公司以前人員比較少,但是經(jīng)常會(huì)有客戶來(lái)公司駐場(chǎng)協(xié)作工作。公司希望駐場(chǎng)同事不能訪問(wèn)公司內(nèi)部特定的共享盤(pán)。但是還是有個(gè)別共享盤(pán)對(duì)他們開(kāi)放。
開(kāi)始我想的是共享盤(pán)設(shè)置賬號(hào)密碼形式。可是老板又擔(dān)心相互之間可以詢問(wèn)賬號(hào)密碼(此時(shí)有一句MMP不知當(dāng)講不當(dāng)講)。然后我又想到了用域服務(wù)器,設(shè)置可以訪問(wèn)共享的域賬號(hào)。但是這需要現(xiàn)有員工都入域(有些人不想改變他們的環(huán)境,推動(dòng)有難度,并且耗時(shí)較長(zhǎng)),是個(gè)長(zhǎng)期工作。最后打算再核心交換機(jī)上加一個(gè)IP-mac綁定功能,然后再共享服務(wù)器上添加防火墻只允許指定ip端進(jìn)行訪問(wèn)(因?yàn)轳v場(chǎng)員工每次座位不固定——誰(shuí)叫他們是甲方爸爸呢,沒(méi)法一開(kāi)始就將他們指定到一個(gè)vlan中)。
配置:
配置過(guò)程比較簡(jiǎn)單(我這三層交換機(jī)有開(kāi)啟dhcp功能和劃分vlan),先配置靜態(tài)的IP+mac的表項(xiàng),如果沒(méi)配置表項(xiàng)千萬(wàn)不要開(kāi)啟功能。如果在VLAN下配置了命令,但是又沒(méi)有表項(xiàng),則會(huì)導(dǎo)致所有人都無(wú)法上網(wǎng)。
點(diǎn)擊web界面左邊的安全-用戶靜態(tài)綁定,然后點(diǎn)擊新建,適用自己公司環(huán)境確定綁定方式。我這選的是IP+MAC并指定Vlan ID的形式。
然后用console口進(jìn)入命令行界面,在每個(gè)需要綁定的vlan下輸入 ip source check user-bind enable 就可以了。
如果不小心執(zhí)行了,這時(shí)候該如何恢復(fù)呢?
此時(shí)在對(duì)應(yīng)的VLAN下輸入undo ip source check user-bind enable 將檢測(cè)的命令刪除就可以了。
效果:
設(shè)置成功后,沒(méi)有綁定的員工(自己設(shè)置靜態(tài)IP,或者換了座位換了vlan口沒(méi)通知)就是如下圖這個(gè)狀態(tài)了,能夠獲取到DHCP給予的IP,但是無(wú)法上網(wǎng)。
這時(shí)候我就將外部駐場(chǎng)員工的IP全部記錄下來(lái)了,也不用擔(dān)心他們換位置不告訴我了。再講他們的IP在共享服務(wù)器上設(shè)置下防火墻就能滿足老板的要求了。
