评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAC统一模式配置注意事项
涉及网元
表2-13 本特性涉及网元
角色 |
产品 |
说明 |
|---|---|---|
AAA服务器 |
华为公司或第三方公司的AAA服务器产品。 |
负责对用户进行认证、计费和授权。 |
Portal服务器 |
华为公司或第三方公司的Portal服务器产品。 |
负责接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。 仅外置Portal认证方式需要该网元。 |
华为公司的Agile Controller-Campus作服务器时,其支持版本为V100R001、V100R002、V100R003。
华为公司的iMaster NCE-Campus作服务器时,其支持版本为V300R019C10、V300R020C00、V300R020C10、V300R021C00。
如果需要交换机作为DHCP服务器并且根据Agile Controller-Campus下发的MAC-IP静态绑定关系为终端分配IP地址,需要使用V200R009C00及之后版本的交换机对接V100R002、V100R003版本的Agile Controller-Campus。
License支持
NAC统一模式是交换机的基本特性,无需获得License许可即可应用此功能。
V200R019C10版本特性支持情况
S2720, S5700, S6700系列交换机中所有款型均支持NAC统一模式。
特性依赖和限制
NAC模式相关:
- 相比传统模式,统一模式具有以下优势:采用模板化的配置,使配置层次更加清晰、配置模型更易理解。基于上述优势,建议使用统一模式部署NAC功能。
- 从V200R005C00版本开始,缺省的NAC模式由传统模式修改为统一模式。因此,V200R005C00之前版本的设备升级到V200R005C00或之后版本时,设备会自动执行命令undo authentication unified-mode配置设备的NAC模式为传统模式。
- V200R007C00之前版本,传统模式与统一模式相互切换后,需要手动保存配置文件并重启设备,新的NAC模式才能生效。V200R007C00及之后版本,传统模式与统一模式相互切换后,设备会自动保存配置文件并重启。
- 在V200R008C00版本,部分NAC命令不区分模式(即命令行的格式和视图在传统模式和统一模式下相同)。设备由V200R008C00及之后版本的传统模式切换到V200R009C00及之后版本的统一模式时,这部分命令行的相关的配置可以切换到统一模式下。
- 统一模式下,仅传统模式支持的命令不可见,反之亦然。同时,NAC模式切换后,两种模式共同支持的命令功能一直生效。
- NAC传统模式不适用于无线用户,如需通过NAC功能对无线用户进行接入控制,请将NAC模式切换为统一模式。
认证相关:
- 802.1x认证场景中,如果使能802.1x认证的交换机和用户之间存在二层交换机,则需要在二层交换机上配置802.1x认证报文二层透明传输功能,否则用户无法认证成功。
- Portal认证场景中,存在用户仿冒IP地址进行认证的安全风险,建议用户配置IPSG和DHCP Snooping等防攻击功能来避免此安全风险。
- V200R012C00之前版本,不支持有线的MAC优先的Portal认证。
- V200R012C00之前版本,非网关设备上不支持部署二层Portal认证。
S2720-EI(V200R009C00和V200R010C00版本)、S2750-EI、S5700-10P-LI-AC以及S5700-10P-PWR-LI-AC作为三层网关的场景中,在已经部署了三层业务的物理口使能NAC功能时,必须执行命令assign forward-mode ipv4-hardware使能IPv4报文三层硬件转发功能。
- 交换机支持对VPN内的用户进行802.1X认证、MAC认证以及外置Portal认证(基于HTTP/HTTPS协议的Portal认证从V200R013C00版本开始支持),不支持内置Portal认证,不支持对处于不同VPN中但IP地址相同的用户进行认证。
- 不能在交换机二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能。V200R009C00版本之前(即NAC统一模式采用模板化配置之前),不要在二层以太网接口和其所属VLAN对应的VLANIF接口分开配置认证相关参数。
- V200R19C00SPC500之前版本的云管理模式下,交换机升级至V200R19C00SPC500及之后的版本,用户在线时不允许修改用户上线的VLAN。
在V200R005版本,当主接口上配置了NAC认证时,会影响该接口对应的子接口的业务功能。
V200R007C00之前版本,针对上送本机处理的协议报文,用户认证成功之前可以直接处理,无需配置免认证规则;V200R007C00~V200R011C10版本,DNS协议报文上送到S5720-HI处理时,需要配置免认证规则。
