難題一：IP地址綁定的問題

　　員工的電腦壞了，我決定換掉它。公司電腦IP地址都跟MAC地址綁定，于是我先利用命令ARP把IP地址跟MAC地址松綁，再給新電腦配上原IP地址。我在路由器上根據(jù)IP地址進行相關(guān)的權(quán)限設(shè)置，因此這臺新?lián)Q上的電腦必須使用原先的IP地址。但為這臺電腦配置IP地址時，本已取消的IP地址還是無法在除原來機器外的其他主機上使用。

　　問題分析

　　在企業(yè)網(wǎng)絡(luò)中，真正辨別主機身份的不是我們熟知的IP地址，而是MAC地址。由于MAC地址比較難記，也比較難管理，所以，我們采用IP地址來代替MAC地址。在網(wǎng)絡(luò)中主機之間進行通信，不是依靠IP地址或者主機名字，而是依靠MAC地址來維持彼此之間的聯(lián)系。

　　如電腦A的IP地址為192.168.0.2，其對應(yīng)的MAC地址假設(shè)為A1;另外有一臺電腦B，IP地址為192.168.0.3，其對應(yīng)的MAC地址假設(shè)為B1。當主機A跟主機B進行通信后，主機A的系統(tǒng)中，有一張ARP Cache表格，記錄著B主機的IP與MAC地址。下次通信時，主機A會先查詢自己的表格，看看是否有192.168.0.3 這個IP地址對應(yīng)的MAC地址。若有，主機A就直接利用這個MAC地址進行通信，不會再網(wǎng)絡(luò)上發(fā)生ARP廣播查詢這個IP地址對應(yīng)的MAC地址。

　　再者，我們利用ARP–S命令把IP地址跟MAC地址綁定時，要注意這個-S的參數(shù)問題。這個參數(shù)數(shù)據(jù)靜態(tài)把IP地址跟MAC地址進行綁定，不會在ARP Cache中超時。只有重新啟動TCP/IP協(xié)議后，這個映射才會被刪除。所以，我們即使取消了綁定，但是在短時間內(nèi)，其他計算機仍認為這個IP跟MAC地址是綁定的，其他電腦無法使用，除非更換Mac地址。

　　同時，在公司的交換機中，也有一張MAC地址表，其IP與MAC地址一一對應(yīng)的。交換機在通信時，也不會每時每刻去查詢網(wǎng)絡(luò)中IP所對應(yīng)的MAC地址。交換機每轉(zhuǎn)發(fā)一條信息，就會把IP地址與MAC地址的對應(yīng)信息存在自己的表中。若在交換機這張表沒有更新之前，我們?yōu)樾碌碾娔X設(shè)置了原IP的話，由于新電腦跟老電腦的MAC地址不匹配，而IP地址是同一個，所以，在短時間內(nèi)交換機轉(zhuǎn)發(fā)數(shù)據(jù)包就會發(fā)生錯誤。

　　解決措施

　　筆者花了一番周折，終于找到了問題的所在。最后，我把公司內(nèi)部的交換機重新啟動一下，問題也就解決了。

　　得到了這個教訓之后，以后我不在用戶的終端上手工的綁定IP地址，而是在交換機上進行IP與MAC地址的綁定。如此，就不會再出現(xiàn)類似因IP與MAC地址綁定而產(chǎn)生的網(wǎng)絡(luò)故障。

　　難題二：一臺電腦中毒導致企業(yè)網(wǎng)絡(luò)速度極度下降

　　用戶反映，公司的網(wǎng)絡(luò)速度變得極慢，我無意中看了一下交換機，發(fā)現(xiàn)交換機的LINK燈在不停地閃，頻率大大超出平時情況。由于那時企業(yè)資金有限，沒有配備昂貴的網(wǎng)絡(luò)檢測設(shè)備，所以只要利用土辦法。

　　解決方法

　　我把LINK等閃得厲害的幾根網(wǎng)線拔掉了，然后進行測試，發(fā)現(xiàn)網(wǎng)絡(luò)速度又恢復正常了。當把這些網(wǎng)線再插上去的時候，網(wǎng)絡(luò)又接近癱瘓的地步。后來我索性重新啟動了交換機。所以在剛剛重新啟動后的十分鐘左右，網(wǎng)絡(luò)速度是正常的。但是，十分鐘過后，又恢復了老樣子。

　　這時，筆者知道，只有把那幾臺作怪的電腦找出來，才能還給企業(yè)網(wǎng)絡(luò)一個清靜。我經(jīng)過排查，終于找到了始作俑者的兩臺電腦。斷掉它們的網(wǎng)絡(luò)，然后利用殺毒軟件最新版本，在安全模式下進行病毒查殺。不出我所料，讓我查出了一大堆病毒。病毒殺掉之后，恢復網(wǎng)絡(luò)，就沒有出現(xiàn)這種問題了。

