交换机802 1X EAD快速部署功能的frre-ip和url重定向问题

交换机802 1X EAD快速部署功能的frre-ip和url重定向问题

（1）Portal认证有个free rule规则，802.1x也是有的，但是802.1x认证free-ip只能匹配目的（未认证终端能够访问的目的ip），并不是对终端的免认证。

如果对终端的免认证，可以使用端口绑定mac的方法

（2）交换机802.1x EAD快速部署场景的介绍和案例：

1.6 802.1X支持EAD快速部署

1.12.4 802.1X支持EAD快速部署典型配置举例

看完官网案例后，应该理解了如何使用，但是官网并没有说明一个问题（后续会更改官网资料）：

如果只配置了free-ip，不配置dot1x ead-assistant url，非free-ip的http流量是不会拒绝掉的

#

dot1x

dot1x authentication-method eap

dot1x ead-assistant enable

dot1x ead-assistant free-ip 10.0.6.11 255.255.255.255

终端就算一开始不认证，只能ping通10.0.6.11（free-ip ）；直接在浏览器中通过http访问10.0.2.15是成功的，但ping不通10.0.2.15。说明free-ip命令已经生效。

如果想禁止使用http访问非free-ip地址，还需要再配置dot1x ead-assistant url http:// 10.0.6.11，这样的效果就是浏览器访问任何非Free IP的外部网站地址时，都会重定向到http:// 10.0.6.11

端口收到用户流量就会下发非http报文deny和http报文上送CPU处理。

当我们模块收到http报文请求后设备会先和客户端进行tcp握手，然后根据配置的URL进行重定向。

如果不配置ead重定向URL的话会将http的数据报文放行，但按理说10.0.2.15的http服务器即使收到了该http数据请求报文也不会处理（服务器并没和PC建立TCP连接），实际客户那边确实弹出了http页面，怀疑和服务器特殊性有关。