配置NAC基本功能
使能NAC认证
背景信息
如果需要使用NAC功能对用户的网络访问权限进行控制,则必须首先在接口下使能NAC三种认证方式中的一种或多种。若配置多种认证方式,按照配置的顺序认证方式依次生效,并且设备默认允许用户能够先后通过不同方式的接入认证。
在使能802.1x认证或MAC认证之后,即可对用户进行接入控制;在使能Portal认证之后,由于设备需要和Portal服务器进行通信,因此仍需配置Portal服务器相关参数,之后设备才能使用Portal认证对用户进行接入控制。
操作步骤
- 执行命令system-view,进入系统视图。
- 使能NAC认证功能。根据接口类型不同,能够配置的认证类型不同。
视图
操作步骤
二层接口视图 - 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令authentication { { dot1x | mac-authen } * [ portal ] | portal },使能NAC认证功能。
VLANIF接口视图 - 执行命令interface interface-type interface-number,进入VLANIF接口视图。
- 执行命令authentication { mac-authen [ portal ] | portal },使能NAC认证功能。
三层接口视图 - 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令undo portswitch,配置接口切换到三层模式。
- 执行命令authentication portal,使能NAC认证功能。
缺省情况下,未使能NAC认证功能。
若配置多种认证方式,按照配置的顺序,认证方式依次生效。
对于MAC和Portal混合认证,终端在接入时一定是先进行MAC认证,认证失败后再进行Portal认证,即MAC优先的Portal认证。MAC优先的Portal认证主要用于无线用户接入场景,保证终端进出无线信号覆盖区导致Portal在线用户掉线后能够自动上线,避免用户频繁输入帐号密码,提升接入体验。
如果有用户在线,不能直接修改接口的认证方式。可以通过以下方法修改:在AAA域视图下,执行命令state block,配置域为阻塞态,禁止新用户接入。
AAA视图下,执行命令cut access-user,强制在线用户下线。
接口视图下,执行命令authentication,修改接口的认证方式。
在AAA域视图下,执行命令undo state,配置域为激活态,重新允许新用户接入。
- 执行命令quit,返回到系统视图。
- (可选)使能设备仅允许用户通过一种方式的接入认证。
可在系统视图或接口视图下进行配置。在系统视图下配置对设备的所有接口生效,在接口视图下配置仅适用于特定接口,若同时在系统视图和接口视图下配置,则接口视图下的配置生效。
视图
操作步骤
系统视图 执行命令authentication single-access,使能设备仅允许用户通过一种方式的接入认证。
接口视图 - 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令authentication single-access,使能设备仅允许用户通过一种方式的接入认证。
- 执行命令quit,返回到系统视图。
缺省情况下,设备允许用户先后通过不同方式的接入认证。
后续任务
在接口下使能NAC认证方式为Portal认证后,针对外置Portal认证和内置Portal认证,还需要分别配置以下步骤才能使Portal认证生效。
- 对于外置Portal认证
- 执行命令web-auth-server server-name,创建Portal服务器模板,并进入Portal服务器模板视图。
缺省情况下,未创建Portal服务器模板。
- 执行命令server-ip server-ip-address &<1-10>,配置指向Portal服务器的IP地址。缺省情况下,未配置指向Portal服务器的IP地址。
指向Portal服务器的IP地址需为外部独立Portal服务器的IP地址。
- 配置指向Portal服务器的URL,可分绑定URL方式和绑定URL模板方式。
相对于绑定URL方式,通过绑定URL模板方式不仅能够配置指向Portal服务器的重定向URL,还能够在URL中携带用户或接入设备的相关参数。这样Portal服务器即能够根据URL中的参数获取到用户终端的信息,以满足为不同用户提供不同的WEB认证界面。管理员可根据实际需求选择绑定URL方式或绑定URL模板方式。
方式 操作步骤 绑定URL方式 执行命令url url-string,配置指向Portal服务器的URL。 缺省情况下,未配置指向Portal服务器的URL。
绑定URL模板方式 - 执行命令quit,返回到系统视图。
- 执行命令url-template
name template-name,创建URL模板并进入URL模板视图。
缺省情况下,设备上未创建URL模板。
- 执行命令url url-string,配置指向Portal服务器的重定向URL。
缺省情况下,未配置指向Portal服务器的重定向URL。
