当前,国内很多企事业单位的局域网,由于电脑数量较多,或者处于网络安全的考虑,通常都通过三层交换机划分了Vlan,并且通常设置了各个网段之间禁止通讯,以保护各个网段、不同部门之间的网络安全。但在加强了网络安全控制的同时,也导致了网络管理相对较为复杂,如何跨网段监控电脑上网、跨网段绑定IP和MAC地址就成为网管员不得不考虑的一个网络管理问题。
那么,如何监控三层交换机多网段电脑上网行为、控制多网段电脑上网、跨网段绑定电脑IP和MAC地址呢?笔者以为,可以通过以下两种途径来实现:
一、借助于三层交换机自身的网络管理和网络控制功能来实现。
当前,很多交换机都是带网管功能的智能交换机,通常都有一些上网行为控制和网络行为控制功能,一些较高级的三层交换机还带有IP和MAC地址绑定功能,可以对三层交换机划分的各个网段电脑进行IP和MAC绑定,同时还可以限制电脑网速、监控局域网流量等。设置也较为简单,以华为交换机为例,一般需要执行如下一些命令:
1、利用三层交换机绑定IP和MAC地址:
1、查看arp记录,即ip与mac的对应表
disp arp | in <查询字符串>
简单解释一下这个命令:
disp:是display的简写
arp:display arp表示显示所有arp缓存里面的记录
|:管道,这个不解释,懂命令行的人都应该有点管道的常识
in:是include命令的简写,用于进行查询
<查询字符串>:可以指定一个ip或mac,disp arp将显示所有的记录,加了include xxx后,就可以查指定IP或MAC的arp记录。
2、绑定IP地址与MAC地址
先要进入System-View模式,输入"sys"即可。
system-view:
[s3928]arp static 121.221.60.211 0013-3909-d0aa
这个就不多说了吧,注意一下MAC地址模式,跟我们Windows系统里面显示的HH-HH-HH-HH-HH-HH的格式似乎有点不同,有木有?
绑定之后,再用disp arp查看它这一条记录时,Type值会显示为static(静态的),这表示你手动绑定的。如果你没有手工绑定,交换机也有学习的功能,他学习到的IP与MAC的对应记录,Type值为dynamic(动静的)。
二、利用三层交换机控制电脑网速、分配网络带宽:
然后接下来就是控制电脑上网行为,和普通路由器控制局域网电脑上网行为一样,可以借助于三层交换机有效禁止局域网玩游戏、禁止股票软件、禁止在线看视频、监控电脑流量、分配带宽等,如下图所示:
图:利用三层交换机进行端口限速
三、借助于专门的跨网段监控软件、公司局域网网络控制软件来实现跨VLAN监控电脑上网行为
当前,国内有很多专门的局域网网络控制软件、网络流量监控软件,也可以实现对三层交换机多网段电脑上网行为的控制。比较有代表性的,如“聚生网管”软件(下载地址:http://www.grablan.com/soft.html),聚生网管是一款专门面向企事业单位局域网上网控制软件,只需要在局域网一台电脑安装就可以有效禁止电脑玩游戏、禁止电脑看视频、禁止电脑炒股、控制局域网网速、监控电脑流量、控制网页打开等,可以帮助企事业单位有效控制局域网电脑上网行为。
针对当前国内很多企事业单位局域网都通过三层交换机划分了多个网段、并且需要管理多网段电脑上网行为的情况,聚生网管通过独家集成的“创新直连”监控模式,可以只需要将安装聚生网管的电脑接入到三层交换机一个VLAN,就可以控制所有网段电脑上网行为,从而不必将聚生网管串接到三层交换机和路由器之间(容易引发单点故障),从而极大地方便了企事业单位局域网跨网段控制电脑上网、跨网段限制电脑网速、跨网段绑定电脑IP和MAC地址了。如下图所示:
图:通过接入三层交换机一个网段就可以控制所有网段电脑上网行为
图:通过网管软件来禁止电脑P2P下载、禁止看P2P网络电视、屏蔽在线看视频
总之,无论是通过三层交换机自身的网络管理功能还是借助于专门的网络监控软件、上网行为控制软件,都可以实现三层交换机跨网段管理电脑上网行为的功能。只不过,前者更适合三层交换机较为专业,同时网管员也需要对三层交换机较为熟悉,而后者则相对更为简单,适合大多数用户的需要,具体采用何种举措,企事业单位可以根据自己的需要进行抉择。
