ADCampus方案
现场使用微软自带的1X认证,PC正常认证上线后,在网卡属性—身份验证—“启用IEEE802.1x身份认证”处取消勾选,PC可以照常访问内部资源,在DR2000和leaf设备上可以看到上线用户的信息,并且该用户的接入明细中显示用户的在线时间大于实际认证上线时间
Windows自带的1X认证是关闭了握手的,导致设备无法感知终端已下线
1.可以在leaf设备的下行口配置dot1x offline-detection enable,进行终端下线探测;
2.如果设备不支持设备不支持上述命令 (如S6520X-EI); 可采用周期重认证的功能,考虑到现场终端数量较多,建议现场配置重认证间隔在1h,同时关注下设备cpu的情况,如果cpu占用超过50%,,则调大探测间隔;
[Sysname] dot1x timer reauth-period 3600
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x re-authenticate
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作