公司以前人员比较少,但是经常会有客户来公司驻场协作工作。公司希望驻场同事不能访问公司内部特定的共享盘。但是还是有个别共享盘对他们开放。
开始我想的是共享盘设置账号密码形式。可是老板又担心相互之间可以询问账号密码(此时有一句MMP不知当讲不当讲)。然后我又想到了用域服务器,设置可以访问共享的域账号。但是这需要现有员工都入域(有些人不想改变他们的环境,推动有难度,并且耗时较长),是个长期工作。最后打算再核心交换机上加一个IP-mac绑定功能,然后再共享服务器上添加防火墙只允许指定ip端进行访问(因为驻场员工每次座位不固定——谁叫他们是甲方爸爸呢,没法一开始就将他们指定到一个vlan中)。
配置:
配置过程比较简单(我这三层交换机有开启dhcp功能和划分vlan),先配置静态的IP+mac的表项,如果没配置表项千万不要开启功能。如果在VLAN下配置了命令,但是又没有表项,则会导致所有人都无法上网。
点击web界面左边的安全-用户静态绑定,然后点击新建,适用自己公司环境确定绑定方式。我这选的是IP+MAC并指定Vlan ID的形式。
然后用console口进入命令行界面,在每个需要绑定的vlan下输入 ip source check user-bind enable 就可以了。
如果不小心执行了,这时候该如何恢复呢?
此时在对应的VLAN下输入undo ip source check user-bind enable 将检测的命令删除就可以了。
效果:
设置成功后,没有绑定的员工(自己设置静态IP,或者换了座位换了vlan口没通知)就是如下图这个状态了,能够获取到DHCP给予的IP,但是无法上网。
这时候我就将外部驻场员工的IP全部记录下来了,也不用担心他们换位置不告诉我了。再讲他们的IP在共享服务器上设置下防火墙就能满足老板的要求了。