• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

WX系列AC实现QoS Profile功能的配置

2011-12-01 发表
  • 0关注
  • 0收藏 1848浏览
粉丝: 关注:

WX系列AC实现QoS Profile功能的配置

一、 组网需求:

WX系列ACFIT AP、交换机、便携机(安装有无线网卡)、Radius服务器(H3C iMC

二、 组网图:

本配置举例中AC使用的是WX5002IP地址是13.0.0.200/24AP使用的是WA2200系列无线局域网接入点设备,IP地址从DHCP上动态获得,AC作为DHCP服务器,APAC是二层组网。

AP的配置请根据具体的AP和序列号进行配置。

Radius serverIP地址为162.105.34.20/24,网关是162.105.34.254/24,与无线网络是三层组网。Client上线后通过DHCP服务器获取IP地址,与ACAP在相同的网段。PC的地址是13.0.0.21/24。交换机Switch上有两个VLAN,与AC连接的VLAN接口地址13.0.0.254/24,与服务器相连的VLAN接口地址是162.105.34.254/24。整个网络路由可达。

三、 特性介绍:

User Profile(用户配置文件)提供一个配置模板,能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为User Profile配置不同的内容,比如CARCommitted Access Rate,承诺访问速率)策略和QoSQuality of Service,服务质量)策略等。

用户访问设备时,需要先进行身份认证。在认证过程中,认证服务器会将User Profile名称下发给设备,设备会立即启用User Profile里配置的具体内容。当用户通过认证访问设备时,设备将通过这些具体内容限制用户的访问行为。当用户下线时,系统会自动禁用User Profile下的配置项,从而取消User Profile对用户的限定。因此,User Profile适用于限制上线用户的访问行为,没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时,User Profile是预设配置,并不生效。

使用User Profile之后,可以更精确地利用系统资源。比如,使用User Profile之前,只能基于接口/VLAN/全局等应用QoS策略,这个QoS策略限制的是一群用户;使用User Profile之后,可以基于用户应用QoS策略,这个QoS策略针对的是单个用户。

使用User Profile之后,也可以更灵活地限制用户访问系统资源。比如,使用User Profile之前,只能基于CAR列表/ACL或者对当前接口的所有流进行流量监管,当用户的物理位置移动时(比如从另一个接口接入),则需要在另外的接口配置流量监管功能;使用User Profile之后,可以基于用户进行流量监管,只要用户上线,认证服务器会自动下发相应的User Profile(配置了CAR策略),当用户下线,系统会自动取消相应的配置,不需要再进行手工调整。

四、 配置信息:

#

 sysname H3C

#

domain default enable imc

#

 port-security enable

#

dot1x authentication-method eap

#

 undo l2fw fast-forwarding

#

acl number 3001

 rule 0 permit ip source 13.0.0.0 0.0.0.255

#

vlan 1

#

radius scheme for-imc

 server-type extended

 primary authentication 162.105.34.21

 primary accounting 162.105.34.21

 key authentication admin

 key accounting admin

 timer realtime-accounting 3

 undo stop-accounting-buffer enable

 accounting-on enable

#

domain imc

 authentication lan-access radius-scheme for-imc

 authorization lan-access radius-scheme for-imc

 accounting lan-access radius-scheme for-imc

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

traffic classifier ipv4 operator and

 if-match acl 3001

#

traffic behavior ipv4

 filter permit

car cir 500 cbs 31250 ebs 0 green pass red discard

#

qos policy ipv4

 classifier ipv4 behavior ipv4

#

dhcp server ip-pool imc

 network 13.0.0.0 mask 255.255.255.0

#

user-group system

#

wlan rrm

 dot11a mandatory-rate 6 12 24

 dot11a supported-rate 9 18 36 48 54

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan service-template 1 crypto

 ssid admin-crypto

 bind WLAN-ESS 1

 cipher-suite ccmp

 security-ie rsn

 service-template enable

#

user-profile c DOT1X

 qos apply policy ipv4 inbound

#

interface NULL0

#

interface Vlan-interface1

 ip address 13.0.0.200 255.255.255.0

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface M-Ethernet1/0/1

#

interface WLAN-ESS1

 port-security port-mode userlogin-secure-ext

 port-security tx-key-type 11key

 undo dot1x handshake

 undo dot1x multicast-trigger

#

wlan ap 2200 model WA2220E-AG

 serial-id h3c-fitap-test-1

 radio 1

 radio 2

  channel 10

  service-template 1

  radio enable

#

 ip route-static 0.0.0.0 0.0.0.0 13.0.0.254

#

 dhcp enable

#

 user-profile c enable

#

 load xml-configuration

#

user-interface aux 0

user-interface vty 0 4

#

return

 

五、 主要配置步骤:

配置WX无线控制器(Dot1x接入端):

