Huawei Technologies Co

Size: px

Start display at page:

Download "Huawei Technologies Co"

话料滕
5 years ago
Views:

1 关键词 :User Profile 802.1x Portal PPPoE QoS CAR 摘要 :User Profile 是一种用来保存预设配置的方式, 只有用户通过认证, 成功上线后, 这些配置才会生效用户成功上线后, 设备通过这些配置来限制用户的访问行为, 当用户下线时, 设备再取消相应的配置, 以便动态控制用户可以使用的网络资源本文介绍了在 802.1x Portal PPPoE 三种认证组网环境下, 如何通过 User Profile 来限制用户使用网络资源缩略语 : 缩略语英文全名中文解释 CAR Committed Access Rate 承诺访问速率 PPPoE Point-to-Point Protocol over Ethernet 点对点以太网承载协议 QoS Quality of Service 服务质量第 1 页, 共 34 页

2 目录 1 特性简介应用场合注意事项 x 认证方式的组网需求配置思路配置步骤 Host A 的配置 Host B 的配置 L2 Switch 的配置 Device 的配置 RADIUS server 的配置验证结果 Portal 认证方式的组网需求配置思路配置步骤 Host A 的配置 Host B 的配置 L2 Switch 的配置 Device 的配置 RADIUS server 的配置验证结果 PPPoE 认证方式的组网需求配置思路配置步骤 Host A 的配置 Host B 的配置 L2 Switch 的配置 Device 的配置...28 第 2 页, 共 34 页

3 6.3.5 RADIUS server 的配置验证结果...34 第 3 页, 共 34 页

4 1 特性简介 User Profile( 用户配置文件 ) 是一个配置模板, 它是一系列配置的集合, 能够保存统一管理用户的预设配置根据不同的应用场景设备管理员可以为 User Profile 配置不同的内容, 并且在认证服务器上将用户名和 User Profile 绑定起来当用户认证时, 对于合法用户, 认证服务器会将用户对应的 User Profile 名称发送给设备, 设备接着执行 User Profile 下的预设配置用户成功上线后, 设备通过这些配置来限制用户的访问行为, 当用户下线时, 设备再取消相应的配置, 以便动态控制用户可以使用的网络资源 2 应用场合 3 注意事项用户使用 802.1x 方式接入网络, 需要进行用户级的访问行为控制用户使用 Portal 方式接入网络, 需要进行用户级的访问行为控制用户使用 PPPoE 方式接入网络, 需要进行用户级的访问行为控制目前 User Profile 下支持配置 CAR 策略 QoS 策略以及在 WLAN 组网环境中对用户接入进行限制以后,User Profile 支持配置的具体内容还将扩展在 User Profile 下应用 QoS 策略时, 策略中目前只支持配置 remark car filter 三种流行为当 User Profile QoS 和普通 QoS 同时存在时, 优先执行 User Profile QoS x 认证方式的 4.1 组网需求 UserA( 对应组网图中的 Host A) 是公司财务部职员,UserB( 对应组网图中的 Host B) 是公司行政部职员, 公司员工采用移动办公方式, 为了保证网络资源的安全, 公司所有 PC 均采用 802.1x 方式接入网络并需要到 RADIUS 服务器进行认证和授权现要求实现, 在公司内, 不管 UserA 和 UserB 的办公地点在哪里 : 上班时间不允许 UserA 通过代理服务器 (IP 地址为 ) 访问外部网站 ; 任何时间都不允许 UserB 访问财务部 FTP 服务器 (IP 地址为 ) 第 4 页, 共 34 页

5 VLAN 2 WEB proxy FTP server VLAN 4 CAMS (RADIUS server) / /24 Eth1/3 Eth1/4 Eth1/1 L2 Switch Eth1/ /24 VLAN 1 IP network Device Vlan-int1: /24 Vlan-int2: /24 Vlan-int4: / / /24 Host A (UserA) Host B (UserB) 图 x 认证方式的组网图 4.2 配置思路在用户主机上安装 802.1x 客户端, 使得用户可以通过 802.1x 接入认证方式上网 ; 在 Device 上创建两个 User profile, 名称分别为 Finance 和 Office 在 Finance 下配置 QoS 策略 test1 用来限制用户上班时间不能访问外部网站, 在 Office 下配置 QoS 策略 test2 用来限制用户不能访问财务部 FTP 服务器 ; 在 Device 上配置 AAA 和 802.1x 相关参数, 以实现对用户的接入认证 ; 使用 CAMS 作为 RADIUS 服务器, 在 RADIUS 服务器上配置两个用户 UserA 和 UserB, 然后分别与 User profile Finance 和 Office 相关联 4.3 配置步骤说明 : 以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突本文档不严格与具体软硬件版本对应第 5 页, 共 34 页

4.3.1 Host A 的配置在 PC 机上安装 H3C inode 智能管理客户端在 inode 上创建一个新连接, 选择接入认证协议类型为 802.1x, 选择连接类型为普通连接, 用户名为 UserA, 密码为 aaaa, 如图 2 所示图 2 新建连接向导将 PC 的 IP 地址设定为 1.1.1.1( 也可以通过 DHCP server 动态分配, 只要是 1.1.1.10/24 网段即可 ), 子网掩码设定为 255.

