24-共享上网管理
本章节下载: 24-共享上网管理 (315.14 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 基本概念
○ 共享上网检测方式
· 使用限制和指导
· 配置指南
共享上网管理功能可对通过NAT技术或代理技术进行共享上网的行为进行识别和管理。
单IP允许的最大终端数是指每个IP地址可被共享的最大终端数。当设备检测到某IP地址下共享的终端数大于所配置的最大终端数时,将对该IP地址执行共享上网管理策略中配置的动作;如果检测到的终端数小于配置的最大终端数,则允许此共享行为。
设备支持两种方式进行冻结/解冻:
· 自动冻结/解冻:当报文源IP地址下共享的终端数超过配置的单IP允许的最大共享终端数,且共享策略动作为冻结时,该IP地址将被自动冻结,后续来自该IP地址的报文将被丢弃。当达到冻结时间后,被冻结的IP地址将自动解冻。
· 手工冻结/解冻:当IP地址处于未冻结状态时,可通过手工的方式进行冻结;当IP地址处于冻结状态且未达到冻结时间时,可通过手工的方式进行解冻。可在“共享上网管理 > 共享列表”页面,对每个IP地址的状态执行相应的操作。
共享列表中显示设备检测到的存在共享上网行为的所有IP地址以及相关信息,包括:位置、用户名、VRF、终端数量、共享策略名称、冻结剩余时间以及状态。管理员可在“共享上网管理 > 共享列表“页面查看相关内容。
共享上网管理支持以下检测方式:
· 应用检测方式:设备在APR(Application Recognition,应用层协议识别)的基础上进一步提取应用中的信息,用于检测终端的共享上网行为。
· IPID检测方式:设备可对报文的IPID字段的变化情况进行分析,检测终端的共享上网行为。同一主机发出报文的IPID字段连续变化并呈递增趋势,且起始值随机。如果在一段时间内,检测到相同源IP地址报文的IPID字段在同一区间连续变化并呈递增趋势,则认为此IP地址不存在共享行为;如果相同源IP地址报文的IPID字段在多个区间连续变化并呈递增趋势,则认为此IP地址存在共享行为。
图-1 共享上网管理实现流程图
1. 如果未启用共享策略,则允许报文通过;如果共享策略处于启用状态,则进入步骤2处理。
2. 判断报文的源IP地址是否已经处于冻结状态。如果已冻结,则丢弃报文;如果未冻结,则进入步骤3处理。
3. 报文与共享策略中的过滤条件进行匹配。如果匹配失败,则允许报文通过;如果匹配成功,则对报文进行共享上网检测。
4. 如果未检测到报文的源IP地址存在共享行为,则允许报文通过;如果检测到报文的源IP地址存在共享行为,则将该IP地址下共享的终端数量与共享策略中配置的单IP允许的最大共享终端数进行比较:
○ 如果超过配置的最大终端数,则对报文执行共享策略中配置的动作;
○ 如果未超过,则允许报文通过。
· 共享策略在新建和删除后均需要进行“提交“操作。执行“提交”操作会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
· 执行“提交”操作后,界面上会提示设置成功,但是配置文件此时可能尚未完成激活,如果此时报文经过设备,可能会出现暂时无法识别的情况。
· 目前仅支持配置一个共享策略。
· 使用本功能前,需要将APR特征库升级到最新版本。
· 应用检测方式有如下限制:
○ 仅支持对部分应用(QQ、微信、58同城和美团)进行共享上网行为检测。
○ 如果应用本身进行了加密处理,则应用检测方式无法对其进行共享上网行为检测。
· IPID检测方式有如下限制条件:
○ 检测的终端为Windows系统,且报文IPID呈规律性变化。
○ 仅支持检测IPv4类型地址。
○ 不支持对移动终端进行共享上网行为检测。
共享上网管理功能的配置思路如下图所示:
图-2 共享上网管理配置指导图
在配置共享上网管理功能之前,需要先配置安全策略使流量可在设备上通过。有关安全策略的相关介绍请参见“安全策略联机帮助”。
配置共享策略具体步骤如下:
1. 在“策略 > 共享上网管理 > 共享策略”页面,单击<新建>按钮,进入“新建共享策略”页面。
2. 新建共享策略,具体配置内容如下表所示:
表-1 共享策略配置参数表
参数 |
说明 |
名称 |
配置共享策略的名称 |
描述信息 |
通过合理编写描述信息,便于管理员快速理解和识别本共享策略 |
源安全域 |
配置源安全域作为共享策略的过滤条件 |
目的安全域 |
配置目的安全域作为共享策略的过滤条件 |
源IP地址 |
配置源IP地址作为共享策略的过滤条件 |
目的IP地址 |
配置目的IP地址作为共享策略的过滤条件 |
用户 |
配置用户作为共享策略的过滤条件 |
应用检测 |
开启应用检测功能后,设备将针对用户特定应用进行共享上网行为检测 |
IPID检测 |
开启IPID检测功能后,设备将使用报文的IPID字段(报文首部的标识字段)对共享上网行为进行检测 |
单IP允许的最大终端数 |
用来限制可以同时使用相同IP地址的终端数量 |
动作 |
如果检测到某IP地址下共享上网的终端数超过了单IP允许的最大终端数,设备将执行以下动作对该IP地址进行管理 · 允许:表示允许报文通过 · 冻结:表示对该IP地址进行冻结,即来自该IP地址的报文将被丢弃 |
冻结时间 |
如果共享策略动作为冻结,则需要配置相应的冻结时间。达到冻结时间后,已冻结的IP地址将自动解冻 |
记录日志 |
表示记录共享上网日志,当某IP地址下共享上网的终端数超过了单IP允许的最大终端数时,设备将记录该IP地址的相关信息以及命中的共享上网策略的相关信息,方便用户查看 |
启用策略 |
选择开启后,此共享策略才能生效 |
3. 在“新建共享策略“页面,单击<确定>按钮,新建共享策略成功,并会在“共享策略”页面中显示。
4. 新建共享策略后,单击<提交>按钮,使共享策略生效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!