再还校园一个干净、健康的网络环境
--(单Vlan及多Vlan下网路岗的部署)
几年前,我所在的学校实现了“班班通”,“班班通”带给老师最大的方便就是在课堂上可以实现在线课堂、资源下载、资源共享,但网络的畅通,常常在不经意中带来许多尴尬,有时候老师讲得正酣,突然弹出一张令人脸红的图片,慌乱中,点哪儿也关不掉;还有时候,孩子们正专神的听讲,突然一声怪叫,弹出一幅怪兽的游戏网页,震撼的音乐,诡异的气氛,课堂顿时一片混乱;记得最深刻的一次是我给老师们做《教师研修网》应用的培训演示,突然弹出一张半祼的美女,还发出脆生生的声音“点我呀,哥哥”,当场一片大笑,我这个囧呀,恨不得找个地缝钻进去,这幸亏下面都是老师,要是学生,我怎么下台;这些,无意中影响了严肃的课堂。
“有什么办法不让这些不健康的图片和广告网页弹出来呢?”老师们问。
“我试试”,初做网管教师的我硬着头皮回答。
分析一下当时我的网络环境:
信息中心—>光电转换器—>交换机(锐捷star-s2024m)—>上网用PC(班里加教师用机不到50台)
IP地址段:10.112.208.0/22,
网关地址:10.112.211.254,
网关在信息中心。网关不在本地,意味着学校没有管理权,那么,在不改变IP地址的情况下,只有一种管理方法可选,那就是交换机端口镜像,幸好,我的锐捷star-s2024m支持端口镜像。
在锐捷star-s2024m上做端口镜像很简单,console口波特率9600进入交换机,默认密码supervisor,然后就是按菜单提示操作,做好镜像口和被镜像口,把监控主机插入镜像口,从信息中心进入的接口插入被镜像口。
万事具备,只欠东风。那么,在监控主机上安装什么软件能过滤这些绝对不能在课堂上出现的图片和网页呢?
查了很多资料,最终选定了一款上网行为管理软件,“网路岗”。选中“网路岗”,主要是看中它的网页过滤中的两个功能:
⑴、自定义禁止网站(包括搜索关键词)。
首先,把老师们经常反映的一些网页地址加进去,其次,把我自己遇到的一些不健康的网站地址加进去,第三,利用网路岗本身的网站统计功能,找出一些异常网站,经验证为不健康网站,再把它的地址加进去。我在单位内部的办公系统上开了一个专门的邮箱,让老师们随时把他们遇到的地址发给我,经我验证为不良网站后,即时封堵。
⑵、海量过滤库。
这里内置了一些常见的不良网站列表库(×××,暴力等),把它封堵即可。
经过这样的处理后,几年来,学校网络一直在干净,健康的环境下正常运行。
随着信息技术的飞速发展,学校的电脑多起来了,光能上网的机器就有200多台,最近有老师经常反映说,网速慢的和“牛”一样,并且即时通讯软件经常掉线,也难怪,这么多台机器在同一Vlan里,光ARP欺骗一项,就能把人搞得焦头烂额。
经向教委信息中心申请,同意对网络进行改造,信息中心给提供一台华为S3900-EI交换机,并改变了网关的结构和IP地址。借此机会,我也对校园的网络结构做了一些改变,划分了Vlan,配置了DHCP,对交换机进行了简单的管理配置等,网络详细拓扑如下图:
交接机配置如下:
第一步:因为信息中心的网络结构做了改变,所以做了如下配置。
配置交换机的名字、上联接入接口和默认路由
1、 配置交换机的名字
Sysname XXXX
2、 配置出口vlan 50
Vlan 50
Name Uplink
Port Ethernet 1/0/1
quit
Interface vlan-interface 50
Ip address 10.113.245.6 30
quit
1、 配置默认路由
Ip route-static 0.0.0.0 0.0.0.0 10.113.245..5
第二步:为我解决同一网段机器过多,造成ARP欺骗等故障,将学校IP地址按需求划分子网,并配置相应的vlan
1、划分子网IP
学校地址为:10.112.208.0 /255.255.252.0
可划分子网为:
子网个数 子网地址 子网范围
4 10.112.208.0/24 10.112.208.1-254
10.112.209.0/24 10.112.209.1-254
10.112.210.0/24 10.112.210.1-254
10.112.211.0/24 10.112.211.1-254
2、配置相应的Vlan
(1)配置服务器vlan 10
Vlan 10
Name servers
Port gi1/1/1
quit
Interface vlan-interface 10
Ip address 10.112.208.254 24
Quit
(2)配置教学楼vlan 20
Vlan 20
Name jiaoxuelou
Port gi1/1/2
quit
Interface vlan-interface 20
Ip address 10.112.209.254 24
Quit
(3)配置实验楼vlan 30
Vlan 30
Name 实验楼
Port gi1/1/3
quit
Interface vlan-interface 30
Ip address 10.112.210.254 24
Quit
(4)配置学生机房vlan 40
Vlan 40
Name jifang
Port e 1/0/23
Port e 1/0/24
quit
Interface vlan-interface 40
Ip address 10.112.211.254 24
Quit
第三步:为了管理方便,对交换机进行了简单的管理配置。
配置交换机的远程管理、snmp配置
1、配置远程管理
Local-user user1
Password cipher 123456
Service-type telnet ssh terminal
authorization-attribute level 3
quit
user-interface aux 0
authentication-mode scheme
quit
user-interface vty 0 4
authentication-mode scheme
quit
telnet登录:管理终端命令行:telnet 网关IP地址
web登录:管理终端浏览器:http://网关IP地址
2、配置snmp
snmp-agent community read XXXXXX
