应用NAC
背景信息
认证模板用来统一管理NAC的相关配置。通过将认证模板绑定到接口视图下来使能NAC,实现对接口下的用户进行接入控制。接口下用户的认证类型由认证模板下绑定的接入模板决定。接入模板的配置请参见配置接入模板。
- 支持NAC功能的接口有:VLANIF接口、GE接口、XGE接口、Eth-Trunk接口、端口组。NAC功能在不同接口上的支持情况如下:
- VLANIF下配置802.1X认证,802.1X认证不生效。
- MAC认证在二层接口上支持。
Portal认证在不同类型接口上的支持情况有差异:二层接口仅支持二层Portal认证方式、VLANIF接口支持二层和三层Portal认证方式。
- NETCONF模式下,用户在线时不允许修改用户上线的VLAN。
不能在二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,否则会导致用户上线后无网络访问权限。
- 接口使能NAC功能之后,不能再执行以下命令,反之亦然:
命令
功能
mac-limit
配置接口的最大MAC地址学习个数。
mac-address learning disable
关闭接口的MAC地址学习功能。
port link-type dot1q-tunnel
配置接口的链路类型为QinQ。
port vlan-mapping vlan map-vlan
配置接口的VLAN Mapping功能。
port vlan-stacking
配置灵活QinQ功能。
mac-vlan enable
使能接口的MAC VLAN功能。
ip-subnet-vlan enable
使能接口基于IP子网划分VLAN的功能。
user-bind ip sticky-mac
说明:该命令仅与802.1X认证和MAC认证冲突。
使能根据绑定表生成Snooping类型MAC表项的功能。