问

交换机LS-S5110，做802.1xMAB免认证，现在认证用户名带域名后缀

19小时前提问

0关注
0收藏，33浏览

zhiliao_KfewrC

zhiliao_KfewrC 零段

粉丝：0人关注：0人

问题描述：

下面是是我交换机配置

sysname C2-9.23

domain default enable ac-domain

ipv6

dot1x

dot1x retry 5

dot1x authentication-method eap

mac-authentication

mac-authentication user-name-format mac-address with-hyphen

password-recovery enable

vlan 1

vlan 10

description yjy

vlan 20

description tangyun

vlan 30

description devmg

vlan 40

radius scheme 1x-ca

primary authentication 6.6.6.16

primary accounting 6.6.6.16

key authentication cipher $c$3$JkEw+aqEliZT8i5ot69Kg9wupeHImlbI5xEYbqkp4g==

key accounting cipher $c$3$4HdPXihBtw0PFkxz5oxtJcpQR5pQm9ja8W6aOKQ2zw==

user-name-format without-domain

domain ac-domain

authentication lan-access radius-scheme 1x-ca

authorization lan-access radius-scheme 1x-ca

accounting lan-access radius-scheme 1x-ca

access-limit disable

state active

idle-cut disable

self-service-url disable

domain mac-auth

access-limit disable

state active

idle-cut disable

self-service-url disable

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

user-group system

group-attribute allow-guest

4 个回答

按时间按赞数

zhiliao_Gixe

zhiliao_Gixe 四段

粉丝：2人关注：9人

配置不完整，无法判断问题。需要补充以下信息：

1. 完整的认证配置：包括 `domain`、`scheme`、`radius scheme` 和 `radius server` 的配置。
2. 接口应用配置：`dot1x` 和 `mac-authentication` 在接口下的具体应用模式。
3. 具体故障现象：是MAB用户完全无法上线，还是上线后用户名格式不符合预期？

根据“认证用户名带域名后缀”的描述，问题很可能与 `domain` 配置或 RADIUS方案中的 `user-name-format` 有关。

关键排查点与命令：
1. 检查在线用户信息：`display connection` 查看已上线用户的实际用户名格式。
2. 检查域配置：`display domain [name]` 查看默认域或指定域的配置，确认是否配置了强制域名后缀。
3. 检查RADIUS方案配置：`display radius scheme [name]` 查看 `user-name-format` 设置。如果设置为 `with-domain`，则发送给RADIUS服务器的用户名会携带域名。

可能的配置调整：
如果希望RADIUS服务器收到的用户名不带域名，在RADIUS方案视图下执行 `user-name-format without-domain`。
如果希望MAB用户使用统一的域名，可以在域视图下配置 `service-type lan-access`，并在接口或全局的MAC认证配置中指定该域，例如在系统视图下 `mac-authentication domain [domain-name]`。

请补充信息以便进一步定位。

暂无评论

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：98人关注：11人

1X不支持免认证

暂无评论

刘浩存

刘浩存七段

粉丝：9人关注：1人

问题可能出在接口配置缺失或域名剥离不生效。

一、检查接口下的认证配置

你提供的配置中没有包含接口部分的配置，这是关键缺失。你需要确认在连接终端的接口下是否启用了802.1X和MAC认证，并且指定了正确的认证域。

示例接口配置（假设连接终端的接口为GigabitEthernet1/0/1）：

interface GigabitEthernet1/0/1

port access vlan 10
dot1x authentication-method eap
dot1x mac-binding enable # 开启MAC地址绑定（可选）
dot1x domain ac-domain # 指定802.1X使用的域
mac-authentication domain mac-auth # 指定MAC认证使用的域（通常单独建一个域）
dot1x mac-authentication
说明：
dot1x domain ac-domain 确保802.1X认证时使用你配置的 ac-domain 域，该域下已设置 user-name-format without-domain。mac-authentication domain mac-auth 可单独指定MAC认证域，该域下不应配置 user-name-format without-domain（MAC地址本身无域名）。

二、验证域名剥离是否生效

即使配置了 without-domain，也建议通过debug或日志确认交换机实际发给RADIUS的用户名。

1. 开启debugging（注意生产环境慎用）

debugging radius packet

debugging dot1x all
terminal monitor
terminal debugging
然后让终端发起802.1X认证，观察打印信息中 User-Name 字段的值。如果仍然带有 @xxx，则说明剥离未生效。

2. 查看RADIUS服务器日志

在RADIUS服务器（如iMC）上查看认证请求日志，确认收到的用户名格式。如果带域名，则交换机侧剥离失败。

三、常见原因及修正

现象	可能原因	解决方法
用户名仍带域名后缀	接口下未引用 `ac-domain`，而是使用了默认域或system域	在接口下明确指定 `dot1x domain ac-domain`
只配置了全局域 `domain default enable ac-domain`	全局默认域只影响未指定域的场景，但802.1X有时不继承	接口下显式指定更保险
RADIUS方案中 `user-name-format` 未生效	该命令需要在RADIUS方案视图下正确配置，且域中引用了该方案	检查 `radius scheme 1x-ca` 下确实有 `user-name-format without-domain`，并确认 `domain ac-domain` 下引用了该方案
客户端强制发送带域名的用户名（如Windows自动添加）	某些802.1X客户端（如Windows自带的）会默认发送 `user@domain`	修改客户端设置或使用iNode客户端，强制发送不带域名的用户名

