FAQ-S3700 dot1x mac-bypass 功能失效问题
问题描述
S3700交换机做802.1x认证,开启 mac-bypass以实现网络打印机等设备无法安装客户端设备的认证接入,经过测试没有添加mac地址的新pc也可以接入网络正常通信,网络接入策略设备没有起到限制接入的功能
认证的主要配置如下:
radius-server template uniaccess
radius-server shared-key cipher %@%@u|^:FeWjL7BD5c<;QpfVl+*T%@%@
radius-server authentication 10.50.1.6 1812
radius-server authentication 10.50.1.7 1812 secondary
radius-server accounting 10.50.1.6 1813
radius-server accounting 10.50.1.7 1813 secondary
undo radius-server user-name domain-included
#
aaa
authentication-scheme uniaccess
authentication-mode radius none
authorization-scheme default
accounting-scheme default
domain default
authentication-scheme uniaccess
radius-server uniaccess
domain default_admin
#
dot1x enable
dot1x authentication-method eap
dot1x timer handshake-period 900
dot1x timer tx-period 5
#
interface Ethernet0/0/3
dot1x mac-bypass
在交换机通过test-aaa测试raius的账户显示为time out
解决方案
建议客户修改authentication-mode radius none 为 authentication-mode radius 测试发现所有的pc都不能被认证通过,dot1x mac-bypass功能是在终端没有对EAP star回应而进入mac认证流程,authentication-mode radius none 在radius故障时就会进入逃生通道none不认证。
此问题确认为radius 服务器故障导致所有终端经过逃生通道。
