（可选）配置认证事件授权信息

操作步骤

1. 执行命令system-view，进入系统视图。
2. 配置授权参数。

   用户在预连接、认证失败或认证服务器Down时，支持通过VLAN、UCL组和业务方案授权。

   • VLAN

     需在设备上配置VLAN及VLAN内的网络资源。

   • UCL组

     1. 执行命令ucl-group group-index [ name group-name ]，创建UCL组。

        缺省情况下，未创建UCL组。

     2. （可选）执行命令ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name } [ escape ]，配置静态UCL组IP地址。

        缺省情况下，未配置静态UCL组IP地址。

        仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持静态UCL组IP地址。

     3. （可选）执行命令ucl-group domain domain-name domain-name { group-index | name group-name }，配置静态UCL组域名。

        缺省情况下，未配置静态UCL组域名。

        配置此步骤时，还需执行以下命令：

        在接口视图或端口组视图下，执行命令dns snooping enable，开启DNS Snooping功能。该功能开启后，设备解析收到的DNS应答报文来获取IP地址，生成IP地址与域名的映射关系。

        在系统视图下，执行命令dns snooping ttl delay-time delay-time，配置DNS Snooping IP地址与域名表项老化的延时时间。其延时时间缺省值为5760分钟。

        在系统视图下，执行命令dns snooping server-ip-address server-ip-address，配置域名服务器的IP地址。

        配置后，设备仅解析收到的源地址为该IP地址的DNS应答报文来获取IP地址，生成IP地址与域名的映射关系。

        仅S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S支持静态UCL组域名。

     4. 配置用户ACL或用户ACL6，根据UCL组对报文进行过滤。详细配置请参见《S2720, S5700, S6700 V200R019C10 配置指南-安全》 ACL配置 中的“配置用户ACL”或“配置用户ACL6”。

     5. 可采用以下方式对报文进行处理：

        • 执行命令traffic-filter inbound acl [ ipv6 ] { acl-number | name acl-name }，配置基于ACL对报文进行过滤。

          缺省情况下，未配置基于ACL对报文进行过滤。

        • 执行命令traffic-redirect inbound acl { acl-number | name acl-name } [ vpn-instance vpn-instance-name ] ip-nexthop nexthop-address或者traffic-redirect inbound acl { acl-number | name acl-name } vpn-instance vpn-instance-name，配置基于ACL对报文进行重定向。

          缺省情况下，未配置基于ACL对报文进行重定向。

          仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持traffic-redirect命令。

          仅S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S支持命令格式traffic-redirect inbound acl { acl-number | name acl-name } vpn-instance vpn-instance-name。

   • 业务方案

     1. 执行命令aaa，进入AAA视图。

     2. 执行命令service-scheme service-scheme-name，创建一个业务方案，并进入业务方案视图。

        缺省情况下，设备上没有创建业务方案。

     3. 执行命令acl-id [ ipv6 ] acl-number ，在业务方案下绑定ACL。

        缺省情况下，业务方案下未绑定ACL。

        仅S5735-L、S5735S-L、S5735S-L-M、S5735-S、S5735-S-I、S5735S-S、S5720-HI、S5720-EI、S6720-EI和S6720S-EI支持ipv6参数。

        执行该命令之前，需确保已使用命令acl或acl name创建了ACL；并使用命令rule配置相应的ACL规则。

        各类访问策略优先级顺序为：

        RADIUS服务器下发的ACL编号 > 本地配置的ACL编号 > RADIUS服务器通过编号26-82的属性HW-Data-Filter下发的ACL规则或DACL组 > RADIUS服务器下发的UCL组索引 > 本地配置的UCL组。

     4. 执行命令ucl-group { group-index | name group-name }，在业务方案下绑定UCL组。

        缺省情况下，业务方案下未绑定UCL组。

        执行该命令之前，需确保已创建并配置了标记用户类别的UCL组。

     5. 执行命令user-vlan vlan-id，在业务方案中配置用户VLAN。

        缺省情况下，在业务方案中未配置用户VLAN。

        执行该命令之前，需确保已使用命令vlan创建了VLAN。

     6. 执行命令voice-vlan在业务方案中使能Voice VLAN功能。

        缺省情况下，在业务方案中未使能Voice VLAN功能。

        为使本命令功能生效，需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN，同时使能接口的Voice VLAN功能。

