• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

09-安全配置指导

目录

08-User Profile配置

本章节下载 08-User Profile配置  (206.38 KB)

08-User Profile配置


1 User Profile

1.1  User Profile简介

User Profile(用户配置文件)提供一个配置模板,用于定义针对一个或一类用户的一系列配置,例如QoS(Quality of Service,服务质量)策略。User Profile可重复使用,并且在用户的接入端口发生变化后,无须重新为用户进行配置,减少了配置工作量。

用户访问设备时,需要先进行上线用户身份认证(例如通过802.1X接入认证方式)。用户通过身份认证后,认证服务器会将与用户帐户绑定的User Profile名称下发给设备,设备会根据指定User Profile里配置的内容对上线用户进行限制。

User Profile的典型应用为控制系统为上线用户分配资源。比如基于接口进行流量监管可限制一群用户(从指定接口接入的所有用户)对带宽资源的使用,而User Profile则可对单个用户进行流量监管。

1.2  User Profile配置准备

User Profile是和接入认证配合使用的,在配置User Profile前需要保证已完成相应的接入认证配置。各接入认证对User Profile的支持情况,请参见相关接入认证模块的配置指导。

1.3  配置User Profile

(1)     进入系统视图。

system-view

(2)     创建User Profile并进入相应的User Profile视图。

user-profile profile-name

(3)     配置User Profile。请至少选择其中一项进行配置。

¡     应用已创建的QoS策略。

qos apply policy policy-name { inbound | outbound }

缺省情况下,未应用QoS策略。

¡     配置流量监管。

qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ]

qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ]

缺省情况下,未配置User Profile的流量监管。

关于QoS策略和流量监管的具体介绍与配置,请参见“ACL和QoS配置指导”中的“QoS”。

1.4  User Profile显示和维护

在任意视图下执行display命令可以显示User Profile的配置信息和在线用户信息,通过查看显示信息验证配置的效果。

表1-1 显示User Profile

操作

命令

显示user profile的配置信息和在线用户信息

display user-profile [ name profile-name ] [ slot slot-number ]

 

1.5  User Profile典型配置举例

1.5.1  802.1X本地认证/授权用户应用QoS策略典型配置举例

1. 组网需求

图1-1所示,接入设备Device上连接了三个802.1X认证用户,这些用户属于同一个ISP域“user”,为了提高认证/授权的效率,该ISP域内用户采用Device本地认证方法。现要求对三个用户的流量进行如下控制:

