H3C无线控制器URL过滤典型配置举例(V7)
如图所示,switch作为dhcp服务器为ap和client分配ip地址,其中ap与ac使用vlan 100建立capwap隧道,client使用vlan 200接入无线网络。现要求:
1、 配置url过滤功能,允许client访问外网的。
2、配置预定义url过滤分类pre-games的动作为丢弃并生成日志。
3、 配置url过滤策略的缺省动作为丢弃和生成日志。
配置步骤1、 配置ac
(1) 配置ac的接口
# 创建vlan 100及其对应的vlan接口,并为该接口配置ip地址。ap将获取该ip地址与ac建立capwap隧道。
system-view
[ac] vlan 100
[ac-vlan100] quit
[ac] interface vlan-interface 100
[ac-vlan-interface100] ip address 192.1.1.1 24
[ac-vlan-interface100] quit
# 创建vlan 200及其对应的vlan接口,并为该接口配置ip地址。client使用该vlan接入无线网络。
[ac] vlan 200
[ac-vlan200] quit
[ac] interface vlan-interface 200
[ac-vlan-interface200] ip address 192.2.1.1 24
[ac-vlan-interface200] quit
# 配置ac和switch相连的接口gigabitethernet1/0/1为trunk类型,禁止vlan 1报文通过,允许vlan 100和vlan 200通过,当前trunk口的pvid为100。
[ac] interface gigabitethernet 1/0/1
[ac-gigabitethernet1/0/1] port link-type trunk
[ac-gigabitethernet1/0/1] undo port trunk permit vlan 1
[ac-gigabitethernet1/0/1] port trunk permit vlan 100 200
[ac-gigabitethernet1/0/1] port trunk pvid vlan 100
[ac-gigabitethernet1/0/1] quit
(2) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[ac] wlan service-template 1
# 配置ssid为service。
[ac-wlan-st-1] ssid service
# 配置无线客户端上线后加入到vlan 200。
[ac-wlan-st-1] vlan 200
# 使能无线服务模板。
[ac-wlan-st-1] service-template enable
[ac-wlan-st-1] quit
(3) 配置ap
# 创建手工ap,名称为ap1,型号为wap722s-hi。
[ac] wlan ap ap1 model wap722s-hi
# 设置ap序列号为219801a2f98205p00031。
[ac-wlan-ap-ap1] serial-id 219801a2f98205p0031
# 进入ap的radio 1视图,并将无线服务模板1绑定到radio 1上。
[ac-wlan-ap-ap1] radio 1
[ac-wlan-ap-ap1-radio-1] service-template 1
# 开启radio 1的射频功能。
[ac-wlan-ap-ap1-radio-1] radio enable
[ac-wlan-ap-ap1-radio-1] quit
# 进入ap的radio 2视图,并将无线服务模板1绑定到radio 2上。
[ac-wlan-ap-ap1] radio 2
[ac-wlan-ap-ap1-radio-2] service-template 1
# 开启radio 2的射频功能。
[ac-wlan-ap-ap1-radio-2] radio enable
[ac-wlan-ap-ap1-radio-2] quit
[ac-wlan-ap-ap1] quit
(4) 配置对象组
# 创建名为urlfilter的ip地址对象组,并定义其子网地址为192.2.1.0/24。
[ac] object-group ip address urlfilter
[ac-obj-grp-ip-urlfilter] network subnet 192.2.1.0 24
[ac-obj-grp-ip-urlfilter] quit
(5) 配置url过滤功能
# 创建名为news的url过滤分类,并进入url过滤分类视图,设置该分类的严重级别为2000。
[ac] url-filter category news severity 2000
# 在url过滤分类news中添加一条url过滤规则,并使用字符串对主机名字段进行精确匹配。
[ac-url-filter-category-news] rule 1 host text
[ac-url-filter-category-news] quit
# 创建名为urlnews的url过滤策略,并进入url过滤策略视图。
[ac] url-filter policy urlnews
