网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.9.0及以下版本
网络控制器NAC 文档 功能配置 流控管理 本地转发应用控制配置指导手册
{{sendMatomoQuery("网络控制器NAC","本地转发应用控制配置指导手册")}}

本地转发应用控制配置指导手册

更新时间:2023-12-05

1 功能简介 

本地转发应用识别及流控主要是针对远程部署本地转发场景无法对应用以及流量做精细化管控的问题。

以下相关功能配置截图均基于NAC3.9.0版本。

2 配置步骤 

2.1  配置本地转发应用识别策略  

2.1.1  配置应用识别策略  

首先新建个应用识别策略,并在角色中调用它

点击【认证授权】-【角色授权】-【无线访问控制策略】,新增一个基于应用的访问控制策略,策略的动作选择“拒绝”。

2.1.2在角色中调用访问控制策略

点击【认证授权】-【角色授权】,新增一个角色用来调用之前配置的访问控制策略。

2.1.3开启本地转发应用控制功能

点击【应用中心】-【服务管理】-【服务配置】-【本地转发应用控制】,将本地转发应用控制功能“开启”。

2.1.4配置本地转发识别控制策略

点击【接入点配置】-【本地转发应用控制】-【本地转发识别控制策略】-【控制器策略模式】选择“基于服务和应用控制”。

点击【流量处理策略】-【新增】,生效角色选择刚刚配置的“本地转发应用识别”策略,流量处理方式选择“基于服务和应用控制”。

【DNS报文处理方式】选择“镜像至控制器”。

【控制报文】这里不勾选“处理控制报文”。

【ICMP报文】勾选“放行ICMP协议报文”。

【镜像报文】这里上下行镜像报文个数保持默认。

【高级配置】-【流量处理超时】中超时时间保持默认5s,处理动作为“继续回绕”。

2.2 SSID调用本地转发应用识别策略 

2.2.1配置一个本地转发的SSID

【接入点配置】-【无线网络】-【新增】,数据转发模式选择“本地转发”。

2.2.2SSID调用基于应用的访问控制策略

【权限设置】未匹配规则的终端用户设置默认角色为之前配置的“本地转发应用控制”。

至此,本地转发的应用控制就已经配置完毕。

3 本地转发应用流控配置 

3.1 本地转发应用流控生效的基本条件 

本地转发应用流控策略生效必须满足以下条件:

1)用户为本地转发用户。

2)在本地转发识别控制策略中,配置角色流量处理方式为应用控制。

3)在角色中引用流速限制策略,并在流速限制策略中配置每用户接收/发送速率。

3.2 配置本地转发应用流控策略 

3.2.1配置流速限制策略

【认证授权】-【角色授权】-【流速限制策略】,新增一个流速限制策略。

3.2.2在角色中调用流速限制策略

【认证授权】-【角色授权】,新增一个本地转发应用流控的策略,调用“限制4Mbps”的流速限制策略。

【接入点配置】-【本地转发应用控制】-【本地转发识别控制策略】,控制策略模式选择“基于应用控制”,【流量处理策略】中的角色选择刚刚配置的“本地转发应用流控”。

【接入点配置】-【本地转发应用控制】-【本地转发流控策略】,适用角色选择刚刚配置的“本地转发应用流控”。

新增一个通道

【服务】选择ANY。

【应用】选择QQ、QQ传文件等。

【上下行流量】我们设置最大带宽比例为“80%”,也就是4 * 80% = 3.2Mbps。

同样我们再设置一个基于下载工具的流控通道,我们设置最大带宽比例为“20%”,也就是4 * 20% = 0.8Mbps。

4 注意事项 

1、如果应用识别不准确,可以尝试提高镜像报文的个数,建议提高到10个以上。

2、本地转发应用流控只能做限制通道不能做保障通道。