S5120-EI系列交换机Access端口下连客户端通过认证后动态下发VLAN失败的解决方法
一、 组网:
客户端直连S5120-EI系列交换机,交换机与Radius服务器路由可达。
二、 问题描述:
在S5120-EI系列交换机上主要配置如下。
#
interface GigabitEthernet1/0/1
port access vlan 10
stp edged-port enable
port-security port-mode userlogin
dot1x guest-vlan 10
dot1x auth-fail vlan 10
undo dot1x handshake
undo dot1x multicast-trigger
dot1x unicast-trigger
#
stp enable
stp region-configuration
region-name rhppocd
revision-level 1
instance 1 vlan 1 to 1001
instance 2 vlan 1006 to 2599 2602 to 4094
instance 3 vlan 2600
instance 4 vlan 2601
active region-configuration
#
正常情况下,客户端通过认证后端口将被加入到动态下发的VLAN 2610中去,但是按照上述配置,测试中发现认证始终无法正常完成,认证总是失败端口始终在VLAN 10中。
三、 过程分析:
客户认证前端口pvid为VLAN 10,即Guest和Authfail VLAN,认证通过后为数据VLAN 2610。这两个VLAN 属于MSTP不同实例,如果使用Access端口是无法实现VLAN成功下发的。
四、 解决方法:
(1)端口下stp disable
(2)将VLAN 10和数据VLAN 2610放在同一个MSTP实例里
(3)配置成hybrid端口并使能mac-vlan enable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作