- 执行命令url-parameter { redirect-url redirect-url-value | sysname sysname-value | user-ipaddress user-ipaddress-value | user-mac user-mac-value } *,配置URL中携带的参数。
缺省情况下,URL中未携带参数。
- 执行命令url-parameter mac-address format delimiter delimiter { normal | compact },配置URL参数中MAC地址的格式。
缺省情况下,URL参数中MAC地址的格式为XXXXXXXXXXXX。
- 执行命令parameter { start-mark parameter-value | assignment-mark parameter-value | isolate-mark parameter-value } *,配置URL中的符号。
缺省情况下,URL中指定URL参数开始的符号为“?”,赋值符号为“=”,不同参数之间的分隔符为“&”。
- 执行命令quit,返回到系统视图。
- 执行命令web-auth-server server-name,进入Portal服务器模板视图。
- 执行命令url-template url-template,配置在Portal服务器模板下绑定URL模板。
缺省情况下,Portal服务器模板下未绑定URL模板。
- 执行命令shared-key cipher key-string,配置设备与Portal服务器信息交互的共享密钥。
缺省情况下,未配置设备与Portal服务器信息交互的共享密钥。
- 执行命令quit,返回到系统视图。
- 在接口下绑定Portal服务器模板。
为使Portal认证功能生效,绑定Portal服务器模板的接口上必须已使用命令authentication使能了NAC认证方式为Portal认证。
缺省情况下,接口下未绑定Portal服务器模板。
视图 操作步骤 二层接口视图、WLAN-ESS接口视图 - 执行命令interface interface-type interface-number,进入以太网接口视图。
- 执行命令web-auth-server server-name direct,在接口下绑定Portal服务器模板。
VLANIF接口视图 - 执行命令interface interface-type interface-number,进入VLANIF接口视图。
- 执行命令web-auth-server server-name { direct | layer3 },在接口下绑定Portal服务器模板。
三层接口视图 - 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令undo portswitch,配置接口切换到三层模式。
- 执行命令web-auth-server server-name layer3,在接口下绑定Portal服务器模板。
- 执行命令web-auth-server server-name,创建Portal服务器模板,并进入Portal服务器模板视图。
- 对于内置Portal认证
- 执行命令portal local-server
ip ip-address,配置内置Portal服务器的IP地址。
缺省情况下,未配置内置Portal服务器的IP地址。
内置Portal服务器的IP地址需要是设备自身的某一IP地址。
- 执行命令web-auth-server server-name,创建Portal服务器模板,并进入Portal服务器模板视图。
缺省情况下,未创建Portal服务器模板。
- 执行命令server-ip server-ip-address &<1-10>,配置指向Portal服务器的IP地址。缺省情况下,未配置指向Portal服务器的IP地址。
指向Portal服务器的IP地址即为使用命令portal local-server ip配置的内置Portal服务器的IP地址。
- 执行命令url url-string,配置指向Portal服务器的URL。
缺省情况下,未配置指向Portal服务器的URL。
- 执行命令quit,返回到系统视图。
- 执行命令portal local-server
https ssl-policy policy-name [ port port-num ],使能内置Portal服务器以HTTPS协议与用户交互认证信息。
缺省情况下,未使能内置Portal服务器以HTTPS协议与用户交互认证信息。
- 在接口下绑定Portal服务器模板。
为使Portal认证功能生效,绑定Portal服务器模板的接口上必须已使用命令authentication使能了NAC认证方式为Portal认证。
缺省情况下,接口下未绑定Portal服务器模板。
视图 操作步骤 二层接口视图、WLAN-ESS接口视图 - 执行命令interface interface-type interface-number,进入以太网接口视图。
