论文部分内容阅读
伴随着信息技术发展速度的日新月异,很多单位为了迎合信息发展潮流,纷纷都组建了属于自己单位的内部网络,单位员工在日常的办公过程中充分利用内网网络,进行共享资源传输、网络打印操作、访问内部站点等,这大大提高了员工们日常的办公效率;可是,内网网络在提升工作效率的同时,如果管理不善的话,也容易影响正常的工作秩序,例如员工们在上班时段利用内网网络大玩对战游戏,或者有人私自使用BT工具进行恶意下载、过度消耗带宽资源,造成内网网络不能正常传输公文等。为了保证内网网络不影响正常的办公秩序,我们可以着眼内网交换机,来控制内网计算机接入网络的时段,以限制非法员工随意在上班时段恶意访问内网网络!
一、网络状况
某单位内网共包含大约100台计算机,这些计算机通过100M双绞线介质分别连接到几台普通二层交换机,所有二层交换机通过光纤介质集中连接到单位的核心三层交换机上(该交换机型号为锐捷网络S6806),核心三层交换机最后再通过光纤介质与单位的硬件防火墙保持连接(该防火墙型号为RG-WALL 100),而硬件防火墙直接通过光纤介质连接到Internet网络中,整个单位的计算机都能通过内网网络进行共享上网访问。为了高效管理内网网络,网络管理员根据计算机所在处室位置以及实际用途,在核心三层交换机上进行了Vlan划分设置,将100台计算机分别划分到了4个不同的Vlan中,这么一来日后遇到网络故障的时候,网络管理员就能快速地定位故障原因,同时也将广播风暴现象对整个单位内网的影响降低到最小限度。
最近,单位领导偶然之中,发现许多单位员工在上班时间偷偷玩网络游戏,或者偷偷利用BT工具进行下载大容量的多媒体电影,造成整个内网网络的传输速度非常缓慢,很显然这种不正常现象严重影响了正常的办公秩序。为了提高办公效率,单位领导要求网络管理员想办法对员工计算机的接入进行严格控制,既要限制普通员工在上班时段随意通过内网做一些与工作无关的事情,又要防止重要员工通过网络办公不受任何影响。
二、控制网络接入时段
单位内网的网络打印机、Web站点等重要设备全部位于Vlan1中,而多数普通员工计算机则位于Vlan3中,为了限制普通员工在双休日期间随意访问单位的网络打印机,白白浪费打印纸张,单位领导要求位于Vlan3中的所有普通计算机用户,只能在星期一到星期五正常上班时间访问内网网络中的共享打印机,星期六、星期天这段时间不允许接入单位内部网络,这么一来普通计算机用户就不能在双休日期间偷偷利用单位的打印资源为自己谋取私利了。
接到单位领导布置的工作任务,网络管理员立即开始进行实践尝试;他回想到在传统的代理服务器共享上网的工作环境中时,网络管理员只要对代理服务器进行一下针对性设置,就能非常轻松地控制计算机连接到内网网络了,不过现在内网网络中的普通计算机都是共享单位租用的带光纤连接Internet网络的,显然传统的针对性代理服务器设置的方法已经无法实现单位领导提出的控制要求了;况且,单位内网网络使用的硬件防火墙设备也没有提供直接控制网络接入时段的功能。为此,网络管理员打算在单位网络的核心交换层进行针对性设置;主意已定,网络管理员立即找出型号为S6806核心交换机的操作说明书,仔细查阅了其中的功能设置,发现该型号的交换机允许网络管理员对上网用户的接入时段进行控制;认真研究核心交换机的控制接入时段功能后,网络管理员打算先创建好访问时段规则,再将目标控制规则应用于普通计算机所位于的Vlan3中,下面就是具体的实现步骤:
首先按照单位领导的要求,网络管理员在核心交换机中创建好只能在星期一到星期五正常上班时间以外不能访问内网网络的控制规则,同时将创建好的访问控制规则名称设置为access:
time-range access
periodic Monday 0:00 to 8:59
periodic Monday 17:00 to 23:59
periodic Tuesday 0:00 to 8:59
periodic Tuesday 17:00 to 23:59
periodic Wednesday 0:00 to 8:59
periodic Wednesday 17:00 to 23:59
periodic Thursday 0:00 to 8:59
periodic Thursday 17:00 to 23:59
periodic Friday 0:00 to 8:59
periodic Friday 17:00 to 23:59
periodic Saturday 0:00 to 23:59
periodic Sunday 0:00 to 23:59
!
