時(shí)從政

摘要：作為一名網(wǎng)絡(luò)管理人員，不但要做好日常網(wǎng)絡(luò)的管理維護(hù)工作，保證其正常運(yùn)行，而且應(yīng)該鉆研業(yè)務(wù)，充分利用好現(xiàn)有網(wǎng)絡(luò)設(shè)備的功能。本人在長(zhǎng)期的網(wǎng)絡(luò)管理過程當(dāng)中，結(jié)合本單位CISCO交換機(jī)提供的管理功能，解決了許多實(shí)際的網(wǎng)絡(luò)問題。

關(guān)鍵詞：網(wǎng)絡(luò)管理；交換機(jī)；ACL；ARP；VLAN

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)15-3552-02

1校園網(wǎng)絡(luò)管理中的常見問題

隨著網(wǎng)絡(luò)應(yīng)用的不斷普及，網(wǎng)絡(luò)的規(guī)模變得越來越大，管理的難度也逐漸增加。對(duì)于校園網(wǎng)來說，常見的問題主要有網(wǎng)絡(luò)設(shè)備分散、用戶人數(shù)多、網(wǎng)絡(luò)安全及流量控制等等，這往往需要借助相關(guān)網(wǎng)絡(luò)管理的軟、硬件產(chǎn)品來實(shí)現(xiàn)，這必然會(huì)增加單位的投資。其實(shí)，對(duì)于網(wǎng)絡(luò)管理人員來說，利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備能夠解決網(wǎng)絡(luò)管理中的許多實(shí)際問題，若能熟練應(yīng)用可以給單位節(jié)省不少的資金。對(duì)于校園網(wǎng)來說，主要的連網(wǎng)設(shè)備是交換機(jī)，網(wǎng)絡(luò)管理人員掌握了交換機(jī)的相關(guān)技術(shù)及命令，對(duì)今后的網(wǎng)絡(luò)管理工作大有幫助。

2可網(wǎng)管交換機(jī)在網(wǎng)絡(luò)管理中的應(yīng)用

利用交換機(jī)進(jìn)行網(wǎng)絡(luò)管理的一個(gè)前提條件是該交換機(jī)必須具有網(wǎng)絡(luò)管功能，如CISCO、華為、3COM、銳捷等廠家的可網(wǎng)管交換機(jī)，網(wǎng)管命令十分容易學(xué)習(xí)，價(jià)格也呈逐年下降的趨勢(shì)。利用交換機(jī)提供的VLAN技術(shù)、訪問控制列表（ACL）、DHCP、QOS等功能可以完成很多網(wǎng)絡(luò)管理工作。

2.1做好交換機(jī)自身的管理工作

對(duì)于大型的校園網(wǎng)來說，交換機(jī)數(shù)目很多，管理難度也很大。要做好交換機(jī)的管理，首要工作是為交換機(jī)命名，合理的命名有助于我們?cè)诮窈缶W(wǎng)絡(luò)管理中明確該交換機(jī)所處地理位置，并能從名稱中知道這是一臺(tái)匯聚機(jī)或者是一臺(tái)接入交換機(jī)。比如對(duì)于辦公樓一樓的接入交換機(jī)可命名為：banggong-1.1、banggong-1.2等等，同樣對(duì)于學(xué)生宿舍一棟二樓的接入交換機(jī)可命名為：stu1-2.1、stu1-2.2等等，而對(duì)于這兩棟樓的匯聚交換機(jī)可直接命名為：banggong、stu。不管如何命名，最終要保證你在今后進(jìn)行網(wǎng)絡(luò)管理時(shí)看到名字立刻知道該設(shè)備的位置及重要性。完成這項(xiàng)工作只需要在交換機(jī)中輸入一條命令就可以了，也就是在全局配置模式下輸入：“hostname設(shè)備名稱”，一切都OK了。

其次是要給交換機(jī)分配管理IP地址，為今后遠(yuǎn)程登陸做好準(zhǔn)備。在支持VLAN的交換機(jī)中都有一個(gè)虛擬局域網(wǎng)VLAN1，一般作為管理VLAN使用，VLAN1的接口IP地址就是該交換機(jī)的管理IP了。對(duì)于cisco交換機(jī)，在全局配置模式下輸入下面命令：

