S29E开启防网关欺骗、ip source guard、arp-check后,用户web认证失效
S29E共有4个安全引擎(每个引擎模板256条ACE),ACE共1K,而CPP默认占用了1个引擎,因此只有3个引擎可供用户其他的安全应用配置使用。
假如用户场景使用以下这些安全应用,1x认证、WEB认证、ARP-CHECK、直通地址(带ARP与不带ARP)、免认证用户(带ARP与不带ARP)、防网关ARP欺骗、IPv6兼容。则用户场景的引擎资源占用情况如下:
综合可知,用户场景共需要引擎资源4个,超出了可使用的3个引擎数,因此可能导致认证不成功
现场可以去掉防网关ARP欺骗功能,另外web认证成功的用户就是下发IP+MAC绑定表项到底层,IP source guard也是下发绑定用户到底层,故在当前的应用环境,可以不开启IP source guard功能。如果要防止用户私设IP,可以通过DHCP snooping+DAI功能实现(具体配置,可以参考《交换产品实施一本通》--》功能配置--》典型功能配置--》部署防ARP欺骗--》DHCP环境防ARP欺骗--》DAI方案)。