     7. 执行命令sac-profile profile-name，将SAC模板绑定到业务方案中。

        缺省情况下，业务方案中未绑定SAC模板。

        三层Portal认证不支持该命令功能。

        设备仅支持本地授权sac-profile。无线场景时，直接转发模式不支持本地授权sac-profile。

        同时配置IP地址掩码为非32位的静态UCL组时，静态UCL组不生效。

        同时配置traffic-remark inbound acl命令时，traffic-remark inbound acl命令功能优先生效。

        仅S5731-S、S5731S-S、S5731-H、S5731-H-K和S5731S-H支持此命令。

     8. 执行命令qos-profile profile-name，在业务方案中绑定QoS模板。

        缺省情况下，在业务方案中未绑定QoS模板。

        仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持该命令。

        执行该命令之前，需确保已配置了QoS模板。配置QoS模板操作步骤如下：

        1. 在系统视图下执行命令qos-profile name profile-name，创建QoS模板并进入QoS模板视图。
        2. 在QoS模板视图下配置流量监管、报文处理优先级与用户队列。（业务方案下绑定QoS模板后，QoS模板中仅以下命令生效。）
           • 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound }，在QoS模板中配置流量监管。

             缺省情况下，QoS模板中没有配置流量监管。

           • 执行命令remark dscp dscp-value { inbound | outbound }，在QoS模板中配置重标记IP报文的DSCP优先级。

             缺省情况下，QoS模板中没有配置重标记IP报文的DSCP优先级。

           • 执行命令remark 8021p 8021p-value，在QoS模板中配置重标记VLAN报文802.1p优先级。

             缺省情况下，QoS模板中没有配置重标记VLAN报文802.1p优先级。

     9. 执行命令quit，返回到AAA视图。
     10. 执行命令quit，返回到系统视图。
     11. 执行命令traffic-remark inbound acl ucl-acl local-precedence local-precedence-value， 指定基于用户ACL对报文进行重标记。

3. 执行命令authentication-profile name authentication-profile-name，进入认证模板视图。
4. 配置授权信息。
   • 执行命令authentication event pre-authen action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name }，配置用户在预连接阶段的网络访问权限。
   • 执行命令authentication event authen-fail action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ]，配置用户在认证失败时的网络访问权限。
   • 执行命令authentication event authen-server-down action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ]，配置用户在认证服务器Down时的网络访问权限。
   • 执行命令authentication event authen-server-down action authorize keep [ no-response | response-fail ]，配置用户在认证服务器Down时保持原有的网络访问权限。
   • 执行命令authentication event authen-server-noreply action authorize keep [ no-response | response-fail ]，配置用户在认证服务器无响应时保持原有的网络访问权限。

   缺省情况下，未配置认证事件授权信息。

   如果没有配置认证失败或认证服务器Down时用户的网络访问权限，当用户认证失败后，用户仍保持在预连接状态，拥有预连接用户的网络访问权限。

   通过VLAN对用户进行授权，不适用于通过VLANIF接口接入的认证用户。

   对于有线用户进行802.1X认证，当RADIUS服务器Down时，某些客户端新上线时无法拥有逃生权限，例如新上线的Windows客户端收到设备回应的Success报文时未收到与RADIUS服务器的认证交互报文，导致认证失败，无法上线。目前如下客户端新上线时可以拥有逃生权限：使用EAP-MD5和PEAP协议的H3C iNode客户端、使用EAP-FAST和PEAP协议的Cisco AnyConnect客户端。对于Windows客户端，以Windows 7为例，需选择“本地连接 > 属性 > 身份验证 > 回滚到未经授权的网路”。

   如果配置了认证服务器Down的授权，设备探测到认证服务器Down后，用户认证失败并授予用户认证服务器Down的授权，并将用户加入到认证服务器Down的表项；如果没有配置认证服务器Down的授权，设备探测到认证服务器Down后，用户认证失败并会授予用户认证失败的授权，并将用户加入到认证失败的表项。

   用户授权顺序如下，设备会按照所处状态并依照优先级顺序依此检查是否配置了相应的权限，如果已配置，则按照配置的进行授权，如果未配置，则对下一优先级进行检查。

   • 认证服务器Down时的授权顺序：认证服务器Down时的网络访问权限 ⇨ 用户在认证失败时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
   • 用户在认证失败时的授权顺序：用户在认证失败时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
   • 用户在预连接状态时的授权顺序：用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。
   • 802.1X客户端无响应时的授权顺序：802.1X客户端无响应时的网络访问权限 ⇨ 用户在预连接阶段的网络访问权限 ⇨ 按照是否开启预连接功能进行授权处理。

5. （可选）配置用户表项的老化时间。

   • 执行命令authentication timer pre-authen-aging aging-time，配置预连接用户表项的老化时间。

     缺省情况下，预连接用户表项的老化时间是23小时。

   • 执行命令authentication timer authen-fail-aging aging-time，配置认证失败用户表项的老化时间。

     缺省情况下，认证失败用户表项的老化时间是23小时。

     认证服务器Down表项和认证失败表项的老化时间都是通过命令authentication timer authen-fail-aging aging-time配置。

   • 执行命令authentication timer authorize-keep-aging aging-time，配置保持原有网络访问权限的在线用户表项的老化时间。

     缺省情况下，保持原有网络访问权限的在线用户表项的老化时间为0，即该表项不老化。