校园的无线网关都在核心交换机上,无线终端通过核心路由器SR-8808-X的portal认证配置,重定向到电信的认证服务器进行认证,认证完成可以访问公网。现在有个情况就是在学校无线终端连接校园网无线登录认证上网后,断开网络后不久再重新联网或者移动到另外一个区域重新获取到一个新网段的IP地址就需要再重新登录认证,电信那边说他们的认证服务器可以做漫游无感知,但是需要获取到无线终端的MAC地址。但是现在电信认证服务器现在看到的mac全部都是同一个mac地址。
思路是在sr88路由器上配置跨三层mac,但是路由器不支持配置snmp-server arp-sync enable。请问下还有没有别的解决办法呢?

(0)
这是解决跨三层MAC问题的最直接方法。既然问题出在认证点离终端太远,那就把认证点移到离终端更近的地方。
核心思路:将Portal认证功能从SR8808-X路由器,迁移到你的核心交换机上。因为核心交换机是无线终端的网关,终端来上网,网关设备(核心交换机)天然就能学习到每个终端的MAC地址。
优点:
一劳永逸:从根本上解决了跨三层无法获取MAC的问题,电信服务器能直接拿到真实的终端MAC,无感知认证自然就生效了。
无需额外配置:不再需要配置复杂的跨三层MAC地址学习功能,认证流程更简单、更稳定。
你需要做的:
确认核心交换机型号:确认它是否支持Portal认证功能(大多数中高端核心交换机都支持)。
规划配置:将现在路由器上的Portal配置(包括认证服务器地址、密钥、认证域等)“搬”到核心交换机上,并在核心交换机连接无线的接口/VLAN下启用Portal认证。
调整路由:认证点迁移后,核心交换机需要能路由到电信认证服务器,并且可能需要调整核心与路由器之间的路由策略。
简单来说,就是让离用户最近的核心交换机来做认证,而不是让远端的路由器来做。这个方案改动稍大,但效果最好,也是解决此类问题的标准做法。
如果因为各种原因无法调整组网,Portal认证必须做在SR8808-X上,那还可以尝试以下两种方式,让电信服务器“曲线救国”,拿到终端的MAC地址。
虽然路由器不支持 snmp-server arp-sync enable,但这只是H3C防火墙/交换机的跨三层MAC学习命令。对于SR8808-X这样的核心路由器,可能需要通过其他方式将MAC信息传递给认证服务器。
你需要和电信认证服务器厂商确认,他们是否支持以下两种标准的、不依赖SNMP的获取方式:
通过RADIUS属性传递(最常见):让SR8808-X在发起RADIUS认证请求时,将终端的MAC地址封装在特定的RADIUS属性中(如 Calling-Station-Id)。电信服务器收到这个属性,就能知道是哪个终端在认证。这是目前最主流的方式。
通过Portal协议报文传递:在路由器与电信Portal服务器交互的报文中,携带终端的MAC地址。
这个方案的关键在于电信服务器的能力,需要和他们沟通确认。
这是一个纯软件层面的解决方案,不依赖路由器自身的功能。原理是通过NETCONF协议定期从SR8808-X上“抓取”当前在线用户的IP、MAC对应关系,然后同步给电信服务器。
操作思路:
部署一台Linux服务器。
编写脚本(或使用现成工具),通过NETCONF协议连接到SR8808-X。
从路由器上获取所有在线用户的会话信息,这里面就包含了 IP地址 和 MAC地址 的对应关系。
将采集到的 IP -> MAC 映射表,通过API接口或其他方式,实时同步给电信的认证服务器。
这个方法的好处是不改变现网组网,但需要额外的开发和维护工作。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论