锐捷S53E 端口安全和1X配置后终端1X认证完终端无法访问外网
一、故障现象描述
交换机下联口(0/1)开启DOT1X认证和端口安全后,终端认证后无法访问外网。
场景拓扑
二、故障排查分析
-
交换机上配置了端口安全将需要认证的终端添加到端口安全的表项中,此时会往底层通告静态的MAC表项。没有配置端口安全绑定的表项是空。
未绑定:
已绑定:
-
由于终端是静态的IP地址,交换机接口同时开启1X认证和端口安全后。有两种情况可以直接访问外网:
-
安全端口绑定的终端可以直接访问外网,不需要通过1X认证组件
-
未绑定的用户,需要通过1X认证后才能上网的用户。交换机需要配置IP地址校验功能,此时终端需要DHCP获取IP地址或者使用锐捷的SU客户端进行认证。
三、故障根因说明
由于接口上同时配置了端口安全和1X认证有限制,无法实现客户需求。
四、故障解决方案
通过全局的接口和MAC绑定的功能,也可以实现端口安全同样的功能。给交换机下发静态MAC表项,接口只开启1X认证。此时未绑定终端通过1X认证就可以正常访问外网,不需要额外的配置。
注意:端口安全可以同时绑定接口/IP/MAC三个参数,全局的MAC绑定只能绑定接口/MAC。客户这边不需要IP地址绑定故可以实现客户需求
阅读剩余
版权声明:
作者:SE_You
链接:https://www.cnesa.cn/4758.html
文章版权归作者所有,未经允许请勿转载。
THE END
