Dépannage : l'authentification 802.1X (Dot1X) échoue sur le switch Omada

Knowledgebase
Troubleshooting Guide
Authentication
06-26-2024

Contenu

Objectif

Exigences

Introduction

Étapes de dépannage

Conclusion

 

Objectif

Si vous rencontrez le problème des appareils incapables de s'authentifier avec succès après avoir configuré la fonctionnalité 802.1X sur le commutateur Omada, vous pouvez suivre les étapes de dépannage ci-dessous pour résoudre le problème.

Exigences

  • Commutateurs Omada Smart, L2+ et L3
  • Contrôleur Omada (contrôleur logiciel / contrôleur matériel / contrôleur basé sur le cloud, V5.9 et supérieur)

Introduction

Le protocole 802.1X contrôle l'accès d'un utilisateur au réseau et empêche les utilisateurs non identifiés ou non autorisés de transmettre et de recevoir des données.

Étapes de dépannage

Étape 1. Vérifiez la configuration globale de l’authentification Dot 1X.

Accédez à Paramètres > Authentification > 802.1X , où vous pouvez voir que la fonction 802.1X a été activée et que le protocole EAP a été sélectionné.

 

Pour le protocole d'authentification, le commutateur Omada prend en charge les protocoles EAP et PAP. La principale différence entre les protocoles EAP et PAP réside dans la génération et la transmission de la clé de chiffrement pour les informations de mot de passe de l'utilisateur.

 

Dans le protocole EAP, la clé de chiffrement aléatoire utilisée pour chiffrer les informations de mot de passe de l'utilisateur est générée par le serveur Radius, et le commutateur est uniquement responsable de la transmission transparente des paquets EAP au serveur d'authentification. L'ensemble du processus d'authentification est complété par le serveur d'authentification. L'utilisation du protocole EAP nécessite que le serveur Radius le prenne en charge.

 

Dans le protocole PAP, la clé de cryptage aléatoire utilisée pour crypter les informations de mot de passe de l'utilisateur est générée par le périphérique lui-même, et le commutateur envoie le nom d'utilisateur, la clé de cryptage aléatoire et les informations de mot de passe cryptées au serveur Radius pour le traitement d'authentification approprié. Les serveurs Radius existants supportent généralement le protocole PAP.

On peut constater que le protocole EAP exerce moins de pression sur le commutateur mais davantage sur le serveur d'authentification, alors que le protocole PAP est tout le contraire. Vous pouvez choisir le protocole approprié en fonction de votre propre situation.

 

Étape 2 . Vérifiez la configuration du port d'authentification Dot 1X.

Accédez à Paramètres > Authentification > 802.1X , où vous pouvez voir les commutateurs sur lesquels 802.1X est activé et les ports qui ont été activés. En mode Contrôleur, le contrôle des ports est défini sur Auto par défaut.

 

Pour les périphériques utilisateur qui ne prennent pas en charge la fonction 802.1X, les ports correspondants doivent activer les fonctions 802.1X et MAB. La plupart des imprimantes, téléphones IP et télécopieurs ne prennent pas en charge la fonction 802.1X. Après avoir activé la fonction MAB, le commutateur envoie la demande d'accès RADIUS au serveur Radius en utilisant l'adresse MAC du périphérique utilisateur comme nom d'utilisateur et mot de passe.

 

Étape 3 . Vérifiez la connectivité réseau.

Assurez-vous que la liaison réseau entre le commutateur et le serveur Radius est normale et assurez-vous également que le port d'authentification (généralement 1812, mais il existe des exceptions) utilisé par le serveur Radius est activé.

 

Étape 4. Vérifiez la configuration du serveur Radius.

Accédez à Paramètres > Profils > Profil RADIUS pour vérifier si l'adresse IP, la clé partagée et le port d'authentification du serveur Radius sont correctement configurés.

 

Étape 5. Vérifiez le groupe de serveurs Radius sélectionné pour 802.1X.

Accédez à Paramètres > Authentification > 802.1X , où vous pouvez voir que le profil RADIUS sélectionné est celui que vous avez vu à l'étape 4 .

 

Étape 6. Vérifiez si les politiques ACL, IMPB, MAC Filtering ou autres politiques de sécurité sont configurées.

 

Étape 7. Vérifiez le logiciel client.

Assurez-vous que le logiciel client n'est pas endommagé et que la version du logiciel client prend en charge la méthode d'authentification actuelle.

Si les étapes de dépannage ci-dessus ne parviennent toujours pas à résoudre le problème, vous pouvez essayer de remplacer le logiciel client.

Conclusion

Nous avons maintenant terminé le dépannage de l'échec de l'authentification 802.1X.

Pour en savoir plus sur chaque fonction et configuration, rendez-vous sur le Centre de téléchargement pour télécharger le manuel de votre produit.

Veuillez noter ce document

Documents connexes