中小型企業的網絡應用研討會
假如你是網管,是不是經常為網絡中出現的問題而頭疼甚至搞的焦頭爛額呢?對于廣大的網絡愛好者、網管或信息中心的朋友來說,學到的知識可能很多,但怎樣將知識學以致用到實戰工作中去,將自己的特長與才能全部發揮出來,可能就有些困難了。
本期特邀網絡工程領域的權威專家將針對企業網絡應用與規劃中遇到的實際問題,給予解答。歡迎午飯積極提問,與專家一起討論!
本期專家:王春海
擅長領域:網絡
專家簡介:河北經貿大學信息技術學院實驗中心,實驗師,MCSE、MCDBA。對組建大、中型廣域網與局域網有相當豐富的經驗,主持組建過若干廣域網、局域網工程。 在網絡維護、網絡故障解決、網絡安全、數據恢復和虛擬機等方面有獨到的見解,在人民郵電、清華大學、電子工業、科學等出版社出版過20多本圖書,主要有: 《最新無盤工作站與終端配置及應用實例詳解》及其之二、之三,《網絡視頻技術及應用標準教程》,《虛擬機配置與應用完全手冊》,《網絡常見問題與故障 1000例》、《Windows Server 2003組網教程(管理篇)》,《企業網絡配置與管理》,《非常網管-網絡應用》、《非常網管-網絡管理》、《非常網管-典型網絡實驗》、《非常網管-常 用DOS命令》、《虛擬機技術與應用-配置管理與實驗》、《網管天下》系列從書。個人獲得兩項專利技術。
查看本期門診精彩實錄:http://doctor.51cto.com/develop.php?cid=185
參與最新技術門診:http://doctor.51cto.com/
精選本期網友提問與專家解答,以供網友學習參考。
Q:學習網絡已經二年了,感覺學到的東西不是忘記了,就是用不著,一名合格的網絡工程師到底要具備哪些技術啊?整天對著小凡配來配去有用嗎?
A:一名合格的網絡工程師,要學的東西是比較多的。硬件來說,至少要熟悉交換機、路由器的相關知識與配置;軟件來說,至少要熟悉TCP/IP協議、熟悉當前流行的網絡操作系統、相關服務器的安裝與配置。更重要的問題是,你要有獨立的分析問題、解決問題的能力。對著小凡來做一些交換機與路由器的實驗,是非常有用的。實驗是最好的老師。每個初學網絡的朋友,都會經過這些。不僅初學者,現在每個做網絡、用網絡、管網絡的人,也是經常搭建一些實驗環境,驗證自己的想法的。
Q:DC(安裝IAS)+第三方防火墻 使用域用戶控制上網請問老師可以做用戶并發限制嗎?也就是說A是有上網權限的,B是沒有的;但是A喜歡幫助別人把自己的用戶給了B使用。
A:大多數的防火墻是做不到用戶并發限制的。例如A能上網,A告訴B自己的用戶名與密碼,則B也會用A的用戶名與密碼上網。這個,你可以配置個PPPOE的服務器,限制用戶只能通過PPPOE的方式上網,并且限制PPPOE帳戶只能登錄一次,這樣可以限制用戶并發上網。當然,如果A做二次代理的話,B也是可以通過A共享上網的。這時候,可以限制每個用戶上網的并發TCP連接數、流量等做出進一步的限制。現在也有的防火墻,禁止用戶做代理服務器的,你可以找一下這方面的產品。
Q:你好,王老師。我現在是一名小企業的網管,公司的機子也就有20臺左右。我現在所做的工作就是維護這些機子的正常運行,當然最主要的工作還是打雜。我現在 抱著這樣的心態,我是來學習的。盡管公司里面沒有這樣的條件,但是我還是自己創造條件來學習,沒有問題自己創造問題也要學習。我現在就是想問問,王老師,我這樣的學習行嗎??我現在所遇見的問題是不是在以后的工作,也會遇到呢???謝謝,王老師……
A:這樣學習是可行的。我當時也是在外面公司兼職,一邊干活一邊學習的。我們現在做實驗,模擬真實的或虛擬的環境,期間碰到的每個問題,以后可能會碰到。當我 們做的實驗多了、遇到并解決的問題多了,以后再碰到類似問題時,解決的就會快些。就是沒有碰到相同的問題,以前的經驗也是值得借鑒的。
Q:您好,請問esx server是不是一個系統,像win sever2003一樣安裝完之后,在系統里面安虛擬機呢?
