证成功后,将终端MAC地址缓存在设备内存中5分钟并查找对应的IP地址,若用户认证不上线情况需检查:
1)、是否发送了计费报文或者流量经过设备(如果未发送计费报文但流量经过设备的情况,会存在用户注销不了了现象,需要依赖交换机发送注销报文)
2)、计费报文中是否携带客户端IP
3)、若第二点不携带确认是否配置跨三层且获取到ARP表(跨三层配置是必须的,纯二层环境也需要跨三层才能获取到ip并上线)。
网络环境:
1、802.1x认证交互主要依靠UDP端口1812和1813的radius报文,所以在认证不成功的情况下,先要检查AC与三层交换机是否通信正常及抓包确认是否有UDP1812及1813端口的报文。如下:
![]()
2、使用AD域账号进行认证时需确认: 1)、AC设备是否加入AD域
2)、AC成功加入AD域,但AC设备不能ping通AD域。
3)、AD域服务器上445端口是否能通讯
4)、查看设备能否正常解析AD域名,可以手动将设备DNS指向AD域DNS
