當(dāng)前，由于一些單位網(wǎng)絡(luò)規(guī)模越來(lái)越大，同時(shí)處于網(wǎng)絡(luò)安全的考慮，通常會(huì)采用三層交換機(jī)劃分多個(gè)網(wǎng)段，并且設(shè)置網(wǎng)段之間禁止通訊，以此來(lái)更好地保護(hù)信息安全，防止商業(yè)機(jī)密泄露以及電腦遭遇病毒侵襲的風(fēng)險(xiǎn)。但在加強(qiáng)網(wǎng)絡(luò)安全的同時(shí)，也對(duì)網(wǎng)絡(luò)管理提出了新的挑戰(zhàn)，如何管理多網(wǎng)段電腦上網(wǎng)行為、跨網(wǎng)段監(jiān)控電腦上網(wǎng)就成為當(dāng)前企事業(yè)單位網(wǎng)絡(luò)管理的一個(gè)重要課題。

    比較常見(jiàn)的跨網(wǎng)段管理問(wèn)題通常有如下幾種：跨網(wǎng)段限制電腦網(wǎng)速、跨網(wǎng)段控制電腦上網(wǎng)行為（比如禁止迅雷下載、禁止在線玩游戲、限制在線看視頻、禁止上班炒股、禁止工作時(shí)間網(wǎng)購(gòu)等），跨網(wǎng)段綁定電腦IP和MAC地址，防止電腦修改IP地址等行為。

    那么，如何實(shí)現(xiàn)上述跨網(wǎng)段監(jiān)控電腦上網(wǎng)、管理三層交換機(jī)多網(wǎng)段電腦上網(wǎng)行為呢？筆者以為，可以通過(guò)以下兩種方法來(lái)實(shí)現(xiàn)：

    方法一、通過(guò)三層交換機(jī)自帶的網(wǎng)管功能來(lái)實(shí)現(xiàn)控制多網(wǎng)段電腦網(wǎng)速、跨網(wǎng)段限制電腦上網(wǎng)行為以及跨網(wǎng)段實(shí)現(xiàn)交換機(jī)端口限速、跨網(wǎng)段實(shí)現(xiàn)三層交換機(jī)固定IP上網(wǎng)。

    兩種設(shè)置IP地址的命令：一種直接在物理端口上設(shè)置IP地址，設(shè)置過(guò)程比較簡(jiǎn)單。例如在作者單位新購(gòu)三層交換機(jī)上配置端口1/0/1為路由端口，IP地址為172.16.1.0，OSPF采用點(diǎn)到點(diǎn)類(lèi)型，配置過(guò)程如下：

　　#interface Ethernet 1/1

　　#port link-mode route

　　#ip address 172.16.1.0 255.255.255.0

　　#ospf networt-type p2p

　　第二種IP地址配置方式是通過(guò)邏輯VLAN設(shè)置IP地址，需先給VLAN設(shè)置IP地址，然后將物理端口配置在VLAN下。為了保證IP地址和物理端口一一對(duì)應(yīng)的關(guān)系。例如在和上面一樣的三層交換機(jī)上要配置端口1/0/1為路由端口，并配置端口的VLAN ID為101，VLAN 101 IP地址為172.16.1.1，OSPF采用點(diǎn)到點(diǎn)類(lèi)型，配置過(guò)程如下：

　　#interface Vlan-interface 101

　　#ip address 172.16.1.0 255.255.255.0

　　#ospf network-type p2p

　　#interface Ethernet 1/0/1

　　#port link-mode route

　　#port access Vlan 101

　　由此可見(jiàn)，以上兩種方法都能為交換機(jī)端口設(shè)置IP地址，從操作步驟上看，第一種方法比較簡(jiǎn)單，第二種方法需要先將端口和VLAN對(duì)應(yīng)起來(lái)再設(shè)置IP地址。而且第2種方法在配置IP地址時(shí)還需同時(shí)使用對(duì)應(yīng)的VLAN，過(guò)多使用VLAN號(hào)后可能會(huì)給日后的運(yùn)行維護(hù)帶來(lái)了不便。

