19-群组管理
本章节下载 (678.29 KB)
目 录
Web页面提供的群组管理功能如下:
· 配置用户组
· 配置用户
· 配置接入控制
· 配置应用控制
· 配置带宽管理
· 配置包过滤
· 新增WAN口同步群组的配置
群组管理是指,将局域网中待管理的主机定义为用户,又将用户划分到不同的用户组中,基于用户组对局域网中的主机进行各种业务管理,包括设置接入控制、应用控制、带宽管理和包过滤功能。
· 接入控制:是指对用户组中用户访问网络的时段进行控制。对某用户组配置了接入控制功能后,指定时段期间来自该用户组的报文将被丢弃。
· 应用控制:是指根据应用程序或协议的特点,限制用户组中用户对Internet上对某些应用程序或协议的使用。应用控制也可以对所有用户进行限制,详细介绍请参见“Web配置指导 安全配置”中的“应用控制”。
· 带宽管理:是指对用户组中用户访问网络所占用的流量进行控制。随着互联网应用的普及,如果不限制用户发送的流量,大量用户不断突发的数据会使网络越来越拥挤。为了使有限的网络资源能够更好地发挥效用,更好地为更多用户服务,必须对用户的流量加以限制。带宽管理采用令牌桶(Token Bucket)对流量的规格进行评估,对不符合规格的报文进行丢弃,从而达到限制带宽的目的。
· 包过滤:是指对报文中的内容进行控制的功能,包括IP承载的协议类型、目的IP地址、源端口和目的端口。对某用户组配置了包过滤功能后,来自该用户组的匹配包过滤规则的报文将被丢弃。
群组配置的推荐步骤如表1-1所示。
步骤 |
配置任务 |
说明 |
1 |
必选 缺省情况下,不存在任何用户组 |
|
2 |
必选 为用户组配置用户成员 缺省情况下,用户组中不存在任何用户 |
|
3 |
四者至少选其一 为用户组配置接入控制、应用控制、带宽管理或包过滤业务 缺省情况下,用户组未配置任何业务 |
|
4 |
||
5 |
||
6 |
||
7 |
可选 如果有新增的WAN口或将其他非WAN口改变为WAN口,需要通过此步骤将群组的配置同步到新WAN口上 在执行WAN口同步之前要保证至少存在一个用户组 |
在导航栏中选择“高级配置 > 群组管理 > 群组设置”,默认进入“用户组”页签的页面,如图1-1所示。
用户组的详细配置如表1-2所示。
配置项 |
说明 |
用户组名称 |
设置要添加的用户组的名称 用户组名称为以字母开头的字符串,且不能包含问号、空格及中文字符 |
在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签,进入用户设置页面,如图1-2所示。
用户设置的详细配置如表1-3所示。
配置项 |
说明 |
用户组 |
设置要添加用户的用户组 |
添加模式 |
设置向用户组中添加用户的模式 · 静态:表示手动指定添加的用户的用户名和IP地址 · 动态:表示从局域网内所有与本设备相连的设备中进行选择 |
用户名 |
设置用户的名称 · 当静态添加用户时,需要手动设置用户名 · 当动态添加用户时,用户名为系统自动生成 |
IP地址 |
设置用户的IP地址 · 当静态添加用户时,需要手动设置IP地址 · 当动态添加用户时,系统会自动生成一个局域网内所有与本设备相连的设备的地址(包括IP地址和MAC地址)列表,只要在列表中进行选择即可 |
在导航栏中选择“高级配置 > 群组管理 > 接入控制”,进入如图1-3所示的页面。
接入控制的详细配置如表1-4所示。
配置项 |
说明 |
请选择一个用户组 |
设置要进行接入控制的用户组 当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行接入控制 |
星期 |
设置禁止用户组中用户访问网络的时间段 |
时间 |
在导航栏中选择“高级配置 > 群组管理 > 应用控制”,进入如图1-4所示的页面。
应用控制的详细配置如表1-5所示。
配置项 |
说明 |
请选择一个用户组 |
设置要进行应用控制的用户组 当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行应用控制 |
请选择应用程序进行限制 |
设置要进行限制的应用程序,可选择的应用程序有3种: · 已加载应用程序:即通过特征文件加载的应用程序。在“安全配置 > 应用控制”中可以将包含应用控制规则的特征文件加载到设备 · 预定义应用程序:设备预定义的应用程序类型 · 自定义应用程序:在“安全配置 > 应用控制”中可以配置自定义应用程序及相应的规则 |
在导航栏中选择“高级配置 > 群组管理 > 带宽管理”,进入如图1-5所示的页面。
配置项 |
说明 |
请选择一个用户组 |
设置要进行带宽管理的用户组 当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行带宽管理 |
CIR |
设置承诺信息速率,即允许的流的平均速率 |
CBS |
设置承诺突发尺寸,即每次突发所允许的最大的流量尺寸 CBS值必须大于最大报文长度 如果不指定CBS,则CBS默认为500毫秒以CIR速率通过的流量,但不会超过CBS的取值范围 |
在导航栏中选择“高级配置 > 群组管理 > 包过滤”,进入如图1-6所示的页面。
包过滤的详细配置如表1-7所示。
配置项 |
说明 |
|
请选择一个用户组 |
设置要进行包过滤的用户组 当设备上的用户组数大于1时,此配置项可以选择“all”,表示对当前设备上所有用户组进行包过滤 |
|
协议 |
设置IP承载的协议类型 |
|
目的IP地址 |
设置报文的目的IP地址和通配符 |
|
目的通配符 |
||
源端口 |
操作 |
设置TCP/UDP报文的源端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 在“操作”下拉框中选择端口操作符 · 选择“NotCheck”时,开始和结束端口均不可以配置 · 选择“Range”时,开始和结束端口都要配置,共同确定一个端口号范围 · 选择其它选项时,开始要配置,结束端口不可以配置 |
