本地转发应用识别及流控主要是针对远程部署本地转发场景无法对应用以及流量做精细化管控的问题。
以下相关功能配置截图均基于NAC 3.11.0 版本。
开启本地转发应用控制功能
【系统管理】-【服务管理】-【服务配置】-【本地转发应用控制】,将本地转发应用控制服务开启。
新建基于应用的无线访问控制策略
例如:【认证配置】-【认证授权】-【角色授权】-【无线访问控制策略】新增“禁止抖音”无线访问控制策略,并禁止抖音的流量。
例如:【认证配置】-【认证授权】-【角色授权】新增名为“信锐测试”的角色,并调用“禁止抖音”无线访问控制策略
【认证配置】-【认证授权】-【本地转发应用策略】启用“本地转发识别控制策略”,控制策略模式修改为“基于服务&应用控制”
然后新增流量处理策略,生效的角色选择刚刚新增的“信锐测试”,处理方式选择基于服务&应用控制,DNS报文处理方式选择镜像到控制器,其他选项保持默认不变即可。
【接入点管理】-【无线网络】新增本地转发SSID并调用角色权限
本地转发应用流控策略生效必须满足以下条件:
1、用户为本地转发用户。
2、在本地转发识别控制策略中,配置角色流量处理方式为应用控制。
3、在角色中引用流速限制策略,并在流速限制策略中配置每用户接收/发送速率。
例如:【认证配置】-【认证授权】-【角色授权】-【流速限制策略】新增名为“test”的策略
例如:【认证配置】-【认证授权】-【角色授权】新增“信锐测试2”并调用刚创建好的“test”的限速策略
本地转发识别控制策略:
【认证配置】-【认证授权】-【本地转发应用策略】-【本地转发识别控制策略】,控制策略模式选择“基于服务&应用控制”,【流量处理策略】中的角色选择刚刚配置的“本地转发应用流控”。
本地转发流控策略:
【认证配置】-【认证授权】-【本地转发应用策略】-【本地转发流控策略】新增“test2”流控策略并选择“信锐测试2”角色
新增通道“imall”,服务选择“any”,应用本例选“IM/IM传文件”,上下行流量均可占带宽的80%。
同样我们再设置一个基于下载工具的流控通道,我们设置最大带宽比例为20%。
1、如果应用识别不准确,可以尝试提高镜像报文的个数,建议提高到10个以上。
2、本地转发应用流控只能做限制通道不能做保障通道。