局域網(wǎng)簡(jiǎn)易流控管理案例介紹
目前單位的局域網(wǎng)中還沒有布署流控系統(tǒng),某些部門對(duì)于網(wǎng)絡(luò)的濫用就經(jīng)常造成整個(gè)局域網(wǎng)的網(wǎng)速變得很慢。雖然我們通過MRTG軟件可監(jiān)控到是哪個(gè)端口的流量過大,也可以以針對(duì)某個(gè)端口進(jìn)行限速,但是卻不能這么做,因?yàn)檫@樣一下那個(gè)端口下面所有的微機(jī)的網(wǎng)速都被限制了,而那個(gè)端口下面又有確實(shí)需要保障網(wǎng)速的機(jī)器,所以就要區(qū)別對(duì)待,用一個(gè)實(shí)際的網(wǎng)絡(luò)拓?fù)鋪碚f明一下,如圖1所示:
圖1 局域網(wǎng)組網(wǎng)示意圖
8樓豎井交換機(jī)是一臺(tái)2層交換機(jī),下面連接了三個(gè)網(wǎng)絡(luò),一個(gè)是領(lǐng)導(dǎo)的辦公室,一個(gè)是財(cái)務(wù)部的局域網(wǎng),一個(gè)是辦公區(qū)的局域網(wǎng)。我們對(duì)于網(wǎng)絡(luò)使用限制的設(shè)計(jì)思路是利用CISCO3550的ACL實(shí)現(xiàn)對(duì)于連接8樓交換機(jī)的端口(端口18)設(shè)置為只允許某些特定的端口、只有指定的用戶可以不受限制的訪問網(wǎng)絡(luò)、放開對(duì)某個(gè)指定IP地址的訪問,這樣說不是太直觀,我們結(jié)合具體的實(shí)際說明一下。
在CISCO上創(chuàng)建ACL實(shí)現(xiàn)應(yīng)用限制
本例中我們創(chuàng)建了一個(gè)名為notb的ACL,只開放了某些常用的端口和一些特定的主機(jī),除此之外的默認(rèn)都是不允許訪問的端口,這個(gè)ACL在技術(shù)上實(shí)現(xiàn)沒什么難度,但是具體開放哪些端口還是很有講究的,我們分別說明一下:
(一)滿足最基本上網(wǎng)功能的端口
- ip access-list extended nobt
- permit tcp any any eq ftp
- permit tcp any any eq www
- permit tcp any any eq pop2
- permit tcp any any eq pop3
- permit tcp any any eq smtp
(以上幾條分別為FTP、瀏覽網(wǎng)頁、收發(fā)郵件的操作)
permit udp any any eq domain
(這一條太重要了,也算是我們的一個(gè)經(jīng)驗(yàn)教訓(xùn),已經(jīng)放開了WWW端口,為什么用戶還是上不去網(wǎng)呢?因?yàn)樗€無法使用DNS服務(wù),所以必須放開DNS服務(wù),同時(shí)注意是UDP協(xié)議)
permit tcp any any eq telnet
(因?yàn)橐猼elnet到交換機(jī)上,所以這個(gè)端口也要放開)
- permit udp any any eq bootpc
- permit udp any any eq bootps
(如果客戶端是通過DHCP自動(dòng)獲取IP地址,這兩條都要放開)
(二)開放聊天、炒股等常用端口
為什么要開放這些端口,因?yàn)榫W(wǎng)管員對(duì)網(wǎng)絡(luò)的使用做了限制,必然會(huì)受到下面用戶的抵制,要想讓這個(gè)限制措施執(zhí)行下去,所以必須開放一部分網(wǎng)絡(luò)應(yīng)用,這就是兵法上講的“圍城必闕”(說包圍一座城市,一定要留一個(gè)缺口,給對(duì)手留下一條活路。)。
- permit tcp any any eq 8601
- permit tcp any any eq 8002
- permit udp any any eq 1057
(這三個(gè)端口是同花順炒股軟件的)
- permit tcp any any eq 8005
- permit tcp any any eq 8006
(這兩個(gè)端口是中信萬通炒股軟件的)
permit tcp any any eq 2967 (2967是NORTON殺毒軟件客戶端與服務(wù)器通訊所使用的端口)
- permit tcp any any eq 843
- permit tcp any any eq 443
- permit tcp any any eq 8080
- remark 843 443 8080 is fetion
(這三個(gè)端口是飛信的)
permit tcp any any eq 1863 (1863是MSN所使用的端口)
permit tcp any any eq 3389 (3389是登陸遠(yuǎn)程桌面用的)
permit icmp any any (當(dāng)然要允許客戶端的機(jī)器執(zhí)行PING的操作了,要不然同事那邊說上不去網(wǎng),都無法在電話里面指導(dǎo)著他PING一下網(wǎng)關(guān),大致的判斷是哪兒出的故障)
- permit tcp any any eq 1080
- permit tcp any any eq 5188
(1080和5188是大智慧炒股軟件)
permit tcp any any eq 2121 (2121是我們內(nèi)網(wǎng)FTP服務(wù)所使用的端口號(hào))
permit ip any host 172.19.96.202 (172.19.96.202是我們內(nèi)網(wǎng)服務(wù)器的地址)
- permit ip any host 192.168.201.3
- permit udp any host 192.168.201.3 eq 61440
(我們單位使用的是城市熱點(diǎn)的用戶管理系統(tǒng),用戶上網(wǎng)時(shí)在瀏覽器中輸入用戶名和密碼192.168.201.3是驗(yàn)證服務(wù)器的地址,udp 61440是城市熱點(diǎn)客戶端所用的端口號(hào))
- permit tcp any any eq 7001
- permit tcp any any eq 2006
(這是財(cái)務(wù)部要使用的端口號(hào))
(三)特定的主機(jī)不受限制
比如領(lǐng)導(dǎo)的以及確實(shí)由于業(yè)務(wù)的關(guān)系使用網(wǎng)絡(luò)不受任何限制,在這個(gè)ACL中一條命令就可以搞定:
permit ip host 10.66.7.101 any
10.66.7.101就是BOSS所使用微機(jī)的IP地址。
轉(zhuǎn)載連接:http://network.51cto.com/art/201104/255100.htm
