网管遇到强权BOSS 该如何配置公司网络？

    一天忽然接到一个朋友的电话，问我是否有空，请我帮个小忙，跟随朋友到聚点后，了解到朋友的需求如下：公司网络可以任意访问外网，内部因下载猖獗，导致网络经常无法正常使用，而且因某次论坛泄密事故导致公司老板非常恼火，因此要对公司内部网络做一次大的调整，具体需求如下，封杀BT，电驴等下载软件，禁止浏览任何外网，允许使用邮件， 允许访问特定网站，允许使用QQ、MSN、SKYPE等聊天软件，允许一些特权的计算机任意访问外网，呵呵，不用说大家也知道，特权肯定是老板么，老板总是有特权（废话少说，继续）。公网使用一个IP地址做PAT转换，局域网内使用私有IP地址，使用DHCP服务为每个计算机分配IP地址，且根据每个计算机的MAC地址分配固定的IP地址，对于特权IP地址，采用MAC地址与IP地址进行绑定防治他人冒充使用，对于剩下的IP地址，全部绑定到一个不能让人猜到的MAC地址，看来这下老板真的急了。另外，为了方便日后管理，需要在路由器上启用PPTP服务，允许远程用户登陆。 网管u家u.bitsCN.com

　　对于以上要求，我们选用了CISCO公司的2811路由器，采取的配置如下： 中国网管联盟bitsCN.com

　　一、DHCP服务 网管论坛bbs_bitsCN_com

　　1．全局地址池 网管u家u.bitsCN.com

　　地址池名称：global 中国网管联盟bitsCN.com

　　地址段：192.168.0.0 255.255.255.0

中国网管论坛bbs.bitsCN.com

　　默认网关：192.168.0.1

网管网www_bitscn_com

　　DNS：202.106.0.20，202.106.116.1 网管网www.bitscn.com

　　地址租期：3天 网管网www_bitscn_com

　　ip dhcp pool global

中国网管联盟bitsCN.com

　　network 192.168.0.0 255.255.255.0 网管u家u.bitsCN.com

　　default-router 192.168.0.1 网管论坛bbs_bitsCN_com

　　dns-server 202.106.0.20 202.106.116.1

网管论坛bbs_bitsCN_com

　　lease 3

中国网管联盟bitsCN.com

　　2．固定地址池

　　为每个员工建立一个DHCP 地址池，并根据员工姓名对地址池进行命名，根据MAC地址进行IP地址分配，如： 网管bitscn_com

　　ip dhcp pool staffnameA

　　host 192.168.0.11 255.255.255.0 网管u家u.bitsCN.com

　　client-identifier 0108.0046.0ef8.ae

　　ip dhcp pool staffnameB 网管下载dl.bitscn.com

　　host 192.168.0.12 255.255.255.0

　　client-identifier 0100.115b.518c.a2 网管论坛bbs_bitsCN_com

　　注意，在MAC地址前面多了个01，然后每4位用一个点分隔。 网管u家u.bitscn@com

　　3．未分配的IP地址

　　地址段：192.168.0.60 到192.168.0.254 网管网www_bitscn_com

　　ip dhcp excluded-address 192.168.0.60 192.168.0.254

网管u家u.bitsCN.com