终端要先关联成功后,才能进行1x认证,所以要先确认终端是否关联成功了,在设备上show ac-config client | in xxx(终端mac地址),如果有表项,说明终端关联成功,开始1x认证了,如果没有表项,则参考关联失败定位手册进行定位。
下一步如果是网络刚搭建的时候,全网都认证失败,包括手机终端、电脑终端都认证不了,那可能是设备或服务器配置有问题。
如果在使用过程中,突然出现全网都认证失败,那可能是设备到服务器的网络断了、服务器不响应,或者服务器上配置了接入时段控制等策略拒绝接入。
下一步1x认证设备上的基本配置如下:
配置1x认证服务器:
Ruijie(config)#radius-server host 172.18.105.10 key ruijie ---》服务器ip地址为172.18.105.10,设备和服务器通信key为ruijie
配置1x认证方法,分为采用默认服务器组和指定服务器组:
采用指定服务器组的方式:
Ruijie(config)#aaa group server radius sam
Ruijie(config-gs-radius)#server 172.18.105.10 --->指定服务器里的服务器ip地址为172.18.105.10
Ruijie(config)#aaa authentication dot1x test group sam --》指定test方法,只能用sam服务器组下的服务器。
Ruijie#show ip igmp sn user-info
采用默认服务器的方式:
Ruijie(config)#aaa authentication dot1x test group radius --》指定test方法,可以用所有的服务器。
Ruijie(config)#dot1x authentication test ---》应用1x认证方法,方法名为test
--》wlansec下的配置
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security rsn akm 802 enable --》wlan 1开启1x认证
检测设备以上配置是否正确,并确认设备和服务器是否可通。
如果服务器有开启vlan授权,则设备上要配置vlan-group,否则也会认证失败。
Ruijie(config-group)#interface-mapping 1 group 1 --》将wlan 1映射到vlan-group 1
Ruijie(config)#vlan-group 1 --》进入vlan-group 1
Ruijie(config-vlan-group)#vlan-list 1 --》配置vlan-group 1的vlan,这里只配置了vlan 1
Ruijie(config-vlan-group)#default-vlan 1 --》配置vlan-group的默认vlan为1
Ruijie(config-vlan-group)#vlan-assign-mode dot1x --》配置vlan-group的vlan分配为1x认证
下一步检查服务器上配置的设备ip地址是否正确,设备key是否和设备上配置的一致
检查接入控制中的用户信息校验,是否勾选了无线1x接入和智能终端1x接入。
检查用户或者用户所在的接入控制是否下发vlan,如果下发vlan,那么设备要配置vlan-group
0 表示没有下发。-group
xp电脑连接1x认证需要如下配置:
点击网上邻居->属性->无线连接->属性,如下图所示:
选择“ruijie-802.1x(自动)”后,点击属性,身份验证和数据加密选择如下图红框内所示:
点击验证框,EAP类型选择如下图红框内所示:
点击上图的属性,出现如下图所示:
去掉验证服务器证书前的打钩,身份验证方法如上图红框内所示,点击配置,出现下图所示:
去掉上图红框内的勾。修改完成后,点击确定,然后按win7的方法连接ruijie-802.1x信号。
Win7 系统配置:
Win7 系统一般是不用配置的,但不排除某些终端存在异常,所以也检查下配置确认下。
1、进入网络和共享中心
点击管理无线网络。
2、添加一个ssid
3、右击ssid进入属性
4、切换到安全
5、点击设置,去掉验证服务器证书
服务器证书不是可信任的,这里要去掉验证。
6、点击配置,去掉自动使用windows登录名和密码
7、退回到安全页面,点击高级设置
8、指定用户身份认证
Andriod终端配置
Android终端正常也不需要配置的,只需输入用户名和密码就可以,也不排除某些终端存在异常,所以请检查下配置。
点击 手机->设置->WLAN,点击开启WLAN,在搜索到的WLAN中,可以看到ruijie_802.1x无线信号(魅族手机通过手机下拉菜单的WLAN里可能会看不到这个信号,需要从“手机->设置->WLAN”才能看到),点击进行连接,首次连接需要输入用户名和密码,认证页面如下:
确保EAP方法是PEAP,有些终端默认选的是EAP-SIM,这种认证方式服务器可能不支持,所以要修改成PEAP。(目前已知手机MEIZU MX2默认选的是EAP-SIM)
只要在第一次连接的时候才会出现这个页面,后面如果要查看这个页面,可以选择忘记网络,然后再次连接就可以看到。
有些终端没有上面的EAP方法等选项,只有输入用户名和密码的地方,那么是系统默认选择了PEAP方法。
下一步
如图所示,进入服务器的日志管理,以终端的mac地址和用户名分别查找日志,看是否有认证日志,这里注意以mac地址查找是,mac地址比较是大写的,且中间没有连接符,如:C8E0EB75CF94。
如果有认证日志提示用户名不存在或者密码错误,则检查下输入的用户名和密码
