一、不需要认证
二、IP和mac绑定,不让用户修改IP地址,修改了就不能上网了,但是需要跨三层取mac
三、密码认证
1、配置
2、是用于允许在用户通过认证前或冻结后访问 DNS服务,从而保证PC能弹出AC重定向页面
3、排障思路
访问的如果是https的网站需要启用HTTPS请求未通过认证时,重定向到认证页面(代理时除外)
网桥部署虚拟地址是否跟内网冲突,PC浏览器是否做了代理
AC下接的设备是否有做限制
根据关联的访问权限策略不能拒绝http应用和dns应用
防火墙规则不能拒绝80和53端口【系统管理】-【防火墙】-【LAN-WAN】
四、重定向
1、虚拟IP重定向:内网PC认证前的HTTP上网数据经过AC时,AC拦截并记录下数据包的源,目的IP,数据包的封装类型,以及数据包进入AC时的接口。 AC回弹portal的重定向认证页面时,会将记录下来的数据包的源,目的IP反转,再从数据包进入的接口直接发出去,其中数据包中的数据字段会替换成AC虚拟IP的重定向URL地址。(AC只在网桥模式下有虚拟IP重定向)重定向页面不查AC路由表直接从数据进来的网口eth0回包给内网
2、DMZ口重定向:内网PC认证前的HTTP上网数据经过AC时,AC拦截数据包,AC通过查找本身DMZ口的路由表,将portal的重定向认证页面从DMZ口发出,其中数据包中的数据字段会替换成AC的DMZ口IP的重定向URL地址。(一般用在无可用网桥IP时选择从DMZ口重定向)
五、802.1x
1、认证成功之后交换机放通了端口,终端获取到IP后可以正常去上网,但是终端未在AC设备上线,AC需要收到计费开始请求或者收到流量之后才开始走上线流程:
1.认证成功后,AC将终端MAC地址缓存在设备内存中5分钟
2.AC需要获取IP/MAC对应关系完成上线
2.1计费报文带IP
2.2通过流量方式(二层环境终端上网数据过AC)或者镜像方式获取DHCP,ARP广播报文
2.3跨三层取MAC的方式+计费报文。
注意:若没有计费报文的情况,PC注销后交换机不会通知AC下线,会存在用户无法注销的情况。
2、配置步骤
六、MAB认证
1、以有打印机终端802.1x认证为例,说明整个mab认证流程:
第一步:交换机在30s超时时间内未收到客户端发起的认证请求,开始MAB认证流程。
第二步:交换机通过ARP等报文学习到终端的MAC地址。
第三步:交换机把终端的MAC地址当作用户名和密码封装在radius报文中发送给AC。
第四步:AC完成校验,如果检验成功通过认证,发送认证成功报文给到交换机,交换机然后放通端口,如果检验失败,发送认证失败报文给交换机,交换机不放通端口。
|