技术文档
当前位置:技术文档

ER路由器禁止内网访问外网的典型配置

来源:未知 时间:2012-10-12 16:47
 

     一、 组网需求:

  用户处的ER路由器作为出口路由,想实现内网的一部分用户能上外网,但是一部分用户禁止访问外网,只能访问内网的需求。

  二、 配置步骤:

  ER系列路由器要实现该客户的需求,有如下几种方式实现,MAC地址过滤、IPMAC过滤和防火墙的设置,下面分别来介绍几种方式的配置方法。

  1、MAC地址过滤

  通过MAC过滤功能,可以有效地控制局域网内的主机访问外网。ER系列路由器提供两种MAC过滤功能:仅允许MAC地址列表中的MAC访问外网;仅禁止MAC地址列表中的MAC访问外网。

  结合实际情况,如果内网的用户,允许访问外网的人数占较多数,可以使用仅禁止MAC地址列表中的MAC访问外网;若是禁止访问外网的人数占多数,可以使用仅允许MAC地址列表中的MAC访问外网。

  具体配置为 “安全专区→接入控制→MAC过滤”页面设置,如下图所示:

  

 

  

 

  

 

  也可以导入路由器的ARP绑定表来批理添加MAC过滤表项(单击主页面上的<从ARP表项导入>按钮,在弹出的对话框中选择需要过滤的MAC地址,单击<导入MAC地址过滤表>按钮完成操作)。

  

 

  还可以通过配置文件批量添加MAC过滤表项(您可以在本地用“记事本”程序创建一个.cfg文件,内容格式为“MAC地址 描述”,且每条过滤项之间需要换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可)。

  

 

  2、IPMAC过滤

  IPMAC过滤功能可以同时对报文中的源MAC地址和源IP地址进行匹配,仅当源MAC地址和源IP地址均符合条件的主机才允许访问外网。IPMAC过滤功能支持以下两种匹配方式:仅允许DHCP服务器分配的客户端访问外网;仅允许ARP静态绑定的客户端访问外网。

  结合用户的实际环境,可以单独使用其中的一种,也可以两者都使用。

  具体配置为“安全专区→接入控制→IPMAC过滤”页面设置,如下图所示:

  

 

  启用“仅允许DHCP服务器分配的客户端访问外网”的功能时,内网的用户获取的IP应该是路由器开启DHCP服务器获取的,设置见下图:

  

 

  启用“仅允许ARP静态绑定的客户端访问外网”的功能时,内网用户的IP应该是手动配置的地址,且需要做静态绑定的设置。

  首先查看ARP表项,然后选中需要静态绑定的条目,点击“静态绑定”即可。具体设置见下图:

  

 

  

 

  3、防火墙

  路由器的防火墙功能实现了根据报文的内容特征(比如:协议类型、源/目的IP地址等),来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流执行相应的控制,保证了路由器和局域网内主机的安全运行。

  根据实际情况,对需要访问外网的用户可不进行设置,对禁止访问外网的用户设置访问规则即可。

  具体配置为“安全专区→防火墙→出站通信策略”页面设置,如下图所示:

  

 

  

 

  把需要禁止访问的网段填入源IP的范围即可。

  三、 配置关键点:

  以上三种配制方法均可达到禁止部分内网用户访问外网的需求,但是分析比较,MAC过滤的方法,适用性强,但是需要事先收集好MAC地址,工作量较大,但是收集好之后操作简便;IPMAC过滤的前提是内网的地址需要绑定,如果内网的地址是手动配置,不绑定的话,那就无法使用此种方法;防火墙的设置一般适用于IP段的设置,如果IP是单独的不连续的话,就需要多条规则的限制。所以需要根据内网的实际情况来判断采用哪种方法设置合适。


上一篇:ER系列路由器静态IP对拨号一IPSEC VPN的典型配置
下一篇:H3C ARP排查经验介绍
电子标识编号:20181009000069

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服