关于PC管理mac绑定上网认证的问题 50

大佬们 要实现以下 求助怎么操作。DHCP在核心交换机，AC在核心交换机下，下面连汇聚接入PC。核心到接入都是trunk。

1.PC自动获取IP

2.将用户名与MAC地址绑定

3.没有绑定用户名Mac的设备不能上网。

AC设备可以实现用户名和MAC地址绑定

1、如果内网是三层环境，则需要配置跨三层

2、6.X版本在【用户与策略管理】-【用户认证】-【认证选项】-【跨三层MAC识别】里面勾选【启用SNMP设置】，如果不是三层环境，则直接跳到第4步

11.0-12.0.44版本在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】里面勾选【启用跨三层MAC识别】，如果不是三层环境，则直接跳到第4步

12.0.47-13.X版本在【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】里面勾选【启用跨三层MAC识别】，如果不是三层环境，则直接跳到第4步

3、然后再【新增】SNMP服务器，添加交换机的IP地址和IP OID、MAC OID、Community团体值，后面的默认不变

4、再到【用户认证与管理】-【认证策略】-【新增】，认证策略名字随便取，【认证范围】里面填写适用的IP网段，【认证方式】填写密码认证/其他认证方式，【不需要认证】选择以IP或者MAC作为用户名；【密码认证】选择认证服务器；【单点登录】选择认证失败之后的认证策略，和前面介绍的一样

5、【不需要认证】的方式：【认证后处理】勾选【自动录入绑定关系】-【自动录入IP和MAC的绑定关系】，【密码认证】/【单点登录】的方式：【认证后处理】勾选【自动录入用户和IP/MAC的绑定关系】-【MAC绑定】

方法1、将绑定了允许上网的用户放在一个组设置上网策略允许上网，将没有绑定的用户放在另一个组设置不允许上网的上网策略

方法2、在【用户认证与管理】-【认证策略】-【认证后处理】-【高级选项】启用【用户登录限制】，关联相应的允许认证用户

详情请参考附件配置。     

AC/SG设备可以实现用户名和MAC地址绑定
1、如果内网是三层环境，则需要配置跨三层
2、6.X版本在【用户与策略管理】-【用户认证】-【认证选项】-【跨三层MAC识别】里面勾选【启用SNMP设置】，如果不是三层环境，则直接跳到第4步
11.0-12.0.44版本在【用户认证与管理】-【认证高级选项】-【跨三层取MAC】里面勾选【启用跨三层MAC识别】，如果不是三层环境，则直接跳到第4步
12.0.47-13.X版本在【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】里面勾选【启用跨三层MAC识别】，如果不是三层环境，则直接跳到第4步
3、然后再【新增】SNMP服务器，添加交换机的IP地址和IP OID、MAC OID、Community团体值，后面的默认不变
4、再到【用户认证与管理】-【认证策略】-【新增】，认证策略名字随便取，【认证范围】里面填写适用的IP网段，【认证方式】填写密码认证/其他认证方式，【不需要认证】选择以IP或者MAC作为用户名；【密码认证】选择认证服务器；【单点登录】选择认证失败之后的认证策略，和前面介绍的一样
5、【不需要认证】的方式：【认证后处理】勾选【自动录入绑定关系】-【自动录入IP和MAC的绑定关系】，【密码认证】/【单点登录】的方式：【认证后处理】勾选【自动录入用户和IP/MAC的绑定关系】-【MAC绑定】

更多配置详情建议参考链接：点击这里

AC可以开启跨三层mac绑定

DHCP自动获取IP后，在AC配置认证策略，选择绑定mac地址，划分用户组，有mac地址的一组可以正常上网，未认证绑定mac的一组做限制