|
|
[这个贴子最后由sansa520在 2006/04/29 07:03pm 第 1 次编辑]
[color=#A52A2A]经常会看到某某某问及一些关于局域内共享和互访的问题.今天找到了一篇关于此类问题的设置及解决方案的文章..转过来希望能有所帮忙...
路由和交换的基本概念, 普及基础知识
[color=#FF00FF]
路由和交换是网络世界中两个重要的概念。传统的交换发生在网络的第二层,即数据链路层, 而路由则发生在第三层,网络层。在新的网络中,路由的智能和交换的性能被有机的结合起来, 三层交换机和多层交换机在园区网络中大量使用。本文将介绍一些路由和交换的基本概念, 分为网络层次结构、交换、路由和全交换园区网络四个部分。
网络层次结构
网络参考模型的定义给出了清晰的功能层次划分。最常被提及的是ISO OSI参考模型和TCP/IP协议簇。
国际标准化组织定义的OSI参考模型将计算机网络按功能划分为七个层次,这就是我们常说的七层模型或七层结构。 网络功能分层的直接好处是这些层次可以各司其职,由不同厂家开发的不同层次的软硬件设备可以配合使用。 一个层次的设备更新或软件重写也不会影响到其它层次。TCP/IP协议体系中的各个层次和ISO的参考模型有大致的对应关系。 如下图所示:
OSI中间一层,即第四层执行传输功能,它负责提供从一台计算机到另外一台计算机之间的可靠数据传输。 传输层(Transport Layer)是承上启下的一层,在它的下面有三层,都是与数据传输相关的功能; 上面也有三层,提供与网络应用相关的功能。
OSI下三层中。物理层(Physical Layer)负责实际的传送数据信号, 数据链路层(Data Link Layer)负责网络内部的帧传输, 而网络层(Network Layer)负责网络间的计算机寻址和数据传输。
OSI上三层中。应用层(Application Layer)是最高的层次,它负责提供用户操作的界面, 因特网中常用的电子邮件服务,文件传输服务等都是这一层提供的。表示层(Presentation Layer)负责数据的表示, 比如发送数据之前的加密,接收数据时的解密,中英文的翻译等等都是这一层提供的功能。 会话层(Session Layer)负责建立和终止网络的数据传输,计算机名字转换成地址的工作也在这层完成。
传统意义上的交换是第二层的概念。数据链路层的功能是在网络内部传输帧。 所谓"网络内部"是指这一层的传输不涉及网间的设备和网间寻址。通俗的理解,一个以太网内的传输, 一条广域网专线上的传输都由数据链路层负责。所谓"帧"是指所传输的数据的结构,通常帧有帧头和帧尾, 头中有源目二层地址,而帧尾中通常包含校验信息,头尾之间的内容即是用户的数据。
数据链路层涵盖的功能很多,所以又将它划分为两个子层, MAC(Media Access Control, 介质访问控制)层和LLC(Logical Link Control,逻辑链路控制)层。 常见的局域网和城域网的二层标准是IEEE的802协议。而在广域网中, HDLC(High-level Data Link Control,高级链路控制)、PPP(Point-to-Point Protocol, 点对点协议)和Frame Relay(帧中继)等协议都有广泛的使用。
路由是第三层的概念。网络层在Internet中是最重要的,它的功能是端到端的传输, 这里端到端的含义是无论两台计算机相距多远,中间相隔多少个网络,这一层保障它们可以互相通信。 例如我们常用的PING命令就是一个网络层的命令,PING通了,就是指网络层的功能正常了。通常, 网络层不保障通讯的可靠性,也就是说,虽然正常情况下数据可以到达目的地,但即便出现异常, 网络层也不作任何更正和恢复的工作。
网络层常用的协议有IP、IPX、APPLETALK等等,其中IP协议更是Internet的基石。在TCP/IP协议体系中, 第三层的其他辅助协议还包括ARP(地址解析) 、RARP(反向地址解析)、 ICMP(网际报文控制)和IGMP(组管理协议)等等。由于网络互连设备都具有路径选择功能, 所以我们经常将 RIP、OSPF等路选协议也放在这一层讨论。
