Huawei Technologies Co

关键词 :User Profile 802.1x Portal PPPoE QoS CAR 摘要 :User Profile 是一种用来保存预设配置的方式, 只有用户通过认证, 成功上线后, 这些配置才会生效 用户成功上线后, 设备通过这些配置来限制用户的访问行为, 当用户下线时, 设备再取消相应的配置, 以便动态控制用户可以使用的网络资源 本文介绍了在 802.1x Portal PPPoE 三种认证组网环境下, 如何通过 User Profile 来限制用户使用网络资源 缩略语 : 缩略语 英文全名 中文解释 CAR Committed Access Rate 承诺访问速率 PPPoE Point-to-Point Protocol over Ethernet 点对点以太网承载协议 QoS Quality of Service 服务质量 第 1 页, 共 34 页

目录 1 特性简介...4 2 应用场合...4 3 注意事项...4 4 802.1x 认证方式的...4 4.1 组网需求...4 4.2 配置思路...5 4.3 配置步骤...5 4.3.1 Host A 的配置...6 4.3.2 Host B 的配置...6 4.3.3 L2 Switch 的配置...7 4.3.4 Device 的配置...7 4.3.5 RADIUS server 的配置...12 4.3.6 验证结果...15 5 Portal 认证方式的...15 5.1 组网需求...15 5.2 配置思路...16 5.3 配置步骤...16 5.3.1 Host A 的配置...16 5.3.2 Host B 的配置...17 5.3.3 L2 Switch 的配置...17 5.3.4 Device 的配置...18 5.3.5 RADIUS server 的配置...21 5.3.6 验证结果...24 6 PPPoE 认证方式的...25 6.1 组网需求...25 6.2 配置思路...25 6.3 配置步骤...26 6.3.1 Host A 的配置...26 6.3.2 Host B 的配置...28 6.3.3 L2 Switch 的配置...28 6.3.4 Device 的配置...28 第 2 页, 共 34 页

6.3.5 RADIUS server 的配置...33 6.3.6 验证结果...34 第 3 页, 共 34 页

1 特性简介 User Profile( 用户配置文件 ) 是一个配置模板, 它是一系列配置的集合, 能够保存 统一管理用户的预设配置 根据不同的应用场景设备管理员可以为 User Profile 配置不同的内容, 并且在认证服务器上将用户名和 User Profile 绑定起来 当用户认证时, 对于合法用户, 认证服务器会将用户对应的 User Profile 名称发送给设备, 设备接着执行 User Profile 下的预设配置 用户成功上线后, 设备通过这些配置来限制用户的访问行为, 当用户下线时, 设备再取消相应的配置, 以便动态控制用户可以使用的网络资源 2 应用场合 3 注意事项 用户使用 802.1x 方式接入网络, 需要进行用户级的访问行为控制 用户使用 Portal 方式接入网络, 需要进行用户级的访问行为控制 用户使用 PPPoE 方式接入网络, 需要进行用户级的访问行为控制 目前 User Profile 下支持配置 CAR 策略 QoS 策略以及在 WLAN 组网环境中对用户接入进行限制 以后,User Profile 支持配置的具体内容还将扩展 在 User Profile 下应用 QoS 策略时, 策略中目前只支持配置 remark car filter 三种流行为 当 User Profile QoS 和普通 QoS 同时存在时, 优先执行 User Profile QoS 4 802.1x 认证方式的 4.1 组网需求 UserA( 对应组网图中的 Host A) 是公司财务部职员,UserB( 对应组网图中的 Host B) 是公司行政部职员, 公司员工采用移动办公方式, 为了保证网络资源的安全, 公司所有 PC 均采用 802.1x 方式接入网络并需要到 RADIUS 服务器进行认证和授权 现要求实现, 在公司内, 不管 UserA 和 UserB 的办公地点在哪里 : 上班时间不允许 UserA 通过代理服务器 (IP 地址为 1.1.2.220) 访问外部网站 ; 任何时间都不允许 UserB 访问财务部 FTP 服务器 (IP 地址为 1.1.2.221) 第 4 页, 共 34 页

VLAN 2 WEB proxy FTP server VLAN 4 CAMS (RADIUS server) 3.3.3.3/24 1.1.2.220/24 Eth1/3 Eth1/4 Eth1/1 L2 Switch Eth1/2 1.1.2.221/24 VLAN 1 IP network Device Vlan-int1: 1.1.1.10/24 Vlan-int2: 1.1.2.10/24 Vlan-int4: 3.3.3.1/24 1.1.1.1/24 1.1.1.2/24 Host A (UserA) Host B (UserB) 图 1 802.1x 认证方式的 组网图 4.2 配置思路 在用户主机上安装 802.1x 客户端, 使得用户可以通过 802.1x 接入认证方式上网 ; 在 Device 上创建两个 User profile, 名称分别为 Finance 和 Office 在 Finance 下配置 QoS 策略 test1 用来限制用户上班时间不能访问外部网站, 在 Office 下配置 QoS 策略 test2 用来限制用户不能访问财务部 FTP 服务器 ; 在 Device 上配置 AAA 和 802.1x 相关参数, 以实现对用户的接入认证 ; 使用 CAMS 作为 RADIUS 服务器, 在 RADIUS 服务器上配置两个用户 UserA 和 UserB, 然后分别与 User profile Finance 和 Office 相关联 4.3 配置步骤 说明 : 以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置 如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突 本文档不严格与具体软 硬件版本对应 第 5 页, 共 34 页

