所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置用户接入模式

(可选)配置用户接入模式

背景信息

使能NAC认证功能后,可根据接口下的实际用户接入情况配置用户接入模式。
  • single-terminal:常用于设备接口下仅有一个数据终端接入网络的场景。
  • single-voice-with-data:常用于设备接口下仅有一个数据终端通过一个语音终端接入网络的场景。
  • multi-share:常用于设备接口下存在多个数据终端接入网络且安全性要求不高的场景。
  • multi-authen:常用于设备接口下存在多个数据终端接入网络且安全性要求较高的场景。在该接入模式下,管理员可根据接口下实际的用户数目部署最大接入用户数,这样能够防止该接口下恶意用户占用大量设备资源,导致设备其他接口下用户不能上线的问题。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。
  3. 执行命令authentication mode { single-terminal | single-voice-with-data | multi-share | multi-authen [ max-user max-user-number [ dot1x | mac-authen | portal | none ] * ] },配置接口的用户接入模式或接口的接入认证模式为multi-authen时允许接入的最大用户数。

    缺省情况下,接口的接入认证模式为multi-authen

    说明:
    • VLANIF接口不支持该功能。
    • 命令authentication mode multi-authen max-user max-user-number仅表示multi-authen模式时接口允许接入的最大用户数,不表示指定接口的接入模式。接口的接入模式需要修改为multi-authen时,必须配置命令authentication mode multi-authen

    • 对于S5720HI、S6720HI和S5730HI,Eth-Trunk接口下配置multi-share模式时,不支持对从该Eth-Trunk接口上线的用户授权上行速率限制。
    • 物理接口配置multi-share模式时,如果第一个接入的用户没有认证成功并建立预连接,会导致后续接入的用户也无法认证成功。因此,物理接口配置multi-share模式时,在不能确保第一个用户能够认证成功的情况下:
      • 建议用户在使用802.1X认证或MAC认证时,不要建立预连接。可以通过配置没有预连接授权不建立表项功能来解决(通过命令undo authentication pre-authen-access enable配置)。
      • 建议用户不要与Portal认证同时使用。
    • 策略联动场景下,AS设备上配置命令authentication mode multi-authen max-user max-user-number不生效。如果想配置AS设备的用户接入数,可执行命令authentication access-point max-user max-user-number,在接入设备的接口上配置允许接入用户的最大数目。

    • 当认证模板下的authentication modemulti-authen时,如果要授权VLAN,策略联动场景需配置端口类型为hybrid或trunk,其他场景需配置端口类型为hybrid。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:32788

下载量:1266

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页