6 4.3.1 Host A 的配置在 PC 机上安装 H3C inode 智能管理客户端在 inode 上创建一个新连接, 选择接入认证协议类型为 802.1x, 选择连接类型为普通连接, 用户名为 UserA, 密码为 aaaa, 如图 2 所示图 2 新建连接向导将 PC 的 IP 地址设定为 ( 也可以通过 DHCP server 动态分配, 只要是 /24 网段即可 ), 子网掩码设定为 , 缺省网关的 IP 地址为 / Host B 的配置在 PC 机上安装 H3C inode 智能管理客户端在 inode 上创建一个新连接, 选择接入认证协议类型为 802.1x, 选择连接类型为普通连接, 用户名为 UserB, 密码为 bbbb 将 PC 的 IP 地址设定为 ( 也可以通过 DHCP server 动态分配, 只要是 /24 网段即可 ), 子网掩码设定为 , 缺省网关的 IP 地址为 /24 第 6 页, 共 34 页

7 4.3.3 L2 Switch 的配置 L2 Switch 是一台二层交换机, 它作为一台普通的接入层设备, 在此组网中使用出厂配置即可 Device 的配置 1. 配置步骤 (1) Ethernet1/1 完成用户的接入, 属于 VLAN 1;Ethernet1/2 和 Ethernet1/3 用于应用服务器的接入, 属于 VLAN 2;Ethernet1/4 用于认证服务器的接入, 属于 VLAN 4 创建 Vlan-interface1 Vlan-interface2 和 Vlan-interface4, 并分别配置 IP 地址 ( 如图 1 所示 ), 用于实现不同 VLAN 之间报文的三层互通 <Device> system-view [Device] vlan 2 [Device-vlan2] port ethernet 1/2 [Device-vlan2] port ethernet 1/3 [Device-vlan2] vlan 4 [Device-vlan4] port ethernet 1/4 [Device-vlan4] interface vlan-interface 1 [Device-Vlan-interface1] ip address [Device-Vlan-interface1] interface vlan-interface 2 [Device-Vlan-interface2] ip address [Device-Vlan-interface2] interface vlan-interface 4 [Device-Vlan-interface4] ip address [Device-Vlan-interface4] quit (2) 配置 AAA 认证授权创建 RADIUS 认证方案 newscheme, 指定认证和计费服务器的 IP 地址均为 , 密钥均为 expert( 该参数需要和 CAMS 服务器上的配置保持一致 ), 认证时不需要携带域名 [Device] radius scheme newscheme New Radius scheme [Device-radius-newscheme] server-type extended [Device-radius-newscheme] primary authentication [Device-radius-newscheme] primary accounting [Device-radius-newscheme] key authentication expert [Device-radius-newscheme] key accounting expert [Device-radius-newscheme] user-name-format without-domain [Device-radius-newscheme] quit 配置域参数第 7 页, 共 34 页

8 [Device] domain newdomain New Domain added. [Device-isp-newdomian] authentication lan-access radius-scheme newscheme [Device-isp-newdomian] authorization lan-access radius-scheme newscheme [Device-isp-newdomian] accounting lan-access radius-scheme newscheme [Device-isp-newdomian] quit 将 newdomain 设置为缺省域名 [Device] domain default enable newdomain (3) 配置 802.1x 功能全局使能 802.1x [Device] dot1x 802.1x is enabled globally. 在接口 Ethernet1/1 上使能 802.1x [Device] interface ethernet 1/1 [Device-Ethernet1/1] dot1x 802.1x is enabled on port Ethernet1/1. [Device-Ethernet1/1] quit (4) 配置 QoS 策略配置 QoS 策略 test1 和 test2,test1 限制上班时间不能通过代理服务器 (IP 地址为 ) 访问外部网站,test2 用来限制用户不能访问财务部 FTP 服务器 (IP 地址为 ) [Device] time-range time 08:00 to 18:00 working-day [Device] acl number 3001 [Device-acl-adv-3001] rule permit ip destination time-range time [Device-acl-adv-3001] quit [Device] traffic classifier tc1 [Device-classifier-tc1] if-match acl 3001 [Device-classifier-tc1] quit [Device] traffic behavior tb1 [Device-behavior-tb1] filter deny [Device-behavior-tb1] quit [Device] qos policy test1 [Device-qospolicy-test1] classifier tc1 behavior tb1 [Device-qospolicy-test1] quit [Device] acl number 3002 [Device-acl-adv-3002] rule permit ip destination [Device-acl-adv-3002] quit 第 8 页, 共 34 页

