← Blog Sécurité LAN 6 min de lecture

NAC ClearPass : pourquoi vos imprimantes perdent la connexion toutes les 5 minutes

Publié le 19 mars 2026

Vous avez déployé ClearPass, le 802.1X fonctionne, vos postes se connectent correctement — mais vos imprimantes, vos scanners Zebra ou vos équipements IoT se déconnectent régulièrement. Les utilisateurs se plaignent, l'équipe IT relance les équipements en boucle. Le problème est presque toujours le même : un conflit entre les timers du switch et ceux du NAC.

1. Les symptômes

Le problème se manifeste de manière caractéristique :

Les imprimantes réseau deviennent injoignables périodiquement (toutes les 5, 10 ou 15 minutes selon la configuration)
Les scanners durcis (Zebra, Honeywell) perdent leur session et doivent se réauthentifier
Les équipements IoT (caméras IP, capteurs) disparaissent du réseau puis réapparaissent
Le problème ne touche pas les PC — ils se reconnectent automatiquement et rapidement grâce au 802.1X
L'équipement perd sa connectivité quelques secondes à quelques minutes, puis revient tout seul

Le point commun de tous ces appareils : ils utilisent le MAC Authentication Bypass (MAB) et non le 802.1X. Ils ne savent pas négocier une authentification EAP — ils sont identifiés par leur adresse MAC.

2. Comprendre le mécanisme

Pour comprendre le problème, il faut savoir comment un switch gère les appareils authentifiés par MAB. Trois composants interagissent :

La table MAC du switch

Chaque switch maintient une table qui associe les adresses MAC aux ports physiques. Cette table a un timer d'expiration (le MAC age-time ou aging-time) — typiquement 300 secondes (5 minutes) par défaut. Quand un appareil ne génère pas de trafic pendant cette durée, son entrée est supprimée de la table MAC.

La session NAC sur le switch

Quand ClearPass authentifie un appareil en MAB, le switch crée une session d'authentification liée à cette adresse MAC sur ce port. Cette session a elle aussi un timer : le reauthentication timer.

ClearPass

ClearPass ne maintient pas de connexion persistante avec le switch. Il répond aux requêtes RADIUS quand le switch le sollicite — lors de l'authentification initiale et lors des réauthentifications.

3. La cause racine : le MAC age-time

Voici ce qui se passe concrètement :

L'imprimante se connecte au port du switch
Le switch demande une authentification à ClearPass (MAB)
ClearPass identifie l'adresse MAC, autorise l'accès et attribue un VLAN
L'imprimante est en ligne et fonctionne
L'imprimante est en veille — elle ne génère aucun trafic pendant quelques minutes
Le MAC age-time expire (5 min par défaut) → le switch supprime l'entrée MAC de sa table
Le switch considère que l'appareil n'est plus là → il invalide la session NAC
L'imprimante est déconnectée du réseau
Quand l'imprimante réémet du trafic, le switch relance une authentification MAB
ClearPass la réauthentifie → l'imprimante revient en ligne

Le cycle se répète à chaque période d'inactivité. C'est exactement le comportement décrit par les utilisateurs : "l'imprimante marche, puis elle ne marche plus, puis elle re-marche".

💡 Pourquoi ça ne touche pas les PC ?

Les PC utilisent le 802.1X avec un supplicant EAP (intégré à Windows, macOS, Linux). Quand le switch demande une réauthentification, le supplicant répond immédiatement avec ses identifiants. La reconnexion est transparente et quasi-instantanée. Les imprimantes et IoT en MAB n'ont pas de supplicant — le switch doit attendre qu'ils rééemettent du trafic pour les réidentifier.

4. Le deuxième coupable : le reauthentication timer

Même si le MAC age-time ne pose pas problème (l'imprimante génère assez de trafic pour maintenir son entrée MAC), un autre timer peut provoquer le même symptôme : le reauthentication timer du port 802.1X.

