保護局域網網關

2019-11-04 20:16:47

字體：大中小

來源：轉載

供稿：網友

　　治理一個局域網,需要了解整個網絡的結構和分布,除了把握核心設備的安全配置外,還需對客戶端進行限制、對用戶有一個治理的制度，雙管齊下才可以有效的治理網絡，杜絕一些低級錯誤的發生。

　　筆者就曾經碰到過一次網絡故障，記得那時筆者才剛剛接手現在公司的局域網，雖然對接入端比較了解，可對客戶端的具體情況還不是很熟悉。某日一部門打電話來說外部郵件無法收取，當時以為是一般的小故障，所以也沒太在意，過去一查看，發現機器的配置沒有問題，ping網關也正常，ping外部郵件服務器卻不通，對外的網絡似乎全部不通了，后來其它部門反映無法上網，才開始意識到問題的嚴重性了。于是冷靜下來，開始檢查路由器和線路，發現路由器一切正常，系統日志記錄的參數也并無異常，沒有丟包現象，交換機各端口和指示燈顯示沒有問題，檢查各臺服務器也沒有發現什么可疑進程，均能正常運行，表面上整個局域網一切正常，沒有病毒，內部郵件收發正常，就是對外的所有進程被切斷了，無法和外網通訊！

　　感覺有些希奇，既然網關可以ping通，路由器又沒DOWN掉，又沒有病毒，客戶端ip也是手動指定的（因為單位機器不到百臺），沒有沖突，DNS配置正確（填為當地電信DNS地址），為什么會無法訪問外網？似乎找不到有效的辦法了，真是一籌莫展呀！通過咨詢電信局，那邊也說電信局端沒有問題。還是平靜下來，仔細地想一想，由于整個局域網是通過路由器進入一臺二層交換機，再分到各部門接入客戶端，只有一個網段,現在內網一切通訊正常，那說明交換機故障應該可以排除了，因為所有用戶都是通過此交換機相互連接交換數據的。因此我的焦點很快轉到路由器上，于是我嘗試將一臺正常的主機單獨接入路由器而斷開局域網，根據先前的配置通過ADSL拔號上網，一切OK，只用了5秒的時間就可以拔通上網了，就在那一剎那我找回了原來的感覺和自信，問題似乎已經就在眼前了。

　　由于公司原來沒有配置DHCP服務，各客戶端的地址都是前網管手動分配的（確實很勤快，可怎么沒留下個IP地址對照表呢），應該不會存在IP地址沖突，那難道是其它方面有沖突……看來我只有手動自己查看一下局域網IP地址對照表了，我用了一個小軟件netsuper搜索了一下，結果整個局域網用戶的IP、MAC、USER等信息一覽無遺了，這不看不知道，一看還真嚇一跳呀，原來我發現某個局域網用戶的IP地址竟為本地網關地址，老天啦，問題應該就出在這里了，當時真是氣不打一處來，真想跑過去K她一頓，再封了她的ID……后來她還是坦白從寬了，原來還是個計算機專業畢業的，出于好奇，系統又沒有限制,就私自修改了本機的IP,偏偏改成了網關的地址……

　　原來如此，先前一直ping通的并非路由器的IP網關地址,而只是那臺主機。是它一直搶占了網關地址呀！當本地主機IP被非法改為網關IP地址，網內機器通訊時就會優先選擇本網段內路由信息，將所有數據流請求紛紛發到此臺“非法網關主機”，而忽略路由器上的真實網關地址，但此主機又并非真正網關，無法對外轉發數據和路由信息，所以自然也就無法對外訪問網絡了。馬上斷網將此主機IP改回來，并重啟路由器,一切恢復如初了。問題是解決了，可得到的卻是許多教訓，一個低級錯誤卻導致了整個網絡的癱瘓，真是疏忽大意呀，對于網關的治理確實需要重視，同時從另一個角度也反映出網絡治理上存在的漏洞，看來不僅需要對客戶端系統進行限制，還要有嚴格的制度治理，所以后來筆者為此采取了一些措施。

　　1.給每個客戶端建一個USER權限的賬戶，這樣用戶對一些IP屬性或賬戶等敏感信息就沒有修改權限了，再建個本地治理員賬戶定時對系統進行維護和治理，關于補丁更新和軟件安裝問題，則通過SUS分發或組策略來實現，這樣權限分明了，杜絕了客戶端可能帶來的隱患。

　　2.對上網的用戶進行控制，對于沒有網絡方面要求的用戶則關閉其外網。對接入端口進行限制，以減少病毒和木馬的感染機率。

　　3.配置DHCP服務，并在服務器端對相關IP地址進行排除、保留和捆綁，有效防止手動分配可能帶來的維護不便和地址沖突。

　　4.通過域進行治理，并制定相應的網絡治理制度。由于先前的是對等網，共享資料零亂，用戶賬號不統一，用戶還可能私自重裝操作系統，給治理帶來極大的不便。為此經老總同意，出臺了正式的網管制度，對用戶賬號的分配和申請需經有關部門的首肯，從而有效的提高了網絡的安全性、可治理性。

　　通過以上幾點措施，確實整個網絡的效率提高了，大的網絡故障或癱瘓現象再沒發生，由于及時將安全補丁分發給客戶端安裝了，因此因為病毒產生的問題也很少，時間也證實了這一點，筆者工作一年來，主要的任務是些正常的維護和備份工作，其它有的也只是些小故障。其實健康、穩定的網絡是每個網管員都向往的，技術和制度上的治理是密不可分的，真正做到這一點并不輕易，希望筆者的教訓是一個前車之鑒！

上一篇：620局域網電纜驗測儀

下一篇：網管經驗談 局域網維護優化技巧