こんばんは。

WLC(Catalyst 9800)のコンフィグと認証サーバ、DHCPサーバの設定が分からないので、的確な回答は困難ですが、切り分けのために簡単な方法から一つずつ進めていっては如何でしょうか。

具体的には、まずダイナミックVLANではなく固定VLAN方式・固定IPの設定にして無線LAN接続が出来ることを確認し、それが出来たら次は固定IPからDHCPサーバに変更、それも出来たら動的VLAN方式にするという感じで段階的に進めてはどうかと思います。その理由は今の状態ではWLC、認証サーバ、DHCPサーバのどれに問題があるのか分からないためです。

最後に、動的VLAN方式を使う場合は、認証成功後の認可フェーズで認証サーバからアトリビュートとしてVLAN-IDを通知する必要があるのですが、認証サーバではその設定は適切にされていますでしょうか。動的VLAN方式を用いる前に、まずは動的ACL(dACL)によるアクセスリスト配布が出来るかを確認する事で、認証サーバとのアトリビュートのやり取りが出来ているかの確認になりますし、WLCと認証サーバにどのような設定が必要になるかの整理につながると思います。

認証サーバがISEの場合の設定例ですが、下記が参考になると思いますので、ご一読いただければと思います。

https://www.infraexpert.com/study/ise-mab02.html

cja56910tf様

cja56910tf様

度々本当に申し訳ありません。
802.1X認証時のトレースを取得してみました。
CLIENT_STAGE_TIMEOUT State = AUTHENTICATINGが記録されており、
EAPのタイムアウト値を延長してみたのですが、事象変わりませんでした。
EAP-Request Max Retries-20に変更
EAPOL-Key Timeout (ms)―5000に変更
何かほかにできることはないでしょうか。

ご迷惑とは重々承知しておりますが、取得したログをアップさせていただきます。
ご確認いただけますと大変幸甚です。

こんばんは。

申し訳ないですが私はTACではないのでshow loggingの内容までは追いきれないです。
認証サーバがCisco ISEであれば、認証のどの段階の何が原因で失敗しているかが分かるのですが・・・

簡単に見たところ、APと端末間の無線通信を行うための認証には成功していますが、802.1X認証に失敗(タイムアウト)しているように見えます。
パスワードが違うとかではなくて応答が無いので、こちらからのパケットが相手に届いていないか、相手からのパケットが返ってこないかだと思います。
私の見方が誤っている可能性は十分にありますので、ご自身で今一度調べられることをお勧めします。

cja56910tf様

お世話になります。
本件、大変お手数をお掛けしました。
認証方法をLEAPからPEAPに変更したところ事象回避となりました。
ご迷惑をお掛けしまして、申し訳ありませんでした。
お陰様で動的VLANの払い出しまで動作確認行えました。
何度もご対応賜りまして、本当に有難うございました。

こんにちは。

解決したようで良かったです。