评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置终端类型感知功能
背景信息
在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。
如果认证服务器支持终端类型识别功能,可以在设备上配置终端类型感知功能。通过终端类型感知功能,设备能够获悉终端的类型并发送给认证服务器,进而使认证服务器识别出用户的终端类型,根据用户的终端类型为其部署网络访问权限或报文处理优先级等策略。
在使能NAC的任意一种认证方式后,设备能够通过以下方式获取到用户的终端类型。
- 通过UA方式:设备从终端发送的HTTP Get报文中提取出UA字段(该字段中携带有终端类型信息)。之后,设备会把UA字段信息通过RADIUS计费报文中的华为159号扩展属性HW-HTTP-UA发送到RADIUS服务器。
- 通过DHCP选项字段方式:设备在接收到DHCP Request报文后解析出所需的Option字段(该字段中携带有终端类型信息)。之后,设备会把Option字段信息通过RADIUS计费报文中的华为158号扩展属性HW-DHCP-Option发送到RADIUS服务器。该方式需要首先使能设备的DHCP Snooping功能,请参见《S2720, S5700, S6700 V200R019C10 配置指南-安全》 DHCP Snooping配置 中的“使能DHCP Snooping功能”。
- 通过LLDP TLV类型方式:设备在接收到LLDP报文后能够解析出所需的TLV类型(TLV携带了终端类型信息)。之后,设备会把TLV类型信息通过RADIUS计费报文中的华为163号扩展属性HW-LLDP发送到RADIUS服务器。该方式需要首先使能设备以及下挂的对端设备的LLDP功能,请参见《S2720, S5700, S6700 V200R019C10 配置指南-网络管理与监控》 LLDP配置 中的“使能LLDP功能”。
为保证终端类型感知功能生效,需确保AAA方案中的认证或计费模式为RADIUS。
终端类型感知功能仅为接入设备提供了一种获取用户终端类型的方案,其本身无法识别终端类型和为终端分配网络访问策略。识别终端类型和为不同类型的终端部署网络访问策略可以由管理员在RADIUS服务器上进行配置。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置终端类型感知功能
- 通过UA方式
- 对于S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H,执行命令http parse user-agent enable,使能UA功能。
缺省情况下,UA功能处于未使能状态。
- 对于其他形态,缺省情况下,UA功能处于使能状态。
- 对于S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H,执行命令http parse user-agent enable,使能UA功能。
执行命令device-sensor dhcp option option-code &<1-6>,使能根据DHCP选项字段感知终端类型功能。
缺省情况下,未使能根据DHCP选项字段感知终端类型功能。
执行命令device-sensor lldp tlv tlv-type &<1-4>,使能根据LLDP协议感知终端类型功能。
缺省情况下,未使能根据LLDP协议感知终端类型功能。
- 通过UA方式
