前几天,笔者所在单位网络突然出现大面积瘫痪故障,并导致单位业务无法正常运转。经过一番的努力,查出的原因是一个工作人员把两个不同网络同时接入到一台普通的交换机上,导致交换机内引起的网络风暴。大多数人认为只要网络内使用VLAN规划,在网络内就不会造成网络风暴。而其实并随人愿,从这次网络故障中,有许多东西需要我们认真的反思?
理清头绪
有许多分支机构反映网络连接情况时通时断,网上邻居有时也不能互访,由于故障用户分布在多个节点,故障点又不集中,很难判断故障的根源?刚开始以为是信息量过大交换机的端口堵塞,把交换机、服务器重启了N遍,还是不行。然后从服务器上杀毒,然后把各个交换机关掉,对每台机器杀毒,可是故障仍然存在。在Ping网络中的部分服务器或计算机时,依旧丢包,网络时断时续。造成每一帧都在网络中重复广播,引起了广播风暴。
从上述故障现象上看,不是我们直接能够看出来的故障根源,而是要通过仔细观察发现的。首先要询问当事人当时发生的故障现象,来判断是网络故障还是终端故障?快速地定位故障来源。比如,这次故障是一次人为所造成的。如果当事人不能告诉你他所做的操作,你需要很长时间找到问题的根源。我们知道VLAN的确使得将网络业务进行隔离成为可能,这些业务共享同一交换机甚至共享一组交换机。但是交换机的设计者们在把这种隔离功能加入到产品之中时,优先考虑的并不是安全问题。VLAN的工作原理是限制和过滤广播业务流量,不幸的是,VLAN是依靠软件和配置机制而不是通过硬件来完成这一任务的。
网络行为管理和维护策略
1、合理划分VLAN:进行了细致的VLAN划分,防止大规模的病毒爆发和扩散,减少故障影响的范围。VLAN划分的基本原则:集中办公的楼宇建筑,按层次划分;分散办公的区域,按整动楼宇和功能区域进行划分。
2、建立域管理:建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限。员工帐号只有标准user权限。不允许信息系统管理员泄露域管理员密码和本地管理员密码。在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中,普通员工只具备标准的user权限,实际上是对该员工办公环境的非常实际有效的保护。办公PC必须严格遵守OU命名规则,同时实现实名负责制。指定员工对该PC负责,这不但是固定资产管理的要求,也是网络安全管理的要求。对PC实施员工实名负责是至关重要的,一旦发现该员工电脑中毒和在广播病毒包,信息系统管理员能准确定位,迅速做出反应,避免扩大影响。
3、PC维护包干到户:信息系统管理员在实际工作中可能存在拿本地管理员权限作为人情,这其实是一种自杀行为。任何一个具备管理管理员权限的员工,即使是信息系统管理员,使用Administrator权限上网,稍有不慎,便掉入网络陷阱。为避免这种情况,对PC维护人员,采取区域包干到户的管理,同时区域负责人的域用户帐号具备该区域内所有办公电脑本地管理员的权限;如果区域负责人他愿意增加本地电脑管理员权限,增加的风险和工作量将由他自己承担。另外所有的办公电脑本地管理员密码由域控制器负责人掌握、设定或变更。
4、接入网络的计算机必须接受信息中心的管理:通过DHCP服务器的配合,在DHCP服务器上根据办公电脑网卡的MAC地址固定某些办公电脑的IP,在防火墙上设置相关的策略,允许经信息中心核准的某些IP组可以在本机上直接访问Internet,或某些IP组只能连接局域网的应用服务器,对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP,不允许访问Internet和Internat,只能单机使用。
行为管理和合理使用VLAN两者结合,才能有效地预防网络风暴,网络质量才能进一步提高,为我们的工作提高效率。
