S5570S_EI-1122配合 eia 接入策略下发静态acl没有效果

第一步：检查交换机的基础配置 (80%的问题出在这里)

1. 确认RADIUS配置和授权功能是否开启

   • 检查RADIUS配置：确保交换机能与iMC正常通信。

     display radius scheme 确认服务器IP、密钥等配置无误，且状态是 Active。

   • 确认授权功能：必须开启RADIUS的授权功能，交换机才会处理服务器下发的ACL。

     display current-configuration | include radius 查看输出中是否有 radius attribute-attribute-name=nas-port-type 等授权相关配置。若无，需在系统视图下启用：
     radius attribute-attribute-name=nas-port-type
   • 确认域配置：查看认证域是否启用了RADIUS授权。
   • display domain name system 确保 authentication login 和 authorization login 都配置了 radius-scheme。如无，需进入域视图配置。

2. 确认ACL在交换机上已预先创建
   EIA下发的是ACL编号，因此该编号的ACL必须已在交换机上提前创建好。

   display acl all 检查EIA接入策略中配置的ACL编号（如3000）是否存在。如果不存在，需要手动创建。例如，创建一个编号为3000的高级ACL：
   acl advanced 3000 然后添加具体的规则，如 rule 1 deny ip source 10.10.10.10 0。

3. 检查接口配置是否关联了正确的域

   display this 在连接终端的接口视图下，检查 dot1x 或 mac-authentication 命令中指定的域，是否与上一步检查的域一致。

 第二步：检查ACL规则内容与设备兼容性

如果基础配置没问题，问题可能出在ACL规则的写法或设备固件的兼容性上。

1. 确认ACL规则的方向性
   RADIUS下发的ACL通常作用于入方向（inbound）。请确认你的ACL规则匹配的流量方向是进入交换机的。例如，你想阻止用户访问某个服务器，ACL规则应匹配从该用户发往服务器的流量。如果ACL规则没有方向性错误，但还不生效，可参考下一条。

2. 检查设备对特定ACL参数的支持情况
   部分H3C交换机型号（如IE4300-28P-M）不支持ACL规则中的 counting 和 logging 参数。如果你的ACL规则中包含了这些参数，可能会导致ACL状态显示为 NOT effective。

   • 解决方法：编辑交换机上的ACL规则，移除 counting 和 logging 等可能不被支持的关键字。

3. 检查ACL规则的逻辑
   确保ACL规则的逻辑与你的预期相符。例如，规则最后的deny ip any any可能阻止了所有流量。同时，也需检查设备上是否已应用其他ACL，以避免它们之间产生冲突或覆盖。

 第三步：深度排查RADIUS交互与日志

1. 确认EIA正确下发了ACL编号
   在交换机上打开RADIUS调试功能，观察EIA是否在Access-Accept报文中携带了ACL编号。

   debugging radius all

   terminal debugging terminal monitor 让一个用户进行认证，观察日志输出。在成功的Access-Accept报文中，查找 Filter-Id 属性，其值应为EIA策略中配置的ACL编号。

2. 检查ACL的动态生效状态
   用户上线后，使用以下命令查看ACL的动态应用状态。

   display dot1x connection 重点关注 ACL number 字段，其状态应为 effective。如果显示为 NOT effective，则说明ACL下发成功但未生效，可参考第二步进行排查。
   display acl resource 此命令可查看设备的ACL硬件资源使用情况，确认ACL资源是否充足，以及下发的ACL是否正确应用到了硬件上。

好像得又inode吧