专家心得:网路管理中的三个难题

日期: 2008-07-23 作者:NANCY 来源:TechTarget中国 英文

  难题一:IP地址绑定的问题


  员工的电脑坏了,我决定换掉它。公司电脑IP地址都跟MAC地址绑定,于是我先利用命令ARP把IP地址跟MAC地址松绑,再给新电脑配上原 IP地址。我在路由器上根据IP地址进行相关的权限设置,因此这台新换上的电脑必须使用原先的IP地址。但为这台电脑配置IP地址时,本已取消的IP地址还是无法在除原来机器外的其他主机上使用。


  问题分析


  在企业网络中,真正辨别主机身份的不是我们熟知的IP地址,而是MAC地址。由于MAC地址比较难记,也比较难管理,所以,我们采用IP地址来代替MAC地址。在网络中主机之间进行通信,不是依靠IP地址或者主机名字,而是依靠MAC地址来维持彼此之间的联系。


  如电脑A的IP地址为192.168.0.2,其对应的MAC地址假设为A1;另外有一台电脑B,IP地址为192.168.0.3,其对应的 MAC地址假设为B1。当主机A跟主机B进行通信后,主机A的系统中,有一张ARP Cache表格,记录着B主机的IP与MAC地址。下次通信时,主机A会先查询自己的表格,看看是否有192.168.0.3 这个IP地址对应的MAC地址。若有,主机A就直接利用这个MAC地址进行通信,不会再网络上发生ARP广播查询这个IP地址对应的MAC地址。


  再者,我们利用ARP–S命令把IP地址跟MAC地址绑定时,要注意这个-S的参数问题。这个参数数据静态把IP地址跟MAC地址进行绑定,不会在ARP Cache中超时。只有重新启动TCP/IP协议后,这个映射才会被删除。所以,我们即使取消了绑定,但是在短时间内,其他计算机仍认为这个IP跟MAC 地址是绑定的,其他电脑无法使用,除非更换Mac地址。


  同时,在公司的交换机中,也有一张MAC地址表,其IP与MAC地址一一对应的。交换机在通信时,也不会每时每刻去查询网络中IP所对应的 MAC地址。交换机每转发一条信息,就会把IP地址与MAC地址的对应信息存在自己的表中。若在交换机这张表没有更新之前,我们为新的电脑设置了原IP的话,由于新电脑跟老电脑的MAC地址不匹配,而IP地址是同一个,所以,在短时间内交换机转发数据包就会发生错误。


  解决措施


  笔者花了一番周折,终于找到了问题的所在。最后,我把公司内部的交换机重新启动一下,问题也就解决了。


  得到了这个教训之后,以后我不在用户的终端上手工的绑定IP地址,而是在交换机上进行IP与MAC地址的绑定。如此,就不会再出现类似因IP与MAC地址绑定而产生的网络故障。


  难题二:一台电脑中毒导致企业网络速度极度下降


  用户反映,公司的网络速度变得极慢,我无意中看了一下交换机,发现交换机的LINK灯在不停地闪,频率大大超出平时情况。由于那时企业资金有限,没有配备昂贵的网络检测设备,所以只要利用土办法。


  解决方法


  我把LINK等闪得厉害的几根网线拔掉了,然后进行测试,发现网络速度又恢复正常了。当把这些网线再插上去的时候,网络又接近瘫痪的地步。后来我索性重新启动了交换机。所以在刚刚重新启动后的十分钟左右,网络速度是正常的。但是,十分钟过后,又恢复了老样子。


  这时,笔者知道,只有把那几台作怪的电脑找出来,才能还给企业网络一个清静。我经过排查,终于找到了始作俑者的两台电脑。断掉它们的网络,然后利用杀毒软件最新版本,在安全模式下进行病毒查杀。不出我所料,让我查出了一大堆病毒。病毒杀掉之后,恢复网络,就没有出现这种问题了。


  其实,有时会在没有工具的时候,我们可以查看一些设备的指示灯来判断网络的故障。如当交换机或者路由器的LINK等不停的闪,而且闪动频率异常高的时候,需要认识到,可能是病毒作怪。有些病毒,如ARP攻击等等,会在企业的局域网内大量的发送广播包,导致广播风暴,造成企业网络的局部瘫痪。


