一、 组网需求：

　　用户处的ER路由器作为出口路由，想实现内网的一部分用户能上外网，但是一部分用户禁止访问外网，只能访问内网的需求。

　　二、 配置步骤：

　　ER系列路由器要实现该客户的需求，有如下几种方式实现，MAC地址过滤、IPMAC过滤和防火墙的设置，下面分别来介绍几种方式的配置方法。

　　1、MAC地址过滤

　　通过MAC过滤功能，可以有效地控制局域网内的主机访问外网。ER系列路由器提供两种MAC过滤功能：仅允许MAC地址列表中的MAC访问外网;仅禁止MAC地址列表中的MAC访问外网。

　　结合实际情况，如果内网的用户，允许访问外网的人数占较多数，可以使用仅禁止MAC地址列表中的MAC访问外网;若是禁止访问外网的人数占多数，可以使用仅允许MAC地址列表中的MAC访问外网。

　　具体配置为 “安全专区→接入控制→MAC过滤”页面设置，如下图所示:

　　也可以导入路由器的ARP绑定表来批理添加MAC过滤表项(单击主页面上的<从ARP表项导入>按钮，在弹出的对话框中选择需要过滤的MAC地址，单击<导入MAC地址过滤表>按钮完成操作)。

　　还可以通过配置文件批量添加MAC过滤表项(您可以在本地用“记事本”程序创建一个.cfg文件，内容格式为“MAC地址 描述”，且每条过滤项之间需要换行。单击主页面上的<导入>按钮，在弹出的对话框中选择该文件将其导入即可)。

　　2、IPMAC过滤

　　IPMAC过滤功能可以同时对报文中的源MAC地址和源IP地址进行匹配，仅当源MAC地址和源IP地址均符合条件的主机才允许访问外网。IPMAC过滤功能支持以下两种匹配方式：仅允许DHCP服务器分配的客户端访问外网;仅允许ARP静态绑定的客户端访问外网。

　　结合用户的实际环境，可以单独使用其中的一种，也可以两者都使用。

　　具体配置为“安全专区→接入控制→IPMAC过滤”页面设置，如下图所示:

　　启用“仅允许DHCP服务器分配的客户端访问外网”的功能时，内网的用户获取的IP应该是路由器开启DHCP服务器获取的，设置见下图：

　　启用“仅允许ARP静态绑定的客户端访问外网”的功能时，内网用户的IP应该是手动配置的地址，且需要做静态绑定的设置。

　　首先查看ARP表项，然后选中需要静态绑定的条目，点击“静态绑定”即可。具体设置见下图：

　　3、防火墙

　　路由器的防火墙功能实现了根据报文的内容特征(比如：协议类型、源/目的IP地址等)，来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流执行相应的控制，保证了路由器和局域网内主机的安全运行。

　　根据实际情况，对需要访问外网的用户可不进行设置，对禁止访问外网的用户设置访问规则即可。

　　具体配置为“安全专区→防火墙→出站通信策略”页面设置，如下图所示:

　　把需要禁止访问的网段填入源IP的范围即可。

　　三、 配置关键点：

　　以上三种配制方法均可达到禁止部分内网用户访问外网的需求，但是分析比较，MAC过滤的方法，适用性强，但是需要事先收集好MAC地址，工作量较大，但是收集好之后操作简便;IPMAC过滤的前提是内网的地址需要绑定，如果内网的地址是手动配置，不绑定的话，那就无法使用此种方法;防火墙的设置一般适用于IP段的设置，如果IP是单独的不连续的话，就需要多条规则的限制。所以需要根据内网的实际情况来判断采用哪种方法设置合适。