本地转发应用识别及流控主要是针对远程部署本地转发场景无法对应用以及流量做精细化管控的问题。
以下相关功能配置截图均基于NAC3.9.0版本。
2.1.1 配置应用识别策略
首先新建个应用识别策略,并在角色中调用它
点击【认证授权】-【角色授权】-【无线访问控制策略】,新增一个基于应用的访问控制策略,策略的动作选择“拒绝”。
2.1.2在角色中调用访问控制策略
点击【认证授权】-【角色授权】,新增一个角色用来调用之前配置的访问控制策略。
2.1.3开启本地转发应用控制功能
点击【应用中心】-【服务管理】-【服务配置】-【本地转发应用控制】,将本地转发应用控制功能“开启”。
2.1.4配置本地转发识别控制策略
点击【接入点配置】-【本地转发应用控制】-【本地转发识别控制策略】-【控制器策略模式】选择“基于服务和应用控制”。
点击【流量处理策略】-【新增】,生效角色选择刚刚配置的“本地转发应用识别”策略,流量处理方式选择“基于服务和应用控制”。
【DNS报文处理方式】选择“镜像至控制器”。
【控制报文】这里不勾选“处理控制报文”。
【ICMP报文】勾选“放行ICMP协议报文”。
【镜像报文】这里上下行镜像报文个数保持默认。
【高级配置】-【流量处理超时】中超时时间保持默认5s,处理动作为“继续回绕”。
2.2.1配置一个本地转发的SSID
【接入点配置】-【无线网络】-【新增】,数据转发模式选择“本地转发”。
2.2.2SSID调用基于应用的访问控制策略
【权限设置】未匹配规则的终端用户设置默认角色为之前配置的“本地转发应用控制”。
至此,本地转发的应用控制就已经配置完毕。
本地转发应用流控策略生效必须满足以下条件:
1)用户为本地转发用户。
2)在本地转发识别控制策略中,配置角色流量处理方式为应用控制。
3)在角色中引用流速限制策略,并在流速限制策略中配置每用户接收/发送速率。
3.2.1配置流速限制策略
【认证授权】-【角色授权】-【流速限制策略】,新增一个流速限制策略。
3.2.2在角色中调用流速限制策略
【认证授权】-【角色授权】,新增一个本地转发应用流控的策略,调用“限制4Mbps”的流速限制策略。
【接入点配置】-【本地转发应用控制】-【本地转发识别控制策略】,控制策略模式选择“基于应用控制”,【流量处理策略】中的角色选择刚刚配置的“本地转发应用流控”。
【接入点配置】-【本地转发应用控制】-【本地转发流控策略】,适用角色选择刚刚配置的“本地转发应用流控”。
新增一个通道
【服务】选择ANY。
【应用】选择QQ、QQ传文件等。
【上下行流量】我们设置最大带宽比例为“80%”,也就是4 * 80% = 3.2Mbps。
同样我们再设置一个基于下载工具的流控通道,我们设置最大带宽比例为“20%”,也就是4 * 20% = 0.8Mbps。
1、如果应用识别不准确,可以尝试提高镜像报文的个数,建议提高到10个以上。
2、本地转发应用流控只能做限制通道不能做保障通道。