• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6612 E6453)-6W109

47-限额策略典型配置举例

本章节下载  (696.13 KB)

47-限额策略典型配置举例


1  简介

本文档介绍设备的流量和时长限额举例,包括基于流量的日限额和月限额,基于时长的日限额和月限额。

限额策略具有如下特点:

·     流量限额:支持日限额和月限额。

·     时长限额:支持日限额和月限额 。

·     支持设置惩罚时长。

·     支持提醒:达到限额条件后推送提醒页面提示用户,可以设置只提醒一次或定期提醒。

·     支持惩罚通道限速:基于时长惩罚或一直惩罚。

·     支持禁止上网:基于时长禁止上网或一直禁止上网。

·     支持限额统计:基于IP维度和用户账号维度。

 

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解限额策略特性。

3  基于流量的限额策略配置举例

3.1  组网需求

图1所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet

限制每用户,每日限额为500MB,超出限额后,禁止访问网络

图1 限额策略配置组网图

 

3.2  配置思路

根据每ip分配日限额流量,流量达到限额后对网络进行阻断或添加到惩罚通道进行限速。

3.3  使用版本

本举例是在R6612版本上进行配置和验证的。

3.4  配置注意事项

3.5  配置步骤

1. 配置地址对象

图2所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。

图2 配置地址对象

 

2. 配置基于流量的日限额策略/禁止上网

(1)     新增限额策略

引用源IP,如图3所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图3 限额策略配置界面

 

(2)     配置日限额

选择限额类型为流量 日限额 ,配置500MB,动作为禁止上网,如图4图5

图4 限额用户配置界面

 

图5 限额策略配置界面

 

(3)     查看限额状态

访问internet下载一个500+MB文件,检查限额状态,如图6

图6 限额用户统计界面

 

(4)     结果检查

访问http页面,检查页面是否被禁止,如图7

图7 访问外网界面

 

3. 配置基于流量的日限额策略/惩罚通道

(1)     配置惩罚通道

在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图8所示。

图8 惩罚通道配置界面

 

 

(2)     配置日限额

在导航栏中选择“策略配置>用户限额策略”,配置限额类型为流量/日限额,阈值为500MB。源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如图9所示。

图9 限额策略配置界面

 

(3)     结果检查

配置完成后,内网PC访问外网internet,如图10

图10 限额用户统计页面

 

下载500+MB数据后,查看限额用户统计状态是否为限速,如图11

图11 限额用户统计界面

 

查看流量监控,流量是否限速为20Mbps,如图12

图12 流量监控页面

 

 

4. 配置基于流量的月限额策略/禁止上网

(1)     新增限额策略

进入“策略配置>用户限额策略”,点击<新建>选择限额类型为流量 月限额 ,配置500MB,动作为禁止上网,惩罚时间为10分钟,如图13图14所示。

图13 配置月限额策略

 

(2)     查看限额状态

访问internet下载一个500+MB文件,检查限额状态,如图14

图14 查看限额状态

 

(3)     结果检查

访问http页面,检查页面是否被禁止,如图15

图15 禁止访问网络

 

5. 配置基于流量的月限额策略/惩罚通道

(1)     配置惩罚通道

在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图16所示。

图16 惩罚通道配置界面

 

 

(2)     配置月限额

在导航栏中选择“策略配置>用户限额策略”,点击<新建>限额策略,配置限额类型为流量/月限额,阈值为500MB。限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如图17

图17 限额策略配置页面

 

(3)     结果检查

配置完成后,内网PC访问外网internet,如图18所示。

图18 查看限额状态

 

下载500+MB数据后,查看限额用户统计状态是否为限速,如图19

图19 查看限额状态

 

查看流量监控,流量是否限速为20Mbps,如图20

图20 查看状态

 

10分钟后检查速率可以正常恢复到之前的速率。

3.6  配置文件

interface ge1

 ip address 192.168.201.92/24

 allow access https

 allow access ping

!       

interface ge2

 ip address 192.168.1.1/24

 allow access https

 allow access http

!

policy-quota 日流量限额

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish disable

policy6 default-action permit

 

policy-quota 日流量限额-流控通道

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish enable

 punish action limit qos-profile 惩罚通道

 punish interval 0

policy6 default-action permit

!

