策略联动
数据模型
策略联动对应数据模型文件名为ietf-interfaces.yang、huawei-nac.yang和huawei-aaa.yang。
节点 |
说明 |
取值 |
备注 |
|---|---|---|---|
/huawei-nac:nac-access/policy-association/as-access/controller-ip |
指定认证控制设备的IP地址。 |
点分十进制格式。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/as-access/vlanif |
指定认证接入设备与认证控制设备建立CAPWAP隧道的源VLANIF接口。 |
整数形式,取值范围是1~4094。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/as-auth/auth-mode |
配置认证接入设备认证模式为不认证。 |
仅支持配置为none。 缺省情况下,认证接入设备与认证控制设备建立CAPWAP隧道时需要认证。 |
仅认证控制设备支持该节点。 |
/huawei-nac:nac-access/policy-association/as-auth/whitelist-mac-address |
将指定的MAC地址添加到认证接入设备认证白名单中,该MAC对应的认证接入设备与认证控制设备建立CAPWAP隧道时不需要进行认证。 |
字符串形式。可以配置多个。 |
仅认证控制设备支持该节点。 |
/ietf-interfaces:interfaces/interface/huawei-nac:police-gang-control/access-point/ucl-policy-enabled |
是否使能直接转发用户流量的控制点在转发用户流量之前基于用户ACL对其进行过滤的功能。 |
布尔类型,取值如下:
缺省值是false。 |
仅S5720-HI、S5730-HI、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S5731-H、S5731-H-K、S5731S-H、LE1D2S04SEC0单板、LE1D2X32SEC0单板、LE1D2H02QEC0单板和X系列单板支持该节点。 |
ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:access-point/huawei-nac:enable |
是否在认证接入设备的接口下开启远程接入控制功能。 |
布尔型,其中:
缺省值是false。 |
仅认证接入设备支持该节点。 |
ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:access-point/huawei-nac:open |
是否关闭接入点的权限控制功能。 |
布尔型,其中:
缺省值是false。 |
仅认证接入设备支持该节点。 |
ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:access-point/huawei-nac:max-user-num |
配置认证接入设备的接口上允许接入用户的最大数。 |
整数形式,取值范围是1~256。 |
仅认证接入设备支持该节点。 |
/huawei-aaa:aaa/service-scheme/name /huawei-aaa:aaa/service-scheme/remote-authorize/authorize-parameters |
配置下发到认证接入设备的用户授权信息。 |
ACL、UCL组和CAR的组合。 |
仅认证控制设备支持该节点。 |
/huawei-aaa:aaa/service-scheme/name /huawei-aaa:aaa/service-scheme/local-authorize |
配置下发到认证控制设备的用户授权信息。 |
ACL、UCL组和CAR的组合。 |
仅认证控制设备支持该节点。 |
/huawei-nac:nac-access/policy-association/user-sync/enable |
认证接入设备上配置用户同步功能。 |
布尔型,其中:
缺省值是true。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/user-sync/interval |
认证接入设备上用户同步周期。 |
整数形式,取值范围是60~3600,单位为秒。缺省值为60秒。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/user-detect/enable |
认证接入设备上配置用户在线探功能。 |
布尔型,其中:
缺省值是true。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/user-detect/interval |
用户在线探测的周期。 |
整数形式,取值范围是1~65535,单位为秒。缺省值为15秒。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/user-detect/retry-times |
用户在线探测报文的重传次数。 |
整数形式,取值范围是1~255。缺省值为3次。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/control-down-offline/control-down-offline/delay/delay |
设置控制通道故障时认证接入设备上的用户下线延时的时间。 |
整数形式,取值范围是1~60,单位为秒。缺省值为0秒,即控制通道故障时用户立即下线。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/control-down-offline/control-down-offline/unlimited/unlimited |
控制通道故障时认证接入设备上的用户不下线。 |
布尔型,其中:
缺省值是false。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/speed-limit/max-num-value |
认证接入设备发送关联和去关联请求消息的最大个数。 |
整数形式,取值范围是1~65535。缺省值为60。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/speed-limit/interval |
认证接入设备发送关联和去关联请求消息的时间段。 |
整数形式,取值范围是1~65535,单位为秒。缺省值为30秒。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/alarm-restrain/enable |
配置关联用户接入限制的告警抑制功能。 |
布尔型,其中:
缺省值是true。 |
仅认证接入设备支持该节点。 |
/huawei-nac:nac-access/policy-association/alarm-restrain/period |
配置关联用户接入限制的告警抑制周期。 |
整数类型,取值范围为60~604800,单位为秒。缺省值为300。 |
仅认证接入设备支持该节点。 |
/ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:user-sync/enable |
认证控制设备上配置用户同步功能。 |
布尔型,其中:
缺省值是true。 |
仅认证控制设备支持该节点。 |
/ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:user-sync/interval |
