- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-上网行为管理典型配置举例
本章节下载: 01-上网行为管理典型配置举例 (1.02 MB)
目 录
本文档介绍路由器上网行为管理的配置方法。
路由器提供丰富的应用控制和网址控制功能,如需更全面的安全服务,请跳转到“特征库管理”页面更新特征库文件。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解上网行为管理特性。
本配置举例是在MSR810路由器Release 6749P32版本上进行配置和验证的。
如图4-1所示,Router为企业的出口网关,通过WAN1接口连接Internet,WAN1接口连接模式为固定地址,IP地址为2.2.2.1/24,网关地址为2.2.2.254,DNS1服务器地址为114.114.114.114,DNS2服务器地址为223.5.5.5。企业内部各部门PC通过Switch连接到Router的LAN接口,IP地址为10.1.1.1/24。需要实现对内网IP地址范围的用户进行应用控制。具体要求如下:
· 对IP地址范围为10.1.1.2~10.1.1.254的用户进行应用控制。
· 禁止上班时间段(周一至周五9:00-18:00)访问爱奇艺软件,同时对使用迅雷软件下载进行限速,下行800kbps,上行200kbps。
网络接口的变化会影响上网行为管理效果,所以增加或者删除网络接口(WAN口或者LAN口)之后,必须先关闭上网行为管理,然后重新开启此功能。
# 本例中Router A外网的接口模式选择单WAN模式,WAN接口的连接模式为固定地址。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 外网配置”,进入外网配置页面。
(2) 点击“场景定义”页签,进入场景定义配置页面,并在场景定义页签下选择单WAN场景。
(3) 在“线路1”配置项处,选择连接外网的物理接口为WAN1(GE1)口。单击<应用>按钮使配置生效。
(4) 点击“WAN配置”页签,进入WAN配置页面。
(5) 单击WAN1对应的操作列编辑图标,进入修改WAN配置页面。
(6) 在“连接模式”配置项处,选择固定地址。
(7) 在“IP地址”配置项处,输入2.2.2.1。
(8) 在“子网掩码”配置项处,输入255.255.255.0。
(9) 在“网关地址”配置项处,输入2.2.2.254。
(10) 在“NAT地址转换”配置项处,启用NAT地址转换功能。
(11) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图4-2 配置WAN场景
图4-3 修改WAN配置
# 将LAN接口的IP地址配置为10.1.1.1。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > LAN配置”,进入LAN配置页面。
(2) 单击<添加>按钮,进入添加LAN页面。
(3) 在“LAN接口类型”配置项处,勾选“GE接口”。
(4) 在“请选择GE接口”配置项处,选择“GE0”。
(5) 在“接口IP地址”配置项处,输入10.1.1.1。
(6) 在“子网掩码”配置项处,输入255.255.255.0。
(7) 勾选“开启DHCP服务”复选框,开启设备的DHCP服务。
(8) 其它配置项保持默认配置,单击<确定>按钮,完成配置。
图4-4 添加LAN
配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“上网行为管理>用户组”,进入用户组配置页面。
(2) 单击<添加>按钮,进入新建用户组配置页面。
(3) 在“用户组名称”配置项处,输入neiwang。
(4) 在“IP地址段”配置项处,起始框中输入10.1.1.2,结束框中输入10.1.1.254。
(5) 单击<àà>按钮,提交配置的用户组内容。
(6) 单击<确定>按钮,完成用户组创建。
图4-5 配置用户组
# 将上班时间段设置为名称为“上班时间”的时间组。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“上网行为管理>时间组”,进入时间组配置页面。
(2) 单击<添加>按钮,进入新建时间组配置页面。
(3) 在“时间组名称”配置项处,输入上班时间。
(4) 在“生效时间”配置项处,选择周期性生效,并设置具体的时间段为周一至周五9:00-18:00,单击<+>按钮,提交配置的时间段。
(5) 单击<确定>按钮保存配置。
图4-6 新建时间组
(1) 在设备Web管理界面导航栏中选择“上网行为管理>上网行为管理策略”,进入上网行为管理配置页面。
(2) 在“上网行为管理策略”页签下,单击<添加>按钮,进入新建上网行为管理策略页面。
¡ 在“策略名”配置项处,配置上网行为管理策略名:policy1。
¡ 在“用户范围”配置项处,选择现有分组:neiwang。
