如何限制連接到無線網(wǎng)絡(luò)的用戶，只能上網(wǎng)，不能訪問局域網(wǎng)呢？

segafans_cu

公司現(xiàn)有網(wǎng)絡(luò)是這樣：
寬帶接入路由器（型號(hào)忘了，反正功能挺多，沒細(xì)看）
從路由器出來接CISCO LinkSYS 24口交換機(jī)
從Cisco出來后接了一個(gè)Dlink Dir655無線路由器（直接插在無線路由器的LAN口上，當(dāng)成一個(gè)無線交換機(jī)來用）

電腦接在Cisco交換機(jī)上

IP地址設(shè)置如下，內(nèi)網(wǎng)網(wǎng)段192.168.0.1/24，網(wǎng)關(guān)（插著寬帶的路由器）192.168.0.1

因?yàn)闊o線路由只給公司的客戶開放，為了安全，老板讓我把連接到無線路由器的用戶設(shè)為只能訪問外網(wǎng)，不能訪問內(nèi)網(wǎng)


不知道有沒有好的辦法，能實(shí)現(xiàn)這個(gè)要求

在此我先謝謝各位了^_^

lock0n

把從Cisco出來后接Dlink Dir655無線路由器的LAN口改為WAN口，設(shè)置一個(gè)內(nèi)網(wǎng)的ip地址，在dlink里面設(shè)置lan為

192.168.x.0/24只要不和內(nèi)網(wǎng)同一網(wǎng)段就行。這樣就不可以跨網(wǎng)段訪問

當(dāng)然這個(gè)方法有局限性，主要是你的交換機(jī)不可網(wǎng)管，你仔細(xì)研究下路由器有撒功能吧

chenyx

有路由器的話在上面做ACL

zhoutao0712

改為把無線路由器的WAN口接交換機(jī)，重新設(shè)置無線路由器，讓其恢復(fù)本來的面目。

然后在無線路由器上做訪問控制，禁止訪問除了其本身WAN口IP以外的任何內(nèi)網(wǎng)IP

[ 本帖最后由 zhoutao0712 于 2010-1-16 10:41 編輯 ]

segafans_cu

原帖由 lock0n 于 2010-1-16 08:55 發(fā)表
把從Cisco出來后接Dlink Dir655無線路由器的LAN口改為WAN口，設(shè)置一個(gè)內(nèi)網(wǎng)的ip地址，在dlink里面設(shè)置lan為

192.168.x.0/24只要不和內(nèi)網(wǎng)同一網(wǎng)段就行。這樣就不可以跨網(wǎng)段訪問

當(dāng)然這個(gè)方法有局限性，主要 ...

我昨天晚上這么試過，Dlink的WAN接交換機(jī)，然后設(shè)置靜態(tài)上網(wǎng)，設(shè)置一個(gè)192.168.0.0段的IP，Dlink的LAN口IP為172.16.0.0/24，這樣能上網(wǎng)，但是仍然能訪問192.168.0.0段的共享文件夾……無語了

segafans_cu

原帖由 chenyx 于 2010-1-16 09:00 發(fā)表
有路由器的話在上面做ACL

路由器我沒有權(quán)限……老總不給我……郁悶~~，從路由器做ACL貌似控制不了訪問內(nèi)網(wǎng)……

segafans_cu

原帖由 zhoutao0712 于 2010-1-16 10:39 發(fā)表
改為把無線路由器的WAN口接交換機(jī)，重新設(shè)置無線路由器，讓其恢復(fù)本來的面目。

然后在無線路由器上做訪問控制，禁止訪問除了其本身WAN口IP以外的任何內(nèi)網(wǎng)IP

無線路由如果改成接WAN的話，無線路由的LAN口分配的IP地址就設(shè)為另一個(gè)網(wǎng)段的IP，這時(shí)仍然能訪問192.168.0.0段的共享文件夾
至于無線路由器上的訪問控制，我打開看了，要么監(jiān)視訪問Web頁帶日志或者禁止瀏覽某些web，要么阻止所有訪問，要么過濾端口……沒有禁止訪問IP的設(shè)置，附上Dlink 訪問控制設(shè)置圖

r2007

刷路由

chenyx

那就沒辦法了,找有權(quán)限的做下ACL吧

segafans_cu

難道真的沒辦法了嗎？

能不能在Cisco LinkSYS上面做個(gè)ACL來控制呢？

我的想法是從LinkSYS LAN口接Dlink的WAN口，然后Dlink的LAN口無線用戶做SNAT，這樣的話在LinkSYS上面用ACL禁止Dlink WAN口的IP地址訪問內(nèi)網(wǎng)，這樣是否可行呢？

如果這樣做的話，是不是要寫253條ACL呢？