认证控制设备上用户同步周期。 |
整数形式,取值范围是60~3600,单位为秒。缺省值为60秒。 |
仅认证控制设备支持该节点。 |
/ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:user-sync/retry-times |
认证控制设备上用户同步的最大次数。 |
整数形式,取值范围是5~300。缺省值为10次。 |
仅认证控制设备支持该节点。 |
/ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:control-down-offline/huawei-nac:control-down-offline/huawei-nac:delay/huawei-nac:delay |
控制通道故障时认证控制设备上的用户下线延时的时间。 |
整数形式,取值范围是1~60,单位为秒。缺省值为0秒,即控制通道故障时用户立即下线。 |
仅认证控制设备支持该节点。 |
/ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:control-down-offline/huawei-nac:control-down-offline/huawei-nac:unlimited/huawei-nac:unlimited |
控制通道故障时认证控制设备上的用户不下线。 |
布尔型,其中:
缺省值是false。 |
仅认证控制设备支持该节点。 |
/ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:open-ucl-policy-enable |
控制点在转发用户流量之前,基于用户ACL对用户流量进行过滤。 |
布尔型,其中:
缺省值是false。 |
仅认证控制设备支持该节点。 |
在接入设备上配置策略联动
本章节主要介绍通过config方法在接入设备上配置策略联动。
操作 |
XPATH |
|---|---|
edit-config:config |
|
数据需求
| 项目 | 数据 | 描述 |
|---|---|---|
| 控制设备的IP地址 | 10.1.1.1 | - |
| 接入设备与控制设备建立CAPWAP隧道的源VLANIF接口 | 100 | - |
请求示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc message-id="0" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-nac:nac-access xmlns:hw-nac="urn:huawei:params:xml:ns:yang:huawei-nac">
<hw-nac:policy-association>
<hw-nac:as-access>
<hw-nac:controller-ip>10.1.1.1</hw-nac:controller-ip>
<hw-nac:vlanif>100</hw-nac:vlanif>
</hw-nac:as-access>
</hw-nac:policy-association>
</hw-nac:nac-access>
</config>
</edit-config>
</rpc>
响应示例
# 配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0"> <ok/> </rpc-reply>
# 配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0">
<rpc-error>
<error-type>application</error-type>
<error-tag>operation-failed</error-tag>
<error-severity>error</error-severity>
<error-path>/huawei-nac:nac-access/policy-association/as-access/vlanif</error-path>
<error-message>parse rpc config error.(Value "5000" does not satisfy the constraint "1..4094" (range, length, or pattern).).</error-message>
</rpc-error>
</rpc-reply>
配置接入设备的认证模式
本章节主要介绍通过edit-config方法配置接入设备的认证模式。
操作 |
XPATH |
|---|---|
| edit-config | /huawei-nac:nac-access/policy-association/as-auth/auth-mode |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 认证模式 | none | - |
请求示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc message-id="0" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-nac:nac-access xmlns:hw-nac="urn:huawei:params:xml:ns:yang:huawei-nac">
<hw-nac:policy-association>
<hw-nac:as-auth>
<hw-nac:auth-mode>none</hw-nac:auth-mode>
</hw-nac:as-auth>
</hw-nac:policy-association>
</hw-nac:nac-access>
</config>
</edit-config>
</rpc>
响应示例
# 配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0"> <ok/> </rpc-reply>
# 配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0">
<rpc-error>
<error-app-tag>-1</error-app-tag>
<error-message>The configuration/operation does not support.</error-message>
<error-info>Error on node /huawei-nac:nac-access/policy-association/as-auth/auth-mode</error-info>
</rpc-error>
</rpc-reply>
项目 |
数据 |
描述 |
|---|---|---|
| 认证模式 | none | - |
请求示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc message-id="5" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-nac:nac-access xmlns:hw-nac="urn:huawei:params:xml:ns:yang:huawei-nac">
<hw-nac:policy-association xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="delete">
<hw-nac:as-auth>
<hw-nac:auth-mode>none</hw-nac:auth-mode>
</hw-nac:as-auth>
</hw-nac:policy-association>
</hw-nac:nac-access>
