华为S5700交换机,配置DHCP
公司人员所有(有线、无线)MAC地址都静态绑定;有客人来访时DHCP自动分配(有线、无线)要求是客人只能上网,不能访问公司内网的服务器、打印机等。 静态绑定和DHCP自动分配想要不同网段IP
那你建一个新的vlan,vlan接口设置单独的网段IP作为网关,在vlan接口上设置IP访问列表不能内网其他网段的IP。当然也要设置好这个网段的dhcp。将客人可用的网口及专供客人用的无线设备接的口都放到这个vlan里就可以。追问
还有一点,同一根网线连接绑定MAC和未绑定的,都可以上网,未绑定的MAC不能访问内网,绑定MAC地址的可以访问内网
追答你不将网段分开是无法在网关上实现控制的,因为如果客人的IP与员工的IP网段相同,网段内互访的流量就不用经过网关。
温馨提示:内容为网友见解,仅供参考
第1个回答 2014-01-22
同意楼上的,新建一个VLAN来做DHCP(假设为vlan20,ip地址为10.1.20.0/24),分配给来访人员!
然后用ACL来控制这个网段的IP不能访问公司内网的服务器和打印机。
dhcp enable
vlan 20
quit
interface vlanif 20
descripton to_LaiFang_RenYuan
ip address 10.1.20.1 255.255.255.0
dhcp select interface
dhcp server dns-list 1.1.1.1 2.2.2.2//假设1.1.1.1 2.2.2.2为DNS服务器地址
quit
acl number 3000
rule 5 deny ip source 10.1.20.0 0.0.0.255 destination 10.1.100.100 0//假设服务器地址为10.1.100.100本回答被提问者和网友采纳
然后用ACL来控制这个网段的IP不能访问公司内网的服务器和打印机。
dhcp enable
vlan 20
quit
interface vlanif 20
descripton to_LaiFang_RenYuan
ip address 10.1.20.1 255.255.255.0
dhcp select interface
dhcp server dns-list 1.1.1.1 2.2.2.2//假设1.1.1.1 2.2.2.2为DNS服务器地址
quit
acl number 3000
rule 5 deny ip source 10.1.20.0 0.0.0.255 destination 10.1.100.100 0//假设服务器地址为10.1.100.100本回答被提问者和网友采纳
第2个回答 2014-01-22
你好!
你可以配置VLAN 来限制。
例如公司内网使用VLAN 10,外来的人员使用VLAN 20,VLAN 20配置DHCP,并且禁止VLAN20访问VLAN 10。追问
你可以配置VLAN 来限制。
例如公司内网使用VLAN 10,外来的人员使用VLAN 20,VLAN 20配置DHCP,并且禁止VLAN20访问VLAN 10。追问
还有一点,同一根网线连接绑定MAC和未绑定的,都可以上网,未绑定的MAC不能访问内网,绑定MAC地址的可以访问内网
相似回答
