所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R010C00 配置指南-用户接入与认证

本文档介绍了用户接入与认证的相关特性,主要包括AAA、DAA、NAC、PPPoE、策略联动、IP Session。分别从特性原理、配置过程和配置举例等方面进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAC统一模式配置注意事项

NAC统一模式配置注意事项

介绍NAC统一模式的配置注意事项。

涉及网元

表4-2  本特性涉及网元

角色

产品

说明

AAA服务器

华为公司或第三方公司的AAA服务器产品。

负责对用户进行认证、计费和授权。

Portal服务器

华为公司或第三方公司的Portal服务器产品。

负责接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

仅Portal认证方式需要该网元。

说明:

华为公司的Agile Controller-Campus作服务器时,其支持版本为V100R001、V100R002、V100R003

如果需要交换机作为DHCP服务器并且根据Agile Controller-Campus下发的MAC-IP静态绑定关系为终端分配IP地址,需要使用V200R009C00及之后版本的交换机对接V100R002、V100R003版本的Agile Controller-Campus

License支持

NAC统一模式是交换机的基本特性,无需获得License许可即可应用此功能。

版本支持

表4-3  产品形态和软件版本支持情况

系列

产品

支持版本

S12700

S12708/S12712

V200R005C00、V200R006C00、V200R007C00、V200R007C20、V200R008C00、V200R009C00、V200R010C00、V200R011C10

S12710

V200R010C00、V200R011C10

S12704

V200R008C00、V200R009C00、V200R010C00、V200R011C10

说明:

如需了解交换机软件配套详细信息,请参见硬件查询工具

特性依赖和限制

NAC模式相关:
  • 相比传统模式,统一模式具有以下优势:采用模板化的配置,使配置层次更加清晰、配置模型更易理解。基于上述优势,建议使用统一模式部署NAC功能。
  • V200R007C00之前版本,传统模式与统一模式相互切换后,需要手动保存配置文件并重启设备,新的NAC模式才能生效。V200R007C00及之后版本,传统模式与统一模式相互切换后,设备会自动保存配置文件并重启。
  • 在V200R008C00版本,部分NAC命令不区分模式(即命令行的格式和视图在传统模式和统一模式下相同)。设备由V200R008C00及之后版本的传统模式切换到V200R009C00及之后版本的统一模式时,这部分命令行的相关的配置可以切换到统一模式下。
  • 统一模式下,仅传统模式支持的命令不可见,反之亦然。同时,NAC模式切换后,两种模式共同支持的命令功能一直生效。
  • NAC传统模式不适用于无线用户,如需通过NAC功能对无线用户进行接入控制,请将NAC模式切换为统一模式。
认证相关:
  • 802.1x认证场景中,如果使能802.1x认证的交换机和用户之间存在二层交换机,则需要在二层交换机上配置802.1x认证报文二层透明传输功能,否则用户无法认证成功。
  • Portal认证场景中,存在用户仿冒IP地址进行认证的安全风险,建议用户配置IPSG和DHCP Snooping等防攻击功能来避免此安全风险。
  • V200R012C00之前版本,不支持有线的MAC优先的Portal认证。
  • V200R012C00之前版本,非网关设备上不支持部署二层Portal认证。
  • 交换机支持对VPN内的用户进行NAC认证(基于HTTP/HTTPS协议的Portal认证除外),但不支持对不同VPN内IP地址相同的用户进行认证。
  • 不能在交换机二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能。V200R009C00版本之前(即NAC统一模式采用模板化配置之前),不要在二层以太网接口和其所属VLAN对应的VLANIF接口分开配置认证相关参数。
  • 若为某一域下的用户配置了DAA功能,则该域中的NAC用户将无法从不支持DAA功能的单板上线。
  • 当主接口上配置了NAC认证时,会影响该接口对应的子接口的业务功能。

