治理一个局域网,需要了解整个网络的结构和分布,除了把握核心设备的安全配置外,还需对客户端进行限制、对用户有一个治理的制度,双管齐下才可以有效的治理网络,杜绝一些低级错误的发生。
笔者就曾经碰到过一次网络故障,记得那时笔者才刚刚接手现在公司的局域网,虽然对接入端比较了解,可对客户端的具体情况还不是很熟悉。某日一部门打电话来说外部邮件无法收取,当时以为是一般的小故障,所以也没太在意,过去一查看,发现机器的配置没有问题,ping网关也正常,ping外部邮件服务器却不通,对外的网络似乎全部不通了,后来其它部门反映无法上网,才开始意识到问题的严重性了。于是冷静下来,开始检查路由器和线路,发现路由器一切正常,系统日志记录的参数也并无异常,没有丢包现象,交换机各端口和指示灯显示没有问题,检查各台服务器也没有发现什么可疑进程,均能正常运行,表面上整个局域网一切正常,没有病毒,内部邮件收发正常,就是对外的所有进程被切断了,无法和外网通讯!
感觉有些希奇,既然网关可以ping通,路由器又没DOWN掉,又没有病毒,客户端IP也是手动指定的(因为单位机器不到百台),没有冲突,DNS配置正确(填为当地电信DNS地址),为什么会无法访问外网?似乎找不到有效的办法了,真是一筹莫展呀!通过咨询电信局,那边也说电信局端没有问题。还是平静下来,仔细地想一想,由于整个局域网是通过路由器进入一台二层交换机,再分到各部门接入客户端,只有一个网段,现在内网一切通讯正常,那说明交换机故障应该可以排除了,因为所有用户都是通过此交换机相互连接交换数据的。因此我的焦点很快转到路由器上,于是我尝试将一台正常的主机单独接入路由器而断开局域网,根据先前的配置通过ADSL拔号上网,一切OK,只用了5秒的时间就可以拔通上网了,就在那一刹那我找回了原来的感觉和自信,问题似乎已经就在眼前了。
由于公司原来没有配置DHCP服务,各客户端的地址都是前网管手动分配的(确实很勤快,可怎么没留下个IP地址对照表呢),应该不会存在IP地址冲突,那难道是其它方面有冲突……看来我只有手动自己查看一下局域网IP地址对照表了,我用了一个小软件netsuper搜索了一下,结果整个局域网用户的IP、MAC、USER等信息一览无遗了,这不看不知道,一看还真吓一跳呀,原来我发现某个局域网用户的IP地址竟为本地网关地址,老天啦,问题应该就出在这里了,当时真是气不打一处来,真想跑过去K她一顿,再封了她的ID……后来她还是坦白从宽了,原来还是个计算机专业毕业的,出于好奇,系统又没有限制,就私自修改了本机的IP,偏偏改成了网关的地址……
原来如此,先前一直ping通的并非路由器的IP网关地址,而只是那台主机。是它一直抢占了网关地址呀!当本地主机IP被非法改为网关IP地址,网内机器通讯时就会优先选择本网段内路由信息,将所有数据流请求纷纷发到此台“非法网关主机”,而忽略路由器上的真实网关地址,但此主机又并非真正网关,无法对外转发数据和路由信息,所以自然也就无法对外访问网络了。马上断网将此主机IP改回来,并重启路由器,一切恢复如初了。问题是解决了,可得到的却是许多教训,一个低级错误却导致了整个网络的瘫痪,真是疏忽大意呀,对于网关的治理确实需要重视,同时从另一个角度也反映出网络治理上存在的漏洞,看来不仅需要对客户端系统进行限制,还要有严格的制度治理,所以后来笔者为此采取了一些措施。
1.给每个客户端建一个USER权限的账户,这样用户对一些IP属性或账户等敏感信息就没有修改权限了,再建个本地治理员账户定时对系统进行维护和治理,关于补丁更新和软件安装问题,则通过SUS分发或组策略来实现,这样权限分明了,杜绝了客户端可能带来的隐患。
2.对上网的用户进行控制,对于没有网络方面要求的用户则关闭其外网。对接入端口进行限制,以减少病毒和木马的感染机率。
3.配置DHCP服务,并在服务器端对相关IP地址进行排除、保留和捆绑,有效防止手动分配可能带来的维护不便和地址冲突。
4.通过域进行治理,并制定相应的网络治理制度。由于先前的是对等网,共享资料零乱,用户账号不统一,用户还可能私自重装操作系统,给治理带来极大的不便。为此经老总同意,出台了正式的网管制度,对用户账号的分配和申请需经有关部门的首肯,从而有效的提高了网络的安全性、可治理性。
通过以上几点措施,确实整个网络的效率提高了,大的网络故障或瘫痪现象再没发生,由于及时将安全补丁分发给客户端安装了,因此因为病毒产生的问题也很少,时间也证实了这一点,笔者工作一年来,主要的任务是些正常的维护和备份工作,其它有的也只是些小故障。其实健康、稳定的网络是每个网管员都向往的,技术和制度上的治理是密不可分的,真正做到这一点并不轻易,希望笔者的教训是一个前车之鉴!