企业“很差钱”，网管人员生存必备手册

《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 1 目录 场景之一：ITITITIT预算少了，如何花小钱办大事........................................................................ 1 查看日志，找出问............................................................................................................ 2 设备老化，都是空调惹的祸................................................................................................ 2 版本老化，小心升级............................................................................................................ 3 小艾：一定要注意采购环节呀！........................................................................................ 3 场景之二：查杀病毒和防黑客是重中之重............................................................................ 4 谁毒了我的电脑？................................................................................................................ 4 谁黑了我的电脑？................................................................................................................ 4 快速安全的法宝：划分信任区域........................................................................................ 5 场景之三：公司缺钱，通信费用严重超支............................................................................ 6 不明智的汇报........................................................................................................................ 6 什么是融合?.......................................................................................................................... 7 白来的策划书................................................................................................................ 7 场景之四：办公区域分散 传统布线太烦人.......................................................................... 8 穿透力要看“穿墙”................................................................................................................. 8 确定覆盖范围真的好难........................................................................................................ 9 无线漫游网络的配置............................................................................................................ 9 无线安全：小问题，大隐患.............................................................................................. 10 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 2 教你做个真正的好网管.......................................................................................................... 10 站在企业的角度去思考问题.............................................................................................. 10 站在技术的角度去深入问题.............................................................................................. 11 培养自己的学习能力.......................................................................................................... 12 让我们共同努力吧！.......................................................................................................... 12 场景之一： ITITITIT 预算少了，如何花小钱办大事 案例描述：小艾是一家处于高速发展期的广告公司网管，让他苦恼的事情是，公司员工不断 壮大，需要维护的电脑数量从年前的 10 余台迅速扩容到了近 20 台，原本听话的无线路由器 最近老是断线，一听到办公室里有人高呼“又掉线了”，他的心就像被猴爪子挠了一样难受， 让小艾痛苦不堪的是，近几天听到这句话的次数又增多了…… 解决解决方法解决方法解决方法 小艾遇到的问题，我相信有很多网络管理员都经历过这个苦恼的过程，这牵扯到了网络设备的维 护、负载的评估、路由器的流量管理和采购环节等多个因素的影响。我们都知道，相比传统有线 网络来说，搭建无线网络给企业带来的最大好处就是组建这种类型的网络根本不需要进行复杂的 布线，使用经济、操作简便。因此，对于不少租用写字楼的单位来说，组建无线网络无疑是最理 想的选择。此时，无线路由器无疑是整个网络的中枢神经，它的工作性能直接影响着整个无线网 络的运行性能。然而在实际工作过程中，无线路由器时常会发生一些稀奇古怪的网络故障，这些 故障如果不能被及时、有效解决的话，将会严重影响无线网络的运行效率。 查看日志，找出问题 弄清楚路由器发生故障时处于什么状态，才能进行下一步操作。紧急排查问题的时，最直接的方 法就是观察路由器上各种指示灯（LED 灯）的工作状态，一般分为红色、绿色和琥珀色（黄色） 三种，不同的路由器型号灯的颜色和闪烁频率的含义不同，如果你不知道它具体代表什么意思， 可以查看相应的用户手册。专业一点的路由器，可以使用命令行界面和路由器直接对话能够得到 更详细的信息，常见的路由器都可以使用“show”或“display”就可以显示路由器当前的工作状 态和配置信息。总之弄清状况是一个最基本的要求，当你无法从指示灯分析出问题的时候，我们 可以借助的法宝就是：日志记录。 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 3 这对于网络故障排除，网络安全管理都是非常重要的，它记录了系统每天发生的各种各样的事情， 网络管理员可以了解日志事件，对日志文件进行分析，可以帮助你进行故障定位、故障排除。即 使你无法读懂一些古怪的“字符”，也可以通过厂商的 Q&A，或者搜索引擎找到一些提示。 设备老化，都是空调惹的祸 很多时候，无线路由器出现掉线并不是由无线路由器自身引起，本着先检查前端设备的思路，应 先重点检查前端宽带设备是否存在掉线问题。线缆松动或连接不牢或水晶头接触片被氧化 /卤化， 线路接触不好等原因导致高频衰减过大。很多办公室里面的空调（中央空调）都是在夏天都是长 期开着的，而我们也会为了降低温度将网络设备安置距离这些通风道比较近的地方，由于两者之 间的温度差异较大，就会形成水气凝集的情况，这也是造成线路老化和路由器烧毁的原应之一。 特别是热天这类问题更明显，散热不好引起这些设备工作速度变慢、效率变低，造成断线频繁的 假象。但是提醒我们不可将这些设备直接放在制冷设备出风口处，可用外部散热器进行辅助散热， 并注意不要将宽带设备、无线路由器等叠加在一起使用，这将加重各类设备的散热负担。而针对 线路问题，一般为外线绝缘不良或有接头接触不良，修好外线后故障可解除路由器频繁掉线的故 障。但未发现线路老化的时候，问题可能就复杂一些，例如单独使用路由器上网试试看，如果同 样掉线，可要求 ISP 检查外线的质量。在集中的办公环集中，针对无线路由器还要检查周围是否 有无绳电话（手机）、空调、消毒柜、冰箱、微波炉等电磁干扰比较严重的设备，移开后也可解 决网络设备信号不稳定的问题。 版本老化，小心升级 由于一些客户端的无线设备已经升级换代了，我们可能也要调整一下无线路由器的参数，这有的 时候这些家伙却“不听我们的话”。我们往往会进入到无线路由器的后台管理界面，对其中的一 些功能参数进行合适配置，以便让这些功能配置“指挥”无线路由器正常工作。