所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置授权信息

(可选)配置授权信息

(可选)配置业务方案

背景信息

用户需要获取授权信息才能上线,可以通过配置业务方案管理用户的授权信息。

说明:

对于NAC接入用户,仅在NAC统一模式支持业务方案授权。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令service-scheme service-scheme-name,创建一个业务方案并进入业务方案视图。

    缺省情况下,设备中没有创建业务方案。

  4. 执行命令admin-user privilege level level,配置用户可以作为管理员登录设备,同时指定登录时的管理员级别。

    level参数的取值范围是0~15。缺省情况下,未配置用户级别。

  5. 配置相关服务器信息。

    步骤

    命令

    说明

    配置DNS主用服务器地址 dns ip-address

    缺省情况下,业务方案下没有配置DNS主用服务器。

    配置DNS备用服务器地址 dns ip-address secondary

    缺省情况下,业务方案下没有配置DNS备用服务器。

  6. 执行命令redirect-acl { acl-number | name acl-name },在业务方案下配置重定向ACL。

    缺省情况下,业务方案中没有配置重定向ACL。

  7. 执行命令idle-cut idle-time flow-value [ inbound | outbound ],使能域用户的闲置切断功能并配置对应的闲置切断参数。

    缺省情况下,域用户的闲置切断功能处于未使能状态。

    说明:

    业务方案视图下的idle-cut命令,仅能够对普通用户(无线用户)进行闲置切断。如果需要对管理用户进行闲置切断,本地认证时,请在AAA视图下执行命令local-user idle-timeout,RADIUS服务器认证时,请使用RADIUS属性28(Idle-Timeout)。

  8. 执行命令access-limit user-name max-num number,配置同一个用户名最多可以接入的用户数量。

    缺省情况下,设备对同一个用户名可以接入的用户数量不做限制,由设备支持的最大接入用户数决定。

  9. 配置业务方案中控制用户网络访问策略的各种参数。

    • 执行命令acl-id acl-number ,在业务方案下绑定ACL。

      缺省情况下,业务方案下未绑定ACL。

      说明:

      执行该命令之前,需确保已使用命令acl(系统视图)acl name创建了ACL;并使用命令rule配置相应的ACL规则。

      各类访问策略优先级顺序为:

      RADIUS服务器下发的ACL编号 > 本地配置的ACL编号 > RADIUS服务器通过编号26-82的属性HW-Data-Filter下发的ACL规则 > RADIUS服务器下发的用户组 > 本地配置的用户组 > RADIUS服务器下发的UCL组 > 本地配置的UCL组

    • 执行命令ucl-group { group-index | name group-name },在业务方案下绑定UCL组。

      缺省情况下,业务方案下未绑定UCL组。

      执行该命令之前,需确保已创建并配置了标记用户类别的UCL组。

    • 执行命令user-vlan vlan-id,在业务方案中配置用户VLAN。

      缺省情况下,在业务方案中未配置用户VLAN。

      执行该命令之前,需确保已使用命令vlan创建了VLAN。

    • 执行命令voice-vlan在业务方案中使能Voice VLAN功能。

      缺省情况下,在业务方案中未使能Voice VLAN功能。

      为使本命令功能生效,需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN,同时使能接口的Voice VLAN功能。

    • 执行命令qos-profile profile-name,在业务方案中绑定QoS模板。

      缺省情况下,在业务方案中未绑定QoS模板。

      说明:

      S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持QoS模板,且仅S5720HI支持user-queue命令。

      执行该命令之前,需确保已配置了QoS模板。配置QoS模板操作步骤如下:
      1. 在系统视图下执行命令qos-profile name profile-name,创建QoS模板并进入QoS模板视图。
      2. 在QoS模板视图下配置流量监管、报文处理优先级与用户队列。(业务方案下绑定QoS模板后,QoS模板中仅以下命令生效。)
        • 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound },在QoS模板中配置流量监管。

          缺省情况下,QoS模板中没有配置流量监管。

        • 执行命令remark dscp dscp-value { inbound | outbound },在QoS模板中配置重标记IP报文的DSCP优先级。

          缺省情况下,QoS模板中没有配置重标记IP报文的DSCP优先级。

        • 执行命令remark 8021p 8021p-value,在QoS模板中配置重标记VLAN报文802.1p优先级。

          缺省情况下,QoS模板中没有配置重标记VLAN报文802.1p优先级。

        • 执行命令user-queue pir pir-value [ flow-queue-profile flow-queue-profile-name ] [ flow-mapping-profile flow-mapping-profile-name ],在QoS模板中创建用户队列实现HQoS调度。

          缺省情况下,QoS模板中未配置用户队列。

        • 执行命令quit,返回到系统视图。

配置用户组

背景信息

用户需要获取授权信息才能上线,可以通过配置用户组管理用户的授权信息。

说明:

仅NAC传统模式支持配置用户组。

操作步骤

  • 配置用户组。

    步骤

    命令

    说明

    进入系统视图

    system-view

    创建用户组并进入用户组视图

    user-group group-name

    双链路备份场景下使用用户组时,必须指定用户组索引,并且主备设备上配置的用户组名和用户组索引必须一致。

    在用户组下绑定ACL

    acl-id acl-number

    缺省情况下,用户组下未绑定ACL。

    说明:

    执行该命令前,需确保已使用命令acl(系统视图)acl name创建了ACL,且该ACL下已配置至少一条规则。

    在用户组下绑定VLAN

    user-vlan vlan-id

    缺省情况下,未配置用户组VLAN。

    配置用户组优先级

    remark { 8021p 8021p-value | dscp dscp-value }*

    缺省情况下,未配置用户组优先级。

    说明:

    S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持该命令。

    配置对用户组内的用户进行流量监管

    car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *

    缺省情况下,不对用户组内的用户进行流量监管。

    说明:

    S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持本命令,并且S5720EI、S6720EI和S6720S-EI仅支持将用户组CAR应用在接口出方向上(outbound)。

    退出到系统视图

    quit

    使能用户组功能

    user-group group-name enable

    只有在使能用户组功能后,其上的配置才能生效。

    缺省情况下,未使能用户组功能。

配置UCL组

背景信息

用户需要获取授权信息才能上线,可以通过配置UCL组管理用户的授权信息。

说明:

仅NAC统一模式支持配置UCL组。

操作步骤

  • 配置授权UCL组。

    步骤

    命令

    说明

    进入系统视图

    system-view

    创建UCL组

    ucl-group group-index [ name group-name ]

    缺省情况下,未创建UCL组。

    (可选)配置静态UCL组

    ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name }

    缺省情况下,未配置静态UCL组。

    说明:

    S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持静态UCL组。

    配置用户ACL

    详细配置请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全》 ACL配置 中的“配置用户ACL”。

    根据UCL组对报文进行过滤。

    配置基于ACL对报文进行过滤

    traffic-filter inbound acl acl-number

    缺省情况下,未配置基于ACL对报文进行过滤。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29599

下载量:1206

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页