当前,由于一些单位网络规模越来越大,同时处于网络安全的考虑,通常会采用三层交换机划分多个网段,并且设置网段之间禁止通讯,以此来更好地保护信息安全,防止商业机密泄露以及电脑遭遇病毒侵袭的风险。但在加强网络安全的同时,也对网络管理提出了新的挑战,如何管理多网段电脑上网行为、跨网段监控电脑上网就成为当前企事业单位网络管理的一个重要课题。
比较常见的跨网段管理问题通常有如下几种:跨网段限制电脑网速、跨网段控制电脑上网行为(比如禁止迅雷下载、禁止在线玩游戏、限制在线看视频、禁止上班炒股、禁止工作时间网购等),跨网段绑定电脑IP和MAC地址,防止电脑修改IP地址等行为。
那么,如何实现上述跨网段监控电脑上网、管理三层交换机多网段电脑上网行为呢?笔者以为,可以通过以下两种方法来实现:
方法一、通过三层交换机自带的网管功能来实现控制多网段电脑网速、跨网段限制电脑上网行为以及跨网段实现交换机端口限速、跨网段实现三层交换机固定IP上网。
两种设置IP地址的命令:一种直接在物理端口上设置IP地址,设置过程比较简单。例如在作者单位新购三层交换机上配置端口1/0/1为路由端口,IP地址为172.16.1.0,OSPF采用点到点类型,配置过程如下:
#interface Ethernet 1/1
#port link-mode route
#ip address 172.16.1.0 255.255.255.0
#ospf networt-type p2p
第二种IP地址配置方式是通过逻辑VLAN设置IP地址,需先给VLAN设置IP地址,然后将物理端口配置在VLAN下。为了保证IP地址和物理端口一一对应的关系。例如在和上面一样的三层交换机上要配置端口1/0/1为路由端口,并配置端口的VLAN ID为101,VLAN 101 IP地址为172.16.1.1,OSPF采用点到点类型,配置过程如下:
#interface Vlan-interface 101
#ip address 172.16.1.0 255.255.255.0
#ospf network-type p2p
#interface Ethernet 1/0/1
#port link-mode route
#port access Vlan 101
由此可见,以上两种方法都能为交换机端口设置IP地址,从操作步骤上看,第一种方法比较简单,第二种方法需要先将端口和VLAN对应起来再设置IP地址。而且第2种方法在配置IP地址时还需同时使用对应的VLAN,过多使用VLAN号后可能会给日后的运行维护带来了不便。
同时,也可以借助交换机的端口限速功能来为各个网段的电脑进行网速控制、电脑流量限制,而且还可以对上行流量和下行流量分别进行限制,操作也比较简单,如下图所示:
图:交换机端口限速设置
方法二、借助于专门的局域网网速控制软件、多网段电脑上网监控来实现三层交换机固定IP地址上网、三层交换机端口配置IP地址。
通过部署专门的局域网电脑监控软件、网络行为控制软件来跨网段设置电脑IP地址、绑定电脑IP和MAC地址是当前企事业单位的通常做法。目前国内主流的上网行为监控软件大都支持跨网段监控电脑上网行为、跨网段绑定IP和MAC地址。例如有一款“聚生网管”(下载地址:http://www.grablan.com/soft.html),通过集成的“创新直连”技术,可以在三层交换机的某个网段部署,就可以获取三层交换机上所存储的所有电脑的IP和MAC地址,并可以跨网段进行绑定,一旦发现电脑更改IP地址或MAC地址的行为,将会自动阻断电脑上网,从而实现了强制电脑设置固定IP地址上网,防止随意更改IP地址、导致IP冲突的行为了。如下图所示:
图:通过接入三层交换机一个网段就可以控制所有网段电脑上网行为
通过聚生网管系统的IP和MAC地址绑定功能,可以实时检测各个网段电脑的IP地址和MAC地址变动情况,一旦发现IP地址或MAC地址变更,则实时阻断电脑上网,并可以给出提醒。如下图所示:
图:进行IP和MAC地址绑定、防止修改IP地址的行为
此外,还可以借助聚生网管为各个网段电脑进行限速,如下图所示:
图:限制电脑网速
同时,还可以限制电脑P2P下载、禁止在线看视频、屏蔽P2P网络电视等,如下图所示:
图:禁止P2P下载、禁止网络电视、禁止打开视频网站
总之,无论是借助于三层交换机自身的网管限速管理功能,还是通过专门的企业网络管理软件都可以实现跨网段绑定IP和MAC地址、进行交换机端口限速、实现交换机MAC地址绑定等功能,具体采用哪种方法,企事业单位可以根据自己的需要进行选择。
