公司以前人員比較少,但是經(jīng)常會有客戶來公司駐場協(xié)作工作。公司希望駐場同事不能訪問公司內(nèi)部特定的共享盤。但是還是有個(gè)別共享盤對他們開放。
開始我想的是共享盤設(shè)置賬號密碼形式。可是老板又擔(dān)心相互之間可以詢問賬號密碼(此時(shí)有一句MMP不知當(dāng)講不當(dāng)講)。然后我又想到了用域服務(wù)器,設(shè)置可以訪問共享的域賬號。但是這需要現(xiàn)有員工都入域(有些人不想改變他們的環(huán)境,推動(dòng)有難度,并且耗時(shí)較長),是個(gè)長期工作。最后打算再核心交換機(jī)上加一個(gè)IP-mac綁定功能,然后再共享服務(wù)器上添加防火墻只允許指定ip端進(jìn)行訪問(因?yàn)轳v場員工每次座位不固定——誰叫他們是甲方爸爸呢,沒法一開始就將他們指定到一個(gè)vlan中)。
配置:
配置過程比較簡單(我這三層交換機(jī)有開啟dhcp功能和劃分vlan),先配置靜態(tài)的IP+mac的表項(xiàng),如果沒配置表項(xiàng)千萬不要開啟功能。如果在VLAN下配置了命令,但是又沒有表項(xiàng),則會導(dǎo)致所有人都無法上網(wǎng)。
點(diǎn)擊web界面左邊的安全-用戶靜態(tài)綁定,然后點(diǎn)擊新建,適用自己公司環(huán)境確定綁定方式。我這選的是IP+MAC并指定Vlan ID的形式。
然后用console口進(jìn)入命令行界面,在每個(gè)需要綁定的vlan下輸入 ip source check user-bind enable 就可以了。
如果不小心執(zhí)行了,這時(shí)候該如何恢復(fù)呢?
此時(shí)在對應(yīng)的VLAN下輸入undo ip source check user-bind enable 將檢測的命令刪除就可以了。
效果:
設(shè)置成功后,沒有綁定的員工(自己設(shè)置靜態(tài)IP,或者換了座位換了vlan口沒通知)就是如下圖這個(gè)狀態(tài)了,能夠獲取到DHCP給予的IP,但是無法上網(wǎng)。
這時(shí)候我就將外部駐場員工的IP全部記錄下來了,也不用擔(dān)心他們換位置不告訴我了。再講他們的IP在共享服務(wù)器上設(shè)置下防火墻就能滿足老板的要求了。
