Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 VLAN 接口用户名信息以进行 AAA 身份验证

您可以定义在创建动态 VLAN 或堆叠 VLAN 时随后传递给外部 AAA 身份验证服务(例如 RADIUS)的用户名中包含的接口信息。AAA 身份验证服务使用此信息对 VLAN 或堆栈 VLAN 物理接口进行身份验证。接口通过身份验证后,AAA 服务可以将所需的路由实例值发送到系统,以用于动态创建 VLAN 或堆叠 VLAN 接口。

注意:

以下示例配置 VLAN 上的用户名信息。但是,您也可以通过在 [edit interfaces interface-name auto-configure stacked-vlan-ranges authentication] 层次结构级别配置相同的语句,在堆叠 VLAN 上配置动态身份验证。

要配置 VLAN 接口用户名信息:

  1. authentication访问要在其上配置用户名信息的接口的节。
  2. 指定希望 AAA 身份验证服务用于验证用户名的用户名组件。

    • 包括代理电路标识符 (ACI)。ACI 由带外 ANCP 端口启动消息中的接入环路-电路-ID TLV 传达。

    • 包括电路类型。

    • 指定用作用户名的串联组件之间分隔符的字符。

    • 指定与用户名串联的域名。

    • 包括接口名称和 VLAN 标记。

    • 包括传入 DHCP 发现数据包中的客户端硬件地址 (chaddr)。

    • 包括在最里面的 DHCPv6 中继转发消息标头中接收到的选项 18(接口 ID)信息。

    • 包括在最里面的 DHCPv6 中继转发消息标头中接收到的选项 37(DHCPv6 中继代理远程 ID)信息。

    • 包括来自客户端 PDU 的 option 82 信息。对于 DHCPv4,可以选择包括子选项 1(代理电路 ID)或子选项 2(代理远程 ID)。

    • 包括用户定义的 RADIUS 领域字符串,以将身份验证请求定向到不分配地址的配置文件。

    • 包括代理远程标识符 (ARI)。ARI 由 Access-Loop-Remote-ID TLV 在带外 ANCP 端口启动消息中传达

    • 指定用户前缀。

    • 包括订阅者 VLAN 标记。当外部 VLAN 标记在整个系统中是唯一的,并且不需要将底层物理接口名称作为格式的一部分时,您可以使用此选项代替 interface-name 选项。

相关主题