AC上网行为管理案例

一、部署模式:

二、交换机配置:

[Quidway]vlan batch 10 20 30 40 100 200

#
interface Vlanif10
 ip address 192.168.12.254 255.255.255.0
#
interface Vlanif20
#
interface Vlanif30
 ip address 192.168.13.254 255.255.255.0  
#
interface Vlanif40
 ip address 192.168.11.254 255.255.255.0

#

interface Ethernet0/0/2
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/3
#
interface Ethernet0/0/4
 port link-type access
 port default vlan 20
#
interface Ethernet0/0/5
#
interface Ethernet0/0/6
 port link-type access
 port default vlan 30
#
interface Ethernet0/0/7
#                                         
interface Ethernet0/0/8
 port link-type access
 port default vlan 40

#
interface Ethernet0/0/18
 port link-type trunk                     
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100 200
#
interface Ethernet0/0/19
#
interface Ethernet0/0/20
#
interface Ethernet0/0/21
#
interface Ethernet0/0/22
 port link-type access
 port default vlan 100
#
interface Ethernet0/0/23
#
interface Ethernet0/0/24
 port link-type access
 port default vlan 200
#

 ip route-static 0.0.0.0 0.0.0.0 192.168.11.1

三、客户现状:

客户原有路由器在公司出口,现因设备老化,想更换出口路由器经跟客户沟通,客户采购上网行为管理一台。客户原有网络采用电信、联通双线接入,每条外网带宽 100M。

电信 121.165.68.11/24 联通1211658811/24客户原有为三层环境,
有线网络为:
办公区:192.168.12.0/24,公共上网区 192.168.13.0/24,T 部门 192.168.14.0/24
IT 部门有台 WEB 服务器,地址为: 192.168.14.253/24客户原有无线网络,网关在上网行为管理上,网关地址为 172.16.1.254/23。
注:无线交换机是二层交换机,不具备 DHCP 功能。

客户上班时间为: 8.30-12.00 1.30-5.30

实验要求:

一、客户要求办公区用户不能修改 IP 地址上网;

公共上网区则需要输入账号和密码才能上网,确保网络行为能跟踪到,并自动打开公司 www.guanwang.com 官方网站,以确保公司宣传;

IT 部电脑IP 不固定,认证不受限制;

无线办公以 MAC 地址作为用户名(三层MAC绑定)。

[Quidway]snmp-agent community read public

[Quidway]snmp-agent sys-info version all

二、公司全部都用微信聊天办公,但客户发现有员工偷偷使用 QQ 上班聊天,客户希望除了领导 QQ 号“12345678 和”和“自己QQ”以外,其他员工不能使用 QQ 聊天。

三:客户发现有些员工在上班时间玩游戏,导致公司业绩下滑,经领导开会研究决定,禁止员工在上班时间玩手游和端游。

四:客户发现有员工私自下载镜像重装系统,客户希望所有员工打不开“https://msdn.itellyou.cn/”网站下载系统。

五:因公司己有无线办公环境,但是某些员工还是私接路由器绕过公司监管,客户希望不能在出现这种现象。


六: 客户希望了解目前有多少移动终端使用公司网络,给以后决策处理提供依据,但是目前阶段却不想限制此行为。


七:因无线网络属于办公网络,客户希望通过无线办公的工作人员也能访问到 WEB 服务器的 80 端口,但是不能和有线员工互访。


八: 客户不想限制应用,但是 P2P、流媒体流量已经影响了正常的办公情况。客户希望优先保障 OA、IM、邮件、DNS、访间网站、视频会议的业务流量为 70%,限制 P2P、流媒体流量为 30%,在保障通道空闲时允许突破。


九: 客户希望有线办公走电信线路,无线办公走联通线路。并某运营商网络中断自动切换。

十: 客户 web 服务器,由于没注册域名,公网 DNS 无法解析。但是有大量用户不知道如何配置 DNS,导致很多用户无法访问内网服务器。所以客户希望在不修改用户 DNS 的情况下,让用户能够正常访问“www.guanwang.com”打开内网的 web 服务器。

十一: 客户希望当网络出现问题时,在家也能远程处理排查网络问题。客户需要能够通过公网地址访问到交换机和上网行为管理设备(telnet)。

[Quidway]telnet server enable

[R-A-A]aaa //进入aaa模式
[R-A-A-aaa]local-user huawei password cipher huawei123 //创建远程登录用户名和密码
[R-A-A-aaa]local-user huawei service-type telnet //设置远程登录用户服务类型
[R-A-A-aaa]local-user huawei privilege level 3 //设置远程登录用户权限

[R-A-A]user-interface vty 0 4
//设置远程登录用户数量 0 4 表示允许5个远程等于用户登录到此设备
[R-A-A-ui-vty0-4]authentication-mode aaa
//以aaa(用户名+密码)作为远程登录用户的身份验证方式

十二:.客户希望能审计到办公区员工的M 聊天记录和文件发送内容(审计IM聊天内容必须安装准入插件)。

2.客户希望保证终端网络安全问题,办公区、公共上网区、IT 部门必须运行杀毒软件,
否则禁止上网(二选一)


十三:客户禁止在百度搜索领导人“张三”的信息

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

慕容天成

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值