Agile controller 做802.1X认证后客户端无法访问资源

发布时间:  2015-10-25 浏览次数:  120 下载次数:  0
问题描述

某局点部署Agile controller,在核心交换机上做有线802.1X认证,客户端A认证之后,无法访问动态ACL允许访问的资源。

告警信息

处理过程

1、客户端认证后,ping动态ACL允许访问的IP地址192.168.108.85不通。动态ACL配置如下:


2、在做802.1X认证的交换机上查看认证账号信息A,对应ID号为19

<portal>disp access-user 

 ------------------------------------------------------------------------------

 UserID Username                       IP address                   MAC  

 ------------------------------------------------------------------------------

 19     A                              10.1.2.154                2c27-d741-04ea 

 ------------------------------------------------------------------------------

再查看对应账号的动态ACL授权访问信息,发现只能访问10.1.0.0/16网段,其他地址拒绝访问

<portal>disp access-user user-id 19 

Basic:

  User id                         : 19

  User name                       : A

  Domain-name                     : default_admin                   

  User MAC                        : 2c27-d741-04ea

  User IP address                 : 10.1.2.154

  User access Interface           : Ethernet0/0/2

  QinQVlan/UserVlan               : 0/2

  User access time                : 2015/10/25 09:25:08

  User accounting session ID      : portal0000200000000240fab0000019

  User access type                : 802.1x

  Dynamic ACL desc(Effective)     :

   No. 0: acl 10000 dest-ip 10.1.0.0 dest-ipmask 16 permit

   No. 1: acl 10099 dest-ip 0.0.0.0 dest-ipmask 0 deny

3、说明授权信息与做的动态ACL不匹配,查看radius日志,看到A账号对应的授权规则为dd,并非预想的授权规则yin_1x,

4、查看授权规则,dd在yin_1x的前面,并且dd应用在根部门ROOT,dd引用的动态ACL为步骤2的user-id 19,因此A认证后只能访问10.1.0.0/16网段,其他地址不能访问。

5、调整授权规则的优先级,yin_1x放在dd前面,客户端重新认证之后,再次访问192.168.108.85成功。此时查看radius日志以及认证账号信息都是正确匹配


<portal>disp access-user           

 ------------------------------------------------------------------------------

 UserID Username                       IP address                   MAC  

 ------------------------------------------------------------------------------

 21     A                              10.1.2.154                2c27-d741-04ea 

 ------------------------------------------------------------------------------

 Total 1,1 printed

<portal>disp access-user user-id 21

Basic:

  User id                         : 21

  User name                       : A

  Domain-name                     : default_admin                   

  User MAC                        : 2c27-d741-04ea

  User IP address                 : 10.1.2.154

  User access Interface           : Ethernet0/0/2

  QinQVlan/UserVlan               : 0/2

  User access time                : 2015/10/25 09:31:20

  User accounting session ID      : portal00002000000002c18ef4000021

  User access type                : 802.1x

  Dynamic ACL desc(Effective)     :

   No. 0: acl 10000 dest-ip 192.168.108.0 dest-ipmask 24 permit

根因
授权规则基于部门匹配而没有基于账号匹配,导致账号优先匹配中了认证规则dd,因此不能访问预设的资源。
解决方案

本例可以通过两种方式解决:

1、授权规则基于账号匹配;

2、调整授权规则的优先级,yin_1x调整到dd前面。

建议与总结

END