所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置RADIUS属性

(可选)配置RADIUS属性

配置RADIUS属性禁用和转换功能

背景信息

由于不同厂商支持的RADIUS属性存在不兼容问题,因此在对接替换场景中经常使用RADIUS属性禁用功能和RADIUS属性转换功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server template template-name,进入RADIUS服务器模板视图。

    缺省情况下,设备上存在一个名为“default”的RADIUS服务器模板,只能修改,不能删除。

  3. 执行命令radius-server attribute translate,启动RADIUS属性禁用和转换功能。

    缺省情况下,未启动RADIUS属性禁用和转换功能。

  4. 执行命令radius-attribute disable attribute-name { receive | send } *,配置RADIUS属性禁用功能。

    缺省情况下,所有RADIUS属性均未被禁用。

  5. 配置RADIUS属性转换功能。

    • radius-attribute translate src-attribute-name dest-attribute-name { receive | send | access-accept | access-request | account-request | account-response } *
    • radius-attribute translate extend vendor-specific src-vendor-id src-sub-id dest-attribute-name { access-accept | account-response } *
    • radius-attribute translate extend src-attribute-name vendor-specific dest-vendor-id dest-sub-id { access-request | account-request } *

    缺省情况下,没有转换任何RADIUS属性。

检查配置结果
  • 执行命令display radius-attribute [ name attribute-name | type { attribute-number1 | huawei attribute-number2 | microsoft attribute-number3 | dslforum attribute-number4 } ],查看设备支持的RADIUS属性。
  • 执行命令display radius-attribute [ template template-name ] disable,查看设备禁用的RADIUS属性。
  • 执行命令display radius-attribute [ template template-name ] translate,查看RADIUS属性转换的配置信息。

配置RADIUS属性检查功能

背景信息

配置RADIUS属性检查功能后,设备检查接收的RADIUS认证成功报文中是否携带指定属性,携带有该属性则按认证成功处理,未携带则按认证失败处理、丢弃该报文。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server template template-name,进入RADIUS服务器模板视图。

    缺省情况下,设备上存在一个名为“default”的RADIUS服务器模板,只能修改,不能删除。

  3. 执行命令radius-attribute check attribute-name,配置对接收的RADIUS认证成功报文内的指定属性进行检查。

    缺省情况下,对接收的RADIUS认证成功报文不做检查。

更改RADIUS属性值

背景信息

不同厂商的RADIUS服务器支持的同一属性的属性值可能有所不同。为了实现与不同的RADIUS服务器对接,设备支持更改RADIUS属性的值。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server template template-name,进入RADIUS服务器模板视图。

    缺省情况下,设备上存在一个名为“default”的RADIUS服务器模板,只能修改,不能删除。

  3. 执行命令radius-attribute set attribute-name attribute-value [ auth-type mac | user-type ipsession ],更改RADIUS属性的属性值。

    缺省情况下,RADIUS属性的属性值不会被修改。

配置RADIUS标准属性

背景信息

设备支持的RADIUS属性及其说明请参考RADIUS属性。部分RADIUS标准属性的内容或格式支持可配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server template template-name,进入RADIUS服务器模板视图。

    缺省情况下,设备上存在一个名为“default”的RADIUS服务器模板,只能修改,不能删除。

  3. 配置RADIUS标准属性

    • 配置RADIUS属性4(NAS-IP-Address)和RADIUS属性95(NAS-IPv6-Address)

      • 执行命令radius-attribute nas-ip { ip-address | ap-info },配置RADIUS属性4(NAS-IP-Address)。

        缺省情况下,使用NAS的源IP地址作为NAS-IP-Address属性的值。

      • 执行命令radius-attribute nas-ipv6 ipv6-address,配置RADIUS属性95(NAS-IPv6-Address)。

        缺省情况下,未配置NAS-IPv6-Address属性。

    • 配置RADIUS属性5(NAS-Port)

      1. 执行命令radius-server nas-port-format { new | old },配置NAS(Network Access Server)端口的形式。

