2110 ehr v4.x 限制IP上网(适用viking系列芯片)
现在有部分用户希望限制某些用户的pc上网,为达到此目的,通常有两中方法来实现:一是通过限制ip,二是通过限制MAC来实现。我司采用globespan芯片的2110 ehr v4.x 系列产品主要是通过限制ip来实现。
adsl modem主要是共享一个共网ip上网,所以此时就必须在modem上打开nat功能,然后lan中的多台pc共享该ip进行外网访问,实际上进行的是对获得的公网ip进行端口复用,即PAT)。
因此我们可以充分利用nat规则来实现控制ip访问外网。
MODEM配置: PPP0E / 内网IP为192.168.10.1 /24
内网要上网的IP为:192.168.10.2 ----192.168.10.10 共9个IP
方法一:针对允许上网的IP进行地址转换:
实现方法:
http://www.star-net.com.cn/aspsky/UploadFile/2004-5/20045279316429.jpg
在上图中,local address 就是用来定义对lan 内哪些ip进行napt转换的。
配置:local Address From:192.168.10.2
Local Address T 192.168.10.10
Global Address : 由于是PPPOE,动态获取IP,可以不写,0.0.0.0
这样,该规则就只针对IP为192.168.10.2 ----192.168.10.10 这一段的IP进行地址转换,从而达到了控制的目的。
方法二、利用napt+pass规则组合达到限制目的
napt 默认为整个lan 的ip;
pass定义对一段ip不进行napt,比如是192.168.10.11----192.168.10.255这样也达到了只允许192.168.10.2-----192.168.10.10的pc访问外网。见下图:
(注意:nat时执行是按照rule id进行的,顺序是从小到大,要注意pass的id号要比napt的小,同时,4.5下nat的entry最多为12条,但id号的范围为,即最大为232-1。
http://www.star-net.com.cn/aspsky/UploadFile/2004-5/200452793215255.jpg
方法三、利用napt + filter来实现,注意filter的id号要比napt的小,fitler为要禁止的网段。
上面介绍的都是利用nat规则来实现,配置比较简单,但是功能也就比较单一。如果需要限制某些应用时(针对某些端口),就必须利用ip filter来实现。但建议不要在modem实现过多的功能(开启ipfitler 功能),否则将加大modem的负担。
2110 ehr v4.x 限制IP上网(适用viking系列芯片)
学习哦,不错~~~~~~~~~谢谢
页:
[1]