Aruba CX Switch在Port-access設定時,一般來說支援802.1x會嘗試去送驗證,而沒有送802.1x訊息的則改用MAC驗證。
正常情況下,網路線一接上,介面起來,終端設備就會嘗試傳送資料,進而得到終端設備MAC資訊。
而在設定Aruba CX Switch的Port-Access時,驗證順序應該是先dot1x再MAC,不過設了驗證順序之後,會發現終端設備卡在dot1x太久,沒有做到MAC驗證。
介面參考設定如下: (官方文件)
interface 1/1/1
aaa authentication port-access auth-precedence dot1x mac-auth
aaa authentication port-access client-limit 1
aaa authentication port-access allow-lldp-bpdu
aaa authentication port-access dot1x authenticator
max-eapol-requests 1
max-retries 1
enable
exit
aaa authentication port-access mac-auth
enable
exit經過實測後,驗證效果如預期,先dot1x再MAC,不會花費太多時間。
其中的重點在於「max-eapol-requests」、「max-retries」,在啟用dot1x之後,接上需要驗證的Port時,CX Switch會發送「EAP Request」告訴終端設備要傳送EAP資訊,如果是不啟用或是不支援的終端設備就不會理會該封包。
因此,設定「max-eapol-requests」、「max-retries」可避免CX Switch在dot1x上驗證太久,MAC驗證也能在dot1x沒有進行時馬上接手,讓兩種驗證方式的終端設備都能趕快得到網路存取權限。
JN的電腦網路日常 