其次,网络管理员在核心交换机中将上述时段的网络访问规则应用到普通计算机所在的Vlan3中:
IP access-list extended xxx
permit ip 192.168.1.11 any
permit ip 192.168.1.166 any
deny ip 192.168.1.0 0.0.0.255 any time-range access
permit ip any any
!
Interface Vlan 3
ip address 192.168.1.1 255.255.255.0
ip access-group xxx in
!
其中xxx为网络访问列表指定的名称,该名称可以允许我们任意指定,192.168.1.11、192.168.1.166是Vlan3中的两位重要员工使用的计算机,这两位用户使用的普通计算机由于从事的工作比较重要,允许它们可以在任何时间访问单位内部网络;设置好上面的网络访问时段控制功能后,位于Vlan3中的几乎所有普通计算机只能在星期一到星期五的早上九点钟到下午五点钟这段时间访问单位的网络打印机以及Web站点,其他时段则不能通过单位内网网络进行任何形式的访问操作,如此一来单位的内网资源不但得到了有效保护,而且重要员工的日常工作也不会受到任何影响。
三、控制抢用重要地址
通过上述控制操作,我们就能让位于Vlan3中的所有普通计算机只能在特定时间内访问内网网络中的资源了。不过,在任何一个Vlan中总有少数几台重要计算机需要一直在线访问内部网络,来从事一些重要的网络访问操作,那么我们该怎样才能让这些重要的计算机脱离网络访问时段规则的限制,而能够独立地进行网络访问操作呢?事实上,在制定前面的access控制规则时,我们已经通过类似permit ip 192.168.1.11 any这样的命令代码,实现了重要计算机可以一直在线进行网络访问的目的了。
可是,在实际管理内网网络的过程中,我们经常会碰到重要计算机的静态地址被非法抢用的现象,例如要是位于Vlan3中的某台普通计算机强行抢用了192.168.1.11地址时,那么原先可以一直在线的重要计算机就不能正常访问网络了,遇到这种抢用地址的现象,我们该如何进行有效应对,确保内网网络能够按需运行呢?其实核心的问题是,我们该怎样限制Vlan3中的普通计算机不能随意使用192.168.1.11这样的重要IP地址,确保重要计算机的网络访问不能受到任何影响?经过搜索Internet网络中的相关问题,并且仔细查阅核心三层交换机的操作手册,网络管理员发现只要利用地址绑定功能在内网网络中的核心三层交换机后台,将内网中特定的重要计算机网卡MAC地址与192.168.1.11地址绑定在一起,日后该IP地址就不会被他人随意抢用了,下面就是该方法的具体实现步骤:
首先以系统管理员权限登录进入内网中特定的重要计算机系统,打开该系统的“开始”菜单,从中点选“运行”命令,从其后出现的系统运行文本框中,输入“cmd”字符串命令,单击回车键后,进入对应计算机系统的MS-DOS工作窗口;
其次在MS-DOS工作窗口的命令提示符状态下,输入“ipconfig /all”字符串命令,单击回车键后,我们就能从其后的结果界面中看到目标计算机系统的网卡MAC地址了,假设该地址为0016.173d.43eb,如图1所示。
找到目标网卡设备的MAC地址后,我们再远程登录进内网网络中的核心交换机后台管理界面,在对应的系统全局管理状态执行字符串命令“address-bind 192.168.1.11 0016.173d.43eb”,之后再执行字符串命令“arp 192.168.1.11 0016.173d.43eb arpa gigabitEthernet 1/1”,将目标地址绑定到核心交换机的特定端口上,如此一来内网网络中的其他普通计算机即使强行盗用了192.168.1.11地址,原先使用该地址的重要计算机上网状态也不会受到任何影响,这是因为其他计算机无法使用该IP地址进行网络接入操作,很明显经过上述设置,内网网络的运行稳定性就能得到可靠保证了。
