2011軟件水平考試網(wǎng)絡(luò)管理員輔導(dǎo):保護(hù)局域網(wǎng)網(wǎng)關(guān)

　　管理一個(gè)局域網(wǎng)，需要了解整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)和分布，除了掌握核心設(shè)備的安全配置外，還需對(duì)客戶端進(jìn)行限制、對(duì)用戶有一個(gè)管理的制度，雙管齊下才可以有效的管理網(wǎng)絡(luò)，杜絕一些低級(jí)錯(cuò)誤的發(fā)生。

　　筆者就曾經(jīng)遇到過(guò)一次網(wǎng)絡(luò)故障，記得那時(shí)筆者才剛剛接手現(xiàn)在公司的局域網(wǎng)，雖然對(duì)接入端比較了解，可對(duì)客戶端的具體情況還不是很熟悉。某日一部門打電話來(lái)說(shuō)外部郵件無(wú)法收取，當(dāng)時(shí)以為是一般的小故障，所以也沒(méi)太在意，過(guò)去一查看，發(fā)現(xiàn)機(jī)器的配置沒(méi)有問(wèn)題，ping網(wǎng)關(guān)也正常，ping外部郵件服務(wù)器卻不通，對(duì)外的網(wǎng)絡(luò)好像全部不通了，后來(lái)其它部門反映無(wú)法上網(wǎng)，才開(kāi)始意識(shí)到問(wèn)題的嚴(yán)重性了。于是冷靜下來(lái)，開(kāi)始檢查路由器和線路，發(fā)現(xiàn)路由器一切正常，系統(tǒng)日志記錄的參數(shù)也并無(wú)異常，沒(méi)有丟包現(xiàn)象，交換機(jī)各端口和指示燈顯示沒(méi)有問(wèn)題，檢查各臺(tái)服務(wù)器也沒(méi)有發(fā)現(xiàn)什么可疑進(jìn)程，均能正常運(yùn)行，表面上整個(gè)局域網(wǎng)一切正常，沒(méi)有病毒，內(nèi)部郵件收發(fā)正常，就是對(duì)外的所有進(jìn)程被切斷了，無(wú)法和外網(wǎng)通訊!

　　感覺(jué)有些奇怪，既然網(wǎng)關(guān)可以ping通，路由器又沒(méi)DOWN掉，又沒(méi)有病毒，客戶端IP也是手動(dòng)指定的(因?yàn)閱挝粰C(jī)器不到百臺(tái))，沒(méi)有沖突，DNS配置正確(填為當(dāng)?shù)仉娦臘NS地址)，為什么會(huì)無(wú)法訪問(wèn)外網(wǎng)?好像找不到有效的辦法了，真是一籌莫展呀!通過(guò)咨詢電信局，那邊也說(shuō)電信局端沒(méi)有問(wèn)題。還是平靜下來(lái)，仔細(xì)地想一想，由于整個(gè)局域網(wǎng)是通過(guò)路由器進(jìn)入一臺(tái)二層交換機(jī)，再分到各部門接入客戶端，只有一個(gè)網(wǎng)段，現(xiàn)在內(nèi)網(wǎng)一切通訊正常，那說(shuō)明交換機(jī)故障應(yīng)該可以排除了，因?yàn)樗�有用戶都是通過(guò)此交換機(jī)相互連接交換數(shù)據(jù)的。因此我的焦點(diǎn)很快轉(zhuǎn)到路由器上，于是我嘗試將一臺(tái)正常的主機(jī)單獨(dú)接入路由器而斷開(kāi)局域網(wǎng)，根據(jù)先前的配置通過(guò)ADSL拔號(hào)上網(wǎng)，一切OK，只用了5秒的時(shí)間就可以拔通上網(wǎng)了，就在那一剎那我找回了原來(lái)的感覺(jué)和自信，問(wèn)題好像已經(jīng)就在眼前了。

　　由于公司原來(lái)沒(méi)有配置DHCP服務(wù)，各客戶端的地址都是前網(wǎng)管手動(dòng)分配的(確實(shí)很勤快，可怎么沒(méi)留下個(gè)IP地址對(duì)照表呢)，應(yīng)該不會(huì)存在IP地址沖突，那難道是其它方面有沖突……看來(lái)我只有手動(dòng)自己查看一下局域網(wǎng)IP地址對(duì)照表了，我用了一個(gè)小軟件netsuper搜索了一下，結(jié)果整個(gè)局域網(wǎng)用戶的IP、MAC、USER等信息一覽無(wú)遺了，這不看不知道，一看還真嚇一跳呀，原來(lái)我發(fā)現(xiàn)某個(gè)局域網(wǎng)用戶的IP地址竟為本地網(wǎng)關(guān)地址，老天啦，問(wèn)題應(yīng)該就出在這里了，當(dāng)時(shí)真是氣不打一處來(lái)，真想跑過(guò)去K她一頓，再封了她的ID……后來(lái)她還是坦白從寬了，原來(lái)還是個(gè)計(jì)算機(jī)專業(yè)畢業(yè)的，出于好奇，系統(tǒng)又沒(méi)有限制，就私自修改了本機(jī)的IP，偏偏改成了網(wǎng)關(guān)的地址……

