在系统视图下执行命令trace object mac-address mac-address可以看到终端没有回应Request Challenge报文,超过重传次数后设备发送了Failure报文。
终端不响应Request Challenge报文的情况可能和终端操作系统中802.1X认证功能依赖的某些服务存在关系,例如:某些终端在802.1X认证成功之前不能获取到IP地址时,在统一模式下需要在系统视图下执行命令undo authentication pre-authen-access enable关闭预连接功能以限制终端获取IP地址的权限。
还有某些终端,尤其涉及到证书相关内容时,回应Request Challenge请求比较慢,有时长达1分多钟。而设备的超时重传等待时间默认只有15秒,超时后设备发送Failure报文,之后又收到终端的回应报文。此时就需要通过获取报文来计算终端大致的回应时间。例如,下图所示,第1327报文是设备发给终端的Request Challenge,第1425和1447报文是重传,重传结束后发送第1471个认证失败报文。直到第1518报文终端才回应了Response Challenge,中间间隔了28秒,所以需要调整设备超时重传等待时间大于28秒。
●传统模式下,需要在系统视图下执行命令dot1x timer client-timeout 30、dot1x retry 2。
●统一模式下,需要在802.1X接入模板视图下执行命令dot1x timer client-timeout 30、dot1x retry 2。
