颇尔滤芯厂家
免费服务热线

Free service

hotline

010-00000000
颇尔滤芯厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

公司网络改造实战分享加强上网行为管理

发布时间:2020-06-29 16:52:32 阅读: 来源:颇尔滤芯厂家

由于当前公司的路由器属中低端产品,上网行为管理功能非常有限,存在诸多管理上的弊端,无法有效的、合理的分配网络资源,从而影响到大多数同事的正常工作。

综上所述,解决方案部特制订此方案。

本方案拟采用海蜘蛛软路由来替换当前的TPLINK-R480T路由器。

海蜘蛛软路由器概况

海蜘蛛路由运行于 x86-CPU 硬件架构(即普通PC机)上的软路由系统,它基于Linux 系统内核开发,支持WEB与命令行模式管理。

1.最低硬件配置

由于其运行于LINUX环境,因此对硬件性能要求较低,结合公司目前的试用情况来看,一台普通的PC机完全可以满足现有情况。

硬件类别型号规格容量处理器/CPUx86架构386~586/Intel/AMD/VIA200MHz内存/MemorySD/DDR/DDR2256MB网卡/EthernetControllerPCI/PCI-E或集成以太网卡(不支持USB网卡)2块10/100/1000Mbit存储器/StorageDOM电子盘/CF卡/SD卡或IDE/SCSI/SATA硬盘128MB或更大,推荐256MB2.路由负载能力测试(数据来自3月24日的实际运行数据)

上网用户数统计

CPU负载

内存使用

根据以上报表统计,目前的PC硬件环境完全可以胜任当前的网络状况,不需要单独购买硬件设备!

3.海蜘蛛路由主界面

海蜘蛛路由主界面

企业网络拓扑

企业网络拓扑

搭建好平台后,我们就来看此方案是如何解决当前网络应用情况的问题。>>

当前的网络应用情况及解决办法

由于网络应用较多,涉及到专业术语,范围也较广,因此本方案只介绍目前涉及到的、最关心的网络应用情况。

地址不足

目前公司已有员工近130人(根据最新通讯录计算),按预想的网络规划,每个用户至少分配2个IP的原则(有线+无线),至少需要260个IP地址。由于目前的路由设备只能分配254个IP地址,因此,此规划一直未启动。

解决办法:使用海蜘蛛路由后,可通过减少IP子网掩码,合理扩展到510个IP地址,届时可按规划,每个部门分配一个固定的IP地址段(并且保证有足够的冗余空间,以便扩充成员)。

C地址无法强制绑定(用户可以随意更改IP)

什么是MAC地址绑定:将1个IP绑定1个MAC地址(也指1个IP地址绑定到1块网卡)。MAC地址绑定分普通绑定和强制绑定,强制绑定后当IP与绑定的MAC地址不符时,路由器即不响应相应“非法”请求。

目前公司的设备无法做到强制绑定,因此,用户可以随意更改IP地址,导致IP地址冲突,也因此,无法控制单个IP的流量,导致事先登记的MAC\IP地址表失真。

解决办法:海蜘蛛路由可以强制绑定MAC地址,一旦用户修改IP地址,即无法上网。因此可以有效的规划IP地址,维护真实MAC地址表。

强制绑定MAC地址

3.带宽无法得到有效控制\P2P(BT)软件无法限速

目前网络管理员仅能通过监控流量被动的监视网络流量的使用状况,监视到流量超高的IP后,再根据事先记录的IP与MAC关系表,反查相应使用者,效率极低,无法控制P2P(BT)软件下载。

解决办法:使用海蜘蛛路由后,可以通过全局策略定义全局流量,定义的全局设置可以添加“例外”,并且多个策略间可以设置优先级与时间段。“例外”可以保证在全局范围内有特殊要求的个别用户不受全局策略的约束。如果事先做好了IP规划,我们可以根据不同部门对流量的要求不同,设置不同策略,以满足不同用户对流量的需求,这些策略同样对P2P(Bt)类软件有效。此外,除可以控制流量外,还可以控制单机的连接数,防止p2p类软件占用大量连接。