# 在url过滤策略urlnews中,配置url过滤分类news绑定的动作为允许。
[ac-url-filter-policy-urlnews] category news action permit
# 在url过滤策略urlnews中,配置预定义url过滤分类pre-games绑定的动作为丢弃并生成日志。
[ac-url-filter-policy-urlnews] category pre-games action drop logging
# 在url过滤策略urlnews中,配置策略的缺省动作为丢弃和打印日志。
[ac-url-filter-policy-urlnews] default-action drop logging
[ac-url-filter-policy-urlnews] quit
(6) 配置dpi应用profile
# 创建名为sec的dpi应用profile,并进入dpi应用profile视图。
[ac] app-profile sec
# 在dpi应用profile sec中应用url过滤策略urlnews。
[ac-app-profile-sec] url-filter apply policy urlnews
[ac-app-profile-sec] quit
# 激活url过滤策略和规则配置。
[ac] inspect activate
(7) 配置安全策略引用url过滤业务
# 进入ipv4安全策略视图
[ac] security-policy ip
# 创建名为urlfilter的安全策略规则,过滤条件为:源ip地址对象组urlfilter。动作为允许,且引用的dpi应用profile为sec。
[ac-security-policy-ip] rule name urlfilter
[ac-security-policy-ip-13-urlfilter] source-ip urlfilter
[ac-security-policy-ip-13-urlfilter] action pass
[ac-security-policy-ip-13-urlfilter] profile sec
[ac-security-policy-ip-13-urlfilter] quit
# 激活安全策略的加速功能。
[ac-security-policy-ip] accelerate enhanced enable
[ac-security-policy-ip] quit
2、 配置switch
(1) 配置switch的接口
# 创建vlan 100和vlan 200及其对应接口,并为该接口配置ip地址,其中vlan 100用于转发ac和ap间capwap隧道内的流量,vlan 200用于转发client无线报文。
system-view
[switch] vlan 100
[switch-vlan100] quit
[switch] interface vlan-interface 100
[switch-vlan-interface100] ip address 192.1.1.2 24
[switch-vlan-interface100] quit
[switch] vlan 200
[switch-vlan200] quit
[switch] interface vlan-interface 200
[switch-vlan-interface200] ip address 192.2.1.2 24
[switch-vlan-interface200] quit
# 配置switch和ac相连的接口gigabitethernet1/0/1为trunk类型,禁止vlan 1报文通过,允许vlan 100和vlan 200通过,当前trunk口的pvid为100。
[switch] interface gigabitethernet 1/0/1
[switch-gigabitethernet1/0/1] port link-type trunk
[switch-gigabitethernet1/0/1] undo port trunk permit vlan 1
[switch-gigabitethernet1/0/1] port trunk permit vlan 100 200
[switch-gigabitethernet1/0/1] port trunk pvid vlan 100
[switch-gigabitethernet1/0/1] quit
# 配置switch和ap相连的接口gigabitethernet1/0/2为trunk类型,禁止vlan 1报文通过,允许vlan 100通过,当前trunk口的pvid为100。
[switch] interface gigabitethernet 1/0/2
[switch-gigabitethernet1/0/2] port link-type trunk
[switch-gigabitethernet1/0/2] undo port trunk permit vlan 1
[switch-gigabitethernet1/0/2] port trunk permit vlan 100
[switch-gigabitethernet1/0/2] port trunk pvid vlan 100
# 开启switch和ap相连的接口gigabitethernet1/0/2的poe供电功能。
[switch-gigabitethernet1/0/2] poe enable
