技术文档
当前位置:技术文档

H3C无线控制器URL过滤典型配置举例(V7)

来源:未知 时间:2022-04-14 16:16
 

    如图所示,Switch作为DHCP服务器为AP和Client分配IP地址,其中AP与AC使用VLAN 100建立CAPWAP隧道,Client使用VLAN 200接入无线网络。现要求:

  1、 配置URL过滤功能,允许Client访问外网的www.sina.com。

  2、配置预定义URL过滤分类Pre-Games的动作为丢弃并生成日志。

  3、 配置URL过滤策略的缺省动作为丢弃和生成日志。

  配置步骤1、 配置AC

  (1) 配置AC的接口

  # 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。

  system-view

  [AC] vlan 100

  [AC-vlan100] quit

  [AC] interface vlan-interface 100

  [AC-Vlan-interface100] ip address 192.1.1.1 24

  [AC-Vlan-interface100] quit

  # 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client使用该VLAN接入无线网络。

  [AC] vlan 200

  [AC-vlan200] quit

  [AC] interface vlan-interface 200

  [AC-Vlan-interface200] ip address 192.2.1.1 24

  [AC-Vlan-interface200] quit

  # 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过,当前Trunk口的PVID为100。

  [AC] interface gigabitethernet 1/0/1

  [AC-GigabitEthernet1/0/1] port link-type trunk

  [AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

  [AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200

  [AC-GigabitEthernet1/0/1] port trunk pvid vlan 100

  [AC-GigabitEthernet1/0/1] quit

  (2) 配置无线服务

  # 创建无线服务模板1,并进入无线服务模板视图。

  [AC] wlan service-template 1

  # 配置SSID为service。

  [AC-wlan-st-1] ssid service

  # 配置无线客户端上线后加入到VLAN 200。

  [AC-wlan-st-1] vlan 200

  # 使能无线服务模板。

  [AC-wlan-st-1] service-template enable

  [AC-wlan-st-1] quit

  (3) 配置AP

  # 创建手工AP,名称为ap1,型号为WAP722S-HI。

  [AC] wlan ap ap1 model WAP722S-HI

  # 设置AP序列号为219801A2F98205P00031。

  [AC-wlan-ap-ap1] serial-id 219801A2F98205P0031

  # 进入AP的Radio 1视图,并将无线服务模板1绑定到Radio 1上。

  [AC-wlan-ap-ap1] radio 1

  [AC-wlan-ap-ap1-radio-1] service-template 1

  # 开启Radio 1的射频功能。

  [AC-wlan-ap-ap1-radio-1] radio enable

  [AC-wlan-ap-ap1-radio-1] quit

  # 进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。

  [AC-wlan-ap-ap1] radio 2

  [AC-wlan-ap-ap1-radio-2] service-template 1

  # 开启Radio 2的射频功能。

  [AC-wlan-ap-ap1-radio-2] radio enable

  [AC-wlan-ap-ap1-radio-2] quit

  [AC-wlan-ap-ap1] quit

  (4) 配置对象组

  # 创建名为urlfilter的IP地址对象组,并定义其子网地址为192.2.1.0/24。

  [AC] object-group ip address urlfilter

  [AC-obj-grp-ip-urlfilter] network subnet 192.2.1.0 24

  [AC-obj-grp-ip-urlfilter] quit

  (5) 配置URL过滤功能

  # 创建名为news的URL过滤分类,并进入URL过滤分类视图,设置该分类的严重级别为2000。

  [AC] url-filter category news severity 2000

  # 在URL过滤分类news中添加一条URL过滤规则,并使用字符串www.sina.com对主机名字段进行精确匹配。

  [AC-url-filter-category-news] rule 1 host text www.sina.com

  [AC-url-filter-category-news] quit

  # 创建名为urlnews的URL过滤策略,并进入URL过滤策略视图。

  [AC] url-filter policy urlnews

  # 在URL过滤策略urlnews中,配置URL过滤分类news绑定的动作为允许。

  [AC-url-filter-policy-urlnews] category news action permit

  # 在URL过滤策略urlnews中,配置预定义URL过滤分类Pre-Games绑定的动作为丢弃并生成日志。

  [AC-url-filter-policy-urlnews] category Pre-Games action drop logging

  # 在URL过滤策略urlnews中,配置策略的缺省动作为丢弃和打印日志。

  [AC-url-filter-policy-urlnews] default-action drop logging

  [AC-url-filter-policy-urlnews] quit

  (6) 配置DPI应用profile

  # 创建名为sec的DPI应用profile,并进入DPI应用profile视图。

  [AC] app-profile sec

  # 在DPI应用profile sec中应用URL过滤策略urlnews。

  [AC-app-profile-sec] url-filter apply policy urlnews