控制带宽

控制P2P连接数

4.网络流量无法公开透明

目前只能由管理员监督网络流量,无法让全体成员监督网络使用情况,员工的自我约束性极差。

解决办法:海蜘蛛路由可以创建普通管理员帐号,定义管理员权限,向全体员工公开此账号,以便大家共同监督流量信息,并且可以直观的看到IP对应的使用者,如此可以大大增加员工的自我约束性。

定义管理员权限

查看流量

N应用(虚拟局域网)

有些工作需要外部网络与公司网络形成局域网才能实现,例如销售部同事希望演示产品给客户,或客户希望直接试用某些产品,而有些应用必需在局域网内才能实现。目前的路由器不支持VPN(虚拟局域网),除非在客户与同事之间安装第三方VPN软件来实现,但第三方软件专业性较强,某些用户可能无法接受。

解决办法:海蜘蛛路由器自带VPN功能,创建VPN账号后,可以让外部网络拔入公司网络,组建“虚拟局域网”。而客户端只要创建一个VPN链接,即可拔入公司网络。

VPN功能

VPN连接

6.相同应用服务器无法同时向外发布(自定义端口映射\转发)

目前公司有近15台服务器,部份服务器需要发布到外网,但发布到外网需要开放相应端口,由于目前路由不支持端口转发,因此无法将多个相同的应用服务器(例如多台WEB服务器的80端口)向外发布除非修改服务器内上的默认端口,否则无法发布。

端口转发映射

解决办法:海蜘蛛路由器可以自定义端口,并且支持端口的转发功能,因此可以在不修改服务器配置的情况下,将内部多台相同的应用服务器向外发布。实现将来自外部不同的端口访问,转发至内部不同的IP相同的端口上。>>

网络流量控制规划

规划使用DHCP分发IP地址,DHCP-IP地址池:192.168.0.1-192.168.1.254/23(共510个可用IP),且启用MAC-IP地址强制绑定功能。

地址规划

规划将IP地址范围扩展至510个,不同部门分配不同的IP范围,并且保留足够的冗余空间以便扩充成员。这样做的好处是:可以在路由上根据部门的网络段设置相应流量策略,控制不同部门对网络的不同需求。

IP地址规划范围:192.168.0.1-192.168.1.254/23 共510个可用IP。

IP地址分配原则:见表1

部门IP地址规划:见表2

表1(IP地址分配原则)IP地址范围使用范围IP数量说明192.168.0.1-19/23手持设备专

用IP段20手机\其他手持设备\机动IP段192.168.1.1-19/23

192.168.1.241-254/23网络设备专

用与服务器

设备专用IP段35192.168.0.20-254/23

192.168.1.20-239/23用户专用IP段455用户IP分配时还应遵循寄偶原

则,偶数为有线,寄数为无

线,使用台式机的用户,仍然

为其保留一个无线IP。表2(部门IP地址规划表)IP地址范围IP数量最多成员数部门\或成员组当前成员数1.20-493015总监以上领导80.20-796030EMAXPOS

电子商务部200.80-1497035PORTAL250.150-1793015BI70.180-2537437实施部251.20-695025服务部151.70-993015解决方案部111.80-1295025销售部111.130-1593015管理部7C地址绑定规划

根据表2将所有用户的IP地址与MAC地址强制绑定,并且绑定至用户名,以便大家监督流量时,可以直观的查看到相应人员。

3.流量控制策略规划

流量控制除技术上控制外,仍然结合之前发布的《IT行为管理办法》进行控制,同时将路由器的流量监控普通账号向全体员工公示,以便大家共同监督,约束员工的自觉行为。

流量策略如表3,当有用户对流量有特殊要求时,可在全局策略中,添加“例外”以将其排除在控制范围内,任务结束后再恢复。

表3(流量控制策略规划表)部门\或成员组优先级上行最高流量控制下行最高流量控制备注服务器及网络设备1不限不限全局用户策略10不限80K总监以上领导2不限200K采用上面的方案后,以前在网络中出现的问题明显得到改善,在网络控制与管理功能上有很大的突破,可以有效的、合理的分配网络资源,从而让同事都能高效的完成工作。公司的领导也非常认同这款软件。

成都活动策划

成都活动执行

成都年会策划