• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

15-BRAS业务配置指导

目录

07-User Profile配置

本章节下载 07-User Profile配置  (277.26 KB)

07-User Profile配置


1 User Profile

1.1  User Profile简介

User Profile(用户配置文件)提供了一个配置模板,在该模版中可以定义针对一个用户或一个接口的一系列配置,例如QoS(Quality of Service,服务质量)策略。User Profile可重复使用,并且在用户的接入端口发生变化后,无须重新为用户进行配置,减少了配置工作量。

User Profile有以下两种生效方式:

·     用户通过身份认证后,认证服务器会将与用户账户绑定的User Profile名称下发给设备,设备会根据此User Profile里配置的内容对该上线用户的流量进行限制。

·     通过CLI方式将User Profile直接应用在接口上,对接口下所有流量进行相应处理。

User Profile的典型应用有如下两种:

·     控制系统资源的分配。例如,当基于接口进行流量监管时,监管对象是从本接口接入的所有用户,无法做到区分用户,而User Profile则可以实现对单个用户进行流量监管。

·     限制上线用户的访问行为。例如,当上线用户欠费时,可向该用户下发配置了免认证规则的User Profile,仅允许用户访问免认证规则中ACL permit规则指定的网络资源。

1.2  Session Group Profile和User Group Profile简介

1.2.1  概念

Session Group Profile和User Group Profile是一种特殊的User Profile,他们主要用于配置多用户的QoS,例如家庭用户整体的QoS。一个家庭用户内可以包含多个个人用户和多个业务,Session Group Profile和User Group Profile可以实现对整个家庭总体流量的控制。例如,一个家庭内的两个用户,既需要分别对两个用户各自的流量进行限制,又需要对家庭的总体流量进行限制,User Profile无法满足需求,此时可以为家庭账户配置Session Group Profile或User Group Profile,同时为两个个人账户分别配置User Profile。

Session Group Profile和User Group Profile实现的功能是相同的,但二者与User Profile形成关联关系的方式有所不同。

·     对于Session Group Profile,与User Profile的关联关系来自认证服务器的授权,上线用户既会受到User Profile的限制,也会受到Session Group Profile的限制。

·     对于User Group Profile,User Profile与User Group Profile的关联关系是通过设备上的配置实现的。认证服务器仅需对上线用户授权User Profile即可,如果该User Profile下包含与User Group Profile的关联配置,则上线用户既会受到User Profile的限制,也会受到User Group Profile的限制。

1.2.2  工作机制

User Profile和Session Group Profile、User Group Profile之间是通过层次化调度实现的。在通过User Profile对单个上线用户的流量进行限制的同时,也通过Session Group Profile或User Group Profile对多个上线用户的整体流量进行限制。如图1-1所示。

·     流量队列,用来缓存同一个用户不同优先级的报文。

·     用户队列,用来调度同一个用户的所有报文。

¡     在User Profile视图下应用队列调度策略,对流量队列中的报文进行调度。

¡     在User Profile视图下配置QoS策略、流量监管等,对用户队列中的报文进行限制。

·     用户组队列,用来调度同一个用户组内多个用户的所有报文。

¡     在User Group Profile或Session Group Profile视图下应用队列调度策略,对用户队列中的报文进行调度。

¡     在User Group Profile或Session Group Profile视图下配置QoS策略、流量监管、流量整形等,对用户组队列中的报文进行限制。

流量队列是物理队列,有缓存单元,而用户队列和用户组队列是虚拟队列,没有实际的缓存单元,仅作为层次化调度中的一级队列参与调度。

图1-1 层次化调度示意图

1.3  User Profile配置限制和指导

由于Session Group Profie与User Group Profile实现的功能相同,所以对于同一个User Profile,不可以同时与Session Group Profile和User Group Profile关联。

在同一个User Profile下,可以配置流量限制、QoS策略、流量调度、用户队列的队列调度策略、用户连接数和免认证规则,请根据网络需求合理选配。

1.4  User Profile配置准备

如果通过CLI方式将User Profile直接应用在接口上,可以无需用户接入认证。

如果User Profile和接入认证配合使用,在配置User Profile前,需要保证已完成相应的接入认证配置。各接入认证对User Profile的支持情况,请参见相关接入认证模块的配置指导。

1.5  配置User Profile

1. 配置简介

关于QoS策略、流量监管和队列调度策略的具体介绍与配置,请参见“ACL和QoS配置指导”中的“QoS”。

关于最大用户连接数和最大用户新建连接速率的具体配置,请参见“BRAS业务配置指导”中的“连接数限制”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建User Profile并进入相应的User Profile视图。

user-profile profile-name

(3)     配置流量限制。请至少选择其中一项进行配置。

若用户通过引用队列调度策略实现优先级调度,则仅允许通过qos user-queue配置流量限制。

¡     配置流量监管。

qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ]

qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ]

