ally 2008-5-23 09:19
限制内网主机
情况如下:公司内部肯定会有一些员工将手提带至公司上网、拷资料等等。想问下,如何通过在防火墙(5GT)上设置一个MAC地址列表,只有在该列表中网卡数据包才能按照策略设定的走法,否则直接丢包。或者是将IP和MAC绑定??
简单的说就是非本公司电脑,就算你带到公司插上网线,改好IP也不能连上内外网。
[[i] 本帖最后由 ally 于 2008-5-23 09:28 编辑 [/i]]
wzknet 2008-5-23 09:33
还不如定一条规定:外来人员必须经过本公司批准后方可接入公司网络。谁负责接入谁负责。
ally 2008-5-23 10:10
哈哈,规定是有的,但大家都这样做,我又狠不下心来报上去。就想在技术上来限制他们。
杨园 2008-5-23 11:11
很好想法呀!要是有这样的办法能教我一下吗?
[email]yangyuangood@sina.com[/email]
谢谢了!!
jjjhappy 2008-5-23 11:31
这个要在交换机上做,防火墙只能控制跨网段的访问,同一网段访问在交换机上进行控制。
iflystar 2008-5-23 14:08
这种情况,目前最好的解决办法是NAP吧,一般使用802.1X协议认证,需要软件和硬件同时支持。windows2008自带了SNAP,交换机也需要配置。Cisco,Juniper,Symantec都有相关的技术的。
ally 2008-5-26 14:15
谢谢各位的回复,按照几位想法,在交换机上折腾了下,找到,问题又出来了,如图。换成,0019D14C47DB\0019D14.C47DB\00:19:D1:4C:47:DB\都不行,GOOGLE也找不到。MAC authentication enabled on all catalyst express 500 *** 这东西怎么玩呀。
[[i] 本帖最后由 ally 于 2008-5-26 14:47 编辑 [/i]]
ally 2008-5-27 09:39
0019.D14C.47DB MAC地址的格式要求。其它功能、如何配置,自己慢慢摸索了。
[[i] 本帖最后由 ally 于 2008-5-27 17:09 编辑 [/i]]
什么叫唯一 2008-5-29 14:57
1. 运行“MAC扫描器”(下载地址:[url=http://www.onlinedown.net/soft/16209.htm]http://www.onlinedown.net/soft/16209.htm[/url]),扫描完成后,点击[保存]按钮,将扫描的结果保存为文本文件,如Mac.txt(内容见图1)。
[img]http://www.itlearner.com/article/UploadFiles/2005/07180953734.jpg[/img]
图1
2. 利用Excel强大的数据处理功能,将文本文件中的MAC地址转换成ARP命令要求的格式后,把数据复制粘贴到记事本,保存为批处理文件(内容见图2)。
[img]http://www.itlearner.com/article/UploadFiles/2005/07180953621.jpg[/img]
图2
3. 在服务器端运行这个批处理文件就大功告成了。
具体操作步骤
1.将Mac.txt导入Excel工作簿
(1)启动Excel 2000,新建一个工作簿,保存为“MAC地址表.xls”。单击“数据→获取外部数据→导入文本文件”,在弹出的对话框中,选择用“MAC扫描器”获得的文本文件“Mac.txt”,单击[导入]按钮,弹出“文本导入向导”对话框。
(2)在“文本导入向导——3步骤之1”中点击“原始数据类型”,在“请选择最合适的文件类型”单选项下,修改默认的“固定宽度”为“分隔符号”,然后单击[下一步]按钮;进入“文本导入向导——3步骤之2”,在“分隔符号”多选项下,取消“Tab键”,只选中“空格”项,再单击[下一步]按钮;进入“文本导入向导——3步骤之3”,单击[完成]按钮,弹出“导入数据”对话框时,单击[确定],完成数据导入。导入后的工作表如图3所示。
图3
2. 利用Excel处理数据
(1)在A列前插入一列,在A1单元格内输入绑定MAC地址的命令和参数“ARP -S”。
(2)在MAC地址和计算机名两列之间插入7列,列号依次为D、E、F、G、H、I、J。
(3)利用字符串函数分割12位MAC地址为两两一组:
在D1单元格输入“=left(C1,2)”;
在E1单元格输入“=mid(C1,3,2)”;
在F1单元格输入“=mid(C1,5,2)”;
在G1单元格输入“=mid(C1,7,2)”;
在H1单元格输入“=mid(C1,9,2)”;
在I1单元格输入“=right(C1, 2)”。
(4)在J1单元格内把D1~I1单元格的内容合并起来,中间用减号分隔。合并方法:在J1内输入“=D1&&"-"&&E1&&"-"&&F1&&"-"&&G1&&"-"&&H1&&"-"&&I1”。
(5)利用填充法完成A列和D~J列的数据处理(图4)。
图4
(6)隐藏C~I列。
3. 制作批处理文件
(1)复制Excel工作表A、B、J列的数据,粘贴到记事本中。保存工作簿“MAC地址表.xls”,退出Excel。
(2)保存记事本文件为Mac.bat。
4. 批量绑定MAC地址和IP地址
在服务器端DOS模式下运行Mac.bat,即可完成批量MAC地址和IP地址的绑定。
川一诺 2008-5-31 09:52
这种情况,目前最好的解决办法是NAP吧,一般使用802.1X协议认证,需要软件和硬件同时支持。
ciscobbsnas 2008-6-3 12:47
学习中啊,看看
victorwoo520 2008-6-4 23:05
不过以后的趋势是要讲外接电脑的IP上报才能连接内网的
我在日照 2008-6-5 12:29
这种情况,目前最好的解决办法是NAP吧,一般使用802.1X协议认证,需要软件和硬件同时支持。windows2008自带了SNAP,交换机也需要配置。Cisco,Juniper,Symantec都有相关的技术的。
gofans 2008-6-7 16:48
n"lW n"lW n"lW n"lW n"lW n"lW n"lW
