S5700交换机MAC认证用户异常下线问题

发布时间:  2016-12-22 浏览次数:  376 下载次数:  3
问题描述

如下图所示:

S5700接入设备5台一组堆叠,S7700汇聚设备2台集群;S5700作为二层接入连接用户终端,S7700作为汇聚连接核心设备和接入设备。在S5700接入设备上开启用户MAC地址认证并配置授权、计费功能,S7700作为用户IP地址网关和DHCP中继,服务器为用户提供认证、授权、计费,出现用户异常下线问题.

处理过程

1、查看用户下线、异常下线、上线失败记录信息。

display aaa offline-record al

display aaa abnormal-offline-record all

display aaa abnormal-offline-record all brief

2、数据报文抓包分析。

3、S5700发现MAC认证ARP探测失败。

4、S5700上关闭探测功能。

根因

接入用户MAC认证,认证点在S5700设备,用户获取IP地址的网关起在S7700上。从而导致在认证设备上对MAC在线用户进行ARP握手探测时,用户无法正常回应,导致探测失败下线。



解决方案

1、在接入设备S5700上关闭探测下线功能。

使用命令:mac-authen timer offline-detect 0

2、观察业务.

建议与总结
当接入用户MAC地址认证,认证点在S5700设备,而用户获取IP地址的网关起在S7700设备上时,建议可以关闭接入设备S5700探测下线功能。

END