理清頭緒
有許多分支機構反映網絡連接情況時通時斷,網上鄰居有時也不能互訪,由于故障用戶分布在多個節點,故障點又不集中,很難判斷故障的根源?剛開始以為是信息量過大交換機的端口堵塞,把交換機、服務器重啟了N遍,還是不行。然后從服務器上殺毒,然后把各個交換機關掉,對每臺機器殺毒,可是故障仍然存在。在Ping網絡中的部分服務器或計算機時,依舊丟包,網絡時斷時續。造成每一幀都在網絡中重復廣播,引起了廣播風暴。
從上述故障現象上看,不是我們直接能夠看出來的故障根源,而是要通過仔細觀察發現的。首先要詢問當事人當時發生的故障現象,來判斷是網絡故障還是終端故障?快速地定位故障來源。比如,這次故障是一次人為所造成的。如果當事人不能告訴你他所做的操作,你需要很長時間找到問題的根源。我們知道VLAN的確使得將網絡業務進行隔離成為可能,這些業務共享同一交換機甚至共享一組交換機。但是交換機的設計者們在把這種隔離功能加入到產品之中時,優先考慮的并不是安全問題。VLAN的工作原理是限制和過濾廣播業務流量,不幸的是,VLAN是依靠軟件和配置機制而不是通過硬件來完成這一任務的。
網絡行為管理和維護策略
1、合理劃分VLAN:進行了細致的VLAN劃分,防止大規模的病毒爆發和擴散,減少故障影響的范圍。VLAN劃分的基本原則:集中辦公的樓宇建筑,按層次劃分;分散辦公的區域,按整動樓宇和功能區域進行劃分。
2、建立域管理:建立域控制器,并規定所有辦公電腦必須加入域,接受域控制器的管理,同時嚴格控制用戶的權限。員工帳號只有標準user權限。不允許信息系統管理員泄露域管理員密碼和本地管理員密碼。在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網絡環境中,普通員工只具備標準的user權限,實際上是對該員工辦公環境的非常實際有效的保護。辦公PC必須嚴格遵守OU命名規則,同時實現實名負責制。指定員工對該PC負責,這不但是固定資產管理的要求,也是網絡安全管理的要求。對PC實施員工實名負責是至關重要的,一旦發現該員工電腦中毒和在廣播病毒包,信息系統管理員能準確定位,迅速做出反應,避免擴大影響。
3、PC維護包干到戶:信息系統管理員在實際工作中可能存在拿本地管理員權限作為人情,這其實是一種自殺行為。任何一個具備管理管理員權限的員工,即使是信息系統管理員,使用Administrator權限上網,稍有不慎,便掉入網絡陷阱。為避免這種情況,對PC維護人員,采取區域包干到戶的管理,同時區域負責人的域用戶帳號具備該區域內所有辦公電腦本地管理員的權限;如果區域負責人他愿意增加本地電腦管理員權限,增加的風險和工作量將由他自己承擔。另外所有的辦公電腦本地管理員密碼由域控制器負責人掌握、設定或變更。 網管論壇bbs_bitsCN_com
4、接入網絡的計算機必須接受信息中心的管理:通過DHCP服務器的配合,在DHCP服務器上根據辦公電腦網卡的MAC地址固定某些辦公電腦的IP,在防火墻上設置相關的策略,允許經信息中心核準的某些IP組可以在本機上直接訪問Internet,或某些IP組只能連接局域網的應用服務器,對于不遵守OU命名規則的機器IP和沒有經過信息系統管理員授權的機器IP,不允許訪問Internet和Internat,只能單機使用。 網管u家u.bitsCN.com
