交换机部署MAC认证,用户上线后又自动掉线

发布时间:  2016-12-21 浏览次数:  136 下载次数:  0
问题描述
S5700作为接入设备,配置mac认证,用户MAC认证成功上线后,5分钟后自动掉线,并重新认证上线,5分钟后再次掉线。
告警信息
处理过程
  • 1、通过display aaa offline-record mac-address xxxx-xxxx-xxxx命令,查看PC下线的原因:
    [HUAWEI]display aaa offline-record mac-address f0de-f162-bee4
      ------------------------------------------------------------------------------
      User name             : vlan-test
      Domain name           : default
      User MAC              : f0de-f162-bee4
      User access type      : 802.1x
      User access interface : GigabitEthernet0/0/42
      Qinq vlan/User vlan   : 0/42
      User IP address       : 192.168.42.254
      User ID               : 25
      User login time       : 2016/06/06 14:45:35
      User offline time     : 2016/06/06 14:51:15
      User offline reason   : ARP detect fail
      ------------------------------------------------------------------------------
  • 发现由于ARP探测失败导致掉线,
  • 2、在客户端接口抓取报文,检查客户端是否响应设备的ARP探测报文,设备发送的ARP探测报文源IP地址是255.255.255.255,客户端未回复。
  • 根因
    MAC认证上线后,如果接入设备未配置用户下线探测报文的源IP地址,则接入设备使用255.255.255.255作为用户下线探测报文的源IP地址,此时如果用户不支持回应源IP地址为255.255.255.255的ARP探测报文,会导致用户掉线。
    解决方案
  • 1、配置用户下线探测报文的源IP地址。
  • 2、配置MAC认证重认证时间小于MAC认证用户下线探测时间
  • 建议与总结

    END