07-User Profile配置
本章节下载: 07-User Profile配置 (277.26 KB)
目 录
1.2 Session Group Profile和User Group Profile简介
1.10.1 基于多个用户应用User Profile和User Group Profile的配置举例
User Profile(用户配置文件)提供了一个配置模板,在该模版中可以定义针对一个用户或一个接口的一系列配置,例如QoS(Quality of Service,服务质量)策略。User Profile可重复使用,并且在用户的接入端口发生变化后,无须重新为用户进行配置,减少了配置工作量。
User Profile有以下两种生效方式:
· 用户通过身份认证后,认证服务器会将与用户账户绑定的User Profile名称下发给设备,设备会根据此User Profile里配置的内容对该上线用户的流量进行限制。
· 通过CLI方式将User Profile直接应用在接口上,对接口下所有流量进行相应处理。
User Profile的典型应用有如下两种:
· 控制系统资源的分配。例如,当基于接口进行流量监管时,监管对象是从本接口接入的所有用户,无法做到区分用户,而User Profile则可以实现对单个用户进行流量监管。
· 限制上线用户的访问行为。例如,当上线用户欠费时,可向该用户下发配置了免认证规则的User Profile,仅允许用户访问免认证规则中ACL permit规则指定的网络资源。
Session Group Profile和User Group Profile是一种特殊的User Profile,他们主要用于配置多用户的QoS,例如家庭用户整体的QoS。一个家庭用户内可以包含多个个人用户和多个业务,Session Group Profile和User Group Profile可以实现对整个家庭总体流量的控制。例如,一个家庭内的两个用户,既需要分别对两个用户各自的流量进行限制,又需要对家庭的总体流量进行限制,User Profile无法满足需求,此时可以为家庭账户配置Session Group Profile或User Group Profile,同时为两个个人账户分别配置User Profile。
Session Group Profile和User Group Profile实现的功能是相同的,但二者与User Profile形成关联关系的方式有所不同。
· 对于Session Group Profile,与User Profile的关联关系来自认证服务器的授权,上线用户既会受到User Profile的限制,也会受到Session Group Profile的限制。
· 对于User Group Profile,User Profile与User Group Profile的关联关系是通过设备上的配置实现的。认证服务器仅需对上线用户授权User Profile即可,如果该User Profile下包含与User Group Profile的关联配置,则上线用户既会受到User Profile的限制,也会受到User Group Profile的限制。
User Profile和Session Group Profile、User Group Profile之间是通过层次化调度实现的。在通过User Profile对单个上线用户的流量进行限制的同时,也通过Session Group Profile或User Group Profile对多个上线用户的整体流量进行限制。如图1-1所示。
· 流量队列,用来缓存同一个用户不同优先级的报文。
· 用户队列,用来调度同一个用户的所有报文。
¡ 在User Profile视图下应用队列调度策略,对流量队列中的报文进行调度。
¡ 在User Profile视图下配置QoS策略、流量监管等,对用户队列中的报文进行限制。
· 用户组队列,用来调度同一个用户组内多个用户的所有报文。
¡ 在User Group Profile或Session Group Profile视图下应用队列调度策略,对用户队列中的报文进行调度。
¡ 在User Group Profile或Session Group Profile视图下配置QoS策略、流量监管、流量整形等,对用户组队列中的报文进行限制。
流量队列是物理队列,有缓存单元,而用户队列和用户组队列是虚拟队列,没有实际的缓存单元,仅作为层次化调度中的一级队列参与调度。
由于Session Group Profie与User Group Profile实现的功能相同,所以对于同一个User Profile,不可以同时与Session Group Profile和User Group Profile关联。
在同一个User Profile下,可以配置流量限制、QoS策略、流量调度、用户队列的队列调度策略、用户连接数和免认证规则,请根据网络需求合理选配。
如果通过CLI方式将User Profile直接应用在接口上,可以无需用户接入认证。
如果User Profile和接入认证配合使用,在配置User Profile前,需要保证已完成相应的接入认证配置。各接入认证对User Profile的支持情况,请参见相关接入认证模块的配置指导。
关于QoS策略、流量监管和队列调度策略的具体介绍与配置,请参见“ACL和QoS配置指导”中的“QoS”。
关于最大用户连接数和最大用户新建连接速率的具体配置,请参见“BRAS业务配置指导”中的“连接数限制”。
system-view
(2) 创建User Profile并进入相应的User Profile视图。
user-profile profile-name
(3) 配置流量限制。请至少选择其中一项进行配置。
若用户通过引用队列调度策略实现优先级调度,则仅允许通过qos user-queue配置流量限制。
¡ 配置流量监管。
qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ]
qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ]
缺省情况下,未配置User Profile的流量监管。
¡ 配置限速。
qos user-queue { cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ queue-length queue-length ] } * outbound
qos user-queue { cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ queue-length queue-length ] } * outbound