4.3.1 Host A 的配置 在 PC 机上安装 H3C inode 智能管理客户端 在 inode 上创建一个新连接, 选择接入认证协议类型为 802.1x, 选择连接类型为普通连接, 用户名为 UserA, 密码为 aaaa, 如图 2 所示 图 2 新建连接向导 将 PC 的 IP 地址设定为 1.1.1.1( 也可以通过 DHCP server 动态分配, 只要是 1.1.1.10/24 网段即可 ), 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 4.3.2 Host B 的配置 在 PC 机上安装 H3C inode 智能管理客户端 在 inode 上创建一个新连接, 选择接入认证协议类型为 802.1x, 选择连接类型为普通连接, 用户名为 UserB, 密码为 bbbb 将 PC 的 IP 地址设定为 1.1.1.2( 也可以通过 DHCP server 动态分配, 只要是 1.1.1.10/24 网段即可 ), 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 第 6 页, 共 34 页

4.3.3 L2 Switch 的配置 L2 Switch 是一台二层交换机, 它作为一台普通的接入层设备, 在此组网中使用出厂配置即可 4.3.4 Device 的配置 1. 配置步骤 (1) Ethernet1/1 完成用户的接入, 属于 VLAN 1;Ethernet1/2 和 Ethernet1/3 用于应用服务器的接入, 属于 VLAN 2;Ethernet1/4 用于认证服务器的接入, 属于 VLAN 4 创建 Vlan-interface1 Vlan-interface2 和 Vlan-interface4, 并分别配置 IP 地址 ( 如图 1 所示 ), 用于实现不同 VLAN 之间报文的三层互通 <Device> system-view [Device] vlan 2 [Device-vlan2] port ethernet 1/2 [Device-vlan2] port ethernet 1/3 [Device-vlan2] vlan 4 [Device-vlan4] port ethernet 1/4 [Device-vlan4] interface vlan-interface 1 [Device-Vlan-interface1] ip address 1.1.1.10 24 [Device-Vlan-interface1] interface vlan-interface 2 [Device-Vlan-interface2] ip address 1.1.2.10 24 [Device-Vlan-interface2] interface vlan-interface 4 [Device-Vlan-interface4] ip address 3.3.3.1 24 [Device-Vlan-interface4] quit (2) 配置 AAA 认证 授权 创建 RADIUS 认证方案 newscheme, 指定认证和计费服务器的 IP 地址均为 3.3.3.3, 密钥均为 expert( 该参数需要和 CAMS 服务器上的配置保持一致 ), 认证时不需要携带域名 [Device] radius scheme newscheme New Radius scheme [Device-radius-newscheme] server-type extended [Device-radius-newscheme] primary authentication 3.3.3.3 [Device-radius-newscheme] primary accounting 3.3.3.3 [Device-radius-newscheme] key authentication expert [Device-radius-newscheme] key accounting expert [Device-radius-newscheme] user-name-format without-domain [Device-radius-newscheme] quit 配置域参数 第 7 页, 共 34 页

[Device] domain newdomain New Domain added. [Device-isp-newdomian] authentication lan-access radius-scheme newscheme [Device-isp-newdomian] authorization lan-access radius-scheme newscheme [Device-isp-newdomian] accounting lan-access radius-scheme newscheme [Device-isp-newdomian] quit 将 newdomain 设置为缺省域名 [Device] domain default enable newdomain (3) 配置 802.1x 功能 全局使能 802.1x [Device] dot1x 802.1x is enabled globally. 在接口 Ethernet1/1 上使能 802.1x [Device] interface ethernet 1/1 [Device-Ethernet1/1] dot1x 802.1x is enabled on port Ethernet1/1. [Device-Ethernet1/1] quit (4) 配置 QoS 策略 配置 QoS 策略 test1 和 test2,test1 限制上班时间不能通过代理服务器 (IP 地址为 1.1.2.220) 访问外部网站,test2 用来限制用户不能访问财务部 FTP 服务器 (IP 地址为 1.1.2.221) [Device] time-range time 08:00 to 18:00 working-day [Device] acl number 3001 [Device-acl-adv-3001] rule permit ip destination 1.1.2.220 0 time-range time [Device-acl-adv-3001] quit [Device] traffic classifier tc1 [Device-classifier-tc1] if-match acl 3001 [Device-classifier-tc1] quit [Device] traffic behavior tb1 [Device-behavior-tb1] filter deny [Device-behavior-tb1] quit [Device] qos policy test1 [Device-qospolicy-test1] classifier tc1 behavior tb1 [Device-qospolicy-test1] quit [Device] acl number 3002 [Device-acl-adv-3002] rule permit ip destination 1.1.1.221 0 [Device-acl-adv-3002] quit 第 8 页, 共 34 页

