功能
- 功能简介
- 更多系统
17333467065
17333467065
一天忽然接到一个朋友的电话,问我是否有空,请我帮个小忙,跟随朋友到聚点后,了解到朋友的需求如下:公司网络可以任意访问外网,内部因下载猖獗,导致网络经常无法正常使用,而且因某次论坛泄密事故导致公司老板非常恼火,因此要对公司内部网络做一次大的调整,
具体需求如下,封杀BT,电驴等下载软件,禁止浏览任何外网,允许使用邮件, 允许访问特定网站,允许使用QQ、MSN、SKYPE等聊天软件,允许一些特权的计算机任意访问外网,呵呵,不用说大家也知道,特权肯定是老板么,老板总是有特权(废话少说,继续)。公网使用一个IP地址做PAT转换,局域网内使用私有IP地址,使用DHCP服务为每个计算机分配IP地址,且根据每个计算机的MAC地址分配固定的IP地址,对于特权IP地址,采用MAC地址与IP地址进行绑定防治他人冒充使用,对于剩下的IP地址,全部绑定到一个不能让人猜到的MAC地址,看来这下老板真的急了。另外,为了方便日后管理,需要在路由器上启用PPTP服务,允许远程用户登陆。
对于以上要求,我们选用了CISCO公司的2811路由器,采取的配置如下:
一、DHCP服务
1.全局地址池
地址池名称:global
地址段:192.168.0.0 255.255.255.0
默认网关:192.168.0.1
DNS:202.106.0.20,202.106.116.1
地址租期:3天
ip dhcp pool global
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 202.106.0.20 202.106.116.1
lease 3
2.固定地址池
为每个员工建立一个DHCP 地址池,并根据员工姓名对地址池进行命名,根据MAC地址进行IP地址分配,如:
ip dhcp pool staffnameA
host 192.168.0.11 255.255.255.0
client-identifier 0108.0046.0ef8.ae
ip dhcp pool staffnameB
host 192.168.0.12 255.255.255.0
client-identifier 0100.115b.518c.a2
注意,在MAC地址前面多了个01,然后每4位用一个点分隔。
3.未分配的IP地址
地址段:192.168.0.60 到192.168.0.254
ip dhcp excluded-address 192.168.0.60 192.168.0.254
二、 设置IP地址与MAC地址绑定
绑定特权IP地址与MAC地址的关系,保证特权IP不被占用。
arp 192.168.0.2 0000.e897.444c ARPA
arp 192.168.0.3 0000. 00e8.9734 ARPA
…………
绑定其他IP地址与MAC地址的关系,保证IP不被盗用。
arp 192.168.0.9 ef00.abcd.4444 ARPA
…………
…………
arp 192.168.0.254 ef00.abcd.4444 ARPA
三、PAT转换
在外网接口上启用 ip nat outside,在内网接口上启用ip nat inside,全局使用语句“ip nat inside source list 100 interface FastEthernet0/0 overload”,根据访问控制列表100实现对内网地址的转换。
访问控制列表100的策略:
允许192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.6、192.168.0.7、192.168.0.8七个特权地址任意访问公网。
允许其他地址访问MSN、QQ、MAIL、SKYPE、DNS、网站:60.28.30.73、61.135.150.104、61.135.150.98等。
允许任意用户使用PING命令。
四、PPTP配置
建立用户abc,bcd,允许使用PPTP功能。打开AAA服务,实现本地认证。
username abc password abc
username bcd password bcd
为VPN用户指定DNS
ip name-server 202.100.0.20
ip name-server 202.106.116.1
打开AAA服务
aaa new-model
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
配置PPTP服务
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
interface Virtual-Template1
ip unnumbered FastEthernet0/1
peer default ip address pool addpool
no keepalive
ppp encrypt mppe auto passive
ppp authentication ms-chap ms-chap-v2
五、访问控制列表
1.放开特权IP地址权限
access-list 100 permit ip host 192.168.0.2 any
access-list 100 permit ip host 192.168.0.3 any
access-list 100 permit ip host 192.168.0.4 any
access-list 100 permit ip host 192.168.0.5 any
access-list 100 permit ip host 192.168.0.6 any
