交换机在校园网管理中的应用

时间:2022-10-08 02:44:07

交换机在校园网管理中的应用

摘要:作为一名网络管理人员,不但要做好日常网络的管理维护工作,保证其正常运行,而且应该钻研业务,充分利用好现有网络设备的功能。本人在长期的网络管理过程当中,结合本单位CISCO交换机提供的管理功能,解决了许多实际的网络问题。

关键词:网络管理;交换机;ACL;ARP;VLAN

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)15-3552-02

1校园网络管理中的常见问题

随着网络应用的不断普及,网络的规模变得越来越大,管理的难度也逐渐增加。对于校园网来说,常见的问题主要有网络设备分散、用户人数多、网络安全及流量控制等等,这往往需要借助相关网络管理的软、硬件产品来实现,这必然会增加单位的投资。其实,对于网络管理人员来说,利用现有的网络设备能够解决网络管理中的许多实际问题,若能熟练应用可以给单位节省不少的资金。对于校园网来说,主要的连网设备是交换机,网络管理人员掌握了交换机的相关技术及命令,对今后的网络管理工作大有帮助。

2可网管交换机在网络管理中的应用

利用交换机进行网络管理的一个前提条件是该交换机必须具有网络管功能,如CISCO、华为、3COM、锐捷等厂家的可网管交换机,网管命令十分容易学习,价格也呈逐年下降的趋势。利用交换机提供的VLAN技术、访问控制列表(ACL)、DHCP、QOS等功能可以完成很多网络管理工作。

2.1做好交换机自身的管理工作

对于大型的校园网来说,交换机数目很多,管理难度也很大。要做好交换机的管理,首要工作是为交换机命名,合理的命名有助于我们在今后网络管理中明确该交换机所处地理位置,并能从名称中知道这是一台汇聚机或者是一台接入交换机。比如对于办公楼一楼的接入交换机可命名为:banggong-1.1、banggong-1.2等等,同样对于学生宿舍一栋二楼的接入交换机可命名为:stu1-2.1、stu1-2.2等等,而对于这两栋楼的汇聚交换机可直接命名为:banggong、stu。不管如何命名,最终要保证你在今后进行网络管理时看到名字立刻知道该设备的位置及重要性。完成这项工作只需要在交换机中输入一条命令就可以了,也就是在全局配置模式下输入:“hostname设备名称”,一切都OK了。

其次是要给交换机分配管理IP地址,为今后远程登陆做好准备。在支持VLAN的交换机中都有一个虚拟局域网VLAN1,一般作为管理VLAN使用,VLAN1的接口IP地址就是该交换机的管理IP了。对于cisco交换机,在全局配置模式下输入下面命令:

Switch(config)Interface vlan 1

switch(config-if)#Ip address 192.168.1.1 255.255.255.0

switch(config-if)No shut

switch(config-if)Exit

Switch(config)Line vty 0 4

switch(config-line)#Password ******

switch(config-line)#Login

这样就可以在远程的主机上输入:telnet 192.168.1.1登陆该交换机了。为增加安全性,我们还可以根据实际情况设定能够管理该交换机的IP地址范围等。

2.2为局域网划分VLAN

VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”,它是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。对于一个大型局域网来说,会涉及到成千上万的网络用户,这必将会增加网络管理的难度。为校园网划分VLAN,利用交换机就可以按地理位置或者所属部门把用户划分到同一VLAN当中。就我的经验来说,这样做有很多好处,其一,当某一VLAN中发生诸如病毒扩散的时候,不会对其它VLAN产生影响;其二,可以按照不同的VLAN应用不同的网络策略,分而治之,十分方便。比如可以让VLAN2的用户只能访问局域网,但其他VLAN的用户既可以访问局域网,也可以访问互联网。可以限制VLAN3的用户在工作日只能访问局域网等;其三,易于排除网络故障,可根据VLAN中的用户流量,判别是否存在网络阻塞。

在一台交换机上划分VLAN十分简单,以CISCO交换机为例,我们可以用下面的方法来创建VLAN51,命名为office,并把交换机的 FastEthernet0/10端口分配到该VLAN里。

*全局配置模式下,输入VLAN ID,进入VLAN配置模式:

Switch(config)#vlan 51

*为VLAN设置名字:

Switch(config-vlan)#name office

*把交换机端口分配到特定的VLAN:Switch(config)#interface FastEthernet0/10

*定义VLAN端口的成员关系,把它定义为层2接入端口:

Switch(config-if)#switchport mode access

*把端口分配进特定的VLAN里:

Switch(config-if)#switchport access vlan 51

VLAN技术有很多重要的应用,大家可以参考相关的资料来实现。

2.3利用配置访问控制列表进行网络管理

访问控制列表(ACL)是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。利用ACL可以对网络进行许多的管理工作,对于ACL的基本概念及语法格式,有很多参考资料,这里不做赘述,下面我以基于时间的ACL为例,在三层交换机上控制学生的上网时间。

在学校,为了不影响学生第二天的正常上课,通常不允许学生通宵上网。利用ACL,首先定义禁止上网的时间段,命令是:

switch(config)#time-range nodata

switch(config)#periodic Monday Tuesday Wednesday Thursday Sunday 0:00 to 7:00

然后定义一个基于时间的扩展的ACL:

switch(config)access-list 110 deny ip any any time-range nodata

switch(config)access-list 110 permit ip any any

最后在端口上启用访问控制,这里的端口可以是具体的物理端口,也可以是针对某个VLAN,在这里以VLAN51为例,命令如下:

switch(config)#interface vlan 51

switch(config-if)# ip access-group 110 in switch(config-if)# ip access-group 110 out这样就对从周日到周一的0:00-7:00进行了禁止上网的控制。我们还可以根据实际情况对不同的用户或者网段应用不同控制策略。

2.4基于端口的网络管理

可网管交换机的好处有很多,比如我们坐在办公室里就可以对某台交换机进行管理配置,特别是对某个具体的端口进行控制等。由于交换机的某个端口实际上连接的就是具体的网络用户,所以通过对端口进行管理就是对网络用户的管理。

举例来说,ARP病毒的是令网络管理者头疼的问题,它的爆发会使整个网段陷入瘫痪,用具体的杀毒软件是无法处理的,只有找到攻击源才能彻底解决问题。利用交换机的相关命令可以快速定位到正在进行ARP攻击的计算机所连的交换机端口,然后关闭端口,给所在用户发一条短信就可以了。具体处理方法是,当发生arp欺骗攻击的时候,我们在三层交换机上使用命令show arp,会出现类似下面情况,有很多IP地址对应同一MAC地址:

……

Internet 192.168.100.5 0 4437.e648.3fb4 ARPA Vlan31

Internet 192.168.100.11 15 4437.e648.3fb4 ARPA Vlan31

Internet 192.168.100.30 10 4437.e648.3fb4 ARPA Vlan31

……

这是一种典型的ARP攻击现象,从中可以知道攻击源所在机器的MAC地址是4437.e648.3fb4,产生在vlan31所在地址段。这样,我们对该VLAN中所连接的交换机进行排查,以定位攻击源。登陆交换机,使用命令:

switch#show mac-address-table | include 4437.e648.3fb4

* 31 4437.e648.3fb4 dynamic Yes0 Gi4/1

如果Gi4/1是级联口,换另一台交换机查,不是的话,就可以确定攻击来自此端口,做如下操作就可以了:

Switch#Interface Gi4/1

Switch(config)#shutdown

通知该用户处理好计算机,再联系网络中心开通端口,这样很快就排除了一次ARP欺骗攻击。

3结论

综上所述,可网管交换机为我们提供了丰富的管理功能,熟练掌握将会给我们的工作带来很大帮助。网络管理人员应该不断钻研相关技术,提高业务能力,从而保证网络持续、稳定、安全的运行。对网络设备进行深入的研究和应用,不但能够提高网络管理人员自身的水平,加深对本单位网络的了解,及时准确地解决网络问题,而且能够最大限度的发挥网络设备的功能,为单位的信息化的发展节省投资。

参考文献:

[1]李苏芬.ARP欺骗防范与追踪[J].科技信息(IT论谈),2012,(5):141-142.

[2]沈忠诚.ACL技术在校园网中的应用[J].电脑知识与技术, 2010,(12):8376-8377.

[3]陈怀宇.VLAN技术及在校园网中的应用[j].教育探究,2006,(03):60-62.

上一篇:SQL SERVER 2005安全控制技术探讨 下一篇:基于云存储的个人数据安全保护机制