交换机802 1X EAD快速部署功能的frre-ip和url重定向问题
(1)Portal认证有个free rule规则,802.1x也是有的,但是802.1x认证free-ip只能匹配目的(未认证终端能够访问的目的ip),并不是对终端的免认证。
如果对终端的免认证,可以使用端口绑定mac的方法
(2)交换机802.1x EAD快速部署场景的介绍和案例:
1.6 802.1X支持EAD快速部署
1.12.4 802.1X支持EAD快速部署典型配置举例
看完官网案例后,应该理解了如何使用,但是官网并没有说明一个问题(后续会更改官网资料):
如果只配置了free-ip,不配置dot1x ead-assistant url,非free-ip的http流量是不会拒绝掉的
#
dot1x
dot1x authentication-method eap
dot1x ead-assistant enable
dot1x ead-assistant free-ip 10.0.6.11 255.255.255.255
终端就算一开始不认证,只能ping通10.0.6.11(free-ip );直接在浏览器中通过http访问10.0.2.15是成功的,但ping不通10.0.2.15。说明free-ip命令已经生效。
如果想禁止使用http访问非free-ip地址,还需要再配置dot1x ead-assistant url http:// 10.0.6.11,这样的效果就是浏览器访问任何非Free IP的外部网站地址时,都会重定向到http:// 10.0.6.11
端口收到用户流量就会下发非http报文deny和http报文上送CPU处理。
当我们模块收到http报文请求后设备会先和客户端进行tcp握手,然后根据配置的URL进行重定向。
如果不配置ead重定向URL的话会将http的数据报文放行,但按理说10.0.2.15的http服务器即使收到了该http数据请求报文也不会处理(服务器并没和PC建立TCP连接),实际客户那边确实弹出了http页面,怀疑和服务器特殊性有关。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作