一、为什么AC要旁挂?
客户购买了两台AC-2000-B2150的设备。
需求:对内网的终端进行管控,终端通过DHCP上网,在终端没有在AC上认证时,不允许其他 访问内外网资源。
1、为什么不用802.1X
因为客户部分交换机不支持802.1X认证,比如博科,而华为交换机配置好了,测试发现AC收不到相应的数据包。
2、为什么不串网络里面?
因为汇聚交换机上联与核心交换机下联做了聚合口,汇聚使用4个万兆光口聚合,核心使用4个万兆光口聚合,而AC只有2个万兆光,光口不满足串在网络中。
而串在核心交换机和出口防火墙上,又不能实现其限制内访内的管控要求。
于是采用了旁挂引流的方式。
二、交换机配置
1、创建acl
在switch上创建编码为3001,规则为允许源IP地址为192.168.0.0/24的报文通过
acl 3001
rule permit ip source 192.168.0.0 0.0.0.255
quit
2、创建流分类
在switch上创建流分类c1,匹配规则分别为acl 3001
if-match acl 3001
quit
3、配置流行为
在switch上创建流行为b1,并分别指定重定向到172.16.1.1的动作
traffic behavior b1
redirect ip-nexthop 172.16.1.1
quit
4、配置流策略并应用到接口上
在switch上创建流策略p1,将流分类和对应的流行为进行绑定。
traffic policy p1
classifier c1 behavior b1
quit
将流策略p1应用到接口GE11/0/1的入方向上
interface xgigabitethernet GE11/0/1
traffic-policy p1 inbound
return
5、验证配置结果
查看acl规则的配置信息
display acl 3301
查看流分类的配置信息
display traffice classifier user-defined
查看流策略的配置信息
display traffice policy user-defined p1
三、上网行为管理配置
1、AC要路由模式部署。
原因:
网桥模式部署,要求核心交换机的两个口中在同一个网段,核心交换机接口配置三层口的话会配置不上去,如果配置二层口担心有广播风暴。
2、AC配置回包路由
3、配置NAT,NAT的源配置一个不存在的网段即可。
4、导入MAC表到用户组里,这样,只有在组里的用户流量才会匹配通过AC。
四、信锐交换机
客户反馈RS5300交换机的千兆光口和万兆光口连接对端均不亮。
排查
1、观察。RS5300的光口均为万兆光口,接千兆模块不亮,接万兆模块也不亮。
2、使用两个万兆光模块单接设备的50、52口,网卡灯亮没有问题。
3、更换连接线,连接RS5300的52口与上联交换机的52口,正常。
可以判断出是光纤线的问题。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-6-20 14:08
技术专家4级 
