在些為大家提供有效的局域網(wǎng)限制解決方法和技巧��,最近經(jīng)??吹揭恍┪顼垎柕赖饺绾蜗拗凭钟蚓W(wǎng)里用戶上網(wǎng)的問題,我做了一下總結(jié)�����,以后大家看這個(gè)帖子就行了���,有什么補(bǔ)充的在下面跟帖子吧。
限制用戶上網(wǎng)其實(shí)就是對(duì)局域網(wǎng)的一個(gè)限制問題�,基本可以分為限制IP、限制用戶和限制流量���。
一�、限制IP
是最常用的一種手段,適用范圍也較廣��,在使用代理/路由服務(wù)器��、寬帶路由器/防火墻第三方軟件(P2P終結(jié)者��,聚生網(wǎng)管��,超級(jí)嗅覺狗,網(wǎng)路崗等等)都可以使用��。
在代理/路由服務(wù)器軟件中一般都有關(guān)于控制IP上網(wǎng)的設(shè)置�,例如Sygate�,ISA Server,具體設(shè)置方法這里就不寫了�,你可以參考軟件的幫助文檔,在網(wǎng)上也可以找到很多相關(guān)的文章���。我要提一點(diǎn)的是����,如果你使用了WIN2K/XP自 帶的Internet共享���,可以安裝一個(gè)防火墻軟件���,利用防火墻軟件來限制該服務(wù)器與其它機(jī)器的通訊�����,也可以達(dá)到控制部分機(jī)器上網(wǎng)的目的��。
目前的很多寬帶路由器/防火墻都帶有基本的訪問控制列表(ACL)功能�����,通過簡(jiǎn)單的設(shè)置就可以對(duì)流量進(jìn)行過濾����,對(duì)允許上網(wǎng)的IP的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),而不允 許上網(wǎng)的IP的數(shù)據(jù)包則被丟棄��。一般情況下����,路由器都是按照順序查找的原則�����,即當(dāng)路由器接收到數(shù)據(jù)包后�,先從第一條規(guī)則開始匹配,如果符合條件則按照該規(guī)則設(shè)定的轉(zhuǎn)發(fā)或者丟棄����;如果不符合,則查找的二條規(guī)則�,以此類推����,知道最后一條。這里需要注意的是�����,有些路由器對(duì)于不符合任何規(guī)則的數(shù)據(jù)包按照轉(zhuǎn)發(fā)處理�,有的則是轉(zhuǎn)發(fā),而防火墻對(duì)于不符合規(guī)則的一律按丟棄處理����。因此��,在設(shè)置路由器時(shí),一定要先加允許上網(wǎng)的規(guī)則�����,再加不允許的規(guī)則,最后根據(jù)具體情況����,看是否需要加一個(gè)禁止所有IP上網(wǎng)的規(guī)則,否則無法達(dá)到控制的目的�����。而防火墻則僅加入允許的規(guī)則就可以了���。下面是一個(gè)例子��,沒有任何語句,只是打個(gè)比方:
條目
動(dòng)作
源地址/掩碼
目的地址
1 允許 192.168.1.22/255.255.255.255 0.0.0.0
2 禁止 192.168.1.0/255.255.255.224 0.0.0.0
3 允許 192.168.1.0/255.255.255.0 0.0.0.0
4 禁止 0.0.0.0/0.0.0.0 0.0.0.0
上面的例子可以實(shí)現(xiàn)192.168.1.0-192.168.1.31都不可以上網(wǎng)�,但其中的192.168.1.22又可以上網(wǎng),其余的 192.168.1.32-192.168.1.255都可以上網(wǎng)����,除了這個(gè)子網(wǎng)�����,其余又都不能上網(wǎng)?�?梢钥吹?�,加入規(guī)則的先后順序基本是按照范圍大小來 確定的�,范圍越小,越先加入��,路由器也就越先匹配��。這里面涉及的部分內(nèi)容不一定被所有的寬帶路由器所支持��,不確定的話����,你可以試試先���。
對(duì)IP的控制比較容易實(shí)現(xiàn)�,但是對(duì)于動(dòng)態(tài)獲取IP地址的網(wǎng)絡(luò)無法精確控制�,而且用戶還會(huì)自行將IP地址更改到允許上網(wǎng)的范圍����,從而繞過控制列表��,甚至還會(huì)造成IP地址沖突��,這就涉及到MAC地址與IP的綁定問題���。
