對于中小企業(yè)的網(wǎng)絡管理,用戶的管理是一個很常見的問題。例如:有限的IP如何分配?如何管制不同員工上網(wǎng)權限?如何阻擋訪客使用企業(yè)網(wǎng)絡?如何分派較多帶寬給高管或是老總?這些問題,都在在影響企業(yè)網(wǎng)絡的安全性,因此網(wǎng)管要作到網(wǎng)絡的安全,就必須從基本把用戶管理的工作作好。這些問題都可經(jīng)由路由器的用戶管理功能來達成。以下Qno俠諾科技就中小企業(yè)常遇到的用戶管理問題,作全面性的介紹。
內部局域網(wǎng)上網(wǎng)用戶的管理,可分為企業(yè)局域網(wǎng)內地址合理分配、內部新增上網(wǎng)用戶管制、及內部上網(wǎng)用戶有效管制三個方面。如果沒有一套合理有效的管理機制,會在后面的網(wǎng)絡管理及安全方面帶來很多負面影響及經(jīng)濟損失。
總括來說,常見的用戶管理問題及對應路由器功能如下:
| 用戶管理 | 常見問題 | 對應產(chǎn)品功能 |
| 地址合理分配 | 如何分配IP地址給用戶? 公網(wǎng)IP及虛擬IP如何共存? |
動態(tài)/靜態(tài)IP地址分配、One-to-one NAT |
| 新增用戶管制 | 如何阻擋非公司計算機上網(wǎng)? | IP/MAC綁定功能 |
| 上網(wǎng)用戶管制 | 如何管理不同用戶? 如何保留帶寬給重要人員? |
IP群組管理、 QoS帶寬管理 |
以上這些內部網(wǎng)絡的管理都可以通過Qno俠諾路由器的相關功能來實現(xiàn),達到網(wǎng)絡安全的目的。Qno俠諾路由器提供動態(tài)IP地址分配和靜態(tài)IP地址分配的功能,滿足內部上網(wǎng)用戶IP地址的分配的不同需要。路由器還提供了IP組管理功能,解決不同部門需要不同上網(wǎng)權限的群組設置,方便統(tǒng)一管理。配合IP/MAC綁定功能避免內部網(wǎng)絡濫用IP地址造成網(wǎng)絡管理的困難,同時可以通過QoS的設定給內網(wǎng)用戶上網(wǎng)一定的帶寬管理,保證企業(yè)領導希望聯(lián)網(wǎng)速度能夠保持暢通不塞車,確保公司重要業(yè)務信息不致延遲、重要應用服務聯(lián)機順暢等要求。
IP地址分配
企業(yè)首先考慮的就是IP地址的分配管理,動態(tài)IP地址分配使用DHCP服務器,優(yōu)點是客戶端不需進行配置,只需配置服務器,配置簡單。靜態(tài)IP則必須在客戶端進行IP配置,相對較嚴謹,管制較完全。
Qno俠諾路由器提供動態(tài)IP地址分配和靜態(tài)IP地址分配的功能,滿足內部上網(wǎng)用戶IP地址的分配的不同需要。Qno路由器提供動態(tài)IP地址分配機智(DHCP功能),支持C類IP地址,可設置其IP地址分配的范圍以及地址租約時間。進入“DHCP功能”的“DHCP配置”。
 |
| DHCP配置顯示發(fā)放范圍 |
通過“DHCP服務器狀態(tài)顯示”了解到內部網(wǎng)絡IP地址分配情況,我們可以了解到DHCP服務器的相關情況以及內部網(wǎng)絡用戶的“主機名稱”、“IP地址”、網(wǎng)卡“MAC地址”,“目前租約時間”。
 |
| 圖:DHCP服務器狀態(tài)顯示 |
靜態(tài)的IP分配,只要不激活DHCP功能即可。但是客戶端配置的IP地址和路由器配置的范圍必須相符。也可將DHCP功能與靜態(tài)IP配合使用,即在整個路由器配置的IP范圍中,部份使用DHCP發(fā)放,部份使用靜態(tài)IP。例如:廠內使用的計算機不常移動,可使用靜態(tài)IP;業(yè)務人員計算機時常移動,則采用動態(tài)IP。
適當?shù)腎P地址分配,是后續(xù)安全管理的基礎,適當?shù)卦诎踩约氨憷蚤g取得平衡,這是必須達成的。
One-to-one NAT
有些企業(yè)具備幾個公網(wǎng)IP,用來作特別的用途,例如總部服務器只能和固定公網(wǎng)IP聯(lián)系,以加強安全性。在這種情況,經(jīng)常發(fā)生公網(wǎng)IP不夠辦公室所有的計算機使用,這時就可以進行一對一NAT的配置,把幾個公網(wǎng)IP對應到內部計算機,這時就可以達到公網(wǎng)IP與虛擬IP共同在局域網(wǎng)共存的目的了。
