选择区域语言: EN CN HK

09 安全配置指导

07-User Profile配置

本章节下载  (127.75 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/CE3000/CE3000-EI/Configure/Operation_Manual/H3C_CE3000-32F-EI_CG-Release_1211-6W100/09/201107/721429_30005_0.htm

07-User Profile配置


1 User Profile配置

1.1  User Profile简介

User Profile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如QoS(Quality of Service,服务质量)策略。

用户访问设备时,需要先进行身份认证(目前支持802.1X和Portal两种接入认证方式)。在认证过程中,认证服务器会将User Profile名称下发给设备,设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile是预设配置,并不生效。

使用User Profile之后,可以:

l              更精确地利用系统资源。比如,使用User Profile之前,只能基于接口/VLAN/全局等应用QoS策略,这个QoS策略限制的是一群用户(从指定接口/VLAN接入的用户,甚至设备的所有接入用户);使用User Profile之后,可以基于用户应用QoS策略,这个QoS策略针对的是单个用户。

l              更灵活地限制用户访问系统资源。比如,使用User Profile之前,只能基于QoS策略对当前接口的流进行流量监管,当用户的物理位置移动时(比如从另一个接口接入),则需要先取消旧的接入接口下的流量监管功能,再在新的接入接口下配置流量监管;使用User Profile之后,可以基于用户进行流量监管,只要用户上线,认证服务器会自动下发相应的User Profile(配置了QoS策略),当用户下线,系统会自动取消相应的配置,不需要再进行手工调整。

1.2  User Profile配置任务简介

表1-1 User Profile配置任务简介

配置任务

说明

详细配置

创建User Profile

必选

1.3 

配置User Profile

必选

1.4 

激活User Profile

必选

1.5 

 

1.3  创建User Profile

1.3.1  配置准备

在创建User Profile之前,需配置认证参数。User Profile特性支持802.1X和Portal两种接入认证方式,用户在访问网络时可以根据当前的网络规划选择一种方式进行认证。但需要在客户端、本设备和认证服务器上进行相应的配置(比如用户名、密码、认证方案、域以及User Profile和用户的绑定关系等)。

1.3.2  创建User Profile

表1-2 创建User Profile

操作

命令

说明

进入系统视图

system-view

-

创建User Profile并进入相应的user-profile视图

user-profile profile-name

必选

如果指定的User Profile已经存在,则直接进入相应的user-profile视图,不需要再创建User Profile

进入user-profile视图后,下面进行的配置只在User Profile处于激活状态,且用户成功上线后才生效

 

1.4  配置User Profile

User Profile创建之后,需要在User Profile视图下配置具体的内容才能对上线用户进行限制。用户可以通过在User Profile视图下应用QoS策略来实现多种流量管理功能。

表1-3 基于上线用户应用QoS策略

操作

命令

说明

进入系统视图

system-view

-

进入user-profile视图

user-profile profile-name

必选

进入user-profile视图后,下面进行的配置只在User Profile处于激活状态,且用户成功上线后才生效

应用关联的策略

qos apply policy policy-name { inbound | outbound }

必选

inbound是对设备入方向的上线用户流量(即上线用户发送的流量)应用策略;outbound是对设备出方向的上线用户流量(即上线用户接收到的流量)应用策略

 

l          如果User Profile处于激活状态,则除了可以修改策略引用的ACL外,既不能修改策略的其他内容,也不能删除已经应用到此User Profile的策略。如果User Profile对应的用户已经上线,则策略引用的ACL规则内容也不能修改。

l          user-profile视图下应用的策略中的流行为只支持remarkcarfilter三种动作。

l          user-profile视图下应用的策略不能为空策略,因为应用空策略的User Profile不能被激活。

l          关于QoS策略的相关配置,请参见“ACL和QoS配置指导”中的“QoS配置方式”。

 

1.5  激活User Profile

User Profile创建后,必须被激活,才能生效。User Profile配置生效后,认证服务器才会通知用户认证成功。所以,如果不激活User Profile,会导致被绑定的用户不能上线。

表1-4 激活User Profile

操作

命令

说明

进入系统视图

system-view

-

激活已创建的User Profile

user-profile profile-name enable

必选

缺省情况下,创建的User Profile处于未激活状态

 

l          激活的User Profile才能被用户使用,但其中的配置内容不允许修改,禁用后才可以被修改或删除。

l          禁用User Profile将导致使用该User Profile用户强制下线。

 

1.6  User Profile显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后User Profile的运行情况,通过查看显示信息验证配置的效果。

表1-5 User Profile显示和维护

操作

命令

显示当前已创建的全部User Profile的信息

display user-profile

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!