问题描述
S5700LI交换机上配置MAC认证,接口下挂PC认证完成几分钟后不能正常上网。
处理过程
交换机接口下配置了对ARP报文的流量统计,因流量统计的ACL和配置MAC认证下发的ACL在同一个组中且流量统计的ACL优先级更高。 当接口收到ARP报文时不能命中接口下发ARP报文的流策略,而是命中了流量统计的ACL,即导致ARP报文不能正常上送,MAC认证信息中就没有对应设备的IP地址信息,当MAC认证探测定时器(缺省5分钟)到后会探测失败,对应的用户会下线,所以5分钟后该用户不能正常上网; [Switch]display access-user int gi 0/0/37 ------------------------------------------------------------------------------ UserID Username IP address MAC ------------------------------------------------------------------------------ 392 7446-a0a8-4b3f - 7446-a0a8-4b3f ------------------------------------------------------------------------------ |
将接口下流量统计流策略删除后,ARP报文能够正常上送,MAC认证也能正常探测,下挂用户也能够正常上网。 < Switch >undo debugging all Info: All possible debugging has been turned off. <50019_HQ_AS_07>dis access-user int gi 0/0/37 ------------------------------------------------------------------------------ UserID Username IP address MAC ------------------------------------------------------------------------------ 416 7446-a0a8-4b3f 10.18.85.16 7446-a0a8-4b3f ------------------------------------------------------------------------------ |
根因
当接口收到ARP报文时不能命中接口下发ARP报文的流策略,而是命中了流量统计的ACL,即导致ARP报文不能正常上送,MAC认证信息中就没有对应设备的IP地址信息,当MAC认证探测定时器(缺省5分钟)到后会探测失败,对应的用户会下线,所以5分钟后该用户不能正常上网;
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63400
发表于 2016-8-23 10:08:22
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2016-8-23 10:23:17