[color=#90EE90]交换
谈到交换的问题,从广义上讲,任何数据的转发都可以称作交换。当然,现在我们指的是狭义上的交换, 仅包括数据链路层的转发。做网络的人理解交换大多是从交换机开始的, 电路交换机在通信网中已经使用了几十年了,做帧交换的设备,尤其是以太网交换机的大规模使用则是近几年的事情。
理解以太网交换机的作用还要从网桥的原理讲起。传统以太网是共享型的,如果网段上有四台计算机A、B 、C和D, 那么A与B通信的同时,C和D只能是被动的收听。假如将缆段分开(即微化),A、B在一段上,C、D在另一段上, 那么A和B通信的同时,C和D也可以通信,这样原有10M的带宽从理论上讲就变成20M了。同时, 为了确保这两个网段可以互相通信,需要用桥将它们连接起来,桥是有两块网卡的计算机
在整个网络刚刚启动时,桥对网络的拓朴一无所知。这时,假设A发送数据给B,因为网络是广播式的, 所以桥也收到了,但桥不知到B在自己的左边还是右边,它就进行缺省的转发,即在另外一块网卡上发送这个信息。 虽然做了一次无用的转发,但通过这个过程,桥学习到数据的发送者A在自己的左边。 当网络上的每一台计算机都发送过数据之后,桥就是智能的了,它了解每一台计算机在哪一个网段上。 当A再发送数据给B时,桥就不进行数据转发了,与此同时,C可以发送数据给D。
从上面的例子可以看出,桥可以减少网络冲突发生的几率,这就是我们使用桥的主要目的,称作减小冲突域。 但桥并不能阻止广播,广播信息的隔绝要靠三层的连接设备,路由器。
按照缆段微化的思想,缆段越多,可用带宽就越高。极限情况是每一台计算机处在一个独立的缆段上, 如果网络上有十台计算机,就需要一个十端口的桥将它们连接起来。但实现这样一个桥不太现实,软件转发的速度也跟不上, 于是有了交换机,交换机就是将上述多端口的桥硬件或固件化,以达到更低的成本和更高的性能。
交换机的一个重要的功能是避免交换循环,这就涉及到了STP(Spanning Tree Protocol,分支树协议)。 分支树协议的功能是避免数据帧在交换机构成的网络中循环传送。如下图所示,如果网络中有冗余链路的话, STP协议现选出根交换机(Route Bridge),然后确定每一台非根交换机到根交换机之间的路径,最后, 将此路径上的所有链路置成转发(Forward)状态,其余的交换机之间的连接就是冗余链路,置为阻塞(Block)状态。
交换机的另外一个重要功能是VLAN(Virtual LAN,虚拟局域网)。VLAN的好处主要有三个:
端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。 这样一个物理的交换机可以当作多个逻辑的交换机使用。
网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。
灵活的管理。更改用户所属的网络不必换端口和联线,只该软件配置就可以了。
VLAN可以按端口或MAC地址来划分。
有时,我们需要在交换机所构成的网络上保持VLAN的配置的一致性。这就需要交换机之间按照VTP (VLAN Trunk Protocol,VLAN骨干协议)交流VLAN信息。VTP协议只在骨干端口(Trunk Port),即交换机之间的端口,上运行。
[color=#C71585]
路由
路由器是网络间的连接设备,它重要工作之一是路径选择。这个功能是路由器智能的核心, 它是由管理员的配置和一系列的路由算法实现的。
路由算法有动静之分,静态路由是一种特殊的路由,它是由管理员手工设定的。 手工配置所有的路由虽然可以使网络正常运转,但是也会带来一些局限性。网络拓扑发生变化之后,静态路由不会自动改变, 必须有网络管理员的介入。缺省路由是静态路由的一种,也是由管理员设置的。在没有找到目标网络的路由表项时, 路由器将信息发送到缺省路由器(gateway of last resort)。而动态的算法,顾名思义,是由路由器自动计算出的路由, 常说的RIP、OSPF等等都是动态算法的典型代表。
