AC上网行为管理案例

一、部署模式：

二、交换机配置：

[Quidway]vlan batch 10 20 30 40 100 200

#
interface Vlanif10
 ip address 192.168.12.254 255.255.255.0
#
interface Vlanif20
#
interface Vlanif30
 ip address 192.168.13.254 255.255.255.0  
#
interface Vlanif40
 ip address 192.168.11.254 255.255.255.0

#

interface Ethernet0/0/2
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/3
#
interface Ethernet0/0/4
 port link-type access
 port default vlan 20
#
interface Ethernet0/0/5
#
interface Ethernet0/0/6
 port link-type access
 port default vlan 30
#
interface Ethernet0/0/7
#                                         
interface Ethernet0/0/8
 port link-type access
 port default vlan 40

#
interface Ethernet0/0/18
 port link-type trunk                     
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100 200
#
interface Ethernet0/0/19
#
interface Ethernet0/0/20
#
interface Ethernet0/0/21
#
interface Ethernet0/0/22
 port link-type access
 port default vlan 100
#
interface Ethernet0/0/23
#
interface Ethernet0/0/24
 port link-type access
 port default vlan 200
#

 ip route-static 0.0.0.0 0.0.0.0 192.168.11.1

三、客户现状:

客户原有路由器在公司出口，现因设备老化，想更换出口路由器经跟客户沟通，客户采购上网行为管理一台。客户原有网络采用电信、联通双线接入，每条外网带宽 100M。

电信 121.165.68.11/24 联通1211658811/24客户原有为三层环境，

有线网络为:
办公区:192.168.12.0/24，公共上网区 192.168.13.0/24，T 部门 192.168.14.0/24

IT 部门有台 WEB 服务器，地址为: 192.168.14.253/24客户原有无线网络，网关在上网行为管理上，网关地址为 172.16.1.254/23。

注:无线交换机是二层交换机，不具备 DHCP 功能。

客户上班时间为: 8.30-12.00 1.30-5.30

实验要求:

一、客户要求办公区用户不能修改 IP 地址上网；

公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到，并自动打开公司 www.guanwang.com 官方网站，以确保公司宣传;

IT 部电脑IP 不固定，认证不受限制；

无线办公以 MAC 地址作为用户名(三层MAC绑定)。

[Quidway]snmp-agent community read public

[Quidway]snmp-agent sys-info version all

二、公司全部都用微信聊天办公，但客户发现有员工偷偷使用 QQ 上班聊天，客户希望除了领导 QQ 号“12345678 和”和“自己QQ”以外，其他员工不能使用 QQ 聊天。

三:客户发现有些员工在上班时间玩游戏，导致公司业绩下滑，经领导开会研究决定，禁止员工在上班时间玩手游和端游。

四:客户发现有员工私自下载镜像重装系统，客户希望所有员工打不开“https://msdn.itellyou.cn/”网站下载系统。

五:因公司己有无线办公环境，但是某些员工还是私接路由器绕过公司监管，客户希望不能在出现这种现象。

六: 客户希望了解目前有多少移动终端使用公司网络，给以后决策处理提供依据，但是目前阶段却不想限制此行为。

七:因无线网络属于办公网络，客户希望通过无线办公的工作人员也能访问到 WEB 服务器的 80 端口，但是不能和有线员工互访。

八: 客户不想限制应用，但是 P2P、流媒体流量已经影响了正常的办公情况。客户希望优先保障 OA、IM、邮件、DNS、访间网站、视频会议的业务流量为 70%，限制 P2P、流媒体流量为 30%，在保障通道空闲时允许突破。

九: 客户希望有线办公走电信线路，无线办公走联通线路。并某运营商网络中断自动切换。

十: 客户 web 服务器，由于没注册域名，公网 DNS 无法解析。但是有大量用户不知道如何配置 DNS，导致很多用户无法访问内网服务器。所以客户希望在不修改用户 DNS 的情况下，让用户能够正常访问“www.guanwang.com”打开内网的 web 服务器。

十一: 客户希望当网络出现问题时，在家也能远程处理排查网络问题。客户需要能够通过公网地址访问到交换机和上网行为管理设备（telnet）。

[Quidway]telnet server enable

[R-A-A]aaa //进入aaa模式

[R-A-A-aaa]local-user huawei password cipher huawei123 //创建远程登录用户名和密码

[R-A-A-aaa]local-user huawei service-type telnet //设置远程登录用户服务类型

[R-A-A-aaa]local-user huawei privilege level 3 //设置远程登录用户权限

[R-A-A]user-interface vty 0 4

//设置远程登录用户数量 0 4 表示允许5个远程等于用户登录到此设备

[R-A-A-ui-vty0-4]authentication-mode aaa

//以aaa（用户名+密码）作为远程登录用户的身份验证方式

十二:.客户希望能审计到办公区员工的M 聊天记录和文件发送内容（审计IM聊天内容必须安装准入插件）。

2.客户希望保证终端网络安全问题，办公区、公共上网区、IT 部门必须运行杀毒软件,
否则禁止上网(二选一)

十三:客户禁止在百度搜索领导人“张三”的信息