FAQ-S12700如何实现在开启了portal认证的vlanif下设置部分地址段不需要认证

发布时间:  2016-10-05 浏览次数:  94 下载次数:  0
问题描述

某网络公司使用S12708作为网络的汇聚网关设备,下挂S5700二层交换机,二层交换机下挂用户,用户vlan前期已经做好业务规划,各vlan的网关地址设置在S12708上,为了便于对用户的管理,在S12708上开启了portal认证,其中一个vlanif接口配置如下:

interface Vlanif33

 ip address 172.31.33.254 255.255.255.0

 web-auth-server hunantv direct

 authentication mac-authen portal

现客户有一个新的需求,即vlanif33下用户需要新增一个业务网段172.31.120.254/24,但此业务网段的用户不需要做portal认证就能直接访问公网。由于vlanif33下已经开启了portal认证,直接在vlanif33下添加一sub地址段,但测试时此地址段用户如果不认证就无法访问公网,如果新增加一个vlanif作为新的地址段业务网关则二层网络需要调整变更,那有没有办法在不调整二层网络的情况下能使新增的业务网段可以不认证就直接访问公网呢?

解决方案

交换机的NAC认证用户中有一个免认证规则的配置可以很好的实现用户的这个需要,只有将不需要认证的地址段加入到免认证规则中即可,对于当前客户的需求可以按如下配置方式实现:

1、在由于vlanif33下配置sub地址作为新网段的网关;

interface Vlanif33

 ip address 172.31.33.254 255.255.255.0

 ip address 172.31.120.254 255.255.255.0 sub     //设置sub地址

2、将sub地址段加入到免认证规则中

authentication free-rule 1 source ip 172.31.120.0 mask 255.255.255.0    //将不需要认证的地址段加入到免认证规则中

END