《CCNP安全Secure 642-637認證考試指南》——6.6節802.1X的驗證與排錯

本節書摘來自異步社群《ccnp安全secure 642-637認證考試指南》一書中的第6章，第6.6節802.1x的驗證與排錯，作者【美】sean wilkins , trey smith，更多章節内容可以通路雲栖社群“異步社群”公衆号檢視

6.6 802.1x的驗證與排錯

ccnp安全secure 642-637認證考試指南

進行802.1x排錯時，必須仔細檢查請求方、認證方、認證伺服器以及三者之間的連接配接，不漏過每一個環節。參與802.1x認證的裝置及其角色如圖6-16所示。

6.6.1　排錯過程

請參考以下步驟進行排錯。

步驟1　驗證請求方配置。指令dot1x test eapol-capable用于測試使用者能否正常響應交換機發送的eapol請求。如果使用者可以響應eapol請求則進入步驟2，否則應使用cisco ssc管理工具排查存在的問題。

步驟2　驗證radius配置。指令test aaa用于測試交換機與cisco acs之間的radius通信是否正常，管理者還可以通過cisco acs産生的失敗認證嘗試（failed authentication attempts）報告檢視伺服器存在的問題。如果交換機與cisco acs工作正常，則進入步驟3。

步驟3　通過失敗認證嘗試報告檢視請求方的身份憑證是否存在問題（如密碼錯誤）。如果使用windows active directory等外部資料庫，請確定外部資料庫可以正常工作。

6.6.2　日志消息

預設情況下，cisco ios軟體将802.1x認證中出現的問題記錄在案，管理者可以使用指令show logging檢視日志消息。

6.6.3　驗證連接配接狀态

cisco ssc會安裝一個收集連接配接狀态資訊的系統托盤圖示，管理者可以通過托盤的顔色與形狀擷取目前的連接配接狀态。此外，管理者還可以右鍵點選托盤并從菜單中選擇連接配接狀态（connection status）圖示，以檢視詳細的連接配接狀态資訊。

6.6.4　驗證認證伺服器

cisco acs産生的通過認證（passed authentication）報告詳細列出了各種審計資訊，包括所有成功的認證（采用内部或外部資料庫）。

6.6.5　驗證訪客vlan與受限vlan的配置設定

必須将訪客使用者配置設定給專門的訪客vlan。如果由于配置不當使訪客使用者接觸到内部資源與服務，則可能危害到網絡安全。管理者可以通過指令show interfaces status檢視交換機端口及其所在vlan的狀态資訊。

6.6.6　802.1x準備就緒檢測

在進行802.1x認證之前，管理者可以使用指令dot1x test eapol-capable測試請求方、認證方與認證伺服器的狀态，并檢視與交換機端口相連的客戶。預設情況下，客戶有10秒時間響應來自交換機的eapol消息，管理者可以使用全局指令dot1x test timeout修改該時間（範圍是1～65535秒）。

6.6.7　請求方無響應

如果請求方在一段時間内沒有響應，管理者可以查閱cisco ios軟體提供的日志消息以協助排錯。日志消息記錄了成功的認證、失敗的認證、請求方響應認證伺服器的消息但二者之間的配置存在問題等各種資訊。

6.6.8　認證失敗：radius配置存在問題

如果交換機與cisco acs之間的radius配置存在問題，管理者可以查閱交換機日志與cisco acs的失敗認證嘗試報告以協助排錯。

6.6.9　認證失敗：身份憑證存在問題

如果請求方提供的身份憑證不正确，認證伺服器将拒絕請求方通路網絡資源的要求，并向認證方發送表示認證失敗的radius消息。管理者也可以通過cisco acs産生的認證失敗嘗試報告擷取相關資訊。

備考指南

前言的“本書内容結構”部分列出了備考的幾種方式：各章習題、助記表（附錄c）、第22章以及随書CD光牒中的模拟考題。每一章最後均包含若幹主觀題填空。與實際考試相比，主觀題的難度較大，讀者可以借此檢驗自己對本章内容的掌握程度。主觀題的答案請參見附錄a。