缺省情况下,未配置User Profile的流量监管。

¡     配置限速。

qos user-queue { cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ queue-length queue-length ] } * outbound

qos user-queue { cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ queue-length queue-length ] } * outbound

qos user-queue { cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] } inbound

qos user-queue { cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] } inbound

qos user-queue { cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] } inbound

qos user-queue { cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] } inbound

缺省情况下,未配置User Profile的限速。

(4)     应用已创建的QoS策略。

qos apply policy policy-name { inbound | outbound }

缺省情况下,未应用QoS策略。

(5)     配置流量调度,实现对用户队列的差异化调度。

¡     为会话指定进入的队列。

qos queue { queue-id | queue-name }

缺省情况下,未指定上线用户流量进入的队列。

为会话指定进入的队列后,设备会根据不同队列的优先级,为指定会话提供不同的队列调度,以此实现基于会话的拥塞管理。

¡     配置User Profile出方向的调度权重。

qos weight weight-value outbound

缺省情况下,未配置User Profile出方向的调度权重。

配置本命令后,可以根据调度的权重值分配带宽资源。

(6)     配置用户队列的队列调度策略,实现对流量队列的差异化调度。

qos user-queue qmprofile qmprofile-name { inbound | outbound }

缺省情况下,未配置用户队列的队列调度策略。

(7)     配置最大用户连接数。

¡     配置最大用户连接数。

connection-limit amount amount

缺省情况下,不限制最大用户连接数。

¡     配置最大用户新建连接速率。

connection-limit rate rate

缺省情况下,不限制最大用户新建连接速率。

(8)     配置User Profile免认证规则。

free-rule acl [ ipv6 ] { acl-number | name acl-name }

缺省情况下,未配置User Profile的免认证规则。

1.6  配置Session Group Profile

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置会话组识别方式。

qos session-group identify { customer-vlan | service-vlan | customer-service-vlan | subscriber-id }

缺省情况下,接口下未配置会话组识别方式。

配置本命令后,接口将按照指定的识别方式对用户报文进行识别,并将具有相同识别特征的报文加入同一个用户组。

(4)     退回系统视图。

quit

(5)     创建Session Group Profile并进入Session Group Profile视图。

user-profile profile-name type session-group

(6)     配置流量限制。

¡     配置流量整形。

qos gts { any | queue queue-id } cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ queue-length queue-length ]

qos gts { any | queue queue-id } cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ queue-length queue-length ]

缺省情况下,未配置Session Group Profile的流量整形。

(7)     应用已创建的队列调度策略,实现对用户队列的差异化调度。

qos apply qmprofile profile-name

缺省情况下,未应用队列调度策略。

关于流量整形和队列调度策略的具体配置,请参见“ACL和QoS配置指导”中的“QoS”。

1.7  配置User Group Profile

1. 配置限制和指导

接口上应用qos session-group identify命令后,系统可以识别用户所属的家庭组,为同一个家庭组的不同用户授权User Profile时,如果同时希望对家庭组中所有用户进行总体限速,则需要在为用户授权User Profile时,在User Profile视图下执行qos user-queue user-group-profile命令,并将不同用户授权的User Profile关联到同一个User Group Profile,否则无法达到对家庭组总体限速的预期。

例如,对于同一个家庭组中的用户A和用户B:

·     假设接口下应用qos session-group identify命令后,系统识别出用户A和用户B属于同一个家庭组,但是:

¡     为用户A授权的User Profile A关联的是User Group Profile X;

¡     为用户B授权的User Profile B关联的是User Group Profile Y;

上述情况下,当用户A先上线时,用户A和用户B的家庭总带宽以User Group Profile X中配置的总带宽为准;当用户B再上线时,用户A和用户B的家庭总带宽刷新为User Group Profile Y中配置的总带宽。即后上线用户关联的User Group Profile 中总带宽配置会覆盖前者,导致家庭总带宽不断变化。

·     假设接口下应用qos session-group identify命令后,系统识别出用户A和用户B属于同一个家庭组,并且:

¡     为用户A授权的User Profile A关联的是User Group Profile X;

¡     为用户B授权的User Profile B关联的也是User Group Profile X;

这种情况下,当用户A上线时,用户A的家庭总带宽以User Group Profile X中配置的总带宽为准;当用户B再上线时,用户B的家庭总带宽也以User Group Profile X中配置的总带宽为准,对家庭组总体限速符合预期。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置会话组识别方式。

qos session-group identify { customer-vlan | service-vlan | customer-service-vlan | subscriber-id }

