评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置MAC认证相关的扩展功能
配置去使能预连接访问功能
背景信息
用户连接使能NAC功能的设备端口后,用户与设备之间就会建立预连接。如果用户没有认证成功,设备默认仍将用户置为预连接状态。由于设备会放行预连接用户的DHCP报文,导致尽管此时用户没有任何网络访问权限,但是依然获取IP地址。这就造成IP地址浪费,同时也给网络安全带来隐患。
如果需要用户在认证成功前不需要具备一定的网络访问权限,可以去使能预连接功能。去使能预连接功能后,用户在认证成功前无任何网络访问权限,也不会为其分配IP地址。
- 对于采用Portal认证或包含Portal认证的混合认证用户,该功能不生效。
- 对于配置了认证事件预连接授权的用户,undo authentication pre-authen-access enable命令功能不生效。
- 授权VLAN(不包括预连接授权)时,需执行命令undo authentication pre-authen-access enable去使能预连接功能。
- 在物理接口下部署802.1X或MAC认证时,去使能预连接功能后,free-rule命令功能不生效。
- 设备与某些终端对接时,例如MacBook笔记本,如果终端获取IP地址后不再进行认证的情况下,则建议在设备上执行命令undo authentication pre-authen-access enable去使能预连接功能,然后终端再重新连接。
- 用户使用Option82的DHCP报文进行上线时,如果用户在预连接状态上线失败,则建议在设备上去使能预连接功能。
- 在非网关设备上部署二层Portal认证时,不能执行命令undo authentication pre-authen-access enable去使能预连接功能,否则二层Portal认证功能不生效。
- 在物理主接口部署MAC或Portal认证时,不会生成预连接表项,但是用户可以上线成功。
