局域網簡易流控管理案例介紹

目前單位的局域網中還沒有布署流控系統，某些部門對于網絡的濫用就經常造成整個局域網的網速變得很慢。雖然我們通過“聚生網管”(下載地址：http://www.grablan.com/soft.html)可監控到是哪個端口的流量過大，也可以以針對某個端口進行限速，但是卻不能這么做，因為這樣一下那個端口下面所有的微機的網速都被限制了，而那個端口下面又有確實需要保障網速的機器，所以就要區別對待，用一個實際的網絡拓撲來說明一下，如圖1所示：

圖1 局域網組網示意圖

8樓豎井交換機是一臺2層交換機，下面連接了三個網絡，一個是領導的辦公室，一個是財務部的局域網，一個是辦公區的局域網。我們對于網絡使用限制的設計思路是利用CISCO3550的ACL實現對于連接8樓交換機的端口（端口18）設置為只允許某些特定的端口、只有指定的用戶可以不受限制的訪問網絡、放開對某個指定IP地址的訪問，這樣說不是太直觀，我們結合具體的實際說明一下。

在CISCO上創建ACL實現應用限制

本例中我們創建了一個名為notb的ACL，只開放了某些常用的端口和一些特定的主機，除此之外的默認都是不允許訪問的端口，這個ACL在技術上實現沒什么難度，但是具體開放哪些端口還是很有講究的，我們分別說明一下：

（一）滿足最基本上網功能的端口

ip access-list extended nobt  
permit tcp any any eq ftp  
permit tcp any any eq www  
permit tcp any any eq pop2  
permit tcp any any eq pop3  
permit tcp any any eq smtp 

（以上幾條分別為FTP、瀏覽網頁、收發郵件的操作）

permit udp any any eq domain

（這一條太重要了，也算是我們的一個經驗教訓，已經放開了WWW端口，為什么用戶還是上不去網呢？因為他還無法使用DNS服務，所以必須放開DNS服務，同時注意是UDP協議）

permit tcp any any eq telnet

（因為要telnet到交換機上，所以這個端口也要放開）

permit udp any any eq bootpc  
permit udp any any eq bootps 

（如果客戶端是通過DHCP自動獲取IP地址，這兩條都要放開）

（二）開放聊天、炒股等常用端口

為什么要開放這些端口，因為網管員對網絡的使用做了限制，必然會受到下面用戶的抵制，要想讓這個限制措施執行下去，所以必須開放一部分網絡應用，這就是兵法上講的“圍城必闕”（說包圍一座城市，一定要留一個缺口，給對手留下一條活路。）。

permit tcp any any eq 8601  
permit tcp any any eq 8002  
permit udp any any eq 1057 

（這三個端口是同花順炒股軟件的）

permit tcp any any eq 8005  
permit tcp any any eq 8006 

（這兩個端口是中信萬通炒股軟件的）

permit tcp any any eq 2967 （2967是NORTON殺毒軟件客戶端與服務器通訊所使用的端口）

permit tcp any any eq 843  
permit tcp any any eq 443  
permit tcp any any eq 8080  
remark 843 443 8080 is fetion 

（這三個端口是飛信的）

permit tcp any any eq 1863 （1863是MSN所使用的端口）

permit tcp any any eq 3389 （3389是登陸遠程桌面用的）

permit icmp any any （當然要允許客戶端的機器執行PING的操作了，要不然同事那邊說上不去網，都無法在電話里面指導著他PING一下網關，大致的判斷是哪兒出的故障）

permit tcp any any eq 1080  
permit tcp any any eq 5188 

（1080和5188是大智慧炒股軟件）

permit tcp any any eq 2121 （2121是我們內網FTP服務所使用的端口號）

permit ip any host 172.19.96.202 （172.19.96.202是我們內網服務器的地址）

permit ip any host 192.168.201.3  
permit udp any host 192.168.201.3 eq 61440 

（我們單位使用的是城市熱點的用戶管理系統，用戶上網時在瀏覽器中輸入用戶名和密碼192.168.201.3是驗證服務器的地址，udp 61440是城市熱點客戶端所用的端口號）

permit tcp any any eq 7001  
permit tcp any any eq 2006 

（這是財務部要使用的端口號）

（三）特定的主機不受限制

比如領導的以及確實由于業務的關系使用網絡不受任何限制，在這個ACL中一條命令就可以搞定：

permit ip host 10.66.7.101 any

10.66.7.101就是BOSS所使用微機的IP地址。

局域網簡易流控管理的應用先為大家介紹到這，請大家繼續關注相關文章：局域網簡易流控管理的應用 下篇

【編輯推薦】

1. 如何隱藏你的無線網絡？
2. 無線網絡時代的發展歷程
3. 無線路由器安全設置常用技巧
4. 無線路由器安全設置常用技巧 續
5. 巧妙排除無線路由器的電磁干擾