开始端口 |
||
结束端口 |
||
目的端口 |
操作 |
设置TCP/UDP报文的目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 在“操作”下拉框中选择端口操作符 · 选择“NotCheck”时,开始和结束端口均不可以配置 · 选择“Range”时,开始和结束端口都要配置,共同确定一个端口号范围 · 选择其它选项时,开始要配置,结束端口不可以配置 |
开始端口 |
||
结束端口 |
在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“WAN口同步”页签,进入WAN口同步页面,如图1-7所示。单击<同步>按钮,执行WAN口同步操作。
图1-7 WAN口同步
如图1-8所示,某部门所有主机通过Router访问Internet,其中Host A为部门经理使用的主机,Host B、Host C、Host D为员工主机。在Router上进行配置实现如下功能:
· 接入控制:员工主机在工作时间(周一~周五的9:00~18:00)不能访问Internet,而经理主机访问Internet不受时间限制。
· 应用控制:员工主机不能使用MSN应用,而经理主机不受限制。
· 带宽控制:员工主机访问Internet的平均速率不得超过8kbps;经理主机访问Internet的平均速率不得超过54kbps。
· 包过滤:员工主机不能访问Internet上IP地址为2.2.2.1的服务器。
# 创建员工用户组staff和经理用户组manager。
· 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,进入“用户组”页签的页面,进行如下配置,如图1-9所示。
图1-9 创建用户组staff和manager
· 输入用户组名称为“staff”。
· 单击<应用>按钮完成操作。
· 输入用户组名称为“manager”。
· 单击<应用>按钮完成操作。
# 向用户组中添加用户。
· 在导航栏中选择“高级配置 > 群组管理 > 群组设置”,单击“用户”页签,进行如下配置,如图1-10所示。
图1-10 向用户组staff中添加用户
· 选择用户组为“staff”。
· 选择添加模式为“动态”,显示局域网内所有与Router相连的主机和设备的地址,包括IP地址和MAC地址。
· 在列表中选择Host B、Host C、Host D的地址项。
· 单击<应用>按钮,弹出配置进度对话框,如图1-11所示。
· 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-12 向用户组manager中添加用户
· 如图1-12所示,选择用户组为“manager”。
· 选择添加模式为“静态”。
· 输入用户名为“hosta”。
· 输入IP地址为“192.168.1.11”。
· 单击<应用>按钮,弹出配置进度对话框。
· 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置对用户组staff的接入控制。
· 在导航栏中选择“高级配置 > 群组管理 > 接入控制”,进行如下配置,如图1-13所示。
图1-13 配置对用户组staff的接入控制
· 选择用户组为“staff”。
· 选中“星期一”、“星期二”、“星期三”、“星期四”、“星期五”前的复选框。
· 选择开始时间为“09:00”。
· 选择结束时间为“18:00”。
· 单击<应用>按钮,弹出配置进度对话框。
· 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 加载应用程序(假设特征文件已保存在设备上)。
· 在导航栏中选择“安全配置 > 应用控制”,单击“加载应用程序”页签,进行如下配置,如图1-14所示。
· 选中“从设备选择特征文件加载”前的单选按钮,选择文件名为“p2p_default”。
· 单击<确定>按钮完成操作,在页面下方的已加载应用程序中可以看到“MSN”。
# 配置对用户组staff的应用控制。
· 在导航栏中选择“高级配置 > 群组管理 > 应用控制”,进行如下配置,如图1-15所示。
图1-15 配置对用户组staff的应用控制
· 选择用户组为“staff”。
· 在“已加载应用程序”中选择“MSN”。
· 单击<应用>按钮,弹出配置进度对话框。
· 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置对用户组staff和manager的带宽管理。
· 在导航栏中选择“高级配置 > 群组管理> 带宽管理”,进行如下配置,如图1-16示。
图1-16 配置对用户组staff和manager的带宽管理
· 选择用户组为“staff”。
· 输入CIR为“8”。
· 单击<应用>按钮,弹出配置进度对话框。
· 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
· 选择用户组为“manager”。
· 输入CIR为“54”。
· 单击<应用>按钮,弹出配置进度对话框。
· 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置对用户组staff的包过滤。
· 在导航栏中选择“高级配置 > 群组管理 > 包过滤”,进行如下配置,如图1-17所所示。
· 选择用户组为“staff”。
· 选择协议为“IP”。
· 选中“目的IP地址”前的复选框。
· 输入目的IP地址为“2.2.2.1”。
· 输入目的IP地址的通配符为“0.0.0.0”。
· 单击<应用>按钮,弹出配置进度对话框。
· 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!