H3C BR2100+路由器接入Internet上网方案
1 组网需求
某企业使用电信线路接入,对应的带宽为 30M ;
防止局域网内的 ARP 攻击;
防止局域网内某些主机使用 P2P 软件(比如: BT 、迅雷等)过度占用网络资源;
禁止局域网内某些主机(比如: 192.168.1.2 ~ 192.168.1.10 )在某个时间段(比如:每天的
08 : 00 ~ 18 : 00 )访问外网;
禁止局域网内所有主机访问某些网站(比如: www.xxx.com 等);
禁止局域网内某些主机(比如: 192.168.1.15-192.168.1.20 )使用 QQ 和 MSN 上线。
2组网配置方案
下面以具体的组网配置方案为例进行说明:
网关使用H3C ER2100、汇聚交换机采用H3C S5024P、接入交换机采用H3C S1224R;
设置WAN口通过静态方式连接到因特网;
使用DHCP服务器功能给局域网内各主机动态分配IP地址;
开启ARP绑定功能来防止ARP表项受到攻击;
设置IP流量限制和网络连接数限制,防止P2P软件过度占用网络资源;
设置防火墙的出站通信策略功能来禁止特定主机在某个时间段访问外网;
设置网站过滤功能来禁止局域网内所有主机访问指定网站;
设置业务控制功能来禁止某些主机使用QQ和MSN上线。
3 组网图
4 设置步骤
(1) 在管理计算机的 Web 浏览器地址栏中输入 http://192.168.1.1 ,回车。输入缺省的用户名:admin ,密码: admin 以及验证码,单击 < 确定 > 按钮后便可进入Web设置页面。
(2) 选择“ QoS 设置→流量管理→接口带宽设置”,正确填写 WAN口对应的带宽 。
(3) 选择“接口设置→ WAN 设置→连接到因特网”,在“ WAN 网口”下拉框中选择“静态地址(手工配置地址)”选项。用电信提供的参数填写两 WAN 口的上网参数,单击 < 应用 > 按钮生效。
(4) 选择“安全专区→ ARP 安全→ARP 检测”,设置 IP 地址搜索范围,单击 < 扫描 > 按钮开始搜索。待搜索完毕后,请确认搜索是否有遗漏(比如:查看搜索到的条目数是否与客户端的开机数一致)。如果没有遗漏,单击 <全选 > 按钮选中所有的表项,再单击 < 绑定 > 按钮,将所有客户端主机的IP/MAC 进行绑定即可;如果存在遗漏,您还可以选择“安全专区→ARP 安全→ARP 绑定”,手工添加ARP绑定项。
(5) 选择“安全专区→ARP 安全→ARP 防护”,选中“检测 ARP攻击时,发送免费ARP报文”复选框,单击<应用>按钮生效。
(6) 选择“QoS设置→流量管理→IP流量限制”。选中“启用IP流量限制”复选框和“允许每IP通道借用空闲的带宽”单选框,单击<应用 > 按钮生效。
(7) 单击 < 新增 > 按钮,在弹出的对话框中设置 IP 流量限制规则:建议上行和下行流量的上限值分别设置为 500Kbps 和 800Kbps 。同时,您也可以根据实际的网络情况对其进行适当地调整。
(8) 选择“ QoS 设置→连接限制→网络连接限数”,选中“启用网络连接限数”复选框,单击 < 应用 >按钮生效。
(9) 单击 < 新增 > 按钮,在弹出的对话框中设置对每台客户端主机进行网络连接数限制(建议网络连接数设置在 300 ~ 500 之间),单击 < 增加 > 按钮完成操作。
(10) 选择“安全专区→防火墙→出站通信策略”,单击 < 新增 > 按钮,在弹出的对话框中设置相应的策略,如右图所示。单击 < 增加 > 按钮完成操作。
(11) 选择“安全专区→接入控制→网站过滤”,选中“启用网站过滤功能”复选框,再选中“仅禁止访问列表中的网站地址”单选框,单击<应用>按钮生效。
(12) 单击 < 新增 > 按钮,在弹出的对话框中输入需要过滤的网站地址,单击 < 增加 > 按钮完成操作 。
(13) 选择“高级设置→业务控制→ IM软件”,单击 < 新增 > 按钮,在弹出的对话框中设置特权 IP 使其拥有 QQ/MSN 上线权限,单击 <增加 > 按钮完成操作。
完成以上所有设置后,您可以通过选择“系统监控→运行信息→基本信息”和“系统监控→运行信息→运行状态”来查看您所设置的各功能项是否已正常开启。