海蜘蛛+panabit彻底改善学校的网络环境【网络管理实例】.doc

海蜘蛛+panabit彻底改善学校的网络环境【网络管理实例】学校机房60台电脑，备课室12台，办公区10台电脑，外线环境移动2M光纤+4Madsl宽带。在未进行网络管理升级之前，采用tp-linksohu路由器做网关代理上网，一般情况下还比较正常，特别情况就不行了，比如机房的电脑都安装有360杀毒软件和安全卫士，（对，您说别安这些，别安这些即使有还原卡，机器中毒之后也无法正常运行）每次开机都会自动更新，60台机器同时更新，会将可怜的带宽全部耗尽，直接结果就是所有在网的电脑都无法打开网页，PING外网好几千毫秒的延时，或者干脆timeout了。针对这种情况，决定采用海蜘蛛+panabit进行网络重新规划。设计思路：将学校的80多台电脑分为三个区：A、办公区，B、备课室（包括教师机）C、机房学生机根据不同的分区，进行不同的带宽分配，并且限制一些比较网络电视、P2P下载等应用，同时限制QQ视频聊天等带宽比较大的应用。特别设计：分时间区段进行规划，正式上班时间进行限制，而下班之后将则将限制放宽。实现方法：由于没有三层交换机，（当然移动那个还路由的交换机也算三层交换机，但是考虑到移动光纤的实际情况，还是不用它为好，就只将它做为一条外线。）无法划分vlan，所以采用IP地址的划分办法，这种办法需要每台机器上的IP都是固定不变的，这样才能通过IP来指定电脑，而去每一台机器上设置IP地址当然也行，但是万一让别人更改了，那就不是这台电脑了，这里采用的办法是海蜘蛛路由中的dhcp功能中的“固定分配”，就是指定mac地址对应的IP地址，这样，客户机使用自动获取IP时，每次都是获取唯一的IP地址。这样问题只解决了一半，剩下还需要在“防火墙”里面，将“固定分配”的IP与其mac绑定，而且设计防火墙，只有绑定的IP才让其访问internet，这样一来，客户机如果想上网，就必须自动获取IP，否则，自己设置一个IP地址添上，是不能访问internet的。而带宽限制则是由panabit软件来实现的。网络结构示意图：硬件连接说明：进行这种网络管理，需要两台电脑，并且每台电脑安装三块网卡，各有所用，关于海蜘蛛和panabit的安装，详见前边发表的日志。PCA表示安装海蜘蛛软路由的电脑，PCB表示安装panabit管理软件的电脑，每电脑的网卡分别如图所示，进行编号：将联通的宽带连接PCA的网卡1，移动的光纤连接PCA的网卡2，PCA的网卡3连接PCB的网卡1，这里需要注意，因为是两个网卡连接，属同类设备，需要使用交叉线，即普通586B标准网线，一头不变，另一头按照1-3、2-6的方式交换线序，如下图：这里如果使用直连线，则网络无法畅通。从局域网交换机做两根网线，分别连接到PCB的网卡2和网卡3，关于这些网卡的作用，在前边日志已经说明了。安装好之后，将海蜘蛛路由设置好外线的内线，并且设置好dhcp服务，在panabit里面设置好上行网卡和下行网卡，则局域网电脑可以正常访问internet。到这里，基本网络已经搭建完成，下面我们着手进行详细设置，来完成我们对网络的规划与管理。在设备之前，还需要做一项工作，即查找并记录学校所有电脑的mac地址，并且将其对应到具体位置，比如说机房第3号机的mac地址是多少，哪个办公室的电脑pac地址是多少，或者谁的电脑mac地址是多少，建立一个表格，如图：这里的名称可以自己定，关键是要知道是哪台电脑的地址不可以了。另一个准备工作就是规划IP地址，规划好每一台电脑的IP，比如微机室192.168.0.101-192.168.0.160，备课室192.168.0.161-192.168.0.180，办公区192.168.0.201-192.168.0.220等等。（1）设置dhcp服务，实现IP地址固定分配：在海蜘蛛软件中：服务应用-dhcp服务，里面有一个固定分析，将自已规划的IP地址和mac地址及备注信息（名称）填到里面去，当然那个批量修改比较方便，完成之后如图：这里设置好之后，只是每台电脑通过自动获取IP之后，即可获取你想让他获取的IP地址，但是如果人家使用指定IP地址，则使用其他IP地址，你就不知道哪台电脑了，所以还需要进行后续设置。（2）设置MAC地址和IP地址绑定从防火墙菜单-IP-MAC绑定，选择启用ip地址与mac地址绑定，在下面的列表中输入你规划好的IP与mac的对应关系，当然备注信息是不可少的，如图：在这一页中的“强制绑定”中的一个“强制进行IP/MAC地址绑定”需要选择上，这样，如果客户机的IP与mac不是我们预设的的话，这台电脑将无法访问互联网。最好，还需要在dhcp服务中的参数设置上，进行如下设置：这样设置之后，如果不在我们规划的IP则无法获取IP地址，因为我们的固定分配与绑定的IP一致，所以就是我们已经统计到的mac的电脑可以获取IP，并且上网，如果有一台新电脑，接入我们的网络，也无法上网，需要让他把mac报给我们，加入海蜘蛛，才可以上网，这样便于对学校的所有电脑进行有效管理。经过上面的操作，我们所有局域网的电脑必须使用自动获取IP地址，才能够上网，这样就达到了我们的目录，我们想限制哪部分电脑上网行为或者带宽，只要限制某些IP就可以了。下面开始在panabit中进行设置，来达到限制带宽占用的目的：在PA中，对象管理是很有用有效的管理方式，比如我们要管理IP地址，则需要建立IP群组即可，以我们的网络为例，则建立四个IP群，如学生机、备课室、办公区、特殊区，这里的“特殊区”是为了特殊情况需要，比如谁的电脑需要占用大量带宽，即可加入到这个区里。将规划的IP加入到建立的群组之后，如下图：建立上IP群组之后，由于我们要进行流量控制，即带宽控制，所以还必有建立与IP群组对应的数据通道，将IP分配到不同的通道，则可以获得不同的带宽：在“策略管理”下的“流量控制”下的数据通道中，建立数据通道，如下图：这里设置几个区域不同的带宽，带宽是表示这一组IP共同享有的网络带宽，单位是bits（位），跟我们通常所说的宽带是几M的是一样的，即512的带宽，最大下载速度为512/8=64K。这里的带宽设置，需要根据外线带宽实际情况及内网各个分区需要的带宽而定，比如我们，微机室因为很少需要上网，电脑数据又比较多，所以保留比较小的带宽，而同样的512K对于备课室的10多台电脑就可以感觉比较快了，当然是指打开网页，而办公区保留的带宽更多一些，方便一些下载或者视频的应用，而“特殊需要”这里的带宽基本等于总外线带宽，便于最大限度地使用网络。接下来，设置“组策略”及“策略高度”，这里建立了一个限制策略组，把这些策略全部加进去，添加之后不会马上生效，如果想让设置生效，必须进行策略调度：从这个调试可以看出，这个限制策略组起作用是在8点到17点之间，即上班时间生效，而下班之后则另当别论了。至此，对网络进行了简