參考這個案例，基於的是ACG1000 R6616版本

終端類型控製配置舉例

6.1  組網需求

如圖67所示，某公司內部網段IP地址172.16.11.0/24，要求不允許移動終端及多終端訪問外網，使用設備的ge0和ge1接口作為路由模式，串接部署在網絡中，設備上聯出口FW，下聯路由器。設備上開啟基於終端的控製策略,移動終端或多終端用戶無法訪問外網。

圖67 基於終端類型的控製策略組網圖

6.2  配置思路

l     配置接口

l     配置靜態路由

l     配置地址對象

l     配置用戶識別範圍

l     配置控製策略

6.3  使用版本

本舉例是在R6616版本上進行配置和驗證的。

6.4  配置注意事項

6.5  配置步驟

6.5.1  配置設備

1. 配置接口

如圖68所示，進入“網絡配置>接口配置”頁麵，進入物理接口頁麵，點擊<編輯>按鈕，ge0和ge1分別配置10.0.219.110/24和172.16.11.1/24。

圖68 配置接口

2. 配置靜態路由

如圖69所示，進入“網絡配置>路由管理>靜態路由”，點擊<新建>，配置一條缺省路由。

圖69 配置靜態路由

3. 配置地址對象

如圖70所示，進入“策略配置>對象管理>地址對象”，進入IPv4地址對象頁麵，點擊<新建>，新建一個“內網地址”地址對象，地址範圍：172.16.11.1/24。

圖70 配置地址對象

4. 配置用戶識別範圍

如圖71所示，進入“用戶管理>認證管理>高級選項”，進入全局配置頁麵，修改<識別範圍>為“內網地址”，其餘配置為默認配置。

圖71 配置用戶識別範圍

5. 配置控製策略

如圖72所示，進入“策略配置 >策略配置 > 控製策略”，進入控製策略頁麵，點擊<新建>，配置一條拒絕控製策略。

圖72 配置控製策略

選擇“高級配置”，配置終端型號，點擊<選擇終端>進入“選擇終端”頁麵，選擇“移動終端”、“多終端”，點擊“提交”。

6.6  驗證配置

如圖73所示，移動終端訪問頁麵，提示訪問出錯

圖73 移動終端無法上網

如圖74所示，進入“策略配置 >策略配置 > 控製策略”，進入控製策略頁麵，可以查到策略匹配記錄。

圖74 控製策略計數

使用PC可以正常上網，未被阻斷。