snmp-agent community write XXXXXX
snmp-agent sys-info location DaXingYiZhong
snmp-agent sys-info version all
第四步:为了减少IP冲突和手工配置IP的麻烦,配置了DCHP服务。
dhcp server ip-pool 10
network 10.112.208.0 mask 255.255.255.0
gateway-list 10.112.208.254
dns-list 10.111.1.1 10.111.1.2
dhcp server forbidden-ip 10.112.208.1 10.112.208.10
#
dhcp server ip-pool 20
network 10.112.209.0 mask 255.255.255.0
gateway-list 10.112.209.254
dns-list 10.111.1.1 10.111.1.2
dhcp server forbidden-ip 10.112.209.1 10.112.209.5
#
dhcp server ip-pool 30
network 10.112.210.0 mask 255.255.255.0
gateway-list 10.112.210.254
dns-list 10.111.1.1 10.111.1.2
dhcp server forbidden-ip 10.112.210.1 10.112.210.5
#
dhcp server ip-pool 40
network 10.112.211.0 mask 255.255.255.0
gateway-list 10.112.211.254
dns-list 10.111.1.1 10.111.1.2
dhcp server forbidden-ip 10.112.211.1 10.112.211.5
整个网配置做完了,去各个信息点做了测试,都能上网,配置成功,下一步,做多Vlan下的网路岗的部署,以前从没做过,希望不要出问题。
我的思路,因为E1接口在信息中心接入口Vlan50中,那么配置E 1接口为被镜像口;配置E2为镜像口,接入网路岗,我办公室的电脑在服务器组Vlan10中,为了管理方便,把E2接口划入Vlan10中。这里做一个简要的说明,华为和H3C的部分交换要先把端口加入Vlan,再做端口镜像配置,不然会出现“Can not configure moinitor port! ”的错误提示,具体配置如下:
vlan 10
port e 1/0/2
mirroring-group 1 local
mirroring-group 1 mirroring-port e 1/0/1 both
mirroring-group 1 monitor-port e 1/0/2
网路岗主机配:IP 地 址:10.112.208.1
子网掩码:255.255.255.0
缺省网关:10.112.208.254
网路岗的监控模式默认有三种:1、基于网卡MAC;2、基于帐户;3、基于IP;因为我在第一次配置网路岗的时候,选择的是基于网卡MAC,现在,我想当然的也选择基于网卡MAC的监控模式,但当我扫描主机的时候,奇怪的事情出现了,我发现我只能扫描到10.112.208.0网段的主机,其它3个段的主机都扫描不到。明白了,看来,把网路岗部署到哪个Vlan,用基于网卡MAC监控模式,就只能扫描到这个Vlan的主机,其它Vlan的扫描不到。遇到了难题,还有没有别的办法呢?无意中选择了基于IP的选项,一扫描,有点不相信自己的眼睛,所有在线的主机都出现了。看来,在单Vlan模式下,一般选择基于网卡MAC的监控模式,在多Vlan模式下,最好选择基于IP的监控模式。然后应用以前设置好的网页过滤策略到这四个网段的计算机上,在我的计算机上做封堵测试,成功。
最近教学楼有老师反映说,很久不见了的那些不健康的网站又弹出来了,我看了监控记录,封堵正常,于是安慰说,是新发现的吧,下次弹出时您叫我,没想到,没过几天,实验楼、机房的老师都反映有弹出不良网站和广告的情况,,我突然意识到事情的严重性,是不是部署有问题?于是把Baidu添加到网页过滤封堵策略里做测试,在我的计算机上,封堵成功,但在教学楼、实验楼、机房做测试,封堵都不成功,查看监视记录,都显示封堵成功。看来,网路岗对和它不同Vlan的计算机只能监控,但不能封堵。
经过多次改变结构,发现只有把网路岗部署在和信息中心接入口同一Vlan即Vlan50中,IP地址设置为全网段即划分子网前的网段中,四个网段都封堵成功。
配置如下:
Undo mirroring-group 1 monitor-port e 1/0/2
vlan 50
port e 1/0/2
mirroring-group 1 monitor-port e 1/0/2
网路岗主机配:IP 地 址:10.112.208.1
子网掩码:255.255.252.0
缺省网关:10.112.211.254
但这个时候又出现了一个新问题,我用远程桌面无法管理我的网路岗服务器了,每次只能到机房去,因为网路岗(在Vlan50)和我办公室的计算机(在Vlan10)不在同一Vlan,又和Vlan50(在10.113.245.0/30段、网路岗服务器在10.112.208.0/22段)不是同一段的IP,外部就没办法和它取得联系。
解决办法,给这台网路网监控主机再加一块网卡,把网线接口插入服务器组交换机即和我办公室计算机同一Vlan10的交换机,配置IP:10.112.208.2/24即可。
经过几天的折腾,测试,我校的网络终于又进入快速、稳定、干净,健康的运行环境。
本文由本人发表在《中国信息技术教育》杂志,有改动。
转载于:https://blog.51cto.com/dinghuqiang/633809
再还校园一个干净、健康的网络环境相关推荐
- 几种方法,彻底删除电脑弹窗广告,还你一个干净的桌面~
几种方法,彻底删除电脑弹窗广告,还你一个干净的桌面~ 原创 杀手宝宝 网络杀手 今天 点击添加图片描述(最多60个字) 编辑 长按二维码关注网络杀手 分享有态度的最好应用 分享干货满的学习教程 网络杀 ...
