操作目的
只允许某些网络用户进行日常的网页、邮件等网络管理人员允许的网络应用,其他Internet应用则无法使用。
其操作原理是把非允许应用组的应用的流量设为屏蔽状态即可。
操作主步骤
操作说明:
本操作的用户组:192.168.2.35~192.168.2.55网段用户再加上IP为192.168.2.57的用户。
本操作的允许应用组:网页访问、邮件应用
操作的主步骤:
| 1. | 设定需要控制的用户组。 |
| 2. | 选择应用协议组成应用组。 |
| 3. | 添加用户组主分类和用户组主分类的条件 |
| 4. | 添加应用组子分类和应用组子分类条件 |
| 5. | 设置分类的控制条件。 |
| 6. | 查看控制效果。 |
具体操作
1.设定需要控制的用户组
1.1在IE界面输入WATM设备的管理地址http://192.168.2.244(此处是您设定的WATM管理地址),进入控制界面输入管理密码,初始安装默认密码“wsdom”,进入管理界面。
1.2进入管理界面后,点击“单元设置”=>“控制单元”=>“本地”=>“添加”按钮,将用户组的两部分用户添加为两个控制单元,分别命名为用户01和用户02。
在“添加控制单元窗口”中设置“用户01”为192.168.2.35~192.168.2.55网段(同理设置用户02为192.168.2.57),具体方法,在窗口中输入“控制单元名称”选择“起始地址”输入起止IP地址,点击确定。
1.3将用户01和用户02组合为“受控用户组”。点击“单元设置”=>“控制单元组合”=> “本地”=> “添加”按钮。
在“添加控制单元组合”窗口输入组合名称“受控用户组”,在左侧控制单元中左键单击“用户01”和“用户02”,即可将其加入“控制单元组合”栏,最后确定。如果想从组合中消除此用户则在右侧的“控制单元组合”中左键点击此用户即可。
| 2? | 选择应用协议组成应用组 |
2.1点击“单元设置”=> “应用协议组合”=> “添加”。
2.2在“添加协议组合”窗口中,输入组合名称“允许应用组”,然后在“系统协议”中选择HTTP、HTTPS、FTP、DNS、SMTP、POP3这六个应用协议,左键点击添加到应用组合中,最后确定即可。如想从应用协议组合中删除某应用,则在“应用协议组合”框中左键点击该应用即可。
技巧:可以通过按应用的首字母实现自动添加(对英文有效)。
| 3? | 添加用户组主分类和用户组主分类的条件 |
3.1设置好用户组和应用组后,就可以设置分类了。点击“功能设置”=>“整个网络”=>“分类信息”=>“添加分类”。
3.2在“添加分类”窗口中输入“分类名称”(此处:2网段只允许应用),并且确定分类优先级(此处输入10),最后点击“确定”。
注:分类优先级数值越小越优先,在左侧功能栏的分类树上越靠前。
3.3设定分类的条件。在左侧功能栏会多出“2网段只允许..”分类,左键点击该分类,然后在右侧展示窗口“分类信息”=>“添加条件”,为此分类添加条件。
3.4在“添加分类条件”窗口中,输入“条件名称”(此处为2网段用户),“匹配方式”选择“满足所选全部条件”,上级分类条件选择“all”;“本地控制单元”选择我们设定的“受控用户组”,“远程控制单元”选择“所有远端地址”,“协议”选择“所有协议”,下面的协议也选择“所有协议”,最后确定。
注:此处非常重要,条件确定了WATM控制和监视的对象。以上设置表示,我们是对设定的“受控用户组”所有的流量进行控制。
前一个下拉菜单是控制单元,而后面的下拉菜单是控制单元的组合。如,此处本地控制单元,我们选定的是“受控用户组”组合。
| 4? | 添加应用组子分类和应用组子分类条件 |
4.1设置好主分类后,就可以设置子分类了。点击“功能设置”=>“2网段只允许..” =>“添加分类”。
4.2在“添加分类”窗口中输入“分类名称”(此处:禁止非允许应用),并且确定分类优先级(此处输入10),最后点击“确定”。
注:子类的分类优先级表示在主分类下的优先顺序,所以可以与主分类优先级一样。
4.3设定子分类的条件。在左侧功能栏会多出“禁止非允许..”分类,左键点击该分类,然后在右侧展示窗口“分类信息”中点击“添加条件”,为此分类添加条件。
4.4在“添加分类条件”窗口中,输入“条件名称”(此处为非允许应用),“匹配方式”选择“不满足所选全部条件”,上级分类条件选择“2网段用户”;“本地控制单元”选择我们设定的“受控用户组”,“远程控制单元”选择“所有远端地址”,“协议”选择设定的“允许应用组”,然后确定。
注:此条件设置的分类表示所有在2网段用户非允许应用组的应用的流量,通过将这部分流量屏蔽即可达到只有允许应用才能实现的效果。
| 5? | 设置分类的控制条件 |
分类的控制条件是按照从主分类控制到子分类控制的顺序进行的,如果主分类没有设置流量控制,那么子分类就无法进行流量控制。所以设置分类的控制条件要从“整个网络”到“2网段只允许应用”到“禁止非允许应用”的分类进行。
5.1设置“整个网络”的流量控制。在“功能设置”=> “整个网络”=> “流量控制”=>“添加”。
5.2在“添加规则”窗口中,设定保障带宽(此处是总的外网带宽此处设10M),最大带宽(10M),优先级0,动作为“流控”,方向为“进”,分时为“默认分时”。
保证带宽:通常用于对关键应用的保障和流量控制上。当该分类流量达不到保证带宽,其剩余部分带宽也会被其他分类使用。保证带宽不能设置为0,最小为1kbps。
最大带宽:分类允许的流量最大值,分类所能占用的峰值带宽不能超过此值。最大带宽必须不小于保证带宽。
动作:分为流控和阻止两种方式。当选择阻止方式时,保证带宽和最大带宽无需设置。
优先级:确定分类在同时抢占带宽资源时谁更优先,优先级共0-7级。0为最优先,7为最不优先。
方向:控制方向是针对设备所处的相对位置而说的。其中“进”对应下载;而“出”对应上传;
分时:默认分时是所有时间。
5.3然后设定整个网络方向为出的流量控制。控制条件如下:
5.4同理设定“2网段只允许应用”分类的进出双向的控制规则为保证带宽5M,最大带宽5M。
5.5设定“禁止非允许应用”分类的流量控制规则,“动作”选择为“阻止”,进出各设一次。
6.查看控制效果
6.1点击“功能设置”=> “2网段只允许..” => “流量监视”。选择好“时间范围”和“展示内容”,即可查看流控后的效果。
注意事项和技巧
1.在设置整个网络的流量控制时可以将保证带宽和最大带宽设定为授权给出的最大带宽,这样便于子分类的设置。因为子类的保证带宽之和不能高于父类的保证带宽。如果对某个应用的流量不限制,则可设定保证带宽不低于10K为宜。如果设成1K,则其无法在下设定两个以上的子分类流控。
2.设置顺序都是先设定好整个分类,最后进行流量控制规则的设定。在设定分类前,需要做做好规划,确定好用户组和用用组。
3.添加一个分类后,系统会默认生成一个“默认分类”。默认分类与其他子类的合集就是父类。对于此例来说,“禁止非允许应用”的默认分类就是“允许应用组”的流量。通过查看“默认分类”即可了解允许的应用的流量状况。