在系统视图下执行命令trace object mac-address mac-address可以看到设备发出Request Identity报文没有收到回应,超时后设备进行了重传。
可以执行以下步骤进行检查。
1、检查终端和认证交换机之间是否存在其它设备。
由于802.1X报文是组播协议报文,目的MAC地址是01-80-C2-00-00-03,交换机收到后默认不转发。如果终端和认证交换机之间还存在其它设备(二层交换机、路由器等),则需要中间设备能够透传802.1X报文。
●如果存在,请执行步骤2。
●如果不存在,请执行步骤4。
2、请检查中间设备是否支持透传802.1X报文。
●如果不支持,请将这些设备更换为支持透传802.1X报文的设备,或者更换接入认证方式。
●如果支持,请执行步骤3。
3、请检查中间设备是否已配置802.1X报文透传功能。
●如果已配置,请执行步骤4。
●如果未配置,请执行命令l2protocol-tunnel user-defined-protocol配置透传功能(以华为交换机为例)。
3、检查终端是否有802.1X客户端。
●如果有,请执行步骤5。
●如果没有,请安装802.1X客户端。
4、检查终端是否已开启802.1X功能。
●如果已开启,请执行步骤6。
●如果未开启,请开启该功能,以Windows 7为例。
单击本地连接,选择“属性 > 身份验证 ”。选中“启用IEEE802.1X身份验证”。但是部分网卡属性中没有身份验证的选项卡,这是由于“控制面板 > 管理工具 > 服务”中没有开启Wired AutoConfig。
6、检查终端多次802.1X认证失败后是否进入静默状态。
●如果未进入静默状态,请执行步骤7。
●如果进入静默状态,请执行命令display aaa online-fail-record,根据User online fail reason字段检查其他上线失败原因来定位问题。用户可以通过禁用启用网卡或插拔网线快速恢复,或者调整终端的静默时间,以Windows 7系统为例,默认的静默时间是20分钟,可以通过CMD窗口执行命令netsh lan set blockperiod value调小静默时间,以加快认证接入网络速度。
C:\>netsh lan set blockperiod value=10
加入域的windows终端,也可以在域控服务器上通过组策略进行设置:
计算机设置->策略->Windows设置->安全设置->有线网络(802.3)设置,将”Max Authentication Failures”设为10(注:默认是1,即收到一次failure即静默)
组策略设置参考:https://social.technet.microsoft.com/Forums/en-US/bc0a05a4-c62d-41a2-9ea3-79b589829a7e/windows-10-8021x-wired-authentication-issue?forum=win10itpronetworking