access-list 100 permit ip host 192.168.0.7 any
access-list 100 permit ip host 192.168.0.8 any
2.允许其他用户使用的协议
access-list 100 permit tcp any any eq 135
access-list 100 permit udp any any eq domain
access-list 100 permit icmp any any
3.开放MSN
access-list 100 permit tcp any any eq 1863
access-list 100 permit tcp any any eq 3389
access-list 100 permit tcp any any eq 1503
access-list 100 permit tcp any any eq 6891
access-list 100 permit tcp any any eq 443
4.开放QQ
access-list 100 permit tcp any any range 6891 6900
access-list 100 permit tcp any any range 4000 4010
access-list 100 permit tcp any any range 8000 8010
5.开放MAIL
access-list 100 permit tcp any any eq smtp
access-list 100 permit tcp any any eq pop3
access-list 100 permit tcp any any eq 143
6.开放特定网站
access-list 100 permit tcp any host 60.28.30.73 eq www
access-list 100 permit tcp any host 61.135.150.104 eq www
access-list 100 permit tcp any host 61.135.150.98 eq www
7.开放SKYPE
因为全部用户需要使用SKYPE,而SKYPE软件使用UDP协议,且通信端口并不固定,故全部开放UDP端口。
access-list 100 permit udp any any
access-list 100 permit tcp any host 61.135.159.159 eq www
access-list 100 permit tcp any host 130.117.72.81 eq www
access-list 100 permit tcp any host 198.173.5.35 eq www
access-list 100 permit tcp any host 61.135.159.183 eq www
access-list 100 permit tcp any host 61.135.158.236 eq www
access-list 100 permit tcp any host 58.61.33.32 eq www
因网络需求较多,网络的管理模式较为死板,以后将给网络管理带来很多不变,如新进员工,或者客人到访时,首先需要选择IP地址,调整IP地址与MAC地址对应关系,较后调整DHCP服务。今后可以考虑对员工的桌面进行管理,将网络需求转化为软件需求,减少网络的负责程度。总之,网络需求越少管理越简单,网络需求越多,管理越麻烦。
从杂乱到整洁:2025年电脑桌面管理软件推荐
每次打开电脑,看到那乱得一塌糊涂的桌面,是不是头都大啦?文件、文件夹、快捷方式、图标啥的堆得到处都是,找个文件简直比大海捞针还难!别愁,今儿个我就来给大伙推荐几款 2025 年超牛的电脑桌面管理软件,让您的桌面从乱七八糟秒变整整齐齐!一、腾讯桌面整理工具它的一键整理功能简直强到爆!轻轻一点,那些乱糟糟的文件、文件夹就乖...
网络信息安全解决方案:守护您的数字资产
我们的日常生活与数字世界紧密联系,从日常购物到工作文件,从家庭照片到个人信息,一切都在网络中。但你有没有想过,这类珍贵的数字资产,其实每日都面临着无形威胁?病毒、黑客、网络诈骗……他们就像潜伏在黑暗中的“窃贼”。他们常常准备盗取你的信息,不要担心,今天我们将讨论如何给你的数字资产找到一个可靠的“保镖”。一、数字资产,你...
办公必备!五款超好用的电脑操作记录软件推荐
各位职场小伙伴们,是不是经常觉得一天下来忙忙碌碌,却想不起具体做了哪些工作?或者,有时候急需找到某个文件的修改记录,却只能无奈地从头翻到尾?别担心,今天就来给你揭秘五款超实用的电脑操作记录软件,它们简直是办公族的福音,让你的工作效率翻倍,还能轻松管理你的数字生活!一、记录小能手:Evernote这款软件就像是你的私人助...
内网补丁分发管理系统的重要性与必要性
企业的网络安全面临着前所未有的挑战。黑客攻击、病毒攻击、数据泄漏……这听起来令人头疼,还总是威胁着我们的企业安全。内网补丁分发管理系统是守护公司安全隐藏极大巨盾,你可能没意识到它的重要性,但阅读了这篇文章后,你会对它有不同的看法!一、为啥内网补丁分发管理系统这么重要?简单来说,它就像我们公司的“网络安全管家”,能够及时...
电脑桌面管理技巧:让你的工作空间焕然一新
你是不是每日打开电脑,面对乱七八糟的桌面就会感到头疼?文档、文件夹、相片、快捷方式...各种图标堆满了,找文档如同大海捞针,效率直线下降。别担心,今天就来说说电脑屏幕管理方法,使你的工作空间瞬间秩序井然,工作效能翻番!一、为啥得管管电脑桌面?一个干净的桌面不仅提高了大家工作效率,并且可以让我们的情绪更快乐。如果每日打开...