[switch-gigabitethernet1/0/2] quit
(2) 配置dhcp服务
# 开启dhcp功能。
[switch] dhcp enable
# 创建名为vlan100的dhcp地址池,为ap分配ip地址,配置地址池动态分配的网段为192.1.1.0/24,地址池中不参与自动分配的ip地址为192.1.1.1和192.1.1.2。
[switch] dhcp server ip-pool vlan100
[switch-dhcp-pool-vlan100] network 192.1.1.0 mask 255.255.255.0
[switch-dhcp-pool-vlan100] forbidden-ip 192.1.1.1 192.1.1.2
[switch-dhcp-pool-vlan100] gateway-list 192.1.1.1
[switch-dhcp-pool-vlan100] quit
# 创建名为vlan200的dhcp地址池,为client分配ip地址,配置地址池动态分配的网段为192.2.1.0/24,地址池中不参与自动分配的ip地址为192.2.1.1和192.2.1.2。
[switch] dhcp server ip-pool vlan200
[switch-dhcp-pool-vlan200] network 192.2.1.0 mask 255.255.255.0
[switch-dhcp-pool-vlan200] forbidden-ip 192.2.1.1 192.2.1.2
[switch-dhcp-pool-vlan200] gateway-list 192.2.1.2
[switch-dhcp-pool-vlan200] dns-list 192.2.1.2
[switch-dhcp-pool-vlan200] quit
3、 验证配置
以上配置生效后,client可以访问外网的,但是不能访问游戏类的网页。client尝试访问游戏类的url请求将会被ac阻断并且打印日志。
气动调节阀出现故障的原因及分析
水泥胶砂振实台ZT-96型正确的安装步骤
浅谈过滤袋在使用时的注意事项
HALO 2.7u PFP与5u PFP色谱柱对比
浅谈关于实验室工程装修的注意事项
H3C无线控制器URL过滤典型配置举例(V7)
高速冲床的振动与冲床的误差探讨
皓庄品牌的人工气候箱技术*革新
彼得逊采泥器
物流机器人市场有多大 年增20%还不算全面爆发
防腐型液位计 芜湖
常年转让闲置二手不锈钢储罐定做各种型号不锈钢储油罐
探测功能的优势
恒温恒湿试验箱长期不用该怎么养护
为什么要控制冷鲜肉在加工过程中的温度?肉类水分检测仪简介
污水的**处理
承装修试设备资质该如何办理
陶瓷砖断裂模数测定仪破坏强度测定GB/T3810.4
广谱感应水处理器与电子射频水处理器有什么区别
巴彦淖尔疾控中心污水处理设备报价
1、 配置url过滤功能,允许client访问外网的。
2、配置预定义url过滤分类pre-games的动作为丢弃并生成日志。
3、 配置url过滤策略的缺省动作为丢弃和生成日志。
配置步骤1、 配置ac
(1) 配置ac的接口
# 创建vlan 100及其对应的vlan接口,并为该接口配置ip地址。ap将获取该ip地址与ac建立capwap隧道。
system-view
[ac] vlan 100
[ac-vlan100] quit
[ac] interface vlan-interface 100
[ac-vlan-interface100] ip address 192.1.1.1 24
[ac-vlan-interface100] quit
# 创建vlan 200及其对应的vlan接口,并为该接口配置ip地址。client使用该vlan接入无线网络。
[ac] vlan 200
[ac-vlan200] quit
[ac] interface vlan-interface 200
[ac-vlan-interface200] ip address 192.2.1.1 24
[ac-vlan-interface200] quit
# 配置ac和switch相连的接口gigabitethernet1/0/1为trunk类型,禁止vlan 1报文通过,允许vlan 100和vlan 200通过,当前trunk口的pvid为100。
[ac] interface gigabitethernet 1/0/1
[ac-gigabitethernet1/0/1] port link-type trunk
[ac-gigabitethernet1/0/1] undo port trunk permit vlan 1
[ac-gigabitethernet1/0/1] port trunk permit vlan 100 200
[ac-gigabitethernet1/0/1] port trunk pvid vlan 100
[ac-gigabitethernet1/0/1] quit
(2) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[ac] wlan service-template 1
# 配置ssid为service。
[ac-wlan-st-1] ssid service
# 配置无线客户端上线后加入到vlan 200。
[ac-wlan-st-1] vlan 200
# 使能无线服务模板。
[ac-wlan-st-1] service-template enable