另外还可以将路由算法分为DV和LS两种。DV(Distance,距离向量)算法将当前路由器的路由信息传送给相邻路由器, 相邻路由器将这些信息加入自身的路由表。而LS(Link State,链路状态)算法将链路状态信息传给域内所有的路由器, 接收路由器利用这些信息构建网络拓扑图,并利用图论中的最短路径优先算法决定路由。相比之下,距离向量算法比较简单, 而链路状态算法较为复杂,占用的CPU和内存也要多一些。但是由于链路状态算法采用的是自身的计算结果, 所以比较不容易产生路由循环。RIP是DV类算法的典型代表,而OSPF是LS的代表协议。
四种最常见路由协议是RIP、IGRP、OSPF和EIGRP。
RIP(Routing Information Protocols,路由信息协议)是使用最广泛的距离向量协议, 它是由施乐(Xerox)在70年代开发的。 当时,RIP是XNS(Xerox Network Service,施乐网络服务)协议簇的一部分。TCP/IP版本的RIP是施乐协议的改进版。 RIP最大的特点是,无论实现原理还是配置方法,都非常简单。RIP基于跳数计算路由,并且定期向邻居路由器发送更新消息。
IGRP是CISCO专有的协议,只在CISCO路由器中实现。它也属于距离向量类协议,所以在很多地方与RIP有共同点, 比如广播更新等等。它和RIP最大的区别表现在度量方法、负载均衡等几方面。IGRP支持多路径上的加权负载均衡, 这样网络的带宽可以得到更加合理的利用。另外,与RIP仅使用跳数作为度量依据不同,IGRP使用了多种参数, 构成复合的度量值,这其中可以包含的因素有:带宽、延迟、负载、可靠性和MTU(最大传输单元)等等。
OSPF协议是80年代后期开发的,90年代初成为工业标准,是一种典型的链路状态协议。OSPF的主要特性包括: 支持VLSM(变长的子网掩吗)、收敛迅速、带宽占用率低等等。OSPF协议在邻居之间交换链路状态信息, 以便路由器建立链路状态数据库(LSD),之后,路由器根据数据库中的信息利用SPF(Shortest Path First, 最短路径优先)算法计算路由表,选择路径的主要依据是带宽。
EIGRP是IGRP的增强版,它也是CISCO专有的路由协议。EIGRP采用了扩散更新(DUAL)算法,在某种程度上, 它和距离向量算法相似,但具有更短的收敛时间和更好的可操作性。作为对IGRP的扩展,EIGRP支持多种可路由的协议, 如IP、IPX和AppleTalk等等。运行在IP环境时,EIGRP还可以与IGRP进行平滑的连接,因为它们的度量方法是一致的。
以上四种路由协议都是域内路由协议,他们通常使用在自治系统的内部。当进行自治系统间的连接时, 往往采用诸如BGP(Border Gateway Protocols,边界路由协议)和EGP(External Gateway Protocols, 外部路由协议)这样的域间路由协议。目前在Internet上使用的域间路由协议是BGP第四版。
收敛是路由算法选择时所遇到的一个重要问题。 收敛时间是指从网络的拓扑结构发生变化到网络上所有的相关路由器都得知这一变化,并且相应地做出改变所需要的时间。 这一时间越短,网络变化对全网的扰动就越小。收敛时间过长会导致路由循环的出现。
在上述几种域内路由算法中,RIP和IGRP的收敛时间相对较长,都是分钟数量级的;OSPF要短一些,数十秒内可以收敛; EIGRP最短,网络拓扑发生变化之后,几秒钟即可达到收敛状态。
[color=#FF00FF]
网上邻居/网络共享/双机互连
[color=#32CD32]
一部分:使用网上邻居步骤,如果你的网上邻居有问题,请参看以下步骤(同样适用于打印机的共享):
1.1.网线。双机互连不使用HUB或交换机,用交叉线连接两机;如果使用HUB或者交换机,均用直连线连接至HUB或交换机,保证交换机、网卡状态灯正常。
1.2.IP协议。WIN98及以后的机器在安装时会默认安装TCP/IP协议,WIN95需要另外安装。在网上邻居->属性(WIN9X/Me)或者网上邻居->属性->本地连接->属性(WIN2K/XP)里可以查看是否安装了TCP/IP协议。
