Agile controller 动态acl和静态acl的区别

Agile controller 动态acl和静态acl的区别
注意：仅华为交换机支持动态ACL授权方式，其他厂商设备和华为WLAN设备不支持。

动态ACL授权：在AC-Campus配置ACL规则，授权给用户的ACL规则动态下发到认证控制设备，根据下发的ACL规则准入控制。
静态ACL授权：在认证控制设备配置ACL规则，AC-Campus授权后给认证控制设备下发ACL编号。认证控制设备根据下发的ACL编号匹配具体ACL规则，实现准入控制。
动态ACL和静态ACL授权在认证控制设备的差别仅在于：动态ACL方式无需在认证控制设备配置用于授权的ACL。动态ACL和静态ACL授权在AC-Campus的差别仅在于：动态ACL方式需要在AC-Campus配置ACL规则，并在授权结果中选择动态ACL。

FAQ-Agile controller 动态acl和静态acl的区别
解决方案

在controller的授权结果里有静态acl/aaa组以及动态acl的授权，二者的区别如下：

1、静态acl/aaa用户组需要在设备侧配置acl或者ucl 组名，然后在静态acl/aaa用户组里调用相应的acl或者ucl组名。静态acl/aaa用户组是通过华为标准属性 Filter-Id（Type 11）下发的，设备侧有配置体现且可以通过命令display access-user 查看用户授权

 例如：

 设备侧配置：

     acl  3000

        rule 5 deny ip destination 100.100.100.0 0.0.0.255

        rule 10 permit ip

  在controller 的Acl号/AAA用户组里填上3000，当用户认证通过后得到此授权，就可以访问除100.100.100.0/24外的其他资源了，访问规则根据实际情况配置。

 设备侧配置

  ucl-gourp 10 name fangwen

  ucl 6000

    rule 5 deny ip source ucl-group name fangwen destination 10.9.9.0 0.0.0.255

    rule 10 deny ip source 100.100.100.0 0.0.0.255 destination ucl-group name fangwen

    rule 15 permit  ip source ucl-group name fangwen

在controller 的Acl号/AAA用户组里填上fangwen这个ucl 组名，当用户认证通过后得到此授权，就可以访问除10.9.9.0/24和100.100.100.0/24外的其他资源了，访问规则根据实际情况配置

注意：

RADIUS报文中只能携带ACL ID或用户组名中的一种，不能同时携带。

Filter-id属性如果携带ACL ID，只能携带3000～3999（有线用户）或3000～3031（无线用户）范围内的ACL ID

2、动态acl，动态acl是通过华为私有属性（扩展属性）HW-Data-Filter（Type 26-82）下发，在设备侧配置上不体现该配置，可以通过命令display access-user 查看用户授权的动态acl

 在controller侧策略--策略元素--动态acl里增加需要访问的资源，必须放行SC服务器，确保用户认证后能够访问SC服务器。然后在授权规则里的动态acl里填上该规则号

注意：

仅华为交换机支持动态ACL授权方式，其他厂商设备和华为WLAN设备不支持。

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html