2011軟件水平考試網(wǎng)絡管理員輔導:保護局域網(wǎng)網(wǎng)關

　　管理一個局域網(wǎng)，需要了解整個網(wǎng)絡的結構和分布，除了掌握核心設備的安全配置外，還需對客戶端進行限制、對用戶有一個管理的制度，雙管齊下才可以有效的管理網(wǎng)絡，杜絕一些低級錯誤的發(fā)生。

　　筆者就曾經(jīng)遇到過一次網(wǎng)絡故障，記得那時筆者才剛剛接手現(xiàn)在公司的局域網(wǎng)，雖然對接入端比較了解，可對客戶端的具體情況還不是很熟悉。某日一部門打電話來說外部郵件無法收取，當時以為是一般的小故障，所以也沒太在意，過去一查看，發(fā)現(xiàn)機器的配置沒有問題，ping網(wǎng)關也正常，ping外部郵件服務器卻不通，對外的網(wǎng)絡好像全部不通了，后來其它部門反映無法上網(wǎng)，才開始意識到問題的嚴重性了。于是冷靜下來，開始檢查路由器和線路，發(fā)現(xiàn)路由器一切正常，系統(tǒng)日志記錄的參數(shù)也并無異常，沒有丟包現(xiàn)象，交換機各端口和指示燈顯示沒有問題，檢查各臺服務器也沒有發(fā)現(xiàn)什么可疑進程，均能正常運行，表面上整個局域網(wǎng)一切正常，沒有病毒，內部郵件收發(fā)正常，就是對外的所有進程被切斷了，無法和外網(wǎng)通訊!

　　感覺有些奇怪，既然網(wǎng)關可以ping通，路由器又沒DOWN掉，又沒有病毒，客戶端IP也是手動指定的(因為單位機器不到百臺)，沒有沖突，DNS配置正確(填為當?shù)仉娦臘NS地址)，為什么會無法訪問外網(wǎng)?好像找不到有效的辦法了，真是一籌莫展呀!通過咨詢電信局，那邊也說電信局端沒有問題。還是平靜下來，仔細地想一想，由于整個局域網(wǎng)是通過路由器進入一臺二層交換機，再分到各部門接入客戶端，只有一個網(wǎng)段，現(xiàn)在內網(wǎng)一切通訊正常，那說明交換機故障應該可以排除了，因為所有用戶都是通過此交換機相互連接交換數(shù)據(jù)的。因此我的焦點很快轉到路由器上，于是我嘗試將一臺正常的主機單獨接入路由器而斷開局域網(wǎng)，根據(jù)先前的配置通過ADSL拔號上網(wǎng)，一切OK，只用了5秒的時間就可以拔通上網(wǎng)了，就在那一剎那我找回了原來的感覺和自信，問題好像已經(jīng)就在眼前了。

　　由于公司原來沒有配置DHCP服務，各客戶端的地址都是前網(wǎng)管手動分配的(確實很勤快，可怎么沒留下個IP地址對照表呢)，應該不會存在IP地址沖突，那難道是其它方面有沖突……看來我只有手動自己查看一下局域網(wǎng)IP地址對照表了，我用了一個小軟件netsuper搜索了一下，結果整個局域網(wǎng)用戶的IP、MAC、USER等信息一覽無遺了，這不看不知道，一看還真嚇一跳呀，原來我發(fā)現(xiàn)某個局域網(wǎng)用戶的IP地址竟為本地網(wǎng)關地址，老天啦，問題應該就出在這里了，當時真是氣不打一處來，真想跑過去K她一頓，再封了她的ID……后來她還是坦白從寬了，原來還是個計算機專業(yè)畢業(yè)的，出于好奇，系統(tǒng)又沒有限制，就私自修改了本機的IP，偏偏改成了網(wǎng)關的地址……

　　原來如此，先前一直ping通的并非路由器的IP網(wǎng)關地址，而只是那臺主機。是它一直搶占了網(wǎng)關地址呀!當本地主機IP被非法改為網(wǎng)關IP地址，網(wǎng)內機器通訊時就會優(yōu)先選擇本網(wǎng)段內路由信息，將所有數(shù)據(jù)流請求紛紛發(fā)到此臺“非法網(wǎng)關主機”，而忽略路由器上的真實網(wǎng)關地址，但此主機又并非真正網(wǎng)關，無法對外轉發(fā)數(shù)據(jù)和路由信息，所以自然也就無法對外訪問網(wǎng)絡了。立刻斷網(wǎng)將此主機IP改回來，并重啟路由器，一切恢復如初了。問題是解決了，可得到的卻是許多教訓，一個低級錯誤卻導致了整個網(wǎng)絡的癱瘓，真是疏忽大意呀，對于網(wǎng)關的管理確實需要重視，同時從另一個角度也反映出網(wǎng)絡管理上存在的漏洞，看來不僅需要對客戶端系統(tǒng)進行限制，還要有嚴格的制度管理，所以后來筆者為此采取了一些措施。

　　1.給每個客戶端建一個USER權限的賬戶，這樣用戶對一些IP屬性或賬戶等敏感信息就沒有修改權限了，再建個本地管理員賬戶定時對系統(tǒng)進行維護和管理，關于補丁更新和軟件安裝問題，則通過SUS分發(fā)或組策略來實現(xiàn)，這樣權限分明了，杜絕了客戶端可能帶來的隱患。

　　2.對上網(wǎng)的用戶進行控制，對于沒有網(wǎng)絡方面要求的用戶則關閉其外網(wǎng)。對接入端口進行限制，以減少病毒和木馬的感染機率。

　　3.配置DHCP服務，并在服務器端對相關IP地址進行排除、保留和捆綁，有效防止手動分配可能帶來的維護不便和地址沖突。

　　4.通過域進行管理，并制定相應的網(wǎng)絡管理制度。由于先前的是對等網(wǎng)，共享資料零亂，用戶賬號不統(tǒng)一，用戶還可能私自重裝操作系統(tǒng)，給管理帶來極大的不便。為此經(jīng)老總同意，出臺了正式的網(wǎng)管制度，對用戶賬號的分配和申請需經(jīng)有關部門的首肯，從而有效的提高了網(wǎng)絡的安全性、可管理性。

　　通過以上幾點措施，確實整個網(wǎng)絡的效率提高了，大的網(wǎng)絡故障或癱瘓現(xiàn)象再沒發(fā)生，由于及時將安全補丁分發(fā)給客戶端安裝了，因此因為病毒產(chǎn)生的問題也很少，時間也證明了這一點，筆者工作一年來，主要的任務是些正常的維護和備份工作，其它有的也只是些小故障。其實健康、穩(wěn)定的網(wǎng)絡是每個網(wǎng)管員都向往的，技術和制度上的管理是密不可分的，真正做到這一點并不容易，希望筆者的教訓是一個前車之鑒!

　　各地2011年下半年軟考準考證打印時間及入口

　　計算機技術與軟件專業(yè)技術資格(水平)考試官網(wǎng)匯總

　　2011下半年軟考考前必看：臨考10大注意事項

　　2007年—2010年全國計算機軟考歷年真題匯總