AAA配置注意事项

V200R019C10版本特性支持情况

S2720, S5700, S6700系列交换机中所有款型均支持AAA。

如需了解交换机软件配套详细信息，请点击Info-Finder。

特性依赖和限制

• 为了避免设备和RADIUS服务器或HWTACACS服务器之间的安全传输风险，建议设备和服务器之间的通信网络部署在一个安全域中。

• NAC传统模式下不支持授权业务方案和UCL组。仅NAC传统模式支持授权用户组。
• 如果使用authentication-mode（认证方案视图）命令配置认证方式为不认证，则当用户上线时，用户输入任意的用户名和密码后都会认证成功。因此，为保护设备或网络安全，建议开启认证方式，保证用户经过认证后才可以访问设备或网络。
• 缺省情况下，全局默认普通域default和全局默认管理域default_admin域内都绑定了default计费方案，修改default计费方案会同时影响这两个域的配置，请谨慎操作，以免造成用户计费失败。
• 去使能NETCONF功能时，原先上线的HACA用户会继续在线，但是新的HACA用户不能上线成功。
• 用户上行报文同时授权DSCP优先级映射和802.1P优先级映射时，无论端口信任哪种优先级映射方式，对于S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5732-H、S5732-H-K、S5731-S、S5731S-S、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S DSCP优先级映射生效，对于S5720-EI、S6720-EI、S6720S-EI 、S5735-L、S5735S-L、S5735S-L-M、S5735-S、S5735S-S、S5735-S-I 802.1P优先级映射生效。
• 不支持将某一VLAN同时指定为授权VLAN和Voice VLAN。
• 在V200R020C00之前版本，对用户授权CAR后，设备会统计用户流量；在V200R020C00及之后版本，对用户授权CAR后，设备不会自动统计用户流量，需要另行配置流量统计功能。
• 设备的管理口不支持收发RADIUS报文。
• RADIUS+本地认证模式场景下，DOT1X上线过程中如果RADIUS重传时间过长会导致某些终端无法上线。
• 如果设备全局配置了默认VPN实例，则需要在VPN实例内配置路由互通，并将HWTACACS服务器绑定的源IP地址加入到VPN实例中。建议用户通过执行undo set net-manager vpn-instance命令取消全局已配置的默认VPN实例。
• 在V200R013C00及之后版本，对于S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S和S6730S-S，如果设备处理的RADIUS报文超过1500字节，建议在RADIUS服务器模板视图下配置radius-attribute set framed-mtu 1000命令。
• 设备通过TACACS计费报文上报管理员在设备上通过SSH、Telnet、WEB网管命令行界面执行过的命令，因此设备需要配置TACACS计费服务器。
• 设备支持通过TACACS授权报文授权SSH、Telnet登录的管理员执行HWTACACS服务器的命令行，WEB网管命令行界面只能通过登录管理员的级别限制执行命令行的权限，不支持HWTACACS服务器授权。