可是有的时候， 我们发现对无线路由器的部分功能参数正确配置后，这些配置功能在反复重新启动无线路由器的 情况下，仍然无法发挥出应有的作用。碰到这种情况，很多朋友都会下意识地认为这种故障很可 能是由于无线路由器自身硬件出现了意外，其实并不是这么回事，这种问题很可能是无线路由器 后台管理系统的版本较低引起的，小艾遇到的情况就可能就是这个原因造成的。要想避免这种现 象再次出现，我们可以尝试对无线路由器管理系统进行升级。 一般网络设备很少对无线路由器的 firmware 文件进行升级，除非需要修补一些设备的 bug ，大 部分是对设备的操作系统进行升级，用于达到增加功能，改善设备有些功能的稳定性，可靠性。 如果要让网络设备进行重大的功能增加，就需要进行固件升级，然后还要进行操作系统升级。 提示：在无线路由器（应该所有的网络设备）中，文件系统可以分为三个部分，一个是配置 文件，用于保存 IP参数、密码、加密信息、口令等信息，该文件如果不是直接进入路由器删除 是不会消失的，即使你重新升级了系统软件和主板上的某个硬件。第二个文件是系统文件，即网 络设备操作系统，这个文件相当于我们电脑的Windows操作系统。第三个文件是 firmware 文件， 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 4 就是所说的固件主要存放在路由器的主板上，相当于我们电脑主板的 bios 文件，即使操作系统 没有了，这个路由器也是能通过其他的方式进入继续作基本的配置。 首先我们需要仔细检查一下目标无线路由器后台管理系统当前使用的版本号码，在进行这种检查 操作时，我们只要找来无线路由器的操作说明书，仔细查阅后就能知道具体的管理系统版本号码， 另外我们还要顺便看一下当前版本的无线路由器管理系统是否支持无法发挥作用的目标配置功 能。一般来说，无线路由器后台管理系统往往有许多版本，不同的版本支持的功能可能也不完全 一样。一旦我们看到当前使用的系统版本不支持目标配置功能时，我们就应该从无线路由器设备 的官方网站中找到可以正确支持目标配置功能的软件版本，并严格按照厂商的说明书 Step-by- Step 的方式进行操作。另外提醒你注意两点，在升级过程中，我们必须确保无线路由器的电源 不能断开，不然的话很容易造成无线路由器受到损坏而不能正常使用；而在升级后要仔细观察 LED 灯的工作状况，并全面测试升级后的所有功能是否正常。 小艾：一定要注意采购环节呀！ 由于小型企业自身的一些特点，如企业的财力有限，没有专门的 IT技术人员的特点，所以在选 择组网方案和网络产品时候一定要考虑到这些因素，不但要考虑到当前够用，而且要想到例如升 级、服务维修、综合产品配套等一系列的问题，因此选择例如思科等具有品牌保障的产品，才能 确保在几年之后，依然可以使用并得到技术支持（有些小厂商可能在几年之后你再也找不到他们 的存在了，根本谈不上升级保障）。路由器是整个网络与外界通信的出口，如果选择的不适合很 可能成为网络的瓶颈所在。而且网络产品中路由器，经常由于没有考虑企业员工增长之后的性能， 造成投资失败的情况，所以提醒小艾以后选择产品时，要从网络的流量、机器数量等方面综合来 考虑。 场景之二：网管肩扛诸多事务，查杀病毒和防黑客是重中之重 案例描述：小熊的公司是刚刚搬迁到北京市大兴科技园区的新型企业，公司主要从事影视特 效和动漫游戏开发。公司的网站上提供了大量在线游戏和 FLASH 动画，网站的访问者大多时 尚的年轻人和大学学生。但频繁出现的黑客入侵和内网病毒传播问题，已经直接危害到网络 的运行和业务的正常开展。在没有专门的安全管理人员情况下，小熊如何自己应对这些安全 问题呢？ 解决方法解决方法解决方法解决方法 这可不是小熊一个人的问题，在中小企业中，网络管理员随时都充当着安全专家的角色。我们知 道，每当一种新的计算机技术广泛应用的时候，总会有相应的病毒随之出现，现在则是病毒与黑 客技术相结合的趋势，威胁更加严重。网络的普及与网速的提高，使得计算机之间的远程控制越 来越方便，传输文件也变得方便快捷，正因如此，病毒与黑客技术结合以后的危害更为严重，病 毒的发作往往在侵入了一台计算机后，又通过网络侵入其他网络上的机器，这是中小企业中最为 薄弱的网络管理环节。 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 5 谁毒了我的电脑？ 如何诊断电脑是否中毒，可用医生“望、闻、问、切”的方法，不过这适合对系统了解较深入的 网络管理员。那么有没有简单的办法，自测电脑是否“中毒”或“被黑”了呢？ 病毒方面，我们可以排查系统进程是否存在异常。开机后，什么都不要启动，直接打开任务管理 器，查看有没有可疑的进程，对于那些你不认识的进程可以利用搜索引擎搜索。如果任务管理器 打开后马上就消失了，可以判定已经中毒。另外一种情况是，提示你任务管理器已经被管理员禁 用，则要引起警惕。