评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAC传统模式配置注意事项
涉及网元
表3-1 本特性涉及网元
角色 |
产品 |
说明 |
|---|---|---|
AAA服务器 |
华为公司或第三方公司的AAA服务器产品。 |
负责对用户进行认证、计费和授权。 |
Portal服务器 |
华为公司或第三方公司的Portal服务器产品。 |
负责接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。 仅外置Portal认证方式需要该网元。 |
华为公司的Agile Controller-Campus作服务器时,其支持版本为V100R001、V100R002、V100R003。
如果需要交换机作为DHCP服务器并且根据Agile Controller-Campus下发的MAC-IP静态绑定关系为终端分配IP地址,需要对接V100R002、V100R003版本的Agile Controller-Campus。
License支持
NAC传统模式是交换机的基本特性,无需获得License许可即可应用此功能。
V200R019C10版本特性支持情况
S600-E系列交换机中所有款型均支持NAC传统模式。
特性依赖和限制
NAC模式相关:
- 相比传统模式,统一模式具有以下优势:采用模板化的配置,使配置层次更加清晰、配置模型更易理解。基于上述优势,建议使用统一模式部署NAC功能。
- V200R007C00之前版本,传统模式与统一模式相互切换后,需要手动保存配置文件并重启设备,新的NAC模式才能生效。V200R007C00及之后版本,传统模式与统一模式相互切换后,设备会自动保存配置文件并重启。
- 统一模式下,仅传统模式支持的命令不可见,反之亦然。同时,NAC模式切换后,两种模式共同支持的命令功能一直生效。
认证相关:
- 802.1x认证场景中,如果使能802.1x认证的交换机和用户之间存在二层交换机,则需要在二层交换机上配置802.1x认证报文二层透明传输功能,否则用户无法认证成功。
- Portal认证场景中,存在用户仿冒IP地址进行认证的安全风险,建议用户配置IPSG和DHCP Snooping等防攻击功能来避免此安全风险。
- 不能在交换机二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,也不能分开配置认证相关参数。
- 交换机支持对VPN内的用户进行802.1X认证、MAC认证以及外置Portal认证(基于HTTP/HTTPS协议的Portal认证从V200R013C00版本开始支持),不支持内置Portal认证,不支持对处于不同VPN中但IP地址相同的用户进行认证。
- 采用MAC认证的终端不支持在IPv4和IPv6协议之间切换。所以,为保证终端认证成功后能够正常获取IP地址,建议在终端上仅开启IPv4和IPv6协议中的一种。
- 在不配置任意报文触发认证的情况下,源IP地址为0.0.0.0的ARP报文无法触发MAC认证。
- X系列单板作为认证点时,除了X1E、X2E、X2H、X5H、X6H支持IPv6用户授权ACL,其他X系列单板不支持IPv6用户授权ACL。
- V200R020C00及之后版本,设备不再支持内置Portal认证。
授权相关:
- 不支持为在线Portal用户授权VLAN。对于MAC优先的Portal认证,Portal认证成功后,V1版本的Agile Controller-Campus授权session timeout属性让用户立刻下线,然后再通过MAC认证上线授权VLAN。
- 用户终端如果通过DHCP方式获取IP地址,通过CoA方式授权VLAN成功或更改授权VLAN后,需要手动触发DHCP重新申请IP地址。V200R012C00版本起,设备支持通过闪断认证端口来触发终端重新申请IP地址;配置该功能时,需要在设备上执行命令undo radius-server authorization hw-ext-specific command bounce-port disable,配置设备开启该功能;认证服务器上需要配置RADIUS属性HW-Ext-Specific(26-238)的取值为“user-command=2”。
- V200R011C10之前版本不支持对用户授权上行/下行报文的DSCP值,同时对用户授权ACL、上行报文限速值或下行报文限速值时,仅ACL生效。V200R011C10及之后版本支持对用户授权上行报文的DSCP值和下行报文的DSCP值,且授权的ACL、上行报文限速值、下行报文限速值、上行报文的DSCP值和下行报文的DSCP值能够同时生效。
其他:
- NAC用户数不要超过整机的MAC表项规格。
LNP协商时,接口的链路类型进入稳态之前,NAC用户将无法上线;对于已在线NAC用户,如果接口的链路类型再次进行协商并且协商结果产生变化,则NAC用户将会被强制下线。
- 对于S600-E,交换机配置的基于ACL的简化流策略和基于MQC的流策略中的流分类规则优先级高于NAC中定义的规则。当基于ACL的简化流策略和基于MQC的流策略中的配置与NAC功能冲突时,交换机按照基于ACL的简化流策略配置和基于MQC的流策略中的流行为对报文进行处理。