9 [Device] traffic classifier tc2 [Device-classifier-tc2] if-match acl 3002 [Device-classifier-tc2] quit [Device] traffic behavior tb2 [Device-behavior-tb2] filter deny [Device-behavior-tb2] quit [Device] qos policy test2 [Device-qospolicy-test2] classifier tc2 behavior tb2 [Device-qospolicy-test2] quit (5) 配置 User Profile 创建 User profile, 名称为 Finance 和 Office, 并在该 User Profile 视图下应用策略 test1 和 test2 [Device] user-profile Finance dot1x [Device-user-profile-DOT1X-Finance] qos apply policy test1 inbound [Device-user-profile-DOT1X-Finance] quit [Device] user-profile Office dot1x [Device-user-profile-DOT1X-Office] qos apply policy test2 inbound [Device-user-profile-DOT1X-Office] quit 激活 User Profile [Device] user-profile Finance enable Info: This user profile is enabled, its configuration will not be modified. [Device] user-profile Office enable Info: This user profile is enabled, its configuration will not be modified. 2. 配置文件 [Device] display current-configuration sysname Device domain default enable newdomain dot1x time-range time 08:00 to 18:00 working-day acl number 3001 rule 0 permit ip destination time-range time acl number 3002 rule 0 permit ip destination 第 9 页, 共 34 页

10 vlan 1 vlan 2 vlan 4 radius scheme newscheme server-type extended primary authentication primary accounting key authentication expert key accounting expert user-name-format without-domain domain newdomain authentication lan-access radius-scheme newscheme authorization lan-access radius-scheme newscheme accounting lan-access radius-scheme newscheme access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable traffic classifier tc2 operator and if-match acl 3002 traffic classifier tc1 operator and if-match acl 3001 traffic behavior tb1 filter deny traffic behavior tb2 filter deny qos policy test1 classifier tc1 behavior tb1 qos policy test2 classifier tc2 behavior tb2 第 10 页, 共 34 页

11 user-profile Finance DOT1X qos apply policy test1 inbound user-profile Office DOT1X qos apply policy test2 inbound interface Vlan-interface1 ip address interface Vlan-interface2 ip address interface Vlan-interface4 ip address interface Ethernet1/1 port link-mode bridge dot1x interface Ethernet1/2 port link-mode bridge port access vlan 2 interface Ethernet1/3 port link-mode bridge port access vlan 2 interface Ethernet1/4 port link-mode bridge port access vlan 4 user-profile Finance enable user-profile Office enable user-interface con 0 user-interface vty 0 4 return 第 11 页, 共 34 页

12 4.3.5 RADIUS server 的配置 1. 配置步骤 (1) 创建服务 servera 单击 CAMS 平台导航树中的服务管理 > 服务配置菜单项, 进入服务配置页面单击 < 增加 > 按钮, 进入增加服务页面设置服务名为 servera,( 为了方便记忆, 可以将服务描述设置为 for user profile Finance), 选中访问权限控制前的复选框, 并将外部组设置为 Finance( 即 User profile 的名称 ), 如图 3 所示, 单击 < 确定 > 按钮完成增加服务操作图 3 增加服务 (2) 创建服务 serverb 配置步骤与创建服务 servera 类似, 需要将服务名设置为 serverb, 外部组填写为 Office (3) 创建用户 UserA 单击 CAMS 平台导航树中的用户管理 > 帐户用户菜单项, 进入帐户管理页面第 12 页, 共 34 页

13 单击 < 增加 > 按钮, 进入用户开户页面设置帐号名为 UserA, 用户密码为 aaaa, 用户姓名为 hmr, 在服务信息中选中刚增加的服务 servera, 如图 4 所示单击 < 确认 > 按钮完成用户开户操作图 4 用户开户 (4) 创建用户 UserB 配置步骤与创建用户 UserA 类似, 需要将用户名设置为 UserB, 用户密码设置为 bbbb, 服务信息选择 serviceb (5) 接入设备配置单击 CAMS 平台导航树中的系统管理 > 系统配置菜单项, 进入系统配置页面第 13 页, 共 34 页

3.3.1); 共享密钥为设备上配置 RADIUS 方案中的认证密钥和计费密钥 ( 本例中为 expert); 端口列表为 CAMS 服务器上用于监听认证和计费报文的端口,

14 图 5 系统配置单击接入设备配置配置项对应的修改链接, 进入接入设备配置页面单击 < 增加 > 按钮, 进入增加配置项页面将初始 IP 地址结束 IP 地址设置为设备与服务器相连口的 IP 地址 ( 本例中为 ); 共享密钥为设备上配置 RADIUS 方案中的认证密钥和计费密钥 ( 本例中为 expert); 端口列表为 CAMS 服务器上用于监听认证和计费报文的端口, 需要与设备上配置的一致 ( 本例中没有配置, 则默认为 1812 和 1813), 协议类型和 RADIUS 报文类型需要和设备上 RADIUS 方案中配置的一致, 如图 6 所示单击 < 确定 > 按钮, 在确认操作成功后, 返回到接入设备配置页面, 再单击 < 返回 > 按钮, 返回到系统配置页面图 6 增加配置项第 14 页, 共 34 页

