• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

802.1x认证结合win客户端认证成功后周期性出现“正在尝试身份验证”的经典案例

2018-09-05 发表
  • 0关注
  • 0收藏,2566浏览
粉丝:2人 关注:1人

组网及说明



某局点有一台S6800做802.1x认证,客户端使用windows自带的客户端,设备mac与pc相连的接口的mac地址为9428-2e56-0644,pc的mac地址为3C-97-0E-03-44-7D

问题描述

在认证通过后,发现在PC网卡处大概十秒左右,会周期性的显示“正在尝试身份验证”,但是此提示不影响用户上网,也不会弹出认证界面。 


检查交换机配置没有发现什么问题

 # interface Ten-GigabitEthernet3/0/2

 port link-mode bridge 

 stp edged-port 

 dot1x 

 undo dot1x handshake

在pc上,出现“正在尝试身份验证”时进行抓包发现,认证成功后,又继续开始了新一轮的认证过程



过程分析

开始看到抓包时认为可能是win客户端有某种机制,会定时向交换机发送request报文,因为设备上的802.1x握手机制已经关闭了,但是仔细查看抓包信息后发现,request报文是由设备端发起的(source为9428-2e56-0644),而报文接收地址为0180-c200-0003的组播地址。

由于win客户端属于不能主动触发认证的客户端类型,需要设备主动发起认证,而设备主动触发认证的方式分为以下两种:

·     组播触发:设备每隔一定时间(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。

·     单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。

缺省为组播触发方式。

但是查阅官网后发现组播触发方式有如下限制:若端口连接的802.1X客户端不能主动发起认证,且仅部分802.1X客户端需要进行认证,为避免不希望认证或已认证的802.1X客户端收到多余的认证触发报文,则需要开启单播触发功能。

在此案例中,由于开启了组播触发方式,已认证通过的win客户端认证成功后还会收到认证触发报文,因此pc网卡处会看到一直有“正在尝试身份验证”字样出现。

解决方法

将802.1x的触发方式由默认的组播方式改为单播方式后问题解决

接口视图下:

undo dot1x multicast-trigger 

dot1x unicast-trigger 


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作