• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

某局點S5570S-54S-EI 802.1x逃生不生效

2025-02-24 發表
  • 0關注
  • 1收藏 240瀏覽
賈珊珊
賈珊珊 五段
粉絲:1人 關注:0人

組網及說明

設備型號和版本:S5570S-54S-EI  Release 1128

問題描述

現場配置802.1x逃生不生效,服務器不可達的時候,用戶(1/0/27)無法進入逃生vlan,設備學不到終端的地址

過程分析

1、  現場設備版本是最新的

2、  接口配置如下:

#

interface GigabitEthernet1/0/27

port link-mode bridge

port access vlan 601

stp edged-port

dot1x

undo dot1x handshake

dot1x mandatory-domain carizon-domain

dot1x critical vlan 601

mac-authentication

mac-authentication domain carizon-domain

mac-authentication critical vlan 601

#

3、  服務器狀態

  ===============display radius scheme=============== 

Total 2 RADIUS schemes

 

------------------------------------------------------------------

RADIUS scheme name: carizon-radius

  Index: 0

  Primary authentication server:

    Host name: Not Configured

    IP   : x.x.x.44                               Port: 1812 

    VPN  : Not configured                          

    State: Blocked

    Most recent blocked period: 2024/11/02 22:57:39 - now

    Test profile: taosheng

      Probe username: admin

      Probe interval: 1 minutes

    Weight: 0

  Primary accounting server:

    Host name: Not Configured

    IP   :  x.x.x.44                                Port: 1813 

    VPN  : Not configured                         

    State: Active (duration: 0 weeks, 0 days, 1 hours, 12 minutes, 1 seconds)

    Weight: 0

  Accounting-On function                     : Disabled

    extended function                        : Disabled

    retransmission times                     : 50

    retransmission interval(seconds)         : 3

  Timeout Interval(seconds)                  : 3

  Retransmission Times                       : 3

  Retransmission Times for Accounting Update : 5

  Server Quiet Period(minutes)               : 5

  Realtime Accounting Interval(seconds)      : 720

  Stop-accounting packets buffering          : Enabled

    Retransmission times                     : 500

  NAS IP Address                             : x.x.x.2

  VPN                                        : Not configured

  User Name Format                           : without-domain

  Data flow unit                             : Byte

  Packet unit                                : One

  Attribute 15 check-mode                    : Strict

  Attribute 25                               : Standard

  Attribute Remanent-Volume unit             : Kilo

  server-load-sharing                        : Disabled

  Attribute 31 MAC format                    : HH-HH-HH-HH-HH-HH

  Stop-accounting packets send-force         : Disabled

  Reauthentication server selection          : Inherit

  Attribute 218 of vendor ID 25506           : DHCP-Option 61

                                               Format 1 (1-byte Type field)

------------------------------------------------------------------

4、看debug信息確實存在服務器不可達及認證失敗的信息

 

*Nov  2 23:33:07:620 2024 CNBJSWTX-C6R01-SWA001 RADIUS/7/EVENT: Found request context, dstIP: 10.11.1.44; dstPort: 1812; VPN instance: --(public); socketfd: 94; pktID:23.

*Nov  2 23:33:07:622 2024 CNBJSWTX-C6R01-SWA001 RADIUS/7/EVENT: Retransmitting request packet, currentTries: 3, maxTries: 3.

*Nov  2 23:33:07:629 2024 CNBJSWTX-C6R01-SWA001 DOT1X/7/EVENT: User aging timer expired: UserMAC=yyyy-yyyy-yyyy, VLANID=601, Interface=GigabitEthernet1/0/27.

*Nov  2 23:33:07:629 2024 CNBJSWTX-C6R01-SWA001 DOT1X/7/EVENT: BE is in Initialize state: UserMAC=yyyy-yyyy-yyyy, VLANID=601, Interface=GigabitEthernet1/0/27.

*Nov  2 23:33:07:630 2024 CNBJSWTX-C6R01-SWA001 DOT1X/7/EVENT: Interface GigabitEthernet1/0/27 received Set the port authorization status to unauthorized event.

解決方法

後經產品線定位:加入1x  的critical vlan要麼是mac-vlan  enable(需要配置成hybrid口),要麼是port-based模式,現場需要同時啟用mac 和1x認證的,那就隻能是改hybrid口了。

現場改成hybrid口,配置mac-vlan enable之後就ok了。

該案例對您是否有幫助:

您的評價:1

若您有關於案例的建議,請反饋:

作者在2025-03-04對此案例進行了修訂
0 個評論

該案例暫時沒有網友評論

編輯評論

舉報

×

侵犯我的權益 >
對根叔知了社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔知了社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明

提出建議

    +
網站相關
關於我們
服務條款
幫助中心
經驗與權限
積分規則
聯係我們
聯係我們
建議反饋
常用鏈接
標杆的神器下載
關注我們
H3C官網
BOB登陆 服務公眾號
安仔遠程運維服務
BOB登陆 商城
內容許可
除特別說明外,用戶內容均可采用知識共享署名-相同方式共享3.0中國大陸許可協議進行許可

Copyright©2025BOB登陆 集團保留一切權利 當前呈現版本 NO.1

本圖標版權歸BOB登陆 集團所有,僅限本社區使用,切勿用做商業目的,違者必究

浙ICP備09064986號-1   浙公網安備 33010802004416號

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作