此时我们可以一些第三方的安全检测工具，例如：端口扫描（Port scanners）、 网络/操作系统弱点扫描 （Network/OS vulnerability scanners）、应用程序 /数据库弱点扫描 （Application/database vulnerability scanners）、密码破解 （Password crackers）、文件查找工具 （File searching tools）、网络分析 （Network analyzers）、漏洞检查工具等。以比较有代表性的 “冰刃”为例，运行之后可以查看那些隐藏进程（冰刃中以红色标出），然后查看系统进程的路 径是否正确，通常 Windows 自己的进程工具应该放在 System32 或者 System 目录下。如果这些 工具无法正常使用或有红色的进程，则可以判定已经中毒。如果进程全部正常，则利用Wsyscheck 等工具查看是否有可疑进程注入到正常进程中。 谁黑了我的电脑？ 黑客方面，可以检查账户和网络的连接状况是否存在异常。这需要在操作系统和网络设备上都要 检查，而操作系统又可分为 Windows 和 Linux 两大阵营，下面我们分开介绍一下 对于 Windows 用户此时可以先用 Net user 等命令查看系统是都有可疑的帐户存在，然后在没有 进行任何主动访问外网的情况下，利用 Netstat –an命令查看是否有主动连接外网特定端口的情 况。如果你在日志方面已经下了一些功夫，则可以迅速在日志中查看到黑客的蛛丝马迹，包括登 录的用户、时间、操作了哪些系统的服务等等。不过提醒你的是，如果你没有使用日志转移，一 些黑客的高手则会删除他们访问的记录，此时如果你发现正常的日志统计中少了一段时间记载， 则可以断定有些黑客光临过你的系统。 对于 Linux 用户如果你安装了所有正确的补丁，拥有经过测试的防火墙，并且在多个级别都激活 了先进的入侵检测系统，那么只有在一种情况下你才会被黑，那就是，你太懒了以至没去做该做 的事情，例如没有升级服务软件包的版本。 Linux 系统中更严重的威胁是某些“脚本小子”还会 下载一些众所周知的“root kits”或者流行的刺探工具，这些都占用了你的 CPU，存储器，数据 和带宽。找出 root kit的首个窍门是运行 ps 命令。黑客常用的一个诡计就是把 ps 命令替换掉， 而这个替换上的 ps将不会显示那些正在你的机器上运行的非法程序。为了测试个，应该检查你 的 ps文件的大小，它通常位于 /bin/ps 目录下。在Linux 系统上寻找未知的用户账号可能要复杂 一些，需要本机登录到你的 Linux 机器时，敲入以下的命令：“grep :x:0: /etc/passwd ”这个命 令应该只返回一行，类似 root:x:0:0:root:/root:/bin/bash ，如果系统返回的结果不止一行，那可 能就有问题了。应该只有一个用户的 UID为 0，而如果 grep 命令的返回结果超过一行，那就表 示不止一个用户了，这很有可能就是黑客光临了你的主机。 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 6 提示：Script Kiddie，国内成“脚本小子”，指的是用别人写的程序的人。网上有很多hacker 写的小程序，许多 hacker 在公布他们发现的漏洞时，常常也会上传一个可以溢出（exploit）漏 洞的程序，作为自己发现这个漏洞的证明。也有的 hacker 编写了一些 hacking的工具程序。而 脚本小子就是收集这些程序的人，他们可能自己从来没有写过一行程序，可能对这些程序内部如 何工作一无所知，也不知道如何写这些程序，更不知道如何发现系统的漏洞，就是说他们不知道 如何“hack” 一个操作系统或一个应用程序，但是他们知道如何使用 hacker编写的程序与工具， 这种人危害最为严重，有的人设置两 Format这样的命令都敢操作。 快速安全的法宝：划分信任区域 随着时间的发展，安全威胁无论在形式上还是在数量上，都已呈现出爆炸性的增长；现在每天都 有成百种新型病毒在网上出现，而主流应用平台的安全漏洞更是数以千计。用户的防御体系，早 已从单点设备防护转移到如何治理混合型威胁的趋势中来。划分区域不但可以阻断黑客访问内往 的可能，也会减少内网之间的病毒感染。安全区域的划分可以分成两类：根据安全等级划分；根 据资源位置划分。 � 根据安全等级划分 这也是我们通常所说的“垂直分层”管理模型，比如将承载不同应用的主机分为 4 个网络安全层 次：核心层、应用层、隔离层与接入层。对应用系统实施网络分层防护，有效地增加了系统的安 全防护纵深，使得外部的侵入需要穿过多层防护机制，不仅增加恶意攻击的难度，还为主动防御 提供了时间上的保证。 � 根据资源位置划分 根据资源位置划分的目标是将同一网络安全等级的资源，根据对企业的重要性、面临的外来攻击 风险、内在的运行风险不同，划分成多个网络安全区域。执行划分的原则是将同一网络安全层次 内服务器之间的连接控制在相同的区域内，尽量消除不同安全层次之间的联系，实施相互逻辑或 物理隔离。 划分安全区域最简单的办法是使用功能强大的防火墙，那么防火墙中最关键的技术又是什么呢？ 这就是：网络验证算法。以思科的 PIX500 系列防火墙为例：ASA 算法采用了一种基于状态和面 向 TCP 连接的安全设计体系。