MSR2600-10-X1 配置portal和802.1X认证实现域隔离

终端——交换机——路由器（MSR2600-10-X1）

在上网时，可以实现不同域登录访问不同的网站，两个域之间相互隔离。

在inode客户端通过802.1X认证上网可以实现不同域登录，对此在路由器上进行以下配置：

 # 

acl advanced 3001 

rule 0 permit ip destination 10.0.0.0 0.255.255.255

rule 1 deny ip

#

acl advanced 3010 

rule 0 deny ip destination 10.0.0.0 0.255.255.255 

rule 1 permit ip 

# 

domain hlw

authorization-attribute acl 3010

authentication lan-access radius-scheme zzpermit

authorization lan-access radius-scheme zzpermit 

accounting lan-access radius-scheme zzpermit 

# 

domain zww 

authorization-attribute acl 3001 

authentication lan-access radius-scheme zzpermit 

authorization lan-access radius-scheme zzpermit 

accounting lan-access radius-scheme zzpermit 

 但是在使用hlw和zww域登录时，不能实现隔离，可任意访问各大网站。并在设备上有下面报错： 

%Jan 3 05:00:25:977 2011 JJHZHWSJ PORTSEC/5/PORTSEC_ACL_FAILURE: -IfName=GigabitEthernet0/7-MACAddr=00e0-4c36-55d4; This type of ACL is not supported. 

Debugging发现服务器侧可正常下发授权acl： 

*Jan 3 05:00:25:955 2011 JJHZHWSJ RADIUS/7/EVENT: 

Decoded reply packet successfully. 

*Jan 3 05:00:25:956 2011 JJHZHWSJ RADIUS/7/PACKET: 

 User-Name="\006\007MzVZGRxTYyhxGU1jKgEsIcD5Rxg= 123456@hlw"

 Service-Type=Framed-User 

 State=0x4f36504c74583943 

 Class=0x4f36504c74583943 

 Termination-Action=Default 

 Filter- 

 H3c-ACL-Version=1 

 Session-Timeout=86400 

 Acct-Interim-Interval=600 

 H3c-Server-String=[] 

 而对于服务器侧下发的授权acl设备不支持，对此更改为profile命令下发，发现设备侧仍然包不支持， 

%Jan 3 05:09:10:187 2011 JJHZHWSJ QOS/4/QOS_POLICY_APPLYUSER_FAIL: -MAC=00e0-4c36-55d4-SVLAN=72-Port=GigabitEthernet0/7; Failed to apply the inbound QoS policy profile1 in user profile profile1 to the user. Reason:The QoS policy is not supported. 

%Jan 3 05:09:10:189 2011 JJHZHWSJ PORTSEC/5/PORTSEC_PROFILE_FAILURE: -IfName=GigabitEthernet0/7-MACAddr=00e0-4c36-55d4;Failed to assign profile to driver.

定位问题在二层认证下的acl时下发在交换芯片上的，2600-10-X上的交换芯片不支持，也就下发不了。 

对此，采用portal认证方式，下发三层转发acl，同时在服务器侧对服务类型设置域，对此就可以实现不同域访问不同网站。