再还校园一个干净、健康的网络环境

--（单Vlan及多Vlan下网路岗的部署）

    几年前，我所在的学校实现了“班班通”，“班班通”带给老师最大的方便就是在课堂上可以实现在线课堂、资源下载、资源共享，但网络的畅通，常常在不经意中带来许多尴尬，有时候老师讲得正酣，突然弹出一张令人脸红的图片，慌乱中，点哪儿也关不掉；还有时候，孩子们正专神的听讲，突然一声怪叫，弹出一幅怪兽的游戏网页，震撼的音乐，诡异的气氛，课堂顿时一片混乱；记得最深刻的一次是我给老师们做《教师研修网》应用的培训演示，突然弹出一张半祼的美女，还发出脆生生的声音“点我呀，哥哥”，当场一片大笑，我这个囧呀，恨不得找个地缝钻进去，这幸亏下面都是老师，要是学生，我怎么下台；这些，无意中影响了严肃的课堂。

“有什么办法不让这些不健康的图片和广告网页弹出来呢？”老师们问。

“我试试”，初做网管教师的我硬着头皮回答。

分析一下当时我的网络环境：

信息中心—>光电转换器—>交换机（锐捷star-s2024m）—>上网用PC（班里加教师用机不到50台）

IP地址段：10.112.208.0/22，

网关地址：10.112.211.254，

网关在信息中心。网关不在本地，意味着学校没有管理权，那么，在不改变IP地址的情况下，只有一种管理方法可选，那就是交换机端口镜像，幸好，我的锐捷star-s2024m支持端口镜像。

在锐捷star-s2024m上做端口镜像很简单，console口波特率9600进入交换机，默认密码supervisor，然后就是按菜单提示操作，做好镜像口和被镜像口，把监控主机插入镜像口，从信息中心进入的接口插入被镜像口。

万事具备，只欠东风。那么，在监控主机上安装什么软件能过滤这些绝对不能在课堂上出现的图片和网页呢？

查了很多资料，最终选定了一款上网行为管理软件，“网路岗”。选中“网路岗”，主要是看中它的网页过滤中的两个功能：

⑴、自定义禁止网站（包括搜索关键词）。

首先，把老师们经常反映的一些网页地址加进去，其次，把我自己遇到的一些不健康的网站地址加进去，第三，利用网路岗本身的网站统计功能，找出一些异常网站，经验证为不健康网站，再把它的地址加进去。我在单位内部的办公系统上开了一个专门的邮箱，让老师们随时把他们遇到的地址发给我，经我验证为不良网站后，即时封堵。

⑵、海量过滤库。

这里内置了一些常见的不良网站列表库（×××，暴力等），把它封堵即可。

经过这样的处理后，几年来，学校网络一直在干净，健康的环境下正常运行。

随着信息技术的飞速发展，学校的电脑多起来了，光能上网的机器就有200多台，最近有老师经常反映说，网速慢的和“牛”一样，并且即时通讯软件经常掉线，也难怪，这么多台机器在同一Vlan里，光ARP欺骗一项，就能把人搞得焦头烂额。

经向教委信息中心申请，同意对网络进行改造，信息中心给提供一台华为S3900-EI交换机，并改变了网关的结构和IP地址。借此机会，我也对校园的网络结构做了一些改变，划分了Vlan，配置了DHCP，对交换机进行了简单的管理配置等，网络详细拓扑如下图：

 

