2110 ehr v4.x 限制IP上网(适用viking系列芯片)

YES东

现在有部分用户希望限制某些用户的pc上网，为达到此目的，通常有两中方法来实现：一是通过限制ip，二是通过限制MAC来实现。

我司采用globespan芯片的2110 ehr v4.x 系列产品主要是通过限制ip来实现。

adsl modem主要是共享一个共网ip上网，所以此时就必须在modem上打开nat功能，然后lan中的多台pc共享该ip进行外网访问，实际上进行的是对获得的公网ip进行端口复用，即PAT）。

因此我们可以充分利用nat规则来实现控制ip访问外网。

MODEM配置： PPP0E / 内网IP为192.168.10.1 /24

内网要上网的IP为:192.168.10.2 ----192.168.10.10 共9个IP

方法一：针对允许上网的IP进行地址转换：

实现方法：

在上图中，local address 就是用来定义对lan 内哪些ip进行napt转换的。

配置：local Address From:192.168.10.2

     Local Address T 192.168.10.10

     Global Address : 由于是PPPOE，动态获取IP，可以不写，0.0.0.0

这样，该规则就只针对IP为192.168.10.2 ----192.168.10.10 这一段的IP进行地址转换，从而达到了控制的目的。

方法二、利用napt+pass规则组合达到限制目的

napt 默认为整个lan 的ip；

pass定义对一段ip不进行napt，比如是192.168.10.11----192.168.10.255  这样也达到了只允许192.168.10.2-----192.168.10.10的pc访问外网。见下图：

（注意：nat时执行是按照rule id进行的，顺序是从小到大，要注意pass的id号要比napt的小，同时，4.5下nat的entry最多为12条，但id号的范围为[1，4294967295]，即最大为232-1。

方法三、利用napt + filter来实现，注意filter的id号要比napt的小，fitler为要禁止的网段。

上面介绍的都是利用nat规则来实现，配置比较简单，但是功能也就比较单一。如果需要限制某些应用时（针对某些端口），就必须利用ip filter来实现。但建议不要在modem实现过多的功能(开启ip  fitler 功能)，否则将加大modem的负担。

天外飞珠

学习哦，不错~~~~~~~~~谢谢