所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置通过握手功能及时清除用户表项

(可选)配置通过握手功能及时清除用户表项

背景信息

用户在预连接阶段、认证失败并被授予了网络访问权限阶段以及认证成功后,设备上均会建立起该用户的表项。正常情况下,用户下线后,系统会及时删除下线用户的表项,但当用户由于异常原因(譬如网络断开)下线时,系统不能够及时删除这些用户的用户表项。这类无效用户表项过多时,可能会导致其他用户无法接入网络。

为防止上述情况,可配置通过握手功能及时清除用户表项。之后,在握手周期内如果用户不响应设备的握手请求,则该用户表项将会被删除。

说明:

MAC认证、三层Portal认证和802.1X认证用户的握手周期通过命令authentication timer handshake-period进行配置,二层Portal认证用户的握手周期通过命令portal timer offline-detect进行配置。

对于三层Portal认证用户,该功能仅适用于从S5720HI、S6720HI和S5730HI认证上线的用户。

该功能仅对获取到IP地址的有线用户生效。

握手功能可以通过发送ARP探测报文或ND探测报文实现。

握手功能还可以通过检测是否有用户流量经过接入设备实现。假如握手周期为3n,则设备会在n2n时刻进行用户探测。以0~n时间段为例,n~2n与之类似,不再赘述。(该流程仅适用于从S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI认证上线的用户。其他款型设备不对用户流量进行检测,在n2n时刻立即发送探测报文。)
  • 如果在0~n时间段内,有用户流量经过设备,则在n时刻,设备认为用户在线,该时刻设备不会再发送探测报文,并重置握手周期。
  • 如果在0~n时间段内,没有用户流量经过设备,则在n时刻,设备无法感知到用户是否在线,该时刻设备会发送探测报文。如果设备收到用户的回应报文,则认为用户在线,并重置握手周期;如果未收到,则认为用户已下线。
  • 如果在2n~3n时间段内,有用户流量经过设备,则在3n时刻,设备认为用户在线,该时刻设备重置握手周期。
  • 如果在2n~3n时间段内,没有用户流量经过设备,则在3n时刻,设备无法感知到用户是否在线,认为用户已下线。
如果在n2n3n时刻,设备均认为用户已下线,则设备会删除该用户的所有相关表项。为防止用户PC闲置时被异常下线,请不要将握手周期设置的过小。
对于不支持通过检测是否有用户流量经过接入设备实现握手功能的款型为防止ARP探测报文过多,超过默认CAR值,导致探测失败,进而将用户下线(通过命令display cpu-defend statistics查看ARP请求和回应报文是否存在丢包)。建议用户采用以下方法处理:
  • 根据用户数量,适当放大握手周期。建议当用户数小于8K时,握手周期采用缺省值;当用户数大于8K时,配置握手周期不小于600秒。
  • 在接入设备上部署端口防攻击功能,对上送CPU的报文进行限速处理。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。
  3. 执行命令authentication handshake,使能设备与预连接用户以及已授权用户之间进行握手功能。

    缺省情况下,已使能设备与预连接用户以及已授权用户之间进行握手功能。

  4. (可选)执行命令authentication timer handshake-period handshake-period,配置设备与预连接用户以及已授权用户之间的握手周期。

    缺省情况下,设备与预连接用户以及已授权用户之间的握手周期为300秒。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30312

下载量:1231

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页