缺省情况下,接口下未配置会话组识别方式。

配置本命令后,接口将按照指定的识别方式对用户报文进行识别,并将具有相同识别特征的报文加入同一个用户组。

(4)     退回系统视图。

quit

(5)     创建User Group Profile并进入User Group Profile视图。

user-group-profile profile-name

(6)     配置流量限制。

¡     配置流量整形。

qos gts [ inbound ] any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ queue-length queue-length ]

qos gts [ inbound ] any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ queue-length queue-length ]

缺省情况下,未配置User Group Profile的流量整形。

(7)     应用已创建的队列调度策略,实现对用户队列的差异化调度。

qos apply qmprofile profile-name

缺省情况下,未应用队列调度策略。

若已通过qos user-queue命令配置限速,且同时携带qmprofile参数和user-group-profile参数,则不允许通过本命令实现对用户队列的差异化调度。

(8)     配置User Group Profile出方向的调度权重,实现对用户组队列的差异化调度。

qos weight weight-value outbound

缺省情况下,未配置User Group Profile出方向的调度权重。

配置本命令后,用户组可以根据调度的权重值分配带宽资源。

(9)     退回系统视图。

quit

(10)     进入User Profile。

user-profile profile-name

(11)     将User Profile与User Group Profile关联。

qos user-queue user-group-profile user-group-profile-name outbound

缺省情况下,User Profile与User Group Profile未关联。

关于流量整形和队列调度策略的具体配置,请参见“ACL和QoS配置指导”中的“QoS”。

1.8  基于接口应用User Profile

1. 配置限制和指导

在接口上应用User Profile时:

·     如果指定了inboundoutbound参数,且User Profile中的配置本身也含有方向属性,则只有二者的方向属性一致时,该配置才会生效。

·     如果未指定inboundoutbound参数,则表示应用了一个无方向的User Profile,此时User Profile中的相关配置是否生效将不再受User Profile的应用方向的限制。

接口同一个方向上只能应用一个User Profile,以名称为abc和xyz的两个User Profile为例:

·     如下两个User Profile分别应用在入方向和出方向,在方向属性上无重叠,可以同时应用:

¡     qos apply user-profile abc inbound

¡     qos apply user-profile xyz outbound

·     如下两个User Profile分别应用在入方向和无方向,在方向属性上有重叠,不可以同时应用:

¡     qos apply user-profile abc inbound

¡     qos apply user-profile xyz

本功能与关联AC与VSI(通过xconnect vsi命令配置)、指定交叉连接关联的接口(通过ac interface命令配置)互斥

基于接口应用User Profile时,仅支持流量监管、限速和和队列调度策略。

配置流量监管时,需要注意的是:

·     本配置与基于接口配置流量监管(通过qos car命令配置)互斥。

·     主接口上应用User Profile,不会对子接口的流量生效。

·     聚合接口成员口上配置流量监管不生效。

·     流量监管只支持单速率单桶双色算法,配置峰值速率(通过参数pir peak-information-rate [ ebs excess-burst-size ]配置)时,投放令牌桶的速率为承诺信息速率(通过参数cir committed-information-rate配置和峰值速率的最大值

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     基于接口应用User Profile。

qos apply user-profile profile-name [ inbound | outbound ]

缺省情况下,接口上未应用User Profile。

1.9  User Profile显示和维护

在任意视图下执行display命令可以显示User Profile的配置信息和在线用户信息,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除接口上应用的User Profile的流量监管统计信息。

表1-1 显示User Profile

操作

命令

显示接口上应用的User Profile的配置情况和流量监管统计信息

display user-profile interface [ interface-type interface-number ] [ slot slot-number ] [ inbound | outbound ]

显示User Group Profile的配置信息和在线用户信息

display user-group-profile [ name profile-name ] [ slot slot-number ]

显示User Profile的配置信息和在线用户信息

display user-profile [ session-group ] [ name profile-name ] [ slot slot-number ]

清除接口上应用的User Profile的流量监管统计信息

reset user-profile interface [ interface-type interface-number ] [ inbound | outbound ]

 

1.10  User Profile典型配置举例

1.10.1  基于多个用户应用User Profile和User Group Profile的配置举例

1. 配置需求

图1-2所示,需要实现使用RADIUS服务器对通过Device接入的用户进行认证、授权和计费。

·     在接入端口Ten-GigabitEthernet3/0/1上对接入用户进行认证。

·     用户认证成功后,认证服务器授权下发User Profile,对单个用户进行限制,对于属于同一家庭组的用户则根据单个用户的User Profile中绑定的User Group Profile进行统一限制。

