终端要先关联成功后,才能进行1x认证,所以要先确认终端是否关联成功了,在设备上show ac-config client | in xxx(终端mac地址),如果有表项,说明终端关联成功,开始1x认证了,如果没有表项,则参考关联失败定位手册进行定位。
    如果是网络刚搭建的时候,全网都认证失败,包括手机终端、电脑终端都认证不了,那可能是设备或服务器配置有问题。
    如果在使用过程中,突然出现全网都认证失败,那可能是设备到服务器的网络断了,服务器不响应,或者服务器上配置了接入时段控制等策略拒绝接入。
1x认证设备上的基本配置如下:
1)配置1x认证服务器:
Ruijie(config)#radius-server host 172.18.105.10 key ruijie
--》 服务器ip地址为172.18.105.10,设备和服务器通信key为ruijie
2)配置1x认证方法,分为采用默认服务器组和指定服务器组:
采用指定服务器组的方式:
Ruijie(config)#aaa group server radius sam
Ruijie(config-gs-radius)#server 172.18.105.10
--》 指定服务器里的服务器ip地址为172.18.105.10
Ruijie(config)#aaa authentication dot1x test group sam
--》 指定test方法,只能用sam服务器组下的服务器。
采用默认服务器的方式:
Ruijie(config)#aaa authentication dot1x test group radius
--》 指定test方法,可以用所有的服务器。
Ruijie(config)#dot1x authentication test
--》 应用1x认证方法,方法名为test--》wlansec下的配置
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security rsn akm 802 enable
--》 wlan 1开启1x认证检测设备以上配置是否正确,并确认设备和服务器是否可通。如果服务器有开启vlan授权,则设备上要配置vlan-group,否则也会认证失败。
Ruijie(config-group)#interface-mapping 1 group 1
--》 将wlan 1映射到vlan-group 1
Ruijie(config)#vlan-group 1
--》 进入vlan-group 1
Ruijie(config-vlan-group)#vlan-list 1
--》 配置vlan-group 1的vlan,这里只配置了vlan 1
Ruijie(config-vlan-group)#default-vlan 1
--》 配置vlan-group的默认vlan为1
Ruijie(config-vlan-group)#vlan-assign-mode dot1x
--》 配置vlan-group的vlan分配为1x认证
下一步检查服务器上配置的设备ip地址是否正确,设备key是否和设备上配置的一致
检查接入控制中的用户信息校验,是否勾选了无线1x接入和智能终端1x接入。
检查用户或者用户所在的接入控制是否下发vlan,如果下发vlan,那么设备要配置vlan-group。
0 表示没有下发。
    如果终端一直都连接不上,用其他终端则连接正常,那么可能就是该终端的配置问题,请检查下终端的配置。如果非必现,需要根据收集的信息再进一步判断。
xp电脑连接1x认证需要如下配置:
点击网上邻居->属性->无线连接->属性,如下图所示:
选择“ruijie-802.1x(自动)”后,点击属性,身份验证和数据加密选择如下图红框内所示:
点击验证框,EAP类型选择如下图红框内所示:
点击上图的属性,出现如下图所示:
去掉验证服务器证书前的打钩,身份验证方法如上图红框内所示,点击配置,出现下图所示:
去掉上图红框内的勾。修改完成后,点击确定,然后按win7的方法连接ruijie-802.1x信号。
Win7 系统配置:
Win7 系统一般是不用配置的,但不排除某些终端存在异常,所以也检查下配置确认下。
1) 进入网络和共享中心
点击管理无线网络。
2) 添加一个ssid
3) 右击ssid进入属性
4) 切换到安全
5) 点击设置,去掉验证服务器证书
服务器证书不是可信任的,这里要去掉验证.
