伴随着Internet“身影”的随处【de suí chù】可见，越来越多的单位都已【wèi dōu yǐ】🤵经架设了自己【le zì jǐ】🆑的局域【de jú yù】网网⛅络，不过局域网在给各位员工日【yuán gōng rì】😼常办公【cháng bàn gōng】、共享上网带来便利同时【shí】🐓，也时【shí】刻🏟会遭遇网络病毒袭击【dú xí jī】、IP地址被🍖非法抢【fēi fǎ qiǎng】🍉用⚫、员工上班期间随意玩游戏等现象【xiàn xiàng】;为了确【wéi le què】保正常的工作秩序😇，单位领🛒导要求【dǎo yào qiú】笔者对单位局域网网【yù wǎng wǎng】⛅络进行严格管【yán gé guǎn】🤕理，特别是🦀要对员【yào duì yuán】工的上【gōng de shàng】网时【wǎng shí】🐓间进行严格控制，禁止他🔄们随意🎬在上班🕺期间上网访问【wǎng fǎng wèn】✋。

 组网情况

 笔者所在单位的局域网【jú yù wǎng】💩是【shì】2005年年底⏭建成的【jiàn chéng de】，该局域网【jú yù wǎng】💩通过RG-WALL 100型号的硬件防火墙连接到【lián jiē dào】🧐Internet网【wǎng】络😼，局域网【jú yù wǎng】💩中的所🔥有普通🏈工作站【zuò zhàn】👩都通过【dōu tōng guò】🤬普通二层交换【céng jiāo huàn】🕦机集中【jī jí zhōng】连接到【lián jiē dào】🧐锐捷网【wǎng】🐡络的【luò de】S6806核心交换机【huàn jī】;为了便于管理局域网【jú yù wǎng】💩网【wǎng】络😼，同时有🚀效控制局域网【jú yù wǎng】💩的网络【de wǎng luò】😼风暴现【fēng bào xiàn】象💅，笔者特意在局【yì zài jú】域网【wǎng】💩的核心【de hé xīn】交换机【huàn jī】中划分了🏒多个不【duō gè bú】同的虚🎐拟工作【nǐ gōng zuò】子网【wǎng】，确保局【què bǎo jú】域网【wǎng】💩网【wǎng】络😼不会受🍲到广播风暴的影响💷，同时保🛌证局域【zhèng jú yù】网【wǎng】💩中的重【zhōng de chóng】要服务器或工作站【zuò zhàn】👩不会受🍲到非法用户的随意访问。

 控制上网时间

 单位的服务器【fú wù qì】🌋系统以🌁及重要工作站【gōng zuò zhàn】♉系统被集中划分【zhōng huá fèn】到虚拟工作子网1中了，而普通🈴员工的🖋工作站【gōng zuò zhàn】♉则被集中划分【zhōng huá fèn】到虚拟工作子网2中了，单位领导要求每位员📫工只能【gōng zhī néng】在每天中午的12:00--14:00期间可【qī jiān kě】🕛以上网访问【fǎng wèn】，另外在星期六【xīng qī liù】、星期天➰全天可【quán tiān kě】以正常📐上网，其他时🏠间严格【jiān yán gé】⏸禁止上【jìn zhǐ shàng】📚网访问【fǎng wèn】。

 依照单【yī zhào dān】位领导【wèi lǐng dǎo】的工作要求🎋，笔者反复实践【fù shí jiàn】🧗了几种方法㊙，以前单位通过【wèi tōng guò】🐐代理服【dài lǐ fú】务🐍器进行共享上😓网时，笔者只要在代【yào zài dài】理服务🐍器中进行一下简单设置就可以了⏯，可是现在局域【zài jú yù】🙃网的工作站都是通过单位租【dān wèi zū】用的【yòng de】🚒10宽带光纤进行共享上😓网的，通过使用、设置代【shè zhì dài】🐹理服务🐍器的方【qì de fāng】法㊙根本不适合🛂现在的局域网【jú yù wǎng】组网情【zǔ wǎng qíng】👭况;另外🛁，单位局域网【jú yù wǎng】使用的【yòng de】🚒RG-WALL 100型号硬件防火墙🌹，也不直接支持【jiē zhī chí】对上网【duì shàng wǎng】👃访问时【fǎng wèn shí】🥡间的控制🚌。在毫无🎳头绪的🎦情况下【qíng kuàng xià】，笔者查【bǐ zhě chá】🤐阅了核🍥心交换【xīn jiāo huàn】机😪S6806的操作【de cāo zuò】🔐说明书，发现该交换机【jiāo huàn jī】😪可以支持上网时间🤑的控制🚌;经过进一步了【yī bù le】解，笔者发【bǐ zhě fā】现只要在核心【zài hé xīn】交换机【jiāo huàn jī】😪上设置【shàng shè zhì】🔥一些合【yī xiē hé】适的上【shì de shàng】网时间🤑控制规【guī】🍩则【zé】🛑，然后再【rán hòu zài】将指定的上网【de shàng wǎng】访问规【fǎng wèn guī】🚵则【zé】🛑应用到普通员工工作站所在的虚拟工作子网2上就可【shàng jiù kě】🧓以了⏯。依照这样的分析，笔者写🌋下了如【xià le rú】下上网访问时【fǎng wèn shí】🥡间控制规【guī】🍩则【zé】🛑，并将该【bìng jiāng gāi】规【guī】则【zé】命🔏名为control：

