H3C ER3200G3 如何设置只有允许的设备才能上网

可以通过ER3200G3的防火墙功能配置。

第1步：开启防火墙并设置缺省动作为“禁止”

1. 登录路由器Web管理界面（默认地址通常是 192.168.1.1）

2. 进入 网络安全 > 防火墙 页面

3. 勾选“开启防火墙”

4. 在“缺省过滤规则”处，选择 “禁止”

   • 作用：这会让所有未匹配到任何允许规则的流量都被拦截，实现“不允许的设备不能使用网络”

5. 点击 “应用” 保存

6. 缺省规则设为“禁止”后，务必先配置第2步，否则你可能会立即断网

第2步：创建允许上网的设备地址组

1. 进入 网络设置 > 地址组 页面

2. 点击 “添加”

3. 地址组名称：输入名称，如 permit_ip

4. IP地址段：将要允许上网的设备IP逐个添加进去

   • 如果设备已固定IP，可将起始和结束IP设为同一个，如 192.168.1.100 - 192.168.1.100

   • 如果有连续多个设备，可设置一个范围，如 192.168.1.100 - 192.168.1.120

5. 点击 “应用” 保存

第3步：添加防火墙允许规则

1. 回到 网络安全 > 防火墙 页面

2. 在安全规则列表中，点击 “添加”

3. 接口：选择内网接口，通常是 VLAN1（如果你的内网都在默认VLAN1下）

4. 方向：选择 “出站方向”（表示从内网去往外网的流量）

5. 动作：选择 “允许”

6. 源地址分组：选择刚才创建的 permit_ip

7. 目的地址分组：保持默认 any（表示访问任何目的地址）

8. 其他选项保持默认，点击 “确定” 保存

第4步：验证

• 配置立即生效

• 只有在 permit_ip 地址组中的设备可以正常上网

• 其他任何设备都将无法访问互联网

防火墙出入站功能实现