华为产品如何通过路由配置限制员工上网

skybolt

公司领导提出要求：
1、所有部门只保留一台上因特网的计算机，其他计算机只能访问公司内网（管理信息网）；
2、所有计算机都可以通过工作组共享文件、打印机。

现有设备及连接：
1、连接方式：电信光缆－华为AR 46-20路由器－100F防火墙－S6506核心交换机－3050楼层交换机－用户计算机
2、有3台服务器现在都接在S6506上，只做了一个DHCP服务器用来自动分配IP，其余2台闲置。
3、公司只有一个对外的IP地址。

公司现有计算机280多台，一共划分了2个VLAN，第一个：10.10.2.1－10.10.2.254，另一个：10.10.3.1－10.10.3.254
DHCP服务器现在自动分配的是10.10.2.1的IP，另一个使用的是手动固定IP，里面只有22个用户。原来两个组都是固定IP，后来由于人员增加IP无法固定，才架设了这个DHCP服务器勉强维持。本来可以将10.10.2.1网段的计算机多分几个到10.10.3.1，可是分完以后无法在工作组中互相访问（曾告诉领导可以在地址栏直接输入IP访问，领导不同意）。

通过打电话咨询华为的客服，AR 46-20的路由器可以实现上网控制，但只能通过IP设置，不支持MAC地址；为了防止IP盗用，可以通过S6506交换机实现IP与MAC地址绑定。华为上门服务一天3000块人民币。

因为我对路由器、交换机、防火墙的配置一窍不通，所有这些都无法完成。哪位使用的设备与我这里的一样？你们的网络是怎么设置的？这种情况我有必要让华为的工程师上门服务吗？假如他们来了，这种设置好学吗？因为我不可能每更换一台主机都请华为上面服务。原来还可以通过网络 p-o-l-i-c-e等软件实现控制，现在一个360的ARP防火墙把这些全部否定了。

大家给我个建议吧，我现在该怎么办？

sansa520

现在很普通很普通的路由器都有MAC地址过滤的功能的..
具体可以参考说明书的.
要不行就用P2P来实现MAC地址绑定(但比较容易破)

skybolt

520老大，这个我咨询过华为的工程师，他们明确的告诉我，AR 46-20的这个路由器没有MAC地址过滤功能，只支持IP过滤。你会配华为的路由吗？

netwinxp

280台的局域网属于B类网了，对于上网控制建议采用ISA来完成，对于网络访问问题建议编辑服务器的hosts文件对网络上的机子的计算机名进行解析。

skybolt

这个是我在百度上查找的关于ISA的资料：
目前的版本有ISA2000 ISA2004 ISA2006 ISA2008，是一款微软出品的著名路由级网络防火墙。
现在第一方案是在现有的设备基础上进行，如果现有设备无法实现，才考虑购买新设备。

hosts文件的编辑，我原来在客户计算机上做过，你的意思是直接在DHCP服务器上配置吗？使用10.10.2.1网段的服务器可以对10.10.3.1网段的计算机实现IP地址自动分配吗？

netwinxp

1、如果你是通过交换机(或HUB)级联的方式使280台在同一个物理网段，可以把屏蔽码改成255.255.0.0看看。
2、如果你有多个不同的网段，那么不同的网段之间的访问则需要通过网关来完成，可以在网关对不同的机子的IP和机器名进行解析。
3、DHCP在280台一般不会同时在线的场合比较有用，否则的话固定IP还是能简化不少手续的。

[ 本帖最后由 netwinxp 于 2008-7-29 14:10 编辑 ]

lvyanan

原帖由 skybolt 于 2008-7-29 11:16 发表
hosts文件的编辑，我原来在客户计算机上做过，你的意思是直接在DHCP服务器上配置吗？使用10.10.2.1网段的服务器可以对10.10.3.1网段的计算机实现IP地址自动分配吗？

10.0.0.0/255.0.0.0是一个保留的A类地址，在不改变默认掩码的情况下，完全可以对10.10.3.1网段的计算机实现IP地址自动分配。其实你也可以使用保留的172.16.0.1-----172.31.255.255/255.240.0.0这16个B类其中的一个地址，这样范围小一些，以便于维护和监控。
    我没接触过华为设备，所以不会配置，LZ可以配置访问列表来限制上网，或者用IP与MAC绑定来限制用户盗用IP，据我所知S3050好像不支持三层交换能力，IP绑定可能做不到，MAC绑定应该可以。
    另外LZ可参看一下这篇文章：
    华为3com常用配置学习.rar (203.93 KB, 下载次数: 1437)

2008-7-29 14:15 上传

点击文件名下载附件
下载积分: 无忧币 -2

[ 本帖最后由 lvyanan 于 2008-7-29 14:30 编辑 ]

阿文

我也曾试过，还把防火墙给拆了，装我们那卖的产品，同时解决掉线问题。

绑定MAC,以及过滤吧。3000块，都可以制作一台软路由来限制了。
（说明一下，软件路由其实很强大的，比一般的企业级路由，更自由些）

[ 本帖最后由 阿文 于 2008-7-29 23:14 编辑 ]

skybolt

软路由是怎么回事？就是把软件安装在服务器上，实现路由功能吗？服务器和网内的其他计算机平级还是所有计算机都通过服务器上网？

waveliu

学习中,等高手解决!!!!!呵呵

skybolt

所有问题都已搞定，正在学习中。学会了将具体的做法给大家共享。
单位聘请了华为的工程师现场培训（计划5天完成，设备调试加培训），一天3000千人民币。这是我长这么大享受的最奢侈的学费。一共就两个学生啊～

lintel

原帖由 skybolt 于 2008-8-5 21:43 发表
所有问题都已搞定，正在学习中。学会了将具体的做法给大家共享。
单位聘请了华为的工程师现场培训（计划5天完成，设备调试加培训），一天3000千人民币。这是我长这么大享受的最奢侈的学费。一共就两个学生啊～

不如送给我,嘿嘿...
用Router OS可以做到

3884751

学好了，给我们分享一下，楼主！