交换机S5130 MAC地址认证每间隔半小时触发一次
- 0关注
- 0收藏,30浏览
1. 系统视图下关闭MAC认证空闲超时:
mac-authentication timer idle 0
值设为0代表禁用空闲用户检测,不会因终端无流量老化认证条目。
2. 系统视图下关闭MAC认证周期性重认证功能:
undo mac-authentication re-authenticate
避免设备主动触发重认证流程。
3. 进入MAC认证绑定的ISP域(默认是system域),取消强制会话超时:
domain system
authorization-attribute session timeout 0
关闭认证用户的绝对会话到期机制,不会强制踢用户下线。
4. 可选优化:针对几乎不发流量的哑终端,在接入接口下配置永久保留MAC表项:
interface GigabitEthernet 1/0/xxx
mac-address timer aging 0
配置完成后让已在线的哑终端重新认证一次即可生效,可通过display mac-authentication校验计时器配置是否正确。
哑终端每隔半小时就触发重认证导致断网,通常是由于交换机上的“周期性重认证”功能被开启了。交换机默认的重认证间隔(Reauth period)正好是3600秒(1小时)。你那边是半小时触发一次,很可能是Radius服务器下发了Session-Timeout属性覆盖了默认值。
要让这些固定终端“一次认证、永久在线”,可以通过下面的方案来解决。
解决方案
方案一:关闭周期性重认证(推荐)
此方案简单直接,可彻底关闭重认证机制,不影响其他配置。
操作步骤:
登录交换机,进入系统视图。
在系统视图下执行以下命令:
[H3C] undo mac-authentication timer reauth-period执行
save force保存配置。
验证:之后在通过执行命令
display mac-authentication查看端口信息,确认Periodic reauth已变为Disabled。
方案二:调长重认证间隔(缓解)
如果安全策略要求必须保留周期性认证机制,可以通过此方式将间隔拉长来缓解问题。
操作步骤:
在系统视图下执行:[H3C] mac-authentication timer reauth-period 86400说明:此命令将重认证间隔设置为 86400秒(即24小时),可根据需要调整数值。
方案三:静态绑定MAC地址(终极)
对于位置和MAC地址都完全固定的哑终端,可将其MAC地址在交换机上静态绑定,使其不再参与任何认证过程。
操作步骤:
先关闭端口认证:
[H3C-GigabitEthernet1/0/1] undo mac-authentication配置静态MAC绑定:
[H3C] mac-address static 终端的MAC地址 interface GigabitEthernet 1/0/1 vlan 30
注意:该方案会绕过认证,实施前需确认符合企业的安全策略。
排查思路与建议
在实施上述解决方案前,建议先确认重认证的触发源。
查看服务器策略:由于你的重认证间隔是0.5小时,与交换机默认的1小时不符,这很可能是 Radius 服务器下发的
Session-Timeout属性所致。可以执行命令display mac-authentication connection查看服务器具体下发的参数。排查是否由“无流量下线”触发:MAC认证还有一种“无流量下线并重连”的机制,受 离线检测定时器 (
Offline detect period) 控制。若非上述原因,需排查网络内是否存在环路、ARP攻击等导致交换机频繁刷新MAC地址表,进而触发重认证。
暂无评论
一、为什么会半小时断一次(根因)
- 周期性重认证(reauth-period):默认1800 秒 = 30 分钟,到点强制重认→断网几秒。
- 离线检测(offline-detect):默认300 秒,设备认为用户离线就踢下线,触发重认。
- MAC 地址表老化:默认 300 秒,和离线检测时间一致,导致终端 MAC 被删,再次触发认证。
二、根治配置(直接复制粘贴)
1. 全局关闭周期性重认证(必配)
system-view
# 关闭全局周期性重认证
undo mac-authentication timer reauth-period
# 把离线检测设为超长(比如1天),避免误踢
mac-authentication timer offline-detect 86400
# 静默定时器默认60秒,不用改
2. 端口下关闭重认证 + 保活(必配)
interface GigabitEthernet 1/0/1 # 进入接哑终端的端口
# 关闭端口重认证
undo mac-authentication re-authenticate
# 服务器不可达时保持在线(防断网)
mac-authentication re-authenticate server-unreachable keep-online
# 可选:端口安全+静态MAC绑定(最稳)
port-security enable
port-security mac-address sticky # 自动粘住终端MAC
3. 核心交换机调整 MAC 老化(可选但推荐)
# 全局MAC地址老化设为和离线检测一致(86400秒)
mac-address aging-time 86400
三、配置后效果
- 只认证一次:哑终端上电认证成功后,永久在线,不会再重认。
- 不断网:无 30 分钟强制重认,无离线踢下线,业务稳定。
- 适配哑终端:无保活报文也不会被踢,适合打印机、摄像头等设备。
四、验证配置
# 查看MAC认证定时器
display mac-authentication
# 查看端口重认证状态
display mac-authentication interface GigabitEthernet 1/0/1
# 查看在线用户(认证一次后永久在线)
display mac-authentication user
五、常见坑
- 只关全局,没关端口重认证:还是会 30 分钟重认。
- 离线检测时间太短:默认 300 秒,哑终端无保活会被误踢。
- MAC 老化时间和离线检测不一致:导致 MAC 表被删,触发重认。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论