配置策略后才会显示：

1  简介

本文档介绍ACG1000设备共享上网监控功能配置举例，在配置前，先了解如下定义：

·     共享用户检测：检测存在多个用户共享一个IP或账号上网的行为。

·     共享热点：无线AP或TP-Link等具备DHCP及NAT功能，能承载多用户上网的设备。

·     自动阻断：当检测到存在共享上网行为的热点后设备会根据配置的规则阻断用户上网，并推送阻断提示。

·     自动限速：当检测到存在共享上网行为的热点后，设备会根据配置的规则对共享用户进行限速控制。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

·     无线热点可使用pppoe拨号、DHCP或固定IP接入网络，本配置举例以手动配置固定IP方式进行介绍。

本文档假设您已了解共享上网监控特性。

3  共享上网监控配置举例：阻断惩罚

3.1.1  组网需求

如图1所示，某高校给已注册交费的学生开通上网账号，要求一个账号只能允许一个学生使用，禁止一个账号多人共享使用的情况，当发现存在共享上网行为的热点时自动将用户阻断，但允许一台电脑和1个移动设备同时接入的情况，使用ACG1000设备的ge0和ge3接口以三层路由模式部署在网络中，ACG上联出口FW，下联三层设备路由器。ACG1000产品上开启防共享功能，检测共享上网行为并进行阻断和提醒。

图1 防共享组网

3.1.2  配置思路

·     配置设备接口地址及路由。

·     配置共享检测地址对象。

·     配置用户识别范围。

·     配置IPv4控制策略默认规则。

·     开启防共享功能。

3.1.3  使用版本

本举例是在F6610版本上进行配置和验证的。

3.1.4  配置步骤

(1)     配置路由接口

如图2、图3所示，进入网络管理>接口，点击编辑ge0、ge3操作，把ge0、ge3的地址分别配置为172.16.30.2/24、172.16.10.2/24。

图2 配置ge0接口

图3 配置ge3接口

(2)     配置静态路由

如图4配置访问外网的默认路由及去往内网用户网段172.16.11.0/24,172.16.12.0/24路由。

图4 配置静态路由

(3)     配置防共享用户地址对象

如图5所示，进入“上网行为管理>对象管理>地址对象>IPv4地址对象”，点击<新建>按钮创建防共享用户地址对象，设置地址为172.16.11.0/24，点击<提交>。

图5 配置防共享用户地址对象

(4)     配置用户识别范围

如图6所示，进入“用户管理>高级选项>全局配置”页面，识别范围选择“防共享用户”，其它配置默认，提交配置。

图6 用户识别范围

(5)     修改IPv4控制策略默认规则

如图7所示，进入“上网行为管理>IPv4控制策略”，选择默认规则为允许。

图7 修改默认规则

(6)     开启防共享功能

如图8所示，进入“上网行为管理> 终端管理>共享上网监控 > 共享接入配置 >”页面，配置防共享参数。

图8 防共享配置

3.1.5  配置注意事项

·     无线热点开启NAT功能，开启DHCP，配置地址池范围为172.16.12.2/24~172.16.12.254/24。无线热点使用固定IP或拨号上网。

·     共享接入用户NAT后网段必须在用户识别范围中，否则会导致共享接入检测不到共享用户。

3.1.6  验证配置

如图9所示，某学生使用1台PC和1个移动终端访问网络，检测到共享上网行为，上网被阻断，并收到阻断提醒。

图9 共享接入监控状态冻结

如图10所示， 设备向终端推送阻断提示

图10 阻断提示

4  共享上网监控功能配置举例：限速惩罚

4.1.1  组网需求

如图11所示，某企业网络内网用户通过ACG设备访问外网，但是部分内网用户私接路由器访问外网，导致出口带宽严重不够，影响企业对外提供的一些业务，现需对私接路由器的用户进行检测并对检测到的共享用户进行限速惩罚。

图11 共享上网监控组网

4.1.2  配置思路

·     配置设备接口地址、路由、NAT。

·     配置内网用户地址对象。

·     配置用户识别范围。

·     配置IPv4控制策略默认规则。

·     配置限速惩罚通道。

·     开启防共享功能。

4.1.3  使用版本

本举例是在F6610版本上进行配置和验证的。

4.1.4  配置步骤

(1)     配置路由接口

如图12所示，进入“网络管理>接口>物理接口”，点击编辑ge1、ge4操作，把ge1、ge4的地址分别配置为10.1.1.1/24、192.168.2.37/24。

图12 接口地址配置

(2)     配置静态路由

如图13所示，进入“网络管理>路由>静态路由”，配置一条访问外网的默认路由。

图13 配置静态路由

(3)     配置源NAT

如图14所示，进入“网络管理>NAT策略>源NAT”，新建一条源NAT，使内网用户正常访问外网。

图14 源NAT配置

(4)     配置内网用户地址对象

如图15所示，进入“上网行为管理>对象管理>地址对象>IPv4地址对象”，点击<新建>按钮创建认证用户地址对象，设置地址为10.1.1.0/24，点击<提交>。

图15 内网用户地址对象

(5)     配置用户识别范围

如图16所示，进入“用户管理>高级选项>全局配置”页面，识别范围选择“10.1.1.0”，其它配置默认，提交配置。

图16 用户识别范围

(6)     修改IPv4控制策略默认规则

如图17所示，进入“上网行为管理>IPv4控制策略”，选择默认规则为允许。

图17 修改默认规则

(7)     配置限速惩罚通道

如图18所示，进入“上网行为管理>流控策略>流量控制”，新建一条“惩罚通道”，配置惩罚通道参数。

图18 惩罚通道

(8)     开启共享上网监控功能

如图19所示，进入“上网行为管理>终端管理> 共享上网监控>共享接入配置>”页面，配置共享接入配置参数。

图19 共享接入配置

4.1.5  配置注意事项

·     无线热点开启NAT功能，开启DHCP，配置地址池范围为20.1.1.10-20.1.1.50。无线热点使用固定IP或拨号上网。

·     共享接入用户NAT后网段必须在用户识别范围中，否则会导致共享接入检测不到共享用户。

4.1.6  验证配置

如图20所示，某用户使用1台PC和1个移动终端访问网络，能检测到共享上网行为，自动被限速惩罚。

图20 共享接入监控状态被限速惩罚

如图21所示， 可以在共享接入日志上查看到终端被限速惩罚的日志信息，点击<详细>可查看到终端识别明细信息。

图21 共享接入限速日志

5  防共享说明

移动终端识别方式包含：

·     基于时间戳识别技术

·     基于UA识别技术

·     基于微信长连接识别技术

·     基于应用特征识别技术

PC终端识别方式包含：

·     基于webRTC+flash COOKIE识别技术

·     基于UA识别技术

·     基于应用特征识别技术

·     基于微信长连接识别技术

首页的阻断用户数都统计哪些用户及行为？

策略违规展示的是应用控制日志中阻断用户。

共享终端违规展示的是共享接入监控中的阻断用户（阻断和限速）。

限额违规展示的是限额策略中限额用户统计中阻断用户（禁止上网和限速）。