所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置认证事件授权信息

(可选)配置认证事件授权信息

背景信息

当用户在预连接状态或者认证失败状态时,用户将无任何网络访问权限。

为满足这些用户的基本网络访问需求,比如更新病毒库、下载客户端等,可在设备上配置认证事件授权信息,之后,设备即会根据用户所处的认证阶段为其授权。

说明:

终端采用Portal认证或包含Portal认证的混合认证时,不支持为其授权VLAN。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置授权参数。

    用户在预连接、认证失败或认证服务器Down时,支持通过VLAN、UCL组和业务方案授权。

    • VLAN

      需在设备上配置VLAN及VLAN内的网络资源。

    • UCL组

      1. 执行命令ucl-group group-index [ name group-name ],创建UCL组。

        缺省情况下,未创建UCL组。

        说明:

        S1720GF、S1720GFR-P、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720I-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持UCL组。

      2. (可选)执行命令ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name },配置静态UCL组。

        缺省情况下,未配置静态UCL组。

        说明:

        S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持静态UCL组。

      3. 配置用户ACL,根据UCL组对报文进行过滤。详细配置请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全》 ACL配置 中的“配置用户ACL”。
      4. 可采用以下方式对报文进行处理:

        • 执行命令traffic-filter inbound acl { acl-number | name acl-name },配置基于ACL对报文进行过滤。

          缺省情况下,未配置基于ACL对报文进行过滤。

        • 执行命令traffic-redirect inbound acl { acl-number | name acl-name } [ vpn-instance vpn-instance-name ] ip-nexthop nexthop-address,配置基于ACL对报文进行重定向。

          缺省情况下,未配置基于ACL对报文进行重定向。

          说明:

          S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持traffic-redirect命令。

    • 业务方案

      1. 执行命令aaa,进入AAA视图。
      2. 执行命令service-scheme service-scheme-name,创建一个业务方案,并进入业务方案视图。

        缺省情况下,设备上没有创建业务方案。

      3. 配置业务方案中控制用户网络访问策略的各种参数。管理员可根据实际网络情况选取需要配置的参数。

        • 执行命令acl-id acl-number ,在业务方案下绑定ACL。

          缺省情况下,业务方案下未绑定ACL。

          说明:

          执行该命令之前,需确保已使用命令acl(系统视图)acl name创建了ACL;并使用命令rule配置相应的ACL规则。

          各类访问策略优先级顺序为:

          RADIUS服务器下发的ACL编号 > 本地配置的ACL编号 > RADIUS服务器通过编号26-82的属性HW-Data-Filter下发的ACL规则 > RADIUS服务器下发的用户组 > 本地配置的用户组 > RADIUS服务器下发的UCL组 > 本地配置的UCL组

        • 执行命令ucl-group { group-index | name group-name },在业务方案下绑定UCL组。

          缺省情况下,业务方案下未绑定UCL组。

          执行该命令之前,需确保已创建并配置了标记用户类别的UCL组。

        • 执行命令user-vlan vlan-id,在业务方案中配置用户VLAN。

          缺省情况下,在业务方案中未配置用户VLAN。

          执行该命令之前,需确保已使用命令vlan创建了VLAN。

        • 执行命令voice-vlan在业务方案中使能Voice VLAN功能。

          缺省情况下,在业务方案中未使能Voice VLAN功能。

          为使本命令功能生效,需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN,同时使能接口的Voice VLAN功能。

        • 执行命令qos-profile profile-name,在业务方案中绑定QoS模板。

          缺省情况下,在业务方案中未绑定QoS模板。

          说明:

          S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持QoS模板,且仅S5720HI支持user-queue命令。

          执行该命令之前,需确保已配置了QoS模板。配置QoS模板操作步骤如下:
          1. 在系统视图下执行命令qos-profile name profile-name,创建QoS模板并进入QoS模板视图。
          2. 在QoS模板视图下配置流量监管、报文处理优先级与用户队列。(业务方案下绑定QoS模板后,QoS模板中仅以下命令生效。)
            • 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound },在QoS模板中配置流量监管。

              缺省情况下,QoS模板中没有配置流量监管。

            • 执行命令remark dscp dscp-value { inbound | outbound },在QoS模板中配置重标记IP报文的DSCP优先级。

              缺省情况下,QoS模板中没有配置重标记IP报文的DSCP优先级。

            • 执行命令remark 8021p 8021p-value,在QoS模板中配置重标记VLAN报文802.1p优先级。

              缺省情况下,QoS模板中没有配置重标记VLAN报文802.1p优先级。

            • 执行命令user-queue pir pir-value [ flow-queue-profile flow-queue-profile-name ] [ flow-mapping-profile flow-mapping-profile-name ],在QoS模板中创建用户队列实现HQoS调度。

              缺省情况下,QoS模板中未配置用户队列。

            • 执行命令quit,返回到系统视图。
      4. 执行命令quit,返回到AAA视图。
      5. 执行命令quit,返回到系统视图。

  3. 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。
  4. 配置授权信息。

    • 执行命令authentication event pre-authen action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name },配置用户在预连接阶段的网络访问权限。
    • 执行命令authentication event authen-fail action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ],配置用户在认证失败时的网络访问权限。
    • 执行命令authentication event authen-server-down action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ],配置用户在认证服务器Down时的网络访问权限。

    缺省情况下,未配置认证事件授权信息。

    说明:

    如果没有配置认证失败或认证服务器Down时用户的网络访问权限,当用户认证失败后,用户仍保持在预连接状态,拥有预连接用户的网络访问权限。

    通过VLAN对用户进行授权,不适用于通过VLANIF接口接入的认证用户。

    如果配置了认证服务器Down的授权,设备探测到认证服务器Down后,用户认证失败并授予用户认证服务器Down的授权,并将用户加入到认证服务器Down的表项;如果没有配置认证服务器Down的授权,设备探测到认证服务器Down后,用户认证失败并会授予用户认证失败的授权,并将用户加入到认证失败的表项。

    用户授权顺序如下,设备会按照所处状态并依照优先级顺序依此检查是否配置了相应的权限,如果已配置,则按照配置的进行授权,如果未配置,则对下一优先级进行检查。

    • 认证服务器Down时的授权顺序:认证服务器Down时的网络访问权限 ⇨ 用户在认证失败时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
    • 用户在认证失败时的授权顺序:用户在认证失败时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
    • 用户在预连接状态时的授权顺序:用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
    • 802.1X客户端无响应时的授权顺序:802.1X客户端无响应时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。

  5. (可选)配置用户表项的老化时间。

    • 执行命令authentication timer pre-authen-aging aging-time,配置预连接用户表项的老化时间。

      缺省情况下,预连接用户表项的老化时间是23小时。

    • 执行命令authentication timer authen-fail-aging aging-time,配置认证失败用户表项的老化时间。

      缺省情况下,认证失败用户表项的老化时间是23小时。

      说明:
      认证服务器Down表项和认证失败表项的老化时间都是通过命令authentication timer authen-fail-aging aging-time配置。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:32910

下载量:1270

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页