登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath F1000-C8102 防火墙 典型配置(E6471)-5W105

34-基于流量的限额策略典型配置举例

本章节下载  (802.21 KB)

34-基于流量的限额策略典型配置举例

目  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 配置注意事项

3.4 配置步骤

3.5 配置文件

4 相关资料

 

1  简介

本文档介绍F1000-C8102设备流量限额举例,包括基于流量的日限额和月限额。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解限额策略特性。

3  配置举例

3.1  组网需求

图1所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet

限制每用户,每日限额为500MB,超出限额后,禁止访问网络

图1 限额策略配置组网图

 

3.2  配置思路

根据每ip分配日限额流量,流量达到限额后对网络进行阻断或添加到流控(惩罚)通道。

3.3  配置注意事项

3.4  配置步骤

1. 登录Web网管

图2所示,使用http或https的方式登录F1000-C8102设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C 设备 Web网关

 

2. 配置地址对象

图3所示,进入“资源管理>地址>IPv4地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。

图3 配置地址对象

 

图4所示,创建成功的地址对象配置如下:

图4 地址对象配置成功

 

3. 配置基于流量的日限额策略/禁止上网

(1)     新增限额策略

引用源IP,如图5所示,进入“防火墙 > 流量管理 > 限额策略”,点击<新建>,“源地址”配置为192.168.1网段,如图5所示。

图5 限额策略配置界面

 

(2)     配置日限额

选择限额类型为流量 日限额 ,配置500MB,动作为禁止上网,如图6图7

图6 限额用户配置界面

 

图7 限额策略配置界面

 

(3)     查看限额状态

访问internet下载一个500+MB文件,检查限额状态,如图8

图8 限额用户统计界面

 

(4)     结果检查

访问http页面,检查页面是否被禁止,如图9

图9 访问外网界面

 

4. 配置基于流量的日限额策略/惩罚通道

(1)     配置惩罚通道

在导航栏中选择“防火墙 > 流量管理 > 流量策略”,进入流量控制标签配置页面,如(1)图10所示。

图10 惩罚通道配置界面

 

(2)     配置日限额

在导航栏中选择“防火墙>流量管理>限额策略”,配置限额类型为流量/日限额,阈值为500MB。源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如(2)图11

图11 图 1限额策略配置界面

 

(3)     结果检查

配置完成后,内网PC访问外网internet,如(3)图12

图12 限额用户统计页面

 

下载500+MB数据后,查看限额用户统计状态是否为限速,如图13

图13 限额用户统计界面

 

查看流量监控,流量是否限速为20Mbps,如图14

图14 流量监控页面

10分钟后检查速率是否恢复线速。

 

5. 配置基于流量的月限额策略/禁止上网

(1)     新增限额策略

引用源IP,如图15,进入“防火墙 > 流量管理 > 限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图15 新增限额策略

 

(2)     配置月限额

选择限额类型为流量 月限额 ,配置500MB,动作为禁止上网,惩罚时间为10分钟,如图16图17

图16 配置月限额

 

图17 限额策略配置界面

 

(3)     查看限额状态

访问internet下载一个500+MB文件,检查限额状态,如图18

图18 查看限额状态

 

(4)     结果检查

访问http页面,检查页面是否被禁止,如图19

图19 禁止访问网络

 

6. 配置基于流量的月限额策略/惩罚通道

(1)     新增限额策略

配置 惩罚通道,在导航栏中选择“防火墙 > 流量管理 > 流量策略”,进入流量控制标签配置页面,如(1)图20所示。

图20 新增限额策略

 

(2)     配置月限额

在导航栏中选择“防火墙>流量管理>限额策略”,配置限额类型为流量/月限额,阈值为500MB。源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如(2)图21

图21 限额策略配置页面

 

(3)     结果检查

配置完成后,内网PC访问外网internet,如(3)图22

图22 查看限额状态

 

下载500+MB数据后,查看限额用户统计状态是否为限速,如图23

图23 查看限额状态

 

查看流量监控,流量是否限速为20Mbps,如图24

图24 查看状态

 

10分钟后检查速率是否恢复线速。

3.5  配置文件

interface ge1

 ip address 192.168.201.92/24

 allow access https

 allow access ping

!       

interface ge2

 ip address 192.168.1.1/24

 allow access https

 allow access http

!

apolicy-quota 日流量限额

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish disable

policy6 default-action permit

 

policy-quota 日流量限额-流控通道

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish enable

 punish action limit qos-profile 惩罚通道

 punish interval 0

policy6 default-action permit

!

4  相关资料

《H3C SecPath F1000-C8102安全产品管理平台 Web配置指导》中的“流量管理”。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们