所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置用户组功能

(可选)配置用户组功能

背景信息

在NAC实际应用场景中,接入用户数量众多但用户类别却是有限的。针对这种情况,可在设备上创建用户组,并使每个用户组关联到一组ACL规则,则同一组内的用户将共用一组ACL规则。

在创建用户组后,可为用户组配置优先级以及VLAN,这样不同用户组内的用户即具有了不同的优先级以及网络访问权限。这将能够使管理员更灵活的管理用户。

说明:

除了S5720EI、S5720HI、S5730HI、S6720EI、S6720HI和S6720S-EI型号外,其他产品型号使能用户组功能时,每个用户会单独下发ACL规则,无法通过用户组来节省ACL资源。

认证服务器下发的用户组授权优先级高于AAA域下应用的用户组授权,当认证服务器下发的用户组授权失败后,用户会采用AAA域下应用的用户组授权。例如,认证服务器下发用户组A,设备仅配置了用户组B并在AAA域下应用,此时,用户组A授权失败,用户采用用户组B授权。如果用户希望使用认证服务器下发的用户组授权,需要保证认证服务器上下发的用户组在设备上已经配置。

若认证服务器向设备授权多个属性,并且所授权的属性存在包含关系,则授权属性按照最小原则生效。例如,认证服务器向设备授权了VLAN以及用户组,并且设备上用户组中配置了VLAN参数,则认证服务器授权VLAN功能生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令user-group group-name,创建用户组并进入用户组视图。
  3. 执行命令acl-id acl-number,在用户组下绑定ACL。

    缺省情况下,用户组下未绑定ACL。

    说明:

    执行该命令前,需确保已使用命令acl(系统视图)acl name创建了ACL,且该ACL下已配置至少一条规则。

  4. 执行命令user-vlan vlan-id,配置用户组VLAN。

    缺省情况下,未配置用户组VLAN。

    说明:

    执行该命令之前,需确保已使用命令vlan创建了VLAN。

  5. 执行命令remark { 8021p 8021p-value | dscp dscp-value }*,配置用户组优先级。

    缺省情况下,未配置用户组优先级。

    说明:

    S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持该命令。

  6. 执行命令car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *,配置对用户组内的用户进行流量监管。

    缺省情况下,不对用户组内的用户进行流量监管。

    说明:

    S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持本命令,并且S5720EI、S6720EI和S6720S-EI仅支持将用户组CAR应用在接口出方向上(outbound)。

  7. 执行命令quit,退出到系统视图。
  8. 执行命令user-group group-name enable,使能用户组功能。

    只有在使能用户组功能后,其上的配置才能生效。

    缺省情况下,未使能用户组功能。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29439

下载量:1200

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页