所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
策略联动配置注意事项

策略联动配置注意事项

介绍策略联动的配置注意事项。

涉及网元

表4-1  本特性涉及网元

角色

产品

说明

AAA服务器

华为公司或第三方公司的AAA服务器产品。

负责对用户进行认证、计费和授权。

Portal服务器

华为公司或第三方公司的Portal服务器产品。

负责接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

外置Portal认证方式需要该网元。

说明:

华为公司的Agile Controller-Campus作服务器时,其支持版本为V100R001、V100R002、V100R003

如果需要交换机作为DHCP服务器并且根据Agile Controller-Campus下发的MAC-IP静态绑定关系为终端分配IP地址,需要使用V200R009C00及之后版本的交换机对接V100R002、V100R003版本的Agile Controller-Campus

License支持

策略联动是交换机的基本特性,无需获得License许可即可应用此功能。

版本支持

说明:

V200R011C10之前版本,控制设备的版本和接入设备的版本必须相同。

V200R011C10及之后版本:
  • 独立策略联动:控制设备和接入设备的版本可以不一致。即只要该设备可以作为控制/接入设备,且设备版本为V200R011C10或之后版本,则该设备可以作为独立策略联动场景下的控制/接入设备。例1,控制设备的版本为V200R011C10,接入设备的版本可以是V200R011C10,也可以是V200R012C00或之后版本。例2,接入设备的版本为V200R012C00,控制设备的版本可以是V200R011C10,也可以是V200R012C00或之后版本。
  • SVF场景下的策略联动:控制设备和接入设备的详细配套关系请参见相应版本《配置指南-设备管理》 SVF配置 中的“SVF版本支持情况”。
表4-2  产品形态和软件版本支持情况

版本

可以作为控制设备的设备

可以作为接入设备的设备

V200R011C10及之后版本

  • S12704、S12708、S12710、S12712
  • S7703、S7706、S7710、S7712
  • S7905、S7908
  • S9703、S9706、S9712
  • S9303、S9306、S9310、S9312
  • S9303E、S9306E、S9312E
  • S9310X
  • S5720HI、S5730HI、S6720SI、S6720S-SI、S6720EI、S6720S-EI、S6720HI
  • S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720I-SI、S5730SI、S5730S-EI、S5720EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S6720EI、S6720S-EI
  • S600-E
  • E600

V200R011C00

  • S5720HI、S6720EI、S6720S-EI
  • S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S6720EI、S6720S-EI
  • E600
  • S600-E

V200R010C00

  • S12704、S12708、S12710、S12712
  • S7703、S7706、S7710、S7712
  • S9703、S9706、S9712
  • S5720HI、S6720EI、S6720S-EI
  • S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720EI、S6720EI、S6720S-EI
  • E600
  • S600-E

V200R009C00

  • S12704、S12708、S12712
  • S7703、S7706、S7712
  • S9703、S9706、S9712
  • S5720HI、S6720EI、S6720S-EI
  • S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720SI、S5720S-SI、S5720EI、S6720EI、S6720S-EI
  • E600

V200R008C00

  • S12704、S12708、S12712
  • S7703、S7706、S7712
  • S9703、S9706、S9712
  • S5720HI
  • S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720SI、S5720S-SI、S5720EI
  • E600

V200R007C00

  • S12708、S12712
  • S7703、S7706、S7712
  • S9703、S9706、S9712
  • S5720HI
  • S2750EI、S5700LI、S5700S-LI、S5720EI

特性依赖和限制

组网相关:

  • 控制设备和接入设备之间可以直连,也可以跨越纯二层网络,且用户的网关必须位于控制设备上或控制设备的上行设备上。
  • 控制设备可以是单台设备,也可以是由两台框式设备组成的集群或由多台盒式设备组成的堆叠。接入设备可以是单台设备,也可以是由多台设备组成的堆叠。堆叠所使用的设备必须是型号、接口完全相同的设备。
  • S6720SI、S6720S-SI、S6720EI和S6720S-EI既支持作为控制设备,也支持作为接入设备,但无法同时作为控制设备和接入设备。您可以执行as-mode disable命令将接入设备切换为控制设备,或执行undo as-mode disable命令将控制设备切换为接入设备。

