执行命令display authentication mode确认NAC配置模式:
unified-mode:统一模式。
common-mode:传统模式。
统一模式
统一模式下,认证域之间存在优先级,终端在优先级高的认证域中进行认证:指定接入类型的强制域 > 非指定接入类型的强制域 > 用户名中携带的合法域 > 指定接入类型的默认域 > 非指定接入类型的默认域 > 全局默认域。
首先确认认证接口下绑定的认证模板是否通过access-domain指定了默认域或强制域,然后再确认全局默认域。可以执行以下步骤进行检查。
1、执行命令display authentication-profile configuration检查认证模板下认证域是否配置。
●未配置时,请确认是否需要配置。如果无需配置,请执行步骤2;如果需要配置,请在认证模板视图下执行命令access-domain domain-name dot1x [ force ]。
●已配置时,请确认配置是否正确。如果不正确,请在认证模板视图下执行命令access-domain domain-name dot1x [ force ]。
2、执行命令display aaa configuration确认全局默认域。
根据全局默认域,执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。
传统模式
认证域之间存在优先级,终端在优先级高的认证域中进行认证:接口下指定的802.1X认证域 > 用户名中携带的合法域 > 全局默认域。
先确认接口下是否指定了802.1X认证域,最后再确认全局默认域。可以执行以下步骤进行排查。
1、执行命令display current-configuration | include dot1x domain查看802.1X认证用户强制域是否配置
●如果未配置,请在接口视图下执行命令dot1x domain domain-name。
●如果已配置,请执行步骤2。
2、执行命令display aaa configuration确认全局默认域。
根据全局默认域,执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。
然后执行命令display authentication-scheme、display accounting-scheme、display radius-server configuration template确认配置是否正确。如果不正确,请执行相应的命令修改。