時(shí)從政

摘要：作為一名網(wǎng)絡(luò)管理人員，不但要做好日常網(wǎng)絡(luò)的管理維護(hù)工作，保證其正常運(yùn)行，而且應(yīng)該鉆研業(yè)務(wù)，充分利用好現(xiàn)有網(wǎng)絡(luò)設(shè)備的功能。本人在長期的網(wǎng)絡(luò)管理過程當(dāng)中，結(jié)合本單位CISCO交換機(jī)提供的管理功能，解決了許多實(shí)際的網(wǎng)絡(luò)問題。

關(guān)鍵詞：網(wǎng)絡(luò)管理；交換機(jī)；ACL；ARP；VLAN

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)15-3552-02

1校園網(wǎng)絡(luò)管理中的常見問題

隨著網(wǎng)絡(luò)應(yīng)用的不斷普及，網(wǎng)絡(luò)的規(guī)模變得越來越大，管理的難度也逐漸增加。對于校園網(wǎng)來說，常見的問題主要有網(wǎng)絡(luò)設(shè)備分散、用戶人數(shù)多、網(wǎng)絡(luò)安全及流量控制等等，這往往需要借助相關(guān)網(wǎng)絡(luò)管理的軟、硬件產(chǎn)品來實(shí)現(xiàn)，這必然會增加單位的投資。其實(shí)，對于網(wǎng)絡(luò)管理人員來說，利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備能夠解決網(wǎng)絡(luò)管理中的許多實(shí)際問題，若能熟練應(yīng)用可以給單位節(jié)省不少的資金。對于校園網(wǎng)來說，主要的連網(wǎng)設(shè)備是交換機(jī)，網(wǎng)絡(luò)管理人員掌握了交換機(jī)的相關(guān)技術(shù)及命令，對今后的網(wǎng)絡(luò)管理工作大有幫助。

2可網(wǎng)管交換機(jī)在網(wǎng)絡(luò)管理中的應(yīng)用

利用交換機(jī)進(jìn)行網(wǎng)絡(luò)管理的一個(gè)前提條件是該交換機(jī)必須具有網(wǎng)絡(luò)管功能，如CISCO、華為、3COM、銳捷等廠家的可網(wǎng)管交換機(jī)，網(wǎng)管命令十分容易學(xué)習(xí)，價(jià)格也呈逐年下降的趨勢。利用交換機(jī)提供的VLAN技術(shù)、訪問控制列表（ACL）、DHCP、QOS等功能可以完成很多網(wǎng)絡(luò)管理工作。

2.1做好交換機(jī)自身的管理工作

對于大型的校園網(wǎng)來說，交換機(jī)數(shù)目很多，管理難度也很大。要做好交換機(jī)的管理，首要工作是為交換機(jī)命名，合理的命名有助于我們在今后網(wǎng)絡(luò)管理中明確該交換機(jī)所處地理位置，并能從名稱中知道這是一臺匯聚機(jī)或者是一臺接入交換機(jī)。比如對于辦公樓一樓的接入交換機(jī)可命名為：banggong-1.1、banggong-1.2等等，同樣對于學(xué)生宿舍一棟二樓的接入交換機(jī)可命名為：stu1-2.1、stu1-2.2等等，而對于這兩棟樓的匯聚交換機(jī)可直接命名為：banggong、stu。不管如何命名，最終要保證你在今后進(jìn)行網(wǎng)絡(luò)管理時(shí)看到名字立刻知道該設(shè)備的位置及重要性。完成這項(xiàng)工作只需要在交換機(jī)中輸入一條命令就可以了，也就是在全局配置模式下輸入：“hostname設(shè)備名稱”，一切都OK了。

其次是要給交換機(jī)分配管理IP地址，為今后遠(yuǎn)程登陸做好準(zhǔn)備。在支持VLAN的交換機(jī)中都有一個(gè)虛擬局域網(wǎng)VLAN1，一般作為管理VLAN使用，VLAN1的接口IP地址就是該交換機(jī)的管理IP了。對于cisco交換機(jī)，在全局配置模式下輸入下面命令：

