- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
19-群组管理
本章节下载 (240.78 KB)
目 录
群组设置模块提供了将局域网中待管理的主机定义为用户,又将用户划分到不同的用户组中的功能。这样划分之后,可以基于用户组对局域网中的主机进行各种业务管理,如设置接入控制、应用控制、带宽管理和包过滤等功能。
群组配置的推荐步骤如表1-1所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,不存在任何用户组 |
|
|
2 |
必选 为用户组配置用户成员 缺省情况下,用户组中不存在任何用户 |
|
|
3 |
可选 如果有新增的WAN口或将其他非WAN口改变为WAN口,需要通过此步骤将用户和用户组的配置同步到新WAN口上
在执行WAN口同步之前要保证至少存在一个用户组 |
在导航栏中选择“高级配置 > 群组管理 > 群组设置”,默认进入“用户组”页签的页面,如图1-1所示。
用户组的详细配置如表1-2所示。
|
配置项 |
说明 |
|
用户组名称 |
设置要添加的用户组的名称 用户组名称为以字母开头的字符串,且不能包含问号、空格及中文字符 |
在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签,进入用户设置页面,如图1-2所示。
用户设置的详细配置如表1-3所示。
|
配置项 |
说明 |
|
用户组 |
设置要添加用户的用户组 |
|
添加模式 |
设置向用户组中添加用户的模式 l 静态:表示手动指定添加的用户的用户名和IP地址 l 动态:表示从局域网内所有与本设备相连的设备中进行选择 |
|
用户名 |
设置用户的名称 l 当静态添加用户时,需要手动设置用户名 l 当动态添加用户时,用户名为系统自动生成 |
|
IP地址 |
设置用户的IP地址 l 当静态添加用户时,需要手动设置IP地址 l 当动态添加用户时,系统会自动生成一个局域网内所有与本设备相连的设备的地址(包括IP地址和MAC地址)列表,只要在列表中进行选择即可 |
在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“WAN口同步”页签,进入WAN口同步页面,如图1-3所示。单击<同步>按钮,执行WAN口同步操作。
图1-3 WAN口同步
接入控制模块提供了基于用户组对用户访问网络的时段进行控制的功能。对某用户组配置了接入控制功能后,指定时段期间来自该用户组的报文将被丢弃。
在界面左侧的导航栏中选择“高级配置 > 群组管理 > 接入控制”,进入如图2-1所示的页面。
接入控制的详细配置如表2-1所示。
|
配置项 |
说明 |
|
请选择一个用户组 |
设置要进行接入控制的用户组 选择“all”表示对当前设备上所有用户组进行接入控制 |
|
星期 |
设置禁止用户组中用户访问网络的时间段 |
|
时间 |
l 如图2-2所示,某部门所有主机通过Router访问Internet,其中Host A为部门经理使用的主机。
l 在Router上配置接入控制功能,使员工主机在工作时间(周一~周五的9:00~18:00)不能访问Internet,而经理主机访问Internet不受时间限制。
# 创建用户组。
l 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,默认进入“用户组”页签的页面。
l 输入用户组名称为“staff”。
l 单击<应用>按钮完成操作。
# 向用户组中添加用户。
l 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签。
l 选择用户组为“staff”。
l 选择添加模式为“动态”,显示局域网内所有与Router相连的主机和设备的地址,包括IP地址和MAC地址。
l 在列表中选择Host B、Host C、Host D的地址项。
l 单击<应用>按钮完成操作。
# 配置接入控制。
l 在导航栏中选择“高级配置 > 群组管理 > 接入控制”。
l 选择用户组为“staff”。
l 选中“星期一”、“星期二”、“星期三”、“星期四”、“星期五”前的复选框。
l 选择开始时间为“09:00”。
l 选择结束时间为“18:00”。
l 单击<应用>按钮完成操作。
应用控制是指通过设置目的IP地址、协议、操作类型和端口,来限制局域网内的用户对Internet上对各种应用程序或协议的使用。应用控制可以基于用户组来进行限制,也可以对所有用户进行限制。本章只介绍基于用户组的应用控制,基于所有用户的应用控制请参见“安全配置”。
设备预定义的限制访问的应用程序或协议类型与设备的型号有关,请以设备的实际情况为准。
配置应用控制的推荐步骤如表3-1所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
加载应用程序 |
可选 在“安全配置 > 应用控制”中将包含应用控制规则的特征文件加载到设备,详细配置请参见“安全配置” |
|
2 |
配置自定义应用程序 |
可选 在“安全配置 > 应用控制”中新建自定义应用程序,并配置相应的规则,详细配置请参见“安全配置” |
|
3 |
必选 基于用户组使能对指定应用程序或协议的限制功能 |
在导航栏中选择“高级配置 > 群组管理 > 应用控制”,进入如图3-1所示的页面。
选择要使能应用控制的用户组,然后根据需要分别在“已加载应用程序”、“预定义应用程序”和“自定义应用程序”中选择要进行限制的应用程序或协议,单击<应用>按钮,即可完成应用程序控制的配置。
l 如图3-2所示,某部门所有主机通过Router访问Internet,其中Host A为部门经理使用的主机。
l 在Router上配置应用控制功能,使员工主机不能使用MSN应用,而经理主机不受限制。
# 创建用户组。
l 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,默认进入“用户组”页签的页面。
l 输入用户组名称为“staff”。
l 单击<应用>按钮完成操作。
# 向用户组中添加用户。
l 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签。
l 选择用户组为“staff”。
l 选择添加模式为“动态”,显示局域网内所有与Router相连的主机和设备的地址,包括IP地址和MAC地址。
