解決済み: C9800-wlcで設定した802.1X認証が動作しない

iwayu · ‎2022-08-22

コミュニティのみなさま
お世話になります。

機種：C9800-80-K9
Version：17.03.05a

参考URL
https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213919-configure-802-1x-authentication-on-catal.html

C9800-WLCにて、中央認証、ローカルスイッチング（flexconnect）構成の
802.1X認証のWLAＮを作成しようとしているのですが、
認証が上手くいかずに苦心しています。

RADIUSサーバの登録、サーバグループ作成、
各種プロファイルの作成や、APへのタグの紐づけ等は完了していて、
WLCのローカル認証のPSKのWLANやMACアドレス認証のWLAN等は正常にアクセスできるのですが、
802.1X認証としているWLANだけうまく動作しません。

各所にてパケットキャプチャを取得したところ、
認証要求を受け取ったWLCがRADIUSサーバへ認証をせずに、WLC自身で認証をリジェクトしてしまっているように見えます。
これにはどういった原因が考えられるでしょうか。

参考までにconfigの抜粋版も添付させていただきます。

cja56910tf · ‎2022-08-22

こんにちは。

ローカル認証とMAC認証は成功し802.1X認証はうまくいかないという事なので、切り分けで設定をシンプルにするため、一時的にローカル認証とMAC認証の設定を削除して802.1X認証だけの設定にして試してみると良いかと思います。

あと、CLIで抜粋コンフィグをアップされていますが、参考URLのGUI画面もキャプチャしてアップすると解決が早まるかもしれません。

最後に、コンフィグを簡単に確認しましたが、WLAN Policy Profile 「Oth-policy-profile」「test-Guest-policy-profile」「test-PC-211-policy-profile」において、いずれも"no central association"がありますので中央認証を無効化されているように見えました。この設定を用いて802.1X認証を行おうとされているのでしょうか？今一度設定を確認されることをお勧めします。

元の投稿で解決策を見る

cja56910tf · ‎2022-08-22

こんにちは。

ローカル認証とMAC認証は成功し802.1X認証はうまくいかないという事なので、切り分けで設定をシンプルにするため、一時的にローカル認証とMAC認証の設定を削除して802.1X認証だけの設定にして試してみると良いかと思います。

あと、CLIで抜粋コンフィグをアップされていますが、参考URLのGUI画面もキャプチャしてアップすると解決が早まるかもしれません。

最後に、コンフィグを簡単に確認しましたが、WLAN Policy Profile 「Oth-policy-profile」「test-Guest-policy-profile」「test-PC-211-policy-profile」において、いずれも"no central association"がありますので中央認証を無効化されているように見えました。この設定を用いて802.1X認証を行おうとされているのでしょうか？今一度設定を確認されることをお勧めします。

iwayu · ‎2022-08-22

ご返信いただきありがとうございます。

ご助言に従い、他の設定を一時的に削除したところ、問題なく認証出来ました。
その後調査を進めたところ、
どうやらMAC認証の設定が802.1Xの認証と競合してしまっており、802.1X認証の正常な動作を阻害してしまっているようでした。

MACアドレスの登録を再度しなおしたところ、競合することなく動作するようになりました。
設定順序が間違っていたのか、どういった理屈かは不明ですが、再登録したところ下記の差分が出たため、
おそらく下記が原因になっていたのだと思われます。

×　 username aaaa.bbbb.cccc mac wlan-profile-name Oth

〇　username aaaa.bbbb.cccc mac aaa wlan-profile-name Oth

ご助言いただき、ありがとうございました。