NAC传统模式配置注意事项
涉及网元
角色 |
产品 |
说明 |
---|---|---|
AAA服务器 |
华为公司或第三方公司的AAA服务器产品。 |
负责对用户进行认证、计费和授权。 |
Portal服务器 |
华为公司或第三方公司的Portal服务器产品。 |
负责接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。 仅外置Portal认证方式需要该网元。 |
华为公司的Agile Controller-Campus作服务器时,其支持版本为V100R001、V100R002、V100R003。
如果需要交换机作为DHCP服务器并且根据Agile Controller-Campus下发的MAC-IP静态绑定关系为终端分配IP地址,需要对接V100R002、V100R003版本的Agile Controller-Campus。
License支持
NAC传统模式是交换机的基本特性,无需获得License许可即可应用此功能。
V200R019C10版本特性支持情况
S600-E系列交换机中所有款型均支持NAC传统模式。
特性依赖和限制
- 相比传统模式,统一模式具有以下优势:采用模板化的配置,使配置层次更加清晰、配置模型更易理解。基于上述优势,建议使用统一模式部署NAC功能。
- V200R007C00之前版本,传统模式与统一模式相互切换后,需要手动保存配置文件并重启设备,新的NAC模式才能生效。V200R007C00及之后版本,传统模式与统一模式相互切换后,设备会自动保存配置文件并重启。
- 统一模式下,仅传统模式支持的命令不可见,反之亦然。同时,NAC模式切换后,两种模式共同支持的命令功能一直生效。
- 802.1x认证场景中,如果使能802.1x认证的交换机和用户之间存在二层交换机,则需要在二层交换机上配置802.1x认证报文二层透明传输功能,否则用户无法认证成功。
- Portal认证场景中,存在用户仿冒IP地址进行认证的安全风险,建议用户配置IPSG和DHCP Snooping等防攻击功能来避免此安全风险。
- 不能在交换机二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,也不能分开配置认证相关参数。
- 交换机支持对VPN内的用户进行802.1X认证、MAC认证以及外置Portal认证(基于HTTP/HTTPS协议的Portal认证从V200R013C00版本开始支持),不支持内置Portal认证,不支持对处于不同VPN中但IP地址相同的用户进行认证。
- 采用MAC认证的终端不支持在IPv4和IPv6协议之间切换。所以,为保证终端认证成功后能够正常获取IP地址,建议在终端上仅开启IPv4和IPv6协议中的一种。
- 在不配置任意报文触发认证的情况下,源IP地址为0.0.0.0的ARP报文无法触发MAC认证。
- X系列单板作为认证点时,除了X1E、X2E、X2H、X5H、X6H支持IPv6用户授权ACL,其他X系列单板不支持IPv6用户授权ACL。
- 不支持为在线Portal用户授权VLAN。对于MAC优先的Portal认证,Portal认证成功后,V1版本的Agile Controller-Campus授权session timeout属性让用户立刻下线,然后再通过MAC认证上线授权VLAN。
- 用户终端如果通过DHCP方式获取IP地址,通过CoA方式授权VLAN成功或更改授权VLAN后,需要手动触发DHCP重新申请IP地址。V200R012C00版本起,设备支持通过闪断认证端口来触发终端重新申请IP地址;配置该功能时,需要在设备上执行命令undo radius-server authorization hw-ext-specific command bounce-port disable,配置设备开启该功能;认证服务器上需要配置RADIUS属性HW-Ext-Specific(26-238)的取值为“user-command=2”。
- V200R011C10之前版本不支持对用户授权上行/下行报文的DSCP值,同时对用户授权ACL、上行报文限速值或下行报文限速值时,仅ACL生效。V200R011C10及之后版本支持对用户授权上行报文的DSCP值和下行报文的DSCP值,且授权的ACL、上行报文限速值、下行报文限速值、上行报文的DSCP值和下行报文的DSCP值能够同时生效。
- NAC用户数不要超过整机的MAC表项规格。
LNP协商时,接口的链路类型进入稳态之前,NAC用户将无法上线;对于已在线NAC用户,如果接口的链路类型再次进行协商并且协商结果产生变化,则NAC用户将会被强制下线。
- 对于S600-E,交换机配置的基于ACL的简化流策略和基于MQC的流策略中的流分类规则优先级高于NAC中定义的规则。当基于ACL的简化流策略和基于MQC的流策略中的配置与NAC功能冲突时,交换机按照基于ACL的简化流策略配置和基于MQC的流策略中的流行为对报文进行处理。