贾海韵,iMC EAD安全检查通过后终端无法拿到安全VLAN的IP地址
1676538467,
组网及说明
无
问题描述
客户配置了这样的EAD安全策略: 终端未通过安全检查时,下发vlan 35;通过安全检查后,下发安全vlan24。客户测试时发现,即使客户端通过安全检查后仍然会获得vlan35。
过程分析
收集iMC侧抓包和uam DEBUG级别日志,分析如下。1. 从uam日志和抓包中看到,安全检查通过后,iMC服务器有发送session control报文给设备,下发vlan24:
%% 2022-07-25 12:44:40.280 ; [LDBG] ; [262464] ; sendVlantoNas ; Try to send VLAN: 24 for [imcuser03,F8:75:A4:A9:33:86,00000004202207250444140000002732100245,0] to 10.15.10.12(25506).
综上,inode认证时,安全检查通过后,iMC服务器正常下发安全vlan24给设备。
2. 检查设备配置,发现设备上未开启session-control功能,导致收到报文后未响应。
解决方法
设备上开启session-control功能。