您好，请知：

以下是MSR2600设置上网行为管理的举例配置，请参考：

5  应用控制配置举例

5.1  组网需求

如图1所示，内网用户通过Device连接到网络，需要对内网用户的上网行为进行管理，具体需求如下：

·         禁止内网用户访问微信，并生成日志信息。

·         对内网用户访问某视频网站进行限速，流量的上/下行最大带宽均为100kbps，并生成日志信息。

·         为保护内网用户地址安全，需要开启NAT地址转换功能。

图1 应用控制配置组网图

5.2  配置步骤

(1)       配置WAN口

·            非模块化设备

# 选择“网络设置 > 端口管理”，将接口GigabitEthernet0/2的端口类型设置为WAN2。

# 选择“网络设置 > 外网配置 > 场景定义”，进入场景定义配置页面，在单WAN场景中，设置WAN出接口为WAN2（GE0/2）。单击<应用>按钮。完成场景配置。在WAN配置页面，单击<修改WAN1配置>按钮，配置如下。

¡  连接模式：固定地址

¡  IP地址：200.1.1.1

¡  子网掩码：255.255.255.0

¡  开启NAT地址转换功能

# 单击<保存配置>按钮，完成配置。

·            模块化设备

# 选择“网络设置 > 端口管理”，将GigabitEthernet1/0/2的端口类型设置为“WAN”。

# 选择“网络设置 > 外网配置”，单击<添加>按钮，进入“添加WAN配置”页面，配置如下。

¡  接口：GigabitEthernet1/0/2

¡  连接模式：固定地址

¡  IP地址：200.1.1.1

¡  子网掩码：255.255.255.0

¡  开启NAT地址转换功能

# 单击<确定>按钮，完成WAN配置。

(2)       配置LAN口

·            非模块化设备

# 选择“网络设置 > LAN配置”，选择接口Vlan-interface1，单击<编辑>按钮，进入修改LAN配置页面，配置如下。

¡  IP地址：192.168.3.20

¡  子网掩码：255.255.255.0

¡  开启DHCP服务，配置IP地址范围：192.168.3.50~192.168.3.120；网关地址：192.168.3.20

# 单击<确定>按钮，完成LAN配置。

·            模块化设备

# 选择“网络设置 > LAN配置 > LAN配置”，单击<添加>按钮，进入“新建LAN配置”页面，配置如下。

¡  名称：GigabitEthernet1/0/1

¡  IP地址：192.168.3.20

¡  子网掩码：255.255.255.0

¡  开启DHCP服务，配置IP地址范围：192.168.3.50~192.168.3.120；网关地址：192.168.3.20

# 单击<确定>按钮，完成LAN配置。

(3)       配置防火墙功能

·            非模块设备

缺省情况下已将接口加入对应的安全域，不必配置此步骤。

·            模块化设备

# 选择 “网络安全 > 防火墙 > 域防火墙”，进入安全域配置页面，配置如下。

¡  Trust安全域中，加入成员GigabitEthernet1/0/1。

¡  Untrust安全域中，加入成员GigabitEthernet1/0/2。

图2 配置Trust安全域

# 单击<确定>按钮，完成Trust安全域配置。

图3 配置Untrust安全域

# 单击<确定>按钮，完成Untrust安全域配置。

(4)       配置应用控制策略

·            非模块化设备

# 选择“上网行为管理 > 上网行为管理 > 全局策略”，进入全局策略配置页面，单击<开启上网行为管理>按钮，开启全局上网行为管理功能。

# 选择“上网行为管理 > 上网行为管理 > 应用控制”，进入应用控制策略配置页面。

# 在应用控制页面，单击<添加>按钮，进入“添加应用控制策略”页面，配置如下。

¡  策略名：test。

¡  在“即时通信”应用分类右侧，单击<详情>按钮，选择“微信”。配置动作为“阻断”，并勾选“记录”。

¡  在“P2P”应用分类右侧，单击<详情>按钮，选择“爱奇艺”。配置动作为“限速”，单击右侧的<编辑>按钮，设置上/下行最大带宽均为100kbps，并勾选“记录”。

¡  其他配置项均保持默认情况即可。

# 单击<确定>按钮，完成应用控制策略的配置。

图4 选择微信应用

图5 选择爱奇艺应用

图6 配置爱奇艺限速

图7 添加应用控制策略

5.3  验证配置

完成上述配置后，可以对内网用户访问的应用进行控制。

(1)       当用户使用微信时，设备将对该行为进行阻断，并生成日志信息。

(2)       内网用户访问爱奇艺应用，流量的上/下行最大带宽限制在100kbps左右（12.718KB/s约为101.7Kb/s），并生成日志信息。可通过display traffic-policy statistics bandwidth all命令查看限速信息。

