C9800-40 17.12.x, локальный режим C91xx, аутентификация EAP-FAST на C9300 с резервным вариантом MAB. Через несколько недель или месяцев некоторые точки доступа не смогли пройти аутентификацию в защищенной локальной сети dot1x. Обычно после обновления некоторые точки доступа теряются. ISE сообщает: Событие 5440 Конечная точка прервала сеанс EAP и запустила новый
Причина сбоя 22063 Неверный пароль У нас есть резервная конфигурация, поэтому все эти точки доступа проходят MAB и работают нормально. Это означает, что они получают новую конфигурацию от WLC во время присоединения. Но точки доступа остаются в состоянии неправильного пароля. AP#sho ap authentication status
key_mgmt=IEEE 802.1X (без WPA)
wpa_state=ASSOCIATED
address=ac:4a:56:00:00:00
Supplicant PAE state=HELD
suppPortStatus=Unauthorized
EAP state=FAILURE
selectedMethod=43 (EAP-FAST)
eap_tls_version=TLSv1.2
EAP TLS cipher=ADH-AES128-SHA
tls_session_reused=0
EAP-FAST Phase2 method=MSCHAPV2 Команда «clear authentication session» на switchport или «capwap ap reset» на AP не решают проблему. Единственное решение — полная перезагрузка точки доступа. После этого каждая точка доступа правильно аутентифицируется и повторно аутентифицируется в течение неизвестного периода времени. Я думаю, что это задача для TAC, но сначала попробую спросить здесь.

]]>https://sla247.ru/forum/topic/2779/ap-прекращает-аутентификацию-по-dot1x-в-lanRSS for NodeFri, 15 May 2026 04:20:01 GMTFri, 06 Mar 2026 20:38:21 GMT60Извините, у вас точно такая же проблема? AP авторизуется как supplicant? MHM

]]>https://sla247.ru/forum/post/20332https://sla247.ru/forum/post/20332Fri, 06 Mar 2026 20:38:35 GMTTAC хочет, чтобы мы выполнили захват пакетов с точки доступа. Как я уже сообщил TAC и разработчикам, наши точки доступа установлены на высоте 2,6 метра над землей. Выполнение захвата пакетов с лестницы — опасная задача. Поэтому мы ждем возможности найти точку доступа, где это можно сделать безопасно. А пока разработчики отказываются передать APSP для исправления этой ошибки.

]]>https://sla247.ru/forum/post/20331https://sla247.ru/forum/post/20331Fri, 06 Mar 2026 20:38:34 GMTЕсть ли какие-нибудь новости от команды TAC? MHM

]]>https://sla247.ru/forum/post/20330https://sla247.ru/forum/post/20330Fri, 06 Mar 2026 20:38:33 GMTЯ думаю, вам нужно только повторно подключиться, перезагрузка не требуется. В конце концов, ISE будет аутентифицировать устройство только после истечения времени повторной аутентификации, поэтому с точки зрения WLC/ISE точка доступа все еще аутентифицирована. Повторное подключение очистит сеанс аутентификации AP и заставит AP повторно пройти аутентификацию. MHM

]]>https://sla247.ru/forum/post/20329https://sla247.ru/forum/post/20329Fri, 06 Mar 2026 20:38:32 GMTЗдравствуйте, учетные данные находятся в тегах сайта на WLC. WLC обслуживает около 1000 точек доступа, но 400 из них получили ошибку, и ISE сообщает о неверном пароле. Проблема решается повторным подключением и перезагрузкой точки доступа без изменения конфигурации на WLC.

]]>https://sla247.ru/forum/post/20328https://sla247.ru/forum/post/20328Fri, 06 Mar 2026 20:38:31 GMTКак добавить имя пользователя/пароль к AP? Думаю, для этого нужен WLC Таким образом, проблема заключается в WLC и ISE, а не в AP и ISE MHM

]]>https://sla247.ru/forum/post/20327https://sla247.ru/forum/post/20327Fri, 06 Mar 2026 20:38:30 GMTТочно, у нас нет проблем с клиентами. Мы говорим о защищенных портах LAN dot1x, соединяющих точки доступа.

]]>https://sla247.ru/forum/post/20326https://sla247.ru/forum/post/20326Fri, 06 Mar 2026 20:38:29 GMTПривет, Лео, спасибо, возможно, это имеет отношение к делу, но, к сожалению, в отчете об ошибке почти нет информации.

]]>https://sla247.ru/forum/post/20325https://sla247.ru/forum/post/20325Fri, 06 Mar 2026 20:38:28 GMT@MHM Cisco World
написал:
это означает, что ISE получил некоторые пакеты ISE получил «поврежденные» или неполные пакеты и посчитал это «неверным паролем».

]]>https://sla247.ru/forum/post/20324https://sla247.ru/forum/post/20324Fri, 06 Mar 2026 20:38:27 GMTИзвините, но Причина сбоя 22063 Неверный пароль <<- это означает, что ISE получил какой-то пакет MHM

]]>https://sla247.ru/forum/post/20323https://sla247.ru/forum/post/20323Fri, 06 Mar 2026 20:38:26 GMT@MHM Cisco World
написал:
Мы говорим об аутентификации AP, а не об аутентификации Wi-Fi-клиента? См.
CSCwp20385
. Проще говоря, AP принимает трафик, но блокирует весь исходящий трафик. Это включает трафик DHCP DORA и трафик, связанный с 802.1x.

]]>https://sla247.ru/forum/post/20322https://sla247.ru/forum/post/20322Fri, 06 Mar 2026 20:38:25 GMTМы говорим об аутентификации AP, а не об аутентификации клиента Wi-Fi? MHM

]]>https://sla247.ru/forum/post/20321https://sla247.ru/forum/post/20321Fri, 06 Mar 2026 20:38:24 GMTС момента обновления до версий 17.12.4 и 17.12.5 мы заметили, что многие из наших точек доступа ведут себя именно так. Еще одно наблюдаемое явление — потеря точками доступа своих IP-адресов. Я подал заявку в службу технической поддержки (TAC) по поводу потери IP-адресов точками доступа и потребовал от них опубликовать APSP для устранения
CSCwp20385
. Наши точки доступа — 3700, 2800/3800/4800/1560, 9124, 9130, 9136 и 9166.

]]>https://sla247.ru/forum/post/20320https://sla247.ru/forum/post/20320Fri, 06 Mar 2026 20:38:23 GMTОткройте дело TAC. Используйте мой номер TAC Case #699156079 в качестве ссылки.

]]>https://sla247.ru/forum/post/20319https://sla247.ru/forum/post/20319Fri, 06 Mar 2026 20:38:22 GMT