各位大佬,请教下,
1.交换机起portal,未认证前的用户获取到地址后,访问权限是被限制的,是被acl限制,那么用户认证通过后,是通过AAA下发新的授权吗?具体逻辑是怎样的尼?
2. 如果portal认证前获取的地址不是DHCP分配的IP地址,而是直接配置了mac和ip绑定这种,还能在端口上配置portal认证吗?。如果能,那该端口的认证前域(acl)是否可以生效?
(0)
最佳答案
用户认证通过后,设备会针对认证通过的用户下发放通的acl;
可以的;
在Portal用户通过设备的子接口接入网络的组网环境中,当子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证。
Portal用户接入到开启了Portal认证的接口上后,该接口就会按照下面的规则为其分配IP地址:
· 如果接口上配置了IP地址,但没有配置认证前使用的地址池,则用户可以使用客户端上静态配置的IP地址或者通过DHCP获取分配的IP地址。
· 如果接口上配置了IP地址,且配置了认证前使用的地址池,当用户通过DHCP获取IP地址时,接口将从指定的认证前的地址池中为其分配IP地址;否则,用户使用客户端上静态配置的IP地址。
· 若接口上没有配置IP地址,且没有配置认证前使用的地址池,则用户无法进行认证。
Portal用户使用静态配置或动态获取的IP地址进行Portal认证,并通过认证后,认证服务器会为其下发授权IP地址池,且由DHCP重新为其分配IP地址。如果认证服务器未下发授权IP地址池,则用户继续使用认证之前获得的IP地址。
(0)
设备会针对认证通过的用户下发放通的acl,这个方通的acl是交换机自己去加的吗?这个是否有文档可以参考
acl资源下发是在交换机上实现的,acl具体要下发什么内容、做哪些放通,这个可以由认证服务器授权给设备,设备做下发;
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
acl资源下发是在交换机上实现的,acl具体要下发什么内容、做哪些放通,这个可以由认证服务器授权给设备,设备做下发;