局域網(wǎng)簡易流控管理案例介紹

目前單位的局域網(wǎng)中還沒有布署流控系統(tǒng)，某些部門對于網(wǎng)絡(luò)的濫用就經(jīng)常造成整個局域網(wǎng)的網(wǎng)速變得很慢。雖然我們通過“聚生網(wǎng)管”(下載地址：http://www.grablan.com/soft.html)可監(jiān)控到是哪個端口的流量過大，也可以以針對某個端口進行限速，但是卻不能這么做，因為這樣一下那個端口下面所有的微機的網(wǎng)速都被限制了，而那個端口下面又有確實需要保障網(wǎng)速的機器，所以就要區(qū)別對待，用一個實際的網(wǎng)絡(luò)拓?fù)鋪碚f明一下，如圖1所示：

圖1 局域網(wǎng)組網(wǎng)示意圖

8樓豎井交換機是一臺2層交換機，下面連接了三個網(wǎng)絡(luò)，一個是領(lǐng)導(dǎo)的辦公室，一個是財務(wù)部的局域網(wǎng)，一個是辦公區(qū)的局域網(wǎng)。我們對于網(wǎng)絡(luò)使用限制的設(shè)計思路是利用CISCO3550的ACL實現(xiàn)對于連接8樓交換機的端口（端口18）設(shè)置為只允許某些特定的端口、只有指定的用戶可以不受限制的訪問網(wǎng)絡(luò)、放開對某個指定IP地址的訪問，這樣說不是太直觀，我們結(jié)合具體的實際說明一下。

在CISCO上創(chuàng)建ACL實現(xiàn)應(yīng)用限制

本例中我們創(chuàng)建了一個名為notb的ACL，只開放了某些常用的端口和一些特定的主機，除此之外的默認(rèn)都是不允許訪問的端口，這個ACL在技術(shù)上實現(xiàn)沒什么難度，但是具體開放哪些端口還是很有講究的，我們分別說明一下：

（一）滿足最基本上網(wǎng)功能的端口

ip access-list extended nobt  
permit tcp any any eq ftp  
permit tcp any any eq www  
permit tcp any any eq pop2  
permit tcp any any eq pop3  
permit tcp any any eq smtp 

（以上幾條分別為FTP、瀏覽網(wǎng)頁、收發(fā)郵件的操作）

permit udp any any eq domain

（這一條太重要了，也算是我們的一個經(jīng)驗教訓(xùn)，已經(jīng)放開了WWW端口，為什么用戶還是上不去網(wǎng)呢？因為他還無法使用DNS服務(wù)，所以必須放開DNS服務(wù)，同時注意是UDP協(xié)議）

permit tcp any any eq telnet

（因為要telnet到交換機上，所以這個端口也要放開）

permit udp any any eq bootpc  
permit udp any any eq bootps 

（如果客戶端是通過DHCP自動獲取IP地址，這兩條都要放開）

（二）開放聊天、炒股等常用端口

為什么要開放這些端口，因為網(wǎng)管員對網(wǎng)絡(luò)的使用做了限制，必然會受到下面用戶的抵制，要想讓這個限制措施執(zhí)行下去，所以必須開放一部分網(wǎng)絡(luò)應(yīng)用，這就是兵法上講的“圍城必闕”（說包圍一座城市，一定要留一個缺口，給對手留下一條活路。）。

permit tcp any any eq 8601  
permit tcp any any eq 8002  
permit udp any any eq 1057 

（這三個端口是同花順炒股軟件的）

permit tcp any any eq 8005  
permit tcp any any eq 8006 

（這兩個端口是中信萬通炒股軟件的）

permit tcp any any eq 2967 （2967是NORTON殺毒軟件客戶端與服務(wù)器通訊所使用的端口）

permit tcp any any eq 843  
permit tcp any any eq 443  
permit tcp any any eq 8080  
remark 843 443 8080 is fetion 

（這三個端口是飛信的）

permit tcp any any eq 1863 （1863是MSN所使用的端口）

permit tcp any any eq 3389 （3389是登陸遠(yuǎn)程桌面用的）

permit icmp any any （當(dāng)然要允許客戶端的機器執(zhí)行PING的操作了，要不然同事那邊說上不去網(wǎng)，都無法在電話里面指導(dǎo)著他PING一下網(wǎng)關(guān)，大致的判斷是哪兒出的故障）

permit tcp any any eq 1080  
permit tcp any any eq 5188 

（1080和5188是大智慧炒股軟件）

permit tcp any any eq 2121 （2121是我們內(nèi)網(wǎng)FTP服務(wù)所使用的端口號）

permit ip any host 172.19.96.202 （172.19.96.202是我們內(nèi)網(wǎng)服務(wù)器的地址）

permit ip any host 192.168.201.3  
permit udp any host 192.168.201.3 eq 61440 

（我們單位使用的是城市熱點的用戶管理系統(tǒng)，用戶上網(wǎng)時在瀏覽器中輸入用戶名和密碼192.168.201.3是驗證服務(wù)器的地址，udp 61440是城市熱點客戶端所用的端口號）

permit tcp any any eq 7001  
permit tcp any any eq 2006 

（這是財務(wù)部要使用的端口號）

（三）特定的主機不受限制

比如領(lǐng)導(dǎo)的以及確實由于業(yè)務(wù)的關(guān)系使用網(wǎng)絡(luò)不受任何限制，在這個ACL中一條命令就可以搞定：

permit ip host 10.66.7.101 any

10.66.7.101就是BOSS所使用微機的IP地址。

局域網(wǎng)簡易流控管理的應(yīng)用先為大家介紹到這，請大家繼續(xù)關(guān)注相關(guān)文章：局域網(wǎng)簡易流控管理的應(yīng)用 下篇

【編輯推薦】

1. 如何隱藏你的無線網(wǎng)絡(luò)？
2. 無線網(wǎng)絡(luò)時代的發(fā)展歷程
3. 無線路由器安全設(shè)置常用技巧
4. 無線路由器安全設(shè)置常用技巧 續(xù)
5. 巧妙排除無線路由器的電磁干擾