15 在系统配置页面中, 单击 < 立即生效 > 按钮, 使这些信息生效验证结果可通过以下方式验证上述配置 : (1) 在 CAMS 的在线用户管理中查看是否有刚认证上网的用户 (2) UserA 用户上线后, 上班时间 (8:00~18:00) 无法访问外部网站 (3) UserB 用户上线后, 无法访问财务 FTP 服务器 5 Portal 认证方式的 5.1 组网需求在校园网络中, 因为老师要上传 / 下载课件网上视频教学和答疑, 所以需要优先保证老师的可用带宽资源现要求实现 : 为了防止非本校人员盗用本校网络资源, 所有用户接入校园网时, 均需要进行 Portal 认证 ; 在园区内, 不管老师的办公地点在哪里, 只要使用 teacher 用户名登录都能获得 1Mbps 的带宽, 学生使用 student 用户名登录后才能接入校园网, 但是能够使用的最大带宽不能超过 200kbps VLAN 4 CAMS (RADIUS server /Portal server) /24 Device Vlan-int1: /24 Vlan-int4: /24 Eth1/4 Eth1/1 IP network L2 Switch VLAN / /24 Host A (UserA) Host B (UserB) 图 7 Portal 认证方式的组网图第 15 页, 共 34 页

16 5.2 配置思路在学生和老师的主机上安装 Portal 客户端, 使得用户可以通过 Portal 接入认证方式上网 ; 在 Device 上创建两个 User profile, 名称分别为 Teacher 和 Student Teacher 配置 QoS 策略 test1 用来限速为 1Mbps,Student 配置 QoS 策略 test2 用来限速为 200kbps; 使用 CAMS 作为 RADIUS 服务器, 在 RADIUS 服务器上配置两个用户 Teacher 和 Student, 然后分别关联两个 User profile Teacher 和 Student 5.3 配置步骤说明 : 以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突本文档不严格与具体软硬件版本对应 Host A 的配置在 PC 机上安装 H3C inode 智能管理客户端在 inode 上创建一个新连接, 选择接入认证协议类型为 Portal, 用户名为 Teacher, 密码为 1234, 如图 8 所示第 16 页, 共 34 页

图 8 新建连接向导将 PC 的 IP 地址设定为 1.1.1.1, 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 5.3.

17 图 8 新建连接向导将 PC 的 IP 地址设定为 , 子网掩码设定为 , 缺省网关的 IP 地址为 / Host B 的配置在 PC 机上安装 H3C inode 智能管理客户端在 inode 上创建一个新连接, 选择接入认证协议类型为 Portal, 用户名为 Student, 密码为 5678 将 PC 的 IP 地址设定为 , 子网掩码设定为 , 缺省网关的 IP 地址为 / L2 Switch 的配置 L2 Switch 是一台二层交换机, 它作为一台普通的接入层设备, 在此组网中使用出厂配置即可第 17 页, 共 34 页

18 5.3.4 Device 的配置 1. 配置步骤 (1) Ethernet1/1 完成用户的接入, 属于 VLAN 1;Ethernet1/4 用于认证服务器的接入, 属于 VLAN 4 创建 Vlan-interface1 和 Vlan-interface4, 并分别配置 IP 地址 ( 如图 7 所示 ), 用于实现不同 VLAN 之间报文的三层互通 <Device> system-view [Device] vlan 4 [Device-vlan4] port ethernet 1/4 [Device-vlan4] interface vlan-interface 1 [Device-Vlan-interface1] ip address [Device-Vlan-interface2] interface vlan-interface 4 [Device-Vlan-interface4] ip address [Device-Vlan-interface4] quit (2) 配置 AAA 认证参数创建 RADIUS 认证方案 newscheme, 指定认证和计费服务器的 IP 地址均为 , 密钥均为 expert( 该参数需要和 CAMS 服务器上的配置保持一致 ), 认证时不需要携带域名 [Device] radius scheme newscheme New Radius scheme [Device-radius-newscheme] server-type extended [Device-radius-newscheme] primary authentication [Device-radius-newscheme] primary accounting [Device-radius-newscheme] key authentication expert [Device-radius-newscheme] key accounting expert [Device-radius-newscheme] user-name-format without-domain [Device-radius-newscheme] quit 配置域参数 [Device] domain newdomain New Domain added. [Device-isp-newdomian] authentication portal radius-scheme newscheme [Device-isp-newdomian] authorization portal radius-scheme newscheme [Device-isp-newdomian] accounting portal radius-scheme newscheme [Device-isp-newdomian] quit 将 newdomain 设置为缺省域名 [Device] domain default enable newdomain (3) 配置 Portal 认证参数第 18 页, 共 34 页

