Xin các Bác chỉ giúp cho Ram , hiện tại mình đang dùng lease line bao gồm router , Pix firewall , mìng dùng access-list để permit hoặc deny 1 client cho đi ra , hoặc không cho ra Internet (mạng LAN dùng Ip tĩnh). Cụ thể là trong 255 client có thể chỉ có 1 số máy được đi Internet thôi. Câu hỏi của mình là nếu đổi qua dùng IP động thì việc quản lý cho đi Internet hoặc không cho đi làm bằng cách nào , có dùng access-list theo kiểu này được không hoặc có cách nào khác nhưng cũng phục vụ được mục đích (chỉ cho các client của Xếp lớn , xếp nhỏ đi thôi...chứ nhân viên không được đi chẳng hạn ). Mạng Lan của mình chỉ 20 client.???? Mong các bác chỉ giúp.

Hi RAM Bạn có thể dùng giải pháp là dùng DHCP và loai trừ ra một range IP cho IP tĩnh sau đó sẽ quy định hoặc là nhân viên sẽ dùng range IP động và các xếp lớn xếp nhỏ dùng IP tĩnh hoặc ngược lại , sau đó dung acces-list để cấu hình theo như mục đích đề ra

Vidu

ip dhcp excluded-address 203.162.10.1 203.162.10.14
!
ip dhcp pool test
network 203.162.10.0 255.255.255.224
default-router 203.162.10.1
dns-server 203.162.0.11
!

interface FastEthernet0/0
ip address 203.162.10.1 255.255.255.224

Hi

Abc có cách nào cung cấp IP = DHCP nhưng fix dựa vào Netbios name không ?

Gui Ram :
hiện nay hệ thống công ty mình cũng như công ty bạn . Nhưng hệ thống là do người khác làm . Công ty mình sử dụng PIX 506E , yêu cầu bây giờ là ngăn một số Client đi ra ngoài Internet . Mình thực sự chưa biết làm thế nào vời PIX để thực hiện điều đó . Rất mong Ram và các bạn giúp đỡ .
Chân thành cảm ơn.

Vấn đề là mình không có đủ Public IP cho user trong mạng của mình.Vì vậy không thể static NAT được

Như vậy thì làm cách nào để vừa có thể dùng DHCP vừa có thể kiểm soát được user ở mạng trong ?

Mình nghi là trong trường hợp này bạn dùng Cisco Secure ACS được đấy. Dùng RADIUS với downloadable ACLs có thể control access based on username\usergroup được đấy. Đọc thêm về ACS đi.
Khả năng khác là dùng cut-through proxy (implemented with AAA)

Thanks,
Bonzai408

hi Ram,
Mình có ý kiến như thế này, bạn tạo một khoảng ip cho các sếp, gán ip tĩnh
Các nhân viên thì bạn cấp ip động vào một khoảng khác.
Trên pix bạn hãy pat cho các sếp đi ra thôi.
Thân chào

Có thể dùng Authentication Proxy với Radius or Tacacs+, khi cần thiết ra ngoài sẽ authenticate user, nếu thành công thì Accesslist sẽ được mở. Xem trên Cisco.