随着宽频网络的日益普及,在企事业单位局域网中,员工上班使用P2P类下载软件(如:BT、迅雷、eDonkey、eMule..等等)的人越来越多,但是在使用此类软件时,通常会因他们的高速而「榨干」了我们有限的带宽,其他需要透过网络来联机的应用程序就几乎动弹不得了!有时想一边下载一边浏览网页都不行,蜗牛般的页面打开速度和极高速的文件下载速度总是让电脑使用者在一旁哭笑不得。在公司局域网中滥用P2P软件的行为已经严重影响了公司正常的生产、经营和工作,为此必须对此类不合理的上网行为进行有效的控制。
当前,国内各行业都踏上了互联网的快车,享受着网络带来的高效率。员工上班利用计算机网络已经成为工作的必备条件。然而,员工在上班时上网又可能会造成种种问题,甚至是严重的后果,因此企业有必要对员工上网进行适当的管理。特别是,在公司局域网内部,禁止员工P2P下载、禁止员工上班炒股、限制员工玩游戏、屏蔽视频网站、控制上网带宽、禁止浏览非法网站,限制网络购物、禁止上网干私活等不合理且与工作无关的上网行为。
那么,企业该如何管理呢?如果限制的太死,则容易打击员工的积极性,不管又不行。笔者认为,网络是一种工具,企业对员工多点人性化管理,加强对网络的有效利用才是明智的选择。具体的执行,企业不妨参考以下建议:
建议一:设置专门的上网电脑
对于大部分员工的工作不需要上网的企业而言,可以设置几台可以上网的电脑给油需要上网的员工使用。不过需要注意的是电脑商一定要装防病毒的软件,并可以在线更新,最好也不要与公司内的局域网相连,以免中毒后感染整个局域网。
建议二:在特定时间开放
对于经常使用网络的企业来说,可以在服务器上安装相关的软件,可以设定为早上和下午的工作时间开放上网,休息时间则不允许员工上网。当然,反过来也是可以的,如果把上网作为员工放松、调节的一种方式,那么究竟可以在中午吃放休息的时间或者是在下班后开放上网,让员工在紧张的工作之余缓解一下绷紧的神经。
建议三:使用专用的上网管理系统
当前,这种上网管理系统有不少,其主要还是安装在服务器端或者是网络的进出口处,其对整个公司各种网络活动可以进行监控,包括上传、下载、上网浏览、是否可以使用即时通讯软件、是否可以玩游戏、是否可以安装、运行软件等等大多是封堵的形式,但是能做到对每台电脑进行详细的个性化设置的管理系统却非常少。但与前两种方式相比,其要来得方便,一切全部由软件来完成,只需一些专用上网管理系统。
我们以国内最知名、使用最多的ANYVIEW(网络警)网络监控软件系统(官网:http://www.amoisoft.com/)为例。ANYVIEW(网络警)网络监控软件网络控制软件可以控制整个局域网的上网行为,尤其是可以控制迅雷下载、禁止QQ农场游戏、限制开心网游戏、禁止炒股软件、限制上网网址、控制上网速度等。ANYVIEW(网络警)网络监控软件是国内部署最快捷、网络控制功能最实用、最有效,使用最简单的网管软件。
从目前来看,企业中绝大多数员工都是上网的。对于企业来说,要想完全制止员工的上网行为也是不可能的事情,所以,企业可以根据员工的实际需要有效地利用公司的网络资源。部署专业的上网监控软件、局域网网络限制软件成为企业当前加强局域网上网控制、合理规范员工上网的必然选择。
随着信息技术、网络技术的不断发展,企事业单位信息化程度日渐增强,计算机网络对企事业单位的越发重要。单位内部局域网的安全、稳定、畅通与否将直接影响着企业信息化系统的正常运转,甚至直接影响到员工正常的工作。因此,必须加强对单位内部局域网的上网管理,有效管理员工上网,保证网络资源的充分、合理、高效利用。
而对于当前国内很多企事业单位而言,网络管理似乎还停留在通过单位内部的路由器、交换机等网络设备来实现基本的网络管理,稍大一点的单位可能通过配合防火墙的访问控制列表(ACL)来实现一定的网络管理。单位网络出现问题,很多网管人员总是通过重启网络设备、禁止某些电脑上网的粗放的网络管理手段来解决网络问题;一些网络管理员还通过从网络下载一些免费的网络管理工具来从技术层面加强上网管理。但是,总体而言,上述网络管理手段和网络管理方法已经无法从根本上解决企业面临的网络管理问题,而通过防火墙来加强网络管理,一方面需要企业购买专门的硬件防火墙,需要较大的投入;另一方面,很多防火墙的设置都是通过命令来实现,使得没有专门技术的网管人员操作、设置防火墙较为复杂,无法适应中国最广泛网络管理人员的需要;而一些免费的网络管理工具,只是辅助网管是实现断网、检测一些网络硬件信息等,无法从根本上治理网络管理问题。
作为一个合格的网络管理员,不单要维护好整个局域网络的稳定运行,防治网络被入侵,确保整个网络环境能无间断工作,还要对网络资源分配合理,在各应用的流量控制上更加不能松懈,因为整个网络不可能每个应用每个端口的流量都要求一样,网络管理员必须要做到根据各应用的实际要求来分配流量资源,在端口流量吞吐上做好控制,以免出现“堵死”现象和“抢网速”的情况。
