所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置授权规则

配置授权规则

背景信息

配置本地授权时,本地可配置的授权参数如表1-32所示:

表1-32  本地授权参数

授权参数

应用场景

说明

VLAN

部署简单,维护成本也较低,由于其控制粒度在VLAN层面,适用于在同一办公室或同一部门所有人员权限相同的场景。

本地授权时,仅需在设备上配置VLAN及VLAN内的网络资源。

用户使用Portal认证或包含Portal认证的混合认证时,不支持为其授权VLAN。用户获取VLAN授权后,需要手动触发DHCP申请IP地址。

业务方案

业务方案及业务方案所包括的网络资源需要在设备上配置。

设备上需要配置业务方案及业务方案内的网络资源。

业务方案可以被域引用,域下的用户就能获取业务方案的授权信息。

用户组(传统模式)

用户组指具有相同角色、相同权限等属性的一组用户(终端)的集合。例如,园区网中可以根据企业部门结构划分研发组、财务组、市场组、访客组等部门用户组,对于不同部门可授予不同安全策略。

本地授权时,仅需在设备上需要配置用户组及用户组内的网络资源。

用户组可以被域引用,域下的用户就能获取用户组的授权信息。

用户组的配置过程参见步骤配置授权用户组

UCL组(统一模式)

UCL组是一种用户类别的标记。借助UCL组管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署一组网络访问策略即能满足该类别所有用户的网络访问需求。

本地授权时,可以在设备上配置UCL组及UCL组内的网络资源。

UCL组可以被域引用,域下的用户就能获取UCL组的授权信息。

UCL组的配置过程参见步骤配置授权UCL组

说明:

S1720GF、S1720GFR-P、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720I-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持UCL组。

操作步骤

  • 配置授权VLAN。

    在设备上配置VLAN及VLAN内的网络资源。

  • 配置授权业务方案。

    具体配置请参见(可选)配置业务方案

  • 配置授权用户组。

    步骤

    命令

    说明

    进入系统视图

    system-view

    创建用户组并进入用户组视图

    user-group group-name

    双链路备份场景下使用用户组时,必须指定用户组索引,并且主备设备上配置的用户组名和用户组索引必须一致。

    在用户组下绑定ACL

    acl-id acl-number

    缺省情况下,用户组下未绑定ACL。

    说明:

    执行该命令前,需确保已使用命令acl(系统视图)acl name创建了ACL,且该ACL下已配置至少一条规则。

    在用户组下绑定VLAN

    user-vlan vlan-id

    缺省情况下,未配置用户组VLAN。

    配置用户组优先级

    remark { 8021p 8021p-value | dscp dscp-value }*

    缺省情况下,未配置用户组优先级。

    说明:

    S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持该命令。

    配置对用户组内的用户进行流量监管

    car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *

    缺省情况下,不对用户组内的用户进行流量监管。

    说明:

    S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持本命令,并且S5720EI、S6720EI和S6720S-EI仅支持将用户组CAR应用在接口出方向上(outbound)。

    退出到系统视图

    quit

    使能用户组功能

    user-group group-name enable

    只有在使能用户组功能后,其上的配置才能生效。

    缺省情况下,未使能用户组功能。

  • 配置授权UCL组。

    步骤

    命令

    说明

    进入系统视图

    system-view

    创建UCL组

    ucl-group group-index [ name group-name ]

    缺省情况下,未创建UCL组。

    (可选)配置静态UCL组

    ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name }

    缺省情况下,未配置静态UCL组。

    说明:

    S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持静态UCL组。

    配置用户ACL

    详细配置请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全》 ACL配置 中的“配置用户ACL”。

    根据UCL组对报文进行过滤。

    配置基于ACL对报文进行过滤

    traffic-filter inbound acl acl-number

    缺省情况下,未配置基于ACL对报文进行过滤。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30861

下载量:1238

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页