1.3.IP地址。在TCP/IP属性里设置IP地址、子网掩码和网关,如果有需要可以设置DNS和WINS服务器地址。IP地址推荐设置:192.168.X.X,子网掩码:255.255.255.0。如果你的局域网中有DHCP服务器,选择自动获取地址即可。
验证方法:在DOS提示符下使用ping x.x.x.x(对方IP地址),如返回如下信息,说明IP设置成功:
Reply from x.x.x.x(对方IP地址):bytes=32 time<1ms TTL=128
1.4.NetBIOS over TCP/IP。网上邻居的浏览和通讯要使用NetBIOS协议,该协议是无法被路由器转发的,因此WIN2K及以后的操作系统均提供将NetBIOS协议封装在TCP/IP中的功能。在Win9X/Me系统中,打开网上邻居->属性可以参看是否安装了NetBIOS协议,在Win2K/XP中,打开TCP/IP属性->高级->WINS->NetBIOS设置,选择“启用TCP/IP上的NetBIOS”。
验证NetBIOS名称解析:使用ping XXXX(对方机器名),如果返回如1.3中的信息,说明NetBIOS协议解析正常。
1.5.HOST文件。如果在1.4中无法正确解析机器名,可以修改host文件,在WINDOWS目录中搜索HOST关键字,找到后,使用记事本打开host(有的系统为host.sam),在末尾加入如下内容:
x.x.x.x(对方的IP地址)使用Tab键跳到下一制表列XXXX(对方的机器名)
存盘退出,注意,如果原文件带有.sam扩展名,要去掉扩展名,才能生效。使用与1.4.同样的方法验证。
1.6.启用打印与文件共享。在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。验证:如果在网上邻居中看不到自己的机器,说明你没有安装打印机与文件共享。
1.7.启用GUEST用户:WIN2K/XP在工作组模式下要使用Guest用户来允许网络访问,因此要启用Guest用户。打开控制面板->用户帐户或者在管理工具->计算机管理->本地用户和组中打开Guest帐户,如果使用域管理模式,可以忽略这一步。
1.8.启用计算机浏览服务。WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理->服务和应用程序->服务,确保“Computer Browser”没有被停止或禁用。
1.9.防火墙:确保WINXP自带的防火墙没有开启,打开本地连接属性->高级,关掉Internet连接防火墙。如果使用了第三方的防火墙产品,参考其使用手册,确保防火墙没有禁止以下端口的通讯:UDP-137、UDP-138、TCP-139、TCP-445(仅WIN2K及以后的操作系统)。
1.10.设置共享文件夹和打印机。
经过以上步骤,你的网上邻居应该可以正常工作了,如果有疑问,请看下面的有关网上邻居的FAQ。
重申一句,微软的网上邻居由于其工作方式是基于Netbios的广播查找邻居的,所以很多情况下很不稳定。在运行里输入"\\对方机器名“,如果无法访问提示找不到网络路径,说明你的或对方的Netbios解析有问题,遇到这种情况试着重启机器,要想较好解决只能在局域网中建立WINS服务器来帮助客户端做Netbios解析。
第二部分:网上邻居FAQ
2.1.F:为什么在网上邻居访问对方提示没有权限?
Q:两台机器都要打开Guest帐户(WIN2K/XP)。
2.2.F:为什么点击对方机器显示无法连接?
Q:确保ping对方IP和机器名都能够正常返回信息。
2.3.F:为什么在网上邻居看不到对方的机器或者能看到却访问不了?
Q:按照微软的解释,这种现象有时是正常的,这需要了解网上邻居及其使用的协议NetBIOS的工作原理,参见后面的原理部分。
2.4.F:有的机器开机或关机,别的机器就用不了网上邻居了?
Q:同2.3.。
2.5.F:如果不使用网上邻居,还有其它办法方便的访问其它机器?
