故障排除:Omada 交換器 802.1X(Dot1X) 驗證失敗

Knowledgebase
Troubleshooting Guide
Authentication
06-26-2024

內容

目標

要求

介紹

故障排除步驟

結論

 

目標

如果您在 Omada 交換器上設定 802.1X 功能後遇到裝置無法成功驗證的問題,您可以依照下列故障排除步驟來解決問題。

要求

  • Omada 智慧型、L2+ 和 L3 交換器
  • Omada 控制器(軟體控制器 / 硬體控制器 / 雲端控制器,V5.9 或以上版本)

介紹

802.1X 協定控制用戶對網路的存取,防止身份不明或未經授權的用戶傳送和接收數據。

故障排除步驟

步驟 1. 檢查 Dot 1X 身份驗證全域設定。

前往 設定 > 驗證 > 802.1X,可以看到 802.1X 功能已啟用,並且已選擇 EAP 協定。

 

對於身份驗證協定,Omada 交換器支援 EAP 和 PAP 協定。EAP 和 PAP 協定的主要差別在於使用者密碼資訊的加密金鑰的產生和傳輸。

 

在 EAP 協定中,用於加密使用者密碼資訊的隨機加密金鑰由 Radius 伺服器產生,交換器只負責將 EAP 封包傳給驗證伺服器。整個驗證過程由驗證伺服器完成。使用 EAP 協定需要Radius 伺服器支援。

 

PAP 協定中,用於加密使用者密碼資訊的隨機加密金鑰由裝置本身產生,交換器將使用者名稱、隨機加密金鑰以及加密後的密碼資訊傳送給 Radius 伺服器進行相關驗證處理。現有的Radius 伺服器普遍都支援 PAP 協定。

可以看出,EAP 協定對交換器的壓力較小,但對驗證伺服器的壓力較大;而 PAP 協定則正好相反。你可以依據自身情況選擇適合的協定。

 

步驟 2. 檢查 Dot 1X 驗證埠設定。

前往 設定 > 驗證 > 802.1X,您可以在其中看到啟用了 802.1X 的交換器以及已啟用的連接埠。在控制器模式下,Port Control 預設都為自動。

 

對於不支援 802.1X 功能的用戶端設備,對應連接埠需要同時開啟 802.1X 和 MAB 功能。大多數印表機、IP 電話和傳真機不支援 802.1X 功能。啟用 MAB 功能後,交換器將使用使用者裝置的 MAC 位址作為使用者名稱和密碼向 Radius 伺服器發送 RADIUS 存取請求。

 

步驟 3. 檢查網路連線。

確認交換器與 Radius 伺服器之間的網路連線正常,並確保 Radius 伺服器使用的驗證通訊埠(通常為 1812,但也有例外)已啟用也沒有被封鎖。

 

步驟 4. 檢查 Radius 伺服器設定。

前往 設定 > Profiles > RADIUS 設定檔 檢查 Radius 伺服器的 IP 位址、共用金鑰和驗證通訊埠是否設定正確。

 

步驟 5. 檢查為 802.1X 選擇的 Radius 伺服器群組。

 前往 設定 > 驗證 >802.1X,您可以在其中看到所選的 RADIUS 設定檔是您在 步驟 4 中看到的設定檔。

 

步驟 6. 檢查是否設定了 ACL、IMPB、MAC 過濾或其他安全策略。

 

步驟 7. 檢查用戶端軟體。

確保用戶端軟體未故障且用戶端軟體版本支援目前的驗證方式。

如果以上故障排除步驟仍無法解決問題,您可以嘗試更換用戶端軟體。

結論

至此,802.1X 驗證失敗的故障排除處理完畢。

要了解各項功能和設定的更多詳細資訊,請前往 檔案下載 下載您的產品手冊。

 

Please Rate this Document

Related Documents