- 执行命令web-auth-server server-name direct,在接口下绑定Portal服务器模板。
VLANIF接口视图 - 执行命令interface interface-type interface-number,进入VLANIF接口视图。
- 执行命令web-auth-server server-name { direct | layer3 },在接口下绑定Portal服务器模板。
三层接口视图 - 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令undo portswitch,配置接口切换到三层模式。
- 执行命令web-auth-server server-name layer3,在接口下绑定Portal服务器模板。
- 执行命令portal local-server
ip ip-address,配置内置Portal服务器的IP地址。
配置用户接入模式
背景信息
- single-terminal:常用于设备接口下仅有一个数据终端接入网络的场景。
- single-voice-with-data:常用于设备接口下仅有一个数据终端通过一个语音终端接入网络的场景。
- multi-share:常用于设备接口下存在多个数据终端接入网络且安全性要求不高的场景。
- multi-authen:常用于设备接口下存在多个数据终端接入网络且安全性要求较高的场景。在该接入模式下,管理员可根据接口下实际的用户数目部署最大接入用户数,这样能够防止该接口下恶意用户占用大量设备资源,导致设备其他接口下用户不能上线的问题。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令authentication
mode { single-terminal | single-voice-with-data | multi-share | multi-authen [ max-user max-user-number ] },配置接口的用户接入模式或接口的接入认证模式为multi-authen时允许接入的最大用户数。
缺省情况下,接口的接入认证模式为multi-authen。
命令authentication mode multi-authen max-user max-user-number,仅表示multi-authen模式时接口允许接入的最大用户数,不表示指定接口的接入模式。接口的接入模式需要修改为multi-authen时,必须配置命令authentication mode multi-authen。
L2 BNG场景下,不支持multi-share模式。
(可选)配置静态用户
背景信息
在网络部署中,对于打印机和服务器等哑终端,管理员一般都是为其分配静态IP地址。对于这类用户,为了更加灵活的对其进行认证,可将其配置为静态用户。
在配置完成静态用户后,只要在静态用户所连接的接口上使能了802.1x认证、MAC认证以及Portal认证中的任意一种,设备就能够使用静态用户的IP地址等信息作为用户名进行认证。
配置静态用户后,设备会优先使用静态用户的用户名和密码对其进行认证,如果认证不成功,则用户可以进行802.1x、MAC或Portal认证。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令static-user start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ domain-name domain-name | interface interface-type interface-number [ detect ] | mac-address mac-address | vlan vlan-id ] *,配置静态用户。
缺省情况下,未配置静态用户。
配置静态用户所属的接口时(即参数interface interface-type interface-number),必须同时配置该接口所属的VLAN(即参数vlan vlan-id)。
- 执行命令static-user
username format-include { ip-address | mac-address | system-name },配置静态用户进行认证时使用的用户名。
缺省情况下,静态用户的用户名为system-name和ip-address。
- 执行命令static-user password cipher password,配置静态用户进行认证时使用的密码。
您可以在《S系列交换机缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
(可选)配置用户默认域和强制域
背景信息
设备对用户的管理通过域来实现。用户在认证过程中,设备根据用户名中携带的域名将用户分配到指定的域中进行认证。但在实际网络环境中,很多用户输入的用户名是不带域名的,针对这种情况,管理员可在设备上配置默认域,这样当不带域名的用户进行认证时,设备即将该用户在默认域中进行认证。