 time-range control

 periodic Monday 0:00 to 12:00

 periodic Monday 14:00 to 23:59

 periodic Tuesday 0:00 to 12:00

 periodic Tuesday 14:00 to 23:59

 periodic Wednesday 0:00 to 12:00

 periodic Wednesday 14:00 to 23:59

 periodic Thursday 0:00 to 12:00

 periodic Thursday 14:00 to 23:59

 periodic Friday 0:00 to 12:00

 periodic Friday 14:00 to 23:59

 !

 下面，笔者将上述控制规则🎧应用到普通员【pǔ tōng yuán】工工作【gōng gōng zuò】站所在的虚拟【de xū nǐ】工作子网【wǎng】🥦2上就可📟以了【yǐ le】💍(其中的💽aaa是任意制定的【zhì dìng de】一个名❗称)：

 IP access-list extended aaa

 permit ip 10.176.6.18 any

 permit ip 10.176.6.116 any

 deny ip 10.176.6.0 0.0.0.255 any time-range control

 permit ip any any

 !

 Interface Vlan 2

 ip address 10.176.6.1 255.255.255.0

 ip access-group aaa in

 !

 其中10.176.6.18、10.176.6.116是虚拟【shì xū nǐ】工作【zuò】子📘网【wǎng】👪2中的两【zhōng de liǎng】😃台重要🍹工作【zuò】站🧡，这两台工作【zuò】站🧡可以一直访问【zhí fǎng wèn】网络【wǎng luò】⛓;按照上【àn zhào shàng】👭述控制【shù kòng zhì】设置操🗂作【zuò】🕴，虚拟工作【zuò】子📘网【wǎng】👪2中的所【zhōng de suǒ】有普通😍工作【zuò】站🧡只能在每天中【měi tiān zhōng】午的12:00--14:00期间，以及星期六、星期天期间访问网【fǎng wèn wǎng】络⛓了【le】，其他时🐈间是不【jiān shì bú】能正常访问网【fǎng wèn wǎng】络⛓的，这样一来我们就能成🍣功实现【gōng shí xiàn】🕶禁止普通员工随意在上班期间上网【jiān shàng wǎng】🙈访问的目的了【le】。

控制地址冲突

 通过前面的控【miàn de kòng】制，我们实现了虚🕛拟工作【nǐ gōng zuò】🔇子网【zǐ wǎng】🌗2中【zhōng】的所有普通工作站只能在指定时间段上【jiān duàn shàng】网访【wǎng fǎng】💽问的目的了【de le】。事实上【shì shí shàng】⛩，在任意一个虚拟工作【nǐ gōng zuò】🔇子网【zǐ wǎng】🌗中【zhōng】，总有一台或少🈂数几台🤺工作站需要全天侯上网🌗，来处理🗣一些重【yī xiē chóng】要的事🎊情【qíng】💍，那么如【nà me rú】💫何才能【hé cái néng】👬让这些【ràng zhè xiē】🈳特殊的【tè shū de】工作站单独进行上网访【shàng wǎng fǎng】💽问，而不受【ér bú shòu】上述控制规则【zhì guī zé】🎃的限制🍬呢?其实，我们已【wǒ men yǐ】😋经在前🔔面的控【miàn de kòng】制操作中【zhōng】，使用了类似permit ip 10.176.6.18 any这样的👵控制命令【lìng】，实现了IP地址为10.176.6.18这样特殊的【tè shū de】工作站可【zuò zhàn kě】以全天🤟上网访【shàng wǎng fǎng】💽问的目的了【de le】。

