选择区域语言: EN CN HK

H3C MSR 系列路由器 Web配置指导(V5)-R2511P07-V1.07

19-群组管理

本章节下载  (1.19 MB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_900/Configure/User_Manual/H3C_MSR_Web(V5)-R2511P07-V1.07/201412/849590_30005_0.htm

19-群组管理


1 群组管理

Web页面提供的群组管理功能如下:

·     配置用户组

·     配置用户

·     配置接入控制

·     配置应用控制

·     配置带宽管理

·     配置包过滤

·     新增WAN口同步群组的配置

1.1  概述

群组管理是指,将局域网中待管理的主机定义为用户,又将用户划分到不同的用户组中,基于用户组对局域网中的主机进行各种业务管理,包括设置接入控制、应用控制、带宽管理和包过滤功能。

·     接入控制:是指对用户组中用户访问网络的时段进行控制。对某用户组配置了接入控制功能后,指定时段期间来自该用户组的报文将被丢弃。

·     应用控制:是指根据应用程序或协议的特点,限制用户组中用户对Internet上对某些应用程序或协议的使用。应用控制也可以对所有用户进行限制,详细介绍请参见“Web配置指导  安全配置”中的“应用控制”。

·     带宽管理:是指对用户组中用户访问网络所占用的流量进行控制。随着互联网应用的普及,如果不限制用户发送的流量,大量用户不断突发的数据会使网络越来越拥挤。为了使有限的网络资源能够更好地发挥效用,更好地为更多用户服务,必须对用户的流量加以限制。带宽管理采用令牌桶(Token Bucket)对流量的规格进行评估,对不符合规格的报文进行丢弃,从而达到限制带宽的目的。

·     包过滤:是指对报文中的内容进行控制的功能,包括IP承载的协议类型、目的IP地址、源端口和目的端口。对某用户组配置了包过滤功能后,来自该用户组的匹配包过滤规则的报文将被丢弃。

1.2  配置群组管理

1.2.1  配置概述

群组配置的推荐步骤如表1-1所示。

表1-1 群组配置步骤

步骤

配置任务

说明

1

1.2.2  配置用户组

必选

缺省情况下,不存在任何用户组

2

1.2.3  配置用户

必选

为用户组配置用户成员

缺省情况下,用户组中不存在任何用户

3

1.2.4  配置接入控制

四者至少选其一

为用户组配置接入控制、应用控制、带宽管理或包过滤业务

缺省情况下,用户组未配置任何业务

4

1.2.5  配置应用控制

5

1.2.6  置带宽管理

6

1.2.7  配置包过滤

7

1.2.8  WAN口同步

可选

如果有新增的WAN口或将其他非WAN口改变为WAN口,需要通过此步骤将群组的配置同步到新WAN口上

提示

在执行WAN口同步之前要保证至少存在一个用户组

 

1.2.2  配置用户组

在导航栏中选择“高级配置 > 群组管理 > 群组设置”,默认进入“用户组”页签的页面,如图1-1所示。

图1-1 用户组

 

用户组的详细配置如表1-2所示。

表1-2 用户组的详细配置

配置项

说明

用户组名称

设置要添加的用户组的名称

用户组名称为以字母开头的字符串,且不能包含问号、空格及中文字符

 

可点击返回“表1-1 组配置步骤”。

1.2.3  配置用户

在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签,进入用户设置页面,如图1-2所示。

图1-2 用户

 

用户设置的详细配置如表1-3所示。

表1-3 用户的详细配置

配置项

说明

用户组

设置要添加用户的用户组

添加模式

设置向用户组中添加用户的模式

·     静态:表示手动指定添加的用户的用户名和IP地址

·     动态:表示从局域网内所有与本设备相连的设备中进行选择

用户名

设置用户的名称

·     当静态添加用户时,需要手动设置用户名

·     当动态添加用户时,用户名为系统自动生成

IP地址

设置用户的IP地址

·     当静态添加用户时,需要手动设置IP地址

·     当动态添加用户时,系统会自动生成一个局域网内所有与本设备相连的设备的地址(包括IP地址和MAC地址)列表,只要在列表中进行选择即可

 