四、推荐的完整配置补充

1. 创建MAC认证专用域（可选）

如果你希望MAC认证时不剥离任何内容（MAC地址本身无域名），可以单独建一个域：

domain mac-auth

authentication lan-access radius-scheme 1x-ca
authorization lan-access radius-scheme 1x-ca
accounting lan-access radius-scheme 1x-ca
user-name-format keep-original # 保持原样（MAC地址）
2. 接口完整配置示例

interface GigabitEthernet1/0/1

port link-type access
port access vlan 10
dot1x authentication-method eap
dot1x domain ac-domain mac-authentication domain mac-auth
dot1x mac-authentication
3. 确保MAC认证用户名格式正确

你已经配置了 mac-authentication user-name-format mac-address with-hyphen，这会将MAC地址格式化为 xx-xx-xx-xx-xx-xx 形式。请确保RADIUS服务器上存储的MAC地址也是这种格式。

五、验证步骤

查看接口下生效的配置：
display current-configuration interface GigabitEthernet 1/0/1
查看认证会话：
display dot1x sessions
display mac-authentication connection
测试802.1X认证：使用iNode客户端或Windows自带客户端，输入不带域名的用户名（或带域名，依赖交换机剥离），观察认证结果。
如果仍然失败：将RADIUS方案中的 user-name-format 临时改为 keep-original，然后在客户端输入带域名的用户名测试，如果此时能成功，说明RADIUS期望的就是带域名的用户名。那么你应该保留 keep-original 或调整RADIUS服务器配置。

暂无评论

zhiliao_GeOM0O

zhiliao_GeOM0O 六段

粉丝：6人关注：2人

我直接看你的配置，问题一眼就找到了！

你现在 MAB 免认证（MAC 认证）的用户名带域名后缀，原因只有一个：

MAC 认证用了全局默认域名 ac-domain，而不是不带域名的模式

我直接给你最简、最稳、立刻生效的解决办法。

一、问题根本原因（10 秒看懂）

你配置了：

plaintext

domain default enable ac-domain

这意味着：

所有 802.1x + MAB 认证，默认都会自动带上域名 ac-domain

但你又配置了：

plaintext

radius scheme 1x-ca
 user-name-format without-domain

意思是：RADIUS 发送时去掉域名

结果冲突了 → MAB 依然带域名发到服务器 → 服务器不认 → 你看到用户名带后缀。

二、正确解决方案（直接复制执行）

目标

让 MAB (MAC 认证) 不带域名，只使用纯 MAC 地址认证

最终命令（直接粘贴）

system-view

# 单独给 MAC 认证指定一个 不带域名 的域
mac-authentication domain mac-auth

# 进入这个域，让它使用你的 radius 1x-ca
domain mac-auth
 authentication lan-access radius-scheme 1x-ca
 authorization lan-access radius-scheme 1x-ca
 accounting lan-access radius-scheme 1x-ca

# 强制这个域 不携带域名（关键）
 user-name-format without-domain

解释作用

mac-authentication domain mac-auth
→ MAC 认证强制使用 mac-auth 域，不使用全局默认域
该域配置 without-domain
→ MAC 地址发送给 RADIUS 时，完全不带域名后缀

三、为什么这样能解决？

你的现状：

802.1x → 使用域 ac-domain（带域名）
MAB (MAC) → 也被强制使用 ac-domain（带域名）

修改后：

802.1x → 走 ac-domain（不变）
MAB → 走 mac-auth 域（不带域名）

这样就实现了：

MAC 认证：纯 MAC 地址，无域名后缀

四、验证是否成功

执行：

plaintext

display mac-authentication

看到：

plaintext

Mac authentication domain: mac-auth

表示成功。

然后重启端口或重新插拔终端：

RADIUS 服务器收到的用户名就是纯 MAC，不带 @域名

五、我再帮你检查一下你的最佳配置格式

你当前的 MAC 格式是：

plaintext

mac-authentication user-name-format mac-address with-hyphen

例子：aabb-ccdd-eeff

服务器如果需要 无分隔符 格式：

plaintext

mac-authentication user-name-format mac-address plain

例子：aabbccddeeff

六、最终总结（最关键）

你只需要加一句：

plaintext

mac-authentication domain mac-auth

再配置 mac-auth 域引用 radius 并关闭域名

MAB 用户名立刻不带后缀！

暂无评论

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 隐私政策; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

交换机LS-S5110，做802.1xMAB免认证，现在认证用户名带域名后缀

问题描述：

一、检查接口下的认证配置

二、验证域名剥离是否生效

1. 开启debugging（注意生产环境慎用）

2. 查看RADIUS服务器日志

三、常见原因及修正

四、推荐的完整配置补充

1. 创建MAC认证专用域（可选）

五、验证步骤

一、问题根本原因（10 秒看懂）

二、正确解决方案（直接复制执行）

目标

最终命令（直接粘贴）

解释作用

三、为什么这样能解决？

MAC 认证：纯 MAC 地址，无域名后缀

四、验证是否成功

五、我再帮你检查一下你的最佳配置格式

六、最终总结（最关键）

编辑答案

提出建议