Solución de problemas: la autenticación 802.1X (Dot1X) falla en Omada Switch

Si encuentras el problema de que los dispositivos no pueden autenticarse exitosamente después de configurar la función 802.1X en el Omada Switch, puedes seguir los pasos de solución de problemas a continuación para resolver el problema.

Pasos de Solución de Problemas​​

Paso 1. Verificar la configuración global de autenticación Dot 1X.

Usando la GUI:

Ve a SEGURIDAD > 802.1X > Configuración Global, donde puedes ver que la función 802.1X ha sido habilitada.

Para el protocolo de autenticación, el Omada Switch admite ambos protocolos EAP y PAP. La principal diferencia entre los protocolos EAP y PAP radica en la generación y transmisión de la clave de cifrado para la información de la contraseña del usuario.

En el protocolo EAP, la clave de cifrado aleatoria utilizada para cifrar la información de la contraseña del usuario es generada por el servidor Radius, y el switch solo es responsable de transmitir transparentemente los paquetes EAP al servidor de autenticación. Todo el proceso de autenticación lo completa el servidor de autenticación. Usar el protocolo EAP requiere que el servidor Radius lo soporte.

En el protocolo PAP, la clave de cifrado aleatoria utilizada para cifrar la información de la contraseña del usuario es generada por el propio dispositivo, y el switch envía el nombre de usuario, la clave de cifrado aleatoria y la información de la contraseña cifrada al servidor Radius para el procesamiento de autenticación correspondiente. Los servidores Radius existentes generalmente soportan el protocolo PAP.

Se puede ver que el protocolo EAP ejerce menos presión sobre el switch pero más sobre el servidor de autenticación, mientras que el protocolo PAP es todo lo contrario. Puedes elegir el protocolo adecuado según tu propia situación.

Nota: Si el dispositivo cliente no usa el software cliente de TP-Link, es necesario deshabilitar la opción de Handshake.

Usando el Controlador:

Ve a Configuración > Autenticación > 802.1X, donde puedes ver que la función 802.1X ha sido habilitada y el protocolo EAP ha sido seleccionado.

Usando el CLI: Switch# show dot1x global

Paso 2. Verificar la configuración del puerto de autenticación Dot 1X.

Usando la GUI:

Ve a SEGURIDAD > 802.1X > Configuración de Puertos y verifica si el 802.1X está habilitado en el puerto relevante y si el Control de Puerto está configurado en Auto.

Para dispositivos de usuario que no soportan la función 802.1X, los puertos correspondientes necesitan habilitar tanto las funciones 802.1X como MAB. La mayoría de las impresoras, teléfonos IP y máquinas de fax no soportan la función 802.1X. Después de habilitar la función MAB, el switch enviará la solicitud de acceso RADIUS al servidor Radius usando la dirección MAC del dispositivo del usuario como nombre de usuario y contraseña.

Usando el Controlador:

Ve a Configuración > Autenticación > 802.1X, donde puedes ver los switches que tienen 802.1X habilitado y los puertos que han sido habilitados. En el modo Controlador, el Control de Puerto está configurado en Auto por defecto.

Usando el CLI: Switch#show dot1x interface

Paso 3. Verificar la conectividad de red.

Asegúrate de que el enlace de red entre el switch y el servidor Radius sea normal, y también asegúrate de que el puerto de autenticación (usualmente 1812, pero hay excepciones) utilizado por el servidor Radius esté habilitado.

Paso 4. Verificar la configuración del servidor Radius.

Usando la GUI:

Ve a SEGURIDAD > AAA > Configuración RADIUS y verifica si la dirección IP del servidor Radius, la clave compartida y el puerto de autenticación están configurados correctamente.

Usando el Controlador:

Ve a Configuración > Perfiles > Perfil RADIUS para verificar la información.

Usando el CLI: Switch#show radius-server

Paso 5. Verificar la configuración del Grupo de Servidores.

Usando la GUI:

Ve a SEGURIDAD > AAA > Grupo de Servidores y verifica si la correspondencia entre el Grupo de Servidores Radius y la IP del servidor está configurada correctamente. Por defecto, el Grupo de Servidores Radius incluirá las direcciones IP de todos los servidores Radius.

Usando el Controlador: Omitir este paso en modo Controlador.

Usando el CLI: Switch#show aaa group radius

Paso 6. Verificar el Grupo de Servidores Radius seleccionado para 802.1X.

Usando la GUI:

Ve a SEGURIDAD > AAA > Configuración Dot 1X y verifica si el Grupo de Servidores Radius configurado en el paso anterior está seleccionado, lo cual generalmente es el valor predeterminado.

Usando el Controlador:

Ve a Configuración > Autenticación > 802.1X, donde puedes ver que el Perfil RADIUS seleccionado es el que viste en el Paso 4.

Usando el CLI: Switch#show aaa authentication

Paso 7. Verificar si se han configurado políticas de seguridad como ACL, IMPB, Filtrado MAC u otras.

Paso 8. Verificar el software cliente.

Asegúrate de que el software cliente no esté dañado y que la versión del software cliente soporte el método de autenticación actual.

Si los pasos de solución de problemas anteriores aún no pueden resolver el problema, puedes intentar reemplazar el software cliente.