执行命令display aaa abnormal-offline-record all,查看User offline reason字段,其取值为IP address conflict。出现IP地址冲突主要有以下三种情况:
一、网络中存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文,导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。
●通过获取报文确认冲突的IP地址,排查这些终端或工具,禁止发送相同IP地址的ARP报文。比如宏基品牌电脑会以ip地址192.168.0.10发送arp报文,可以在BIOS里面去使能ASF功能。
●V200R013C00及之后的版本,可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。
●如果异常arp的IP地址相对固定,可以在上行口接口配置arp trust source ip-address,其它接口默认就不会再进行IP地址更新。
●对于不支持undo authentication ip-conflict-check enable命令的版本和设备。通过配置流策略或者防攻击策略过滤非法ARP报文,规避IP地址冲突问题。
流策略配置如下:
#
acl number 2000
rule 5 permit source 192.168.0.10
traffic classifier test operator and
if-match l2-protocol arp
if-match acl 2000
traffic behavior test
deny
traffic policy test
classifier test behavior test
#
防攻击策略配置如下:
#
acl number 2000
rule 5 permit source ip-address
cpu-defend policy policy1
blacklist 1 acl 2005
cpu-defend-policy policy1
cpu-defend-policy policy1 global
#
二、网络中存在某些异常终端,这些终端在关机或者休眠后网卡仍然会有流量,因此在支持流量探测的设备上流量探测成功,用户表一直保持在线,不会老化,但是实际DHCP服务器地址池中的该地址早已释放,后续其他终端获取到该地址在设备上认证时就会检测到IP地址冲突,可以采取如下方法解决
V200R013C00及之后的版本,可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。
三、设备未开启802.1X认证的ARP探测功能。终端非直连交换机的情况下上线成功,然后关机或者断开网络后交换机无法感知,用户表一直存在,其中包含了终端通过DHCP获取到的IP地址信息。当此IP地址租期到后被DHCP服务器回收,然后分配给另一个终端,由于认证不允许两个相同IP地址的终端上线,所以该终端始终认证失败,原因为IP address conflict。可以采用如下方法解决问题。
●统一模式下,设备默认开启802.1X认证的ARP探测功能。可以执行命令display authentication-profile configuration根据Authentication handshake字段确认是否已开启。如果未开启,请在认证模板视图下执行命令authentication handshake。
●传统模式下,V200R013C00之前版本,设备默认关闭802.1X认证的ARP探测功能。可以执行命令display current-configuration | include dot1x timer arp-detect检查是否配置ARP探测功能。如果未配置,请在系统视图下执行命令dot1x timer arp-detect arp-detect-value。
注:执行命令display authentication mode确认NAC配置模式:
unified-mode:统一模式。
common-mode:传统模式。