- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
24-共享上網管理
本章節下載: 24-共享上網管理 (320.78 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 基本概念
○ 共享上網檢測方式
· 使用限製和指導
· 配置指南
共享上網管理功能可對通過NAT技術或代理技術進行共享上網的行為進行識別和管理。
單IP允許的最大終端數是指每個IP地址可被共享的最大終端數。當設備檢測到某IP地址下共享的終端數大於所配置的最大終端數時,將對該IP地址執行共享上網管理策略中配置的動作;如果檢測到的終端數小於配置的最大終端數,則允許此共享行為。
設備支持兩種方式進行凍結/解凍:
· 自動凍結/解凍:當報文源IP地址下共享的終端數超過配置的單IP允許的最大共享終端數,且共享策略動作為凍結時,該IP地址將被自動凍結,後續來自該IP地址的報文將被丟棄。當達到凍結時間後,被凍結的IP地址將自動解凍。
· 手工凍結/解凍:當IP地址處於未凍結狀態時,可通過手工的方式進行凍結;當IP地址處於凍結狀態且未達到凍結時間時,可通過手工的方式進行解凍。可在“共享上網管理 > 共享列表 ”頁麵,對每個IP地址的狀態執行相應的操作。
共享列表中顯示設備檢測到的存在共享上網行為的所有IP地址以及相關信息,包括:位置、用戶名、VRF、終端數量、共享策略名稱、凍結剩餘時間以及狀態。管理員可在“共享上網管理 > 共享列表“頁麵查看相關內容。
共享上網管理支持以下檢測方式:
· 應用檢測方式:設備在APR(Application Recognition,應用層協議識別)的基礎上進一步提取應用中的信息,用於檢測終端的共享上網行為。
· IPID檢測方式:設備可對報文的IPID字段的變化情況進行分析,檢測終端的共享上網行為。同一主機發出報文的IPID字段連續變化並呈遞增趨勢,且起始值隨機。如果在一段時間內,檢測到相同源IP地址報文的IPID字段在同一區間連續變化並呈遞增趨勢,則認為此IP地址不存在共享行為;如果相同源IP地址報文的IPID字段在多個區間連續變化並呈遞增趨勢,則認為此IP地址存在共享行為。
圖-1 共享上網管理實現流程圖
1. 如果未啟用共享策略,則允許報文通過;如果共享策略處於啟用狀態,則進入步驟2處理。
2. 判斷報文的源IP地址是否已經處於凍結狀態。如果已凍結,則丟棄報文;如果未凍結,則進入步驟3處理。
3. 報文與共享策略中的過濾條件進行匹配。如果匹配失敗,則允許報文通過;如果匹配成功,則對報文進行共享上網檢測。
4. 如果未檢測到報文的源IP地址存在共享行為,則允許報文通過;如果檢測到報文的源IP地址存在共享行為,則將該IP地址下共享的終端數量與共享策略中配置的單IP允許的最大共享終端數進行比較:
○ 如果超過配置的最大終端數,則對報文執行共享策略中配置的動作;
○ 如果未超過,則允許報文通過。
· 共享策略在新建和刪除後均需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。執行“提交”操作會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
· 執行“提交”操作後,界麵上會提示設置成功,但是配置文件此時可能尚未完成激活,如果此時報文經過設備,可能會出現暫時無法識別的情況。
· 目前僅支持配置一個共享策略。
· 使用本功能前,需要將APR特征庫升級到最新版本。
· 應用檢測方式有如下限製:
○ 僅支持對部分應用(QQ、微信、58同城和美團)進行共享上網行為檢測。
○ 如果應用本身進行了加密處理,則應用檢測方式無法對其進行共享上網行為檢測。
· IPID檢測方式有如下限製條件:
○ 檢測的終端為Windows係統,且報文IPID呈規律性變化。
○ 僅支持檢測IPv4類型地址。
○ 不支持對移動終端進行共享上網行為檢測。
· 本功能的支持情況與設備型號有關,請以設備實際情況為準。
共享上網管理功能的配置思路如下圖所示:
圖-2 共享上網管理配置指導圖
在配置共享上網管理功能之前,需要先配置安全策略使流量可在設備上通過。有關安全策略的相關介紹請參見“安全策略聯機幫助”。
配置共享策略具體步驟如下:
1. 在“策略 > 共享上網管理 > 共享策略”頁麵,單擊<新建>按鈕,進入“新建共享策略”頁麵。
2. 新建共享策略,具體配置內容如下表所示:
表-1 共享策略配置參數表
|
參數 |
說明 |
|
名稱 |
配置共享策略的名稱 |
|
描述信息 |
通過合理編寫描述信息,便於管理員快速理解和識別本共享策略 |
|
源安全域 |
配置源安全域作為共享策略的過濾條件 |
|
目的安全域 |
配置目的安全域作為共享策略的過濾條件 |
|
源IP地址 |
配置源IP地址作為共享策略的過濾條件 |
|
目的IP地址 |
配置目的IP地址作為共享策略的過濾條件 |
|
用戶 |
配置用戶作為共享策略的過濾條件 |
|
應用檢測 |
開啟應用檢測功能後,設備將針對用戶特定應用進行共享上網行為檢測 |
|
IPID檢測 |
開啟IPID檢測功能後,設備將使用報文的IPID字段(報文首部的標識字段)對共享上網行為進行檢測 |
|
單IP允許的最大終端數 |
用來限製可以同時使用相同IP地址的終端數量 |
|
動作 |
如果檢測到某IP地址下共享上網的終端數超過了單IP允許的最大終端數,設備將執行以下動作對該IP地址進行管理 · 允許:表示允許報文通過 · 凍結:表示對該IP地址進行凍結,即來自該IP地址的報文將被丟棄 |
|
凍結時間 |
如果共享策略動作為凍結,則需要配置相應的凍結時間。達到凍結時間後,已凍結的IP地址將自動解凍 |
|
記錄日誌 |
表示記錄共享上網日誌,當某IP地址下共享上網的終端數超過了單IP允許的最大終端數時,設備將記錄該IP地址的相關信息以及命中的共享上網策略的相關信息,方便用戶查看 |
|
啟用策略 |
選擇開啟後,此共享策略才能生效 |
3. 在“新建共享策略“頁麵,單擊<確定>按鈕,新建共享策略成功,並會在“共享策略”頁麵中顯示。
4. 新建共享策略後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
