局域網簡易流控管理案例介紹
目前單位的局域網中還沒有布署流控系統,某些部門對于網絡的濫用就經常造成整個局域網的網速變得很慢。雖然我們通過MRTG軟件可監控到是哪個端口的流量過大,也可以以針對某個端口進行限速,但是卻不能這么做,因為這樣一下那個端口下面所有的微機的網速都被限制了,而那個端口下面又有確實需要保障網速的機器,所以就要區別對待,用一個實際的網絡拓撲來說明一下,如圖1所示:
圖1 局域網組網示意圖
8樓豎井交換機是一臺2層交換機,下面連接了三個網絡,一個是領導的辦公室,一個是財務部的局域網,一個是辦公區的局域網。我們對于網絡使用限制的設計思路是利用CISCO3550的ACL實現對于連接8樓交換機的端口(端口18)設置為只允許某些特定的端口、只有指定的用戶可以不受限制的訪問網絡、放開對某個指定IP地址的訪問,這樣說不是太直觀,我們結合具體的實際說明一下。
在CISCO上創建ACL實現應用限制
本例中我們創建了一個名為notb的ACL,只開放了某些常用的端口和一些特定的主機,除此之外的默認都是不允許訪問的端口,這個ACL在技術上實現沒什么難度,但是具體開放哪些端口還是很有講究的,我們分別說明一下:
(一)滿足最基本上網功能的端口
- ip access-list extended nobt
- permit tcp any any eq ftp
- permit tcp any any eq www
- permit tcp any any eq pop2
- permit tcp any any eq pop3
- permit tcp any any eq smtp
(以上幾條分別為FTP、瀏覽網頁、收發郵件的操作)
permit udp any any eq domain
(這一條太重要了,也算是我們的一個經驗教訓,已經放開了WWW端口,為什么用戶還是上不去網呢?因為他還無法使用DNS服務,所以必須放開DNS服務,同時注意是UDP協議)
permit tcp any any eq telnet
(因為要telnet到交換機上,所以這個端口也要放開)
- permit udp any any eq bootpc
- permit udp any any eq bootps
(如果客戶端是通過DHCP自動獲取IP地址,這兩條都要放開)
(二)開放聊天、炒股等常用端口
為什么要開放這些端口,因為網管員對網絡的使用做了限制,必然會受到下面用戶的抵制,要想讓這個限制措施執行下去,所以必須開放一部分網絡應用,這就是兵法上講的“圍城必闕”(說包圍一座城市,一定要留一個缺口,給對手留下一條活路。)。
- permit tcp any any eq 8601
- permit tcp any any eq 8002
- permit udp any any eq 1057
(這三個端口是同花順炒股軟件的)
- permit tcp any any eq 8005
- permit tcp any any eq 8006
(這兩個端口是中信萬通炒股軟件的)
permit tcp any any eq 2967 (2967是NORTON殺毒軟件客戶端與服務器通訊所使用的端口)
- permit tcp any any eq 843
- permit tcp any any eq 443
- permit tcp any any eq 8080
- remark 843 443 8080 is fetion
(這三個端口是飛信的)
permit tcp any any eq 1863 (1863是MSN所使用的端口)
permit tcp any any eq 3389 (3389是登陸遠程桌面用的)
permit icmp any any (當然要允許客戶端的機器執行PING的操作了,要不然同事那邊說上不去網,都無法在電話里面指導著他PING一下網關,大致的判斷是哪兒出的故障)
- permit tcp any any eq 1080
- permit tcp any any eq 5188
(1080和5188是大智慧炒股軟件)
permit tcp any any eq 2121 (2121是我們內網FTP服務所使用的端口號)
permit ip any host 172.19.96.202 (172.19.96.202是我們內網服務器的地址)
- permit ip any host 192.168.201.3
- permit udp any host 192.168.201.3 eq 61440
(我們單位使用的是城市熱點的用戶管理系統,用戶上網時在瀏覽器中輸入用戶名和密碼192.168.201.3是驗證服務器的地址,udp 61440是城市熱點客戶端所用的端口號)
- permit tcp any any eq 7001
- permit tcp any any eq 2006
(這是財務部要使用的端口號)
(三)特定的主機不受限制
比如領導的以及確實由于業務的關系使用網絡不受任何限制,在這個ACL中一條命令就可以搞定:
permit ip host 10.66.7.101 any
10.66.7.101就是BOSS所使用微機的IP地址。
轉載連接:http://network.51cto.com/art/201104/255100.htm
