评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
应用NAC
背景信息
认证模板用来统一管理NAC的相关配置。通过将认证模板绑定到接口视图下来使能NAC,实现对接口下的用户进行接入控制。接口下用户的认证类型由认证模板下绑定的接入模板决定。接入模板的配置请参见配置接入模板。
使能NAC功能时,需要注意以下几点:
- 支持NAC功能的接口有:VLANIF接口、GE接口、XGE接口、Eth-Trunk接口、端口组。NAC功能在不同接口上的支持情况如下:
- VLANIF接口不支持配置802.1X认证。
- MAC认证在二层接口上支持。
Portal认证在不同类型接口上的支持情况有差异:二层接口仅支持二层Portal认证方式、VLANIF接口支持二层和三层Portal认证方式。
- 用户在线时不允许修改或者预连接状态下切换用户上线的VLAN或者端口类型时,建议将用户下线或者shutdown端口,否则在切换过程中,客户端发送ARP报文时会以VLAN1的情况上线,导致后续用户IP地址无法更新。
不能在二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,否则会导致用户上线后无网络访问权限。
- 接口使能NAC功能之后,不能再执行以下命令,反之亦然:
命令
功能
mac-limit
配置接口的最大MAC地址学习个数。
mac-address learning disable
关闭接口的MAC地址学习功能。
port link-type dot1q-tunnel
配置接口的链路类型为QinQ。
port vlan-mapping vlan map-vlan
配置接口的VLAN Mapping功能。
port vlan-stacking
配置灵活QinQ功能。
mac-vlan enable
使能接口的MAC VLAN功能。
ip-subnet-vlan enable
使能接口基于IP子网划分VLAN的功能。
user-bind ip sticky-mac
使能根据绑定表生成Snooping类型MAC表项的功能。