[Device] traffic classifier tc2 [Device-classifier-tc2] if-match acl 3002 [Device-classifier-tc2] quit [Device] traffic behavior tb2 [Device-behavior-tb2] filter deny [Device-behavior-tb2] quit [Device] qos policy test2 [Device-qospolicy-test2] classifier tc2 behavior tb2 [Device-qospolicy-test2] quit (5) 配置 User Profile 创建 User profile, 名称为 Finance 和 Office, 并在该 User Profile 视图下应用策略 test1 和 test2 [Device] user-profile Finance dot1x [Device-user-profile-DOT1X-Finance] qos apply policy test1 inbound [Device-user-profile-DOT1X-Finance] quit [Device] user-profile Office dot1x [Device-user-profile-DOT1X-Office] qos apply policy test2 inbound [Device-user-profile-DOT1X-Office] quit 激活 User Profile [Device] user-profile Finance enable Info: This user profile is enabled, its configuration will not be modified. [Device] user-profile Office enable Info: This user profile is enabled, its configuration will not be modified. 2. 配置文件 [Device] display current-configuration sysname Device domain default enable newdomain dot1x time-range time 08:00 to 18:00 working-day acl number 3001 rule 0 permit ip destination 1.1.2.220 0 time-range time acl number 3002 rule 0 permit ip destination 1.1.1.221 0 第 9 页, 共 34 页

vlan 1 vlan 2 vlan 4 radius scheme newscheme server-type extended primary authentication 3.3.3.3 primary accounting 3.3.3.3 key authentication expert key accounting expert user-name-format without-domain domain newdomain authentication lan-access radius-scheme newscheme authorization lan-access radius-scheme newscheme accounting lan-access radius-scheme newscheme access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable traffic classifier tc2 operator and if-match acl 3002 traffic classifier tc1 operator and if-match acl 3001 traffic behavior tb1 filter deny traffic behavior tb2 filter deny qos policy test1 classifier tc1 behavior tb1 qos policy test2 classifier tc2 behavior tb2 第 10 页, 共 34 页

user-profile Finance DOT1X qos apply policy test1 inbound user-profile Office DOT1X qos apply policy test2 inbound interface Vlan-interface1 ip address 1.1.1.10 255.255.255.0 interface Vlan-interface2 ip address 1.1.2.10 255.255.255.0 interface Vlan-interface4 ip address 3.3.3.1 255.255.255.0 interface Ethernet1/1 port link-mode bridge dot1x interface Ethernet1/2 port link-mode bridge port access vlan 2 interface Ethernet1/3 port link-mode bridge port access vlan 2 interface Ethernet1/4 port link-mode bridge port access vlan 4 user-profile Finance enable user-profile Office enable user-interface con 0 user-interface vty 0 4 return 第 11 页, 共 34 页

4.3.5 RADIUS server 的配置 1. 配置步骤 (1) 创建服务 servera 单击 CAMS 平台导航树中的 服务管理 > 服务配置 菜单项, 进入服务配置页面 单击 < 增加 > 按钮, 进入增加服务页面 设置服务名为 servera,( 为了方便记忆, 可以将 服务描述 设置为 for user profile Finance), 选中 访问权限控制 前的复选框, 并将外部组设置为 Finance( 即 User profile 的名称 ), 如图 3 所示, 单击 < 确定 > 按钮完成增加服务操作 图 3 增加服务 (2) 创建服务 serverb 配置步骤与创建服务 servera 类似, 需要将服务名设置为 serverb, 外部组填写为 Office (3) 创建用户 UserA 单击 CAMS 平台导航树中的 用户管理 > 帐户用户 菜单项, 进入帐户管理页面 第 12 页, 共 34 页

单击 < 增加 > 按钮, 进入用户开户页面 设置帐号名为 UserA, 用户密码为 aaaa, 用户姓名为 hmr, 在服务信息中选中刚增加的服务 servera, 如图 4 所示 单击 < 确认 > 按钮完成用户开户操作 图 4 用户开户 (4) 创建用户 UserB 配置步骤与创建用户 UserA 类似, 需要将用户名设置为 UserB, 用户密码设置为 bbbb, 服务信息选择 serviceb (5) 接入设备配置 单击 CAMS 平台导航树中的 系统管理 > 系统配置 菜单项, 进入系统配置页面 第 13 页, 共 34 页

