如何配置AR路由器限制用户上网（WEB方式）

　　常见的限制用户上网场景
　　根据企业对内部员工上网权限的要求不同，本文总结了几种常见的限制用户上网场景，如表11所示。
　　表11常见的限制用户上网场景
　　上网限制条件
　　适用场景
　　对应案例
　　IP地址
　　该方式以用户的IP地址为限制条件，只允许特定IP地址的用户上网，适用于对单个用户或某个网段内所有用户的上网权限进行限制的场景。
　　限制用户的IP地址
　　MAC地址
　　该方式以用户的MAC地址为限制条件，只允许特定MAC地址的用户上网，适用于对单个用户或少量用户的上网权限进行限制，且用户的IP地址不固定场景。
　　限制用户的MAC地址
　　VLAN
　　该方式以用户所在的VLAN为限制条件，允许某个VLAN内的所有用户上网，适用于对企业某个部门内所有用户的上网权限进行限制，且部门内用户的IP地址不固定场景。
　　限制用户的VLAN配置AR路由器限制用户上网的前提条件已通过Web方式登录AR路由器。AR路由器已正确连线，运营商提供的的入户网线连接到AR路由器的WAN口，上网电脑连接到AR路由器的LAN口，如图11所示。如果通过3G4G方式连接网络，则无需连接WAN侧线路。图11线路连接图线路连接完成后，AR路由器的WAN口和有线连接电脑的LAN口对应的指示灯都会常亮，如果相应端口的指示灯不亮或电脑的网络图标显示红色的叉，则表明线路连接有问题，请检查确认网线连接牢固或尝试换一根网线。
　　在上网向导页面配置AR路由器上网时，不管用户选择哪种方式，都要启用NAT，否则内网用户无法上网。启用NAT后，设备会自动创建一条基本ACL，该ACL的名称与选择的上网接口同名。例如上网接口为GigabitEthernet001，则生成的ACL名称也为GigabitEthernet001。而且，默认情况下，所有的内网用户都可以上网，没有限制，即该ACL的规则是permitany。如果要限制部分用户上网，需要重新修改规则或者配置流策略。配置AR路由器限制内网用户上网限制用户的IP地址背景信息
　　如图12所示，Router为某中小型企业的企业网关，企业内网用户通过Router访问Internet。现由于业务需要，仅允许网段为192。168。1。024的内部主机访问外网。同时，网络监控发现IP地址为192。168。1。3的内部主机有异常流量。为了保护内部网络，防止网络攻击，禁止该主机访问Internet。
　　图12基于用户的IP地址限制用户上网组网图
　　配置思路找到外网接口GE001上配置的NAT业务，查看NAT里创建的ACL名称。根据ACL名称，查看该ACL下配置的规则。此时，该ACL下的规则应该是permitany，即允许内部所有用户上网。修改该ACL下的permit规则，让其只允许IP地址在192。168。1。024网段内的报文通过。在该ACL下新添加一条deny规则，禁止IP地址为192。168。1。3的用户上网。deny规则的编号要小于permit规则的编号，让其插在permit规则之前。配置LAN侧接口。创建VLAN100及VLANIF100接口，配置VLANIF100接口的IP地址和掩码，并将GE002接口以Trunk方式加入VLAN100。开启VLANIF100接口的DHCP功能，为企业内部的用户自动分配IP地址。操作步骤选择高级IP业务NAT，进入NAT界面，在已设置外网访问列表里查看NAT里绑定的ACL名称。本例中为GigabitEthernet001，如图13所示。图13NAT界面
　　2。选择配置攻击防范ACL，进入基本ACL界面，在已配置ACL列表里，找到名称为GigabitEthernet001的ACL。单击左侧的，查看该ACL下的规则。缺省情况下，该规则为允许所有主机上网，如图14所示。
　　图14基本ACL界面
　　3。在基本ACL界面，单击已有规则右侧的修改，进入规则修改界面。在高级下面的源IP地址通配符部分，输入允许上网的用户网段的IP地址及通配符192。168。1。00。0。0。255，单击确定，完成配置，如图15所示。
　　图15修改permit规则界面
　　4。在基本ACL界面，为名称为GigabitEthernet001的ACL添加一条规则编号小于已有规则编号的新规则。本例中，规则编号为1，动作为拒绝，生效ACL为GigabitEthernet001，源IP地址通配符为192。168。1。30。0。0。0，单击添加，完成配置，如图16所示。
　　图16添加deny规则界面
　　5。依次单击配置局域网配置VLANVLAN，在VLAN设置页面，接口选择部分选择GE002接口，并以Trunk类型加入VLAN100。同时勾选创建VLANIF接口，并配置VLANIF接口的IP地址和掩码，单击添加，完成配置，如图17所示。
　　图17创建VLAN100及VLANIF100接口
　　6。依次单击配置局域网配置VLANVLANIF，在VLANIF设置页面，单击已有VLANIF接口右侧的修改，进入VLANIF修改页面，开启DHCP服务功能，单击确定，完成配置，如图18所示。
　　图18开启VLANIF100接口的DHCP功能
　　7。验证配置结果，仅IP地址在192。168。1。024网段内的用户可以上网，且IP地址为192。168。1。3的用户无法上网。限制用户的MAC地址背景信息
　　如图19所示，Router为某中小型企业的企业网关，企业内网用户通过Router访问Internet。现由于业务需要，只允许少部分用户上网。由于内部主机通过DHCP自动分配IP地址，IP地址不固定，无法通过IP地址方式限制用户的上网行为，因此采用基于MAC地址的方式对用户的上网行为进行控制。本例中，仅允许MAC地址为00e0f2010101的用户上网。
　　图19基于用户的MAC地址限制用户上网组网图
　　配置思路创建一条二层ACL，先为该ACL添加一条允许MAC地址为00e0f2010101报文通过的规则，然后再为该ACL添加一条拒绝所有报文通过的规则。配置流策略、流分类和流行为。在流分类中绑定已创建的二层ACL，流行为的动作为允许报文通过。在内网接口GE001的入方向上应用流策略，仅允许MAC地址为00e0f2010101的用户上网。配置LAN侧接口。创建VLAN100及VLANIF100接口，配置VLANIF100接口的IP地址和掩码，并将GE001接口以Trunk方式加入VLAN100。开启VLANIF100接口的DHCP功能，为企业内部的用户自动分配IP地址。操作步骤依次单击配置攻击防范ACL二层ACL，进入二层ACL界面，添加一条permit规则，允许源MAC地址为00e0f2010101的报文通过，如图110所示。
　　图110添加permit规则
　　2。在二层ACL界面，继续添加一条deny规则，禁止所有报文通过。不配置任何的MAC地址，即表示禁止所有报文通过，如图111所示。
　　图111添加deny规则
　　依次单击高级QoS配置流量管理策略配置，在策略配置界面单击
　　3。按钮创建流策略，填写流策略名称。单击新建分类，在新建分类页面中配置流分类和流行为。在流分类配置中选择上一步配置的二层ACL。在流行为配置中选择允许报文通过，单击确定，完成配置，如图112所示。
　　图112配置流策略
　　4。依次单击高级QoS配置流量管理策略应用，在策略应用页面将流策略应用到内网接口GE001的入方向，如图113所示。
　　图113流策略应用在GE001的入方向
　　5。依次单击配置局域网配置VLANVLAN，在VLAN设置页面，接口选择部分选择GE001接口，并以Trunk类型加入VLAN100。同时勾选创建VLANIF接口，并配置VLANIF接口的IP地址和掩码，单击添加，完成配置，如图114所示。
　　图114创建VLAN100及VLANIF100接口
　　6。依次单击配置局域网配置VLANVLANIF，在VLANIF设置页面，单击已有VLANIF接口右侧的修改，进入VLANIF修改页面。开启DHCP服务功能，单击确定，完成配置，如图115所示。
　　图115开启VLANIF100接口的DHCP功能
　　7。验证配置结果，被限制的内网用户无法访问外网。限制用户的VLAN背景信息
　　如图116所示，Router为某中小型企业的企业网关，企业内网用户通过Router访问Internet。现由于业务需要，允许采购部门的用户上网，不允许技术部门的用户上网。由于采购部门的用户都在同一个VLAN内，因此采用基于VLAN的方式对用户的上网行为进行控制。本例中采购部门的用户在VLAN100内，技术部门的用户在VLAN200内，即允许VLAN100内的用户主机上网，不允许VLAN200内的用户主机上网。
　　图116基于用户的VLAN限制用户上网组网图
　　配置思路创建一条新的二层ACL，先为该ACL添加一条允许VLAN为100报文通过的规则，然后再为该ACL添加一条拒绝VLAN为200报文通过的规则。配置LAN侧接口。创建VLAN100、VLAN200、VLANIF100及VLANIF200接口，配置VLANIF100和VLANIF200接口的IP地址，并将GE001接口以Trunk方式加入VLAN100，将GE002接口以Trunk方式加入VLAN200。开启VLANIF100和VLANIF200接口的DHCP功能，为采购部和技术部的用户自动分配IP地址。配置流策略、流分类和流行为。在流分类中绑定已创建的二层ACL，流行为的动作为允许报文通过。在GE001和GE002接口的入方向上应用流策略，允许采购部用户上网，不允许技术部用户上网。操作步骤
　　1。依次单击配置攻击防范ACL二层ACL，进入二层ACL界面，添加一条permit规则，允许源VLAN为100的报文通过，如图117所示。
　　图117添加permit规则
　　2。在二层ACL界面，继续添加一条deny规则，禁止源VLAN为200的报文通过，如图118所示。
　　图118添加deny规则
　　依次单击配置局域网配置VLANVLAN，在VLAN设置页面配置VLAN100和VLAN200。其中，VLAN100页面的接口选择部分选择GE001接口，并配置为Trunk类型；VLAN200页面的接口选择部分选择GE002接口，并配置为Trunk类型。同时勾选创建VLANIF接口，配置VLANIF接口的IP地址和掩码，单击添加，完成配置，如图119和图122所示。
　　图119创建VLAN100及VLANIF100接口
　　图120创建VLAN200及VLANIF200接口
　　4。依次单击配置局域网配置VLANVLANIF，在VLANIF设置页面，单击已有VLANIF接口右侧的修改，进入VLANIF修改页面，开启DHCP服务功能，单击确定，完成配置，如图121和图122所示。
　　图121开启VLANIF100接口的DHCP功能
　　图122开启VLANIF200接口的DHCP功能
　　5。依次单击高级QoS配置流量管理策略配置，在策略配置界面单击
　　按钮创建流策略，填写流策略名称。单击新建分类，在新建分类页面中配置流分类和流行为。在流分类配置中选择上一步配置的ACL规则。在流行为配置中选择允许报文通过，单击确定，完成配置，如图123所示。
　　图123配置流策略
　　6。依次单击高级QoS配置流量管理策略应用，在策略应用页面将流策略应用到内网接口GE001和GE002的入方向，如图124和图125所示。
　　图124流策略应用在GE001的入方向
　　图125流策略应用在GE002的入方向
　　7。验证配置结果，采购部门的内网用户可以正常访问外网，技术部门的内网用户无法访问外网。