如圖所示，Switch作為DHCP服務器為AP和Client分配IP地址，其中AP與AC使用VLAN 100建立CAPWAP隧道，Client使用VLAN 200接入無線網絡。現要求：

　　1、 配置URL過濾功能，允許Client訪問外網的。

　　2、配置預定義URL過濾分類Pre-Games的動作為丟棄并生成日志。

　　3、 配置URL過濾策略的缺省動作為丟棄和生成日志。

　　配置步驟1、 配置AC

　　(1) 配置AC的接口

　　# 創建VLAN 100及其對應的VLAN接口，并為該接口配置IP地址。AP將獲取該IP地址與AC建立CAPWAP隧道。

　　system-view

　　[AC] vlan 100

　　[AC-vlan100] quit

　　[AC] interface vlan-interface 100

　　[AC-Vlan-interface100] ip address 192.1.1.1 24

　　[AC-Vlan-interface100] quit

　　# 創建VLAN 200及其對應的VLAN接口，并為該接口配置IP地址。Client使用該VLAN接入無線網絡。

　　[AC] vlan 200

　　[AC-vlan200] quit

　　[AC] interface vlan-interface 200

　　[AC-Vlan-interface200] ip address 192.2.1.1 24

　　[AC-Vlan-interface200] quit

　　# 配置AC和Switch相連的接口GigabitEthernet1/0/1為Trunk類型，禁止VLAN 1報文通過，允許VLAN 100和VLAN 200通過，當前Trunk口的PVID為100。

　　[AC] interface gigabitethernet 1/0/1

　　[AC-GigabitEthernet1/0/1] port link-type trunk

　　[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

　　[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200

　　[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100

　　[AC-GigabitEthernet1/0/1] quit

　　(2) 配置無線服務

　　# 創建無線服務模板1，并進入無線服務模板視圖。

　　[AC] wlan service-template 1

　　# 配置SSID為service。

　　[AC-wlan-st-1] ssid service

　　# 配置無線客戶端上線后加入到VLAN 200。

　　[AC-wlan-st-1] vlan 200

　　# 使能無線服務模板。

　　[AC-wlan-st-1] service-template enable

　　[AC-wlan-st-1] quit

　　(3) 配置AP

　　# 創建手工AP，名稱為ap1，型號為WAP722S-HI。

　　[AC] wlan ap ap1 model WAP722S-HI

　　# 設置AP序列號為219801A2F98205P00031。

　　[AC-wlan-ap-ap1] serial-id 219801A2F98205P0031

　　# 進入AP的Radio 1視圖，并將無線服務模板1綁定到Radio 1上。

　　[AC-wlan-ap-ap1] radio 1

　　[AC-wlan-ap-ap1-radio-1] service-template 1

　　# 開啟Radio 1的射頻功能。

　　[AC-wlan-ap-ap1-radio-1] radio enable

　　[AC-wlan-ap-ap1-radio-1] quit

　　# 進入AP的Radio 2視圖，并將無線服務模板1綁定到Radio 2上。

　　[AC-wlan-ap-ap1] radio 2

　　[AC-wlan-ap-ap1-radio-2] service-template 1

　　# 開啟Radio 2的射頻功能。

　　[AC-wlan-ap-ap1-radio-2] radio enable

　　[AC-wlan-ap-ap1-radio-2] quit

　　[AC-wlan-ap-ap1] quit

　　(4) 配置對象組

　　# 創建名為urlfilter的IP地址對象組，并定義其子網地址為192.2.1.0/24。

　　[AC] object-group ip address urlfilter

　　[AC-obj-grp-ip-urlfilter] network subnet 192.2.1.0 24

　　[AC-obj-grp-ip-urlfilter] quit

　　(5) 配置URL過濾功能

　　# 創建名為news的URL過濾分類，并進入URL過濾分類視圖，設置該分類的嚴重級別為2000。

　　[AC] url-filter category news severity 2000

　　# 在URL過濾分類news中添加一條URL過濾規則，并使用字符串對主機名字段進行精確匹配。

　　[AC-url-filter-category-news] rule 1 host text

　　[AC-url-filter-category-news] quit

　　# 創建名為urlnews的URL過濾策略，并進入URL過濾策略視圖。

　　[AC] url-filter policy urlnews

　　# 在URL過濾策略urlnews中，配置URL過濾分類news綁定的動作為允許。

　　[AC-url-filter-policy-urlnews] category news action permit

　　# 在URL過濾策略urlnews中，配置預定義URL過濾分類Pre-Games綁定的動作為丟棄并生成日志。

　　[AC-url-filter-policy-urlnews] category Pre-Games action drop logging

　　# 在URL過濾策略urlnews中，配置策略的缺省動作為丟棄和打印日志。

　　[AC-url-filter-policy-urlnews] default-action drop logging

　　[AC-url-filter-policy-urlnews] quit

　　(6) 配置DPI應用profile

　　# 創建名為sec的DPI應用profile，并進入DPI應用profile視圖。

　　[AC] app-profile sec

　　# 在DPI應用profile sec中應用URL過濾策略urlnews。

　　[AC-app-profile-sec] url-filter apply policy urlnews

　　[AC-app-profile-sec] quit

　　# 激活URL過濾策略和規則配置。

　　[AC] inspect activate

　　(7) 配置安全策略引用URL過濾業務

　　# 進入IPv4安全策略視圖

　　[AC] security-policy ip

　　# 創建名為urlfilter的安全策略規則，過濾條件為：源IP地址對象組urlfilter。動作為允許，且引用的DPI應用profile為sec。

　　[AC-security-policy-ip] rule name urlfilter

　　[AC-security-policy-ip-13-urlfilter] source-ip urlfilter

　　[AC-security-policy-ip-13-urlfilter] action pass

　　[AC-security-policy-ip-13-urlfilter] profile sec

　　[AC-security-policy-ip-13-urlfilter] quit

　　# 激活安全策略的加速功能。

　　[AC-security-policy-ip] accelerate enhanced enable

　　[AC-security-policy-ip] quit

　　2、 配置Switch

　　(1) 配置Switch的接口

　　# 創建VLAN 100和VLAN 200及其對應接口，并為該接口配置IP地址，其中VLAN 100用于轉發AC和AP間CAPWAP隧道內的流量，VLAN 200用于轉發Client無線報文。

　　system-view

　　[Switch] vlan 100

　　[Switch-vlan100] quit

　　[Switch] interface vlan-interface 100

　　[Switch-Vlan-interface100] ip address 192.1.1.2 24

　　[Switch-Vlan-interface100] quit

　　[Switch] vlan 200

　　[Switch-vlan200] quit

　　[Switch] interface vlan-interface 200

　　[Switch-Vlan-interface200] ip address 192.2.1.2 24

　　[Switch-Vlan-interface200] quit

　　# 配置Switch和AC相連的接口GigabitEthernet1/0/1為Trunk類型，禁止VLAN 1報文通過，允許VLAN 100和VLAN 200通過，當前Trunk口的PVID為100。

　　[Switch] interface gigabitethernet 1/0/1

　　[Switch-GigabitEthernet1/0/1] port link-type trunk

　　[Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1

　　[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200

　　[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100

　　[Switch-GigabitEthernet1/0/1] quit

　　# 配置Switch和AP相連的接口GigabitEthernet1/0/2為Trunk類型，禁止VLAN 1報文通過，允許VLAN 100通過，當前Trunk口的PVID為100。

　　[Switch] interface gigabitethernet 1/0/2

　　[Switch-GigabitEthernet1/0/2] port link-type trunk

　　[Switch-GigabitEthernet1/0/2] undo port trunk permit vlan 1

　　[Switch-GigabitEthernet1/0/2] port trunk permit vlan 100

　　[Switch-GigabitEthernet1/0/2] port trunk pvid vlan 100

　　# 開啟Switch和AP相連的接口GigabitEthernet1/0/2的PoE供電功能。

　　[Switch-GigabitEthernet1/0/2] poe enable

　　[Switch-GigabitEthernet1/0/2] quit

　　(2) 配置DHCP服務

　　# 開啟DHCP功能。

　　[Switch] dhcp enable

　　# 創建名為vlan100的DHCP地址池，為AP分配IP地址，配置地址池動態分配的網段為192.1.1.0/24，地址池中不參與自動分配的IP地址為192.1.1.1和192.1.1.2。

　　[Switch] dhcp server ip-pool vlan100

　　[Switch-dhcp-pool-vlan100] network 192.1.1.0 mask 255.255.255.0

　　[Switch-dhcp-pool-vlan100] forbidden-ip 192.1.1.1 192.1.1.2

　　[Switch-dhcp-pool-vlan100] gateway-list 192.1.1.1

　　[Switch-dhcp-pool-vlan100] quit

　　# 創建名為vlan200的DHCP地址池，為Client分配IP地址，配置地址池動態分配的網段為192.2.1.0/24，地址池中不參與自動分配的IP地址為192.2.1.1和192.2.1.2。

　　[Switch] dhcp server ip-pool vlan200

　　[Switch-dhcp-pool-vlan200] network 192.2.1.0 mask 255.255.255.0

　　[Switch-dhcp-pool-vlan200] forbidden-ip 192.2.1.1 192.2.1.2

　　[Switch-dhcp-pool-vlan200] gateway-list 192.2.1.2

　　[Switch-dhcp-pool-vlan200] dns-list 192.2.1.2

　　[Switch-dhcp-pool-vlan200] quit

　　3、 驗證配置

　　以上配置生效后，Client可以訪問外網的，但是不能訪問游戲類的網頁。Client嘗試訪問游戲類的URL請求將會被AC阻斷并且打印日志。