H3C S3100系列交换机使能Guest vlan功能后802.1X认证失败的解决方法
一、 问题描述:
在如下表所列举的软件版本的S3100系列交换机上同时满足如下三个条件时将导致用户无法认证成功,或者认证成功后无法获取IP地址就立即被下线。
条件一:使用guest vlan和802.1x认证配合使用。
条件二:端口的业务VLAN与guest-vlan不一致。
条件三:端口UP之后,已经加入guest-vlan,然后进行认证。
产品
外部版本
内部版本
H3C S3100-EI系列
ESS 2102
S3100V200R001B01D020
H3C E126A
ESS 2102
S3100V200R001B02D001SP01
ESS 2102P01
S3100V200R001B02D002
H3C S3100-SI系列
Release 2102
S3100V200R001B01D022SP01
Release 2102P01
S3100V200R001B01D022SP02
H3C E126
Release 2102
S3100V200R001B01D022SP01
Release 2102P01
S3100V200R001B01D022SP02
H3C S3100TP-SI/S2126-EI
Release 2102
S3100V200R001B01D022SP01
Release 2102P01
S3100V200R001B01D022SP02
二、 原因分析:
由于交换机在用户认证成功时,需要更该端口的PVID,此时交换机将要把目前在线的所有用户下线。在上述版本中,交换机将刚认证成功的用户也视同为在线用户而强制一起下线了。从而导致该用户无法最终认证成功。
三、 解决方案:
规避方法一:
在认证前先禁用网卡,再使能网卡,然后马上进行认证即可(需要在使能网卡之后交换机端口还未加入Guest vlan之前进行认证,一般在60秒内即可)。
规避方法二:
1、如果用户使用的是H3C的最新的iNode客户端(如V2.40),用户第一次认真失败后立即点击"连接"按钮重新进行认证即可。
2、如果用户使用的是H3C的1x客户端早期版本(如V2.20),在交换机上把dot1x timer tx-period设置为120秒,并在客户端认证失败后,立即点击"连接",重新进行认证即可。
3、如果用户使用的是Windows XP自带的客户端,第一次认证失败后,XP会自动重拨,第二次会认证通过,不用用户干预。
规避方法三:
通过降级S3100版本到其他不存在该问题的版本解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作