FAQ-MA5200 域中ucl-group和intergroup的区别及使用方法

发布时间:  2012-07-26 浏览次数:  112 下载次数:  0
问题描述
Q:MA5200域中ucl-group和intergroup的区别及使用方法







告警信息








处理过程

A:
以下案例描述中的用户是指:在MA5200上有表项可管理的接入客户端,即display access-user可以查看到的;网络侧指:非用户接入方式,指通过直接在MA5200G某个接口配置IP地址,通过路由方式接入MA5200的网络。


MA5200系列设备均有ucl-group和intergroup两个用户组号,他们的区别与使用方法如下
1、对于R002、R006(包括MA2.10-62xx)、R009(包括MA2.10-9xxx)、R007(MA2.10-71xx)版本
ucl-group是用户控制用户到网络侧访问的时候使用的,而intergroup是控制用户到用户的访问时候使用的。在MA5200控制用户和网络侧访问关系,所配置的rule里用户使用的参数就是用户的ucl-group,简单的描述就是:控制属于某个ucl-group的用户和网络侧之间的访问关系;在MA5200控制用户和用户之间访问关系时,所配置的rule里所使用的参数就是用户的intergroup,简单描述就是:控制两个intergroup的用户之间的访问关系。
在默认情况下,这些版本里的用户在认证通过后,ucl-group和intergroup均为0。
对R002/R009版本,ucl-group称为acl-group,其含义和ucl-group完全相同
对于这些版本,两个组号都必须为数字,范围为0-255,这个属性可以在本地域下或是本地帐号里配置(两个都配置时,帐号时优先),也可以通过radius的11号filter-id下发,下发格式为ucl-group@acl-group,比如1@2,也可以只下发一个属性如@2,1等。
2、对于VRP3.30-21xx版本
ucl-group和intergroup的含义及使用同上面描述的完全相同。
同第1点所不同的是,这两个参数是在rule-map里被引用的。
在默认情况下,这个版本里用户在认证通过后,不属于任何组,所以在默认情况下所有ACL配置对用户均不起作用。
在这个版本里,此属性只能在域下配置,也可以通过RADIUS下发此属性,RADIUS下发要求同第1点描述。
3、对于VRP3.30-22xx版本
ucl-group和intergroup的含义及使用同上面描述的完全相同。
同第1点所不同的是,这两个参数是在rule-map里被引用的。
在默认情况下,这个版本里用户在认证通过后,不属于任何组,所以在默认情况下所有ACL配置对用户均不起作用。
在这个版本里,这两个组号都必须为字符串,需要先在系统视图下定义(命令为[MA5200G]user-group xxx) 后再在域下引用(数字也视为字符串处理)。也可以通过RADIUS下发此属性,要求下发为字符串格式,如groupA@groupB,如果下发为数字类型,必须先在系统视图下定义。
4、对于VRP3.30-23xx版本
用户只有一个user-group,根据这个参数在不同的rule里代表的意思也不同。注意:从这个版本开始,配置用户访问规则使用ACL而不是VRP3.30-21xx、22xx的使用EACL,ACL编号从10000开始。
如果这条rule里配置的源和目的参数如果有一个为网络侧,则user-group代表的是原来ucl-group的含义;如果rule里配置的源和目的参数都为用户侧(user-group),则user-group代表原来intergroup的含义。
在默认情况下,这个版本里用户在认证通过后,不属于任何组。
在这个版本里,这两组号都必须为字符串,需要先在系统视图下定义(命令为[MA5200G]user-group xxx)后再在域下引用(数字也视为字符串处理)。也可以通过RADIUS下发此属性,要求下发为字符串格式,如groupA ,如果下发为groupA@groupB类似,则只取@前生效,如果下发为数字类似,必须先在系统视图下定义。







根因








END