 不过🍟，在【zài】🎷局域网工作环【gōng zuò huán】境中，我们时🛡常会遭🛠遇🐆IP地址【dì zhǐ】🚊被他人【bèi tā rén】非法抢【fēi fǎ qiǎng】用的故【yòng de gù】障🔍现象【xiàn xiàng】，如果虚拟工作【nǐ gōng zuò】子网2中有一【yī】🔲台普通工作【tōng gōng zuò】👦站盗用【zhàn dào yòng】了10.176.6.18这样的【zhè yàng de】⛑IP地址【dì zhǐ】🚊，那么那【nà me nà】🤒台特殊工作站♏也不能【yě bú néng】进行网【jìn háng wǎng】🧥络访问【luò fǎng wèn】了，面对这📑种现象【xiàn xiàng】，我们该采取什么措施来有效🎲控制IP地址【dì zhǐ】🚊冲突故障现象【xiàn xiàng】呢?目前的【mù qián de】关键问🖥题是，如何让【rú hé ràng】🌔虚拟工作【nǐ gōng zuò】子网2中的普【zhōng de pǔ】通工作【tōng gōng zuò】👦站不能【zhàn bú néng】使用10.176.6.18这样的【zhè yàng de】⛑IP地址【dì zhǐ】🚊，确保指【què bǎo zhǐ】🛃定的重🍈要工作站♏才能使用这🤰个地址【gè dì zhǐ】🚊;经过上网搜索🍦相关信息，并且查【bìng qiě chá】阅S6806核心🐬交换机的操作👤说明书，笔者发【bǐ zhě fā】现只要在【zài】🎷S6806核心🐬交换机后台【hòu tái】，将指定🎎的重要工作站♏网卡物【wǎng kǎ wù】理地址【dì zhǐ】🏾与10.176.6.18地址【dì zhǐ】🚊绑定在【zài】一【yī】🌆起就可以了。要实现【yào shí xiàn】这样的【zhè yàng de】⛑控制目【kòng zhì mù】的，我们可以按照【yǐ àn zhào】如下操作来进行：

 首先进入指定的重要【de chóng yào】工作站【gōng zuò zhàn】系统💯，依次单🌤击【jī】“开始【kāi shǐ】”/“运行”命令🔤，在弹出的【de】系统👧运行对⏸话框中，输入字【shū rù zì】符串命令🔤“cmd”，单击【dān jī】“确定【què dìng】”按钮后🏁，打开对应工作🐷站系统【zhàn xì tǒng】💯的【de】DOS命令行🥨工作窗🌤口;

 其次在DOS命令行【mìng lìng háng】提示符【tí shì fú】下🏨，输入字符串命👓令【lìng】“ipconfig /all”，单击回车键后【chē jiàn hòu】，我们将会从如【huì cóng rú】图1所示的🌲结果界【jié guǒ jiè】🥈面中， 看到指【kàn dào zhǐ】💅定重要工作站🥫系统的网卡物🔽理地址为000b.dbc5.41d4;

 下面进【xià miàn jìn】入核心交换机的后台管理系统【tǒng】🚢，执行字【zhí háng zì】符串😊命令“address-bind 10.176.6.18 000b.dbc5.41d4”，之后再使用【shǐ yòng】“arp 10.176.6.18000b.dbc5.41d4 arpa gigabitEthernet 2/3”字符串😊命令进🗂行地址【háng dì zhǐ】绑定操作🎇，这样一来局域🍰网中的【wǎng zhōng de】🏧其他普【qí tā pǔ】通工作🥛站即使抢用了🙅10.176.6.18地址【dì zhǐ】，这些普通工作🥛站也不能正常上网访问，那么局域网的运行稳【yùn háng wěn】🌉定性也👌就能得【jiù néng dé】到有效【dào yǒu xiào】🌀保证了【bǎo zhèng le】♉。

 从上面的两则🤵应用中💶我们不😍难看出【nán kàn chū】，合理配👩置交换机可以【jī kě yǐ】🗿有效地🌕防止局🔺域网网【yù wǎng wǎng】🌐络发生IP地址被非法抢用、员工在上班期间随意【jiān suí yì】玩游戏、看电影等现象【děng xiàn xiàng】，而且也能从根【néng cóng gēn】源上有效抑制ARP病毒在【bìng dú zài】局域网【jú yù wǎng】😷环境下【huán jìng xià】的肆意🔊传播【chuán bō】，这样就能大大【néng dà dà】保障局域网【jú yù wǎng】😷网络的运行安全性、运行稳🏜定性!