Switch(config)Interface vlan 1

switch(config-if)#Ip address 192.168.1.1 255.255.255.0

switch(config-if)No shut

switch(config-if)Exit

Switch(config)Line vty 0 4

switch(config-line)#Password ******

switch(config-line)#Login

這樣就可以在遠(yuǎn)程的主機(jī)上輸入：telnet 192.168.1.1登陸該交換機(jī)了。為增加安全性，我們還可以根據(jù)實(shí)際情況設(shè)定能夠管理該交換機(jī)的IP地址范圍等。

2.2為局域網(wǎng)劃分VLAN

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”，它是一種將局域網(wǎng)設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。對(duì)于一個(gè)大型局域網(wǎng)來說，會(huì)涉及到成千上萬的網(wǎng)絡(luò)用戶，這必將會(huì)增加網(wǎng)絡(luò)管理的難度。為校園網(wǎng)劃分VLAN，利用交換機(jī)就可以按地理位置或者所屬部門把用戶劃分到同一VLAN當(dāng)中。就我的經(jīng)驗(yàn)來說，這樣做有很多好處，其一，當(dāng)某一VLAN中發(fā)生諸如病毒擴(kuò)散的時(shí)候，不會(huì)對(duì)其它VLAN產(chǎn)生影響；其二，可以按照不同的VLAN應(yīng)用不同的網(wǎng)絡(luò)策略，分而治之，十分方便。比如可以讓VLAN2的用戶只能訪問局域網(wǎng)，但其他VLAN的用戶既可以訪問局域網(wǎng)，也可以訪問互聯(lián)網(wǎng)。可以限制VLAN3的用戶在工作日只能訪問局域網(wǎng)等；其三，易于排除網(wǎng)絡(luò)故障，可根據(jù)VLAN中的用戶流量，判別是否存在網(wǎng)絡(luò)阻塞。

在一臺(tái)交換機(jī)上劃分VLAN十分簡(jiǎn)單，以CISCO交換機(jī)為例，我們可以用下面的方法來創(chuàng)建VLAN51，命名為office，并把交換機(jī)的 FastEthernet0/10端口分配到該VLAN里。

*全局配置模式下,輸入VLAN ID,進(jìn)入VLAN配置模式:

Switch(config)#vlan 51

*為VLAN設(shè)置名字:

Switch(config-vlan)#name office

*把交換機(jī)端口分配到特定的VLAN：Switch(config)#interface FastEthernet0/10

*定義VLAN端口的成員關(guān)系,把它定義為層2接入端口:

Switch(config-if)#switchport mode access

*把端口分配進(jìn)特定的VLAN里:

Switch(config-if)#switchport access vlan 51

VLAN技術(shù)有很多重要的應(yīng)用，大家可以參考相關(guān)的資料來實(shí)現(xiàn)。

2.3利用配置訪問控制列表進(jìn)行網(wǎng)絡(luò)管理

訪問控制列表（ACL）是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。利用ACL可以對(duì)網(wǎng)絡(luò)進(jìn)行許多的管理工作，對(duì)于ACL的基本概念及語法格式，有很多參考資料，這里不做贅述，下面我以基于時(shí)間的ACL為例，在三層交換機(jī)上控制學(xué)生的上網(wǎng)時(shí)間。

在學(xué)校，為了不影響學(xué)生第二天的正常上課，通常不允許學(xué)生通宵上網(wǎng)。利用ACL,首先定義禁止上網(wǎng)的時(shí)間段，命令是：

switch(config)#time-range nodata

switch(config)#periodic Monday Tuesday Wednesday Thursday Sunday 0:00 to 7:00

然后定義一個(gè)基于時(shí)間的擴(kuò)展的ACL:

switch(config)access-list 110 deny ip any any time-range nodata

switch(config)access-list 110 permit ip any any

最后在端口上啟用訪問控制，這里的端口可以是具體的物理端口，也可以是針對(duì)某個(gè)VLAN，在這里以VLAN51為例，命令如下：

switch(config)#interface vlan 51

switch(config-if)# ip access-group 110 in switch(config-if)# ip access-group 110 out這樣就對(duì)從周日到周一的0：00-7:00進(jìn)行了禁止上網(wǎng)的控制。我們還可以根據(jù)實(shí)際情況對(duì)不同的用戶或者網(wǎng)段應(yīng)用不同控制策略。

