- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-User Profile配置
本章節下載: 06-User Profile配置 (331.62 KB)
WX1800H係列、WX2500H係列和WX3000H係列不支持slot參數。
User Profile(用戶配置文件)提供一個配置模板,用於保存預設配置(一係列配置的集合)。用戶可以根據不同的應用場景在這個配置模板中定義不同的內容。
用戶訪問設備時,需要先進行上線用戶身份認證(User Profile目前支持802.1X和Portal等接入認證方式)。用戶通過身份認證後,認證服務器會將與用戶帳戶綁定的User Profile名稱下發給設備,設備會根據指定User Profile裏配置的內容對上線用戶進行限製。
基於User Profile的用戶身份認證需要與認證服務器配合使用。
· 若用戶采用遠程認證,則需要在遠程認證服務器上指定與該用戶帳戶相關聯的User Profile。
· 若用戶采用本地認證,則需要在設備對應的本地用戶視圖中指定該用戶的授權User Profile。關於本地用戶的相關配置,請參見“安全配置指導”中的“AAA”。
當用戶通過認證上線後,其訪問行為將受到User Profile的限製。當用戶下線時,係統會自動取消相應的限製。因此,User Profile適用於限製上線用戶的訪問行為,沒有用戶上線(例如沒有用戶接入、用戶沒有通過認證或者用戶下線)時,對應的User Profile配置並不生效。
使用User Profile之後,可以:
· 更精確地利用係統資源。比如基於接口進行流量監管,此時限製的是一群用戶(從指定接口接入的用戶)。使用User Profile之後,可以基於用戶進行流量監管,此時限製的是單個用戶。
· 更靈活地限製用戶訪問係統資源。比如隻對當前接口的所有流進行流量監管,當用戶的物理位置移動時(比如從另一個接口接入),則需要先取消舊的接入接口下的流量監管功能,再在新的接入接口下配置流量監管功能。使用User Profile之後,可以基於用戶進行流量監管,隻要用戶上線,認證服務器會自動下發相應的User Profile,當用戶下線,對應的配置亦會失效,不需要再進行手工調整。
表1-1 User Profile配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置User Profile |
必選 |
User Profile特性支持802.1X和Portal等接入認證方式,User Profile是和認證配合使用的,用戶需要保證相應的認證配置。同時,需要在本地或服務器上配置指定下發給用戶的User Profile。還可以為會話指定進入的隊列,從而由隊列的不同決定其不同優先級的調度方式。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建User Profile並進入相應的User Profile視圖 |
user-profile profile-name |
如果指定的User Profile已經存在,則直接進入相應的User Profile視圖,不需要再創建 |
User Profile創建之後,需要在User Profile視圖下配置具體的內容才能對上線用戶進行限製。
在任意視圖下執行display命令可以顯示User Profile的配置信息和在線用戶信息,通過查看顯示信息驗證配置的效果。
表1-3 顯示User Profile
|
操作 |
命令 |
|
顯示user profile的配置信息和在線用戶信息 |
display user-profile [ name profile-name ] [ slot slot-number ] |
· AC和RADIUS服務器通過交換機建立連接。AC的IP地址為10.18.1.1,與AC相連的RADIUS服務器的IP地址為10.18.1.88。
· 要求使用MAC認證方式進行用戶身份認證。
· 要求MAC地址認證用戶在指定的AP上接入無線網絡。
圖1-1 使用RADIUS服務器進行MAC地址認證典型配置組網圖
確保RADIUS服務器與設備路由可達,完成服務器的配置,並成功添加了接入用戶賬戶,用戶名為123,密碼為aaa_maca。
# 配置Radius 方案,名稱為imcc,認證服務器的IP地址為10.18.1.88,端口號為1812,配置計費服務器的IP地址為10.18.1.88,端口號為1813,認證密鑰為明文12345678,計費密鑰為明文12345678,用戶名格式為without-domain。
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名稱為imc的ISP域,並將認證、授權和計費的方式配置為使用Radius方案imcc。
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置MAC地址認證
# 配置MAC地址認證用戶名格式為固定用戶名格式,用戶名為123,密碼為明文aaa_maca(若配置成大寫、不帶連字符的mac地址格式,服務器需要配置與之對應的用戶名格式;若配置成固定用戶名格式,服務器也需要配置與其對應的用戶名格式)。
[AC] mac-authentication user-name-format fixed account 123 password simple aaa_maca
# 配置無線服務模板maca_imc的SSID為maca_imc,並設置用戶認證方式為MAC地址認證,ISP域為imc。
[AC] wlan service-template maca_imc
[AC-wlan-st-maca_imc] ssid maca_imc
[AC-wlan-st-maca_imc] client-security authentication-mode mac
[AC-wlan-st-maca_imc] mac-authentication domain imc
# 無線服務模板使能。
[AC-wlan-st-maca_imc] service-template enable
[AC-wlan-st-maca_imc] quit
(4) 配置手工AP並將無線服務模板綁定到radio上
# 創建ap1。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置信道為149,並使能射頻。
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 綁定無線服務模板。
[AC-wlan-ap-ap1-radio-1] service-template maca_imc
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置User Profile
# 配置名稱為macauth1的AP組,在AP組內添加允許接入的AP列表
[AC]wlan ap-group macauth1
[AC-wlan-ap-group-macauth1] ap ap1
[AC-wlan-ap-group-macauth1] quit
# 配置基於MAC地址認證用戶的user-profile,名稱為mac1。添加允許接入的AP組為macauth1,讓用戶隻能夠在指定AP組macauth1的AP1上接入,控製用戶在無線網絡中接入位置。
[AC] user-profile mac1
[AC-user-profile-mac1] wlan permit-ap-group macauth1
[AC-user-profile-mac1] quit
(6) 配置RADIUS server(iMC V7)
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.2、iMC EIA 7.2),說明RADIUS server的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入設備管理頁麵,點擊頁麵中的進入接入設備配置按鈕,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
· 設置認證、計費共享密鑰為12345678,其它保持缺省配置;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
圖1-2 增加接入設備頁麵
# 增加服務策略。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,進入接入策略管理頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入策略頁麵。
設置接入策略名為aaa_maca,其它保持缺省配置。
圖1-3 增加服務策略頁麵
# 增加接入服務。
選擇“用戶”頁簽,單擊導航欄中的[接入策略管理/接入服務管理]菜單項,進入接入服務管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入服務頁麵。
· 設置服務名為aaa_maca;
· 設置缺省接入策略為已經創建的aaa_maca。
圖1-4 增加接入服務頁麵
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 添加用戶123;
· 添加帳號名為123,密碼為aaa_maca;
· 選中之前配置的服務aaa_maca。
圖1-5 增加接入用戶頁麵
# 客戶端通過MAC認證成功關聯AP,並且可以訪問無線網絡。
通過display mac-authentication connection命令顯示MAC用戶連接信息。
[AC] display mac-authentication connection
Total connections: 1
User MAC address : 0452-f33a-02fa
AP name : ap1
Radio ID : 1
SSID : maca_imc
BSSID : 741f-4a35-7b40
Username : 123
Authentication domain : imc
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : N/A
Authorization user profile : mac1
Termination action : Default
Session timeout period : 86400 s
Online from : 2016/06/23 20:42:00
Online duration : 0h 0m 21s
通過display wlan client顯示命令查看無線客戶端在線情況查看MAC地址認證用戶上線信息,可看到MAC地址認證用戶成功上線。
[AC] display wlan client
Total number of clients : 1
MAC address Username APID/RID IP address IPv6 address VLAN
0452-f33a-02fa 123 1/1 10.18.1.100 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
