FAQ-S交换机配置802.1X认证时,如何在中间二层交换机上透传EAP报文

发布时间:  2016-06-26 浏览次数:  304 下载次数:  0
问题描述

S交换机配置802.1X认证时,如何在中间二层交换机上透传EAP报文

处理过程

802.1x认证过程中的EAP协议报文,是一种BPDU报文。对于BPDU报文,华为公司的交换机设备当前缺省不做二层转发。因此如果使能802.1x的设备和用户之间还存在二层交换机,就必须在其上配置二层透明传输,否则用户发送的EAP报文将无法到达认证设备,进而无法通过认证。

802.1x认证报文二层透明传输功能配置步骤如下:

1、在二层交换机全局视图下执行命令:l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002,该命令用于替换原协议mac为自定义组播mac

2、在二层交换机连接上行网络接口以及连接用户的所有下行接口下执行命令:l2protocol-tunnel user-defined-protocol dot1x enable(使能接口二层协议透明传输功能)与bpdu enable(使能接口BPDU报文上送CPU处理)

注意事项:

通过配置二层协议透明传输功能时,下面的组播MAC地址不能作为二层协议报文被替换后的组播MAC地址即Group-mac:

  • 保留的组播MAC地址:0180-C200-0000~0180-C200-002F。
  • 特殊的组播MAC地址:0100-0CCC-CCCC和0100-0CCC-CCCD。
  • Smart Link协议报文的目的MAC地址:010F-E200-0004。
  • 设备上已经使用过的普通组播MAC地址。

END