可以完成下载认证客户端等操作.但限制也较大,实际使用中建议优先采用portal方式或下线+不安全提示阈值的方式来实现EAD。Р由于用户认证前属于guest-vlan,认证后需要切换到正常vlan,要求终端用户地址采用DHCP方式,不能采用静态IPР用户认证属要从guest-vlan切换到正常vlan,下线后又要从正常vlan切换到guest-vlan.整个过程涉及到两次IP地址的release及renew,比较复杂,容易出现地址获取不正确等不稳定问题。Рguest-vlan要求第三方厂家设备对guest-vlan有很好的支持,由于guest-vlan应用不多,各个厂家各个版本实现不一致,实施过程中出了问题很难得到有效技术支持。РPortal EAD典型组网РPortal本身就是一个天然的隔离区,即未通过认证的用户访问的网络资源是受限的,通过认证的用户可以正常的访问网络。同于portal的这种特性,实际使用中往往采用下线+不安全提示阈值的方案,对于安全检查不合格的用户通过下线将其放入“隔离区”。Р下面介绍一下portal EAD的常用组网。Р二层portal EADР如图所示,所谓二层portal即到portal设备的报文为带vlan-tag的二层报文。Р身份认证采用portal认证Р一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD РPortal设备的具体型号请参考EAD的版本说明书Р三层Portal EADР三层Portal即到Portal设备做认证的流量是IP报文,三层portal主要有如下两种组网:Р策略路由方式Р如下图所示,Portal设备侧挂在网关上,由网关将需要portal EAD认证的流量策略路由到Portal设备上做EAD认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到portal设备上,不需要认证的流量可以正常通过网关转发)
全文预览