03-User Profile配置
本章节下载: 03-User Profile配置 (433.64 KB)
User Profile(用户配置文件)提供一个配置模板,用于定义针对一个或一类用户的一系列配置,例如QoS(Quality of Service,服务质量)策略。User Profile可重复使用,并且在用户的接入端口发生变化后,无须重新为用户进行配置,减少了配置工作量。
用户访问设备时,需要先进行上线用户身份认证(例如通过Portal接入认证方式)。用户通过身份认证后,认证服务器会将与用户账户绑定的User Profile名称下发给设备,设备会根据指定User Profile里配置的内容对上线用户进行限制。
如下为User Profile的典型应用:
· 用户控制系统资源的分配。比如基于接口进行流量监管限制的是一群用户(从指定接口接入的用户)对带宽资源的使用,而User Profile则可对单个用户进行流量监管。
· 限制上线用户的访问行为:当上线用户欠费时,可通过向用户下发配置了免认证规则的User Profile,仅允许用户访问免认证规则中ACL permit规则指定的网络资源。
User Profile是和接入认证配合使用的,在配置User Profile前需要保证已完成相应的接入认证配置。各接入认证对User Profile的支持情况,请参见相关接入认证模块的配置指导。
system-view
(2) 创建User Profile并进入相应的User Profile视图。
user-profile profile-name
(3) 配置User Profile。请至少选择其中一项进行配置。
¡ 应用已创建的QoS策略。
qos apply policy policy-name { inbound | outbound }
缺省情况下,未应用QoS策略。
¡ 配置流量监管。
qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ]
qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ]
缺省情况下,未配置User Profile的流量监管。
¡ 配置流量过滤。
packet-filter [ ipv6] { acl-number | name acl-name } { inbound | outbound }
缺省情况下,未配置User Profile的报文过滤。
关于QoS策略和流量监管的具体介绍与配置,请参见“QoS配置”中的“QoS”。
用户组的User Profile是一种特殊的User Profile,主要用于配置多用户的QoS,例如,家庭用户整体的QoS。一个家庭用户内可以包含多个个人用户和多个业务,用户组的User Profile主要用于控制整个家庭总体的流量。对于一个家庭内的两个用户,既需要分别对两个用户进行限制,又需要对家庭的总体流量进行限制,单一用户User Profile的配置是满足不了需求的,此时可以为家庭账户配置用户组的User Profile,同时为两个个人账户配置单一用户的User Profile。
部署多用户组的User Profile后,设备通过会话识别不同的用户组的流量,识别后将指定的用户组与User Profile进行绑定。
(1) 进入系统视图。
system-view
(2) 创建Session Group Profile并进入Session Group Profile视图。
user-profile profile-name type session-group
(3) 配置Session Group Profile。请至少选择其中一项进行配置。
¡ 配置流量监管。
qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ]
qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ]
缺省情况下,未配置Session Group Profile的流量监管。
关于流量监管的具体配置,请参见“QoS配置”中的“QoS”。
可在任意视图下执行以下命令,显示User Profile的配置信息和在线用户信息。
display user-profile [ session-group ] [ name profile-name ]
· AC和RADIUS服务器通过交换机建立连接。AC的IP地址为10.18.1.1,与AC相连的RADIUS服务器的IP地址为10.18.1.88。
· 要求使用MAC认证方式进行用户身份认证。
· 要求MAC地址认证用户在指定的AP上接入无线网络。
图1-1 使用RADIUS服务器进行MAC地址认证典型配置组网图
确保RADIUS服务器与设备路由可达,完成服务器的配置,并成功添加了接入用户账户,用户名为123,密码为aaa_maca。
# 配置Radius方案,名称为imcc,认证服务器的IP地址为10.18.1.88,端口号为1812,配置计费服务器的IP地址为10.18.1.88,端口号为1813,认证密钥为明文123456789Test&!,计费密钥为明文123456789Test&!,用户名格式为without-domain。
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 123456789Test&!
[AC-radius-imcc] key accounting simple 123456789Test&!
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用Radius方案imcc。
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置MAC地址认证
# 配置MAC地址认证用户名格式为固定用户名格式,用户名为123,密码为明文aaa_maca(若配置成大写、不带连字符的mac地址格式,服务器需要配置与之对应的用户名格式;若配置成固定用户名格式,服务器也需要配置与其对应的用户名格式)。
[AC] mac-authentication user-name-format fixed account 123 password simple aaa_maca
# 配置无线服务模板maca_imc的SSID为maca_imc,并设置用户认证方式为MAC地址认证,ISP域为imc。
[AC] wlan service-template maca_imc
[AC-wlan-st-maca_imc] ssid maca_imc
[AC-wlan-st-maca_imc] client-security authentication-mode mac
[AC-wlan-st-maca_imc] mac-authentication domain imc
# 使能无线服务模板。
[AC-wlan-st-maca_imc] service-template enable
[AC-wlan-st-maca_imc] quit
(4) 配置手工AP并将无线服务模板绑定到radio上
# 创建ap1。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 配置信道为149,并使能射频。
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 绑定无线服务模板。
[AC-wlan-ap-ap1-radio-1] service-template maca_imc
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置User Profile
# 配置名称为macauth1的AP组,在AP组内添加允许接入的AP列表
[AC] wlan ap-group macauth1
[AC-wlan-ap-group-macauth1] ap ap1
[AC-wlan-ap-group-macauth1] quit
# 配置基于MAC地址认证用户的User Profile,名称为mac1。添加允许接入的AP组为macauth1,让用户只能够在指定AP组macauth1的AP1上接入,控制用户在无线网络中接入位置。
[AC] user-profile mac1
[AC-user-profile-mac1] wlan permit-ap-group macauth1
[AC-user-profile-mac1] quit
(6) 配置RADIUS server(iMC V7)
下面以iMC为例(使用iMC版本为:iMC PLAT 7.2、iMC EIA 7.2),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备管理页面,点击页面中的进入接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
¡ 设置认证、计费共享密钥为12345678,其它保持缺省配置;
¡ 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-2 增加接入设备页面
# 增加接入策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
设置接入策略名为aaa_maca,其它保持缺省配置。
图1-3 增加接入策略页面
# 增加接入服务。
选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。
图1-4 进入接入服务列表
单击<增加>按钮,进入增加接入服务页面。设置接入服务名为aaa_maca服务,缺省接入策略选择之前新增的接入策略,其它保持缺省配置。
图1-5 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。
图1-6 接入用户页面
单击<增加>按钮,进入增加接入用户页面。设置用户姓名、账号名、密码和密码确认,勾选“MAC地址认证用户”,并在接入服务中勾选之前新增的接入服务。
图1-7 增加接入用户页面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!