图 5 系统配置 单击 接入设备配置 配置项对应的 修改 链接, 进入接入设备配置页面 单击 < 增加 > 按钮, 进入增加配置项页面 将初始 IP 地址 结束 IP 地址设置为设备与服务器相连口的 IP 地址 ( 本例中为 3.3.3.1); 共享密钥为设备上配置 RADIUS 方案中的认证密钥和计费密钥 ( 本例中为 expert); 端口列表为 CAMS 服务器上用于监听认证和计费报文的端口, 需要与设备上配置的一致 ( 本例中没有配置, 则默认为 1812 和 1813), 协议类型和 RADIUS 报文类型需要和设备上 RADIUS 方案中配置的一致, 如图 6 所示 单击 < 确定 > 按钮, 在确认操作成功后, 返回到接入设备配置页面, 再单击 < 返回 > 按钮, 返回到系统配置页面 图 6 增加配置项 第 14 页, 共 34 页

在系统配置页面中, 单击 < 立即生效 > 按钮, 使这些信息生效 4.3.6 验证结果可通过以下方式验证上述配置 : (1) 在 CAMS 的 在线用户管理 中查看是否有刚认证上网的用户 (2) UserA 用户上线后, 上班时间 (8:00~18:00) 无法访问外部网站 (3) UserB 用户上线后, 无法访问财务 FTP 服务器 5 Portal 认证方式的 5.1 组网需求 在校园网络中, 因为老师要上传 / 下载课件 网上视频教学和答疑, 所以需要优先保证老师的可用带宽资源 现要求实现 : 为了防止非本校人员盗用本校网络资源, 所有用户接入校园网时, 均需要进行 Portal 认证 ; 在园区内, 不管老师的办公地点在哪里, 只要使用 teacher 用户名登录都能获得 1Mbps 的带宽, 学生使用 student 用户名登录后才能接入校园网, 但是能够使用的最大带宽不能超过 200kbps VLAN 4 CAMS (RADIUS server /Portal server) 3.3.3.3/24 Device Vlan-int1: 1.1.1.10/24 Vlan-int4: 3.3.3.1/24 Eth1/4 Eth1/1 IP network L2 Switch VLAN 1 1.1.1.1/24 1.1.1.2/24 Host A (UserA) Host B (UserB) 图 7 Portal 认证方式的 组网图 第 15 页, 共 34 页

5.2 配置思路 在学生和老师的主机上安装 Portal 客户端, 使得用户可以通过 Portal 接入认证方式上网 ; 在 Device 上创建两个 User profile, 名称分别为 Teacher 和 Student Teacher 配置 QoS 策略 test1 用来限速为 1Mbps,Student 配置 QoS 策略 test2 用来限速为 200kbps; 使用 CAMS 作为 RADIUS 服务器, 在 RADIUS 服务器上配置两个用户 Teacher 和 Student, 然后分别关联两个 User profile Teacher 和 Student 5.3 配置步骤 说明 : 以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置 如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突 本文档不严格与具体软 硬件版本对应 5.3.1 Host A 的配置 在 PC 机上安装 H3C inode 智能管理客户端 在 inode 上创建一个新连接, 选择接入认证协议类型为 Portal, 用户名为 Teacher, 密码为 1234, 如图 8 所示 第 16 页, 共 34 页

图 8 新建连接向导 将 PC 的 IP 地址设定为 1.1.1.1, 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 5.3.2 Host B 的配置 在 PC 机上安装 H3C inode 智能管理客户端 在 inode 上创建一个新连接, 选择接入认证协议类型为 Portal, 用户名为 Student, 密码为 5678 将 PC 的 IP 地址设定为 1.1.1.2, 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 5.3.3 L2 Switch 的配置 L2 Switch 是一台二层交换机, 它作为一台普通的接入层设备, 在此组网中使用出厂配置即可 第 17 页, 共 34 页

5.3.4 Device 的配置 1. 配置步骤 (1) Ethernet1/1 完成用户的接入, 属于 VLAN 1;Ethernet1/4 用于认证服务器的接入, 属于 VLAN 4 创建 Vlan-interface1 和 Vlan-interface4, 并分别配置 IP 地址 ( 如图 7 所示 ), 用于实现不同 VLAN 之间报文的三层互通 <Device> system-view [Device] vlan 4 [Device-vlan4] port ethernet 1/4 [Device-vlan4] interface vlan-interface 1 [Device-Vlan-interface1] ip address 1.1.1.10 24 [Device-Vlan-interface2] interface vlan-interface 4 [Device-Vlan-interface4] ip address 3.3.3.1 24 [Device-Vlan-interface4] quit (2) 配置 AAA 认证参数 创建 RADIUS 认证方案 newscheme, 指定认证和计费服务器的 IP 地址均为 3.3.3.3, 密钥均为 expert( 该参数需要和 CAMS 服务器上的配置保持一致 ), 认证时不需要携带域名 [Device] radius scheme newscheme New Radius scheme [Device-radius-newscheme] server-type extended [Device-radius-newscheme] primary authentication 3.3.3.3 [Device-radius-newscheme] primary accounting 3.3.3.3 [Device-radius-newscheme] key authentication expert [Device-radius-newscheme] key accounting expert [Device-radius-newscheme] user-name-format without-domain [Device-radius-newscheme] quit 配置域参数 [Device] domain newdomain New Domain added. [Device-isp-newdomian] authentication portal radius-scheme newscheme [Device-isp-newdomian] authorization portal radius-scheme newscheme [Device-isp-newdomian] accounting portal radius-scheme newscheme [Device-isp-newdomian] quit 将 newdomain 设置为缺省域名 [Device] domain default enable newdomain (3) 配置 Portal 认证参数 第 18 页, 共 34 页

