如今,人們的生活處處離不開網絡。企業辦公信息化對網絡的依賴則更大。為了提升安全管理和信息化水平,很多企業不僅建設了完善的辦公信息系統,還部署了視頻監控。但由于缺乏整體規劃,或選擇網絡產品時考慮欠周,導致網絡建設沒有達到預期效果,后續出現很多應用問題。
下面幾個網絡應用中的常見問題,各位弱電工程師或網管人員是否深有體會?
一、網絡克隆速度太慢
“網克(網絡克隆)”就是局域網內使用一臺服務器通過組播或廣播方式向多個客戶端同時傳送數據,相當于批量操作,達到客戶端系統自動安裝、更新或還原的目的。
有時候,網吧或校園網里安裝的無盤系統或系統還原卡在交換機上使用“網克”功能時,可能會出現速度很慢的現象。通過修改交換機的風暴控制、流量控制等功能,比如所有端口關閉流控,就能使“網克”工作正常起來。
但一般情況下,修改交換機配置,需要在管理界面進行參數設置,需要編寫代碼,設置過程比較復雜。由于每一種交換機的設置程序有所不同,對網管人員來說,無疑增加了工作量和難度。
二、交換機環路導致網絡癱瘓
在學校、小區居民樓、中小企業以及酒店等網絡環境中,隨著網絡規模的擴大,需要引入大量的交換設備。搭建網絡時若對網絡結構不熟悉,則很容易在網絡中引入環路。比如說,環路的出現極易引發一個廣播包在網絡中不斷循環轉發,由此產生的廣播風暴將極大地消耗網絡資源,導致正常數據包無法轉發,網絡質量嚴重下降甚至癱瘓。
網絡環路的原因:對網絡沒有合理規劃,使多個端口接多臺設備成環,某個端口下面線路打環。環路最容易出現的就是新加入設備,或網絡擴充。(比如你公司新增加了一個部門組建網絡時)。
網絡環路的表現:交換機就會受到大量的數據信息沖擊,造成網絡傳輸通道嚴重堵塞,數據信息無法及時傳遞,最直接的征兆就是影響同一個VLAN的用戶上網,網絡出現時通時斷的現象;
網絡中由于錯誤布線容易導致出現環路,UTP3-GSW16/24無需任何配置即可及時有效地檢測網絡中是否存在環路,自動阻塞端口,提高網絡可靠性。
三、局域網小路由導致ip地址沖突
很多企業用戶經常會遇到這樣的情況,網絡明明好好的,突然就上不去或者網絡變得緩慢。通過檢查網絡配置,發現交換機產品的性能、端口都沒問題,而在輸入路由器管理的IP地址后,卻發現管理界面中顯示的不是之前的路由器,而是其他部門或其他人員私接了路由器,導致IP地址沖突。
這種情況在部門眾多的企業、人員密集的宿舍或者酒店等環境中常有發生。以酒店為例,經常會有客戶將自己攜帶的無線路由器LAN口接到酒店網絡,導致IP地址沖突,網絡崩潰。
前天我們已經給出了ip地址沖突的解決辦法,那么有沒有更簡單的解決方式呢?
答案是:肯定有的,為了避免這種情況發生,需要給交換機配置DHCP snooping功能,并進行端口隔離設置,但系統設置同樣需要專業網絡知識,需要懂代碼,且增加了一定的工作量。
四、局域網遭受ARP病毒攻擊
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫,主要用來實現IP地址和對應設備的物理地址之間的相互轉換,從而達到通過IP地址來訪問網絡設備的目的。
由于ARP協議本身存在一些設計上的缺陷,非法入侵者會通過撰改IP與MAC之間的對應關系,非法獲取并替換他人的MAC,以達到非法監聽和獲取數據信息的目的,這種網絡攻擊方式稱為ARP病毒入侵。
ARP攻擊是很普遍的網絡現象,很多朋友都會用交換機來防止ARP攻擊。
例如,
通過配置端口最大MAC地址個數,限制和綁定MAC地址,防止用戶進行惡意的ARP欺騙,但此設置過程也比較復雜。
五、辦公網被監控數據占用,導致網絡緩慢
隨著視頻監控系統的應用逐漸普及,其在企業信息化建設中被廣泛采用。很多企業在規劃信息系統之初,并沒有將辦公網絡與監控網絡有效隔離,導致視頻監控數據占用較大帶寬,導致企業辦公網速較慢,影響了企業正常業務的開展。
一般,網管人員會通過VLAN進行端口隔離,或采用獨立交換機的方式隔離出辦公網絡和監控網絡。在預算有限的情況下,也有些通過設置不同的網段來達到網絡隔離的目的。
當然,不同用戶在不同的應用場景下,面臨的網絡應用問題遠不止這些。但如果能提前做好網絡規劃,或者做好設備選型與配置,則能大大減少網絡故障。在防范網絡安全,保證網絡應用穩定性方面,交換機的選型和配置相當關鍵。
果網絡用戶不按照規定設置IP地址,IP地址沖突是不可避免的。 這種現象一旦頻繁發生,不僅會影響互聯網用戶的上網效率,而且也不利于局域網網絡的穩定運行。
為了提高局域網運行的穩定性,我們不能等到IP地址沖突故障發生才想辦法處理。 相反,我們應該主動阻止互聯網用戶搶占局域網內的其他IP地址。 為此,本文從實踐角度出發。 ,通過巧妙設置開關來控制反復出現的IP地址沖突故障!
