安全設置！路由器配置攻略

對於中小企業的網絡管理，用戶的管理是一個很常見的問題。例如：有限的IP如何分配如何管制不同員工上網權限如何阻擋訪客使用企業網絡如何分派較多帶寬給高管或是老總這些問題，都在在影響企業網絡的安全性，因此網管要作到網絡的安全，就必須從基本把用戶管理的工作作好。這些問題都可經由路由器的用戶管理功能來達成。以下我們就中小企業常遇到的用戶管理問題，以Qno俠諾路由器為例作一個全面性的介紹。

    內部局域網上網用戶的管理，可分為企業局域網內地址合理分配、內部新增上網用戶管制、及內部上網用戶有效管制三個方面。如果沒有一套合理有效的管理機制，會在後面的網絡管理及安全方面帶來很多負面影響及經濟損失。

    總括來說，常見的用戶管理問題及對應路由器功能如下：

　　　　　用戶管理　　　　　　常見問題　　　　　　　　　　　對應產品功能

　　　　地址合理分配　　　如何分配IP地址給用戶　　　　動態/靜態IP地址分配、One-to-one NAT
　　　　　　　　　　　　　公網IP及虛擬IP如何共存    
　　　　新增用戶管制　　　如何阻擋非公司計算機上網　　　　IP/MAC綁定功能
　　　　上網用戶管制　　　如何管理不同用戶　　　　　　IP群組管理、QoS帶寬管理
　　　　　　　　　　　　　如何保留帶寬給重要人員       

　　以上這些內部網絡的管理都可以通過Qno俠諾路由器的相關功能來實現，達到網絡安全的目的。Qno俠諾路由器提供動態IP地址分配和靜態IP地址分配的功能，滿足內部上網用戶IP地址的分配的不同需要。路由器還提供了IP組管理功能，解決不同部門需要不同上網權限的群組設置，方便統一管理。配合IP/MAC綁定功能避免內部網絡濫用IP地址造成網絡管理的困難，同時可以通過QoS的設定給內網用戶上網一定的帶寬管理，保證企業領導希望聯網速度能夠保持暢通不塞車，確保公司重要業務信息不致延遲、重要應用服務聯機順暢等要求。

IP地址分配

　　企業首先考慮的就是IP地址的分配管理，動態IP地址分配使用DHCP服務器，優點是客戶端不需進行配置，只需配置服務器，配置簡單。靜態IP則必須在客戶端進行IP配置，相對較嚴謹，管制較完全。

　　Qno俠諾路由器提供動態IP地址分配和靜態IP地址分配的功能，滿足內部上網用戶IP地址的分配的不同需要。Qno路由器提供動態IP地址分配機智（DHCP功能），支持C類IP地址，可設置其IP地址分配的范圍以及地址租約時間。進入“DHCP功能”的“DHCP配置”。

圖一：DHCP配置顯示發放范圍在192.168.1.100~192.168.1.49之間共50台電腦，地址租約時間為1440分鐘。

    通過“DHCP服務器狀態顯示”了解到內部網絡IP地址分配情況，我們可以了解到DHCP服務器的相關情況以及內部網絡用戶的“主機名稱”、“IP地址”、網卡“MAC地址”，“目前租約時間”。

圖二：DHCP服務器狀態顯示。同時路由器還支持靜態的IP分配功能，只要保證其IP地址不和DHCP范圍沖突就好。

    靜態的IP分配，只要不激活DHCP功能即可。但是客戶端配置的IP地址和路由器配置的范圍必須相符。也可將DHCP功能與靜態IP配合使用，即在整個路由器配置的IP范圍中，部份使用DHCP發放，部份使用靜態IP。例如：廠內使用的計算機不常移動，可使用靜態IP；業務人員計算機時常移動，則采用動態IP。
適當的IP地址分配，是後續安全管理的基礎，適當地在安全性及便利性間取得平http://www.xsyzj.cn衡，這是必須達成的。

One-to-one NAT

　　有些企業具備幾個公網IP，用來作特別的用途，例如總部服務器只能和固定公網IP聯系，以加強http://.安全性。在這種情況，經常發生公網IP不夠辦公室所有的計算機使用，這時就可以進行一對一NAT的配置，把幾個公網IP對應到內部計算機，這時就可以達到公網IP與虛擬IP共同在局域網共存的目的了。

