这里您可以查看大势至公司核心产品:聚生网管限速管理软件、大势至局域网共享管理软件、大势至电脑USB端口控制软件、大势至共享文件夹权限设置软件、大势至网络准入控制系统和大势至FTP文件服务器监控软件的相关技术文档,请点击下面的产品分类进入查看;您也可以在上面的搜索框直接输入相关关键词搜索相关产品的技术文档,例如“限制网速”、“禁用U盘”等。

作者:netadmin2014-7-18 18:50分类: 聚生网管监控软件相关 标签: 局域网流量限制软件 上网行为管理系统 网络行为控制系统 局域网带宽分配软件 网络流量监控软件 局域网下载限制软件

注:其他品牌的路由器、交换机设置方法和H3C大同小异。

H3C公司(即杭州华三通信技术有限公司)是国内知名的网络设备提供商,其路由器、交换机、防火墙在国内企事业单位具有广泛的应用。为了更好地与H3C公司网络设备和谐共存,充分发挥聚生网管的各项监控功能,我们特此提供了针对在H3C网络设备环境中部署聚生网管系统的设置方法,具体如下:

一、 针对H3C防火墙(各型号设置类似)

由于H3C防火墙提供了较多的防护功能,有些功能可能会干扰聚生网管的正常运行,所以我们需要取消此类功能的选用,主要是ARP欺骗攻击和ARP Flood攻击。具体操作如下:登录H3C防火墙,然后点击“防火墙管理”,然后点击“攻击防范”,取消勾选ARP欺骗攻击和ARP Flood攻击,然后点击“应用”即可。如下图所示:

 h1.png

图1:关闭ARP欺骗攻击和ARP Flood攻击

二、针对H3C的路由器(各型号设置类似)

针对H3C的路由器,同样需要登录路由器进行类似的设置。具体设置:登录路由器,点击“ARP防攻击”,然后再在横栏上选择“ARP防攻击”,取消勾选相关ARP防护功能,然后点击“确定”即可,如下图所示: h2.png

图2:禁止发送免费ARP报文

此外,在H3C路由器网络环境下,有时会出现启动聚生网管系统后导致内网电脑无法上网的情况,这种情况有可能与H3C路由器软件的新版本中增加的报文认证功能有关系,取消即可。点击“安全专区”,然后点击“防攻击”,再在横栏上点击“报文源认证”,取消勾选三个选项,然后点击“应用”即可,如下图所示:

 h3.png

图:禁用报文源认证的功能(注:此功能会导致启动聚生网管系统导致局域网电脑无法上网)

 

而针对H3C交换机、防火墙等,可能没有web界面,或者web界面提供的功能极为有限,那么这种情况下就无法通过web界面关闭ARP防护相关功能了,这种情况下可以通过Telnet交换机、防火墙的方式进行设置,如下图所示:

h.png

图:telnet交换机、路由器或防火墙的方法

Telnet上去之后,可以输入“sys”(或system-view),然后回车,就可以进入[H3C]命令下,然后输入以下命令:

undo firewall defend arp-spoofing

undo firewall defend arp-flood

或:

undo arp send-gratuitous-arp

或:

undo arp check enable

或:

undo arp source-suppression enable

或:

undo arp anti-attack source-mac filter

或:

undo arp anti-attack valid-check enable

或:

undo arp resolving-route enable

同时,如果你的路由器或交换机上划分了VLAN,则你需要进入相应的VLAN来关闭相关功能。

首先,telnet网关,然后输入用户名和密码,并输入sys进入中括号下面,输入相应命令(可以用TAB键补齐),如下:

[Huawei]int vlan 1
[Huawei-Vlanif1]undo arp g
[Huawei-Vlanif1]undo arp gratuitous-arp s
[Huawei-Vlanif1]undo arp gratuitous-arp send enable

回车,然后就成功地关闭了ARP防护相关的功能。如果你在输入sys后提示命令错误或无法识别,那么这一般是telnet的用户名和权限不足,则可能需要通过console来登陆到设备里面进行相关操作了,比如提升权限,你可以输入以下命令:

[Sysname] sys

[Sysname] local-user admin

[Sysname-luser-admin] service-type telnet

[Sysname-luser-admin] authorization-attribute level 3

[Sysname-luser-admin] password simple admin

这个就是修改level的配置
如果您用户名不是admin,您改一下就可以了。

通过上述配置之后,一般都可以成功关闭H3C交换机、路由器或防火墙的ARP防护功能,然后就可以成功部署聚生网管网络行为管理系统来进行局域网网络管理了。很多人可能会担心关闭上述功能会影响局域网网络安全,甚至引发arp攻击。其实这种担心大可不必,聚生网管系统一旦启动之后同样会向局域网广播网关的ARP信息,和路由器发送的ARP报文信息一样,可以完全应对ARP攻击(其实现在发生ARP攻击的概率很小了) ;同时,聚生网管监控软件还可以实时监控局域网ARP攻击行为、防止局域网ARP攻击,一旦发现局域网电脑试图发动ARP攻击行为,聚生网管系统会实时输出这个电脑的IP地址、MAC地址、主机名等信息,便于网管及时采取相关防护arp攻击的举措。如下图所示:

arp.png

图:检测局域网arp攻击、防止局域网arp攻击、防止arp攻击功能

另外,由于当前网络设备提供商处于安全考虑,纷纷在网络设备(如防火墙、路由器、交换机等)中增加一些安全防护功能,这些过量的安全功会在一定程度上导致网络性能的下降,同时安全防护意义也不是很大,还可能引发与聚生网管系统的冲突(如IP和MAC地址绑定、ARP绑定),建议用户不要随便启用。

此外还有些网络设备即便你取消勾选相关功能,其实后台还是强制生效的,这种情况你可以联系厂家协助解决或者降低你网络设备的软件版本,也即下载不带此类功能的网络设备的较低的软件版本进行降级,从而使得网络设备不带此类功能;如果还是无法取消此类功能,可能需要用户自行更换网络设备了。

最后,我们建议用户不要在网络设备中启用诸如IP和MAC地址绑定、ARP绑定等类似功能,这些功能也会可能会引发与聚生网管系统的冲突。聚生网管系统自带了IP和MAC地址绑定、ARP欺骗攻击防护等功能,并且还带有人性化的提醒和警告,从而可以更好地约束局域网用户的上网行为,也达到了安全管理的目的。


如有其它问题,请联系我们

大势至(北京)软件工程有限公司

地址:北京海淀区中关村北大街116号北京大学科技园2号楼

邮编:100080

电话总机:010-62656060

公司传真:010-82825052

公司邮箱:grabsun@grablan.com

官方网址:http://www.grablan.com

 

 

温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,谢谢合作!
0

已有 0/5602 人参与

欢迎使用手机扫描访问本站,还可以关注微信哦~