l 在列表中选择Host B、Host C、Host D的地址项。
l 单击<应用>按钮完成操作。
# 加载应用程序(假设特征文件已保存在设备上)。
l 在导航栏中选择“安全配置 > 应用控制”,单击“加载应用程序”页签。
l 选中“从设备选择特征文件加载”前的单选按钮,选择文件名为“p2p_sig”。
l 单击<确定>按钮完成操作。
# 配置应用控制。
l 在导航栏中选择“高级配置 > 群组管理 > 应用控制”。
l 选择用户组为“staff”。
l 在“已加载应用程序”中选择“MSN”。
l 单击<应用>按钮完成操作。
随着互联网应用的普及,如果不限制用户发送的流量,大量用户不断突发的数据会使网络越来越拥挤。为了使有限的网络资源能够更好地发挥效用,更好地为更多用户服务,必须对用户的流量加以限制。带宽管理模块就提供了基于用户组对用户访问网络所占用的流量进行控制的功能。带宽管理采用令牌桶(Token Bucket)对流量的规格进行评估,对不符合规格的报文进行丢弃,从而达到限制带宽的目的。
令牌桶技术的详细介绍请参见“QoS设置”。
在界面左侧的导航栏中选择“高级配置 > 群组管理 > 带宽管理”,进入如图4-1所示的页面。
|
配置项 |
说明 |
|
请选择一个用户组 |
设置要进行带宽控制的用户组 |
|
CIR |
设置承诺信息速率,即允许的流的平均速率 |
|
CBS |
设置承诺突发尺寸,即每次突发所允许的最大的流量尺寸 CBS值必须大于最大报文长度 |
l 如图4-2所示,某部门所有主机通过Router访问Internet,其中Host A为部门经理使用的主机。
l 在Router上配置带宽控制限制员工主机访问Internet的平均速率不得超过8kbps;经理主机访问Internet的平均速率不得超过54kbps。
# 创建用户组。
l 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,默认进入“用户组”页签的页面。
l 输入用户组名称为“staff”。
l 单击<应用>按钮完成操作。
l 输入用户组名称为“manager”。
l 单击<应用>按钮完成操作。
# 向用户组中添加用户。
l 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签。
l 选择用户组为“staff”。
l 选择添加模式为“动态”,显示局域网内所有与Router相连的主机和设备的地址,包括IP地址和MAC地址。
l 在列表中选择Host B、Host C、Host D的地址项。
l 单击<应用>按钮完成操作。
l 选择用户组为“manager”。
l 选择添加模式为“静态”。
l 输入用户名为“hosta”。
l 输入IP地址为“192.168.1.11”。
l 单击<应用>按钮完成操作。
# 配置带宽管理。
l 在导航栏中选择“高级配置 > 群组管理> 带宽管理”。
l 选择用户组为“staff”。
l 输入CIR为“8”。
l 单击<应用>按钮完成操作。
l 选择用户组为“manager”。
l 输入CIR为“54”。
l 单击<应用>按钮完成操作。
包过滤提供了基于用户组对报文中的内容进行控制的功能,包括IP承载的协议类型、目的IP地址、源端口和目的端口。对某用户组配置了包过滤功能后,来自该用户组的匹配包过滤规则的报文将被丢弃。
在界面左侧的导航栏中选择“高级配置 > 群组管理 > 包过滤”,进入如图5-1所示的页面。
包过滤的详细配置如表5-1所示。
|
配置项 |
说明 |
|
|
请选择一个用户组 |
设置要进行包过滤的用户组 选择“all”表示对所有用户组进行包过滤 可选的用户组可以在“高级配置 > 群组管理 > 群组设置”中进行配置 |
|
|
协议 |
设置IP承载的协议类型 |
|
|
目的IP地址 |
设置报文的目的IP地址和通配符 |
|
|
目的通配符 |
||
|
源端口 |
操作 |
设置TCP/UDP报文的源端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 在“操作”下拉框中选择端口操作符 l 选择“NotCheck”时,开始和结束端口均不可以配置 l 选择“Range”时,开始和结束端口都要配置,共同确定一个端口号范围 l 选择其它选项时,开始要配置,结束端口不可以配置 |
|
开始端口 |
||
|
结束端口 |
||
|
目的端口 |
操作 |
设置TCP/UDP报文的目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 在“操作”下拉框中选择端口操作符 l 选择“NotCheck”时,开始和结束端口均不可以配置 l 选择“Range”时,开始和结束端口都要配置,共同确定一个端口号范围 l 选择其它选项时,开始要配置,结束端口不可以配置 |
|
开始端口 |
||
|
结束端口 |
||
l 如图5-2所示,某部门所有主机通过Router访问Internet,其中Host A为部门经理使用的主机。
l 在Router上配置包过滤限制员工主机访问Internet上IP地址为2.2.2.1的服务器。
# 创建用户组。
l 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,默认进入“用户组”页签的页面。
l 输入用户组名称为“staff”。
l 单击<应用>按钮完成操作。
# 向用户组中添加用户。
l 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签。
l 选择用户组为“staff”。
l 选择添加模式为“动态”,显示局域网内所有与Router相连的主机和设备的地址,包括IP地址和MAC地址。
l 在列表中选择Host B、Host C、Host D的地址项。
l 单击<应用>按钮完成操作。
# 配置包过滤。
l 在导航栏中选择“高级配置 > 群组管理 > 包过滤”。
l 选择用户组为“staff”。
l 选择协议为“IP”。
l 选中“目的IP地址”前的复选框。
l 输入目的IP地址为“2.2.2.1”。
l 输入目的IP地址的通配符为“0.0.0.0”。
l 单击<应用>按钮完成操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
