S2000-EA系列交换机QoS Profile功能的配置

S2000-EA系列交换机QoS Profile功能的配置

 

一、  组网需求：

某公司内部通过交换机实现各部门之间的互连，并且通过802.1x协议对用户进行身份验证，控制用户访问网络资源。某个接入用户的用户名为someone，认证密码为hello，从交换机的Ethernet 1/0/1端口接入，用户属于***.***域。

要求配置QoS Profile，将用户someone向外发送的报文的速率限制为128Kbps，丢弃超出限制的报文。

二、  组网图：

三、  配置步骤：

(1)  AAA服务器上的配置

在AAA服务器上配置用户的认证信息、用户名和QoS Profile的对应关系，具体配置请参见AAA服务器的指导书。

(2)  Switch上的配置

# 配置RADIUS服务器的IP地址信息。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.11.1.1

[Sysname-radius-radius1] primary accounting 10.11.1.2

[Sysname-radius-radius1] secondary authentication 10.11.1.2

[Sysname-radius-radius1] secondary accounting 10.11.1.1

# 设置交换机与认证和计费RADIUS服务器交互报文时的加密密码。

[Sysname-radius-radius1] key authentication money

[Sysname-radius-radius1] key accounting money

# 指示交换机从用户名中去除用户域名后再将之传给RADIUS服务器。

[Sysname-radius-radius1] user-name-format without-domain

[Sysname-radius-radius1] quit

# 创建用户域***.***，指定radius1为该域用户的RADIUS服务器组。

[Sysname] domain ***.***

[Sysname-isp-***.***] radius-scheme radius1

[Sysname-isp-***.***] quit

# 定义高级ACL 3000，分类规则为匹配目的为任意IP地址的IP报文。

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule 1 permit ip destination any

[Sysname-acl-adv-3000] quit

# 定义QoS Profile，将匹配流分类规则的报文的速率限制为128Kbps，丢弃超出限制的报文。

[Sysname] qos-profile example

[Sysname-qos-profile-example] traffic-limit inbound ip-group 3000 128 exceed drop

# 启动802.1x

[Sysname] dot1x

[Sysname] dot1x interface Ethernet 1/0/1

完成以上配置后，用户someone通过认证后将会自动应用example。

四、  配置关键点：

无