ASA 基于源和目的地地址创建一个会话流，同时在一个连接完成之 前将其 TCP 序列号、TCP 端口号和附带的 TCP 识别标记随机地加入会话序列。实现会话序列得的 作用主要是用来监视从目的地址返回的数据包，并保证其合法性。例如每一个内部系统和相关应 用在未经过明确的安全配置的情况下只允许单一方向的连接 (由 inside 到 outside)，随机生成的 TCP 序列号可以避免黑客利用篡改 TCP 序列号进行攻击的可能性，这是传统的包过滤防火墙不能 比拟的。拥有特殊算法的防火墙几乎不影响网络性能，因此可以应用在内部网和 Internet、 Extranet 或 Intranet 链路之间执行安全访问，这使得划分区域时变得非常 Easy。 场景之三：公司缺钱，通信费用严重超支 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 7 案例描述：李老板喜欢通过电话洽谈业务，他觉得声情并茂的对话沟通要比 MSN、QQ 等互 联网即时通信工具的效果强得多，对于手下的员工，他也是这样硬性要求的。烧钱的是，公 司业务多数都是异地的，长途电话太可怕了，一个月下来，电话费用就要花上好几万。经济 衰退的大背景下，来钱少了，电话数量却不减反增。某次，李老板在和别人的闲谈中听说， 网络也可以打电话，顿时心里乐开了花，立马掏出电话 CALL 向网管小刘…… 解决方法解决方法解决方法解决方法 “融合”网络是一个大趋势，将数据、语音及视频等通讯方式都集成到一个互联网协议 (IP) 中， 不仅有助于员工之间协作办公，还可以有效节省开支，那么如何将网络融合到一起呢？下面我们 讨论一下具体的做法，帮着小刘出谋划策。 不明智的汇报 小刘接到了李总的电话，为了向李总解释清楚，所以约定了第二天进行一次知识讲座，主题就是 “如何用网络打电话？” 第二天，小刘给自己的主机和李总的电脑上都下载了一个网络电话的使用软件，简单的配置之后， 李总第一次尝到了网络电话的效果。“怎么不太清楚？”李总有些质疑。在解释了试用产品的瑕 疵之后，小刘正式开始了讲座。 随着网络和数字传输技术的应用，原来在数据通信网中被视为应用“瓶颈”的带宽和服务质量等 问题一一得到解决，这推动了 IP 技术的飞速发展，带动各种各样的媒体应用向 IP靠拢，如 IP电 视和 IP 电话（又称 IP PHONE 或 VoIP）业务就是其中典型的应用。目前比较流行的方式有两种： 一种是利用 Internet 网络进行的语音通信，我们称之为网络电话；另一种是利用 IP技术，电信 运行商之间通过专线点对点联结进行的语音通信，有人称之为经济电话或廉价电话。 “下面我给您讲一下 IP 电话的原理吧。”小刘说的这句话的时候没有看出来李总已经有些不耐 烦了，因此接着他的高谈阔论：“IP 电话是建立在 IP技术上的分组化、数字化传输技术，其基 本原理是：通过语音压缩算法对语音数据进行压缩编码处理，然后把这些语音数据按 IP等相关 协议进行打包，经过 IP 网络把数据包传输到接收地 ,再把这些语音数据包串起来，经过解码解压 处理后，恢复成原来的语音信号，从而达到由 IP 网络传送语音的目的。 IP电话系统把普通电话 的模拟信号转换成计算机可联入因特网传送的 IP 数据包，同时也将收到的 IP 数据包转换成声音 的模拟电信号。经过 IP 电话系统的转换及压缩处理，每个普通电话传输速率约占用 8～11kbit/s 带宽，因此在与普通电信网同样使用传输速率为 64kbit/s 的带宽时，IP电话数是原来的 5～8 倍。” “那么您知道 IP 电话的核心与关键设备是什么呢？这就是 IP 电话网关……”还没说完，李总就 开始了一连串的咳嗽：“咳咳、咳咳。我看今天咱们就先到这里，我今天有点不太舒服，要不你 写个具体的方案来看看吧！”真不知道小刘怎么想的，给他将这些深奥的理论，肯定是不耐烦了， 这真是一次失败的汇报。 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 8 什么是融合 ? 小刘回到家里，在网上使劲的挖掘资料，想弥补今天白天的设计失误。在找寻网络电话资料和方 案的时候，他发现了一个新的名词：融合！ 还即可上大学时老师讲过，以前人们试图在 ATM 和帧中继网络上实现多业务复用系统，把话音、 传真、留言放在同一终端设备上。这几年来，新的话音压缩技术、 IP 网络上的 H.323 和 SIP 呼叫 信令技术、媒体流传输技术的商业应用突破，都为企业更有效地利用单一通信平台完成商业通信 开辟了新的道路。 以前小刘的公司需要几个独立的网络来组成，如企业的话音通信系统，由企业的内部程控电话交 换系统，连接公共电话系统的 PSTN 组成。不仅是李总的通话，其实是所有向外的电话业务都需 要支付额外费用。同时企业通常还拥有内部数据通信网（ Intranet）系统，由数据局域网和租用 公共通信专线或采用虚拟专线（VPN）连接各个分支机构和远程移动用户。想到这这些，小刘不 再只关注电话这一个方面了，他想李总肯定希望得到一份更宏伟的计划书。 白来的方案策划书 想到了语音信箱、想到了以后公司的视频会议、甚至想到了呼叫中心，然后自己手底下在配几个 小弟，当上 CIO，小刘胡思乱想之后，反而进入了苦恼阶段。