AR 配置NAT后,禁止某些PC上网

发布时间:  2015-10-18 浏览次数:  254 下载次数:  0
问题描述
AR设备上配置ACL,ACL语句中允许某网段上网,且禁止某些PC上网,但是结果是禁止的PC依然可以上网。
处理过程

1.查看配置信息。ACL语句是否是把拒绝某些PC上网的rule语句写在最前面。

acl 2001

  rule 5 permit source 192.168.1.0  0.0.0.255

  rule 10 deny source 192.168.1.3  0

2.是否在外网口应用创建的ACL。

 int g0/0/1

   nat outbound 2001

  

根因

1.ACL语句中,未把deny 语句放在最前最前面,首先匹配上允许语句

2. 必须需要在外网口应用traffic-filte acl 2001,如果没有应用的话,禁止的内网用户依然可以访问外网,但是不做nat转换,AR1dis   nat  sess all  ver 就无表项。

解决方案

1.修改ACl语句为:

acl 2001

  rule 5 deny source 192.168.1.3  0

  rule 10 permit source 192.168.1.0  0.0.0.255

2.在外网口增加应用ACL的语句

 int g0/0/1

   nat outbound 2001

   traffic-filter acl  2001

建议与总结

1.注意ACL语句的匹配规则的顺序。

2.基于IP禁止PC上网,必须在外网口应用,否则只是让禁止的IP不做NAT。

3.若在内网口,应用traffic-filter,则PC不能访问内网网关。 若在外网口应用,则可以访问内网网关,不能访问外网

END