820.1x认证造成IP资源浪费

发布时间:  2016-02-17 浏览次数:  270 下载次数:  1
问题描述

部分用户未能通过802.1X认证终端处于pre-authen状态仍能获取IP地址

处理过程

此时,可以执行命令undo authentication pre-authen-access enable,使认证失败且没有任何网络访问权限的用户不再加入预连接,进而不为其分配IP地址。

根因

用户终端连接使能NAC功能的设备端口后,终端与设备之间就会建立预连接。如果设备上没有配置用户终端在预连接状态或认证失败状态的网络访问权限,用户认证失败后默认仍处于预连接状态。由于设备会放行预连接用户的DHCP报文,导致尽管此时用户没有任何网络访问权限,但是依然获取IP地址。这就造成IP地址浪费,同时也给网络安全带来隐患。

建议与总结

多学习交流

END