（4）设置静态路由网关，命令参考如下：

ip route 0.0.0.0 0.0.0.0 192.168.0.253 preference 60

3．在汇聚层交换机中设置过程如下：

（1）划分VLAN，命令参考如下：

interface Aux0/0

vlan 1

vlan 10

vlan 20

vlan 20

（2）设置各以太网端口，并划分各自允许的VLAN，命令参考如下：

interface Vlan-interface1

ip address 192.168.0.250 255.255.255.0

interface Ethernet0/3

switchport access vlan 10

interface Ethernet0/14

switchport access vlan 20

interface GigabitEthernet1/1

switchport mode trunk

switchport trunk allowed vlan all

（3）设置主干入口光纤接口，允许所有VLAN通过，命令参考如下：

interface GigabitEthernet1/1

switchport mode trunk

switchport trunk allowed vlan all

这样，在汇聚层交换机上通过以太网端口VLAN设置，就将网络的物理网段人为地分开了，为以后的管理和维护打下了一个良好的开端。

（二）有效规划内网IP地址和用户计算机标识，是网络安全运行的条件

在规划内网IP地址和用户计算机标识，我们遵循对同一台电脑，其内外网的计算机名相同，网络登录用户名相同的原则，并在其计算机上加上描述内容，这样在网络上看到某一台计算机，我们很容易知道他是来自于哪一个位置。同时针对计算机用户习惯擅自更改本机IP的恶习，我们采用IP地址与网卡物理地址进行捆绑的方法防止内网IP出现混乱。在我校校园网网络设备中，防火墙和汇聚层交换机都可实现IP地址和网卡物理地址捆绑，也可以利用网络管理软件实现这一功能。
1．在交换机将192.168.0.1的ip地址与pc1的mac地址进行绑定，命令参考如下：

dhcp-security static 192.168.0.1 0006-5b37-f0f9

vlan 2 *配置vlan2的ip地址及启用address-check功能，以检测pc的ip地址及mac地址

interface Vlan-interface2

ip address 192.168.0.1 255.255.255.0

dhcp-server 1

address-check enable

mac-address mac-learning disable *定义静态的mac地址及关闭学习新的mac地址，即可防止规定以外的pc机接入网络。

mac-address static 7806-1738-DF55 interface GigabitEthernet2/1vlan2

当然，如将所有局域网的终端计算机IP地址与网卡物理地址进行捆绑，实际操作中是一件很烦琐的事情，工作量特别大，建议事前做好充分的准备工作，同时做好交换机配置备份工作，以防意外。

2．在日常管护中，我们选择了利用各种网络工具对整个网络进行监测，以笔者的经验，使用“网络执法官”对网络监测可以起到良好的效果。

该软件可以安装在网管机上，以各主机的网卡号来识别用户，通过收发底层数据包来监控用户，同时以用户权限为核心，管理员设置各用户权限后，软件即依各用户的权限进行自动管理，同时该软件“企业版”还实现IP地址与网卡物理地址捆绑，管理和操作十分方便。其中：用户权限分为“无限制”、“部分受限制”和“完全限制”；管理方式分为“IP冲突”、“断开与关键主机的连接”、“断开与所有主机的连接”。另外，该软件还可以针对某台主机设定IP限定及时段限定。

（三）加强计算机终端用户的计算机安全管理，是网络安全运行的基础

外网病毒入侵及各类蠕虫病毒在局域网内部大面积传播、感染以至相互进行攻击、发包，是造成交换机不断的丢包、缓存溢出、路由中断直至整个校园网带宽堵塞、瘫痪的主要原因，校园网虽然有硬件防火墙，但由于硬件防火墙的目的主要是防止不期望的或未授权的用户和主机访问内部网络，确保内部网正常安全运行，所以其病毒防护功能相对较弱，面对日新月异、层出不穷的计算机外网病毒，仅靠路由器、防火墙、交换机提供的病毒过滤功能，是无法有效解决局域网病毒危害的。为解（下转第101页）（上接第99页）决这一问题，我们经过比较，并充分考虑管理成本因素，最后采用瑞星公司的瑞星杀毒软件和瑞星个人防火墙在校园网内各终端用户机上安装，通过设置，取得了良好的效果。

瑞星杀毒软件系列是我国反病毒软件中的最优秀的杀毒软件系列之一。其个人防火墙根据需要，提供了三种安全级别设置功能，即普通安全级别：适合于不连接网络的用户，当没有匹配所有规则时，网络连接是允许的；中安全级别：适用于局域网的用户，允许进行网络文件共享，可以抵抗大部分已知的网络攻击；高安全级别：适合于直接连接到Internet的用户，禁止网络文件共享，禁止一切不经过允许的数据访问。这是最安全的设置，可以保护上网用户的计算机安全。实际管理中，我们针对不同计算机用户，分别采用了中安全级别和高安全级别，从而有效地防止了局域网内的病毒相互攻击和发包现象；同时利用瑞星杀毒软件提供的智能解包还原、增强型行为判断、一体化监控系统、多引擎杀毒和主动式智能升级等综合技术，对杀毒软件的手动扫描、快速扫描和实时监控进行了详细设置，在病毒处理上采用“先查后删”的策略，基本杜绝了常见病毒的影响，取得了良好的效果。

三、结论

总之，维护网络安全运行首先要从终端计算机安全运行入手，加强教育与管理，使终端计算机用户对本机安全引起足够重视，并按正常的操作程序对自身计算机进行正常操作、维护，才能确保整个网络的正常运行。

上一页  [1] [2]