圖三：一對一NAT功能可允許公網IP和虛擬IP共同存在局域網，可適用於注重信息安全的通訊應用。

　　適當地利用這個功能，分隔不同的IP，可避免內部網絡的數據外流。 

IP/MAC綁定功能

　　DHCP服務器自動分配內部網絡用戶的IP地址，用戶可以不用手動設置IP地址。但是DHCP是不容易管理，內部網絡隨意加入一個用戶通過自動獲得IP地址都能在DHCP范圍裡（電腦自動關機）獲得一個合法的IP地址。有些攻擊者，會通過無線網絡進入企業局域網。或是在靜態的IP分配情況下，有些員工會自行修改成高管或領導的IP地址，以逃避管制。這些都是可以通過Qno俠諾路由器產品提供的IP/MAC綁定功能來反應，並達到安全管理的功能。

　　企業網管進行IP/MAC綁定，必須把企業內網計算機的MAC地址都鍵入到路由器，並與IP地址建立對照表。如果路由器發現來向DHCP服務器索取IP的計算機的MAC不在表列中，那麼就不會予以響應。因此網管可把企業內的計算機MAC都進行綁定，那麼外部的計算機就無法進入企業網絡，也可避免內部員工自行修改IP以逃避管制的措施。

　　IP綁定的功能很簡單，Qno俠諾路由器“DHCP功能”的“DHCP配置”頁面的“IP 與 MAC 綁定”，點擊“顯示新加入的IP地址”將內部網絡的IP地址/MAC對應加入到IP 與 MAC 綁定列表中，同時也可以通過手動的模式加入。
 
圖四：IP 與 MAC 綁定畫面。您可以“√”選“封鎖在對應列表中IP地址，錯誤的MAC地址”防止內部網絡用戶修改IP地址逃避網絡管理，如“√”選“封鎖不在對應列表中的MAC地址”，可以阻止內部網絡中並沒經過網管人員同意而加入的上網用戶。

　　IP/MAC綁定功能為我們解決了其內網用戶逃避管理以及管理可能加入的新上網用戶等問題，也是安全管理一個必要的手段。

IP群組管理

　　企業網管大多希望給不同部門的人不同的權限，例如業務單位的需要較多對外聯絡，相對的制造單位或事業單位對外聯絡的需要較少。但是針對內部上網用戶IP地址上網權限配置，工作量很大，輸入過程中也容易出現錯誤，甚至有時出現遺漏的事情，這種情況下Qno俠諾路由器的IP群組管理功能，可將多個用戶，例如一個部門所有IP地址，組成一個群組解決這個問題。

　　比如一個企業的A部門分得的IP地址是192.168.1.100~192.168.1.110，B部門分到的IP地址是192.168.1.111~192.168.1.120，我們可以將這些連續的IP地址群組到一起，方便做統一的設置。減少網管人員的工作量，同時也避免繁多的IP地址輸入容易出錯。同時內部網絡需要同時大量的IP地址需要做同樣管理的時候就將這些連續的IP群組到一個組做相同設置。

　　Qno俠諾路由器內“DHCP功能”的“DHCP配置”頁面的“IP GPOUP”，如圖五對應輸入相關信息確定後就可完成IP群組的設置。

圖五：IP群組管理設置畫面

QoS帶寬管理功能

    有些企業希望針對特定用戶進行配置，例如內部網絡特殊用戶（比如經理，董事長等）給予大的帶寬、內部網絡用戶選擇特定WAN訪問外部網絡、特定線路留給特定的用戶、等等的。通過QoS帶寬管理功能能達到以上的功能。
    Qno俠諾路由器可以允許選擇設置內部網絡的某一單個IP地址、一連串IP地址，或者某一IP群組，通過有效的管理上傳與下載的速度來達到對帶寬的管理功能，保證內網上網用戶能夠合理利用帶寬，同時還可以確保特殊用戶上網不受限制，保證大的帶寬享用。例如，可以為重要的高管設定較大的最小帶寬，或是保留特定的廣域網口給特定IP群組，
 
圖六：帶寬管理功能設置頁面

小結

    以上針對中小企業內部局域網用戶的管理，通過Qno俠諾安全路由器的策略管理功能，針對常遇到的一些問題，作了初步的介紹。相信對於企業網管在進行日常管理，有相當的幫助。用戶管理是網絡安全的最基本的工作，網管如能在一開始就把這方面的工作作到位，相信可以減少後續很多的問題。 安全設置！路由器配置攻略