教您中小企業安全路由器用戶管理攻略

2019-11-05 00:18:54

字體：大中小

來源：轉載

供稿：網友

對于中小企業的網絡治理，用戶的治理是一個很常見的問題。例如：有限的ip如何分配？如何管制不同員工上網權限？如何阻擋訪客使用企業網絡？如何分派較多帶寬給高管或是老總？這些問題，都在在影響企業網絡的安全性，因此網管要作到網絡的安全，就必須從基本把用戶治理的工作作好。這些問題都可經由路由器的用戶治理功能來達成。以下Qno俠諾科技就中小企業常碰到的用戶治理問題，作全面性的介紹。

內部局域網上網用戶的治理，可分為企業局域網內地址合理分配、內部新增上網用戶管制、及內部上網用戶有效管制三個方面。假如沒有一套合理有效的治理機制，會在后面的網絡治理及安全方面帶來很多負面影響及經濟損失。

總括來說，常見的用戶治理問題及對應路由器功能如下：用戶治理常見問題對應產品功能地址合理分配如何分配IP地址給用戶？

公網IP及虛擬IP如何共存？動態/靜態IP地址分配、One-to-one NAT新增用戶管制如何阻擋非公司計算機上網？ IP/MAC綁定功能

上網用戶管制如何治理不同用戶？

如何保留帶寬給重要人員？ IP群組治理、

QoS帶寬治理

以上這些內部網絡的治理都可以通過Qno俠諾路由器的相關功能來實現，達到網絡安全的目的。Qno俠諾路由器提供動態IP地址分配和靜態IP地址分配的功能，滿足內部上網用戶IP地址的分配的不同需要。路由器還提供了IP組治理功能，解決不同部門需要不同上網權限的群組設置，方便統一治理。配合IP/MAC綁定功能避免內部網絡濫用IP地址造成網絡治理的困難，同時可以通過QoS的設定給內網用戶上網一定的帶寬治理，保證企業領導希望聯網速度能夠保持暢通不塞車，確保公司重要業務信息不致延遲、重要應用服務聯機順暢等要求。

IP地址分配

企業首先考慮的就是IP地址的分配治理，動態IP地址分配使用DHCP服務器，優點是客戶端不需進行配置，只需配置服務器，配置簡單。靜態IP則必須在客戶端進行IP配置，相對較嚴謹，管制較完全。

Qno俠諾路由器提供動態IP地址分配和靜態IP地址分配的功能，滿足內部上網用戶IP地址的分配的不同需要。Qno路由器提供動態IP地址分配機智（DHCP功能），支持C類IP地址，可設置其IP地址分配的范圍以及地址租約時間。進入“DHCP功能”的“DHCP配置”。

DHCP配置顯示發放范圍

通過“DHCP服務器狀態顯示”了解到內部網絡IP地址分配情況，我們可以了解到DHCP服務器的相關情況以及內部網絡用戶的“主機名稱”、“IP地址”、網卡“MAC地址”，“目前租約時間”。

教您中小企業安全路由器用戶治理攻略（圖二）圖：DHCP服務器狀態顯示

靜態的IP分配，只要不激活DHCP功能即可。但是客戶端配置的IP地址和路由器配置的范圍必須相符。也可將DHCP功能與靜態IP配合使用，即在整個路由器配置的IP范圍中，部份使用DHCP發放，部份使用靜態IP。例如：廠內使用的計算機不常移動，可使用靜態IP；業務人員計算機時常移動，則采用動態IP。

適當的IP地址分配，是后續安全治理的基礎，適當地在安全性及便利性間取得平衡，這是必須達成的。

One-to-one NAT

有些企業具備幾個公網IP，用來作非凡的用途，例如總部服務器只能和固定公網IP聯系，以加強安全性。在這種情況，經常發生公網IP不夠辦公室所有的計算機使用，這時就可以進行一對一NAT的配置，把幾個公網IP對應到內部計算機，這時就可以達到公網IP與虛擬IP共同在局域網共存的目的了。

