如何避免交换机dot1x 认证失败用户频繁启动认证

发布时间:  2016-12-20 浏览次数:  154 下载次数:  0
问题描述
为了防止认证失败的用户频繁认证对系统造成冲击,端口下配置dot1x retry 3;

dot1x quiet-times 3命令后,policy center上仍然看到大量交换机发送的关于该mac的Radius认证请求报文。
告警信息
policy center上仍然看到大量交换机发送的关于该mac的Radius认证请求报文。
处理过程
用户对dot1x静默定时器及报文认证认证次数的命令理解存在偏差,导致配置错误,不能生效。

dot1x retry :用来配置向802.1x用户发送认证请求的最大次数。默认为2
dot1x quiet-period命令用来使能静默定时器功能,默认未使能。若某一802.1x用户在60秒内认证失败的次数超过规定的值(dot1x quiet-times)时,则设备会将该用户静默一段时间
dot1x quiet-times:命令用来配置802.1x用户被静默前60秒内允许认证失败的次数,默认为3.
dot1x timer tx-period配置发送认证请求的时间间隔,默认30S。
dot1x timer quiet-period配置静默周期,默认60S

由此可知如果需要实现用户认证失败后,交换机1小时内不再发送radius请求报文需求,需要使能静默定时器dot1x quiet-period, 之后再配置静默周期dot1x timer quiet-period 3600。
根因
用户对dot1x静默定时器及报文认证认证次数的命令理解存在偏差,导致配置错误,不能生效。
解决方案
全局下配置dot1x quiet-period
dot1x timer quiet-period 3600
后交换机不再频繁发送该认证失败用户的radius报文。

END