</config>
</edit-config>
</rpc>
响应示例
# 配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="5"> <ok/> </rpc-reply>
# 配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="5">
<rpc-error>
<error-type>application</error-type>
<error-tag>data-missing</error-tag>
<error-severity>error</error-severity>
<error-path/>
<error-message>edit operation failed.</error-message>
</rpc-error>
</rpc-reply>
配置接入设备认证MAC地址白名单
本章节主要介绍通过edit-config方法配置接入设备认证MAC地址白名单。
操作 |
XPATH |
|---|---|
| edit-config | /huawei-nac:nac-access/policy-association/as-auth/whitelist-mac-address |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 接入设备认证MAC地址白名单 | 00:aa:aa:aa:aa:aa | 可以一次配置多个。 |
请求示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc message-id="5" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-nac:nac-access xmlns:hw-nac="urn:huawei:params:xml:ns:yang:huawei-nac">
<hw-nac:policy-association>
<hw-nac:as-auth>
<hw-nac:whitelist-mac-address>00:aa:aa:aa:aa:aa</hw-nac:whitelist-mac-address>
</hw-nac:as-auth>
</hw-nac:policy-association>
</hw-nac:nac-access>
</config>
</edit-config>
</rpc>
响应示例
# 配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="5"> <ok/> </rpc-reply>
# 配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="5">
<rpc-error>
<error-app-tag>-1</error-app-tag>
<error-message>The configuration/operation does not support.</error-message>
<error-info>Error on node /huawei-nac:nac-access/policy-association/as-auth/whitelist-mac-address[.="00:aa:aa:aa:aa:aa"]</error-info>
</rpc-error>
</rpc-reply>
项目 |
数据 |
描述 |
|---|---|---|
| 接入设备认证MAC地址白名单 | 00:aa:aa:aa:aa:aa | 可以一次删除多个。 |
请求示例
?xml version='1.0' encoding='UTF-8'?>
<rpc message-id="6" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-nac:nac-access xmlns:hw-nac="urn:huawei:params:xml:ns:yang:huawei-nac">
<hw-nac:policy-association xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="delete">
<hw-nac:as-auth>
<hw-nac:whitelist-mac-address>00:aa:aa:aa:aa:aa</hw-nac:whitelist-mac-address>
</hw-nac:as-auth>
</hw-nac:policy-association>
</hw-nac:nac-access>
</config>
</edit-config>
</rpc>
响应示例
# 配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="6"> <ok/> </rpc-reply>
# 配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="6">
<rpc-error>
<error-app-tag>-1</error-app-tag>
<error-message>The configuration/operation does not support.</error-message>
<error-info>Error on node /huawei-nac:nac-access/policy-association/as-auth/whitelist-mac-address[.="00:aa:aa:aa:aa:aa"]</error-info>
</rpc-error>
</rpc-reply>
配置在认证接入设备的接口下使能远程接入控制功能
本章节主要介绍通过merge方法配置在认证接入设备的接口下使能远程接入控制功能的报文举例。
操作 |
XPATH |
|---|---|
edit-config:merge |
ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:access-point/huawei-nac:enable |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
name |
GigabitEthernet0/0/13 |
- |
enabled |
true |
- |
请求示例
<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0">
<interfaces xmlns="urn:ietf:params:xml:ns:yang:ietf-interfaces" xc:operation="merge">
<interface>
<name>GigabitEthernet0/0/13</name>
<type xmlns:iana="urn:ietf:params:xml:ns:yang:iana-if-type">iana:ethernetCsmacd</type>
<enabled>true</enabled>
<police-gang-control xmlns="urn:huawei:params:xml:ns:yang:huawei-nac">
<access-point>
<enable>true</enable>
</access-point>
</police-gang-control>
</interface>
</interfaces>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0">
<rpc-error>
<error-type>application</error-type>