  • V200R007版本之前,针对上送本机处理的协议报文,用户认证成功之前可以直接处理,无需配置免认证规则;V200R007及其之后版本,仅DNS协议报文上送到X系列单板处理时,需要配置免认证规则。

  • 交换机下挂其他厂商AC和AP(AP和无线用户关联在AC上),对无线接入用户进行有线Portal认证时,建议无线用户从X系列单板上线,且不能在URL模板视图下执行命令url-parameter配置URL中携带AC的CAPWAP网关地址(ac-mac ac-mac-value)、AC的MAC地址(ac-ip ac-ip-value)、AP的IP地址(ap-ip ap-ip-value)、AP的MAC地址(ap-mac ap-mac-value)或用户关联的SSID(ssid ssid-value
  • V200R010C00之前版本,交换机不支持有线HTTPS重定向功能,即有线Portal认证用户使用HTTPS协议访问某一网站时,无法触发重定向,从而无法进行Portal认证。从V200R010C00版本开始,交换机支持有线HTTPS重定向功能。
  • 采用MAC认证的终端不支持在IPv4和IPv6协议之间切换。所以,为保证终端认证成功后能够正常获取IP地址,建议在终端上仅开启IPv4和IPv6协议中的一种。
  • 终端同时具有IPv4和IPv6地址时,仅IPv4地址能够进行用户探测,IPv4地址能够刷新IPv6地址对应的用户表项,IPv6地址不能刷新IPv4地址对应的用户表项。
  • 对于IPv6用户或同时具有IPv4地址和IPv6地址的用户,交换机仅支持对其进行MAC认证或包含MAC认证的混合认证。对于这一类用户:
    • 对于X系列单板,如果配置了三层Portal认证或执行命令ip-static-user enable,会直接丢弃终端的IPv6报文。其他情况下,IPv4认证或IPv6认证成功后,交换机允许其IPv6报文通过。
    • X系列单板之外的单板,无论用户通过认证与否,均允许IPv6报文通过。
  • 单MAC地址多IP地址的终端进行认证时,必须首先将其配置为静态用户并结合通过IP地址标记静态用户的功能,才能正常上线并获取授权信息。
  • 执行命令encapsulation(二层子接口视图)配置二层子接口允许通过的流封装类型为default后,该二层子接口对应的主接口无法配置NAC功能。
  • 在不配置任意报文触发认证的情况下,源IP地址为0.0.0.0的ARP报文无法触发MAC认证。
  • X系列单板作为认证点时,除了X1E、X2E、X2H、X5H支持IPv6用户授权ACL,其他X系列单板不支持IPv6用户授权ACL。
授权相关:
  • 认证服务器的授权优先级高于交换机认证域下的授权优先级。如果二者授权的属性冲突,则认证服务器的授权优先生效;如果二者授权的属性不冲突,则二者授权的属性同时生效。

    例1,在交换机的业务方案A下配置用户VLAN 20,并将业务方案A绑定到用户认证域下,而认证服务器对认证成功的用户授权VLAN 10。此时,用户加入VLAN 10。

    例2,在交换机的业务方案B中配置流量监管,并将业务方案B绑定到用户认证域下,而认证服务器对认证成功的用户授权VLAN 10。此时,用户加入VLAN 10,流量监管对用户也生效。

  • 不支持为在线Portal用户授权VLAN。对于MAC优先的Portal认证,Portal认证成功后,V1版本的Agile Controller-Campus授权session timeout属性让用户立刻下线,然后再通过MAC认证上线授权VLAN。
  • 用户终端如果通过DHCP方式获取IP地址,通过CoA方式授权VLAN成功或更改授权VLAN后,需要手动触发DHCP重新申请IP地址。
  • V200R011C10之前版本,对于无线用户,当采用直接转发模式时,不支持UCL组授权。

