一��、 組網(wǎng)需求:
用戶處的ER路由器作為出口路由�����,想實(shí)現(xiàn)內(nèi)網(wǎng)的一部分用戶能上外網(wǎng),但是一部分用戶禁止訪問(wèn)外網(wǎng)���,只能訪問(wèn)內(nèi)網(wǎng)的需求��。
二��、 配置步驟:
ER系列路由器要實(shí)現(xiàn)該客戶的需求����,有如下幾種方式實(shí)現(xiàn),MAC地址過(guò)濾����、IPMAC過(guò)濾和防火墻的設(shè)置,下面分別來(lái)介紹幾種方式的配置方法�。
1、MAC地址過(guò)濾
通過(guò)MAC過(guò)濾功能��,可以有效地控制局域網(wǎng)內(nèi)的主機(jī)訪問(wèn)外網(wǎng)�。ER系列路由器提供兩種MAC過(guò)濾功能:僅允許MAC地址列表中的MAC訪問(wèn)外網(wǎng);僅禁止MAC地址列表中的MAC訪問(wèn)外網(wǎng)。
結(jié)合實(shí)際情況�,如果內(nèi)網(wǎng)的用戶,允許訪問(wèn)外網(wǎng)的人數(shù)占較多數(shù)����,可以使用僅禁止MAC地址列表中的MAC訪問(wèn)外網(wǎng);若是禁止訪問(wèn)外網(wǎng)的人數(shù)占多數(shù),可以使用僅允許MAC地址列表中的MAC訪問(wèn)外網(wǎng)�。
具體配置為 “安全專區(qū)→接入控制→MAC過(guò)濾”頁(yè)面設(shè)置,如下圖所示:
也可以導(dǎo)入路由器的ARP綁定表來(lái)批理添加MAC過(guò)濾表項(xiàng)(單擊主頁(yè)面上的<從ARP表項(xiàng)導(dǎo)入>按鈕���,在彈出的對(duì)話框中選擇需要過(guò)濾的MAC地址���,單擊<導(dǎo)入MAC地址過(guò)濾表>按鈕完成操作)。
還可以通過(guò)配置文件批量添加MAC過(guò)濾表項(xiàng)(您可以在本地用“記事本”程序創(chuàng)建一個(gè).cfg文件,內(nèi)容格式為“MAC地址 描述”�����,且每條過(guò)濾項(xiàng)之間需要換行�����。單擊主頁(yè)面上的<導(dǎo)入>按鈕�����,在彈出的對(duì)話框中選擇該文件將其導(dǎo)入即可)����。
2�����、IPMAC過(guò)濾
IPMAC過(guò)濾功能可以同時(shí)對(duì)報(bào)文中的源MAC地址和源IP地址進(jìn)行匹配���,僅當(dāng)源MAC地址和源IP地址均符合條件的主機(jī)才允許訪問(wèn)外網(wǎng)�����。IPMAC過(guò)濾功能支持以下兩種匹配方式:僅允許DHCP服務(wù)器分配的客戶端訪問(wèn)外網(wǎng);僅允許ARP靜態(tài)綁定的客戶端訪問(wèn)外網(wǎng)��。
結(jié)合用戶的實(shí)際環(huán)境���,可以單獨(dú)使用其中的一種�,也可以兩者都使用����。
具體配置為“安全專區(qū)→接入控制→IPMAC過(guò)濾”頁(yè)面設(shè)置,如下圖所示:
啟用“僅允許DHCP服務(wù)器分配的客戶端訪問(wèn)外網(wǎng)”的功能時(shí)��,內(nèi)網(wǎng)的用戶獲取的IP應(yīng)該是路由器開(kāi)啟DHCP服務(wù)器獲取的��,設(shè)置見(jiàn)下圖:
啟用“僅允許ARP靜態(tài)綁定的客戶端訪問(wèn)外網(wǎng)”的功能時(shí)���,內(nèi)網(wǎng)用戶的IP應(yīng)該是手動(dòng)配置的地址�����,且需要做靜態(tài)綁定的設(shè)置����。
首先查看ARP表項(xiàng)�����,然后選中需要靜態(tài)綁定的條目,點(diǎn)擊“靜態(tài)綁定”即可�。具體設(shè)置見(jiàn)下圖:
3、防火墻
路由器的防火墻功能實(shí)現(xiàn)了根據(jù)報(bào)文的內(nèi)容特征(比如:協(xié)議類型����、源/目的IP地址等),來(lái)對(duì)入站方向(從因特網(wǎng)發(fā)向局域網(wǎng)的方向)和出站方向(從局域網(wǎng)發(fā)向因特網(wǎng)的方向)的數(shù)據(jù)流執(zhí)行相應(yīng)的控制����,保證了路由器和局域網(wǎng)內(nèi)主機(jī)的安全運(yùn)行�。
根據(jù)實(shí)際情況,對(duì)需要訪問(wèn)外網(wǎng)的用戶可不進(jìn)行設(shè)置�,對(duì)禁止訪問(wèn)外網(wǎng)的用戶設(shè)置訪問(wèn)規(guī)則即可。
具體配置為“安全專區(qū)→防火墻→出站通信策略”頁(yè)面設(shè)置�����,如下圖所示:
把需要禁止訪問(wèn)的網(wǎng)段填入源IP的范圍即可��。
三�����、 配置關(guān)鍵點(diǎn):
以上三種配制方法均可達(dá)到禁止部分內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)的需求,但是分析比較�����,MAC過(guò)濾的方法�,適用性強(qiáng),但是需要事先收集好MAC地址����,工作量較大,但是收集好之后操作簡(jiǎn)便;IPMAC過(guò)濾的前提是內(nèi)網(wǎng)的地址需要綁定���,如果內(nèi)網(wǎng)的地址是手動(dòng)配置����,不綁定的話���,那就無(wú)法使用此種方法;防火墻的設(shè)置一般適用于IP段的設(shè)置���,如果IP是單獨(dú)的不連續(xù)的話,就需要多條規(guī)則的限制���。所以需要根據(jù)內(nèi)網(wǎng)的實(shí)際情況來(lái)判斷采用哪種方法設(shè)置合適��。
