评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置用户组功能
背景信息
在NAC实际应用场景中,接入用户数量众多但用户类别却是有限的。针对这种情况,可在设备上创建用户组,并使每个用户组关联到一组ACL规则,则同一组内的用户将共用一组ACL规则。
在创建用户组后,可为用户组配置优先级以及VLAN,这样不同用户组内的用户即具有了不同的优先级以及网络访问权限。这将能够使管理员更灵活的管理用户。
说明: 除了S5720EI、S5720HI、S5730HI、S6720EI、S6720HI和S6720S-EI型号外,其他产品型号使能用户组功能时,每个用户会单独下发ACL规则,无法通过用户组来节省ACL资源。
认证服务器下发的用户组授权优先级高于AAA域下应用的用户组授权,当认证服务器下发的用户组授权失败后,用户会采用AAA域下应用的用户组授权。例如,认证服务器下发用户组A,设备仅配置了用户组B并在AAA域下应用,此时,用户组A授权失败,用户采用用户组B授权。如果用户希望使用认证服务器下发的用户组授权,需要保证认证服务器上下发的用户组在设备上已经配置。
若认证服务器向设备授权多个属性,并且所授权的属性存在包含关系,则授权属性按照最小原则生效。例如,认证服务器向设备授权了VLAN以及用户组,并且设备上用户组中配置了VLAN参数,则认证服务器授权VLAN功能生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令user-group group-name,创建用户组并进入用户组视图。
- 执行命令acl-id acl-number,在用户组下绑定ACL。
缺省情况下,用户组下未绑定ACL。
![]()
说明: 执行该命令前,需确保已使用命令acl(系统视图)或acl name创建了ACL,且该ACL下已配置至少一条规则。
- 执行命令remark { 8021p 8021p-value | dscp dscp-value }*,配置用户组优先级。
缺省情况下,未配置用户组优先级。
- 执行命令car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *,配置对用户组内的用户进行流量监管。
缺省情况下,不对用户组内的用户进行流量监管。
- 执行命令quit,退出到系统视图。
- 执行命令user-group group-name enable,使能用户组功能。
只有在使能用户组功能后,其上的配置才能生效。
缺省情况下,未使能用户组功能。
上一页