基础功能相关:
  • 控制设备与接入设备间只支持策略的联动,不支持配置信息的联动。
  • 策略联动只支持有线用户,并且用户在线时,不支持MAC迁移。当用户在接入设备之间或接入接口之间切换时,用户可能无法正常上线。此时可以减少用户离线探测时间(没有HUB场景下,推荐配置为15~30S),这样能更快的检测用户从老的端口下线,从而能够在新端口成功上线。例如:可以在接入设备的认证模板下执行命令link-down offline delay 0配置接口链路故障时用户延时下线的时间间隔为0,同时在系统视图下执行命令user-detect interval 10 retry 2配置在线用户探测功能,使用户尽快上线。
控制点相关:
  • 控制点可以在二层物理接口或VLANIF接口下配置。当NAC认证接口为VLANIF接口时,要求VLANIF接口以及其对应的物理接口都要配置为控制点;并且对应的物理接口下不能再配置NAC认证。

NAC认证相关:
  • 策略联动仅在NAC统一模式下支持。

  • 策略联动不支持IPv6网络,不能通过DHCPv6报文或ND报文触发认证。

  • S7700&S7900&S9700&S12700系列交换机支持PPPoE认证,但在策略联动方案中不支持。

  • S2700&S5700&S6700&E600&S600-E系列交换机支持内置Portal认证,但在策略联动方案中不支持。

  • 策略联动不支持三层Portal认证,不支持用户的接入模式为multi-share模式。

  • 策略联动不支持接入设备上部分接口配置成策略联动、部分接口配置成本设备认证。

  • 策略联动中设备对用户采用的认证方式是由控制设备上配置的认证方式和认证顺序决定的。

  • 策略联动中控制设备上配置了NAC认证、接入设备上没有配置NAC认证时,用户无法上线。组网时,建议将认证用户和非认证用户划分到不同的VLAN,根据VLAN配置免认证规则,放行非认证用户。

  • 策略联动中,如果希望用户在认证成功前也能访问部分网络权限。首先需要在接入设备上,通过命令free-rule rule-id destination any source any将用户的所有网络访问权限放开;然后在控制设备上,通过命令authentication event action authorize配置用户在认证成功前的网络访问权限。

  • 策略联动场景下授权VLAN时:
    • 接入设备的下行口必须配置为Hybrid类型,接入设备连接控制设备的上行口可以配置为Trunk类型或Hybrid类型,但必须配置允许授权的VLAN通过,如果接入设备与控制设备之间存在透传设备,则透传设备也要配置允许授权的VLAN通过。
    • V200R011C10之前版本,控制设备连接接入设备的下行口必须配置为Hybrid类型;V200R011C10及其之后版本,控制设备连接接入设备的下行口可以配置为Hybrid类型或Trunk类型。
    • 控制设备开启认证的接口收到的报文,必须是携带VLAN Tag的报文或者该接口已将授权的VLAN配置为该接口的缺省VLAN(PVID),否则授权VLAN不生效。
接入设备名称相关:
  • 接入设备的实际名称可能与其在控制设备上的显示(通过命令display as all查看)不一致,这是由于接入设备上线的过程中,其名称会进行以下转换处理:
    • 如果接入设备采用系统默认名称,则控制设备上,接入设备的名称转换为“系统默认名称-接入设备的MAC地址”。
    • 如果接入设备的名称中包含空格或双引号,则控制设备上,接入设备名称中的空格转换为短横杠、双引号转换为单引号。
  • 接入设备名称不区分大小写,在控制设备上查看时接入设备的名称均为小写。接入设备上线过程中,如果名称(经过转换处理后的)相同,则会导致接入设备上线失败,并发送名称冲突告警;接入设备正常运行过程中,由于修改导致接入设备名称相同,仅发送名称冲突告警,不会造成接入设备下线。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29422

下载量:1200

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页