万任UniERM企业网络流量综合管理系统_IP地址管理功能及其流程

1、 万任科技UniERM网络流量综合管理系统IP地址管理功能及其实施流程万任科技UniERM网络流量综合管理系统IP地址管理功能及其实施流程北京万任科技有限责任公司2012-05目 录第1章概述3第2章IP地址管理的功能42.1客户的网络为三层环境，但交换机不支持SNMP42.2客户的网络为二层环境42.3客户的网络为三层环境，且交换机支持SNMP5第3章IP地址管理实施流程93.1设备学习所有的主机信息93.2下发关于IP地址管理的通知103.3逐个网段实时IP地址管理功能（不进行ip，mac绑定）103.4全网实施IP地址管理 （不进行ip，mac绑定）103.5进行IP和MAC绑定（注：不

2、支持SNMP的三层环境无此环节）10第1章 概述客户的员工如随意更改IP地址，将导致网络的混乱，可能会出现下列的几类问题：1、 导致IP地址冲突，产生冲突的员工无法上网。2、 出现网络的问题找不到对应的人或者主机。3、 上网行为管理形同虚设，审计与上网行为统计信息中记录的主机信息将变的没有意义。为了杜绝随意更改IP地址导致的网络混乱，准确定位故障主机或者问题主机。您需要启用万任科技UniERM网络流量综合管理系统的IP管理功能。不管用户是在二层或者三层（需要三层交换机支持SNMP）网络环境下，UniERM都可以让每台主机的IP和MAC进行地址绑定。如果绑定的主机修改了IP地址，UniERM则自

3、动对该主机告警，且该主机也无法再访问网络。从而从根本上解决这个问题。第2章 IP地址管理的功能万任科技UniERM网络流量综合管理系统可根据不同的网络环境采用不同的IP地址管理模式：1. 客户的网络为三层环境，但交换机不支持SNMP：不能进行IP/MAC绑定，只允许指定的主机上网。2. 客户的网络为二层环境：可进行IP/MAC的绑定。3. 客户的网络为三层环境，且交换机支持SNMP：可进行IP/MAC的绑定。2.1 客户的网络为三层环境，但交换机不支持SNMP不能进行IP/MAC绑定，只允许指定的主机上网。组织结构IP地址管理标准IP地址管理如用户需设定只有指定的主机可以上网，需要选中以下的勾

4、选框：1）主机的定义：在二层环境下以MAC地址为标识，在三层环境下以IP地址为标识。2）对于选中的网段，只允许网段内被选中的的主机；没有选中的网段不限制IP上网。 2.2 客户的网络为二层环境可进行IP/MAC的绑定。组织结构IP地址管理标准IP地址管理如用户的网络环境为二层交换的网络环境。可以进行IP与MAC绑定，如下图所示：可以禁止员工随意修改IP地址，导致网络管理上混乱，避免出了网络的问题找不到对应的责任人的事情发生。本产品可以对指定主机的IP和MAC地址进行绑定，使其不能随意修改IP地址。设置如下图所示：IP与MAC绑定设置被绑定的IP与MAC的记录中会出现标识。如了IP与MAC绑定生

5、效后，被绑定的主机的员工私自修改IP地址，则该主机上会出现以下自动告警提示信息，同时该主机也无法访问任何网络应用。IP地址冲突提示2.3 客户的网络为三层环境，且交换机支持SNMP可进行IP/MAC的绑定。组织结构IP地址管理标准IP地址管理如用户的网络环境为三层交换的网络环境，且需要实现IP与MAC绑定。则需要本产品配合客户的网络环境中支持SNMP的三层交换机来实现该功能。三层交换环境下的IP与MAC绑定界面1三层交换环境下的IP与MAC的具体绑定设置不在本功能中实现，在组织结构三层交换SNMP设置中进行配置。当公司网络为三层网络，管理人员需要做跨三层的IP/MAC识别绑定时，需要在设备上进

