AC服务模板下access-control acl功能不能限制非permit-mac终端接入

AC---FIT AP，集中转发

无

AC上的服务模板下配置：access-control acl 4006用于实现在白名单内的用户才允许接入这个服务模板，

被应用的acl mac 4006配置如下：

#

 acl mac 4006

  rule 0 permit source-mac xxxx-xxxx-xxxx ffff-ffff-ffff                  // 注意：这里xxxx以及下面的mmmm，hhhh等都是允许接入的设备的mac地址，这里为了防止泄密，这样书写

 rule 1 permit source-mac mmmm-mmmm-mmmm ffff-ffff-ffff

 rule 2 permit source-mac hhhh-hhhh-hhhh ffff-ffff-ffff

 rule 3 permit source-mac yyyy-yyyy-yyyyy ffff-ffff-ffff

 ....

 rule 1090 permit source-mac jjjj-jjjj-jjjj ffff-ffff-ffff

 rule 10000 deny

#

按照上面配置，只有处于rule number permit的mac地址才被允许接入，其它非permit的终端却不能接入。

但是客户测试却发现，不在rule number permit中的终端也能正常接入。

1. 首先通过AC查看客户测试用的这个非白名单终端的表项：

display wlan client ip xxxx  获取其mac地址，对比发现其确实不在 rule number permit 的列表中。

2. 实验室找了台类似的AC设备，刷入了与现场相同的配置，也能复现这个故障。

3. 怀疑是acl mac 4006中某条配置异常导致了放通这个不在白名单内的mac对应的终端，但是由于acl mac 4006中的rule特别多（有1090条），很难快速发现其中的配置错误的那一条或那几条配置；

4. 采用二分法的思路，首先将acl mac 4006的前400条rule配置到新添加的acl mac 4007中，然后给服务模板引用access-control acl 4007测试，发现不再白名单中的终端无法接入，而在白名单中的终端可以接入，这说明acl mac 4006的1000多条permit rule中的前400条是没有配置错误的；

5. 依次类推，将401~800，801~1090分别添加到acl mac 4008和acl mac 4009，最终发现服务模板引用access-control acl 4009后复现了故障，而引用4007和4008时没有问题，这说明错误配置在rule的第801~1090之间；

6. 进一步使用二分法细化范围，发现rule 1006被配置为：rule 1006 permit dest-mac xxxx-xxxx-xxxx ffff-ffff-ffff，于是定位到是由于这个配置导致了非白名单的终端也全部被放通

将 rule 1006 permit dest-mac xxxx-xxxx-xxxx ffff-ffff-ffff 改为：rule 1006 permit source-mac xxxx-xxxx-xxxx ffff-ffff-ffff 后测试正常，

那么为什么这里配置为dest-mac就会导致非白名单的用户也被放通，而比如配置为source-mac才可以呢？

这是因为access-control acl的工作机制，相当于一个单向拦截的ACL，其原理是：终端上线过程按照802.11协议会首先发送auth request报文（auth请求），这个报文以终端自身的mac地址为源mac，需要接入的BSSID为目的mac，而access-control acl仅会根据source-mac来拦截或放通终端，因此处于白名单范围的source-mac的终端的auth request会被响应，因此终端可以正常接入无线服务；而如果配置为dest-mac则起不到拦截的作用。

关于access-control acl的其它知识：

FAQ1：当配置acl mac 4001，并且服务模板st1通过access-control acl 4001引用后限制终端接入这个服务，那么此时对acl mac 4001进行修改，添加或删除白名单或黑名单mac地址，修改后是是否对已经在线的终端立刻生效？

答：已经关联AC的终端，如果在acl mac的白名单中去掉这个终端mac地址，或者在acl mac的黑名单中添加这个终端mac地址，不会立刻让这个终端下线，只有这个终端发生了漫游或者下线再上线时会发生无法再次接入这个服务模板的情况；这个机制与AC全局的黑白名单不同，全局白名单中去掉某个终端或者黑名单添加某个终端后，这个终端及时当前在线也会马上被踢下线。

FAQ2：当配置acl mac 4001，并且服务模板st1通过access-control acl 4001引用后限制终端接入这个服务，那么此时对acl mac 4001进行修改，添加或删除白名单或黑名单mac地址，是否需要服务模板上重新配置引用acl 4001才能使修改后的acl 4001生效？

答：不需要重新引用，在acl 4001中添加某个mac的白名单，则这个mac对应的终端可以接入这个服务模板，而不需要这个服务模板重新引用acl 4001。