FAQ-USG防火墙巧借免认证功能查看IP流量排行

发布时间:  2016-06-13 浏览次数:  278 下载次数:  0
问题描述
1、需求
   未部署用户身份认证,想查看每个IP地址的累计流量大小、排行。
解决方案

USG2000/5000 V300R001版本

   提供将IP作为用户名的免认证功能,配置如下:
   在
Web
界面选择“用户 > 上网用户 > 认证策略”,新建免认证策略。 
     

   对应的命令脚本:

   user-manage authentication-policy ip_traffic
   policy enable  
  
ip-range 192.168.0.1 192.168.0.100  
  
new-user add-temporary group root  
  
authentication-mode none
   完成上述配置后,就可以在
Web
界面的首页查看流量的Top10排行。  
  
   选择“用户 > 上网用户 > 监控”,还可以看到所有IP的流量。界面支持手动排序。  
     

   说明:
    缺省在线用户老化时间为
30
分钟,如果IP在此时间内未发起流量,对应的表项将被删除。下次上线时重新统计流量。

USG6000 V100R001及后续版本

  该版本不支持以IP地址作为用户名的免认证,只支持用户以固定IP或MAC登录的免认证。也就是配置用户名与IP地址或MAC地址双向绑定,
用户就可以直接访问业务而不要输入用户名、密码。

  通过如下方法实现:


1.   Web界面选择“策略 > 认证策略”,新建免认证策略


2.   
选择“对象 >
用户 > 用户/组”,为每个IP创建对应的用户名。
   用户名其实可以随意创建,为了方便记忆这里以
IP
地址作为用户名。
    这里以手动创建用户为例。如果
IP
地址很多,防火墙支持通过CSV文件批量导入用户信息
 
  
    上述配置对应的命令脚本:

     auth-policy
     rule name policy_auth_01
     source-address range 192.168.0.1 192.168.0.100
     action no-auth
     user-manage user 192.168.0.1
    
bind mode bidirectional
    
bind ipv4 192.168.0.1

    完成以上配置后,当
192.168.0.1
~192.168.0.100范围内的IP发起访问时,可以到在线用户列表中查看流量。该版本的Web首页不支持Top10排行。
  
  

END