• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MAC认证无法启用

2021-09-09提问
  • 1关注
  • 1收藏,2132浏览
粉丝:0人 关注:0人

问题描述:


dot1x和MAC双认证,H5130全局启用MAC认证出错,请教这怎么解决?

DOT1X配置:


组网及组网描述:


最佳答案

粉丝:105人 关注:0人

您好,参考下这个案例:

S5130EI交换机上接入PC与哑终端,同时实现802.1x与MAC认证时失败案例分析 - 知了社区 (h3c.com)

某局点现场在部署802.1x认证与EAD实施,个别交换机如S5130EI交换机端口下挂hub交换机,hub交换机上接有pc、ip电话、网络打印机等哑终端,需要在接口下同时实现802.1x与mac认证。客户反馈在接口下只启用dot1x认证的情况下pc可以认证成功,端口下配置了端口安全后导致dot1x认证无法通过,同时MAC认证也失败。


1. 查看S5130EI交换机上与认证相关的配置:

#
   dot1x
   dot1x authentication-method eap
   mac-authentication
   mac-authentication domain ***.***
   interface Ethernet1/0/6
   port access vlan 21
   port-security port-mode userlogin-secure-or-mac-ext

从现场的配置来看,客户在全局开启了dot1x认证和MAC认证,在下联hub交换机的1/0/6端口下配置了端口安全。

2.关于802.1x的配置,在开启802.1x时有以下几点需要注意:
   a.只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效。
   b.端口上开启802.1X之前,请保证端口未加入聚合组。
   c.在客户端发送不携带Tag数据流的情况下,若设备的接入端口配置了Voice VLAN功能,则端口的802.1X功能不生效。

3.开启MAC地址认证时,有以下几点需要注意:
   a.缺省情况下,对端口上接入的用户进行MAC地址认证时,使用系统缺省的认证域(由命令domain default enable指定)。若需要使用非缺省的认证域进行MAC地址认证,则需指定MAC地址认证用户使用的认证域,并配置该认证域。若采用本地认证方式,还需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access。若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证用户帐号。
   b.保证端口安全功能关闭。
   c.端口上开启MAC地址认证之前,请保证端口未加入聚合组。
   d.只有全局和端口的MAC地址认证均开启后,MAC地址认证配置才能在端口上生效。

4. 进行端口安全的配置时,要使能端口安全。在使能端口安全之前,需要关闭全局的802.1X认证和MAC地址认证。

从现场的配置来看,全局开启了dot1x认证和MAC认证,端口下配置了端口安全,这样配置是不合理的,导致两种方式都不生效。

 


建议关闭全局的dot1x认证和MAC认证,并在系统视图下使能端口安全。

port-security enable


1. 在配置认证方式时,要注意每种认证方式配置时的注意事项和相关限制;

2. 对于涉及到PC和哑终端的认证时,一般建议使用端口安全的方式进行认证。

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明