科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道专家心得:网路管理中的三个难题

专家心得:网路管理中的三个难题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

员工的电脑坏了,我决定换掉它。公司电脑IP地址都跟MAC地址绑定,于是我先利用命令ARP把IP地址跟MAC地址松绑,再给新电脑配上原IP地址。

作者:zdnet安全频道 来源:论坛整理 2008年11月3日

关键字: 网络管理

  • 评论
  • 分享微博
  • 分享邮件
   难题一:IP地址绑定的问题

  员工的电脑坏了,我决定换掉它。公司电脑IP地址都跟MAC地址绑定,于是我先利用命令ARP把IP地址跟MAC地址松绑,再给新电脑配上原IP地址。我在路由器上根据IP地址进行相关的权限设置,因此这台新换上的电脑必须使用原先的IP地址。但为这台电脑配置IP地址时,本已取消的IP地址还是无法在除原来机器外的其他主机上使用。

  问题分析

  在企业网络中,真正辨别主机身份的不是我们熟知的IP地址,而是MAC地址。由于MAC地址比较难记,也比较难管理,所以,我们采用IP地址来代替MAC地址。在网络中主机之间进行通信,不是依靠IP地址或者主机名字,而是依靠MAC地址来维持彼此之间的联系。

  如电脑A的IP地址为192.168.0.2,其对应的MAC地址假设为A1;另外有一台电脑B,IP地址为192.168.0.3,其对应的MAC地址假设为B1。当主机A跟主机B进行通信后,主机A的系统中,有一张ARP Cache表格,记录着B主机的IP与MAC地址。下次通信时,主机A会先查询自己的表格,看看是否有192.168.0.3 这个IP地址对应的MAC地址。若有,主机A就直接利用这个MAC地址进行通信,不会再网络上发生ARP广播查询这个IP地址对应的MAC地址。

  再者,我们利用ARP–S命令把IP地址跟MAC地址绑定时,要注意这个-S的参数问题。这个参数数据静态把IP地址跟MAC地址进行绑定,不会在ARP Cache中超时。只有重新启动TCP/IP协议后,这个映射才会被删除。所以,我们即使取消了绑定,但是在短时间内,其他计算机仍认为这个IP跟MAC地址是绑定的,其他电脑无法使用,除非更换Mac地址。

  同时,在公司的交换机中,也有一张MAC地址表,其IP与MAC地址一一对应的。交换机在通信时,也不会每时每刻去查询网络中IP所对应的MAC地址。交换机每转发一条信息,就会把IP地址与MAC地址的对应信息存在自己的表中。若在交换机这张表没有更新之前,我们为新的电脑设置了原IP的话,由于新电脑跟老电脑的MAC地址不匹配,而IP地址是同一个,所以,在短时间内交换机转发数据包就会发生错误。

  解决措施

  笔者花了一番周折,终于找到了问题的所在。最后,我把公司内部的交换机重新启动一下,问题也就解决了。

  得到了这个教训之后,以后我不在用户的终端上手工的绑定IP地址,而是在交换机上进行IP与MAC地址的绑定。如此,就不会再出现类似因IP与MAC地址绑定而产生的网络故障。

  难题二:一台电脑中毒导致企业网络速度极度下降

  用户反映,公司的网络速度变得极慢,我无意中看了一下交换机,发现交换机的LINK灯在不停地闪,频率大大超出平时情况。由于那时企业资金有限,没有配备昂贵的网络检测设备,所以只要利用土办法。

  解决方法

  我把LINK等闪得厉害的几根网线拔掉了,然后进行测试,发现网络速度又恢复正常了。当把这些网线再插上去的时候,网络又接近瘫痪的地步。后来我索性重新启动了交换机。所以在刚刚重新启动后的十分钟左右,网络速度是正常的。但是,十分钟过后,又恢复了老样子。

