(可选)配置语音终端不认证即上线功能
背景信息
在数据终端(PC等)和语音终端(IP Phone等)混合接入交换机的场景中,管理员为实现对数据终端的管理控制在交换机上配置NAC功能,但对语音终端没有管理控制的要求仅需要其能接入网络。此时,可以在交换机上使能语音终端不认证即上线功能。使能该功能后,交换机识别出的语音终端不认证就可以上线。
对于802.1X用户,如果终端主动发起认证,交换机优先处理认证流程,认证成功后,终端获取认证成功后的网络访问权限;认证失败时,交换机根据识别出的终端类型,使语音终端不认证即上线。
前置任务
为了能够识别出语音终端,交换机需要使能LLDP功能或配置Voice VLAN的OUI,具体配置请参见《S2720, S5700, S6700 V200R019C10 配置指南-网络管理与监控》 LLDP配置 中的“配置LLDP基本功能”或《S2720, S5700, S6700 V200R019C10 配置指南-以太网交换》 Voice VLAN配置 中的“配置基于MAC地址的Voice VLAN”。对于不支持LLDP功能、只支持CDP功能的语音设备,交换机需要执行lldp compliance cdp receive命令使能LLDP兼容CDP协议功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令authentication device-type voice authorize [ user-group group-name ],使能语音终端不认证即上线功能。
缺省情况下,未使能语音终端不认证即上线功能。
不指定参数user-group group-name时,语音终端上线后能够获取认证成功后的网络访问权限。指定参数user-group group-name时,语音终端上线后能够获取用户组定义的网络访问权限。当通过用户组定义语音终端的网络访问权限时,首先需要通过命令user-group group-name创建用户组,并配置组内用户的网络授权信息。需要注意的是,用户组只有使能后才能生效。
该命令为覆盖式命令,多次配置时,最后一次配置生效。