如果存在大量用户输入的用户名不带域名,将会导致过多的用户在默认域下进行认证,认证方案不灵活;另一方面如果同一接口下的所有用户需要使用相同的认证授权计费方式,而部分用户输入带域名的用户名,部分用户输入不带域名的用户名,这样设备也很难满足该需求。针对这种情况,可配置用户强制域,这样接口下的所有用户不管输入的用户名是否带有域名,都将在强制域中进行认证。
同时配置用户默认域和强制域时,用户在强制域中进行认证。
操作步骤
- 配置用户默认域。根据接口类型不同,能够配置的认证类型不同。
缺省情况下,未配置用户的默认域。
视图
操作步骤
二层物理接口视图 - 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令domain name domain-name [ dot1x | mac-authen | portal ],配置用户默认域。
VLANIF接口视图 - 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入VLANIF接口视图。
- 执行命令domain name domain-name [ mac-authen | portal ],配置用户默认域。
三层物理接口视图 - 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令undo portswitch,配置接口切换到三层模式。
- 执行命令domain name domain-name [ portal ],配置用户默认域。
- 配置用户强制域。
强制域可在系统视图或接口视图下配置,系统视图下的配置对设备的所有接口生效,接口视图下的配置仅对指定接口生效。并且,接口视图下配置的强制域优先级高于系统视图下配置的强制域优先级。
缺省情况下,未配置用户的强制域。
(可选)配置标记用户类别的UCL组
背景信息
NAC网络部署中,用户数量众多而且有可能需要为每个用户配置大量ACL规则。由于设备上的ACL资源是有限的,所以无法满足为每个用户配置ACL的需求。另一方面,如果为每个用户都单独部署ACL规则,工作量巨大。
在NAC实际应用场景中,接入用户数量虽大,但用户类别(具有相同网络访问权限的一类用户)是有限的。基于这种特点,可通过UCL组(一种用户类别标记)对用户进行分类,并对一类用户部署一组ACL规则即可解决上述问题。
在设备上创建UCL组并在认证服务器上配置用户对应的UCL组后,用户认证时认证服务器会将该用户对应的UCL组下发到设备上,设备即能够感知到用户与UCL组的对应关系,从而可以将大量的用户划分到不同的UCL组中,使每组中的用户能够复用一组ACL规则。
UCL组仅是对用户类别的一种标记,并没有任何对用户网络访问权限的控制。为实现对用户网络访问权限的控制还需要首先配置编号为6000~6999的ACL规则,之后配置基于ACL对报文进行过滤。
仅S5700HI、S5710HI、S5710EI和S6700支持UCL组功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令ucl-group name group-name,创建UCL组。
缺省情况下,未创建UCL组。
- 执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号创建一个数字型的用户ACL,并进入用户ACL视图;或者执行命令acl name acl-name { ucl | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的用户ACL,并进入用户ACL视图。
用户ACL编号acl-number的范围是6000~6999。
缺省情况下,未创建ACL。
- 请根据不同情况配置ACL规则。
根据IP承载的协议类型不同,在设备上配置不同的用户ACL。对于不同的协议类型,有不同的参数组合。
当参数protocol为ICMP时,用户访问控制列表的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ source { source-address source-wildcard | any | ucl-group name source-ucl-group-name } | destination { destination-address destination-wildcard | any } | icmp-type { icmp-name | icmp-type icmp-code } | time-range time-name ] *
当参数protocol为TCP时,用户访问控制列表的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ source { source-address source-wildcard | any | ucl-group name source-ucl-group-name } | destination { destination-address destination-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name ] *