  这时,笔者知道,只有把那几台作怪的电脑找出来,才能还给企业网络一个清静。我经过排查,终于找到了始作俑者的两台电脑。断掉它们的网络,然后利用杀毒软件最新版本,在安全模式下进行病毒查杀。不出我所料,让我查出了一大堆病毒。病毒杀掉之后,恢复网络,就没有出现这种问题了。

  其实,有时会在没有工具的时候,我们可以查看一些设备的指示灯来判断网络的故障。如当交换机或者路由器的LINK等不停的闪,而且闪动频率异常高的时候,需要认识到,可能是病毒作怪。有些病毒,如ARP攻击等等,会在企业的局域网内大量的发送广播包,导致广播风暴,造成企业网络的局部瘫痪。

  一般遇到这些问题的话,只要把那些LINK等闪得厉害的端口的网线拔掉,如果此时网络恢复正常,就说明是病毒在作怪了;相反,如果网络还是老样子的话,可能是交换机本身的故障,而不是病毒的原因。此时,我们就需要换一个交换机进行测试了。

  所以,我们在没有工具的情况下,要学会利用设备本身的工作指示灯,来判断设备的运行故障及可能的原因。

  难题三:用户擅自修改主机名

  笔者所在的公司,为了管理上的方便,对于主机的命名都有同一的规则,一般是按部门的编号来进行命名。如此的话,一看主机的名字,就知道是哪个部门在使用。如此的好处就是在网络监测中,发现通信故障的时候,如上面某台电脑中病毒导致网络广播风暴的时候,一看网络监测数据,就可以找到到底是哪个部门的哪台电脑在作怪了。

  在实际工作中,由于各种原因,员工把电脑的名字改为自己的名字或者自己喜欢的名称等等。但是,修改电脑的名字,对于我们网络管理员来说,是一件头疼的事情。从我们网络管理员角度讲,我们喜欢公司电脑的命名有同一的规则,方便我们进行管理。

  解决方式

  其实,有很多方法都可以限制用户擅自修改自己电脑的名字。笔者这里列举里几种常见的方法,供大家参考。

  1、 不要赋予员工管理员身份的权限

  默认情况下,微软操作系统只有管理员组的角色的成员才能修改电脑的主机名字。所以,我们在为员工创建帐号的时候,一般情况下,没有必要给他们管理员组的角色。用户的权限越大,对于操作系统及网络的破坏性也就越大。所以,我们再给企业用户进行权限涉及时,给与其最小的权限即可,即不影响企业员工正常工作的最小权限。从微软的操作系统来说,其自身提供了几个默认权限设置。最常见的如管理组角色、超级用户角色、普通用户角色及来宾角色。根据笔者的经验,一般情况下,普通用户的角色已经足够。在这个用户角色下,企业员工已经可以创建、修改、删除文件,访问网络,只是不能进行跟操作系统本身相关的一些配置动作。当然,若只采用来宾用户的话,权限不够,会影响用户的正常工作。

  所以,我们给普通员工赋予普通用户的默认权限,则其无法对计算机的用户名进行个性化修改。

  2、 利用注册表进行限制

  我们可以在注册表中,修改某个字段的值,来限制用户对于主机名字的更改。

  具体方法如下:

  (1) 打开注册表。在命令行中输入注册表的命令,就可以打开注册表管理器。

  (2) 依次打开HKEY_CURRENT_USER\Softwate\microsoft\Windows\CurrentVersion\policies\Explorer。

  (3) 找到“NoPropertiesMyComputer”这一项目,然后把其中的值改为1。

  (4) 在有些系统中,可能没有这一项。此时,我们就要新建这一项目,然后把值设置为一。这里要注意一个问题,就是这个项目的名字要跟这个名称一模一样。否则的话,就不会成功。

  笔者在实际工作中,喜欢把这个写成批处理命令,如此的话,不用每次需要设置的时候,都进行这些繁琐的命令。直接利用批处理命令,进行设置即可;即快,又不会发生错误。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章