伴隨著Internet“身影”的隨處可見，越來越多（duō）的單位都已經架設了自己（jǐ）的局域網網絡，不過局域網在給各位員工日常辦公、共享上網（wǎng）帶來便利同時，也時刻會遭遇（yù）網絡病（bìng）毒襲擊、IP地（dì）址（zhǐ）被非法搶用、員工上班（bān）期間隨意玩遊戲等現象;為（wéi）了確（què）保正常的工作秩序，單位（wèi）領導要（yào）求（qiú）筆者對單位局域網網絡進行嚴（yán）格管理，特別是要對員工的上網時間進行嚴格控製，禁止他們隨（suí）意在（zài）上班期間上網訪問。

 組網情況

 筆（bǐ）者所（suǒ）在單位的局（jú）域網是2005年年底建成的，該局域網通過（guò）RG-WALL 100型號的硬件防（fáng）火牆連接到Internet網絡，局域網中的所有普通（tōng）工作站都通過普通二層交換機集中連接到銳捷網絡的S6806核心交換機;為了便於管理（lǐ）局域網網絡，同時有效控製局域（yù）網的網絡風暴現（xiàn）象，筆者特意在（zài）局域網的核心交換機中劃分了多個不同的（de）虛擬工作子網，確保局域網網絡不（bú）會（huì）受到（dào）廣播風暴（bào）的影響，同時保證局域網中的重要服務器或工作站不會受到非法用（yòng）戶的隨意訪問。

 控製上網時間

 單位的服（fú）務器係統以及重要工作站係統被集中劃分到（dào）虛擬工作子網1中（zhōng）了，而普通員工的工作站則被集（jí）中劃（huá）分到虛擬工作子網2中了，單位領導（dǎo）要（yào）求每位員工隻能在每天中（zhōng）午（wǔ）的12:00--14:00期（qī）間可以上（shàng）網訪問，另外在星期六、星期天全天可（kě）以正（zhèng）常（cháng）上網，其（qí）他時間嚴格禁止上網訪問。

 依照單位領導的工（gōng）作要求，筆者（zhě）反複實踐（jiàn）了幾種方法，以前單位通（tōng）過（guò）代理服務器進行共享上網時，筆者隻要在代理服務器（qì）中進行一下簡單設置（zhì）就可以了，可是現在局域網的工作站都是通過單位租用的10寬帶光纖進行共享上網的，通過（guò）使用、設置代理服務器的方法根本不適合現在的局域網組網情況;另（lìng）外，單位局域網使用的RG-WALL 100型號硬件防火牆，也不直接支（zhī）持對上網訪問（wèn）時間的控製。在毫無頭緒的情（qíng）況下，筆者查閱了核心（xīn）交換機S6806的操作說明書，發現該交換機可以支持上網（wǎng）時間（jiān）的控製;經過進一步了解，筆者發現隻要在核心交換機上設置一些合（hé）適的上網時間控製規則，然後再將指（zhǐ）定的上網訪（fǎng）問規則應用到普通員工工作站所在的虛擬工作子網2上就可以了。依照這樣（yàng）的分析，筆者寫下（xià）了如下上網訪問時間控製規則（zé），並將（jiāng）該規（guī）則命名為control：

 time-range control

 periodic Monday 0:00 to 12:00

 periodic Monday 14:00 to 23:59

 periodic Tuesday 0:00 to 12:00

 periodic Tuesday 14:00 to 23:59

 periodic Wednesday 0:00 to 12:00

 periodic Wednesday 14:00 to 23:59

 periodic Thursday 0:00 to 12:00

 periodic Thursday 14:00 to 23:59

 periodic Friday 0:00 to 12:00

 periodic Friday 14:00 to 23:59

 !

 下麵，筆者將上述控製規則應用到普通員工工（gōng）作站所（suǒ）在的虛擬工作子網（wǎng）2上就可以了(其中（zhōng）的aaa是任意製（zhì）定（dìng）的一個名稱)：

 IP access-list extended aaa

 permit ip 10.176.6.18 any

 permit ip 10.176.6.116 any

 deny ip 10.176.6.0 0.0.0.255 any time-range control

 permit ip any any

 !

