伴随着Internet“身影”的随处可见，越来越多的单位都已经架设了自己的局域网网络，不过局域网在给各位员工日常办公、共享上网带来便利同时，也时刻会遭遇网络病毒袭击、IP地址被非法抢用、员工上班期间随意玩游戏等现象;为了确保正常的工作秩序，单位领导要求笔者对单位局域网网络进行严格管理，特别是要对员工的上网时间进行严格控制，禁止他们随意在上班期间上网访问。

    组网情况

    笔者所在单位的局域网是2005年年底建成的，该局域网通过RG-WALL 100型号的硬件防火墙连接到Internet网络，局域网中的所有普通工作站都通过普通二层交换机集中连接到锐捷网络的S6806核心交换机;为了便于管理局域网网络，同时有效控制局域网的网络风暴现象，笔者特意在局域网的核心交换机中划分了多个不同的虚拟工作子网，确保局域网网络不会受到广播风暴的影响，同时保证局域网中的重要服务器或工作站不会受到非法用户的随意访问。

    控制上网时间

    单位的服务器系统以及重要工作站系统被集中划分到虚拟工作子网1中了，而普通员工的工作站则被集中划分到虚拟工作子网2中了，单位领导要求每位员工只能在每天中午的12:00--14:00期间可以上网访问，另外在星期六、星期天全天可以正常上网，其他时间严格禁止上网访问。

    依照单位领导的工作要求，笔者反复实践了几种方法，以前单位通过代理服务器进行共享上网时，笔者只要在代理服务器中进行一下简单设置就可以了，可是现在局域网的工作站都是通过单位租用的10宽带光纤进行共享上网的，通过使用、设置代理服务器的方法根本不适合现在的局域网组网情况;另外，单位局域网使用的RG-WALL 100型号硬件防火墙，也不直接支持对上网访问时间的控制。在毫无头绪的情况下，笔者查阅了核心交换机S6806的操作说明书，发现该交换机可以支持上网时间的控制;经过进一步了解，笔者发现只要在核心交换机上设置一些合适的上网时间控制规则，然后再将指定的上网访问规则应用到普通员工工作站所在的虚拟工作子网2上就可以了。依照这样的分析，笔者写下了如下上网访问时间控制规则，并将该规则命名为control：

    time-range control

    periodic Monday 0:00 to 12:00

    periodic Monday 14:00 to 23:59

    periodic Tuesday 0:00 to 12:00

    periodic Tuesday 14:00 to 23:59

    periodic Wednesday 0:00 to 12:00

    periodic Wednesday 14:00 to 23:59

    periodic Thursday 0:00 to 12:00

    periodic Thursday 14:00 to 23:59

    periodic Friday 0:00 to 12:00

    periodic Friday 14:00 to 23:59

    !

    下面，笔者将上述控制规则应用到普通员工工作站所在的虚拟工作子网2上就可以了(其中的aaa是任意制定的一个名称)：

    IP access-list extended aaa

    permit ip 10.176.6.18 any

    permit ip 10.176.6.116 any

    deny ip 10.176.6.0 0.0.0.255 any time-range control

    permit ip any any

    !

    Interface Vlan 2

    ip address 10.176.6.1 255.255.255.0

    ip access-group aaa in

    !

    其中10.176.6.18、10.176.6.116是虚拟工作子网2中的两台重要工作站，这两台工作站可以一直访问网络;按照上述控制设置操作，虚拟工作子网2中的所有普通工作站只能在每天中午的12:00--14:00期间，以及星期六、星期天期间访问网络了，其他时间是不能正常访问网络的，这样一来我们就能成功实现禁止普通员工随意在上班期间上网访问的目的了。