伴隨著Internet“身影”的隨處可見，越來越多的單位都已經架設了自己的局域網網絡，不過局域網在給各位員工日常辦公、共享上網帶來便利同時，也時刻會遭遇網絡病毒襲擊、IP地址被非法搶用、員工上班期間隨意玩游戲等現象;為了確保正常的工作秩序，單位領導要求筆者對單位局域網網絡進行嚴格管理，特別是要對員工的上網時間進行嚴格控制，禁止他們隨意在上班期間上網訪問。

 組網情況

 筆者所在單位的局域網是2005年年底建成的，該局域網通過RG-WALL 100型號的硬件防火墻連接到Internet網絡，局域網中的所有普通工作站都通過普通二層交換機集中連接到銳捷網絡的S6806核心交換機;為了便于管理局域網網絡，同時有效控制局域網的網絡風暴現象，筆者特意在局域網的核心交換機中劃分了多個不同的虛擬工作子網，確保局域網網絡不會受到廣播風暴的影響，同時保證局域網中的重要服務器或工作站不會受到非法用戶的隨意訪問。

 控制上網時間

 單位的服務器系統以及重要工作站系統被集中劃分到虛擬工作子網1中了，而普通員工的工作站則被集中劃分到虛擬工作子網2中了，單位領導要求每位員工只能在每天中午的12:00--14:00期間可以上網訪問，另外在星期六、星期天全天可以正常上網，其他時間嚴格禁止上網訪問。

 依照單位領導的工作要求，筆者反復實踐了幾種方法，以前單位通過代理服務器進行共享上網時，筆者只要在代理服務器中進行一下簡單設置就可以了，可是現在局域網的工作站都是通過單位租用的10寬帶光纖進行共享上網的，通過使用、設置代理服務器的方法根本不適合現在的局域網組網情況;另外，單位局域網使用的RG-WALL 100型號硬件防火墻，也不直接支持對上網訪問時間的控制。在毫無頭緒的情況下，筆者查閱了核心交換機S6806的操作說明書，發現該交換機可以支持上網時間的控制;經過進一步了解，筆者發現只要在核心交換機上設置一些合適的上網時間控制規則，然后再將指定的上網訪問規則應用到普通員工工作站所在的虛擬工作子網2上就可以了。依照這樣的分析，筆者寫下了如下上網訪問時間控制規則，并將該規則命名為control：

 time-range control

 periodic Monday 0:00 to 12:00

 periodic Monday 14:00 to 23:59

 periodic Tuesday 0:00 to 12:00

 periodic Tuesday 14:00 to 23:59

 periodic Wednesday 0:00 to 12:00

 periodic Wednesday 14:00 to 23:59

 periodic Thursday 0:00 to 12:00

 periodic Thursday 14:00 to 23:59

 periodic Friday 0:00 to 12:00

 periodic Friday 14:00 to 23:59

 !

 下面，筆者將上述控制規則應用到普通員工工作站所在的虛擬工作子網2上就可以了(其中的aaa是任意制定的一個名稱)：

 IP access-list extended aaa

 permit ip 10.176.6.18 any

 permit ip 10.176.6.116 any

 deny ip 10.176.6.0 0.0.0.255 any time-range control

 permit ip any any

 !

 Interface Vlan 2

 ip address 10.176.6.1 255.255.255.0

 ip access-group aaa in

 !

 其中10.176.6.18、10.176.6.116是虛擬工作子網2中的兩臺重要工作站，這兩臺工作站可以一直訪問網絡;按照上述控制設置操作，虛擬工作子網2中的所有普通工作站只能在每天中午的12:00--14:00期間，以及星期六、星期天期間訪問網絡了，其他時間是不能正常訪問網絡的，這樣一來我們就能成功實現禁止普通員工隨意在上班期間上網訪問的目的了。

控制地址沖突

 通過前面的控制，我們實現了虛擬工作子網2中的所有普通工作站只能在指定時間段上網訪問的目的了。事實上，在任意一個虛擬工作子網中，總有一臺或少數幾臺工作站需要全天侯上網，來處理一些重要的事情，那么如何才能讓這些特殊的工作站單獨進行上網訪問，而不受上述控制規則的限制呢?其實，我們已經在前面的控制操作中，使用了類似permit ip 10.176.6.18 any這樣的控制命令，實現了IP地址為10.176.6.18這樣特殊的工作站可以全天上網訪問的目的了。

 不過，在局域網工作環境中，我們時常會遭遇IP地址被他人非法搶用的故障現象，如果虛擬工作子網2中有一臺普通工作站盜用了10.176.6.18這樣的IP地址，那么那臺特殊工作站也不能進行網絡訪問了，面對這種現象，我們該采取什么措施來有效控制IP地址沖突故障現象呢?目前的關鍵問題是，如何讓虛擬工作子網2中的普通工作站不能使用10.176.6.18這樣的IP地址，確保指定的重要工作站才能使用這個地址;經過上網搜索相關信息，并且查閱S6806核心交換機的操作說明書，筆者發現只要在S6806核心交換機后臺，將指定的重要工作站網卡物理地址與10.176.6.18地址綁定在一起就可以了。要實現這樣的控制目的，我們可以按照如下操作來進行：

 首先進入指定的重要工作站系統，依次單擊“開始”/“運行”命令，在彈出的系統運行對話框中，輸入字符串命令“cmd”，單擊“確定”按鈕后，打開對應工作站系統的DOS命令行工作窗口;

 其次在DOS命令行提示符下，輸入字符串命令“ipconfig /all”，單擊回車鍵后，我們將會從如圖1所示的結果界面中， 看到指定重要工作站系統的網卡物理地址為000b.dbc5.41d4;

 下面進入核心交換機的后臺管理系統，執行字符串命令“address-bind 10.176.6.18 000b.dbc5.41d4”，之后再使用“arp 10.176.6.18000b.dbc5.41d4 arpa gigabitEthernet 2/3”字符串命令進行地址綁定操作，這樣一來局域網中的其他普通工作站即使搶用了10.176.6.18地址，這些普通工作站也不能正常上網訪問，那么局域網的運行穩定性也就能得到有效保證了。

 從上面的兩則應用中我們不難看出，合理配置交換機可以有效地防止局域網網絡發生IP地址被非法搶用、員工在上班期間隨意玩游戲、看電影等現象，而且也能從根源上有效抑制ARP病毒在局域網環境下的肆意傳播，這樣就能大大保障局域網網絡的運行安全性、運行穩定性!