• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

08-共享上网监控配置指导

本章节下载 08-共享上网监控配置指导  (405.20 KB)

08-共享上网监控配置指导


1 共享上网监控

1.1  共享上网监控概述

在很多用户场景下,从运营商分配的一个帐号被多个用户共享使用,导致去运营商开户的用户数量骤减;同时在多人使用同一账号上网后,无法精确追踪上网记录到个人,存在安全隐患;因此运营商需要共享上网识别与控制来提升自己的开户量,为其创造价值。

1.2  配置共享接入监控配置

按照表1-1步骤配置共享接入监控配置。

表1-1 配置共享接入监控配置

操作

命令

说明

进入系统视图

system-view

开启共享用户检测功能

user-share check { enable | disable }

必选

配置自动阻断功能

user-share deny { enable terminal-count count  frozen-time time | disable }

可选

缺省情况下,只检测共享用户不会阻断

配置允许例外情况

user-share except permit { enable | disable|pc-terminal pc-count mobile-terminal mobile-count }

可选

缺省没有例外情况,达到阻断阈值就会被阻断

配置发送日志功能

user-share log switch { on | off }

可选

缺省不发送日志,开启后共享用户被阻断会发送系统日志

配置阻断提示信息

user-share freeze tips string

必选

缺省已有系统默认提示信息,不需要修改,可自定义

配置白名单IP

user-share white ip {host ip_adress range start_adress end_adress

可选

白名单IP仍然会进行共享检测,但达到阈值不会被阻断

配置白名单用户

user-share white user user_name

可选

User_name必须是已经创建的用户

配置白名单服务器

user-share white server ip_adress

可选

在开启认证功能同时开启UA识别的环境下,由于认证portal服务器UA与终端类型不相同,会导致误识别,将Portal服务器IP设置为白名单可以避免误识别的情况。(目前UA识别方式默认是关闭的)

开启或关闭基于webRTC+flash cookie识别技术共享检测

user-share flashcookie { on | off }

可选

开启或关闭基于时间戳识别技术共享检测

user-share timestamp { on | off }

可选

开启或关闭基于UA识别技术共享检测

user-share useragent { on | off }

可选

开启或关闭基于微信长连接识别技术共享检测

user-share wechat { on | off }

可选

 

1.3  共享上网监控显示和维护

在完成上述配置后,在任意视图下执行display命令,可以显示设备上关于共享上网监控的配置。

表1-2 共享上网监控显示和维护

操作

命令

显示白名单配置

display user-share white ip

显示指定共享用户的详细信息

display user-share check-info ip ip_address

显示共享上网监控的详细配置

display running-config

 

1.4  共享上网监控配置举例

1.4.1  共享上网监配置举例(惩罚方式为无)

1. 组网需求

开启共享用户检测功能,终端阀值设置为2,惩罚方式设置为无。

图1-1 共享用户检测组网图

 

2. 配置思路

·     开启共享检测功能

·     开启共享用户检测功能,终端阀值设置为2,惩罚方式设置为无,其它配置默认。

3. 配置步骤

(1)     开启共享检测功能

host#system-view

host(config)# user-share check enable

(2)     设置惩罚方式为无

host(config)#user-share action disable

host(config)#user-share terminal-count 2

host(config)#user-share log switch on

host(config)#user-share white user any

 

 

1.4.2  共享上网监控配置举例(惩罚方式为阻断)

1. 组网需求

开启共享用户检测功能,终端阀值设置为2,惩罚方式设置为阻断。

图1-2 共享用户检测组网图

 

2. 配置思路

·     开启共享检测功能

·     开启共享用户检测功能,终端阀值设置为2,惩罚方式设置为阻断5分钟,其它配置默认。

3. 配置步骤

(1)     开启共享检测功能

host#system-view

host(config)# user-share check enable

(2)     惩罚方式设置为阻断5分钟

host(config)#user-share deny  enable terminal-count 2 frozen-time 5

host(config)# user-share log switch on

host(config)#user-share white user any

 

 

1.4.3  共享上网监控配置举例(惩罚方式为限速)

1. 组网需求

开启共享用户检测功能,终端阀值设置为2,惩罚方式设置为限速10分钟。

图1-3 共享用户检测组网图

 

2. 配置思路

·     配置惩罚通道

·     开启共享检测功能

·     开启共享用户检测功能,终端阀值设置为2,惩罚方式设置为限速10分钟,其它配置默认。

3. 配置步骤

(1)     配置惩罚通道

host(config)#qos-profile punish-channel chengfa01

host(config-qos-chengfa01)limit both

host(config-qos-chengfa01)maxbandwidth ingress 10000

host(config-qos-chengfa01)maxbandwidth egress 10000

host(config-qos-chengfa01)perip ingress 10000

host(config-qos-chengfa01)perip egress 10000

 

(2)     开启共享检测功能

host#system-view

host(config)#user-share check enable

(3)     设置惩罚方式为限速,限速时长为10分钟,添加到流量通道。

host(config)# user-share limit enable terminal-count 2 limit-time 10 qos-profile chengfa01

host(config)#user-share log switch on

host(config)#user-share white user any

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们