¡ 在“限制时段”配置项处,选择现有时间组:上班时间。
¡ 在“应用控制”配置项处,单击“选择网络应用”右侧的<详情>按钮,选择P2P,单击<详情>按钮,勾选爱奇艺选项,单击<确定>按钮。配置对该应用的访问执行的动作为阻断,单击<确定>按钮,完成配置。
(3) 单击<确定>按钮,完成网络应用选择。
(4) 单击<确定>按钮,完成新建上网行为管理策略。
图4-7 选择网络应用
图4-8 配置阻断动作
图4-9 新建上网行为管理策略
(1) 在设备Web管理界面导航栏中选择“上网行为管理>上网行为管理策略”,进入上网行为管理配置页面。
(2) 在“上网行为管理策略”页签下,单击<添加>按钮,进入新建上网行为管理策略页面。
¡ 在“策略名”配置项处,配置上网行为管理策略名:policy2。
¡ 在“用户范围”配置项处,选择现有分组:neiwang。
¡ 在“限制时段”配置项处,选择现有时间组:上班时间。
¡ 在“应用控制”配置项处,单击“选择网络应用”右侧的<详情>按钮,选择P2P,单击<详情>按钮,勾选迅雷选项,单击<确定>按钮。配置对该应用的访问执行的动作为限速,单击右侧的<编辑>按钮,分别配置上下行最大带宽,单击<确定>按钮,完成限速配置。
(3) 单击<确定>按钮,完成网络应用选择。
(4) 单击<确定>按钮,完成新建上网行为管理策略。
图4-10 选择网络应用
图4-11 配置上下行最大带宽
图4-12 新建上网行为管理策略
(1) 在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”,进入上网行为管理配置页面。
(2) 在“全局控制”页签下,单击<开启上网行为管理>按钮,单击<应用>按钮使配置生效。
图4-13 开启上网行为管理
上班时间段内,内网用户无法使用爱奇艺软件,同时使用迅雷软件下载时流量受限,说明配置验证成功。
如图5-1所示,Router为企业的出口网关,通过WAN1接口连接Internet,WAN1接口连接模式为固定地址,IP地址为2.2.2.1/24,网关地址为2.2.2.254,DNS1服务器地址为114.114.114.114,DNS2服务器地址为223.5.5.5。企业内部各部门PC通过Switch连接到Router的LAN接口,IP地址为10.1.1.1/24。需要实现对内网IP地址范围的用户进行网址控制。具体要求如下:
· 对IP地址范围为10.1.1.2~10.1.1.254的用户进行网址控制。
· 通过默认网址禁止内网用户上班时间段(周一至周五9:00-18:00)访问在线音乐。
· 通过自定义网址禁止内网用户上班时间段(周一至周五9:00-18:00)访问优酷网。
· 网络接口的变化会影响上网行为管理效果,所以增加或者删除网络接口(WAN口或者LAN口)之后,必须先关闭上网行为管理,然后重新开启此功能。
· 设备对网址执行动作的优先级由高到低依次为:上网行为管理策略中对指定网络应用执行的动作>上网行为管理策略中对指定网址执行的动作。
· 因为网址过滤功能基于HTTP协议,所以应用控制功能中不能将HTTP协议阻断,否则将影响设备对网址的识别,导致网址过滤功能不生效。
# 本例中Router A外网的接口模式选择单WAN模式,WAN接口的连接模式为固定地址。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 外网配置”,进入外网配置页面。
(2) 点击“场景定义”页签,进入场景定义配置页面,并在场景定义页签下选择单WAN场景。
(3) 在“线路1”配置项处,选择连接外网的物理接口为WAN1(GE1)口。单击<应用>按钮使配置生效。
(4) 点击“WAN配置”页签,进入WAN配置页面。
(5) 单击WAN1对应的操作列编辑图标,进入修改WAN配置页面。
(6) 在“连接模式”配置项处,选择固定地址。
(7) 在“IP地址”配置项处,输入2.2.2.1。
(8) 在“子网掩码”配置项处,输入255.255.255.0。
(9) 在“网关地址”配置项处,输入2.2.2.254。
(10) 在“NAT地址转换”配置项处,启用NAT地址转换功能。
(11) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图5-2 配置WAN场景
图5-3 修改WAN配置
# 将LAN接口的IP地址配置为10.1.1.1。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > LAN配置”,进入LAN配置页面。
(2) 单击<添加>按钮,进入添加LAN页面。
(3) 在“LAN接口类型”配置项处,勾选“GE接口”。
(4) 在“请选择GE接口”配置项处,选择“GE0”。
(5) 在“接口IP地址”配置项处,输入10.1.1.1。
(6) 在“子网掩码”配置项处,输入255.255.255.0。
(7) 勾选“开启DHCP服务”复选框,开启设备的DHCP服务。