那么这些内容如何组建起来呢，实 在没辙情急之下，小刘拨打了论坛大哥的电话，由于夜色已深，大哥恼怒的同时还是给了他一份 Cisco的《中小企业语音与统一通信解决方案》。详细看完之后，小刘简单了修改了一些措词， 并准备按照这个思路来完成自己的远大理想。两周之后，在报告书中，他详细的分析了公司现有 的通信费用、查旅费，并与建设呼叫中心和视频会议系统之后的费用进行了对比（使用了大量的 图表对比），以建立企业信息统一中心为题目的报告书得到了李总和全部高层的认可。当讲到了 电话系统和客户关系管理 (CRM) 系统相集成这个计划时：“因此当客户呼叫时，员工将在他们 的电话或 PC 上的弹出窗口看到该客户的所有信息。让一个电话号码在多部电话上同时振铃， 这样员工就不会错过任何一个电话……”四周竟然响起了掌声。 准备采购之前，小刘想：其实每个企业的网络发展到今天，都期望得到最佳的信息融合。以前我 总是想到数据传输方面的，例如基于 PSTN 电话网上的语音数据和基于有线电视同轴电缆上的视 频数据，以及基于 IP 的信息数据，都被整合在一个网络中进行传输，这个物理媒介就是融合网 络。但是融合网络还有一层含义是在应用层面。它把以前各种异构网络上的应用全部整合到一个 IP 网络上，从而实现在应用上的大统一，这是一种更直观的理解。只有将应用都纳入自己的管控 范围，小刘迈上 CIO宝座才可能是一条现实可行的路，才不再是空想。 场景之四：办公区域分散 传统布线太烦人 案例描述：小尚所在的外贸公司实力不菲，拥有两栋独立的办公楼，高管们在一座豪华的别 墅里面集中办公，普通员工则被安排到 100 米开外的三层大楼里面， IT 设备足有 200 多台， 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 9 作为公司的唯一网管，小尚最不愿意面对这种情形，如果按照传统的网络布线方式，即便累 个半死，也不一定有效，哪怕其中一个再小的环节出纰漏，对于整个网络的影响都将是致命 的，维护起来是件要命的事儿。小尚在心里盘算着，无线办公才是唯一活路…… 解决方法解决方法解决方法解决方法 WLAN 技术的出现和高速发展为网络组建过程中解决了很多难题。例如，可以进行自由网络连接， 不受制于端口和线缆位置；可以节省布线成本，减少布线施工和线缆维护的工作量；部署在不利 于布线或其他特殊的场地，如隧道、码头、高速公路和山川河流等；还可以不受时间和地点的限 制，以满足各种行业的需求等，WLAN 技术的确在改变着世界、改变着人类的生活方式。但是， 就在 WLAN 技术带来便利的同时，面对 WLAN 的传输速度、无线辐射、信号干扰和设备成本等 一系列问题，管理员也是忧心重重。此案例中，无线环境重点要考虑的是三个方面的问题，即： 两个楼宇之间的访问，楼层之间的访问，以及每个楼层平面上的无线传输，但问题是，市面上的 无线路由产品质量参差不齐，找到一款信号覆盖范围出众、信号穿透能力强大、又有安全保障的 产品并不是一件容易的事情。 根据小尚所管理的网络情况，建议他从以下几个方面进行考虑： 穿透力要看 “穿墙 ” 无线穿透力是指无线信号在有一定遮挡的时候能够穿透、绕射过障碍物的能力。一般来讲空气对 无线电的影响比较小，而木材、石膏、石绵、一般玻璃等对无线信号影响比较大，而水、砖头、 大理石、水泥、混凝土等对无线电就有很强的隔断作用，而金属则能够完全屏蔽无线电波的传输。 微波的最大特点就是近乎直线传播，绕射能力非常弱，因此身处在障碍物后面的无线接收设备会 被障碍物给阻挡。所以对于直线传播的无线微波信号来说，只能是“穿透”障碍物以到达障碍物 后面的无线设备了。“穿透”了障碍物的无线信号将逐渐变成较弱的信号，至于这个信号还有多 强，这就是穿透能力或直接说是“穿墙能力”了。 对于小尚来说，他希望无线信号至少能穿透屋内的墙壁和地板。墙壁的材质有多种，有木质墙、 玻璃墙、砖墙、混凝土墙等，地板是钢筋混凝土。每穿透一道隔离墙，无线的接受信号或多或少 都有衰减，上面的建筑结构依次从低到高的衰减。小尚试用了一些产品，但发现发射功率过低、 接收灵敏度不够、天线增益不够，因此无线信号会衰减得很利害，在移动时传输速率急速下降， 甚至会容易在楼道拐角出现无线的盲点的情况。 确定覆盖范围真的好难 此案例种需要一个覆盖范围更大无线网络环境，而原来的无线路由又有些力不从心的话，小尚就 要在进行实地测量，还需要借助一些工具才能进行评估。 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 10 如果单独的想象，把无线覆盖范围就想成一个 AP 作为圆心，然后画一个圆就大错特错了。因此 在设计无线范围的时候要考虑到，接入点会自动地发现其他接入点，并选择最佳的路径以达到最 大限度地提高系统容量和缩短延时。接入点要能不间断地与其他节点通信，评估每条链路在提高 性能方面的潜力，如果某条链路的性能降低，接入点将会判断是否存在另一条性能更高的路径， 并将通过一个性能更加理想的节点传输流量。在此案例中比较有代表性的技术就是 Cisco 的无线 网状网络，它避免了连接网络中的每个接入点的需要，让用户更加方便、更加经济地扩大网络的 覆盖范围。