19 配置 Portal 认证 [Device] portal server newpt ip key expert url 在接口 Vlan-interface1 上使能 Portal 认证 [Device] interface vlan-interface 1 [Device-Vlan-interface1] ip address [Device-Vlan-interface1] portal server newpt method direct [Device-Vlan-interface1] quit (4) 配置 QoS 策略配置 QoS 策略 test1 和 test2,test1 限速 1Mbps,test2 限速 200kbps [Device] traffic classifier tc1 [Device-classifier-tc1] if-match any [Device-classifier-tc1] quit [Device] traffic behavior tb1 [Device-behavior-tb1] car cir 1000 [Device-behavior-tb1] quit [Device] qos policy test1 [Device-qospolicy-test1] classifier tc1 behavior tb1 [Device-qospolicy-test1] quit [Device] traffic classifier tc2 [Device-classifier-tc2] if-match any [Device-classifier-tc2] quit [Device] traffic behavior tb2 [Device-behavior-tb2] car cir 200 [Device-behavior-tb2] quit [Device] qos policy test2 [Device-qospolicy-test2] classifier tc2 behavior tb2 [Device-qospolicy-test2] quit (5) 配置 User profile 创建 User profile, 名称为 Teacher 和 Student, 并在该 User Profile 视图下应用策略 test1 和 test2 [Device] user-profile Teacher portal [Device-user-profile-PORTAL-Teacher] qos apply policy test1 inbound [Device-user-profile-PORTAL-Teacher] quit [Device] user-profile Student portal [Device-user-profile-PORTAL-Student] qos apply policy test2 inbound [Device-user-profile-PORTAL-Student] quit 激活 User Profile 第 19 页, 共 34 页

20 [Device] user-profile Teacher enable Info: This user profile is enabled, its configuration will not be modified. [Device] user-profile Student enable Info: This user profile is enabled, its configuration will not be modified. 2. 配置文件 [Device] display current-configuration sysname Device domain default enable newdomain portal server newpt ip key expert url vlan 1 vlan 4 radius scheme newscheme server-type extended primary authentication primary accounting key authentication expert key accounting expert user-name-format without-domain domain newdomain authentication portal radius-scheme newscheme authorization portal radius-scheme newscheme accounting portal radius-scheme newscheme access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable traffic classifier tc2 operator and if-match any 第 20 页, 共 34 页

21 traffic classifier tc1 operator and if-match any traffic behavior tb1 car cir 1000 cbs ebs 0 green pass red discard traffic behavior tb2 car cir 200 cbs ebs 0 green pass red discard qos policy test1 classifier tc1 behavior tb1 qos policy test2 classifier tc2 behavior tb2 user-profile Teacher PORTAL qos apply policy test1 inbound user-profile Student PORTAL qos apply policy test2 inbound interface Vlan-interface1 ip address portal server newpt method direct interface Vlan-interface4 ip address interface Ethernet1/4 port link-mode bridge port access vlan 4 user-profile Student enable user-profile Teacher enable return RADIUS server 的配置 1. 配置步骤 (1) 创建服务 forteacher, 具体配置步骤请参见 (1), 将关联的 User Profile 设置为 Teacher (2) 创建服务 forstudent, 具体配置步骤请参见 (1), 将关联的 User Profile 设置为 Student 第 21 页, 共 34 页

(3) 创建用户 Teacher, 具体配置步骤请参见 4.3.5 1. (3), 将用户名设置为 Teacher, 密码设置为 1234, 相关联的服务信息选择 forteacher (4) 创建用户 Student, 具体配置步骤请参见 4.3.5 1. (3), 将用户名设置为 Student, 密码设置为 5678, 相关联的服务信息选择 forstudent (5) 接入设备配置, 具体配置步骤请参见 4.

22 (3) 创建用户 Teacher, 具体配置步骤请参见 (3), 将用户名设置为 Teacher, 密码设置为 1234, 相关联的服务信息选择 forteacher (4) 创建用户 Student, 具体配置步骤请参见 (3), 将用户名设置为 Student, 密码设置为 5678, 相关联的服务信息选择 forstudent (5) 接入设备配置, 具体配置步骤请参见 (5), 将初始 IP 地址结束 IP 地址设置为 (6) Portal 组件配置单击 CAMS 平台导航树中的组件管理 > PORTAL 组件 > 服务器信息菜单项, 进入 PORTAL 服务器信息维护页面在页面填入 PORTAL Server 的相关参数, 如图 9 所示单击 < 确定 > 按钮进行确认图 9 PORTAL 服务器信息维护单击 CAMS 平台导航树中的组件管理 > PORTAL 组件 > 设备信息菜单项, 进入设备信息管理页面单击 < 增加 > 按钮, 进入增加设备信息页面将 IP 地址配置为 Device 与 RADIUS server 相连接口的 IP 地址 ( 本例中为 ), 版本号选择 Portal 2.0( 与 Device 上运行的 Portal 版本一致 ), 密码设置为 expert( 与在 Device 上配置的 portal server 命令中的 key 参数保持一致 ), 如图 10 所示单击 < 增加 > 按钮, 在确认操作成功后, 返回到设备信息管理页面第 22 页, 共 34 页