qos user-queue { cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] } inbound
qos user-queue { cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] } inbound
qos user-queue { cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] } inbound
qos user-queue { cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] } inbound
缺省情况下,未配置User Profile的限速。
(4) 应用已创建的QoS策略。
qos apply policy policy-name { inbound | outbound }
缺省情况下,未应用QoS策略。
(5) 配置流量调度,实现对用户队列的差异化调度。
¡ 为会话指定进入的队列。
qos queue { queue-id | queue-name }
缺省情况下,未指定上线用户流量进入的队列。
为会话指定进入的队列后,设备会根据不同队列的优先级,为指定会话提供不同的队列调度,以此实现基于会话的拥塞管理。
¡ 配置User Profile出方向的调度权重。
qos weight weight-value outbound
缺省情况下,未配置User Profile出方向的调度权重。
配置本命令后,可以根据调度的权重值分配带宽资源。
(6) 配置用户队列的队列调度策略,实现对流量队列的差异化调度。
qos user-queue qmprofile qmprofile-name { inbound | outbound }
缺省情况下,未配置用户队列的队列调度策略。
(7) 配置最大用户连接数。
¡ 配置最大用户连接数。
connection-limit amount amount
缺省情况下,不限制最大用户连接数。
¡ 配置最大用户新建连接速率。
connection-limit rate rate
缺省情况下,不限制最大用户新建连接速率。
(8) 配置User Profile免认证规则。
free-rule acl [ ipv6 ] { acl-number | name acl-name }
缺省情况下,未配置User Profile的免认证规则。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置会话组识别方式。
qos session-group identify { customer-vlan | service-vlan | customer-service-vlan | subscriber-id }
缺省情况下,接口下未配置会话组识别方式。
配置本命令后,接口将按照指定的识别方式对用户报文进行识别,并将具有相同识别特征的报文加入同一个用户组。
(4) 退回系统视图。
quit
(5) 创建Session Group Profile并进入Session Group Profile视图。
user-profile profile-name type session-group
(6) 配置流量限制。
¡ 配置流量整形。
qos gts { any | queue queue-id } cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ queue-length queue-length ]
qos gts { any | queue queue-id } cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ queue-length queue-length ]
缺省情况下,未配置Session Group Profile的流量整形。
(7) 应用已创建的队列调度策略,实现对用户队列的差异化调度。
qos apply qmprofile profile-name
缺省情况下,未应用队列调度策略。
关于流量整形和队列调度策略的具体配置,请参见“ACL和QoS配置指导”中的“QoS”。
接口上应用qos session-group identify命令后,系统可以识别用户所属的家庭组,为同一个家庭组的不同用户授权User Profile时,如果同时希望对家庭组中所有用户进行总体限速,则需要在为用户授权User Profile时,在User Profile视图下执行qos user-queue user-group-profile命令,并将不同用户授权的User Profile关联到同一个User Group Profile,否则无法达到对家庭组总体限速的预期。
例如,对于同一个家庭组中的用户A和用户B:
· 假设接口下应用qos session-group identify命令后,系统识别出用户A和用户B属于同一个家庭组,但是:
¡ 为用户A授权的User Profile A关联的是User Group Profile X;
¡ 为用户B授权的User Profile B关联的是User Group Profile Y;
上述情况下,当用户A先上线时,用户A和用户B的家庭总带宽以User Group Profile X中配置的总带宽为准;当用户B再上线时,用户A和用户B的家庭总带宽刷新为User Group Profile Y中配置的总带宽。即后上线用户关联的User Group Profile 中总带宽配置会覆盖前者,导致家庭总带宽不断变化。
· 假设接口下应用qos session-group identify命令后,系统识别出用户A和用户B属于同一个家庭组,并且:
¡ 为用户A授权的User Profile A关联的是User Group Profile X;
¡ 为用户B授权的User Profile B关联的也是User Group Profile X;
这种情况下,当用户A上线时,用户A的家庭总带宽以User Group Profile X中配置的总带宽为准;当用户B再上线时,用户B的家庭总带宽也以User Group Profile X中配置的总带宽为准,对家庭组总体限速符合预期。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置会话组识别方式。
qos session-group identify { customer-vlan | service-vlan | customer-service-vlan | subscriber-id }
缺省情况下,接口下未配置会话组识别方式。
配置本命令后,接口将按照指定的识别方式对用户报文进行识别,并将具有相同识别特征的报文加入同一个用户组。