如果有10s不允许抢占,则表示有超过限制个数的终端在使用,需要减少终端使用个数。
可以根据日志提示原因,进行处理,如果没有相应的日志,则查看设备上打印的log。
下一步前提要开启wlog功能,开启命令是全局模式下wlan diag enable。开启后,终端出现连接不上后,show wlan diag sta sta xxx(终端mac地址)收集信息给后台分析,wlog一些常见原因如下:
(1)Authen timeout 表示认证超时,终端或服务器没有响应
(2)Authen reject表示服务器拒绝,具体需要看服务器的认证日志
下一步(1)handle author fail 表示vlan授权失败,可能没有配置vlan-group
(2)conflict Account 表示同个终端先后用不同的用户认证,可以开dot1x multi-account enable功能。
(3)reqid tout 表示客户端没有响应reqeust id报文
(4)Req tout表示客户端没有响应request 报文。
(5)Aaa timeout 表示服务器没有响应报文。
(6)cache deny 表示上一次认证的记账结束报文还么有回来,这个短时间内出现是正常的
命令是show dot1x user diag mac xxx(终端mac地址)
下一步
如图所示,进入服务器的日志管理,以终端的mac地址和用户名分别查找日志,看是否有认证日志,这里注意以mac地址查找是,mac地址比较是大写的,且中间没有连接符,如:C8E0EB75CF94。
如果有认证日志提示用户名不存在或者密码错误,则检查下输入的用户名和密码
如果有10s不允许抢占,则表示有超过限制个数的终端在使用,需要减少终端使用个数。
可以根据日志提示原因,进行处理,如果没有相应的日志,则查看设备上打印的log。
下一步DOT1X-6-USER_ONLINE_FAIL: User(f024.758c.a71d) online fail, reason: Wait EAP response from supplicant timeout--》客户端超时。
DOT1X-6-USER_OFFLINE: User(f024.758c.a71d) offline, reason: Wait EAP ID/resp from supplicant timeout---》客户端超时,且超过最大认证次数失败。
客户端超时可能原因是终端异常不回复报文 ,或者报文在空口传输中丢了,需要在该终端所关联的ap上看终端的信号强度(RSSI),命令是show dot a a
如果RSSI值低于20,就表示信号很不好了。
DOT1X-6-USER_ONLINE_FAIL: User(f024.758c.a71d) online fail, reason: AAA reject---》服务器拒绝,查看服务器认证日志排查。
DOT1X-6-USER_ONLINE_FAIL: User(f024.758c.a71d) online fail, reason: Wait EAP request from AAA server timeout--》服务器超时,检查服务器配置的key是否和设备相同,设备和服务器的通路是否有问题,服务器是否异常导致不能响应。
Ruijie#show ip igmp sn user-info
如果是服务器超时,上面的方法还不能确认,则需要在ac上联口或者服务器上抓包确认下超时原因。
如果是客户端超时,上面的方法还不能确认原因,则需要检查下网络环境信号强度是否达标,进一步需要空口抓包确认下。
如果设备上没有日志,则查看下表项状态,发给后台分析。
show dot1x user mac xxx(终端mac地址) --》查看1x用户表项
show wlan diag sta sta xxx(终端mac地址)--》查看wlog表项,前提需要开启wlog。
下一步终端的信号很弱,或者无线环境过于嘈杂,会导致无线链路不稳定。如果在1x认证的过程中出现丢包,可能导致1x认证失败。判断网络信号是否达标有几种方法:
1) 通过抓包工具,在AP和STA所处的位置分别对1x认证过程进行抓包。
2) 通过电脑上的信号扫描软件,如inSSIDer,WirelessMon来观察信号强度。
3) 通过网络分析仪,频谱仪等设备,分析信号强度
4) 将终端放到AP天线附近,尝试进行关联操作,对比是否有改善。
如果判断问题和信号强度或信道嘈杂有关,可疑尝试以下方法进行进一步确认和解决。
1) 检查AP的覆盖情况。包括调整AP的发射功率;检查AP天线/馈线的安装是否到位;检查AP/天线的安装是否规范,是否符合安装手册要求。
2) 是否存在覆盖区域过大,需要增加AP部署的情况。
3) 调整AP/天线的位置或角度,是否对问题有改善。
4) 切换相对干净信道进行对比,观察是否有改善。
下一步这个需要B8第二阶段的版本才有,常见的原因如下:
(1)handle author fail 表示vlan授权失败,可能没有配置vlan-group
(2)conflict Account 表示同个终端先后用不同的用户认证,可以开dot1x multi-account enable功能。
(3)reqid tout 表示客户端没有响应reqeust id报文
(4)Req tout表示客户端没有响应request 报文。
(5)Aaa timeout 表示服务器没有响应报文。
(6)cache deny 表示上一次认证的记账结束报文还么有回来,这个短时间内出现是正常的
命令是show dot1x user diag mac xxx(终端mac地址)
下一步