【AC特殊场景】IPv4+IPv6双栈用户绑定管控需求案例

感谢分享，有助于工作，学习学习

谢谢分享，有助于工作！

感谢分享

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

一、环境

AC和上网用户在一个二层，可以直接抓到MAC地址，用户是IPv4+IPv6双栈

二、需求

1. IPv4和IPv6都是配置管理员手动分配地址，IPv4和IPv6能同时上网，且在AC上可以清晰识别到IP对应的用户

2. 要求用户不能随意修改IPv4或IPv6地址，未通过管理员审批通过的终端或IP不允许上网。

3. 不接受密码认证

三、问题分析

1. 尝试使用常规的“IP&MAC”绑定去解决用户随意修改IP问题，由于一个MAC只能绑定一个IPv4或者IPv6，绑定了IPv4那IPv6就上不了网，反之绑定IPv6那IPv4就上不了网——无法满足一个主机IPv4、IPv6同时上网的需求

2. 尝试常规的“用户&MAC”绑定去解决IPv4和IPv6同时上的需求——无法满足禁止用户随意修改IP的需求。

四、解决方案

把IPv4和IPv6分不同设备来管，使用“用户&IP&MAC绑定”功能，AC1管控IPv4地址同时把所有IPv6加全局排除，AC2管控IPv6地址同时把所有IPv4地址加全局排除。

配置思路：

AC1:

1. AC1在全局排除地址段添加所有IPv6地址，让AC1对IPv6不管控

2. AC1创建认证策略指定内网IPv4地址默认上线到default组并录入组织结构、绑定用户&IP&MAC，认证方式为不需要认证。

3. 上网策略中设置default不允许上网，配置正常上网用户组的权限

4. 管理员判断上线的IPv4地址和MAC是否有效，然后把该IP对应的用户移动到对应正常上网的用户组，手动修改该IP的名称、描述等。

AC2：

1. AC2在全局排除地址段添加所有IPv4地址，让AC2对IPv4不管控

2. AC2创建认证策略指定内网IPv6地址默认上线到default组并录入组织结构、绑定用户&IP&MAC，认证方式为不需要认证。

3. 上网策略中设置default不允许上网

4. 管理员判断上线的IPv4地址和MAC是否有效，然后把该IP对应的用户移动到对应正常上网的用户组，手动修改该IP的名称、描述等。