| 邪海釣手 |
2006-10-29 20:00 |
局域網控制技術和解決方案
限制用戶上網其實就是對局域網的一個控制問題,基本可以分?限制IP、限制用戶和限制流量。 1.限制IP是最常用的一種手段,適用範圍也較廣,在使用代理/路由伺服器、寬帶路由器/防火牆都可以使用。 在代理/路由伺服器軟體中一般都有關於控制IP上網的設置,例如Sygate,ISA Server,具體設置方法這裏就不寫了,你可以參考軟體的幫助文檔,在網上也可以找到很多相關的文章。我要提一點的是,如果你使用了WIN2K/XP自帶的Internet共用,可以安裝一個防火牆軟體,利用防火牆軟體來限制該伺服器與其他機器的通訊,也可以達到控制部分機器上網的目的。 目前的很多寬帶路由器/防火牆都帶有基本的訪問控制列表(ACL)功能,通過簡單的設置就可以對流量進行過濾,對允許上網的IP的資料包進行轉發,而不允許上網的IP的資料包則被丟棄。一般情況下,路由器都是按照順序查找的原則,即當路由器接收到資料包後,先從第一條規則開始匹配,如果符合條件則按照該規則設定的轉發或者丟棄;如果不符合,則查找的二條規則,以此類推,知道最後一條。這裏需要注意的是,有些路由器對於不符合任何規則的資料包按照轉發處理,有的則是轉發,而防火牆對於不符合規則的一律按丟棄處理。因此,在設置路由器時,一定要先加允許上網的規則,再加不允許的規則?钺岣鶕?唧w情況,看是否需要加一個禁止所有IP上網的規則,否則無法達到控制的目的。而防火牆則僅加入允許的規則就可以了。下面是一個例子,沒有任何語句,只是打個比方: 條目 動作 源地址/遮罩 目的地址 1 允許 192.168.2.22/255.255.255.255 0.0.0.0 2 禁止 192.168.2.0/255.255.255.224 0.0.0.0 3 允許 192.168.2.0/255.255.255.0 0.0.0.0 4 禁止 0.0.0.0/0.0.0.0 0.0.0.0 上面的例子可以實現192.168.2.0-192.168.2.31都不可以上網,但其中的192.168.2.22又可以上網,其餘的192.168.2.32-192.168.2.255都可以上網,除了這個子網,其餘又都不能上網。可以看到,加入規則的先後順序基本是按照範圍大小來確定的,範圍越小,越先加入,路由器也就越先匹配。這裏面涉及的部分內容不一定被所有的寬帶路由器所支援,不確定的話,你可以試試先。 對IP的控制比較容易實現,但是對於動態獲取IP位址的網路無法精確控制,而且用戶還會自行將IP地址更改到允許上網的範圍,從而繞過控制列表,甚至還會造成IP位址衝突,這就涉及到MAC地址與IP的綁定問題。 很多朋友很青睞MAC地址和IP的綁定,認?很好用。其實這種靜態ARP技術有很大的局限性,而且效果也不好。MAC與IP地址綁定可以一定程度防止用戶私自更改IP地址,之所以說一定程度,是因?此中方法也不能杜絕更改IP的現象,原因後文有述。 因?乙太網通訊最終是靠著MAC來進行的,因此,將客戶機網卡的MAC地址與其IP地址一一對應,那用戶再更改IP地址將無法使用局域網,更不用提上互聯網了,其實現原理我簡單說一下: 在每台電腦中都有一張ARP表,該表記錄著曾經通訊過的其他機器MAC地址與IP地址的對應關係,下次在通訊時,會在此表中按照目的機器的IP地址查找到其MAC地址,然後與之建立連接。交換機會自動學習網路中其他機器的MAC地址,從而建立起自己的與電腦中相類似的ARP表,通訊時也要按“表”索“機”。上面提到的這些ARP表都是動態的,不定時更新的,每當有電腦開機或關機,該表都會被更新。