| 功能 | 是否必须 | 配置端 | 具体配置 | 配置说明 | 注意事项 | 举例 | 参数说明 | ||
| openflow对接配置 | √ | 设备端添加 | of controller-ip (onc ip) port 6653 interface (port / vlan xx) | 配置与控制器对接openflow协议 | of controller-ip 172.18.157.134 port 6653 interface loopback 0 | onc ip:onc的ip地址 port / vlan xx :配置与onc设备对接的接口或vlan |
|||
| netconf对接配置 | √ | 设备端添加 | username (username) password (password) enable service ssh-server |
配置与控制器对接netconf协议 | username ruijie password ruijie enable service ssh-server |
username :ONC设备对接时使用的用户名 password :ONC设备对接时使用的密码 |
|||
| snmp对接配置 | √ | 设备端添加 | snmp-server enable traps snmp-server community (community) rw snmp-server host (radius ip)informs version 2c (radius snmp key) |
配置与控制器对接snmp协议 | snmp-server enable traps snmp-server community ruijie rw snmp-server host 172.18.157.139 informs version 2c ruijie |
onc ip:ONCip地址 onc snmp key:snmp key community:snmp对接的团体字 radius ip:N18k对接的radius设备地址 radius snmp key:与radius对接的snmp key |
|||
| 网关认证模式 | √ | 设备端添加 | auth-mode gateway | 开启大网关模式(极简专用模式,必须开启),调整内部表项容量和功能使之适应大网关场景的部署机制 | 该配置需要保存重启后才能生效 | auth-mode gateway | |||
| 配置用户定期同步 | √ | 设备端添加 | snmp-server host (radius ip) informs version 2c (radius snmp key) | 为了防止SAM上有存在因为异常情况导致的用户无法下线情况,SAM每天凌晨2点会自动与NAS上在线用户进行核对,删除假在线的用户信息 | snmp-server host 202.204.193.23 informs version 2c ruijie | radius ip:IP address of radius server key:SNMPv2c community string |
|||
| 接口索引唯一性 | √ | 设备端添加 | snmp-server if-index persist | 每个端口的接口索引都是唯一,可以通过show interface查看(Index字段),当有多张线卡和AP口时(先插入1张,配置AP口,再插入1张),设备重启后,可能会导致设备接口索引发生变化,导致SAM上的区域划分功能失效,建议开启接口索引唯一。 | snmp-server if-index persist | ||||
| 关闭https重定向 | √ | 设备端添加 | no http redirect port 443 | https涉及到socket加密与解密,当前版本性能比起http低得多。开启HTTPS后会导致原有HTTP的重定向性能降低,暂时建议关闭。已在版本优化进行中。 | no http redirect port 443 | ||||
| 地址快速回收 | √ | 设备端添加 | ip dhcp snooping arp-detect ip dhcp server arp-detect |
启动dhcp-snooping的arp快速回收,arp老化时进行默认1s/次,最多5次 启动dhcp-server快速地址回收,如发现用户在一段时间内(默认5分钟)未重新上线,DHCP服务器就回收分配给该用户的地址 |
ip dhcp snooping arp-detect ip dhcp server arp-detect |
||||
| 防私设IP地址 | web认证防私设 | 设备端添加 | web-auth dhcp-check | 配置web认证防私设,用户发起web认证,会先检查dhcp绑定表中是否有该用户ip地址。若为私设用户,无法弹出或跳转到web认证页面 | web-auth dhcp-check | ||||
| 1x认证防私设 | 设备端添加 | dot1x valid-ip-acct enable | 必配,通过记帐更新报文上传用户IP通告给SAM,如果发现1x认证模块没有终端用户的IP表项,5分钟后就会将用户踢下线。 | dot1x valid-ip-acct enable | |||||
| mac快速认证防私设 | 设备端添加 | dot1x mac-auth-bypass valid-ip-auth | 必配,由DHCP模块通告MAB模块开始认证,终端用户进行无感知认证前必须要先获取到IP | dot1x mac-auth-bypass valid-ip-auth | |||||
| 用户组信息接收 | 设备端添加 | radius-server group-attribute 25 | 配置后识别radius报文的25号属性,若对策略随行功能有部署要求,则必配 | radius-server group-attribute 25 | |||||
| 配置DHCP snooping | √ | 设备端添加 | ip dhcp snooping | dhcp snooping开关,极简中场景主要作用为,mab、1x认证的带上IP地址。这两种认证的IP地址从dhcp snooping表中获得 | ip dhcp snooping | ||||
