公司网络可以任意访问外网,内部因下载猖獗,导致网络经常无法正常使用,而且因某次论坛泄密事故导致公司老板非常恼火,因此要对公司内部网络做一次大的调整,具体需求如下,封杀BT,电驴等下载软件,禁止浏览任何外网,允许使用邮件,允许访问特定网站,允许使用QQ、MSN、SKYPE等聊天软件,允许一些特权的计算机任意访问外网,呵呵,不用说大家也知道,特权肯定是老板么,老板总是有特权(废话少说,继续)。公网使用一个IP地址做PAT转换,局域网内使用私有IP地址,使用DHCP服务为每个计算机分配IP地址,且根据每个计算机的MAC地址分配固定的IP地址,对于特权IP地址,采用MAC地址与IP地址进行绑定防治他人冒充使用,对于剩下的IP地址,全部绑定到一个不能让人猜到的MAC地址,看来这下老板真的急了。另外,为了方便日后管理,需要在路由器上启用PPTP服务,允许远程用户登陆。 对于以上要求,我们选用了CISCO公司的2811路由器,采取的配置如下: 一、DHCP服务 1.全局地址池 地址池名称:global 地址段:192.168.0.0 255.255.255.0 默认网关:192.168.0.1 DNS:202.106.0.20,202.106.116.1 地址租期:3天 ip dhcp pool global network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 202.106.0.20 202.106.116.1 lease 3 2.固定地址池 为每个员工建立一个DHCP 地址池,并根据员工姓名对地址池进行命名,根据MAC地址进行IP地址分配,如: ip dhcp pool staffnameA 问题一: 这里的staffnameA和B不需要命令写么? host 192.168.0.11 255.255.255.0 client-identifier 0108.0046.0ef8.ae 问题二:0108.0046.0ef8.ae这个IP很奇怪 ip dhcp pool staffnameB host 192.168.0.12 255.255.255.0 client-identifier 0100.115b.518c.a2 注意,在MAC地址前面多了个01,然后每4位用一个点分隔。 3.未分配的IP地址 地址段:192.168.0.60 到192.168.0.254 ip dhcp excluded-address 192.168.0.60 192.168.0.254 二设置IP地址与MAC地址绑定 问题三:这两个命令格式一样啊,为什么写成"保证特权IP不被占用","保证IP不被盗用"呢?前面小写的arp和后面大写的ARPA有什么意义 绑定特权IP地址与MAC地址的关系,保证特权IP不被占用。 arp 192.168.0.2 0000.e897.444c ARPA arp 192.168.0.3 0000. 00e8.9734 ARPA ………… 绑定其他IP地址与MAC地址的关系,保证IP不被盗用。 arp 192.168.0.9 ef00.abcd.4444 ARPA ………… ………… arp 192.168.0.254 ef00.abcd.4444 ARPA 三、PAT转换 问题四:这里的nat是不是写错了,是net吧? 在外网接口上启用 ip nat outside,在内网接口上启用ip nat inside,全局使用语句“ip nat inside source list 100 interface FastEthernet0/0 overload”,根据访问控制列表100实现对内网地址的转换。 访问控制列表100的策略: 允许192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.6、192.168.0.7、192.168.0.8七个特权地址任意访问公网。 允许其他地址访问MSN、QQ、MAIL、SKYPE、DNS、网站:60.28.30.73、61.135.150.104、61.135.150.98等。 允许任意用户使用PING命令。 四、PPTP配置 建立用户abc,bcd,允许使用PPTP功能。打开AAA服务,实现本地认证。 username abc password abc 问题五:这个PPTP协议是干什么的啊,为什么要建用户啊 username bcd password bcd 为VPN用户指定DNS ip name-server 202.100.0.20 ip name-server 202.106.116.1 打开AAA服务 问题六:AAA是什么服务啊 aaa new-model aaa authentication login default local aaa authentication ppp default local aaa authorization network default local 配置PPTP服务 vpdn enable 问题七:VPN和VPDN有区别么?下面这段看不懂
!
