所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R010C00 配置指南-用户接入与认证

本文档介绍了用户接入与认证的相关特性,主要包括AAA、DAA、NAC、PPPoE、策略联动、IP Session。分别从特性原理、配置过程和配置举例等方面进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置认证事件授权信息

(可选)配置认证事件授权信息

背景信息

当用户在预连接状态或者认证失败状态时,用户将无任何网络访问权限。

为满足这些用户的基本网络访问需求,比如更新病毒库、下载客户端等,可在设备上配置认证事件授权信息,之后,设备即会根据用户所处的认证阶段为其授权。

说明:

不支持为在线Portal用户授权VLAN。

授权时,对于交换机单板不支持的情况,会出现保持用户在线并忽略授权信息或用户不能上线两种情况。对于CAR,DSCP,Remark,强推授权,如果单板不支持,用户可以正常上线,并忽略该授权;对于ACL,重定向ACL,VLAN,ISP VLAN,MAC地址学习限制规则,预链接不授予任何权限,授权指定MAC地址用户的访问权限等对于用户基本转发权限影响较大的授权信息,如果单板不支持,则不能上线。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置授权参数。

    用户在预连接、认证失败或认证服务器Down时,支持通过VLAN、UCL组和业务方案授权。

    • VLAN

      需在设备上配置VLAN及VLAN内的网络资源。

    • UCL组

      1. 执行命令ucl-group group-index [ name group-name ],创建UCL组。

        缺省情况下,未创建UCL组。

      2. (可选)执行命令ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name },配置静态UCL组。

        缺省情况下,未配置静态UCL组。

      3. 配置用户ACL,根据UCL组对报文进行过滤。详细配置请参见S12700 V200R010C00 配置指南-安全》 ACL配置 中的“配置用户ACL”。
      4. 可采用以下方式对报文进行处理:

        • 执行命令traffic-filter inbound acl { acl-number | name acl-name },配置基于ACL对报文进行过滤。

          缺省情况下,未配置基于ACL对报文进行过滤。

        • 执行命令traffic-redirect inbound acl { acl-number | name acl-name } [ vpn-instance vpn-instance-name ] ip-nexthop nexthop-address,配置基于ACL对报文进行重定向。

          缺省情况下,未配置基于ACL对报文进行重定向。

    • 业务方案

      1. 执行命令aaa,进入AAA视图。
      2. 执行命令service-scheme service-scheme-name,创建一个业务方案,并进入业务方案视图。

        缺省情况下,设备上没有创建业务方案。

      3. 执行命令ucl-group { group-index | name group-name },在业务方案下绑定UCL组。

        缺省情况下,业务方案下未绑定UCL组。

        执行该命令之前,需确保已创建并配置了标记用户类别的UCL组。

        说明:

        对于无线用户,当采用直接转发模式时,不支持UCL组授权。

      4. 执行命令user-vlan vlan-id,在业务方案中配置用户VLAN。

        缺省情况下,在业务方案中未配置用户VLAN。

        执行该命令之前,需确保已使用命令vlan创建了VLAN。

      5. 执行命令voice-vlan在业务方案中使能Voice VLAN功能。

        缺省情况下,在业务方案中未使能Voice VLAN功能。

        为使本命令功能生效,需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN,同时使能接口的Voice VLAN功能。

      6. 执行命令qos-profile profile-name,在业务方案中绑定QoS模板。

        缺省情况下,在业务方案中未绑定QoS模板。

        说明:

        X1E系列单板支持user-queue命令。

        执行该命令之前,需确保已配置了QoS模板。配置QoS模板操作步骤如下:
        1. 在系统视图下执行命令qos-profile name profile-name,创建QoS模板并进入QoS模板视图。
        2. 在QoS模板视图下配置流量监管、报文处理优先级与用户队列。(业务方案下绑定QoS模板后,QoS模板中仅以下命令生效。)
          • 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound },在QoS模板中配置流量监管。

            缺省情况下,QoS模板中没有配置流量监管。

          • 执行命令remark dscp dscp-value,在QoS模板中配置重标记IP报文的DSCP优先级。

            缺省情况下,QoS模板中没有配置重标记IP报文的DSCP优先级。

          • 执行命令remark 8021p 8021p-value,在QoS模板中配置重标记VLAN报文802.1p优先级。

            缺省情况下,QoS模板中没有配置重标记VLAN报文802.1p优先级。

      7. 执行命令quit,返回到AAA视图。
      8. 执行命令quit,返回到系统视图。

  3. 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。
  4. 配置授权信息。

    • 执行命令authentication event pre-authen action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name },配置用户在预连接阶段的网络访问权限。
    • 执行命令authentication event authen-fail action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ],配置用户在认证失败时的网络访问权限。
    • 执行命令authentication event authen-server-down action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ],配置用户在认证服务器Down时的网络访问权限。

    缺省情况下,未配置认证事件授权信息。

    说明:

    如果没有配置认证失败或认证服务器Down时用户的网络访问权限,当用户认证失败后,用户仍保持在预连接状态,拥有预连接用户的网络访问权限。

    通过VLAN对用户进行授权,不适用于通过VLANIF接口接入的认证用户。

    对于有线用户进行802.1X认证,当RADIUS服务器Down时,某些客户端新上线时无法拥有逃生权限,例如新上线的Windows客户端收到设备回应的Success报文时未收到与RADIUS服务器的认证交互报文,导致认证失败,无法上线。目前如下客户端新上线时可以拥有逃生权限:使用EAP-MD5和PEAP协议的H3C iNode客户端、使用EAP-FAST和PEAP协议的Cisco AnyConnect客户端。

    如果配置了认证服务器Down的授权,设备探测到认证服务器Down后,用户认证失败并授予用户认证服务器Down的授权,并将用户加入到认证服务器Down的表项;如果没有配置认证服务器Down的授权,设备探测到认证服务器Down后,用户认证失败并会授予用户认证失败的授权,并将用户加入到认证失败的表项。

    用户授权顺序如下,设备会按照所处状态并依照优先级顺序依此检查是否配置了相应的权限,如果已配置,则按照配置的进行授权,如果未配置,则对下一优先级进行检查。

    • 认证服务器Down时的授权顺序:认证服务器Down时的网络访问权限 ⇨ 用户在认证失败时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
    • 用户在认证失败时的授权顺序:用户在认证失败时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
    • 用户在预连接状态时的授权顺序:用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
    • 802.1X客户端无响应时的授权顺序:802.1X客户端无响应时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。

  5. (可选)配置用户表项的老化时间。

    • 执行命令authentication timer pre-authen-aging aging-time,配置预连接用户表项的老化时间。

      缺省情况下,预连接用户表项的老化时间是23小时。

    • 执行命令authentication timer authen-fail-aging aging-time,配置认证失败用户表项的老化时间。

      缺省情况下,认证失败用户表项的老化时间是23小时。

      说明:
      认证服务器Down表项和认证失败表项的老化时间都是通过命令authentication timer authen-fail-aging aging-time配置。

翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141386

浏览量:20189

下载量:353

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页