A:差不多可以這樣理解。VMware ESX Server直接安裝在“裸機”上,安裝好后,在管理工作站上,通過VMware ESX Server的客戶端,控制并管理VMware ESX Server,在VMware ESX Server中創建虛擬機、在虛擬機中安裝操作系統。
Q:我認為一名好的網工首先是要有判斷問題的思路,一上來不要盲目的處理問題。第二是要有解決問題的方法和相應的技術。不知道專家我說的對不對
A:對,就是這樣的。判斷問題、分析問題、解決問題,其中分析與判斷是比較關鍵的。網絡中,碰到的問題可能會比較多,有時候碰到的問題可能與網絡無關,這就非常考察每個人的判斷能力與分析能力,以及其他一些知識。
Q:請問: 1、網絡管理需要具備哪些知識點或知識儲備? 2、在內網管控上,有哪些比較好的或者成熟的技術應用。
A:網絡管理需要的知識比較多,除了需要了解,要管理的網絡中的硬件設備(路由器、交換機、網絡安全設備、服務器)軟件(網絡操作系統、客戶端操作系統、網絡 中所運行的專用軟件等),還要了解其他的一些知識(這些就比較雜了,例如,某個員工安裝的軟件等),網絡管理,除了需要專業知識,還要了解其他 的相關知識(比較雜) 內網管控上,現在有許多的 網絡行為管理產品,產品比較多,你可以通過搜索引擎,搜索一下。#p#
Q:您好,王老師 怎么較好維護整個公司網絡的帶寬問題,假設要組建一個學校的網絡,需要什么設備及怎么連接。
A:需要網絡行為管理產品,或者安裝網絡流量 控制的軟件或設備要組建一個學校的網絡,看學校的需求、資金投入及后期的維護,綜合考慮選擇軟件、硬件,之后根據學校需要及硬件選擇,進行連接。
Q:我現在是一家IT外包公司的維護人員,主要負責幾家客戶的桌面維護、網絡的維護、關于dc的添加用戶等等,我想進一步在IT方面發展,有幾種道路,各需要什么技能。請專家指導下。
A:這需要看你現在的水平,以及你的愛好,以及其他的條件(時間、資金、是否有時間與精力、能力進一步學習等情況)。IT方面,目前分類比較細,有開發類、有 網絡維護類,開發類有游戲、應用軟件、系統軟件等方面開發,網絡維護類,有硬件(路由器、交換機、網絡安全產品、其他網絡產品等),也有類似軟件類(例如 財務軟件、數據庫軟件、網絡操作系統等),比較多,主要看你自己的選擇。
Q:王老師您好!下面是我的思科ASA5510防火墻配置,我想能讓外網訪問我的WEB服務器,您幫幫我嗎?不知道是那里出了錯,外網不用訪問我的WEB,可內網可以訪WEB。hostname gametuzi5510
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 192.168.0.254 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 30
ip address 200.1.1.1 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
access-list icmp_in extended permit icmp any any
access-list 100 extended permit tcp any host 192.168.0.254 eq www
access-list 110 extended permit ip 10.1.1.0 255.255.255.0 any
access-list 120 extended permit ip any host 192.168.0.254
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
mtu DMZ 1500
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (outside) 1 192.168.0.0 netmask 255.255.255.0
global (DMZ) 1 200.1.1.10-200.1.1.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
nat (DMZ) 1 0.0.0.0 0.0.0.0
static (DMZ,outside) tcp interface www 200.1.1.1 www netmask 255.255.255.255 dn
s
access-group 100 in interface outside
access-group 110 out interface outside
access-group 110 in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 200.1.1.1 1
route inside 10.1.0.0 255.255.0.0 10.1.1.253 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd dns 172.10.90.2
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
Cryptochecksum:56b2336f6c03d2c2a78ffd389b1c2419
: end #p#
A:我對硬件設備不是很熟悉。內網能訪問,說明你的網站服務器是好的,外網不能訪問,你是不是沒有將防火墻對外的地址映射到內網網站服務器?如果映射好了,內網網站服務器的網關地址配置正確的話,應該是可以訪問的。
Q:王老師您好, 我有這樣一個問題,我們公司服務器是centos操作系統,現在托管于電信機房100M共享。現在我們公司需要將一個運行在centos環境下的ERP系 統和一個asp的公司網站和一個公司內部的聊天工具類似QQ一樣。需要安裝客戶端和服務端才可以進行通訊,請問這樣如何實現這三個系統都可以正常運作, (ERP系統、asp網站、內部聊天工具)
A:如果你的ASP網站與內部聊天工具,服務器端是運行在centos操作系統上,則在遠程centos服務器中安裝配置ASP網站與內部聊天服務器端,并開放相應的服務端口,并進行相應的配置即可;而工作站端,則安裝聊天客戶端軟件、ERP的客戶端軟件。對于服務器端,只要服務的端口不同,應該可以同時運行。工作站端,可能就無所謂了,只要能運行在同一平臺就行了。如果不能同時運行,只能借助于虛擬機了。
Q:你好,王老師 請問一下,網絡安全方面的只是需要從哪些方面入手呢? 硬件?軟件?