  • V200R011C10之前版本不支持对用户授权上行/下行报文的DSCP值。V200R011C10及之后版本支持对用户授权上行报文的DSCP值和下行报文的DSCP值,且授权的ACL、上行报文限速值、下行报文限速值、上行报文的DSCP值和下行报文的DSCP值能够同时生效。
  • Access接口不支持动态授权,删除VLAN时会删除该VLAN下的在线用户;hybrid接口支持动态授权,删除VLAN时不会删除在线用户。
  • V200R011C10及之后版本,在SVF场景下,支持授权VLAN。授权VLAN时,需要执行命令as service-vlan authorization在UC上创建AS上的业务VLAN。
L2 BNG场景:
  • RADIUS服务器对通过X系列单板上线的MAC认证用户授权华为RADIUS扩展属性HW-Forwarding-VLAN,将用户单播或广播报文携带的双层VLAN,替换为ISP VLAN(ISP VLAN不能和用户外层VLAN相同),并由X系列单板上的接口转发出去
  • 对于用户原始报文中的携带的双层VLAN,不要创建相应的VLANIF接口,否则用户报文转发可能存在异常。
  • 开启MAC认证的交换机不能配置DHCP Snooping和ND Snooping,不支持MAC迁移功能,并且需要执行命令undo authentication pre-authen-access enable去使能预连接功能。
  • 交换机作为DHCPv6客户端仅支持通过DHCPv6获取一个IPv6地址;作为DHCPv6服务器时,为保证IPv6的地址的可管理,仅支持通过DHCPv6方式分配IPv6地址,此时,需配置交换机发送RA报文的M标记位为1,表示有状态地址分配,即指定客户端通过有状态协议(如DHCPv6)获得IPv6地址。
  • 如果要给接入用户授权VLAN之外的其他属性时,设备上需要执行命令authorization-modify mode modify配置授权服务器下发的用户授权信息的生效模式为修改模式,否则接入用户会下线。
  • L2 BNG场景下,不支持multi-share模式。
其他:
  • Eth-Trunk用户接入典型应用场景适用于高可靠场景。使用交换机的集群功能实现双机热备和负载分担。两台相同型号的交换机使用集群相连,两台交换机插入相同数量和型号的单板,通过Eth-Trunk在两两之间形成主备和负载分担。

    通常情况下,Eth-Trunk接口的成员口会部署在相同类型的单板上。如果Eth-Trunk接口的成员口同时部署以下不同类型的单板上:

    • 单板类型1:X系列单板
    • 单板类型2:除了上述单板以外的所有单板

    通过该Eth-Trunk接口上线有线用户数达到类型2单板的用户接入规格后,后续接入的用户无法上线。重启类型2单板时,用户能够按照类型1单板的用户接入规格继续上线;等类型2单板重启完成后,交换机会记录类型2单板用户超规格日志,并且超规格的用户业务会受影响。如果拔出类型1单板,超出类型2单板规格的用户不会下线。如果配置了探测功能,超规格用户会因探测失败下线。

  • NAC用户数不要超过单板或整机的MAC表项规格。
  • AC间漫游的场景下,两台AC上的NAC配置需要保持一致。
  • 对于无线用户,交换机作为AC设备时,用户可以针对AP配置其各项属性。V200R011C10之前版本,用户配置后,这些配置并不会实时地下发到AP上,只有用户在WLAN视图下执行commit命令后,针对AP的配置改动才会下发到AP。V200R011C10及之后版本,设备每隔5秒会将这些配置下发到AP。

  • LNP协商时,接口的链路类型进入稳态之前,NAC用户将无法上线;对于已在线NAC用户,如果接口的链路类型再次进行协商并且协商结果产生变化,则NAC用户将会被强制下线。

  • 如果用户配置的traffic-filter inbound acl acl-number中,用户ACL误配置为deny所有用户流量,或者认证服务器下发的用户ACL误配置为deny所有用户流量,将会导致用户无法连接到交换机、OSPF/BGP等网络侧协议中断。
翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141386

浏览量:20153

下载量:353

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页