  [AC-app-profile-sec] quit

  # 激活URL过滤策略和规则配置。

  [AC] inspect activate

  (7) 配置安全策略引用URL过滤业务

  # 进入IPv4安全策略视图

  [AC] security-policy ip

  # 创建名为urlfilter的安全策略规则,过滤条件为:源IP地址对象组urlfilter。动作为允许,且引用的DPI应用profile为sec。

  [AC-security-policy-ip] rule name urlfilter

  [AC-security-policy-ip-13-urlfilter] source-ip urlfilter

  [AC-security-policy-ip-13-urlfilter] action pass

  [AC-security-policy-ip-13-urlfilter] profile sec

  [AC-security-policy-ip-13-urlfilter] quit

  # 激活安全策略的加速功能。

  [AC-security-policy-ip] accelerate enhanced enable

  [AC-security-policy-ip] quit

  2、 配置Switch

  (1) 配置Switch的接口

  # 创建VLAN 100和VLAN 200及其对应接口,并为该接口配置IP地址,其中VLAN 100用于转发AC和AP间CAPWAP隧道内的流量,VLAN 200用于转发Client无线报文。

  system-view

  [Switch] vlan 100

  [Switch-vlan100] quit

  [Switch] interface vlan-interface 100

  [Switch-Vlan-interface100] ip address 192.1.1.2 24

  [Switch-Vlan-interface100] quit

  [Switch] vlan 200

  [Switch-vlan200] quit

  [Switch] interface vlan-interface 200

  [Switch-Vlan-interface200] ip address 192.2.1.2 24

  [Switch-Vlan-interface200] quit

  # 配置Switch和AC相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过,当前Trunk口的PVID为100。

  [Switch] interface gigabitethernet 1/0/1

  [Switch-GigabitEthernet1/0/1] port link-type trunk

  [Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1

  [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200

  [Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100

  [Switch-GigabitEthernet1/0/1] quit

  # 配置Switch和AP相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100通过,当前Trunk口的PVID为100。

  [Switch] interface gigabitethernet 1/0/2

  [Switch-GigabitEthernet1/0/2] port link-type trunk

  [Switch-GigabitEthernet1/0/2] undo port trunk permit vlan 1

  [Switch-GigabitEthernet1/0/2] port trunk permit vlan 100

  [Switch-GigabitEthernet1/0/2] port trunk pvid vlan 100

  # 开启Switch和AP相连的接口GigabitEthernet1/0/2的PoE供电功能。

  [Switch-GigabitEthernet1/0/2] poe enable

  [Switch-GigabitEthernet1/0/2] quit

  (2) 配置DHCP服务

  # 开启DHCP功能。

  [Switch] dhcp enable

  # 创建名为vlan100的DHCP地址池,为AP分配IP地址,配置地址池动态分配的网段为192.1.1.0/24,地址池中不参与自动分配的IP地址为192.1.1.1和192.1.1.2。

  [Switch] dhcp server ip-pool vlan100

  [Switch-dhcp-pool-vlan100] network 192.1.1.0 mask 255.255.255.0

  [Switch-dhcp-pool-vlan100] forbidden-ip 192.1.1.1 192.1.1.2

  [Switch-dhcp-pool-vlan100] gateway-list 192.1.1.1

  [Switch-dhcp-pool-vlan100] quit

  # 创建名为vlan200的DHCP地址池,为Client分配IP地址,配置地址池动态分配的网段为192.2.1.0/24,地址池中不参与自动分配的IP地址为192.2.1.1和192.2.1.2。

  [Switch] dhcp server ip-pool vlan200

  [Switch-dhcp-pool-vlan200] network 192.2.1.0 mask 255.255.255.0

  [Switch-dhcp-pool-vlan200] forbidden-ip 192.2.1.1 192.2.1.2

  [Switch-dhcp-pool-vlan200] gateway-list 192.2.1.2

  [Switch-dhcp-pool-vlan200] dns-list 192.2.1.2

  [Switch-dhcp-pool-vlan200] quit

  3、 验证配置

  以上配置生效后,Client可以访问外网的www.sina.com,但是不能访问游戏类的网页。Client尝试访问游戏类的URL请求将会被AC阻断并且打印日志。


上一篇:H3C F1070防火墙建立了vpn,但是内网资源无法互通
下一篇:交换机bfd协商机制及光模块发光间隔说明
   蜀ICP备2020034250号-1   川公网安备 51010802000119号

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服