vpdn-group 1
! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 interface Virtual-Template1 ip unnumbered FastEthernet0/1 peer default ip address pool addpool no keepalive ppp encrypt mppe auto passive ppp authentication ms-chap ms-chap-v2 五、访问控制列表 1.放开特权IP地址权限 问题八:这里后面是一个any,这是固定格式吧 access-list 100 permit ip host 192.168.0.2 any access-list 100 permit ip host 192.168.0.3 any access-list 100 permit ip host 192.168.0.4 any access-list 100 permit ip host 192.168.0.5 any access-list 100 permit ip host 192.168.0.6 any access-list 100 permit ip host 192.168.0.7 any access-list 100 permit ip host 192.168.0.8 any 2.允许其他用户使用的协议 问题九:any any eq是什么意思有什么用,icmp这个协议有什么用啊 access-list 100 permit tcp any any eq 135 access-list 100 permit udp any any eq domain access-list 100 permit icmp any any 3.开放MSN 问题十:单个端口用any any eq连续的用any any range access-list 100 permit tcp any any eq 1863 access-list 100 permit tcp any any eq 3389 access-list 100 permit tcp any any eq 1503 access-list 100 permit tcp any any eq 6891 access-list 100 permit tcp any any eq 443 4.开放QQ access-list 100 permit tcp any any range 6891 6900 access-list 100 permit tcp any any range 4000 4010 access-list 100 permit tcp any any range 8000 8010 5.开放MAIL access-list 100 permit tcp any any eq smtp access-list 100 permit tcp any any eq pop3 access-list 100 permit tcp any any eq 143 6.开放特定网站 问题十一:IP地址后面的eq www 有什么用啊 access-list 100 permit tcp any host 60.28.30.73 eq www access-list 100 permit tcp any host 61.135.150.104 eq www access-list 100 permit tcp any host 61.135.150.98 eq www 7.开放SKYPE 问题十二:any any 和any的区别和作用是什么? 因为全部用户需要使用SKYPE,而SKYPE软件使用UDP协议,且通信端口并不固定,故全部开放UDP端口。 access-list 100 permit udp any any access-list 100 permit tcp any host 61.135.159.159 eq www access-list 100 permit tcp any host 130.117.72.81 eq www access-list 100 permit tcp any host 198.173.5.35 eq www access-list 100 permit tcp any host 61.135.159.183 eq www access-list 100 permit tcp any host 61.135.158.236 eq www access-list 100 permit tcp any host 58.61.33.32 eq www 因网络需求较多,网络的管理模式较为死板,以后将给网络管理带来很多不变,如新进员工,或者客人到访时,首先需要选择IP地址,调整IP地址与MAC地址对应关系,最后调整DHCP服务。今后可以考虑对员工的桌面进行管理,将网络需求转化为软件需求,减少网络的负责程度。总之,网络需求越少管理越简单,网络需求越多,管理越麻烦
问题一:staffnameA是自定义的一个名字,可以随便取,用来标识一个地址池。 问题二:0108.0046.0ef8.ae也是自定义的一个名字,可以随便取,这样写可能是配置人员的习惯,也可能是统一规划需求,没什么特别的。 问题三:arp 192.168.0.2 0000.e897.444c ARPA 第一个arp是命令,后面跟IP地址,再后面跟MAC地址,意思是这个IP地址和这个MAC地址绑定在一起,如果这个MAC地址换用其它地址(比如你的机器修改地址),那么会被路由器拒绝。后面的ARPA(Advanced Research Projects Agency)是一种包的类型,初学可以先不管他。
问题四:NAT(网络地址转换),PAT(端口地址转换),没有错,就是将一个地址(或端口)翻译成另一个地址(或端口)。 问题五:PPTP: Point to Point Tunneling Protocol,这个懒得写了抄给你:点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过 Microsoft Windows NT 工作站、Windows 95 和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地 ISP,通过 Internet 安全链接到公司网络。
问题八:这里后面是一个any,这是固定格式吧? access-list 100 permit ip host 192.168.0.2 any 意思是,允许192.168.0.2(源地址)这台主机访问任何IP(目的地址)。any就是0.0.0.0 0.0.0.0的简写。
问题九:access-list 100 permit udp any any eq domain 就是允许任何IP(源地址)访问任何IP(目的地址)端口号为53(domain是dns服务,端口号为53,eq就是配置、等于的意思)。 icmp(Internet Control Message Protocol),它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。我们经常用的ping就是用icmp协议。
问题十:单个端口用any any eq连续的用any any range ,eq是等于,range是范围。 问题十一:IP地址后面的eq www 有什么用啊,同前面的domain一样,WWW也是一种服务,就是我们浏览网页用的80端口,eq www即eq 80,允许访问网页。 问题十二:any any 和any的区别和作用是什么? 一样的。 access-list 100 permit udp any any 是指任何地址UDP包可以访问任何地址的UDP包。 access-list 100 permit tcp any host 61.135.159.159 eq www 是指任何地址的TCP包,只能访问61.135.159.159的80端口,即web服务。
