問題現(xiàn)象:
組網(wǎng)為 S5560-EI——話機(jī)——終端 (話機(jī)注冊及話機(jī)終端的認(rèn)證位于認(rèn)證服務(wù)器��,相關(guān)配置略)
話機(jī)和終端都進(jìn)行MAC認(rèn)證
測試端口是1/0/10,
其中話機(jī)發(fā)出的報(bào)文自帶tag 195 啞終端發(fā)出的報(bào)文不帶tag��。
端口使用port-security port-mode mac-authentication
現(xiàn)場期望話機(jī)MAC認(rèn)證成功后下發(fā)VLAN 195 �,終端認(rèn)證成功后下發(fā) VLAN 185���。
目前現(xiàn)場測試結(jié)果如下:
如下配置的時(shí)候����,話機(jī)認(rèn)證成功��,終端直連交換機(jī)認(rèn)證成功�。但S5560-EI——話機(jī)——啞終端時(shí),話機(jī)認(rèn)證成功�����,終端無法認(rèn)證成功。
interface GigabitEthernet1/0/10
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 195 tagged
port-security port-mode mac-authentication
通過打開debugging dot1x all 和 debugging port-security all 排查
終端認(rèn)證成功后立刻下線����。
無
配置port-security port-mode mac-authentication ,允許多個(gè)終端通過MAC地址認(rèn)證上線����,但這些用戶的授權(quán)VLAN必須相同,否則只要下發(fā)了帶tag的VLAN���,其他授權(quán)VLAN會下發(fā)失敗,即造成如上問題現(xiàn)象��,認(rèn)證成功但下發(fā)授權(quán)VLAN失敗����,終端下線。
在對應(yīng)端口下配置 mac-vlan enable后���,相關(guān)授權(quán)VLAN下發(fā)成功�����。
在類似使用場景中�����,對同端口進(jìn)行MAC認(rèn)證的多個(gè)終端下發(fā)不同授權(quán)VLAN���,需在端口下配置 mac-vlan enable才能保證所有終端的授權(quán)VLAN下發(fā)成功��。
