局域网简易流控管理的应用.docVIP

局域网简易流控管理的应用 上篇 局域网简易流控管理案例介绍 目前单位的局域网中还没有布署流控系统，某些部门对于网络的滥用就经常造成整个局域网的网速变得很慢。虽然我们通过MRTG软件可监控到是哪个端口的流量过大，也可以以针对某个端口进行限速，但是却不能这么做，因为这样一下那个端口下面所有的微机的网速都被限制了，而那个端口下面又有确实需要保障网速的机器，所以就要区别对待，用一个实际的网络拓扑来说明一下，如图1所示： 图1 局域网组网示意图 8楼竖井交换机是一台2层交换机，下面连接了三个网络，一个是领导的办公室，一个是财务部的局域网，一个是办公区的局域网。我们对于网络使用限制的设计思路是利用CISCO3550的ACL实现对于连接8楼交换机的端口（端口18）设置为只允许某些特定的端口、只有指定的用户可以不受限制的访问网络、放开对某个指定IP地址的访问，这样说不是太直观，我们结合具体的实际说明一下。 在CISCO上创建ACL实现应用限制 本例中我们创建了一个名为notb的ACL，只开放了某些常用的端口和一些特定的主机，除此之外的默认都是不允许访问的端口，这个ACL在技术上实现没什么难度，但是具体开放哪些端口还是很有讲究的，我们分别说明一下： （一）满足最基本上网功能的端口 ip?access-list?extended?nobt ? permit?tcp?any?any?eq?ftp ? permit?tcp?any?any?eq?www ? permit?tcp?any?any?eq?pop2 ? permit?tcp?any?any?eq?pop3 ? permit?tcp?any?any?eq?smtp? （以上几条分别为FTP、浏览网页、收发邮件的操作） permit udp any any eq domain （这一条太重要了，也算是我们的一个经验教训，已经放开了WWW端口，为什么用户还是上不去网呢？因为他还无法使用DNS服务，所以必须放开DNS服务，同时注意是UDP协议） permit tcp any any eq telnet （因为要telnet到交换机上，所以这个端口也要放开） permit?udp?any?any?eq?bootpc ? permit?udp?any?any?eq?bootps? （如果客户端是通过DHCP自动获取IP地址，这两条都要放开） （二）开放聊天、炒股等常用端口 为什么要开放这些端口，因为网管员对网络的使用做了限制，必然会受到下面用户的抵制，要想让这个限制措施执行下去，所以必须开放一部分网络应用，这就是兵法上讲的“围城必阙”（说包围一座城市，一定要留一个缺口，给对手留下一条活路。）。 permit?tcp?any?any?eq?8601 ? permit?tcp?any?any?eq?8002 ? permit?udp?any?any?eq?1057? （这三个端口是同花顺炒股软件的） permit?tcp?any?any?eq?8005 ? permit?tcp?any?any?eq?8006? （这两个端口是中信万通炒股软件的） permit tcp any any eq 2967 （2967是NORTON杀毒软件客户端与服务器通讯所使用的端口） permit?tcp?any?any?eq?843 ? permit?tcp?any?any?eq?443 ? permit?tcp?any?any?eq?8080 ? remark?843?443?8080?is?fetion? （这三个端口是飞信的） permit tcp any any eq 1863 （1863是MSN所使用的端口） permit tcp any any eq 3389 （3389是登陆远程桌面用的） permit icmp any any （当然要允许客户端的机器执行PING的操作了，要不然同事那边说上不去网，都无法在电话里面指导着他PING一下网关，大致的判断是哪儿出的故障） permit?tcp?any?any?eq?1080 ? permit?tcp?any?any?eq?5188? （1080和5188是大智慧炒股软件） permit tcp any any eq 2121 （2121是我们内网FTP服务所使用的端口号） permit ip any host 02 （02是我们内网服务器的地址） permit?ip?any?host? ? permit?udp?any?host??eq?61440? （我们单位使用的是城市热点的用户管理系统，用户上网时在浏览器中输入用户名和密码是验证服务器的地址，udp 61440是城市热点客户端所用的端口号） permit?tcp?any?any?eq?7001 ? per