最近发现个别的用户在办公区下挂hub使用有线网络时,1x认证在华为campus上会体现出一直在线的问题,(由于没有使用1x客户端,所以1x的上下线机制可能不会生效,同时启用了1x认证又使用dot1x port-method mac-based 的端口下的主机 mac地址不会老化)

又由于某种原因(防火墙流量探测机制,15分钟没有流量在防火墙上下线客户端),会导致用户在华为campus上一直在线,而防火墙有几率不在线,导致用户无法使用外网。

经查看文档同时与H3C工程师交流,可使用dot1x handshake来保证用户上下线信息的传递,但是咱们使用的1x方式是EAP-TLS的 没有使用类似H3C iNODE的客户端,可能兼容性上会有问题,

故建议使用1x重认证的功能,配置命令以及方法如下:

PS:因为只是个别的用户会出现此类问题 故可以在出现此类情况的端口启用1x重认证 防止产生过多的1x日志

总部办公区使用的H3C S5120 V5版本的接入交换机命令

V5版本需要全局开始dot1x timer reauth-period 时间(缺省为3600 建议配置最大值7200)

然后在下挂了hub的端口下面开启 dot1x re-authenticate 会生效1x重认证功能,用户侧两小时1x重认证一次,冲抵华为campus上的认证日志。

cur信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<YZO-S5120-PC-F8-S>dis cur int g1/0/38
#
interface GigabitEthernet1/0/38
description To-Server
port access vlan 100
loopback-detection enable
broadcast-suppression 5
multicast-suppression 5
storm-constrain control block
packet-filter 3000 outbound
mac-address max-mac-count 3
dot1x guest-vlan 110
dot1x auth-fail vlan 110
**dot1x re-authenticate**
undo dot1x handshake
dot1x
port-isolate enable
ip verify source ip-address mac-address
#

数字工厂办公区使用的H3C S5720 V7版本的接入交换机命令

V7版本的交换机可以直接在端口下启用命令,原理如上,不再赘述。

cur信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<SZGC-S5130-PC-F5>dis cur int g6/0/42
#
interface GigabitEthernet6/0/42
port link-mode bridge
description To-Server
port access vlan 100
storm-constrain control block
broadcast-suppression 5
multicast-suppression 5
stp edged-port
mac-address max-mac-count 8
dot1x
undo dot1x handshake
**dot1x re-authenticate**
dot1x guest-vlan 110
dot1x auth-fail vlan 110
**dot1x timer reauth-period 7200**
loopback-detection enable vlan 100 110 999 
dhcp snooping binding record
#
return

参考链接:http://www.h3c.com/cn/d_201506/872056_30005_0.htm#_Toc377974511