(可选)配置用户组功能
背景信息
在NAC实际应用场景中,接入用户数量众多但用户类别却是有限的。针对这种情况,可在设备上创建用户组,并使每个用户组关联到一组ACL规则,则同一组内的用户将共用一组ACL规则。
在创建用户组后,可为用户组配置优先级以及VLAN,这样不同用户组内的用户即具有了不同的优先级以及网络访问权限。这将能够使管理员更灵活的管理用户。
除了S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI型号外,其他产品型号使能用户组功能时,每个用户会单独下发ACL规则,无法通过用户组来节省ACL资源。
认证服务器下发的用户组授权优先级高于AAA域下应用的用户组授权,当认证服务器下发的用户组授权失败后,用户会采用AAA域下应用的用户组授权。例如,认证服务器下发用户组A,设备仅配置了用户组B并在AAA域下应用,此时,用户组A授权失败,用户采用用户组B授权。如果用户希望使用认证服务器下发的用户组授权,需要保证认证服务器上下发的用户组在设备上已经配置。
若认证服务器向设备授权多个属性,并且所授权的属性存在包含关系,则授权属性按照最小原则生效。例如,认证服务器向设备授权了VLAN以及用户组,并且设备上用户组中配置了VLAN参数,则认证服务器授权VLAN功能生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令user-group group-name,创建用户组并进入用户组视图。
- 执行命令acl-id acl-number,在用户组下绑定ACL。
缺省情况下,用户组下未绑定ACL。
执行该命令前,需确保已使用命令acl或acl name创建了ACL,且该ACL下已配置至少一条规则。
- 执行命令user-vlan vlan-id,配置用户组VLAN。
缺省情况下,未配置用户组VLAN。
执行该命令之前,需确保已使用命令vlan创建了VLAN。
- 执行命令remark { 8021p 8021p-value | dscp dscp-value }*,配置用户组优先级。
缺省情况下,未配置用户组优先级。
仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持该命令。
- 执行命令car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *,配置对用户组内的用户进行流量监管。
缺省情况下,不对用户组内的用户进行流量监管。
仅S5720-EI、S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5732-H-K、S6730-H-K、S6730S-H、S5731-H、S5731S-H、S5731-S、S5731S-S、S5732-H、S6730-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持本命令,并且S5720-EI、S6720-EI和S6720S-EI仅支持将用户组CAR应用在接口出方向上(outbound)。
- 执行命令quit,退出到系统视图。
- 执行命令user-group group-name enable,使能用户组功能。
只有在使能用户组功能后,其上的配置才能生效。
缺省情况下,未使能用户组功能。
