iKuai爱快流控路由

标题: 爱快企业应用 [打印本页]

作者: hkwtc 时间: 2014-9-1 16:12
标题: 爱快企业应用
我想知道大家有没有在公司里用爱快的，我们公司现在用的ROS 接HC3 5500 三层交换机，现在想换成爱快，但是有一点问题想请教一下。我如何只允许指定的IP能上网默认的都不能上网。大家是怎么做的？

作者: 大飞 时间: 2014-9-1 16:16
公司的话一般是静态IP把。可以用ARP绑定，勾上非绑定mac不许上网，然后把要上网的IP做下绑定。
http://www.ikuai8.com/support_detail.php?id=0000000306

(, 下载次数: 18)

作者: 爱快小刘 时间: 2014-9-1 16:22
我们公司上网用的就是爱快。:lol

作者: snow2sun 时间: 2014-9-1 16:56
H3C里面做个qos filter然后再将能上网的做成permit acl，不能上的做成deny acl即可

作者: wulonghongye 时间: 2014-9-1 20:04
你说的那个功能...我这48元包邮的路由器也有~:lol

作者: 9622315 时间: 2014-9-1 20:13

大飞发表于 2014-9-1 16:16
公司的话一般是静态IP把。可以用ARP绑定，勾上非绑定mac不许上网，然后把要上网的IP做下绑定。
http://www. ...

我接触的很多100人以下的中小公司，基本都是DHCP动态IP，这个我想用VLAN做是不是更方便，上网的一个VLAN，不上网的一个VLAN。

作者: 大飞 时间: 2014-9-1 20:34

9622315 发表于 2014-9-1 20:13
我接触的很多100人以下的中小公司，基本都是DHCP动态IP，这个我想用VLAN做是不是更方便，上网的一个VLAN ...

你经验比我多:lol
如果是动态IP，用MAC黑白名单来控制也蛮方便，如果是让上网的设备多就用MAC黑名单，如果是不让上网的多就换成MAC白名单。楼主可以参考下。

作者: 9622315 时间: 2014-9-1 20:48

大飞发表于 2014-9-1 20:34
你经验比我多
如果是动态IP，用MAC黑白名单来控制也蛮方便，如果是让上网的设备多就用MAC黑名单，如 ...

这个方法到是可以，但就是每每更换电脑、采购新电脑、电脑更换网卡等，就要重新配置路由器，如果坐席相对固定的话，用VLAN一劳永逸。端口不够用，同一VLAN还可以加傻瓜交换机来解决，比配路由器方便，再说，人家都上三层交换了，咱也得充分利用现有硬件资源不是。

作者: wulonghongye 时间: 2014-9-1 20:57

9622315 发表于 2014-9-1 20:48
这个方法到是可以，但就是每每更换电脑、采购新电脑、电脑更换网卡等，就要重新配置路由器，如果坐席相对 ...

你公司如果网线做了规划多网段是最好的选择~...不然的话只能做这种虚拟网了....如果上网的多.就直接限制不可以上网的电脑MAC.再用域控制它.没有域.就用组策略注册表..让他百度找到的知识无法使用.....如果非上网的多..跟上面反过来.....我这里每台电脑都可以上网.但做了限制..每台最高0-20K.给了们查查资料...指定用户共享所有网络不限制..做了一些简单策略.ROS的...坐等爱快2.1

作者: hkwtc 时间: 2014-9-1 22:22

大飞发表于 2014-9-1 16:16
公司的话一般是静态IP把。可以用ARP绑定，勾上非绑定mac不许上网，然后把要上网的IP做下绑定。
http://www. ...

我爱快下接的三层交换机，貌似无法获得每个电脑的MAC地址

作者: hkwtc 时间: 2014-9-1 22:24

snow2sun 发表于 2014-9-1 16:56
H3C里面做个qos filter然后再将能上网的做成permit acl，不能上的做成deny acl即可

不想在三层做，想在爱快上做，以前用Ros的hotspot

作者: hkwtc 时间: 2014-9-2 08:29

大飞发表于 2014-9-1 20:34
你经验比我多
如果是动态IP，用MAC黑白名单来控制也蛮方便，如果是让上网的设备多就用MAC黑名单，如 ...

今天试了一下貌似爱快只能在LAN口上开启一个DHCP 而且还是跟LAN口是一网段的，现在稍微大点儿的公司都用三层交换机划了不同VLAN了，经过三层转发以后爱快那里能看到的客户端的MAC地址都是相同的啊

作者: 春哥仔 时间: 2014-9-2 08:53

wulonghongye 发表于 2014-9-1 20:57
你公司如果网线做了规划多网段是最好的选择~...不然的话只能做这种虚拟网了....如果上网的多.就直接限制 ...

域，跟组策略。需要做什么？

作者: wulonghongye 时间: 2014-9-2 14:43

春哥仔发表于 2014-9-2 08:53
域，跟组策略。需要做什么？

域用户...这个比较简单..只要不给加入administrators组就可以了..这样IP就改不了了....然后再指定MAC(或者IP)上网...或者指定MAC(IP)无法上网.

PS.虽然普通电脑也可以控制MAC或者IP来达到这个目的.但现在都什么年代了.每个人或多或少都有一些计算机基础.这类的破解教程网上一大堆,他用手机一搜就可以找到几个方按

如果没有加入域的用户.比较好的方法就是用注册表.或者是组策略来限制.不给他改MAC以及IP地址....前提是不安装360安全卫士等软件.不然一个一键修复就搞定了......同样也有一个比较方便的方法,同上.不加入administrators组.但因为不是域的关系可能维护起来较为麻烦.

