Print

EAD和逃生vlan冲突导致逃生vlan不生效

2天前 发表

问题描述

现场测试1X的逃生,拔掉服务器端口后服务器block,看mac也是在线的,逃生应该成功了,但是和8口下的终端互ping不通

插上服务器端口后就恢复正常了

 

<S5130S>dis mac-address

MAC Address      VLAN ID    State            Port/Nickname            Aging

0050-568d-2536   5          Learned          XGE1/0/35                Y

00e0-2a77-6bb7   5          DOT1X            GE1/0/2                  N

6c1f-f70a-6000   5          Learned          GE1/0/8                  Y

e0be-0324-ea65   5          DOT1X            GE1/0/3                  N

 

#

interface GigabitEthernet1/0/3

port link-mode bridge

port link-type hybrid

undo port hybrid vlan 1

port hybrid vlan 5 untagged

port hybrid pvid vlan 5

mac-vlan enable

dot1x

undo dot1x handshake

dot1x auth-fail vlan 5

dot1x critical vlan 5

dot1x critical eapol

#

过程分析

同时配置了EAD,EAD和逃生vlan冲突,只能访问EAD范围内的IP

解决方法

1、采用none方式来逃生

2、配置dotlx ead-assistant permit authentication-escape,当开启EAD快速部署功能后,802.1X用户能够正常使用Au-FaI VLAN或CriticaI VLAN功能。