一天忽然接到一个朋友的电话,问我是否有空,请我帮个小忙,跟随朋友到聚点后,了解到朋友的需求如下:公司网络可以任意访问外网,内部因下载猖獗,导致网络经常无法正常使用,而且因某次论坛泄密事故导致公司老板非常恼火,因此要对公司内部网络做一次大的调整,
具体需求如下,封杀BT,电驴等下载软件,禁止浏览任何外网,允许使用邮件, 允许访问特定网站,允许使用QQ、MSN、SKYPE等聊天软件,允许一些特权的计算机任意访问外网,呵呵,不用说大家也知道,特权肯定是老板么,老板总是有特权(废话少说,继续)。公网使用一个IP地址做PAT转换,局域网内使用私有IP地址,使用DHCP服务为每个计算机分配IP地址,且根据每个计算机的MAC地址分配固定的IP地址,对于特权IP地址,采用MAC地址与IP地址进行绑定防治他人冒充使用,对于剩下的IP地址,全部绑定到一个不能让人猜到的MAC地址,看来这下老板真的急了。另外,为了方便日后管理,需要在路由器上启用PPTP服务,允许远程用户登陆。
对于以上要求,我们选用了CISCO公司的2811路由器,采取的配置如下:
一、DHCP服务
1.全局地址池
地址池名称:global
地址段:192.168.0.0 255.255.255.0
默认网关:192.168.0.1
DNS:202.106.0.20,202.106.116.1
地址租期:3天
ip dhcp pool global
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 202.106.0.20 202.106.116.1
lease 3
2.固定地址池
为每个员工建立一个DHCP 地址池,并根据员工姓名对地址池进行命名,根据MAC地址进行IP地址分配,如:
ip dhcp pool staffnameA
host 192.168.0.11 255.255.255.0
client-identifier 0108.0046.0ef8.ae
ip dhcp pool staffnameB
host 192.168.0.12 255.255.255.0
client-identifier 0100.115b.518c.a2
注意,在MAC地址前面多了个01,然后每4位用一个点分隔。
3.未分配的IP地址
地址段:192.168.0.60 到192.168.0.254
ip dhcp excluded-address 192.168.0.60 192.168.0.254
二、 设置IP地址与MAC地址绑定
绑定特权IP地址与MAC地址的关系,保证特权IP不被占用。
arp 192.168.0.2 0000.e897.444c ARPA
arp 192.168.0.3 0000. 00e8.9734 ARPA
…………
绑定其他IP地址与MAC地址的关系,保证IP不被盗用。
arp 192.168.0.9 ef00.abcd.4444 ARPA
…………
…………
arp 192.168.0.254 ef00.abcd.4444 ARPA
三、PAT转换
在外网接口上启用 ip nat outside,在内网接口上启用ip nat inside,全局使用语句“ip nat inside source list 100 interface FastEthernet0/0 overload”,根据访问控制列表100实现对内网地址的转换。
访问控制列表100的策略:
允许192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.6、192.168.0.7、192.168.0.8七个特权地址任意访问公网。
允许其他地址访问MSN、QQ、MAIL、SKYPE、DNS、网站:60.28.30.73、61.135.150.104、61.135.150.98等。
允许任意用户使用PING命令。
四、PPTP配置
建立用户abc,bcd,允许使用PPTP功能。打开AAA服务,实现本地认证。
username abc password abc
username bcd password bcd
为VPN用户指定DNS
ip name-server 202.100.0.20
ip name-server 202.106.116.1
打开AAA服务
aaa new-model
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
配置PPTP服务
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
interface Virtual-Template1
ip unnumbered FastEthernet0/1
peer default ip address pool addpool
no keepalive
ppp encrypt mppe auto passive
ppp authentication ms-chap ms-chap-v2
五、访问控制列表
1.放开特权IP地址权限
access-list 100 permit ip host 192.168.0.2 any
access-list 100 permit ip host 192.168.0.3 any
access-list 100 permit ip host 192.168.0.4 any
access-list 100 permit ip host 192.168.0.5 any
access-list 100 permit ip host 192.168.0.6 any
access-list 100 permit ip host 192.168.0.7 any
access-list 100 permit ip host 192.168.0.8 any
2.允许其他用户使用的协议
access-list 100 permit tcp any any eq 135
access-list 100 permit udp any any eq domain
access-list 100 permit icmp any any
3.开放MSN
access-list 100 permit tcp any any eq 1863
access-list 100 permit tcp any any eq 3389
access-list 100 permit tcp any any eq 1503
access-list 100 permit tcp any any eq 6891
access-list 100 permit tcp any any eq 443
4.开放QQ
access-list 100 permit tcp any any range 6891 6900
access-list 100 permit tcp any any range 4000 4010
access-list 100 permit tcp any any range 8000 8010
5.开放MAIL
access-list 100 permit tcp any any eq smtp
access-list 100 permit tcp any any eq pop3
access-list 100 permit tcp any any eq 143
6.开放特定网站
access-list 100 permit tcp any host 60.28.30.73 eq www
access-list 100 permit tcp any host 61.135.150.104 eq www
access-list 100 permit tcp any host 61.135.150.98 eq www
7.开放SKYPE
因为全部用户需要使用SKYPE,而SKYPE软件使用UDP协议,且通信端口并不固定,故全部开放UDP端口。
access-list 100 permit udp any any
access-list 100 permit tcp any host 61.135.159.159 eq www
access-list 100 permit tcp any host 130.117.72.81 eq www
access-list 100 permit tcp any host 198.173.5.35 eq www
access-list 100 permit tcp any host 61.135.159.183 eq www
access-list 100 permit tcp any host 61.135.158.236 eq www
access-list 100 permit tcp any host 58.61.33.32 eq www
因网络需求较多,网络的管理模式较为死板,以后将给网络管理带来很多不变,如新进员工,或者客人到访时,首先需要选择IP地址,调整IP地址与MAC地址对应关系,较后调整DHCP服务。今后可以考虑对员工的桌面进行管理,将网络需求转化为软件需求,减少网络的负责程度。总之,网络需求越少管理越简单,网络需求越多,管理越麻烦。
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...