在设备取消准入控制
如果大规模用户无法认证,为不影响业务,可以先关闭准入控制。
关闭准入控制后所有用户可以访问后域资源,请评估风险后再关闭。
Eudemon/USG系列防火墙(SACG认证旧版本适用)
旧版本包括如下产品型号和配套版本。
产品名称 |
适用版本 |
|---|---|
Eudemon 100E |
V200R007C03SPC001 |
Eudemon 200S |
V200R007C03SPC001 |
Eudemon 200 |
V200R001C03SPC001 |
Eudemon 300/500/1000 |
V200R006C02SPC001 |
USG2130 |
V100R005C00SPC500 |
USG2200 |
V100R005C00SPC500 |
USG5100 |
V100R005C00SPC500 |
USG5500 |
V200R001C00SPC600 |
由于认证前域对应的ACL 3099是在防火墙接入控制功能之前执行的,并且在启用联动功能之后ACL 3099允许编辑的。要在防火墙关闭接入控制功能,只需要在ACL 3099插入编号最小并且全动作为放行的规则即可。
- 查看防火墙的角色0对应的ACL,如果角色0对应的ACL包含rule 1000 permit 1000 ip,表示逃生通道已经开启。如果逃生通道已经开启,终端用户已经能够在未认证的状态下访问网络,管理员不需要在防火墙关闭接入控制功能。
<USG> display right-manager role-id 0 rule Advanced ACL 3099, 5 rules, not binding with vpn-instance Acl's step is 1 rule 1000 permit ip (1280 times matched) rule 1001 permit ip destination 172.18.11.221 0 (581 times matched) rule 1002 permit ip destination 172.18.11.223 0 (77 times matched) rule 1003 permit ip destination 172.19.0.0 0.0.255.255 (0 times matched) rule 1004 deny ip (507759 times matched)
如果逃生通道没有开启,则管理员需要在ACL 3099插入编号最小、动作为放行的规则,以便对所有的终端用户访问网络予以放行。<USG> system-view [USG] acl 3099 [USG-acl-adv-3099] rule 0 permit ip
Eudemon/USG系列防火墙(SACG认证新版本适用)
新版本包括如下产品型号和配套版本。
产品名称 |
适用版本 |
|---|---|
USG2130 |
|
USG2200 |
|
USG5500 |
|
与旧版命令不同,由于在启用联动功能之后认证前域对应的ACL 3099是不允许编辑。考虑到在联动视图下面的policy命令执行优先级别比接入控制命令高,要在防火墙关闭接入控制功能,只需要在联动视图下增加一条动作为放行的策略即可。
与新版本相同,在执行操作之前管理员需要检查防火墙的逃生通道是否已经开启。
- 查看防火墙的角色0对应的ACL,如果角色0对应的ACL包含rule 1000 permit 1000 ip,表示逃生通道已经开启。如果逃生通道已经开启,终端用户已经能够在未认证的状态下访问网络,管理员不需要在防火墙关闭接入控制功能。
<USG> display right-manager role-id 0 rule Advanced ACL 3099, 5 rules, not binding with vpn-instance Acl's step is 1 rule 1000 permit ip (1280 times matched) rule 1001 permit ip destination 172.18.11.221 0 (581 times matched) rule 1002 permit ip destination 172.18.11.223 0 (77 times matched) rule 1003 permit ip destination 172.19.0.0 0.0.255.255 (0 times matched) rule 1004 deny ip (507759 times matched)
- 如果逃生通道没有开启,则管理员需要新建一条策略,以便对所有的终端用户访问网络予以放行。
<USG> system-view [USG] policy right-manager [USG-policy-rightmanager] policy 999 [USG-policy-rightmanager-999] policy source any [USG-policy-rightmanager-999] policy destination any [USG-policy-rightmanager-999] action permit
有线交换机(802.1X & Portal)
在接入控制方案采用有线802.1X或者Portal接入方案的情况下,如果管理员需要关闭接入控制功能,可以配置free-rule放行所有或者在认证接口下取消认证配置。
方法1(推荐):配置free-rule
[HUAWEI] free-rule-template name default_free-rule [HUAWEI-free-rule-default_free_rule] free-rule 0 destination any
方法2:认证接口下取消认证配置(如果多个接口下启用了认证,每个接口下均需要执行)
[HUAWEI]interface GigabitEthernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1]undo authentication-profile
无线WAC(802.1X)
在接入控制方案采用无线802.1X接入方案的情况下,如果管理员需要关闭接入控制功能,只能取消对应VAP模板下的认证配置。
<WAC> system-view [WAC] wlan [WAC-wlan-view] vap-profile name xxx [WAC-wlan-vap-prof-xxx] undo authentication-profile [WAC-wlan-vap-prof-xxx] undo security-profile [WAC-wlan-vap-prof-xxx] quit [WAC-wlan-view] commit //V200R010以及之前版本需要执行
无线WAC(Portal)
在接入控制方案采用无线Portal接入方案的情况下,如果管理员需要关闭接入控制功能,可以配置free-rule放行所有或者取消对应VAP模板下的认证配置。
如果链路中只有一台WAC承担Portal接入任务,则管理员需要在该AC关闭接入控制功能。
如果链路中存在多台WAC共同承担Portal接入任务(多链路方案,运行display current-configuration会看到load-balance的相关信息),则管理员需要在链路中每一台负责Portal接入的WAC关闭接入控制功能。
如果链路中存在两台WAC共同承担Portal接入任务(双机热备方案,运行display current-configuration会看到VRRP的相关信息),则管理员需要在链路中以主设备(运行display vrrp后会看到State : Master或State :Active )工作的交换机关闭接入控制功能。
方法1(推荐):配置free-rule
[HUAWEI] free-rule-template name xxx //xxx为对应的free-rule模板 [HUAWEI-free-rule-xxx] free-rule 0 destination any
方法2:VAP模板下取消认证配置
<WAC> system-view [WAC] wlan [WAC-wlan-view] vap-profile name xxx //xxx为对应的vap模板 [WAC-wlan-vap-prof-xxx] undo authentication-profile [WAC-wlan-vap-prof-xxx] quit [WAC-wlan-view] commit //V200R010以及之前版本需要执行