5.4  配置文件

#

version 7.1.064, Release 0605P01

#

sysname H3C

#

vlan 1

#

dhcp server ip-pool GigabitEthernet1/0/1

gateway-list 192.168.3.20

network 192.168.3.0 mask 255.255.255.0

address range 192.168.3.50 192.168.3.120

#

interface GigabitEthernet1/0/1

port link-mode route

ip address 192.168.3.20 255.255.255.0

#

interface GigabitEthernet1/0/2

port link-mode route

description Multiple_Line

combo enable copper

ip address 200.1.1.1 255.255.255.0

nat outbound

#

object-policy ip Any-Any

rule 0 drop app-group test_1 logging

rule 1 pass app-group test_13 logging

rule 2 inspect test

rule 65534 pass

#

security-zone name Local

#

security-zone name Trust

import interface GigabitEthernet1/0/1

#

security-zone name Untrust

import interface GigabitEthernet1/0/2

#

security-zone name Management

#

zone-pair security source Any destination Any

object-policy apply ip Any-Any

#

app-group test_1

description "User-defined application group"

include application WeChat

#

app-group test_13

description "User-defined application group"

include application iQiYiPPS

#

ip http enable

ip https enable

#

traffic-policy

rule name test_1

  source-address address-set any

  application app WeChat

rule name test_13

  action qos profile test_13

  source-address address-set any

  application app iQiYiPPS

profile name test_13

  bandwidth downstream maximum 100

  bandwidth upstream maximum 100

#

return

6  网址过滤配置举例（与Web安全功能配合举例）

6.1  组网需求

如图8所示，内网用户通过Device连接外网，需要对内网用户访问的网站进行管理，具体需求如下：

·         阻断内网用户访问计算机科技类的网址，并记录日志。

·         通过配置自定义网址类型：126*.com，阻断Host用户访问126邮箱，并记录日志。配置白名单，允许访问腾讯新闻（www.info.3g.qq.com）。

图8 网址过滤典型配置组网图

6.2  配置步骤

(1)       配置WAN口（具体配置步骤请参见5.2  (1)配置WAN口）

(2)       配置LAN口（具体配置步骤请参见5.2  (2)配置LAN口）

(3)       配置防火墙功能（具体配置步骤请参见5.2  (3)配置防火墙功能）

(4)       配置网址过滤策略

# 选择“上网行为管理 > 上网行为管理 > 网址过滤”，进入网址过滤配置页面。

# 创建名称为test的网址过滤策略，需要先在“应用控制”页签下单击<添加>按钮，创建一个名称为test的应用控制策略，此应用控制策略创建成功后，“网址过滤”页签会自动创建一个同名的网址过滤策略。

# 在“网址过滤”页面，选择名称为test的网址过滤策略，单击右侧的<修改>按钮，进入“修改网址过滤策略”页面，配置内容如下。

¡  选择网址分类中的“计算机科技”，动作设置为阻断，并勾选“记录”。

¡  选择“自定义网址”类型，配置网址关键字为：126*.com，单击右侧的<+>按钮，并将动作设置为阻断，并勾选“记录”。

¡  单击<确定>按钮，完成网址过滤策略的配置。

图9 配置网址过滤策略阻断访问计算机科技类网址

图10 配置网址过滤策略阻断访问自定义类型网址

# 选择“上网行为管理 > 上网行为管理 > Web安全”，进入Web安全配置页面。

# 单击<启用Web白名单>按钮，在URL列表项下配置“网址关键字”为：www.info.3g.qq.com，单击右侧的<+>按钮，完成Web白名单的配置。单击<应用>按钮，激活Web白名单功能。

图11 配置白名单

6.3  验证配置

完成上述配置后，可以对内网用户访问的网址进行控制。

(1)       内网用户访问计算机科技类的网站将被阻断。

(2)       内网用户访问126邮箱将被阻断。

(3)       内网用户可以访问腾讯新闻。可在“上网行为管理 > 审计日志 > 网址过滤日志”页面查看，腾讯新闻网页被识别为“白名单”。

6.4  配置文件

#

version 7.1.064, Release 0605P01

#

sysname H3C

#

vlan 1

#

dhcp server ip-pool GigabitEthernet1/0/1

gateway-list 192.168.3.20

network 192.168.3.0 mask 255.255.255.0

address range 192.168.3.50 192.168.3.120

#

interface GigabitEthernet1/0/1

port link-mode route

ip address 192.168.3.20 255.255.255.0

#

interface GigabitEthernet1/0/2

port link-mode route

description Multiple_Line

combo enable copper

ip address 200.1.1.1 255.255.255.0

nat outbound

#

object-policy ip Any-Any

rule 0 inspect test

rule 65534 pass

#

security-zone name Trust

import interface GigabitEthernet1/0/1

#

security-zone name Untrust

import interface GigabitEthernet1/0/2

#

zone-pair security source Any destination Any

object-policy apply ip Any-Any

#

url-filter policy 8048_url_profile_global

default-action permit

add whitelist 2 host text www.info.3g.qq.com

#

url-filter policy test

default-action permit

category custom action drop logging

category Pre-ComputersAndTechnology action drop logging

add whitelist 2 host text www.info.3g.qq.com

#

url-filter category custom severity 65535

rule 1 host regex 126*.com

#

app-profile test

url-filter apply policy test

#

wlan global-configuration

control-address disable

#

wlan ap-group default-group

#

traffic-policy

rule name test_0

  source-address address-set any

#

Return