• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

41-限额策略典型配置举例

本章节下载 41-限额策略典型配置举例  (759.30 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587566_30005_0.htm

41-限额策略典型配置举例


1  简介

本文档介绍ACG1000设备流量和时长限额举例,包括基于流量的日限额和月限额,基于时长的日限额和月限额。

限额策略具有如下特点:

·     流量限额:支持日限额和月限额。

·     时长限额:支持日限额和月限额 。

·     支持设置惩罚时长。

·     支持提醒:达到限额条件后推送提醒页面提示用户,可以设置只提醒一次或定期提醒。

·     支持惩罚通道限速:基于时长惩罚或一直惩罚。

·     支持禁止上网:基于时长禁止上网或一直禁止上网。

·     支持限额统计:基于IP维度和用户账号维度。

 

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解限额策略特性。

3  基于流量的限额策略配置举例

3.1  组网需求

图1所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet

限制每用户,每日限额为500MB,超出限额后,禁止访问网络

图1 限额策略配置组网图

 

 

3.2  配置思路

根据每ip分配日限额流量,流量达到限额后对网络进行阻断或添加到惩罚通道进行限速。

3.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

3.4  配置注意事项

3.5  配置步骤

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网关

 

2. 配置地址对象

图3所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。

图3 配置地址对象

 

3. 配置基于流量的日限额策略/禁止上网

(1)     新增限额策略

引用源IP,如图4所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图4 限额策略配置界面

 

(2)     配置日限额

选择限额类型为流量 日限额 ,配置500MB,动作为禁止上网,如图5图6

图5 限额用户配置界面

 

图6 限额策略配置界面

 

(3)     查看限额状态

访问internet下载一个500+MB文件,检查限额状态,如图7

图7 限额用户统计界面

 

(4)     结果检查

访问http页面,检查页面是否被禁止,如图8

图8 访问外网界面

 

4. 配置基于流量的日限额策略/惩罚通道

(1)     配置惩罚通道

在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图9所示。

图9 惩罚通道配置界面

 

 

(2)     配置日限额

在导航栏中选择“策略配置>用户限额策略”,配置限额类型为流量/日限额,阈值为500MB。源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如图10所示。

图10 限额策略配置界面

 

(3)     结果检查

配置完成后,内网PC访问外网internet,如图11

图11 限额用户统计页面

 

下载500+MB数据后,查看限额用户统计状态是否为限速,如图12

图12 限额用户统计界面

 

查看流量监控,流量是否限速为20Mbps,如图13

图13 流量监控页面

 

 

5. 配置基于流量的月限额策略/禁止上网

(1)     新增限额策略

进入“策略配置>用户限额策略”,点击<新建>选择限额类型为流量 月限额 ,配置500MB,动作为禁止上网,惩罚时间为10分钟,如图14图15所示。

图14 配置月限额策略

 

(2)     查看限额状态

访问internet下载一个500+MB文件,检查限额状态,如图15

图15 查看限额状态

 

(3)     结果检查

访问http页面,检查页面是否被禁止,如图16

图16 禁止访问网络

 

6. 配置基于流量的月限额策略/惩罚通道

(1)     配置惩罚通道

在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图17所示。

图17 惩罚通道配置界面

 

 

(2)     配置月限额

在导航栏中选择“策略配置>用户限额策略”,点击<新建>限额策略,配置限额类型为流量/月限额,阈值为500MB。限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如图18

图18 限额策略配置页面

 

(3)     结果检查

配置完成后,内网PC访问外网internet,如图19所示。

图19 查看限额状态

 

下载500+MB数据后,查看限额用户统计状态是否为限速,如图20

图20 查看限额状态

 

查看流量监控,流量是否限速为20Mbps,如图21

图21 查看状态

 

10分钟后检查速率可以正常恢复到之前的速率。

3.6  配置文件

interface ge1

 ip address 192.168.201.92/24

 allow access https

 allow access ping

!       

interface ge2

 ip address 192.168.1.1/24

 allow access https

 allow access http

!

policy-quota 日流量限额

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish disable

policy6 default-action permit

 

policy-quota 日流量限额-流控通道

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish enable

 punish action limit qos-profile 惩罚通道

 punish interval 0

policy6 default-action permit

!