当参数protocol为UDP时,用户访问控制列表的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | udp } [ source { source-address source-wildcard | any | ucl-group name source-ucl-group-name } | destination { destination-address destination-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name ] *
当参数protocol为GRE、IGMP、IP、IPINIP、OSPF时,用户访问控制列表的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ source { source-address source-wildcard | any | ucl-group name source-ucl-group-name } | destination { destination-address destination-wildcard | any } | time-range time-name ] *
如果用户ACL需要配置多个规则,可以反复执行本步骤。
在ACL中配置首条规则时,如果未指定参数rule-id,设备使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id,设备则使用最后一个规则的rule-id的下一个步长的整数倍数值作为规则编号。例如ACL中包含规则rule 5和rule 7,ACL的步长为5,则系统分配给新配置的未指定rule-id的规则的编号为10。
当用户指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段。
- 执行命令traffic-filter inbound acl acl-number,配置基于ACL对报文进行过滤。
缺省情况下,未配置基于ACL对报文进行过滤。
(可选)配置通过握手功能及时清除用户表项功能
背景信息
用户在预连接阶段、认证失败并被授予了网络访问策略阶段以及认证成功后,设备上均会建立起该用户的表项。如果存在用户由于异常原因(譬如网络断开)下线,导致设备上的用户表项不能够及时删除,那么当这类无效用户表项过多时,可能会导致其他用户无法接入网络。
为防止上述情况,可配置通过握手功能及时清除用户表项功能。之后,在握手周期内如果用户不响应设备的握手请求,则该用户表项将会被删除。
802.1x认证和MAC认证用户在预连接阶段、认证失败阶段以及认证成功阶段都支持该功能;Portal认证用户仅在预连接阶段支持该功能。
握手功能可以通过ARP报文或ND报文进行。
- 根据用户数量,适当放大握手周期。建议当用户数小于8K时,握手周期采用缺省值;当用户数大于8K时,配置握手周期不小于600秒。
- 在接入设备上部署端口防攻击功能,对上送CPU的报文进行限速处理。
(可选)配置用户下线探测报文源地址
背景信息
为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。
- 修改用户下线探测报文的默认源IP地址;
- 直接指定某个IP地址作为用户下线探测报文的源IP地址。
该功能对三层Portal认证用户不生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户下线探测报文的源地址。
执行命令access-user arp-detect default ip-address ip-address,配置用户下线探测报文的默认源IP地址。
缺省情况下,用户下线探测报文的默认源IP地址是255.255.255.255。
仅V200R005C00SPC500版本支持该步骤。
执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
缺省情况下,未配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
(可选)配置MAC迁移功能
背景信息
企业用户终端的接入位置经常变化,比如使用笔记本的用户移动到其他办公室办公或进行演示交流。但是,缺省情况下,用户从新接口接入后,无法立即发起认证也无法上线;必须等到设备上用户下线探测周期结束或手动将认证接口UP/DOWN清除用户在线表项后,用户才能在后接入的接口上发起认证。为提升用户体验,使用户在切换接入接口后能够立即认证上线,可以使能MAC迁移功能。
MAC迁移功能是指,允许在线的NAC认证用户移动到设备的其他接入接口后,可以立即认证上线。如果用户在后接入的接口上认证成功,原接口上的用户在线表项会立即被清除,保证该用户仅在一个接口上记录在线表项信息。
仅V200R005C03版本支持MAC迁移功能。
如图2-10所示,典型的MAC迁移场景有两种。第一种:认证点部署在接入交换机,用户终端从同一台交换机的一个认证控制点迁移到另一个认证控制点;第二种:认证点部署在汇聚交换机,用户终端的认证控制点不变,其接入接口从汇聚交换机下挂的同一台接入交换机的不同接口之间迁移或者从汇聚交换机下挂的不同接入交换机的接口之间迁移。