# 启用端口安全Port-security,配置Dot1x认证方式为EAP

[AC] port-security enable

[AC] dot1x authentication-method eap

# 关闭二层快转。

[AC] undo l2fw fast-forwarding

# 配置DHCP服务器。

[AC] dhcp  enable

[AC] dhcp server ip-pool imc

[AC-dhcp-pool-imc] network 13.0.0.0 24

# 配置radius scheme

[AC] radius scheme for-imc

[AC-radius-for-imc] server-type extended

[AC-radius-for-imc] primary authentication 162.105.34.20 

[AC-radius-for-imc] primary accounting 162.105.34.20

[AC-radius-for-imc] key authentication admin

[AC-radius-for-imc] key accounting admin 

[AC-radius-for-imc] timer realtime-accounting 3

[AC-radius-for-imc] undo stop-accounting-buffer enable 

[AC-radius-for-imc] accounting-on enable

[AC-radius-for-imc] quit

# 配置认证域。

[AC] domain imc 

[AC-isp-imc] authentication lan-access radius-scheme for-imc

[AC-isp-imc] authorization lan-access radius-scheme for-imc 

[AC-isp-imc] accounting lan-access radius-scheme for-imc 

[AC-isp-imc] quit

# 把配置的认证域imc设置为系统缺省域。

[AC] domain default enable imc

# 配置ACL

[AC] acl number 3001

[AC-acl-adv-3001] rule 0 permit ip source 13.0.0.0 0.0.0.255

[AC-acl-adv-3001] quit

# 配置Qos Policy

[AC] traffic classifier ipv4

[AC-classifier-ipv4] if-match acl 3001

[AC-classifier-ipv4] quit

[AC] traffic behavior ipv4

[AC-behavior-ipv4] filter permit

[AC-behavior-ipv4] car cir 500

[AC-behavior-ipv4] quit

[AC] qos policy ipv4

[AC-qospolicy-ipv4] classifier ipv4 behavior ipv4

[AC-qospolicy-ipv4] quit

# 配置Qos Profile

[AC] user-profile c DOT1X

[AC-user-profile-DOT1X-c] qos apply policy ipv4 inbound

[AC-user-profile-DOT1X-c] quit

[AC] user-profile c enable

# 配置无线服务模板。

[AC] wlan service-template 1 crypto

[AC-wlan-st-1] ssid admin-crypto

[AC-wlan-st-1] bind WLAN-ESS 1

[AC-wlan-st-1] cipher-suite ccmp

[AC-wlan-st-1] security-ie rsn

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] quit

# 配置无线口,并在无线口启用端口安全(802.1x认证)。

[AC-WLAN-ESS1] interface WLAN-ESS1

[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext

[AC-WLAN-ESS1] port-security tx-key-type 11key

[AC-WLAN-ESS1] undo dot1x handshake

[AC-WLAN-ESS1] undo dot1x multicast-trigger

# 使能无线模板。

[AC] wlan service-template 1

[AC-wlan-st-1] service-template enable

# 配置AP并绑定无线服务模板。

[AC] wlan ap 2200 model WA2220E-AG

[AC-wlan-ap-2200] radio 2 type dot11g

[AC-wlan-ap-2200] serial-id h3c-fitap-test-1

[AC-wlan-ap-2200-radio-2] channel 10

[AC-wlan-ap-2200-radio-2] service-template 1

[AC-wlan-ap-2200-radio-2] radio enable 

[AC-wlan-ap-2200-radio-2] quit

[AC-wlan-ap-2200] quit

# 配置VLAN虚接口。

[AC] interface Vlan-interface1

[AC-Vlan-interface1] ip address 13.0.0.200 255.255.255.0

# 配置缺省路由。

[AC-Vlan-interface1] ip route-static 0.0.0.0 0.0.0.0 13.0.0.254

配置Radius服务器(iMC):

# iMC上配置Dot1x认证项(iMC版本:用户接入管理组建3.20-E0401L04)如下。

# 接入设备配置,如下。

# 配置服务配置,如下。

# 配置帐号用户,如下。

 

# 立即生效,如下。

 

六、 结果验证:

1Client连接SSID,输入用户名和密码,上线成功。

2、使用display connection查看Dot1x用户,是否用户在线。查看连接的详细信息,确认Qos-Profile已经正确下发。

display connection ucibindex 957

Index=957 , Username=test@imc

MAC=0016-011a-3d8a

IP=N/A

Access=8021X   ,AuthMethod=EAP

Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:3

Initial VLAN=1, Authorization VLAN=N/A

ACL Group=Disable

User Profile=c

CAR=Disable

Priority=Disable

Start=2008-11-03 11:30:52, Current=2008-11-03 11:32:05, Online=00h01m12s

 Total 1 connection matched.

3、在iMC上查看用户是否在线。

4、从ClientPing Radius服务器(iMC)成功。

5、使用display acl 3001查看报文匹配ACL

display acl 3001

Advanced ACL  3001, named -none-, 1 rule,

ACL's step is 5

 rule 0 permit ip source 13.0.0.0 0.0.0.25 (4 times matched)

6、使用chariot打入单向流量,源是Client,目的是PC,平均流量在被限制在设定带宽之内。

七、 注意事项:

1、一定要在WX5002设备上关闭二层快转。

2、注意验证时的流量方向一定要与Qos Profile中配置的流量方向一致。

 

 


若您有关于案例的建议,请反馈:

作者在2019-06-12对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作