Solucione problemas de alerta de falha recente do 802.1X no dispositivo Meraki

Opções de download

  • PDF     (1.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (658.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de maio de 2022
ID do documento:217894

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.


    Introduction

    Este documento descreve como resolver o recente alerta de falha 802.1X no dispositivo Meraki.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Entender a solução básica de rede de longa distância definida por software (SDWAN) da Meraki
    • Entender a política de acesso básica e a autenticação Radius

    Componentes Utilizados

    Este documento não se restringe a versões de software e hardware específicas.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Problema

    Os dispositivos Meraki usam a configuração de política do servidor AAA radius para autenticar o usuário final.

    Qual é o teste RADIUS em dispositivos Meraki?

    O alerta de falha recente do 802.1X exibiu que, se as mensagens periódicas de solicitação de acesso enviadas aos servidores RADIUS configurados estiverem inacessíveis, você deverá usar um período de tempo limite de 10 segundos.

    Os dispositivos Meraki enviam periodicamente mensagens de solicitação de acesso aos servidores RADIUS configurados que usam a identidade meraki_8021x_test para garantir que os servidores RADIUS estejam acessíveis. Essas solicitações de acesso têm um tempo limite de 10 segundos e, se o servidor RADIUS não responder, ele considera que os servidores radius estão inalcançáveis e solicita a mensagem de alerta "Falha recente 802.1X". Consulte a captura de tela do alerta visto no dispositivo:
    Recent 802.1X Failure Alerts in Meraki

    Um teste é considerado bem-sucedido se o dispositivo Meraki receber qualquer resposta RADIUS legítima (Access-Accept/Reject/Challenge) do servidor.

    Com o teste RADIUS ativado, todos os servidores RADIUS são mantidos em execução de teste em cada nó pelo menos uma vez por 24 horas, independentemente do resultado do teste. Se um teste RADIUS falhar para um determinado nó, ele testa novamente a cada hora até que ocorra um resultado que passe. Uma aprovação subsequente marca o servidor alcançável, limpa o alerta e retorna ao ciclo de teste de 24 horas.

    Configurar

    Diagrama de Rede

    Este é um diagrama simples de topologia que descreve a configuração:

    Generic Network Diagram for Meraki Setup

    Verificar e solucionar problemas

    Configuração 802.1X

    A configuração RADIUS 802.1X pode ser encontrada no caminho mostrado, dependendo do modelo do produto Meraki.

    1. Dispositivo de segurança MX (configurado para portas de acesso ou sem fio)

    • Para portas de acesso
      Segurança e SD-WAN > Endereçamento e VLANs

    • Para redes sem fio
      Segurança e SD-WAN > Configurações sem fio
      MX-Security Appliance Access Control Settings


    2. Pontos de acesso MR (habilitado por SSID (Service Set Identifier):
    Sem fio > Controle de acesso
    MR-Access Points Access Control Settings

    3. Switches MS
    Switch > Políticas de acesso
    MS-Switches Access Control Settings


    Teste de verificação de configuração 802.1X

    • Painel Meraki > Modelo de rede > Switch > Políticas de acesso > Servidores RadiusTeste
    • Painel Meraki > Modelo de RedeTecnologia Wireless > Controle de acesso > Servidores Radius > Teste


    1. Se o resultado do teste for notado como All AP failed to connect radius server, você precisará verificar onde a solicitação de acesso foi removida.

    All Meraki Devices Fail to Connect to the Radius Server - Test Output Result


    2. Execute a captura de pacotes na porta de uplink e verifique o fluxo de solicitação de acesso. Consulte a captura de tela do acesso à captura de pacotes - A solicitação não recebe nenhuma resposta.
    Wireshark Output for Radius Connection Failed Packets

    3. Se o resultado do teste observado for retornado como credenciais de aceitação/rejeição/negação/resposta/incorreta, significa que o servidor radius está ativo.

    All Meraki Devices Tries to Connect to the Radius Server - Test Output Result

    4. Execute a captura de pacotes na porta de uplink e verifique o fluxo de solicitação de acesso. Consulte a captura de tela do acesso de captura de pacote - A solicitação recebeu uma resposta.

           Wireshark Output for Radius Connection Passed Packets

    Verificação da configuração da política de acesso

    1. É necessário verificar se o parâmetro mencionado na política de acesso está correto e inclui o IP do host, o número da porta e a chave secreta.

    Access Policy Configuration Verification on Meraki MS Devices


    2. Os IPs do servidor radius configurados são fictícios ou não são usados na produção ou a política de acesso não está em uso. Recomenda-se remover a política de acesso. Se quiser mantê-lo, você pode desativar a configuração de teste de RADIUS.

      Access Policy Settings in Meraki MS Devices



    Informações Relacionadas


    Nota

    • Quando os servidores radius pesquisam os dispositivos Meraki usam o IP da LAN e o nome de usuário padrão "meraki_8021x_test", o painel da Meraki usou o endereço MAC da Meraki como origem.
    • A Meraki disponibilizou visibilidade para esses alertas desde outubro de 2021.

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    20-May-2022
    Versão inicial
    1.0
    20-May-2022
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Suraj Pardule
      Engenheiro CMS

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco