一、组网需求

PC通过网线接入网络，同时用无线网卡做软AP为手机提供无线接入服务。

在该场景下，网关设备可检测到有多个终端共享同一个IP上网，然后会根据配置的防私接惩罚策略限制用户访问外网。

注：旁路模式无法惩罚用户；

二、组网拓扑

二、配置要点

1、配置一键防私接共享

对技术不了解的用户，可以选择通过一键开启防共享接入，完成防共享配置，设备会下发缺省的策略完成防共享检测和控制。

2、防私接共享的高级策略

2.1点击添加防共享策略

2.2根据需求，选择用户和惩罚方式

惩罚方式-只检测:

惩罚方式-不允许上网:

惩罚方式-限速上网：

3、管理员手动对某个用户进行惩罚，方式包括阻断和限速

点击172.21.30.1这个用户信息后面的“控制”按钮

 

四、配置验证

1：查看策略是否生效

2：点击实时监测状态，查看监测的实时结果

3：点击历史检测日志，查看历史结果

注：有硬盘的设备才有历史监测日志

 

所有的历史检测的处理结果，都会形成日志，管理员可以在历史检测日志的页面进行查询。

 

五、注意事项

1、一键防共享开启后，默认会导致所有共享上网的用户无法上网，如果需要修改默认策略，请到防共享策略中修改。

2、一键防共享关闭后，防共享策略都会被清空。

3、修改防共享测策略会清空之前检测的终端信息。

4、检测用户终端需要一定时间，流量充足时（例如正常浏览网页的流量），一般10分钟内即可检测出一台终端。如果共享上网的设备无流量，则此时是无法被检测出来的。

5、两台一样的Windows系统终端或两台相同品牌型号的手机终端，较难区分，此类共享行为较难检测出来。但可通过配置允许同时登录的同类型虚拟身份账号数来检测，即检测到的账号数超过所配数时认为有私接行为（目前暂支持微信）。

6、阻断用户后，用户访问的HTTP页面（非HTTPS）会变成阻断提示信息，但此时浏览器仍然有可能访问其缓存的信息。惩罚到期后，用户之前的终端信息会被清空。