03-User Profile配置
本章节下载: 03-User Profile配置 (117.95 KB)
目 录
User Profile(用户配置文件)提供一个配置模板,用于保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景在这个配置模板中定义不同的内容,比如CAR(Committed Access Rate,承诺访问速率)策略、QoS(Quality of Service,服务质量)策略、连接数限制策略或免认证策略。
用户访问设备时,需要先进行上线用户身份认证(User Profile目前支持PPPoE、Portal和IPoE等接入认证方式)。用户通过身份认证后,认证服务器会将与用户帐户绑定的User Profile名称下发给设备,设备会根据指定User Profile里配置的内容对上线用户进行限制。
基于User Profile的用户身份认证需要与认证服务器配合使用。
· 若用户采用远程认证,则需要在远程认证服务器上指定与该用户帐户相关联的User Profile。
· 若用户采用本地认证,则需要在设备对应的本地用户视图中指定该用户的授权User Profile。关于本地用户的相关配置,请参见“安全配置指导”中的“AAA”。
当用户通过认证上线后,其访问行为将受到User Profile的限制。当用户下线时,系统会自动取消相应的限制。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(例如没有用户接入、用户没有通过认证或者用户下线)时,对应的User Profile配置并不生效。
使用User Profile之后,可以:
· 更精确地利用系统资源。比如基于接口进行流量监管,此时限制的是一群用户(从指定接口接入的用户)。使用User Profile之后,可以基于用户进行流量监管,此时限制的是单个用户。
· 更灵活地限制用户访问系统资源。比如只对当前接口的所有流进行流量监管,当用户的物理位置移动时(比如从另一个接口接入),则需要先取消旧的接入接口下的流量监管功能,再在新的接入接口下配置流量监管功能。使用User Profile之后,可以基于用户进行流量监管,只要用户上线,认证服务器会自动下发相应的User Profile,当用户下线,对应的配置亦会失效,不需要再进行手工调整。
表1-1 User Profile配置任务简介
User Profile特性支持PPPoE、Portal和IPoE等接入认证方式,User Profile是和认证配合使用的,用户需要保证相应的认证配置。同时,需要在本地或服务器上配置指定下发给用户的User Profile。还可以为会话指定进入的队列,从而由队列的不同决定其不同优先级的调度方式。
当用户上线认证失败或者用户欠费时,User Profile免认证规则可以为这类用户提供可控网络服务,允许用户访问免认证规则中指定的目的地址。
创建User Profile并进入相应的User Profile视图 |
如果指定的User Profile已经存在,则直接进入相应的User Profile视图,不需要再创建 |
|
(可选)为会话指定进入的队列 |
缺省情况下,User Profile下没有指定进入的队列 |
|
(可选)配置User Profile免认证规则 |
free-rule acl [ ipv6 ] { acl-number | name acl-name } |
缺省情况下,不存在User Profile免认证规则 |
User Profile创建之后,需要在User Profile视图下配置具体的内容才能对上线用户进行限制。目前支持的配置有:
· QoS策略、CAR策略,相关内容请参见“ACL和QoS配置指导”中的“QoS”。
· 连接数限制策略,相关内容请参见“安全配置指导”中的“连接数限制”。
Session Group Profile是User Profile的一种,主要用于配置家庭用户级别的QoS。一个家庭用户内可以包含多个个人用户和多个业务,主要用于控制整个家庭总体的流量。不同于为单个用户配置的User Profile,为家庭用户配置的Session Group Profile下可以配置的内容包括CAR(Committed Access Rate,承诺访问速率)策略GTS(Generic Traffic Shaping,通用流量整形)或Qmprofile(队列调度策略)策略。例如,对于一个家庭内的两个用户,既需要分别对两个用户进行限制,又需要对家庭的总体流量进行限制,单单User Profile的配置是满足不了需求的,可以为家庭帐户配置Session Group Profile,同时为两个个人帐户配置不同的User Profile。
qos session-group identify { customer-vlan | service-vlan | customer-service-vlan | subscriber-id } |
要配置Session Group Profile,必须首先指定会话组的识别方式。 |
|
创建Session Group Profile并进入Session Group Profile视图 |
如果指定的Session Group Profile已经存在,则直接进入相应的Session Group Profile视图,不需要再创建 |
Session Group Profile创建之后,需要在Session Group Profile视图下配置具体的内容才能对上线用户进行限制。目前支持的配置有:
· CAR策略,相关内容请参见“ACL和QoS配置指导”中的“QoS”。
· 队列调度策略,相关内容请参见“ACL和QoS配置指导”中的“QoS”。
在任意视图下执行display命令可以显示User Profile的配置信息和在线用户信息,通过查看显示信息验证配置的效果。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!