所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置免认证的授权信息

(可选)配置免认证的授权信息

(可选)配置用户的免认证授权信息

背景信息

用户认证成功之前,为满足用户基本的网络访问需求,譬如下载802.1X客户端、更新病毒库等,需要用户免认证就能获取部分网络访问权限。用户免认证的授权信息使用免认证规则模板统一管理,通过在模板中定义一些网络访问规则,确定用户免认证时可以获取的网络访问权限。免认证规则模板配置完成后,需要绑定到认证模板下,之后使用该认证模板的用户即可获取免认证授权信息。

用户的免认证规则可以通过普通的免认证规则定义,也可以通过ACL定义。普通的免认证规则由IP地址、MAC地址、接口、VLAN等参数确定;通过ACL定义的免认证规则由ACL规则(通过命令rule配置)确定。两种方式定义的免认证规则都能够指定用户无需认证就可以访问的目的IP地址。除此之外,ACL定义的免认证规则还能够指定用户无需认证就可以访问的目的域名。

基于域名定义用户的免认证规则有时要比基于IP地址简单方便。例如,某些认证用户由于没有认证账号,必须首先在运营商提供的官方网站上注册申请会员账号;或者通过微博、微信等第三方账号进行登录。这就要求用户认证通过前,能够访问特定的网站。由于用户记忆网站的域名要比记忆其IP地址容易的多,所以,此时可以通过ACL定义的免认证规则,指定用户免认证即可访问以上网站域名。

说明:
使用普通的免认证规则时需要注意:
  • 多条免认证规则同时配置时,可累计生效,逐条匹配。
  • 无线或SVF场景下,AP或AS上仅序号(rule-id)为0~127的免认证规则可以生效,AC或Parent上所有可配置的免认证规则均生效。
  • 无线场景下,AP上不支持免认证规则中配置VLAN和Interface项,建议选取VLAN和Interface项时配置免认证规则序号大于等于128。
  • SVF场景下,免认证规则中的接口信息不生效。
  • 如果免认证规则中同时配置了VLAN和Interface项,则要求Interface属于该VLAN,否则规则无效。
  • 如果免认证规则中配置了目的端口号,则分片报文不能匹配规则,流量无法通过。
  • DNS、DHCP、CAPWAP、ARP、HTTP协议报文,在用户认证成功之前,无需配置free-rule,就可以直接处理或转发。其他协议报文,需要设备转发时,必须配置free-rule;需要设备本地处理时,S5720HI、S6720HI和S5730HI要求配置free-rule
    • DNS报文:设备直接转发客户端的DNS报文至DNS服务器。
    • DHCP报文:如果端口开启认证和DHCP功能,那么DHCP报文能触发认证,且设备会行使其DHCP中继或DHCP服务器功能,转发或处理DHCP报文。如果端口仅配置认证,未配置DHCP功能,那DHCP报文能触发认证,设备广播DHCP报文。
    • CAPWAP报文:CAPWAP报文分为控制报文和数据报文,一般情况下CAPWAP数据报文解完封装后,依然受NAC权限控制,free-rule会生效(ARP、DHCP封装在CAPWAP数据报文中除外)。CAPWAP控制报文一般是上送CPU处理(例如SVF、无线场景)。如果接AP的物理口使能了认证,也还是要配置free-rule放通管理VLAN的,由于该种场景可能导致过多重认证对服务器造成冲击,不建议使用。
    • ARP报文:无需配置free-rule,就可以直接处理或转发。
    • HTTP报文:如果端口使能了Portal认证,且HTTP报文的目的URL并非Portal服务器,那么设备会将HTTP报文重定向至Portal服务器进行认证。
使用ACL定义的免认证规则时需要注意:
  • 仅无线用户支持基于域名定义的免认证规则。
  • SVF使能情况下,免认证规则不支持下发到AS设备。
  • 多条免认证规则同时配置时,仅最后一条生效。
  • 可以动态修改免认证规则,免认证规则不区分ACL规则(通过命令rule配置)的动作(denypermit),统一按照permit处理;ACL规则的编号(rule编号)仅支持0~127。
  • 多个域名对应同一个IP地址时,如果其中一个域名符合免认证规则,则其它域名都符合。
前置任务
  • 使用ACL定义的免认证规则时,需要完成以下步骤:通过命令rule配置ACL规则。命令rule配置的ACL规则可以是基于IP地址的,也可以是基于域名的。基于IP地址时,支持配置参数sourcedestination;基于域名时,仅支持配置参数destination
    说明:
    如果用户ACL是通过名称(参数acl-name)创建的,需要通过命令acl name acl-name acl-number,创建一个命名型的ACL,并指定其对应的ACL编号(6000~6031)。
  • 在物理接口下配置认证时,必须执行authentication pre-authen-access enable命令使能预连接功能。

操作步骤

  1. 配置免认证规则模板。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令free-rule-template name free-rule-template-name,创建免认证规则模板,并进入免认证规则模板视图。

      缺省情况下,系统自带一个名称为default_free_rule的免认证规则模板。

      说明:

      当前设备仅支持1个免认证规则模板,即系统自带模板default_free_rule。

    3. 配置免认证规则。

      • 执行命令free-rule rule-id { destination { any | ip { ip-address mask { mask-length | ip-mask } [ tcp destination-port port | udp destination-port port ] | any } } | source { any | { interface interface-type interface-number | ip { ip-address mask { mask-length | ip-mask } | any } | vlan vlan-id } * } } *,配置普通的免认证规则。
      • 执行命令free-rule acl { acl-id | acl-name acl-name },配置通过ACL定义的免认证规则。

