交换机与IP话机对接802.1X认证一段时间后掉线

发布时间:  2016-06-30 浏览次数:  379 下载次数:  0
问题描述

交换机与IP话机对接,配置802.1X认证之后,话机可以上线,拨打电话正常,但是几分钟之后IP话机掉线,交换机上也可以看到这个用户下线。

告警信息

处理过程

1、在交换机接口进行抓包,发现交换机向话机发送了ARP请求报文,但是没有收到回复;

2、同时抓包也发现,交换机发送ARP的源IP地址是255.255.255.255;

3、检查交换机配置,发现交换机仅仅做二层设备,没有任何三层的IP地址的配置;

4、在交换机上配置一个普通的VLANIF接口和IP地址,然后将其指定为ARP探测的源地址;

5、让IP话机重新上线,之后没有再出现掉线问题

根因

为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线

如果用户加入的VLAN在设备上不存在对应的VLANIF接口或者VLANIF接口未配置IP地址,设备使用255.255.255.255作为用户下线探测报文的源IP地址。但是,部分IP话机不支持回应源IP地址为255.255.255.255的ARP探测报文,所以导致交换机认为话机下线。


解决方案
在交换机上配置一个普通的VLANIF接口和IP地址,然后将其指定为ARP探测的源地址;
<HUAWEI> system-view
[HUAWEI] access-user arp-detect default ip-address X.X.X.X
建议与总结

为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。

如果用户加入的VLAN在设备上不存在对应的VLANIF接口或者VLANIF接口未配置IP地址,设备使用255.255.255.255作为用户下线探测报文的源IP地址。但是,如果网络中存在用户不支持回应源IP地址为255.255.255.255的ARP探测报文,此时,管理员可以使用命令access-user arp-detect default ip-address修改ARP探测报文的默认源IP地址

END