问题描述

前面的 Authentication（认证）用于确认尝试接入网络的用户身份是否合法。然而，即使 NAC-TRM 通过认证接入网络，也并不意味着可以访问网络内的所有资源，而是需要基于用户身份对其加以区分，分别赋予其不同的网络访问权限。

解决方案

而 Authorization（授权）则用于指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源。

以 RADIUS-SRV 授权为例，常见的授权信息有：
1）VLAN：为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后，认证服务器将指定VLAN授权给用户。
2）ACL：用户认证成功后，认证服务器将指定ACL授权给用户，则设备会根据该ACL对用户报文进行控制。
3）UCL Group：UCL（User Control List，用户控制列表）Group 是网络成员的集合。UCL Group里面的成员，可以是 PC、Phone 等网络终端设备。借助UCL Group，管理员可以将具有相同网络访问策略的一类用户划分为同个组，然后为其部署一组网络访问策略，满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略，基于UCL Group的网络控制方案能够极大的减少管理员的工作量。

补充说明：
1）虽然认证服务器下发授权信息，但是认证服务器下发的是授权规则的索引（比如 ACL 的 ID 值），而具体的授权策略需要预先在 NAC-DEV 中预先配置；

认证事件授权

在认证过程中，用户会遇到不同事件时（如认证前、认证失败、认证服务器失效等），需要拥有一定的权限。

根据认证事件授权的方式（一般是非认证成功状态的授权），又被称为逃生，对于不同的认证方式，有不同的逃生方案，有些逃生方案是共有的，有些逃生方案只有特定的认证方式才支持。详细内容请查阅相应产品文档中“NAC逃生”相关内容。

授权参数：
1）VLAN：授予用户相应VLAN内的资源访问权限。
2）用户组（UCL Group）：根据用户组对具有相同特征的用户进行权限下发。
3）业务方案（service-scheme）：可在业务方案内绑定UCL Group、VLAN、QoS-profile等参数。