如何实现对用户上网的控制(访问控制列表的添加)

yugd

最近由于业务需要,部分业务部门要求开通上Internet的端口,由于用户的数量比较多,所以我们想通过在交换机上设置访问控制列表来限制其浏览其他网页.

主要是部门甲要求上某协会(www.aaa.org.cn)查询器材购置价,不知是否可行.但是现在存在两个问题:

1 如果可行,则限制部门甲访问其他网站,同时也限制了25楼其他部门的Internet访问.(25楼的所有部门在同一个VLAN中)
2 如果能够作到相互不影响,如何设置,反之,是否可以在楼层交换机上实现?

注:我公司目前是通过总公司代理服务器上网的.

deeperpurple

部门甲有特殊需求，为什么不针对他们划分VLAN ？

yugd

天使,我的问题是在此情况下,技术上能否实现

当然,我可以将同一部门划分到同一个VLAN中去,但是现在我关心的问题是能否有方法对其进行控制.
(注意我公司上Internet都是通过总公司代理,所以无法针对IP地址进行拒绝访问)

目前是否有别的技术(硬件或软件上的或者其他)

请各位大侠给予帮助.

yugd

如果此方法行不通,是否可以从网络结构或其他方面进行考虑?

abel

或許跟你原意不合,如果想想 ..
封掉不必要的 Port , 再採 Proxy 來做 ..
為每個部門做反解區別
ex:
192.168.0.x 為 IP.staff_name.staff.dept0.xxx.cn.
192.168.1.x 為 IP.staff.dept1.xxx.cn.
其中每個 dept  主管不想受限的話,在反解名稱上做個變化
Ex:
Dept0 主管 IP 為 192.168.9.100 , 可定為 192.168.9.100..manager.dept0.xxx.cn

由 Proxy 的 ACL 來做 allow/deny 的 control
如此可以擺脫實體上的問題,主管換了位子或換了 ip,只要在 DNS 中
調整對應的名稱(PTR) 即可
Ex:
acl dept0-staff srcdomain staff.dept0.xxx.cn.
acl manager srcdom_regex -i manager.dept[0-9].xxx.cn
...

應該很簡單就可以做到你要的功能,用反解名稱來區分,除了達到您要的功能,也很方便您內部的管理,至於 USER 可能亂改 IP 問題,可能透過 Policy
來宣導或是鎖住 Router 上的 ARP/RARP 對照表,應亦可解決您的問題

問題是,您要了解 proxy 用法 .

供您參考看看