所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
应用NAC

应用NAC

背景信息

认证模板用来统一管理NAC的相关配置。通过将认证模板绑定到接口或VAP模板视图下来使能NAC,实现对接口或VAP模板下的用户进行接入控制。接口或VAP模板下用户的认证类型由认证模板下绑定的接入模板决定。接入模板的配置请参见配置接入模板

使能NAC功能时,需要注意以下几点:
  • 支持NAC功能的接口或模板有:VLANIF接口、Ethernet接口、GE接口、MultiGE接口、XGE接口、40GE接口、100GE接口、Eth-Trunk接口、端口组和VAP模板。NAC功能在不同接口上的支持情况如下:
    • 802.1X认证仅在二层接口上支持。
    • MAC认证在二层接口和VLANIF接口上支持。(仅S5720SI、S5720S-SI、S1720X-E、S5720I-SI、S5730SI、S5730S-EI、S5720EI、S5720HI、S5730HI、S6720HI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S6720EI和S6720S-EI支持在VLANIF接口下配置MAC认证)
    • Portal认证在不同类型接口上的支持情况有差异:路由主接口(仅S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持)仅支持三层Portal认证方式、二层接口仅支持二层Portal认证方式、VLANIF接口支持二层和三层Portal认证方式。

    • Super-VLAN对应的VLANIF接口不支持Portal认证。
  • 对于无线用户通过AP接入,在为用户部署NAC认证时,务必保证AP设备也能够通过认证(可采用将AP设备加入静态用户等方式实现),否则无线用户也无法通过认证。
  • 不能在二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,否则会导致用户上线后无网络访问权限。另外,无线场景下,不能在VAP模板和VLANIF接口上同时使能NAC认证功能。

  • 接口使能NAC功能之后,不能再执行以下命令,反之亦然:

    命令

    功能

    mac-limit

    配置接口的最大MAC地址学习个数。

    mac-address learning disable

    关闭接口的MAC地址学习功能。

    port link-type dot1q-tunnel

    配置接口的链路类型为QinQ。

    port vlan-mapping vlan map-vlan

    port vlan-mapping vlan inner-vlan

    配置接口的VLAN Mapping功能。

    port vlan-stacking

    配置灵活QinQ功能。

    mac-vlan enable

    使能接口的MAC VLAN功能。

    ip-subnet-vlan enable

    使能接口基于IP子网划分VLAN的功能。

    user-bind ip sticky-mac

    说明:

    该命令仅与802.1X认证和MAC认证冲突。

    使能根据绑定表生成Snooping类型MAC表项的功能。
  • 执行encapsulation(二层子接口视图)命令配置二层子接口允许通过的流封装类型为default后,该二层子接口对应的主接口无法配置NAC功能。
  • 主接口配置NAC功能后,其二层子接口无法再执行bridge-domain(二层子接口视图)命令与BD关联;二层子接口执行bridge-domain(二层子接口视图)命令与BD关联后,其主接口无法再配置NAC功能。

前置任务

配置认证模板,详细配置步骤请参见配置认证模板

操作步骤

  • 接口下使能NAC

    1. 执行命令system-view,进入系统视图。

    2. 执行命令interface interface-type interface-number,进入接口视图。

    3. 执行命令authentication-profile authentication-profile-name,接口下应用认证模板。

      缺省情况下,接口下没有应用认证模板。

  • VAP模板下使能NAC。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令wlan,进入WLAN视图。
    3. 执行命令vap-profile name profile-name,进入VAP模板视图。
    4. 执行命令authentication-profile authentication-profile-name,VAP模板下应用认证模板。

      缺省情况下,VAP模板下没有应用认证模板。

检查配置结果

执行命令display authentication interface interface-type interface-number,查看接口下NAC认证方式的配置信息。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29749

下载量:1207

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页