更新时间:2022-01-06
『认证冲突』用于不允许多人同时登陆的账号,如果认证时发现该账号已登陆,则设备的处理方式有两种,分别为[强制注销以前的登录,在当前 IP 上认证通过] 、[提示账号在其他 IP 上登录,不注销以前的登录]。页面如下:
跨三层 IP/MAC 识别
内网用户采用绑定 MAC 或者是限定 MAC 的认证方式,并且内网是跨三层的环境下,需要启用『跨三层 MAC 识别』的功能,用于获取内网用户的 MAC 地址。使用此功能的前提是内网交换机支持 SNMP 功能。
原理:设备上的会定期发 snmp request 到三层交换机请求交换机的 MAC 表, 并保存在设备内存中。此时如果三层交换机其它网段的计算机经过设备上网时, 如一台 PC 192.168.1.2(和设备 lan 口不在同一网段)经过设备上网,该 PC 数据包经过设备时,设备校验此数据包的 MAC 是三层的 MAC,则对此 MAC 不做处理,而根据 192.168.1.2 这个 IP 去内存中查找其真实的 MAC 地址,实现对用户真正 MAC 的验证。
设置方法如下:
第一步:在三层交换机上开启 SNMP 功能。
第二步:点击进入『用户认证』→『认证选项』→『跨三层 MAC 识别』进行设置,在设备接口上勾选『启用 SNMP 设置』,启用 SNMP 功能。
第三步:设置[访问 SNMP 服务器超时时间设置]和[访问 SNMP 服务器时间间隔],一般保持默认设置。
第四步:在[SNMP 服务器列表]添加服务器,点击添加服务器,会弹出【添加 SNMP 服务器】的编辑窗口,输入 SNMP 的 IP 地址,再点击搜索服务器,勾选下面的搜索到的服务器,点击添加即可。如图:
第五步:设置认证策略,根据需要使用 MAC 验证的用户的 IP 或 MAC 设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置(参见章节 3.7.2.1.3)。
第六步:前面五步配置好后,三层交换机下的计算机就可以直接以认证新用户的方式通过设备认证上网了。
注意:填入服务器的 IP 搜索 SNMP 服务器时,要求服务器必须开启 SNMP 功能,且 COMMUNITY 设置为 public,否则将搜索服务器失败,需要手动设置 SNMP 服务器信息。