所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置接入设备

配置接入设备

背景信息

在大型园区网络中,为了解决策略强度与复杂度之间的矛盾,部署策略联动方案时接入设备只用于执行用户的访问策略。为实现策略联动方案,需要在接入设备上配置策略联动相关功能。

操作步骤

  1. 建立CAPWAP隧道。

    控制设备和接入设备之间使用CAPWAP通道建立连接。并且,通过CAPWAP通道完成控制设备和接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。

    1. 执行命令system-view,进入系统视图。

    2. 创建CAPWAP隧道的管理VLAN并配置对应VLANIF接口的IP地址。
      说明:

      CAPWAP隧道的管理VLAN与云交换机的管理VLAN或PNP VLAN不能是同一个VLAN。

      策略联动中,CAPWAP隧道的管理VLAN用于接入设备上线,除基本配置外,不建议在管理VLAN及其对应的VLANIF下配置其他业务,以免造成接入设备无法正常上线。

      1. 执行命令vlan batch vlan-id,创建管理VLAN。

      2. 执行命令interface vlanif vlan-id,创建VLANIF接口并进入VLANIF接口视图。

      3. 执行命令ip address ip-address { mask | mask-length },静态配置VLANIF接口的IP地址;或者执行命令ip address dhcp-alloc,使能VLANIF接口的DHCP客户端功能。

      4. 执行命令quit,返回到系统视图。

    3. 执行命令as access interface vlanif vlan-id,在接入设备上指定建立CAPWAP隧道的源接口。

      缺省情况下,接入设备上未指定建立CAPWAP通道的源接口。

      源接口对应的VLAN ID即管理VLAN ID。

    4. 执行命令as access controller ip-address ip-address,在接入设备上指定控制设备的IP地址。

      缺省情况下,接入设备上未指定控制设备的IP地址。

      当静态配置管理VLAN对应的VLANIF接口的IP地址时,必须配置此步骤。当使用DHCP服务器给管理VLAN对应的VLANIF接口分配IP地址时,可以通过Option43选项把控制设备的IP地址告知给接入设备,详细配置请根据实际使用的接入设备参见其对应形态《配置指南-IP业务》中的DHCP配置。

  2. 配置接口作为接入点。

    1. 执行命令interface interface-type interface-number,进入接口视图。

    2. 执行命令authentication access-point [ open ],在接入设备的接口下使能远程接入控制功能。

      缺省情况下,接入设备的接口下未使能远程接入控制功能。

      说明:

      如果用户希望权限控制功能放在控制设备上、接入设备不做权限控制,可以在接入设备上关闭接入点的权限控制功能(指定open参数)。例如,现网存在单MAC多IP地址的终端时,需要在控制设备上配置通过IP地址标记静态用户的功能,但是由于接入设备无法生成多个与之对应的表项,因此接入设备上不能进行权限控制,此时可以在接入设备上关闭接入点的权限控制功能。

      执行命令authentication access-point open时,还需同时执行命令authentication access-point,否则authentication access-point open命令功能不生效。

    3. (可选)执行命令authentication access-point max-user max-user-number,在接入设备的接口上配置允许接入用户的最大数目。

      缺省情况下,接入设备的接口上没有限制允许接入用户的最大数目。

    4. 执行命令quit,返回到系统视图。

  3. (如果接入的AS为堆叠系统)执行命令stack timer mac-address switch-delay 0,配置堆叠系统MAC不切换。

    如果接入的AS为堆叠系统,某些异常情况下,如果堆叠系统MAC切换,会引起Parent上AS认证表项中的MAC地址与切换后的系统MAC地址不一致,导致AS下连的用户无法认证上线。因此,建议执行该命令配置堆叠系统MAC不切换。

  4. 配置扩展功能与可选参数。

    • 执行命令authentication speed-limit max-num max-num-value interval interval-value,配置接入设备发送用户关联和去关联请求消息的速率限制。

      缺省情况下,接入设备在30秒内发送用户关联和去关联请求消息的最大个数为60个。

    • 执行命令user-detect { interval interval-value | retry retry-value } *,使能用户在线探测的功能并配置用户在线探测周期及报文重传次数。

      缺省情况下,用户在线探测的功能处于使能状态,用户在线探测周期为15秒,报文重传次数为3次。

    • 执行命令user-sync interval interval-value,使能用户与控制设备上在线用户之间的同步功能。

      缺省情况下,用户同步功能处于使能状态,用户同步周期为60秒。

      说明:

      为使同步功能正常,接入设备和控制设备需要同时打开用户同步功能,且接入设备上配置的用户同步间隔要小于等于控制设备上配置的用户同步间隔,避免用户被同步误下线。

    • 执行命令control-down offline delay { delay-value | unlimited },配置CAPWAP通道故障后接入设备上的用户下线延时的时间。

      缺省情况下,CAPWAP通道故障后接入设备上的用户立即下线。

    • 配置关联用户接入限制告警功能。

      • 执行命令authentication associate alarm-restrain enable,打开关联用户接入限制的告警抑制功能。

        缺省情况下,已打开关联用户接入限制的告警抑制功能。

      • 执行命令authentication associate alarm-restrain period period-value,配置关联用户接入限制的告警抑制周期。

        缺省情况下,关联用户接入限制的告警抑制周期为300秒。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30707

下载量:1237

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页