伴隨著Internet“身影”的隨處可見，越來(lái)越多的單位都已經(jīng)架設(shè)了自己的局域網(wǎng)網(wǎng)絡(luò)，不過局域網(wǎng)在給各位員工日常辦公、共享上網(wǎng)帶來(lái)便利同時(shí)，也時(shí)刻會(huì)遭遇網(wǎng)絡(luò)病毒襲擊、IP地址被非法搶用、員工上班期間隨意玩游戲等現(xiàn)象;為了確保正常的工作秩序，單位領(lǐng)導(dǎo)要求筆者對(duì)單位局域網(wǎng)網(wǎng)絡(luò)進(jìn)行嚴(yán)格管理，特別是要對(duì)員工的上網(wǎng)時(shí)間進(jìn)行嚴(yán)格控制，禁止他們隨意在上班期間上網(wǎng)訪問。

 組網(wǎng)情況

 筆者所在單位的局域網(wǎng)是2005年年底建成的，該局域網(wǎng)通過RG-WALL 100型號(hào)的硬件防火墻連接到Internet網(wǎng)絡(luò)，局域網(wǎng)中的所有普通工作站都通過普通二層交換機(jī)集中連接到銳捷網(wǎng)絡(luò)的S6806核心交換機(jī);為了便于管理局域網(wǎng)網(wǎng)絡(luò)，同時(shí)有效控制局域網(wǎng)的網(wǎng)絡(luò)風(fēng)暴現(xiàn)象，筆者特意在局域網(wǎng)的核心交換機(jī)中劃分了多個(gè)不同的虛擬工作子網(wǎng)，確保局域網(wǎng)網(wǎng)絡(luò)不會(huì)受到廣播風(fēng)暴的影響，同時(shí)保證局域網(wǎng)中的重要服務(wù)器或工作站不會(huì)受到非法用戶的隨意訪問。

 控制上網(wǎng)時(shí)間

 單位的服務(wù)器系統(tǒng)以及重要工作站系統(tǒng)被集中劃分到虛擬工作子網(wǎng)1中了，而普通員工的工作站則被集中劃分到虛擬工作子網(wǎng)2中了，單位領(lǐng)導(dǎo)要求每位員工只能在每天中午的12:00--14:00期間可以上網(wǎng)訪問，另外在星期六、星期天全天可以正常上網(wǎng)，其他時(shí)間嚴(yán)格禁止上網(wǎng)訪問。

 依照單位領(lǐng)導(dǎo)的工作要求，筆者反復(fù)實(shí)踐了幾種方法，以前單位通過代理服務(wù)器進(jìn)行共享上網(wǎng)時(shí)，筆者只要在代理服務(wù)器中進(jìn)行一下簡(jiǎn)單設(shè)置就可以了，可是現(xiàn)在局域網(wǎng)的工作站都是通過單位租用的10寬帶光纖進(jìn)行共享上網(wǎng)的，通過使用、設(shè)置代理服務(wù)器的方法根本不適合現(xiàn)在的局域網(wǎng)組網(wǎng)情況;另外，單位局域網(wǎng)使用的RG-WALL 100型號(hào)硬件防火墻，也不直接支持對(duì)上網(wǎng)訪問時(shí)間的控制。在毫無(wú)頭緒的情況下，筆者查閱了核心交換機(jī)S6806的操作說明書，發(fā)現(xiàn)該交換機(jī)可以支持上網(wǎng)時(shí)間的控制;經(jīng)過進(jìn)一步了解，筆者發(fā)現(xiàn)只要在核心交換機(jī)上設(shè)置一些合適的上網(wǎng)時(shí)間控制規(guī)則，然后再將指定的上網(wǎng)訪問規(guī)則應(yīng)用到普通員工工作站所在的虛擬工作子網(wǎng)2上就可以了。依照這樣的分析，筆者寫下了如下上網(wǎng)訪問時(shí)間控制規(guī)則，并將該規(guī)則命名為control：

 time-range control

 periodic Monday 0:00 to 12:00

 periodic Monday 14:00 to 23:59

 periodic Tuesday 0:00 to 12:00

 periodic Tuesday 14:00 to 23:59

 periodic Wednesday 0:00 to 12:00

 periodic Wednesday 14:00 to 23:59

 periodic Thursday 0:00 to 12:00

 periodic Thursday 14:00 to 23:59

 periodic Friday 0:00 to 12:00

 periodic Friday 14:00 to 23:59

 !

 下面，筆者將上述控制規(guī)則應(yīng)用到普通員工工作站所在的虛擬工作子網(wǎng)2上就可以了(其中的aaa是任意制定的一個(gè)名稱)：

 IP access-list extended aaa

 permit ip 10.176.6.18 any

 permit ip 10.176.6.116 any

 deny ip 10.176.6.0 0.0.0.255 any time-range control

 permit ip any any

 !