| 下联口配置(接入隔离) | √ | 设备端添加 | interface xx switchport mode trunk switchport trunk allowed vlan only vlan-list XX switchport protected |
必须配置端口隔离/或者vlan隔离,进行vlan裁剪 | interface xx switchport mode trunk switchport trunk allowed vlan only 10,20,100-400 switchport protected |
||||
| 子网策略例外口 | 设备端添加 | interface xx network-policy uplink |
端口配置这条命令,子网策略在这个端口就不生效 | interface xx network-policy uplink |
|||||
| 认证 | 基本信息 | 设备端添加 | aaa new-model aaa accounting network (list name) start-stop group (group name) aaa authentication dot1x (list name) group (group name) aaa authentication web-auth (list name) group (group name) aaa authentication login default local aaa group server radius (group name) server (radius ip) radius-server host (radius ip) key 7 (radius key) aaa accounting update periodic 30 aaa accounting update aaa authorization ip-auth-mode mixed no aaa log enable ip portal source-interface (portal interface) ip radius source-interface (radius interface) radius-server attribute nas-port-id format qinq |
aaa和radius-server的通用命令,可参考 | 注意事项1:若使用mab认证时aaa authorization ip-auth-mode (mix/dhcp-server)只能配置这两种模式 注意事项2:ip portal source-interface和ip radius source-interface的接口IP地址,必须和radius或者eportal一致 注意事项3:radius-server attribute nas-port-id format qinq是为了报文QINQ部署模式下,N18K能将用户的双层tag都上传给服务器 |
aaa new-model aaa accounting network sam start-stop group sam aaa authentication dot1x sam group sam aaa authentication web-auth sam group sam aaa authentication login default local aaa group server radius sam server 202.204.193.23 radius-server host 202.204.193.23 key 7 184308704078 aaa accounting update periodic 30 aaa accounting update aaa authorization ip-auth-mode mixed no aaa log enable ip portal source-interface TenGigabitEthernet 8/48 ip radius source-interface TenGigabitEthernet 8/48 or ip portal source-interface vlan 60 ip radius source-interface vlan 60 radius-server attribute nas-port-id format qinq |
list name:Named aaa(accounting\authentica\authorization) list group name:Group name radius ip:IP address of radius server radius key:The HIDDEN server key portal interface:Specify interface for PORTAL device radius interface:Specify interface for RADIUS device |
||
| web认证 | web认证 | 设备端添加 | web-auth template eportalv2 ip (portal ip) url (web url) authentication (list name) accounting (list name) web-auth portal key (portal key) http redirect direct-site (portal ip) |
web认证通用模板 | authentication (list name) accounting (list name) 此处的list name需要和aaa配置的list name一致 |
web-auth template eportalv2 ip 202.204.193.32 url http://202.204.193.32/eportal/index.jsp authentication wifi accounting wifi web-auth portal key university http redirect direct-site 202.204.193.32 |
