侠诺科技：中小企业安全路由器手册（4）

对于中小企业的网络管理，用户的管理是一个很常见的问题。例如有限的IP如何分配？如何管制不同员工上网权限？如何阻挡访客使用企业网络？如何分派较多带宽给高管或是老总？这些问题，都在影响企业网络的安全，因此网管要保证网络的安全，就必须从基本把用户管理的工作做好。这些问题都可经由路由器的用户管理功能来达成。以下Qno侠诺科技就中小企业常遇到的用户管理问题，作全面性的介绍。

内部局域网上网用户的管理，可分为企业局域网内地址合理分配、内部新增上网用户管制、及内部上网用户有效管制三个方面。如果没有一套合理有效的管理机制，会在后面的网络管理及安全方面带来很多负面影响及经济损失。

总括来说，常见的用户管理问题及对应路由器功能如下：

以上这些内部网络的管理都可以通过Qno侠诺路由器的相关功能来实现，达到确保网络安全的目的。Qno侠诺路由器提供动态IP地址分配和静态IP地址分配的功能，满足内部上网用户IP地址分配的不同需要。路由器还提供了IP组管理功能，解决不同部门需要不同上网权限的群组设置，方便统一管理。配合IP/MAC绑定功能避免内部网络滥用IP地址造成网络管理的困难，同时可以通过QoS的设定给内网用户上网一定的带宽管理，保证企业领导希望联网速度能够保持畅通不塞车，确保公司重要业务信息不致延迟、确保公司重要应用服务联机顺畅等。

一、IP地址分配

企业首先考虑的就是IP地址的分配管理，动态IP地址分配使用DHCP服务器，优点是客户端不需进行配置，只需配置服务器，配置简单。静态IP则必须在客户端进行IP配置，相对较严谨，管制较完全。

Qno侠诺路由器提供动态IP地址分配和静态IP地址分配的功能，满足内部上网用户IP地址分配的不同需要。Qno路由器提供动态IP地址分配机制（DHCP功能），支持C类IP地址，可设置其IP地址分配的范围以及地址租约时间。进入“DHCP功能”的“DHCP配置”。

图一：DHCP配置显示发放范围在192.168.1.100~192.168.1.49间共50台电脑，地址租约时间为1440分钟。

通过“DHCP服务器状态显示”了解到内部网络IP地址分配情况，我们可以了解到DHCP服务器的相关情况以及内部网络用户的“主机名称”、“IP地址”、网卡“MAC地址”、“目前租约时间”。

图二：DHCP服务器状态显示。同时路由器还支持静态的IP分配功能，只要保证其IP地址不和DHCP范围冲突就好。

静态的IP分配，只要不激活DHCP功能即可。但是客户端配置的IP地址和路由器配置的范围必须相符。也可将DHCP功能与静态IP配合使用，即在整个路由器配置的IP范围中，部份使用DHCP发放，部份使用静态IP。例如厂内使用的计算机不常移动，可使用静态IP；业务人员计算机时常移动，则采用动态IP。

适当的IP地址分配，是后续安全管理的基础，适当地在安全性及便利性间取得平衡，这是必须达成的。

二、One-to-one NAT

有些企业具备几个公网IP，用来作特别的用途，例如总部服务器只能和固定公网IP联系，以加强安全性。在这种情况，往往发生公网IP不够办公室所有的计算机使用，这时就可以进行一对一NAT的配置，把几个公网IP对应到内部计算机，这时就可以达到公网IP与虚拟IP共同在局域网共存的目的了。

图三：一对一NAT功能可允许公网IP和虚拟IP共同存在局域网，可适用于注重信息安全的通讯应用。

适当地利用这个功能，分隔不同的IP，可避免内部网络的数据外流。