  一般遇到这些问题的话,只要把那些LINK等闪得厉害的端口的网线拔掉,如果此时网络恢复正常,就说明是病毒在作怪了;相反,如果网络还是老样子的话,可能是交换机本身的故障,而不是病毒的原因。此时,我们就需要换一个交换机进行测试了。


  所以,我们在没有工具的情况下,要学会利用设备本身的工作指示灯,来判断设备的运行故障及可能的原因。


  难题三:用户擅自修改主机名


  笔者所在的公司,为了管理上的方便,对于主机的命名都有同一的规则,一般是按部门的编号来进行命名。如此的话,一看主机的名字,就知道是哪个部门在使用。如此的好处就是在网络监测中,发现通信故障的时候,如上面某台电脑中病毒导致网络广播风暴的时候,一看网络监测数据,就可以找到到底是哪个部门的哪台电脑在作怪了。


  在实际工作中,由于各种原因,员工把电脑的名字改为自己的名字或者自己喜欢的名称等等。但是,修改电脑的名字,对于我们网络管理员来说,是一件头疼的事情。从我们网络管理员角度讲,我们喜欢公司电脑的命名有同一的规则,方便我们进行管理。


  解决方式


  其实,有很多方法都可以限制用户擅自修改自己电脑的名字。笔者这里列举里几种常见的方法,供大家参考。


  1、 不要赋予员工管理员身份的权限


  默认情况下,微软操作系统只有管理员组的角色的成员才能修改电脑的主机名字。所以,我们在为员工创建帐号的时候,一般情况下,没有必要给他们管理员组的角色。用户的权限越大,对于操作系统及网络的破坏性也就越大。所以,我们再给企业用户进行权限涉及时,给与其最小的权限即可,即不影响企业员工正常工作的最小权限。从微软的操作系统来说,其自身提供了几个默认权限设置。最常见的如管理组角色、超级用户角色、普通用户角色及来宾角色。根据笔者的经验,一般情况下,普通用户的角色已经足够。在这个用户角色下,企业员工已经可以创建、修改、删除文件,访问网络,只是不能进行跟操作系统本身相关的一些配置动作。当然,若只采用来宾用户的话,权限不够,会影响用户的正常工作。


  所以,我们给普通员工赋予普通用户的默认权限,则其无法对计算机的用户名进行个性化修改。


  2、 利用注册表进行限制


  我们可以在注册表中,修改某个字段的值,来限制用户对于主机名字的更改。


  具体方法如下:


  (1) 打开注册表。在命令行中输入注册表的命令,就可以打开注册表管理器。


  (2) 依次打开HKEY_CURRENT_USERSoftwatemicrosoftWindowsCurrentVersionpoliciesExplorer。


  (3) 找到“NoPropertiesMyComputer”这一项目,然后把其中的值改为1。


  (4) 在有些系统中,可能没有这一项。此时,我们就要新建这一项目,然后把值设置为一。这里要注意一个问题,就是这个项目的名字要跟这个名称一模一样。否则的话,就不会成功。


  笔者在实际工作中,喜欢把这个写成批处理命令,如此的话,不用每次需要设置的时候,都进行这些繁琐的命令。直接利用批处理命令,进行设置即可;即快,又不会发生错误。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

NANCY
NANCY

相关推荐

  • 安全宝:网速“越提越慢”如何保证网站访问体验

    网络速度是多方因素综合影响的结果,客观的带宽标准虽然不断提升,但用户主观的网络体验却没得到相应的改善。

  • 如何全面清除计算机病毒?

    怎么才能知道电脑中病毒了呢?机器运行十分缓慢、上不了网、杀毒软件不能升级、word文档打不开,电脑不能正常启动、硬盘分区找不到、数据丢失等等,这些就是中毒的征兆。

  • 如何降低服务器被溢出的可能性

    溢出是程序设计者设计时的不足所带来的错误,溢出也是是操作系统、应用软件永远的痛。在骇客频频攻击、系统漏洞层出不穷,操作系统系统、应用程序频繁溢出,如何改善呢?

  • 电脑中毒后的六大紧急措施

    现在虽然有众多的杀毒软件和防火墙供大家作为电脑的保护,但新病毒和木马,加上黑客人工的入侵方式,电脑中毒的情况还是很普遍。那么万一中毒了,该如何处理呢?