开启mac-address learning disable后导致802.1X认证异常

发布时间:  2014-09-12 浏览次数:  480 下载次数:  0
问题描述
PC-----S5700(V100R005C01SPC100)-----RADIUS服务器

S5700接PC端口开启802.1X认证,PC通过802.1X认证后能够上网。但客户发现认证通过后,开启mac-address learning disable,关闭802.1X客户端,PC仍能上网。此时 display dot1x interface显示 Current users为0 。

dis dot1x inter gi 0/0/14
GigabitEthernet0/0/14 status: UP  802.1x protocol is Enabled
  Port control type is Auto
  Authentication method is MAC-based
  Reauthentication is disabled
  Maximum users: 256
  Current users: 0      
  Guest VLAN is disabled
告警信息
处理过程
1、PC退出802.1X客户端,打开抓包软件,ping网关测试,发现能ping通网关。分析抓包,PC没有和交换机进行802.1X EAP 报文交互,排除客户端软件问题。将PC挂在友商设备下进行802.1X认证,只有认证通过才能上网,进一步排除客户端软件和PC异常可能性。
2、将PC接回S5700,不开启认证客户端软件,当能上网时查看display  dot1x interface g  0/0/14,显示 Current users为0 。
           dis dot1x inter gi 0/0/14
           GigabitEthernet0/0/14 status: UP  802.1x protocol is Enabled
           Port control type is Auto
          Authentication method is MAC-based
           Reauthentication is disabled
           Maximum users: 256
          Current users: 0     
          Guest VLAN is disabled

查看配置,已经使能802.1X,而且PC开启客户端软件认证时,交换机和radius服务器、PC进行认证报文交互。初步判断802.1X认证没有生效。
3、实验室按照客户配置测试,成功复现故障。经分析,端口开启dot1x后,CML寄存器规则为不学习不转发不上送,只有认证通过数据才能正常转发,但VLAN开启mac-address learning disable后,端口CML寄存器规则变为不学习,但是上送与转发,并且报文优先命中mac-address learning disable。关闭VLAN mac-address learning disable后,认证恢复正常,PC只有通过802.1X认证,才能正常通信。
根因
PC关闭802.1X客户端,仍能够上网,有两种可能:
1、认证客户端有问题,即表面上退出,但仍和交换机有802.1X报文交互,建立连接;
2、交换机802.1X认证没有使能或生效,即PC不认证也能通信。
建议与总结
如果交换机开启802.1X认证后,建议不要同时开启mac-address learning disable

END