今天检查和维护校园网,刚才中午到所有教室去转了一圈,前天晚上检测到的三个不能远程唤醒网卡的教学终端,其实只有一个班的网卡有问题需手动开机,另外两个班是没插电源。还有个教室里音箱可能有故障。
同时,由于校长们总说实验楼那边的网络不好经常通断,在解决那边网络故障的同时,这几天顺便把校园网核心交换机的配置摸索了一遍,重新整理了VLAN、ACL(访问控制列表),核查了端口线标,设置了文件日志记录,并对连接实验楼VLAN30的Fa8/4端口做了防止网络风暴控制和端口镜像,便于用sniffer检查网络流量,将来再出现网络故障就容易查原因了。
查看原有ACL的结果让人很不放心,原ACL设置的很简单,只对二号楼和老微机室的电脑IP做了限制禁止访问其他VLAN,实验楼的所有电脑和保卫室的家校通监控电脑都是permit any,能任意访问校内其他电脑。而实验楼里的电子备课室是极易中毒被入侵的,家校通电脑也被设置了远程控制可以被校外技术人员任意控制。因此今天大量修改了ACL。但是对总控室所在的VLAN1和VLAN10仍未做ACL,因为不知道该怎么限制才能不影响校园网的正常使用。
对家校通(监控)电脑所作限制如下:
1、禁止互联网晚20点至次日凌晨6点之间对该电脑的连接;
2、禁止该电脑对校内所有VLAN的访问(含该电脑所在的VLAN20);
3、允许该电脑访问总控室的监控服务器;
4、允许该电脑开远程控制端口对我工作电脑的连接。
这样,基本可以把该电脑隔离成一个孤岛,仅白天有对外网的连接,和全天对监控服务器的连接。
现在从该电脑入侵校园网的风险将仅仅局限于白天工作时段(风险小很多,白天时黑客们也要上学上班的)和如何获取监控服务器的控制权了。 | 
站点公告
