配置授权规则
背景信息
配置本地授权时,本地可配置的授权参数如表1-33所示:
授权参数 |
应用场景 |
说明 |
|---|---|---|
VLAN |
部署简单,维护成本也较低,由于其控制粒度在VLAN层面,适用于在同一办公室或同一部门所有人员权限相同的场景。 |
本地授权时,仅需在设备上配置VLAN及VLAN内的网络资源。 不支持为在线Portal用户授权VLAN。 用户获取VLAN授权后,需要手动触发DHCP申请IP地址。 |
业务方案 |
业务方案及业务方案所包括的网络资源需要在设备上配置。 |
设备上需要配置业务方案及业务方案内的网络资源。 业务方案可以被域引用,域下的用户就能获取业务方案的授权信息。 |
用户组(传统模式) |
用户组指具有相同角色、相同权限等属性的一组用户(终端)的集合。例如,园区网中可以根据企业部门结构划分研发组、财务组、市场组、访客组等部门用户组,对于不同部门可授予不同安全策略。 |
本地授权时,仅需在设备上需要配置用户组及用户组内的网络资源。 用户组可以被域引用,域下的用户就能获取用户组的授权信息。 用户组的配置过程参见步骤配置授权用户组。 |
UCL组(统一模式) |
UCL组是一种用户类别的标记。借助UCL组管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署一组网络访问策略即能满足该类别所有用户的网络访问需求。 |
本地授权时,可以在设备上配置UCL组及UCL组内的网络资源。 UCL组可以被域引用,域下的用户就能获取UCL组的授权信息。 UCL组的配置过程参见步骤配置授权UCL组。 |
操作步骤
- 配置授权VLAN。
在设备上配置VLAN及VLAN内的网络资源。
- 配置授权业务方案。
具体配置请参见配置业务方案。
- 配置授权用户组。
步骤
命令
说明
进入系统视图
system-view
–
创建用户组并进入用户组视图
user-group group-name
双链路备份场景下使用用户组时,必须指定用户组索引,并且主备设备上配置的用户组名和用户组索引必须一致。
在用户组下绑定ACL
acl-id acl-number
缺省情况下,用户组下未绑定ACL。
说明:执行该命令前,需确保已使用命令acl或acl name创建了ACL,且该ACL下已配置至少一条规则。
在用户组下绑定VLAN
user-vlan vlan-id
缺省情况下,未配置用户组VLAN。
配置用户组优先级
remark { 8021p 8021p-value | dscp dscp-value }*
缺省情况下,未配置用户组优先级。
说明:仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持该命令。
配置对用户组内的用户进行流量监管
car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *
缺省情况下,不对用户组内的用户进行流量监管。
说明:仅S5720-EI、S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5732-H-K、S6730-H-K、S6730S-H、S5731-H、S5731S-H、S5731-S、S5731S-S、S5732-H、S6730-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持本命令,并且S5720-EI、S6720-EI和S6720S-EI仅支持将用户组CAR应用在接口出方向上(outbound)。
退出到系统视图
quit
–
使能用户组功能
user-group group-name enable
只有在使能用户组功能后,其上的配置才能生效。
缺省情况下,未使能用户组功能。
- 配置授权UCL组。
步骤
命令
说明
进入系统视图
system-view
–
创建UCL组
ucl-group group-index [ name group-name ]
缺省情况下,未创建UCL组。
(可选)配置静态UCL组IP地址
ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name } [ escape ]
缺省情况下,未配置静态UCL组IP地址。
说明:仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持静态UCL组IP地址。
(可选)配置静态UCL组域名
ucl-group domain domain-name domain-name { group-index | name group-name }
缺省情况下,未配置静态UCL组域名。
说明:仅S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S支持静态UCL组域名。
配置用户ACL或用户ACL6
详细配置请参见《S2720, S5700, S6700 V200R019C10 配置指南-安全》 ACL配置 中的“配置用户ACL”或“配置用户ACL6”。
根据UCL组对报文进行过滤。
配置基于ACL对报文进行过滤
traffic-filter inbound acl [ ipv6 ] acl-number
缺省情况下,未配置基于ACL对报文进行过滤。
