所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAC传统模式配置注意事项

NAC传统模式配置注意事项

介绍NAC传统模式的配置注意事项。

涉及网元

表3-1  本特性涉及网元

角色

产品

说明

AAA服务器

华为公司或第三方公司的AAA服务器产品。

负责对用户进行认证、计费和授权。

Portal服务器

华为公司或第三方公司的Portal服务器产品。

负责接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

外置Portal认证方式需要该网元。

说明:

华为公司的Agile Controller-Campus作服务器时,其支持版本为V100R001、V100R002、V100R003

如果需要交换机作为DHCP服务器并且根据Agile Controller-Campus下发的MAC-IP静态绑定关系为终端分配IP地址,需要使用V200R009C00及之后版本的交换机对接V100R002、V100R003版本的Agile Controller-Campus

License支持

NAC传统模式是交换机的基本特性,无需获得License许可即可应用此功能。

版本支持

表3-2  产品形态和软件版本支持情况

系列

产品

支持版本

S2700

S2700SI

不支持

S2700EI

V100R005C01、V100R006(C00&C01&C03&C05)

S2720EI

V200R006C10、V200R009C00、V200R010C00、V200R011C10、V200R012C00

S2750EI

V200R003C00、V200R005C00SPC300、V200R006C00、V200R007C00、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S3700

S3700SI、S3700EI

V100R005C01、V100R006(C00&C01&C03&C05)

S3700HI

V100R006C01、V200R001C00

S5700

S5700LI

V200R001C00、V200R002C00、V200R003(C00&C02&C10)、V200R005C00SPC300、V200R006C00、V200R007C00、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S5700S-LI

V200R001C00、V200R002C00、V200R003C00、V200R005C00SPC300、V200R006C00、V200R007C00、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S5710-C-LI

V200R001C00

S5710-X-LI

V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S5700SI

V100R005C01、V100R006C00、V200R001C00、V200R002C00、V200R003C00、V200R005C00

S5700EI

V100R005C01、V100R006(C00&C01)、V200R001(C00&C01)、V200R002C00、V200R003C00、V200R005(C00&C01&C02&C03)

S5710EI

V200R001C00、V200R002C00、V200R003C00、V200R005(C00&C02)

S5720EI

V200R007C00、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S5720LI、S5720S-LI

V200R010C00、V200R011C00、V200R011C10、V200R012(C00&C20)

S5720SI、S5720S-SI

V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S5720I-SI

V200R012C00

S5730SI

V200R011C10、V200R012C00

S5730S-EI

V200R011C10、V200R012C00

S5700HI

V100R006C01、V200R001(C00&C01)、V200R002C00、V200R003C00、V200R005(C00SPC500&C01&C02)

S5710HI

V200R003C00、V200R005(C00&C02&C03)

S5720HI

V200R006C00、V200R007(C00&C10)、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S5730HI

V200R012C00

S6700

S6700EI

V100R006C00、V200R001(C00&C01)、V200R002C00、V200R003C00、V200R005(C00&C01&C02)

S6720LI、S6720S-LI

V200R011C00、V200R011C10、V200R012C00

S6720SI、S6720S-SI

V200R011C00、V200R011C10、V200R012C00

S6720EI

V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S6720S-EI

V200R009C00、V200R010C00、V200R011C00、V200R011C10、V200R012C00

S6720HI

V200R012C00

说明:

如需了解交换机软件配套详细信息,请点击硬件查询工具

如需了解S1700系列交换机特性支持情况,请查看S1700系列企业交换机-技术规格

特性依赖和限制

NAC模式相关:
  • 相比传统模式,统一模式具有以下优势:采用模板化的配置,使配置层次更加清晰、配置模型更易理解。基于上述优势,建议使用统一模式部署NAC功能。
  • 从V200R005C00版本开始,缺省的NAC模式由传统模式修改为统一模式。因此,V200R005C00之前版本的设备升级到V200R005C00或之后版本时,设备会自动执行命令undo authentication unified-mode配置设备的NAC模式为传统模式。
  • V200R007C00之前版本,传统模式与统一模式相互切换后,需要手动保存配置文件并重启设备,新的NAC模式才能生效。V200R007C00及之后版本,传统模式与统一模式相互切换后,设备会自动保存配置文件并重启。
  • 在V200R008C00版本,部分NAC命令不区分模式(即命令行的格式和视图在传统模式和统一模式下相同)。设备由V200R008C00及之后版本的传统模式切换到V200R009C00及之后版本的统一模式时,这部分命令行的相关的配置可以切换到统一模式下。
  • 统一模式下,仅传统模式支持的命令不可见,反之亦然。同时,NAC模式切换后,两种模式共同支持的命令功能一直生效。
  • NAC传统模式不适用于无线用户,如需通过NAC功能对无线用户进行接入控制,请将NAC模式切换为统一模式。
认证相关:
  • 802.1x认证场景中,如果使能802.1x认证的交换机和用户之间存在二层交换机,则需要在二层交换机上配置802.1x认证报文二层透明传输功能,否则用户无法认证成功。
  • Portal认证场景中,存在用户仿冒IP地址进行认证的安全风险,建议用户配置IPSG和DHCP Snooping等防攻击功能来避免此安全风险。
  • S2720EI(V200R009C00和V200R010C00版本)、S2750EI、S5700-10P-LI-AC以及S5700-10P-PWR-LI-AC作为三层网关的场景中,在已经部署了三层业务的物理口使能NAC功能时,必须执行命令assign forward-mode ipv4-hardware使能IPv4报文三层硬件转发功能。

