产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【交换机】S8606,接口配置dot1x与ACL兼容问题说明

发布时间:2014-08-05
点击量:2763
S8606,接口配置dot1x与ACL兼容问题说明 
 
当前S86的1X与物理接口或者SVI口上的ACL共用时,存在如下几种组合情况:
1)物理接口配置ACL与dot1x,ACL里面的ACE有permit xx,也有deny xx的组合
a)用户1x认证前,报文具体是怎么被控制的
b)用户1x认证后,报文是怎么被控制的
〈--- 满足ACL的报文优先受ACL控制(ACL的permit不生效,deny会生效);不满足ACL的报文,受dot1x认证控制(认证成功的用户报文允许转发, 未认证的用户报文不允许转发)。
 
2)SVI接口配置ACL与dot1x,ACL里面的ACE有permit xx,也有deny xx的组合
a)用户1x认证前,报文具体是怎么被控制的
b)用户1x认证后,报文是怎么被控制的
〈--- SVI接口的ACL的permit和deny表项都会下发, 且SVI的ACL关联的是所有实际物理端口(该vlan所对应的access或者trunk口). ACL(不包含默认deny表项)高于1x认证, 1x认证高于ACL的默认deny表项.
 
兼容问题具体说明如下:
1. 物理接口配置ACL与dot1x共用的情况:
ip access-list extended 199
10 permit ip host 10.11.12.13 any 
20 deny ip host 10.10.10.10 any 
 
interface GigabitEthernet 1/1
ip access-group 199 in
dot1x port-control auto
《---- ACL的表项只下发deny表项. permit表项不下发, 即只有deny表项生效。所以主机10.10.10.10不管是否认证都无法被放行,而主机10.11.12.13认证前无法被放行,如果dot1x认证成功能报文可以被放行。
 
2. 物理口配置dot1x, SVI口配置ACL
ip access-list extended 199
10 permit ip host 10.11.12.13 any 
20 deny ip host 10.10.10.10 any 
 
interface GigabitEthernet 1/1
switchport access vlan 163
dot1x port-control auto 
 
interface VLAN 163
ip address 10.0.0.1 255.0.0.0
ip access-group 199 in 
〈--- 满足ACL的报文受ACL控制(ACL的permit和deny都会生效), 不满足ACL的报文, 受1x认证控制(认证的用户报文允许转发, 未认证的用户报文不允许转发)。这样主机10.11.12.13不需要1X认证就可以被放通,而主机10.10.10.10未认证报文无法放行,1X认证后报文被放行,除此两个主机外,其他的IP认证前无法访问,1X认证成功后报文可被放行。
〈--- SVI ACL下发的时候是下发到所有物理端口,不关心物理口是access口还是trunk口。
 
综上:
(1) 物理口ACL和dot1x共存时, 物理口ACL会自动过滤permit表项,只有deny语句优先生效,然后才是认证后dot1x生效。
(2) 如果是SVI关联ACL和dot1x共存时, permit也会生效, 且优先级比1x认证高, 所以如果报文匹配ACL的某个语句时,直接按照该语句的策略放通或者丢弃,而后不匹配ACL的才继续通过dot1x来认证控制,这样可能导致未认证的用户由于匹配中permit也可以转发。
 
相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式