所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

S5700-li做mac认证友商路由器上线后隔断时间就会掉线

发布时间:  2019-07-12  |   浏览次数:  666  |   下载次数:  2  |   作者:  SU1001736097  |   文档编号: EKB1000095174

目录

问题描述

问题描述:S5700-li做为接入层设备,在接口上做了mac认证,下面直接接终端设备和一台友商路由器。

使用过程中终端设备无异常,发现友商路由上线几分钟就会掉线,需要重新认证。

版本信息:v200R007c00spc500

组网:

配置如下:

aaa
 authentication-scheme default
 authentication-scheme koalaas
  authentication-mode radius local
 authentication-scheme local_admin
 authorization-scheme default
 accounting-scheme default
 domain default
  authentication-scheme koalaas
  radius-server aas

radius-server template aas
 radius-server shared-key cipher xxxxxxxxxxxxxx
 radius-server authentication 10.0.110.19 1812 weight 80
 radius-server accounting 10.0.110.19 1813 weight 80
 radius-attribute nas-ip 10.0.4.90

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 70
 authentication dot1x
 ip source check user-bind enable

处理过程

查看配置接终端的接口跟接路由器的接口配置一样,并无异常

通过display aaa offline-fail-record查看用户下线记录,

<HUAWEI> display aaa offline-record domain rds
-------------------------------------------------------------------
  User name          : test
  Do  User MAC           : 0048-xxxx-xxxx
  User access type   : 802.1x
  User access interface : GigabitEthernet0/0/1
  Qinq vlan/User vlan: 0/1
  User IP address    : 192.168.1.216
  User ID            : 70
  User login time    : 2016/09/16 04:49:39
  User offline time  : 2016/09/16 04:54:43
  User offline reason: arp detect fail

用户下线原因是arp detect fail。

mac认证有arp探测机制,为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。

统计分析发现设备默认以源IP地址为255.255.255.255向路由器发送探测报文,路由器没有回应,通过命令

access-user arp-detect default ip-address ip-address,配置用户下线探测报文的默认源IP地址为设备的vlanif地址解决。

根因

友商路由器不回复源IP地址为255.255.255.255的探测报文

解决方案

路由器不支持回应源IP地址为255.255.255.255的ARP探测报文,通过以下方式修改用户下线探测报文的源IP为网关IP即可