网管都遇到过！局域网几大棘手问题及解决方案.doc

网管都遇到过！局域网几大棘手问题及解决方案 作为一个合格的网络管理员，相信各种局域网棘手的问题，大家都遇到过，每个人也都有一套自己的处理方法，欢迎大家一起讨论，那些年你所“霍霍”的青春小插曲。 一，私改IP，造成的IP冲突问题 问题描述：单位一直使用的是静态IP上网，突然有一天领导发飙了，说自己的电脑上不去网了，大发雷霆，身为网管的小李，心有余悸，怎么好好的突然上不去网了，别的电脑也都好好的。心想坏了一定是谁私设IP，导致了冲突。该如何查找解决呢？有什么好的办法？ 解决方案： 对于局域网乱改IP的现象，可以从以下几个方面进行着手 1对于简单网络 结构简单只有几十台电脑，未采用网管交换机的。 首先从行政上进行处罚，给员工讲明规则，但对于我们管理员要从技术上进行杜绝 A可以在路由器上进行IP和MAC绑定 首先查看自己电脑的MAC和IP 或者通过路由器学习到的 绑定IP和MAC地址。 B电脑端设置禁止修改LAN属性，运行，输入gpedit.msc进入组策略编辑界面 按图选择：禁止访问LAN连接的属性 开启 C关闭服务，隐藏网络图标 或者使用命令，修改注册表隐藏 取消隐藏 2.有汇聚交换机，没有三层交换的中小型网络 A.划分VLAN，不同部门不同VLAN能有效的隔离IP冲突，减小影响范围，故障定位范围也缩小，有利于排查。 B.在二层网管交换机上做IP和MAC绑定，同时绑定端口号。私改IP也上不了网 华为命令user-bind static ip-address*.*.*.* mac-address********** interface Ethernet0/0/1 3.对于大型网络 一般采用上边的方法外，还有更高端的手法 A.使用审计行为管理设备，在防火墙里边做策略 B.采用软件的方式，部署域服务器，客户端登录域服务器实现访问控制。 二，私接路由器，造成的dhcp冲突 问题描述：小酒店网络单一，某天客人反应网络不通了，上不去网了，去房间看看，有的能上，而有的却不能。费了九牛二虎之力，逐一排查，最后终于找到幕后真凶，竟是一台小路由器。作为网络管理员的我们对私接路由器一事深恶痛绝。那么该如何避免呢？ 解决方案：当然首先从行政上进行处罚，给员工讲明规则，但对于那些不懂技术的房客，就要从技术上进行杜绝。 1.简单的网络可以使用静态IP,网络构架要合理。条件具备划分VLAN，部门隔离，缩小影响范围，减小故障排查范围。 2.使用网管交换机的DHCP snooping功能 当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。 DHCP Snooping配置步骤，以H3C为例： [H3C]dhcp-snooping //全局使能dhcp-snooping功能 [H3C] interface Ethernet 1/0/4 //进入端口E1/0/4 [H3C-Ethernet1/0/4]dhcp-snooping trust //将端口E1/0/4配置为trust端口 三，私插网线，造成的网络回环 问题描述:某小公司，新来了几个员工，要增加几个办公位置，增加网络接口和交换设备。由于没有网管，员工自理，多插了一条跳线。造成网络回环，局域网瘫痪。该如何防范这种情况呢。 解决方案： 常规办法规范施工标准，水晶头严格按照国标施工，线缆做好标记，理清线缆顺序。 增加能检查环路的网管交换机 1.loopback-detection 命令监测 loopback-detection 命令用来端口环回监测。 使能loopback-detection后，端口默认每30s发送侦测数据，当侦测外外部回环时，关闭Access端口。 对于 Trunk 端口或Hybrid 端口开启loopback-detection后只做上报，开启相关配置可参考命令 loopback-detection control enable。 华三端口开启 loopback-detection enable interface gigabitethernet 0/0/1 [H3C-GigabitEthernet0/0/1] loopback-detection enable 2.STP生成树协议 当网络中出现环路时，该协议可以采用生成树的算法从逻辑上断开其中一条连接，使其成为备份线路。当网络