難題一：IP地址綁定的問題

　　員工的電腦壞了，我決定換掉它。公司電腦IP地址都跟MAC地址綁定，于是我先利用命令ARP把IP地址跟MAC地址松綁，再給新電腦配上原IP地址。我在路由器上根據IP地址進行相關的權限設置，因此這臺新換上的電腦必須使用原先的IP地址。但為這臺電腦配置IP地址時，本已取消的IP地址還是無法在除原來機器外的其他主機上使用。

　　問題分析

　　在企業網絡中，真正辨別主機身份的不是我們熟知的IP地址，而是MAC地址。由于MAC地址比較難記，也比較難管理，所以，我們采用IP地址來代替MAC地址。在網絡中主機之間進行通信，不是依靠IP地址或者主機名字，而是依靠MAC地址來維持彼此之間的聯系。

　　如電腦A的IP地址為192.168.0.2，其對應的MAC地址假設為A1;另外有一臺電腦B，IP地址為192.168.0.3，其對應的MAC地址假設為B1。當主機A跟主機B進行通信后，主機A的系統中，有一張ARP Cache表格，記錄著B主機的IP與MAC地址。下次通信時，主機A會先查詢自己的表格，看看是否有192.168.0.3 這個IP地址對應的MAC地址。若有，主機A就直接利用這個MAC地址進行通信，不會再網絡上發生ARP廣播查詢這個IP地址對應的MAC地址。

　　再者，我們利用ARP–S命令把IP地址跟MAC地址綁定時，要注意這個-S的參數問題。這個參數數據靜態把IP地址跟MAC地址進行綁定，不會在ARP Cache中超時。只有重新啟動TCP/IP協議后，這個映射才會被刪除。所以，我們即使取消了綁定，但是在短時間內，其他計算機仍認為這個IP跟MAC地址是綁定的，其他電腦無法使用，除非更換Mac地址。

　　同時，在公司的交換機中，也有一張MAC地址表，其IP與MAC地址一一對應的。交換機在通信時，也不會每時每刻去查詢網絡中IP所對應的MAC地址。交換機每轉發一條信息，就會把IP地址與MAC地址的對應信息存在自己的表中。若在交換機這張表沒有更新之前，我們為新的電腦設置了原IP的話，由于新電腦跟老電腦的MAC地址不匹配，而IP地址是同一個，所以，在短時間內交換機轉發數據包就會發生錯誤。

　　解決措施

　　筆者花了一番周折，終于找到了問題的所在。最后，我把公司內部的交換機重新啟動一下，問題也就解決了。

　　得到了這個教訓之后，以后我不在用戶的終端上手工的綁定IP地址，而是在交換機上進行IP與MAC地址的綁定。如此，就不會再出現類似因IP與MAC地址綁定而產生的網絡故障。

　　難題二：一臺電腦中毒導致企業網絡速度極度下降

　　用戶反映，公司的網絡速度變得極慢，我無意中看了一下交換機，發現交換機的LINK燈在不停地閃，頻率大大超出平時情況。由于那時企業資金有限，沒有配備昂貴的網絡檢測設備，所以只要利用土辦法。

　　解決方法

　　我把LINK等閃得厲害的幾根網線拔掉了，然后進行測試，發現網絡速度又恢復正常了。當把這些網線再插上去的時候，網絡又接近癱瘓的地步。后來我索性重新啟動了交換機。所以在剛剛重新啟動后的十分鐘左右，網絡速度是正常的。但是，十分鐘過后，又恢復了老樣子。

　　這時，筆者知道，只有把那幾臺作怪的電腦找出來，才能還給企業網絡一個清靜。我經過排查，終于找到了始作俑者的兩臺電腦。斷掉它們的網絡，然后利用殺毒軟件最新版本，在安全模式下進行病毒查殺。不出我所料，讓我查出了一大堆病毒。病毒殺掉之后，恢復網絡，就沒有出現這種問題了。

　　其實，有時會在沒有工具的時候，我們可以查看一些設備的指示燈來判斷網絡的故障。如當交換機或者路由器的LINK等不停的閃，而且閃動頻率異常高的時候，需要認識到，可能是病毒作怪。有些病毒，如ARP攻擊等等，會在企業的局域網內大量的發送廣播包，導致廣播風暴，造成企業網絡的局部癱瘓。

　　一般遇到這些問題的話，只要把那些LINK等閃得厲害的端口的網線拔掉，如果此時網絡恢復正常，就說明是病毒在作怪了;相反，如果網絡還是老樣子的話，可能是交換機本身的故障，而不是病毒的原因。此時，我們就需要換一個交換機進行測試了。

　　所以，我們在沒有工具的情況下，要學會利用設備本身的工作指示燈，來判斷設備的運行故障及可能的原因。

　　難題三：用戶擅自修改主機名

　　筆者所在的公司，為了管理上的方便，對于主機的命名都有同一的規則，一般是按部門的編號來進行命名。如此的話，一看主機的名字，就知道是哪個部門在使用。如此的好處就是在網絡監測中，發現通信故障的時候，如上面某臺電腦中病毒導致網絡廣播風暴的時候，一看網絡監測數據，就可以找到到底是哪個部門的哪臺電腦在作怪了。

　　在實際工作中，由于各種原因，員工把電腦的名字改為自己的名字或者自己喜歡的名稱等等。但是，修改電腦的名字，對于我們網絡管理員來說，是一件頭疼的事情。從我們網絡管理員角度講，我們喜歡公司電腦的命名有同一的規則，方便我們進行管理。

　　解決方式

　　其實，有很多方法都可以限制用戶擅自修改自己電腦的名字。筆者這里列舉里幾種常見的方法，供大家參考。

　　1、 不要賦予員工管理員身份的權限

　　默認情況下，微軟操作系統只有管理員組的角色的成員才能修改電腦的主機名字。所以，我們在為員工創建帳號的時候，一般情況下，沒有必要給他們管理員組的角色。用戶的權限越大，對于操作系統及網絡的破壞性也就越大。所以，我們再給企業用戶進行權限涉及時，給與其最小的權限即可，即不影響企業員工正常工作的最小權限。從微軟的操作系統來說，其自身提供了幾個默認權限設置。最常見的如管理組角色、超級用戶角色、普通用戶角色及來賓角色。根據筆者的經驗，一般情況下，普通用戶的角色已經足夠。在這個用戶角色下，企業員工已經可以創建、修改、刪除文件，訪問網絡，只是不能進行跟操作系統本身相關的一些配置動作。當然，若只采用來賓用戶的話，權限不夠，會影響用戶的正常工作。

　　所以，我們給普通員工賦予普通用戶的默認權限，則其無法對計算機的用戶名進行個性化修改。

　　2、 利用注冊表進行限制

　　我們可以在注冊表中，修改某個字段的值，來限制用戶對于主機名字的更改。

　　具體方法如下：

　　(1) 打開注冊表。在命令行中輸入注冊表的命令，就可以打開注冊表管理器。

　　(2) 依次打開HKEY_CURRENT_USERSoftwatemicrosoftWindowsCurrentVersionpoliciesExplorer。

　　(3) 找到“NoPropertiesMyComputer”這一項目，然后把其中的值改為1。

　　(4) 在有些系統中，可能沒有這一項。此時，我們就要新建這一項目，然后把值設置為一。這里要注意一個問題，就是這個項目的名字要跟這個名稱一模一樣。否則的話，就不會成功。

　　筆者在實際工作中，喜歡把這個寫成批處理命令，如此的話，不用每次需要設置的時候，都進行這些繁瑣的命令。直接利用批處理命令，進行設置即可;即快，又不會發生錯誤。