【问题描述】
需求:
Portal认证前可以访问服务器段,认证后不能访问。
NCE-Campus做portal认证服务器,授权结果使用ACL作为认证后域下发配置。使用display access-user可以看到终端用户匹配到正确的ACL,但没有执行ACL中的规则。
# 认证后域ACL
acl number 3002
rule 5 deny ip destination 192.168.5.0 0.0.0.255
rule 10 permit ip
【根因】
free-rule与认证前域是不同的,交换机的free-rule优先级最高,即使认证后域中的ACL为deny,依然会按照free-rule执行(permit)。
【解决办法】
在free-rule中取消服务器网段,在portal认证模板下使用命令authentication event pre-authen action authorize service-scheme xxx定义认证前域。
例如:
# 定义认证前域资源
acl number 3001
description pre_auth_zone
rule 10 permit ip destination 192.168.1.0 0.0.0.255
# AAA下定义service-scheme
aaa
service-scheme acl3001
acl-id 3001
# portal认证模板下定义认证前域资源
authentication-profile name Auth4758b6fe23bd0a156819
authentication event pre-authen action authorize service-scheme acl3001