MAC认证无法启用

某局点现场在部署802.1x认证与EAD实施，个别交换机如S5130EI交换机端口下挂hub交换机，hub交换机上接有pc、ip电话、网络打印机等哑终端，需要在接口下同时实现802.1x与mac认证。客户反馈在接口下只启用dot1x认证的情况下pc可以认证成功，端口下配置了端口安全后导致dot1x认证无法通过，同时MAC认证也失败。

1. 查看S5130EI交换机上与认证相关的配置：

#
   dot1x
   dot1x authentication-method eap
   mac-authentication
   mac-authentication domain ***.***
   interface Ethernet1/0/6
   port access vlan 21
   port-security port-mode userlogin-secure-or-mac-ext

从现场的配置来看，客户在全局开启了dot1x认证和MAC认证，在下联hub交换机的1/0/6端口下配置了端口安全。

2.关于802.1x的配置，在开启802.1x时有以下几点需要注意：
   a.只有同时开启全局和端口的802.1X后，802.1X的配置才能在端口上生效。
   b.端口上开启802.1X之前，请保证端口未加入聚合组。
   c.在客户端发送不携带Tag数据流的情况下，若设备的接入端口配置了Voice VLAN功能，则端口的802.1X功能不生效。

3.开启MAC地址认证时，有以下几点需要注意：
   a.缺省情况下，对端口上接入的用户进行MAC地址认证时，使用系统缺省的认证域（由命令domain default enable指定）。若需要使用非缺省的认证域进行MAC地址认证，则需指定MAC地址认证用户使用的认证域，并配置该认证域。若采用本地认证方式，还需创建本地用户并设置其密码，且本地用户的服务类型应设置为lan-access。若采用远程RADIUS认证方式，需要确保设备与RADIUS服务器之间的路由可达，并添加MAC地址认证用户帐号。
   b.保证端口安全功能关闭。
   c.端口上开启MAC地址认证之前，请保证端口未加入聚合组。
   d.只有全局和端口的MAC地址认证均开启后，MAC地址认证配置才能在端口上生效。

4. 进行端口安全的配置时，要使能端口安全。在使能端口安全之前，需要关闭全局的802.1X认证和MAC地址认证。

从现场的配置来看，全局开启了dot1x认证和MAC认证，端口下配置了端口安全，这样配置是不合理的，导致两种方式都不生效。

建议关闭全局的dot1x认证和MAC认证，并在系统视图下使能端口安全。

port-security enable

1. 在配置认证方式时，要注意每种认证方式配置时的注意事项和相关限制；

2. 对于涉及到PC和哑终端的认证时，一般建议使用端口安全的方式进行认证。