很多午飯很青睞MAC地址和IP的綁定�����,認(rèn)為很好用�。其實(shí)這種靜態(tài)ARP技術(shù)有很大的局限性,而且效果也不好�����。MAC與IP地址綁定可以一定程度防止用戶 私自更改IP地址�,之所以說一定程度�,是因?yàn)榇酥蟹椒ㄒ膊荒芏沤^更改IP的現(xiàn)象,原因后面有講到��。
因?yàn)橐蕴W(wǎng)通訊最終是靠著MAC來進(jìn)行的���,因此�,將客戶機(jī)網(wǎng)卡的MAC地址與其IP地址一一對(duì)應(yīng)���,那么用戶再更改IP地址將無法使用局域網(wǎng),更不用提上網(wǎng)了�,其實(shí)現(xiàn)原理簡(jiǎn)單說一下:
在每臺(tái)計(jì)算機(jī)中都有一張ARP表,該表記錄著曾經(jīng)通訊過的其它機(jī)器MAC地址與IP地址的對(duì)應(yīng)關(guān)系����,下次在通訊時(shí),會(huì)在此表中按照目的機(jī)器的IP地址查找 到其MAC地址��,然后與之建立連接��。交換機(jī)會(huì)自動(dòng)獲取網(wǎng)絡(luò)中其它機(jī)器的MAC地址�����,從而建立起自己的與計(jì)算機(jī)中相類似的ARP表�,通訊時(shí)也要按“表”索取��。上面提到的這些ARP表都是動(dòng)態(tài)的���,不定時(shí)更新的��,每當(dāng)有計(jì)算機(jī)開機(jī)或關(guān)機(jī)����,該表都會(huì)被更新��。部分路由器/交換機(jī)支持靜態(tài)的ARP技術(shù)�,即可以手工輸入這些ARP表項(xiàng)�����,將計(jì)算機(jī)的MAC地址和IP固定��,那么該機(jī)器的ARP表項(xiàng)就不會(huì)被更新�����,當(dāng)用戶更改了IP后���,數(shù)據(jù)包傳到交換機(jī)��,交換機(jī)會(huì)按照目的 MAC地址將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的機(jī)器,但是當(dāng)交換機(jī)收到目的機(jī)器回應(yīng)的數(shù)據(jù)包時(shí)��,會(huì)發(fā)現(xiàn)數(shù)據(jù)包中IP和MAC的對(duì)應(yīng)關(guān)系與本地ARP表不符����,但是,如果是一個(gè)二層交換機(jī)��,它不會(huì)去理會(huì)這種錯(cuò)誤��,因?yàn)樗强恐鳰AC地址來工作的��,IP對(duì)它來說沒有任何作用��,因此該數(shù)據(jù)包會(huì)正常到達(dá)發(fā)起連接的計(jì)算機(jī)���,通訊可以正常建立�����。那么如果是三層交換機(jī)呢,那要分兩種情況,如果這兩臺(tái)計(jì)算機(jī)在同一子網(wǎng)內(nèi)(或者是同一VLAN內(nèi))��,那么通訊仍然可以建立(理由同上)��;如果不是在一個(gè)子網(wǎng)(或者VLAN)�,那么通訊連接就會(huì)失敗�,因?yàn)閿?shù)據(jù)包要跨越三層,最終按照IP來查找目的機(jī)器的MAC地址���,這時(shí)上面的錯(cuò)誤就會(huì)終止數(shù)據(jù)包的傳輸���,因此如果你的綁定是在交換機(jī)上做的����,而且要對(duì)同一子網(wǎng)(VLAN)做限制的話,你基本會(huì)很失望的���,這種技術(shù)只有在路由器/三層交換機(jī)上才有意義(如果你的寬帶路由器支持的話,靜態(tài)ARP倒是一個(gè)不錯(cuò)的選擇)�。
靜態(tài)ARP有很大的缺點(diǎn)��,首先,如果是一個(gè)很大的局域網(wǎng)絡(luò)��,要收集上百臺(tái)機(jī)器的MAC地址和IP����,還要一一手工輸入路由器,對(duì)于網(wǎng)絡(luò)管理人員來說是一個(gè)極大的考驗(yàn)�。其次,計(jì)算機(jī)的MAC地址也不是不能更改的���,現(xiàn)在也有很多傻瓜式的軟件,點(diǎn)幾下鼠標(biāo)就會(huì)把你的上百條記錄的努力付之東流���。
