国产三级在线观看播放,国产农村妇女精品一二区,国产精品久久久,国产肥熟女视频一区二区三区,国产成人精品亚洲777人妖

廣告招募

H3C無線控制器URL過濾典型配置舉例(V7)

2023年01月11日 11:23:33      來源:達(dá)銳斯科技 >> 進(jìn)入該公司展臺      閱讀量:26

分享:


  如圖所示,Switch作為DHCP服務(wù)器為AP和Client分配IP地址,其中AP與AC使用VLAN 100建立CAPWAP隧道,Client使用VLAN 200接入無線網(wǎng)絡(luò)?,F(xiàn)要求:

  1、 配置URL過濾功能,允許Client訪問外網(wǎng)的。

  2、配置預(yù)定義URL過濾分類Pre-Games的動作為丟棄并生成日志。

  3、 配置URL過濾策略的缺省動作為丟棄和生成日志。

  配置步驟1、 配置AC

  (1) 配置AC的接口

  # 創(chuàng)建VLAN 100及其對應(yīng)的VLAN接口,并為該接口配置IP地址。AP將獲取該IP地址與AC建立CAPWAP隧道。

  system-view

  [AC] vlan 100

  [AC-vlan100] quit

  [AC] interface vlan-interface 100

  [AC-Vlan-interface100] ip address 192.1.1.1 24

  [AC-Vlan-interface100] quit

  # 創(chuàng)建VLAN 200及其對應(yīng)的VLAN接口,并為該接口配置IP地址。Client使用該VLAN接入無線網(wǎng)絡(luò)。

  [AC] vlan 200

  [AC-vlan200] quit

  [AC] interface vlan-interface 200

  [AC-Vlan-interface200] ip address 192.2.1.1 24

  [AC-Vlan-interface200] quit

  # 配置AC和Switch相連的接口GigabitEthernet1/0/1為Trunk類型,禁止VLAN 1報文通過,允許VLAN 100和VLAN 200通過,當(dāng)前Trunk口的PVID為100。

  [AC] interface gigabitethernet 1/0/1

  [AC-GigabitEthernet1/0/1] port link-type trunk

  [AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

  [AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200

  [AC-GigabitEthernet1/0/1] port trunk pvid vlan 100

  [AC-GigabitEthernet1/0/1] quit

  (2) 配置無線服務(wù)