(8) 其它配置项保持默认配置,单击<确定>按钮,完成配置。
图5-4 添加LAN
(1) 在设备Web管理界面导航栏中选择“上网行为管理>用户组”,进入用户组配置页面。
(2) 单击<添加>按钮,进入新建用户组配置页面。
(3) 在“用户组名称”配置项处,输入neiwang。
(4) 在“IP地址段”配置项处,起始框中输入10.1.1.2,结束框中输入10.1.1.254。
(5) 单击<àà>按钮,提交配置的用户组内容。
(6) 单击<确定>按钮,完成用户组创建。
图5-5 配置用户组
# 将上班时间段设置为名称为“上班时间”的时间组。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“上网行为管理>时间组”,进入时间组配置页面。
(2) 单击<添加>按钮,进入新建时间组配置页面。
(3) 在“时间组名称”配置项处,输入上班时间。
(4) 在“生效时间”配置项处,选择周期性生效,并设置具体的时间段为周一至周五9:00-18:00,单击<+>按钮,提交配置的时间段。
(5) 单击<确定>按钮保存配置。
图5-6 新建时间组
(1) 在设备Web管理界面导航栏中选择“上网行为管理>上网行为管理策略”,进入上网行为管理配置页面。
(2) 在“自定义网址”页签下,新建网址分类。
(3) 在默认网址分类下方的输入框中,新建名称为“1”的网址分类,单击右侧<+>按钮,新建一个空的网址分类。
图5-7 自定义网址
(4) 单击<编辑>按钮,进入设置网址关键字页面,向新建的网址分类中添加网址。
(5) 在“网址关键字”输入框中,输入youku*,单击右侧的<+>按钮,添加网址。
图5-8 设置网址关键字
(6) 添加网址后,单击<确定>按钮,完成新建自定义网址分类。
(7) 在“上网行为管理策略”页签下,单击<添加>按钮,进入新建上网行为管理策略页面。
¡ 在“策略名”配置项处,配置上网行为管理策略名:policy1。
¡ 在“用户范围”配置项处,选择现有分组:neiwang。
¡ 在“限制时段”配置项处,选择现有时间组:上班时间。
¡ 在“网址控制”配置项处,进行如下配置:
- 选择网址分类:自定义-1、在线音乐。
- 选择协议类型:选择HTTP、HTTPS。
- 配置网址控制动作:阻断选择的网址,其他放行。
(8) 单击<确定>按钮,完成新建上网行为管理策略。
图5-9 新建上网行为管理策略
(1) 在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”,进入上网行为管理配置页面。
(2) 在“全局控制”页签下,单击<开启上网行为管理>按钮,单击<应用>按钮使配置生效。
图5-10 开启上网行为管理
上班时间段内,内网用户无法访问在线音乐和优酷网。
如图6-1所示,Router为企业的出口网关,通过WAN1接口连接Internet,WAN1接口连接模式为固定地址,IP地址为2.2.2.1/24,网关地址为2.2.2.254,DNS1服务器地址为114.114.114.114,DNS2服务器地址为223.5.5.5。企业内部各部门PC通过Switch连接到Router的LAN接口,IP地址为10.1.1.1/24。现需要通过网址黑名单功能禁止内网用户访问优酷网。
· 网络接口的变化会影响上网行为管理效果,所以增加或者删除网络接口(WAN口或者LAN口)之后,必须先关闭上网行为管理,然后重新开启此功能。
· 设备对网址执行动作的优先级由高到低依次为:上网行为管理策略中对指定网络应用执行的动作>上网行为管理策略中对指定网址执行的动作>网址黑白名单。
# 本例中Router A外网的接口模式选择单WAN模式,WAN接口的连接模式为固定地址。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 外网配置”,进入外网配置页面。
(2) 点击“场景定义”页签,进入场景定义配置页面,并在场景定义页签下选择单WAN场景。
(3) 在“线路1”配置项处,选择连接外网的物理接口为WAN1(GE1)口。单击<应用>按钮使配置生效。
(4) 点击“WAN配置”页签,进入WAN配置页面。
(5) 单击WAN1对应的操作列编辑图标,进入修改WAN配置页面。
(6) 在“连接模式”配置项处,选择固定地址。
(7) 在“IP地址”配置项处,输入2.2.2.1。
(8) 在“子网掩码”配置项处,输入255.255.255.0。
(9) 在“网关地址”配置项处,输入2.2.2.254。
(10) 在“NAT地址转换”配置项处,启用NAT地址转换功能。
(11) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图6-2 配置WAN场景
图6-3 修改WAN配置
# 将LAN接口的IP地址配置为10.1.1.1。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > LAN配置”,进入LAN配置页面。
(2) 单击<添加>按钮,进入添加LAN页面。
