二层网管交换机应用TPLINK访问控制功能管理内网电脑上网行为

二层网管交换机应用TPLINK访问控制功能管理内网电脑上网行为访问控制（ACL）通过数据包的源IP地址、目的IP地址、源MAC地址、目的MAC地址、协议、VLANID以及生效时间等来控制交换机上主机互相访问的权限，并可以通过建立Policy,将ACL和流镜像、流监控、QosRemarking、端口重定向等动作组合起来，组成一个访问控制策略，对符合相应ACL规则的数据包进行控制。1、 ACL访问控制默认策略为“允许”，即“不符合规则的允许通过”。2、源地址和目的地址均需采用“MAC+掩码”或者“IP+掩码”的方式表示。设置时需要将MAC地址段转换为“MAC地址+掩码”方式，IP地址段转换为“IP地址+掩码”方式，单个MAC地址掩码为FF-FF-FF-FF-FF-FF,单个IP掩码为255.255.255.255。3、一个访问控制列表下可以建立多条访问控制规则，以规则ID区分。例：工作时间（工作日08：30-18：00）内，局域网主机A仅禁止访问外网，主机段B仅允许内网服务器1,前端路由器LAN口为Z。(00-00-00-(]骼由和AN口NI92J68.I.^端口］ 端口2-10主机加192.168.1.10(00_00_09-00_00_OA}内网服务器乳'主机加192.168.1.10(00_00_09-00_00_OA}内网服务器乳'(00_00_00_0(00-00-00-OD-00-20—OO-OO-OO-O0-00-3F)【分析】：主机A禁止发送数据到路由器接口乙主机段B允许发送数据到服务器1,禁止其他数据通过。可分为MACACL和IPACL两种实现方式。【设置】：1、新建时间段。先添加时间片段8：30-18：00,之后选好周期：周一至周五,填写名称,然后提交即可新建工作时间段。可以在时间段列表中查看结果。

扉砌義鬣江葢T舊方冏日疑时闾段定又Offtt&hOur□陨自□劭时间起轴日期：-J•； if.'■i［oi*.0周朋回星回砂胆回量朋三回劉腰回量曲五□矍嘶□星明日時币片股毎■:怡 7□0 VL_?事作106701600［馭］|踽2、新建ACL。ACL有MACACL和标准IPACL以及扩展IPACL三种方式。本歹U已MACACL和标准IPACL进行操作，扩展IPACL只是比标准IPACL多了一些协议上的控制。新建MACACLID:O或标准IPACLID:100.aclSSSMACACL ^TtlPACL r^PACLWACLACLID：o|D-99MAC访闻控制列表100-199标確IF访阿控制刊表200-299扩展1P访问揑制列鳶Wli哌序：用尸配胃彊交| |帮肋3、设置ACL条目。下面对主机A以MACACL条目设置；对主机段B以标准IPACL条目进行设置。①MACACL。添加条目：丢弃主机A发送到路由器接口Z的数据。MACACL标准IPACL 扩SKIPACLMACACL访问控^创表ID：规则ID：宝全畸：謳啦：目的呢：访问控^创表ID：规则ID：宝全畸：謳啦：目的呢：VWNID：用户忧先奴:时间段:添加完后可以在ACL列表中选择相应ACL进行查看。騒遗ACL MACACLIfTIPACL 扩fflPACLSftfiACL：ACLfl毗卓圧：SftfiACL：ACLfl毗卓圧：MACACL闿尸記誉AS馬尊RulelD AMAObUt 目的MAC惟址 VUiNlD sJdWSS#□t 1 口&。卜舛加-阳加oo-DO-QO-^QQ-Qi ™ cKlcehour②标准IPACL。要添加条目：允许主机段C发送到内网服务器1的数据，丢弃其他数据。规则ID；安全擁柞：0且的IP：officehour地址掩玛；255.255.255.224255255.255.255时间段:番肋ACUiJ^新建毗LMACACL存唯IPACLr^lPACL标淮规则ID；安全擁柞：0且的IP：officehour地址掩玛；255.255.255.224255255.255.255时间段:番肋ACUiJ^新建毗LMACACL存唯IPACLr^lPACL标淮IPACL规则ID；安全擁柞：□且的IP：ACL100officehour地址掩玛；时间段:番肋|提艾添加完后可以在ACL列表中选择相应ACL进行查看。轩昨L MACACL!?EfllPACL 护WPACL选J6ACL：*C41W)RfiOlPrt址RfiOlPrt址ACLSfi!：.甩户IS*itS再号RulelD□ 1 1 392.169.1.32 19?1 11w — officehour2 .2 ■■■ m・ m Qffllc^hour[±fl,;跡]I

此时ACL条目已配置完成。但此时ACL并不生效，必须要将ACL与相应Policy关联起来，并绑定到对应的端口才会生效。4、创建Policy。分别创建“Policy。”和“PolicylOO”。填入Policy名称后提交即可。Pdii诃眾^Policy创淫Pdii诃眾^Policy创淫Policy^Polity：本地忧先级^Polity：本地忧先级:5、配置Policy。选择刚才创建的PolicyO和之前建立的ACL0，提交。Polich 新^PoircyPolich:选静CL：:I掘赣擦ttMl口：□谑监菅超违处理：LI端口歪左向指定出口端口：口。口£歳诵记DSCP：选择刚才创建的PolicylOO和之前建立的ACL100，提交。

配gPoJ*cyPc1ieyi&§:^Pfllity：PolicylOOV选择皿：ACL100V:j德锁像境憔端口：□療监管g?定速率： | |Kbps(M000000)□端口垂定商捋定出口端口：□。口百直祎记DSCP：本地忧先卸：6、端口绑定。将配置好的Policy绑定到相应的端口，本例中主机A在1端口，主机段B在2-10端口，绑定后ACL将会在对应的端口上生效。娜定列展诵口辫走VLAN娜圭端□绥走配置Folity名鞭； PolicylOO “ 祇加建口； |的0 ](格式龙:1心总g) 帮助端口绑定列表序号 Polich称 端口 方向

绑定好之后如下图：谕口： :V3d6,8> 帮初端口綁定列壶序号PolicyS^矚口方向1P