评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置通过IP地址标记静态用户的功能
背景信息
设备默认使用MAC地址标记静态用户,但是对于单MAC地址多IP地址的终端,多个IP地址必须都通过认证终端才能上线,以终端MAC地址做标记就会导致后面认证的IP地址不断刷新之前IP地址的表项信息,致使终端无法上线。此时,可以使能通过IP地址标记静态用户的功能,满足单MAC地址多IP地址终端的上线需求。
仅S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S支持该功能。
- 单MAC地址多IP地址的终端进行认证时,必须首先将其配置为静态用户并结合通过IP地址标记静态用户的功能,才能正常上线并获取授权信息。配置静态用户时,如果未配置ip-user参数,所有的静态用户都会当成单MAC多IP来处理,为了能够将单MAC多IP用户精确标记出来,可以在配置静态用户时通过ip-user参数将单MAC多IP用户标记出来,只有这些用户才当做单MAC多IP用户来处理。
- 设备不支持对单MAC地址多IP地址的用户进行流量统计。
仅有线用户支持该功能。
配置该功能后,仅对新上线用户生效;修改配置后,会导致接口上已在线的用户下线。
- 该功能仅在用户接入模式为multi-authen时支持,用户接入模式的配置命令请参见authentication mode。
- 通过IP地址标记的静态用户认证失败后直接下线,不会加入预连接或者认证失败状态,因此display access-user(所有视图)命令不会显示对应的用户连接。
通过IP地址标记的静态用户不支持MAC迁移功能。
通过IP地址标记的静态用户不支持二层转发时的权限控制。
通过IP地址标记的静态用户仅支持基于IP的上行授权业务(如:上行的授权UCL、三层组间隔离、CAR、优先级等),不支持下行授权(如:下行的CAR、下行Remark、动态授权VLAN、HQoS等)。
策略联动场景下,通过命令authentication control-point open将控制点配置为open模式时,不支持通过IP地址标记静态用户的功能。
- 单MAC地址多IP地址的终端进行认证时,只能通过ARP报文触发认证。设备要保证ARP报文可以触发认证,例如能够触发认证的报文类型要包括ARP。
- 对于S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5732-H、S5732-H-K、S5731-S、S5731S-S、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S,配置ip-static-user enable功能后,将导致authentication trigger-condition any-l2-packet命令行所实现的任意二层报文不再触发用户上线。
- 单MAC地址多IP地址的用户上线后,相同MAC地址的WEB用户会覆盖认证,后续该单MAC地址多IP地址用户在不需要认证的情况下,仍然具有访问权限。
前置任务
配置该功能前,需完成静态用户的配置。
- 执行命令static-user start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ ip-user ] [ domain-name domain-name | interface interface-type interface-number [ detect ] | mac-address mac-address | vlan vlan-id ] *,配置静态用户。
- 执行命令static-user username format-include { ip-address | mac-address | system-name },配置静态用户进行认证时使用的用户名。
- 执行命令static-user password cipher password,配置静态用户进行认证时使用的密码。
