5 黑名单配置举例

5.1  组网需求

如图5-1所示，Router为企业的出口网关，通过WAN1接口连接Internet，WAN1接口连接模式为固定地址，IP地址为2.2.2.1/24，网关地址为2.2.2.254，DNS1服务器地址为114.114.114.114，DNS2服务器地址为223.5.5.5。企业内部各部门PC通过Switch连接到Router的LAN1接口，LAN1接口属于VLAN1，VLAN1的接口IP地址为10.1.1.1/24。

现出于业务需求，需禁止销售部的PC在上班时间段（周一至周五9:00-18:00）访问优酷网，其他部门PC在上班时间段访问任何网址不受限制。

图5-1 网址黑名单典型配置组网图

5.2  配置思路

需要启用网址黑名单功能，并配置一条禁止销售部PC在上班时间内访问优酷网的策略来达到需求。

5.3  配置注意事项

·     开启网址黑名单功能后，报文的匹配规则举例如下：

¡     如果用户User1属于用户组A，则用户User1不允许访问网址组A中的网址；

¡     如果用户User2不属于用户组A，则用户User2允许访问任何网址。

·     配置网址关键字时：

¡     若需匹配所有网址配置，可将网址关键字设置为“.”，即英文句号。

¡     若设置的网址关键字不加通配符*时，网址控制策略将根据关键字做精确匹配，例如www.baidu.com；关键字添加通配符*时，网址控制策略将根据关键字做模糊匹配，例如*.baidu.com、www.baidu*或*baidu*。

·     修改VLAN1接口的IP地址后，会导致Web管理界面登录异常，需要使用修改后的IP地址重新登录Web管理界面，才能进行接下来的配置。

5.4  配置步骤

5.4.1  修改VLAN1接口的IP地址

# 将VLAN1接口的IP地址修改为10.1.1.1/24。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“网络设置 > LAN配置”，进入LAN配置页面。

(2)     单击“VLAN配置”页签，进入VLAN配置页面。

(3)     单击VLAN1对应的操作列编辑图标，进入修改VLAN配置页面。

(4)     在“接口IP地址”配置项处，输入10.1.1.1。

(5)     在“子网掩码”配置项处，输入255.255.255.0。

(6)     其它配置项均保持默认情况即可，单击<确定>按钮保存配置。

图5-2 修改VLAN配置

5.4.2  配置WAN1接口连接Internet

# 本例中Router A外网的接口模式选择单WAN模式，WAN接口的连接模式为固定地址。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“网络设置 > 外网配置”，进入外网配置页面。

(2)     在“配置接口模式”页签下选择单WAN模式，单击<应用>按钮使得配置生效。

(3)     单击“WAN配置”页签，进入WAN配置页面。

(4)     单击WAN1对应的操作列编辑图标，进入修改WAN配置页面。

(5)     在“连接模式”配置项处，选择固定地址。

(6)     在“IP地址”配置相处，输入2.2.2.1。

(7)     在“子网掩码”配置项处，输入255.255.255.0。

(8)     在“网关地址”配置项处，输入2.2.2.254。

(9)     其它配置项均保持默认情况即可，单击<确定>按钮保存配置。

图5-3 配置WAN场景

图5-4 修改WAN配置

5.4.3  配置地址组

# 将销售部门员工PC的IP地址段设置为名称为“销售部”的地址组。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“网络设置 > 地址组”，进入地址组配置页面。

(2)     单击<添加>按钮，进入添加地址组配置页面。

(3)     在“地址组名称”配置项处，输入销售部。

(4)     在“IP地址段”配置项处，起始框输入10.1.1.2，结束框输入10.1.1.30。

(5)     点击配置项右侧的<→→>按钮，提交配置的地址组内容。

(6)     其它配置项均保持缺省配置即可，单击<确定>按钮保存配置。

图5-5 配置地址组

5.4.4  配置时间组

# 将上班时间段设置为名称为“上班时间”的时间组。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“网络设置 > 时间组”，进入时间组配置页面。

(2)     单击<添加>按钮，进入新建时间组配置页面。

(3)     在“时间组名称”配置项处，输入上班时间。

(4)     在“生效时间”配置项处，选择周期性生效，并设置具体的时间段为周一至周五9:00-18:00，单击<+>按钮，提交配置的时间段。

(5)     单击<确定>按钮保存配置。

图5-6 新建时间组

5.4.5  配置网址黑名单策略

# 配置一条销售部PC在上班时间内禁止访问优酷网的策略。配置步骤如下：

(1)     在设备Web管理界面导航栏中选择“上网行为管理 > 上网行为管理”，进入上网行为管理配置页面。

(2)     单击“网址控制”页签，进入网址控制配置页面。

(3)     勾选“网址黑名单模式”，单击<确定>按钮，开启网址黑名单功能。

(4)     在“网址分类”列对应的配置项处，输入新建网址控制策略的网址分类名称“policy2”。

(5)     在“地址组”列对应的配置项处，选择“销售部”地址组。

(6)     在“时间组”列对应的配置项处，选择“上班时间”时间组。

(7)     单击右侧<+>按钮，名称为“policy1”的网址分类成功。

(8)     单击“policy1”网址分类操作列对应的详情图标，进入设置网址关键字页面。

(9)     在“网址关键字”输入框中输入关键字“***.***”。

(10)     单击右侧<+>按钮，提交网址关键字。

(11)     单击<确定>按钮，完成添加网址关键字。

图5-7 配置黑名单策略

图5-8 设置网址关键字

5.5  验证配置

上班时间段内，使用销售部员工PC无法访问优酷网，其它网页正常访问，其他部门PC可以正常访问任何网址，说明配置验证成功。

根本就不管用，我试了几个网址，就baidu成功阻止了，阻断记录里虽然有msn的网址，但依旧能正常访问，这网址黑名单是搞笑的吗？