<error-tag>operation-failed</error-tag>
<error-severity>error</error-severity>
<error-path>/ietf-interfaces:interfaces/interface[name='GigabitEthernet0/0/13']/huawei-nac:police-gang-control/access-point/enable</error-path>
<error-message>parse rpc config error.(Invalid value "error" in "enable" element.).</error-message>
</rpc-error>
</rpc-reply>
关闭接入点的权限控制功能
本章节主要介绍通过merge方法关闭接入点的权限控制功能的报文举例。
操作 |
XPATH |
|---|---|
edit-config:merge |
ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:access-point/huawei-nac:open |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
open |
true |
- |
请求示例
<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0">
<interfaces xmlns="urn:ietf:params:xml:ns:yang:ietf-interfaces" xc:operation="merge">
<interface>
<name>GigabitEthernet0/0/13</name>
<type xmlns:iana="urn:ietf:params:xml:ns:yang:iana-if-type">iana:ethernetCsmacd</type>
<enabled>true</enabled>
<police-gang-control xmlns="urn:huawei:params:xml:ns:yang:huawei-nac">
<access-point>
<open>true</open>
</access-point>
</police-gang-control>
</interface>
</interfaces>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0">
<rpc-error>
<error-type>application</error-type>
<error-tag>operation-failed</error-tag>
<error-severity>error</error-severity>
<error-path>/ietf-interfaces:interfaces/interface[name='GigabitEthernet0/0/13']/huawei-nac:police-gang-control/access-point/open</error-path>
<error-message>parse rpc config error.(Invalid value "error" in "open" element.).</error-message>
</rpc-error>
</rpc-reply>
配置在认证接入设备的接口上允许接入用户的最大数
本章节主要介绍通过merge方法配置在认证接入设备的接口上允许接入用户的最大数的报文举例。
操作 |
XPATH |
|---|---|
edit-config:merge |
ietf-interfaces:interfaces/ietf-interfaces:interface/huawei-nac:police-gang-control/huawei-nac:access-point/huawei-nac:max-user-num |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
max-user-num |
10 |
- |
请求示例
<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0">
<interfaces xmlns="urn:ietf:params:xml:ns:yang:ietf-interfaces" xc:operation="merge">
<interface>
<name>GigabitEthernet0/0/13</name>
<type xmlns:iana="urn:ietf:params:xml:ns:yang:iana-if-type">iana:ethernetCsmacd</type>
<enabled>true</enabled>
<police-gang-control xmlns="urn:huawei:params:xml:ns:yang:huawei-nac">
<access-point>
<max-user-num>10</max-user-num>
</access-point>
</police-gang-control>
</interface>
</interfaces>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0">
<rpc-error>
<error-app-tag>-1</error-app-tag>
<error-message>Unrecognized information.</error-message>
<error-info>Error on node /ietf-interfaces:interfaces/interface[name="GigabitEthernet0/0/13"]/huawei-nac:police-gang-control/access-point/max-user-num</error-info>
</rpc-error>
</rpc-reply>
配置下发到认证接入设备的用户授权信息
本章节主要介绍通过merge方法配置下发到认证接入设备的用户授权信息的报文举例。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa:aaa/service-scheme/name /huawei-aaa:aaa/service-scheme/remote-authorize/authorize-parameters |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
authorize-parameters |
acl car ucl-group |
- |
请求示例
<?xml version="1.0" encoding="UTF-8"?>
<rpc message-id="0" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:service-scheme>
<hw-aaa:name>xuandong_001</hw-aaa:name>
<hw-aaa:vsys>pub</hw-aaa:vsys>
<hw-aaa:remote-authorize>
<hw-aaa:authorize-parameters>acl car ucl-group</hw-aaa:authorize-parameters>
</hw-aaa:remote-authorize>
</hw-aaa:service-scheme>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="6">