　　原來(lái)如此，先前一直ping通的并非路由器的IP網(wǎng)關(guān)地址，而只是那臺(tái)主機(jī)。是它一直搶占了網(wǎng)關(guān)地址呀!當(dāng)本地主機(jī)IP被非法改為網(wǎng)關(guān)IP地址，網(wǎng)內(nèi)機(jī)器通訊時(shí)就會(huì)優(yōu)先選擇本網(wǎng)段內(nèi)路由信息，將所有數(shù)據(jù)流請(qǐng)求紛紛發(fā)到此臺(tái)“非法網(wǎng)關(guān)主機(jī)”，而忽略路由器上的真實(shí)網(wǎng)關(guān)地址，但此主機(jī)又并非真正網(wǎng)關(guān)，無(wú)法對(duì)外轉(zhuǎn)發(fā)數(shù)據(jù)和路由信息，所以自然也就無(wú)法對(duì)外訪問(wèn)網(wǎng)絡(luò)了。立刻斷網(wǎng)將此主機(jī)IP改回來(lái)，并重啟路由器，一切恢復(fù)如初了。問(wèn)題是解決了，可得到的卻是許多教訓(xùn)，一個(gè)低級(jí)錯(cuò)誤卻導(dǎo)致了整個(gè)網(wǎng)絡(luò)的癱瘓，真是疏忽大意呀，對(duì)于網(wǎng)關(guān)的管理確實(shí)需要重視，同時(shí)從另一個(gè)角度也反映出網(wǎng)絡(luò)管理上存在的漏洞，看來(lái)不僅需要對(duì)客戶端系統(tǒng)進(jìn)行限制，還要有嚴(yán)格的制度管理，所以后來(lái)筆者為此采取了一些措施。

　　1.給每個(gè)客戶端建一個(gè)USER權(quán)限的賬戶，這樣用戶對(duì)一些IP屬性或賬戶等敏感信息就沒(méi)有修改權(quán)限了，再建個(gè)本地管理員賬戶定時(shí)對(duì)系統(tǒng)進(jìn)行維護(hù)和管理，關(guān)于補(bǔ)丁更新和軟件安裝問(wèn)題，則通過(guò)SUS分發(fā)或組策略來(lái)實(shí)現(xiàn)，這樣權(quán)限分明了，杜絕了客戶端可能帶來(lái)的隱患。

　　2.對(duì)上網(wǎng)的用戶進(jìn)行控制，對(duì)于沒(méi)有網(wǎng)絡(luò)方面要求的用戶則關(guān)閉其外網(wǎng)。對(duì)接入端口進(jìn)行限制，以減少病毒和木馬的感染機(jī)率。

　　3.配置DHCP服務(wù)，并在服務(wù)器端對(duì)相關(guān)IP地址進(jìn)行排除、保留和捆綁，有效防止手動(dòng)分配可能帶來(lái)的維護(hù)不便和地址沖突。

　　4.通過(guò)域進(jìn)行管理，并制定相應(yīng)的網(wǎng)絡(luò)管理制度。由于先前的是對(duì)等網(wǎng)，共享資料零亂，用戶賬號(hào)不統(tǒng)一，用戶還可能私自重裝操作系統(tǒng)，給管理帶來(lái)極大的不便。為此經(jīng)老總同意，出臺(tái)了正式的網(wǎng)管制度，對(duì)用戶賬號(hào)的分配和申請(qǐng)需經(jīng)有關(guān)部門的首肯，從而有效的提高了網(wǎng)絡(luò)的安全性、可管理性。

　　通過(guò)以上幾點(diǎn)措施，確實(shí)整個(gè)網(wǎng)絡(luò)的效率提高了，大的網(wǎng)絡(luò)故障或癱瘓現(xiàn)象再?zèng)]發(fā)生，由于及時(shí)將安全補(bǔ)丁分發(fā)給客戶端安裝了，因此因?yàn)椴《井a(chǎn)生的問(wèn)題也很少，時(shí)間也證明了這一點(diǎn)，筆者工作一年來(lái)，主要的任務(wù)是些正常的維護(hù)和備份工作，其它有的也只是些小故障。其實(shí)健康、穩(wěn)定的網(wǎng)絡(luò)是每個(gè)網(wǎng)管員都向往的，技術(shù)和制度上的管理是密不可分的，真正做到這一點(diǎn)并不容易，希望筆者的教訓(xùn)是一個(gè)前車之鑒!

　　各地2011年下半年軟考準(zhǔn)考證打印時(shí)間及入口

　　計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格(水平)考試官網(wǎng)匯總

　　2011下半年軟考考前必看：臨考10大注意事項(xiàng)

　　2007年—2010年全國(guó)計(jì)算機(jī)軟考?xì)v年真題匯總