如何设置限制用户上网

zhangbo

我先把环境跟大家说下,网络架构如附件中的图,现在对内网用户上网是通过是否设置备用DNS来限制上网的比如A用户可以上网就在备用DNS处写:61.177.7.1 B用户不能上网就不填写备用DNS(在DC上没有做外网的DNS转发).现在准备上一个威盾来控制内网安全，但威盾只买了150个客户端,只够大楼和工厂这边,现在台湾这边也准备用威盾这样客户端就不够了,只能先通过路由器,交换机,或者防火墙先来设置哪些人可以上网，哪些人不可以上网，然后在通过威盾来控制可以上网的用户，刚到新公司对路由，交换不熟悉，特在些请教各位了，谢谢！

tongtong2009

在这个世界上，有些人是可以用钱收买的，可是对有些人来说，没用，我就是这种人！不用钱还能用什么？用感情。有的时候，感情的力量会比钱更重要。在传奇外传私服的世界里，没有人能够把我的心给偷走，爱的路上只有我和你—传奇外传私服;并且我要呐喊，大吼：天下无贼！

jaffas1101

还是没有人解答吗？
我看下！

jaffas1101

我晕 貌似没有说清楚吧。。。

xiaojunjiayou

你对什么产品熟悉一点呢？看了你的网络图，建议你使用isa做上网权限的管理。

你说的这个使用给不给填写备份dns来管理上网的办法，恕我说一句，太弱智了。

feng0

兄弟，你的网络拓扑让人看不懂。
不过你控制上网的方法还是了解了。方法是太不可取了。
还是根据你的拓扑图来说办法吧。用你图上的那个防火墙来全锁端口。再针对个别用户所要用到的业务来开端口。再把这群特殊用户分在一个IP 段（这个可以根据MAC地址来做），然后在dhcp中添加这个IP段为排除段。。这样应该是可以解决你的问题。当然当你的特殊用户较多时，你会比较麻烦。不过这样安全。
当然你也可以通过软件来做。如上面提到的ISA。。或者上网行为控制的硬件，如深信服等。
通过你的cisco2811来控制不合理，也增加了他的工作量。

swver

第一次听说用DNS设置来限制上网的。。。。谁不会设置DNS呢？

既然都有防火墙，在防火墙上限制就行。

pater

1，通過Firewall,進行上網策略限制。。。按port的。
2，在AD上面進行DHCP綁定。

baby.liu

可以在防火墙上面做策略，如果是从ROUTER上面出去的话，可以在ROUTER上面做，总之都可以