小编 free-rule命令用来配置NAC认证用户的免认证规则
使用指南
应用场景
用户认证成功之前,为满足用户基本的网络访问需求,譬如下载802.1X客户端、更新病毒库等,需要用户免认证就能获取部分网络访问权限。通过命令free-rule-template(系统视图),创建免认证规则模板后,就可以在免认证规则模板下,通过命令free-rule配置免认证规则,满足用户的免认证网络访问需求。
前置条件
通过ACL定义的免认证规则需要先使用命令acl(系统视图)创建ACL规则。
注意事项
在物理接口下部署802.1X或MAC认证时,执行命令undo authentication pre-authen-access enable关闭预连接功能后,该命令功能不生效。
在策略联动场景下,端口下同时部署认证和authentication control-point时,需要配置free-rule放通接入设备管理vlan。
使用普通的免认证规则时需要注意:
多条免认证规则同时配置时,可累计生效,逐条匹配。
无线场景下,AP上不支持免认证规则中配置VLAN和Interface项,建议选取VLAN和Interface项时配置免认证规则序号大于等于128。但是,选取VLAN项时配置的免认证规则序号小于128,会导致无法Portal重定向。
如果免认证规则中同时配置了VLAN和Interface项,则要求Interface属于该VLAN,否则规则无效。
如果免认证规则中配置了目的端口号,则分片报文不能匹配规则,流量无法通过。
DHCP、CAPWAP、ARP、HTTP协议报文,在用户认证成功之前,无需配置free-rule,就可以直接处理或转发。其他协议报文,需要设备转发时,必须配置free-rule;
DHCP报文:如果端口开启认证和DHCP功能,那么DHCP报文能触发认证,且设备会行使其DHCP中继或DHCP服务器功能,转发或处理DHCP报文。如果端口仅配置认证,未配置DHCP功能,那DHCP报文能触发认证,设备广播DHCP报文。
CAPWAP报文:CAPWAP报文分为控制报文和数据报文,一般情况下CAPWAP数据报文解完封装后,依然受NAC权限控制,free-rule会生效(ARP、DHCP封装在CAPWAP数据报文中除外)。CAPWAP控制报文一般是上送CPU处理。
ARP报文:无需配置free-rule,就可以直接处理或转发。
HTTP报文:如果端口开启了Portal认证,且HTTP报文的目的URL并非Portal服务器,那么设备会将HTTP报文重定向至Portal服务器进行认证,当url目的地址命中free-rule,设备不会触发重定向。free-rule授权优先级高于重定向ACL,free-rule和重定向ACL同时配置,重定向ACL不生效。
使用ACL定义的免认证规则时需要注意:
free-rule绑定ACL的命令为覆盖式,后配置的生效。
可以动态修改免认证规则,免认证规则不区分ACL规则(通过命令rule配置)的动作(deny和permit),统一按照permit处理;ACL规则的编号(rule编号)仅支持0~127。
对于支持无线的款型,放行域名功能只支持放行IPv4域名,DNS解析的域名地址不能是AC本机的地址。
free-rule用于配置用户认证成功前允许访问的资源,命中规则的用户仍然要进行正常的认证流程,配置free-rule并不能指定匹配规则的用户不进行认证处理。如果要指定某些用户不认证,可以配置access-context profile enable,开启用户上下文识别功能,并在用户上下文模板中执行命令if-match vlan-id { start-vlan-id [ to end-vlan-id ] } &<1-10>,配置基于VLAN ID的用户识别策略,还需执行命令authentication-mode none将其认证域下绑定的认证方案中的认证模式配置为不认证。
命中相同规则时,设备配置的free-rule规则的优先级高于用户授权的ACL规则或ucl-group。
统一模式:
使用实例
# 免认证规则模板“default_free_rule”,配置NAC认证用户的免认证ACL规则。
<HUAWEI> system-view
[HUAWEI] acl 6001
[HUAWEI-acl-ucl-6001] quit
[HUAWEI] free-rule-template name default_free_rule
[HUAWEI-free-rule-default_free_rule] free-rule acl 6001
# 免认证规则模板“default_free_rule”,配置所有NAC认证用户可以免认证访问IP地址为10.1.1.1/24的网络。
<HUAWEI> system-view
[HUAWEI] free-rule-template name default_free_rule
[HUAWEI-free-rule-default_free_rule] free-rule 1 destination ip 10.1.1.1 mask 24 source ip any
# 免认证规则模板“default_free_rule”,配置NAC认证用户可以免认证访问域名为weixin.com的网络。
<HUAWEI> system-view
[HUAWEI] passthrough-domain name weixin.com id 1
[HUAWEI] acl 6001
[HUAWEI-acl-ucl-6001] rule permit ip destination passthrough-domain weixin.com
[HUAWEI-acl-ucl-6001] quit
[HUAWEI] free-rule-template name default_free_rule
[HUAWEI-free-rule-default_free_rule] free-rule acl 6001
传统模式:
[testSW1]portal free-rule 100 source ip 10.2.1.100 mask 255.255.255.255
如需要删除的话,使用以下命令
[testSW1]undo portal free-rule 100
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » free-rule命令用来配置NAC认证用户的免认证规则
作者: 小编
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm