一、组网需求

公司有一台UAC用于控制用户上网行为，禁止员工登陆腾讯QQ。为了不影响现网拓扑，使用透明模式接入。

 

二、网络拓扑

 

三、配置要点

步骤1：配置桥接口

步骤2：配置上网行为管理策略

步骤3：保存配置

步骤4：配置客户端IP等信息

注意：“上网行为管理”规则是从上往下的匹配原则，但“应用过滤”是逐条规则进行匹配，不是从上往下的匹配方式；比如“应用过滤”除规则处理动作外，对象全是相同规则，那么最终结果将是拒绝，因为有匹配到拒绝这一条。

 

四、操作步骤

步骤1：配置桥接口

透明模式需要配置桥接口，并把两个接口加入到同一个桥下，数据便能二层转发。

进入网络管理> 接口设置>网桥接口，点击新建，将eth0和eth1加入bvi0。

可以根据需要对桥接口进行IP地址配置。配置桥接口IP地址后，可以对UAC进行管理，管理方式根据访问需要进行选择。

步骤2：配置上网行为管理策略

上网行为管理策略按从上向下匹配的原则，若有IPsec policy 本地发出数据会查询IPsec policy。状态为“”的上网策略才会生效。

进入上网行为>上网行为管理，点击页面左上角的新建按钮

选择源地址为已配置的“any”点击提交

配置禁止员工登陆腾讯QQ：

进入上网行为>上网行为管理，选择刚刚创建的策略，点击编辑

选择应用过滤，点击新建，应用选择“QQ”，相关行为选择“登陆”，处理动作选择“拒绝”，其他配置根据需要配置，配置完成后点击提交。

步骤3：配置客户端IP等，使其能够访问外网。

步骤4：验证效果

查看审计日志，可以看到相关的日志信息，员工无法登陆QQ：