XiaoLun.Com | EaKers°

目的：为了实现不认证也可以访问特定的网页或FTP下载客户端用于认证。
环境：S3760做楼宇汇聚且做网关；S2126G做dot1x认证；计算机认证前后均为静态IP且不变。
测试一：直接使用安全通道，命令如下

基本ACL配置
Switch#conf
Switch(config)#ip access-list extended saftunnel —-创建扩展ACL
Switch(config-ext-nacl)#permit icmp 10.100.126.0 0.0.0.255 host 10.100.126.1 —-允许ping 10.100.126.1
Switch(config-ext-nacl)#exit —-退出ACL配置模式
配置安全通道
Switch(config-if)#security global access-group saftunnel —启用安全通道

不通，找锐捷工程师得到答复，可以试试专家级acl。

测试二：使用专家级acl，命令如下

基本ACL配置
Switch#conf
Switch(config)#expert access-list extended saftunnel —-创建扩展ACL
Switch(config-exp-nacl)#permit icmp 10.100.126.0 0.0.0.255 host 10.100.126.1 —-允许ping 10.100.126.1
Switch(config-exp-nacl)#exit —-退出ACL配置模
配置安全通道
Switch(config-if)#security global access-group saftunnel —启用安全通道

通（假象），于是在50多台交换机上统统部署了。之后2天后到楼里配置密码错误的交换机顺便测试发现竟然不通。

测试三：使用修正后专家级acl，命令如下

基本ACL配置
Switch#conf
Switch(config)#expert access-list extended saftunnel —-创建扩展ACL
Switch(config)#permit arp any any any any —-创建关于arp表信息的扩展ACL
Switch(config-exp-nacl)#permit icmp 10.100.126.0 0.0.0.255 host 10.100.126.1 —-允许ping 10.100.126.1
Switch(config-exp-nacl)#exit —-退出ACL配置模
配置安全通道
Switch(config-if)#security global access-group saftunnel —启用安全通道

通。回忆配置二的测试发现中间认证过一次，之后又推出认证。发现原来是S3760中的arp表作怪。如果至始至终都不认证arp表中不现实该测试电脑的mac地址。如果认证之后再退出，该测试电脑的mac信息一直存在。
分析可能为arp表问题，于是请教锐捷工程师，给出关于arp命令，配置后测试成功！

至此，安全通道配置结束。
稍微改动命令即可实现不认证也可以访问特定的网页或FTP下载客户端用于认证