• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-安全配置指导

目录

03-User Profile配置

本章节下载 03-User Profile配置  (433.64 KB)

03-User Profile配置


1 User Profile

1.1  User Profile简介

User Profile(用户配置文件)提供一个配置模板,用于定义针对一个或一类用户的一系列配置,例如QoS(Quality of Service,服务质量)策略。User Profile可重复使用,并且在用户的接入端口发生变化后,无须重新为用户进行配置,减少了配置工作量。

用户访问设备时,需要先进行上线用户身份认证(例如通过Portal接入认证方式)。用户通过身份认证后,认证服务器会将与用户账户绑定的User Profile名称下发给设备,设备会根据指定User Profile里配置的内容对上线用户进行限制。

如下为User Profile的典型应用:

·     用户控制系统资源的分配。比如基于接口进行流量监管限制的是一群用户(从指定接口接入的用户)对带宽资源的使用,而User Profile则可对单个用户进行流量监管。

·     限制上线用户的访问行为:当上线用户欠费时,可通过向用户下发配置了免认证规则的User Profile,仅允许用户访问免认证规则中ACL permit规则指定的网络资源。

1.2  User Profile配置准备

User Profile是和接入认证配合使用的,在配置User Profile前需要保证已完成相应的接入认证配置。各接入认证对User Profile的支持情况,请参见相关接入认证模块的配置指导。

1.3  配置单一用户的User Profile

(1)     进入系统视图。

system-view

(2)     创建User Profile并进入相应的User Profile视图。

user-profile profile-name

(3)     配置User Profile。请至少选择其中一项进行配置。

¡     应用已创建的QoS策略。

qos apply policy policy-name { inbound | outbound }

缺省情况下,未应用QoS策略。

¡     配置流量监管。

qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ]

qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ]

缺省情况下,未配置User Profile的流量监管。

¡     配置流量过滤。

packet-filter [ ipv6] { acl-number | name acl-name } { inbound | outbound }

缺省情况下,未配置User Profile的报文过滤。

关于QoS策略和流量监管的具体介绍与配置,请参见“QoS配置”中的“QoS”。

1.4  配置用户组的User Profile

1. 功能简介

用户组的User Profile是一种特殊的User Profile,主要用于配置多用户的QoS,例如,家庭用户整体的QoS。一个家庭用户内可以包含多个个人用户和多个业务,用户组的User Profile主要用于控制整个家庭总体的流量。对于一个家庭内的两个用户,既需要分别对两个用户进行限制,又需要对家庭的总体流量进行限制,单一用户User Profile的配置是满足不了需求的,此时可以为家庭账户配置用户组的User Profile,同时为两个个人账户配置单一用户的User Profile。

部署多用户组的User Profile后,设备通过会话识别不同的用户组的流量,识别后将指定的用户组与User Profile进行绑定。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建Session Group Profile并进入Session Group Profile视图。

user-profile profile-name type session-group

(3)     配置Session Group Profile。请至少选择其中一项进行配置。

¡     配置流量监管。

qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ]

qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ]

缺省情况下,未配置Session Group Profile的流量监管。

关于流量监管的具体配置,请参见“QoS配置”中的“QoS”。

1.5  User Profile显示和维护

可在任意视图下执行以下命令,显示User Profile的配置信息和在线用户信息。

display user-profile [ session-group ] [ name profile-name ]

1.6  User Profile典型配置举例

1.6.1  使用RADIUS服务器进行MAC地址认证的User Profile典型配置举例

1. 组网需求

·     AC和RADIUS服务器通过交换机建立连接。AC的IP地址为10.18.1.1,与AC相连的RADIUS服务器的IP地址为10.18.1.88。

·     要求使用MAC认证方式进行用户身份认证。

·     要求MAC地址认证用户在指定的AP上接入无线网络。

2. 组网图

图1-1 使用RADIUS服务器进行MAC地址认证典型配置组网图

 

