背景描述

用户使用单一域名证书，此域名非直接用AC的域名，证书中有多个使用者可选名称域名，其一域名1用于AC，其他域名用于OA等公司业务系统。用户将证书导入AC，并设置DNS解析域名1为AC IP ；当用户连接无线后访问单一域名主体时，自动跳转到AC登陆页面。

原因

首先，不建议用户同一个证书用于不同业务系统。在Aruba AC会有默认的证书，域名是“securelogin.arubanetworks.com”，主要用途做WebUI管理、Captive Portal、以及EAP 终结。 做Portal认证，当无线用户访问域名的时候会解析为无线控制器的地址。目的为了便在多个控制器认证的情况，统一的域名解析可以在多个控制器下工作。

当AC导入单一域名证书时，无线流量访问此域名，控制器都会本地解析为控制器地址。

解决办法

可通过两个命令:

ip cp-redirect-address disable <<< 取消dns劫持
ip cp-redirect-address 1.2.3.4 <<< 劫持dns，将CN域名解析为1.2.3.4(缺省解析为controller-ip)

选择以上两种操作时，需注意: 如果有portal认证，login-page页面中的post address不能再post给CN,因为发不到controller上去。页面代码需要直接Post给controller的IP地址(或者用户DNS server解析AC域名 )。