  • 不能在交换机二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,也不能分开配置认证相关参数。
  • 交换机支持对VPN内的用户进行NAC认证(基于HTTP/HTTPS协议的Portal认证除外),但不支持对不同VPN内IP地址相同的用户进行认证。
  • 在V200R005版本,当主接口上配置了NAC认证时,会影响该接口对应的子接口的业务功能。

  • 采用MAC认证的终端不支持在IPv4和IPv6协议之间切换。所以,为保证终端认证成功后能够正常获取IP地址,建议在终端上仅开启IPv4和IPv6协议中的一种。
授权相关:
  • V200R012C00及之后版本,对从S5720HI、S5730HI和S6720HI上线的用户授权ACL时,如果该ACL不是自定义ACL,则该ACL规则中的源IP地址属性不会生效。其他所有情况下,用户的IP地址会替换ACL规则中的IP地址。V200R012C00之前版本,如果ACL规则中配置了源IP地址,则只有IP地址和该ACL规则中的源IP相同的用户才能够匹配该ACL规则。
  • 终端采用Portal认证或包含Portal认证的混合认证时,不支持为其授权VLAN。
  • 用户终端如果通过DHCP方式获取IP地址,通过CoA方式授权VLAN成功或更改授权VLAN后,需要手动触发DHCP重新申请IP地址。
  • V200R011C10之前版本不支持对用户授权上行/下行报文的DSCP值对于S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-C-LI、S5710-X-LI、S5700SI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S6720LI、S6720S-LI、S6720SI和S6720S-SI,同时对用户授权ACL、上行报文限速值或下行报文限速值时,仅ACL生效。V200R011C10及之后版本支持对用户授权上行报文的DSCP值和下行报文的DSCP值,且授权的ACL、上行报文限速值、下行报文限速值、上行报文的DSCP值和下行报文的DSCP值能够同时生效。
L2 BNG场景:
  • RADIUS服务器对通过S5720HI、S5730HI和S6720HI上线的MAC认证用户授权华为RADIUS扩展属性HW-Forwarding-VLAN,将用户单播或广播报文携带的双层VLAN,替换为ISP VLAN(ISP VLAN不能和用户外层VLAN相同)。
  • 开启MAC认证的交换机不能配置DHCP Snooping和ND Snooping,不支持MAC迁移功能。
  • 交换机作为DHCPv6客户端仅支持通过DHCPv6获取一个IPv6地址;作为DHCPv6服务器时,为保证IPv6的地址的可管理,仅支持通过DHCPv6方式分配IPv6地址,此时,需配置交换机发送RA报文的M标记位为1,表示有状态地址分配,即指定客户端通过有状态协议(如DHCPv6)获得IPv6地址。
  • 如果要给接入用户授权VLAN之外的其他属性时,设备上需要执行命令authorization-modify mode modify配置授权服务器下发的用户授权信息的生效模式为修改模式,否则接入用户会下线。
其他:
  • NAC用户数不要超过整机的MAC表项规格。
  • LNP协商时,接口的链路类型进入稳态之前,NAC用户将无法上线;对于已在线NAC用户,如果接口的链路类型再次进行协商并且协商结果产生变化,则NAC用户将会被强制下线。

  • 对于S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-C-LI、S5710-X-LI、S5700SI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720I-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI和S6720S-SI,交换机配置的基于ACL的简化流策略和基于MQC的流策略中的流分类规则优先级高于NAC中定义的规则。当基于ACL的简化流策略和基于MQC的流策略中的配置与NAC功能冲突时,交换机按照基于ACL的简化流策略配置和基于MQC的流策略中的流行为对报文进行处理。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30433

下载量:1231

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页