配置 Portal 认证 [Device] portal server newpt ip 3.3.3.3 key expert url http://3.3.3.3/portal 在接口 Vlan-interface1 上使能 Portal 认证 [Device] interface vlan-interface 1 [Device-Vlan-interface1] ip address 1.1.1.10 [Device-Vlan-interface1] portal server newpt method direct [Device-Vlan-interface1] quit (4) 配置 QoS 策略 配置 QoS 策略 test1 和 test2,test1 限速 1Mbps,test2 限速 200kbps [Device] traffic classifier tc1 [Device-classifier-tc1] if-match any [Device-classifier-tc1] quit [Device] traffic behavior tb1 [Device-behavior-tb1] car cir 1000 [Device-behavior-tb1] quit [Device] qos policy test1 [Device-qospolicy-test1] classifier tc1 behavior tb1 [Device-qospolicy-test1] quit [Device] traffic classifier tc2 [Device-classifier-tc2] if-match any [Device-classifier-tc2] quit [Device] traffic behavior tb2 [Device-behavior-tb2] car cir 200 [Device-behavior-tb2] quit [Device] qos policy test2 [Device-qospolicy-test2] classifier tc2 behavior tb2 [Device-qospolicy-test2] quit (5) 配置 User profile 创建 User profile, 名称为 Teacher 和 Student, 并在该 User Profile 视图下应用策略 test1 和 test2 [Device] user-profile Teacher portal [Device-user-profile-PORTAL-Teacher] qos apply policy test1 inbound [Device-user-profile-PORTAL-Teacher] quit [Device] user-profile Student portal [Device-user-profile-PORTAL-Student] qos apply policy test2 inbound [Device-user-profile-PORTAL-Student] quit 激活 User Profile 第 19 页, 共 34 页

[Device] user-profile Teacher enable Info: This user profile is enabled, its configuration will not be modified. [Device] user-profile Student enable Info: This user profile is enabled, its configuration will not be modified. 2. 配置文件 [Device] display current-configuration sysname Device domain default enable newdomain portal server newpt ip 3.3.3.3 key expert url http://3.3.3.3/portal vlan 1 vlan 4 radius scheme newscheme server-type extended primary authentication 3.3.3.3 primary accounting 3.3.3.3 key authentication expert key accounting expert user-name-format without-domain domain newdomain authentication portal radius-scheme newscheme authorization portal radius-scheme newscheme accounting portal radius-scheme newscheme access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable traffic classifier tc2 operator and if-match any 第 20 页, 共 34 页

traffic classifier tc1 operator and if-match any traffic behavior tb1 car cir 1000 cbs 62500 ebs 0 green pass red discard traffic behavior tb2 car cir 200 cbs 12500 ebs 0 green pass red discard qos policy test1 classifier tc1 behavior tb1 qos policy test2 classifier tc2 behavior tb2 user-profile Teacher PORTAL qos apply policy test1 inbound user-profile Student PORTAL qos apply policy test2 inbound interface Vlan-interface1 ip address 1.1.1.10 255.255.255.0 portal server newpt method direct interface Vlan-interface4 ip address 3.3.3.1 255.255.255.0 interface Ethernet1/4 port link-mode bridge port access vlan 4 user-profile Student enable user-profile Teacher enable return 5.3.5 RADIUS server 的配置 1. 配置步骤 (1) 创建服务 forteacher, 具体配置步骤请参见 4.3.5 1. (1), 将关联的 User Profile 设置为 Teacher (2) 创建服务 forstudent, 具体配置步骤请参见 4.3.5 1. (1), 将关联的 User Profile 设置为 Student 第 21 页, 共 34 页