另外，思科无线网状网络解决方案还方便地将已有的室内有线或者无线网络与室外网 状网络连接到一起，使用户在无需重新连接的情况下，能从一个区域漫游到另外一个区域。 无线漫游网络的配置 上面说到了漫游，若欲真正实现无线漫游，必须将多个 AP 形成的各自的无线信号覆盖区域进行 交叉覆盖，各覆盖区域之间无缝连接。所有 AP 通过双绞线与有线骨干网络相连，形成以固定有 线网络为基础，无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的 AP 接入网络，访 问整个网络资源。无线漫游覆盖大大扩展了单个 AP 的覆盖范围，从而突破了无线网络覆盖半径 的限制，用户可以在 AP 群覆盖的范围内漫游，而不会和网络失去联系，通信不会中断。 由于小尚没有找到很好的无线范围规划和漫游测试工具，因此邀请了一个专门作无线的哥们前来 帮忙。本以为神秘的无线网，通过哥们的简单配置就解决了小尚的规划难题，那么这个神秘的武 器是什么呢？答案就是 WCS。 思科无线控制系统（Cisco Wireless Control System，WCS）是进行无线局域网规划、配置和管理 的统一平台。它提供了一个强大的基础，使 IT管理员能从中央地点设计、控制和监控企业无线 网络，简化运营并降低总拥有成本。借助 Cisco WCS，网络管理员可拥有单一解决方案，实现 RF 预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。小尚所有的疑 问都从 WCS 强大的图形化界面和分析报告中取得了满意的答案。 提示：Cisco WCS运行在服务器上，有一个内嵌数据库，可管理数百个 Cisco 无线局域网控 制器，而这些控制器可管理数千 Cisco 小型接入点。无线局域网控制器可位于 Cisco WCS所在的 局域网中、分布于多个独立路由子网或位于广域连接之上。Cisco WCS甚至可为最大的企业环境 提供理想的无线局域网管理平台。 Cisco WCS 提供了集成化 RF预测工具，它们可用于创建详细的无线局域网设计，包括轻型 接入点的放置、配置、预计性能和覆盖范围。网络管理员可将实际的地面布局输入 Cisco WCS， 并确定楼宇中各组件的 RF特性，以提高设计准确性。热点图可帮助网络管理员查看无线局域网 的预计行为，以便更方便地进行规划和更快地实施部署。 无线安全：小问题，大隐患 安全中的小问题可能就是今天的大隐患。小尚的一个同学由于在安全管理上一窍不通，在公司出 现几个安全事故之后，最近就丢掉了工作。因此小尚绝对不会讲他的故事重演在自己的身上。 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 11 传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2 和 EAP-MD5 查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一 个密码散列以及身份认证服务器发出的随机查询。虽然密码散列 /查询系统在有线基础设施中一 直相当可靠，但现在已经证明，以无线的方式部署相同的身份认证机制是有缺陷的。通过捕获或 侦听广播频率中的身份认证数据包，黑客们可以使用常见的字典攻击工具来发现空中传输的密 码，通过中间人攻击来窃取会话信息，或尝试进行重放攻击。 本案例中，由于老板们和员工们分别处在了两所楼宇中，因此安全传输问题更为重要。因此小尚 不仅接入层使用了 802.1x 的技术，更在无线传输中使用了 802.11i 的加密技术，不过这幸亏选择 了统一的 Cisco品牌，同时支持这两种技术，可以更宽的范围内为公司员工提供安全访问了。 教你做个真正的好网管 随着计算机网络技术在各行各业不断推广和普及，网络规模的急剧膨胀以及网络结构的复杂程度 不断增加，产生了许多传统的网络管理系统所不曾遇到的问题。网络设备、服务器、客户端三者 之间的不均衡发展，在设备智能化管理的发展道路上呈现出了不同的指标曲线。诸多因素的共存， 使得我们在实现对大量网络设备的自动管理，应对网络管理系统架构变化等各项工作中困难重 重。 狭义的网络管理，按照国际标准化组织 ISO 的定义是有 5 项内容：网络配置管理，网络故障管理， 网络流量管理，计费管理以及安全管理。现在，除了在某些行业外（如电信），计费管理基本上 没有用武之地，而安全管理则日益壮大形成了自己的一个系列。广义的网络管理其实包含以下内 容：网络管理，系统管理，服务管理，为了区别狭义的网络管理，在这里我们用网络架构管理来 称呼它。 对网络管理的要求日益迫切，而且对网络管理的功能定义实际已经超出了狭义的网络管理，而转 为广义的网络管理即网络架构管理。在此阶段，我们最担心的系统发生问题。当系统发生故障后， 我们会根据经验一步一步地检查故障，如 ping 一下路由器、检查一下系统 CPU 使用率、内存使 用率等。这样的网络管理方法随意性强、没有，很容易漏掉一些关键点。另外，就是修复效 率低，我们常常一边思考、一边检查，耗时长，而网络瘫痪时间越长，企业的损失就越大，这绝 不是一名合格的网管。 