Probleemoplossing voor 802.1X-clients met draadloze LAN-controller Catalyst 9800: wijziging van de Eapol/802.1x-versie

Downloadopties

  • PDF     (250.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (90.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (76.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:31 juli 2024
Document-id:222259

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Dit document beschrijft hoe u oude IoT draadloze clients die geen nieuwere 802.1X-versies ondersteunen, kunt aansluiten.

Vereisten

Gebruikte componenten

Dit is gebaseerd op Catalyst 9800 van de draadloze LAN-controller waarin elke Cisco IOS® XE 17.x-versie wordt uitgevoerd.

Achtergrond

Het 802.1X protocol heeft tot nu toe 3 versies. 802.1X-2001 is versie 1, 802.1X-2004 is versie 2, 802.1X-2010 en alle daaropvolgende herzieningen maken gebruik van versie 3 identifier.

De IEEE-standaard is heel duidelijk dat elk apparaat zijn maximaal ondersteunde versie moet adverteren en vervolgens een gemeenschappelijke versie moet overeenkomen omdat alle versies achterwaarts compatibel zijn.

Catalyst 9800 WLC adverteert met 802.1X en eapol versie 3.

In veel gevallen antwoordt de draadloze client met 802.1X versie 1 en kan de verificatie worden voortgezet met de implementatie van versie 1, bijvoorbeeld.

Sommige specifieke oudere IoT-clients verwachten echter een specifieke 802.1X-versie aan de andere kant te zien en tolereren geen nieuwe versie die ze niet begrijpen. Dit is een schending van de norm. Soms kunt u uw IoT-apparaat echter niet eenvoudig bijwerken en moet u ermee leven. Het is daarom mogelijk om de 802.1X versie op de controller aan te passen om deze clients te maken.

Er zijn geen goede redenen om deze versie aan te passen tenzij u bewijzen hebt dat u met dit probleem met een specifieke reeks cliënten wordt geconfronteerd!

Controleer of u dit probleem hebt

Hier is een voorbeeld van het werken radioactief spoor waar de controller adverteert versie 3 maar de client met recht antwoordt met een lagere versie en authenticatie kan doorgaan:

{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Posting RESTART on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Entering init state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Entering idle state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Posting !AUTH_ABORT on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Entering restart state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Resetting the client 0xD8000002
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Override cfg - MAC <MAC> - profile (none)
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Override cfg - SuppTimeout 30s, ReAuthMax 2, MaxReq 2, TxPeriod 30s
 {wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Sending create new context event to EAP for 0xD8000002 (7a9d.d7f6.710f)
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Posting !EAP_RESTART on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Enter connecting state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Restart connecting
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Posting RX_REQ on Client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Authenticating state entered
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Connecting authenticating action
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Entering request state
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Setting EAPOL eth-type to 0x888e, destination mac to 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Sending out EAPOL packet
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] Sent EAPOL packet - Version : 3,EAPOL Type : EAP, Payload Length : 5, EAP-Type = Identity
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] EAP Packet - REQUEST, ID : 0x1 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:unknown] Pkt body: 01 01 00 05 01 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] EAPOL packet sent to client
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>] Received EAPOL packet - Version : 1,EAPOL Type : EAP, Payload Length : 12, EAP-Type = Identity
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [<MAC>:capwap_9000002c] EAP Packet - RESPONSE, ID : 0x1 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:unknown] Pkt body: 02 01 00 0c 01 34 34 37 33 36 34 35 
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Queuing an EAPOL pkt on Authenticator Q
{wncd_x_R0-0}{1}: [dot1x] [25076]: (info): [0000.0000.0000:capwap_9000002c] Dequeued pkt: CODE = 2,TYPE = 1,LEN = 12

(...) RADIUS authentication follows

Een niet-werkende output ziet er gelijkaardig omhoog tot het EAP identiteitsverzoekbericht dat door WLC/AP wordt verzonden en dan antwoordt de cliënt om het even wat aan het niet.

Eapol/802.1X-versie wijzigen

WLC#show dot1x all
Sysauthcontrol                Disabled
Dot1x Protocol Version               3
WLC#config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
WLC(config)#service internal
WLC(config)#dot1x eapol version 2
WLC(config)#exit
WLC#show dot1x all
Sysauthcontrol                Disabled
Dot1x Protocol Version               2

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
31-Jul-2024
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Nicolas Darchis
    CX technisch aanvoerder

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten