07-上网行为管理
本章节下载: 07-上网行为管理 (833.47 KB)
用户组是一组用户主机名或IP地址的集合。每个用户组中可以添加若干成员,成员的类型包括主机名、IP地址以及IP地址段。如果您的某些业务(例如带宽管理)需要使用用户组来识别用户报文,则需要提前配置符合业务需求的用户组。
· 添加到用户组中的IP地址只支持IPv4地址格式,不支持IPv6地址格式。
· 添加到用户组中的IP地址段的起始地址必须小于结束地址。
(1) 单击导航树中[上网行为管理/用户组]菜单项,进入用户组配置页面。
图1-1 用户组
(2) 点击<添加>按钮,进入新建用户组页面。
(3) 在“用户组名称”配置项处,输入用户组的名称。
(4) 在“描述信息”配置项处,输入用户组的描述信息。
(5) 配置用户组内容:
¡ 配置添加到用户组的主机名。
¡ 配置添加到用户组的单个IP地址。
¡ 配置添加到用户组IP地址段的起始IP地址及结束IP地址。
¡ 配置用户组排除的IP地址。
(6) 点击配置项右侧的<→→>按钮,提交配置的用户组内容。
(7) 重复(5)、(6)步骤可完成多个同类型成员的添加。
(8) 点击<确定>按钮,完成新建用户组。
图1-2 添加用户组
如果您希望设备上的某些功能(例如带宽管理、上网行为管理)仅在特定时间生效,而其他时间不生效,可以创建一个时间组,并在配置相关功能时引用时间组。
一个时间组中可以配置一个或多个时间段。时间段的生效时间有如下两种方式:
· 周期性生效:以周作为周期,循环生效。例如,每周一的8至12点。
· 非周期生效:在指定的时间范围内生效。例如,2015年1月1日8点至2015年1月3日18点。
如果一个时间组中配置了多个周期性生效和非周期生效的时间段,设备将取所有周期性生效时间段的并集和所有非周期生效时间段的并集,再取这两个并集的交集作为该时间组最终的生效时间。
例如,对名称为test的时间组配置如下时间段:
· 周期性生效的时间段为每周一至周五:
¡ 上午08:30~12:00;
¡ 下午13:30~18:00;
· 非周期时间段为2019年4月1日至2019年4月30日:
¡ 上午10:00~12:00;
¡ 下午14:00~16:00。
则该时间组在2019年4月份每周一至周五的上午10点至12点和下午14点至16点生效。
· 您最多可以创建1024个不同名称的时间组。
· 对于同一个时间组,不可以使用命令行和web页面混合配置。
· 一个时间组内最多可以配置32个周期性生效的时间段和12个非周期生效的时间段。
如果您想创建一个仅含有周期性生效时间段的时间组,或一个仅含有非周期生效时间段的时间组,请按照如下配置步骤操作。
(1) 单击导航树中[上网行为管理/时间组]菜单项,进入时间组配置页面。
图1-3 时间组
(2) 点击<添加>按钮,进入新建时间组页面。
(3) 在“时间组名称”配置项处,输入时间组的名称。
(4) 在“生效时间”配置项处,选择“周期性生效”或“非周期生效”,配置时间段。请选择其中一项进行配置。
¡ 周期性生效
点选每周需要生效的具体天数,并在下面输入每天的具体生效时间,点击<加号>按钮,完成本时间段的配置。
¡ 非周期生效
选择生效的起止日期,并在下面输入具体生效的起止时间,点击<加号>按钮,完成本时间段的配置。
(5) 点击<确定>按钮,完成时间组创建。
图1-4 新建单项时间组
如果您想创建一个同时含有周期性生效时间段和非周期生效时间段的时间组,请按照如下配置步骤操作。
(1) 单击导航树中[上网行为管理/时间组]菜单项,进入时间组配置页面。
(2) 点击<添加>按钮,进入新建时间组页面。
(3) 在“时间组名称”配置项处,输入时间组的名称。
(4) 在“生效时间”配置项处,根据需要选择:
¡ 选择“周期性生效”。点选每周需要生效的具体天数,并在下面输入每天的具体生效时间,点击<加号>按钮,完成本时间段的配置。
图1-5 新建多项时间组-周期性生效
¡ 选择“非周期生效”:选择生效的起止日期,并在下面输入具体生效的起止时间,点击<加号>按钮,完成本时间段的配置。
图1-6 新建多项时间组-非周期生效
(5) 点击<确定>按钮,完成时间组创建。
如果您想将一个同时含有周期性生效时间段和非周期生效时间段的时间组,修改成一个只含有一种生效方式的时间组,请按照如下配置步骤操作。
(1) 单击导航树中[上网行为管理/时间组]菜单项,进入时间组配置页面。
(2) 在指定时间组的“操作”区段上,点击<编辑>按钮,进入修改时间组页面。
(3) 在“生效时间”配置项处,选择想删除的生效方式:“周期性生效”或“非周期生效”。
(4) 依次点击具体生效时间后面的<删除>按钮,删除所有的具体生效时间。
(5) 点击<确定>按钮,完成时间组的修改。
图1-7 修改时间组
带宽管理功能用于对流量进行限速,用户可基于用户组和时间段等限制条件对流量进行精细控制。
对于需要保证时延的交互性应用流量,可通过启用绿色专用通道功能来保证带宽。
(1) 单击导航树中[上网行为管理/带宽管理]菜单项,进入带宽管理配置页面。
图1-8 带宽限速
(2) 在“带宽限速”页签下,点击<添加>按钮,进入新建带宽策略页面。
¡ 在“应用接口”配置项处,选择接口,设备将基于该接口进行带宽管理。
¡ 在“用户范围”配置项处,选择用户组,设备将仅对该用户组内的成员进行带宽管理。
¡ 在“流量限制”配置项处,分别配置上传带宽、下载带宽和流量分配方式。若不配置上传或下载中任意一个方向的带宽值,则表示不对该方向的带宽进行限速。
流量分配方式包括如下类型:
- 共享式:分配的带宽为总带宽,由所有用户平均分配。
- 独占式:分配的带宽为单用户的带宽,由单用户独享。
¡ 在“限制时段”配置项处,选择时间组。
(3) 点击<确定>按钮,完成新建带宽策略。
图1-9 新建带宽策略
请勿将绿色通道带宽设置过大,以免对普通流量产生影响。
(1) 单击导航树中[上网行为管理/带宽管理]菜单项,进入带宽管理配置页面。
(2) 单击“绿色通道”页签,进入绿色通道配置页面。
(3) 勾选“启用绿色专用通道”复选框,开启带宽管理的绿色通道功能。
(4) 对于需要保证时延的交互性应用流量,需要用户根据实际情况自行配置应用的协议和端口号。只有匹配应用的流量才能进入绿色通道传输,具体配置步骤如下:
¡ 勾选“自定义应用端口匹配绿色通道”复选框,点击自定义应用端口配置项右侧的<添加>按钮,进入新建界面,配置应用名称、应用协议和端口号。
¡ 点击<确定>按钮,完成新建自定义应用。
(5) 配置绿色通道中需要传输的应用后,还可以针对通道中所有应用进行如下限制:
¡ 如果希望对所有WAN口绿色通道中的流速上限配置相同限速值,则需要勾选“保障绿色通道流速上限”复选框,并配置每接口上行流速或每接口下行流速。
¡ 如果希望对不同WAN口绿色通道中的流速上限配置不同限速值,则需要取消“保障绿色通道流速上限”复选框的勾选,并按需配置各线路(对应各WAN口)的上下行带宽。
¡ 如果希望对绿色通道中传输的数据包长度进行限制,则需要勾选“匹配绿色通道数据包长度选择”复选框,并配置数据包的最大长度。超过最大长度的数据包不会进入绿色通道传输。
(6) 点击<应用>按钮,完成绿色通道的配置。
图1-10 绿色通道
只有设置了出口带宽的接口,配置的带宽保障策略才能生效。
一个接口只允许绑定一个策略;一个策略下可绑定多个匹配规则;一个匹配规则可添加多个匹配条件,其保证速率是确保符合当前匹配条件的所有用户能够使用到的总速率。
(1) 单击导航树中[上网行为管理/带宽管理]菜单项,进入带宽管理配置页面。
(2) 单击“带宽保障”页签,进入带宽保障配置页面。
(3) 设置接口的出口带宽,具体配置步骤如下:
¡ 在接口对应的“出口带宽”配置处,输入该接口实际运营商提供的链路带宽。
¡ 点击<应用>按钮。
图1-11 带宽保障
(4) 设置接口的带宽保障策略,具体配置步骤如下:
¡ 点击<添加>按钮,弹出新建带宽保障策略对话框。
¡ 在“策略名”配置处,输入带宽保障策略的名称。
¡ 在“应用接口”配置处,选择带宽保障策略应用的接口。
图1-12 新建带宽保障策略
¡ 点击<添加>按钮,弹出新建匹配规则对话框。
¡ 在“队列类型”配置处,选择匹配规则的队列调度机制。EF(快速转发)的转发优先级高于AF(确保转发)的转发优先级。
¡ 在“保证速率”配置处,输入确保符合当前匹配条件的所有用户能够使用到的总速率。
¡ 配置规则的匹配条件:输入协议名或者协议号,设置本端网段或者掩码、本端端口、对端网段或者掩码和对端端口后,点击<+>图标,完成匹配条件的增加。
¡ 点击<确定>按钮,完成匹配规则的新建。
(5) 返回新建带宽保障策略对话框,点击<确定>按钮,完成带宽保障策略的新建。
图1-13 新建匹配规则
上网行为管理功能用于对用户访问的应用以及网址进行控制,并可基于用户组和时间段等限制条件对用户的上网行为进行更精细的控制。
当用户需要使配置的上网行为管理策略和网址过滤功能生效时,需要在全局控制页面中开启上网行为管理功能。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
(2) 在“全局控制”页签下,点击<开启上网行为管理>按钮。
(3) 点击<应用>按钮,使配置生效。
图1-14 全局控制
因为网址过滤功能基于HTTP协议,所以应用控制功能中不能将HTTP协议阻断,否则将影响设备对网址的识别,导致网址过滤功能不生效。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
图1-15 上网行为管理策略
(2) 在“上网行为管理策略”页签下,点击<添加>按钮,进入新建上网行为管理策略页面。
¡ 在“策略名”配置项处,配置上网行为管理策略名。
¡ 在“用户范围”配置项处,选择用户组。
¡ 在“限制时段”配置项处,选择时间组。
¡ 在“网址控制”配置项处,进行如下配置:
- 选择网址分类:包括预定义和自定义网址分类,自定义网址分类的配置步骤请参见“配置自定义网址分类”。
- 选择协议类型:支持对HTTP和HTTPS协议类型进行网址控制。缺省情况下,已选择HTTP协议。
- 配置网址控制动作:对所选的网址分类执行的动作,包括放行、阻断和记录。配置以上任何一个动作时,也可同时配置记录动作,对放行和阻断行为进行记录。
¡ 在“应用控制”配置项处,点击“选择网络应用”右侧的<详情>按钮,选择应用,并配置对该应用的访问执行的动作,包括如下:
- 阻断:阻断对应用的访问。
- 不阻断不限速:不对应用的访问进行限制。
- 限速:对应用的访问进行限速,并通过点击右侧的<编辑>按钮,分别配置上下行最大带宽。
(3) 点击<确定>按钮,完成新建上网行为管理策略。
(4) 在上网行为管理页面,选择“全局控制”页签,点击<开启上网行为管理>按钮,使新建的上网行为管理策略生效。
图1-16 新建上网行为管理策略
当用户需要对指定的网址进行放行或阻断时,可通过开启Web白名单或黑名单实现。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
(2) 在“网址黑白名单”页签下,点击<启用web黑名单>或<启用web白名单>按钮。
(3) 选择支持的协议类型,包括HTTP和HTTPS。缺省情况下,已选择HTTP协议。
(4) 在网址关键字配置项中,输入网址。
(5) 点击右侧的<+>按钮,逐一添加网址。
(6) 点击<应用>按钮,完成web黑名单或白名单的配置。
图1-17 网址黑白名单
当设备已有的网址分类不能满足用户需求时,可通过自定义网址分类的方式按需添加网址。
自定义网址支持导出功能,当使用IE浏览器进行导出时,如果出现无法启动Excel的错误提示,请参考如下步骤修改浏览器配置:
点击浏览器的<工具>按钮,选择“Internet选项”,进入Internet选项窗口;选择“安全”页签,点击<自定义级别>按钮,找到“对未标记为可安全执行脚本的ActiveX 控件初始化并执行脚本”一项,选择“启用”。
(1) 单击导航树中[上网行为管理/上网行为管理]菜单项,进入上网行为管理配置页面。
图1-18 自定义网址
(2) 在“自定义网址”页签下,新建网址分类。
(3) 在默认网址分类下方的输入框中,配置新建网址分类的名称,点击右侧<+>按钮,新建一个空的网址分类成功,点击<编辑>按钮,进入设置网址关键字页面,向新建的网址分类中添加网址。
(4) 在“网址关键字”输入框中,配置网址,点击右侧的<+>按钮,逐条添加网址。
(5) 添加网址后,点击<确定>按钮,完成新建自定义网址分类。
图1-19 设置网址关键字
特征库是用来对经过设备的应用层流量进行识别的资源库,包括应用特征库和网址特征库。管理员需要及时更新设备中的特征库,对用户的上网行为进行更好的管理。
设备提供如下升级方式:
· 本地升级:管理员先手工从设备的官方网站获取最新的特征库,再导入到设备中进行升级。
· 在线升级:管理员触发在线升级功能后,设备自动从设备的官方网站获取最新的特征库文件,并自动导入设备中进行升级。
· 更新特征库时,请确保License已正确安装,并处于生效状态。
· 当系统内存处于告警门限状态时,请勿进行特征库更新,否则易导致设备特征库更新失败,进而影响上网行为管理功能的正常使用。
(1) 单击导航树中[上网行为管理/特征库管理]菜单项,进入特征库管理页面。
图1-20 应用特征库
(2) 在“应用特征库”或“网址特征库”页签下,点击<本地更新特征库>按钮,进入应用特征导入页面。
(3) 点击<选择文件>按钮,选择特征库文件。
(4) 点击<确定>按钮,完成本地更新特征库。
图1-21 网址特征库
在线更新特征库时,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备更新特征库会失败。
(1) 单击导航树中[上网行为管理/特征库管理]菜单项,进入特征库管理页面。
(2) 在“应用特征库”或“网址特征库”页签下,点击<在线更新特征库>按钮,完成在线更新特征库。
审计日志用来查看上网行为管理功能的应用控制和网址控制产生的日志信息,方便管理员对用户的上网行为进行分析与审计。
(1) 单击导航树中[上网行为管理/审计日志]菜单项,进入审计日志页面。
(2) 在“应用审计日志”页签下,点击<开启日志>按钮,开启日志审计功能。
(3) 设置完成后,管理员可在应用审计日志页面查看应用控制产生的日志信息,可点击<导出Excel>按钮,导出应用审计日志。
图1-22 应用审计日志
(1) 单击导航树中[上网行为管理/审计日志]菜单项,进入审计日志页面。
(2) 应用审计日志”页签下,点击<开启日志>按钮,开启日志审计功能。
(3) 单击“网址过滤日志”页签,进入网址过滤日志页面。
(4) 管理员可在网址过滤日志页面查看网址控制产生的日志信息,可点击<导出Excel>按钮,导出网址过滤日志。
图1-23 网址过滤日志
全局控制页面可以对用户的流量排行和应用流量排行进行开启和关闭的操作。
· 如果开启用户流量排行,在用户流量排行界面可查看到用户流量数据。
· 如果开启应用流量排行,在应用流量排行界面可查看到应用流量数据。
(1) 增加LAN接口时,需要单独开启该接口的用户流量排行。
(2) 如果接口下存在Portal配置,则在全局控制界面不显示该接口名称。删除该接口的Portal配置后可在全局控制页面显示该接口。
(1) 单击导航树中[上网行为管理/流量排行]菜单项,进入流量排行配置页面。
(2) 在“全局控制”页面,点击应用流量排行后的<开启>按钮可开启应用流量排行功能;反之,点击<关闭> 按钮可关闭应用流量排行功能。
(3) 在接口列表中可通过点击单个接口后的<开启>按钮,开启该接口上静态IP用户和DHCP用户的流量排行功能,也可以选中多个接口,然后点击右上角的<批量开启>按钮同时开启所有选中接口上静态IP用户和DHCP用户的流量排行功能。反之,可关闭相应接口上静态IP用户和DHCP用户的流量排行功能。
(4) 点击操作栏下的<编辑>按钮,进入“添加内网网段”页面。系统仅对内网网段中的IP地址进行流量统计和排行。系统默认配置的内网网段为直连网段,为保证网络连通性,请务必正确配置内网网段,若内网网段变化,请及时修改。
¡ “接口名称”,表示当前是基于哪个接口进行修改操作,不允许修改接口名称。
¡ 配置添加到内网网段的单个IP地址。
¡ 配置添加到内网网段的IP地址段的起始IP地址及结束IP地址。
(5) 点击配置项右侧的<→→>按钮,提交配置的内网网段内容。
(6) 点击<确定>按钮,完成内网网段添加。
图1-24 全局控制
认证用户的用户流量排行功能默认固定开启,无需用户操作。如需查看非认证用户的用户流量排行功能,需先在“全局控制”页面开启相应接口上的用户流量排行功能。
(1) 单击导航树中[上网行为管理/流量排行]菜单项,进入流量排行页面。
(2) 单击“用户流量排行”页签,进入用户流量排行页面。
(3) 单击操作栏下的<限速>按钮,进入终端限速页面。
(4) 进入终端限速界面后,在下拉框中选择需要应用的接口,配置上传带宽和下载带宽。
(5) 点击<确定>按钮,完成终端限速设置。
(6) 单击操作栏下的<详情>按钮,进入详情页面。在该页面可查看到用户流量等相关信息。
图1-25 用户流量排行
配置应用流量排行前需要先在“全局控制”页面开启应用流量排行功能。
(1) 单击导航树中[上网行为管理/流量排行]菜单项,进入流量排行页面。
(2) 单击“应用流量排行”页签,进入应用流量排行页面。
(3) 单击操作栏下的<详情>按钮,进入详情页面。在该页面可查看到应用流量等相关信息。
图1-26 应用流量排行
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!