S5700 修改握手报文发送时间周期解决802.1x客户端重启不需要重新认证就可以访问网络的问题

发布时间:  2015-12-20 浏览次数:  146 下载次数:  0
问题描述

 



问题描述:如上图PC需要通过802.1X认证获取访问INTERNET的权限,但是PC重启不需要重新认证就可以正常访问网络。

产品型号:S5700-52C-EI V200R003C00SPC300

告警信息

处理过程

1.收集配置查看802.1X认证配置,没有发现问题。

分析,802.1x客户端初次认证可以通过,说明802.1x认证配置没有问题,与Radius联动也没有问题;而重启电脑不需要认证,说明认证信息在radius服务器上没有没有下线。建议客户关闭电脑或者拔掉网线时间长一点,超过5分钟测试。

2.拔掉客户端网线5分钟后,重新接入网线访问网页提示需要认证。说明和设备的握手保活有关系。

3.查看交换机关于802.1X握手保活的机制如下:

用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。

客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。 默认情况下握手保活机制是没有开启的。

握手报文的发送时间间隔为120S,发送两次的话就是4分钟,所以如果电脑重启在4分钟之内回应了握手报文,就不需要再认证。

4.根据握手报文描述,结合实际环境客户端重启时间较短,修改握手时间为15S,问题解决。配置方法如下:

system-view
dot1x handshake
dot1x timer handshake-period 15

 

 

根因

用户在线期间,S5700EI会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。

客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。 默认情况下握手保活机制是没有开启的。

握手报文的发送时间间隔为120S,发送两次的话就是4分钟,所以如果电脑重启在4分钟之内回应了握手报文,就不需要再认证。

解决方案


握手时间默认为120秒,将握手时间修改短一点,重启电脑,需要重新认证了。

修改方法:

system-view
dot1x handshake
dot1x timer handshake-period xxx  周期时间

建议与总结

1.在使用S5700部署802.1X认证时,为确保用户的实时在线,可配置在线用户握手功能。之后,设备将定时向通过802.1x认证的在线用户发送握手请求报文,如果用户在最大重传次数内没有回应此握手报文,设备会将用户置为下线状态。

2.如果802.1x客户端不支持与设备进行握手报文的交互,则握手周期内设备将不会收到握手回应报文。这种情况下,为了防止设备错误地认为用户下线,需要将在线用户握手功能关闭。

END