--（單Vlan及多Vlan下網路崗的部署）

??? 幾年前，我所在的學校實現了“班班通”，“班班通”帶給老師最大的方便就是在課堂上可以實現在線課堂、資源下載、資源共享，但網絡的暢通，常常在不經意中帶來許多尷尬，有時候老師講得正酣，突然彈出一張令人臉紅的圖片，慌亂中，點哪兒也關不掉；還有時候，孩子們正專神的聽講，突然一聲怪叫，彈出一幅怪獸的游戲網頁，震撼的音樂，詭異的氣氛，課堂頓時一片混亂；記得最深刻的一次是我給老師們做《教師研修網》應用的培訓演示，突然彈出一張半祼的美女，還發出脆生生的聲音“點我呀，哥哥”，當場一片大笑，我這個囧呀，恨不得找個地縫鉆進去，這幸虧下面都是老師，要是學生，我怎么下臺；這些，無意中影響了嚴肅的課堂。

“有什么辦法不讓這些不健康的圖片和廣告網頁彈出來呢？”老師們問。

“我試試”，初做網管教師的我硬著頭皮回答。

分析一下當時我的網絡環境：

信息中心—>光電轉換器—>交換機（銳捷star-s2024m）—>上網用PC（班里加教師用機不到50臺）

IP地址段：10.112.208.0/22，

網關地址：10.112.211.254，

網關在信息中心。網關不在本地，意味著學校沒有管理權，那么，在不改變IP地址的情況下，只有一種管理方法可選，那就是交換機端口鏡像，幸好，我的銳捷star-s2024m支持端口鏡像。

在銳捷star-s2024m上做端口鏡像很簡單，console口波特率9600進入交換機，默認密碼supervisor，然后就是按菜單提示操作，做好鏡像口和被鏡像口，把監控主機插入鏡像口，從信息中心進入的接口插入被鏡像口。

萬事具備，只欠東風。那么，在監控主機上安裝什么軟件能過濾這些絕對不能在課堂上出現的圖片和網頁呢？

查了很多資料，最終選定了一款上網行為管理軟件，“網路崗”。選中“網路崗”，主要是看中它的網頁過濾中的兩個功能：

⑴、自定義禁止網站（包括搜索關鍵詞）。

首先，把老師們經常反映的一些網頁地址加進去，其次，把我自己遇到的一些不健康的網站地址加進去，第三，利用網路崗本身的網站統計功能，找出一些異常網站，經驗證為不健康網站，再把它的地址加進去。我在單位內部的辦公系統上開了一個專門的郵箱，讓老師們隨時把他們遇到的地址發給我，經我驗證為不良網站后，即時封堵。

⑵、海量過濾庫。

這里內置了一些常見的不良網站列表庫（×××，暴力等），把它封堵即可。

經過這樣的處理后，幾年來，學校網絡一直在干凈，健康的環境下正常運行。

隨著信息技術的飛速發展，學校的電腦多起來了，光能上網的機器就有200多臺，最近有老師經常反映說，網速慢的和“牛”一樣，并且即時通訊軟件經常掉線，也難怪，這么多臺機器在同一Vlan里，光ARP欺騙一項，就能把人搞得焦頭爛額。

經向教委信息中心申請，同意對網絡進行改造，信息中心給提供一臺華為S3900-EI交換機，并改變了網關的結構和IP地址。借此機會，我也對校園的網絡結構做了一些改變，劃分了Vlan，配置了DHCP，對交換機進行了簡單的管理配置等，網絡詳細拓撲如下圖：

?