1.1.1 和 1.1.1.2, 单击 < 增加 > 按钮, 在确认操作成功后, 返回到 IP 地址组管理页面图 11 增加 IP 地址组单击 CAMS 平台导航树中的组件管理 >

23 图 10 增加设备信息单击 CAMS 平台导航树中的组件管理 > PORTAL 组件 > IP 地址组菜单项, 进入 IP 地址组管理页面单击 < 增加 > 按钮, 进入增加 IP 地址组页面将起始地址和终止地址填用户终端的 IP 地址, 本举例中为和 , 单击 < 增加 > 按钮, 在确认操作成功后, 返回到 IP 地址组管理页面图 11 增加 IP 地址组单击 CAMS 平台导航树中的组件管理 > PORTAL 组件 > 设备信息菜单项, 进入设备信息管理页面单击 Device 对应的端口信息管理链接, 如图 12 所示, 进入增加设备端口组页面将 IP 地址组设置为刚创建的 HostAandHostB, 如图 13 所示单击 < 增加 > 按钮, 在确认操作成功后, 返回到设备信息管理页面第 23 页, 共 34 页

6 验证结果可通过以下方式验证上述配置 : (1) 任何需要接入校园网的用户都需要通过 Portal 认证 (2)

24 图 12 设备信息管理图 13 增加设备端口组最后单击 CAMS 平台导航树中的组件管理 > PORTAL 组件 > 配置生效菜单项, 使以上配置生效验证结果可通过以下方式验证上述配置 : (1) 任何需要接入校园网的用户都需要通过 Portal 认证 (2) 用户使用 Teacher 用户名上线后, 可使用的最大带宽为 1Mbps (3) 用户使用 Student 用户名上线后, 可使用的最大带宽为 200kbps 第 24 页, 共 34 页

25 6 PPPoE 认证方式的 6.1 组网需求接入网络使用 PPPoE 认证方式, 网络中同时存在 UserA 和 UserB, 其中 UserA 为 VIP 用户,UserB 为普通用户现需要为他们提供区分服务, 当网络出现拥塞时, UserA 和 UserB 同时访问数据库 (DB), 优先为 UserA 传输数据, 以减少 UserA 的等待时间 UserA 同时访问 DB 和访问 WEB 网站, 因为传输数据占用的带宽较大而且时间较长, 所以, 要求优先处理与 WEB 网站之间的报文 DB VLAN 2 VLAN 4 CAMS (RADIUS server) /24 Eth1/4 Eth1/1 L2 Switch /24 Eth1/5 VLAN 1 IP network Device Vlan-int1: /24 Vlan-int2: /24 Vlan-int4: / / /24 Host A (UserA) Host B (UserB) 图 14 Portal 认证方式的组网图 6.2 配置思路在 CAMS 服务器上配置两个用户 UserA 和 UserB, 然后分别关联两个 User profile VIP 和 normal VIP 配置 QoS 策略 test1 使得 UserA 访问 WEB 网站报文的本地优先级最高为 6,UserA 访问 DB 的响应报文的本地优先级次高为 5,normal 配置 QoS 策略 test2 使得 UserB 访问 DB 的响应报文的本地优先级为 4 第 25 页, 共 34 页

26 通过 SP 队列来保证当网络拥塞时, 最先处理 UserA 与 WEB 网站间的交互报文, 再处理 UserA 与 DB 间的交互报文, 最后处理 UserB 与 DB 间的交互报文在 Device 的接口 Ethernet1/1 上使能 PPPoE 认证, 之后 Host A 使用用户名 UserA 认证上线,Host B 使用用户名 UserB 认证上线 6.3 配置步骤说明 : 以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突本文档不严格与具体软硬件版本对应 Host A 的配置使用 Windows 系统的网络连接功能新建一个 PPPoE 连接使用 < 开始 > 菜单打开 < 控制面板 >, 双击 < 网络连接 > 服务, 使用创建一个新的连接功能新建一个 PPPoE 连接打开新建连接向导, 单击 < 下一步 > 按钮网络连接类型窗口选择为连接到 Internet(C), 单击 < 下一步 > 按钮准备好窗口选择手动设置我的连接 (M), 单击 < 下一步 > 按钮 Internet 连接窗口选择用要求用户名和密码的宽带连接来连接 (U), 单击 < 下一步 > 按钮在连接名窗口输入 ISP 名称, 单击 < 下一步 > 按钮在可用连接窗口选择只是我使用, 单击 < 下一步 > 按钮在 Internet 帐户信息窗口, 输入用户名 UserA, 密码为 123, 单击 < 下一步 > 按钮第 26 页, 共 34 页