　　其實，有時會在沒有工具的時候，我們可以查看一些設(shè)備的指示燈來判斷網(wǎng)絡(luò)的故障。如當交換機或者路由器的LINK等不停的閃，而且閃動頻率異常高的時候，需要認識到，可能是病毒作怪。有些病毒，如ARP攻擊等等，會在企業(yè)的局域網(wǎng)內(nèi)大量的發(fā)送廣播包，導致廣播風暴，造成企業(yè)網(wǎng)絡(luò)的局部癱瘓。

　　一般遇到這些問題的話，只要把那些LINK等閃得厲害的端口的網(wǎng)線拔掉，如果此時網(wǎng)絡(luò)恢復正常，就說明是病毒在作怪了;相反，如果網(wǎng)絡(luò)還是老樣子的話，可能是交換機本身的故障，而不是病毒的原因。此時，我們就需要換一個交換機進行測試了。

　　所以，我們在沒有工具的情況下，要學會利用設(shè)備本身的工作指示燈，來判斷設(shè)備的運行故障及可能的原因。

　　難題三：用戶擅自修改主機名

　　筆者所在的公司，為了管理上的方便，對于主機的命名都有同一的規(guī)則，一般是按部門的編號來進行命名。如此的話，一看主機的名字，就知道是哪個部門在使用。如此的好處就是在網(wǎng)絡(luò)監(jiān)測中，發(fā)現(xiàn)通信故障的時候，如上面某臺電腦中病毒導致網(wǎng)絡(luò)廣播風暴的時候，一看網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)，就可以找到到底是哪個部門的哪臺電腦在作怪了。

　　在實際工作中，由于各種原因，員工把電腦的名字改為自己的名字或者自己喜歡的名稱等等。但是，修改電腦的名字，對于我們網(wǎng)絡(luò)管理員來說，是一件頭疼的事情。從我們網(wǎng)絡(luò)管理員角度講，我們喜歡公司電腦的命名有同一的規(guī)則，方便我們進行管理。

　　解決方式

　　其實，有很多方法都可以限制用戶擅自修改自己電腦的名字。筆者這里列舉里幾種常見的方法，供大家參考。

　　1、 不要賦予員工管理員身份的權(quán)限

　　默認情況下，微軟操作系統(tǒng)只有管理員組的角色的成員才能修改電腦的主機名字。所以，我們在為員工創(chuàng)建帳號的時候，一般情況下，沒有必要給他們管理員組的角色。用戶的權(quán)限越大，對于操作系統(tǒng)及網(wǎng)絡(luò)的破壞性也就越大。所以，我們再給企業(yè)用戶進行權(quán)限涉及時，給與其最小的權(quán)限即可，即不影響企業(yè)員工正常工作的最小權(quán)限。從微軟的操作系統(tǒng)來說，其自身提供了幾個默認權(quán)限設(shè)置。最常見的如管理組角色、超級用戶角色、普通用戶角色及來賓角色。根據(jù)筆者的經(jīng)驗，一般情況下，普通用戶的角色已經(jīng)足夠。在這個用戶角色下，企業(yè)員工已經(jīng)可以創(chuàng)建、修改、刪除文件，訪問網(wǎng)絡(luò)，只是不能進行跟操作系統(tǒng)本身相關(guān)的一些配置動作。當然，若只采用來賓用戶的話，權(quán)限不夠，會影響用戶的正常工作。

　　所以，我們給普通員工賦予普通用戶的默認權(quán)限，則其無法對計算機的用戶名進行個性化修改。

　　2、 利用注冊表進行限制

　　我們可以在注冊表中，修改某個字段的值，來限制用戶對于主機名字的更改。

　　具體方法如下：

　　(1) 打開注冊表。在命令行中輸入注冊表的命令，就可以打開注冊表管理器。

　　(2) 依次打開HKEY_CURRENT_USERSoftwatemicrosoftWindowsCurrentVersionpoliciesExplorer。

　　(3) 找到“NoPropertiesMyComputer”這一項目，然后把其中的值改為1。

　　(4) 在有些系統(tǒng)中，可能沒有這一項。此時，我們就要新建這一項目，然后把值設(shè)置為一。這里要注意一個問題，就是這個項目的名字要跟這個名稱一模一樣。否則的話，就不會成功。

　　筆者在實際工作中，喜歡把這個寫成批處理命令，如此的話，不用每次需要設(shè)置的時候，都進行這些繁瑣的命令。直接利用批處理命令，進行設(shè)置即可;即快，又不會發(fā)生錯誤。