Switch(config)Interface vlan 1

switch(config-if)#Ip address 192.168.1.1 255.255.255.0

switch(config-if)No shut

switch(config-if)Exit

Switch(config)Line vty 0 4

switch(config-line)#Password ******

switch(config-line)#Login

這樣就可以在遠(yuǎn)程的主機(jī)上輸入：telnet 192.168.1.1登陸該交換機(jī)了。為增加安全性，我們還可以根據(jù)實(shí)際情況設(shè)定能夠管理該交換機(jī)的IP地址范圍等。

2.2為局域網(wǎng)劃分VLAN

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”，它是一種將局域網(wǎng)設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。對于一個(gè)大型局域網(wǎng)來說，會涉及到成千上萬的網(wǎng)絡(luò)用戶，這必將會增加網(wǎng)絡(luò)管理的難度。為校園網(wǎng)劃分VLAN，利用交換機(jī)就可以按地理位置或者所屬部門把用戶劃分到同一VLAN當(dāng)中。就我的經(jīng)驗(yàn)來說，這樣做有很多好處，其一，當(dāng)某一VLAN中發(fā)生諸如病毒擴(kuò)散的時(shí)候，不會對其它VLAN產(chǎn)生影響；其二，可以按照不同的VLAN應(yīng)用不同的網(wǎng)絡(luò)策略，分而治之，十分方便。比如可以讓VLAN2的用戶只能訪問局域網(wǎng)，但其他VLAN的用戶既可以訪問局域網(wǎng)，也可以訪問互聯(lián)網(wǎng)?？梢韵拗芕LAN3的用戶在工作日只能訪問局域網(wǎng)等；其三，易于排除網(wǎng)絡(luò)故障，可根據(jù)VLAN中的用戶流量，判別是否存在網(wǎng)絡(luò)阻塞。

在一臺交換機(jī)上劃分VLAN十分簡單，以CISCO交換機(jī)為例，我們可以用下面的方法來創(chuàng)建VLAN51，命名為office，并把交換機(jī)的 FastEthernet0/10端口分配到該VLAN里。

*全局配置模式下,輸入VLAN ID,進(jìn)入VLAN配置模式:

Switch(config)#vlan 51

*為VLAN設(shè)置名字:

Switch(config-vlan)#name office

*把交換機(jī)端口分配到特定的VLAN：Switch(config)#interface FastEthernet0/10

*定義VLAN端口的成員關(guān)系,把它定義為層2接入端口:

Switch(config-if)#switchport mode access

*把端口分配進(jìn)特定的VLAN里:

Switch(config-if)#switchport access vlan 51

VLAN技術(shù)有很多重要的應(yīng)用，大家可以參考相關(guān)的資料來實(shí)現(xiàn)。

2.3利用配置訪問控制列表進(jìn)行網(wǎng)絡(luò)管理

訪問控制列表（ACL）是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。利用ACL可以對網(wǎng)絡(luò)進(jìn)行許多的管理工作，對于ACL的基本概念及語法格式，有很多參考資料，這里不做贅述，下面我以基于時(shí)間的ACL為例，在三層交換機(jī)上控制學(xué)生的上網(wǎng)時(shí)間。

在學(xué)校，為了不影響學(xué)生第二天的正常上課，通常不允許學(xué)生通宵上網(wǎng)。利用ACL,首先定義禁止上網(wǎng)的時(shí)間段，命令是：

switch(config)#time-range nodata

switch(config)#periodic Monday Tuesday Wednesday Thursday Sunday 0:00 to 7:00

然后定義一個(gè)基于時(shí)間的擴(kuò)展的ACL:

switch(config)access-list 110 deny ip any any time-range nodata

switch(config)access-list 110 permit ip any any

最后在端口上啟用訪問控制，這里的端口可以是具體的物理端口，也可以是針對某個(gè)VLAN，在這里以VLAN51為例，命令如下：

switch(config)#interface vlan 51

switch(config-if)# ip access-group 110 in switch(config-if)# ip access-group 110 out這樣就對從周日到周一的0：00-7:00進(jìn)行了禁止上網(wǎng)的控制。我們還可以根據(jù)實(shí)際情況對不同的用戶或者網(wǎng)段應(yīng)用不同控制策略。