2.4基于端口的網(wǎng)絡(luò)管理

可網(wǎng)管交換機(jī)的好處有很多，比如我們坐在辦公室里就可以對(duì)某臺(tái)交換機(jī)進(jìn)行管理配置，特別是對(duì)某個(gè)具體的端口進(jìn)行控制等。由于交換機(jī)的某個(gè)端口實(shí)際上連接的就是具體的網(wǎng)絡(luò)用戶，所以通過對(duì)端口進(jìn)行管理就是對(duì)網(wǎng)絡(luò)用戶的管理。

舉例來說，ARP病毒的是令網(wǎng)絡(luò)管理者頭疼的問題，它的爆發(fā)會(huì)使整個(gè)網(wǎng)段陷入癱瘓，用具體的殺毒軟件是無法處理的，只有找到攻擊源才能徹底解決問題。利用交換機(jī)的相關(guān)命令可以快速定位到正在進(jìn)行ARP攻擊的計(jì)算機(jī)所連的交換機(jī)端口，然后關(guān)閉端口，給所在用戶發(fā)一條短信就可以了。具體處理方法是，當(dāng)發(fā)生arp欺騙攻擊的時(shí)候，我們?cè)谌龑咏粨Q機(jī)上使用命令show arp，會(huì)出現(xiàn)類似下面情況，有很多IP地址對(duì)應(yīng)同一MAC地址：

……

Internet 192.168.100.5 0 4437.e648.3fb4 ARPA Vlan31

Internet 192.168.100.11 15 4437.e648.3fb4 ARPA Vlan31

Internet 192.168.100.30 10 4437.e648.3fb4 ARPA Vlan31

……

這是一種典型的ARP攻擊現(xiàn)象，從中可以知道攻擊源所在機(jī)器的MAC地址是4437.e648.3fb4，產(chǎn)生在vlan31所在地址段。這樣，我們對(duì)該VLAN中所連接的交換機(jī)進(jìn)行排查，以定位攻擊源。登陸交換機(jī)，使用命令：

switch#show mac-address-table | include 4437.e648.3fb4

* 31 4437.e648.3fb4 dynamic Yes0 Gi4/1

如果Gi4/1是級(jí)聯(lián)口，換另一臺(tái)交換機(jī)查，不是的話，就可以確定攻擊來自此端口，做如下操作就可以了：

Switch#Interface Gi4/1

Switch(config)#shutdown

通知該用戶處理好計(jì)算機(jī)，再聯(lián)系網(wǎng)絡(luò)中心開通端口，這樣很快就排除了一次ARP欺騙攻擊。

3結(jié)論

綜上所述，可網(wǎng)管交換機(jī)為我們提供了豐富的管理功能，熟練掌握將會(huì)給我們的工作帶來很大幫助。網(wǎng)絡(luò)管理人員應(yīng)該不斷鉆研相關(guān)技術(shù)，提高業(yè)務(wù)能力，從而保證網(wǎng)絡(luò)持續(xù)、穩(wěn)定、安全的運(yùn)行。對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行深入的研究和應(yīng)用，不但能夠提高網(wǎng)絡(luò)管理人員自身的水平，加深對(duì)本單位網(wǎng)絡(luò)的了解，及時(shí)準(zhǔn)確地解決網(wǎng)絡(luò)問題，而且能夠最大限度的發(fā)揮網(wǎng)絡(luò)設(shè)備的功能，為單位的信息化的發(fā)展節(jié)省投資。

參考文獻(xiàn):

[1]李蘇芬.ARP欺騙防范與追蹤[J].科技信息（IT論談）,2012,（5）:141-142.

[2]沈忠誠.ACL技術(shù)在校園網(wǎng)中的應(yīng)用[J].電腦知識(shí)與技術(shù), 2010,(12):8376-8377.

[3]陳懷宇.VLAN技術(shù)及在校園網(wǎng)中的應(yīng)用[j].教育探究，2006,(03):60-62.