華為如何通過ACL訪問控制列表限制上網
登
錄到路由器telnet 192.168.1.1
輸入使用者名稱,密碼
acl number 3000 (如果不存在,建立訪問列表;存在則新增一條限制)
允許192.168.1.99上網:
rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0
說明:192.168.1.99 0 表示允許192.168.1.99這臺主機,0表示本機。
rule 規則編號 ip source 主機 反子網掩碼 destination 目的IP 反子網掩碼
如果要允許多個連續IP上網:
rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0
表示允許192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上網
同樣,可以限制某IP只能訪問某一個網站:
例如,允許192.168.1.98這臺主機只能訪問www.baidu.com
rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0
某個網站的IP:可以開啟命令提示符,ping www.baidu.com (以百度為例),
***本人註釋:
要開啟cmd,用:nslookup 網址 如:nslookup www.qq.com 才能把網址的ip查全。
****
最後不要忘記:
rule 14 deny any any 把不符合以上規則的資料都過濾掉,這樣只有上面列出的ip才可以上網。
另:以上修改完畢後,要儲存:save,然後重啟路由器使設定生效。
寫的不夠詳細,敬請原諒。
***
還有http://wenku.baidu.com/view/320c9df67c1cfad6195fa7e1.html
**
acl控制上網問題
我想通過acl控制上網,讓區域網內的機器只能遊覽網頁,並且控制個別機器(知道MAC)不能上網,交換機是華為6503,配置如下:
acl number 3001
rule permit tcp destination-port eq domain ;交換機本身的地址
rule permit udp destination-port eq dns ;允許dns查詢(域名解析)
rule permit tcp destination-port eq telnet ;允許telnet外網裝置
rule permit tcp destination-port eq www ;允許訪問網頁
rule permit tcp destination-port eq 443 ;允許訪問加密網頁,如銀行業務QQ遊戲
rule permit tcp destination-port eq ftp ;允許FTP下載(禁止21埠還是可以用Http下載檔案的)
rule permit tcp destination-port eq pop3 ;允許POP3收信
rule permit tcp destination-port eq smtp ;允許SMTP發信
rule permit icmp ;允許ping外網ip,icmp用於在主機、路由器之間傳遞控制訊息的協議(華為可通過UDP協議ping關換機)
rule deny ip ;其它都禁止
acl number 4000
rule deny ingress 0014-7849-414C egress any
rule deny ingress 0023-5A14-E221 egress any
acl number 4000和 acl number 3002都下發到埠後,發現MAC為0014-7849-414C 和0023-5A14-E221 機器還能上網(如果只下發acl number 4000,MAC為0014-7849-414C 和0023-5A14-E221 機器不能上網),怎麼才能讓MAC為0014-7849-414C 和0023-5A14-E221 機器不能上網呢?
***
控制某幾臺電腦不能上網,這種工作應該在上網的路由器上設定。在交換機上做很麻煩而且效果不好。
***
ACL 控制區域網上網問題
預設閘道器:192.168.1.1
子網掩碼:255.255.255.0
路由器:華為路由器
要求:192.168.1.10-192.168.1.30能夠上網
192.168.1.100 只能訪問某個特定網站
**
通過acl來實現
Acl number 3011
rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq smtp (這是允許發郵件)
rule permit tcp source 192.168.1.0 0.0.0.255 destination-port eq pop3 (允許收郵件)
rule deny ip source 192.168.1.0 0.0.0.255 (拒絕上網)
在內網口下發acl。命令如下:
interface Ethernet0/1(進入內網口下發)
firewall packet-filter 3011 inbound
這個建立ACL規則應該是可以解決的.但是這個有點複雜,建議:請撥打華為800專線,他們肯定會給你處理的,因為我經常打,呵呵!也建議LZ經常去華為技術主站經常下載資料檢視!電話如下請您記錄:800 830 211 879