Q:可以不打开网上邻居,直接在搜索中搜索对方的IP或者机器名,也可以在运行中输入\\x.x.x.x(对方 IP) or XXXX(对方机器名)。(同样会用到NetBIOS协议)
2.6.F:两台机器不在一个工作组中是否可以使用网上邻居?
Q:可以。
2.7.F:两台机器经过路由器连接,是否可以在网上邻居看到,又是否可以访问呢?
Q:不能看到,因为路由器不会转发广播(经过设置UDP透传可以),可以使用FAQ2.5.的方法互相访问,但仅限于WIN2K/XP。
2.8.F:为什么Win9X/Me访问不了或者看不到Win2K/XP,而反过来却没有问题呢?
Q:确认WIN2K/XP打开了Guest帐户,启用了“浏览服务”;Win9X/Me安装了“打印机和文件共享”,NetBIOS解析没有问题,并且双方没有防火墙的阻挡。
2.9.F:为什么访问需要密码?
Q:确认对方打开了Guest帐户,或者对方没有登陆到域模式。Win9x/Me如果需要登陆到域,不要按Esc取消进入系统。
第三部分:网上邻居和NetBIOS工作原理部分(工作组模式):
所有使用网上邻居的机器在启动时都会向网络中宣告自己的存在,一般使用广播方式(也是为什么无法通过路由器看到其它子网计算机的原因),而在网络中有一张浏览列表,记录了所有在此登记的计算机,也就是在网上邻居中看到的计算机,而当计算机正常关机时,浏览列表就会从记录中删除此机器。那么这张表在哪里呢?它是被“浏览主控服务器”维护的,浏览主控服务器是工作组中的一台最为重要的计算机,它负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表,为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务,每个工作组都为会每个传输协议选择一个浏览主控服务器,而我们经常遇到的无法浏览网络的错误大多是因为你所处的工作组没有浏览主控服务器而造成的。你可以在一个工作组中用NBTSTAT -a computername 命令找出使用NBT协议的浏览主控服务器,它的标识是含有\\_MSBROWSE_ 名字段。缺省情况下,win98工作组中的浏览主控服务器是该工作组中第一台启用文件及打印机共享功能的计算机,也允许手工将一台win计算机配置为浏览主控服务器(方法会在后面讲述网络配置时具体介绍,但由于浏览主控服务器需要维护动态浏览列表,性能会受影响),如果一个工作组中有多台计算机配置了这个选项,或是当前的浏览主控服务器关闭了系统,又没有其他计算机启用主控设置时,就要进行主控浏览器的选举。选举其实过程很简单,首先由一台计算机发送一个选举临界报文,该报文包含了来自发送计算机的信息(操作系统,版本及NET名等),选举报文向网络中广播,工作组中的每一台计算机都会用自身信息与选举报文进行优先级比较,主要是操作系统起主要作用,记得好像是WIN2K/XP>Win9X/Me,最后是那个自身条件最好的成为新的浏览主控服务器。
整个网络浏览的过程是,当一台win98进入网络时,如果它带有服务器服务(启用了文件及打印机共享)会向网络广播宣告自己的存在,而浏览主控服务器会取得这个宣告并将它放入自己维护的浏览列表中;而没有在相应协议上绑定文件及打印机共享的计算机则不会宣告,因而也就不会出现在网络邻居里了。当客户计算机想获得需要的网络资源列表时,首先会广播发出浏览请求,浏览主控服务器收到请求后,如果请求的是本组的浏览列表,则直接将客户所需的资源列表发回;如果请求的是其它工作组的浏览列表,浏览主控服务器会根据本身Browsing List中的记录找到相应工作组的主控浏览器返回给用户,用户可从那里得到它想要的浏览列表,我们也就在网上邻居中看到计算机列表了。
但是为什么在网上邻居里有些机子访问不了呢?事实上如果微软的网上邻居真能做到所见即所得,相信抱怨它的人不会象现在这么多,可通过前面对浏览服务的介绍,大家已经知道这是不可能的,因为浏览列表的获得不是通过访问其中每一台机子得到的,很多时候网络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时,它会向网络发出广播宣告,使浏览主控服务器及时将它从浏览列表中删除;而非正常关机后,浏览列表里仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它的原因.而98的稳定性是众所周知的 ----在还没来得及关机前就已经崩溃了。