 Interface Vlan 2

 ip address 10.176.6.1 255.255.255.0

 ip access-group aaa in

 !

 其中10.176.6.18、10.176.6.116是虛擬工作（zuò）子（zǐ）網2中的（de）兩（liǎng）台重要工作站，這兩台工（gōng）作站可以（yǐ）一直訪問網絡;按照上述控製設置（zhì）操作，虛擬工作子網2中的（de）所有（yǒu）普（pǔ）通工作站隻能在每天中午的12:00--14:00期間，以及星期六、星期天期間訪問網絡了（le），其他（tā）時間是不能（néng）正常訪問網絡的，這樣一（yī）來我們就能成功實現禁止普通員工隨（suí）意在上班期間上網訪問的目的了。

控製地址衝突

 通過前麵的控（kòng）製，我們實現（xiàn）了虛擬工作子網2中的所有普通工作站隻能在指定時間段上網訪問（wèn）的（de）目的了。事實上，在任意一個虛擬工（gōng）作子網中（zhōng），總有一台或少數幾台工作站需要全天侯上網，來處理一些重要的事情，那麽如何才能讓這些特殊的工作（zuò）站單（dān）獨進行上網訪問，而不受（shòu）上述控（kòng）製規（guī）則的限製呢?其實，我們已經在前麵（miàn）的（de）控製操作中，使用了類似permit ip 10.176.6.18 any這樣的控製命令，實現了IP地址為10.176.6.18這樣特殊的工作站可以全天上網訪問的目的了（le）。

 不過，在局域網工作環境中，我們時（shí）常會遭遇IP地址被他（tā）人非法搶用的故障現象，如果（guǒ）虛擬工作子網2中有（yǒu）一台普（pǔ）通工作站盜用了10.176.6.18這樣（yàng）的（de）IP地址，那麽那台特殊工作站也不能（néng）進行網絡訪（fǎng）問了（le），麵（miàn）對這種（zhǒng）現象，我們該采取什麽措施（shī）來（lái）有效控製IP地址衝突故（gù）障現象呢?目前的關鍵問題是，如何讓虛擬工作子網（wǎng）2中的普通工（gōng）作站不能使用（yòng）10.176.6.18這樣的IP地址，確保指（zhǐ）定的重要工作站才能使用這個地址;經（jīng）過上網搜索相關信息，並且查閱S6806核心交換機的操作說（shuō）明書，筆者（zhě）發現隻要在S6806核心交換機後台，將指定的重要工作站網卡物理地址與10.176.6.18地址綁定在一起就可以了（le）。要實現這樣的控製目的，我（wǒ）們可以按照（zhào）如下操作來進行：

 首先進入（rù）指定的重要（yào）工作站係統，依次單擊“開始”/“運行”命令，在（zài）彈出的係統運行對話（huà）框中，輸入字符串命令“cmd”，單擊“確定（dìng）”按鈕後，打開對應（yīng）工作站係統的DOS命令行工（gōng）作窗口;

 其次在DOS命（mìng）令行提示符下，輸入字符串命令“ipconfig /all”，單擊回車鍵後，我（wǒ）們將會從如圖1所示的結果界麵（miàn）中， 看到指定重要工作站係統的網卡物理地址為000b.dbc5.41d4;

 下麵進入核心交換機的後台管理係統，執行字符串命令“address-bind 10.176.6.18 000b.dbc5.41d4”，之後再使用“arp 10.176.6.18000b.dbc5.41d4 arpa gigabitEthernet 2/3”字符串命令進行地址綁定操作，這樣一來局域網（wǎng）中的其他普通工作（zuò）站即使搶（qiǎng）用了10.176.6.18地址，這些普通工作站也不（bú）能正常上網訪問，那麽局域網的運行穩定性也就能得到有效保證（zhèng）了。

 從上（shàng）麵的兩則應（yīng）用中我們不（bú）難看出，合理配（pèi）置交換機可以有效地防止局域網（wǎng）網絡發生IP地址被非法搶用、員工（gōng）在上班期間隨意玩遊戲、看電（diàn）影等現象，而且也能從根（gēn）源（yuán）上有效抑製ARP病毒在局域網環境下（xià）的肆意傳播，這樣就能大大保障局（jú）域網網絡的運行安全性、運行穩定性!