一、原理场景介绍:

对于客户网络中,若存在N18k下联端口需要开启认证但该端口又有哑终端等非认证终端接入的场景下,一般情况下若非认证哑终端与认证终端属于不同业务子网(即不同网段),则可以针对哑终端作准入管控并配置其为免认证子网,从而实现非认证哑终端的准入。

 

但若非认证哑终端与认证终端属于同一个子网,又不能对该子网设置为免认证子网的情况下,就需要哑终端识别功能,实现基于WSDMDNS(打印机、摄像头所使用的协议)的报文接收解析,识别到终端类型,还得到IPMAC、端口、VLAN等信息,在ONC端对该哑终端作审批后,ONC会下发白名单到1x认证表象中。

 

 

二、控制器及设备配置:

【设备配置】

 

【控制器配置】

 

 

1、控制器上打开哑终端识别开关(哑终端识别可以选择基于wsd识别、mdns识别,还是两种报文都识别)      (注意,此操作下发的内容为全局安全通道,需要注意若原18k已经有全局安全通道应用,则需要进行安全通道整合!不可直接下发,会导致原有的安全通道应用被取代!)

image.png

下发到18k内容:

expert access-list extended RG-ONC-FREE       (注意,此操作下发的内容为全局安全通道,需要注意若原18k已经有全局安全通道应用,则需要进行安全通道整合!不可直接下发,会导致原有的安全通道应用被取代!)

10 permit udp any any any any eq 3702   //勾选不同,下发的也不同

 11 permit udp any any any any eq 5353

 

tpd state 3    //勾选wsdmdns,用数字1-3分别代替,18k通过标示来识别协议,识别解析出的协议终端可以通过sho tpd info-terminal来查看

 

2、业务子网开启哑终端识别管控,注意,若是之前已经开启过准入管控功能,并且已经准入管控审批成功的用户,那么会被删除,需要重新审批

image.png

image.png


3、哑终端上线后,onc收到协议报文,可以在待审批列表看到哑终端(跟准入管控终端一样)。

image.png

 

4、审核之后终端进去已审批列表(未分组或者已分组里面),同时给设备下发白名单(不再下发静态arp绑定条目,而是白名单,可通过show dot1x mac-static-user all 或 show dot1x mac-static-user mac H.H.H.H查看)

image.pngimage.png

 

5、如果终端在开启哑终端识别开关之前就已经上线,那么再开启哑终端识别开关之后,选择业务网点击哑终端扫描就能识别识别到哑终端(只开哑终端审核的在待审批列表查看,开了免管控的在已审批里面查看扫描识别到的终端)

image.png

 

三、注意事项:

 

1、该功能当前仅支持识别打印机、摄像头;

2、哑终端自动识别,一般用于  N18K同一端口下非认证哑终端与认证终端属于同一个子网 的场景。该功能仅在如下两种情况中可使用:

   情况一:认证终端和哑终端所在网段 静态IP地址的方式,可正常实现该功能;

   情况二:认证终端和哑终端所在网段 动态获取地址,只有使用区域地址池才能实现该功能;

           注意:如果使用默认地址池或临时地址池,则无法实现该功能。

3、若要使用哑终端识别功能,哑终端接入N18k的接口,必须开启1x认证;

4、该功能支持的哑终端数量为2k;

5、如果在“子网管理”下开启了“哑终端识别管控”功能,那么准入管控的功能将会被替代,审批过后,ONC不再下发ARP条目给N18K,而是下发白名单(1x认证表项)给N18K,N18K认为终端认证通过了从而自动生成静态ARP表项