1、組網情況
例如:局域網中有大約150個網絡節點。 這些網絡節點均勻分布在六層樓。 每層網絡節點均經過保護并通過100M雙絞線連接到普通二層交換機,每臺普通二層交換機通過1000M光纜連接到QuidWay S9300系列路由交換機; 為了保證網絡訪問安全,所有網絡節點均通過啟明星辰硬件防火墻與Internet網絡互聯。
目前,單位局域網使用10.168.163.0網段的IP地址。 該網段使用的默認網關地址為10.168.163.1,子網掩碼地址為255.255.255.0; 因為這個網段可以有250多個IP地址,日常工作中實際用到的只有150多個。 顯然,地址空間余量足夠大,可以滿足工作站數量不斷增加的需求。
但由于公司局域網采用靜態地址分配方式,每當工作站系統突然死機或遭遇病毒攻擊而無法正常啟動時,互聯網用戶就會為所欲為,重裝系統、隨意修改互聯網地址。 因此,局域網中經常出現IP地址沖突的情況。 ,不僅嚴重影響其他人正常上網,而且增加了網絡管理員的維護工作量。
為了有效防止互聯網用戶隨意更改IP地址,筆者計劃采用地址綁定的方式,將工作站的IP地址與對應網卡設備的物理地址進行綁定; 但該方法尚未正式實施,并受到同一作者的批評。 一位網絡管理員同事表示反對。 他認為這種方法只是治標不治本,因為互聯網用戶仍然可以通過修改網卡的物理地址來盜取別人的IP地址。 顯然,這不是最有效的解決方案。
2. 對策
筆者和另一位網絡管理員在網上查閱相關資料并進行深入分析后,決定將普通工作站的IP地址與核心交換機上網卡的物理地址進行綁定。 但單純進行綁定操作并不能解決上網問題。 用戶隨意設置IP地址的現象是因為一旦設置并綁定了一個IP地址,雖然互聯網用戶無法繼續搶占這個IP地址,但仍然可以搶占局域網中閑置的IP地址。 這樣,仍然可能會出現IP地址沖突的情況。 這也是很多網絡管理員困惑的問題:將所有工作站使用的IP地址綁定到核心交換機中對應的網卡設備后,仍然無法有效避免地址沖突故障。
為了徹底解決IP地址沖突問題,我們不僅需要將局域網中分配的IP地址綁定到對應的網卡設備上,還需要綁定那些閑置的IP地址,這樣上網的用戶就無法請使用已連接到網絡的工作站的 IP 地址,也不能使用 LAN 中空閑的 IP 地址。 因此,局域網內的互聯網用戶只要隨意更改IP地址,就無法正常訪問局域網網絡。
但這種配置也帶來了另一個麻煩,那就是如果局域網中有新用戶需要上網,他們無法自己選擇IP地址,而必須提前向網絡管理員單獨申請上網。 管理員接受申請后,需要登錄交換機后臺管理系統,為空閑地址分配號碼,以便互聯網用戶能夠正常連接局域網。
實踐證明,該方法不僅能有效避免IP地址沖突故障,還能有效防止網絡病毒通過局域網非法傳播,從而有效保證局域網的穩定運行!
