</p> 下面,考试大将上述控制规则应用到普通员工工作站所在的虚拟工作子网2上就可以了(其中的aaa是任意制定的一个名称):; z* \* Z7 I2 b+ {
IP access-list extended aaa
7 t9 |7 m( S- p# J ^; |& ` permit ip 10.176.6.18 any$ T1 J; f, u3 K
permit ip 10.176.6.116 any
# w8 o3 y8 i! x6 G8 v deny ip 10.176.6.0 0.0.0.255 any time-range control
8 n" ~5 S0 N% [% j7 A permit ip any any
. L: [( p) K; @+ r# {0 q5 k !
! @) R( w \0 T) z+ o q' S( T Interface Vlan 2 J! H* Q, e4 o4 _- V% w& d7 @
ip address 10.176.6.1 255.255.255.09 B; m/ _* i" {" Q6 F2 R! ?
ip access-group aaa in
4 S3 ~$ ?; O! |1 f( |! { !# I! p. R+ f8 e% W$ ^' w
其中10.176.6.18、10.176.6.116是虚拟工作子网2中的两台重要工作站,这两台工作站可以一直访问网络;按照上述控制设置操作,虚拟工作子网2中的所有普通工作站只能在每天中午的12:00——14:00期间,以及星期六、星期天期间访问网络了,其他时间是不能正常访问网络的,这样一来我们就能成功实现禁止普通员工随意在上班期间上网访问的目的了。" u$ q6 z* j: R/ G, _, `3 L# a. \# Y
控制地址冲突/ ` S) X8 F4 j
通过前面的控制,我们实现了虚拟工作子网2中的所有普通工作站只能在指定时间段上网访问的目的了。事实上,在任意一个虚拟工作子网中,总有一台或少数几台工作站需要全天侯上网,来处理一些重要的事情,那么如何才能让这些特殊的工作站单独进行上网访问,而不受上述控制规则的限制呢?其实,我们已经在前面的控制操作中,使用了类似permit ip 10.176.6.18 any这样的控制命令,实现了IP地址为10.176.6.18这样特殊的工作站可以全天上网访问的目的了。
1 _$ d" s+ W# s t 不过,在局域网工作环境中,我们时常会遭遇IP地址被他人非法抢用的故障现象,如果虚拟工作子网2中有一台普通工作站盗用了10.176.6.18这样的IP地址,那么那台特殊工作站也不能进行网络访问了,面对这种现象,我们该采取什么措施来有效控制IP地址冲突故障现象呢?目前的关键问题是,如何让虚拟工作子网2中的普通工作站不能使用10.176.6.18这样的IP地址,确保指定的重要工作站才能使用这个地址;经过上网搜索相关信息,并且查阅S6806核心交换机的操作说明书,笔者发现只要在S6806核心交换机后台,将指定的重要工作站网卡物理地址与10.176.6.18地址绑定在一起就可以了。要实现这样的控制目的,我们可以按照如下操作来进行:
& O2 t6 h4 W5 g9 T+ V 首先进入指定的重要工作站系统,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“cmd”,单击“确定”按钮后,打开对应工作站系统的DOS命令行工作窗口;/ ^, L8 ]4 C& ^# H
其次在DOS命令行提示符下,输入字符串命令“ipconfig /all”,单击回车键后,我们将会从界面中, 看到指定重要工作站系统的网卡物理地址为000b.dbc5.41d4;
( L h; _1 n0 B 下面进入核心交换机的后台管理系统,执行字符串命令“address-bind 10.176.6.18 000b.dbc5.41d4”,之后再使用“arp 10.176.6.18000b.dbc5.41d4 arpa gigabitEthernet 2/3”字符串命令进行地址绑定操作,这样一来局域网中的其他普通工作站即使抢用了10.176.6.18地址,这些普通工作站也不能正常上网访问,那么局域网的运行稳定性也就能得到有效保证了。9 P: ` w8 g. E9 \- I0 i. K. ~
从上面的两则应用中我们不难看出,合理配置交换机可以有效地防止局域网网络发生IP地址被非法抢用、员工在上班期间随意玩游戏、看电影等现象,而且也能从根源上有效抑制ARP病毒在局域网环境下的肆意传播,这样就能大大保障局域网网络的运行安全性、运行稳定性! |