Print

某局点ACG1060-X1 本地web认证不弹页面直接上网

组网及说明

 ACG二层透明部署,网关在交换机,ACG在交换机和防火墙之间access口串联,ACG中间用的bvi透传报文,bvi口起了地址,终端可以ping通。

问题描述

设备运行正常,做了本地web认证,所有用户不做认证即可直接上网。查看web认证配置未见异常(未开无感知),相关网段的控制策略已取消,未开启全局白名单。

主要配置截图(ge13口、宿舍组用户做web认证):







过程分析

1、第一次远程查看测试终端上线的认证方式为静态绑定,但查看配置无IP-MAC绑定,全局配置搜索相关IP和MAC也无特殊配置:


2、建议现场替换终端和升级版本观察一下,发现终端的认证方式变为了未认证,但还是可以正常上网。


3、开启mac敏感,识别模式地址对象组强制模式、开启https弹页面(user-policy https-portal enable),测试时一直有web流量访问(抓包可观察到)。

4、设备上portal页面正常,无定制化。

解决方法

后与现场多次沟通,发现是现场的接线有问题,认证策略中的ge12作为源接口后,认证正常。