portal ip::IP address of portal web url::Portal url list name:Named aaa(accounting\authentica/authorization) list portal key:Portal key string |
||
| 相关接口命令 | 设备端添加 | web-auth enable eportalv2 | web认证受控口配置通用模板 | 在需要开启web认证的接口上开启 | web-auth enable eportalv2 | ||||
| WEB无感知认证(mab) | web无感知认证(mab) | 设备端添加 | ip dhcp snooping aaa authorization ip-auth-mode mixed dot1x accounting (list name) dot1x authentication (list name) dot1x mac-auth-bypass valid-ip-auth dot1x valid-ip-acct enable |
【无感知认证通用模板】 1、ip dhcp snooping //无感知认证提供给SAM的ip地址表项,需要通过dhcp snooping表项来获取 2、aaa authorization ip-auth-mode mixed //ip授权模式需要配置为mix 3、dot1x mac-auth-bypass valid-ip-auth //mab认证前携带IP地址,未有ip地址则不允许认证 4、dot1x valid-ip-acct enable //mab认证后通过记帐报文携带IP地址,未有ip地址则5分钟后下线 |
dot1x mac-auth-bypass valid-ip-auth dot1x valid-ip-acct enable 1、以上两条命令未配置可能在SAM上出现0.0.0.0的地址用户,部分多运营商boss要求不能有该类用户,则必须配置。 2、但配置完成之后,对使用静态IP地址进行mab认证的用户,支持性差。需要搜集所有静态mab用户的mac地址进行IP绑定,否则mab认证会失败 |
dot1x accounting wifi dot1x authentication wifi dot1x mac-auth-bypass valid-ip-auth dot1x valid-ip-acct enable |
|||
| 相关接口命令 | 设备端添加 | dot1x port-control auto dot1x mac-auth-bypass multi-user dot1x mac-auth-bypass vlan (vlan-list)---可选 |
无感知认证受控口配置模板 | 在需要开启web无感知认证的接口上,开启这个命令。 若需要在相关接口下开启部分vlan的无感知认证,可以使用 dot1x mac-auth-bypass vlan (vlan-list) |
dot1x port-control auto dot1x mac-auth-bypass multi-user |
||||
| 有线1X认证 | 有线1x认证 | 设备端添加 | dot1x accounting (list name) dot1x authentication (list name) dot1x valid-ip-acct enable |
1x认证配置模板 | dot1x accounting sam dot1x authentication sam dot1x valid-ip-acct enable |
list name:Named aaa(accounting\authentica\authorization) list | |||
| 相关接口上命令 | 设备端添加 | dot1x port-control auto | 端口应用1x受控 | dot1x port-control auto | |||||
| 无线1X认证 | 1x认证 | ONC下发 | direct-vlan (1X-vlan) | 免认证vlan;一般用作无线管理vlan、无线1x认证vlan、以及一卡通、视频业务等特殊业务vlan | 当前无线1x认证不能上收到N18K,只能在AC上面。在N18K上开启1x认证用户的直通vlan | direct-vlan 1-2,7,30 | 1X-VLAN:Vlan port number of 1X. Ps: 1-2,7,30 | ||
| 有线SU客户端下载 | su客户端下载 | 设备端添加 | web-auth template eportalv2 ip (su download ip) url (su download url) authentication (list name) accounting (list name) web-auth portal key (portal key) http redirect direct-site (su download ip) |
su下载配置模板,需要依赖web认证的页面跳转 | 对于第一次进行认证的客户,设备没有下载SU客户端,需要认证前能重定向到su下载的页面 | web-auth template eportalv2 ip 202.204.193.32 url http://202.204.193.32/su/index.jsp authentication sam accounting sam web-auth portal key university http redirect direct-site 202.204.193.32 |
su-download ip::IP address of su-download su-download url::Su-download url list name:Named aaa(accounting\authentica/authorization) list portal key:Portal key string |
||
| 相关接口上命令 | 设备端添加 | web-auth enable eportalv2 | 端口应用web认证受控 | 在需要进行su客户端下载的端口下开启 | web-auth enable eportalv2 | ||||
