一天忽然接到一个朋友的电话,问我是否有空,请我帮个小忙,跟随朋友到聚点后,了解到朋友的需求如下:公司网络可以任意访问外网,内部因下载猖獗,导致网络经常无法正常使用,而且因某次论坛泄密事故导致公司老板非常恼火,因此要对公司内部网络做一次大的调整,
具体需求如下,封杀BT,电驴等下载软件,禁止浏览任何外网,允许使用邮件, 允许访问特定网站,允许使用QQ、MSN、SKYPE等聊天软件,允许一些特权的计算机任意访问外网,呵呵,不用说大家也知道,特权肯定是老板么,老板总是有特权(废话少说,继续)。公网使用一个IP地址做PAT转换,局域网内使用私有IP地址,使用DHCP服务为每个计算机分配IP地址,且根据每个计算机的MAC地址分配固定的IP地址,对于特权IP地址,采用MAC地址与IP地址进行绑定防治他人冒充使用,对于剩下的IP地址,全部绑定到一个不能让人猜到的MAC地址,看来这下老板真的急了。另外,为了方便日后管理,需要在路由器上启用PPTP服务,允许远程用户登陆。
对于以上要求,我们选用了CISCO公司的2811路由器,采取的配置如下:
一、DHCP服务
1.全局地址池
地址池名称:global
地址段:192.168.0.0 255.255.255.0
默认网关:192.168.0.1
DNS:202.106.0.20,202.106.116.1
地址租期:3天
ip dhcp pool global
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 202.106.0.20 202.106.116.1
lease 3
2.固定地址池
为每个员工建立一个DHCP 地址池,并根据员工姓名对地址池进行命名,根据MAC地址进行IP地址分配,如:
ip dhcp pool staffnameA
host 192.168.0.11 255.255.255.0
client-identifier 0108.0046.0ef8.ae
ip dhcp pool staffnameB
host 192.168.0.12 255.255.255.0
client-identifier 0100.115b.518c.a2
注意,在MAC地址前面多了个01,然后每4位用一个点分隔。
3.未分配的IP地址
地址段:192.168.0.60 到192.168.0.254
ip dhcp excluded-address 192.168.0.60 192.168.0.254
二、 设置IP地址与MAC地址绑定
绑定特权IP地址与MAC地址的关系,保证特权IP不被占用。
arp 192.168.0.2 0000.e897.444c ARPA
arp 192.168.0.3 0000. 00e8.9734 ARPA
…………
绑定其他IP地址与MAC地址的关系,保证IP不被盗用。
arp 192.168.0.9 ef00.abcd.4444 ARPA
…………
…………
arp 192.168.0.254 ef00.abcd.4444 ARPA
三、PAT转换
在外网接口上启用 ip nat outside,在内网接口上启用ip nat inside,全局使用语句“ip nat inside source list 100 interface FastEthernet0/0 overload”,根据访问控制列表100实现对内网地址的转换。
访问控制列表100的策略:
允许192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.6、192.168.0.7、192.168.0.8七个特权地址任意访问公网。
允许其他地址访问MSN、QQ、MAIL、SKYPE、DNS、网站:60.28.30.73、61.135.150.104、61.135.150.98等。
允许任意用户使用PING命令。
四、PPTP配置
建立用户abc,bcd,允许使用PPTP功能。打开AAA服务,实现本地认证。
username abc password abc
username bcd password bcd
为VPN用户指定DNS
ip name-server 202.100.0.20
ip name-server 202.106.116.1
打开AAA服务
aaa new-model
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
配置PPTP服务
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
interface Virtual-Template1
ip unnumbered FastEthernet0/1
peer default ip address pool addpool
no keepalive
ppp encrypt mppe auto passive
ppp authentication ms-chap ms-chap-v2
五、访问控制列表
1.放开特权IP地址权限
access-list 100 permit ip host 192.168.0.2 any
access-list 100 permit ip host 192.168.0.3 any
access-list 100 permit ip host 192.168.0.4 any
access-list 100 permit ip host 192.168.0.5 any
access-list 100 permit ip host 192.168.0.6 any
access-list 100 permit ip host 192.168.0.7 any
access-list 100 permit ip host 192.168.0.8 any
2.允许其他用户使用的协议
access-list 100 permit tcp any any eq 135
access-list 100 permit udp any any eq domain
access-list 100 permit icmp any any
3.开放MSN
access-list 100 permit tcp any any eq 1863
access-list 100 permit tcp any any eq 3389
access-list 100 permit tcp any any eq 1503
access-list 100 permit tcp any any eq 6891
access-list 100 permit tcp any any eq 443
4.开放QQ
access-list 100 permit tcp any any range 6891 6900
access-list 100 permit tcp any any range 4000 4010
access-list 100 permit tcp any any range 8000 8010
5.开放MAIL
access-list 100 permit tcp any any eq smtp
access-list 100 permit tcp any any eq pop3
access-list 100 permit tcp any any eq 143
6.开放特定网站
access-list 100 permit tcp any host 60.28.30.73 eq www
access-list 100 permit tcp any host 61.135.150.104 eq www
access-list 100 permit tcp any host 61.135.150.98 eq www
7.开放SKYPE
因为全部用户需要使用SKYPE,而SKYPE软件使用UDP协议,且通信端口并不固定,故全部开放UDP端口。
access-list 100 permit udp any any
access-list 100 permit tcp any host 61.135.159.159 eq www
access-list 100 permit tcp any host 130.117.72.81 eq www
access-list 100 permit tcp any host 198.173.5.35 eq www
access-list 100 permit tcp any host 61.135.159.183 eq www
access-list 100 permit tcp any host 61.135.158.236 eq www
access-list 100 permit tcp any host 58.61.33.32 eq www
因网络需求较多,网络的管理模式较为死板,以后将给网络管理带来很多不变,如新进员工,或者客人到访时,首先需要选择IP地址,调整IP地址与MAC地址对应关系,较后调整DHCP服务。今后可以考虑对员工的桌面进行管理,将网络需求转化为软件需求,减少网络的负责程度。总之,网络需求越少管理越简单,网络需求越多,管理越麻烦。