·     UserA在每天上午8:30至12:00间即使通过认证也不能访问网络。

·     UserB在通过认证后的上传速率限制为2M。

·     UserC在通过认证后的下载速率限制为4M。

2. 组网需求

图1-1 802.1X本地认证/授权用户应用Qos策略组网示意图

3. 配置步骤

(1)     创建对UserA的接入时间进行控制的QoS策略

# 创建周期时间段for_usera,时间范围为每天的8:30~12:00。

[Device] time-range for_usera 8:30 to 12:00 daily

# 定义基本IPv4 ACL 2000,匹配for_usera内的所有报文。

[Device] acl basic 2000

[Device-acl-basic-2000] rule permit time-range for_usera

[Device-acl-basic-2000] quit

# 创建流分类for_usera,分类规则为匹配ACL 2000。

[Device] traffic classifier for_usera

[Device-classifier-for_usera] if-match acl 2000

[Device-classifier-for_usera] quit

# 创建流行为for_usera,动作为拒绝通过。

[Device] traffic behavior for_usera

[Device-behavior-for_usera] filter deny

[Device-behavior-for_usera] quit

# 创建QoS策略for_usera,将流分类和流行为进行关联。

[Device] qos policy for_usera

[Device-qospolicy-for_usera] classifier for_usera behavior for_usera

[Device-qospolicy-for_usera] quit

(2)     为UserA创建User Profile,并应用QoS策略

# 创建User Profile,名称为usera。

[Device] user-profile usera

# 由于是对UserA发送的报文进行过滤,因此在应用QoS策略时应该应用到设备的入方向。

[Device-user-profile-usera] qos apply policy for_usera inbound

[Device-user-profile-usera] quit

(3)     创建对UserB的速率进行限制的QoS策略

# 创建流分类class,匹配所有报文。

[Device] traffic classifier class

[Device-classifier-class] if-match any

[Device-classifier-class] quit

# 创建流行为for_userb,动作为流量监管,cir为2000kbps。

[Device] traffic behavior for_userb

[Device-behavior-for_userb] car cir 2000

[Device-behavior-for_userb] quit

# 创建QoS策略for_userb,将流分类和流行为进行关联。

[Device] qos policy for_userb

[Device-qospolicy-for_userb] classifier class behavior for_userb

[Device-qospolicy-for_userb] quit

(4)     为UserB创建User Profile,并应用QoS策略

# 创建User Profile,名称为userb。

[Device] user-profile userb

# 由于是对UserB发送的报文进行过滤,因此在应用QoS策略时应该应用到设备的入方向。

[Device-user-profile-userb] qos apply policy for_userb inbound

[Device-user-profile-userb] quit

(5)     创建对UserC的速率进行限制的QoS策略

# 创建流行为for_userc,动作为流量监管,cir为4000kbps。

[Device] traffic behavior for_userc

[Device-behavior-for_userc] car cir 4000

[Device-behavior-for_userc] quit

# 创建QoS策略for_userc,将流分类和流行为进行关联。

[Device] qos policy for_userc

[Device-qospolicy-for_userc] classifier class behavior for_userc

[Device-qospolicy-for_userc] quit

(6)     为UserC创建User Profile,并应用QoS策略

# 创建User Profile,名称为userc。

[Device] user-profile userc

# 由于是对UserC接收的报文进行过滤,因此在应用QoS策略时应该应用到设备的出方向。

[Device-user-profile-userc] qos apply policy for_userc outbound

[Device-user-profile-userc] quit

(7)     创建本地用户

# 创建名称为usera的本地用户。

[Device] local-user usera class network

New local user added.

# 设置用户密码为“a12345”。

[Device-luser-network-usera] password simple a12345

# 设置用户接入类型为lan-access。

[Device-luser-network-usera] service-type lan-access

# 设置用户的授权User Profile为usera。

[Device-luser-network-usera] authorization-attribute user-profile usera

[Device-luser-network-usera] quit

# 创建名称为userb的本地用户。

[Device] local-user userb class network

New local user added.

# 设置用户密码为“b12345”。

[Device-luser-network-userb] password simple b12345

# 设置用户接入类型为lan-access。

[Device-luser-network-userb] service-type lan-access

# 设置用户的授权User Profile为userb。

[Device -luser-network-userb] authorization-attribute user-profile userb

[Device -luser-network-userb] quit

# 创建名称为userc的本地用户。

[Device] local-user userc class network

New local user added.

# 设置用户密码为“c12345”。

[Device-luser-network-userc] password simple c12345

# 设置用户接入类型为lan-access。

[Device-luser-network-userc] service-type lan-access

# 设置用户的授权User Profile为userc。

[Device-luser-network-userc] authorization-attribute user-profile userc

[Device-luser-network-userc] quit

(8)     配置本地用户的认证/授权/计费方法

# 配置ISP域“user”内的802.1X用户的AAA方案为本地认证/授权,不计费

[Device] domain user

[Device-isp-user] authentication lan-access local

[Device-isp-user] authorization lan-access local

[Device-isp-user] accounting login none

[Device-isp-user] quit

(9)     配置802.1X功能

# 开启指定端口GigabitEthernet1/0/1的802.1X特性。

[Device] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] dot1x

# 配置基于MAC地址的接入控制方式(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[Device-GigabitEthernet1/0/1] dot1x port-method macbased

[Device-GigabitEthernet1/0/1] quit

# 开启全局802.1X特性。

[Device] dot1x

4. 验证配置

UserA、UserB、UserC通过802.1X客户端连接网络,输入正确的用户名和密码后(注意用户名需要携带域名后缀,例如UserA应该输入用户名“usera@user”和密码“a12345”),认证成功并受到相应的Qos策略的限制。

使用diplay user-profile命令在Device上可以查看到如下配置信息和在线用户信息。

<Device> display user-profile

  User-Profile: usera

    Inbound:

      Policy: for_usera

 

    slot 1:

      User -:

        Authentication type: 802.1X

        Network attributes:

          Interface    : GigabitEthernet1/0/1

          MAC address  : 6805-ca06-557b

          Service VLAN : 1

 

  User-Profile: userb

    Inbound:

      Policy: for_userb

 

    slot 1:

      User -:

        Authentication type: 802.1X

        Network attributes:

          Interface    : GigabitEthernet1/0/1

          MAC address  : 80c1-6ee0-2664

          Service VLAN : 1

 

  User-Profile: userc

    Outbound:

      Policy: for_userc

 

    slot 1:

      User -:

        Authentication type: 802.1X

        Network attributes:

          Interface    : GigabitEthernet1/0/1

          MAC address  : 6805-ca05-3efa

          Service VLAN : 1

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们