6、行三层交换SNMP设置。当管理人员需要开启跨三成IP-MAC绑定时，请“勾选”启动从三层交换机获取IP-MAC信息。同时对三层交换机上联端口IP地址及三层交换机上联端口MAC地址根据需求进行设置；访问超时设置(1-5秒)、访问间隔时间（5-1800秒）、OID、通信端口、COMMUNITY等信息一般情况下使用默认配置。配置完三层交换机上联端口IP地址及三层交换机上联端口MAC地址后单机“增加”选项，下方列表中将会显示添加的设置信息。设置完毕后选中添加的信息项点击“测试”，查看是否设置成功。确认测试通过后，点击配置才能生效。设置跨三层IP-MAC绑定需要将三层交换上的SNMP改为public后，

7、设备进行以上设置才能获取到三层环境下的IP-MAC信息。附：常用三层交换机的1. Cisco交换机相应的配置命令：Config terminal 进入全局配置状态Cdp run 启用CDPSnmp-server community public ro 其中public为三层交换机的CommunitySnmp-server enable traps 允许设备将所有类型SNMP Trap 发送出去2. 华为交换机的配置命令：System_view Snmp-agent community read public ; 其中public为三层交换机的communiySnmp-agent sys-inf

8、o version all; 其中all表示所有版本3. 其它的主流交换机命令与之类似，请参阅相关产品的技术手册。注意：三层交换机需要支持SNMP协议的v2c-v3版本，否则不支持跨三层的MAC地址绑定第3章 IP地址管理实施流程由于IP地址管理的实施修改了对全体员工的主机的IP管理模式，在实施的过程中需要全体员工的支持与配合。如在实施的过程不顺利混乱可能对员工的上网造成以下的问题：1. 员工不知道单位实施了IP地址管理。2. 员工A有意或无意手动修改了IP导致其不能上网。3. 员工A修改后仍然不能上网则很可能会多次修改IP，则又很可能导致其IP与其他员工（例如员工B）原来可以正常上网的IP地

9、址冲突。4. 员工B不能上网。5. 员工B可能会重复员工A的步骤，导致员工C不能上网。6. 依此类推可能会导致连锁的反应，最终导致整个网络的混乱。所以建议客户在实施IP地址管理时采用以下的步骤与流程：3.1 设备学习所有的主机信息 首先需要获取所有的主机的IP与MAC信息。万任的网络流量综合管理系统可以自动发现与学习客户上网的所有主机的信息。1. 在组织结构中删除所有的主机信息之前的信息可能由于员工修改了IP导致信息错误。2. 网络流量综合管理系统运行一段时间后，确保绝大多数的员工在这个时间段内都已经在公司上过互联网。此时网络流量综合管理系统已经学习到绝大多数的员工主机的IP、MAC、帐号、主

10、机名、邮箱等信息。这样只有极少数员工由于在这段时间内没有在公司上网，在实施IP地址管理后需要网络管理员手动确认允许其上网。3.2 下发关于IP地址管理的通知网络管理部门给全体员工下发IP地址管理的规定及其实施步骤的通知。告知公司的员工：公司将实施IP地址管理，如员工修改IP将不允许上网；并规定各个网段（部门）参与IP地址管理的时间与步骤。则公司的员工此后将不再随意的修改IP。3.3 逐个网段实时IP地址管理功能（不进行ip，mac绑定）按通知要求逐个网段实施IP地址管理（不进行ip，mac绑定），在实施的过程中逐步培训与规范各部门的员工正确的使用IP地址，发现可能的问题并及时解决。防止由于相关的人员较多问题集中出现，网络部门不能及时的解决。3.4 全网实施IP地址管理 （不进行ip，mac绑定）各部门都实施IP地址管理后，则在公司的全网实施了IP地址管理（不进行ip，mac绑定）。3.5 进行IP和MAC绑定（注：不支