(4) 退回系统视图。
quit
(5) 创建User Group Profile并进入User Group Profile视图。
user-group-profile profile-name
(6) 配置流量限制。
¡ 配置流量整形。
qos gts [ inbound ] any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ queue-length queue-length ]
qos gts [ inbound ] any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ queue-length queue-length ]
缺省情况下,未配置User Group Profile的流量整形。
(7) 应用已创建的队列调度策略,实现对用户队列的差异化调度。
qos apply qmprofile profile-name
缺省情况下,未应用队列调度策略。
若已通过qos user-queue命令配置限速,且同时携带qmprofile参数和user-group-profile参数,则不允许通过本命令实现对用户队列的差异化调度。
(8) 配置User Group Profile出方向的调度权重,实现对用户组队列的差异化调度。
qos weight weight-value outbound
缺省情况下,未配置User Group Profile出方向的调度权重。
配置本命令后,用户组可以根据调度的权重值分配带宽资源。
(9) 退回系统视图。
quit
(10) 进入User Profile。
user-profile profile-name
(11) 将User Profile与User Group Profile关联。
qos user-queue user-group-profile user-group-profile-name outbound
缺省情况下,User Profile与User Group Profile未关联。
关于流量整形和队列调度策略的具体配置,请参见“ACL和QoS配置指导”中的“QoS”。
在接口上应用User Profile时:
· 如果指定了inbound或outbound参数,且User Profile中的配置本身也含有方向属性,则只有二者的方向属性一致时,该配置才会生效。
· 如果未指定inbound或outbound参数,则表示应用了一个无方向的User Profile,此时User Profile中的相关配置是否生效将不再受User Profile的应用方向的限制。
接口同一个方向上只能应用一个User Profile,以名称为abc和xyz的两个User Profile为例:
· 如下两个User Profile分别应用在入方向和出方向,在方向属性上无重叠,可以同时应用:
¡ qos apply user-profile abc inbound
¡ qos apply user-profile xyz outbound
· 如下两个User Profile分别应用在入方向和无方向,在方向属性上有重叠,不可以同时应用:
¡ qos apply user-profile abc inbound
¡ qos apply user-profile xyz
本功能与关联AC与VSI(通过xconnect vsi命令配置)、指定交叉连接关联的接口(通过ac interface命令配置)互斥。
基于接口应用User Profile时,仅支持流量监管、限速和和队列调度策略。
配置流量监管时,需要注意的是:
· 本配置与基于接口配置流量监管(通过qos car命令配置)互斥。
· 主接口上应用User Profile,不会对子接口的流量生效。
· 聚合接口成员口上配置流量监管不生效。
· 流量监管只支持单速率单桶双色算法,配置峰值速率(通过参数pir peak-information-rate [ ebs excess-burst-size ]配置)时,投放令牌桶的速率为承诺信息速率(通过参数cir committed-information-rate配置)和峰值速率的最大值。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 基于接口应用User Profile。
qos apply user-profile profile-name [ inbound | outbound ]
缺省情况下,接口上未应用User Profile。
在任意视图下执行display命令可以显示User Profile的配置信息和在线用户信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除接口上应用的User Profile的流量监管统计信息。
表1-1 显示User Profile
操作 |
命令 |
显示接口上应用的User Profile的配置情况和流量监管统计信息 |
display user-profile interface [ interface-type interface-number ] [ slot slot-number ] [ inbound | outbound ] |
显示User Group Profile的配置信息和在线用户信息 |
display user-group-profile [ name profile-name ] [ slot slot-number ] |
显示User Profile的配置信息和在线用户信息 |
display user-profile [ session-group ] [ name profile-name ] [ slot slot-number ] |
清除接口上应用的User Profile的流量监管统计信息 |
reset user-profile interface [ interface-type interface-number ] [ inbound | outbound ] |
如图1-2所示,需要实现使用RADIUS服务器对通过Device接入的用户进行认证、授权和计费。
· 在接入端口Ten-GigabitEthernet3/0/1上对接入用户进行认证。
· 用户认证成功后,认证服务器授权下发User Profile,对单个用户进行限制,对于属于同一家庭组的用户则根据单个用户的User Profile中绑定的User Group Profile进行统一限制。
User A和User B属于同一个家庭组,对该家庭组限制总带宽为100Mbps,再分别对User A和User B的高速上网业务做出控制:
· 限制User A所有业务流量的总速率为80Mbps。
