【問題】請教一個關於CISCO 1841和NETSCREEN 25的問題....
 

我太太她們公司最近要導入兩岸三地的VPN....
目前各端點用的網路設備是CISCO 1841這部ROUTER....
而各端點不開放上INTERNET....
所以出口統一由台灣這裡出去....
台灣這裡目前是用NETSCREEN 25這台機器在管理....
但因為對岸並不是每台電腦都允許上網....
所以想請問一下這方面的專家大大們....
有沒有辦法直接在CISCO 1841上面直接設定IP <=> MAC ADDRESS的對映, 並且設定FILTER的條件只讓某些IP或MAC ADDRESS能通過ROUTER到台灣並上INTERNET....
如果不行....那有沒有可能在NETSCREEN上動手腳....
讓那些不允許上網的電腦出不去INTERNET呢??
如果還是不行....
那有沒有什麼比較簡單能達成這個需求的方法呢??
麻煩各位大大了....

不太了解您的整體規劃
不過如果是篩選IP控管進出 Cisco的router可以用ACL的指令來達成

仔細看了您敘述的問題

不好意思 我沒有惡意 但是您對於網路這方面好像不太熟析

您確定要自己來設定這些嗎? 請個網管工程師來處理風險可能會比較小

提供給您做參考

請問他們公司沒請網管嗎?
建議你不懂的東西不要亂給意見
因為如果出了資安的問題
是要扛非常大的責任
嚴重點的，工作丟了都有可能

其實他們那台CISCO 1841是由ISP(SEEDNET)提供的....
而他們公司並沒有所謂專職的網管人員....
我是建議她去找SEEDNET請求協助....
而我之所以幫她上來問這個問題....
主要是想知道就她們現有的硬體....
能不能做到她們的要求....
如果可以....
我還是會回歸到請廠商協助設定的訴求....
而不是我去幫她們做這些動作....

因為她們公司有一個工程師講的滿嘴好技術....
但是實作時什麼都說不行....
什麼都說做不到....

而她們的需求是....
能在CISCO 1841上直接針對網卡的MAC ADDRESS設定哪些網卡不能夠(或是能夠)通過它連到台灣或其他區域的網段....
而如果真的在CISCO 1841這台機器上沒辦法做到....
因為目前各區域的網路統一都是連到台灣那台NETSCREEN的機器上....
再由NETSCREEN那台設定路由....
所以才會有後來那個"如果CISCO 1841做不到時, 是不是能由NETSCREEN來解決她們的問題"這樣的疑問....
其實一直以來我走的都是比較偏軟體整合應用系統開發方面的....
我根本沒碰過CISCO的ROUTER和NETSCREEN的設備....
所以我也絕不可能會不自量力的想去幫她們處理這個問題....
請各位大大放心....

CISCO透過MAC的部分
我記得是不可以
因為都是用IP或是用埠號及協定來決定一切的
事實上就連CISCO PIX也找不到MAC的部分><
不過透過NETSCREEN我記得是可以的

用IP以及VLAN來解決吧

請問那是不是可以在CISCO那台機器上先把IP和網卡的MAC ADDRESS綁在一起....
也就是說....
針對可以上網的網卡....
直接在CISCO那台機器上指定對映的IP(因為怕有些USER自己會去改CLIENT端的IP)....
然後再去設定哪些IP可以無條件進到台灣的網段....
哪些IP(或剩下的IP)只有指定的PORT(例如TCP 25. 110)可以進到台灣的網段....

我都說了不具有MAC綁定的功能了
事實上 你用VLAN即可
某個地方(埠)近來的
就一定會是某個VLAN
那麼是不是就一定會是某個網段呢
了呼?

switch呢? 也是Cisco嗎?

如果是
1.先在switch上用port security的功能綁定特定的Mac Address在特定port
2.切割VLAN 將不限制和部份限制的主機放在不同VLAN

3.在router上用ACL的功能 設定不限制的網段規則和部份限制的網段規則
規則可以篩選 協定 來源ip 目的地ip 目的地port

這樣應該能達到您所需要的效果了

嗯....我了解各位大大的意思了....
謝謝各位熱心的指導....
我會將相關的辦法轉達給我太太....
請她再去想想網段要怎麼去切....
然後再去跟seednet工程師討論要怎麼進行....
再次謝謝各位大大的熱心....