配置交换机防止ip地址抢用 控制员工玩游戏看电影

随着互联网的“影子”无处不在，越来越多的单位建立了自己的局域网。然而，局域网在给员工日常办公、共享互联网带来便利的同时，总会遇到网络病毒攻击、非法使用IP地址、员工上班期间随意打游戏等问题。为了保证正常的工作秩序，单位领导要求笔者严格管理单位局域网，尤其是严格控制员工上网时间，禁止员工在工作期间随意上网。

组网情况

作者单位的局域网是2005年底建成的。局域网通过RG-WALL100硬件防火墙接入互联网，局域网内所有普通工作站通过普通二层交换机集中接入锐捷网络的S6806核心交换机。为了方便管理局域网，有效控制网络风暴现象，作者特意在局域网的核心交换机中划分了几个不同的虚拟工作子网，保证局域网不会受到广播风暴的影响，同时局域网中的重要服务器或工作站不会被非法用户随意访问。

控制上网时间

公司的服务器系统和重要的工作站系统集中在虚拟工作子网1，普通员工的工作站集中在虚拟工作子网2。公司领导要求每个员工只能在每天中午12: 00-14: 00期间上网。另外，他周六日可以正常上网，其他时间严禁上网。

根据单位领导的工作要求，笔者反复实践了几种方法。以前单位通过代理服务器共享互联网的时候，作者只需要在代理服务器做一个简单的设置就可以了。而现在局域网的工作站都是通过单位租用的10根宽带光纤共享互联网，代理服务器的使用和设置方法根本不适合现在的局域网组网情况。此外，单元局域网中使用的RG-WALL100硬件防火墙不直接支持互联网访问时间的控制。在毫无头绪的情况下，笔者查阅了核心交换机S6806的操作手册，发现该交换机可以支持在线时间的控制。经过进一步了解，笔者发现只需要在核心交换机上设置一些合适的在线时间控制规则，然后将指定的在线访问规则应用到普通员工工作站所在的虚拟工作子网2上。根据这一分析，作者写下了以下上网时间控制的规则，并将这一规则命名为control:

时间范围控制

周期星期一0:00到12:00

周期星期一14:00到23:59

时间段周四0:00至12:00

时间段从周一14:00到23:59

周三0:00至12:00

周期周三14:00至23:59

周日0:00至12:00

周期周四14:00至23:59

周五0:00至12:00

周五14:00至23:59

！

下面，作者可以将上述控制规则应用于普通员工工作站所在的虚拟工作子网2(AAA为任意名称):

IP access-listendedaaa

许可证10 . 176 . 6 . 18任何

许可证10.176 . 6.116任何

随时-范围控制

permitipanyany

！

接口Vlan2

IP地址

ipaccess-groupaaain

！

其中，10.176.6.18和10.176.6.116是虚拟工作子网2中的两个重要工作站，可以一直访问网络；根据以上控制设置，虚拟工作子网2中的所有普通工作站只能在每天12:00-14:00，以及周六日访问网络，其他时间不能正常访问网络，这样我们就可以成功达到禁止普通员工在工作期间随意上网的目的。

控制地址冲突

通过前面的控制，我们已经实现了虚拟工作子网2中的所有普通工作站只能在指定的时间段内访问互联网。事实上，在任何一个虚拟工作子网中，总有一个或几个工作站需要整天访问互联网来处理一些重要的事情。那么这些特殊的工作站如何独立访问互联网而不受上述控制规则的限制呢？其实在之前的控制操作中，我们已经使用了类似permitip10.176.6.18any这样的控制命令，让ip地址为10.176.6.18的专用工作站可以全天访问互联网。

但是在局域网工作环境中，我们经常会遇到IP地址被他人非法抢占的故障现象。如果虚拟工作子网2中的普通工作站窃取了10.176.6.18的IP地址，那么那个特殊工作站就无法访问网络。面对这种现象，我们应该采取什么措施来有效控制IP地址冲突呢？目前的关键问题是如何防止虚拟工作子网2中的普通工作站使用10.176.6.18的IP地址，从而保证指定的重要工作站可以使用这个地址；笔者在网上搜索了相关资料，查阅了S6806核心交换机的操作手册后发现，在S6806核心交换机后台将指定的重要工作站网卡的物理地址与地址10.176.6.18绑定就可以了。为了达到这一控制目的，我们可以按如下方式进行：

首先进入指定的重要工作站系统，依次点击启动/运行命令，在弹出的系统运行对话框中输入字符串命令cmd，点击确定按钮，打开相应工作站系统的DOS命令行窗口；

其次，在DOS命令提示符下，输入字符串命令“ipconfig/all”，点击回车键后，我们会从图1所示的结果界面中看到，指定的重要工作站系统的网卡物理地址为000 b . DBC 5 . 41 D4；

进入核心交换机后台管理系统，执行字符串命令“address-bind 10 . 176 . 6 . 18000 b . DBC 5 . 41d 4”，然后使用字符串命令“ARP 10 . 176 . 6 . 18000 b . DBC 5 . 41d 4 arpagi internet 2/3”绑定地址。这样，即使局域网中的其他普通工作站抢到了10.176.6.18地址，这些普通工作站也无法正常上网，因此局域网的稳定性可以得到有效保障。

从以上两个应用不难看出，交换机的合理配置可以有效防止IP地址被非法抢占、员工上班期间随意玩游戏看电影的现象，也可以从根源上有效抑制ARP病毒在局域网环境中的肆意传播，使局域网的运行安全和稳定得到极大保障！