所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R010C00 配置指南-用户接入与认证

本文档介绍了用户接入与认证的相关特性,主要包括AAA、DAA、NAC、PPPoE、策略联动、IP Session。分别从特性原理、配置过程和配置举例等方面进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户认证方式

配置用户认证方式

背景信息

NAC包括802.1X、MAC和Portal三种认证方式。接口或VAP模板下用户使用的认证方式,是由认证模板绑定的接入模板决定的。例如,管理员如果希望使用MAC认证对从某VAP模板上线的用户进行控制管理,则该VAP模板下应用的认证模板需要绑定MAC接入模板。

另外,为了灵活地适应网络环境中的多种认证需求,设备支持在接入用户的接口或VAP模板上部署多种认证方式,即混合认证。此时,就需要在认证模板上绑定多种接入模板。

前置任务

完成接入模板的配置,其中:

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。
  3. 配置用户使用的认证方式。

    • 802.1X认证

      执行命令dot1x-access-profile access-profile-name,配置认证模板绑定的802.1X接入模板。

      缺省情况下,认证模板没有绑定802.1X接入模板。

    • MAC认证

      执行命令mac-access-profile access-profile-name,配置认证模板绑定的MAC接入模板。

      缺省情况下,认证模板没有绑定MAC接入模板。

    • Portal认证

      执行命令portal-access-profile access-profile-name,配置认证模板绑定的Portal接入模板。

      缺省情况下,认证模板没有绑定Portal接入模板。

    • 混合认证

      配置哪几种认证方式混合,只需要在认证模板下绑定对应的接入模板。绑定接入模板的顺序没有限制,设备先接收到哪种认证报文,就会优先触发哪种认证。

      另外,对于无法安装和使用802.1X客户端软件的终端,例如打印机等,可以使能MAC旁路认证功能。之后,用户首先会进行802.1X认证,一旦认证失败,则设备会对用户启动MAC认证流程。

      以配置MAC旁路认证为例,配置步骤如下:
      1. 执行命令mac-access-profile access-profile-name,配置认证模板绑定的MAC接入模板。

        缺省情况下,认证模板没有绑定MAC接入模板。

      2. 执行命令dot1x-access-profile access-profile-name,配置认证模板绑定的802.1X接入模板。

        缺省情况下,认证模板没有绑定802.1X接入模板。

      3. 执行命令authentication dot1x-mac-bypass,使能MAC旁路认证功能。

        缺省情况下,未使能MAC旁路认证功能。

    说明:

    部署混合认证时,需要注意以下几点:

    • 一个认证模板最多支持绑定一个802.1X接入模板、一个MAC接入模板和一个Portal接入模板。

    • 配置混合认证后,默认允许用户能够使用多种认证方式。例如:用户MAC认证成功后,访问网页时,不会重定向到Portal认证页面,但是,如果用户直接输入Portal认证网页地址,则可以进行Portal认证,认证成功后,能够获取Portal认证用户的网络访问权限。如果希望用户以一种方式认证成功后不再以其他方式进行认证,可以通过命令authentication single-access,配置设备仅允许用户通过一种方式的认证。

    • 通过802.1X认证后不允许进行MAC认证和Portal认证。

    • 802.1X+MAC混合认证主要用在存在哑终端的场景中。在网关设备做认证设备时,不建议使用802.1X+MAC混合认证。因为,终端上送的ARP报文会首先触发MAC认证,一方面会拖慢802.1X认证的性能,另一方面存在ARP攻击风险。

      在存在哑终端并且网关设备做认证设备的场景中,建议使用以下配置方式:
      1. 首先保证哑终端IP地址固定,可以使用静态配置IP地址或DHCP Snooping静态绑定IP地址的方式。
      2. 网关设备上不配置混合认证,针对非哑终端用户配置802.1X认证,针对哑终端用户配置基于IP地址的免认证规则。
    • 对于MAC和Portal混合认证,终端在接入时一定是先进行MAC认证,认证失败后再进行Portal认证,即MAC优先的Portal认证。MAC优先的Portal认证主要用于无线用户接入场景,保证终端进出无线信号覆盖区导致Portal在线用户掉线后能够自动上线,避免用户频繁输入帐号密码,提升接入体验。
    • 无线用户接入场景,不支持802.1X和MAC的混合认证,也不支持802.1X和Portal的混合认证。

翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141386

浏览量:20182

下载量:353

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页