【原创分享】新手谨慎操作----AC认证范围你写的对吗？

➡️【原创分享计划3】发原创得奖金，掏某公司万元奖励池！

-------问题现象-------

滴~嘀~滴~滴某公司某公司

我：喂，您好，某公司公司售后

客：喂，你好，我刚才做了一个单独IP免认证策略，但是好像某公司公司认证策略也失效了。

我：您好， 请问您是在认证高级选项中勾选了免认证策略不吗？

客：不是，我在认证策略，做了一个不需要认证，我本来是做的密码认证，现在有一台服务器不支持弹认证界面，所以我想给他做一个不需要认证。

我：好的，我跟您确认下，您是做了一个认证策略，认证范围是单独的服务器的IP地址，认证方式是不需要认证，对吗？

客：是的，我是这样操作的。

我：我们的认证策略匹配顺序是从上往下的，匹配到上面一条之后就不会继续往下匹配，您是否将这条不需要认证的放在最上面吗？

客户：是的。

我：好的，您这个问题需要远程看下，您看我加您下QQ，我这边远程看下可以吗？

客：好的，我的QQ是某公司公司某公司公司x

-------问题排查-------

登陆上客户的AC之后，先看客户做的认证策略，如下图

看起来没毛病吧，第一个192.168.1.xxx是不需要认证，第二个192.168.1.x是密码认证。

问题来了，咱们正常配置电脑的IP地址的时候是需要带掩码的，就像我们配置网络设备的接口地址的时候，也是需要带掩码的，但是注意一下，在AC的认证策略中，写掩码是代表一个网段，比如192.168.1.1/24，表示192.168.1.0/24 这个网段的某公司公司，同样，192.168.1.252/255.255.255.0代表的是192.168.1.0/255.255.255.0

这样的话，第一条第二条重复，某公司公司匹配第一条不需要认证，所以第二条密码认证会失效。

那如何修改呢，就是第一条单独的认证策略咱们不写掩码啦，如下

至此，客户的故障解决

-------划重点啦-------

认证策略写掩码是代表一个网段，比如192.168.1.1/24，则表示192.168.1.0/24 这个网段的某公司公司

可以把上面只写192.168.1.252下面的写成192.168.1.0-192.168.1.251然后另起一行192.168.1.253-192.168.1.255这样跳过去也行了吧？

感谢楼主分享，楼主将客户反馈的问题确认的很清楚，并进行的复述，了解清楚问题现象才好进行下一步的问题排查。
问题不是什么困难问题，重点是设备对掩码的理解，如果都知道，就不存在错误配置的问题了，感谢分享。

学习了！

单ip不是一般写32位掩码么

认证策略匹配顺序是从上往下的，匹配到上面一条之后就不会继续往下匹配。感谢分享，学习了

写的很详细

您好，感谢您参与社区原创分享计划3，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

问题出现了，一般设置时如果是代表一个网段的话，应要达成这样的效果：

感谢楼主分享，学习了。