IP是计算机在互联网的地址,因此要能有效管理地址,才能预防攻击或针对有问题的计算机加以管制。在IP管理方面要注意的事项,主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目,以下分别进行说明:
一、计算机采用固定IP地址
必须要求用户在计算机中手动键入IP地址相关数据,这样每台机器的IP都必须是事先指定,没有事先指定的IP,则无法上网,外来的用户或是计算机不能轻易地通过企业网络上网。计算机采用固定IP地址是最严密的配置方式。
二、防止未允许的计算机上网
很多路由器都提供IP/MAC绑定功能,提供封锁不在对应表列中MAC地址功能,达到网管未配置的MAC地址完全无法上网的作用。有些用户会自行带入中毒的计算机,甚至其它楼层用户通过无线网络进入公司网络,可通过防止未允许的计算机上网来解决。未被管制的计算机,经常引发安全问题。
三、ADSL带宽不足时
由于广域网端为企业上网唯一的路线,因此对于企业上网有决定性的重要。利用多WAN路由器配置汇聚多条ADSL线路,不失为一可行又省钱的方法。
四、DHCP服务器发放固定IP
企业较好的方式是通过DHCP发放IP地址,但同时限定计算机能取得的IP地址,以便进行管理。路由器配置的IP/MAC绑定功能,即可以根据网管的配置,认明计算机的MAC地址发放特定的IP,这样就可针对IP进行管理。
同时IP/MAC绑定功能也可防止用户修改IP,以取得较高权限问题,错误的MAC/IP组合,将会被路由器“封锁错误MAC地址”阻挡,这个功能也可防止ARP攻击。
DHCP服务器的好处是用户无需在计算机上作任何设置,对于用户较方便。DHCP若不加以管制,随便一个用户也能进入企业的网络,也容易发动对内部的攻击,造成影响。
五、局域网LAN端口设置
一般的企业应用,路由器配置的局域端口是可以随着带宽转发的。LAN端口是对内接到企业用户的线路,有些路由器配置本身有局域网端口,可下接交换机;有的网管则会将路由器配置先接到骨干交换机,再向下接到一般的交换机。
六、需要备援时
对于某些行业,需要随时可以上网,这个功能就显得尢为重要。多WAN线路的优点是提供备援功能。一个常见的情况是有些地区运营商会增送光纤用户ADSL线路,这时就可以光纤配合ADSL作备援,在前者发生故障时,以ADSL先顶着用。
企业网络一般比较复杂,用户多、线路乱,如何设置是重中之重,设置好了以后管理很方便,解决故障也会比较迅速。