- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-User Profile配置
本章節下載: 07-User Profile配置 (135.84 KB)
目 錄
User Profile(用戶配置文件)提供一個配置模板,能夠保存預設配置(一係列配置的集合)。用戶可以根據不同的應用場景為User Profile配置不同的內容,比如QoS(Quality of Service,服務質量)策略等。
用戶訪問設備時,需要先進行身份認證(目前支持802.1X和Portal兩種接入認證方式)。在認證過程中,認證服務器會先匹配用戶名和密碼,匹配成功後再將與用戶綁定的User Profile名稱下發給設備,設備會立即啟用User Profile裏配置的具體內容。隻有用戶名和密碼匹配,並且User Profile下的配置均應用成功,設備才認為用戶通過了認證。因此,當用戶通過認證上線後,其訪問行為將受到User Profile的限製。當用戶下線時,係統會自動禁用User Profile下的配置項,從而取消User Profile對用戶的限定。因此,User Profile適用於限製上線用戶的訪問行為,沒有用戶上線(可能是沒有用戶接入、或者用戶沒有通過認證、或者用戶下線)時,User Profile是預設配置,並不生效。
使用User Profile之後,可以:
· 更精確地利用係統資源。比如,使用User Profile之前,隻能基於接口/VLAN/全局等應用QoS策略,這個QoS策略限製的是一群用戶(從指定接口/VLAN接入的用戶,甚至設備的所有接入用戶);使用User Profile之後,可以基於用戶應用QoS策略,這個QoS策略針對的是單個用戶。
· 更靈活地限製用戶訪問係統資源。比如,使用User Profile之前,隻能基於QoS策略對當前接口的所有流進行流量監管,當用戶的物理位置移動時(比如從另一個接口接入),則需要先取消舊的接入接口下的流量監管功能,再在新的接入接口下配置流量監管功能;使用User Profile之後,可以基於用戶進行流量監管,隻要用戶上線,認證服務器會自動下發相應的User Profile(配置了QoS策略),當用戶下線,係統會自動取消相應的配置,不需要再進行手工調整。
表1-1 User Profile配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
創建User Profile |
必選 |
|
|
配置User Profile |
必選 |
|
|
激活User Profile |
必選 |
在創建User Profile之前,需配置認證參數。User Profile特性支持802.1X和Portal兩種接入認證方式,用戶在訪問網絡時可以根據當前的網絡規劃選擇一種方式進行認證。但需要在客戶端、本設備和認證服務器上進行相應的配置(比如用戶名、密碼、認證方案、域以及User Profile和用戶的綁定關係等)。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建User Profile並進入相應的user-profile視圖 |
user-profile profile-name |
必選 如果指定的User Profile已經存在,則直接進入相應的user-profile視圖,不需要再創建User Profile 進入user-profile視圖後,下麵進行的配置隻在User Profile處於激活狀態,且用戶成功上線後才生效 |
User Profile創建之後,需要在User Profile視圖下配置具體的內容才能對上線用戶進行限製。用戶可以通過在User Profile視圖下應用QoS策略來實現多種流量管理功能。
表1-3 基於上線用戶應用QoS策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入user-profile視圖 |
user-profile profile-name |
必選 進入user-profile視圖後,下麵進行的配置隻在User Profile處於激活狀態,且用戶成功上線後才生效 |
|
應用關聯的策略 |
qos apply policy policy-name { inbound | outbound } |
必選 inbound是對設備入方向的上線用戶流量(即上線用戶發送的流量)應用策略;outbound是對設備出方向的上線用戶流量(即上線用戶接收到的流量)應用策略 僅S5500-EI係列交換機支持outbound參數 |
· 如果User Profile處於激活狀態,既不能修改策略的內容(包括流分類引用的ACL規則),也不能刪除已經應用到此User Profile的策略。
· user-profile視圖下應用的策略中的流行為隻支持remark、car、filter三種動作。
· user-profile視圖下應用的策略不能為空策略,因為應用空策略的User Profile不能被激活。
· 關於QoS策略的相關配置命令,請參見“ACL和QoS配置指導”中的“QoS配置方式”。
User Profile創建後,必須被激活,User Profile下的配置才能生效。如果不激活User Profile,會導致被綁定的用戶認證失敗,不能上線。
表1-4 激活User Profile
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
激活已創建的User Profile |
user-profile profile-name enable |
必選 缺省情況下,創建的User Profile處於未激活狀態 |
· User Profile被激活後,不允許修改User Profile下的配置,需要禁用後才可以被修改或刪除。
· 禁用User Profile將導致使用該User Profile用戶強製下線。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後User Profile的運行情況,通過查看顯示信息驗證配置的效果。
表1-5 User Profile顯示和維護
|
操作 |
命令 |
|
顯示當前已創建的全部User Profile的信息 |
display user-profile [ | { begin | exclude | include } regular-expression ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