一、局域网限速的前提 在进行局域网限速前,实际上我们先想做局域网内的流量监控,只有对局域网中各台交换机的端口流量(甚至是各类网络应用)有一个全面的了解,才能够制定出限速的标准以及具体实施方案。比如我们就利用ANYVIEW(网络警)网络监控软件软件(www.amoisoft.com)对一个或一组用户的用量情况都有了一个清晰的了解,这样通过观察,得出哪些用户的流量大,对带宽的占用多,就可以着手进行限速方案的制定了。
二、局域网限速的具体实现方法 具体实现方法又分两大类,一类是通过交换机限速进行端口限速,另一类是通过限制某些特定的网络应用限速(比如专门限制BT和网络电视等的使用)。
(一)基于交换机的限速 1、接入层交换机的限速 接入层交换机也叫做楼幢交换机或桌面型交换机,它们位于网络的最底层,直接接入终端用户(家庭或办公用户),一般来说这类交换机很廉价,也没有什么管理功能,但是也有一些交换机可以满足我们进行端口限速的要求(当然价格也要略高一点)。此类交换机进行端口限速往往很直接,有的甚至可以通过图形界面,用下拉菜单的模式很直观的设置几十K至100M的端口速率,不过本例中还是通过CLI来实现,是一款DLINK的二层可管理交换机:
DES-3026,设置方法如下:DES-3026:4#config bandwidth_control 1-10 rx-rate 64 command:config bandwidth_control 1-10 rx_rate 64 Note:To perform precise bandwidth control,it is required to enable the flow control to mitigate the retransmission of TCP traffic. Success 这样我们就将这台交换机的1-10端口的接收速率设置为64kbps。
2、汇聚层交换机 朋友们可能会问了,既然接入层的交换机的端口限速功已经做得很好了,那我们全部使用这样的交换机进行组网行不行,答案是否定的,我们在汇聚层还是要使用更高档次的交换机。因为在汇聚层工作的交换机,除了稳定性以外,还有一个很重要的技术指标,那就是背板带宽,它决定了这台交换机是否可以实现线速转发。如果判断交换机的背板带宽够不够用呢?计算方法如下:端口数*相应端口速率*2(全双工模式),举例来说,一台24口的交换机,端口均需工作在100M,那么背板带宽至少需要:24*100*2=2.4G,而CISCO29系列交换机的背板带宽都在8G以上,满足线速转发是没有问题的。但是目前我们还没有找到在CISCO29系列交换机上进行端口限速的方法。 3、核心层交换机 核心层的交换机除了要支持VLAN、TRUNK、ACL等等功能外,它最核心的功能就是要保证各个端口间的快速数据转发,因此它们上面的端口限速往往不是简单设置一个数值就OK了,总体来说要分四个步骤: 1)建立一个访问控制列表(ACL); 2)建立一个类(CLASS),并在这个类上引用刚建立的那个访问控制列表(ACL); 3)建立一个策略(POLICY),在这个策略上指定相应的带宽,并引用相应的类; 4)将这个策略应用具体的端口上。
当我们这样做好以后,局域内的带宽使用就会被有效的限制下一个数量级,比如原来日常8、90M的带宽使用就会降到6、70M了。 当然我们也可以挖掘一下核心层交换机的高级应用,比如通过限制某些端口通过的方式来限制某些网络应用(比如迅雷下载),但实际限制起来的效果并不是太好,因为迅雷此类的程序其实使用了很复杂的网络协议,但靠限制某些端口是很难把它搞定的,所以还是要靠专业流控设备。
(二)基于应用的局域网限速 基于专业流控设备的限速,本文中我们以一款测试过的流控设备说明一下实现方法,这款设备位于我们单位局中的硬件防火墙和宽带用户管理设备之间,可以针对某一类应用限速,比如我们要对全网中的P2P下载做一个限带,就可以这样来做。
1、在“策略设置”中选择“P2P下载限制”。从下图可以看到P2P下载中包含了很多的应用程序,比如常用的“迅雷”、“eDonkey”等。、 2、在“流量控制”中设置上下行流量限制,也可以通过设置带宽来分配大家的网络,
实践证明这种基于网络应用的限速也是管用的,我们只在网络中限制了P2P下载这一类应用,没有做交换机的端口限制,也成功的将带宽的占用减少了,从而保证了网页浏览、收发邮件等应用的正常进行。
随着企业信息化建设的普及,互联网已经成为当今商业环境里企业和合作伙伴、客户以及供应商联系的必备手段和信息的必要来源;另一方面,网络也是各种娱乐活动的渠道,是分散员工精力、生产力流失的根源,而重要资料的泄漏和不可控的安全隐患更使这些企业面临巨大经济损失和法律风险。因此,必须对员工上网行为进行全面的管理。 |