V5版本交换机免认证规则支持放通域名吗?怎么配置,望指导,谢谢!
(0)
最佳答案
1. V5 版本对 Portal 免认证规则的支持
支持 ACL 方式放通域名:V5 版本可以通过 ACL 放通 DNS 和域名对应 IP 的方式实现免认证。
不支持直接域名匹配:交换机 ACL 无法直接识别域名(仅能匹配 IP/端口),因此需要手动维护域名解析的 IP。
部分 V5 版本可能限制:较旧的 V5 版本(如 Release 1109 之前)可能不支持 portal free-rule 命令,需使用 portal free-ip 替代。
2. 推荐配置方式
(1)使用 portal free-rule + ACL(推荐)
# 创建 ACL 放通 DNS 和域名 IP
acl number 3000
rule 5 permit udp source any destination any eq 53 # 放通 DNS(UDP 53)
rule 10 permit tcp source any destination any eq 53 # 放通 DNS(TCP 53)
rule 15 permit ip destination <域名IP> 0 # 放通域名解析的 IP(如 93.184.216.34)
# 应用免认证规则
portal free-rule 0 acl 3000
(2)使用 portal free-ip(旧版本备用)
如果 portal free-rule 不支持,可使用:
# 直接放通 IP(需手动更新)
portal free-ip 93.184.216.34 255.255.255.255
3. 注意事项
域名 IP 可能变化
如果域名使用 CDN 或动态 IP,需定期更新 ACL 或 free-ip 规则。
可编写脚本自动解析域名 IP 并更新配置(如通过 curl + crontab)。
HTTPS 流量放通
如果域名使用 HTTPS(443 端口),需额外放通:
rule 20 permit tcp destination <域名IP> 0 eq 443
检查版本兼容性
使用 display version 确认具体版本号,并参考对应版本的 配置手册。
如果遇到 portal free-rule 不可用,建议升级到较新的 V5 版本(如 Release 1109+)。
4. 验证方法
# 查看当前免认证规则
display portal free-rule all
# 检查 ACL 匹配情况
display acl 3000
测试访问:用户访问该域名时,应不弹出 Portal 认证页面。
5. 替代方案(推荐)
如果手动维护 IP 困难,建议:
在 Portal 服务器(如 H3C IMC)上配置域名白名单,自动放通 DNS 和 HTTPS 流量。
使用 Radius 动态授权(如 CoA 变更),动态放通特定流量。
方法 | 适用版本 | 优点 | 缺点 |
---|---|---|---|
portal free-rule + ACL | V5(较新版本) | 灵活,可放通 DNS+IP | 需手动维护 IP |
portal free-ip | 旧 V5 版本 | 简单直接 | 仅支持固定 IP |
IMC 白名单 | 所有版本 | 自动管理域名 | 依赖 Portal 服务器 |
如果仍有问题,建议提供 display version
输出,以便更精准适配配置!
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论