华为S系列交换机有线接入认证异常【MAC认证失败】ARP探测失败

执行命令display aaa offline-record all，查看User offline reason字段，其取值为ARP detect fail或者AS detect fail（策略联动场景AS上ARP探测失败）。

注：
用户下线探测报文使用的源IP地址优先级：

1、用户所在VLAN对应VLANIF接口下的IP地址，且与用户同网段

2、命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address指定的VLAN内用户下线探测报文的源IP地址，其中VLAN为终端上线的VLAN，IP和MAC一般情况下为终端网关的IP和MAC

3、命令access-user arp-detect default ip-address ip-address指定的用户下线探测报文的默认源IP地址。

单机认证场景下，可以执行以下步骤排查问题。

1、检查用户所在VLAN对应VLANIF接口下是否配置IP地址。

●如果未配置，请执行步骤2。

●如果已配置，请确保配置的IP地址与用户同网段。

2、执行命令display current-configuration | include access-user arp-detect vlan检查是否指定的VLAN内用户下线探测报文的源IP地址。

●如果未指定，请执行步骤3。

●如果已指定，请务必确保配置正确。

注：在主备切换场景下，请确保网关的MAC地址不变，否则会导致终端ARP表项错误，造成终端与设备之间网络不通。

3、执行命令display current-configuration | include access-user arp-detect default ip-address检查是否指定用户下线探测报文的默认源IP地址。

●如果未指定，V200R010C00SPC600以及之前版本，ARP探测默认源IP地址为255.255.255.255，绝大多数终端不回应该探测报文导致终端掉线，需将ARP探测源IP地址改为0.0.0.0；从V200R011C10SPC600版本开始，ARP探测默认源IP地址修改为0.0.0.0。

●如果已指定，请务必确保配置正确。一般建议ARP探测源IP地址为0.0.0.0。
故障仍未解决时，执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address，配置网关IP和MAC为ARP探测源IP和源MAC，如果故障仍未解决，请确认终端是否已经关机或离开网络，或者排查设备上是否存在ARP攻击导致CPCAR丢包。

策略联动场景下，可以执行以下步骤排查问题。

1、在控制设备上执行命令display current-configuration | undo authentication handshake检查是否关闭了ARP探测。

●如果已关闭，请执行步骤2。

●如果未关闭，请系统视图执行命令undo authentication handshake关闭控制设备上的ARP探测功能。

2、在接入设备上执行命令display current-configuration | include access-user arp-detect vlan检查是否指定的VLAN内用户下线探测报文的源IP地址。

●如果未指定，请执行步骤3。

●如果已指定，请务必确保配置正确。

注：在主备切换场景下，请确保网关的MAC地址不变，否则会导致终端ARP表项错误，造成终端与设备之间网络不通。

3、在接入设备上执行命令display current-configuration | include access-user arp-detect default ip-address检查是否指定用户下线探测报文的默认源IP地址。

●如果未指定，V200R010C00SPC600以及之前版本，ARP探测默认源IP地址为255.255.255.255，绝大多数终端不回应该探测报文导致终端掉线，需将ARP探测源IP地址改为0.0.0.0；从V200R011C10SPC600版本开始，ARP探测默认源IP地址修改为0.0.0.0。

●如果已指定，请务必确保配置正确。一般建议ARP探测源IP地址为0.0.0.0。

故障仍未解决时，如果是V200R019之前的版本，请在接入设备上执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address，配置网关IP和MAC为ARP探测源IP和源MAC；如果是V200R019及之后的版本，请在控制设备上执行access-user arp-detect control-point mac-ip enable。如果故障仍未解决，请确认终端是否已经关机或离开网络，或者排查设备上是否存在ARP攻击导致CPCAR丢包。