27 图 15 新建连接向导最后单击 < 完成 > 按钮, 完成连接创建操作之后用户通过下面的窗口就可以连接上网了第 27 页, 共 34 页

图 16 连接将 PC 的 IP 地址设定为 1.1.1.1, 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 6.3.2 Host B 的配置配置步骤请参见 6.3.1, 只需在用户名处输入 UserB, 密码处输入 456 PC 的 IP 地址设定为 1.1.1.2, 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 6.3.3 L2 Switch 的配置 L2 Switch 是一台二层交换机, 它作为一台普通的接入层设备, 在此组网中使用出厂配置即可 6.

28 图 16 连接将 PC 的 IP 地址设定为 , 子网掩码设定为 , 缺省网关的 IP 地址为 / Host B 的配置配置步骤请参见 6.3.1, 只需在用户名处输入 UserB, 密码处输入 456 PC 的 IP 地址设定为 , 子网掩码设定为 , 缺省网关的 IP 地址为 / L2 Switch 的配置 L2 Switch 是一台二层交换机, 它作为一台普通的接入层设备, 在此组网中使用出厂配置即可 Device 的配置 1. 配置步骤 (1) Ethernet1/1 完成用户的接入, 属于 VLAN 1;Ethernet1/5 用于数据库 (DB) 的接入, 属于 VLAN 2;Ethernet1/4 用于认证服务器的接入, 属于 VLAN 4 第 28 页, 共 34 页

29 创建 Vlan-interface1 Vlan-interface2 和 Vlan-interface4, 并分别配置 IP 地址 ( 如图 14 所示 ), 用于实现不同 VLAN 之间报文的三层互通 <Device> system-view [Device] vlan 2 [Device-vlan2] port ethernet 1/5 [Device] vlan 4 [Device-vlan4] port ethernet 1/4 [Device-vlan4] interface vlan-interface 1 [Device-Vlan-interface1] ip address [Device-Vlan-interface1] interface vlan-interface 2 [Device-Vlan-interface2] ip address [Device-Vlan-interface2] interface vlan-interface 4 [Device-Vlan-interface4] ip address [Device-Vlan-interface4] quit (2) 配置 AAA 认证参数配置 RADIUS 认证方案参数, 指定认证和计费服务器的 IP 地址均为 , 密钥均为 expert( 该参数需要和 CAMS 服务器上的配置保持一致 ), 认证时不需要挟带域名 [Device] radius scheme newscheme New Radius scheme [Device-radius-newscheme] server-type extended [Device-radius-newscheme] primary authentication [Device-radius-newscheme] primary accounting [Device-radius-newscheme] key authentication expert [Device-radius-newscheme] key accounting expert [Device-radius-newscheme] user-name-format without-domain [Device-radius-newscheme] quit 配置域参数 [Device] domain newdomain New Domain added. [Device-isp-newdomian] authentication ppp radius-scheme newscheme [Device-isp-newdomian] authorization ppp radius-scheme newscheme [Device-isp-newdomian] accounting ppp radius-scheme newscheme [Device-isp-newdomian] quit [Device] domain default enable newdomain (3) 配置 PPPoE 功能创建一个 VT 口, 配置它的认证方式为 CHAP,IP 地址为 [Device] interface virtual-template 1 [Device-Virtual-Template1] ppp authentication-mode chap 第 29 页, 共 34 页

30 [Device-Virtual-Template1] quit 在接口 Vlan-interface1 上使能 PPPoE server 功能, 并绑定 VT 口 [Device] interface vlan-interface 1 [Device-Vlan-interface1] pppoe-server bind virtual-template 1 [Device-Vlan-interface1] quit (4) 配置 QoS 策略配置 QoS 策略 test0 test1 和 test2, 使得 VIP 访问 WEB 服务器报文的本地优先级设为 6, 访问 DB 报文的本地优先级设为 5,normal 访问 DB 报文的本地优先级设为 4 [Device] acl number 3000 [Device-acl-adv-3000] rule permit tcp destination-port eq 80 [Device-acl-adv-3000] quit [Device] traffic classifier tc0 [Device-classifier-tc0] if-match acl 3000 [Device-classifier-tc0] quit [Device] traffic behavior tb0 [Device-behavior-tb0] remark local-precedence 6 [Device-behavior-tb0] quit [Device] acl number 3001 [Device-acl-adv-3001] rule permit ip source [Device-acl-adv-3001] quit [Device] traffic classifier tc1 [Device-classifier-tc1] if-match acl 3001 [Device-classifier-tc1] quit [Device] traffic behavior tb1 [Device-behavior-tb1] remark local-precedence 5 [Device-behavior-tb1] quit [Device] qos policy test1 [Device-qospolicy-test1] classifier tc0 behavior tb0 [Device-qospolicy-test1] classifier tc1 behavior tb1 [Device-qospolicy-test1] quit [Device] traffic behavior tb2 [Device-behavior-tb2] remark local-precedence 4 [Device-behavior-tb2] quit [Device] qos policy test2 [Device-qospolicy-test2] classifier tc1 behavior tb2 [Device-qospolicy-test2] quit (5) 将 QoS 策略 test1 和 test2 应用于 User profile 创建 User profile, 名称为 VIP 和 normal, 并在该 User Profile 视图下应用策略 test1 第 30 页, 共 34 页