通常情况下,不建议开启MAC迁移功能,只有在用户有漫游迁移需求时才建议开启。这是为防止非法用户仿冒已在线用户的MAC地址,在其他认证控制接口上发送ARP、802.1x或DHCP报文触发MAC迁移功能,导致合法用户下线。
- 不支持用户通过中间设备级联迁移,因为级联的时候用户迁移后不会发ARP、DHCP等报文。
- 不支持三层Portal认证用户和PPPoE认证用户的MAC迁移功能。
- 用户从配置了NAC认证的接口迁移到未配置NAC认证的接口时,由于未配置NAC认证的接口不能发送认证报文触发MAC迁移,用户必须等到原在线表项老化后,才能够接入网络。
- 如果authentication mac-move enable vlan命令中的VLAN使用的是授权VLAN,建议配置MAC迁移前探测功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } &<1–10> },使能MAC迁移功能。
缺省情况下,未使能MAC迁移功能。
MAC迁移功能需要指定允许用户移动的VLAN。该VLAN可以是用户移动前所属的VLAN,也可以是用户移动后所属的VLAN。用户移动前后所属的VLAN可以相同也可以不同。
- (可选)配置MAC迁移静默功能。
用户频繁切换接入接口(特别是环路等原因造成的频繁切换),会导致设备处理大量认证报文和认证表项,出现CPU占用率高的问题。为解决该问题,可以配置MAC迁移静默功能。配置MAC迁移静默功能后,若某一用户在60秒内迁移的次数超过设置的值,设备会将该用户静默一段时间。在静默时间内,设备不再处理该用户的认证请求并回应用户认证失败,从而避免频繁切换对设备CPU的冲击。
另外,为提高MAC迁移静默功能的可维护性,设备支持记录MAC迁移的相关日志和告警。
执行命令authentication mac-move { quiet-times times | quiet-period quiet-value } *,配置MAC迁移用户被静默前60秒内允许迁移的次数和静默时间间隔。
缺省情况下,MAC迁移用户被静默前60秒内允许迁移的次数为3次、静默的时间间隔为60秒。
执行命令authentication mac-move quiet-log enable,使能设备记录MAC迁移静默相关日志的功能。
缺省情况下,已使能设备记录MAC迁移静默相关日志的功能。
使能该功能后,设备在添加或删除MAC迁移静默表项时记录日志。
执行命令authentication mac-move quiet-user-alarm percentage lower-threshold upper-threshold,配置MAC迁移静默用户数的告警上下限阈值。
缺省情况下,MAC迁移静默用户数的告警下限阈值是50、上限阈值是100。
执行命令authentication mac-move quiet-user-alarm enable,使能设备发送MAC迁移静默相关告警的功能。
缺省情况下,未使能设备发送MAC迁移静默相关告警的功能。
使能该功能后,当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。
(可选)配置通过免认证规则授权用户网络访问权限
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令authentication
free-rule rule-id { destination { any | ip { ip-address mask { mask-length | ip-mask } [ tcp destination-port port | udp destination-port port ] | any } } | source { any | { interface interface-type interface-number | ip { ip-address mask { mask-length | ip-mask } | any } | vlan vlan-id } * } } *,配置NAC认证用户的免认证规则。
参数tcp destination-port port和udp destination-port port仅V200R005C02和V200R005C03版本支持。
缺省情况下,未配置NAC认证用户的免认证规则。
配置免认证规则时,需要注意:
- 多条免认证规则同时配置时,可累计生效,逐条匹配。
- 如果免认证规则中同时配置了VLAN和Interface项,则要求Interface属于该VLAN,否则规则无效。
- 如果免认证规则中配置了目的端口号,则分片报文不能匹配规则,流量无法通过。
- 不能动态修改免认证规则,只能添加或者删除。若需修改特定rule-id规则,必须先执行命令undo authentication free-rule删除当前的规则然后重新进行配置。
(可选)配置用户在认证成功前的网络访问策略
背景信息
