某局点有一台S6800做802.1x认证,客户端使用windows自带的客户端,设备mac与pc相连的接口的mac地址为9428-2e56-0644,pc的mac地址为3C-97-0E-03-44-7D
在认证通过后,发现在PC网卡处大概十秒左右,会周期性的显示“正在尝试身份验证”,但是此提示不影响用户上网,也不会弹出认证界面。
检查交换机配置没有发现什么问题
# interface Ten-GigabitEthernet3/0/2
port link-mode bridge
stp edged-port
dot1x
undo dot1x handshake
在pc上,出现“正在尝试身份验证”时进行抓包发现,认证成功后,又继续开始了新一轮的认证过程
开始看到抓包时认为可能是win客户端有某种机制,会定时向交换机发送request报文,因为设备上的802.1x握手机制已经关闭了,但是仔细查看抓包信息后发现,request报文是由设备端发起的(source为9428-2e56-0644),而报文接收地址为0180-c200-0003的组播地址。
由于win客户端属于不能主动触发认证的客户端类型,需要设备主动发起认证,而设备主动触发认证的方式分为以下两种:
· 组播触发:设备每隔一定时间(缺省为30秒)主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。
· 单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址单播发送Identity类型的EAP-Request帧来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
缺省为组播触发方式。
但是查阅官网后发现组播触发方式有如下限制:若端口连接的802.1X客户端不能主动发起认证,且仅部分802.1X客户端需要进行认证,为避免不希望认证或已认证的802.1X客户端收到多余的认证触发报文,则需要开启单播触发功能。
在此案例中,由于开启了组播触发方式,已认证通过的win客户端认证成功后还会收到认证触发报文,因此pc网卡处会看到一直有“正在尝试身份验证”字样出现。
将802.1x的触发方式由默认的组播方式改为单播方式后问题解决
接口视图下:
undo dot1x multicast-trigger
dot1x unicast-trigger
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作