交换机上配置MAC认证下挂用户不能正常上网问题

发布时间:  2016-08-22 浏览次数:  192 下载次数:  0
问题描述
S5700LI交换机上配置MAC认证,接口下挂PC认证完成几分钟后不能正常上网。
处理过程

交换机接口下配置了对ARP报文的流量统计,因流量统计的ACL和配置MAC认证下发的ACL在同一个组中且流量统计的ACL优先级更高。

当接口收到ARP报文时不能命中接口下发ARP报文的流策略,而是命中了流量统计的ACL,即导致ARP报文不能正常上送,MAC认证信息中就没有对应设备的IP地址信息,当MAC认证探测定时器(缺省5分钟)到后会探测失败,对应的用户会下线,所以5分钟后该用户不能正常上网;

[Switch]display access-user  int gi 0/0/37

 ------------------------------------------------------------------------------

 UserID Username                       IP address                   MAC 

 ------------------------------------------------------------------------------

 392    7446-a0a8-4b3f                 -                         7446-a0a8-4b3f

 ------------------------------------------------------------------------------

 

将接口下流量统计流策略删除后,ARP报文能够正常上送,MAC认证也能正常探测,下挂用户也能够正常上网。

< Switch >undo debugging  all

Info: All possible debugging has been turned off.

<50019_HQ_AS_07>dis access-user int gi 0/0/37

 ------------------------------------------------------------------------------

 UserID Username                       IP address                   MAC 

 ------------------------------------------------------------------------------

 416    7446-a0a8-4b3f                 10.18.85.16               7446-a0a8-4b3f

 ------------------------------------------------------------------------------

根因

当接口收到ARP报文时不能命中接口下发ARP报文的流策略,而是命中了流量统计的ACL,即导致ARP报文不能正常上送,MAC认证信息中就没有对应设备的IP地址信息,当MAC认证探测定时器(缺省5分钟)到后会探测失败,对应的用户会下线,所以5分钟后该用户不能正常上网;

解决方案

删除接口下的流量统计;

建议与总结
 

END