 Interface Vlan 2

 ip address 10.176.6.1 255.255.255.0

 ip access-group aaa in

 !

 其中10.176.6.18、10.176.6.116是虛擬工作子網(wǎng)2中的兩臺(tái)重要工作站，這兩臺(tái)工作站可以一直訪問網(wǎng)絡(luò);按照上述控制設(shè)置操作，虛擬工作子網(wǎng)2中的所有普通工作站只能在每天中午的12:00--14:00期間，以及星期六、星期天期間訪問網(wǎng)絡(luò)了，其他時(shí)間是不能正常訪問網(wǎng)絡(luò)的，這樣一來(lái)我們就能成功實(shí)現(xiàn)禁止普通員工隨意在上班期間上網(wǎng)訪問的目的了。

控制地址沖突

 通過前面的控制，我們實(shí)現(xiàn)了虛擬工作子網(wǎng)2中的所有普通工作站只能在指定時(shí)間段上網(wǎng)訪問的目的了。事實(shí)上，在任意一個(gè)虛擬工作子網(wǎng)中，總有一臺(tái)或少數(shù)幾臺(tái)工作站需要全天侯上網(wǎng)，來(lái)處理一些重要的事情，那么如何才能讓這些特殊的工作站單獨(dú)進(jìn)行上網(wǎng)訪問，而不受上述控制規(guī)則的限制呢?其實(shí)，我們已經(jīng)在前面的控制操作中，使用了類似permit ip 10.176.6.18 any這樣的控制命令，實(shí)現(xiàn)了IP地址為10.176.6.18這樣特殊的工作站可以全天上網(wǎng)訪問的目的了。

 不過，在局域網(wǎng)工作環(huán)境中，我們時(shí)常會(huì)遭遇IP地址被他人非法搶用的故障現(xiàn)象，如果虛擬工作子網(wǎng)2中有一臺(tái)普通工作站盜用了10.176.6.18這樣的IP地址，那么那臺(tái)特殊工作站也不能進(jìn)行網(wǎng)絡(luò)訪問了，面對(duì)這種現(xiàn)象，我們?cè)摬扇∈裁创胧﹣?lái)有效控制IP地址沖突故障現(xiàn)象呢?目前的關(guān)鍵問題是，如何讓虛擬工作子網(wǎng)2中的普通工作站不能使用10.176.6.18這樣的IP地址，確保指定的重要工作站才能使用這個(gè)地址;經(jīng)過上網(wǎng)搜索相關(guān)信息，并且查閱S6806核心交換機(jī)的操作說明書，筆者發(fā)現(xiàn)只要在S6806核心交換機(jī)后臺(tái)，將指定的重要工作站網(wǎng)卡物理地址與10.176.6.18地址綁定在一起就可以了。要實(shí)現(xiàn)這樣的控制目的，我們可以按照如下操作來(lái)進(jìn)行：

 首先進(jìn)入指定的重要工作站系統(tǒng)，依次單擊“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“cmd”，單擊“確定”按鈕后，打開對(duì)應(yīng)工作站系統(tǒng)的DOS命令行工作窗口;

 其次在DOS命令行提示符下，輸入字符串命令“ipconfig /all”，單擊回車鍵后，我們將會(huì)從如圖1所示的結(jié)果界面中， 看到指定重要工作站系統(tǒng)的網(wǎng)卡物理地址為000b.dbc5.41d4;

 下面進(jìn)入核心交換機(jī)的后臺(tái)管理系統(tǒng)，執(zhí)行字符串命令“address-bind 10.176.6.18 000b.dbc5.41d4”，之后再使用“arp 10.176.6.18000b.dbc5.41d4 arpa gigabitEthernet 2/3”字符串命令進(jìn)行地址綁定操作，這樣一來(lái)局域網(wǎng)中的其他普通工作站即使搶用了10.176.6.18地址，這些普通工作站也不能正常上網(wǎng)訪問，那么局域網(wǎng)的運(yùn)行穩(wěn)定性也就能得到有效保證了。

 從上面的兩則應(yīng)用中我們不難看出，合理配置交換機(jī)可以有效地防止局域網(wǎng)網(wǎng)絡(luò)發(fā)生IP地址被非法搶用、員工在上班期間隨意玩游戲、看電影等現(xiàn)象，而且也能從根源上有效抑制ARP病毒在局域網(wǎng)環(huán)境下的肆意傳播，這樣就能大大保障局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行安全性、運(yùn)行穩(wěn)定性!