问
华三准入
4天前提问
- 0关注
- 0收藏,95浏览
已采纳
是的,默认情况下,同一个设备在通过MAC认证后,不能直接快速拔插到另一个开启了MAC认证的端口上网。这种行为是华三设备为了防止MAC地址欺骗而设计的保护机制。
不过,这并非一个无法解决的问题。你可以通过开启一个专门的命令来改变这种默认行为,实现设备在网络内的“漫游”。
为什么默认会失败?
当设备通过MAC认证在A端口上线后,交换机会将这个MAC地址和端口A“绑定”起来。这时如果你将设备拔下,插到另一个开启了认证的B端口:
发起认证:设备在B端口尝试重新认证。
交换机检查:交换机会发现这个MAC地址已经在端口A上处于“在线”状态。
认证失败:为了避免同一个MAC地址在两个端口同时上线(可能的安全风险),交换机通常会拒绝这个设备在B端口的上线请求,导致认证失败,无法上网
解决这个问题非常简单,只需要在交换机上开启 “MAC地址迁移” 功能,配置命令如下:
system-view
开启此功能后,当设备从A端口拔下并插入B端口时,交换机的处理逻辑会完全改变:
| 状态 | 未开启MAC迁移功能(默认) | 开启MAC迁移功能 |
|---|---|---|
| 用户拔插前 | 设备在A端口认证在线 | 设备在A端口认证在线 |
| 用户拔插后 | 设备在B端口认证,因“MAC已在线”而失败 | 设备在B端口认证,B端口认证成功 |
| 最终结果 | A端口用户在线,B端口用户被拒绝 | B端口用户上线,A端口的用户被强制下线 |
可以看到,开启该功能后,新端口的上线请求会成功,同时旧端口上的用户会被自动踢下线,确保了设备在网络中移动时能快速、平滑地重新获得网络访问权限。
配置成功后,可以通过以下命令查看端口安全的全局状态,确认MAC move已经变为Permitted(允许)。
[Sysname] display port-security
在这个命令的输出信息中,找到
MAC move 字段,若显示为 Permitted,则代表功能已生效。
可以啊,你是什么问题呢。
就是比如说我一个墙上面板有两个网口,我把两个端口都开启了mac认证,终端接入其中一个面板网口是通的,但是我拔下来插入另一个网口却不通。另一个网口接入其他终端是通的。把这两个终端交换网口就都不通。大佬救救急
Christin
发表时间:4天前
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明