當(dāng)前，國內(nèi)很多企事業(yè)單位的局域網(wǎng)，由于電腦數(shù)量較多，或者處于網(wǎng)絡(luò)安全的考慮，通常都通過三層交換機(jī)劃分了Vlan，并且通常設(shè)置了各個網(wǎng)段之間禁止通訊，以保護(hù)各個網(wǎng)段、不同部門之間的網(wǎng)絡(luò)安全。但在加強(qiáng)了網(wǎng)絡(luò)安全控制的同時，也導(dǎo)致了網(wǎng)絡(luò)管理相對較為復(fù)雜，如何跨網(wǎng)段監(jiān)控電腦上網(wǎng)、跨網(wǎng)段綁定IP和MAC地址就成為網(wǎng)管員不得不考慮的一個網(wǎng)絡(luò)管理問題。

    那么，如何監(jiān)控三層交換機(jī)多網(wǎng)段電腦上網(wǎng)行為、控制多網(wǎng)段電腦上網(wǎng)、跨網(wǎng)段綁定電腦IP和MAC地址呢？筆者以為，可以通過以下兩種途徑來實(shí)現(xiàn)：

    一、借助于三層交換機(jī)自身的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)控制功能來實(shí)現(xiàn)。

    當(dāng)前，很多交換機(jī)都是帶網(wǎng)管功能的智能交換機(jī)，通常都有一些上網(wǎng)行為控制和網(wǎng)絡(luò)行為控制功能，一些較高級的三層交換機(jī)還帶有IP和MAC地址綁定功能，可以對三層交換機(jī)劃分的各個網(wǎng)段電腦進(jìn)行IP和MAC綁定，同時還可以限制電腦網(wǎng)速、監(jiān)控局域網(wǎng)流量等。設(shè)置也較為簡單，以華為交換機(jī)為例，一般需要執(zhí)行如下一些命令：

 1、利用三層交換機(jī)綁定IP和MAC地址：

    1、查看arp記錄，即ip與mac的對應(yīng)表

    disp arp | in <查詢字符串>

    簡單解釋一下這個命令：

    disp：是display的簡寫

    arp：display arp表示顯示所有arp緩存里面的記錄

    |：管道，這個不解釋，懂命令行的人都應(yīng)該有點(diǎn)管道的常識

    in：是include命令的簡寫，用于進(jìn)行查詢

    <查詢字符串>：可以指定一個ip或mac，disp arp將顯示所有的記錄，加了include xxx后，就可以查指定IP或MAC的arp記錄。

    2、綁定IP地址與MAC地址

    先要進(jìn)入System-View模式，輸入"sys"即可。

    system-view:

    [s3928]arp static 121.221.60.211 0013-3909-d0aa

    這個就不多說了吧，注意一下MAC地址模式，跟我們Windows系統(tǒng)里面顯示的HH-HH-HH-HH-HH-HH的格式似乎有點(diǎn)不同，有木有？

    綁定之后，再用disp arp查看它這一條記錄時，Type值會顯示為static（靜態(tài)的），這表示你手動綁定的。如果你沒有手工綁定，交換機(jī)也有學(xué)習(xí)的功能，他學(xué)習(xí)到的IP與MAC的對應(yīng)記錄，Type值為dynamic（動靜的）。

二、利用三層交換機(jī)控制電腦網(wǎng)速、分配網(wǎng)絡(luò)帶寬：

    然后接下來就是控制電腦上網(wǎng)行為，和普通路由器控制局域網(wǎng)電腦上網(wǎng)行為一樣，可以借助于三層交換機(jī)有效禁止局域網(wǎng)玩游戲、禁止股票軟件、禁止在線看視頻、監(jiān)控電腦流量、分配帶寬等，如下圖所示：

圖：利用三層交換機(jī)進(jìn)行端口限速

三、借助于專門的跨網(wǎng)段監(jiān)控軟件、公司局域網(wǎng)網(wǎng)絡(luò)控制軟件來實(shí)現(xiàn)跨VLAN監(jiān)控電腦上網(wǎng)行為

    當(dāng)前，國內(nèi)有很多專門的局域網(wǎng)網(wǎng)絡(luò)控制軟件、網(wǎng)絡(luò)流量監(jiān)控軟件，也可以實(shí)現(xiàn)對三層交換機(jī)多網(wǎng)段電腦上網(wǎng)行為的控制。比較有代表性的，如“聚生網(wǎng)管”軟件（下載地址：http://www.grablan.com/soft.html），聚生網(wǎng)管是一款專門面向企事業(yè)單位局域網(wǎng)上網(wǎng)控制軟件，只需要在局域網(wǎng)一臺電腦安裝就可以有效禁止電腦玩游戲、禁止電腦看視頻、禁止電腦炒股、控制局域網(wǎng)網(wǎng)速、監(jiān)控電腦流量、控制網(wǎng)頁打開等，可以幫助企事業(yè)單位有效控制局域網(wǎng)電腦上網(wǎng)行為。

    針對當(dāng)前國內(nèi)很多企事業(yè)單位局域網(wǎng)都通過三層交換機(jī)劃分了多個網(wǎng)段、并且需要管理多網(wǎng)段電腦上網(wǎng)行為的情況，聚生網(wǎng)管通過獨(dú)家集成的“創(chuàng)新直連”監(jiān)控模式，可以只需要將安裝聚生網(wǎng)管的電腦接入到三層交換機(jī)一個VLAN，就可以控制所有網(wǎng)段電腦上網(wǎng)行為，從而不必將聚生網(wǎng)管串接到三層交換機(jī)和路由器之間（容易引發(fā)單點(diǎn)故障），從而極大地方便了企事業(yè)單位局域網(wǎng)跨網(wǎng)段控制電腦上網(wǎng)、跨網(wǎng)段限制電腦網(wǎng)速、跨網(wǎng)段綁定電腦IP和MAC地址了。如下圖所示：

圖：通過接入三層交換機(jī)一個網(wǎng)段就可以控制所有網(wǎng)段電腦上網(wǎng)行為

圖：通過網(wǎng)管軟件來禁止電腦P2P下載、禁止看P2P網(wǎng)絡(luò)電視、屏蔽在線看視頻

    總之，無論是通過三層交換機(jī)自身的網(wǎng)絡(luò)管理功能還是借助于專門的網(wǎng)絡(luò)監(jiān)控軟件、上網(wǎng)行為控制軟件，都可以實(shí)現(xiàn)三層交換機(jī)跨網(wǎng)段管理電腦上網(wǎng)行為的功能。只不過，前者更適合三層交換機(jī)較為專業(yè)，同時網(wǎng)管員也需要對三層交換機(jī)較為熟悉，而后者則相對更為簡單，適合大多數(shù)用戶的需要，具體采用何種舉措，企事業(yè)單位可以根據(jù)自己的需要進(jìn)行抉擇。

最新評論