苏州思朋信息科技有限公司2014年7月22日下午17:04新报道显示:苏州CCNA合理进行上网行为管控。苏州思朋信息科技有限公司，联系人：何老师，电话：0512-81881012，公司地址：苏州市三香路1298号光大银行大厦16楼B座。

    上网行为管控是目前苏州很多企业在做的，对于企业环境中，苏州CCNA如何合理进行上网管控，涉及的知识比较多，需要苏州的CCNA去了解掌握很多网络系统方面的相关知识。给所有的苏州CCNA看一下苏州思朋CCNA是如何做到这一点的。

   

    单位外网的规模不大，几十台机器，除一OA办公及一进销存软件外，没有其它什么关键应用。说白了，只要别掉线、只要速度说的过去，就一切OK。光猫、路由器、交换机、电脑，结构相当的简单。在路由器上作些相关的设置，另外配合我用的网络岗软件，用员工的话说我的设置很BT，基本上都满足需要了。

　　说到进行上网限制，其实我最初并不想这么做，而且也不是我要想作的，大家明白是谁的主意。我们都是打工的，吃谁的饭跟谁干，很天经地义，只是不失原则就行。老板只问我能不能作到，我说能，你想怎么限制，怎么监控我都能，是要免费的还是要掏钱的，是要完全监控还是作作样子搞个摆设。。。。。。。老板说，那你能作成什么样就作成什么样吧。我说，那好吧，耗子还是怕猫的，药是可以治病的，关键还是在于管理，要是每个人都能老老实实的遵守规定，规规矩矩的上网，哪个网管愿意去做那么多限制，浪费多少脑细胞啊。也真是，公司就2M的光纤，总有那么些人下载电视啊、电影啊，上班偷着玩游戏，玩空间等，以前我睁着眼闭只眼，最多给他们警告说说，估计是有人反映到老板那去了，这不才叫我管制。

　　费话说了半天，赶紧说说具体的做法：

　　单位使用的是TPlink的一款企业宽带路由器，带端口镜像，可VPN，我的作法就是通过路由器与网路岗设置上网规则监控上网行为。外网客户通过VPN拨入内网，内网客户端自动获取地址，于是我首先作了个改动：

    一、手工指定IP

    先是手工登记了全部客户端的MAC地址，并根据部门划分了IP地址段，预留一段IP以防部门加人。而且电脑配置里明确登记这些，使用者与IP对应，主要是方便我对号入座。（PS：如果你电脑多，手工指定麻烦，也可以采用DHCP设置静态地址分配的方法）

    公司原来的DHCP自动可以让外来客户也能上网，非常不安全，于是申请了一条宽带又加了个无线路由，客户来必须问我要密码才能上网。

　　二、设置IP地址过滤和MAC地址过滤

　　只允许登记的分配里的那些IP访问网络,防止客户端私自指定其它IP上网，逃避追查。

　　只允许所有登记的MAC访问网络，防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC，逃避追查。

　　三、进行IP与MAC绑定

　　将路由器的ARP表设置成静态，防止ARP欺骗，客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来，这样还能防止客户端盗用别人的IP上网。

　　一台客户机的MAC地址在允许访问的列表内，他手工指定了一个原本给别人预留的IP，此IP也在允许访问的IP列表内。但是他还是上不了网，IP与MAC的对应关系不对，路由器会认为他在进行ARP欺骗，阻止他的数据，同时将信息记入日志。

　　四、在客户机上绑定路由器的IP和MAC信息

　　目的是防止客户机受到ARP欺骗，网关的正确MAC信息不会被篡改。方法是建立一个批处理文件：

　　arp -d

　　arp -s 网关IP　网关MAC

　　将此文件设置成开机自动运行。

　　完成以上工作，ARP病毒就不怕了，其实针对ARP病毒最可靠的方法就是我这个双绑的方法。不信的人可以去试试。

    直接开启路由防火墙，把一些不需要公司上的网站全罗列在里面，比如各种视频网站、QQ空间、开心网等，而且对于一些直接封外网IP段（这个要小心些，有次我就封后，导致10086的手机邮箱进不来了，后来叫电信帮查才知道是我路由封了它们的一个IP），如此保持上网上的也是正规网站。

　　对于端口设置此法的指导思想有两种：1、全世界都是好人，只需要限制个别的坏人；2、全世界都是坏人，只排除个别的好人。这里是把端口比作了好人和坏人。p2p的端口太多了，有些还是随机的，而且我们也不可能了解所有的p2p软件。只好采用第二种思想，所有的端口都是坏人，我只允许个别的好人访问，比如打开53、80、443等，开放工作中要用的门，其它门先关闭，要用的时候再打开。

　　经过这样设置现在的情况是，常用的业务能够正常使用，不在端口列表里的软件不能访问网络。软件不能用同事就会来找我，这时候我检查这个软件是不是p2p的，会不会影响网络，如果没问题给他加上这个端口就OK了。这样将原本被动的工作变成主动了，不用再跑来跑去劝说他们别用这个别用那个，现在他们想用只能主动过来找我。我们干网管的也不能太累了，多动动脑子，形势就大不一样了！

    

    以上的步骤就是苏州CCNA管控的一些常规的步骤，当然还有一些专业的上网行为管控的设备，就不在这里详细说明了。如果有需要了解的，可以联系我们。

    本站内容不得转载，违者必究！本站关键词：苏州CCNA，上网行为管控，CCNA知识