當(dāng)前，由于一些單位網(wǎng)絡(luò)規(guī)模越來越大，同時處于網(wǎng)絡(luò)安全的考慮，通常會采用三層交換機(jī)劃分多個網(wǎng)段，并且設(shè)置網(wǎng)段之間禁止通訊，以此來更好地保護(hù)信息安全，防止商業(yè)機(jī)密泄露以及電腦遭遇病毒侵襲的風(fēng)險。但在加強(qiáng)網(wǎng)絡(luò)安全的同時，也對網(wǎng)絡(luò)管理提出了新的挑戰(zhàn)，如何管理多網(wǎng)段電腦上網(wǎng)行為、跨網(wǎng)段監(jiān)控電腦上網(wǎng)就成為當(dāng)前企事業(yè)單位網(wǎng)絡(luò)管理的一個重要課題。

    比較常見的跨網(wǎng)段管理問題通常有如下幾種：跨網(wǎng)段限制電腦網(wǎng)速、跨網(wǎng)段控制電腦上網(wǎng)行為（比如禁止迅雷下載、禁止在線玩游戲、限制在線看視頻、禁止上班炒股、禁止工作時間網(wǎng)購等），跨網(wǎng)段綁定電腦IP和MAC地址，防止電腦修改IP地址等行為。

    那么，如何實現(xiàn)上述跨網(wǎng)段監(jiān)控電腦上網(wǎng)、管理三層交換機(jī)多網(wǎng)段電腦上網(wǎng)行為呢？筆者以為，可以通過以下兩種方法來實現(xiàn)：

    方法一、通過三層交換機(jī)自帶的網(wǎng)管功能來實現(xiàn)控制多網(wǎng)段電腦網(wǎng)速、跨網(wǎng)段限制電腦上網(wǎng)行為以及跨網(wǎng)段實現(xiàn)交換機(jī)端口限速、跨網(wǎng)段實現(xiàn)三層交換機(jī)固定IP上網(wǎng)。

    兩種設(shè)置IP地址的命令：一種直接在物理端口上設(shè)置IP地址，設(shè)置過程比較簡單。例如在作者單位新購三層交換機(jī)上配置端口1/0/1為路由端口，IP地址為172.16.1.0，OSPF采用點到點類型，配置過程如下：

　　#interface Ethernet 1/1

　　#port link-mode route

　　#ip address 172.16.1.0 255.255.255.0

　　#ospf networt-type p2p

　　第二種IP地址配置方式是通過邏輯VLAN設(shè)置IP地址，需先給VLAN設(shè)置IP地址，然后將物理端口配置在VLAN下。為了保證IP地址和物理端口一一對應(yīng)的關(guān)系。例如在和上面一樣的三層交換機(jī)上要配置端口1/0/1為路由端口，并配置端口的VLAN ID為101，VLAN 101 IP地址為172.16.1.1，OSPF采用點到點類型，配置過程如下：

　　#interface Vlan-interface 101

　　#ip address 172.16.1.0 255.255.255.0

　　#ospf network-type p2p

　　#interface Ethernet 1/0/1

　　#port link-mode route

　　#port access Vlan 101

　　由此可見，以上兩種方法都能為交換機(jī)端口設(shè)置IP地址，從操作步驟上看，第一種方法比較簡單，第二種方法需要先將端口和VLAN對應(yīng)起來再設(shè)置IP地址。而且第2種方法在配置IP地址時還需同時使用對應(yīng)的VLAN，過多使用VLAN號后可能會給日后的運行維護(hù)帶來了不便。

   同時，也可以借助交換機(jī)的端口限速功能來為各個網(wǎng)段的電腦進(jìn)行網(wǎng)速控制、電腦流量限制，而且還可以對上行流量和下行流量分別進(jìn)行限制，操作也比較簡單，如下圖所示：

圖：交換機(jī)端口限速設(shè)置

    方法二、借助于專門的局域網(wǎng)網(wǎng)速控制軟件、多網(wǎng)段電腦上網(wǎng)監(jiān)控來實現(xiàn)三層交換機(jī)固定IP地址上網(wǎng)、三層交換機(jī)端口配置IP地址。

    通過部署專門的局域網(wǎng)電腦監(jiān)控軟件、網(wǎng)絡(luò)行為控制軟件來跨網(wǎng)段設(shè)置電腦IP地址、綁定電腦IP和MAC地址是當(dāng)前企事業(yè)單位的通常做法。目前國內(nèi)主流的上網(wǎng)行為監(jiān)控軟件大都支持跨網(wǎng)段監(jiān)控電腦上網(wǎng)行為、跨網(wǎng)段綁定IP和MAC地址。例如有一款“聚生網(wǎng)管”（下載地址：http://www.grablan.com/soft.html），通過集成的“創(chuàng)新直連”技術(shù)，可以在三層交換機(jī)的某個網(wǎng)段部署，就可以獲取三層交換機(jī)上所存儲的所有電腦的IP和MAC地址，并可以跨網(wǎng)段進(jìn)行綁定，一旦發(fā)現(xiàn)電腦更改IP地址或MAC地址的行為，將會自動阻斷電腦上網(wǎng)，從而實現(xiàn)了強(qiáng)制電腦設(shè)置固定IP地址上網(wǎng)，防止隨意更改IP地址、導(dǎo)致IP沖突的行為了。如下圖所示：

圖：通過接入三層交換機(jī)一個網(wǎng)段就可以控制所有網(wǎng)段電腦上網(wǎng)行為

    通過聚生網(wǎng)管系統(tǒng)的IP和MAC地址綁定功能，可以實時檢測各個網(wǎng)段電腦的IP地址和MAC地址變動情況，一旦發(fā)現(xiàn)IP地址或MAC地址變更，則實時阻斷電腦上網(wǎng)，并可以給出提醒。如下圖所示：

圖：進(jìn)行IP和MAC地址綁定、防止修改IP地址的行為

此外，還可以借助聚生網(wǎng)管為各個網(wǎng)段電腦進(jìn)行限速，如下圖所示：

圖：限制電腦網(wǎng)速

同時，還可以限制電腦P2P下載、禁止在線看視頻、屏蔽P2P網(wǎng)絡(luò)電視等，如下圖所示：

圖：禁止P2P下載、禁止網(wǎng)絡(luò)電視、禁止打開視頻網(wǎng)站

    總之，無論是借助于三層交換機(jī)自身的網(wǎng)管限速管理功能，還是通過專門的企業(yè)網(wǎng)絡(luò)管理軟件都可以實現(xiàn)跨網(wǎng)段綁定IP和MAC地址、進(jìn)行交換機(jī)端口限速、實現(xiàn)交換機(jī)MAC地址綁定等功能，具體采用哪種方法，企事業(yè)單位可以根據(jù)自己的需要進(jìn)行選擇。

最新評論