6) 点击配置,去掉自动使用windows登录名和密码
7) 退回到安全页面,点击高级设置
8) 指定用户身份认证
Andriod终端配置:
    Android终端正常也不需要配置的,只需输入用户名和密码就可以,也不排除某些终端存在异常,所以请检查下配置。
    点击 手机->设置->WLAN,点击开启WLAN,在搜索到的WLAN中,可以看到ruijie_802.1x无线信号(魅族手机通过手机下拉菜单的WLAN里可能会看不到这个信号,需要从“手机->设置->WLAN”才能看到),点击进行连接,首次连接需要输入用户名和密码,认证页面如下:
    确保EAP方法是PEAP,有些终端默认选的是EAP-SIM,这种认证方式服务器可能不支持,所以要修改成PEAP。(目前已知手机MEIZU MX2默认选的是EAP-SIM)
    只要在第一次连接的时候才会出现这个页面,后面如果要查看这个页面,可以选择忘记网络,然后再次连接就可以看到。
    有些终端没有上面的EAP方法等选项,只有输入用户名和密码的地方,那么是系统默认选择了PEAP方法。
下一步
    如图所示,进入服务器的日志管理,以终端的mac地址和用户名分别查找日志,看是否有认证日志,这里注意以mac地址查找是,mac地址比较是大写的,且中间没有连接符,如:C8E0EB75CF94。
    如果有认证日志提示用户名不存在或者密码错误,则检查下输入的用户名和密码
    如果有10s不允许抢占,则表示有超过限制个数的终端在使用,需要减少终端使用个数。
    可以根据日志提示原因,进行处理,如果没有相应的日志,则查看设备上打印的log。
    前提要开启wlog功能,开启命令是全局模式下wlan diag enable。开启后,终端出现连接不上后,show wlan diag sta sta xxx(终端mac地址)收集信息给后台分析,wlog一些常见原因如下:
(1)Authen timeout 表示认证超时,终端或服务器没有响应
(2)Authen reject表示服务器拒绝,具体需要看服务器的认证日志
    这个需要B8第二阶段的版本才有,常见的原因如下:
(1)Authen timeout 表示认证超时,终端或服务器没有响应
(2)Authen reject表示服务器拒绝,具体需要看服务器的认证日志
(3)reqid tout 表示客户端没有响应reqeust id报文
(4)Req tout表示客户端没有响应request 报文。
(5)Aaa timeout 表示服务器没有响应报文。
(6)cache deny 表示上一次认证的记账结束报文还么有回来,这个短时间内出现是正常的
下一步
    如图所示,进入服务器的日志管理,以终端的mac地址和用户名分别查找日志,看是否有认证日志,这里注意以mac地址查找是,mac地址比较是大写的,且中间没有连接符,如:C8E0EB75CF94。
    如果有认证日志提示用户名不存在或者密码错误,则检查下输入的用户名和密码
    如果有10s不允许抢占,则表示有超过限制个数的终端在使用,需要减少终端使用个数。
    可以根据日志提示原因,进行处理,如果没有相应的日志,则查看设备上打印的log。
DOT1X-6-USER_ONLINE_FAIL: User(f024.758c.a71d) online fail, reason: Wait EAP response from supplicant timeout
--》 客户端超时。
DOT1X-6-USER_OFFLINE: User(f024.758c.a71d) offline, reason: Wait EAP ID/resp from supplicant timeout
--》 客户端超时,且超过最大认证次数失败。
    客户端超时可能原因是终端异常不回复报文 ,或者报文在空口传输中丢了,需要在该终端所关联的ap上看终端的信号强度(RSSI),命令是show dot
    如果RSSI值低于20,就表示信号很不好了。
DOT1X-6-USER_ONLINE_FAIL: User(f024.758c.a71d) online fail, reason: AAA reject
--》 服务器拒绝,查看服务器认证日志排查。
DOT1X-6-USER_ONLINE_FAIL: User(f024.758c.a71d) online fail, reason: Wait EAP request from AAA server timeout