        缺省情况下,NAS端口形式采用新格式。

        当NAS端口形式采用新格式时,可以执行以下步骤配置new格式的具体形式。

      2. 执行命令radius-server format-attribute nas-port nas-port-sting,NAS端口形式采用new格式的具体形式。

        缺省情况下,NAS端口形式采用新格式的默认形式。

    • 配置RADIUS属性30(Called-Station-Id)

      1. 执行命令called-station-id wlan-user-format { ap-mac | ac-mac | ac-ip | ap-name | ap-group-name | vlanid | ap-location } [ include-ssid [ delimiter delimiter ] ],配置RADIUS属性30(Called-Station-Id)封装的内容。

        缺省情况下,Called-station-id (30)属性封装的内容为AP的MAC地址和SSID,AP的MAC地址和SSID之间用“:”隔开,格式为ap-mac:ssid。

        其中,AP的MAC地址和AC的MAC地址格式,可以通过以下步骤设置。

        说明:

        S5720HI、S6720HI和S5730HI支持该功能。

      2. 执行命令called-station-id mac-format { dot-split | hyphen-split } [ mode1 | mode2 ] [ lowercase | uppercase ]或者called-station-id mac-format unformatted [ lowercase | uppercase ],配置RADIUS属性30(Called-Station-Id)中MAC地址的封装格式。

        缺省情况下,RADIUS属性30(Called-Station-Id)中MAC地址的格式为XX-XX-XX-XX-XX-XX,大写形式。

    • 配置RADIUS属性31(Calling-Station-Id)

      执行命令Calling-Station-Id mac-format { dot-split | hyphen-split | colon-split } [ mode1 | mode2 ] [ lowercase | uppercase ]或者Calling-Station-Id mac-format { unformatted [ lowercase | uppercase ] | bin },配置RADIUS属性31(Calling-Station-Id)中MAC地址的封装格式。

      缺省情况下,RADIUS属性31(Calling-Station-Id)中MAC地址的封装格式为xxxx-xxxx-xxxx,小写形式。

    • 配置RADIUS属性32(NAS-Identifier)

      执行命令radius-server nas-identifier-format { hostname | vlan-id | ap-info },配置NAS-Identifier属性封装的形式。

      缺省情况下,NAS-Identifier属性封装的形式为用户的主机名。

    • 配置RADIUS属性80(Message-Authenticator)

      执行命令radius-server attribute message-authenticator access-request,配置设备发送认证报文时,携带RADIUS属性80(Message-Authenticator)。

      缺省情况下,认证报文未携带RADIUS属性80(Message-Authenticator)。

    • 配置RADIUS属性87(NAS-Port-Id)

      执行命令radius-server nas-port-id-format { new [ client-option82 ] | old | vm | vendor vendor-id },配置NAS端口ID的形式。

      缺省情况下,采用新的NAS端口ID形式。

      说明:

      S5720EI支持vm参数。

配置华为RADIUS扩展属性

背景信息

设备支持的RADIUS属性及其说明请参考RADIUS属性。部分华为RADIUS扩展属性的内容或格式支持可配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令radius-server template template-name,进入RADIUS服务器模板视图。

    缺省情况下,设备上存在一个名为“default”的RADIUS服务器模板,只能修改,不能删除。

  3. 配置华为RADIUS扩展属性

    • 执行命令radius-server hw-ap-info-format include-ap-ip,配置华为RADIUS扩展属性26-141(HW-AP-Information)中携带AP设备的IP地址。

      缺省情况下,华为RADIUS扩展属性26-141(HW-AP-Information)中不携带AP设备的IP地址。

      说明:

      S5720HI、S6720HI和S5730HI支持该功能。

    • 执行命令radius-server hw-dhcp-option-format { new | old },配置华为RADIUS扩展属性26-158(HW-DHCP-Option)的格式。

      缺省情况下,华为RADIUS扩展属性26-158(HW-DHCP-Option)的格式为old

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29658

下载量:1207

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页