所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置802.1X快速部署功能

(可选)配置802.1X快速部署功能

背景信息

在802.1X网络部署中,若需为每一个接入用户下载、升级802.1X客户端软件,则在接入用户数目较多时将给管理员带来巨大的工作量。通过为用户配置免认证IP网段和URL重定向功能,可以实现用户802.1X客户端的快速部署。

接入用户在802.1X认证成功前,通过配置免认证IP网段,用户就能够访问免认证IP网段内的网络资源,通过配置802.1X用户HTTP访问URL重定向功能,当用户使用浏览器访问网络时,设备会将用户访问的URL重定向到已配置的URL(例如,重定向到802.1X客户端下载界面),这样只要用户打开浏览器,就必须进入管理员预设的界面。需要注意的是,提供重定向URL的服务器必须位于用户的免认证IP网段内。

说明:

对于S2750EI、S5700-10P-LI-AC以及S5700-10P-PWR-LI-AC,仅在IPv4报文三层硬件转发功能开启时,才能支持802.1X快速部署功能。配置IPv4报文三层硬件转发功能请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-IP业务》 IP性能优化配置 中的“配置IPv4报文三层硬件转发功能”。

  • 为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

  • 配置了free-ip功能后,Guest VLAN、Critical VLAN以及Restrict VLAN功能将不再生效。

  • free-ip功能只在端口授权状态为auto的情况下生效。

  • 未通过802.1X认证的用户,如果希望通过DHCP服务器动态获得IP地址,需要把DHCP服务器所在的网段配置成免认证IP网段,使用户能够访问DHCP服务器。

  • 当802.1X用户通过客户端主动下线后,为了防止恶意攻击,用户会在一段时间内受到限制而无法访问免费区网络资源。

  • 用户成为802.1X快速部署用户后,不能访问除免认证IP网段以外的资源,但能够访问设备的一些资源。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x free-ip ip-address { mask-length | mask-address },配置免认证IP网段。

    缺省情况下,未配置免认证IP网段。

  3. (可选)执行命令dot1x timer free-ip-timeout free-ip-time-value,配置免认证用户表项的老化时间。

    缺省情况下,免认证用户表项不老化。

  4. 执行命令dot1x url url-string,配置802.1X认证的重定向URL。

    缺省情况下,未配置802.1X认证的重定向URL。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29878

下载量:1208

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页