一天忽然接到一个朋友的电话，问我是否有空，请我帮个小忙，跟随朋友到聚点后，了解到朋友的需求如下：公司网络可以任意访问外网，内部因猖獗，导致网络经常无法正常使用，而且因某次论坛泄密事故导致公司老板非常恼火，因此要对公司内部网络做大的调整，

　　具体需求如下，封杀BT，电驴等软件，禁止浏览任何外网，允许使用邮件， 允许访问特定网站，允许使用QQ、MSN、SKYPE等聊天软件，允许一些特权的计算机任意访问外网，呵呵，不用说大家也知道，特权肯定是老板么，老板总是有特权（废话少说，继续）。公网使用一个IP地址做PAT转换，局域网内使用私有IP地址，使用DHCP服务为每个计算机分配IP地址，且根据每个计算机的MAC地址分配固定的IP地址，对于特权IP地址，采用MAC地址与IP地址进行绑定防治他人冒充使用，对于剩下的IP地址，全部绑定到一个不能让人猜到的MAC地址，看来这下老板真的急了。另外，为了方便日后管理，需要在路由器上启用PPTP服务，允许远程用户登陆。

　　对于以上要求，我们选用了CISCO公司的2811路由器，采取的配置如下：

　　一、DHCP服务

　　1．全局地址池

　　地址池名称：global

　　地址段：192.168.0.0 255.255.255.0

　　默认网关：192.168.0.1

　　DNS：202.106.0.20，202.106.116.1

　　地址租期：3天

　　ip dhcp pool global

　　network 192.168.0.0 255.255.255.0

　　default-router 192.168.0.1

　　dns-server 202.106.0.20 202.106.116.1

　　lease 3

　　2．固定地址池

　　为每个员工建立一个DHCP 地址池，并根据员工姓名对地址池进行命名，根据MAC地址进行IP地址分配，如：

　　ip dhcp pool staffnameA

　　host 192.168.0.11 255.255.255.0

　　client-identifier 0108.0046.0ef8.ae

　　ip dhcp pool staffnameB

　　host 192.168.0.12 255.255.255.0

　　client-identifier 0100.115b.518c.a2

　　注意，在MAC地址前面多了个01，然后每4位用一个点分隔。

　　3．未分配的IP地址

　　地址段：192.168.0.60 到192.168.0.254

　　ip dhcp excluded-address 192.168.0.60 192.168.0.254