问题现象
某无线局点,对于同一SSID连上来的用户做Portal认证,并且希望能对不同认证域的用户限制不同的上网速率,通过IMC下发user-profile属性,从设备上查看user-profile属性已经下发成功,但是实际终端测试发现限速并没有生效。
告警信息
无
原因分析
1.首先查看服务器端和设备端的配置
#配置Radius方案
radius scheme imc
primary authentication 10.70.0.2
primary accounting 10.70.0.2
key authentication cipher $c$3$hd4ZZNunUM7J0WyQTAQPbjcSqp9p+QjT8aheWk4=
key accounting cipher $c$3$lNzDqkDUsRNbthbm3B+lwr6DcrPizZlBf6vvW9E=
nas-ip 10.20.88.2
#配置ISP域的AAA认证
domain teacher
authorization-attribute user-profile xiansu
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
# 配置服务模板
wlan service-template 1
ssid QZYGZ
akm mode psk
preshared-key pass-phrase cipher $c$3$TzteNhAhTHdAMFnd8y+mHUHJeju3wyVEiSzj
cipher-suite ccmp
security-ie rsn
service-template enable
#//接口启用portal
interface Vlan-interface3050
ip address 10.50.0.2 255.255.224.0
portal enable method direct
portal bas-ip 10.20.88.2
portal apply web-server imc
#
#配置所下发的user-profile
user-profile xiansu
qos car inbound any cir 100 cbs 1000
qos car outbound any cir 100 cbs 1000
#
2.在设备上查看上线用户的具体情况,发现上线的客户端已经获取到了user-profile xiansu属性,并且状态已经是active,但是终端测速依然很大。
Total portal users: 1
Username: user1@teacher
Portal server: imc
State: Online
VPN instance: N/A
MAC IP VLAN Interface
e84e-063c-123d 10.50.0.68 3050 Vlan-interface3050
Authorization information:
DHCP IP pool: N/A
User profile: xiansu (active)
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
3.让现场工程师换一种方式测试,用以下方式限速,发现还是不生效。
操作命令说明
进入系统视图system-view-
进入User Profile视图user-profile profile-name进入User Profile视图后,下面的配置只有在下发驱动成功后才生效
在User Profile下应用QoS策略qos apply policy policy-name { inbound | outbound }inbound是对设备接收的上线用户流量(即上线用户发送的流量)应用策略;outbound是对设备的上线用户流量(即上线用户接收的流量)应用策略
4.原先在接口下启用portal,后改为服务模板启用portal测试,发现限速生效。
解决办法
在服务模板启用portal生效
建议与总结
1.V7 AC启用Portal认证下发限速(user-profile限速),基于单用户限速策略,需要在服务模板下调用才能生效。
2.当服务器下发了user-profile之后,服务器下发的user-profile优先级高于AC上下发的user-profile。