所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置控制设备

配置控制设备

背景信息

在大型园区网中,为了解决园区网策略强度与复杂度之间的矛盾,部署策略联动时将认证网关作为控制设备并用于用户认证以及访问策略的控制。为实现策略联动方案,需要在控制设备上配置策略联动相关功能。

操作步骤

  1. 建立CAPWAP隧道。

    控制设备和接入设备之间使用CAPWAP隧道建立连接。并且,通过CAPWAP隧道完成控制设备和接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。

    1. 创建管理VLAN:
      说明:

      CAPWAP隧道的管理VLAN与云交换机的管理VLAN或PNP VLAN不能是同一个VLAN。

      策略联动中,CAPWAP隧道的管理VLAN用于接入设备上线,除基本配置外,不建议在管理VLAN及其对应的VLANIF下配置其他业务,以免造成接入设备无法正常上线。

      1. 执行命令system-view,进入系统视图。

      2. 执行命令vlan batch vlan-id,创建管理VLAN。

      3. 执行命令interface vlanif vlan-id,创建VLANIF接口并进入VLANIF接口视图。

      4. 执行命令ip address ip-address { mask | mask-length },配置VLANIF接口的IP地址。

      5. 执行命令quit,返回到系统视图。

    2. 指定CAPWAP隧道的源接口:

      说明:
      设备支持使用VLANIF接口或Loopback接口作为CAPWAP隧道的源接口。
      • VLANIF接口:适用于所有关联这个控制设备的接入设备都在一个管理VLAN的场景。
      • Loopback接口:适用于所有关联这个控制设备的接入设备属于不同管理VLAN的场景。多个管理VLAN时,控制上需配置多个VLANIF接口,如果使用某个VLANIF接口作为源接口,则该接口故障后,所有的接入设备都不能继续工作。而Loopback接口创建后一直保持UP状态,此时,如果某个VLANIF接口故障,则只有该VLANIF接口关联的接入设备不能正常工作,提高了网络可靠性。

      配置多个源接口和SVF功能互斥,如果SVF功能开启,则只能配置一个源接口。

      配置多个源接口,不同源接口加入不同的VPN实例时,源接口下配置的IP地址不能相同。

      • 指定VLANIF接口作为CAPWAP隧道的源接口:

        执行命令capwap source interface vlanif vlan-id,在控制设备上指定建立CAPWAP隧道的源接口。

        缺省情况下,控制设备上未指定建立CAPWAP隧道的源接口。

        源接口对应的VLAN ID即管理VLAN ID。

      • 指定Loopback接口作为CAPWAP隧道的源接口:
        1. 执行命令interface loopback loopback-number,创建Loopback接口并进入Loopback接口视图。

        2. 执行命令ip address ip-address { mask | mask-length },配置Loopback接口的IP地址。

        3. 执行命令quit,返回到系统视图。

        4. 执行命令capwap source interface loopback loopback-number,在控制设备上指定建立CAPWAP隧道的源接口。

          缺省情况下,控制设备上未指定建立CAPWAP隧道的源接口。

      说明:

      Loopback接口作为CAPWAP隧道的源接口时,需要指定管理VLAN对应的VLANIF接口到Loopback接口的路由。

      如果控制设备作为DHCP服务器为接入设备分配IP地址,还需要在管理VLAN对应的VLANIF接口上配置DHCP服务器功能。详细配置请根据实际使用的控制设备参见其对应形态《配置指南-IP业务》中的DHCP配置。

  2. 配置接口作为控制点。

    控制点可以在二层物理接口或VLANIF接口下配置。当NAC认证接口为VLANIF接口时,要求VLANIF接口以及其对应的物理接口都要配置为控制点;并且对应的物理接口下不能再配置NAC认证。

    1. 执行命令interface interface-type interface-number,进入接口视图。
    2. 执行命令authentication control-point [ open ],配置接口作为控制点。

      缺省情况下,未配置接口作为控制点。

      配置参数open时,控制点直接转发用户流量。不配置参数open时,控制点通过NAC认证对用户流量进行转发权限管理。

      说明:

      VLANIF接口不支持配置参数open

      如下接口作为控制点时,仅支持直接转发用户流量,即仅支持配置命令authentication control-point open
      • LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板、X系列单板上的接口
      • 包含非LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板、X系列单板接口的Eth-Trunk接口
      • S6720SI、S6720S-SI、S6720EI或S6720S-EI上的接口
      • 包含S6720SI、S6720S-SI、S6720EI或S6720S-EI接口的Eth-Trunk接口
    3. (可选)执行命令authentication open ucl-policy enable,配置直接转发用户流量的控制点在转发用户流量之前,基于用户ACL对用户流量进行过滤。

      缺省情况下,已执行authentication control-point open命令的控制点直接转发用户流量。

      说明:

      S5720HI、S5730HI、S6720HI、LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板和X系列单板支持该命令。

    4. 执行命令quit,返回到系统视图。

  3. 配置接入设备接入认证。

    缺省情况下,接入设备需要经过认证才可以接入到控制设备。控制设备通过黑、白名单对接入设备进行认证,在黑名单中的接入设备不可以接入到控制设备,在白名单中的接入设备可以接入到控制设备。对于既不在黑名单中也不在白名单中的接入设备,不能通过认证,需要用户手动确认哪些接入设备允许通过认证。用户也可以设置不对接入设备进行认证,这样无论接入设备是否在黑、白名单中都可以接入到控制设备。

    此功能的配置与SVF场景下Parent设备上配置的AS接入认证类似。详细配置请根据实际使用的控制设备参见其对应形态《配置指南-设备管理》 SVF配置 中的“配置AS接入认证”。

  4. 配置下发到控制设备和接入设备的用户授权信息。

    1. 执行命令aaa,进入AAA视图。
    2. 执行命令service-scheme service-scheme-name,创建一个业务方案并进入业务方案视图。
    3. 执行命令remote-authorize { acl | car | ucl-group } *,指定下发到接入设备的用户授权信息。

      缺省情况下,所有的用户授权信息均不能下发到接入设备。

      说明:

      在授权ACL或UCL组时,为了保证授权信息在接入设备能够正常生效,则需要在接入设备上配置相应的ACL或UCL组。

    4. 执行命令local-authorize { none | { acl | car | priority | ucl-group | vlan } * },指定下发到控制设备的用户授权信息。

      说明:

      在授权ACL或UCL组时,为了保证授权信息在控制设备能够正常生效,则需要在控制设备上配置相应的ACL或UCL组。

      缺省情况下,所有的用户授权信息均能下发到控制设备。

    5. 执行命令quit,返回到AAA视图。

    6. 执行命令quit,返回到系统视图。

  5. 配置扩展功能与可选参数。

    1. 执行命令interface interface-type interface-number,进入接口视图。

    2. 根据网络需求,可以选择以下配置:
      • 执行命令user-sync { interval interval-value | retry retry-value } *,使能在线用户与接入设备上的用户之间的同步功能并配置用户同步周期及尝试次数。

        缺省情况下,用户同步功能处于使能状态,用户同步周期为60秒,尝试次数为10次。

        说明:

        为使同步功能正常,接入设备和控制设备需要同时打开用户同步功能,且接入设备上配置的用户同步间隔要小于等于控制设备上配置的用户同步间隔,避免用户被同步误下线。

      • 执行命令control-down offline delay { delay-value | unlimited },配置CAPWAP隧道故障后控制设备上的用户下线延时的时间。

        缺省情况下,CAPWAP隧道故障后控制设备上的用户立即下线。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30773

下载量:1237

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页