S5700(V200R005C00SPC300)dot1x配置free-ip和URL之后不生效

发布时间:  2016-12-20 浏览次数:  1565 下载次数:  0
问题描述

用户组网拓扑描述:


组网概述:
    用户Client与S5700交换机相连,S5700上开启dot1x认证和mac旁路认证,并配置free-IP为11.1.26.0 24 (radius服务器所在网段)和URL为http://11.1.26.8:8833/download,radius服务器(11.1.26.0/24)与client端(11.1.11.0/24)不在一个网段,用户client的网关设置在开启dot1x交换机S5700上连设备。

故障现象:
   用户之前配置了dot1x认证,能够实现认证,但是用户现在想做dot1x url 和dot1x free-ip,但配置后无法推出页面,未经过认证的用户也不能访问免费IP网段。

相关配置:
  全局下
dot1x enable
dot1x authentication-method eap
dot1x url http://11.1.26.8:8833/download
dot1x free-ip 11.1.26.0 255.255.255.0
dot1x timer free-ip-timeout 100
#
接口主要下:
#
interface GigabitEthernet0/0/12
port link-type access
port default vlan 110
dot1x mac-bypass
处理过程
1、获取用户的具体型号、软件版本和补丁信息。
    Quidway S5700-52C-EI   V200R005C00SPC300    无补丁信息

2、查看配置是否存在问题?  
    没有问题,并且配置中没有将认证流量引走的配置

3、确定用户的iP地址是Dhcp获取还是静态IP?  
     客户使用的是静态IP

4、URL是否在free-ip免费的网段里?  
     包含在free-ip免费的网端里

5、用户在未经认证的情况下能否访问radius认证服务器(URL指向的服务器)(在free-ip范围内)
      不能访问

6、认证通过的用户是否能够访问radius服务器?
      可以访问

7、在与客户的交流中,客户说如果只在接口下配置dot1x进行认证,认证不通过,如果配置了mac旁路认证则认证就可以通过。
根因
1、关于如果只在接口下配置dot1x进行认证,认证不通过,如果配置了mac旁路认证则认证就可以通过。
   只开启dot1x enable的情况下认证失败的原因是因为客户端没有安装dot1x客户端,通过mac是可以认证通过的,所以配置为旁路认证后可以认证通过。

2、free-ip不生效,原因是因为没有将pc的网关也设置在开启dot1x认证的交换机上。

3、URL不生效,是因为客户浏览器是输入域名访问的,而域名服务器IP地址没有加入free-ip,所以不能进行域名解析,从而无法强推出页面。
解决方案
1、客户安装dot1x客户端;

2、将PC的网关设置在开启dot1x认证的交换机上,如果客户不想在网关上做dot1x,想在接入设备上做dot1x认证的话,该版本不支持,需打上V2R5最新的补丁,可以解决该问题。

3、将域名服务器的ip地址包含在免费的网段free-ip地址段里。
建议与总结
1、windows端自带的8021X认证客户端,但需要需要在电脑上打开相关服务并进行配置的,操作系统默认是没有打开的。

2、配置URL后,客户浏览器是输入域名访问时,无法推出网页,需要将域名服务器IP地址加入free-ip。

3、URL需在free-ip免费的网段里。

END