Ce timer force le switch à redemander une authentification à ClearPass à intervalles réguliers (souvent 3600 secondes par défaut, soit 1 heure). Pour un PC en 802.1X, c'est transparent. Pour un appareil en MAB, ça provoque une micro-coupure le temps que le switch envoie la requête RADIUS et reçoive la réponse. Si le serveur RADIUS est lent ou injoignable à ce moment, la coupure se prolonge.

5. La solution

La correction repose sur deux ajustements côté switch :

Augmenter le MAC age-time

Passez le MAC aging-time à une valeur plus élevée pour les ports qui accueillent des équipements MAB. Sur un switch Aruba AOS-CX par exemple :

switch(config)# mac-address-table age-time 1800

1800 secondes (30 minutes) est une valeur courante. Certains environnements avec des équipements très silencieux peuvent nécessiter plus. L'inconvénient d'un age-time très long : la table MAC met plus de temps à se purger quand un appareil est réellement débranché. C'est rarement un problème en pratique.

Ajuster le reauthentication timer

Pour les ports MAB, allongez le timer de réauthentification ou désactivez-le :

# Aruba AOS-CX — allonger à 8 heures
switch(config-if)# aaa authentication port-access dot1x authenticator
  reauth-period 28800

# Ou désactiver la réauthentification pour les sessions MAB
switch(config-if)# aaa authentication port-access mac-auth
  reauth-period 0

Configurer ClearPass pour renvoyer un Session-Timeout adapté

ClearPass peut renvoyer un attribut RADIUS Session-Timeout dans sa réponse d'authentification. Cette valeur est appliquée par le switch comme timer de réauthentification pour cette session spécifique. Vous pouvez configurer une valeur longue (ou infinie) pour les profils MAB dans ClearPass, tout en gardant une réauthentification plus fréquente pour les sessions 802.1X.

✅ La bonne pratique

Différenciez les timers selon le type d'authentification. Les sessions 802.1X (PC, laptops) supportent bien une réauthentification fréquente — c'est transparent pour l'utilisateur. Les sessions MAB (imprimantes, IoT) ont besoin de timers longs pour éviter les coupures. ClearPass permet de gérer ça via les Enforcement Profiles en renvoyant des attributs RADIUS différents selon le profil de l'appareil.

6. Comment vérifier

Après avoir appliqué les corrections, voici comment valider que le problème est résolu :

Sur le switch

# Vérifier le MAC age-time actuel
switch# show mac-address-table aging-time

# Voir les sessions NAC actives et leurs timers
switch# show port-access clients

# Surveiller les événements d'authentification en temps réel
switch# debug dot1x events

Sur ClearPass

Dans Monitoring → Live Monitoring → Access Tracker, filtrez sur l'adresse MAC de l'imprimante concernée. Vous devriez voir :

Avant correction : des authentifications répétées toutes les 5-10 minutes pour le même appareil
Après correction : une authentification initiale puis plus rien (ou une réauthentification toutes les quelques heures seulement)

Test fonctionnel

Le test le plus simple : lancez une impression, attendez 10 minutes sans rien faire, relancez une impression. Si la deuxième impression part immédiatement sans délai, c'est résolu. Si elle prend 10-30 secondes avant de démarrer, la session a été invalidée entre-temps et l'imprimante a dû se réauthentifier.

💡 Ce problème touche aussi…

Les téléphones IP (surtout les anciens modèles en MAB), les terminaux de paiement, les écrans d'affichage dynamique, les automates industriels, et tout appareil qui alterne entre périodes d'activité et de silence. Si vous déployez un NAC et que des appareils "disparaissent" périodiquement, vérifiez les timers en premier.

À propos de l'auteur
Cet article est rédigé par l'équipe N0ctua IT, spécialisée en déploiement et administration de solutions NAC (Aruba ClearPass) en environnement de production. Nous intervenons régulièrement sur des problématiques de coexistence 802.1X / MAB en entreprise.

Sécurité des accès · Pourquoi déployer un NAC · Contact