[ac-wlan-st-1] quit
(3) 配置ap
# 创建手工ap,名称为ap1,型号为wap722s-hi。
[ac] wlan ap ap1 model wap722s-hi
# 设置ap序列号为219801a2f98205p00031。
[ac-wlan-ap-ap1] serial-id 219801a2f98205p0031
# 进入ap的radio 1视图,并将无线服务模板1绑定到radio 1上。
[ac-wlan-ap-ap1] radio 1
[ac-wlan-ap-ap1-radio-1] service-template 1
# 开启radio 1的射频功能。
[ac-wlan-ap-ap1-radio-1] radio enable
[ac-wlan-ap-ap1-radio-1] quit
# 进入ap的radio 2视图,并将无线服务模板1绑定到radio 2上。
[ac-wlan-ap-ap1] radio 2
[ac-wlan-ap-ap1-radio-2] service-template 1
# 开启radio 2的射频功能。
[ac-wlan-ap-ap1-radio-2] radio enable
[ac-wlan-ap-ap1-radio-2] quit
[ac-wlan-ap-ap1] quit
(4) 配置对象组
# 创建名为urlfilter的ip地址对象组,并定义其子网地址为192.2.1.0/24。
[ac] object-group ip address urlfilter
[ac-obj-grp-ip-urlfilter] network subnet 192.2.1.0 24
[ac-obj-grp-ip-urlfilter] quit
(5) 配置url过滤功能
# 创建名为news的url过滤分类,并进入url过滤分类视图,设置该分类的严重级别为2000。
[ac] url-filter category news severity 2000
# 在url过滤分类news中添加一条url过滤规则,并使用字符串对主机名字段进行精确匹配。
[ac-url-filter-category-news] rule 1 host text
[ac-url-filter-category-news] quit
# 创建名为urlnews的url过滤策略,并进入url过滤策略视图。
[ac] url-filter policy urlnews
# 在url过滤策略urlnews中,配置url过滤分类news绑定的动作为允许。
[ac-url-filter-policy-urlnews] category news action permit
# 在url过滤策略urlnews中,配置预定义url过滤分类pre-games绑定的动作为丢弃并生成日志。
[ac-url-filter-policy-urlnews] category pre-games action drop logging
# 在url过滤策略urlnews中,配置策略的缺省动作为丢弃和打印日志。
[ac-url-filter-policy-urlnews] default-action drop logging
[ac-url-filter-policy-urlnews] quit
(6) 配置dpi应用profile
# 创建名为sec的dpi应用profile,并进入dpi应用profile视图。
[ac] app-profile sec
# 在dpi应用profile sec中应用url过滤策略urlnews。
[ac-app-profile-sec] url-filter apply policy urlnews
[ac-app-profile-sec] quit
# 激活url过滤策略和规则配置。
[ac] inspect activate
(7) 配置安全策略引用url过滤业务
# 进入ipv4安全策略视图
[ac] security-policy ip
# 创建名为urlfilter的安全策略规则,过滤条件为:源ip地址对象组urlfilter。动作为允许,且引用的dpi应用profile为sec。
[ac-security-policy-ip] rule name urlfilter
[ac-security-policy-ip-13-urlfilter] source-ip urlfilter
[ac-security-policy-ip-13-urlfilter] action pass
[ac-security-policy-ip-13-urlfilter] profile sec
[ac-security-policy-ip-13-urlfilter] quit
# 激活安全策略的加速功能。
[ac-security-policy-ip] accelerate enhanced enable
[ac-security-policy-ip] quit
2、 配置switch
(1) 配置switch的接口
# 创建vlan 100和vlan 200及其对应接口,并为该接口配置ip地址,其中vlan 100用于转发ac和ap间capwap隧道内的流量,vlan 200用于转发client无线报文。
system-view
[switch] vlan 100
[switch-vlan100] quit
[switch] interface vlan-interface 100
