问题描述:
如题,客户现场存在v5与v7版本的交换机,并全局和接口均使能dot1x认证与mac认证(电脑主机走dot1x,打印机等哑终端走mac认证),对接的radius服务器为奇安信;现在存在情况:v5或v7设备下dot1x认证可以通过,但部分哑终端可以通过认证,部分则无法通过认证,在v5上display mac-address看不到哑终端mac,在v7设备上则为display mac-address显示mac状态为“BLOCK”;debugging mac-authentication all/terminal debugging没有回显信息。
对于mac认证失败的端口目前通过接口下配置mac-address static 1111-2222-3333 vlan 10规避认证;由于总部网管软件需求,access接口下必须存在dot1x与mac认证配置。
当前配置(S5048 V7)参考:
radius scheme radius1
primary authentication A
primary accounting A
secondary authentication B
secondary accounting B
key authentication simple xxxx
key accounting simple xxxx
user-name-format without-domain
nas-ip 带内管理地址
quit
#
domain bbb
authentication lan-access radius-scheme radius1 none
authorization lan-access radius-scheme radius1 none
accounting lan-access radius-scheme radius1 none
quit
#
dot1x
dot1x authentication-method eap
#
mac-authentication
mac-authentication domain bbb
#
interface range gi1/0/2 to gi1/0/x
dot1x
dot1x mandatory-domain bbb
dot1x re-authenticate
dot1x re-authenticate server-unreachable keep-online
mac-authentication
mac-authentication domain bbb
组网及组网描述:
目前假设设备g1/0/1接口下mac认证通过;g1/0/2认证未通过,在display mac-authentication interface回显中看不到两者的差异;
理想状态为在奇安信平台web界面上将aaaa-bbbb-cccc加入白名单;然后该哑终端顺利进行mac认证上线;
是否有其他的display命令和debug命令可以获取更多信息以便定位问题?
比对配置发现mac与dot1x认证配置与其他同级别局点一致,故是否有必要进行“mac-authentication user-name-format”配置用于测试?
- 2025-06-26提问
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明