华三5130S-52S-PWR-HI
- 1关注
- 0收藏,435浏览
问题描述:
华三5130的一个端口上的ip电话mac为啥同时学到了voice-vlan和数据vlan,导致业务不正常,端口配置了mac认证和dot1x认证,通过端口安全mac认证优先dot1x认证,通过这个方式进行的认证。
组网及组网描述:
网关在核心上,这是接入交换机5130,纯二层好了用组网
- 2025-06-18提问
- 举报
-
(0)
最佳答案
system-view
interface <接口名称> # 进入IP电话所连的端口视图
mac-authentication host-mode multi-vlan # 切换为多VLAN模式授权VLAN配置(可选)
若需严格限制IP电话的VLAN权限,可在认证服务器上配置动态VLAN下发:- 为IP电话的MAC地址授权voice VLAN和数据VLAN。
- 可结合端口多VLAN模式实现"一次认证,多VLAN通行"。
验证配置
通过命令检查当前模式:display mac-authentication interface <接口名称>输出中若显示
Host mode: Multi-VLAN表示配置生效。日志监控
观察认证日志(参考信息中日志格式):- 正常上线时应显示
MAC authentication succeeded。 - 无
Session terminated或authentication failed的异常记录。
- 正常上线时应显示
- 2025-06-18回答
- 评论(2)
- 举报
-
(0)
port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 10 3998 to 3999 untagged port hybrid pvid vlan 10 voice-vlan 702 enable mac-vlan enable stp edged-port lldp compliance admin-status cdp txrx cdp voice-vlan 702 poe enable undo dot1x handshake dot1x mandatory-domain A undo dot1x multicast-trigger dot1x re-authenticate dot1x auth-fail vlan 3998 dot1x re-authenticate server-unreachable keep-online mac-authentication domain A mac-authentication guest-vlan 3999 mac-authentication host-mode multi-vlan port-security max-mac-count 3 port-security port-mode mac-else-userlogin-secure
你好,还有几个问题请教一下 问题一:我现在voice-vlan是702,数据vlan是10,有啥办法让IP电话的mac地址只在vlan 702,而不在vlan 10不? 问题二:这次在公司停电后,没掉配置,但是所有的设备都进入了MAC认证(没有白名单),并且在服务器上也没有认证记录,这个MAC认证像是在设备上自己认证的,请问这个是啥原因导致的。接口配置如下: port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 10 3998 to 3999 untagged port hybrid pvid vlan 10 voice-vlan 702 enable mac-vlan enable stp edged-port lldp compliance admin-status cdp txrx cdp voice-vlan 702 poe enable undo dot1x handshake dot1x mandatory-domain A undo dot1x multicast-trigger dot1x re-authenticate dot1x auth-fail vlan 3998 dot1x re-authenticate server-unreachable keep-online mac-authentication domain A mac-authentication guest-vlan 3999 mac-authentication host-mode multi-vlan port-security max-mac-count 3 port-security port-mode mac-else-userlogin-secure
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
你好,还有几个问题请教一下 问题一:我现在voice-vlan是702,数据vlan是10,有啥办法让IP电话的mac地址只在vlan 702,而不在vlan 10不? 问题二:这次在公司停电后,没掉配置,但是所有的设备都进入了MAC认证(没有白名单),并且在服务器上也没有认证记录,这个MAC认证像是在设备上自己认证的,请问这个是啥原因导致的。接口配置如下: port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 10 3998 to 3999 untagged port hybrid pvid vlan 10 voice-vlan 702 enable mac-vlan enable stp edged-port lldp compliance admin-status cdp txrx cdp voice-vlan 702 poe enable undo dot1x handshake dot1x mandatory-domain A undo dot1x multicast-trigger dot1x re-authenticate dot1x auth-fail vlan 3998 dot1x re-authenticate server-unreachable keep-online mac-authentication domain A mac-authentication guest-vlan 3999 mac-authentication host-mode multi-vlan port-security max-mac-count 3 port-security port-mode mac-else-userlogin-secure