當前,由于一些單位網(wǎng)絡規(guī)模越來越大,同時處于網(wǎng)絡安全的考慮,通常會采用三層交換機劃分多個網(wǎng)段,并且設置網(wǎng)段之間禁止通訊,以此來更好地保護信息安全,防止商業(yè)機密泄露以及電腦遭遇病毒侵襲的風險。但在加強網(wǎng)絡安全的同時,也對網(wǎng)絡管理提出了新的挑戰(zhàn),如何管理多網(wǎng)段電腦上網(wǎng)行為、跨網(wǎng)段監(jiān)控電腦上網(wǎng)就成為當前企事業(yè)單位網(wǎng)絡管理的一個重要課題。
比較常見的跨網(wǎng)段管理問題通常有如下幾種:跨網(wǎng)段限制電腦網(wǎng)速、跨網(wǎng)段控制電腦上網(wǎng)行為(比如禁止迅雷下載、禁止在線玩游戲、限制在線看視頻、禁止上班炒股、禁止工作時間網(wǎng)購等),跨網(wǎng)段綁定電腦IP和MAC地址,防止電腦修改IP地址等行為。
那么,如何實現(xiàn)上述跨網(wǎng)段監(jiān)控電腦上網(wǎng)、管理三層交換機多網(wǎng)段電腦上網(wǎng)行為呢?筆者以為,可以通過以下兩種方法來實現(xiàn):
方法一、通過三層交換機自帶的網(wǎng)管功能來實現(xiàn)控制多網(wǎng)段電腦網(wǎng)速、跨網(wǎng)段限制電腦上網(wǎng)行為以及跨網(wǎng)段實現(xiàn)交換機端口限速、跨網(wǎng)段實現(xiàn)三層交換機固定IP上網(wǎng)。
兩種設置IP地址的命令:一種直接在物理端口上設置IP地址,設置過程比較簡單。例如在作者單位新購三層交換機上配置端口1/0/1為路由端口,IP地址為172.16.1.0,OSPF采用點到點類型,配置過程如下:
#interface Ethernet 1/1
#port link-mode route
#ip address 172.16.1.0 255.255.255.0
#ospf networt-type p2p
第二種IP地址配置方式是通過邏輯VLAN設置IP地址,需先給VLAN設置IP地址,然后將物理端口配置在VLAN下。為了保證IP地址和物理端口一一對應的關系。例如在和上面一樣的三層交換機上要配置端口1/0/1為路由端口,并配置端口的VLAN ID為101,VLAN 101 IP地址為172.16.1.1,OSPF采用點到點類型,配置過程如下:
#interface Vlan-interface 101
#ip address 172.16.1.0 255.255.255.0
#ospf network-type p2p
#interface Ethernet 1/0/1
#port link-mode route
#port access Vlan 101
由此可見,以上兩種方法都能為交換機端口設置IP地址,從操作步驟上看,第一種方法比較簡單,第二種方法需要先將端口和VLAN對應起來再設置IP地址。而且第2種方法在配置IP地址時還需同時使用對應的VLAN,過多使用VLAN號后可能會給日后的運行維護帶來了不便。
同時,也可以借助交換機的端口限速功能來為各個網(wǎng)段的電腦進行網(wǎng)速控制、電腦流量限制,而且還可以對上行流量和下行流量分別進行限制,操作也比較簡單,如下圖所示:
圖:交換機端口限速設置
方法二、借助于專門的局域網(wǎng)網(wǎng)速控制軟件、多網(wǎng)段電腦上網(wǎng)監(jiān)控來實現(xiàn)三層交換機固定IP地址上網(wǎng)、三層交換機端口配置IP地址。
通過部署專門的局域網(wǎng)電腦監(jiān)控軟件、網(wǎng)絡行為控制軟件來跨網(wǎng)段設置電腦IP地址、綁定電腦IP和MAC地址是當前企事業(yè)單位的通常做法。目前國內(nèi)主流的上網(wǎng)行為監(jiān)控軟件大都支持跨網(wǎng)段監(jiān)控電腦上網(wǎng)行為、跨網(wǎng)段綁定IP和MAC地址。例如有一款“聚生網(wǎng)管”(下載地址:http://www.grablan.com/soft.html),通過集成的“創(chuàng)新直連”技術,可以在三層交換機的某個網(wǎng)段部署,就可以獲取三層交換機上所存儲的所有電腦的IP和MAC地址,并可以跨網(wǎng)段進行綁定,一旦發(fā)現(xiàn)電腦更改IP地址或MAC地址的行為,將會自動阻斷電腦上網(wǎng),從而實現(xiàn)了強制電腦設置固定IP地址上網(wǎng),防止隨意更改IP地址、導致IP沖突的行為了。如下圖所示:
圖:通過接入三層交換機一個網(wǎng)段就可以控制所有網(wǎng)段電腦上網(wǎng)行為
通過聚生網(wǎng)管系統(tǒng)的IP和MAC地址綁定功能,可以實時檢測各個網(wǎng)段電腦的IP地址和MAC地址變動情況,一旦發(fā)現(xiàn)IP地址或MAC地址變更,則實時阻斷電腦上網(wǎng),并可以給出提醒。如下圖所示:
圖:進行IP和MAC地址綁定、防止修改IP地址的行為
此外,還可以借助聚生網(wǎng)管為各個網(wǎng)段電腦進行限速,如下圖所示:
圖:限制電腦網(wǎng)速
同時,還可以限制電腦P2P下載、禁止在線看視頻、屏蔽P2P網(wǎng)絡電視等,如下圖所示:
圖:禁止P2P下載、禁止網(wǎng)絡電視、禁止打開視頻網(wǎng)站
總之,無論是借助于三層交換機自身的網(wǎng)管限速管理功能,還是通過專門的企業(yè)網(wǎng)絡管理軟件都可以實現(xiàn)跨網(wǎng)段綁定IP和MAC地址、進行交換機端口限速、實現(xiàn)交換機MAC地址綁定等功能,具體采用哪種方法,企事業(yè)單位可以根據(jù)自己的需要進行選擇。