- 交换机下挂其他厂商AC和AP(AP和无线用户关联在AC上),对无线接入用户进行有线Portal认证时,建议无线用户从S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S和S6730S-S上线,且不能在URL模板视图下执行命令url-parameter配置URL中携带AC的CAPWAP网关地址(ac-mac ac-mac-value)、AC的MAC地址(ac-ip ac-ip-value)、AP的IP地址(ap-ip ap-ip-value)、AP的MAC地址(ap-mac ap-mac-value)或用户关联的SSID(ssid ssid-value)。
- V200R010C00之前版本,交换机不支持有线HTTPS重定向功能,即有线Portal认证用户使用HTTPS协议访问某一网站时,无法触发重定向,从而无法进行Portal认证。从V200R010C00版本开始,交换机支持有线HTTPS重定向功能。
- 采用MAC认证的终端不支持在IPv4和IPv6协议之间切换。所以,为保证终端认证成功后能够正常获取IP地址,建议在终端上仅开启IPv4和IPv6协议中的一种。
- 终端同时具有IPv4和IPv6地址时,仅IPv4地址能够进行用户探测,IPv4地址能够刷新IPv6地址对应的用户表项,IPv6地址不能刷新IPv4地址对应的用户表项。
- 设备配置了用户的静态MAC表项时,由于静态MAC表优先级高于认证,导致用户无需认证就能获取网络访问权限,此时需删除该用户的静态MAC表项。
- 用户未认证成功时,无法管理认证设备的下层设备,需执行命令free-rule配置免认证的管理VLAN。
- 对于S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S和S6730S-S,单MAC地址多IP地址的终端进行认证时,必须首先将终端配置为静态用户并配置通过IP地址标记静态用户的功能,才能正常上线并获取授权信息。除S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S和S6730S-S外的其他款型不支持对单MAC地址多IP地址的终端进行认证。
- 交换机作为AC时,连接的AP和接入的无线用户数较多时,建议将交换机连接AP的接口,即无线用户上线的接口,配置成Eth-Trunk接口,并保证该Eth-Trunk接口包含多个成员端口。
- V200R013及之前版本,策略联动和SVF场景不支持IPv6用户认证。
- V200R013之前版本,在不配置任意报文触发认证的情况下,源IP地址为0.0.0.0的ARP报文无法触发MAC认证。V200R013及之后版本,在不配置任意报文触发认证的情况下,源IP地址为0.0.0.0的ARP报文可以触发MAC认证,用户上线成功,但通过display access-user命令查看上线的用户IP地址为空,后续接收到该用户发送源IP地址为非0.0.0.0的ARP报文时,上线的用户IP地址则会更新为最新地址;如果已上线用户本身存在IP地址时,接收到该用户发送源IP地址为0.0.0.0的ARP报文时,不会更新上线的用户IP地址。
- X系列单板作为认证点时,除了X1E、X2E、X2H、X5H、X6H支持IPv6用户授权ACL,其他X系列单板不支持IPv6有线用户授权ACL;其他X系列单板作为随板AC时,IPv6无线用户也不支持授权ACL,但是ACL下发到AP上,在AP上可以生效。
- 与ClearPass或ISE服务器对接进行MAC认证时,需在设备的RADIUS服务器模板下将service-type值设置为10以及calling-station-id的格式设置为XX-XX-XX-XX-XX-XX。
- SVF场景下,配置Portal服务器模板时,如果Portal服务器模板下没配置指向Portal服务器的URL,无法将Portal服务器模板绑定在Portal接入模板下。
- V200R020C00及之后版本,设备不再支持内置Portal认证。V200R020C00之前版本,内置Portal认证仅为测试特性,不支持商用。
- 如果portal用户访问的目的ip和该用户是同一网段,可能无法触发重定向。
授权相关:
- V200R012C00及之后版本,对从S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S上线的用户授权ACL时,如果该ACL不是自定义ACL,则该ACL规则中的源IP地址属性不会生效。其他所有情况下,用户的IP地址会替换ACL规则中的源IP地址,所以配置目的地址是用户IP地址时,该ACL无效。V200R012C00之前版本,如果ACL规则中配置了源IP地址,则只有IP地址和该ACL规则中的源IP相同的用户才能够匹配该ACL规则。
认证服务器的授权优先级高于交换机认证域下的授权优先级。如果二者授权的属性冲突,则认证服务器的授权优先生效;如果二者授权的属性不冲突,则二者授权的属性同时生效。
例1,在交换机的业务方案A下配置用户VLAN 20,并将业务方案A绑定到用户认证域下,而认证服务器对认证成功的用户授权VLAN 10。此时,用户加入VLAN 10。
例2,在交换机的业务方案B中配置流量监管,并将业务方案B绑定到用户认证域下,而认证服务器对认证成功的用户授权VLAN 10。此时,用户加入VLAN 10,流量监管对用户也生效。
- 授权VLAN建议在接入设备上配置,因为在汇聚和核心设备上配置时下层设备无法动态感知并放通该VLAN权限。
- MAC认证时不建议配置授权VLAN,因为VLAN变化后静态用户(例如哑终端)无法重新获取IP地址。
