Troubleshooting for 802.1X (Dot1X) Authentication Fails on Omada Switch
內容
如果您在 Omada 交換器上設定 802.1X 功能後遇到裝置無法成功驗證的問題,您可以依照下列故障排除步驟來解決問題。
- Omada 智慧型、L2+ 和 L3 交換器
- Omada 控制器(軟體控制器 / 硬體控制器 / 雲端控制器,V5.9 或以上版本)
802.1X 協定控制用戶對網路的存取,防止身份不明或未經授權的用戶傳送和接收數據。
步驟 1. 檢查 Dot 1X 身份驗證全域設定。
前往 設定 > 驗證 > 802.1X,可以看到 802.1X 功能已啟用,並且已選擇 EAP 協定。
對於身份驗證協定,Omada 交換器支援 EAP 和 PAP 協定。EAP 和 PAP 協定的主要差別在於使用者密碼資訊的加密金鑰的產生和傳輸。
在 EAP 協定中,用於加密使用者密碼資訊的隨機加密金鑰由 Radius 伺服器產生,交換器只負責將 EAP 封包傳給驗證伺服器。整個驗證過程由驗證伺服器完成。使用 EAP 協定需要Radius 伺服器支援。
PAP 協定中,用於加密使用者密碼資訊的隨機加密金鑰由裝置本身產生,交換器將使用者名稱、隨機加密金鑰以及加密後的密碼資訊傳送給 Radius 伺服器進行相關驗證處理。現有的Radius 伺服器普遍都支援 PAP 協定。
可以看出,EAP 協定對交換器的壓力較小,但對驗證伺服器的壓力較大;而 PAP 協定則正好相反。你可以依據自身情況選擇適合的協定。
步驟 2. 檢查 Dot 1X 驗證埠設定。
前往 設定 > 驗證 > 802.1X,您可以在其中看到啟用了 802.1X 的交換器以及已啟用的連接埠。在控制器模式下,Port Control 預設都為自動。
對於不支援 802.1X 功能的用戶端設備,對應連接埠需要同時開啟 802.1X 和 MAB 功能。大多數印表機、IP 電話和傳真機不支援 802.1X 功能。啟用 MAB 功能後,交換器將使用使用者裝置的 MAC 位址作為使用者名稱和密碼向 Radius 伺服器發送 RADIUS 存取請求。
步驟 3. 檢查網路連線。
確認交換器與 Radius 伺服器之間的網路連線正常,並確保 Radius 伺服器使用的驗證通訊埠(通常為 1812,但也有例外)已啟用也沒有被封鎖。
步驟 4. 檢查 Radius 伺服器設定。
前往 設定 > Profiles > RADIUS 設定檔 檢查 Radius 伺服器的 IP 位址、共用金鑰和驗證通訊埠是否設定正確。
步驟 5. 檢查為 802.1X 選擇的 Radius 伺服器群組。
前往 設定 > 驗證 >802.1X,您可以在其中看到所選的 RADIUS 設定檔是您在 步驟 4 中看到的設定檔。
步驟 6. 檢查是否設定了 ACL、IMPB、MAC 過濾或其他安全策略。
步驟 7. 檢查用戶端軟體。
確保用戶端軟體未故障且用戶端軟體版本支援目前的驗證方式。
如果以上故障排除步驟仍無法解決問題,您可以嘗試更換用戶端軟體。
至此,802.1X 驗證失敗的故障排除處理完畢。
要了解各項功能和設定的更多詳細資訊,請前往 檔案下載 下載您的產品手冊。