单位局域网总有人乱改自己登陆地址,最终导致网络中IP地址冲突,而且查找起来还很不容易,有什么好办法可以解决。单位只能用静态地址,不能用DHCP。这个问题看似十分简单,解决的方法也是五花八门,让人眼花缭乱。实际上,这个问题并不简单,需要从网络的规模、网络上运行的业务以及网络效率这几个方面进行分析,对症下药才能药到病除。IP免费加速器小编实战具体步骤如下:
一、简单网络
这种结构简单的网络,一般情况下出口设备简单、功能单一不支持配置相应登陆策略,所以解决重心在客户端电脑的策略控制上,我们可以通过修改策略组的方法来禁止本地用户对IP地址的修改。
运行输入gpedit.msc,打开“组策略”编辑界面后,依次展开“用户配置→管理模板→网络→网络连接”,在右侧窗口中找到“禁止访问LAN连接的属性”选项并右击,从其右键菜单中选择“编辑”项。选择已启用-确定,就完成了。
二、二层网络
二层网络没有汇聚层,只有核心层和接入层,一般来说,二层网络只有交换功能,交换机根据MAC地址表进行数据包的转发,有则转发。二层网络的组网能力非常有限,所以一般只是用来搭建中小型局域网。
这种情况只需在相应的业务交换机上做客户端IP+MAC地址的绑定配置即可。以华为交换机命令举例如下:
绑定客户端IP+MAC端口
三、三层网络
三层网络分核心层、汇聚层、接入层,与二层网络的区别主要就是ip路由的区别,三层网络使用ip转发,可以区分更多的vlan,管理比较简单,网络也更复杂。通常我们在三层网络中很少采用更改客户端策略组配置方法来限制IP地址,因为这样会造成大量的维护,增加了工作量。具体方法如下:
1、接入层交换机做客户端IP+MAC地址的绑定配置。这样的配置对网络的影响最小,可以很方便的管控一个VLan业务区域。
2、上网行为审计设备,这种设备是专业的网络监控管理设备,每个厂家的策略和配置有所不同,但是都可以起到对IP地址的限制策略。上网行为有两种接入方式:旁路模式和串联模式。旁路模式需要在核心交换机上做引流。串联模式直接放置在出口与核心层之间即可。
3、软件管理的方式
域控方式:在局域网中,部署域控服务器,客户端电脑通过域登录到域控服务器实现IP地址的访问控制策略,这里不再详细介绍域控服务的部署,有兴趣的同学可以到微软官方查看相应资料。
上网行为管理软件:很多软件商也有为企业研发定制的上网行为管理软件,在访问控制、入侵检测、安全审计、防病毒方面特别定制。
IP免费加速器小编总结:
通过对这三种类型网络的分析,我们可以看到不同的网络类型对应着不同的解决方法。根据笔者常年的运维经验分析,如果网络比较简单,客户端数量又不是很多的情况,建议采用更改客户端电脑策略组的方式进行IP地址的策略控制,即使客户端操作系统损坏,也可以通过Ghost系统镜像的方式快速的恢复系统。
对于中大型网络,需要根据实际情况来分析,通常采用在交换机上配置MAC地址绑定的方法来实现,如果网络中有些业务不允许对交换机进行配置,可以考虑部署上网行为设备来进行管控。域控的方式不推存,因为这种方式与服务器系统的稳定性和性能有直接关系,时常给网络带来不可预料的故障,造成部分网络业务异常。