  # 創(chuàng)建無線服務(wù)模板1,并進(jìn)入無線服務(wù)模板視圖。

  [AC] wlan service-template 1

  # 配置SSID為service。

  [AC-wlan-st-1] ssid service

  # 配置無線客戶端上線后加入到VLAN 200。

  [AC-wlan-st-1] vlan 200

  # 使能無線服務(wù)模板。

  [AC-wlan-st-1] service-template enable

  [AC-wlan-st-1] quit

  (3) 配置AP

  # 創(chuàng)建手工AP,名稱為ap1,型號為WAP722S-HI。

  [AC] wlan ap ap1 model WAP722S-HI

  # 設(shè)置AP序列號為219801A2F98205P00031。

  [AC-wlan-ap-ap1] serial-id 219801A2F98205P0031

  # 進(jìn)入AP的Radio 1視圖,并將無線服務(wù)模板1綁定到Radio 1上。

  [AC-wlan-ap-ap1] radio 1

  [AC-wlan-ap-ap1-radio-1] service-template 1

  # 開啟Radio 1的射頻功能。

  [AC-wlan-ap-ap1-radio-1] radio enable

  [AC-wlan-ap-ap1-radio-1] quit

  # 進(jìn)入AP的Radio 2視圖,并將無線服務(wù)模板1綁定到Radio 2上。

  [AC-wlan-ap-ap1] radio 2

  [AC-wlan-ap-ap1-radio-2] service-template 1

  # 開啟Radio 2的射頻功能。

  [AC-wlan-ap-ap1-radio-2] radio enable

  [AC-wlan-ap-ap1-radio-2] quit

  [AC-wlan-ap-ap1] quit

  (4) 配置對象組

  # 創(chuàng)建名為urlfilter的IP地址對象組,并定義其子網(wǎng)地址為192.2.1.0/24。

  [AC] object-group ip address urlfilter

  [AC-obj-grp-ip-urlfilter] network subnet 192.2.1.0 24

  [AC-obj-grp-ip-urlfilter] quit

  (5) 配置URL過濾功能

  # 創(chuàng)建名為news的URL過濾分類,并進(jìn)入URL過濾分類視圖,設(shè)置該分類的嚴(yán)重級別為2000。

  [AC] url-filter category news severity 2000

  # 在URL過濾分類news中添加一條URL過濾規(guī)則,并使用字符串對主機(jī)名字段進(jìn)行精確匹配。

  [AC-url-filter-category-news] rule 1 host text

  [AC-url-filter-category-news] quit

  # 創(chuàng)建名為urlnews的URL過濾策略,并進(jìn)入URL過濾策略視圖。

  [AC] url-filter policy urlnews

  # 在URL過濾策略urlnews中,配置URL過濾分類news綁定的動作為允許。

  [AC-url-filter-policy-urlnews] category news action permit

  # 在URL過濾策略urlnews中,配置預(yù)定義URL過濾分類Pre-Games綁定的動作為丟棄并生成日志。

  [AC-url-filter-policy-urlnews] category Pre-Games action drop logging

  # 在URL過濾策略urlnews中,配置策略的缺省動作為丟棄和打印日志。

  [AC-url-filter-policy-urlnews] default-action drop logging

  [AC-url-filter-policy-urlnews] quit

  (6) 配置DPI應(yīng)用profile

  # 創(chuàng)建名為sec的DPI應(yīng)用profile,并進(jìn)入DPI應(yīng)用profile視圖。

  [AC] app-profile sec

  # 在DPI應(yīng)用profile sec中應(yīng)用URL過濾策略urlnews。

  [AC-app-profile-sec] url-filter apply policy urlnews

  [AC-app-profile-sec] quit

  # 激活URL過濾策略和規(guī)則配置。

  [AC] inspect activate

  (7) 配置安全策略引用URL過濾業(yè)務(wù)

  # 進(jìn)入IPv4安全策略視圖

  [AC] security-policy ip

  # 創(chuàng)建名為urlfilter的安全策略規(guī)則,過濾條件為:源IP地址對象組urlfilter。動作為允許,且引用的DPI應(yīng)用profile為sec。

  [AC-security-policy-ip] rule name urlfilter

  [AC-security-policy-ip-13-urlfilter] source-ip urlfilter

  [AC-security-policy-ip-13-urlfilter] action pass

  [AC-security-policy-ip-13-urlfilter] profile sec

  [AC-security-policy-ip-13-urlfilter] quit

  # 激活安全策略的加速功能。

  [AC-security-policy-ip] accelerate enhanced enable

  [AC-security-policy-ip] quit

  2、 配置Switch

  (1) 配置Switch的接口

  # 創(chuàng)建VLAN 100和VLAN 200及其對應(yīng)接口,并為該接口配置IP地址,其中VLAN 100用于轉(zhuǎn)發(fā)AC和AP間CAPWAP隧道內(nèi)的流量,VLAN 200用于轉(zhuǎn)發(fā)Client無線報文。

