802.1X導入環境でよくある接続トラブル集|原因別に即解決できる完全ガイド

  • URLをコピーしました!

「LANに繋いでもネットワークに出られない」
「認証に失敗しましたと表示される」
「IPは取れるが社内にアクセスできない」

802.1X導入環境では、通常のL2/L3トラブルとは異なり、認証・証明書・ポリシー・VLAN制御が関与します。
本記事では、現場で頻出するトラブルを症状別に整理し、確認コマンドと解決策まで網羅します。

目次

まず理解する:802.1Xの基本構造

Supplicant(端末)

Authenticator(スイッチ)

Authentication Server(RADIUS)

認証成功後、スイッチがポートにVLANやACLを適用します。

よくあるトラブル① 認証失敗(Authentication Failed)

主な原因

  • ユーザーID/パスワード誤り
  • 証明書期限切れ
  • RADIUS疎通不可
  • 時刻ずれ(Kerberos失敗)

スイッチ確認コマンド

show authentication sessions interface Gi1/0/10
show radius statistics
debug dot1x all

端末確認(Windows)

eventvwr.msc

→ セキュリティログでEAPエラー確認

対処

  • 証明書更新
  • NTP確認
  • RADIUSサーバ疎通確認

よくあるトラブル② 認証VLANに隔離される

症状

  • IPは取得できるが社内アクセス不可
  • インターネットのみ接続可能

原因

  • 認証失敗時VLANに割当
  • ダイナミックVLAN設定不整合

確認

show authentication sessions interface Gi1/0/10 details

対処

  • RADIUS属性確認(Tunnel-Private-Group-ID)
  • VLAN存在確認

よくあるトラブル③ IPアドレスが取得できない

原因

  • 認証前DHCP遮断
  • ポートがunauthorized状態

確認

show dot1x interface Gi1/0/10
show ip dhcp binding

対策

  • DHCP許可設定確認
  • 認証順序(dot1x → mab)確認

よくあるトラブル④ 断続的に切断される

原因

  • 再認証タイマー短すぎ
  • RADIUSタイムアウト
  • セッション保持失敗

確認

show running-config | include dot1x
show authentication sessions

対処

  • re-authentication timer延長
  • RADIUS応答時間改善

よくあるトラブル⑤ MABと競合

プリンタやIP電話など、802.1X非対応機器ではMAC認証(MAB)を使用します。

問題例

  • 端末誤ってMAB扱い
  • MAC未登録

確認

show authentication sessions interface Gi1/0/10

対策

  • 認証優先順位見直し
  • MACアドレス登録

よくあるトラブル⑥ 証明書関連エラー

原因

  • ルートCA未配布
  • 証明書期限切れ
  • 証明書用途不一致

Windows確認

certmgr.msc

対策

  • 証明書再配布
  • 自動登録(Auto Enrollment)有効化

実践切り分けフロー

  • ポート状態確認
  • 認証状態確認
  • RADIUS疎通確認
  • VLAN確認
  • DHCP確認
  • 証明書確認

設計段階で防ぐベストプラクティス

  • NTP必須化
  • 証明書自動更新
  • RADIUS冗長構成
  • 認証失敗ログ監視
  • テスト用隔離VLAN用意

症状別早見表

症状原因
認証失敗証明書・RADIUS
IP取得不可Unauthorized状態
隔離VLAN属性設定不一致
断続切断再認証タイマー

まとめ

802.1Xトラブルは、

  • 認証
  • 証明書
  • RADIUS
  • VLAN制御
  • DHCP

この5カテゴリでほぼ説明できます。

層ごとに整理すれば、必ず原因に辿り着けます。

目次