      缺省情况下,未配置NAC认证用户的免认证规则。

    4. 执行命令quit,返回到系统视图。

  2. 认证模板下绑定免认证规则模板。

    1. 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。

    2. 执行命令free-rule-template free-rule-template-name,配置认证模板下绑定的免认证规则模板。

      缺省情况下,认证模板下没有绑定任何免认证规则模板。

    说明:

    对于无线用户,必须在认证模板下执行命令free-rule-template(认证模板视图)绑定免认证规则模板,配置的免认证规则才能生效。

    对于有线用户,免认证规则模板在系统视图下创建后即对所有有线用户都生效,不需要再在认证模板下执行命令free-rule-template(认证模板视图)绑定免认证规则模板。

后续处理

基于域名定义用户的免认证规则时,由于ACL中指定的域名仅支持动态域名解析(DNS),所以设备上需要配置动态域名解析功能。具体步骤如下:
  1. 系统视图下,执行命令dns resolve,使能动态域名解析功能。
  2. 系统视图下,执行命令dns server ip-address,指定DNS服务器的IP地址。

(可选)配置语音终端的免认证授权信息

背景信息

在数据终端(PC等)和语音终端(IP Phone等)混合接入交换机的场景中,如果管理员只要求对数据终端进行身份认证,对语音终端不需要身份认证只要求能够接入网络。此时,管理员可以在完成NAC配置之后,再配置语音终端的免认证授权信息,之后,交换机仅对数据终端进行身份认证、对识别出的语音终端不认证就让其上线。

说明:

对于802.1X用户,如果终端主动发起认证,设备优先处理认证流程,认证成功后,终端获取认证成功后的网络访问权限;认证失败时,设备根据识别出的终端类型,使语音终端不认证即上线。

前置任务

为了能够识别出语音终端,交换机需要使能LLDP功能或配置Voice VLAN的OUI,具体配置请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-网络管理与监控》 LLDP配置 中的“配置LLDP基本功能”或S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-以太网交换》 Voice VLAN配置 中的“配置基于MAC地址的Voice VLAN”对于不支持LLDP功能、只支持CDP功能的语音设备,交换机需要执行lldp compliance cdp receive命令使能LLDP兼容CDP协议功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置授权参数

    • 业务方案

      1. 执行命令aaa,进入AAA视图。
      2. 执行命令service-scheme service-scheme-name,创建一个业务方案,并进入业务方案视图。

        缺省情况下,设备上没有创建业务方案。

      3. 配置业务方案中控制用户网络访问策略的各种参数。管理员可根据实际网络情况选取需要配置的参数。

        • 执行命令acl-id acl-number ,在业务方案下绑定ACL。

          缺省情况下,业务方案下未绑定ACL。

          说明:

          执行该命令之前,需确保已使用命令acl(系统视图)acl name创建了ACL;并使用命令rule配置相应的ACL规则。

          各类访问策略优先级顺序为:

          RADIUS服务器下发的ACL编号 > 本地配置的ACL编号 > RADIUS服务器通过编号26-82的属性HW-Data-Filter下发的ACL规则 > RADIUS服务器下发的用户组 > 本地配置的用户组 > RADIUS服务器下发的UCL组 > 本地配置的UCL组

        • 执行命令ucl-group { group-index | name group-name },在业务方案下绑定UCL组。

          缺省情况下,业务方案下未绑定UCL组。

          执行该命令之前,需确保已创建并配置了标记用户类别的UCL组。

        • 执行命令user-vlan vlan-id,在业务方案中配置用户VLAN。

          缺省情况下,在业务方案中未配置用户VLAN。

          执行该命令之前,需确保已使用命令vlan创建了VLAN。

        • 执行命令voice-vlan在业务方案中使能Voice VLAN功能。

          缺省情况下,在业务方案中未使能Voice VLAN功能。

          为使本命令功能生效,需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN,同时使能接口的Voice VLAN功能。

        • 执行命令qos-profile profile-name,在业务方案中绑定QoS模板。

          缺省情况下,在业务方案中未绑定QoS模板。

          说明:

          S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持QoS模板,且仅S5720HI支持user-queue命令。

          执行该命令之前,需确保已配置了QoS模板。配置QoS模板操作步骤如下:
          1. 在系统视图下执行命令qos-profile name profile-name,创建QoS模板并进入QoS模板视图。
          2. 在QoS模板视图下配置流量监管、报文处理优先级与用户队列。(业务方案下绑定QoS模板后,QoS模板中仅以下命令生效。)
            • 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound },在QoS模板中配置流量监管。

              缺省情况下,QoS模板中没有配置流量监管。

            • 执行命令remark dscp dscp-value { inbound | outbound },在QoS模板中配置重标记IP报文的DSCP优先级。

              缺省情况下,QoS模板中没有配置重标记IP报文的DSCP优先级。

            • 执行命令remark 8021p 8021p-value,在QoS模板中配置重标记VLAN报文802.1p优先级。

              缺省情况下,QoS模板中没有配置重标记VLAN报文802.1p优先级。

            • 执行命令user-queue pir pir-value [ flow-queue-profile flow-queue-profile-name ] [ flow-mapping-profile flow-mapping-profile-name ],在QoS模板中创建用户队列实现HQoS调度。

              缺省情况下,QoS模板中未配置用户队列。

            • 执行命令quit,返回到系统视图。
      4. 执行命令quit,返回到AAA视图。
      5. 执行命令quit,返回到系统视图。

  3. 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。
  4. 执行命令authentication device-type voice authorize [ service-scheme scheme-name ],使能语音终端不认证即上线功能。

    缺省情况下,未使能语音终端不认证即上线功能。

    说明:

    该命令为覆盖式命令,多次配置时,最后一次配置生效。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29690

下载量:1207

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页