回顾上面的两则网络控制应用,我们不难看出着眼内网中的核心交换机配置操作,不但可以有效地实现一些非常复杂的控制目的,例如限制特定计算机只能在指定时段访问网络,或者限制非法用户随意抢用重要计算机的IP地址,而且也能很好地抑制ARP病毒在内网工作环境中的疯狂传播,从而大大提升内网网络的运行稳定性和安全性。
一、网络状况
某单位内网共包含大约100台计算机,这些计算机通过100M双绞线介质分别连接到几台普通二层交换机,所有二层交换机通过光纤介质集中连接到单位的核心三层交换机上(该交换机型号为锐捷网络S6806),核心三层交换机最后再通过光纤介质与单位的硬件防火墙保持连接(该防火墙型号为RG-WALL 100),而硬件防火墙直接通过光纤介质连接到Internet网络中,整个单位的计算机都能通过内网网络进行共享上网访问。为了高效管理内网网络,网络管理员根据计算机所在处室位置以及实际用途,在核心三层交换机上进行了Vlan划分设置,将100台计算机分别划分到了4个不同的Vlan中,这么一来日后遇到网络故障的时候,网络管理员就能快速地定位故障原因,同时也将广播风暴现象对整个单位内网的影响降低到最小限度。
最近,单位领导偶然之中,发现许多单位员工在上班时间偷偷玩网络游戏,或者偷偷利用BT工具进行下载大容量的多媒体电影,造成整个内网网络的传输速度非常缓慢,很显然这种不正常现象严重影响了正常的办公秩序。为了提高办公效率,单位领导要求网络管理员想办法对员工计算机的接入进行严格控制,既要限制普通员工在上班时段随意通过内网做一些与工作无关的事情,又要防止重要员工通过网络办公不受任何影响。
二、控制网络接入时段
单位内网的网络打印机、Web站点等重要设备全部位于Vlan1中,而多数普通员工计算机则位于Vlan3中,为了限制普通员工在双休日期间随意访问单位的网络打印机,白白浪费打印纸张,单位领导要求位于Vlan3中的所有普通计算机用户,只能在星期一到星期五正常上班时间访问内网网络中的共享打印机,星期六、星期天这段时间不允许接入单位内部网络,这么一来普通计算机用户就不能在双休日期间偷偷利用单位的打印资源为自己谋取私利了。
接到单位领导布置的工作任务,网络管理员立即开始进行实践尝试;他回想到在传统的代理服务器共享上网的工作环境中时,网络管理员只要对代理服务器进行一下针对性设置,就能非常轻松地控制计算机连接到内网网络了,不过现在内网网络中的普通计算机都是共享单位租用的带光纤连接Internet网络的,显然传统的针对性代理服务器设置的方法已经无法实现单位领导提出的控制要求了;况且,单位内网网络使用的硬件防火墙设备也没有提供直接控制网络接入时段的功能。为此,网络管理员打算在单位网络的核心交换层进行针对性设置;主意已定,网络管理员立即找出型号为S6806核心交换机的操作说明书,仔细查阅了其中的功能设置,发现该型号的交换机允许网络管理员对上网用户的接入时段进行控制;认真研究核心交换机的控制接入时段功能后,网络管理员打算先创建好访问时段规则,再将目标控制规则应用于普通计算机所位于的Vlan3中,下面就是具体的实现步骤:
首先按照单位领导的要求,网络管理员在核心交换机中创建好只能在星期一到星期五正常上班时间以外不能访问内网网络的控制规则,同时将创建好的访问控制规则名称设置为access:
time-range access
periodic Monday 0:00 to 8:59
periodic Monday 17:00 to 23:59
periodic Tuesday 0:00 to 8:59
periodic Tuesday 17:00 to 23:59
periodic Wednesday 0:00 to 8:59
periodic Wednesday 17:00 to 23:59
periodic Thursday 0:00 to 8:59
periodic Thursday 17:00 to 23:59
periodic Friday 0:00 to 8:59
periodic Friday 17:00 to 23:59
periodic Saturday 0:00 to 23:59
periodic Sunday 0:00 to 23:59
!
