FAQ-S3700 dot1x mac-bypass 功能失效问题

发布时间:  2015-05-20 浏览次数:  570 下载次数:  0
问题描述

S3700交换机做802.1x认证,开启 mac-bypass以实现网络打印机等设备无法安装客户端设备的认证接入,经过测试没有添加mac地址的新pc也可以接入网络正常通信,NAC设备没有起到限制接入的功能

认证的主要配置如下:

radius-server template uniaccess
radius-server shared-key cipher %@%@u|^:FeWjL7BD5c<;QpfVl+*T%@%@
radius-server authentication 10.50.1.6 1812
radius-server authentication 10.50.1.7 1812 secondary
radius-server accounting 10.50.1.6 1813
radius-server accounting 10.50.1.7 1813 secondary
undo radius-server user-name domain-included
#
aaa
authentication-scheme uniaccess
  authentication-mode radius none    
authorization-scheme default
accounting-scheme default
domain default
  authentication-scheme uniaccess
  radius-server  uniaccess
domain default_admin

#

dot1x enable
dot1x authentication-method eap
dot1x timer handshake-period 900
dot1x timer tx-period 5

#

interface Ethernet0/0/3
dot1x mac-bypass

在交换机通过test-aaa测试raius的账户显示为time out

解决方案

建议客户修改authentication-mode radius none authentication-mode radius 测试发现所有的pc都不能被认证通过,dot1x mac-bypass功能是在终端没有对EAP star回应而进入mac认证流程,authentication-mode radius none 在radius故障时就会进入逃生通道none不认证。

此问题确认为radius 服务器故障导致所有终端经过逃生通道。

 

 

END