User A和User B属于同一个家庭组,对该家庭组限制总带宽为100Mbps,再分别对User A和User B的高速上网业务做出控制:

·     限制User A所有业务流量的总速率为80Mbps。

·     限制User B所有业务流量的总速率为50Mbps。

User A存在三种业务的流量,对三类不同业务分别配置不同的调度策略来保障业务质量:

·     IPTV业务:队列调度方式为WRR,调度权重20,最大带宽50Mbps。

·     Internet数据业务:队列调度方式为WRR,调度权重10,最大带宽40Mbps。

·     VOIP业务:队列调度方式为SP,最大带宽10Mbps,最小保障带宽5Mbps。

2. 组网图

图1-2 基于单个用户应用User Profile组网图

3. 配置步骤

·     配置认证服务器

为User A授权名称为a的User Profile,为User B授权名称为b的User Profile。详细配置此处略。

·     配置Device

# 在Device入接口下配置会话组识别方式。

[Device] interface ten-gigabitethernet 3/0/1

[Device-Ten-GigabitEthernet3/0/1] qos session-group identify service-vlan

This operation will affect online users from now on. Continue? [Y/N]:y

[Device-Ten-GigabitEthernet3/0/1] quit

# 创建队列调度策略qm。

[Device] qos qmprofile qm

# 设置IPTV业务(队列1)队列调度方式为WRR,调度权重20,最大带宽50Mbps。

[Device-qmprofile-qm] queue 1 wrr group 1 weight 20 max-bandwidth 50000

# 设置Internet数据业务(队列2)队列调度方式为WRR,调度权重10,最大带宽40Mbps。

[Device-qmprofile-qm] queue 2 wrr group 1 weight 10 max-bandwidth 40000

# 设置VOIP业务(队列3)队列调度方式为SP,最大带宽10Mbps,最小保障带宽5Mbps。

[Device-qmprofile-qm] queue 3 sp max-bandwidth 10000

[Device-qmprofile-qm] bandwidth queue 3 min 5000

[Device-qmprofile-qm] quit

# 创建User Group Profile ab,为User A和User B统一限速100Mbps。

[Device] user-group-profile ab

[Device-user-group-profile-ab] qos gts any cir 100000

[Device-user-group-profile-ab] quit

# 创建User Profile a限制User A所有业务流量的总速率为80Mbps。

[Device] user-profile a

[Device-user-profile-a] qos user-queue cir 8000 outbound

[Device-user-profile-a] quit

# 创建User Profile b限制User B所有业务流量的总速率为50Mbps。

[Device] user-profile b

[Device-user-profile-b] qos car outbound any cir 50000

[Device-user-profile-b] quit

# 将User Group Profile ab和User Profile a关联,将User Group Profile ab和User Profile b关联,使User A和User B受到家庭组统一限速100Mbps。在User Profile a中引用队列调度策略qm对User A的三类业务进行不同方式的队列调度。

[Device] user-profile a

[Device-user-profile-a] qos user-queue qmprofile qm user-group-profile ab outbound

[Device-user-profile-a] quit

[Device] user-profile b

[Device-user-profile-b] qos user-queue user-group-profile ab outbound

[Device-user-profile-b] quit

4. 验证配置

配置完成后,User A的总带宽被限制为80Mbps,User A内各业务将按指定方式进行队列调度,对应的业务报文流速将得到限制。

使用diplay user-profiledisplay qos qmprofile configuration命令可以在Device上可以查看到如下配置信息。

<Device> display user-profile name a

  User Profile: a

    Direction: Outbound

      Committed Access Rate:

        CIR 80000 (kbps), CBS 5000000 (Bytes), EBS 0 (Bytes)

      User queue:

        QMProfile:

          qm

        User group profile: ab

 

<Device> display qos qmprofile configuration

Queue scheduling profile: qm (ID 1)

 Queue ID  Type  Group   Schedule   Schedule  Min         Max

                         unit       value     bandwidth   bandwidth

 ---------------------------------------------------------------------

 be        WRR   1       weight     10        0           40000

 af1       SP    N/A     N/A        N/A       0           N/A

 af2       SP    N/A     N/A        N/A       0           N/A

 af3       SP    N/A     N/A        N/A       0           N/A

 af4       SP    N/A     N/A        N/A       0           N/A

 ef        WRR   1       weight     20        20000       40000

 cs6       SP    N/A     N/A        N/A       0           10000

 cs7       SP    N/A     N/A        N/A       0           N/A

 

<Device> display user-group-profile name ab

  User Group Profile: ab

    Direction: Outbound

      General Traffic Shaping:

        If-match any:

        CIR 100000 (kbps), CBS 6250000 (Bytes), EBS 0 (Bytes)

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们