1、S21交换机开debug aaa all出现提示This Frame is not sent by RG supplicant

交换机没有关闭禁止非锐捷认证客户端功能。

在全局模式下敲如下命令解决：

no dot1x filter-nonRG-su

 

2、接入交换机开启dot1x认证静态MAC绑定做免认证用户发现不生效

检查交换机上是否还开启了安全通道、IP+MAC绑定、IP授权等功能，如果开启这些功能中的其中一种，静态mac绑定形式做免认证用户不生效。

可以通过安全通道放通用户的MAC来实现免认证。

 

 

3、客户要实现Windows AD域认证，交换机配置dot1x认证后发现不生效

问题描述：

通过windows系统自带的1X客户端进行Windwos AD域“二次认证”会出现认证失败。

第一次是PC主机的自动认证，在主机开机的时候就会以主机名作为账户和radius服务器交互，完成认证。

第二次是用户个人域账号的认证，在主机名认证结束之后，通过输入的域账户用户名和密码进行用户个人账号认证。

Windows AD域认证的过程及原理参考附件技术文档。

Windows AD域认证和常规的SAM认证存在较大差异，10.4(3)p1版本首次支持此项新功能特性。

 

问题影响：

用户认证不通过，1x Windows 客户端认证失败（通常3次失败）后，不会继续发认证请求，必须启用禁用网卡后才会重新认证，由于长时间不认证，导致用户认证失败。

 

确认方法：

1. PC主机名（ALIBABA-ITwanglz.hz.ali.com）自动登陆成功后，交换机上show dot1x summary 会存在此mac的认证成功表项。

153      HZ\wb_z... 0023.ae8f.f4cd  Fa1/0/18  10   Authenticated   Idle          Authed      static    0days 0h 0m 0s

2. 在PC输入使用域账号和密码登录，这个时候PC不会发出下线报文，而是以另外一个域账号（HZ\wb_zhicai.qian）作为用户名进行认证请求

User name: host/ALIBABA-ITwanglz.hz.ali.com，这个时候交换机上由于存在已经认证的此用户mac，会打印如下log：

*May 11 13:18:11: %DOT1X-6-WAIT: ALIBABA-ITwanglz.hz.ali.com online,HZ\wb_zhicai.qian is waiting.并不会发出Radius报文。

捉包分析PC发出的Response identiy后，交换机没有响应，提示waiting的动作在执行。

交换机show dot1x summary 表项：

168      host/wb_z... 0023.ae8f.f4cd  Fa1/0/18  10   Authenticating  Request       Un-authed   static    User is offline

那么这个用户名认证会导致失败。

 

解决方法：

升级至RGOS 10.4(3)p1,Release(137164)版本解决，在原有1x配置命令上新增：全局配置模式 dot1x multiaccount enable（允许一个mac上有多个账号进行认证）；windows AD域认证属于新功能特性，目前仅有10.4(3)p1版本包含26E/3760E/3250E/5750支持。

 

4、S5750E产品dot1x认证数约700-800人时无法继续认证，报错%FP_CORE-4-RESOURCE_LIMIT: Failed to install entries to hardware

故障现象：

主要是开启dot1x，web认证两种认证，   当认证的在线数约700-800人的时候就会出现后续的用户dot1x认证不通过，console口会持续打印如下的log提示

*Mar 11 22:33:52: %DOT1X-4-FAIL_SET_USER: Failed to add user b897.5a28.6f79 in vlan 213 on interface GigabitEthernet 0/23.

*Mar 11 22:33:52: %FP_CORE-4-RESOURCE_LIMIT: Failed to install entries to hardware due to shortage of TCAM resources.

 

故障原因：

通log看主要是提示TCAM安全表项资源不足，无法继续安装dot1x user XXXX的信息，这样用户就会无法完成认证

1）5750E，如果是纯粹的dot1x认证，没有开启其他安全功能的时候，用户认证表项是与MAC地址表共用，不占用TCAM资源，同时考虑到设备负担，在软件上做了限制，最多支持4K的用户数

2）5750E，如果是纯粹的web认证，没有开启其他安全功能的时候，一个用户占用一条TCAM，这样极限情况下可以支持3K的用户数

3）当5750E同时配置了dot1x与安全通道，或者是dot1x与web认证的安全组合后，针对dot1x的认证的策略方式会发生改变，主要是受57E的芯片影响，此时受安全通道或者是web认证的IPv4，IPv6，mac等信息的同时检查的影响，dot1x的认证用户的信息不再是单纯的记录用户mac了，所以会导致dot1x认证用户的安全资源TCAM的消耗增加，每个用户会占用4个TCAM项，这样dot1x认证的用户数就从3K降低到约750左右

4）当然web认证的用户数对安全资源的占用还是不变，一个用户消耗一条TCAM，这样当dot1x与安全通道或者是web认证共用时，整机带机数会是750

 

解决方法：

1）如果用户是通过dhcp获取IP地址的方式，1x端口开启IP source guard可以解决；每用户占用2条TCAM，这样整机带机数会是1.5K

2）1x使用IP授权模式；每用户占用2条TCAM，这样整机带机数会是1.5K

3）如果没有IPv6应用，可以通过如下命令提高容量：mac-only access-control ipv6-mode strict（丢弃所有IPv6报文），可以支持1500左右个1X用户，但是1X用户的v6报文会被丢弃。

以上三种方式任意一种选择都可以解决问题，将带机数升为1.5K

 

5、三级交换机上配置了多个IP地址后，出现dot1x认证不上的情况 ？

故障现象：

三层交换机上同时配置了多个SVI地址，带多个业务网段，下联用户出现认证不上的情况

故障原因：

当NAS设备配置了多个IP地址时，很可能出现，NAS上用来和Radius服务器通信的源IP地址，与Radius服务器上设置的NAS设备的IP地址不一致的情况，导致dot1x认证不上。

解决方法：

通过指定与radius服务器通信的源接口来保持IP地址的一致性，命令如下：

Ruijie(config)#ip radius source-interface vlan 1   //NAS设置vlan 1的地址与Radius进行通信，同时Radius上设置的NAS设备的地址也为该vlan 1的地址。