[color=#FF00FF]
局域网控制技术和解决方案
[color=#C71585]
限制用户上网其实就是对局域网的一个控制问题,基本可以分为限制IP、限制用户和限制流量。
1.限制IP是最常用的一种手段,适用范围也较广,在使用代理/路由服务器、宽带路由器/防火墙都可以使用。
在代理/路由服务器软件中一般都有关于控制IP上网的设置,例如Sygate,ISA Server,具体设置方法这里就不写了,你可以参考软件的帮助文档,在网上也可以找到很多相关的文章。我要提一点的是,如果你使用了WIN2K/XP自带的Internet共享,可以安装一个防火墙软件,利用防火墙软件来限制该服务器与其它机器的通讯,也可以达到控制部分机器上网的目的。
目前的很多宽带路由器/防火墙都带有基本的访问控制列表(ACL)功能,通过简单的设置就可以对流量进行过滤,对允许上网的IP的数据包进行转发,而不允许上网的IP的数据包则被丢弃。一般情况下,路由器都是按照顺序查找的原则,即当路由器接收到数据包后,先从第一条规则开始匹配,如果符合条件则按照该规则设定的转发或者丢弃;如果不符合,则查找的二条规则,以此类推,知道最后一条。这里需要注意的是,有些路由器对于不符合任何规则的数据包按照转发处理,有的则是转发,而防火墙对于不符合规则的一律按丢弃处理。因此,在设置路由器时,一定要先加允许上网的规则,再加不允许的规则,最后根据具体情况,看是否需要加一个禁止所有IP上网的规则,否则无法达到控制的目的。而防火墙则仅加入允许的规则就可以了。下面是一个例子,没有任何语句,只是打个比方:
条目 动作 源地址/掩码 目的地址
1 允许 192.168.2.22/255.255.255.255 0.0.0.0
2 禁止 192.168.2.0/255.255.255.224 0.0.0.0
3 允许 192.168.2.0/255.255.255.0 0.0.0.0
4 禁止 0.0.0.0/0.0.0.0 0.0.0.0
上面的例子可以实现192.168.2.0-192.168.2.31都不可以上网,但其中的192.168.2.22又可以上网,其余的192.168.2.32-192.168.2.255都可以上网,除了这个子网,其余又都不能上网。可以看到,加入规则的先后顺序基本是按照范围大小来确定的,范围越小,越先加入,路由器也就越先匹配。这里面涉及的部分内容不一定被所有的宽带路由器所支持,不确定的话,你可以试试先。
对IP的控制比较容易实现,但是对于动态获取IP地址的网络无法精确控制,而且用户还会自行将IP地址更改到允许上网的范围,从而绕过控制列表,甚至还会造成IP地址冲突,这就涉及到MAC地址与IP的绑定问题。
很多朋友很青睐MAC地址和IP的绑定,认为很好用。其实这种静态ARP技术有很大的局限性,而且效果也不好。MAC与IP地址绑定可以一定程度防止用户私自更改IP地址,之所以说一定程度,是因为此中方法也不能杜绝更改IP的现象,原因后文有述。
因为以太网通讯最终是靠着MAC来进行的,因此,将客户机网卡的MAC地址与其IP地址一一对应,那么用户再更改IP地址将无法使用局域网,更不用提上互联网了,其实现原理我简单说一下:
