如何取消AC 默认DNS劫持解析

背景描述

用户使用单一域名证书,此域名非直接用AC的域名,证书中有多个使用者可选名称域名,其一域名1用于AC,其他域名用于OA等公司业务系统。用户将证书导入AC,并设置DNS解析域名1为AC IP ;当用户连接无线后访问单一域名主体时,自动跳转到AC登陆页面。

原因

首先,不建议用户同一个证书用于不同业务系统。在Aruba AC会有默认的证书,域名是“securelogin.arubanetworks.com”,主要用途做WebUI管理、Captive Portal、以及EAP 终结。 做Portal认证,当无线用户访问域名的时候会解析为无线控制器的地址。目的为了便在多个控制器认证的情况,统一的域名解析可以在多个控制器下工作。

当AC导入单一域名证书时,无线流量访问此域名,控制器都会本地解析为控制器地址。

解决办法

可通过两个命令:

ip cp-redirect-address disable <<< 取消dns劫持
ip cp-redirect-address 1.2.3.4 <<< 劫持dns,将CN域名解析为1.2.3.4(缺省解析为controller-ip)

选择以上两种操作时,需注意: 如果有portal认证,login-page页面中的post address不能再post给CN,因为发不到controller上去。页面代码需要直接Post给controller的IP地址(或者用户DNS server解析AC域名 )。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注