- 技巧:彻底删除电脑弹窗广告,还你一个干净的桌面!
转载自品略图书馆 http://www.pinlue.com/article/2020/05/2215/0510586880914.html 近期不少的小伙伴都向小帮咨询电脑一开机弹窗广告一大堆怎么办 ...
- c盘扩容提示簇被标记_垃圾文件正在吞噬你的C盘空间!用这四种方法,还你一个干净的C盘...
Hello大家好,我是兼容机之家的小牛! 不知道大家有没有这样的感觉,电脑在使用一段时间以后,C盘的容量几乎都快见底了,记得刚装系统的时候,C盘还是有非常大的空间富余,为什么越用C盘的容量就会不断的减 ...
- 搭建一个简单的SDN网络环境
第1小题:简单网络 说明:由于对于SDN架构的理解在学界和业界并没有统一,为了方便参赛队员选择,对于初学者,大赛推荐OpenFlow作为南向接口来实现SDN环境,以下给出分别针对采用OpenFlow和 ...
- 还我一个干净的Mac OS(如何彻底删除不需要的App)
当初我买MacBook Air的时候特地选择了高配版本,硬盘空间是128G(2011年的古董机器),在最开始的1-2年内使用还不错,后来发现越来越力不从心,为了尽可能腾出空间,几乎把所有的照片.视频和 ...
- 卸载重装 Windows 10 内置应用的最全方法,还你一个干净清爽的系统
想必现在小伙伴们电脑都已经升级到 Windows 10 了.不过,你是否发现,你的系统里默默躺着很多系统自带却你从来不用的应用程序呢.这些应用并不会占用多大的空间,有些只是一个启动链接,比如系统自带「 ...
- 使用virtualenv搭建一个干净的python开发环境
简介 有时候在开发程序的时候会碰到一个问题,就是当我同时在开发两个应用,且两个应用需要的模块是相同的,但是版本不同,如果用pip安装的话,同时只能安装这个模块一个的版本. 这个时候就非常尴尬了,但是山 ...
- 自带flash的浏览器_小技巧:三步还你一个干净清爽无广告的360浏览器
作为六年的老司机,说实话360旗下的浏览器(PC版)还是比较好用的.但是随着360浏览器装机量的膨胀,各种广告植入.推广.弹窗,这对于喜欢干净清爽简洁风格的用户来说很是不爽~ 是时候找个时间来给自己的 ...
- layer 关闭一个弹窗打不开新的的弹窗_教你4种方法,永久关闭电脑弹窗广告,还你一个干净的桌面...
大家应该都被这个问题给困扰过,打开电脑,电脑上全部都是广告弹窗,或者在办公.追剧的时候,电脑突然就弹出了一条烦人的广告,今天就教大家4个方法,永久关闭这些广告弹窗. 方法一 1.按下组合键[win+r ...
- 手机腾讯云计算机广告怎么关,教你4种方法,永久关闭电脑弹窗广告,还你一个干净的桌面...
大家应该都被这个问题给困扰过,打开电脑,电脑上全部都是广告弹窗,或者在办公.追剧的时候,电脑突然就弹出了一条烦人的广告,今天就教大家4个方法,永久关闭这些广告弹窗. 方法一 1.按下组合键[win+r ...
最新文章
- 2022-2028年中国蛋制品行业市场专项调查及前瞻分析报告
- mysql远程服务器访问数据库
- CentOS7安装火狐flash插件看网页视频
- Linux下samba服务搭建
- 很久以前录制的CSI课程共享
- 《勒索软件经济分析》:“理想赎金”950英镑
- 利用python进行数据分析学习笔记(六+七)
- javascript怎么定义类数组对象
- 【算法系列】-开根号
- 主汛期到达!水库大坝如何利用北斗短报文等应用防灾减灾?
- java程序员社招自我介绍
- 蚂蚁市场教程:电视安装看B站(哔哩哔哩)TV版
- Chrome 浏览器安装插件
- 基于SSM的婚纱影楼系统
- axure7.0下载安装教程
- iPhone 忘记了密码怎么办?
- Fusion 360 免费正版下载教程(个人版)
- [华为OJ--C++]047-百钱买百鸡问题
- 【Linux常用命令小手册】
- html做一个qq气泡,HTML5实现QQ聊天气泡效果