执行命令display authentication mode确认NAC配置模式:
unified-mode:统一模式。
common-mode:传统模式。
统一模式
认证域之间存在优先级,终端在优先级高的认证域中进行认证:MAC OUI指定认证域 > 指定接入类型的强制域 > 非指定接入类型的强制域 > 用户名中携带的合法域 > 指定接入类型的默认域 > 非指定接入类型的默认域 > 全局默认域。
首先确认全局是否根据MAC OUI指定了认证域,然后再确认认证接口下绑定的认证模板是否通过access-domain指定了默认域或强制域,最后再确认全局默认域。请执行以下步骤进行检查。
1、执行命令display current-configuration | include mac-authen force mac-address检查是否根据MAC OUI指定了认证域。
●未配置时,请执行步骤2。
●已配置时,请确认该配置是否正确。如果不正确,请在系统视图下执行命令domain domain-name mac-authen force mac-address mac-address mask mask修改配置。
2、执行命令display authentication-profile configuration检查认证模板下认证域是否配置。
●未配置时,请确认是否需要配置。如果无需配置,请执行步骤2;如果需要配置,请在认证模板视图下执行命令access-domain domain-name mac-authen [ force ]。
●已配置时,请确认配置是否正确。如果不正确,请在认证模板视图下执行命令access-domain domain-name mac-authen [ force ]。
3、执行命令display aaa configuration确认全局默认域。
根据全局默认域,执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。
传统模式
认证域之间存在优先级,终端在优先级高的认证域中进行认证:MAC OUI指定认证域 > 接口下指定的MAC认证域 > 全局默认域。
首先确认全局是否根据MAC OUI指定了认证域,最后再确认全局默认域。请执行以下步骤进行检查。
1、执行命令display current-configuration | include mac-authen domain检查是否根据MAC OUI指定了认证域或接口下指定了认证域。
●未配置时,请执行步骤2。
●已配置时,请确认该配置是否正确。如果不正确,请在系统视图下执行命令mac-authen domain isp-name [ mac-address mac-address mask mask ]修改配置,或在接口视图下执行命令mac-authen domain isp-name修改配置。
2、执行命令display aaa configuration确认全局默认域。
根据全局默认域,执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。
然后执行命令display authentication-scheme、display accounting-scheme、display radius-server configuration template确认配置是否正确。如果不正确,请执行相应的命令修改。