现场ACG位于核心交换机上行,下面所有用户的网关都在核心交换机上
现场配置为只有绑定了MAC地址的用户可以上网,但是用户发现有一些没有绑定MAC地址的用户刚刚接入网络的前10秒是可以正常上网的,10秒种之后策略才生效,该用户被限制上网
现场最开始怀疑是ACG的识别机制,导致可以方通最开始用户上网的几个报文用来识别MAC地址,但是客户现场的现象是没有绑定MAC地址的终端刚刚接入网络中的10秒钟之内是可以上网的。
用户为了实现需求,实际上是在ACG上开启了跨三层MAC地址学习功能。
后续抓包发现,在绑定MAC地址的终端接入网络的前10秒钟,终端上网其实是携带了核心交换机的MAC地址进行上网,但是按照正常的配置来说这个携带了核心交换机的MAC应该也是不能上网的。
后续分析现场的用户配置之后发现,现场有一个用户绑定的MAC地址为核心交换机的MAC地址,这就导致了没有绑定MAC地址的终端刚刚接入网络中的10秒钟之内是使用核心交换机的MAC地址进行上网的,后续跨三层MAC地址学习生效之后,设备识别为终端真实的MAC地址,这个时候由于没有进行绑定,所以被拒绝上网。
修改ACG侧配置,修改绑定了核心交换机互联ACG的接口的MAC地址的用户,把其绑定的MAC地址修改为真实的MAC地址
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作