网管福利！局域网几大棘手问题及解决方案

作为一个合格的网络管理员，相信各种局域网棘手的问题，大家都遇到过，每个人也都有一套自己的处理方法，欢迎大家一起讨论，那些年你所“霍霍”的青春小插曲。

一、私改IP，造成的IP冲突问题

问题描述：单位一直使用的是静态IP上网，突然有一天领导发飙了，说自己的电脑上不去网了，大发雷霆，身为网管的小李，心有余悸，怎么好好的突然上不去网了，别的电脑也都好好的。心想坏了一定是谁私设IP，导致了冲突。该如何查找解决呢?有什么好的办法?

解决方案：

对于局域网乱改IP的现象，，可以从以下几个方面进行着手

1. 对于简单网络

结构简单只有几十台电脑，未采用网管交换机的。

首先从行政上进行处罚，给员工讲明规则，但对于我们管理员要从技术上进行杜绝

(1) 可以在路由器上进行IP和MAC绑定

首先查看自己电脑的MAC和IP

或者通过路由器学习到的

绑定IP和MAC地址。

(2) 电脑端设置禁止修改LAN属性，运行，输入gpedit.msc进入组策略编辑界面

按图选择：禁止访问LAN连接的属性

开启

(3) 关闭服务，隐藏网络图标

或者使用命令，修改注册表隐藏

取消隐藏

2. 有汇聚交换机，没有三层交换的中小型网络

(1) 划分VLAN，不同部门不同VLAN能有效的隔离IP冲突，减小影响范围，故障定位范围也缩小，有利于排查。

(2) 在二层网管交换机上做IP和MAC绑定，同时绑定端口号。私改IP也上不了网

华为命令

user-bind static ip-address*.*.*.* mac-address********** interface Ethernet0/0/1 

3. 对于大型网络

一般采用上边的方法外，还有更高端的手法

(1) 使用审计行为管理设备，在防火墙里边做策略

(2) 采用软件的方式，部署域服务器，客户端登录域服务器实现访问控制。

二、私接路由器，造成的dhcp冲突

问题描述：小酒店网络单一，某天客人反应网络不通了，上不去网了，去房间看看，有的能上，而有的却不能。费了九牛二虎之力，逐一排查，最后终于找到幕后真凶，竟是一台小路由器。作为网络管理员的我们对私接路由器一事深恶痛绝。那么该如何避免呢?

解决方案：当然首先从行政上进行处罚，给员工讲明规则，但对于那些不懂技术的房客，就要从技术上进行杜绝。

• 简单的网络可以使用静态IP,网络构架要合理。条件具备划分VLAN，部门隔离，缩小影响范围，减小故障排查范围。
• 使用网管交换机的DHCP snooping功能

当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

DHCP Snooping配置步骤，以H3C为例：

[H3C]dhcp-snooping //全局使能dhcp-snooping功能 
 
[H3C] interface Ethernet 1/0/4 //进入端口E1/0/4 
 
[H3C-Ethernet1/0/4]dhcp-snooping trust //将端口E1/0/4配置为trust端口 

三、私插网线，造成的网络回环

问题描述:某小公司，新来了几个员工，要增加几个办公位置，增加网络接口和交换设备。由于没有网管，员工自理，多插了一条跳线。造成网络回环，局域网瘫痪。该如何防范这种情况呢。

解决方案：

常规办法规范施工标准，水晶头严格按照国标施工，线缆做好标记，理清线缆顺序。

增加能检查环路的网管交换机

1. loopback-detection 命令监测

loopback-detection 命令用来端口环回监测。

使能loopback-detection后，端口默认每30s发送侦测数据，当侦测外外部回环时，关闭Access端口。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!