【51CTO.com独家特稿】伴随着Internet“身影”的随处可见,越来越多的单位都已经架设了自己的局域网网络,不过局域网在给各位员工日常办公、共享上网带来便利同时,也时刻会遭遇网络病毒袭击、IP地址被非法抢用、员工上班期间随意玩游戏等现象;为了确保正常的工作秩序,单位领导要求笔者对单位局域网网络进行严格管理,特别是要对员工的上网时间进行严格控制,禁止他们随意在上班期间上网访问。
组网情况
笔者所在单位的局域网是2005年年底建成的,该局域网通过RG-WALL 100型号的硬件防火墙连接到Internet网络,局域网中的所有普通工作站都通过普通二层交换机集中连接到锐捷网络的S6806核心交换机;为了便于管理局域网网络,同时有效控制局域网的网络风暴现象,笔者特意在局域网的核心交换机中划分了多个不同的虚拟工作子网,确保局域网网络不会受到广播风暴的影响,同时保证局域网中的重要服务器或工作站不会受到非法用户的随意访问。
控制上网时间
单位的服务器系统以及重要工作站系统被集中划分到虚拟工作子网1中了,而普通员工的工作站则被集中划分到虚拟工作子网2中了,单位领导要求每位员工只能在每天中午的12:00——14:00期间可以上网访问,另外在星期六、星期天全天可以正常上网,其他时间严格禁止上网访问。其中虚拟工作子网
依照单位领导的工作要求,笔者反复实践了几种方法,以前单位通过代理服务器进行共享上网时,笔者只要在代理服务器中进行一下简单设置就可以了,可是现在局域网的工作站都是通过单位租用的10宽带光纤进行共享上网的,通过使用、设置代理服务器的方法根本不适合现在的局域网组网情况;另外,单位局域网使用的RG-WALL 100型号硬件防火墙,也不直接支持对上网访问时间的控制。在毫无头绪的情况下,笔者查阅了核心交换机S6806的操作说明书,发现该交换机可以支持上网时间的控制;经过进一步了解,笔者发现只要在核心交换机上设置一些合适的上网时间控制规则,然后再将指定的上网访问规则应用到普通员工工作站所在的虚拟工作子网2上就可以了。依照这样的分析,笔者写下了如下上网访问时间控制规则,并将该规则命名为control:
time-range control periodic Monday 0:00 to 12:00 periodic Monday 14:00 to 23:59 periodic Tuesday 0:00 to 12:00 periodic Tuesday 14:00 to 23:59 periodic Wednesday 0:00 to 12:00 periodic Wednesday 14:00 to 23:59 periodic Thursday 0:00 to 12:00 periodic Thursday 14:00 to 23:59 periodic Friday 0:00 to 12:00 periodic Friday 14:00 to 23:59 ! |
下面,笔者将上述控制规则应用到普通员工工作站所在的虚拟工作子网2上就可以了(其中的aaa是任意制定的一个名称):
IP access-list extended aaa permit ip 10.176.6.18 any permit ip 10.176.6.116 any deny ip 10.176.6.0 0.0.0.255 any time-range control permit ip any any ! Interface Vlan 2 ip address 10.176.6.1 255.255.255.0 ip access-group aaa in ! |
其中10.176.6.18、10.176.6.116是虚拟工作子网2中的两台重要工作站,这两台工作站可以一直访问网络;按照上述控制设置操作,虚拟工作子网2中的所有普通工作站只能在每天中午的12:00——14:00期间,以及星期六、星期天期间访问网络了,其他时间是不能正常访问网络的,这样一来我们就能成功实现禁止普通员工随意在上班期间上网访问的目的了。 #p#
控制地址冲突
通过前面的控制,我们实现了虚拟工作子网2中的所有普通工作站只能在指定时间段上网访问的目的了。事实上,在任意一个虚拟工作子网中,总有一台或少数几台工作站需要全天侯上网,来处理一些重要的事情,那么如何才能让这些特殊的工作站单独进行上网访问,而不受上述控制规则的限制呢?其实,我们已经在前面的控制操作中,使用了类似permit ip 10.176.6.18 any这样的控制命令,实现了IP地址为10.176.6.18这样特殊的工作站可以全天上网访问的目的了。
不过,在局域网工作环境中,我们时常会遭遇IP地址被他人非法抢用的故障现象,如果虚拟工作子网2中有一台普通工作站盗用了10.176.6.18这样的IP地址,那么那台特殊工作站也不能进行网络访问了,面对这种现象,我们该采取什么措施来有效控制IP地址冲突故障现象呢?目前的关键问题是,如何让虚拟工作子网2中的普通工作站不能使用10.176.6.18这样的IP地址,确保指定的重要工作站才能使用这个地址;经过上网搜索相关信息,并且查阅S6806核心交换机的操作说明书,笔者发现只要在S6806核心交换机后台,将指定的重要工作站网卡物理地址与10.176.6.18地址绑定在一起就可以了。要实现这样的控制目的,我们可以按照如下操作来进行:
首先进入指定的重要工作站系统,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“cmd”,单击“确定”按钮后,打开对应工作站系统的DOS命令行工作窗口;
其次在DOS命令行提示符下,输入字符串命令“ipconfig /all”,单击回车键后,我们将会从如图1所示的结果界面中, 看到指定重要工作站系统的网卡物理地址为000b.dbc5.41d4;
图 |
下面进入核心交换机的后台管理系统,执行字符串命令“address-bind 10.176.6.18 000b.dbc5.41d4”,之后再使用“arp 10.176.6.18 000b.dbc5.41d4 arpa gigabitEthernet 2/3”字符串命令进行地址绑定操作,这样一来局域网中的其他普通工作站即使抢用了10.176.6.18地 址,这些普通工作站也不能正常上网访问,那么局域网的运行稳定性也就能得到有效保证了。
从上面的两则应用中我们不难看出,合理配置交换机可以有效地防止局域网网络发生IP地址被非法抢用、员工在上班期间随意玩游戏、看电影等现象,而且也能从根源上有效抑制ARP病毒在局域网环境下的肆意传播,这样就能大大保障局域网网络的运行安全性、运行稳定性!
【51CTO.com 独家特稿,转载请注明出处及作者!】
【编辑推荐】