- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-User Profile配置
本章節下載: 03-User Profile配置 (431.10 KB)
User Profile(用戶配置文件)提供一個配置模板,用於定義針對一個或一類用戶的一係列配置,例如QoS(Quality of Service,服務質量)策略。User Profile可重複使用,並且在用戶的接入端口發生變化後,無須重新為用戶進行配置,減少了配置工作量。
用戶訪問設備時,需要先進行上線用戶身份認證(例如通過802.1X接入認證方式)。用戶通過身份認證後,認證服務器會將與用戶帳戶綁定的User Profile名稱下發給設備,設備會根據指定User Profile裏配置的內容對上線用戶進行限製。
基於User Profile的用戶身份認證需要與認證服務器配合使用。
僅支持用戶采用遠程認證,需要在遠程認證服務器上指定與該用戶帳戶相關聯的User Profile。
當用戶通過認證上線後,其訪問行為將受到User Profile的限製。當用戶下線時,係統會自動取消相應的限製。因此,User Profile適用於限製上線用戶的訪問行為,沒有用戶上線(例如沒有用戶接入、用戶沒有通過認證或者用戶下線)時,對應的User Profile配置並不生效。
使用User Profile之後,可以:
· 更精確地利用係統資源。比如基於接口進行流量監管,此時限製的是一群用戶(從指定接口接入的用戶)。使用User Profile之後,可以基於用戶進行流量監管,此時限製的是單個用戶。
· 更靈活地限製用戶訪問係統資源。比如隻對當前接口的所有流進行流量監管,當用戶的物理位置移動時(比如從另一個接口接入),則需要先取消舊的接入接口下的流量監管功能,再在新的接入接口下配置流量監管功能。使用User Profile之後,可以基於用戶進行流量監管,隻要用戶上線,認證服務器會自動下發相應的User Profile,當用戶下線,對應的配置亦會失效,不需要再進行手工調整。
User Profile是和接入認證配合使用的,在配置User Profile前需要保證已完成相應的接入認證配置。各接入認證對User Profile的支持情況,請參見相關接入認證模塊的配置指導。
system-view
(2) 創建User Profile並進入相應的User Profile視圖。
user-profile profile-name
(3) 配置User Profile。請至少選擇其中一項進行配置。
¡ 應用已創建的QoS策略。
qos apply policy policy-name { inbound | outbound }
缺省情況下,未應用QoS策略。
¡ 配置流量監管。
qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ]
qos car { inbound | outbound } any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ]
缺省情況下,未配置User Profile的流量監管。
關於QoS策略、流量監管的具體介紹與配置,請參見“QoS配置指導”中的QoS配置。
在任意視圖下執行display命令可以顯示User Profile的配置信息和在線用戶信息,通過查看顯示信息驗證配置的效果。
表1-1 顯示User Profile
|
操作 |
命令 |
|
顯示User Profile的配置信息和在線用戶信息 |
display user-profile [ name profile-name ] |
· AC和RADIUS服務器通過交換機建立連接。AC的IP地址為10.18.1.1,與AC相連的RADIUS服務器的IP地址為10.18.1.88。
· 要求使用MAC認證方式進行用戶身份認證。
· 要求MAC地址認證用戶在指定的AP上接入無線網絡。
圖1-1 使用RADIUS服務器進行MAC地址認證典型配置組網圖
確保RADIUS服務器與設備路由可達,完成服務器的配置,並成功添加了接入用戶賬戶,用戶名為123,密碼為aaa_maca。
# 配置Radius方案,名稱為imcc,認證服務器的IP地址為10.18.1.88,端口號為1812,配置計費服務器的IP地址為10.18.1.88,端口號為1813,認證密鑰為明文123456789Test&!,計費密鑰為明文123456789Test&!,用戶名格式為without-domain。
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 123456789Test&!
[AC-radius-imcc] key accounting simple 123456789Test&!
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名稱為imc的ISP域,並將認證、授權和計費的方式配置為使用Radius方案imcc。
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置MAC地址認證
# 配置MAC地址認證用戶名格式為固定用戶名格式,用戶名為123,密碼為明文aaa_maca(若配置成大寫、不帶連字符的mac地址格式,服務器需要配置與之對應的用戶名格式;若配置成固定用戶名格式,服務器也需要配置與其對應的用戶名格式)。
[AC] mac-authentication user-name-format fixed account 123 password simple aaa_maca
# 配置無線服務模板maca_imc的SSID為maca_imc,並設置用戶認證方式為MAC地址認證,ISP域為imc。
[AC] wlan service-template maca_imc
[AC-wlan-st-maca_imc] ssid maca_imc
[AC-wlan-st-maca_imc] client-security authentication-mode mac
[AC-wlan-st-maca_imc] mac-authentication domain imc
# 使能無線服務模板。
[AC-wlan-st-maca_imc] service-template enable
[AC-wlan-st-maca_imc] quit
(4) 配置手工AP並將無線服務模板綁定到radio上
# 創建ap1。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 配置信道為149,並使能射頻。
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 綁定無線服務模板。
[AC-wlan-ap-ap1-radio-1] service-template maca_imc
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置User Profile
# 配置名稱為macauth1的AP組,在AP組內添加允許接入的AP列表
[AC] wlan ap-group macauth1
[AC-wlan-ap-group-macauth1] ap ap1
[AC-wlan-ap-group-macauth1] quit
# 配置基於MAC地址認證用戶的User Profile,名稱為mac1。添加允許接入的AP組為macauth1,讓用戶隻能夠在指定AP組macauth1的AP1上接入,控製用戶在無線網絡中接入位置。
[AC] user-profile mac1
[AC-user-profile-mac1] wlan permit-ap-group macauth1
[AC-user-profile-mac1] quit
(6) 配置RADIUS server(iMC V7)
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.2、iMC EIA 7.2),說明RADIUS server的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入設備管理頁麵,點擊頁麵中的進入接入設備配置按鈕,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
¡ 設置認證、計費共享密鑰為12345678,其它保持缺省配置;
¡ 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
圖1-2 增加接入設備頁麵
# 增加接入策略。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,進入接入策略管理頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入策略頁麵。
設置接入策略名為aaa_maca,其它保持缺省配置。
圖1-3 增加接入策略頁麵
# 增加接入服務。
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理 > 接入服務管理”菜單項,進入接入服務管理頁麵。
圖1-4 進入接入服務列表
單擊<增加>按鈕,進入增加接入服務頁麵。設置接入服務名為aaa_maca服務,缺省接入策略選擇之前新增的接入策略,其它保持缺省配置。
圖1-5 增加接入服務頁麵
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的“接入用戶管理 > 接入用戶”菜單項,進入接入用戶頁麵。
圖1-6 接入用戶頁麵
單擊<增加>按鈕,進入增加接入用戶頁麵。設置用戶姓名、賬號名、密碼和密碼確認,勾選“MAC地址認證用戶”,並在接入服務中勾選之前新增的接入服務。
圖1-7 增加接入用戶頁麵
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