| CE-VLAN设置(QINQ特有) | √ | 设备端添加 | qinq termination ce-vlan (ce-vlan-first) to (ce-vlan-end) | 配置qinq终结的内层vlan范围,必配 | qinq termination ce-vlan 101 to 124 | ce-vlan-first:Start vlan number of ce-vlan ce-vlan-end:End vlan number of ce-vlan |
|||
| PE-VLAN设置(QINQ特有) | √ | 设备端添加 | qinq termination pe-vlan add (pe-vlan) | 配置qinq终结的外层vlan范围,必配 | 需要注意,pe-vlan的范围必须是有双层tag,qinq用户的外层vlan范围。若pe-vlan范围内涉及的vlan属于单层vlan的用户,则这些单层用户的vlan无法上网。 具体请参考《极简地图》中的《QINQ实施方案案例》 |
qinq termination pe-vlan add 601-624,701 | pe-vlan:Vlan list in separator '-' and ',' of pe-vlan | ||
| 双层Q上传配置(QINQ特有) | 设备端添加 | radius-server attribute nas-port-id format qinq | 配置上传双层标签到radius服务器 | ||||||
| DHCP服务器 | 基本信息 | 设备端添加 | service dhcp | dhcp服务总开关 | service dhcp | ||||
| 地址池 | ONC下发 | ip dhcp pool (address-pool-name) lease 0 2 0 network (network-number) (netmask) dns-server (dns-server-address(more than one)) default-router (default-router-address) |
dhcp地址池通用模板 | 这个命令可以配置多个地址池 | ip dhcp pool student lease 0 2 0 network 110.65.90.0 255.255.255.0 dns-server 202.116.32.254 222.200.129.134 default-router 110.65.90.254 |
address-pool-name:Name of address pool network-number:Network number in dotted-decimal notation netmask:Network mask dns-server-address:IP address of DNS server default-router-address:IP address of Router |
|||
| AM规则 | 基本信息 | ONC下发 | address-manage | AM规则,可以作为dhcp地址分配的精细化管理。将总的dhcp地址池,根据匹配用户的vlan+nas port,划分出更精细化的地址池范围 | 配置AM规则后,需要对所有的动静态IP进行AM规则匹配 | address-manage | |||
| 基于VLAN | ONC下发 | match ip (network-number) (netmask) vlan (vlan list) | 根据vlan进行细分地址池规划 | 这个匹配规则可以配置多个 | match ip 110.64.172.0 255.255.255.0 vlan 100-103 | network-number: IP address netmask::IP address mask vlan list:Vlan list |
|||
| 基于VLAN/PORT | 设备端添加 | match ip (network-number) (netmask) (interface-info) vlan (vlan list) | 根据vlan+port进行细分地址池规划 | 这个匹配规则可以配置多个 | match ip 110.64.172.0 255.255.255.0 gigabitEthernet8/15 vlan 200-203 | network-number:IP address netmask:IP address mask interface-info: Interface information vlan list:Vlan list |
|||
| DHCP排斥地址 | ONC下发 | ip dhcp excluded-address (excluded-ip-address) | 排斥地址的网段不进行dhcp分配 | 这个地址可以配置多个 | ip dhcp excluded-address 222.201.89.1 | excluded-ip-address:Excluded IP address | |||
| AC、AP设备管理 | ONC下发 | direct-vlan (AP managed vlan) | direct-vlan 1-2,7-10,30 | AP managed vlan:Managed vlan of AP device or AC device | |||||
| PORTAL逃生 | 设备端添加 | web-auth portal-check interval 3 timeout 3 retransmit 10 web-auth portal-escape nokick |
配置portal检测 | 若与深澜等服务器对接,由于深澜服务器无法对检测报文回应,会导致N18k无法检测到portal从逃生。此类服务器对接时不能配置该命令 | web-auth portal-check interval 3 timeout 3 retransmit 10 web-auth portal-escape nokick |
||||
