终端——交换机——路由器(MSR2600-10-X1)
在上网时,可以实现不同域登录访问不同的网站,两个域之间相互隔离。
在inode客户端通过802.1X认证上网可以实现不同域登录,对此在路由器上进行以下配置:
#
acl advanced 3001
rule 0 permit ip destination 10.0.0.0 0.255.255.255
rule 1 deny ip
#
acl advanced 3010
rule 0 deny ip destination 10.0.0.0 0.255.255.255
rule 1 permit ip
#
domain hlw
authorization-attribute acl 3010
authentication lan-access radius-scheme zzpermit
authorization lan-access radius-scheme zzpermit
accounting lan-access radius-scheme zzpermit
#
domain zww
authorization-attribute acl 3001
authentication lan-access radius-scheme zzpermit
authorization lan-access radius-scheme zzpermit
accounting lan-access radius-scheme zzpermit
但是在使用hlw和zww域登录时,不能实现隔离,可任意访问各大网站。并在设备上有下面报错:
%Jan 3 05:00:25:977 2011 JJHZHWSJ PORTSEC/5/PORTSEC_ACL_FAILURE: -IfName=GigabitEthernet0/7-MACAddr=00e0-4c36-55d4; This type of ACL is not supported.
Debugging发现服务器侧可正常下发授权acl:
*Jan 3 05:00:25:955 2011 JJHZHWSJ RADIUS/7/EVENT:
Decoded reply packet successfully.
*Jan 3 05:00:25:956 2011 JJHZHWSJ RADIUS/7/PACKET:
User-Name="\006\007MzVZGRxTYyhxGU1jKgEsIcD5Rxg= 123456@hlw"
Service-Type=Framed-User
State=0x4f36504c74583943
Class=0x4f36504c74583943
Termination-Action=Default
Filter-
H3c-ACL-Version=1
Session-Timeout=86400
Acct-Interim-Interval=600
H3c-Server-String=[]
而对于服务器侧下发的授权acl设备不支持,对此更改为profile命令下发,发现设备侧仍然包不支持,
%Jan 3 05:09:10:187 2011 JJHZHWSJ QOS/4/QOS_POLICY_APPLYUSER_FAIL: -MAC=00e0-4c36-55d4-SVLAN=72-Port=GigabitEthernet0/7; Failed to apply the inbound QoS policy profile1 in user profile profile1 to the user. Reason:The QoS policy is not supported.
%Jan 3 05:09:10:189 2011 JJHZHWSJ PORTSEC/5/PORTSEC_PROFILE_FAILURE: -IfName=GigabitEthernet0/7-MACAddr=00e0-4c36-55d4;Failed to assign profile to driver.
定位问题在二层认证下的acl时下发在交换芯片上的,2600-10-X上的交换芯片不支持,也就下发不了。
对此,采用portal认证方式,下发三层转发acl,同时在服务器侧对服务类型设置域,对此就可以实现不同域访问不同网站。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作