FAQ--S12700做MAC认证,为什么认证不成功终端依旧能DHCP获取到IP地址

发布时间:  2016-06-22 浏览次数:  84 下载次数:  0
问题描述
S12700做MAC认证,为什么认证不成功终端依旧能DHCP获取到IP地址?
解决方案
终端关联MAC认证失败,默认会建立预连接表,终端可以获取到IP地址,是当前设备实现机制。

<S12700> display access-user access-type mac-authen
 ------------------------------------------------------------------------------
 UserID Username                IP address       MAC            Status         
 ------------------------------------------------------------------------------
 16018  zjl                   10.1.12.100    7800-c0c2-0175 Pre-authen     
 ------------------------------------------------------------------------------
框式设备在V2R7版本,加载最新补丁V2R7SPH009以后,输入undo authentication pre-authen-access enable
可以去使能预连接功能。

原理描述:
用户连接使能NAC功能的设备端口后,用户与设备之间就会建立预连接。如果用户没有认证成功,设备默认仍将用户置为预连接状态。
由于设备会放行预连接用户的DHCP报文,导致尽管此时用户没有任何网络访问权限,但是依然获取IP地址。
这就造成IP地址浪费,同时也给网络安全带来隐患。如果需要用户在认证成功前不需要具备一定的网络访问权限,
可以去使能预连接功能。去使能预连接功能后,用户在认证成功前无任何网络访问权限,也不会为其分配IP地址。

END