H3C S5100 上本地用户认证授权vlan下发故障处理实例
一、 组网:
无。
二、 问题描述:
H3C S5100下挂的PC到S5100上做本地认证,local-user 中有个授权vlan 的功能,但配置后发现授权vlan没有下发成功。
配置如下:
#
dot1x
#
radius scheme system
#
domain system
vlan-assignment-mode string
#
local-user h3c ------------配置本地用户h3c
password simple h3c
service-type lan-access
authorization vlan 10 -----------这里配置授权vlan 10
#
interface GigabitEthernet1/0/2
dot1x
认证通过之后,发现客户认证成功,但是授权vlan 却仍然是端口的默认vlan 1
[H3C]display connect uci 2
------------------------Unit 1------------------------
Index=2 , Username=h3c@system
MAC=0012-3ffa-1b8c , IP=0.0.0.0
Access=8021X ,Auth=CHAP ,Port=Ether ,Port NO=0x10002001
Initial VLAN=1, Authorization VLAN=1 -------这里用户的授权vlan仍然是1
ACL Group=Disable
CAR=Disable
Priority=Disable
Start=2000-04-0201:34:29 ,Current=2000-04-02 01:36:18 ,Online=00h01m49s
On Unit 1:Total 1 connections matched, 1 listed.
三、 过程分析:
这个问题比较有迷惑性,从配置来看貌似没有什么问题,但是这里忽略了一点,就是下发vlan是Radius的一个属性,这里的本地认证和本地Radius认证是有区别的。本地认证仅仅做认证无法下发Radius属性,要下发Radius属性只能采用本地Radius认证的方式。
四、 解决方法:
明白了问题根源之后,我们就可以对配置进行修改,将本地认证修改为本地Radius认证,这样就可以下发vlan了。修改后的配置如下:
#
dot1x
#
radius scheme system
#
domain system
scheme radius-scheme system -------------配置为本地Radius认证
vlan-assignment-mode string
。。。 -------------其余配置略
此时认证通过后再查看可以看到授权vlan已经成功下发。
[H3C]display connect uci 3
------------------------Unit 1------------------------
Index=3 , Username=h3c@system
MAC=0012-3ffa-1b8c , IP=0.0.0.0
Access=8021X ,Auth=CHAP ,Port=Ether ,Port NO=0x10002001
Initial VLAN=1, Authorization VLAN=10 -------这里用户的授权vlan为10
ACL Group=Disable
CAR=Disable
Priority=Disable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作