配置好本地portal认证之后,想将一些无人值守的服务器设置为免认证
portal free-rule 1 source mac 1234-5678-90AB
但不生效,改为源IP地址免认证的话可以生效,请问是什么原因?
网络拓扑
intelnet --- 防火墙 ----核心 ---接入
portal本地认证在防火墙上,核心已开启snmp,防火墙跨三层获取到pc的mac地址
(0)
最佳答案
检查下跨三层获取的mac是否正确吧
跨三层环境MAC地址不可达
在跨三层组网中,防火墙通过SNMP获取的是核心交换机学习到的终端MAC地址,但实际经过三层转发后,防火墙收到的报文源MAC为核心交换机的接口MAC(非终端真实MAC)。因此基于源MAC的免认证规则无法匹配到终端真实MAC,导致规则失效。
Portal认证模式限制
若Portal认证配置为三层认证(portal enable method layer3
),此时认证流程基于IP层,MAC地址信息不会跨三层传递到防火墙。免认证规则中的MAC匹配仅适用于二层直接接入场景,无法在三层环境中生效。
免认证规则配置要求
根据手册说明,基于MAC的免认证规则需满足以下条件:
portal layer3 source
明确认证源IP段,但MAC地址无法跨三层匹配。解决方案
优先使用基于IP的免认证规则
在跨三层环境中,直接配置源IP地址免认证(如portal free-rule 2 source ip 10.1.1.0 24
),此方式更可靠。
若需基于MAC认证,需调整组网
将服务器部署在防火墙二层接口下(如接入层直连防火墙),使防火墙能直接获取终端MAC,此时MAC地址规则可生效。
验证跨三层MAC获取配置
确认SNMP同步MAC地址的配置正确,但需注意:
总结
跨三层组网中,基于MAC的Portal免认证规则因报文源MAC被核心交换机替换而失效。建议改用基于IP的免认证规则,或调整服务器部署至防火墙二层接口下以支持MAC匹配。若需保留三层架构,需结合DHCP Option或特定SNMP配置实现终端MAC透传,但此类方案复杂度较高,建议优先使用IP规则。
(0)
检查过正确的
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
那不会啊