常见的限制用户上网场景

根据企业对内部员工上网权限的要求不同，本文总结了几种常见的限制用户上网场景，如表1-1所示。

表1-1 常见的限制用户上网场景

配置AR路由器限制用户上网的前提条件

• 已通过Web方式登录AR路由器。
• AR路由器已正确连线，运营商提供的的入户网线连接到AR路由器的WAN口，上网电脑连接到AR路由器的LAN口，如图1-1所示。如果通过3G/4G方式连接网络，则无需连接WAN侧线路。图1-1 线路连接图
• 线路连接完成后，AR路由器的WAN口和有线连接电脑的LAN口对应的指示灯都会常亮，如果相应端口的指示灯不亮或电脑的网络图标显示红色的叉 ，则表明线路连接有问题，请检查确认网线连接牢固或尝试换一根网线。

• 在“上网向导”页面配置AR路由器上网时，不管用户选择哪种方式，都要启用NAT，否则内网用户无法上网。
• 启用NAT后，设备会自动创建一条基本ACL，该ACL的名称与选择的上网接口同名。例如上网接口为GigabitEthernet0/0/1，则生成的ACL名称也为GigabitEthernet0/0/1。而且，默认情况下，所有的内网用户都可以上网，没有限制，即该ACL的规则是permit any。如果要限制部分用户上网，需要重新修改规则或者配置流策略。

配置AR路由器限制内网用户上网

限制用户的IP地址

背景信息

如图1-2所示，Router为某中小型企业的企业网关，企业内网用户通过Router访问Internet。现由于业务需要，仅允许网段为192.168.1.0/24的内部主机访问外网。同时，网络监控发现IP地址为192.168.1.3的内部主机有异常流量。为了保护内部网络，防止网络攻击，禁止该主机访问Internet。

图1-2 基于用户的IP地址限制用户上网组网图

配置思路

1. 找到外网接口GE0/0/1上配置的NAT业务，查看NAT里创建的ACL名称。
2. 根据ACL名称，查看该ACL下配置的规则。此时，该ACL下的规则应该是permit any，即允许内部所有用户上网。
3. 修改该ACL下的permit规则，让其只允许IP地址在192.168.1.0/24网段内的报文通过。
4. 在该ACL下新添加一条deny规则，禁止IP地址为192.168.1.3的用户上网。deny规则的编号要小于permit规则的编号，让其插在permit规则之前。
5. 配置LAN侧接口。创建VLAN100及VLANIF100接口，配置VLANIF100接口的IP地址和掩码，并将GE0/0/2接口以Trunk方式加入VLAN100。
6. 开启VLANIF100接口的DHCP功能，为企业内部的用户自动分配IP地址。

操作步骤

1. 选择“高级 > IP业务 > NAT”，进入“NAT”界面，在“已设置外网访问列表”里查看NAT里绑定的ACL名称。本例中为GigabitEthernet0/0/1，如图1-3所示。图1-3 NAT界面

2.选择“配置 > 攻击防范 > ACL”，进入“基本ACL”界面，在“已配置ACL列表”里，找到名称为GigabitEthernet0/0/1的ACL。单击左侧的->，查看该ACL下的规则。缺省情况下，该规则为允许所有主机上网，如图1-4所示。

图1-4 基本ACL界面

3.在“基本ACL”界面，单击已有规则右侧的“修改”，进入“规则修改”界面。在“高级”下面的“源IP地址/通配符”部分，输入允许上网的用户网段的IP地址及通配符192.168.1.0/0.0.0.255，单击“确定”，完成配置，如图1-5所示。

图1-5 修改permit规则界面

4.在“基本ACL”界面，为名称为GigabitEthernet0/0/1的ACL添加一条规则编号小于已有规则编号的新规则。本例中，“规则编号”为1，“动作”为拒绝，“生效ACL”为GigabitEthernet0/0/1，“源IP地址/通配符”为192.168.1.3/0.0.0.0，单击“添加”，完成配置，如图1-6所示。

图1-6 添加deny规则界面

5.依次单击“配置 > 局域网配置 > VLAN > VLAN”，在“VLAN设置”页面，“接口选择”部分选择GE0/0/2接口，并以Trunk类型加入VLAN100。同时勾选“创建VLANIF接口”，并配置VLANIF接口的IP地址和掩码，单击“添加”，完成配置，如图1-7所示。

图1-7 创建VLAN100及VLANIF100接口

6.依次单击“配置 > 局域网配置 > VLAN > VLANIF”，在“VLANIF设置”页面，单击已有VLANIF接口右侧的“修改”，进入“VLANIF修改”页面，开启“DHCP服务”功能，单击“确定”，完成配置，如图1-8所示。

图1-8 开启VLANIF100接口的DHCP功能

7.验证配置结果，仅IP地址在192.168.1.0/24网段内的用户可以上网，且IP地址为192.168.1.3的用户无法上网。

限制用户的MAC地址

背景信息

如图1-9所示，Router为某中小型企业的企业网关，企业内网用户通过Router访问Internet。现由于业务需要，只允许少部分用户上网。由于内部主机通过DHCP自动分配IP地址，IP地址不固定，无法通过IP地址方式限制用户的上网行为，因此采用基于MAC地址的方式对用户的上网行为进行控制。本例中，仅允许MAC地址为00e0-f201-0101的用户上网。

图1-9 基于用户的MAC地址限制用户上网组网图

配置思路

1. 创建一条二层ACL，先为该ACL添加一条允许MAC地址为00e0-f201-0101报文通过的规则，然后再为该ACL添加一条拒绝所有报文通过的规则。
2. 配置流策略、流分类和流行为。在流分类中绑定已创建的二层ACL，流行为的动作为允许报文通过。
3. 在内网接口GE0/0/1的入方向上应用流策略，仅允许MAC地址为00e0-f201-0101的用户上网。
4. 配置LAN侧接口。创建VLAN100及VLANIF100接口，配置VLANIF100接口的IP地址和掩码，并将GE0/0/1接口以Trunk方式加入VLAN100。
5. 开启VLANIF100接口的DHCP功能，为企业内部的用户自动分配IP地址。

操作步骤

1. 依次单击“配置 > 攻击防范 > ACL > 二层ACL”，进入“二层ACL”界面，添加一条permit规则，允许源MAC地址为00e0-f201-0101的报文通过，如图1-10所示。

图1-10 添加permit规则

2.在“二层ACL”界面，继续添加一条deny规则，禁止所有报文通过。不配置任何的MAC地址，即表示禁止所有报文通过，如图1-11所示。

图1-11 添加deny规则

依次单击“高级 > QoS配置 > 流量管理 > 策略配置”，在“策略配置”界面单击

3.按钮创建流策略，填写流策略名称。单击“新建分类”，在“新建分类”页面中配置流分类和流行为。在“流分类配置”中选择上一步配置的二层ACL。在“流行为配置”中选择“允许”报文通过，单击“确定”，完成配置，如图1-12所示。

图1-12 配置流策略

4.依次单击“高级 > QoS配置 > 流量管理 > 策略应用”，在“策略应用”页面将流策略应用到内网接口GE0/0/1的入方向，如图1-13所示。

图1-13 流策略应用在GE0/0/1的入方向

5.依次单击“配置 > 局域网配置 > VLAN > VLAN”，在“VLAN设置”页面，“接口选择”部分选择GE0/0/1接口，并以Trunk类型加入VLAN100。同时勾选“创建VLANIF接口”，并配置VLANIF接口的IP地址和掩码，单击“添加”，完成配置，如图1-14所示。

图1-14 创建VLAN100及VLANIF100接口

6.依次单击“配置 > 局域网配置 > VLAN > VLANIF”，在“VLANIF设置”页面，单击已有VLANIF接口右侧的“修改”，进入“VLANIF修改”页面。开启“DHCP服务”功能，单击“确定”，完成配置，如图1-15所示。

图1-15 开启VLANIF100接口的DHCP功能

7.验证配置结果，被限制的内网用户无法访问外网。

限制用户的VLAN

背景信息

如图1-16所示，Router为某中小型企业的企业网关，企业内网用户通过Router访问Internet。现由于业务需要，允许采购部门的用户上网，不允许技术部门的用户上网。由于采购部门的用户都在同一个VLAN内，因此采用基于VLAN的方式对用户的上网行为进行控制。本例中采购部门的用户在VLAN 100内，技术部门的用户在VLAN 200内，即允许VLAN 100内的用户主机上网，不允许VLAN 200内的用户主机上网。

图1-16 基于用户的VLAN限制用户上网组网图

配置思路

1. 创建一条新的二层ACL，先为该ACL添加一条允许VLAN为100报文通过的规则，然后再为该ACL添加一条拒绝VLAN为200报文通过的规则。
2. 配置LAN侧接口。创建VLAN100、VLAN200、VLANIF100及VLANIF200接口，配置VLANIF100和VLANIF200接口的IP地址，并将GE0/0/1接口以Trunk方式加入VLAN100，将GE0/0/2接口以Trunk方式加入VLAN200。
3. 开启VLANIF100和VLANIF200接口的DHCP功能，为采购部和技术部的用户自动分配IP地址。
4. 配置流策略、流分类和流行为。在流分类中绑定已创建的二层ACL，流行为的动作为允许报文通过。
5. 在GE0/0/1和GE0/0/2接口的入方向上应用流策略，允许采购部用户上网，不允许技术部用户上网。

操作步骤

1.依次单击“配置 > 攻击防范 > ACL > 二层ACL”，进入“二层ACL”界面，添加一条permit规则，允许源VLAN为100的报文通过，如图1-17所示。

图1-17 添加permit规则

2.在“二层ACL”界面，继续添加一条deny规则，禁止源VLAN为200的报文通过，如图1-18所示。

图1-18 添加deny规则

依次单击“配置 > 局域网配置 > VLAN > VLAN”，在“VLAN设置”页面配置VLAN 100和VLAN 200。其中，VLAN 100页面的“接口选择”部分选择GE0/0/1接口，并配置为Trunk类型；VLAN 200页面的“接口选择”部分选择GE0/0/2接口，并配置为Trunk类型。同时勾选“创建VLANIF接口”，配置VLANIF接口的IP地址和掩码，单击“添加”，完成配置，如图1-19和图1-22所示。

图1-19 创建VLAN100及VLANIF100接口

图1-20 创建VLAN200及VLANIF200接口

4.依次单击“配置 > 局域网配置 > VLAN > VLANIF”，在“VLANIF设置”页面，单击已有VLANIF接口右侧的“修改”，进入“VLANIF修改”页面，开启“DHCP服务”功能，单击“确定”，完成配置，如图1-21和图1-22所示。

图1-21 开启VLANIF100接口的DHCP功能

图1-22 开启VLANIF200接口的DHCP功能

5.依次单击“高级 > QoS配置 > 流量管理 > 策略配置”，在“策略配置”界面单击

按钮创建流策略，填写流策略名称。单击“新建分类”，在“新建分类”页面中配置流分类和流行为。在“流分类配置”中选择上一步配置的ACL规则。在“流行为配置”中选择“允许”报文通过，单击“确定”，完成配置，如图1-23所示。

图1-23 配置流策略

6.依次单击“高级 > QoS配置 > 流量管理 > 策略应用”，在“策略应用”页面将流策略应用到内网接口GE0/0/1和GE0/0/2的入方向，如图1-24和图1-25所示。

图1-24 流策略应用在GE0/0/1的入方向

图1-25 流策略应用在GE0/0/2的入方向

7.验证配置结果，采购部门的内网用户可以正常访问外网，技术部门的内网用户无法访问外网。