(3) 创建用户 Teacher, 具体配置步骤请参见 4.3.5 1. (3), 将用户名设置为 Teacher, 密码设置为 1234, 相关联的服务信息选择 forteacher (4) 创建用户 Student, 具体配置步骤请参见 4.3.5 1. (3), 将用户名设置为 Student, 密码设置为 5678, 相关联的服务信息选择 forstudent (5) 接入设备配置, 具体配置步骤请参见 4.3.5 1. (5), 将 初始 IP 地址 结束 IP 地址 设置为 3.3.3.1 (6) Portal 组件配置 单击 CAMS 平台导航树中的 组件管理 > PORTAL 组件 > 服务器信息 菜单项, 进入 PORTAL 服务器信息维护页面 在页面填入 PORTAL Server 的相关参数, 如图 9 所示 单击 < 确定 > 按钮进行确认 图 9 PORTAL 服务器信息维护 单击 CAMS 平台导航树中的 组件管理 > PORTAL 组件 > 设备信息 菜单项, 进入设备信息管理页面 单击 < 增加 > 按钮, 进入增加设备信息页面 将 IP 地址配置为 Device 与 RADIUS server 相连接口的 IP 地址 ( 本例中为 3.3.3.1), 版本号选择 Portal 2.0( 与 Device 上运行的 Portal 版本一致 ), 密码设置为 expert( 与在 Device 上配置的 portal server 命令中的 key 参数保持一致 ), 如图 10 所示 单击 < 增加 > 按钮, 在确认操作成功后, 返回到设备信息管理页面 第 22 页, 共 34 页

图 10 增加设备信息 单击 CAMS 平台导航树中的 组件管理 > PORTAL 组件 > IP 地址组 菜单项, 进入 IP 地址组管理页面 单击 < 增加 > 按钮, 进入增加 IP 地址组页面 将起始地址和终止地址填用户终端的 IP 地址, 本举例中为 1.1.1.1 和 1.1.1.2, 单击 < 增加 > 按钮, 在确认操作成功后, 返回到 IP 地址组管理页面 图 11 增加 IP 地址组 单击 CAMS 平台导航树中的 组件管理 > PORTAL 组件 > 设备信息 菜单项, 进入设备信息管理页面 单击 Device 对应的 端口信息管理 链接, 如图 12 所示, 进入增加设备端口组页面 将 IP 地址组设置为刚创建的 HostAandHostB, 如图 13 所示 单击 < 增加 > 按钮, 在确认操作成功后, 返回到设备信息管理页面 第 23 页, 共 34 页

图 12 设备信息管理 图 13 增加设备端口组 最后单击 CAMS 平台导航树中的 组件管理 > PORTAL 组件 > 配置生效 菜单项, 使以上配置生效 5.3.6 验证结果可通过以下方式验证上述配置 : (1) 任何需要接入校园网的用户都需要通过 Portal 认证 (2) 用户使用 Teacher 用户名上线后, 可使用的最大带宽为 1Mbps (3) 用户使用 Student 用户名上线后, 可使用的最大带宽为 200kbps 第 24 页, 共 34 页

6 PPPoE 认证方式的 6.1 组网需求 接入网络使用 PPPoE 认证方式, 网络中同时存在 UserA 和 UserB, 其中 UserA 为 VIP 用户,UserB 为普通用户 现需要为他们提供区分服务, 当网络出现拥塞时, UserA 和 UserB 同时访问数据库 (DB), 优先为 UserA 传输数据, 以减少 UserA 的等待时间 UserA 同时访问 DB 和访问 WEB 网站, 因为传输数据占用的带宽较大而且时间较长, 所以, 要求优先处理与 WEB 网站之间的报文 DB VLAN 2 VLAN 4 CAMS (RADIUS server) 3.3.3.3/24 Eth1/4 Eth1/1 L2 Switch 1.1.2.222/24 Eth1/5 VLAN 1 IP network Device Vlan-int1: 1.1.1.10/24 Vlan-int2: 1.1.2.10/24 Vlan-int4: 3.3.3.1/24 1.1.1.1/24 1.1.1.2/24 Host A (UserA) Host B (UserB) 图 14 Portal 认证方式的 组网图 6.2 配置思路 在 CAMS 服务器上配置两个用户 UserA 和 UserB, 然后分别关联两个 User profile VIP 和 normal VIP 配置 QoS 策略 test1 使得 UserA 访问 WEB 网站报文的本地优先级最高为 6,UserA 访问 DB 的响应报文的本地优先级次高为 5,normal 配置 QoS 策略 test2 使得 UserB 访问 DB 的响应报文的本地优先级为 4 第 25 页, 共 34 页

通过 SP 队列来保证当网络拥塞时, 最先处理 UserA 与 WEB 网站间的交互报文, 再处理 UserA 与 DB 间的交互报文, 最后处理 UserB 与 DB 间的交互报文 在 Device 的接口 Ethernet1/1 上使能 PPPoE 认证, 之后 Host A 使用用户名 UserA 认证上线,Host B 使用用户名 UserB 认证上线 6.3 配置步骤 说明 : 以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置 如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突 本文档不严格与具体软 硬件版本对应 6.3.1 Host A 的配置 使用 Windows 系统的网络连接功能新建一个 PPPoE 连接 使用 < 开始 > 菜单打开 < 控制面板 >, 双击 < 网络连接 > 服务, 使用 创建一个新的连接功能 新建一个 PPPoE 连接 打开新建连接向导, 单击 < 下一步 > 按钮 网络连接类型窗口选择为 连接到 Internet(C), 单击 < 下一步 > 按钮 准备好窗口选择 手动设置我的连接 (M), 单击 < 下一步 > 按钮 Internet 连接窗口选择 用要求用户名和密码的宽带连接来连接 (U), 单击 < 下一步 > 按钮 在连接名窗口输入 ISP 名称, 单击 < 下一步 > 按钮 在可用连接窗口选择 只是我使用, 单击 < 下一步 > 按钮 在 Internet 帐户信息窗口, 输入用户名 UserA, 密码为 123, 单击 < 下一步 > 按钮 第 26 页, 共 34 页

