访客网络SSID禁止访问内网

您好，请可以配置ACL来进行过滤及拦截。参考：

1.2  网络安全功能配置举例

1.2.1  通过ACL进行包过滤配置举例

1. 组网需求

某公司要求，允许总裁办在任意时间、财务部在工作时间（每周工作日的8点到18点）访问财务数据库服务器，禁止其它部门在任何时间、财务部在非工作时间访问该服务器。

图1-26 通过ACL进行包过滤配置组网图

2. 配置步骤

单击页面底部的<系统>按钮，然后单击左侧导航栏“网络安全 > 包过滤”，进入包过滤配置页面。配置步骤为：

·            创建接口包过滤策略，在AC的VLAN接口10的出方向上指定包过滤规则为IPv4 ACL。

·            创建IPv4高级ACL 3000，并按顺序制定三条规则：

¡  允许协议类型为256（IP），源IP为192.168.1.0、通配符掩码为0.0.0.255，目的IP为192.168.0.100、通配符掩码为0的报文通过。

¡  创建周期时间段work，指定开始时间为08：00，结束时间为18：00，生效时间为每周一、周二、周三、周四和周五。允许协议类型为256（IP），源IP为192.168.2.0、通配符掩码为0.0.0.255，目的IP为192.168.0.100、通配符掩码为0，生效时间段为work的报文通过。

¡  拒绝协议类型为256（IP），目的IP为192.168.0.100、通配符掩码为0的报文通过。

·            开启ACL规则的匹配统计功能。

3. 验证配置

完成上述配置后，在页面上可以看到已经创建的IPv4高级ACL的规则状态和命中报文数。总裁办主机在任何时间都可以ping通财务数据库服务器；在工作时间财务部主机可以ping通该服务器；市场部在任何时间都不能ping通该服务器。