3. 配置步骤

说明

确保RADIUS服务器与设备路由可达,完成服务器的配置,并成功添加了接入用户账户,用户名为123,密码为aaa_maca。

 

(1)     配置RADIUS方案

# 配置Radius方案,名称为imcc,认证服务器的IP地址为10.18.1.88,端口号为1812,配置计费服务器的IP地址为10.18.1.88,端口号为1813,认证密钥为明文123456789Test&!,计费密钥为明文123456789Test&!,用户名格式为without-domain。

<AC> system-view

[AC] radius scheme imcc

[AC-radius-imcc] primary authentication 10.18.1.88  1812

[AC-radius-imcc] primary accounting 10.18.1.88  1813

[AC-radius-imcc] key authentication simple 123456789Test&!

[AC-radius-imcc] key accounting simple 123456789Test&!

[AC-radius-imcc] user-name-format without-domain

[AC-radius-imcc] quit

(2)     配置ISP域的AAA方法

# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用Radius方案imcc。

[AC] domain imc

[AC-isp-imc] authentication lan-access radius-scheme imcc

[AC-isp-imc] authorization lan-access radius-scheme imcc

[AC-isp-imc] accounting lan-access radius-scheme imcc

[AC-isp-imc] quit

(3)     配置MAC地址认证

# 配置MAC地址认证用户名格式为固定用户名格式,用户名为123,密码为明文aaa_maca(若配置成大写、不带连字符的mac地址格式,服务器需要配置与之对应的用户名格式;若配置成固定用户名格式,服务器也需要配置与其对应的用户名格式)。

[AC] mac-authentication user-name-format fixed account 123 password simple aaa_maca

# 配置无线服务模板maca_imc的SSID为maca_imc,并设置用户认证方式为MAC地址认证,ISP域为imc。

[AC] wlan service-template maca_imc

[AC-wlan-st-maca_imc] ssid maca_imc

[AC-wlan-st-maca_imc] client-security authentication-mode mac

[AC-wlan-st-maca_imc] mac-authentication domain imc

# 使能无线服务模板。

[AC-wlan-st-maca_imc] service-template enable

[AC-wlan-st-maca_imc] quit

(4)     配置手工AP并将无线服务模板绑定到radio上

# 创建ap1。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 配置信道为149,并使能射频。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] channel 149

[AC-wlan-ap-ap1-radio-1] radio enable

# 绑定无线服务模板。

[AC-wlan-ap-ap1-radio-1] service-template maca_imc

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

(5)     配置User Profile

# 配置名称为macauth1的AP组,在AP组内添加允许接入的AP列表

[AC] wlan ap-group macauth1

[AC-wlan-ap-group-macauth1] ap ap1

[AC-wlan-ap-group-macauth1] quit

# 配置基于MAC地址认证用户的User Profile,名称为mac1。添加允许接入的AP组为macauth1,让用户只能够在指定AP组macauth1的AP1上接入,控制用户在无线网络中接入位置。

[AC] user-profile mac1

[AC-user-profile-mac1] wlan permit-ap-group macauth1

[AC-user-profile-mac1] quit

(6)     配置RADIUS server(iMC V7)

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.2、iMC EIA 7.2),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备管理页面,点击页面中的进入接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

¡     设置认证、计费共享密钥为12345678,其它保持缺省配置;

¡     选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

图1-2 增加接入设备页面

 

# 增加接入策略。

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。

设置接入策略名为aaa_maca,其它保持缺省配置。

图1-3 增加接入策略页面

 

# 增加接入服务。

选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。

图1-4 进入接入服务列表

 

单击<增加>按钮,进入增加接入服务页面。设置接入服务名为aaa_maca服务,缺省接入策略选择之前新增的接入策略,其它保持缺省配置。

图1-5 增加接入服务页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。

图1-6 接入用户页面

 

单击<增加>按钮,进入增加接入用户页面。设置用户姓名、账号名、密码和密码确认,勾选“MAC地址认证用户”,并在接入服务中勾选之前新增的接入服务。

图1-7 增加接入用户页面

 

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们