作者: hkwtc 时间: 2014-9-2 16:50

hkwtc 发表于 2014-9-2 08:29
今天试了一下貌似爱快只能在LAN口上开启一个DHCP 而且还是跟LAN口是一网段的，现在稍微大点儿的公司都用 ...

我们以部门为单位划分VLAN 但同一VLAN 下有能上的有不能上的

作者: 春哥仔 时间: 2014-9-2 19:21

wulonghongye 发表于 2014-9-2 14:43
域用户...这个比较简单..只要不给加入administrators组就可以了..这样IP就改不了了....然后再指定MAC(或 ...

这个懂，2年前这样执行，后来觉得麻烦。就没搞admin组了。

作者: wulonghongye 时间: 2014-9-2 19:44

春哥仔发表于 2014-9-2 19:21
这个懂，2年前这样执行，后来觉得麻烦。就没搞admin组了。

我给分公司做的是.每一个接口.一个种网速.一种限制..
比如
GM lan1
cs lan2
pmc LAN3 主管经理级会另做分类
.......
拨号临时上网 lan8
禁止外网 lan9

分公司计算机这块管理非常严格....而我这个布线因为是新装修的.所以可以无所畏惧.想怎么搞怎么搞..

分公司用的是硬路由加ESX虚拟服务器..需要这么麻烦的最主要原因还是爱快本身对企业支持不行(比如通讯限制以及记录.如指定QQ旺旺号码登录.邮箱发送接收时备份记录.QQ聊天记录.等等之类企业需要的东西几乎空白),

上面的方法是最好的...你怎么改IP MAC都没事...

作者: hkwtc 时间: 2014-9-3 09:33

snow2sun 发表于 2014-9-1 16:56
H3C里面做个qos filter然后再将能上网的做成permit acl，不能上的做成deny acl即可

H3C 不直观，上网吗，想直接在路由上控制

作者: hkwtc 时间: 2014-9-3 09:36

wulonghongye 发表于 2014-9-2 19:44
我给分公司做的是.每一个接口.一个种网速.一种限制..
比如
GM lan1

我现在用ROS 都能实现，但是ros 流控这快儿不是太理想。爱快企业方面的应用支持有些少，其实企业应用弄好了，回头收点儿服务费啥的也没关系，哪个公司差这点儿钱啊。

作者: 春哥仔 时间: 2014-9-3 09:37

wulonghongye 发表于 2014-9-2 19:44
我给分公司做的是.每一个接口.一个种网速.一种限制..
比如
GM lan1

你这个分区域了，就不是同一个LAN了。现在我这边是三家公司同一个LAN的

作者: wulonghongye 时间: 2014-9-3 11:11

hkwtc 发表于 2014-9-3 09:36
我现在用ROS 都能实现，但是ros 流控这快儿不是太理想。爱快企业方面的应用支持有些少，其实企业应用弄好 ...

首先ROS L7是很强大的..但你得会用..其次爱快是不收费的.

作者: wulonghongye 时间: 2014-9-3 11:24

春哥仔发表于 2014-9-3 09:37
你这个分区域了，就不是同一个LAN了。现在我这边是三家公司同一个LAN的

还有一个方法...做静态地址分配.一个部门一个IP段.
比如192.168.2.90-192.168.2.100为采购
192.168.3.70-192.168.3.100为业务
静态分配自动绑定.
非绑定IP无法上网.
MAC禁止上网列表.
默认DHCP服务为192.168.1.100-192.168.200
再做一个PPPOE服务器提供给外来客户使用.
WIFI单独接线

以上做法是适合无法布线的.开始很麻烦,以后就爽了.集中管理很方便.
这样做完之后.每个部门都可以分开控制.部门的每个成员也都可以分开控制.
自动加入局域网的可以连内网(当然你也可以drop掉它的互访权限)但不能访广域网
内网非静态分配非WIFI连接的机器必需使用PPPOE连接才能上网.

作者: 斯文书生 时间: 2014-9-3 13:49

hkwtc 发表于 2014-9-2 08:29
今天试了一下貌似爱快只能在LAN口上开启一个DHCP 而且还是跟LAN口是一网段的，现在稍微大点儿的公司都用 ...

在三层交换机上做了VLAN和虚拟接口的时候，如果三层设备不支持DHCP SERVER，我解决问题的办法是用一台服务器（或者虚拟服务器），单独提供DHCP~~，如果三层设备支持DHCP SERVER，那大可以直接在三层设备上做！一般不支持DHCP SERVER的三层交换机，都会提供DHCP 转发功能！

作者: 斯文书生 时间: 2014-9-3 13:51
另外，实际上如果有三层设备，很不建议在爱快扩展LAN口，转发速度是个瓶颈！在三层设备上，内网之间转发就很好解决了！

作者: hkwtc 时间: 2014-9-3 14:15

斯文书生发表于 2014-9-3 13:49
在三层交换机上做了VLAN和虚拟接口的时候，如果三层设备不支持DHCP SERVER，我解决问题的办法是用一台服务 ...

我现在是试用爱快就在内网拿了一台服务器做DHCP 我的三层设备上支持DHCP 中继。

作者: 春哥仔 时间: 2014-9-3 17:32

wulonghongye 发表于 2014-9-3 11:24
还有一个方法...做静态地址分配.一个部门一个IP段.
比如192.168.2.90-192.168.2.100为采购
192.16 ...

这哥们够意思！那么认真写东西分享给大家。
我做法跟你差不多。

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)