4  基于时长的限额配置举例

4.1  组网需求

图22所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet

限制每用户,每日限额为500MB,超出限额后,禁止访问网络。

图22 限额策略配置组网图

 

4.2  配置思路

根据每ip分配日限额流量,上网时间达到限额后对网络进行阻断或添加到惩罚通道。

4.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

4.4  配置注意事项

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网管

图23所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图23 登录H3C ACG Web网关

 

2. 配置地址对象

图24所示,进入“策略配置>对象管理>地址>IPv4地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。

图24 配置地址对象

 

3. 配置基于时长的日限额策略/禁止上网

(1)     新增限额策略

图25所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图25 限额策略配置界面

 

(2)     配置日限额

选择限额类型为时长日限额 ,配置日限额为5分钟,如图26所示。

图26 限额策略配置界面

 

配置限额超出处理:开启提醒,阈值为50%,间隔为0分钟,如图27

图27 限额策略配置界面

 

配置惩罚设置,惩罚时长为5分钟,动作为禁止上网,如图28

图28 限额策略配置界面

 

(3)     查看限额状态

访问http页面,检查限额状态页面,如图29

图29 限额用户统计页面

 

(4)     检查提醒功能

三分钟后访问http页面,检查是否弹出提醒页面.如图30

图30 访问外网界面

 

(5)     仅提醒一次验证

再次访问页面,检查是否正常显示,如图31

图31 访问外网界面

 

(6)     日限额阈值验证

第5分钟后,再次访问,检查页面是否被禁止,如图32

图32 访问外网界面

 

(7)     惩罚时间验证

第10分钟后(惩罚5分钟),重新访问,检查网络是否恢复正常,如图33

图33 访问外网界面

 

4. 配置基于时长的日限额策略/惩罚通道

(1)     新增惩罚通道

配置 惩罚通道,在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图34所示。

图34 惩罚通道配置界面

 

(2)     新增限额策略

在导航栏中选择“策略配置>用户限额策略”, 配置限额类型为时长/日限额,阈值为5分钟,源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如图35所示。

图35 新增限额策略

 

(3)     结果检查

配置完成后,内网PC访问外网internet,下载文件,检查是否为限速下载,如图36

图36 限额用户统计界面

 

5分钟后,下载文件,检查限额用户统计,如图37

图37 限额用户统计界面

 

(4)     进入惩罚通道

查看流量监控,流量是否限速为20Mbps,如图38

图38 流量监控界面

 

5. 配置基于时长的月限额策略/禁止上网

(1)     新增限额策略

引用源IP,如图39所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图39 限额策略配置界面

 

(2)     配置月限额

选择限额类型为“时长/月限额”,配置阈值为1小时,动作为禁止上网,惩罚时间为10分钟,如图40

图40 限额策略配置界面

 

(3)     限额状态检查

访问internet,检查限额状态,如图41

图41 限额用户统计界面

 

(4)     时间限额阈值验证

一小时后,访问http页面,检查页面是否被禁止,如图42

图42 访问外网界面

 

10分钟后,再次访问http页面,检查是否正常。

6. 配置基于时长的月限额策略/惩罚通道

(1)     新增惩罚通道

配置 惩罚通道,在导航栏中选择“策略配置 > 流量控制策略 > 流量 控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图43所示。

图43 惩罚通道的配置

 

(2)     新增限额策略

在导航栏中选择“策略配置>用户限额策略”,配置限额类型为流量/月限额,阈值为1小时,限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如图44

图44 新增限额策略

 

(3)     速率检查

配置完成后,内网PC访问外网internet,下载数据,检查是否为限速。

(4)     限速检查

1小时后查看流量监控,流量是否限速为20Mbps,如图45

图45 限速检查

 

10分钟后检查速率是否恢复限速。

4.6  配置文件

interface ge1

 ip address 192.168.201.92/24

 allow access https

 allow access ping

!       

interface ge2

 ip address 192.168.1.1/24

 allow access https

 allow access http

!

policy-quota 日流量限额

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish disable

policy6 default-action permit

 

policy-quota 日流量限额-流控通道

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish enable

 punish action limit qos-profile 惩罚通道

 punish interval 0

policy6 default-action permit

!

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们