图 15 新建连接向导 最后单击 < 完成 > 按钮, 完成连接创建操作 之后用户通过下面的窗口就可以连接上网了 第 27 页, 共 34 页

图 16 连接 将 PC 的 IP 地址设定为 1.1.1.1, 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 6.3.2 Host B 的配置 配置步骤请参见 6.3.1, 只需在用户名处输入 UserB, 密码处输入 456 PC 的 IP 地址设定为 1.1.1.2, 子网掩码设定为 255.255.255.0, 缺省网关的 IP 地址为 1.1.1.10/24 6.3.3 L2 Switch 的配置 L2 Switch 是一台二层交换机, 它作为一台普通的接入层设备, 在此组网中使用出厂配置即可 6.3.4 Device 的配置 1. 配置步骤 (1) Ethernet1/1 完成用户的接入, 属于 VLAN 1;Ethernet1/5 用于数据库 (DB) 的接入, 属于 VLAN 2;Ethernet1/4 用于认证服务器的接入, 属于 VLAN 4 第 28 页, 共 34 页

创建 Vlan-interface1 Vlan-interface2 和 Vlan-interface4, 并分别配置 IP 地址 ( 如图 14 所示 ), 用于实现不同 VLAN 之间报文的三层互通 <Device> system-view [Device] vlan 2 [Device-vlan2] port ethernet 1/5 [Device] vlan 4 [Device-vlan4] port ethernet 1/4 [Device-vlan4] interface vlan-interface 1 [Device-Vlan-interface1] ip address 1.1.1.10 24 [Device-Vlan-interface1] interface vlan-interface 2 [Device-Vlan-interface2] ip address 1.1.2.10 24 [Device-Vlan-interface2] interface vlan-interface 4 [Device-Vlan-interface4] ip address 3.3.3.1 24 [Device-Vlan-interface4] quit (2) 配置 AAA 认证参数 配置 RADIUS 认证方案参数, 指定认证和计费服务器的 IP 地址均为 3.3.3.3, 密钥均为 expert( 该参数需要和 CAMS 服务器上的配置保持一致 ), 认证时不需要挟带域名 [Device] radius scheme newscheme New Radius scheme [Device-radius-newscheme] server-type extended [Device-radius-newscheme] primary authentication 3.3.3.3 [Device-radius-newscheme] primary accounting 3.3.3.3 [Device-radius-newscheme] key authentication expert [Device-radius-newscheme] key accounting expert [Device-radius-newscheme] user-name-format without-domain [Device-radius-newscheme] quit 配置域参数 [Device] domain newdomain New Domain added. [Device-isp-newdomian] authentication ppp radius-scheme newscheme [Device-isp-newdomian] authorization ppp radius-scheme newscheme [Device-isp-newdomian] accounting ppp radius-scheme newscheme [Device-isp-newdomian] quit [Device] domain default enable newdomain (3) 配置 PPPoE 功能 创建一个 VT 口, 配置它的认证方式为 CHAP,IP 地址为 1.1.1.10 [Device] interface virtual-template 1 [Device-Virtual-Template1] ppp authentication-mode chap 第 29 页, 共 34 页

[Device-Virtual-Template1] quit 在接口 Vlan-interface1 上使能 PPPoE server 功能, 并绑定 VT 口 [Device] interface vlan-interface 1 [Device-Vlan-interface1] pppoe-server bind virtual-template 1 [Device-Vlan-interface1] quit (4) 配置 QoS 策略 配置 QoS 策略 test0 test1 和 test2, 使得 VIP 访问 WEB 服务器报文的本地优先级设为 6, 访问 DB 报文的本地优先级设为 5,normal 访问 DB 报文的本地优先级设为 4 [Device] acl number 3000 [Device-acl-adv-3000] rule permit tcp destination-port eq 80 [Device-acl-adv-3000] quit [Device] traffic classifier tc0 [Device-classifier-tc0] if-match acl 3000 [Device-classifier-tc0] quit [Device] traffic behavior tb0 [Device-behavior-tb0] remark local-precedence 6 [Device-behavior-tb0] quit [Device] acl number 3001 [Device-acl-adv-3001] rule permit ip source 1.1.2.222 0 [Device-acl-adv-3001] quit [Device] traffic classifier tc1 [Device-classifier-tc1] if-match acl 3001 [Device-classifier-tc1] quit [Device] traffic behavior tb1 [Device-behavior-tb1] remark local-precedence 5 [Device-behavior-tb1] quit [Device] qos policy test1 [Device-qospolicy-test1] classifier tc0 behavior tb0 [Device-qospolicy-test1] classifier tc1 behavior tb1 [Device-qospolicy-test1] quit [Device] traffic behavior tb2 [Device-behavior-tb2] remark local-precedence 4 [Device-behavior-tb2] quit [Device] qos policy test2 [Device-qospolicy-test2] classifier tc1 behavior tb2 [Device-qospolicy-test2] quit (5) 将 QoS 策略 test1 和 test2 应用于 User profile 创建 User profile, 名称为 VIP 和 normal, 并在该 User Profile 视图下应用策略 test1 第 30 页, 共 34 页