[switch-vlan-interface100] ip address 192.1.1.2 24
[switch-vlan-interface100] quit
[switch] vlan 200
[switch-vlan200] quit
[switch] interface vlan-interface 200
[switch-vlan-interface200] ip address 192.2.1.2 24
[switch-vlan-interface200] quit
# 配置switch和ac相连的接口gigabitethernet1/0/1为trunk类型,禁止vlan 1报文通过,允许vlan 100和vlan 200通过,当前trunk口的pvid为100。
[switch] interface gigabitethernet 1/0/1
[switch-gigabitethernet1/0/1] port link-type trunk
[switch-gigabitethernet1/0/1] undo port trunk permit vlan 1
[switch-gigabitethernet1/0/1] port trunk permit vlan 100 200
[switch-gigabitethernet1/0/1] port trunk pvid vlan 100
[switch-gigabitethernet1/0/1] quit
# 配置switch和ap相连的接口gigabitethernet1/0/2为trunk类型,禁止vlan 1报文通过,允许vlan 100通过,当前trunk口的pvid为100。
[switch] interface gigabitethernet 1/0/2
[switch-gigabitethernet1/0/2] port link-type trunk
[switch-gigabitethernet1/0/2] undo port trunk permit vlan 1
[switch-gigabitethernet1/0/2] port trunk permit vlan 100
[switch-gigabitethernet1/0/2] port trunk pvid vlan 100
# 开启switch和ap相连的接口gigabitethernet1/0/2的poe供电功能。
[switch-gigabitethernet1/0/2] poe enable
[switch-gigabitethernet1/0/2] quit
(2) 配置dhcp服务
# 开启dhcp功能。
[switch] dhcp enable
# 创建名为vlan100的dhcp地址池,为ap分配ip地址,配置地址池动态分配的网段为192.1.1.0/24,地址池中不参与自动分配的ip地址为192.1.1.1和192.1.1.2。
[switch] dhcp server ip-pool vlan100
[switch-dhcp-pool-vlan100] network 192.1.1.0 mask 255.255.255.0
[switch-dhcp-pool-vlan100] forbidden-ip 192.1.1.1 192.1.1.2
[switch-dhcp-pool-vlan100] gateway-list 192.1.1.1
[switch-dhcp-pool-vlan100] quit
# 创建名为vlan200的dhcp地址池,为client分配ip地址,配置地址池动态分配的网段为192.2.1.0/24,地址池中不参与自动分配的ip地址为192.2.1.1和192.2.1.2。
[switch] dhcp server ip-pool vlan200
[switch-dhcp-pool-vlan200] network 192.2.1.0 mask 255.255.255.0
[switch-dhcp-pool-vlan200] forbidden-ip 192.2.1.1 192.2.1.2
[switch-dhcp-pool-vlan200] gateway-list 192.2.1.2
[switch-dhcp-pool-vlan200] dns-list 192.2.1.2
[switch-dhcp-pool-vlan200] quit
3、 验证配置
以上配置生效后,client可以访问外网的,但是不能访问游戏类的网页。client尝试访问游戏类的url请求将会被ac阻断并且打印日志。
气动调节阀出现故障的原因及分析
水泥胶砂振实台ZT-96型正确的安装步骤
浅谈过滤袋在使用时的注意事项
HALO 2.7u PFP与5u PFP色谱柱对比
浅谈关于实验室工程装修的注意事项
H3C无线控制器URL过滤典型配置举例(V7)
高速冲床的振动与冲床的误差探讨
皓庄品牌的人工气候箱技术*革新
彼得逊采泥器
物流机器人市场有多大 年增20%还不算全面爆发
防腐型液位计 芜湖
常年转让闲置二手不锈钢储罐定做各种型号不锈钢储油罐
探测功能的优势
恒温恒湿试验箱长期不用该怎么养护
为什么要控制冷鲜肉在加工过程中的温度?肉类水分检测仪简介
污水的**处理
承装修试设备资质该如何办理
陶瓷砖断裂模数测定仪破坏强度测定GB/T3810.4
广谱感应水处理器与电子射频水处理器有什么区别
巴彦淖尔疾控中心污水处理设备报价