背景信息
在802.1X认证中,设备会向客户端发送EAP-Request/Identity报文请求用户名,请求报文的重传次数和时间间隔由命令行控制。
如下图所示,设备发送EAP-Request/Identity请求报文超时后,向客户端发送认证失败报文。
设备重传EAP-Request/Identity请求报文的时间间隔由命令dot1x timer tx-period tx-period配置、次数由命令dot1x retry max-retry-value配置。EAP-Request/Identity请求超时计算公式为:Timeout = (max-retry-value +1) * tx-period-value
故障现象
Trace诊断信息显示为No response of request identity from user。可以看到设备发出Request Identity报文没有收到回应,超时后设备进行了重传。
处理步骤
1、检查终端和接入交换机之间是否存在其它设备。
由于802.1X报文是组播协议报文,目的MAC地址是01-80-C2-00-00-03,交换机收到后默认不转发。如果终端和认证交换机之间还存在其它设备(二层交换机、路由器等),则需要中间设备能够透传802.1X报文。
如果存在,请执行步骤2。
如果不存在,请执行步骤4。
2、请检查中间设备是否支持透传802.1X报文。
如果不支持,请将这些设备更换为支持透传802.1X报文的设备,或者更换接入认证方式。
如果支持,请执行步骤3。
3、请检查中间设备是否已配置802.1X报文透传功能。
如果已配置,请执行步骤4。
如果未配置,请执行命令l2protocol-tunnel user-defined-protocol配置透传功能
4、检查终端是否有802.1X客户端。
如果有,请执行步骤5。
如果没有,请安装802.1X客户端。
5、检查终端是否已开启802.1X功能。
如果已开启,请执行步骤6。
如果未开启,请开启该功能,以Windows 7为例。
单击本地连接,选择“属性 > 身份验证”。选中“启用IEEE802.1X身份验证”。但是部分网卡属性中没有身份验证的选项卡,这是由于“控制面板 > 管理工具 > 服务”中没有开启Wired AutoConfig。
6、检查终端多次802.1X认证失败后是否进入静默状态。
如果未进入静默状态,请执行华为技术支持
如果进入静默状态,请执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。用户可以通过禁用启用网卡或插拔网线快速恢复,或者调整终端的静默时间,以Windows 7系统为例,默认的静默时间是20分钟,可以通过CMD窗口执行命令netsh lan set blockperiod value调小静默时间,以加快认证接入网络速度。