三、實施過程
根據以上理論分析,筆者計劃首先將局域網中的默認網關地址10.168.163.1綁定到對應的物理地址上,這樣可以有效控制局域網中ARP病毒的爆發; 然后想辦法綁定已經在線的工作站的IP地址。 進行一定的操作,最終將空閑的IP地址集中綁定到地址上。 這樣就可以達到一石二鳥的效果了。
在綁定網關地址時,筆者首先以系統管理員身份登錄QuidWay S9300系列路由交換機后端管理系統,在系統命令行狀態下執行字符串命令“system”,將系統切換到全局交換配置狀態;
接下來,在全局配置狀態下,輸入字符串命令“arp 10.168.163.1 0215.9cae.1156 arpa”。 點擊回車鍵后,默認網關地址10.168.163.1與0215.9cae.1156 MAC地址成功綁定。 ,如果以后其他工作站上網時搶到了10.168.163.1地址,將無法上網。 這樣就可以保證整個局域網的運行穩定性。
為了防止用戶搶占其他IP地址,我們需要綁定已經在線的約150個網絡節點的地址。 由于需要綁定的地址數量較多,我們簡單的依靠手動的方式來獲取各個工作站網卡的物理地址和IP地址。 ,工作量會非常巨大。 為此,筆者在交換機后臺系統的全局配置狀態下執行“display arp”字符串命令,然后將交換機ARP表的顯示內容復制到本地筆記本編輯窗口中。 ,經過簡單的編輯和修改后,然后將修改后的ARP表內容復制粘貼到交換機ARP表中,這樣就可以快速完成所連接工作站的地址的綁定任務。
對于剩下的100個左右的空閑IP地址,我們可以通過手動的方式將每個空閑IP地址依次綁定一個虛擬MAC地址,例如將10.168.163.156地址綁定到071e.33ea.8975時,我們可以執行在交換機后臺系統全局配置狀態下輸入string命令“arp 10.168.163.156 071e.33ea.8975 arpa”,然后用同樣的方法將其他空閑IP地址綁定到虛擬MAC地址071e上。 33ea.8975 上。
完成上述地址綁定任務后,任何用戶都不能隨意更改IP地址; 如果此時有新用戶需要使用免費的10.168.163.156地址上網,網絡管理員可以按照以下步驟更改10.168。 將163.156地址從綁定地址列表中釋放:
首先,在QuidWay S8500系列路由交換機后臺管理系統中執行“system”命令,將系統狀態切換到全局配置狀態。 在此狀態下輸入字符串命令“display arp”并按回車鍵。 檢查ARP列表中10.168.163.156地址是否空閑。 如果目標IP地址空閑,我們可以繼續執行以下釋放步驟:
其次,輸入字符串命令“no arp 10.168.163.156 071e.33ea.8975 arpa”,然后按回車鍵。 目標IP地址10.168.163.156將從地址綁定列表中釋放;
接下來,將10.168.163.156地址告訴需要上網的用戶,讓他將IP地址設置到對應的工作站系統上,這樣新用戶就可以成功訪問單位局域網網絡;
之后,在核心交換機后臺管理系統中,繼續執行字符串命令“display arp in 10.168.163.156”。 從返回的結果接口可以看到10.168.163.156地址對應的網卡物理地址為 00bb.ebc3.c6d0 ;
得到MAC地址后,我們可以繼續執行字符串命令“arp 10.168.163.156 00bb.ebc3.c6d0 arpa”,這樣新上網用戶的IP地址和網卡物理地址就成功綁定在一起了; 最后,按照步驟執行字符串命令“quit”和“save”,將上述配置操作保存到交換機系統中,結束交換機配置任務。
4。結論
通過以上配置,成功控制局域網內所有IP地址。 任何私下更改IP地址的用戶將無法訪問網絡。 雖然整個控制過程有點復雜,但是可以很好的控制網絡訪問安全。 避免不明工作站將網絡病毒或木馬程序帶入局域網工作環境。
當然,上述控制方案并不能保證萬無一失。 還有一種情況會造成地址沖突,即非法用戶竊取了交換機的ARP列表內容。 他只需要同時修改自己工作站網卡的物理地址和IP地址,并且在被盜用戶不在線的情況下,就可以成功地使用別人的地址上網。 然而,除非網絡管理員故意這樣做,否則發生這種情況的可能性非常低。
▼▼▼
P地址沖突一般是由于手動設置IP的原因,綜合來說有如下兩種可能性:
出現IP地址沖突時,通過arp -a命令,可以看到沖突對方的MAC地址。如下圖:
你就可以根據這個MAC地址去找到這臺沖突的電腦,再進行后續的處理啦。小伙伴們要說,每次都這么找太麻煩啦。那么局域網發現IP地址沖突應該怎么才能杜絕呢?
首先,要采用自動獲取IP的方式。
自動獲取IP時,所有的IP地址由DHCP服務統一分配,這樣就不會出現IP地址沖突的情況。
其次,為了便于管理,可以配置DHCP服務器分配固定IP。
DHCP服務器可以基于MAC地址分配固定IP,這樣客戶機每次獲取到的都是同樣的IP地址,和指定IP的效果是一樣的。
另外,還需要防止私自修改IP。
內網有限速或者行為管理時,總會有些不安分的員工就會嘗試去修改IP地址來繞開管控。這樣也會導致IP地址沖突。這種情況下一般推薦開啟IP-mac綁定,一旦不符合IP-MAC綁定關系,就直接斷網。從而杜絕私自修改IP的行為。
開啟ip-mac綁定時,未經許可的客戶機設備獲取不到IP地址,這樣可以防止未經授權的終端接入到局域網內,也是對局域網信息安全的一個重要保護措施。