• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

14-限额策略配置指导

本章节下载 14-限额策略配置指导  (270.20 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_CG(E6411_R6609)-6W105/03/202009/1334607_30005_0.htm

14-限额策略配置指导


1 限额策略

1.1  限额策略简介

ACG的QOS流控策略是基于接口进行配置的,通过此接口的流量将被QOS控制。在某些场景下,用户期望能够有条件的进入QOS流控策略。

例如当用户当天(月)使用的流量超过500MB的时候,进入到一个较为低速的惩罚通道里(或禁止上网)

例如当用户当天(月)上网时间超过5h 时,进入到一个较为低速的惩罚通道里(或禁止上网)

1.2  新建限额策略规则

表1-1所示步骤新建限额策略规则:

表1-1 新建限额策略

操作

命令

说明

进入配置视图

system-view

-

新建限额策略

policy-quota NAME

必选

 

1.3  限额策略引用时间对象

表1-2所示步骤新建限额策略引用时间对象:

表1-2 新建限额策略引用时间对象

操作

命令

说明

进入配置视图

system-view

-

新建限额策略

policy-quota NAME

必选

新建限额策略引用时间对象

schdule always

必选

 

1.4  限额策略的惩罚策略

表1-3所示步骤新建限额策略惩罚策略:

表1-3 新建限额策略惩罚策略

操作

命令

说明

进入配置视图

system-view

-

新建限额策略

policy-quota NAME

必选

启用惩罚策略

punish enable

必选

关闭惩罚策略

punish disable

必选

配置惩罚动作为禁止上网

Punish action deny

必选

配置惩罚通道

punish action limit qos-profile

必选

配置惩罚时间

Punish interval

必选

 

1.5  限额策略日限额

表1-4所示步骤新建限额策略日限额:

表1-4 新建限额策略日限额

操作

命令

说明

进入配置视图

system-view

-

新建限额策略

policy-quota NAME

必选

新建限额策略日限额开启

Perday enable

必选

新建限额策略日限额关闭

Perday disable

必选

日流量限额

Perday bandwidth

必选

日时间限额

Perday interval

必选

 

1.6  限额策略月限额限制

表1-5所示步骤新建限额策略月限额限制:

表1-5 新建限额策略限额限制

操作

命令

说明

进入配置视图

system-view

-

新建限额策略

policy-quota NAME

必选

新建限额策略月限额开启

permon enable

必选

新建限额策略月限额关闭

permon disable

必选

月流量限额

permon bandwidth

必选

月时间限额

permon interval

必选

 

1.7  限额策略提醒时间

表1-6所示步骤新建限额策略提醒时间:

表1-6 新建限额策略提醒时间

操作

命令

说明

进入配置视图

system-view

-

新建限额策略

policy-quota NAME

必选

开启流量提醒

notify enable

 

关闭流量提醒

Notify disable

 

提醒间隔时间

Notify interval

 

流量提醒比例

Notify thresh

 

 

1.8  限额策略的显示和维护

在完成上述配置后,在任意视图下执行display命令显示已经配置限额策略。

表1-7 显已经配置限额策略

操作

命令

说明

查找限额的配置

display running-config

 

限额策略丢包

debug quota drop

 

限额策略的匹配

debug quota event

 

限额策略的事件

debug quota match

 

 

1.9  限额策略典型配置举例

1.9.1  限额策略组网配置举例

1. 组网需求

图1-1所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet

限制每用户,每日限额为500MB,超出限额后,禁止访问网络。

图1-1 配置限额策略

 

2. 配置步骤

(1)     按照组网图组网。

(2)     设备配置。

interface ge1

 ip address 192.168.201.92/24

 allow access https

 allow access ping

!       

interface ge2

 ip address 192.168.1.1/24

 allow access https

 allow access http

!

apolicy-quota 日流量限额

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish disable

policy6 default-action permit

 

policy-quota 日流量限额-流控通道

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish enable

 punish action limit qos-profile 惩罚通道

 punish interval 0

3. 验证配置

配置完成后,内网PC访问外网internet,如图1-2

图1-2 限额用户统计

 

下载500+MB数据后,查看限额用户统计状态是否为限速,如图1-3

图1-3 流量限速

 

查看流量监控,流量是否限速为20Mbps,如图1-4

图1-4 网速恢复

 

10分钟后检查速率是否恢复限速。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们