管理局域网需要了解整个网络的结构和分布,除了要掌握核心设备的安全配置外,还需对客户端进行限制、制订合理的管理制度,双管齐下才能有效地管理网络,从而杜绝一些低级错误的发生。
笔者就曾经遇到过类似的情况,那时笔者刚刚接手公司的局域网,虽然对接入端比较了解,可没有制定合理的制度对用户加以限制。某日一部门反映说外部邮件无法收取,经查看,机器的配置没有问题,Ping网关也正常,Ping外部邮件服务器却不通,后来其它部门也反映无法上网,于是开始检查路由器和线路,发现路由器一切正常,系统日志记录的参数也并无异常,没有丢包现象,交换机各端口和指示灯显示没有问题,检查各台服务器也没有发现可疑进程,均能正常运行。看起来整个局域网一切正常,没有病毒,内部邮件收发正常,但对外的所有进程被切断了,无法和外网通讯。
感觉有些奇怪,网关可以Ping通,排除了路由器的问题,又没有病毒,客户端IP没有冲突,DNS配置正确,电信局端也没有问题,为什么无法访问外网呢?仔细地考虑一下,由于整个局域网是通过路由器接入一台二层交换机,再分到各部门接入客户端,只有一个网段,现在内网一切通讯正常,那说明交换机故障应该可以排除了,因为所有用户都是通过此交换机相互连接交换数据的。因此问题的焦点很快转到路由器上,于是尝试将一台正常的主机单独接入路由器而断开局域网,根据先前的配置通过ADSL拔号上网,一切正常,只用了5秒的时间就可以拔通上网了。
由于公司原来没有配置DHCP服务,各客户端的地址都是手动分配的,应该不会存在IP地址冲突,那难道是其它方面有冲突?借.netsuper软件,查看了整个局域网用户的IP、MAC、USER等信息,发现某个用户的IP地址竟为本地网关地址。原来如此,先前一直Ping通的并非路由器的IP网关地址,而只是那台主机,是它一直抢占着网关地址,当本地主机IP被非法改为网关IP地址时,网内电脑通讯时就会优先选择本网段内路由信息,将所有数据流请求纷纷发到此台“非法网关主机”上,而忽略路由器上的真实网关地址,但此主机又并非真正网关,无法对外转发数据和路由信息,所以自然也就无法对外访问网络了。立刻将此主机IP改回来,并重启路由器,一切恢复如初了。
问题解决了,但得到了许多启发,为了避免缺乏有效的网络管理制度导致的网络问题,就要求不仅要对客户端系统进行限制,还要有严格的制度管理。笔者建议应制定一些管理制度:
1、给每个客户端建一个USER权限的帐户,这样用户对一些IP属性或帐户等敏感信息就没有修改权限了,也可以建立本地管理员帐户定时对系统进行维护和管理,关于补丁更新和软件安装问题,则通过SUS分发或组策略来实现。
2、对上网的用户进行控制,对于没有网络方面要求的用户则关闭其外网。对接入端口进行限制,以减少病毒和木马的感染机率。
3、配置DHCP服务,并在服务器端对相关IP地址进行排除、保留和捆绑,有效防止手动分配可能带来的维护不便和地址冲突。
4、通过域进行管理,并制定相应的网络管理制度。由于先前的是对等网,共享资料零乱,用户账号不统一,用户还可能私自重装操作系统,给管理带来极大的不便。为此要出台正式的网管制度,对用户账号的分配和申请需经有关部门的批准,从而有效的提高了网络的安全性、可管理性。
通过以上几点措施,整个网络的效率提高了,大的网络故障或瘫痪现象没再发生。由于及时将安全补丁分发给客户端安装,杜绝了病毒对网络的影响,营造了一个健康、稳定的网络是环境。
文章来源于领测软件测试网 https://www.ltesting.net/