一、组网:
1.配置环境参数:
一台PC作为用户,从交换机的GigabitEthernet1/0/1端口接入,交换机与AAA服务器相连。
2.产品版本信息:
S5600系列交换机采用Release 1508以后的版本。
3.组网要求:
1)交换机对接入的用户实现QoS profile功能;
2)用户名为someone,认证密码为hello,属于***.***域;
3)对应的QoS profile为example,包括匹配ACL的数据限制带宽为128k,重新标记DSCP优先级为46。
二、组网图:
三、配置步骤:
Switch相关配置:
在AAA服务器上配置用户的认证信息、用户名和QoS profile的对应关系,这里不进行详细描述。以下配置,只列出了与Qos Profile相关的命令。
1. 启动802.1x
[Switch] dot1x
2 开启gigabitethernet 1/0/1端口的802.1x特性
[Switch] dot1x interface gigabitethernet 1/0/1
3. 创建RADIUS方案并进入其视图
[Switch] radius scheme radius1
4. 设置主RADIUS认证/授权服务器的IP地址和端口号
[Switch-radius-radius1] primary authentication 10.11.1.1
5. 设置主RADIUS计费服务器的IP地址和端口号
[Switch-radius-radius1] primary accounting 10.11.1.2
6. 设置备份RADIUS认证/授权服务器的IP地址和端口号
[Switch-radius-radius1] secondary authentication 10.11.1.2
7. 设置备份RADIUS计费服务器的IP地址和端口号
[Switch-radius-radius1] secondary accounting 10.11.1.1
8. 设置交换机与认证RADIUS服务器交互报文时的加密密码
[Switch -radius-radius1] key authentication name
9. 设置交换机与计费RADIUS服务器交互报文时的加密密码
[Switch-radius-radius1] key accounting money
10. 指示交换机从用户名中去除用户域名后再将之传给RADIUS服务器。
[Switch-radius-radius1] user-name-format without-domain
11. 退出到系统视图
[Switch-radius-radius1] quit
12. 创建(进入)用户域***.***
[Switch] domain ***.***
13. 指定radius1为该域用户的RADIUS服务器组
[Switch-isp-***.***] radius-scheme radius1
14. 退出到系统视图
[Switch-isp-***.***] quit
15. 进入3000号的高级访问控制列表视图
[Switch] acl number 3000
16. 定义访问规则
[Switch-acl-adv-3000] rule 1 permit ip destination any
17. 退出到系统视图
[Switch-acl-adv-3000] quit
18. 创建(进入)QoS profile视图
[Switch] qos-profile example
19. 添加流量监管,限制带宽为128k
[Switch-qos-profile-example] traffic-limit inbound ip-group 3000 128 exceed drop
20. 添加优先级标记操作,标记DSCP优先级为46
[Switch-qos-profile-example] traffic-priority inbound ip-group 3000 dscp 46
四、配置关键点:1. 用户需要首先进入QoS profile视图,然后进行QoS profile配置。
2. 如果802.1x配置为基于MAC地址认证,必须配置QoS profile的应用模式为基于用户的模式。
3. 如果802.1x配置为基于端口认证,必须配置QoS profile的应用模式为基于端口的模式。
4. 本案例还适用于H3C S3600、H3C S5600、Quidway S5500系列交换机。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作