可点击返回“表1-1 组配置步骤”。

1.2.4  配置接入控制

在导航栏中选择“高级配置 > 群组管理 > 接入控制”,进入如图1-3所示的页面。

图1-3 接入控制

 

接入控制的详细配置如表1-4所示。

表1-4 接入控制的详细配置

配置项

说明

请选择一个用户组

设置要进行接入控制的用户组

当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行接入控制

星期

设置禁止用户组中用户访问网络的时间段

时间

 

可点击返回“表1-1 组配置步骤”。

1.2.5  配置应用控制

在导航栏中选择“高级配置 > 群组管理 > 应用控制”,进入如图1-4所示的页面。

图1-4 应用控制

 

应用控制的详细配置如表1-5所示。

表1-5 应用控制的详细配置

配置项

说明

请选择一个用户组

设置要进行应用控制的用户组

当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行应用控制

请选择应用程序进行限制

设置要进行限制的应用程序,可选择的应用程序有3种:

·     已加载应用程序:即通过特征文件加载的应用程序。在“安全配置 > 应用控制”中可以将包含应用控制规则的特征文件加载到设备

·     预定义应用程序:设备预定义的应用程序类型

·     自定义应用程序:在“安全配置 > 应用控制”中可以配置自定义应用程序及相应的规则

 

可点击返回“表1-1 组配置步骤”。

1.2.6  配置带宽管理

在导航栏中选择“高级配置 > 群组管理 > 带宽管理”,进入如图1-5所示的页面。

图1-5 带宽管理

 

带宽管理的详细配置如表1-6所示。

表1-6 带宽管理的详细配置

配置项

说明

请选择一个用户组

设置要进行带宽管理的用户组

当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行带宽管理

CIR

设置承诺信息速率,即允许的流的平均速率

CBS

设置承诺突发尺寸,即每次突发所允许的最大的流量尺寸

CBS值必须大于最大报文长度

提示

如果不指定CBS,则CBS默认为500毫秒以CIR速率通过的流量,但不会超过CBS的取值范围

 

可点击返回“表1-1 组配置步骤”。

1.2.7  配置包过滤

在导航栏中选择“高级配置 > 群组管理 > 包过滤”,进入如图1-6所示的页面。

图1-6 包过滤

 

包过滤的详细配置如表1-7所示。

表1-7 包过滤的详细配置

配置项

说明

请选择一个用户组

设置要进行包过滤的用户组

当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行包过滤

协议

设置IP承载的协议类型

目的IP地址

设置报文的目的IP地址和通配符

目的通配符

源端口

操作

设置TCP/UDP报文的源端口信息

只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。

在“操作”下拉框中选择端口操作符

·     选择“NotCheck”时,开始和结束端口均不可以配置

·     选择“Range”时,开始和结束端口都要配置,共同确定一个端口号范围

·     选择其它选项时,开始要配置,结束端口不可以配置

开始端口

结束端口

目的端口

操作

设置TCP/UDP报文的目的端口信息

只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。

在“操作”下拉框中选择端口操作符

·     选择“NotCheck”时,开始和结束端口均不可以配置

·     选择“Range”时,开始和结束端口都要配置,共同确定一个端口号范围

·     选择其它选项时,开始要配置,结束端口不可以配置

开始端口

结束端口

 

可点击返回“表1-1 组配置步骤”。

1.2.8  WAN口同步

在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“WAN口同步”页签,进入WAN口同步页面,如图1-7所示。单击<同步>按钮,执行WAN口同步操作。

图1-7 WAN口同步

 

可点击返回“表1-1 组配置步骤”。

1.3  群组管理典型配置举例

1. 组网需求

图1-8所示,某部门所有主机通过Router访问Internet,其中Host A为部门经理使用的主机,Host B、Host C、Host D为员工主机。在Router上进行配置实现如下功能:

·     接入控制:员工主机在工作时间(周一~周五的9:00~18:00)不能访问Internet,而经理主机访问Internet不受时间限制。

·     应用控制:员工主机不能使用MSN应用,而经理主机不受限制。

·     带宽控制:员工主机访问Internet的平均速率不得超过8kbps;经理主机访问Internet的平均速率不得超过54kbps。

·     包过滤:员工主机不能访问Internet上IP地址为2.2.2.1的服务器。

图1-8 群组管理配置组网图

 

2. 配置步骤

# 创建员工用户组staff和经理用户组manager。

·     在导航栏中选择“高级配置 > 群组管理 > 群组设置”,进入“用户组”页签的页面,进行如下配置,如图1-9所示。

图1-9 创建用户组staff和manager

 

·     输入用户组名称为“staff”。

·     单击<应用>按钮完成操作。

·     输入用户组名称为“manager”。

·     单击<应用>按钮完成操作。

# 向用户组中添加用户。

·     在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签,进行如下配置,如图1-10所示。

图1-10 向用户组staff中添加用户

 

·     选择用户组为“staff”。

·     选择添加模式为“动态”,显示局域网内所有与Router相连的主机和设备的地址,包括IP地址和MAC地址。

·     在列表中选择Host B、Host C、Host D的地址项。

·     单击<应用>按钮,弹出配置进度对话框,如图1-11所示。

图1-11 配置进度对话框

 

·     看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

图1-12 向用户组manager中添加用户

 

·     如图1-12所示,选择用户组为“manager”。

·     选择添加模式为“静态”。

·     输入用户名为“hosta”。

·     输入IP地址为“192.168.1.11”。

·     单击<应用>按钮,弹出配置进度对话框。

·     看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置对用户组staff的接入控制。

·     在导航栏中选择“高级配置 > 群组管理 > 接入控制”,进行如下配置,如图1-13所示。

图1-13 配置对用户组staff的接入控制

 

·     选择用户组为“staff”。

·     选中“星期一”、“星期二”、“星期三”、“星期四”、“星期五”前的复选框。

·     选择开始时间为“09:00”。

·     选择结束时间为“18:00”。

·     单击<应用>按钮,弹出配置进度对话框。

·     看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 加载应用程序(假设特征文件已保存在设备上)。

·     在导航栏中选择“安全配置 > 应用控制”,单击“加载应用程序”页签,进行如下配置,如图1-14所示。

图1-14 加载应用程序

 

·     选中“从设备选择特征文件加载”前的单选按钮,选择文件名为“p2p_default”。

·     单击<确定>按钮完成操作,在页面下方的已加载应用程序中可以看到“MSN”。

# 配置对用户组staff的应用控制。

·     在导航栏中选择“高级配置 > 群组管理 > 应用控制”,进行如下配置,如图1-15所示。

图1-15 配置对用户组staff的应用控制

 

·     选择用户组为“staff”。

·     在“已加载应用程序”中选择“MSN”。

·     单击<应用>按钮,弹出配置进度对话框。

·     看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置对用户组staff和manager的带宽管理。

·     在导航栏中选择“高级配置 > 群组管理> 带宽管理”,进行如下配置,如图1-16示。

图1-16 配置对用户组staff和manager的带宽管理

 

·     选择用户组为“staff”。

·     输入CIR为“8”。

·     单击<应用>按钮,弹出配置进度对话框。

·     看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

·     选择用户组为“manager”。

·     输入CIR为“54”。

·     单击<应用>按钮,弹出配置进度对话框。

·     看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置对用户组staff的包过滤。

·     在导航栏中选择“高级配置 > 群组管理 > 包过滤”,进行如下配置,如图1-17所所示。

图1-17 配置对用户组staff的包过滤

 

·     选择用户组为“staff”。

·     选择协议为“IP”。

·     选中“目的IP地址”前的复选框。

·     输入目的IP地址为“2.2.2.1”。

·     输入目的IP地址的通配符为“0.0.0.0”。

·     单击<应用>按钮,弹出配置进度对话框。

·     看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!