策略联动配置注意事项
涉及网元
角色 |
产品 |
说明 |
|---|---|---|
AAA服务器 |
华为公司或第三方公司的AAA服务器产品。 |
负责对用户进行认证、计费和授权。 |
Portal服务器 |
华为公司或第三方公司的Portal服务器产品。 |
负责接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与认证接入设备交互认证客户端的认证信息。 仅外置Portal认证方式需要该网元。 |
华为公司的Agile Controller-Campus作服务器时,其支持版本为V100R001、V100R002、V100R003。
华为公司的iMaster NCE-Campus作服务器时,其支持版本为V300R019C10、V300R020C00、V300R020C10、V300R021C00。
如果需要交换机作为DHCP服务器并且根据Agile Controller-Campus下发的MAC-IP静态绑定关系为终端分配IP地址,需要使用V200R009C00及之后版本的交换机对接V100R002、V100R003版本的Agile Controller-Campus。
License支持
策略联动是交换机的基本特性,无需获得License许可即可应用此功能。
版本支持
V200R011C10之前版本,认证控制设备的版本和认证接入设备的版本必须相同。
- 独立策略联动:认证控制设备的版本不低于认证接入设备的起始支持版本时,认证控制设备和认证接入设备的版本可以不一致。例1,认证控制设备的版本为V200R011C10,只要认证接入设备V200R011C10及之前版本就支持,那么认证接入设备的版本可以是V200R011C10,也可以是V200R012C00或之后版本。例2,认证接入设备的版本为V200R012C00,只要认证控制设备V200R011C10及之前版本就支持,那么认证控制设备的版本可以是V200R011C10,也可以是V200R012C00或之后版本。
- SVF场景下的策略联动:认证控制设备和认证接入设备的详细配套关系请参见相应版本《配置指南-设备管理》 SVF配置 中的“SVF版本支持情况”。
版本 |
可以作为认证控制设备的设备 |
可以作为认证接入设备的设备 |
|---|---|---|
V200R011C10及之后版本 |
|
|
V200R011C00 |
|
|
V200R010C00 |
|
|
V200R009C00 |
|
|
V200R008C00 |
|
|
V200R007C00 |
|
|
特性依赖和限制
组网相关:
- 认证控制设备和认证接入设备之间可以直连,也可以跨越纯二层网络,且用户的网关必须位于认证控制设备上或认证控制设备的上行设备上。
- 认证控制设备可以是单台设备,也可以是由两台框式设备组成的集群或由多台盒式设备组成的堆叠。认证接入设备可以是单台设备,也可以是由多台设备组成的堆叠。堆叠所使用的设备必须是型号、接口完全相同的设备。
缺省情况下,S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5732-H24S6Q、S5732-H48S6Q、S5732-H24S6Q-K、S5732-H48S6Q-K、S6730-H-K、S6730S-H和S6730-H工作在认证控制设备模式,S5732-H24UM2CC、S5732-H48UM2CC、S6730-S、S6730S-S、S6720-SI、S6720S-SI、S6720-EI和S6720S-EI工作在认证接入设备模式。上述型号既支持作为认证控制设备,又支持作为认证接入设备,您可以通过[ undo ] as-mode disable命令切换其工作模式。并且对于支持WLAN功能的型号,当其工作在认证接入设备模式时,WLAN功能不可用。
- 认证控制设备与认证接入设备间只支持策略的联动,不支持配置信息的联动。
- 策略联动只支持有线用户,并且用户在线时,不支持MAC迁移。当用户在认证接入设备之间或接入接口之间切换时,用户可能无法正常上线。此时可以减少用户离线探测时间(没有HUB场景下,推荐配置为15~30S),这样能更快的检测用户从老的端口下线,从而能够在新端口成功上线。例如:可以在认证接入设备的认证模板下执行命令link-down offline delay 0配置接口链路故障时用户延时下线的时间间隔为0,同时在系统视图下执行命令user-detect interval 10 retry 2配置在线用户探测功能,使用户尽快上线。
控制点可以在二层物理接口或VLANIF接口下配置。当NAC认证接口为VLANIF接口时,要求VLANIF接口以及其对应的物理接口都要配置为控制点;并且对应的物理接口下不能再配置NAC认证。
策略联动仅在NAC统一模式下支持。
V200R013及之前版本,策略联动不支持IPv6网络,不能通过DHCPv6报文或ND报文触发认证。
仅S7700&S7900&S9700&S12700&S12700E系列交换机支持PPPoE认证,但在策略联动方案中不支持。
仅V200R020C00之前版本的S2700&S5700&S6700&E600&S600-E系列交换机支持内置Portal认证,但在策略联动方案中不支持。
策略联动不支持三层Portal认证,不支持用户的接入模式为multi-share模式。
策略联动认证接入设备上不建议部分接口配置成策略联动、部分接口配置成本设备认证。
策略联动中设备对用户采用的认证方式是由认证控制设备上配置的认证方式和认证顺序决定的。
策略联动中认证控制设备上配置了NAC认证、认证接入设备上没有配置NAC认证时,用户无法上线。组网时,建议将认证用户和非认证用户划分到不同的VLAN,根据VLAN配置免认证规则,放行非认证用户。
策略联动中,如果希望用户在认证成功前也能访问部分网络权限。首先需要在认证接入设备上,通过命令free-rule rule-id destination any source any将用户的所有网络访问权限放开;然后在认证控制设备上,通过命令authentication event action authorize配置用户在认证成功前的网络访问权限。
- 策略联动场景下授权VLAN时:
- 认证接入设备的下行口必须配置为Hybrid类型,认证接入设备连接认证控制设备的上行口可以配置为Trunk类型或Hybrid类型,但必须配置允许授权的VLAN通过,如果认证接入设备与认证控制设备之间存在透传设备,则透传设备也要配置允许授权的VLAN通过。
- V200R011C10之前版本,认证控制设备连接认证接入设备的下行口必须配置为Hybrid类型;V200R011C10及其之后版本,认证控制设备连接认证接入设备的下行口可以配置为Hybrid类型或Trunk类型。
- 认证控制设备开启认证的接口收到的报文,必须是携带VLAN Tag的报文或者该接口已将授权的VLAN配置为该接口的缺省VLAN(PVID),否则授权VLAN不生效。
- 认证接入设备的实际名称可能与其在认证控制设备上的显示(通过命令display as all查看)不一致,这是由于认证接入设备上线的过程中,其名称会进行以下转换处理:
- 如果认证接入设备采用系统默认名称,则认证控制设备上,认证接入设备的名称转换为“系统默认名称-认证接入设备的MAC地址”。
- 如果认证接入设备的名称中包含空格或双引号,则认证控制设备上,认证接入设备名称中的空格转换为短横杠、双引号转换为单引号。
- 认证接入设备名称不区分大小写,在认证控制设备上查看时认证接入设备的名称均为小写。认证接入设备上线过程中,如果名称(经过转换处理后的)相同,则会导致认证接入设备上线失败,并发送名称冲突告警;认证接入设备正常运行过程中,由于修改导致认证接入设备名称相同,仅发送名称冲突告警,不会造成认证接入设备下线。