二���、限制用戶
第一種方法:是指Windows里的域用戶�,你可以指定哪些用戶可以上網(wǎng),哪些不可以�,但是,這種方法只能用在使用Windows計(jì)算機(jī)做為 代理/路由服務(wù)器上網(wǎng)的局域網(wǎng)里���,而且要建立一個(gè)完整的域,客戶端還要通過輸入用戶和密碼才能登陸,進(jìn)而上網(wǎng)�,比較適合中型的局域網(wǎng)絡(luò),通過域的管理還可以進(jìn)行其它的控制�。能夠與Windows用戶帳號(hào)結(jié)合的代理軟件有Wingate�����,路由網(wǎng)關(guān)型軟件有ISA(也可以做代理)���。限制用戶的好處是你不必管用 戶的IP地址是多少(當(dāng)然你也可以在DHCP中為可上網(wǎng)的用戶分配固定IP地址)�,而且有一層用戶名/密碼做保護(hù)�,要盜用也不是那么容易����。
第二種方法:利用第三方軟件Ipguard,也可以限制用戶。功能十分強(qiáng)大
三�、限制流量
限制流量可以在一些代理/路由服務(wù)器軟件上實(shí)現(xiàn),如Sygate�����、ISA�、第三方軟件(就不介紹了�����。前面都有)都可以做到�,因?yàn)槲覜]有實(shí)際去做,不知道具體效果如何��。在某些交換機(jī)上也可以實(shí)現(xiàn)端口限速����,我知道Cisco2950以上級(jí)別交換機(jī)可以做到以1M為單位的限速�,其它牌子的我不是很清楚�����。
上面所有的方法其實(shí)都有一個(gè)弱點(diǎn)��,無法防止內(nèi)部非法的代理服務(wù)器��,所謂非法����,就是在可以上網(wǎng)的機(jī)器上裝有代理軟件��,不可上網(wǎng)的用戶通過此代理上網(wǎng)���。非法代理實(shí)際上是很頭痛的事情,這種封包沒有任何特殊性�����,而且代理服務(wù)器的端口可以任意修改�,用訪問列表來控制幾乎是不可能的����,唯一的辦法就是徹底斷絕可上網(wǎng)與不可上網(wǎng)用戶的通訊。
下面我給出一種目前來說比較完善的局域網(wǎng)方案��,基本可以控制住機(jī)器的上網(wǎng)���,首先要使用了三層交換機(jī),VLAN劃分和ACL���,同樣也適用于其它目的的網(wǎng)絡(luò)控制��。
其中VLAN1:192.168.1.0是可以上網(wǎng)的�����,VLAN2:192.168.2.0是不可以上網(wǎng)的,VLAN3:192.168.3.0是服務(wù)器�����。
VLAN1與VLAN2通過訪問列表不禁止任何通訊���;VLAN1和VLAN2都可以和VLAN3通訊�����。
訪問列表的設(shè)置:
條目
動(dòng)作
源地址/掩碼
目的地址
1 禁止 192.168.1.0/255.255.255.0 192.168.2.0
2 禁止 192.168.2.0/255.255.255.0 192.168.1.0
將此列表應(yīng)用在接口VLAN1和VLAN2上,啟用VLAN間路由����。
VLAN1和VLAN2之間用戶較小的文件傳輸可以通過局域網(wǎng)的Email服務(wù)器,較大的文件可以在服務(wù)器上建立FTP服務(wù)�����。
這樣�����,VLAN2的用戶無論如何更改IP����,也不能達(dá)到上網(wǎng)的目的,而且也不能通過VLAN1內(nèi)的非法代理上網(wǎng)�����,并且通過VLAN3的服務(wù)器可以實(shí)現(xiàn)文件共享���,可以說是一個(gè)較為理想的方案。
最后我要說的還是���,技術(shù)不是萬能的�,要依靠完善的管理手段才能發(fā)揮最大作用��,建立完善的網(wǎng)絡(luò)操作規(guī)范����,合理的行政制度,并且嚴(yán)格執(zhí)行(如果你放水���,工作就越來越難開展����,甚至丟掉工作都有可能),不但對(duì)網(wǎng)絡(luò)管理人員是一個(gè)好消息����,而且是一個(gè)合格網(wǎng)絡(luò)管理人員的基本要求�����,對(duì)企業(yè)來說也是有利無弊的���。
