47-限额策略典型配置举例
本章节下载 (696.13 KB)
目 录
本文档介绍设备的流量和时长限额举例,包括基于流量的日限额和月限额,基于时长的日限额和月限额。
限额策略具有如下特点:
· 流量限额:支持日限额和月限额。
· 时长限额:支持日限额和月限额 。
· 支持设置惩罚时长。
· 支持提醒:达到限额条件后推送提醒页面提示用户,可以设置只提醒一次或定期提醒。
· 支持惩罚通道限速:基于时长惩罚或一直惩罚。
· 支持禁止上网:基于时长禁止上网或一直禁止上网。
· 支持限额统计:基于IP维度和用户账号维度。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解限额策略特性。
如图1所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet
限制每用户,每日限额为500MB,超出限额后,禁止访问网络。
根据每ip分配日限额流量,流量达到限额后对网络进行阻断或添加到惩罚通道进行限速。
本举例是在R6612版本上进行配置和验证的。
如图2所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。
(1) 新增限额策略
引用源IP,如图3所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。
(2) 配置日限额
选择限额类型为流量 日限额 ,配置500MB,动作为禁止上网,如图4、图5。
(3) 查看限额状态
访问internet下载一个500+MB文件,检查限额状态,如图6。
(4) 结果检查
访问http页面,检查页面是否被禁止,如图7。
(1) 配置惩罚通道
在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图8所示。
(2) 配置日限额
在导航栏中选择“策略配置>用户限额策略”,配置限额类型为流量/日限额,阈值为500MB。源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如图9所示。
(3) 结果检查
配置完成后,内网PC访问外网internet,如图10。
下载500+MB数据后,查看限额用户统计状态是否为限速,如图11。
查看流量监控,流量是否限速为20Mbps,如图12。
(1) 新增限额策略
进入“策略配置>用户限额策略”,点击<新建>选择限额类型为流量 月限额 ,配置500MB,动作为禁止上网,惩罚时间为10分钟,如图13、图14所示。
(2) 查看限额状态
访问internet下载一个500+MB文件,检查限额状态,如图14。
(3) 结果检查
访问http页面,检查页面是否被禁止,如图15。
(1) 配置惩罚通道
在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图16所示。
(2) 配置月限额
在导航栏中选择“策略配置>用户限额策略”,点击<新建>限额策略,配置限额类型为流量/月限额,阈值为500MB。限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如图17。
(3) 结果检查
配置完成后,内网PC访问外网internet,如图18所示。
下载500+MB数据后,查看限额用户统计状态是否为限速,如图19。
查看流量监控,流量是否限速为20Mbps,如图20。
10分钟后检查速率可以正常恢复到之前的速率。
interface ge1
ip address 192.168.201.92/24
allow access https
allow access ping
!
interface ge2
ip address 192.168.1.1/24
allow access https
allow access http
!
policy-quota 日流量限额
enable
log disable
schdule always
match user any
match application any
match src-address any
match dst-address any
quota mode traffic
perday enable
perday bandwidth 500
notify disable
punish disable
policy6 default-action permit
policy-quota 日流量限额-流控通道
enable
log disable
schdule always
match user any
match application any
match src-address any
match dst-address any
quota mode traffic
perday enable
perday bandwidth 500
notify disable
punish enable
punish action limit qos-profile 惩罚通道
punish interval 0
policy6 default-action permit
!
如图21所示HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet
限制每用户,每日限额为500MB,超出限额后,禁止访问网络。
根据每ip分配日限额流量,上网时间达到限额后对网络进行阻断或添加到惩罚通道。
本举例是在R6612版本上进行配置和验证的。
如图22所示,进入“策略配置>对象管理>地址>地址对象”,点击<新建>,IP地址配置为192.168.1.0/24。
(1) 新增限额策略
如图23所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。
(2) 配置日限额
选择限额类型为时长日限额 ,配置日限额为5分钟,如图24所示。
配置限额超出处理:开启提醒,阈值为50%,间隔为0分钟,如图25。
配置惩罚设置,惩罚时长为5分钟,动作为禁止上网,如图26。
(3) 查看限额状态
访问http页面,检查限额状态页面,如图27 。
(4) 检查提醒功能
三分钟后访问http页面,检查是否弹出提醒页面.如图28。
(5) 仅提醒一次验证
再次访问页面,检查是否正常显示,如图29。
(6) 日限额阈值验证
第5分钟后,再次访问,检查页面是否被禁止,如图30。
(7) 惩罚时间验证
第10分钟后(惩罚5分钟),重新访问,检查网络是否恢复正常,如图31。
(1) 新增惩罚通道
配置 惩罚通道,在导航栏中选择“策略配置 > 流量控制策略 > 流量控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图32所示。
(2) 新增限额策略
在导航栏中选择“策略配置>用户限额策略”, 配置限额类型为时长/日限额,阈值为5分钟,源IP为192.168.1.0网段,限额超出处理为添加到惩罚通道,如图33所示。
(3) 结果检查
配置完成后,内网PC访问外网internet,下载文件,检查是否为限速下载,如图34。
5分钟后,下载文件,检查限额用户统计,如图35。
(4) 进入惩罚通道
查看流量监控,流量是否限速为20Mbps,如图36。
(1) 新增限额策略
引用源IP,如图37所示,进入“策略配置>用户限额策略”,点击<新建>,“源地址”配置为192.168.1网段。
(2) 配置月限额
选择限额类型为“时长/月限额”,配置阈值为1小时,动作为禁止上网,惩罚时间为10分钟,如图38。
(3) 限额状态检查
访问internet,检查限额状态,如图39。
(4) 时间限额阈值验证
一小时后,访问http页面,检查页面是否被禁止,如图40。
10分钟后,再次访问http页面,检查是否正常。
(1) 新增惩罚通道
配置 惩罚通道,在导航栏中选择“策略配置 > 流量控制策略 > 流量 控制”,点击<新建>,选择<惩罚通道>进入配置页面,如图41所示。
(2) 新增限额策略
在导航栏中选择“策略配置>用户限额策略”,配置限额类型为流量/月限额,阈值为1小时,限额超出处理为添加到惩罚通道,惩罚时间为10分钟,如图42。
(3) 速率检查
配置完成后,内网PC访问外网internet,下载数据,检查是否为限速。
(4) 限速检查
1小时后查看流量监控,流量是否限速为20Mbps,如图43。
10分钟后检查速率是否恢复限速。
interface ge1
ip address 192.168.201.92/24
allow access https
allow access ping
!
interface ge2
ip address 192.168.1.1/24
allow access https
allow access http
!
policy-quota 日流量限额
enable
log disable
schdule always
match user any
match application any
match src-address any
match dst-address any
quota mode traffic
perday enable
perday bandwidth 500
notify disable
punish disable
policy6 default-action permit
policy-quota 日流量限额-流控通道
enable
log disable
schdule always
match user any
match application any
match src-address any
match dst-address any
quota mode traffic
perday enable
perday bandwidth 500
notify disable
punish enable
punish action limit qos-profile 惩罚通道
punish interval 0
policy6 default-action permit
!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!