对于中小企业的网络管理,用户的管理是一个很常见的问题。例如:有限的IP如何分配?如何管制不同员工上网权限?如何阻挡访客使用企业网络?如何分派较多带宽给高管或是老总?这些问题,都在在影响企业网络的安全性,因此网管要作到网络的安全,就必须从基本把用户管理的工作作好。这些问题都可经由路由器的用户管理功能来达成。以下Qno侠诺科技就中小企业常遇到的用户管理问题,作全面性的介绍。
内部局域网上网用户的管理,可分为企业局域网内地址合理分配、内部新增上网用户管制、及内部上网用户有效管制三个方面。如果没有一套合理有效的管理机制,会在后面的网络管理及安全方面带来很多负面影响及经济损失。
总括来说,常见的用户管理问题及对应路由器功能如下:
|
用户管理 |
常见问题 |
对应产品功能 |
| 地址合理分配 |
如何分配IP地址给用户?
公网IP及虚拟IP如何共存? |
动态/静态IP地址分配、One-to-one NAT |
| 新增用户管制 |
如何阻挡非公司计算机上网? |
IP/MAC绑定功能 |
| 上网用户管制 |
如何管理不同用户?
如何保留带宽给重要人员? |
IP群组管理、QoS带宽管理 |
以上这些内部网络的管理都可以通过Qno侠诺路由器的相关功能来实现,达到网络安全的目的。Qno侠诺路由器提供动态IP地址分配和静态IP地址分配的功能,满足内部上网用户IP地址的分配的不同需要。路由器还提供了IP组管理功能,解决不同部门需要不同上网权限的群组设置,方便统一管理。配合IP/MAC绑定功能避免内部网络滥用IP地址造成网络管理的困难,同时可以通过QoS的设定给内网用户上网一定的带宽管理,保证企业领导希望联网速度能够保持畅通不塞车,确保公司重要业务信息不致延迟、重要应用服务联机顺畅等要求。
IP地址分配
企业首先考虑的就是IP地址的分配管理,动态IP地址分配使用DHCP服务器,优点是客户端不需进行配置,只需配置服务器,配置简单。静态IP则必须在客户端进行IP配置,相对较严谨,管制较完全。
Qno侠诺路由器提供动态IP地址分配和静态IP地址分配的功能,满足内部上网用户IP地址的分配的不同需要。Qno路由器提供动态IP地址分配机智(DHCP功能),支持C类IP地址,可设置其IP地址分配的范围以及地址租约时间。进入“DHCP功能”的“DHCP配置”。
(图片一)
图一:DHCP配置显示发放范围在192.168.1.100~192.168.1.49之间共50台电脑,地址租约时间为1440分钟。
通过“DHCP服务器状态显示”了解到内部网络IP地址分配情况,我们可以了解到DHCP服务器的相关情况以及内部网络用户的“主机名称”、“IP地址”、网卡“MAC地址”,“目前租约时间”。
(图片二)
图二:DHCP服务器状态显示。同时路由器还支持静态的IP分配功能,只要保证其IP地址不和DHCP范围冲突就好。
静态的IP分配,只要不激活DHCP功能即可。但是客户端配置的IP地址和路由器配置的范围必须相符。也可将DHCP功能与静态IP配合使用,即在整个路由器配置的IP范围中,部份使用DHCP发放,部份使用静态IP。例如:厂内使用的计算机不常移动,可使用静态IP;业务人员计算机时常移动,则采用动态IP。
适当的IP地址分配,是后续安全管理的基础,适当地在安全性及便利性间取得平衡,这是必须达成的。
One-to-one NAT
有些企业具备几个公网IP,用来作特别的用途,例如总部服务器只能和固定公网IP联系,以加强安全性。在这种情况,经常发生公网IP不够办公室所有的计算机使用,这时就可以进行一对一NAT的配置,把几个公网IP对应到内部计算机,这时就可以达到公网IP与虚拟IP共同在局域网共存的目的了。
(图片三)
图三:一对一NAT功能可允许公网IP和虚拟IP共同存在局域网,可适用于注重信息安全的通讯应用。
