• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

AC服务模板下access-control acl功能不能限制非permit-mac终端接入

2025-07-01 发表
  • 0关注
  • 0收藏 115浏览
粉丝:27人 关注:4人

组网及说明

AC---FIT AP,集中转发

告警信息

问题描述

AC上的服务模板下配置:access-control acl 4006用于实现在白名单内的用户才允许接入这个服务模板,

被应用的acl mac 4006配置如下:

#

 acl mac 4006

  rule 0 permit source-mac xxxx-xxxx-xxxx ffff-ffff-ffff                  // 注意:这里xxxx以及下面的mmmm,hhhh等都是允许接入的设备的mac地址,这里为了防止泄密,这样书写

 rule 1 permit source-mac mmmm-mmmm-mmmm ffff-ffff-ffff

 rule 2 permit source-mac hhhh-hhhh-hhhh ffff-ffff-ffff

 rule 3 permit source-mac yyyy-yyyy-yyyyy ffff-ffff-ffff

 ....

 rule 1090 permit source-mac jjjj-jjjj-jjjj ffff-ffff-ffff

 rule 10000 deny

#

按照上面配置,只有处于rule number permit的mac地址才被允许接入,其它非permit的终端却不能接入。

但是客户测试却发现,不在rule number permit中的终端也能正常接入

 

过程分析

1. 首先通过AC查看客户测试用的这个非白名单终端的表项:

display wlan client ip xxxx  获取其mac地址,对比发现其确实不在 rule number permit 的列表中。

2. 实验室找了台类似的AC设备,刷入了与现场相同的配置,也能复现这个故障。

3. 怀疑是acl mac 4006中某条配置异常导致了放通这个不在白名单内的mac对应的终端,但是由于acl mac 4006中的rule特别多(有1090条),很难快速发现其中的配置错误的那一条或那几条配置;

4. 采用二分法的思路,首先将acl mac 4006的前400条rule配置到新添加的acl mac 4007中,然后给服务模板引用access-control acl 4007测试,发现不再白名单中的终端无法接入,而在白名单中的终端可以接入,这说明acl mac 4006的1000多条permit rule中的前400条是没有配置错误的;

5. 依次类推,将401~800,801~1090分别添加到acl mac 4008和acl mac 4009,最终发现服务模板引用access-control acl 4009后复现了故障,而引用4007和4008时没有问题,这说明错误配置在rule的第801~1090之间;

6. 进一步使用二分法细化范围,发现rule 1006被配置为:rule 1006 permit dest-mac xxxx-xxxx-xxxx ffff-ffff-ffff,于是定位到是由于这个配置导致了非白名单的终端也全部被放通

 

解决方法

将 rule 1006 permit dest-mac xxxx-xxxx-xxxx ffff-ffff-ffff 改为:rule 1006 permit source-mac xxxx-xxxx-xxxx ffff-ffff-ffff 后测试正常,

那么为什么这里配置为dest-mac就会导致非白名单的用户也被放通,而比如配置为source-mac才可以呢?

这是因为access-control acl的工作机制,相当于一个单向拦截的ACL,其原理是:终端上线过程按照802.11协议会首先发送auth request报文(auth请求),这个报文以终端自身的mac地址为源mac,需要接入的BSSID为目的mac,而access-control acl仅会根据source-mac来拦截或放通终端,因此处于白名单范围的source-mac的终端的auth request会被响应,因此终端可以正常接入无线服务;而如果配置为dest-mac则起不到拦截的作用。

关于access-control acl的其它知识:

FAQ1:当配置acl mac 4001,并且服务模板st1通过access-control acl 4001引用后限制终端接入这个服务,那么此时对acl mac 4001进行修改,添加或删除白名单或黑名单mac地址,修改后是是否对已经在线的终端立刻生效?

答:已经关联AC的终端,如果在acl mac的白名单中去掉这个终端mac地址,或者在acl mac的黑名单中添加这个终端mac地址,不会立刻让这个终端下线,只有这个终端发生了漫游或者下线再上线时会发生无法再次接入这个服务模板的情况;这个机制与AC全局的黑白名单不同,全局白名单中去掉某个终端或者黑名单添加某个终端后,这个终端及时当前在线也会马上被踢下线。

FAQ2:当配置acl mac 4001,并且服务模板st1通过access-control acl 4001引用后限制终端接入这个服务,那么此时对acl mac 4001进行修改,添加或删除白名单或黑名单mac地址,是否需要服务模板上重新配置引用acl 4001才能使修改后的acl 4001生效?

答:不需要重新引用,在acl 4001中添加某个mac的白名单,则这个mac对应的终端可以接入这个服务模板,而不需要这个服务模板重新引用acl 4001。

 

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作