应用NAC
背景信息
认证模板用来统一管理NAC的相关配置。通过将认证模板绑定到接口或VAP模板视图下来使能NAC,实现对接口或VAP模板下的用户进行接入控制。接口或VAP模板下用户的认证类型由认证模板下绑定的接入模板决定。接入模板的配置请参见配置接入模板。
- 支持NAC功能的接口或模板有:VLANIF接口、Ethernet接口、GE接口、MultiGE接口、XGE接口、25GE接口、40GE接口、100GE接口、Eth-Trunk接口、端口组和VAP模板。NAC功能在不同接口上的支持情况如下:
- VLANIF接口不支持配置802.1X认证。
- MAC认证在二层接口和VLANIF接口上支持。(仅S5720-EI、S5720-HI、S5720I-SI、S5720S-SI、S5720-SI、S5735-S、S5735S-S、S5735-S-I、S5730-HI、S5730-SI、S5730S-EI、S6720-HI、S6720-LI、S6720S-LI、S6720-SI、S6720S-SI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持在VLANIF接口下配置MAC认证)
Portal认证在不同类型接口上的支持情况有差异:路由主接口(仅S5720-EI、S5720-HI、S6720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持)支持二层和三层Portal认证方式、二层接口仅支持二层Portal认证方式、VLANIF接口支持二层和三层Portal认证方式。
- Super-VLAN对应的VLANIF接口不支持Portal认证。
- 用户在线时不允许修改或者预连接状态下切换用户上线的VLAN或者端口类型时,建议将用户下线或者shutdown端口,否则在切换过程中,客户端发送ARP报文时会以VLAN1的情况上线,导致后续用户IP地址无法更新。
- 对于无线用户通过AP接入,在为用户部署NAC认证时,务必保证AP设备也能够通过认证(可采用将AP设备加入静态用户等方式实现),否则无线用户也无法通过认证。
- 对于S6720-SI、S6720S-SI、S6720-LI、S6720S-LI、S5731-S、S5731S-S、S5720-SI、S5720S-SI、S5720I-SI、S5720-LI、S5720S-LI,流策略的优先级高于认证,可能导致用户没有通过认证之前就可以访问网络。
不能在二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,否则会导致用户上线后无网络访问权限。另外,无线场景下,不能在VAP模板和VLANIF接口上同时使能NAC认证功能。直接转发模式时,设备必须采用旁挂组网方式,否则VLANIF接口下的NAC认证功能将不生效。
- 接口使能NAC功能之后,不能再执行以下命令,反之亦然:
命令
功能
mac-limit
配置接口的最大MAC地址学习个数。
mac-address learning disable
关闭接口的MAC地址学习功能。
port link-type dot1q-tunnel
配置接口的链路类型为QinQ。
port vlan-mapping vlan map-vlan
port vlan-mapping vlan inner-vlan
配置接口的VLAN Mapping功能。
port vlan-stacking
配置灵活QinQ功能。
mac-vlan enable
使能接口的MAC VLAN功能。
ip-subnet-vlan enable
使能接口基于IP子网划分VLAN的功能。
user-bind ip sticky-mac
使能根据绑定表生成Snooping类型MAC表项的功能。
- 执行encapsulation(二层子接口视图)命令配置二层子接口允许通过的流封装类型为default后,该二层子接口对应的主接口无法配置NAC功能。
- 主接口配置NAC功能后,其二层子接口无法再执行bridge-domain(二层子接口视图)命令与BD关联;二层子接口执行bridge-domain(二层子接口视图)命令与BD关联后,其主接口无法再配置NAC功能。