2.4基于端口的網(wǎng)絡(luò)管理

可網(wǎng)管交換機(jī)的好處有很多，比如我們坐在辦公室里就可以對某臺交換機(jī)進(jìn)行管理配置，特別是對某個(gè)具體的端口進(jìn)行控制等。由于交換機(jī)的某個(gè)端口實(shí)際上連接的就是具體的網(wǎng)絡(luò)用戶，所以通過對端口進(jìn)行管理就是對網(wǎng)絡(luò)用戶的管理。

舉例來說，ARP病毒的是令網(wǎng)絡(luò)管理者頭疼的問題，它的爆發(fā)會使整個(gè)網(wǎng)段陷入癱瘓，用具體的殺毒軟件是無法處理的，只有找到攻擊源才能徹底解決問題。利用交換機(jī)的相關(guān)命令可以快速定位到正在進(jìn)行ARP攻擊的計(jì)算機(jī)所連的交換機(jī)端口，然后關(guān)閉端口，給所在用戶發(fā)一條短信就可以了。具體處理方法是，當(dāng)發(fā)生arp欺騙攻擊的時(shí)候，我們在三層交換機(jī)上使用命令show arp，會出現(xiàn)類似下面情況，有很多IP地址對應(yīng)同一MAC地址：

……

Internet 192.168.100.5 0 4437.e648.3fb4 ARPA Vlan31

Internet 192.168.100.11 15 4437.e648.3fb4 ARPA Vlan31

Internet 192.168.100.30 10 4437.e648.3fb4 ARPA Vlan31

……

這是一種典型的ARP攻擊現(xiàn)象，從中可以知道攻擊源所在機(jī)器的MAC地址是4437.e648.3fb4，產(chǎn)生在vlan31所在地址段。這樣，我們對該VLAN中所連接的交換機(jī)進(jìn)行排查，以定位攻擊源。登陸交換機(jī)，使用命令：

switch#show mac-address-table | include 4437.e648.3fb4

* 31 4437.e648.3fb4 dynamic Yes0 Gi4/1

如果Gi4/1是級聯(lián)口，換另一臺交換機(jī)查，不是的話，就可以確定攻擊來自此端口，做如下操作就可以了：

Switch#Interface Gi4/1

Switch(config)#shutdown

通知該用戶處理好計(jì)算機(jī)，再聯(lián)系網(wǎng)絡(luò)中心開通端口，這樣很快就排除了一次ARP欺騙攻擊。

3結(jié)論

綜上所述，可網(wǎng)管交換機(jī)為我們提供了豐富的管理功能，熟練掌握將會給我們的工作帶來很大幫助。網(wǎng)絡(luò)管理人員應(yīng)該不斷鉆研相關(guān)技術(shù)，提高業(yè)務(wù)能力，從而保證網(wǎng)絡(luò)持續(xù)、穩(wěn)定、安全的運(yùn)行。對網(wǎng)絡(luò)設(shè)備進(jìn)行深入的研究和應(yīng)用，不但能夠提高網(wǎng)絡(luò)管理人員自身的水平，加深對本單位網(wǎng)絡(luò)的了解，及時(shí)準(zhǔn)確地解決網(wǎng)絡(luò)問題，而且能夠最大限度的發(fā)揮網(wǎng)絡(luò)設(shè)備的功能，為單位的信息化的發(fā)展節(jié)省投資。

參考文獻(xiàn):

[1]李蘇芬.ARP欺騙防范與追蹤[J].科技信息（IT論談）,2012,（5）:141-142.

[2]沈忠誠.ACL技術(shù)在校園網(wǎng)中的應(yīng)用[J].電腦知識與技術(shù), 2010,(12):8376-8377.

[3]陳懷宇.VLAN技術(shù)及在校園網(wǎng)中的應(yīng)用[j].教育探究，2006,(03):60-62.