配置802.1x后,IP话机认证非常慢

发布时间:  2016-12-14 浏览次数:  132 下载次数:  0
问题描述

客户将一台IP电话连接到华为S5700交换机并配置NAC认证。 之后客户发现IP电话可以在数据vlan快速获得IP。 但是在语音vlan中获取IP需要很长时间。

交换机端口配置如下:
interface GigabitEthernet0/0/15
port link-type hybrid
voice-vlan X enable
port hybrid pvid vlan X
port hybrid tagged vlan XX
port hybrid untagged vlan X
stp bpdu-filter enable
stp edged-port enable
domain name X dot1x force
domain name X mac-authen force
authentication dot1x mac-authen
dot1x unicast-trigger
dot1x reauthenticate
mac-authen timer reauthenticate-period 60
multicast-suppression 50

处理过程

  1. 最初检查配置,没有发现异常点。
  2. 由于IP电话不能在语音vlan中获得IP,捕获包来分析连接到IP电话的端口的DHCP过程。
  3. 根据DHCP过程,我们可以看到:

a.    IP电话在日期vlan正常获取IP并且成功释放数据IP

b。 之后IP Phone会继续发送dhcp request和dhcp discover来请求语音vlan中的新IP地址。但是没有从DHCP服务器侧获得答复

C。 大约3分钟后,DHCP服务器响应提供数据包,IP电话可以使用语音IP。

4.基于上述分析,我们可以确认DHCP服务器没有及时响应来自IP电话的请求,并且它造成延迟。

有两个可能的原因:

a.   S5700没有正确转发dhcp请求/发现

b。上层网络没有正确转发dhcp请求/发现

5.进一步分析数据包,发现一个有趣的点,如下:

IP电话释放数据IP后,有802.1x认证失败记录。 三次失败后。 IP电话可以获得语音IP

与客户确认,他们IP电话使用MAC认证, 由于涉及其他设备,客户坚持dot1x认证优先。 在配置中确实配置了dot1x认证优先于MAC认证

如果启用多种认证方式,认证方式将按照配置的顺序生效。



根因

如果启用多种认证方式,认证方式将按照配置的顺序生效。

在我们的例子中,dot1x认证是在MAC认证之前。而且客户坚持dot1x认证优先。

解决方案

问题解决:减少dot1x认证时间,配置如下

[HUAWEI] dot1x timer client-timeout 3

[HUAWEI] dot1x timer tx-period 3

END