如何保持网络畅通 整理贴

作为公司的网管，最重要的职责就是保证网络畅通。大家都在不断摸索经验，不断成长，下面我就简单介绍一下我的经验，希望大家多多拍砖，共同进步。

1.快速诊断硬件问题
硬件及线路问题的诊断比较复杂。做为一名合格的网管，不但应该熟练的使用ping、arp、tracert、route等dos命令，最好能够使用wireshark这样的抓包工具进行分析。
比如：局域网中一旦有机器在进行arp欺骗，那用arp命令直接就可以查出该电脑。再如网卡、集线器以及交换机出现广播风暴，那么使用抓包工具（如Wireshark）进行检测，确定是广播风暴之后，就应该检查这几个设备。

2. ARP病毒及ARP防火墙

采用ARP欺骗的木马病毒发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢，使局域网近于瘫痪，因此有必要安装ARP防火墙提高系统的安全性。

3.使用流量监控工具结合“上网管理制度”进行管理

可以通过超级嗅探狗进行实时流量监控，发现局域网内占用大量带宽的机器，不仅能够看到所有的网络连接类型、具体的连接端口和使用协议，并且能够切断这些网络连接，达到保证网络畅通的目的。
要想管理好局域网光是通过流量监控工具是不行的，还要建立相应的企业上网管理制度。

4.分时段管理

企业网络管理首先要保障工作时段公司业务的正常运行，同时又要兼顾到员工的娱乐需要。所以我采用分时段管理的方式，工作时段严禁视频、下载等占用大量带宽的上网行为；休息时段虽然不禁止视频和下载，但是也要通过限制并发连接数的方式，避免1-2个人就占用掉全部带宽资源。

 

第一条，后期诊断固然重要了，但前期网络硬件这些基础设施合理有保障才是真正的预防，比如双线双路双设备等等

第二条，除了arp欺骗，还要注意诸如dns欺骗的攻击等等，注意内网中不经意的代理之类，对内网有效分隔也是很重要的

在我们单位大概有3万用户在使用网络，合理的规划以及硬件的配置都非常的重要。
首先网络拓扑规划上主要有这么几个方面：
一、物理层：
1）对于各楼层接入交换机与核心之间应采用汇聚设备进行连接，汇聚设备应与核心做好双链路单模光纤冗余，既可以支持负载均衡也可以起到互为备份的目的。
2）核心设备采用双10万M核心交换机，进行数据交换。
3)对于数据中心服务器应划分出DMZ区，将内网访问与外网访问分离开来，保证数据安全。
二、数据链路层
1）对于大型的网络各个楼层或部门应采用VLAN进行划分，这样可以有效地限制广播包的发送范围，防止广播风暴。
2）最好不要启动STP协议，生成树协议对交换机转发报文速率影响较大，收敛慢，但如果存在冗余的交换机最好手工封闭端口。避免形成环路。
3)接入交换机对办公区域计算机可采用WEB认证方式。对其它区域采用802.1X协议进行用户认证。由于这两种认证方式，只是对当前交换机的端口进行互联网访问进行了验证，绑定MAC地址，因此比PPPoE形成逻辑数据链路交换数据包较快。
4)在端口上设置并绑定网关MAC地址，避免ARP攻击，阻止非网关端口发送ARP包。
三、网络层
1）对于各个VLAN之间通讯，一般使用OSPF动态路由，划分路由区域。
2)对外网访问设置访问控制列表，并启用策略路由，将访问电信IP的数据包发往电信光纤，访问网通的数据包发往网通的光纤。
3）设置NAT的数量，每个外网IP不超过800NAT。
四、应用层
1）单独设置DHCP,DNS服务器。
2）DNS服务器最好架设两台，一台负责外网访问解析，将外网访问服务器IP解析为外网IP，另一台负责内网IP解析，将内网访问服务器解析为内网的IP。避免访问服务器绕到外网又绕回来。
3）防火墙对外网访问DMZ区及内网做严格的限制，只开放相应服务端口及IP。
4)对BT等P2P做流量限制，在办公时间，限制在10%，在非办公时间限制在60%。
5）做上网行为管理，最好做成旁路监控，不用做成网关，否则会对网络性能产生很大的影响。
以上就是我对网络畅通管理的一些经验。不足之处希望大家多提意见。