- 不支持为在线Portal用户授权VLAN。对于MAC优先的Portal认证,Portal认证成功后,V1版本的Agile Controller-Campus授权session timeout属性让用户立刻下线,然后再通过MAC认证上线授权VLAN。
- 用户终端如果通过DHCP方式获取IP地址,通过CoA方式授权VLAN成功或更改授权VLAN后,需要手动触发DHCP重新申请IP地址。V200R012C00版本起,设备支持通过闪断认证端口来触发终端重新申请IP地址;配置该功能时,需要在设备上执行命令undo radius-server authorization hw-ext-specific command bounce-port disable,配置设备开启该功能;认证服务器上需要配置RADIUS属性HW-Ext-Specific(26-238)的取值为“user-command=2”。
V200R011C10之前版本,对于无线用户,当采用直接转发模式时,不支持UCL组授权。
- V200R011C10之前版本不支持对用户授权上行/下行报文的DSCP值,对于S2720-EI、S2750-EI、S5700-LI、S5700S-LI、S5710-C-LI、S5710-X-LI、S5700-SI、S5720-LI、S5720S-LI、S5720-SI、S5720S-SI、S6720-LI、S6720S-LI、S6720-SI和S6720S-SI,同时对用户授权ACL、上行报文限速值或下行报文限速值时,仅ACL生效。V200R011C10及之后版本支持对用户授权上行报文的DSCP值和下行报文的DSCP值,且授权的ACL、上行报文限速值、下行报文限速值、上行报文的DSCP值和下行报文的DSCP值能够同时生效。
- Access接口不支持动态授权,删除VLAN时会删除该VLAN下的在线用户;Hybrid接口支持动态授权,删除VLAN时不会删除在线用户。
- V200R011C10及之后版本,在SVF场景下,支持授权VLAN。授权VLAN时,需要执行命令as service-vlan authorization在控制设备上创建接入设备上的业务VLAN。
- 策略联动场景下授权VLAN时:
- 认证接入设备的下行口必须配置为Hybrid类型,认证接入设备连接认证控制设备的上行口可以配置为Trunk类型或Hybrid类型,但必须配置允许授权的VLAN通过,如果认证接入设备与认证控制设备之间存在透传设备,则透传设备也要配置允许授权的VLAN通过。
- V200R011C10之前版本,认证控制设备连接认证接入设备的下行口必须配置为Hybrid类型;V200R011C10及其之后版本,认证控制设备连接认证接入设备的下行口可以配置为Hybrid类型或Trunk类型。
- 认证控制设备开启认证的接口收到的报文,必须是携带VLAN Tag的报文或者该接口已将授权的VLAN配置为该接口的缺省VLAN(PVID),否则授权VLAN不生效。
- 当用户报文携带VLAN TAG时,该VLAN必须与接口PVID一致,服务器才能对该用户动态授权VLAN。
- V200R013版本,由于仅支持IPv4 ACL或IPv6 ACL单独授权,因此,当用户认证成功并更新或切换(在IPv4和IPv6之前切换)地址后,如果仅配置了IPv4 ACL或IPv6 ACL的一种,可能会导致授权不成功。因此,建议同时配置IPv4 ACL和IPv6 ACL,确保用户能够成功授权ACL。
- 不建议通过MEth管理接口与认证/授权服务器互通。对于V200R013C00及之后版本的S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S和S6730S-S,如果设备通过MEth管理接口与授权服务器互通,则不支持使用该授权服务器对用户进行授权。
- 从V200R019C00之前版本升级到V200R019C00以及之后版本时,对于S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-S、S5731S-H、S5732-H、S5732-H-K、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S5720-EI、S6720-EI、S6720S-EI,根据授权的DSCP值、802.1p值修改报文的DSCP值、802.1p值。
- 集中式SVF场景下,V200R019C10之前版本,在任意时刻,不同的用户接入模板下允许绑定的认证模板必须为同一个;V200R019C10及之后版本,不同的用户接入模板下允许绑定不同的认证模板,但如果这些用户接入模板被绑定给了同一个级联口下的AS,则认证模板必须为同一个。
- 如果在ACL的rule规则中绑定UCL组并将该ACL授权给用户,那么当上线用户匹配该ACL时,设备将根据用户的MAC地址执行ACL规则中的动作,而不是根据用户的IP地址。
L2 BNG场景:
- RADIUS服务器对通过S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S和S6730S-S上线的MAC认证用户授权华为RADIUS扩展属性HW-Forwarding-VLAN,将用户单播或广播报文携带的双层VLAN,替换为ISP VLAN(ISP VLAN不能和用户外层VLAN相同)。
