如何交換器控制上網訪問時間

伴隨著Internet“身影”的隨處可見，越來越多的單位都已經架設了自己的區域網路網路，不過區域網路在給各位員工日常辦公、共用上網帶來便利同時，也時刻會遭遇網路病毒襲擊、IP地址被非法搶用、員工上班期間隨意玩遊戲等現象;為了確保正常的工作秩序，單位領導要求筆者對單位區域網路網路進行嚴格管理，特別是要對員工的上網時間進行嚴格控制，禁止他們隨意在上班期間上網訪問。

組網情況

筆者所在單位的區域網路是2005年年底建成的，該區域網路通過RG-WALL 100型號的硬體防火牆串連到Internet網路，區域網路中的所有普通工作站都通過普通二層交換器集中串連到銳捷網路的S6806核心交換器;為了便於管理區域網路網路，同時有效控制區域網路的網路風暴現象，筆者特意在區域網路的核心交換器中劃分了多個不同的虛擬工作子網，確保區域網路網路不會受到廣播風暴的影響，同時保證區域網路中的重要伺服器或工作站不會受到非法使用者的隨意訪問。

控制上網時間

單位的伺服器系統以及重要工作站系統被集中劃分到虛擬工作子網1中了，而普通員工的工作站則被集中劃分到虛擬工作子網2中了，單位領導要求每位員工只能在每天中午的12:00--14:00期間可以上網訪問，另外在星期六、星期天全天可以正常上網，其他時間嚴格禁止上網訪問。

依照單位領導的工作要求，筆者反覆實踐了幾種方法，以前單位通過Proxy 伺服器進行共用上網時，筆者只要在Proxy 伺服器中進行一下簡單設定就可以了，可是現在區域網路的工作站都是通過單位租用的10寬頻光纖進行共用上網的，通過使用、設定Proxy 伺服器的方法根本不適合現在的區域網路組網情況;另外，單位區域網路使用的RG-WALL 100型號硬體防火牆，也不直接支援對上網訪問時間的控制。在毫無頭緒的情況下，筆者查閱了核心交換器S6806的操作說明書，發現該交換器可以支援上網時間的控制;經過進一步瞭解，筆者發現只要在核心交換器上設定一些合適的上網時間控制規則，然後再將指定的上網訪問規則應用到普通員工工作站所在的虛擬工作子網2上就可以了。依照這樣的分析，筆者寫下了如下上網訪問時間控制規則，並將該規則命名為control：

time-range control

periodic Monday 0:00 to 12:00

periodic Monday 14:00 to 23:59

periodic Tuesday 0:00 to 12:00

periodic Tuesday 14:00 to 23:59

periodic Wednesday 0:00 to 12:00

periodic Wednesday 14:00 to 23:59

periodic Thursday 0:00 to 12:00

periodic Thursday 14:00 to 23:59

periodic Friday 0:00 to 12:00

periodic Friday 14:00 to 23:59

!

更多精彩內容：http://www.bianceng.cnhttp://www.bianceng.cn/Network/jhjs/

下面，筆者將上述控制規則應用到普通員工工作站所在的虛擬工作子網2上就可以了(其中的aaa是任意制定的一個名稱)：

IP access-list extended aaa

permit ip 10.176.6.18 any

permit ip 10.176.6.116 any

deny ip 10.176.6.0 0.0.0.255 any time-range control

permit ip any any

!

Interface Vlan 2

ip address 10.176.6.1 255.255.255.0

ip access-group aaa in

!

其中10.176.6.18、10.176.6.116是虛擬工作子網2中的兩台重要工作站，這兩台工作站可以一直訪問網路;按照上述控制設定作業，虛擬工作子網2中的所有普通工作站只能在每天中午的12:00--14:00期間，以及星期六、星期天期間訪問網路了，其他時間是不能正常訪問網路的，這樣一來我們就能成功實現禁止普通員工隨意在上班期間上網訪問的目的了。

控制地址衝突

通過前面的控制，我們實現了虛擬工作子網2中的所有普通工作站只能在指定時間段上網訪問的目的了。事實上，在任意一個虛擬工作子網中，總有一台或少數幾台工作站需要全天侯上網，來處理一些重要的事情，那麼如何才能讓這些特殊的工作站單獨進行上網訪問，而不受上述控制規則的限制呢?其實，我們已經在前面的控制操作中，使用了類似permit ip 10.176.6.18 any這樣的控制命令，實現了IP地址為10.176.6.18這樣特殊的工作站可以全天上網訪問的目的了。

不過，在區域網路工作環境中，我們時常會遭遇IP地址被他人非法搶用的故障現象，如果虛擬工作子網2中有一台普通工作站盜用了10.176.6.18這樣的IP地址，那麼那台特殊工作站也不能進行網路訪問了，面對這種現象，我們該採取什麼措施來有效控制IP地址衝突故障現象呢?目前的關鍵問題是，如何讓虛擬工作子網2中的普通工作站不能使用10.176.6.18這樣的IP地址，確保指定的重要工作站才能使用這個地址;經過上網搜尋相關資訊，並且查閱S6806核心交換器的操作說明書，筆者發現只要在S6806核心交換器後台，將指定的重要工作站網卡物理地址與10.176.6.18地址綁定在一起就可以了。要實現這樣的控制目的，我們可以按照如下操作來進行：

首先進入指定的重要工作站系統，依次單擊“開始”/“運行”命令，在彈出的系統運行對話方塊中，輸入字串命令“cmd”，單擊“確定”按鈕後，開啟對應工作站系統的DOS命令列工作視窗;

其次在DOS命令列提示符下，輸入字串命令“ipconfig /all”，單擊斷行符號鍵後，我們將會從如圖1所示的結果介面中， 看到指定重要工作站系統的網卡物理地址為000b.dbc5.41d4;

下面進入核心交換器的後台管理系統，執行字串命令“address-bind 10.176.6.18 000b.dbc5.41d4”，之後再使用“arp 10.176.6.18000b.dbc5.41d4 arpa gigabitEthernet 2/3”字串命令進行地址綁定操作，這樣一來區域網路中的其他普通工作站即使搶用了10.176.6.18地址，這些普通工作站也不能正常上網訪問，那麼區域網路的運行穩定性也就能得到有效保證了。