用户在认证成功之前,可能需要一些基本的网络访问权限,以完成下载客户端、更新病毒库等需求。为了满足用户的这种需求,可以配置用户在认证成功之前的预连接以及认证失败阶段的用户网络访问策略。
若认证服务器向设备授权多个属性,并且所授权的属性存在包含关系,则授权属性按照最小原则生效。譬如,认证服务器向设备授权了VLAN以及业务方案,并且设备上业务方案中配置了VLAN参数,则认证服务器授权VLAN功能生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 执行命令service-scheme service-scheme-name,创建一个业务方案,并进入业务方案视图。
缺省情况下,设备上没有创建业务方案。
- 配置业务方案中控制用户网络访问策略的各种参数。管理员可根据实际网络情况选取需要配置的参数。
- 执行命令ucl-group name group-name,在业务方案下绑定UCL组。
缺省情况下,业务方案下未绑定UCL组。
执行该命令之前,需确保已创建并配置了标记用户类别的UCL组,请参见配置标记用户类别的UCL组。
仅S5700HI、S5710HI、S5710EI与S6700支持该命令。
- 执行命令acl-id acl-number,在业务方案下绑定ACL。
缺省情况下,业务方案下未绑定ACL。
S5700HI、S5710HI、S5710EI和S6700不支持本命令,其他产品形态均支持。
- 执行命令user-vlan vlan-id,在业务方案中配置用户VLAN。
缺省情况下,在业务方案中未配置用户VLAN。
执行该命令之前,需确保已使用命令vlan创建了VLAN。
- 执行命令voice-vlan vlan-id在业务方案中配置Voice
VLAN。
缺省情况下,在业务方案中未配置Voice VLAN。
执行该命令之前,需确保已使用命令vlan创建了VLAN。
- 执行命令qos-profile profile-name,在业务方案中绑定QOS模板。
缺省情况下,在业务方案中未绑定QOS模板。
仅S5710HI,S5700HI和S5710EI支持在业务方案中绑定QOS模板。
执行该命令之前,需确保已配置了QOS模板。配置QOS模板操作步骤如下。- 在系统视图下执行命令qos-profile name profile-name,创建QoS模板并进入QOS模板视图。
- 在QOS模板视图下配置流量监管与报文处理优先级。
- 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound },在QoS模板中配置流量监管。
缺省情况下,QoS模板中没有配置流量监管。
- 执行命令remark dscp dscp-value,在QoS模板中配置重标记IP报文的DSCP优先级。
缺省情况下,QoS模板中没有配置重标记IP报文的DSCP优先级。
- 执行命令remark 8021p 8021p-value,在QoS模板中配置重标记VLAN报文802.1p优先级。
缺省情况下,QoS模板中没有配置重标记VLAN报文802.1p优先级。
业务模板下绑定的QOS模板中的参数,仅上述命令功能生效。
- 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound },在QoS模板中配置流量监管。
- 执行命令ucl-group name group-name,在业务方案下绑定UCL组。
- 执行命令quit,返回到AAA视图。
- 执行命令quit,返回到系统视图。
- 配置用户在认证成功前各阶段的网络访问策略。
如仅配置预连接用户的网络访问策略,而未配置认证失败用户的网络访问策略,那么当用户认证失败时将具有预连接用户的网络访问策略。
认证阶段 操作步骤 预连接 执行命令authentication event pre-authen action authorize service-scheme service-scheme,配置用户与设备建立起预连接时,通过业务方案授权用户网络访问策略。 缺省情况下,未配置用户与设备建立起预连接时用户的网络访问策略。
认证失败 认证服务器向用户回应认证失败报文 执行命令authentication event authen-fail action authorize service-scheme service-scheme [ response-fail ],配置当认证服务器向用户回应认证失败报文时,通过业务方案授权用户网络访问策略。 缺省情况下,当认证服务器回应认证失败报文时,未配置通过业务方案授权用户网络访问策略。
认证服务器Down而导致认证失败 - 执行命令authentication event authen-server-down action authorize service-scheme service-scheme [ response-fail ],配置当认证服务器Down而导致用户认证失败时,通过业务方案授权用户网络访问策略。
缺省情况下,当认证服务器Down而导致用户认证失败时,未配置通过业务方案授权用户网络访问策略。