在每台计算机中都有一张ARP表,该表记录着曾经通讯过的其它机器MAC地址与IP地址的对应关系,下次在通讯时,会在此表中按照目的机器的IP地址查找到其MAC地址,然后与之建立连接。交换机会自动学习网络中其它机器的MAC地址,从而建立起自己的与计算机中相类似的ARP表,通讯时也要按“表”索“机”。上面提到的这些ARP表都是动态的,不定时更新的,每当有计算机开机或关机,该表都会被更新。部分路由器/交换机支持静态的ARP技术,即可以手工输入这些ARP表项,将计算机的MAC地址和IP固定,那么该机器的ARP表项就不会被更新,当用户更改了IP后,数据包传到交换机,交换机会按照目的MAC地址将数据包转发到目的机器,但是当交换机收到目的机器回应的数据包时,会发现数据包中IP和MAC的对应关系与本地ARP表不符,但是,如果是一个二层交换机,它不会去理会这种错误,因为它是靠着MAC地址来工作的,IP对它来说没有任何作用,因此该数据包会正常到达发起连接的计算机,通讯可以正常建立。那么如果是三层交换机呢,那要分两种情况,如果这两台计算机在同一子网内(或者是同一VLAN内),那么通讯仍然可以建立(理由同上);如果不是在一个子网(或者VLAN),那么通讯连接就会失败,因为数据包要跨越三层,最终按照IP来查找目的机器的MAC地址,这时上面的错误就会终止数据包的传输,因此如果你的绑定是在交换机上做的,而且要对同一子网(VLAN)做限制的话,你基本会很失望的,这种技术只有在路由器/三层交换机上才有意义(如果你的宽带路由器支持的话,静态ARP倒是一个不错的选择)。
静态ARP有很大的缺点,首先,如果是一个很大的局域网络,要收集上百台机器的MAC地址和IP,还要一一手工输入路由器,对于网管来说是一个极大的考验(考验你的打字速度J)。其次,计算机的MAC地址也不是不能更改的,现在也有很多傻瓜式的软件,点几下鼠标就会把你的上百条记录的努力付之东流。
2.限制用户,用户基本上是指Windows里的域用户,你可以指定哪些用户可以上网,哪些不可以,但是,这种方法只能用在使用Windows计算机做为代理/路由服务器上网的局域网里,而且要建立一个完整的域,客户端还要通过输入用户和密码才能登陆,进而上网,比较适合中型的局域网络,通过域的管理还可以进行其它的控制。能够与Windows用户帐号结合的代理软件有Wingate,路由网关型软件有ISA(也可以做代理)。限制用户的好处是你不必管用户的IP地址是多少(当然你也可以在DHCP中为可上网的用户分配固定IP地址),而且有一层用户名/密码做保护,要盗用也不是那么容易。
3.限制流量,限制流量可以在一些代理/路由服务器软件上实现,如Sygate、ISA都可以做到,因为我没有实际去做,不知道具体效果如何。
在某些交换机上也可以实现端口限速,我知道Cisco2950以上级别交换机可以做到以1M为单位的限速,其它牌子的我不是很清楚。
上面所有的方法其实都有一个弱点,无法防止内部非法的代理服务器,所谓非法,就是在可以上网的机器上装有代理软件,不可上网的用户通过此代理上网。非法代理实际上是很头痛的事情,这种封包没有任何特殊性,而且代理服务器的端口可以任意修改,用访问列表来控制几乎是不可能的,唯一的办法就是彻底断绝可上网与不可上网用户的通讯。
下面我给出一种目前来说比较完善的局域网方案,基本可以控制住机器的上网,图在最后,使用了三层交换机,VLAN划分和ACL,同样也适用于其它目的的网络控制。
其中VLAN1:192.168.1.0是可以上网的,VLAN2:192.168.2.0是不可以上网的,VLAN3:192.168.3.0是服务器。
VLAN1与VLAN2通过访问列表禁止任何通讯;VLAN1和VLAN2都可以和VLAN3通讯。
访问列表的设置:
条目 动作 源地址/掩码 目的地址
1 禁止 192.168.1.0/255.255.255.0 192.168.2.0
2 禁止 192.168.2.0/255.255.255.0 192.168.1.0
将此列表应用在接口VLAN1和VLAN2上,启用VLAN间路由。
VLAN1和VLAN2之间用户较小的文件传输可以通过局域网的Email服务器,较大的文件可以在服务器上建立FTP服务。
这样,VLAN2的用户无论如何更改IP,也不能达到上网的目的,而且也不能通过VLAN1内的非法代理上网,并且通过VLAN3的服务器可以实现文件共享,可以说是一个较为理想的方案。
进入文章
|
|
闽公网安备35020302032614号 )
IP卡
狗仔卡
发表于 2006-4-28 16:03:58
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