网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
网络控制器NAC 文档 功能配置 系统管理 本地转发应用控制配置指导
{{sendMatomoQuery("网络控制器NAC","本地转发应用控制配置指导")}}

本地转发应用控制配置指导

更新时间:2024-07-01

1功能简介

1.1应用场景

无线本地转发应用识别及流控主要是针对远程部署本地转发场景无法对应用以及流量做精细化管控的问题。

1.2适用版本

NAC3.13.0

1.3配置思路

1、开启本地转发应用识别控制服务

2、配置应用识别策略

3、引用策略

2注意事项

2.1业务影响范围

需要根据项目实际情况选择需要拒绝的应用或者服务,配置错误可能会导致对应应用无法正常使用。

2.2配置注意事项

1、如果应用识别不准确,可以尝试提高镜像报文的个数,建议提高到10个以上。

2、本地转发应用流控只能做限制通道不能做保障通道。

3配置步骤

3.1前提条件

开启本地转发应用控制功能

【系统管理】-【服务管理】-【服务配置】-【本地转发应用控制】,将本地转发应用控制服务开启。

3.2配置本地转发应用识别策略

新建基于应用的无线访问控制策略

例如:【认证配置】-【认证授权】-【角色授权】-【无线访问控制策略】新增“禁止抖音”无线访问控制策略,并禁止抖音的流量。


3.3在角色中调用无线访问控制策略

例如:【认证配置】-【认证授权】-【角色授权】新增名为“信锐测试”的角色,并调用“禁止抖音”无线访问控制策略

3.4配置本地转发应用策略

【认证配置】-【认证授权】-【本地转发应用策略】启用“本地转发识别控制策略”,控制策略模式修改为“基于服务&应用控制”

然后新增流量处理策略,生效的角色选择刚刚新增的“信锐测试”,处理方式选择基于服务&应用控制,DNS报文处理方式选择镜像到控制器,其他选项保持默认不变即可。

3.5SSID调用本地转发应用控制策略

【接入点管理】-【无线网络】新增本地转发SSID并调用角色权限

4本地转发应用流控配置

4.1本地转发应用流控生效的基本条件

本地转发应用流控策略生效必须满足以下条件:

1、用户为本地转发用户。

2、在本地转发识别控制策略中,配置角色流量处理方式为应用控制。

3、在角色中引用流速限制策略,并在流速限制策略中配置每用户接收/发送速率。


4.2配置本地转发应用流控策略

例如:【认证配置】-【认证授权】-【角色授权】-【流速限制策略】新增名为“test”的策略


4.3在角色中调用限速策略

例如:【认证配置】-【认证授权】-【角色授权】新增“信锐测试2”并调用刚创建好的“test”的限速策略


4.4配置本地转发应用策略

本地转发识别控制策略:

【认证配置】-【认证授权】-【本地转发应用策略】-【本地转发识别控制策略】,控制策略模式选择“基于服务&应用控制”,【流量处理策略】中的角色选择刚刚配置的“本地转发应用流控”。

本地转发流控策略:

【认证配置】-【认证授权】-【本地转发应用策略】-【本地转发流控策略】新增“test2”流控策略并选择“信锐测试2”角色

新增通道“imall”,服务选择“any”,应用本例选“IM/IM传文件”,上下行流量均可占带宽的80%


同样我们再设置一个基于下载工具的流控通道,我们设置最大带宽比例为20%

5效果演示

手机连接无线,打开抖音,发现无法正常看视频(左图)

当把角色修改为没做拦截的角色时,看视频回复正常(右图)

         IMG_256                 IMG_256