S12700做无线portal认证,动态acl不生效问题

发布时间:  2015-10-04 浏览次数:  340 下载次数:  0
问题描述

S12708上做portal认证,下发动态ACL,允许访问10.0.0.0/8,其他网段拒绝。但是客户端认证后,还是可以上公网。

告警信息

处理过程

1、确认动态acl是否已经下发成功,执行命令display access-user user-id XXXX,显示如下:

[12708]dis access-user user-id 54835

 

Basic:

  User ID                         : 54835

  User name                       : 001

  Domain-name                     : default                        

  User MAC                        : 0026-824c-b460

  User IP address                 : 10.105.57.186

  User vpn-instance               : -

  User access Interface           : Wlan-Dbss6:55

  User vlan event                 : Success       

  QinQVlan/UserVlan               : 0/106

  User access time                : 2015/08/26 14:47:03

  User accounting session ID      : COR-S12010000000001067669d5054835

  Option82 information            : -

  User access type                : WEB  

  AP ID                           : 61

  AP name                         : ap-61

  Radio ID                        : 0

  AP MAC                          : 7ca2-3efc-52e0

  SSID                            : ymwk

  Online time                     : 258(s)

  Web-server IP address           : 10.105.18.51

  Dynamic ACL desc(Effective)     ://动态已经下发成功

   No. 0: acl 10001 dest-ip 10.0.0.0 dest-ipmask 8 permit

   No. 1: acl 10002 dest-ip 0.0.0.0 dest-ipmask 0 deny

从如上可以看出,动态acl已经成功下发到设备上,且acl的写法无误。

2、再次验证效果,发现仍能访问外网

认证成功的页面:

能访问外网的页面:

3、再次检查应用场景,使用的X1E板卡,采用无线portal认证方式,由于无线方式不支持动态acl方式下发,改为acl number方式下发acl成功。

根因
无线方式不支持动态acl,即使下发成功,仍然不生效。
解决方案

改为acl number方式,radius服务器下发acl muber方式成功。

       acl number 3333

              rule 5 permit ip destination 10.0.0.0 0.255.255.255

              rule 10 deny ip

建议与总结
对于下发radius属性问题,需要提前了解设备的支持情况

END