1675745006,

问题描述：

用MSR930路由器划分了两个Vlan(Vlan1和Vlan2),要求vlan1只能上部分指定的网站，vlan不做要求

(0)

最佳答案

已采纳 风干工程师肉干要不要 风干工程师肉干要不要 九段 粉丝：137人 关注：5人

你这些指定网站是内网的还是外网的？如果是内网的，直接不让vlan1出公网就好了，nat outbound acl来限制。

如果是只能访问外网的某些网站，就只能使用dar来限制，但是dar非常耗性能，因为每个报文都要解析到七层，对于930这种路由器来说，性能会大大打折扣，例如下边是只允许访问126和163网站的配制方法。

traffic classifier 1 operator or //通过流分类来定义具体允许的网站 if-match protocol http host 126

if-match protocol http host 163 

#

traffic behavior 1

filter permit 

#

qos policy 1

classifier 1 behavior 1

然后在interface vlan 1中下发qos apply policy 1 inbound和dar enable命令

(0)

Vlan 1指定的外网网站，比如百度

zhiliao_64708 发表时间：

那就只能是用dar，但是很耗性能，之前我们用的是时候，没一会CPU就扛不住了，MSR930性能跟MSR3020性能还是差了不少呢。

风干工程师肉干要不要 发表时间：

把vlan 1网段写进ACL，做NAT outbound acl

(0)

回复xxx [x] 已采纳 123 123 四段 粉丝：0人 关注：0人

不方便这样做，可以先配置nat，然后用包过滤将vlan1地址和指定网站放通同时vlan2地址放通。这样的话要保证外网的ip地址不变化（这个很难）

(0)

回复xxx [x] 已采纳 -4811 -4811 九段 粉丝：28人 关注：1人

acl number 2000

 rule 0 permit source 10.1.1.0 0.0.0.255

#

traffic classifier 3 operator and

 if-match acl 2000

 if-match protocol http host *.*.*

traffic classifier 2 operator and

 if-match acl 2000

 if-match protocol http host *.baidu.com

traffic classifier 1 operator and

 if-match acl 2000

 if-match protocol http host *.sina.com

#

traffic behavior 3

 filter deny

traffic behavior 1

 filter permit

#

qos policy 5

 classifier 1 behavior 1

 classifier 2 behavior 1

 classifier 3 behavior 3

#

interface G0/0

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

 dar enable

 qos apply policy 5 inbound

(0)

回复xxx [x],如何配置H3C MSR930路由器vlan不同网段上外网