利用客户端限制及制度管理营造稳定网络

　　管理局域网需要了解整个网络的结构和分布，除了要掌握核心设备的安全配置外，还需对客户端进行限制、制订合理的管理制度，双管齐下才能有效地管理网络，从而杜绝一些低级错误的发生。

　　笔者就曾经遇到过类似的情况，那时笔者刚刚接手公司的局域网，虽然对接入端比较了解，可没有制定合理的制度对用户加以限制。某日一部门反映说外部邮件无法收取，经查看，机器的配置没有问题，Ping网关也正常，Ping外部邮件服务器却不通，后来其它部门也反映无法上网，于是开始检查路由器和线路，发现路由器一切正常，系统日志记录的参数也并无异常，没有丢包现象，交换机各端口和指示灯显示没有问题，检查各台服务器也没有发现可疑进程，均能正常运行。看起来整个局域网一切正常，没有病毒，内部邮件收发正常，但对外的所有进程被切断了，无法和外网通讯。

　　感觉有些奇怪，网关可以Ping通，排除了路由器的问题，又没有病毒，客户端IP没有冲突，DNS配置正确，电信局端也没有问题，为什么无法访问外网呢？仔细地考虑一下，由于整个局域网是通过路由器接入一台二层交换机，再分到各部门接入客户端，只有一个网段，现在内网一切通讯正常，那说明交换机故障应该可以排除了，因为所有用户都是通过此交换机相互连接交换数据的。因此问题的焦点很快转到路由器上，于是尝试将一台正常的主机单独接入路由器而断开局域网，根据先前的配置通过ADSL拔号上网，一切正常，只用了5秒的时间就可以拔通上网了。

　　由于公司原来没有配置DHCP服务，各客户端的地址都是手动分配的，应该不会存在IP地址冲突，那难道是其它方面有冲突？借助netsuper软件，查看了整个局域网用户的IP、MAC、USER等信息，发现某个用户的IP地址竟为本地网关地址。原来如此，先前一直Ping通的并非路由器的IP网关地址,而只是那台主机，是它一直抢占着网关地址，当本地主机IP被非法改为网关IP地址时，网内电脑通讯时就会优先选择本网段内路由信息，将所有数据流请求纷纷发到此台“非法网关主机”上，而忽略路由器上的真实网关地址，但此主机又并非真正网关，无法对外转发数据和路由信息，所以自然也就无法对外访问网络了。立刻将此主机IP改回来，并重启路由器，一切恢复如初了。

　　问题解决了，但得到了许多启发，为了避免缺乏有效的网络管理制度导致的网络问题，就要求不仅要对客户端系统进行限制，还要有严格的制度管理。笔者建议应制定一些管理制度：

　　1、给每个客户端建一个USER权限的帐户，这样用户对一些IP属性或帐户等敏感信息就没有修改权限了，也可以建立本地管理员帐户定时对系统进行维护和管理，关于补丁更新和软件安装问题，则通过SUS分发或组策略来实现。

　　2、对上网的用户进行控制，对于没有网络方面要求的用户则关闭其外网。对接入端口进行限制，以减少病毒和木马的感染机率。

　　3、配置DHCP服务，并在服务器端对相关IP地址进行排除、保留和捆绑，有效防止手动分配可能带来的维护不便和地址冲突。

　　4、通过域进行管理，并制定相应的网络管理制度。由于先前的是对等网，共享资料零乱，用户账号不统一，用户还可能私自重装操作系统，给管理带来极大的不便。为此要出台正式的网管制度，对用户账号的分配和申请需经有关部门的批准，从而有效的提高了网络的安全性、可管理性。

　　通过以上几点措施，整个网络的效率提高了，大的网络故障或瘫痪现象没再发生。由于及时将安全补丁分发给客户端安装，杜绝了病毒对网络的影响，营造了一个健康、稳定的网络是环境。