登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath F1000-C8102 防火墙 典型配置(E6471)-5W105

35-基于时间的限额策略典型配置举例

本章节下载  (763.29 KB)

35-基于时间的限额策略典型配置举例

目  录

1 简介

2 配置前提

3 使用限制

4 配置举例

4.1 组网需求

4.2 配置思路

4.3 配置注意事项

4.4 配置步骤

4.4.1 配置F1000-C8102产品

4.5 配置文件

5 相关资料

1  简介

本文档介绍F1000-C8102设备基于时间的限额策略配置举例,包括基于时长的日限额和基于时长的月限额。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解限额策略特性。

3  使用限制

无。

4  配置举例

4.1  组网需求

图1所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet

限制每用户,每日限额为500MB,超出限额后,禁止访问网络。

图1 限额策略配置组网图

 

4.2  配置思路

根据每ip分配日限额流量,上网时间达到限额后对网络进行阻断或添加到流控(惩罚)通道。

4.3  配置注意事项

4.4  配置步骤

4.4.1  配置F1000-C8102产品

1. 登录Web网管

图2所示,使用http或https的方式登录F1000-C8102设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C 设备 Web网关

 

2. 配置地址对象

图3所示,进入“资源管理>地址>IPv4地址对象”,点击<新建>,IP地址配置为192.168.3.0/24。

图3 配置地址对象

 

图4所示,创建成功的地址对象配置如下:

图4 地址对象配置成功

 

3. 配置基于时长的日限额策略/禁止上网

(1)     新增限额策略

引用源IP,如图5所示,进入“防火墙 > 流量管理 > 限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图5 限额策略配置界面

 

(2)     配置日限额

选择限额类型为时长日限额 ,配置日限额为5分钟,如图6所示。

图6 限额策略配置界面

 

配置限额超出处理:开启提醒,阈值为50%,间隔为0分钟,如图7

图7 限额策略配置界面

 

配置惩罚设置,惩罚时长为5分钟,动作为禁止上网,如图8

图8 限额策略配置界面

 

(3)     查看限额状态

访问http页面,检查限额状态页面,如图9

图9 限额用户统计页面

 

(4)     检查提醒功能

三分钟后访问http页面,检查是否弹出提醒页面.如图10

图10 访问外网界面

 

(5)     仅提醒一次验证

再次访问页面,检查是否正常显示,如图11

图11 访问外网界面

 

(6)     日限额阈值验证

第5分钟后,再次访问,检查页面是否被禁止,如图12

图12 访问外网界面

 

(7)     惩罚时间验证

第10分钟后(惩罚5分钟),重新访问,检查网络是否恢复正常,如图13

图13 访问外网界面

 

4. 配置基于时长的日限额策略/惩罚通道

(1)     新增惩罚通道

配置 惩罚通道,在导航栏中选择“防火墙 > 流量管理 > 流量策略”,进入流量控制标签配置页面,如(1)图14所示。

图14 惩罚通道配置界面

 

(2)     新增限额策略

在导航栏中选择“防火墙>流量管理>限额策略”, 配置限额类型为时长/日限额,阈值为5分钟,源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如(2)图15所示。

图15 新增限额策略

 

(3)     速率未被限制

配置完成后,内网PC访问外网internet,下载文件,检查是否为线速下载,如(3)图16

图16 限额用户统计界面

 

5分钟后,下载文件,检查限额用户统计,如图17

图17 限额用户统计界面

 

(4)     进入惩罚通道

查看流量监控,流量是否限速为20Mbps,如(4)图18

图18 流量监控界面

10分钟后检查速率是否恢复线速。

 

5. 配置基于时长的月限额策略/禁止上网

(1)     新增限额策略

引用源IP,如图19所示,进入“防火墙 > 流量管理 > 限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图19 限额策略配置界面

 

(2)     配置月限额

选择限额类型为“时长/月限额”,配置阈值为1小时,动作为禁止上网,惩罚时间为10分钟,如图20

图20 限额策略配置界面

 

(3)     限额状态检查

访问internet,检查限额状态,如图21

图21 限额用户统计界面

 

(4)     时间限额阈值验证

一小时后,访问http页面,检查页面是否被禁止,如图22

图22 访问外网界面

 

10分钟后,再次访问http页面,检查是否正常。

6. 配置基于时长的月限额策略/惩罚通道

(1)     新增惩罚通道

配置 惩罚通道,在导航栏中选择“防火墙 > 流量管理 > 流量策略”,进入流量控制标签配置页面,如(1)图23所示。

图23 惩罚通道的配置

 

(2)     新增限额策略

在导航栏中选择“防火墙>流量管理>限额策略”,配置限额类型为流量/月限额,阈值为1小时,源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,惩罚时间为5分钟,如(2)图24

图24 新增限额策略

 

(3)     速率检查

配置完成后,内网PC访问外网internet,下载数据,检查是否为线速。

(4)     限速检查

1小时后查看流量监控,流量是否限速为20Mbps,如(4)图25

图25 速率检查

 

5分钟后检查速率是否恢复线速。

4.5  配置文件

interface ge1

 ip address 192.168.201.92/24

 allow access https

 allow access ping

!       

interface ge2

 ip address 192.168.1.1/24

 allow access https

 allow access http

!

apolicy-quota 日流量限额

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish disable

policy6 default-action permit

 

policy-quota 日流量限额-流控通道

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish enable

 punish action limit qos-profile 惩罚通道

 punish interval 0

policy6 default-action permit

!

5  相关资料

《H3C SecPath F1000-C8102安全产品管理平台Web配置手册》中的“流量控制”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们