站在企业的角度去思考问题 一个好的网管能够站在企业的角度，最后的收益还是自己。对于中小企业来说， 2009 年的金融 危机加剧，资金更加有限，不可能把企业所需的产品采购一步到位，所以采购人员可以从企业的 效益为基础来进行分析、规划，然后按照企业各部门对产品需求的迫切度来逐步采购。在确定好 明确的采购计划后，相关设备的选购可以选择市场上较为成熟的产品，而不一定是最先进的或最 贵的，并且还要考虑具备一定的升级空间，把钱用在刀刃上，这样才能够有效的避免造成企业资 源的浪费，为企业效益最大化创造空间。 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 12 选择有保障和技术支持的品牌，最后的收益还是我们自己的，为什么这么说呢？因为这些品牌的 稳定性要相对于那些“山寨”产品强得多，而在我们搞不清楚一些具体配置的时候，在这些厂商 的网站上又能找到答案。 站在技术的角度去深入问题 在我们精心打造网络中，如果网络突然缓慢，在重要数据往来时段，留给系统管理员的响应时间 只有宝贵的十几分钟、甚至几分钟。网络的稳定性主要体现在网络结构的稳定和网络设备的稳定， 网络结构是由网络设备组建而成的，因此网络设备的稳定是最根本的基础。 为了保证网络设备的稳定，我们可以从软件和硬件两个方面来全面考虑，如硬件冗余备份、整机 电磁干扰屏蔽、性能评估等；软件方面可以主要考虑软件模块化设计、压力测试、兼容性。以上 诸多方面在我们的日常管理中是如何反应出来的呢？答案是日志。 在一个完整的信息系统里面，日志系统是一个非常重要的功能组成部分。查看交换机、路由器和 其他网络设备的日志，可以帮助网管员迅速解释和诊断问题。很多网管员经常将认为日志管理是 信息安全管理的内容，和系统管理关系不大，这是绝对错误的。 很多人在发现网络运行不正 常后希望登陆到网络设备，对网络设备的各种协议和状态进行查看，期望找出问题，必要时对某 些协议或物理端口进行重新设置或屏蔽以保障网络设备的正常运行，但此时管理员的所做的一切 行为都可能无济于事了。所以，发生了大量系统管理员直接开关电源重新启动设备的无奈之举， 不仅极大地影响了网络的持续稳定运行，而且无法及时对网络的异常状况进行定位和分析。 管理员了解设备的运行情况，提前判断可能出现的问题是保证设备稳定运行的一个重要手段。当 然，上述做法只是适用规模较小的网络，当一个网络发展到超过管理员人工管理极限的时候，单 凭个人的技术能力就无法胜任了。所以，配备一种网络管理软件，也是网管员必备的武器之一。 培养自己的学习能力 这里有个例子，是一个网名叫“火焰鸟”朋友的经历。进入这个行业的时候，主要是一个从事网 吧的管理。月薪 1200 元的他，没有富余的资金用来报考一些网络管理知识的培训班。但随着几 次换工作（当然也是网吧管理员），在大一些的网络环境中继续学习和成长。在这里，机器变多 了，网络也大了，简单小型网络的管理经验已经远远不够，他用几年来的积累，报考了 CCNA、 CCNP、MCSE 和 CIW，并且也经常帮朋友配置网络硬件、规划小型网络。 2 年前他换了“东家”， 在一家外企公司任管理管理员。他非常善于积累经验，随着管理经验的增长，也就成就他故障迅 速判断、突发问题解决能力强的特点。春节刚过，他又换了工作，在国内非常著名的系统集成公 司，负责的第一个项目就某银行的全国网络改造。其实，人与人之间学习的能力没有很大的差距， 这个例子告诉我们，系统的培训和经验的积累都必不可少，而要把成功归功于自己努力的结果。 让我们共同努力吧！ 《IT 预算少了，网管人员该怎么办？》——2009 年最新最全，汇聚专家智慧，提供解决之道 13 随着网络系统在整个企业业务流程中的地位明显提高，在国外或国内的大型企业机构都重新将定 义了网络管理员的职责， MIS（Manger Information System，信息系统管理员）孕育而生。我们 要正确地看待“网管”两个字中的“管”字，网络管理员的“管”字可以包括这几个方面：网络 设备管理（NDM）、网络系统管理（NSM）、应用性能管理（APM）、桌面管理（DMI）、员工 行为管理（ EAM）、安全管理（ SM）、数据库管理（DBM）。要全部完成上述七个管理职责可 谓困难重重，让我们共同努力吧！ 特别鸣谢：张琦、艾依然两位同志对本文提供了大量智力支持，在此深表谢意。张琦，现任荣 新 IT培训中心课程总监， 2009年微软企业安全方向 MVP，为多家 IT专业媒体的特约撰稿人。 场景之一：IT预算少了，如何花小钱办大事 解决方法 查看日志，找出问题 设备老化，都是空调惹的祸 版本老化，小心升级 小艾：一定要注意采购环节呀！ 场景之二：网管肩扛诸多事务，查杀病毒和防黑客是重中之重 解决方法 谁毒了我的电脑？ 谁黑了我的电脑？ 快速安全的法宝：划分信任区域 场景之三：公司缺钱，通信费用严重超支 解决方法 不明智的汇报 什么是融合? 白来的方案策划书 场景之四：办公区域分散传统布线太烦人 解决方法 穿透力要看“穿墙” 确定覆盖范围真的好难 无线漫游网络的配置 无线安全：小问题，大隐患 教你做个真正的好网管 站在企业的角度去思考问题 站在技术的角度去深入问题 培养自己的学习能力 让我们共同努力吧！