FAQ-MA5200F/G 如何限制某类用户(如网吧用户)在规定时间内无法上网

发布时间:  2012-07-26 浏览次数:  57 下载次数:  0
问题描述
Q:MA5200F/G 如何限制某类用户(如网吧用户)在规定时间内无法上网?
告警信息
处理过程

A:
1、对于MA5200F:
[MA5200F] time-range night 00:01 to 8:00 working-day  //定义一个时间范围列表
[MA5200F] acl number 100 match-order auto
[MA5200F-acl-adv-100] rule user-net deny ip source 10 destination any time-range night  //在ACL中引用时间范围列表
[MA5200F] access-group 100   //在全局使用acl 100

设置上述数据后,对于ucl-group为10的用户,在工作日(周一到周五)的00:01至8:00之间将无法上网。

2、对于MA5200G VRP3.30-2215及以后版本,可以直接通过time-range domain-block命令来设置:
首先定义相关的time-range:
[Quidway]time-range abc 00:00 to 08:00 working-day
然后在相应的用户域下打开按时间段block域的功能:
[Quidway-aaa-domain-huawei] time-range domain-block enable
再配置相应的时间段时即可,时间段可以定义多个:
[Quidway-aaa-domain-huawei] time-range domain-block abc
这样,只要在time-range定义的时间内,这个域将自动变为block状态,不能接入新用户,同时此域下在线用户被强制切断。

3、MA5200G当然也可能通过类似于MA5200F方法来实现。
MA5200G VRP3.30-22xx版本:
首先定义需要定义一个ucl组:user-group ucl-group xxx
设置用户属于一个ucl组,可以在域模式下使用ucl-group 命令,设置该域属于此ucl-group组。
如果是radius认证的用户可以在radius服务器上下发所属的ucl组号。
rule-map  123  ip user-group xxx  any   //设置一个rule指定ucl-group与网络上ip地址
time-control  yyy  //定义一个一天内的时间段。
eacl global  123 deny time-control yyy  //定义该rule在yyy时无法访问网络
  最后应用使用access-group应用该eacl 。

MA5200G  VRP3.30-23xx版本:
[Quidway]user-group 1    //创建用户组
[Quidway-aaa-domain-123]user-group 1   //在用户域里添加用户属于该组
[Quidway]time-range abc 00:00 to 08:00 working-day  //设置不允许用户上网的时间段
[Quidway]acl 10001 mat auto  //配置acl
[Quidway-acl-simple-10001]rule ip source user 1 des any time-range abc   //设置用户组与公网的关系
[Quidway]traffic classifier d1             //配置分类器
[Quidway-classifier-d1]if-match  acl 10001  //在分类器里引用acl
[Quidway]traffic behavior d1    //定义动作
[Quidway-behavior-d1]deny       //动作为deny 拒绝                      
[Quidway]traffic policy d1 auto        //定义流量策略                                    
[Quidway-trafficpolicy-d1]classifier d1 behavior in d1 //绑定分类器和动作 
[Quidway]traffic-policy d1  //应用该流量策略,可以应用在全局、主接口、子接口或trunk端口下 

根因
建议与总结

END