适当地利用这个功能,分隔不同的IP,可避免内部网络的数据外流。
IP/MAC绑定功能
DHCP服务器自动分配内部网络用户的IP地址,用户可以不用手动设置IP地址。但是DHCP是不容易管理,内部网络随意加入一个用户通过自动获得IP地址都能在DHCP范围里获得一个合法的IP地址。有些攻击者,会通过无线网络进入企业局域网。或是在静态的IP分配情况下,有些员工会自行修改成高管或领导的IP地址,以逃避管制。这些都是可以通过Qno侠诺路由器产品提供的IP/MAC绑定功能来反应,并达到安全管理的功能。
企业网管进行IP/MAC绑定,必须把企业内网计算机的MAC地址都键入到路由器,并与IP地址建立对照表。如果路由器发现来向DHCP服务器索取IP的计算机的MAC不在表列中,那么就不会予以响应。因此网管可把企业内的计算机MAC都进行绑定,那么外部的计算机就无法进入企业网络,也可避免内部员工自行修改IP以逃避管制的措施。
IP绑定的功能很简单,Qno侠诺路由器“DHCP功能”的“DHCP配置”页面的“IP 与 MAC 绑定”,点击“显示新加入的IP地址”将内部网络的IP地址/MAC对应加入到IP 与 MAC 绑定列表中,同时也可以通过手动的模式加入。
(图片四)
图四:IP 与 MAC 绑定画面。您可以“√”选“封锁在对应列表中IP地址,错误的MAC地址”防止内部网络用户修改IP地址逃避网络管理,如“√”选“封锁不在对应列表中的MAC地址”,可以阻止内部网络中并没经过网管人员同意而加入的上网用户。
IP/MAC绑定功能为我们解决了其内网用户逃避管理以及管理可能加入的新上网用户等问题,也是安全管理一个必要的手段。
IP群组管理
企业网管大多希望给不同部门的人不同的权限,例如业务单位的需要较多对外联络,相对的制造单位或事业单位对外联络的需要较少。但是针对内部上网用户IP地址上网权限配置,工作量很大,输入过程中也容易出现错误,甚至有时出现遗漏的事情,这种情况下Qno侠诺路由器的IP群组管理功能,可将多个用户,例如一个部门所有IP地址,组成一个群组解决这个问题。
比如一个企业的A部门分得的IP地址是192.168.1.100~192.168.1.110,B部门分到的IP地址是192.168.1.111~192.168.1.120,我们可以将这些连续的IP地址群组到一起,方便做统一的设置。减少网管人员的工作量,同时也避免繁多的IP地址输入容易出错。同时内部网络需要同时大量的IP地址需要做同样管理的时候就将这些连续的IP群组到一个组做相同设置。
Qno侠诺路由器内“DHCP功能”的“DHCP配置”页面的“IP GPOUP”,如图五对应输入相关信息确定后就可完成IP群组的设置。
(图片五)
图五:IP群组管理设置画面
QoS带宽管理功能
有些企业希望针对特定用户进行配置,例如内部网络特殊用户(比如经理,董事长等)给予大的带宽、内部网络用户选择特定WAN访问外部网络、特定线路留给特定的用户、等等的。通过QoS带宽管理功能能达到以上的功能。
Qno侠诺路由器可以允许选择设置内部网络的某一单个IP地址、一连串IP地址,或者某一IP群组,通过有效的管理上传与下载的速度来达到对带宽的管理功能,保证内网上网用户能够合理利用带宽,同时还可以确保特殊用户上网不受限制,保证大的带宽享用。例如,可以为重要的高管设定较大的最小带宽,或是保留特定的广域网口给特定IP群组,
(图片六)
图六:带宽管理功能设置页面
小结
以上针对中小企业内部局域网用户的管理,通过Qno侠诺安全路由器的策略管理功能,针对常遇到的一些问题,作了初步的介绍。相信对于企业网管在进行日常管理,有相当的帮助。用户管理是网络安全的最基本的工作,网管如能在一开始就把这方面的工作作到位,相信可以减少后续很多的问题。 |