交接机配置如下：

第一步：因为信息中心的网络结构做了改变，所以做了如下配置。

配置交换机的名字、上联接入接口和默认路由

1、 配置交换机的名字

Sysname XXXX

2、 配置出口vlan 50

Vlan 50

Name Uplink

Port Ethernet 1/0/1

quit

Interface vlan-interface 50

Ip address 10.113.245.6 30

quit

1、 配置默认路由

Ip route-static 0.0.0.0 0.0.0.0 10.113.245..5

第二步：为我解决同一网段机器过多，造成ARP欺骗等故障，将学校IP地址按需求划分子网，并配置相应的vlan

1、划分子网IP

学校地址为：10.112.208.0 /255.255.252.0

可划分子网为：

子网个数 子网地址 子网范围

4 10.112.208.0/24 10.112.208.1-254

10.112.209.0/24 10.112.209.1-254

10.112.210.0/24 10.112.210.1-254

10.112.211.0/24 10.112.211.1-254

2、配置相应的Vlan

（1）配置服务器vlan 10

Vlan 10

Name servers

Port gi1/1/1

quit

Interface vlan-interface 10

Ip address 10.112.208.254 24

Quit

（2）配置教学楼vlan 20

Vlan 20

Name jiaoxuelou

Port gi1/1/2

quit

Interface vlan-interface 20

Ip address 10.112.209.254 24

Quit

（3）配置实验楼vlan 30

Vlan 30

Name 实验楼

Port gi1/1/3

quit

Interface vlan-interface 30

Ip address 10.112.210.254 24

Quit

（4）配置学生机房vlan 40

Vlan 40

Name jifang

Port e 1/0/23

Port e 1/0/24

quit

Interface vlan-interface 40

Ip address 10.112.211.254 24

Quit

第三步：为了管理方便，对交换机进行了简单的管理配置。

配置交换机的远程管理、snmp配置

1、配置远程管理

Local-user user1

Password cipher 123456

Service-type telnet ssh terminal

authorization-attribute level 3

quit

user-interface aux 0

authentication-mode scheme

quit

user-interface vty 0 4

authentication-mode scheme

quit

telnet登录：管理终端命令行：telnet 网关IP地址

web登录：管理终端浏览器：http://网关IP地址

2、配置snmp

snmp-agent community read XXXXXX

snmp-agent community write XXXXXX

snmp-agent sys-info location DaXingYiZhong

snmp-agent sys-info version all

第四步：为了减少IP冲突和手工配置IP的麻烦，配置了DCHP服务。

dhcp server ip-pool 10

network 10.112.208.0 mask 255.255.255.0

gateway-list 10.112.208.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip 10.112.208.1 10.112.208.10

#

dhcp server ip-pool 20

network 10.112.209.0 mask 255.255.255.0

gateway-list 10.112.209.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip 10.112.209.1 10.112.209.5

#

dhcp server ip-pool 30

network 10.112.210.0 mask 255.255.255.0

gateway-list 10.112.210.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip 10.112.210.1 10.112.210.5

#

dhcp server ip-pool 40

network 10.112.211.0 mask 255.255.255.0

gateway-list 10.112.211.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip 10.112.211.1 10.112.211.5

整个网配置做完了，去各个信息点做了测试，都能上网，配置成功，下一步，做多Vlan下的网路岗的部署，以前从没做过，希望不要出问题。

我的思路，因为E1接口在信息中心接入口Vlan50中，那么配置E 1接口为被镜像口；配置E2为镜像口，接入网路岗，我办公室的电脑在服务器组Vlan10中，为了管理方便，把E2接口划入Vlan10中。这里做一个简要的说明，华为和H3C的部分交换要先把端口加入Vlan，再做端口镜像配置，不然会出现“Can not configure moinitor port! ”的错误提示，具体配置如下：

vlan 10

port e 1/0/2

mirroring-group 1 local

mirroring-group 1 mirroring-port e 1/0/1 both

mirroring-group 1 monitor-port e 1/0/2

网路岗主机配：IP 地 址：10.112.208.1

子网掩码：255.255.255.0

缺省网关：10.112.208.254

网路岗的监控模式默认有三种：1、基于网卡MAC；2、基于帐户；3、基于IP；因为我在第一次配置网路岗的时候，选择的是基于网卡MAC，现在，我想当然的也选择基于网卡MAC的监控模式，但当我扫描主机的时候，奇怪的事情出现了，我发现我只能扫描到10.112.208.0网段的主机，其它3个段的主机都扫描不到。明白了，看来，把网路岗部署到哪个Vlan，用基于网卡MAC监控模式，就只能扫描到这个Vlan的主机，其它Vlan的扫描不到。遇到了难题，还有没有别的办法呢？无意中选择了基于IP的选项，一扫描，有点不相信自己的眼睛，所有在线的主机都出现了。看来，在单Vlan模式下，一般选择基于网卡MAC的监控模式，在多Vlan模式下，最好选择基于IP的监控模式。然后应用以前设置好的网页过滤策略到这四个网段的计算机上，在我的计算机上做封堵测试，成功。

最近教学楼有老师反映说，很久不见了的那些不健康的网站又弹出来了，我看了监控记录，封堵正常，于是安慰说，是新发现的吧，下次弹出时您叫我，没想到，没过几天，实验楼、机房的老师都反映有弹出不良网站和广告的情况，，我突然意识到事情的严重性，是不是部署有问题？于是把Baidu添加到网页过滤封堵策略里做测试，在我的计算机上，封堵成功，但在教学楼、实验楼、机房做测试，封堵都不成功，查看监视记录，都显示封堵成功。看来，网路岗对和它不同Vlan的计算机只能监控，但不能封堵。

经过多次改变结构，发现只有把网路岗部署在和信息中心接入口同一Vlan即Vlan50中，IP地址设置为全网段即划分子网前的网段中，四个网段都封堵成功。

配置如下：

Undo mirroring-group 1 monitor-port e 1/0/2

vlan 50

port e 1/0/2

mirroring-group 1 monitor-port e 1/0/2

网路岗主机配：IP 地 址：10.112.208.1

子网掩码：255.255.252.0

缺省网关：10.112.211.254

但这个时候又出现了一个新问题，我用远程桌面无法管理我的网路岗服务器了，每次只能到机房去，因为网路岗（在Vlan50）和我办公室的计算机（在Vlan10）不在同一Vlan，又和Vlan50（在10.113.245.0/30段、网路岗服务器在10.112.208.0/22段）不是同一段的IP，外部就没办法和它取得联系。

解决办法，给这台网路网监控主机再加一块网卡，把网线接口插入服务器组交换机即和我办公室计算机同一Vlan10的交换机，配置IP：10.112.208.2/24即可。

经过几天的折腾，测试，我校的网络终于又进入快速、稳定、干净，健康的运行环境。

本文由本人发表在《中国信息技术教育》杂志，有改动。

转载于:https://blog.51cto.com/dinghuqiang/633809