· 限制User B所有业务流量的总速率为50Mbps。
User A存在三种业务的流量,对三类不同业务分别配置不同的调度策略来保障业务质量:
· IPTV业务:队列调度方式为WRR,调度权重20,最大带宽50Mbps。
· Internet数据业务:队列调度方式为WRR,调度权重10,最大带宽40Mbps。
· VOIP业务:队列调度方式为SP,最大带宽10Mbps,最小保障带宽5Mbps。
· 配置认证服务器
为User A授权名称为a的User Profile,为User B授权名称为b的User Profile。详细配置此处略。
· 配置Device
# 在Device入接口下配置会话组识别方式。
[Device] interface ten-gigabitethernet 3/0/1
[Device-Ten-GigabitEthernet3/0/1] qos session-group identify service-vlan
This operation will affect online users from now on. Continue? [Y/N]:y
[Device-Ten-GigabitEthernet3/0/1] quit
# 创建队列调度策略qm。
[Device] qos qmprofile qm
# 设置IPTV业务(队列1)队列调度方式为WRR,调度权重20,最大带宽50Mbps。
[Device-qmprofile-qm] queue 1 wrr group 1 weight 20 max-bandwidth 50000
# 设置Internet数据业务(队列2)队列调度方式为WRR,调度权重10,最大带宽40Mbps。
[Device-qmprofile-qm] queue 2 wrr group 1 weight 10 max-bandwidth 40000
# 设置VOIP业务(队列3)队列调度方式为SP,最大带宽10Mbps,最小保障带宽5Mbps。
[Device-qmprofile-qm] queue 3 sp max-bandwidth 10000
[Device-qmprofile-qm] bandwidth queue 3 min 5000
[Device-qmprofile-qm] quit
# 创建User Group Profile ab,为User A和User B统一限速100Mbps。
[Device] user-group-profile ab
[Device-user-group-profile-ab] qos gts any cir 100000
[Device-user-group-profile-ab] quit
# 创建User Profile a限制User A所有业务流量的总速率为80Mbps。
[Device] user-profile a
[Device-user-profile-a] qos user-queue cir 8000 outbound
[Device-user-profile-a] quit
# 创建User Profile b限制User B所有业务流量的总速率为50Mbps。
[Device] user-profile b
[Device-user-profile-b] qos car outbound any cir 50000
[Device-user-profile-b] quit
# 将User Group Profile ab和User Profile a关联,将User Group Profile ab和User Profile b关联,使User A和User B受到家庭组统一限速100Mbps。在User Profile a中引用队列调度策略qm对User A的三类业务进行不同方式的队列调度。
[Device] user-profile a
[Device-user-profile-a] qos user-queue qmprofile qm user-group-profile ab outbound
[Device-user-profile-a] quit
[Device] user-profile b
[Device-user-profile-b] qos user-queue user-group-profile ab outbound
[Device-user-profile-b] quit
配置完成后,User A的总带宽被限制为80Mbps,User A内各业务将按指定方式进行队列调度,对应的业务报文流速将得到限制。
使用diplay user-profile和display qos qmprofile configuration命令可以在Device上可以查看到如下配置信息。
<Device> display user-profile name a
User Profile: a
Direction: Outbound
Committed Access Rate:
CIR 80000 (kbps), CBS 5000000 (Bytes), EBS 0 (Bytes)
User queue:
QMProfile:
qm
User group profile: ab
<Device> display qos qmprofile configuration
Queue scheduling profile: qm (ID 1)
Queue ID Type Group Schedule Schedule Min Max
unit value bandwidth bandwidth
---------------------------------------------------------------------
be WRR 1 weight 10 0 40000
af1 SP N/A N/A N/A 0 N/A
af2 SP N/A N/A N/A 0 N/A
af3 SP N/A N/A N/A 0 N/A
af4 SP N/A N/A N/A 0 N/A
ef WRR 1 weight 20 20000 40000
cs6 SP N/A N/A N/A 0 10000
cs7 SP N/A N/A N/A 0 N/A
<Device> display user-group-profile name ab
User Group Profile: ab
Direction: Outbound
General Traffic Shaping:
If-match any:
CIR 100000 (kbps), CBS 6250000 (Bytes), EBS 0 (Bytes)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!