教您中小企業安全路由器用戶治理攻略（圖三）圖：一對一NAT功能

適當地利用這個功能，分隔不同的IP，可避免內部網絡的數據外流。

IP/MAC綁定功能

DHCP服務器自動分配內部網絡用戶的IP地址，用戶可以不用手動設置IP地址。但是DHCP是不輕易治理，內部網絡隨意加入一個用戶通過自動獲得IP地址都能在DHCP范圍里獲得一個合法的IP地址。有些攻擊者，會通過無線網絡進入企業局域網。或是在靜態的IP分配情況下，有些員工會自行修改成高管或領導的IP地址，以逃避管制。這些都是可以通過Qno俠諾路由器產品提供的IP/MAC綁定功能來反應，并達到安全治理的功能。

企業網管進行IP/MAC綁定，必須把企業內網計算機的MAC地址都鍵入到路由器，并與IP地址建立對照表。假如路由器發現來向DHCP服務器索取IP的計算機的MAC不在表列中，那么就不會予以響應。因此網管可把企業內的計算機MAC都進行綁定，那么外部的計算機就無法進入企業網絡，也可避免內部員工自行修改IP以逃避管制的措施。

IP綁定的功能很簡單，Qno俠諾路由器“DHCP功能”的“DHCP配置”頁面的“IP 與 MAC 綁定”，點擊“顯示新加入的IP地址”將內部網絡的IP地址/MAC對應加入到IP 與 MAC 綁定列表中，同時也可以通過手動的模式加入。

教您中小企業安全路由器用戶治理攻略（圖四）圖四：IP-與-MAC-綁定畫面

IP/MAC綁定功能為我們解決了其內網用戶逃避治理以及治理可能加入的新上網用戶等問題，也是安全治理一個必要的手段。

IP群組治理

企業網管大多希望給不同部門的人不同的權限，例如業務單位的需要較多對外聯絡，相對的制造單位或事業單位對外聯絡的需要較少。但是針對內部上網用戶IP地址上網權限配置，工作量很大，輸入過程中也輕易出現錯誤，甚至有時出現遺漏的事情，這種情況下Qno俠諾路由器的IP群組治理功能，可將多個用戶，例如一個部門所有IP地址，組成一個群組解決這個問題。

比如一個企業的A部門分得的IP地址是192.168.1.100~192.168.1.110，B部門分到的IP地址是192.168.1.111~192.168.1.120，我們可以將這些連續的IP地址群組到一起，方便做統一的設置。減少網管人員的工作量，同時也避免繁多的IP地址輸入輕易出錯。同時內部網絡需要同時大量的IP地址需要做同樣治理的時候就將這些連續的IP群組到一個組做相同設置。

Qno俠諾路由器內“DHCP功能”的“DHCP配置”頁面的“IP GPOUP”，如圖五對應輸入相關信息確定后就可完成IP群組的設置。

教您中小企業安全路由器用戶治理攻略（圖五）圖五：IP-與-MAC-綁定畫面 QoS帶寬治理功能

有些企業希望針對特定用戶進行配置，例如內部網絡非凡用戶（比如經理，董事長等）給予大的帶寬、內部網絡用戶選擇特定WAN訪問外部網絡、特定線路留給特定的用戶、等等的。通過QoS帶寬治理功能能達到以上的功能。

Qno俠諾路由器可以答應選擇設置內部網絡的某一單個IP地址、一連串IP地址，或者某一IP群組，通過有效的治理上傳與下載的速度來達到對帶寬的治理功能，保證內網上網用戶能夠合理利用帶寬，同時還可以確保非凡用戶上網不受限制，保證大的帶寬享用。例如，可以為重要的高管設定較大的最小帶寬，或是保留特定的廣域網口給特定IP群組，

教您中小企業安全路由器用戶治理攻略（圖六）圖六：帶寬治理功能設置頁面

小結

以上針對中小企業內部局域網用戶的治理，通過Qno俠諾安全路由器的策略治理功能，針對常碰到的一些問題，作了初步的介紹。相信對于企業網管在進行日常治理，有相當的幫助。用戶治理是網絡安全的最基本的工作，網管如能在一開始就把這方面的工作作到位，相信可以減少后續很多的問題。