配置EAD快速部署后,如果端口收到未知源mac的报文,那么会在该端口下发6类ACL,占用6个或7个ACL rules,占用4个或5个masks,数量的差异与配置的free ip数量和掩码相关。
认证通过后,这些ACL都会被删除,否则,这些ACL需要在一段时间后才老化,这个时间由 dot1x timer acl-timeout 命令控制,默认30分钟。
具体下发的ACL如下:
1、deny 特定源mac的所有报文
2、permit 特定源mac的arp报文
3、permit 特定源mac的802.1x报文 (与第2条共用mask)
4、permit 特定源mac的dhcp报文
5、redirect 特定源mac的http报文到cpu (与第4条共用mask)
6、permit 特定源mac去往free ip网段的IP报文(支持最多2个free ip,如果配置了2个free ip,则这里会占有2条rule,如果这2个free ip的掩码不同则占用2个mask,否则只占用1个mask)。