   同時(shí)，也可以借助交換機(jī)的端口限速功能來(lái)為各個(gè)網(wǎng)段的電腦進(jìn)行網(wǎng)速控制、電腦流量限制，而且還可以對(duì)上行流量和下行流量分別進(jìn)行限制，操作也比較簡(jiǎn)單，如下圖所示：

圖：交換機(jī)端口限速設(shè)置

    方法二、借助于專(zhuān)門(mén)的局域網(wǎng)網(wǎng)速控制軟件、多網(wǎng)段電腦上網(wǎng)監(jiān)控來(lái)實(shí)現(xiàn)三層交換機(jī)固定IP地址上網(wǎng)、三層交換機(jī)端口配置IP地址。

    通過(guò)部署專(zhuān)門(mén)的局域網(wǎng)電腦監(jiān)控軟件、網(wǎng)絡(luò)行為控制軟件來(lái)跨網(wǎng)段設(shè)置電腦IP地址、綁定電腦IP和MAC地址是當(dāng)前企事業(yè)單位的通常做法。目前國(guó)內(nèi)主流的上網(wǎng)行為監(jiān)控軟件大都支持跨網(wǎng)段監(jiān)控電腦上網(wǎng)行為、跨網(wǎng)段綁定IP和MAC地址。例如有一款“聚生網(wǎng)管”（下載地址：http://www.grablan.com/soft.html），通過(guò)集成的“創(chuàng)新直連”技術(shù)，可以在三層交換機(jī)的某個(gè)網(wǎng)段部署，就可以獲取三層交換機(jī)上所存儲(chǔ)的所有電腦的IP和MAC地址，并可以跨網(wǎng)段進(jìn)行綁定，一旦發(fā)現(xiàn)電腦更改IP地址或MAC地址的行為，將會(huì)自動(dòng)阻斷電腦上網(wǎng)，從而實(shí)現(xiàn)了強(qiáng)制電腦設(shè)置固定IP地址上網(wǎng)，防止隨意更改IP地址、導(dǎo)致IP沖突的行為了。如下圖所示：

圖：通過(guò)接入三層交換機(jī)一個(gè)網(wǎng)段就可以控制所有網(wǎng)段電腦上網(wǎng)行為

    通過(guò)聚生網(wǎng)管系統(tǒng)的IP和MAC地址綁定功能，可以實(shí)時(shí)檢測(cè)各個(gè)網(wǎng)段電腦的IP地址和MAC地址變動(dòng)情況，一旦發(fā)現(xiàn)IP地址或MAC地址變更，則實(shí)時(shí)阻斷電腦上網(wǎng)，并可以給出提醒。如下圖所示：

圖：進(jìn)行IP和MAC地址綁定、防止修改IP地址的行為

此外，還可以借助聚生網(wǎng)管為各個(gè)網(wǎng)段電腦進(jìn)行限速，如下圖所示：

圖：限制電腦網(wǎng)速

同時(shí)，還可以限制電腦P2P下載、禁止在線看視頻、屏蔽P2P網(wǎng)絡(luò)電視等，如下圖所示：

圖：禁止P2P下載、禁止網(wǎng)絡(luò)電視、禁止打開(kāi)視頻網(wǎng)站

    總之，無(wú)論是借助于三層交換機(jī)自身的網(wǎng)管限速管理功能，還是通過(guò)專(zhuān)門(mén)的企業(yè)網(wǎng)絡(luò)管理軟件都可以實(shí)現(xiàn)跨網(wǎng)段綁定IP和MAC地址、進(jìn)行交換機(jī)端口限速、實(shí)現(xiàn)交換機(jī)MAC地址綁定等功能，具體采用哪種方法，企事業(yè)單位可以根據(jù)自己的需要進(jìn)行選擇。

最新評(píng)論