(3) 在“LAN接口类型”配置项处,勾选“GE接口”。
(4) 在“请选择GE接口”配置项处,选择“GE0”。
(5) 在“接口IP地址”配置项处,输入10.1.1.1。
(6) 在“子网掩码”配置项处,输入255.255.255.0。
(7) 勾选“开启DHCP服务”复选框,开启设备的DHCP服务。
(8) 其它配置项保持默认配置,单击<确定>按钮,完成配置。
图6-4 添加LAN
(1) 在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”,进入上网行为管理配置页面。
(2) 在“网址黑白名单”页签下,点击<启用web黑名单>按钮。
(3) 在网址关键字配置项中,输入网址youku*。
(4) 点击右侧的<+>按钮,添加网址。
(5) 点击<应用>按钮,完成web黑名单的配置。
图6-5 网址黑名单
(1) 在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”,进入上网行为管理配置页面。
(2) 在“全局控制”页签下,单击<开启上网行为管理>按钮,单击<应用>按钮使配置生效。
图6-6 开启上网行为管理
内网用户无法访问优酷网。
如图7-1所示,Router为企业的出口网关,通过WAN1接口连接Internet,WAN1接口连接模式为固定地址,IP地址为2.2.2.1/24,网关地址为2.2.2.254,DNS1服务器地址为114.114.114.114,DNS2服务器地址为223.5.5.5。企业内部各部门PC通过Switch连接到Router的LAN接口,IP地址为10.1.1.1/24。现需要通过网址白名单功能允许内网用户访问优酷网。
· 网络接口的变化会影响上网行为管理效果,所以增加或者删除网络接口(WAN口或者LAN口)之后,必须先关闭上网行为管理,然后重新开启此功能。
· 设备对网址执行动作的优先级由高到低依次为:上网行为管理策略中对指定网络应用执行的动作>上网行为管理策略中对指定网址执行的动作>网址黑白名单。
# 本例中Router A外网的接口模式选择单WAN模式,WAN接口的连接模式为固定地址。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 外网配置”,进入外网配置页面。
(2) 点击“场景定义”页签,进入场景定义配置页面,并在场景定义页签下选择单WAN场景。
(3) 在“线路1”配置项处,选择连接外网的物理接口为WAN1(GE1)口。单击<应用>按钮使配置生效。
(4) 点击“WAN配置”页签,进入WAN配置页面。
(5) 单击WAN1对应的操作列编辑图标,进入修改WAN配置页面。
(6) 在“连接模式”配置项处,选择固定地址。
(7) 在“IP地址”配置项处,输入2.2.2.1。
(8) 在“子网掩码”配置项处,输入255.255.255.0。
(9) 在“网关地址”配置项处,输入2.2.2.254。
(10) 在“NAT地址转换”配置项处,启用NAT地址转换功能。
(11) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图7-2 配置WAN场景
图7-3 修改WAN配置
# 将LAN接口的IP地址配置为10.1.1.1。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > LAN配置”,进入LAN配置页面。
(2) 单击<添加>按钮,进入添加LAN页面。
(3) 在“LAN接口类型”配置项处,勾选“GE接口”。
(4) 在“请选择GE接口”配置项处,选择“GE0”。
(5) 在“接口IP地址”配置项处,输入10.1.1.1。
(6) 在“子网掩码”配置项处,输入255.255.255.0。
(7) 勾选“开启DHCP服务”复选框,开启设备的DHCP服务。
(8) 其它配置项保持默认配置,单击<确定>按钮,完成配置。
图7-4 添加LAN
(1) 在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”,进入上网行为管理配置页面。
(2) 在“网址黑白名单”页签下,点击<启用web白名单>按钮。
(3) 在网址关键字配置项中,输入网址youku*。
(4) 点击右侧的<+>按钮,添加网址。
(5) 点击<应用>按钮,完成web白名单的配置。
图7-5 网址白名单
(1) 在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”,进入上网行为管理配置页面。
(2) 在“全局控制”页签下,单击<开启上网行为管理>按钮,单击<应用>按钮使配置生效。
图7-6 开启上网行为管理
内网用户可以访问优酷网。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
