S5730-48C-SI终端MAC认证失败但是终端可以上网

S5730-48C-SI对接Agile Controller-Campus做MAC认证，终端失败但是可以上网。

关键配置：

#

authentication-profile name p1

mac-access-profile mac

authentication mode multi-authen max-user 100

access-domain default force

#

radius-server template radius_shichuang

radius-server shared-key cipher %^%#;=LW0)Z24"[fM=*Kx.g!,X+[Lhs($5$QHV78jK%^%#

radius-server authentication 192.168.103.245 1812 weight 80

radius-server accounting 192.168.103.245 1813 weight 80

radius-server authorization 192.168.103.245 shared-key cipher %^%#ie7TOH!@X8F:jk2Zc|CY-DE-{#4h]>P1zOX2%^%#

#

acl number 3001

rule 5 deny ip source 192.168.103.0 0.0.0.255 destination 192.168.103.0 0.0.0.255

rule 10 deny ip source 192.168.103.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

rule 15 deny ip source 192.168.103.0 0.0.0.255 destination 192.168.210.0 0.0.0.255

rule 20 permit ip

#

traffic classifier c_200 operator and

if-match acl 3001

#

traffic behavior b_200

permit

#

traffic policy p_200

classifier c_200 behavior b_200

#

vlan 103

traffic-policy p_200 inbound

#

aaa

authentication-scheme radius

authentication-mode radius

authentication-scheme auth_shichuang

authentication-mode radius

accounting-scheme acco_shichuang

accounting-mode radius

accounting realtime 3

domain default

authentication-scheme auth_shichuang

accounting-scheme acco_shichuang

radius-server radius_shichuang

#

interface Vlanif103

ip address 192.168.103.254 255.255.255.0

#

interface XGigabitEthernet0/0/7

port link-type trunk

port trunk allow-pass vlan 2 to 4094

authentication-profile p1

#

mac-access-profile name mac

#

1.查看用户状态未认证成功：

<HUAWEI> display access-user mac-address 047d-XXXX-6b54

Basic:

User ID                         : 34

User name                       : 047dXXXX6b54

Domain-name                     : -

User MAC                        : 047d-XXXX-6b54

User IP address                 : 172.16.103.248

User vpn-instance               : -

User IPv6 address               : -

User access Interface           : XGigabitEthernet0/0/7

User vlan event                 : Pre-authen

QinQVlan/UserVlan               : 0/98

User vlan source                : user request

User access time                : 2019/01/18 13:59:05

Option82 information            : -

User access type                : None

Terminal Device Type            : Data Terminal

AAA:

User authentication type        : No authentication

Current authentication method   : None

Current authorization method    : Local

Current accounting method       : None

2.由于客户想限制用户认证成功后不能访问某些内网资源但允许访问外网，设备配置中配置了流策略，acl的最后一条规则配置为允许所有：

#

acl number 3001

rule 5 deny ip source 192.168.103.0 0.0.0.255 destination 192.168.103.0 0.0.0.255

rule 10 deny ip source 192.168.103.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

rule 15 deny ip source 192.168.103.0 0.0.0.255 destination 192.168.210.0 0.0.0.255

rule 20 permit ip

#

3.对于S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-C-LI、S5710-X-LI、S5700SI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI和S6720S-SI设备，交换机配置的基于ACL的简化流策略和基于MQC的流策略中的流分类规则优先级高于NAC中定义的规则。当基于ACL的简化流策略和基于MQC的流策略中的配置与NAC功能冲突时，交换机优先按照基于ACL的简化流策略配置和基于MQC的流策略中的流行为对报文进行处理。

因此用户即使认证失败，但仍可按照流策略中的acl规则访问外网。

4.需要限制用户认证成功后的访问规则，并且不允许用户认证失败可以上网，可以删除交换机流策略的配置，在Agile Controller-Campus上配置授权结果下发acl编号，交换机根据自身配置的对应编号的acl规则控制用户认证成功后的访问规则。

流策略中的配置与NAC功能冲突，交换机优先按照基于流策略中的流行为对报文进行处理。

删除交换机流策略的配置，在Agile Controller-Campus上配置授权结果下发acl编号，交换机根据自身配置的对应编号的acl规则控制用户认证成功后的访问规则。