配置静态用户
背景信息
在网络部署中,对于打印机和服务器等哑终端,管理员一般都是为其分配静态IP地址。对于这类用户,为了更加灵活的对其进行认证,可将其配置为静态用户。
在配置完成静态用户后,只要在静态用户所连接的接口上使能了802.1X认证、MAC认证以及Portal认证中的任意一种,设备就能够使用静态用户的IP地址等信息作为用户名进行认证。
用户802.1X、MAC或Portal认证成功后,如果修改其IP地址为静态用户的IP地址,此后,若设备感知到用户IP地址变化(如用户访问网络资源),会将用户加入到预连接状态,预连接重认证周期过后,用户可以重新认证上线。
用户IP地址如果不在静态用户的IP地址范围内,认证时会将用户加入到预连接状态,此时如果用户将IP地址修改为静态用户的地址,不能立即认证成功,需等预连接重认证周期过后,用户再重新认证上线。如果用户需要立即上线,管理员可通过执行命令cut access-user强制用户下线,用户即可立即认证成功。
用户IP地址在静态用户的IP地址范围内,此时切换IP地址,不能立即认证上线,用户会进入预连接状态,需等预连接重认证周期过后,用户再重新认证上线。如果用户需要立即上线,管理员可通过执行命令cut access-user强制用户下线,用户即可立即认证成功。
静态用户认证成功后,不支持重认证。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令static-user start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ ip-user ] [ domain-name domain-name | interface interface-type interface-number [ detect ] | mac-address mac-address | vlan vlan-id | keep-online ] *,配置静态用户。
缺省情况下,未配置静态用户。
配置静态用户所属的接口时(即参数interface interface-type interface-number),必须同时配置该接口所属的VLAN(即参数vlan vlan-id)。
- 执行命令static-user username macaddress format { with-hyphen [ normal ] [ colon ] | without-hyphen } [ uppercase ] [ password-with-macaddress ],配置静态用户进行认证时的用户名为MAC地址。
缺省情况下,未配置静态用户进行认证时的用户名为MAC地址。
该命令优先级高于static-user username format-include { ip-address | mac-address | system-name }和static-user password cipher password的优先级。
- 执行命令static-user username format-include { ip-address | mac-address | system-name },配置静态用户进行认证时使用的用户名。
缺省情况下,静态用户的用户名为system-name和ip-address。譬如,接入设备名称为huawei,用户的IP地址为1.1.1.1,则静态用户的用户名为huawei1.1.1.1。
- 执行命令static-user password cipher password,配置静态用户进行认证时使用的密码。
缺省情况下,未配置静态用户进行认证时使用的密码。
- (可选)执行命令static-user not-update-ip enable,禁止设备更新静态用户的IP地址。
缺省情况下,不允许设备更新静态用户的IP地址。
