STP状态变化致使802.1X认证失败问题

发布时间:  2016-12-20 浏览次数:  267 下载次数:  5
问题描述
1、 网络拓扑如下:



2、网络配置说明:
两台汇聚、两台核心交换机组成环网,运行MSTP破环,接入交换机与汇聚交换机之间运行Smart-link破环。接入交换机部署802.1x认证,接入用户通过认证后动态获取VLAN,端口配置如下:
#
interface GigabitEthernet0/0/5
dot1x enable
#
全局配置
#
dot1x enable
dot1x authentication-method eap
#

3、故障现象说明:
接入用户概率性认证失败,观察PC认证过程,即使认证成功,认证时间也超过了正常认证时长。
告警信息
使能接入交换机终端显示信息中心发送信息的功能。插入连接PC网线,提示STP状态变化。
处理过程
1、分析接入交换机用户接入端口无需使能STP,或者在端口使能STP 边缘端口:

#
interface GigabitEthernet0/0/5
dot1x enable
stp edged-port enable
#

2、 重新拔插连接PC的网线,PC快速完成802.1认证,获取IP地址。
根因
1、由于概率性出现认证失败,排除AAA模板及radius模板配置错误可能,且test-aaa时,没有失败情况出现;

2、S57交换机默认使能STP,当拔插网线时,端口UP、DOWN状态的变化,会引发STP状态的变化,而STP状态变化较慢,导致认证报文无法上送。
建议与总结
当在接入交换机部署802.1认证时,建议将端口配置stp edged-port enable,避免由于频繁上下线时,STP状态变化较慢,导致认证报文无法上送,致使认证失败。

END