A:至少要熟悉TCP/IP協議、熟悉IP地址的劃分。然后看你想學習那方面:網站方面、數據庫方面、網絡安全,如果是網站方面,可能還要熟悉宿主機操作系統 (Linux或Windows)、IIS或Apache等,數據庫有MYSQL、SQL Server等,網絡安全方面,可能就比較多了,既要熟悉硬件、還要熟悉軟件。你可以先從一方面學起,或者你找相關的圖書,多看一些書,多學、多想、多 練。
Q:王老師您好, 我有這樣一個問題,我們公司服務器是centos操作系統,現在托管于電信機房100M共享。現在我們公司需要將一個運行在centos環境下的ERP系 統和一個asp的公司網站和一個公司內部的聊天工具類似QQ一樣。需要安裝客戶端和服務端才可以進行通訊,請問這樣如何實現這三個系統都可以正常運作, (ERP系統、asp網站、內部聊天工具)
A:在你設置公網地址的機器上,啟用或配置端口轉發。詳細的你可以查一下相關的資料。或者,你詳細的描述一下,你的拓撲圖,例如:公網地址綁定在A服務器上,A服務器是物理機。在A物理機上配置 了虛擬機,A的虛擬地址是192.168.1.3,虛擬機的網卡地址是192.168.1.4,網關地址是192.168.1.3.則在A上,用虛擬機自 帶的NAT轉換功能,或者用A機的防火墻功能,映射相關的端口到192.168.1.3.用虛擬機解決完了,剩下的就是端口轉發了,端口轉發的方法,可以查相關的資料的。#p#
Q:王老師你好!我們單位有三個網絡,都要求專網專用,物理隔離,還要求保密。現在病毒泛濫,請問如何較好地管理這樣的網絡? 補充一下王教師!目前我們的三個網絡只是接到機房,各辦公室只有一條網線,如果三個網絡同進運行可能要重新布線,比較麻煩,而且一個辦公室只有兩臺電腦,但工作需要可能要使用三個網絡。有沒有好的辦法在機房搞定,比如說添加新設備等!預算價格在10萬元以內
A:你可以在每個網絡中,配置一個“網絡版”殺毒軟件的服務器端,在公網上獲得病毒庫后,通過U盤復制到這三個網絡的服務器端,為當前網絡的工作站升級。
Q:王老師:您好,我現在有一個問題,EXCHANGE 服務器中,從用戶A發送郵件到用戶B,不能顯示內容,但點回復后卻又能顯示,請問這是什么問題,謝謝。正文看不到,只有在回得郵件的時候才能看到內容。
A:你是用OWA還是outlook收信,還是用其他第三方的軟件收信?是郵件正文看不到還是附件看不到?我用exchange沒有碰到相關的問題。你發一個文本的正文試試,我想,可能是你客戶端的設置,或者你發的是html正文的原因。
Q:王老師,你好!現在遇到一個選擇上的難題。一直以來都非常喜歡網絡,在公司也是做接入網這一塊,這半年本想先從PON入手,先將華為GPON與中興 EPON完全掌握(前期中興EPON已經搞半年多了,在中興技術支持也有相關案例發表)。再從事數通方面工作,而通過與主管溝通,得知后半年,公司主要接 了幾個城域網優化的項目。都為數通方面內容!自己現在又想按以前的想法學好PON技術,又想按主管的意愿去做數通項目。主要的困頓地方是,個人感覺PON技術會在未來兩,三年內大面積運用,GPON會在三網融合上有很大作為。而隨著帶寬不斷加大,城域網優化勢在必行。而數通知識自己又相對薄弱!所以兩者相持不下,不知該如何選擇?
