當前�,國內很多企事業單位的局域網,由于電腦數量較多���,或者處于網絡安全的考慮�����,通常都通過三層交換機劃分了Vlan���,并且通常設置了各個網段之間禁止通訊�,以保護各個網段�����、不同部門之間的網絡安全�����。但在加強了網絡安全控制的同時�,也導致了網絡管理相對較為復雜,如何跨網段監控電腦上網���、跨網段綁定IP和MAC地址就成為網管員不得不考慮的一個網絡管理問題�����。
那么���,如何監控三層交換機多網段電腦上網行為、控制多網段電腦上網�����、跨網段綁定電腦IP和MAC地址呢?筆者以為���,可以通過以下兩種途徑來實現:
一���、借助于三層交換機自身的網絡管理和網絡控制功能來實現。
當前���,很多交換機都是帶網管功能的智能交換機���,通常都有一些上網行為控制和網絡行為控制功能���,一些較高級的三層交換機還帶有IP和MAC地址綁定功能�,可以對三層交換機劃分的各個網段電腦進行IP和MAC綁定�,同時還可以限制電腦網速、監控局域網流量等�。設置也較為簡單,以華為交換機為例�����,一般需要執行如下一些命令:
1�����、利用三層交換機綁定IP和MAC地址:
1、查看arp記錄�����,即ip與mac的對應表
disp arp | in <查詢字符串>
簡單解釋一下這個命令:
disp:是display的簡寫
arp:display arp表示顯示所有arp緩存里面的記錄
|:管道�����,這個不解釋���,懂命令行的人都應該有點管道的常識
in:是include命令的簡寫���,用于進行查詢
<查詢字符串>:可以指定一個ip或mac,disp arp將顯示所有的記錄�,加了include xxx后,就可以查指定IP或MAC的arp記錄�。
2、綁定IP地址與MAC地址
先要進入System-View模式�,輸入"sys"即可。
system-view:
[s3928]arp static 121.221.60.211 0013-3909-d0aa
這個就不多說了吧�����,注意一下MAC地址模式,跟我們Windows系統里面顯示的HH-HH-HH-HH-HH-HH的格式似乎有點不同�,有木有?
綁定之后�����,再用disp arp查看它這一條記錄時�����,Type值會顯示為static(靜態的)���,這表示你手動綁定的�。如果你沒有手工綁定���,交換機也有學習的功能,他學習到的IP與MAC的對應記錄�,Type值為dynamic(動靜的)。
二�����、利用三層交換機控制電腦網速�、分配網絡帶寬:
然后接下來就是控制電腦上網行為���,和普通路由器控制局域網電腦上網行為一樣,可以借助于三層交換機有效禁止局域網玩游戲�����、禁止股票軟件�����、禁止在線看視頻�、監控電腦流量、分配帶寬等�,如下圖所示:
圖:利用三層交換機進行端口限速
三、借助于專門的跨網段監控軟件���、公司局域網網絡控制軟件來實現跨VLAN監控電腦上網行為
當前���,國內有很多專門的局域網網絡控制軟件、網絡流量監控軟件���,也可以實現對三層交換機多網段電腦上網行為的控制�����。比較有代表性的���,如“聚生網管”軟件(下載地址:http://www.grablan.com/soft.html)�,聚生網管是一款專門面向企事業單位局域網上網控制軟件���,只需要在局域網一臺電腦安裝就可以有效禁止電腦玩游戲�����、禁止電腦看視頻�、禁止電腦炒股�����、控制局域網網速���、監控電腦流量�����、控制網頁打開等,可以幫助企事業單位有效控制局域網電腦上網行為�。
針對當前國內很多企事業單位局域網都通過三層交換機劃分了多個網段�����、并且需要管理多網段電腦上網行為的情況���,聚生網管通過獨家集成的“創新直連”監控模式,可以只需要將安裝聚生網管的電腦接入到三層交換機一個VLAN���,就可以控制所有網段電腦上網行為���,從而不必將聚生網管串接到三層交換機和路由器之間(容易引發單點故障),從而極大地方便了企事業單位局域網跨網段控制電腦上網���、跨網段限制電腦網速���、跨網段綁定電腦IP和MAC地址了。如下圖所示:
圖:通過接入三層交換機一個網段就可以控制所有網段電腦上網行為
圖:通過網管軟件來禁止電腦P2P下載�、禁止看P2P網絡電視、屏蔽在線看視頻
總之���,無論是通過三層交換機自身的網絡管理功能還是借助于專門的網絡監控軟件���、上網行為控制軟件�,都可以實現三層交換機跨網段管理電腦上網行為的功能�����。只不過���,前者更適合三層交換機較為專業�����,同時網管員也需要對三層交換機較為熟悉���,而后者則相對更為簡單,適合大多數用戶的需要�,具體采用何種舉措,企事業單位可以根據自己的需要進行抉擇���。
