公司以前人員比較少,但是經常會有客戶來公司駐場協作工作。公司希望駐場同事不能訪問公司內部特定的共享盤。但是還是有個別共享盤對他們開放。
開始我想的是共享盤設置賬號密碼形式。可是老板又擔心相互之間可以詢問賬號密碼(此時有一句MMP不知當講不當講)。然后我又想到了用域服務器,設置可以訪問共享的域賬號。但是這需要現有員工都入域(有些人不想改變他們的環境,推動有難度,并且耗時較長),是個長期工作。最后打算再核心交換機上加一個IP-mac綁定功能,然后再共享服務器上添加防火墻只允許指定ip端進行訪問(因為駐場員工每次座位不固定——誰叫他們是甲方爸爸呢,沒法一開始就將他們指定到一個vlan中)。
配置:
配置過程比較簡單(我這三層交換機有開啟dhcp功能和劃分vlan),先配置靜態的IP+mac的表項,如果沒配置表項千萬不要開啟功能。如果在VLAN下配置了命令,但是又沒有表項,則會導致所有人都無法上網。
點擊web界面左邊的安全-用戶靜態綁定,然后點擊新建,適用自己公司環境確定綁定方式。我這選的是IP+MAC并指定Vlan ID的形式。
然后用console口進入命令行界面,在每個需要綁定的vlan下輸入 ip source check user-bind enable 就可以了。
如果不小心執行了,這時候該如何恢復呢?
此時在對應的VLAN下輸入undo ip source check user-bind enable 將檢測的命令刪除就可以了。
效果:
設置成功后,沒有綁定的員工(自己設置靜態IP,或者換了座位換了vlan口沒通知)就是如下圖這個狀態了,能夠獲取到DHCP給予的IP,但是無法上網。
這時候我就將外部駐場員工的IP全部記錄下來了,也不用擔心他們換位置不告訴我了。再講他們的IP在共享服務器上設置下防火墻就能滿足老板的要求了。