A:非常抱歉,我對這方面不了解。我個人理解,如果愛好某方面,時間又允許的話,可以多學學,提前做一些技術的儲備,總會有用上的一天的。即使用不上,從事類似的工作,也會有所借鑒。#p#
Q:王老師:您好!就目前社會對網路的需求形式來看,不是很樂觀。畢竟網絡在老板眼里總是產生不了直接的價值,軟件則不同,做軟件的人的工資遠遠高于做網絡的,但這并 不是絕對的。我想問一下,對于我們這些做網絡的人來說,有多少種網絡規劃能走向網路的高層,比如說信息主管、CIO等等?就拿我的情況來說吧,大學計算機專業,大四在青鳥培訓了一年。剛出道來上海,考慮到自己底子很薄,也就去給電信跑底層ADSL、PC機、少數中小型企業網 絡,大概跑了四個月左右,感覺自己底層做的不錯了,就去了一家剛成立的公司,做房地產寫字樓租售的,待遇還是相當不錯的,當時考慮到網絡環境比較大,畢竟 是一棟大樓的網絡維護,到現在多半年了,什么東西都是自己探索、尋找得到的,算是比較累的了!不過還好,網絡這一塊雖是自己摸索,但學到了很多東西,眼看 快到年底了,大樓的招租也快結束了,網絡的擴建也在年底前完成。完成之后,剩下的也就維護了,沒有多大問題了。再加上公司里的經理什么的,對管理這一塊并 不是很熟,老總對IT這一塊大的方面的投資估計需要一段時間。而我的時間有限啊,不能再等等了,打算明年另尋出路。請專家指示一下,下一份工作我應該怎么選擇比較合理!我的最終目標是信息主管或者CIO。
A:這個問題我也不好回答。對于我們每個人來說,學網絡,最初都是從裝機器、裝系統開始的(我學的可能早些,是從MS-DOS 3.30、Netware開始的),然后才開始接觸并學習網絡。網絡發展比較快,可能剛學習了沒多長時間,就又有新的知識、新的技術了,原來學的可能就 “落伍”了。從這方面說,好像學網絡比較累。但如果一直開始學網絡的話,一直沒有被“拉下”的話,如果只專注某一方面,則改進相對來說也不是非常的大,例 如從Windows 2003到Windows 2003 R2,再到Windows 2008、Windows 2008 R2。我個人看來,現在懂些技術再做銷售,可能是最好的了。如果單獨做技術,則找一些專業的、“大”一些的公司,到處調試一些設備,收入也應該不錯的。例如現在做網絡安全、網絡流量監控、VPN設備等,這方面,相當于說,調試相對簡單,但利潤是比較大的。如果是做系統,如“操作系統”類的技術,可能收入不是太多(我就熟悉這些,好像除了做老師,別的也沒什么收入了,呵呵,可能與我處的城市有關)。
Q:我搞網絡已經10年了,網絡工程師也過了,關鍵我對網絡工程師的前途很擔憂,對未來也很渺茫,請問王老師,在網絡發展和網絡的未來管理上我們應該做些什么呢?我們需要從哪些方面著手去做好網絡管理管理和維護的工作呢?謝謝!
A:我想,如果是固定在一個單位的話,則至少需要維護好自己的網絡。如果是在一個系統集成公司,則需要不斷的學習新的知識、掌握新的技術,并且將所學用于實踐。另外,在業余時間,多學新的知識、多做實驗、多積累。我目前做的也只能是這些。
Q:我用Vmware 6.5安裝了一個98系統,但是卻不能在上面運行我本機里的軟件,我想問下98虛擬系統是不是不支持讀取本機共享文件?如果可以的話,應該怎么設置?如果換成2000系統是不是可以解決這個問題?
A:Windows 98好像是不支持這種讀取(好久不用98了)。如果你想用本機的,可以通過“網上鄰居”共享文件夾的方式,訪問主機的文件,或者使用net use x: \\主機ip\主機共享文件夾 /user:主機用戶名 主機密碼的方式,映射主機的共享文件夾到98虛擬機的X盤來訪問。或者,將需要的文件做成 ISO鏡像、或者關閉98的虛擬機、使用MAP功能映射到主機盤符,將需要的拷貝到虛擬機中、斷掉共享、再啟動98虛擬的方法。換成2000是沒有問題的。#p#
Q:您好,請問下在網絡安全方面一般的200臺以內很小型的網絡中,沒有用硬件防火墻,只用一款H3C 的路由做路由帶防火墻,偶爾會遭遇SYN FLOOD UDP FLOOD ICMP FLOOD 等類型攻擊致網絡外部連接終斷,請問下在不增加設備的情況下有沒有更好的辦法就對
A:我個人認為,只要你連接到Internet,就會經常有人掃描你的系統(漏洞),并在掃描到漏洞后試圖入侵。對于企業來說,不管你用硬件還是軟件防火墻,只要注意以下的幾點,一般安全就不會存在問題:對于防火墻來說,如果沒有對外提供服務,則關閉所有的服務端口(TCP的入口)。只開放必須的端口訪問外網,例如DNS查詢、www瀏覽、FTP、郵件、聊天等端口。對于網絡中的所有計算機,啟用軟件防火墻、設置強密碼、及時更新操作系統與應用軟件補丁、安裝一款殺毒軟件,不瀏覽“可能有問題”的網頁。
如果沒有必要,網絡中的工作站,不要使用Administrator組權限登錄,而是使用普通的帳戶登錄,這樣即時瀏覽網頁有“問題”,也很少會感染木馬。另外,我維護的許多企業網絡,尤其是有固定的公網地址的網絡,安裝了ISA Server或TMG2010的防火墻,經常會在日志中看到,網絡上的其他IP地址掃描并試圖入侵,基本上每20分鐘就會有一次。但這些見的多了,并且網絡也沒有被入侵成功過,就習慣了。
【編輯推薦】
