日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

行為管理與VLAN能否避免網(wǎng)絡(luò)風(fēng)暴?

云知道

【IT168專稿】前幾天,筆者所在單位網(wǎng)絡(luò)突然出現(xiàn)大面積癱瘓故障,并導(dǎo)致單位業(yè)務(wù)無法正常運(yùn)轉(zhuǎn) 。經(jīng)過一番的努力,查出的原因是一個(gè)工作人員把兩個(gè)不同網(wǎng)絡(luò)同時(shí)接入到一臺普通的交換機(jī)上,導(dǎo)致交換機(jī)內(nèi)引起的網(wǎng)絡(luò)風(fēng)暴 。大多數(shù)人認(rèn)為只要網(wǎng)絡(luò)內(nèi)使用VLAN規(guī)劃,在網(wǎng)絡(luò)內(nèi)就不會(huì)造成網(wǎng)絡(luò)風(fēng)暴 。而其實(shí)并隨人愿,從這次網(wǎng)絡(luò)故障中,有許多東西需要我們認(rèn)真的反思?
理清頭緒
有許多分支機(jī)構(gòu)反映網(wǎng)絡(luò)連接情況時(shí)通時(shí)斷,網(wǎng)上鄰居有時(shí)也不能互訪,由于故障用戶分布在多個(gè)節(jié)點(diǎn),故障點(diǎn)又不集中,很難判斷故障的根源?剛開始以為是信息量過大交換機(jī)的端口堵塞,把交換機(jī)、服務(wù)器重啟了N遍,還是不行 。然后從服務(wù)器上殺毒,然后把各個(gè)交換機(jī)關(guān)掉,對每臺機(jī)器殺毒,可是故障仍然存在 。在Ping網(wǎng)絡(luò)中的部分服務(wù)器或計(jì)算機(jī)時(shí),依舊丟包,網(wǎng)絡(luò)時(shí)斷時(shí)續(xù) 。造成每一幀都在網(wǎng)絡(luò)中重復(fù)廣播,引起了廣播風(fēng)暴 。
從上述故障現(xiàn)象上看,不是我們直接能夠看出來的故障根源,而是要通過仔細(xì)觀察發(fā)現(xiàn)的 。首先要詢問當(dāng)事人當(dāng)時(shí)發(fā)生的故障現(xiàn)象,來判斷是網(wǎng)絡(luò)故障還是終端故障?快速地定位故障來源 。比如,這次故障是一次人為所造成的 。如果當(dāng)事人不能告訴你他所做的操作,你需要很長時(shí)間找到問題的根源 。我們知道VLAN的確使得將網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行隔離成為可能,這些業(yè)務(wù)共享同一交換機(jī)甚至共享一組交換機(jī) 。但是交換機(jī)的設(shè)計(jì)者們在把這種隔離功能加入到產(chǎn)品之中時(shí),優(yōu)先考慮的并不是安全問題 。VLAN的工作原理是限制和過濾廣播業(yè)務(wù)流量,不幸的是,VLAN是依靠軟件和配置機(jī)制而不是通過硬件來完成這一任務(wù)的 。
網(wǎng)絡(luò)行為管理和維護(hù)策略
1、合理劃分VLAN:進(jìn)行了細(xì)致的VLAN劃分,防止大規(guī)模的病毒爆發(fā)和擴(kuò)散,減少故障影響的范圍 。VLAN劃分的基本原則:集中辦公的樓宇建筑,按層次劃分;分散辦公的區(qū)域,按整動(dòng)樓宇和功能區(qū)域進(jìn)行劃分 。
【行為管理與VLAN能否避免網(wǎng)絡(luò)風(fēng)暴?】 2、建立域管理:建立域控制器,并規(guī)定所有辦公電腦必須加入域,接受域控制器的管理,同時(shí)嚴(yán)格控制用戶的權(quán)限 。員工帳號只有標(biāo)準(zhǔn)user權(quán)限 。不允許信息系統(tǒng)管理員泄露域管理員密碼和本地管理員密碼 。在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中,普通員工只具備標(biāo)準(zhǔn)的user權(quán)限,實(shí)際上是對該員工辦公環(huán)境的非常實(shí)際有效的保護(hù) 。辦公PC必須嚴(yán)格遵守OU命名規(guī)則,同時(shí)實(shí)現(xiàn)實(shí)名負(fù)責(zé)制 。指定員工對該P(yáng)C負(fù)責(zé),這不但是固定資產(chǎn)管理的要求,也是網(wǎng)絡(luò)安全管理的要求 。對PC實(shí)施員工實(shí)名負(fù)責(zé)是至關(guān)重要的,一旦發(fā)現(xiàn)該員工電腦中毒和在廣播病毒包,信息系統(tǒng)管理員能準(zhǔn)確定位,迅速做出反應(yīng),避免擴(kuò)大影響 。
3、PC維護(hù)包干到戶:信息系統(tǒng)管理員在實(shí)際工作中可能存在拿本地管理員權(quán)限作為人情,這其實(shí)是一種自殺行為 。任何一個(gè)具備管理管理員權(quán)限的員工,即使是信息系統(tǒng)管理員,使用Administrator權(quán)限上網(wǎng),稍有不慎,便掉入網(wǎng)絡(luò)陷阱 。為避免這種情況,對PC維護(hù)人員,采取區(qū)域包干到戶的管理,同時(shí)區(qū)域負(fù)責(zé)人的域用戶帳號具備該區(qū)域內(nèi)所有辦公電腦本地管理員的權(quán)限;如果區(qū)域負(fù)責(zé)人他愿意增加本地電腦管理員權(quán)限,增加的風(fēng)險(xiǎn)和工作量將由他自己承擔(dān) 。另外所有的辦公電腦本地管理員密碼由域控制器負(fù)責(zé)人掌握、設(shè)定或變更 。
4、接入網(wǎng)絡(luò)的計(jì)算機(jī)必須接受信息中心的管理:通過DHCP服務(wù)器的配合,在DHCP服務(wù)器上根據(jù)辦公電腦網(wǎng)卡的MAC地址固定某些辦公電腦的IP,在防火墻上設(shè)置相關(guān)的策略,允許經(jīng)信息中心核準(zhǔn)的某些IP組可以在本機(jī)上直接訪問Internet,或某些IP組只能連接局域網(wǎng)的應(yīng)用服務(wù)器,對于不遵守OU命名規(guī)則的機(jī)器IP和沒有經(jīng)過信息系統(tǒng)管理員授權(quán)的機(jī)器IP,不允許訪問Internet和Internat,只能單機(jī)使用 。

推薦閱讀