和 test2 [Device] user-profile VIP PPP [Device-user-profile-PPP-VIP] qos apply policy test1 inbound [Device-user-profile-PPP-VIP] quit [Device] user-profile normal PPP [Device-user-profile-PPP-normal] qos apply policy test2 inbound [Device-user-profile-PPP-normal] quit 激活 User Profile [Device] user-profile VIP enable Info: This user profile is enabled, its configuration will not be modified. [Device] user-profile normal enable Info: This user profile is enabled, its configuration will not be modified. (6) 配置绝对优先队列 通过报文优先级来保证当网络拥塞时, 优先处理 UserA 的 HTTP 流量, 再处理 UserA 与 DB 之间的流量, 最后处理 UserB 和 DB 之间的流量 [Device] interface ethernet 1/1 [Device-Ethernet1/1] qos sp 2. 配置文件 [Device-Ethernet1/1] display current-configuration sysname Device domain default enable newdomain acl number 3000 rule 0 permit tcp destination-port eq www acl number 3001 rule 0 permit ip source 1.1.2.222 0 vlan 1 vlan 2 vlan 4 radius scheme newscheme server-type extended primary authentication 3.3.3.3 primary accounting 3.3.3.3 第 31 页, 共 34 页

key authentication expert key accounting expert user-name-format without-domain domain newdomain authentication ppp radius-scheme newscheme authorization ppp radius-scheme newscheme accounting ppp radius-scheme newscheme access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable traffic classifier tc0 operator and if-match acl 3000 traffic classifier tc1 operator and if-match acl 3001 traffic behavior tb1 remark local-precedence 5 traffic behavior tb0 remark local-precedence 6 traffic behavior tb2 remark local-precedence 4 qos policy test1 classifier tc0 behavior tb0 classifier tc1 behavior tb1 qos policy test2 classifier tc1 behavior tb2 user-profile VIP PPP user-profile normal PPP interface Virtual-Template1 ppp authentication-mode chap 第 32 页, 共 34 页

interface Vlan-interface1 pppoe-server bind Virtual-Template 1 ip address 1.1.1.10 255.255.255.0 interface Vlan-interface2 ip address 1.1.2.10 255.255.255.0 interface Vlan-interface4 ip address 3.3.3.1 255.255.255.0 interface Ethernet1/1 port link-mode bridge qos sp interface Ethernet1/4 port link-mode bridge port access vlan 4 interface Ethernet1/5 port link-mode bridge port access vlan 2 user-profile VIP enable user-profile normal enable return 6.3.5 RADIUS server 的配置 1. 配置步骤 (1) 创建服务 forvip, 具体配置步骤请参见 4.3.5 1. (1), 将关联的 User Profile 设置为 VIP (2) 创建服务 fornormal, 具体配置步骤请参见 4.3.5 1. (1), 将关联的 User Profile 设置为 normal (3) 创建用户 UserA, 具体配置步骤请参见 4.3.5 1. (3), 将用户名设置为 UserA, 密码设置为 123, 相关联的服务信息选择 forvip (4) 创建用户 UserB, 具体配置步骤请参见 4.3.5 1. (3), 将用户名设置为 UserB, 密码设置为 456, 相关联的服务信息选择 fornormal (5) 接入设备配置, 具体配置步骤请参见 4.3.5 1. (5), 将 初始 IP 地址 结束 IP 地址 设置为 3.3.3.1 第 33 页, 共 34 页

6.3.6 验证结果可通过以下方式验证上述配置 : (1) UserA 和 UserB 必须通过 PPPoE 认证之后才能使用网络资源 (2) 在网络拥塞时,UserA 和 UserB 同时访问 DB 的话,UserA 会先获取到想要的数据 (3) UserA 在访问 DB 时, 即便网络发生拥塞,UserA 对 WEB 网站的访问也不会受到大数据量文件传输的影响 Copyright 2008 版权所有, 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不得以任何形式传播 本文档中的信息可能变动, 恕不另行通知 第 34 页, 共 34 页