登

錄到路由器

telnet 192.168.1.1

輸入用戶名，密碼

acl number 3000 （如果不存在，創建訪問列表；存在則添加一條限制）

允許192.168.1.99上網：

rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0

說明：192.168.1.99 0 表示允許192.168.1.99這臺主機，0表示本機。

rule 規則編號 ip source 主機 反子網掩碼 destination 目的IP 反子網掩碼

如果要允許多個連續IP上網：

rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0

表示允許192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上網

同樣，可以限制某IP只能訪問某一個網站：

例如，允許192.168.1.98這臺主機只能訪問www.baidu.com

rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0

某個網站的IP:可以打開命令提示符,ping www.baidu.com?? (以百度為例),

***本人注釋：

要打開cmd，用：nslookup 網址??? 如：nslookup www.qq.com 才能把網址的ip查全。

****

?

最后不要忘記：

rule 14 deny any any 把不符合以上規則的數據都過濾掉，這樣只有上面列出的ip才可以上網。

另:以上修改完畢后，要保存:save,然后重啟路由器使設置生效。

寫的不夠詳細，敬請原諒。

***

還有http://wenku.baidu.com/view/320c9df67c1cfad6195fa7e1.html

**

acl控制上網問題 我想通過acl控制上網，讓局域網內的機器只能游覽網頁，并且控制個別機器（知道MAC）不能上網，交換機是華為6503，配置如下： acl number 3001 ?? ?? ?? ??rule permit tcp destination-port eq domain ?? ?? ?? ?? ?? ??? ;交換機本身的地址 rule permit udp destination-port eq dns ?? ?? ?? ?? ?? ?? ??? ;允許dns查詢(域名解析) rule permit tcp destination-port eq telnet ?? ?? ?? ?? ?? ??? ;允許telnet外網設備 rule permit tcp destination-port eq www ?? ?? ?? ?? ?? ?? ??? ;允許訪問網頁 rule permit tcp destination-port eq 443 ?? ?? ?? ?? ?? ?? ??? ;允許訪問加密網頁,如銀行業務QQ游戲 rule permit tcp destination-port eq ftp ?? ?? ?? ?? ?? ?? ;允許FTP下載(禁止21端口還是可以用Http下載文件的) rule permit tcp destination-port eq pop3 ?? ?? ?? ?? ?? ?? ;允許POP3收信 rule permit tcp destination-port eq smtp ?? ?? ?? ?? ?? ?? ;允許SMTP發信 rule permit icmp ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ;允許ping外網ip,icmp用于在主機、路由器之間傳遞控制消息的協議(華為可通過UDP協議ping關換機) rule deny ip ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ;其它都禁止acl number 4000 rule deny ingress 0014-7849-414C egress any ?? ?? ??rule deny ingress 0023-5A14-E221 egress any ?? ???acl number 4000和 acl number 3002都下發到端口后，發現MAC為0014-7849-414C 和0023-5A14-E221 機器還能上網（如果只下發acl number 4000，MAC為0014-7849-414C 和0023-5A14-E221 機器不能上網），怎么才能讓MAC為0014-7849-414C 和0023-5A14-E221 機器不能上網呢？

?

?

***

控制某幾臺電腦不能上網，這種工作應該在上網的路由器上設置。在交換機上做很麻煩而且效果不好。

***

ACL 控制局域網上網問題

默認網關：192.168.1.1 子網掩碼：255.255.255.0 路由器：華為路由器 要求：192.168.1.10-192.168.1.30能夠上網 ?????? 192.168.1.100 只能訪問某個特定網站

**

?

?

通過acl來實現

Acl number 3011

rule ?permit tcp source 192.168.1.0 0.0.0.255 destination-port eq smtp （這是允許發郵件）

rule ?permit tcp source 192.168.1.0 0.0.0.255 destination-port eq pop3 （允許收郵件）

?rule ?deny ip source 192.168.1.0 0.0.0.255 （拒絕上網）

在內網口下發acl。命令如下：

interface Ethernet0/1（進入內網口下發）

firewall packet-filter 3011 inbound

?

這個創建ACL規則應該是可以解決的.但是這個有點復雜，建議:請撥打華為800專線，他們肯定會給你處理的，因為我經常打,呵呵!也建議LZ經常去華為技術主站經常下載資料查看!電話如下請您記錄:800 830 211 879

?