交接機配置如下：

第一步：因為信息中心的網絡結構做了改變，所以做了如下配置。

配置交換機的名字、上聯接入接口和默認路由

1、 配置交換機的名字

Sysname XXXX

2、 配置出口vlan 50

Vlan 50

Name Uplink

Port Ethernet 1/0/1

quit

Interface vlan-interface 50

Ip address 10.113.245.6 30

quit

1、 配置默認路由

Ip route-static 0.0.0.0 0.0.0.0 10.113.245..5

第二步：為我解決同一網段機器過多，造成ARP欺騙等故障，將學校IP地址按需求劃分子網，并配置相應的vlan

1、劃分子網IP

學校地址為：10.112.208.0 /255.255.252.0

可劃分子網為：

子網個數 子網地址 子網范圍

4 10.112.208.0/24 10.112.208.1-254

10.112.209.0/24 10.112.209.1-254

10.112.210.0/24 10.112.210.1-254

10.112.211.0/24 10.112.211.1-254

2、配置相應的Vlan

（1）配置服務器vlan 10

Vlan 10

Name servers

Port gi1/1/1

quit

Interface vlan-interface 10

Ip address 10.112.208.254 24

Quit

（2）配置教學樓vlan 20

Vlan 20

Name jiaoxuelou

Port gi1/1/2

quit

Interface vlan-interface 20

Ip address 10.112.209.254 24

Quit

（3）配置實驗樓vlan 30

Vlan 30

Name 實驗樓

Port gi1/1/3

quit

Interface vlan-interface 30

Ip address 10.112.210.254 24

Quit

（4）配置學生機房vlan 40

Vlan 40

Name jifang

Port e 1/0/23

Port e 1/0/24

quit

Interface vlan-interface 40

Ip address 10.112.211.254 24

Quit

第三步：為了管理方便，對交換機進行了簡單的管理配置。

配置交換機的遠程管理、snmp配置

1、配置遠程管理

Local-user user1

Password cipher 123456

Service-type telnet ssh terminal

authorization-attribute level 3

quit

user-interface aux 0

authentication-mode scheme

quit

user-interface vty 0 4

authentication-mode scheme

quit

telnet登錄：管理終端命令行：telnet 網關IP地址

web登錄：管理終端瀏覽器：http://網關IP地址

2、配置snmp

snmp-agent community read XXXXXX

snmp-agent community write XXXXXX

snmp-agent sys-info location DaXingYiZhong

snmp-agent sys-info version all

第四步：為了減少IP沖突和手工配置IP的麻煩，配置了DCHP服務。

dhcp server ip-pool 10

network 10.112.208.0 mask 255.255.255.0

gateway-list 10.112.208.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip 10.112.208.1 10.112.208.10

#

dhcp server ip-pool 20

network 10.112.209.0 mask 255.255.255.0

gateway-list 10.112.209.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip 10.112.209.1 10.112.209.5

#

dhcp server ip-pool 30

network 10.112.210.0 mask 255.255.255.0

gateway-list 10.112.210.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip 10.112.210.1 10.112.210.5

#

dhcp server ip-pool 40

network 10.112.211.0 mask 255.255.255.0

gateway-list 10.112.211.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip 10.112.211.1 10.112.211.5

整個網配置做完了，去各個信息點做了測試，都能上網，配置成功，下一步，做多Vlan下的網路崗的部署，以前從沒做過，希望不要出問題。

我的思路，因為E1接口在信息中心接入口Vlan50中，那么配置E 1接口為被鏡像口；配置E2為鏡像口，接入網路崗，我辦公室的電腦在服務器組Vlan10中，為了管理方便，把E2接口劃入Vlan10中。這里做一個簡要的說明，華為和H3C的部分交換要先把端口加入Vlan，再做端口鏡像配置，不然會出現“Can not configure moinitor port! ”的錯誤提示，具體配置如下：

vlan 10

port e 1/0/2

mirroring-group 1 local

mirroring-group 1 mirroring-port e 1/0/1 both

mirroring-group 1 monitor-port e 1/0/2

網路崗主機配：IP 地 址：10.112.208.1

子網掩碼：255.255.255.0

缺省網關：10.112.208.254

網路崗的監控模式默認有三種：1、基于網卡MAC；2、基于帳戶；3、基于IP；因為我在第一次配置網路崗的時候，選擇的是基于網卡MAC，現在，我想當然的也選擇基于網卡MAC的監控模式，但當我掃描主機的時候，奇怪的事情出現了，我發現我只能掃描到10.112.208.0網段的主機，其它3個段的主機都掃描不到。明白了，看來，把網路崗部署到哪個Vlan，用基于網卡MAC監控模式，就只能掃描到這個Vlan的主機，其它Vlan的掃描不到。遇到了難題，還有沒有別的辦法呢？無意中選擇了基于IP的選項，一掃描，有點不相信自己的眼睛，所有在線的主機都出現了。看來，在單Vlan模式下，一般選擇基于網卡MAC的監控模式，在多Vlan模式下，最好選擇基于IP的監控模式。然后應用以前設置好的網頁過濾策略到這四個網段的計算機上，在我的計算機上做封堵測試，成功。

最近教學樓有老師反映說，很久不見了的那些不健康的網站又彈出來了，我看了監控記錄，封堵正常，于是安慰說，是新發現的吧，下次彈出時您叫我，沒想到，沒過幾天，實驗樓、機房的老師都反映有彈出不良網站和廣告的情況，，我突然意識到事情的嚴重性，是不是部署有問題？于是把Baidu添加到網頁過濾封堵策略里做測試，在我的計算機上，封堵成功，但在教學樓、實驗樓、機房做測試，封堵都不成功，查看監視記錄，都顯示封堵成功。看來，網路崗對和它不同Vlan的計算機只能監控，但不能封堵。

經過多次改變結構，發現只有把網路崗部署在和信息中心接入口同一Vlan即Vlan50中，IP地址設置為全網段即劃分子網前的網段中，四個網段都封堵成功。

配置如下：

Undo mirroring-group 1 monitor-port e 1/0/2

vlan 50

port e 1/0/2

mirroring-group 1 monitor-port e 1/0/2

網路崗主機配：IP 地 址：10.112.208.1

子網掩碼：255.255.252.0

缺省網關：10.112.211.254

但這個時候又出現了一個新問題，我用遠程桌面無法管理我的網路崗服務器了，每次只能到機房去，因為網路崗（在Vlan50）和我辦公室的計算機（在Vlan10）不在同一Vlan，又和Vlan50（在10.113.245.0/30段、網路崗服務器在10.112.208.0/22段）不是同一段的IP，外部就沒辦法和它取得聯系。

解決辦法，給這臺網路網監控主機再加一塊網卡，把網線接口插入服務器組交換機即和我辦公室計算機同一Vlan10的交換機，配置IP：10.112.208.2/24即可。

經過幾天的折騰，測試，我校的網絡終于又進入快速、穩定、干凈，健康的運行環境。

本文由本人發表在《中國信息技術教育》雜志，有改動。

轉載于:https://blog.51cto.com/dinghuqiang/633809

總結

以上是生活随笔為你收集整理的再还校园一个干净、健康的网络环境的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。