S5700接Agile Controller-Campus mac认证 终端异常掉线

接入交换机做mac认证 终端2分钟后就会掉线无法上网，不做认证去掉认证策略没有任何问题

1.检查配置未发现问题
authentication-profile name MAC_SEC
 mac-access-profile MAC_List
 access-domain mac_domain force
 domain mac_domain
authentication-scheme MAC_AUT
accounting-scheme MAC_AUZ
radius-server TJ_HW_AAA
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 128
stp edged-port enable
authentication-profile MAC_SEC
#

2.查看终端掉线原因：大部分都是接口物理down 确认没有插拔网线

查看交换机日志有接口一直在up down的日志  接口物理down   确认没有插拔网线  接口无故up down

端口闪断排查链路，做交叉测试更换链路看还是会依然闪断 ，检查PC端设置设置了电脑休眠策略 UP down和电脑休眠有关去掉电脑休眠策略用户还是掉线

3.排查生成树都是forwarding的状态   认证的接口都配置成边缘接口了  和stp应该无关

4.查看AAA配置怀疑这个掉线因为计费原因：去掉计费策略终端还是掉线

5.复现现象观察只要接口上开了mac认证 那么2分钟就会丢8-10个包 而且是有规律的丢包

从trace信息分析终端掉线原因为接口down，接口down由于终端PC设置了休眠策略导致

间歇性丢包问题原因可能与认证用户探测相关。

同时在交换机上增加默认源地址和基于VLAN的探测源IP和源MAC地址配置问题解决。
建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
access-use arp-detect default ip-address 0.0.0.0
access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address

终端间歇性ping不通问题原因为交换机对MAC认证成功用户使用255.255.255.255作为源地址发送ARP探测请求报文，而终端不回应，交换机一直处于等待终端回应状态，在该状态下如果交换机收到终端请求网关ARP报文时，会发送ARP回应，更改了终端上网关的MAC地址。

在交换机上增加默认源地址和基于VLAN的探测源IP和源MAC地址配置。
建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
access-user arp-detect default ip-address 0.0.0.0
access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address
配置完成后将终端踢下线然后再重新上线。

建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
access-user arp-detect default ip-address 0.0.0.0
access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address