小型企业无线VPN解决方案

第一步：设置VPN防火墙路由器

企业用户按照网络拓扑结构图连接好各个设备后，还需要对设备的访问控制、VPN接入、限速和安全加密等功能进行设置，这样才能让整个企业无线办公网络运行起来。首先我们需要对VPN防火墙路由器进行设置，其中基础的互联网连接请参考4月上的《小型企业高速无线解决方案》，设置方法是类似的。

排除异己——MAC地址过滤

如何拒绝陌生的电脑接入企业网络？很简单，每张网卡访问网络时都必须提供MAC地址，使用MAC地址过滤功能，把企业全部办公电脑、服务器的MAC地址添加到允许访问的列表中，并禁止其它MAC地址的访问。这样就只有企业内部的设备可以访问网络，其它的电脑则被阻挡在外（图1~3）。

在浏览器中登录VPN防火墙路由器的Web管理界面后，点击“Security”、“Address Filter”，在“Do you want to enable Source MAC Address Filtering?”下方选择“Yes”开启MAC地址过滤功能，并在“Policy for MAC Addresses listed below:”右侧的下拉菜单中选择“Permit and Block the rest”。

点击Windows操作系统的开始菜单，选择“附件”、“命令提示符”，在DOS窗口中输入“
ipconfig/all”并回车，可以看到电脑的MAC地址。

接着在下方的“ MAC Address”地址栏中依次输入企业每台电脑的MAC地址（如“00-03-25-
5A-45-0B”）并点击右侧的“add”按键。后点击“Apply”，这样就只有MAC地址在该列表中的电脑才能访问企业网络。

避免IP地址冲突，防止ARP病毒——IP/MAC地址绑定

在企业网络中，由于各种原因造成IP地址冲突的情况时有发生；并且ARP病毒肆虐，伪装成
DNS服务器导致电脑无法正常访问互联网。企业用户可以使用IP/MAC地址绑定功能来解决这些让网管头痛的问题。将企业所有的网络设备进行IP/MAC地址绑定之后，IP地址和MAC地址会一一对应，就不会再发生IP地址冲突，或者ARP病毒窃取IP地址、假冒DNS服务器的情况了（图4~5）。

点击“Network Configuration”、“LAN Setting”、“LAN Groups”，点击“select all”选中所有已发现的PC设备，然后点“save binding”即可将IP地址和MAC地址绑定起来。如果需要自定义IP地址和MAC地址的对应关系，在该界面下方的“Add Known PCs and Devices:”中填写IP地址和MAC地址，点击“add”按键即可。

在“Security”、“Address Filter”、“IP/MAC Binding”中可以查看已经绑定的IP/MAC地址，同时也可以在此添加绑定列表。

禁止部分电脑访问互联网——访问控制列表

MAC地址过滤和IP/MAC地址绑定主要用来加强内网安全，而控制企业员工对互联网的访问则要使用访问控制列表（ACL）。例如禁止财务部门、R&D部门的电脑访问互联网，减少这些电脑中毒的危险，避免机密资料泄露（图6~7）。

选择“Secur ity”、“Firewall”、“LAN WAN Rules”，一般来说企业的办公电脑只有少数不允许访问互联网、只准访问内网，因此在“Default Outbound Policy”缺省出站规则中选择“Allow
Always”允许访问，然后在“Outbound Service”中点击“add”按键。

在“Service Name”中选择“Any”，“Filter”选择“Block Always”，在“LAN User”中输入禁止访问互联网的电脑的IP地址（如192.168.1.2），“WAN User”填写路由器WAN接口的IP地址（如1.1.1.1）即可。这样，所有在“LAN User”中输入了IP地址的企业办公电脑都不能访问互联网。

Tips：必须了解的交换机知识之三

线速转发：线速转发是衡量交换机转发能力的一个标准，达到该标准的交换机可以支持所有端口同时全速转发数据，实现“无阻塞”设计。为了达到该标准，交换机的总数据交换能力必须大于所有端口的带宽总和的2倍（全双工）。