H3C S3100系列交换机使能Guest vlan功能后802.1X认证失败的解决方法

H3C S3100系列交换机使能Guest vlan功能后802.1X认证失败的解决方法

一、  问题描述：

在如下表所列举的软件版本的S3100系列交换机上同时满足如下三个条件时将导致用户无法认证成功，或者认证成功后无法获取IP地址就立即被下线。

条件一：使用guest vlan和802.1x认证配合使用。

条件二：端口的业务VLAN与guest-vlan不一致。

条件三：端口UP之后，已经加入guest-vlan，然后进行认证。

产品	外部版本	内部版本
H3C S3100-EI系列	ESS 2102	S3100V200R001B01D020
H3C E126A	ESS 2102	S3100V200R001B02D001SP01
	ESS 2102P01	S3100V200R001B02D002
H3C S3100-SI系列	Release 2102	S3100V200R001B01D022SP01
	Release 2102P01	S3100V200R001B01D022SP02
H3C E126	Release 2102	S3100V200R001B01D022SP01
	Release 2102P01	S3100V200R001B01D022SP02
H3C S3100TP-SI/S2126-EI	Release 2102	S3100V200R001B01D022SP01
	Release 2102P01	S3100V200R001B01D022SP02

二、  原因分析：

由于交换机在用户认证成功时，需要更该端口的PVID，此时交换机将要把目前在线的所有用户下线。在上述版本中，交换机将刚认证成功的用户也视同为在线用户而强制一起下线了。从而导致该用户无法最终认证成功。

三、  解决方案：

规避方法一：

在认证前先禁用网卡，再使能网卡，然后马上进行认证即可（需要在使能网卡之后交换机端口还未加入Guest vlan之前进行认证，一般在60秒内即可）。

规避方法二：

1、如果用户使用的是H3C的最新的iNode客户端（如V2.40），用户第一次认真失败后立即点击"连接"按钮重新进行认证即可。

2、如果用户使用的是H3C的1x客户端早期版本（如V2.20），在交换机上把dot1x timer tx-period设置为120秒，并在客户端认证失败后，立即点击"连接"，重新进行认证即可。

3、如果用户使用的是Windows XP自带的客户端，第一次认证失败后，XP会自动重拨，第二次会认证通过，不用用户干预。

规避方法三：

通过降级S3100版本到其他不存在该问题的版本解决。