排查步骤及命令:
1. 检查设备dot1x全局配置
display dot1x:确认全局dot1x是否开启(enabled),认证方式(如EAP)是否正确。
display dot1x interface GigabitEthernet X/X/X:查看对应端口dot1x是否开启(enabled),端口模式(access/trunk)是否正确,是否绑定认证模板。
2. 检查认证服务器连通性
ping 认证服务器IP:测试设备与RADIUS服务器的网络连通性。
display radius session:查看是否有认证请求发送到服务器。
debug dot1x packet:开启dot1x报文调试,检查客户端是否发送EAPOL-Start报文,设备是否转发到服务器。
3. 检查客户端配置
确认客户端(如Windows)已开启802.1X认证,EAP类型(如PEAP、EAP-TLS)与服务器一致,账号密码正确。
4. 检查RADIUS服务器配置
确认服务器IP、共享密钥与设备配置一致,用户账号已创建且权限正确,服务器日志是否有认证失败记录(如密码错误、账号过期)。
5. 检查端口安全
display port-security interface GigabitEthernet X/X/X:确认端口安全未限制MAC地址数量,或已允许dot1x动态MAC学习。
6. 检查VLAN配置
确认认证成功后分配的VLAN是否存在,端口是否允许该VLAN通过(trunk模式下)。
关键配置命令(示例):
全局开启dot1x
dot1x
端口开启dot1x
interface GigabitEthernet 1/0/1
dot1x enable
dot1x authentication-method eap
RADIUS服务器配置
radius scheme radius1
server-type extended
primary authentication 192.168.1.100 1812
key authentication simple radius_key
绑定RADIUS方案到dot1x
dot1x radius-scheme radius1
暂无评论