因为ACL配置错误导致MA5200原来需要进行web认证IP Hotel认证的用户现在不需认证就可以直接上网的问题

发布时间:  2012-07-26 浏览次数:  44 下载次数:  0
问题描述
版本:MA5200 MA2.10-9xxx
现象:IP Hotel原来需要进行web认证的用户,某天发现用户只要获取地址不需认证就可以直接上网。
告警信息
处理过程
1、查看各单板的acl开关,查看发现所有单板的acl开关均启用。
2、查看acl设置,发现用户将255组的默认属性设置为permit,由于预上线的用户属于255组,这样用户获取地址后不需要认证就可以上网。修改255组默认属性为deny后问题解决。
关于一个acl-group的默认访问属性可以如下理解:凡是匹配不到系统应用的rule规则的时候报文是否允许访问就取决于组的默认访问属性。254、255组的默认访问属性在系统默认是deny的,其它组默认是访问属性是permit的。
根因
ACL方面配置错误,由于默认的255组权限被改成了permit,用户获取地址未认证时也在默认的255组中,这样用户就不经过认证可以正常上网。
建议与总结

END