不能正常开启全局mac认证,然后在端口下开启了mac认证和1x认证 ,哑终端为什么会上不来
。
(0)
最佳答案
参考下这个案例:https://zhiliao.h3c.com/Theme/details/21687
某局点现场在部署802.1x认证与EAD实施,个别交换机如S5130EI交换机端口下挂hub交换机,hub交换机上接有pc、ip电话、网络打印机等哑终端,需要在接口下同时实现802.1x与mac认证。客户反馈在接口下只启用dot1x认证的情况下pc可以认证成功,端口下配置了端口安全后导致dot1x认证无法通过,同时MAC认证也失败。
1. 查看S5130EI交换机上与认证相关的配置:
#
dot1x
dot1x authentication-method eap
mac-authentication
mac-authentication domain ***.***
interface Ethernet1/0/6
port access vlan 21
port-security port-mode userlogin-secure-or-mac-ext
从现场的配置来看,客户在全局开启了dot1x认证和MAC认证,在下联hub交换机的1/0/6端口下配置了端口安全。
2.关于802.1x的配置,在开启802.1x时有以下几点需要注意:
a.只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效。
b.端口上开启802.1X之前,请保证端口未加入聚合组。
c.在客户端发送不携带Tag数据流的情况下,若设备的接入端口配置了Voice VLAN功能,则端口的802.1X功能不生效。
3.开启MAC地址认证时,有以下几点需要注意:
a.缺省情况下,对端口上接入的用户进行MAC地址认证时,使用系统缺省的认证域(由命令domain default enable指定)。若需要使用非缺省的认证域进行MAC地址认证,则需指定MAC地址认证用户使用的认证域,并配置该认证域。若采用本地认证方式,还需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access。若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户帐号。
b.保证端口安全功能关闭。
c.端口上开启MAC地址认证之前,请保证端口未加入聚合组。
d.只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。
4. 进行端口安全的配置时,要使能端口安全。在使能端口安全之前,需要关闭全局的802.1X认证和MAC地址认证。
从现场的配置来看,全局开启了dot1x认证和MAC认证,端口下配置了端口安全,这样配置是不合理的,导致两种方式都不生效。
建议关闭全局的dot1x认证和MAC认证,并在系统视图下使能端口安全。
port-security enable
1. 在配置认证方式时,要注意每种认证方式配置时的注意事项和相关限制;
2. 对于涉及到PC和哑终端的认证时,一般建议使用端口安全的方式进行认证。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论