- (可选)执行命令authentication event authen-server-up action re-authen,使能当认证服务器由Down转变为Up时,对用户进行重认证功能。
缺省情况下,当认证服务器由Down转变为Up时,设备不会对用户进行重新认证。
说明:为使设备能够探测到认证服务器的状态由Down转变为Up,需要在RADIUS服务器模板下配置命令radius-server testuser。
设备将认证服务器的状态置为Down后,如果不配置以上命令,设备会在服务器恢复激活状态的时间后(通过命令radius-server retransmit timeout dead-time配置),自动将认证服务器的状置为Up。此时,不会对用户进行重认证。
Portal服务器Down而导致认证失败(仅适用Portal认证用户) - 执行命令authentication event portal-server-down action authorize service-scheme service-scheme,配置当Portal服务器Down而导致用户认证失败时,通过业务方案授权用户网络访问策略。
缺省情况下,当Portal服务器Down而导致用户认证失败时,未配置通过业务方案授权用户网络访问策略。
- (可选)执行命令authentication event portal-server-up action re-authen ,使能当Portal服务器状态由Down转变为Up时,对用户进行重认证功能。
缺省情况下,当Portal服务器由Down转变为Up时,设备不会对用户进行重新认证。
说明:为使设备能够探测到Portal服务器的状态由Down转变为Up,需要在Portal服务器模板下配置命令server-detect。
客户端无响应而导致认证失败(仅适用802.1x认证用户) 执行命令authentication event client-no-response action authorize service-scheme service-scheme,配置当802.1x客户端无响应而导致用户认证失败时,通过业务方案授权用户网络访问策略。 缺省情况下,当802.1x客户端无响应而导致认证失败时,未配置通过业务方案授权用户网络访问策略。
- 执行命令authentication event authen-server-down action authorize service-scheme service-scheme [ response-fail ],配置当认证服务器Down而导致用户认证失败时,通过业务方案授权用户网络访问策略。
- (可选)配置预连接用户与认证失败用户表项的老化时间。
用户类型 操作步骤 应用场景 预连接用户 执行命令authentication timer pre-authen-user-aging aging-time,配置预连接用户表项老化时间。 缺省情况下,预连接用户表项的老化时间为23小时。
在用户与设备建立起预连接以及用户认证失败并被授权网络访问策略时,设备上都会建立起这些用户的表项。由于认证成功之前的用户表项与认证成功用户的表项共享设备资源,因此为避免认证成功之前用户表项过多而导致其他用户无法通过认证,可配置预连接用户或认证失败用户表项的老化时间。
认证失败用户 执行命令authentication timer authen-fail-user-aging aging-time,配置认证失败用户表项的老化时间。 缺省情况下,认证失败用户表项的老化时间为23小时。
- (可选)配置对认证成功之前用户进行重认证的周期。
(可选)配置通过终端类型感知功能授予用户网络访问策略
背景信息
在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。
通过终端类型感知功能,设备能够获悉终端的类型并发送给认证服务器,进而使认证服务器能够根据用户的终端类型为其部署网络访问权限或报文处理优先级等策略。
- 通过DHCP选项字段方式:设备在接收到DHCP Request报文后解析出所需的Option字段(该字段中携带有终端类型信息)。之后,设备会把Option字段信息通过RADIUS计费报文发送到RADIUS服务器。该方式需要首先使能设备的DHCP Snooping功能,请参见《S2750, S5700, S6700 系列以太网交换机 配置指南-安全配置-DHCP Snooping配置》中的“使能DHCP Snooping功能”。
- 通过LLDP TLV类型方式:设备在接收到LLDP报文后能够解析出所需的TLV类型(TLV携带了终端类型信息)。之后,设备会把TLV类型信息通过RADIUS计费报文发送到RADIUS服务器。该方式需要首先使能设备以及下挂的对端设备的LLDP功能,请参见《S2750, S5700, S6700 系列以太网交换机 配置指南-网络管理配置-LLDP配置》中的“使能LLDP功能”。
为保证终端类型感知功能生效,需确保AAA方案中的认证或计费模式为RADIUS。
终端类型感知功能仅为接入设备提供了一种获取用户终端类型的方案,其本身并无法为终端分配网络访问策略。为不同类型的终端部署网络访问策略由管理员在RADIUS服务器上进行配置。
