• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

10-安全命令参考

目录

02-User Profile命令

本章节下载 02-User Profile命令  (172.92 KB)

02-User Profile命令


1 User Profile

1.1  User Profile配置命令

1.1.1  display user-profile

display user-profile用来显示User Profile的配置信息和在线用户信息。

【命令】

display user-profile [ session-group ] [ name profile-name ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

session-group:显示Session Group Profile的配置信息和在线用户信息。

name profile-name:表示User Profile的名称,为1~31个字符的字符串,只能包含英文字母[a-z,A-Z]、数字、下划线、减号和英文句号,支持以字母或数字开头,但不能为纯数字,区分大小写。User Profile的名称必须全局唯一。如果未指定本参数,将显示所有User Profile的配置信息和在线用户信息。

slot slot-number:显示User Profile的配置信息和指定成员设备的在线用户信息,slot-number表示设备在IRF中的成员编号。如果未指定本参数,将显示User Profile的配置信息和所有成员设备的在线用户信息。

【举例】

# 显示名称为aaa的User Profile配置信息及被授权该User Profile的在线用户信息。

<Sysname> display user-profile name aaa

  User-Profile: aaa

    Direction: Inbound

      Committed Access Rate:

        CIR 32 (kbps), CBS 2048 (Bytes), EBS 0 (Bytes), PIR 888 (kbps)

      Policy: p1

    Direction: Outbound

      Committed Access Rate:

        CIR 32 (kbps), CBS 2048 (Bytes), EBS 0 (Bytes), PIR 888 (kbps)

      Policy: p2

    Connection-limit amount: 1000

    Connection-limit rate: 100

Authentication-free rule:

      acl 3000

      acl name flow1

      acl ipv6 3000

      acl ipv6 name flow2

 

    User user_1:

      Authentication type: PPP

      Network attributes:

        Interface    : GigabitEthernet1/0/3

        IP address   : 172.16.187.16

        VPN          : N/A

        Service VLAN : 100

# 显示设备上的Session Group Profile配置信息及被授权该Session Group Profile的在线用户信息。

<Sysname> display user-profile session-group

  Session-Group-Profile: aaa

    Direction: Outbound

      Committed Access Rate:

        CIR 32 (kbps), CBS 2048 (Bytes), EBS 0 (Bytes), PIR 888 (kbps)

      QMProfile: a

 

    User user_1:

      Authentication type: PPP

      Network attributes:

        Interface    : GigabitEthernet1/0/3

        IP address   : 172.16.187.16

        VPN          : N/A

        Service VLAN : 100

 

  Session-Group-Profile: bbb

    Direction: Outbound

      Committed Access Rate:

        CIR 512 (kbps), CBS 1024 (Bytes), EBS 0 (Bytes), PIR 888 (kbps)

      QMProfile: a

 

    User user_4:

      Authentication type: PPP

      Network attributes:

        Interface    : GigabitEthernet1/0/2

        IP address   : 172.16.187.166

        VPN          : N/A

        Service VLAN : 100

表1-1 display user-profile 命令显示信息描述表

字段

描述

User-Profile

User Profile名称

Inbound

在入方向上应用的策略

Outbound

在出方向上应用的策略

Session-Group-Profile

Session Group Profile名称

CIR

承诺信息速率,单位为kbps

CBS

承诺突发尺寸,也就是容纳突发流量的令牌桶深度,单位为byte

EBS

超出突发尺寸,在双令牌桶算法中超出突发流量超过承诺突发流量的部分,单位为byte

PIR

峰值信息速率

Connection-limit amount

用户最大连接数

Connection-limit rate

用户最大连接速率

Authentication-free rule

User Profile免认证规则

Policy

策略名

QMProfile

队列调度策略

User user_1

与User Profile或Session Group Profile关联的用户信息

Authentication type

用户认证类型

·     PPP

Network attributes

用户特征信息

Failed action list

在该用户上应用失败的动作

 

1.1.2  free-rule

free-rule命令用来配置User Profile免认证规则。

undo free-rule命令用来删除User Profile免认证规则。

【命令】

free-rule acl [ ipv6 ] { acl-number | name acl-name }

undo free-rule acl [ ipv6 ] { acl-number | name acl-name }

【缺省情况】

不存在User Profile免认证规则。

【视图】

User Profile视图

【缺省用户角色】

network-admin

【参数】

ipv6:指定ACL类型为IPv6 ACL。如果未指定本参数,则表示IPv4 ACL。

acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:

·     2000~2999:表示基本ACL。

·     3000~3999:表示高级ACL。

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

【使用指导】

当上线用户欠费时,可通过向用户下发配置了免认证规则的User Profile,允许用户访问免认证规则中ACL permit规则指定的网络资源。

一个User Profille下可以配置多条免认证规则。设备会按照免认证规则的配置顺序进行匹配。当匹配上某一免认证规则后,则结束匹配;否则,将继续进行匹配,直到匹配完所有免认证规则。

【举例】

# 在名称为user的User Profile下配置ACL编号为3000的免认证规则。

<Sysname> system-view

[Sysname] user-profile user

[Sysname-user-profile-user] free-rule acl 3000

# 在名称为user的User Profile下配置IPv6 ACL编号为3000的免认证规则。

<Sysname> system-view

[Sysname] user-profile user

[Sysname-user-profile-user] free-rule acl ipv6 3000

# 在名称为user的User Profile下配置ACL名称为a1的免认证规则。

<Sysname> system-view

[Sysname] user-profile user

[Sysname-user-profile-user] free-rule acl name a1

【相关命令】

·     acl(ACL和Qos命令参考/ACL)

1.1.3  qos session-group identify

qos session-group identify命令用来在接口下配置会话组识别方式。

undo qos session-group identify命令用来恢复缺省情况。

【命令】

qos session-group identify { customer-vlan | service-vlan | customer-service-vlan | subscriber-id }

undo qos session-group identify

【缺省情况】

接口下未配置会话组识别方式。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

customer-vlan:按内层VLAN识别会话组,内层VLAN为用户的私网VLAN。

service-vlan:按外层VLAN识别会话组,外层VLAN为运营商分配给用户的公网VLAN。

customer-service-vlan:按内层VLAN和外层VLAN识别会话组。

subscriber-id:按subscriber id识别会话组。

【使用指导】

若要配置Session Group Profile,则必须首先指定会话组的识别方式。

【举例】

#在接口GigabitEthernet1/0/1上配置基于外层vlan的会话组识别方式。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] qos session-group identify service-vlan

1.1.4  user-profile

user-profile命令用来创建User Profile,并进入User Profile视图。如果指定的User Profile已经存在,则直接进入User Profile视图。

undo user-profile命令用来删除指定的User Profile。

【命令】

user-profile profile-name [ type session-group ]

undo user-profile profile-name

【缺省情况】

不存在User Profile。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

profile-name:表示User Profile的名称,为1~31个字符的字符串,只能包含英文字母[a-z,A-Z]、数字、下划线、减号和英文句号,支持以字母或数字开头,但不能为纯数字,区分大小写。User Profile的名称必须全局唯一。

type session-group:指定创建的User Profile类型为Session Group Profile。

【使用指导】

User Profile的名称必须全局唯一。

【举例】

# 创建名称为a123的User Profile,并进入其视图。

<Sysname> system-view

[Sysname] user-profile a123

[Sysname-user-profile-a123]

# 创建名称为a123的Session Group Profile,并进入其视图。

<Sysname> system-view

[Sysname] user-profile a123 type session-group

[Sysname-session-group-profile-a123]

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们