1、现场故障现象初步看不明确,指导现场进行交换机设备端口侧抓包和收集debug信息,从抓包上看,设备已经收到PC发送的eap报文,但是debug信息上没看到相应接口的信息。
2、故障PC的mac地址54ee-758b-ae11,连接在交换机的G1/0/19端口,查看debug信息,发现在端口G1/0/38有该mac的报文交互信息,现象比较奇怪;
*Sep 20 17:41:33:795 2017 H3C-IRF02 DOT1X/7/EVENT: [54ee-758b-ae11:VLAN1:GE1/0/38] User sent accounting-update request.
*Sep 20 17:41:33:796 2017 H3C-IRF02 DOT1X/7/EVENT: [54ee-758b-ae11:VLAN1:GE1/0/38] AAA processed accounting-update request and returned Processing.
3、查看G1/0/38端口的mac地址学习情况,发现该端口学到了54ee-758b-ae11地址,并且,通过display dot1x connection发现mac地址为54ee-758b-ae11的用户在G1/0/38端口仍在线。
[H3C-IRF02]dis mac-address interface g1/0/38
MAC Address VLAN ID State Port/NickName Aging
54ee-758b-ae11 1312 DOT1X GE1/0/38 N
f09e-630e-bf50 1383 VOICE-VLAN GE1/0/38 Y
[H3C-IRF02-probe]dis dot1x connection int g1/0/38
Total connections: 1
Slot ID: 1
User MAC address: 54ee-758b-ae11
Access interface: GigabitEthernet1/0/38
4、经过现场确认组网情况,发现G1/0/38下面先接着话机再连接PC,之后PC拔掉网线,由于这种组网G1/0/38口并不会down,而且客户在G1/0/38接口下还把dot1x的握手检测功能关掉了,所以即使PC拔掉网线用户也一直在线,底层也有这个MAC表项。让客户在设备上把握手功能开启后,这个MAC在G1/0/38掉线后,在G1/0/19就认证正常了。
5、针对V5的BCM芯片,有vlan检查,需要新端口允许mac-vlan对应的vlan通过;即当54ee-758b-ae11地址的用户上线后,底层会生成mac-vlan表项,即54ee-758b-ae11对应vlan 1312;当旧端口存在该mac-vlan表项时,新端口G1/0/19需要允许vlan 1312通过,这样dot1x协议报文才会上送平台。若新端口G1/0/19没放通vlan 1312,dot1x协议报文就不会上送平台,需等到1/0/38的MAC表项删掉才上送开始认证。
[H3C-IRF02-GigabitEthernet1/0/19]dis mac-vlan all
The following MAC VLAN entries exist:
State: S - Static, D - Dynamic
MAC address Mask VLAN ID Dot1q State
54ee-758b-ae11 ffff-ffff-ffff 1312 0 D
发表于 2022-9-15 10:31