一天忽然接到一个朋友的电话，问我是否有空，请我帮个小忙，跟随朋友到聚点后，了解到朋友的需求如下：公司网络可以任意访问外网，内部因下载猖獗，导致网络经常无法正常使用，而且因某次论坛泄密事故导致公司老板非常恼火，因此要对公司内部网络做一次大的调整，

　　具体需求如下，封杀bt，电驴等下载软件，禁止浏览任何外网，允许使用邮件， 允许访问特定网站，允许使用qq、msn、skype等聊天软件，允许一些特权的计算机任意访问外网，呵呵，不用说大家也知道，特权肯定是老板么，老板总是有特权（废话少说，继续）。公网使用一个ip地址做pat转换，局域网内使用私有ip地址，使用dhcp服务为每个计算机分配ip地址，且根据每个计算机的mac地址分配固定的ip地址，对于特权ip地址，采用mac地址与ip地址进行绑定防治他人冒充使用，对于剩下的ip地址，全部绑定到一个不能让人猜到的mac地址，看来这下老板真的急了。另外，为了方便日后管理，需要在路由器上启用pptp服务，允许远程用户登陆。

　　对于以上要求，我们选用了cisco公司的2811路由器，采取的配置如下：

　　一、dhcp服务

　　1．全局地址池

　　地址池名称：global

　　地址段：192.168.0.0 255.255.255.0

　　默认网关：192.168.0.1

　　dns：202.106.0.20，202.106.116.1

　　地址租期：3天

　　ip dhcp pool global

　　network 192.168.0.0 255.255.255.0

　　default-router 192.168.0.1

　　dns-server 202.106.0.20 202.106.116.1

　　lease 3

　　2．固定地址池

　　为每个员工建立一个dhcp 地址池，并根据员工姓名对地址池进行命名，根据mac地址进行ip地址分配，如：

　　ip dhcp pool staffnamea

　　host 192.168.0.11 255.255.255.0

　　client-identifier 0108.0046.0ef8.ae

　　ip dhcp pool staffnameb

　　host 192.168.0.12 255.255.255.0

　　client-identifier 0100.115b.518c.a2

　　注意，在mac地址前面多了个01，然后每4位用一个点分隔。

　　3．未分配的ip地址

　　地址段：192.168.0.60 到192.168.0.254

　　ip dhcp excluded-address 192.168.0.60 192.168.0.254

　　欲知详情，请登录维库电子市场网（www.dzsc.com）