 |
| 圖:一對一NAT功能 |
適當?shù)乩眠@個功能,分隔不同的IP,可避免內部網(wǎng)絡的數(shù)據(jù)外流。
IP/MAC綁定功能
DHCP服務器自動分配內部網(wǎng)絡用戶的IP地址,用戶可以不用手動設置IP地址。但是DHCP是不容易管理,內部網(wǎng)絡隨意加入一個用戶通過自動獲得IP地址都能在DHCP范圍里獲得一個合法的IP地址。有些攻擊者,會通過無線網(wǎng)絡進入企業(yè)局域網(wǎng)。或是在靜態(tài)的IP分配情況下,有些員工會自行修改成高管或領導的IP地址,以逃避管制。這些都是可以通過Qno俠諾路由器產(chǎn)品提供的IP/MAC綁定功能來反應,并達到安全管理的功能。
企業(yè)網(wǎng)管進行IP/MAC綁定,必須把企業(yè)內網(wǎng)計算機的MAC地址都鍵入到路由器,并與IP地址建立對照表。如果路由器發(fā)現(xiàn)來向DHCP服務器索取IP的計算機的MAC不在表列中,那么就不會予以響應。因此網(wǎng)管可把企業(yè)內的計算機MAC都進行綁定,那么外部的計算機就無法進入企業(yè)網(wǎng)絡,也可避免內部員工自行修改IP以逃避管制的措施。
IP綁定的功能很簡單,Qno俠諾路由器“DHCP功能”的“DHCP配置”頁面的“IP 與 MAC 綁定”,點擊“顯示新加入的IP地址”將內部網(wǎng)絡的IP地址/MAC對應加入到IP 與 MAC 綁定列表中,同時也可以通過手動的模式加入。
 |
| 圖四:IP-與-MAC-綁定畫面 |
IP/MAC綁定功能為我們解決了其內網(wǎng)用戶逃避管理以及管理可能加入的新上網(wǎng)用戶等問題,也是安全管理一個必要的手段。
IP群組管理
企業(yè)網(wǎng)管大多希望給不同部門的人不同的權限,例如業(yè)務單位的需要較多對外聯(lián)絡,相對的制造單位或事業(yè)單位對外聯(lián)絡的需要較少。但是針對內部上網(wǎng)用戶IP地址上網(wǎng)權限配置,工作量很大,輸入過程中也容易出現(xiàn)錯誤,甚至有時出現(xiàn)遺漏的事情,這種情況下Qno俠諾路由器的IP群組管理功能,可將多個用戶,例如一個部門所有IP地址,組成一個群組解決這個問題。
比如一個企業(yè)的A部門分得的IP地址是192.168.1.100~192.168.1.110,B部門分到的IP地址是192.168.1.111~192.168.1.120,我們可以將這些連續(xù)的IP地址群組到一起,方便做統(tǒng)一的設置。減少網(wǎng)管人員的工作量,同時也避免繁多的IP地址輸入容易出錯。同時內部網(wǎng)絡需要同時大量的IP地址需要做同樣管理的時候就將這些連續(xù)的IP群組到一個組做相同設置。
Qno俠諾路由器內“DHCP功能”的“DHCP配置”頁面的“IP GPOUP”,如圖五對應輸入相關信息確定后就可完成IP群組的設置。
 |
| 圖五:IP-與-MAC-綁定畫面 |
有些企業(yè)希望針對特定用戶進行配置,例如內部網(wǎng)絡特殊用戶(比如經(jīng)理,董事長等)給予大的帶寬、內部網(wǎng)絡用戶選擇特定WAN訪問外部網(wǎng)絡、特定線路留給特定的用戶、等等的。通過QoS帶寬管理功能能達到以上的功能。
Qno俠諾路由器可以允許選擇設置內部網(wǎng)絡的某一單個IP地址、一連串IP地址,或者某一IP群組,通過有效的管理上傳與下載的速度來達到對帶寬的管理功能,保證內網(wǎng)上網(wǎng)用戶能夠合理利用帶寬,同時還可以確保特殊用戶上網(wǎng)不受限制,保證大的帶寬享用。例如,可以為重要的高管設定較大的最小帶寬,或是保留特定的廣域網(wǎng)口給特定IP群組,
 |
| 圖六:帶寬管理功能設置頁面 |
小結
以上針對中小企業(yè)內部局域網(wǎng)用戶的管理,通過Qno俠諾安全路由器的策略管理功能,針對常遇到的一些問題,作了初步的介紹。相信對于企業(yè)網(wǎng)管在進行日常管理,有相當?shù)膸椭S脩艄芾硎蔷W(wǎng)絡安全的最基本的工作,網(wǎng)管如能在一開始就把這方面的工作作到位,相信可以減少后續(xù)很多的問題。
