http redirect direct-site 172.16.1.1 arp web-auth direct-host 192.168.10.2 arp 两者的区别
http redirect direct-site 172.16.1.1
arp web-auth direct-host 192.168.10.2 arp 两者的区别
两条锐捷 Web 认证重定向命令核心区别
适用场景:锐捷交换机 Web 认证(Web-Auth)强制跳转配置,末尾 arp 代表基于 ARP 表匹配终端 IP+MAC 做精准重定向,不是泛洪跳转。
1、命令拆解
① http redirect direct-site 172.16.1.1 arp
关键字:direct-site
含义:站点级重定向网关地址
作用:用户未认证上网时,所有 HTTP 流量强制劫持跳转到全局认证网关 IP:172.16.1.1
层级:整台交换机 / 整 VLAN 全局生效,是全局跳转出口地址
典型用途:对接外置 Portal 服务器、AC 网关、第三方认证平台,所有网段统一跳同一个认证地址
② web-auth direct-host 192.168.10.2 arp
关键字:direct-host
含义:Web 认证专用主机地址(认证页面地址)
作用:专门指定Web 认证页面本身的服务器 IP 192.168.10.2,交换机放行该 IP 免认证访问,同时跳转目标指向该主机
层级:Web-Auth 功能专属配置,定义认证页面源地址
典型用途:交换机本地内置 Web 认证页面、本地 Portal 服务器,专门定义认证页面所在服务器
2、核心对比表
| 对比项 | http redirect direct-site x.x.x.x arp | web-auth direct-host x.x.x.x arp |
|---|---|---|
| 功能定位 | HTTP 流量劫持跳转地址(网关跳转) | Web 认证页面本体服务器地址 |
| 作用对象 | 全网所有未认证 HTTP 访问 | 仅 Web-Auth 认证业务本身 |
| 逻辑关系 | 可以跳转到 direct-host 地址,也可以跳 AC / 第三方网关 | 被跳转的目标页面地址,必须放通免认证 |
| 使用场景 | 多场景 HTTP 劫持(Web 认证、防私接、广告推送等) | 仅 Web-Auth 认证专属配置 |
| arp 后缀含义 | 依靠 ARP 表识别终端 IP+MAC,精准劫持,防止仿 IP 跳转 | 依靠 ARP 表匹配终端,精准放行 + 跳转认证服务器 |
3、最简逻辑举例(最容易理解)
假设:
认证页面服务器:192.168.10.2(direct-host)
跳转网关:172.16.1.1(direct-site)
终端打开网页,交换机拦截 HTTP 请求
direct-site 把访问请求重定向到 172.16.1.1
该网关再引导浏览器去打开 192.168.10.2 的登录页面
direct-host 配置让交换机主动放行 192.168.10.2,避免认证页面本身也被拦截死循环
4、补充:末尾 arp 参数统一含义
两条命令后面的 arp 作用完全一致:
基于ARP 绑定的 IP+MAC 二元组做精准重定向
不配置 arp 时,单纯按 IP 匹配,容易出现 IP 欺骗、仿地址绕过跳转问题
开启 arp 后,交换机先查 ARP 表确认终端真实 IP-MAC,再执行劫持 / 放行,安全性更高
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » http redirect direct-site 172.16.1.1 arp web-auth direct-host 192.168.10.2 arp 两者的区别
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm