01-网址控制典型配置举例
本章节下载: 01-网址控制典型配置举例 (1.01 MB)
目 录
本文档分别介绍路由器通过网址黑名单和网址白名单的方式进行网址控制的配置方法。
· 网址黑名单:开启该功能,设备会禁止指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则可以正常访问。
· 网址白名单:开启该功能,设备只允许指定的用户在指定的时间段内访问自定义网址分类中指定的网址;对于不在网址分类中的网址,则无法访问。
请根据您的实际需求,参考黑名单配置举例或白名单配置举例进行配置。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解上网行为管理-网址控制的特性。
本配置举例是在UR7206路由器Release 0141版本上进行配置和验证的。
如图4-1所示,Router为企业的出口网关,通过WAN1接口连接Internet,WAN1接口连接模式为固定地址,IP地址为2.2.2.1/24,网关地址为2.2.2.254,DNS1服务器地址为114.114.114.114,DNS2服务器地址为223.5.5.5。企业内部各部门PC通过Switch连接到Router的LAN1接口,LAN1接口属于VLAN1,VLAN1的接口IP地址为10.1.1.1/24。
现出于业务需求,企业要求采购部的PC在上班时间段(周一至周五9:00-18:00)仅可以访问淘宝网,其他部门PC在上班时间段访问任何网址不受限制。
需要开启网址白名单功能,并配置以下两条白名单策略来达到需求:
· 允许采购部PC在上班时间段内访问淘宝网。
· 允许其他部分PC在上班时间段内访问任何网址。
· 开启网址白名单功能后,报文的匹配规则举例如下:
网址白名单名称 |
网址分类名称 |
地址组名称 |
白名单A |
网址组A |
用户组A |
白名单B |
网址组B |
用户组B |
¡ 如果用户User1同时属于用户组A和用户组B,则用户User1只允许访问网址组A和网址组B中的网址;
¡ 如果用户User2仅属于用户组A,则用户User2只允许访问网址组A中的网址;
¡ 如果用户User3既不属于用户组A也不属于用户组B,则用户User3不允许访问任何网址。
· 配置网址关键字时:
¡ 若需匹配所有网址配置,可将网址关键字设置为“.”,即英文句号。
¡ 若设置的网址关键字不加通配符*时,网址控制策略将根据关键字做精确匹配,例如www.baidu.com;关键字添加通配符*时,网址控制策略将根据关键字做模糊匹配,例如*.baidu.com、www.baidu*或*baidu*。
· 修改VLAN1接口的IP地址后,会导致Web管理界面登录异常,需要使用修改后的IP地址重新登录Web管理界面,才能进行接下来的配置。
# 将VLAN1接口的IP地址修改为10.1.1.1/24。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > LAN配置”,进入LAN配置页面。
(2) 单击“VLAN配置”页签,进入VLAN配置页面。
(3) 单击VLAN1对应的操作列编辑图标,进入修改VLAN配置页面。
(4) 在“接口IP地址”配置项处,输入10.1.1.1。
(5) 在“子网掩码”配置项处,输入255.255.255.0。
(6) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图4-2 修改VLAN配置
# 本例中Router A外网的接口模式选择双WAN模式,WAN接口的连接模式为固定地址。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 外网配置”,进入外网配置页面。
(2) 在“配置接口模式”页签下选择双WAN模式,单击<应用>按钮使得配置生效。
(3) 单击“WAN配置”页签,进入WAN配置页面。
(4) 单击WAN1对应的操作列编辑图标,进入修改WAN配置页面。
(5) 在“连接模式”配置项处,选择固定地址。
(6) 在“IP地址”配置相处,输入2.2.2.1。
(7) 在“子网掩码”配置项处,输入255.255.255.0。
(8) 在“网关地址”配置项处,输入2.2.2.254。
(9) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图4-3 配置WAN场景
图4-4 修改WAN配置
# 将采购部门员工PC的IP地址段设置为名称为“采购部”的地址组。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 地址组”,进入地址组配置页面。
(2) 单击“添加”按钮,进入添加地址组配置页面。
(3) 在“地址组名称”配置项处,输入采购部。
(4) 在“IP地址段”配置项处,起始框输入10.1.1.2,结束框输入10.1.1.30。
(5) 点击配置项右侧的< > >按钮,提交配置的地址组内容。
(6) 其它配置项均保持缺省配置即可,单击<确定>按钮保存配置。
图4-5 配置采购部地址组
# 将其他部门员工PC的IP地址段设置为名称为“其他部门”的地址组。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 地址组”,进入地址组配置页面。
(2) 单击<添加>按钮,进入添加地址组配置页面。
(3) 在“地址组名称”配置项处,输入其他部门。
(4) 在“IP地址段”配置项处,起始框输入10.1.1.31,结束框输入10.1.1.254。
(5) 点击配置项右侧的< > >按钮,提交配置的地址组内容。
(6) 其它配置项均保持缺省配置即可,单击<确定>按钮保存配置。
图4-6 配置其他部门地址组
# 将上班时间段设置为名称为“上班时间”的时间组。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 时间组”,进入时间组配置页面。
(2) 单击<添加>按钮,进入新建时间组配置页面。
(3) 在“时间组名称”配置项处,输入上班时间。
(4) 在“生效时间”配置项处,选择周期性生效,并设置具体的时间段为周一至周五9:00-18:00,单击<+>按钮,提交配置的时间段。
(5) 单击<确定>按钮保存配置。
图4-7 新建时间组
(1) 在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”,进入上网行为管理配置页面。
(2) 单击“网址控制”页签,进入网址控制配置页面。
(3) 勾选“网址白名单模式”,单击<确定>按钮,开启网址白名单功能。
(4) 在“网址分类”列对应的配置项处,输入新建网址控制策略的网址分类名称“policy1”。
(5) 在“地址组”列对应的配置项处,选择“采购部”地址组。
(6) 在“时间组”列对应的配置项处,选择“上班时间”时间组。
(7) 单击右侧<+>按钮,名称为“policy1”的网址分类成功。
(8) 单击“policy1”网址分类操作列对应的详情图标,进入设置网址关键字页面。
(9) 在“网址关键字”输入框中输入淘宝网关键字“*taobao*”。
(10) 单击右侧<+>按钮,提交网址关键字。
(11) 单击<确定>按钮,完成网址关键字添加。
图4-8 配置网址控制
图4-9 设置网址关键字
(1) 在“网址分类”列对应的配置项处,输入新建网址控制策略的网址分类名称“policy2”。
(2) 在“地址组”列对应的配置项处,选择“其他部门”地址组。
(3) 在“时间组”列对应的配置项处,选择“上班时间”时间组。
(4) 单击右侧<+>按钮,名称为“policy2”的网址分类成功。
(5) 单击“policy2”网址分类操作列对应的详情图标,进入设置网址关键字页面。
(6) 在“网址关键字”输入框中输入关键字“.”(表示所有网址)。
(7) 单击右侧<+>按钮,提交网址关键字。
(8) 单击<确定>按钮,完成添加网址关键字。
图4-10 配置网址控制
图4-11 设置网址关键字
上班时间段内,使用采购部员工PC可以正常打开淘宝网,其它网页无法打开,其他部门PC可以正常访问任何网址,说明配置验证成功。
图4-12 淘宝网页面
图4-13 百度网页面
如图5-1,Router为企业的出口网关,通过WAN1接口连接Internet,WAN1接口连接模式为固定地址,IP地址为2.2.2.1/24,网关地址为2.2.2.254,DNS1服务器地址为114.114.114.114,DNS2服务器地址为223.5.5.5。企业内部各部门PC通过Switch连接到Router的LAN1接口,LAN1接口属于VLAN1,VLAN1的接口IP地址为10.1.1.1/24。
现出于业务需求,需禁止销售部的PC在上班时间段(周一至周五9:00-18:00)访问优酷网,其他部门PC在上班时间段访问任何网址不受限制。
需要启用网址黑名单功能,并配置一条禁止销售部PC在上班时间内访问优酷网的策略来达到需求。
· 开启网址黑名单功能后,报文的匹配规则举例如下:
网址黑名单名称 |
网址分类名称 |
地址组名称 |
黑名单A |
网址组A |
用户组A |
¡ 如果用户User1属于用户组A,则用户User1不允许访问网址组A中的网址;
¡ 如果用户User2不属于用户组A,则用户User2允许访问任何网址。
· 配置网址关键字时:
¡ 若需匹配所有网址配置,可将网址关键字设置为“.”,即英文句号。
¡ 若设置的网址关键字不加通配符*时,网址控制策略将根据关键字做精确匹配,例如www.baidu.com;关键字添加通配符*时,网址控制策略将根据关键字做模糊匹配,例如*.baidu.com、www.baidu*或*baidu*。
· 修改VLAN1接口的IP地址后,会导致Web管理界面登录异常,需要使用修改后的IP地址重新登录Web管理界面,才能进行接下来的配置。
# 将VLAN1接口的IP地址修改为10.1.1.1/24。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > LAN配置”,进入LAN配置页面。
(2) 单击“VLAN配置”页签,进入VLAN配置页面。
(3) 单击VLAN1对应的操作列编辑图标,进入修改VLAN配置页面。
(4) 在“接口IP地址”配置项处,输入10.1.1.1。
(5) 在“子网掩码”配置项处,输入255.255.255.0。
(6) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图5-2 修改VLAN配置
# 本例中Router A外网的接口模式选择双WAN模式,WAN接口的连接模式为固定地址。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 外网配置”,进入外网配置页面。
(2) 在“配置接口模式”页签下选择双WAN模式,单击<应用>按钮使得配置生效。
(3) 单击“WAN配置”页签,进入WAN配置页面。
(4) 单击WAN1对应的操作列编辑图标,进入修改WAN配置页面。
(5) 在“连接模式”配置项处,选择固定地址。
(6) 在“IP地址”配置相处,输入2.2.2.1。
(7) 在“子网掩码”配置项处,输入255.255.255.0。
(8) 在“网关地址”配置项处,输入2.2.2.254。
(9) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图5-3 配置WAN场景
图5-4 修改WAN配置
# 将销售部门员工PC的IP地址段设置为名称为“销售部”的地址组。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 地址组”,进入地址组配置页面。
(2) 单击<添加>按钮,进入添加地址组配置页面。
(3) 在“地址组名称”配置项处,输入销售部。
(4) 在“IP地址段”配置项处,起始框输入10.1.1.2,结束框输入10.1.1.30。
(5) 点击配置项右侧的< > >按钮,提交配置的地址组内容。
(6) 其它配置项均保持缺省配置即可,单击<确定>按钮保存配置。
图5-5 配置地址组
# 将上班时间段设置为名称为“上班时间”的时间组。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 时间组”,进入时间组配置页面。
(2) 单击<添加>按钮,进入新建时间组配置页面。
(3) 在“时间组名称”配置项处,输入上班时间。
(4) 在“生效时间”配置项处,选择周期性生效,并设置具体的时间段为周一至周五9:00-18:00,单击<+>按钮,提交配置的时间段。
(5) 单击<确定>按钮保存配置。
图5-6 新建时间组
# 配置一条销售部PC在上班时间内禁止访问优酷网的策略。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”,进入上网行为管理配置页面。
(2) 单击“网址控制”页签,进入网址控制配置页面。
(3) 勾选“网址黑名单模式”,单击<确定>按钮,开启网址黑名单功能。
(4) 在“网址分类”列对应的配置项处,输入新建网址控制策略的网址分类名称“policy1”。
(5) 在“地址组”列对应的配置项处,选择“销售部”地址组。
(6) 在“时间组”列对应的配置项处,选择“上班时间”时间组。
(7) 单击右侧<+>按钮,名称为“policy1”的网址分类成功。
(8) 单击“policy1”网址分类操作列对应的详情图标,进入设置网址关键字页面。
(9) 在“网址关键字”输入框中输入关键字“www.youku.com”。
(10) 单击右侧<+>按钮,提交网址关键字。
(11) 单击<确定>按钮,完成添加网址关键字。
图5-7 配置黑名单策略
图5-8 设置网址关键字
上班时间段内,使用销售部员工PC无法访问优酷网,其它网页正常访问,其他部门PC可以正常访问任何网址,说明配置验证成功。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!