评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
应用NAC
背景信息
认证模板用来统一管理NAC的相关配置。通过将认证模板绑定到接口视图下来使能NAC,实现对接口下的用户进行接入控制。接口下用户的认证类型由认证模板下绑定的接入模板决定。接入模板的配置请参见配置接入模板。
使能NAC功能时,需要注意以下几点:
- 支持NAC功能的接口有:VLANIF接口、GE接口、XGE接口、Eth-Trunk接口、端口组。NAC功能在不同接口上的支持情况如下:
- VLANIF下配置802.1X认证,802.1X认证不生效。
- MAC认证在二层接口上支持。
Portal认证在不同类型接口上的支持情况有差异:二层接口仅支持二层Portal认证方式、VLANIF接口支持二层和三层Portal认证方式。
- NETCONF模式下,用户在线时不允许修改用户上线的VLAN。
不能在二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,否则会导致用户上线后无网络访问权限。
- 接口使能NAC功能之后,不能再执行以下命令,反之亦然:
命令
功能
mac-limit
配置接口的最大MAC地址学习个数。
mac-address learning disable
关闭接口的MAC地址学习功能。
port link-type dot1q-tunnel
配置接口的链路类型为QinQ。
port vlan-mapping vlan map-vlan
配置接口的VLAN Mapping功能。
port vlan-stacking
配置灵活QinQ功能。
mac-vlan enable
使能接口的MAC VLAN功能。
ip-subnet-vlan enable
使能接口基于IP子网划分VLAN的功能。
user-bind ip sticky-mac
说明:该命令仅与802.1X认证和MAC认证冲突。
使能根据绑定表生成Snooping类型MAC表项的功能。