- 对于用户原始报文中的携带的双层VLAN,不要创建相应的VLANIF接口,否则用户报文转发可能存在异常。
- 开启MAC认证的交换机不能配置DHCP Snooping和ND Snooping,不支持MAC迁移功能,并且需要执行命令undo authentication pre-authen-access enable去使能预连接功能。
- 交换机作为DHCPv6客户端仅支持通过DHCPv6获取一个IPv6地址;作为DHCPv6服务器时,为保证IPv6的地址的可管理,仅支持通过DHCPv6方式分配IPv6地址,此时,需配置交换机发送RA报文的M标记位为1,表示有状态地址分配,即指定客户端通过有状态协议(如DHCPv6)获得IPv6地址。
- 交换机不支持授权用户VLAN。如果要给接入用户授权VLAN之外的其他属性时,设备上需要执行命令authorization-modify mode modify配置授权服务器下发的用户授权信息的生效模式为修改模式,否则接入用户会下线。
- L2 BNG场景下,不支持multi-share模式。
IPv6认证相关:
支持IPv6 MAC认证。
- 支持IPv6 802.1X认证。
- 对于Portal协议,支持外置二层IPv6 Portal认证、MAC优先的IPv6 Portal认证,不支持外置三层IPv6 Portal认证。
- 对于HTTP/HTTPS协议,不支持IPv6 Portal认证。
- 对于HACA协议,支持二层IPv6 Portal认证、MAC优先的二层IPv6 Portal认证、IPv6 ACL授权,不支持三层IPv6 Portal认证。
- 不支持内置IPv6 Portal认证。
- 支持VPN内的IPv6 Portal认证。
- 不支持与Cisco ISE服务器以Central Web Authentication (CWA)方式对接。
- 支持IPv6 HTTP/HTTPS重定向功能。
- 支持IPv6强推功能。对于HTTPS报文,必须与重定向ACL结合使用。
- 支持IPv6的免认证规则。
- 支持配置Portal服务器IPv6地址,但必须同时指定IPv4地址,因为设备不支持与Portal服务器进行IPv6 Portal协议交互。
- 支持IPv6流量统计功能,支持与IPv4分开或合并统计。
- 支持IPv6限速功能。
- 支持IPv6 ND探测功能。
- 不支持IPv6静态用户。
- 不支持IPv6业务随行。
S2720-EI、S5720-LI、S5720S-LI、S5720-SI、S5720I-SI、S5720S-SI、S5730-SI、S5730S-EI、S6720-LI、S6720S-LI、S6720-SI和S6720S-SI不支持IPv6 Portal认证。
部署建议:
- NAC用户数不要超过整机的MAC表项规格。
- VLANIF接口下配置Portal认证或MAC认证时,不建议认证服务器和终端处于同一网段。
其他:
- AC间漫游的场景下,两台AC上的NAC配置需要保持一致。
- AC间漫游的场景下,用户从HAC(Home AC)漫游到FAC(Foreign AC),则用户的授权事件为:
- 采用HAC上配置的预连接授权、认证失败授权、服务器Down授权和终端类型识别功能。
- 采用FAC上配置的重认证定时器。
对于无线用户,交换机作为AC设备时,用户可以针对AP配置其各项属性。V200R011C10之前版本,用户配置后,这些配置并不会实时地下发到AP上,只有用户在WLAN视图下执行commit命令后,针对AP的配置改动才会下发到AP。V200R011C10及之后版本,设备每隔5秒会将这些配置下发到AP。
LNP协商时,接口的链路类型进入稳态之前,NAC用户将无法上线;对于已在线NAC用户,如果接口的链路类型再次进行协商并且协商结果产生变化,则NAC用户将会被强制下线。
- 对于S2720-EI、S2750-EI、S5700-LI、S5700S-LI、S5700-SI、S5710-C-LI、S5710-X-LI、S5720I-SI、S5720-LI、S5735-L、S5735S-L、S5735S-L-M、S5720S-LI、S5720S-SI、S5720-SI、S5735-S、S5735S-S、S5735-S-I、S5730S-EI、S5730-SI、S6720-LI、S6720S-LI、S6720S-SI和S6720-SI,交换机配置的基于ACL的简化流策略和基于MQC的流策略中的流分类规则优先级高于NAC中定义的规则。当基于ACL的简化流策略和基于MQC的流策略中的配置与NAC功能冲突时,交换机按照基于ACL的简化流策略配置和基于MQC的流策略中的流行为对报文进行处理。
- 跨板Eth-trunk用户上线、重认证或漫游过程中,复位其中一个单板有可能会导致用户下线。
交换机和Agile Controller-Campus对接进行MAC优先的Portal认证时,用户在登录页面点击注销后,仍然可以进行MAC优先的Portal认证,直到Agile Controller-Campus上MAC地址有效时间超时后,用户下线。
交换机和iMaster NCE-Campus对接进行MAC优先的Portal认证时,用户在登录页面点击注销后,用户下线。如果想继续进行MAC优先的Portal认证,需要用户重新通过Portal认证接入网络。
