利用客戶端限制及制度管理營造穩定網絡

管理局域網需要了解整個網絡的結構和分布，除了要掌握核心設備的安全配置外，還需對客戶端進行限制、制訂合理的管理制度，雙管齊下才能有效地管理網絡，從而杜絕一些低級錯誤的發生。

筆者就曾經遇到過類似的情況，那時筆者剛剛接手公司的局域網，雖然對接入端比較了解，可沒有制定合理的制度對用戶加以限制。某日一部門反映說外部郵件無法收取，經查看，機器的配置沒有問題，Ping網關也正常，Ping外部郵件服務器卻不通，后來其它部門也反映無法上網，于是開始檢查路由器和線路，發現路由器一切正常，系統日志記錄的參數也并無異常，沒有丟包現象，交換機各端口和指示燈顯示沒有問題，檢查各臺服務器也沒有發現可疑進程，均能正常運行?？雌饋碚麄€局域網一切正常，沒有病毒，內部郵件收發正常，但對外的所有進程被切斷了，無法和外網通訊。

感覺有些奇怪，網關可以Ping通，排除了路由器的問題，又沒有病毒，客戶端IP沒有沖突，DNS配置正確，電信局端也沒有問題，為什么無法訪問外網呢？仔細地考慮一下，由于整個局域網是通過路由器接入一臺二層交換機，再分到各部門接入客戶端，只有一個網段，現在內網一切通訊正常，那說明交換機故障應該可以排除了，因為所有用戶都是通過此交換機相互連接交換數據的。因此問題的焦點很快轉到路由器上，于是嘗試將一臺正常的主機單獨接入路由器而斷開局域網，根據先前的配置通過ADSL拔號上網，一切正常，只用了5秒的時間就可以拔通上網了。

由于公司原來沒有配置DHCP服務，各客戶端的地址都是手動分配的，應該不會存在IP地址沖突，那難道是其它方面有沖突？借.netsuper軟件，查看了整個局域網用戶的IP、MAC、USER等信息，發現某個用戶的IP地址竟為本地網關地址。原來如此，先前一直Ping通的并非路由器的IP網關地址,而只是那臺主機，是它一直搶占著網關地址，當本地主機IP被非法改為網關IP地址時，網內電腦通訊時就會優先選擇本網段內路由信息，將所有數據流請求紛紛發到此臺“非法網關主機”上，而忽略路由器上的真實網關地址，但此主機又并非真正網關，無法對外轉發數據和路由信息，所以自然也就無法對外訪問網絡了。立刻將此主機IP改回來，并重啟路由器，一切恢復如初了。

問題解決了，但得到了許多啟發，為了避免缺乏有效的網絡管理制度導致的網絡問題，就要求不僅要對客戶端系統進行限制，還要有嚴格的制度管理。筆者建議應制定一些管理制度：

1、給每個客戶端建一個USER權限的帳戶，這樣用戶對一些IP屬性或帳戶等敏感信息就沒有修改權限了，也可以建立本地管理員帳戶定時對系統進行維護和管理，關于補丁更新和軟件安裝問題，則通過SUS分發或組策略來實現。

2、對上網的用戶進行控制，對于沒有網絡方面要求的用戶則關閉其外網。對接入端口進行限制，以減少病毒和木馬的感染機率。

3、配置DHCP服務，并在服務器端對相關IP地址進行排除、保留和捆綁，有效防止手動分配可能帶來的維護不便和地址沖突。

4、通過域進行管理，并制定相應的網絡管理制度。由于先前的是對等網，共享資料零亂，用戶賬號不統一，用戶還可能私自重裝操作系統，給管理帶來極大的不便。為此要出臺正式的網管制度，對用戶賬號的分配和申請需經有關部門的批準，從而有效的提高了網絡的安全性、可管理性。

通過以上幾點措施，整個網絡的效率提高了，大的網絡故障或癱瘓現象沒再發生。由于及時將安全補丁分發給客戶端安裝，杜絕了病毒對網絡的影響，營造了一個健康、穩定的網絡是環境。

原文轉自：http://www.kjueaiud.com