一、故障情况

客户使用windows自带的身份认证进行802.1x认证，认证后可以上网1分钟，然后就不能上网了，windows显示认证失败。

二、故障思路

和厂家技术沟通后反馈后台日志显示是主动下线，同时间在其他地方的用户认证正常。根据radius厂家反馈的情况，我们把排查的情况放在bas也就是交换机上。

三、排查步骤

3.1 开启交换机的debug查看802.1x的认证情况。

远程telnet终端输出debug信息

1．在用户视图模式下打开ip icmp的调试开关<SwitchA>debugging ip icmp

2．在用户视图模式下打开屏幕输出开关<SwitchA>terminal monitor

3．在用户视图模式下打开调试输出开关<SwitchA>terminal debugging

关闭debug信息

1．关闭相应报文或者全部debug信息<SwitchA>undo debugging ip icmp<SwitchA>undo debugging all

2．关闭调试输出开关<SwitchA>undo terminal debugging

3．关闭屏幕输出开关<SwitchA>undo terminal monitor

PS：调试信息量很大，无法正常输入命令时，可以在用户视图下用简化后的命令：undo t d(注意中间空格)，以关闭调试输出开关。因为debug占用很多cpu资源，不建议应用<SwitchA>debugging all配置。

可以看到在交换机上用户认证是可以成功的。但是用户认证成功后1分钟就又认证失败了。

• 

3.2在电脑上安装wireshark抓包，发现交换机发起了握手报文，但是电脑没有响应，导致认证失败。

四、故障处理

在查询交换机相关的802.1x配置参数时，发现其针对自家的802.1x认证客户端默认开启握手机制。关闭该功能undo dot1x handshake后电脑认证恢复正常保持稳定。

dot1x handshake

【描述】

dot1x handshake命令用于开启在线用户握手功能，通过设备端定期向客户端发送握手报文来探测用户是否在线。undo dot1x handshake命令用于关闭在线用户握手功能。

缺省情况下，在线用户握手功能处于开启状态。

需要注意的是：建议在线用户握手功能与iNode客户端配合使用，以保证该功能可以正常运行。