• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ACG违规用户怎么设置

2023-05-23提问
  • 0关注
  • 0收藏,960浏览
粉丝:0人 关注:0人

问题描述:

ACG 用户违规要显示违规用户数、需要怎么设置


组网及组网描述:


最佳答案

粉丝:7人 关注:20人

配置禁止共享策略时匹配会显示,这个功能禁止二级路由

共享策略配置参考

https://www.h3c.com/cn/d_202209/1696659_30005_0.htm

暂无评论

2 个回答
粉丝:237人 关注:8人

配置策略后才会显示:


1  简介

本文档介绍ACG1000设备共享上网监控功能配置举例,在配置前,先了解如下定义:

·     共享用户检测:检测存在多个用户共享一个IP或账号上网的行为。

·     共享热点:无线AP或TP-Link等具备DHCP及NAT功能,能承载多用户上网的设备。

·     自动阻断:当检测到存在共享上网行为的热点后设备会根据配置的规则阻断用户上网,并推送阻断提示。

·     自动限速:当检测到存在共享上网行为的热点后,设备会根据配置的规则对共享用户进行限速控制。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

·     无线热点可使用pppoe拨号、DHCP或固定IP接入网络,本配置举例以手动配置固定IP方式进行介绍。

本文档假设您已了解共享上网监控特性。

3  共享上网监控配置举例:阻断惩罚

3.1.1  组网需求

图1所示,某高校给已注册交费的学生开通上网账号,要求一个账号只能允许一个学生使用,禁止一个账号多人共享使用的情况,当发现存在共享上网行为的热点时自动将用户阻断,但允许一台电脑和1个移动设备同时接入的情况,使用ACG1000设备的ge0和ge3接口以三层路由模式部署在网络中,ACG上联出口FW,下联三层设备路由器。ACG1000产品上开启防共享功能,检测共享上网行为并进行阻断和提醒。

图1 防共享组网

 

3.1.2  配置思路

·     配置设备接口地址及路由。

·     配置共享检测地址对象。

·     配置用户识别范围。

·     配置IPv4控制策略默认规则。

·     开启防共享功能。

3.1.3  使用版本

本举例是在F6610版本上进行配置和验证的。

3.1.4  配置步骤

(1)     配置路由接口

图2图3所示,进入网络管理>接口,点击编辑ge0、ge3操作,把ge0、ge3的地址分别配置为172.16.30.2/24、172.16.10.2/24。

图2 配置ge0接口

 

图3 配置ge3接口

 

(2)     配置静态路由

图4配置访问外网的默认路由及去往内网用户网段172.16.11.0/24,172.16.12.0/24路由。

图4 配置静态路由

 

(3)     配置防共享用户地址对象

图5所示,进入“上网行为管理>对象管理>地址对象>IPv4地址对象”,点击<新建>按钮创建防共享用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图5 配置防共享用户地址对象

 

(4)     配置用户识别范围

图6所示,进入“用户管理>高级选项>全局配置”页面,识别范围选择“防共享用户”,其它配置默认,提交配置。

图6 用户识别范围

 

(5)     修改IPv4控制策略默认规则

图7所示,进入“上网行为管理>IPv4控制策略”,选择默认规则为允许。

图7 修改默认规则

 

(6)     开启防共享功能

图8所示,进入“上网行为管理> 终端管理>共享上网监控 > 共享接入配置 >”页面,配置防共享参数。

图8 防共享配置

 

3.1.5  配置注意事项

·     无线热点开启NAT功能,开启DHCP,配置地址池范围为172.16.12.2/24~172.16.12.254/24。无线热点使用固定IP或拨号上网。

·     共享接入用户NAT后网段必须在用户识别范围中,否则会导致共享接入检测不到共享用户。

3.1.6  验证配置

图9所示,某学生使用1台PC和1个移动终端访问网络,检测到共享上网行为,上网被阻断,并收到阻断提醒。

图9 共享接入监控状态冻结

 

图10所示, 设备向终端推送阻断提示

图10 阻断提示

 

4  共享上网监控功能配置举例:限速惩罚

4.1.1  组网需求

图11所示,某企业网络内网用户通过ACG设备访问外网,但是部分内网用户私接路由器访问外网,导致出口带宽严重不够,影响企业对外提供的一些业务,现需对私接路由器的用户进行检测并对检测到的共享用户进行限速惩罚。

图11 共享上网监控组网

 

4.1.2  配置思路

·     配置设备接口地址、路由、NAT。

·     配置内网用户地址对象。

·     配置用户识别范围。

·     配置IPv4控制策略默认规则。

·     配置限速惩罚通道。

·     开启防共享功能。

4.1.3  使用版本

本举例是在F6610版本上进行配置和验证的。

4.1.4  配置步骤

(1)     配置路由接口

图12所示,进入“网络管理>接口>物理接口”,点击编辑ge1、ge4操作,把ge1、ge4的地址分别配置为10.1.1.1/24、192.168.2.37/24。

图12 接口地址配置

 

(2)     配置静态路由

图13所示,进入“网络管理>路由>静态路由”,配置一条访问外网的默认路由。

图13 配置静态路由

 

(3)     配置源NAT

图14所示,进入“网络管理>NAT策略>源NAT”,新建一条源NAT,使内网用户正常访问外网。

图14 源NAT配置

 

(4)     配置内网用户地址对象

图15所示,进入“上网行为管理>对象管理>地址对象>IPv4地址对象”,点击<新建>按钮创建认证用户地址对象,设置地址为10.1.1.0/24,点击<提交>。

图15 内网用户地址对象

 

(5)     配置用户识别范围

图16所示,进入“用户管理>高级选项>全局配置”页面,识别范围选择“10.1.1.0”,其它配置默认,提交配置。

图16 用户识别范围

 

(6)     修改IPv4控制策略默认规则

图17所示,进入“上网行为管理>IPv4控制策略”,选择默认规则为允许。

图17 修改默认规则

 

(7)     配置限速惩罚通道

图18所示,进入“上网行为管理>流控策略>流量控制”,新建一条“惩罚通道”,配置惩罚通道参数。

图18 惩罚通道

 

(8)     开启共享上网监控功能

图19所示,进入“上网行为管理>终端管理> 共享上网监控>共享接入配置>”页面,配置共享接入配置参数。

图19 共享接入配置

 

4.1.5  配置注意事项

·     无线热点开启NAT功能,开启DHCP,配置地址池范围为20.1.1.10-20.1.1.50。无线热点使用固定IP或拨号上网。

·     共享接入用户NAT后网段必须在用户识别范围中,否则会导致共享接入检测不到共享用户。

4.1.6  验证配置

图20所示,某用户使用1台PC和1个移动终端访问网络,能检测到共享上网行为,自动被限速惩罚。

图20 共享接入监控状态被限速惩罚

 

图21所示, 可以在共享接入日志上查看到终端被限速惩罚的日志信息,点击<详细>可查看到终端识别明细信息。

图21 共享接入限速日志

 

5  防共享说明

移动终端识别方式包含:

·     基于时间戳识别技术

·     基于UA识别技术

·     基于微信长连接识别技术

·     基于应用特征识别技术

PC终端识别方式包含:

·     基于webRTC+flash COOKIE识别技术

·     基于UA识别技术

·     基于应用特征识别技术

·     基于微信长连接识别技术

暂无评论

粉丝:160人 关注:1人

首页的阻断用户数都统计哪些用户及行为?

策略违规展示的是应用控制日志中阻断用户。

共享终端违规展示的是共享接入监控中的阻断用户(阻断和限速)。

限额违规展示的是限额策略中限额用户统计中阻断用户(禁止上网和限速)。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明