其次,网络管理员在核心交换机中将上述时段的网络访问规则应用到普通计算机所在的Vlan3中:
IP access-list extended xxx
permit ip 192.168.1.11 any
permit ip 192.168.1.166 any
deny ip 192.168.1.0 0.0.0.255 any time-range access
permit ip any any
!
Interface Vlan 3
ip address 192.168.1.1 255.255.255.0
ip access-group xxx in
!
其中xxx为网络访问列表指定的名称,该名称可以允许我们任意指定,192.168.1.11、192.168.1.166是Vlan3中的两位重要员工使用的计算机,这两位用户使用的普通计算机由于从事的工作比较重要,允许它们可以在任何时间访问单位内部网络;设置好上面的网络访问时段控制功能后,位于Vlan3中的几乎所有普通计算机只能在星期一到星期五的早上九点钟到下午五点钟这段时间访问单位的网络打印机以及Web站点,其他时段则不能通过单位内网网络进行任何形式的访问操作,如此一来单位的内网资源不但得到了有效保护,而且重要员工的日常工作也不会受到任何影响。
三、控制抢用重要地址
通过上述控制操作,我们就能让位于Vlan3中的所有普通计算机只能在特定时间内访问内网网络中的资源了。不过,在任何一个Vlan中总有少数几台重要计算机需要一直在线访问内部网络,来从事一些重要的网络访问操作,那么我们该怎样才能让这些重要的计算机脱离网络访问时段规则的限制,而能够独立地进行网络访问操作呢?事实上,在制定前面的access控制规则时,我们已经通过类似permit ip 192.168.1.11 any这样的命令代码,实现了重要计算机可以一直在线进行网络访问的目的了。
可是,在实际管理内网网络的过程中,我们经常会碰到重要计算机的静态地址被非法抢用的现象,例如要是位于Vlan3中的某台普通计算机强行抢用了192.168.1.11地址时,那么原先可以一直在线的重要计算机就不能正常访问网络了,遇到这种抢用地址的现象,我们该如何进行有效应对,确保内网网络能够按需运行呢?其实核心的问题是,我们该怎样限制Vlan3中的普通计算机不能随意使用192.168.1.11这样的重要IP地址,确保重要计算机的网络访问不能受到任何影响?经过搜索Internet网络中的相关问题,并且仔细查阅核心三层交换机的操作手册,网络管理员发现只要利用地址绑定功能在内网网络中的核心三层交换机后台,将内网中特定的重要计算机网卡MAC地址与192.168.1.11地址绑定在一起,日后该IP地址就不会被他人随意抢用了,下面就是该方法的具体实现步骤:
首先以系统管理员权限登录进入内网中特定的重要计算机系统,打开该系统的“开始”菜单,从中点选“运行”命令,从其后出现的系统运行文本框中,输入“cmd”字符串命令,单击回车键后,进入对应计算机系统的MS-DOS工作窗口;
其次在MS-DOS工作窗口的命令提示符状态下,输入“ipconfig /all”字符串命令,单击回车键后,我们就能从其后的结果界面中看到目标计算机系统的网卡MAC地址了,假设该地址为0016.173d.43eb,如图1所示。
找到目标网卡设备的MAC地址后,我们再远程登录进内网网络中的核心交换机后台管理界面,在对应的系统全局管理状态执行字符串命令“address-bind 192.168.1.11 0016.173d.43eb”,之后再执行字符串命令“arp 192.168.1.11 0016.173d.43eb arpa gigabitEthernet 1/1”,将目标地址绑定到核心交换机的特定端口上,如此一来内网网络中的其他普通计算机即使强行盗用了192.168.1.11地址,原先使用该地址的重要计算机上网状态也不会受到任何影响,这是因为其他计算机无法使用该IP地址进行网络接入操作,很明显经过上述设置,内网网络的运行稳定性就能得到可靠保证了。
回顾上面的两则网络控制应用,我们不难看出着眼内网中的核心交换机配置操作,不但可以有效地实现一些非常复杂的控制目的,例如限制特定计算机只能在指定时段访问网络,或者限制非法用户随意抢用重要计算机的IP地址,而且也能很好地抑制ARP病毒在内网工作环境中的疯狂传播,从而大大提升内网网络的运行稳定性和安全性。