部分路由器/交換機支援靜態的ARP技術,即可以手工輸入這些ARP表項,將電腦的MAC位址和IP固定,那該機器的ARP表項就不會被更新,當用戶更改了IP後,資料包傳到交換機,交換機會按照目的MAC位址將資料包轉發到目的機器,但是當交換機收到目的機器回應的資料包時,會發現資料包中IP和MAC的對應關係與本地ARP表不符,但是,如果是一個二層交換機,它不會去理會這種錯誤,因?它是靠著MAC地址來工作的,IP對它來說沒有任何作用,因此該資料包會正常到達發起連接的電腦,通訊可以正常建立。那如果是三層交換機呢,那要分兩種情況,如果這兩台電腦在同一子網內(或者是同一VLAN內),那通訊仍然可以建立(理由同上);如果不是在一個子網(或者VLAN),那通訊連接就會失敗,因?資料包要跨越三層,最終按照IP來查找目的機器的MAC位址,這時上面的錯誤就會終止資料包的傳輸,因此如果你的綁定是在交換機上做的,而且要對同一子網(VLAN)做限制的話,你基本會很失望的,這種技術只有在路由器/三層交換機上才有意義(如果你的寬帶路由器支援的話,靜態ARP倒是一個不錯的選擇)。 靜態ARP有很大的缺點,首先,如果是一個很大的區域網路,要收集上百台機器的MAC地址和IP,還要一一手工輸入路由器,對於網管來說是一個極大的考驗(考驗你的打字速度J)。其次,電腦的MAC位址也不是不能更改的,現在也有很多傻瓜式的軟體,點幾下滑鼠就會把你的上百條記錄的努力付之東流。 2.限制用戶,用戶基本上是指Windows裏的域用戶,你可以指定哪些用戶可以上網,哪些不可以,但是,這種方法只能用在使用Windows電腦做?代理/路由伺服器上網的局域網裏,而且要建立一個完整的域,用戶端還要通過輸入用戶和密碼才能登陸,進而上網,比較適合中型的區域網路,通過域的管理還可以進行其他的控制。能夠與Windows用戶帳號結合的代理軟體有Wingate,路由閘道型軟體有ISA(也可以做代理)。限制用戶的好處是你不必管用戶的IP地址是多少(當然你也可以在DHCP中?可上網的用戶分配固定IP地址),而且有一層用戶名/密碼做保護,要盜用也不是那容易。 3.限制流量,限制流量可以在一些代理/路由伺服器軟體上實現,如Sygate、ISA都可以做到,因?我沒有實際去做,不知道具體效果如何。 在某些交換機上也可以實現埠限速,我知道Cisco2950以上級別交換機可以做到以1M?單位的限速,其他牌子的我不是很清楚。 上面所有的方法其實都有一個弱點,無法防止內部非法的代理伺服器,所謂非法,就是在可以上網的機器上裝有代理軟體,不可上網的用戶通過此代理上網。非法代理實際上是很頭痛的事情,這種封包沒有任何特殊性,而且代理伺服器的埠可以任意修改,用訪問列表來控制幾乎是不可能的,唯一的辦法就是徹底斷絕可上網與不可上網用戶的通訊。 下面我給出一種目前來說比較完善的局域網方案,基本可以控制住機器的上網,,使用了三層交換機,VLAN劃分和ACL,同樣也適用於其他目的的網路控制。 其中VLAN1:192.168.1.0是可以上網的,VLAN2:192.168.2.0是不可以上網的,VLAN3:192.168.3.0是伺服器。 VLAN1與VLAN2通過訪問列表禁止任何通訊;VLAN1和VLAN2都可以和VLAN3通訊。 訪問列表的設置: 條目 動作 源地址/遮罩 目的地址 1 禁止 192.168.1.0/255.255.255.0 192.168.2.0 2 禁止 192.168.2.0/255.255.255.0 192.168.1.0 將此列表應用在介面VLAN1和VLAN2上,用VLAN間路由。 VLAN1和VLAN2之間用戶較小的文件傳輸可以通過局域網的Email伺服器,較大的文件可以在伺服器上建立FTP服務。 這樣,VLAN2的用戶無論如何更改IP,也不能達到上網的目的,而且也不能通過VLAN1內的非法代理上網,並且通過VLAN3的伺服器可以實現文件共用,可以說是一個較?理想的方案。 |
|