--》 服务器超时,检查服务器配置的key是否和设备相同,设备和服务器的通路是否有问题,服务器是否异常导致不能响应。
    如果是服务器超时,上面的方法还不能确认,则需要在ac上联口或者服务器上抓包确认下超时原因。
    如果是客户端超时,上面的方法还不能确认原因,则需要检查下网络环境信号强度是否达标,进一步需要空口抓包确认下。
    如果设备上没有日志,则查看下表项状态,发给后台分析。
show dot1x user mac xxx(终端mac地址)
--》 查看1x用户表项
show wlan diag sta sta xxx(终端mac地址)
--》 查看wlog表项,前提需要开启wlog。
    终端的信号很弱,或者无线环境过于嘈杂,会导致无线链路不稳定。如果在1x认证的过程中出现丢包,可能导致1x认证失败。判断网络信号是否达标有几种方法:
1) 通过抓包工具,在AP和STA所处的位置分别对1x认证过程进行抓包。
2) 通过电脑上的信号扫描软件,如inSSIDer,WirelessMon来观察信号强度。
3) 通过网络分析仪,频谱仪等设备,分析信号强度
4) 将终端放到AP天线附近,尝试进行关联操作,对比是否有改善。
    如果判断问题和信号强度或信道嘈杂有关,可疑尝试以下方法进行进一步确认和解决:
1) 检查AP的覆盖情况。包括调整AP的发射功率;检查AP天线/馈线的安装是否到位;检查AP/天线的安装是否规范,是否符合安装手册要求。
2) 是否存在覆盖区域过大,需要增加AP部署的情况。
3) 调整AP/天线的位置或角度,是否对问题有改善。
4) 切换相对干净信道进行对比,观察是否有改善。
下一步    这个需要B8第二阶段的版本才有,常见的原因如下:
1) handle author fail 表示vlan授权失败,可能没有配置vlan-group
2) conflict Account 表示同个终端先后用不同的用户认证,可以开dot1x multi-account enable功能
3) reqid tout 表示客户端没有响应reqeust id报文
4) Req tout表示客户端没有响应request 报文。
5) Aaa timeout 表示服务器没有响应报文。
6) cache deny 表示上一次认证的记账结束报文还么有回来,这个短时间内出现是正常的
    频繁掉线,可能是配置不当,设备会定时踢用户下线。或者终端频繁漫游,而漫游触发的1x认证又失败。
    如果出现频繁掉线,可能是设备上配置了dot1x valid-ip-acct enable功能,但是没有开启ip dhcp snooping功能,或终端采用静态ip地址,这种情况下,设备默认5分钟会踢用户下线。
解决方法:终端采用dhcp方式获取ip地址,且设备上开启ip dhcp snooping
具体配置如下:
Ruijie(config)#ip dhcp snooping
    前提要开启wlog功能,开启命令是全局模式下wlan diag enable。开启后,终端出现连接不上后,show wlan diag sta sta xxx(终端mac地址)收集信息给后台分析。
常见的原因如下:
(1)Supplicant restart 表示漫游重认证失败
(2)User request 表示终端主动下线
(3)Lost carrier 表示终端没有snooping表项,被1x踢下线
(4)Admin reset表示被服务器踢下线
(5)Sta Offline 表示认证过程中终端解关联了
下一步    这个需要B8第二阶段的版本才有,常见的原因如下:
(1)reqid tout 表示客户端没有响应reqeust id报文
(2)Req tout表示客户端没有响应request 报文。
(3)Aaa timeout 表示服务器没有响应报文。
命令是show dot1x user diag mac xxx(终端mac地址)
    由于1x认证阶段没有ip地址的,所以认证成功后服务器上会出现0ip地址。
    检查设备是否开启了dot1x valid-ip-acct enable,如果开启了该功能表示获取了IP地址才发记账开始报文,如果默认5分钟内没有获取到ip地址,则踢用户下线,这时候没有发记账报文(B8之前版本),服务器上的表项就会残留。服务器凌晨会清除这些残留表项的。