4  基于时长的限额配置举例

4.1  组网需求

图21所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet

限制每用户,每日限额为500MB,超出限额后,禁止访问网络。

图21 限额策略配置组网图

 

4.2  配置思路

根据每ip分配日限额流量,上网时间达到限额后对网络进行阻断或添加到惩罚通道。

4.3  使用版本

本举例是在R6612版本上进行配置和验证的。

4.4  配置注意事项

4.5  配置步骤

4.5.1  配置设备

1. 配置地址对象

图22所示,进入“策略配置>对象管理>地址>地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。

图22 配置地址对象

 

2. 配置基于时长的日限额策略/禁止上网

(1)     新增限额策略

图23所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图23 限额策略配置界面

 

(2)     配置日限额

选择限额类型为时长日限额 ,配置日限额为5分钟,如图24所示。

图24 限额策略配置界面

 

配置限额超出处理:开启提醒,阈值为50%,间隔为0分钟,如图25

图25 限额策略配置界面

 

配置惩罚设置,惩罚时长为5分钟,动作为禁止上网,如图26

图26 限额策略配置界面

 

(3)     查看限额状态

访问http页面,检查限额状态页面,如图27

图27 限额用户统计页面

 

(4)     检查提醒功能

三分钟后访问http页面,检查是否弹出提醒页面.如图28

图28 访问外网界面

 

(5)     仅提醒一次验证

再次访问页面,检查是否正常显示,如图29

图29 访问外网界面

 

(6)     日限额阈值验证

第5分钟后,再次访问,检查页面是否被禁止,如图30

图30 访问外网界面

 

(7)     惩罚时间验证

第10分钟后(惩罚5分钟),重新访问,检查网络是否恢复正常,如图31

图31 访问外网界面

 

3. 配置基于时长的日限额策略/惩罚通道

(1)     新增惩罚通道

配置 惩罚通道,在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图32所示。

图32 惩罚通道配置界面

 

(2)     新增限额策略

在导航栏中选择“策略配置>用户限额策略”, 配置限额类型为时长/日限额,阈值为5分钟,源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如图33所示。

图33 新增限额策略

 

(3)     结果检查

配置完成后,内网PC访问外网internet,下载文件,检查是否为限速下载,如图34

图34 限额用户统计界面

 

5分钟后,下载文件,检查限额用户统计,如图35

图35 限额用户统计界面

 

(4)     进入惩罚通道

查看流量监控,流量是否限速为20Mbps,如图36

图36 流量监控界面

 

4. 配置基于时长的月限额策略/禁止上网

(1)     新增限额策略

引用源IP,如图37所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。

图37 限额策略配置界面

 

(2)     配置月限额

选择限额类型为“时长/月限额”,配置阈值为1小时,动作为禁止上网,惩罚时间为10分钟,如图38

图38 限额策略配置界面

 

(3)     限额状态检查

访问internet,检查限额状态,如图39

图39 限额用户统计界面

 

(4)     时间限额阈值验证

一小时后,访问http页面,检查页面是否被禁止,如图40

图40 访问外网界面

 

10分钟后,再次访问http页面,检查是否正常。

5. 配置基于时长的月限额策略/惩罚通道

(1)     新增惩罚通道

配置 惩罚通道,在导航栏中选择“策略配置 > 流量控制策略 > 流量 控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图41所示。

图41 惩罚通道的配置

 

(2)     新增限额策略

在导航栏中选择“策略配置>用户限额策略”,配置限额类型为流量/月限额,阈值为1小时,限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如图42

图42 新增限额策略

 

(3)     速率检查

配置完成后,内网PC访问外网internet,下载数据,检查是否为限速。

(4)     限速检查

1小时后查看流量监控,流量是否限速为20Mbps,如图43

图43 限速检查

 

10分钟后检查速率是否恢复限速。

4.6  配置文件

interface ge1

 ip address 192.168.201.92/24

 allow access https

 allow access ping

!       

interface ge2

 ip address 192.168.1.1/24

 allow access https

 allow access http

!

policy-quota 日流量限额

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish disable

policy6 default-action permit

 

policy-quota 日流量限额-流控通道

 enable

 log disable

 schdule always

 match user any

 match application any

 match src-address any

 match dst-address any

 quota mode traffic

 perday enable

 perday bandwidth 500

 notify disable

 punish enable

 punish action limit qos-profile 惩罚通道

 punish interval 0

policy6 default-action permit

!

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们