| RADIUS逃生 | 基本信息 | 设备端添加 | radius-server host (radius ip) test username (user-name) idle-time 1 key (radius key) | radius认证逃生模板 | 配置radius服务器并开启检测功能,配置使用用户名a去检测(配置radiu服务器中不存在的用户名), idle-time为检测间隔。这里面测试用户的密码写死的是111。 同时SAM上需要配置这个虚拟账号和密码,否则会产生大量账号不存在的垃圾日志。 |
radius-server host 192.168.1.6 test username a idle-time 1 key ruijie | radius ip:IP address of radius server user-name:The name of user radius key:The HIDDEN server key |
||
| WEB认证下逃生 | 设备端添加 | web-auth radius-escape | 开启web认证下的radius逃生 | WEB认证RADIUS逃生基于全局开启 | web-auth radius-escape | ||||
| 1X认证下逃生 | 设备端添加 | dot1x critical dot1x critical recovery action reinitialize |
配置1x认证逃生 | 1X认证RADIUS逃生基于端口开启。开启第二条命令表示当RADIUS服务器恢复后,那些使用1X逃生的用户会被踢下线进行重新认证 | dot1x critical recovery action reinitialize dot1x critical |
||||
| SUPERVLAN管理 | vlan (supervlan) supervlan subvlan (subvlan-list) name (supervlan-name) |
可配置多条 | vlan 4001 supervlan subvlan 601-625 name teacher |
supervlan:VLAN ID subvlan-list:VLAN IDs of the sub-vlans supervlan-name:Name of super vlan |
|||||
| IPV6 | 通用 | 设备端添加 | address-bind ipv6-mode compatible | ipv6兼容模式 | 当ipv4认证成功后,ipv6即可联网 | address-bind ipv6-mode compatible | |||
| 相关接口命令 | 设备端添加 | ipv6 address (ipv6 address prefix) ipv6 enable no ipv6 nd suppress-ra |
当前IPV6的地址都是使用无状态获取 在需要开启web认证的接口上,开启这个命令 |
ipv6 address 2001:DA8:200B:9778::1/64 ipv6 enable no ipv6 nd suppress-ra |
ipv6 address prefix:IPv6 prefix | ||||
| 认证迁移 | 设备端添加 | station-move permit web-auth station-move auto web-auth station-move info-update no web-auth station-move arp-detect no dot1x station-move arp-detect |
认证迁移通用模板 | 注意:认证迁移和AC集中转发共用时,需要开启: 1、no web-auth station-move arp-detect 2、no dot1x station-move arp-detect 否则会导致认证迁移失败 |
station-move permit web-auth station-move auto web-auth station-move info-update no web-auth station-move arp-detect no dot1x station-move arp-detect |
||||
| 无流量下线 | 设备端添加 | offline-detect interval 15 threshold 0 | N18K通过mac地址表检测,配置时间内mac地址表用户表不存在;则判断为用户没有流量,将其下线 | 建议将无流量下线的时间设置为15分钟,同时需要保证设备上的系统时间同服务器上的时间要一致 | offline-detect interval 15 threshold 0 | ||||
| SSID信息上传 | VLAN同SSID映射 | 设备端添加 | web-auth mapping (mapping-name) vlan (vlan-list) ssid (ssid-name) | 通过不同vlan进行ssid映射,上传给SAM做策略定制(如不同运营商的认证页面推送,根据不同vlan来做) | 需要对当前所有的VLAN都进行映射 | web-auth mapping Sch-Wifi vlan 301-370,901-926 ssid Wifi-Stu | mapping-name:Webauth mapping name vlan-list:Web-auth vlan-mapping vlan list ssid-name:Webauth ssid name |
||
| 相关接口命令 | 设备端添加 | web-auth apply-mapping (mapping-name) | 将vlan和ssid映射的策略,应用到接口上 | web-auth apply-mapping Sch-Wifi | |||||
| VSU | 设备端添加 | ||||||||
| 二维码扫描认证 | 设备端添加 | free-url weixin free-url iphone interface xx(上联口) dns-sniffer |
使用公众二维码以及微信认证时,需要放通微信服务器以及iphone服务器,并在N18k上联口开启dns嗅探 | free-url weixin free-url iphone interface gi1/1 dns-sniffer |
配置dns嗅探的接口为N18k上联口 | ||||