  system-view

  [Switch] vlan 100

  [Switch-vlan100] quit

  [Switch] interface vlan-interface 100

  [Switch-Vlan-interface100] ip address 192.1.1.2 24

  [Switch-Vlan-interface100] quit

  [Switch] vlan 200

  [Switch-vlan200] quit

  [Switch] interface vlan-interface 200

  [Switch-Vlan-interface200] ip address 192.2.1.2 24

  [Switch-Vlan-interface200] quit

  # 配置Switch和AC相連的接口GigabitEthernet1/0/1為Trunk類型,禁止VLAN 1報文通過,允許VLAN 100和VLAN 200通過,當(dāng)前Trunk口的PVID為100。

  [Switch] interface gigabitethernet 1/0/1

  [Switch-GigabitEthernet1/0/1] port link-type trunk

  [Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1

  [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200

  [Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100

  [Switch-GigabitEthernet1/0/1] quit

  # 配置Switch和AP相連的接口GigabitEthernet1/0/2為Trunk類型,禁止VLAN 1報文通過,允許VLAN 100通過,當(dāng)前Trunk口的PVID為100。

  [Switch] interface gigabitethernet 1/0/2

  [Switch-GigabitEthernet1/0/2] port link-type trunk

  [Switch-GigabitEthernet1/0/2] undo port trunk permit vlan 1

  [Switch-GigabitEthernet1/0/2] port trunk permit vlan 100

  [Switch-GigabitEthernet1/0/2] port trunk pvid vlan 100

  # 開啟Switch和AP相連的接口GigabitEthernet1/0/2的PoE供電功能。

  [Switch-GigabitEthernet1/0/2] poe enable

  [Switch-GigabitEthernet1/0/2] quit

  (2) 配置DHCP服務(wù)

  # 開啟DHCP功能。

  [Switch] dhcp enable

  # 創(chuàng)建名為vlan100的DHCP地址池,為AP分配IP地址,配置地址池動態(tài)分配的網(wǎng)段為192.1.1.0/24,地址池中不參與自動分配的IP地址為192.1.1.1和192.1.1.2。

  [Switch] dhcp server ip-pool vlan100

  [Switch-dhcp-pool-vlan100] network 192.1.1.0 mask 255.255.255.0

  [Switch-dhcp-pool-vlan100] forbidden-ip 192.1.1.1 192.1.1.2

  [Switch-dhcp-pool-vlan100] gateway-list 192.1.1.1

  [Switch-dhcp-pool-vlan100] quit

  # 創(chuàng)建名為vlan200的DHCP地址池,為Client分配IP地址,配置地址池動態(tài)分配的網(wǎng)段為192.2.1.0/24,地址池中不參與自動分配的IP地址為192.2.1.1和192.2.1.2。

  [Switch] dhcp server ip-pool vlan200

  [Switch-dhcp-pool-vlan200] network 192.2.1.0 mask 255.255.255.0

  [Switch-dhcp-pool-vlan200] forbidden-ip 192.2.1.1 192.2.1.2

  [Switch-dhcp-pool-vlan200] gateway-list 192.2.1.2

  [Switch-dhcp-pool-vlan200] dns-list 192.2.1.2

  [Switch-dhcp-pool-vlan200] quit

  3、 驗證配置

  以上配置生效后,Client可以訪問外網(wǎng)的,但是不能訪問游戲類的網(wǎng)頁。Client嘗試訪問游戲類的URL請求將會被AC阻斷并且打印日志。

版權(quán)與免責(zé)聲明:
1.凡本網(wǎng)注明"來源:全球制造網(wǎng)"的所有作品,版權(quán)均屬于全球制造網(wǎng),轉(zhuǎn)載請必須注明全球制造網(wǎng)。違反者本網(wǎng)將追究相關(guān)法律責(zé)任。
2.企業(yè)發(fā)布的公司新聞、技術(shù)文章、資料下載等內(nèi)容,如涉及侵權(quán)、違規(guī)遭投訴的,一律由發(fā)布企業(yè)自行承擔(dān)責(zé)任,本網(wǎng)有權(quán)刪除內(nèi)容并追溯責(zé)任。
3.本網(wǎng)轉(zhuǎn)載并注明自其它來源的作品,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點或證實其內(nèi)容的真實性,不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉(zhuǎn)載時,必須保留本網(wǎng)注明的作品來源,并自負(fù)版權(quán)等法律責(zé)任。 4.如涉及作品內(nèi)容、版權(quán)等問題,請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系。