<rpc-error>
<error-type>application</error-type>
<error-tag>operation-failed</error-tag>
<error-severity>error</error-severity>
<error-path>/huawei-aaa:aaa/service-scheme[name='xuandong_001'][vsys='pub']/remote-authorize/authorize-parameters</error-path>
<error-message>parse rpc config error.(Invalid value "error" in "authorize-parameters" element.).</error-message>
</rpc-error>
</rpc-reply>
配置下发到认证控制设备的用户授权信息
本章节主要介绍通过merge方法下发到认证控制设备的用户授权信息的报文举例。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa:aaa/service-scheme/name /huawei-aaa:aaa/service-scheme/local-authorize |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
authorize-parameters |
acl car ucl-group priority vlan |
- |
none |
true |
- |
请求示例
# 配置下发到认证控制设备的用户授权信息
<?xml version="1.0" encoding="UTF-8"?>
<rpc message-id="0" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:service-scheme>
<hw-aaa:name>xuandong_001</hw-aaa:name>
<hw-aaa:vsys>pub</hw-aaa:vsys>
<hw-aaa:local-authorize>
<hw-aaa:authorize-parameters>acl car ucl-group priority vlan</hw-aaa:authorize-parameters>
</hw-aaa:local-authorize>
</hw-aaa:service-scheme>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
# 配置不下发用户授权信息到认证控制设备
<rpc message-id="7" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:service-scheme>
<hw-aaa:name>xuandong_001</hw-aaa:name>
<hw-aaa:vsys>pub</hw-aaa:vsys>
<hw-aaa:local-authorize>
<hw-aaa:none>true</hw-aaa:none>
</hw-aaa:local-authorize>
</hw-aaa:service-scheme>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="0"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="8">
<rpc-error>
<error-type>application</error-type>
<error-tag>operation-failed</error-tag>
<error-severity>error</error-severity>
<error-path>/huawei-aaa:aaa/service-scheme[name='xuandong_001'][vsys='pub']/local-authorize/none</error-path>
<error-message>parse rpc config error.(Invalid value "error" in "none" element.).</error-message>
</rpc-error>
</rpc-reply>
配置直接转发用户流量的控制点在转发用户流量之前基于用户ACL对其进行过滤
本章节主要介绍通过config方法配置直接转发用户流量的控制点在转发用户流量之前基于用户ACL对其进行过滤。
操作 |
XPATH |
|---|---|
edit-config:config |
/ietf-interfaces:interfaces/interface/huawei-nac:police-gang-control/access-point/ucl-policy-enabled |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
接口 |
XGigabitEthernet0/0/1 |
- |
是否使能直接转发用户流量的控制点在转发用户流量之前基于用户ACL对其进行过滤的功能 |
true |
- |
请求示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<if:interfaces xmlns:if="urn:ietf:params:xml:ns:yang:ietf-interfaces">
<if:interface>
<if:name>XGigabitEthernet0/0/1</if:name>
<if:type xmlns:iana-if-type="urn:ietf:params:xml:ns:yang:iana-if-type">iana-if-type:ethernetCsmacd</if:type>
<hw-nac:police-gang-control xmlns:hw-nac="urn:huawei:params:xml:ns:yang:huawei-nac">
<hw-nac:access-point>
<hw-nac:ucl-policy-enabled>true</hw-nac:ucl-policy-enabled>
</hw-nac:access-point>
</hw-nac:police-gang-control>
</if:interface>
</if:interfaces>
</config>
</edit-config>
</rpc>
响应示例
# 配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
# 配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1">
<rpc-error>
<error-type>application</error-type>
<error-tag>operation-failed</error-tag>
<error-severity>error</error-severity>
<error-path>/ietf-interfaces:interfaces/interface[name='XGigabitEthernet0/0/1']/huawei-nac:police-gang-control/access-point/ucl-policy-enabled</error-path>
<error-message>parse rpc config error.(Invalid value in "ucl-policy-enabled" element.).</error-message>
</rpc-error>
</rpc-reply>
