一、问题现象

华为交换机配置完802.1X认证之后，部分终端出现了每隔五分钟重新认证一次的现象。

二、关键配置

#

authentication-profile name ceshi

dot1x-access-profile ceshi

mac-access-profile ceshi

access-domain ceshi

#

undo dot1x mc-trigger

access-user arp-detect default ip-address 255.255.255.255

#

radius-server template ceshi

radius-server shared-key cipher q3wehinfTQweh23#^%#38wu4bsdsio8iafebauBaQ

radius-server authentication X.X.X.X weight 80

radius-server accounting X.X.X.X weight 60

#

aaa

authentication-scheme ceshi

 authentication-mode radius

domain ceshi

 authentication-scheme radius

 radius-server ceshi

#

interface GigabitEthernet0/0/1

authentication-profile ceshi

#

dot1x-access-profile name ceshi

#

mac-access-profile name ceshi              

#

return

三、问题排查

根据华为交换机命令手册查询到，接入模板下的握手功能默认是关闭的，该设备也没有开启，所以首先排除是802.1X握手导致。

查看配置，组播触发也是关闭的，（缺省开启，间隔30秒），从时间间隔上来看可以排除是该参数导致。

#

undo dot1x mc-trigger

#

查看认证模板，发下模板下有一个握手是开启的，时间周期刚好是五分钟。

[S5720S-28P-PWR-LI]dis authentication-profile configuration name ceshi

Profile name : ceshi

Dot1x access profile name : ceshi

Mac access profile name : ceshi

Portal access profile name : -

Free rule template : -

Force domain : -

Dot1x force domain : -

Mac-authen force domain : -

Portal force domain : -

Default domain : ceshi

Dot1x default domain : -

Mac-authen default domain : -

Portal default domain : -

Permit domain : -

Authentication handshake : Enable

Authentication handshake period : 300s

Auth-fail re-auth period : 60s

Pre-auth re-auth period : 60s

Auth-fail aging time : 82800s

Pre-auth aging time : 82800s

Dot1x-mac-bypass : Disable

Single-access : Disable

Device-type authorize service-scheme : -

Authentication mode : multi-authen max-user 100

Authen-fail authorize VLAN : 2

Authen-server-down authorize service-scheme : -

Pre-authen authorize service-scheme : -

Security-name-delimiter : -

Domain-name-delimiter : -

Domain-location : -

Domainname-parse-direction : -

SVF flag : Disable

Ip-static-user : Disable

Roam-realtime-accounting : Disable

Update-IP-realtime-accounting : Enable

Linkdown offline delay time : 10

Control direction : Inbound

经过进一步确认，认证模板下authentication handshake功能默认打开，该握手功能是通过ARP报文进行探测。

当前终端每5min进行一此重认证，怀疑可能是ARP探测失败导致用户掉线。

跟华为售后确认，如果交换机上没有用户对应业务vlan的IP地址，默认使用255.255.255.255（R10之后版本默认使用0.0.0.0）作为源IP地址发送ARP探测报文，但大部分终端不会回应，导致交换机将终端踢下线。建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。

查看配置，该交换机上刚好配置了使用255.255.255.255作为ARP探测报文的源ip。

#

access-user arp-detect default ip-address 255.255.255.255

#

四、解决方法

通过如下命令配置ARP探测报文的源ip为用户对应的业务vlan网关地址后问题解决。

access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address