背景信息
802.1X认证系统使用可扩展认证协议EAP(Extensible Authentication Protocol)来实现客户端、设备和认证服务器之间的信息交互。EAP认证方法可分为EAP中继(常用的有EAP-TLS、EAP-TTLS、EAP-PEAP)和EAP终结(常用的有PAP和CHAP)。
配置EAP认证方法时需要注意以下几点:|
1、需要保证客户端、设备和认证服务器上EAP认证方法配置一致。
仅RADIUS认证支持EAP中继方式。|
2、本地认证仅支持EAP终结方式。
3、对于绝大多数终端,设备需配置EAP中继方式。
4、由于手机终端通常不支持EAP终结方式,故手机终端认证时不支持配置为802.1X+本地认证方式。笔记本电脑等终端也需要安装第三方客户端才能支持EAP终结方式。
5、当接口下已经有802.1X用户在线时,在接口绑定的802.1X接入模板下修改EAP认证方法,如果是EAP终结和EAP中继两种方式之间切换,已经在线的用户会下线,如果是EAP终结之间的CHAP和PAP之间切换,用户不会下线。
处理步骤
注:
NAC配置模式分为统一模式和传统模式两种,不同模式下的故障处理方法有差异。故障处理前,请先执行命令display authentication mode确认NAC配置模式:
1、回显信息中显示Current authentication mode is unified-mode,表示当前为统一模式。
2、回显信息中显示Current authentication mode is common-mode,表示当前为传统模式。
统一模式
执行命令display dot1x-access-profile configuration,根据Authentication method字段检查设备配置的EAP认证方法与客户端和RADIUS服务器是否一致。
统一模式下,802.1X用户认证方式默认为eap(即EAP中继认证方式)。如果不一致,请在802.1X接入模板视图下执行命令dot1x authentication-method { chap | pap | eap }修改802.1X用户认证方式。
传统模式
执行命令display current-configuration | include dot1x authentication-method,检查设备配置的EAP认证方法与客户端和RADIUS服务器是否一致。
传统模式下,802.1X用户认证方式默认为chap(即CHAP的EAP终结认证方式)。如果不一致,请在系统视图或接口视图下执行命令dot1x authentication-method { chap | pap | eap }修改802.1X用户认证方式。
注:
系统视图和接口视图下同时配置dot1x authentication-method时,接口视图下的配置优先生效。