【交换机】S29E开启防网关欺骗、ip source guard、arp-check后，用户web认证失效

发布时间：2014-08-05

点击量：3862

S29E开启防网关欺骗、ip source guard、arp-check后，用户web认证失效 

 

S29E共有4个安全引擎（每个引擎模板256条ACE），ACE共1K，而CPP默认占用了1个引擎，因此只有3个引擎可供用户其他的安全应用配置使用。

假如用户场景使用以下这些安全应用，1x认证、WEB认证、ARP-CHECK、直通地址(带ARP与不带ARP)、免认证用户(带ARP与不带ARP)、防网关ARP欺骗、IPv6兼容。则用户场景的引擎资源占用情况如下：

 

综合可知，用户场景共需要引擎资源4个，超出了可使用的3个引擎数，因此可能导致认证不成功

现场可以去掉防网关ARP欺骗功能，另外web认证成功的用户就是下发IP+MAC绑定表项到底层，IP source guard也是下发绑定用户到底层，故在当前的应用环境，可以不开启IP source guard功能。如果要防止用户私设IP，可以通过DHCP snooping+DAI功能实现（具体配置，可以参考《交换产品实施一本通》--》功能配置--》典型功能配置--》部署防ARP欺骗--》DHCP环境防ARP欺骗--》DAI方案）。

 

• •【交换机】交换机如何配置VLAN间互访

• •【无线】AC的一代和二代web认证的区别

• •【Eportal】无线二代portal认证模板（二代portal目前只有在自研无线的环境下才支持）

• •【RG-EG】RG-EG如何恢复出厂设置

• •【交换】锐捷交换机DHCP功能如何配置

• •【无线】锐捷无线默认地址密码大全

• •【无线】无线瘦AP配置如何进行AC直连AP配置

• •【新版NBR/EG】新NBR/EG 4b10的版本在web或者命令下是否可以将web认证的密码明文显示出来？

• •【交换机】交换机如何配置端口聚合

• •【eportal】有线web接入认证 NAS接入设备如何配置