31 和 test2 [Device] user-profile VIP PPP [Device-user-profile-PPP-VIP] qos apply policy test1 inbound [Device-user-profile-PPP-VIP] quit [Device] user-profile normal PPP [Device-user-profile-PPP-normal] qos apply policy test2 inbound [Device-user-profile-PPP-normal] quit 激活 User Profile [Device] user-profile VIP enable Info: This user profile is enabled, its configuration will not be modified. [Device] user-profile normal enable Info: This user profile is enabled, its configuration will not be modified. (6) 配置绝对优先队列通过报文优先级来保证当网络拥塞时, 优先处理 UserA 的 HTTP 流量, 再处理 UserA 与 DB 之间的流量, 最后处理 UserB 和 DB 之间的流量 [Device] interface ethernet 1/1 [Device-Ethernet1/1] qos sp 2. 配置文件 [Device-Ethernet1/1] display current-configuration sysname Device domain default enable newdomain acl number 3000 rule 0 permit tcp destination-port eq www acl number 3001 rule 0 permit ip source vlan 1 vlan 2 vlan 4 radius scheme newscheme server-type extended primary authentication primary accounting 第 31 页, 共 34 页

32 key authentication expert key accounting expert user-name-format without-domain domain newdomain authentication ppp radius-scheme newscheme authorization ppp radius-scheme newscheme accounting ppp radius-scheme newscheme access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable traffic classifier tc0 operator and if-match acl 3000 traffic classifier tc1 operator and if-match acl 3001 traffic behavior tb1 remark local-precedence 5 traffic behavior tb0 remark local-precedence 6 traffic behavior tb2 remark local-precedence 4 qos policy test1 classifier tc0 behavior tb0 classifier tc1 behavior tb1 qos policy test2 classifier tc1 behavior tb2 user-profile VIP PPP user-profile normal PPP interface Virtual-Template1 ppp authentication-mode chap 第 32 页, 共 34 页

33 interface Vlan-interface1 pppoe-server bind Virtual-Template 1 ip address interface Vlan-interface2 ip address interface Vlan-interface4 ip address interface Ethernet1/1 port link-mode bridge qos sp interface Ethernet1/4 port link-mode bridge port access vlan 4 interface Ethernet1/5 port link-mode bridge port access vlan 2 user-profile VIP enable user-profile normal enable return RADIUS server 的配置 1. 配置步骤 (1) 创建服务 forvip, 具体配置步骤请参见 (1), 将关联的 User Profile 设置为 VIP (2) 创建服务 fornormal, 具体配置步骤请参见 (1), 将关联的 User Profile 设置为 normal (3) 创建用户 UserA, 具体配置步骤请参见 (3), 将用户名设置为 UserA, 密码设置为 123, 相关联的服务信息选择 forvip (4) 创建用户 UserB, 具体配置步骤请参见 (3), 将用户名设置为 UserB, 密码设置为 456, 相关联的服务信息选择 fornormal (5) 接入设备配置, 具体配置步骤请参见 (5), 将初始 IP 地址结束 IP 地址设置为第 33 页, 共 34 页

34 6.3.6 验证结果可通过以下方式验证上述配置 : (1) UserA 和 UserB 必须通过 PPPoE 认证之后才能使用网络资源 (2) 在网络拥塞时,UserA 和 UserB 同时访问 DB 的话,UserA 会先获取到想要的数据 (3) UserA 在访问 DB 时, 即便网络发生拥塞,UserA 对 WEB 网站的访问也不会受到大数据量文件传输的影响 Copyright 2008 版权所有, 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播本文档中的信息可能变动, 恕不另行通知第 34 页, 共 34 页

Huawei Technologies Co

Huawei Technologies Co 关键词 :OSPF Hub-And-Spoke 摘要 :Hub-And-Spoke 组网是一种典型的网络扁平化组网方案为了使 OSPF 协议能够更好地支持 Hub-And-Spoke 组网,H3C 对 OSPF 协议进行的一系列优化本文描述了 OSPF 用于 Hub-And-Spoke 组网的配置过程缩略语 : 缩略语英文全名中文解释 LSA Link State Advertisement