如果你是网管,是不是经常为网络中出现的问题而头疼甚至搞的焦头烂额呢?对于广大的网络爱好者、网管或信息中心的朋友来说,学到的知识可能很多,但怎样将知识学以致用到实战工作中去,将自己的特长与才能全部发挥出来,可能就有些困难了。
本期特邀网络工程领域的权威专家将针对企业网络应用与规划中遇到的实际问题,给予解答。欢迎午饭积极提问,与专家一起讨论!
本期专家:王春海
擅长领域:网络
专家简介:河北经贸大学信息技术学院实验中心,实验师,MCSE、MCDBA。对组建大、中型广域网与局域网有相当丰富的经验,主持组建过若干广域网、局域网工程。 在网络维护、网络故障解决、网络安全、数据恢复和虚拟机等方面有独到的见解,在人民邮电、清华大学、电子工业、科学等出版社出版过20多本图书,主要有: 《最新无盘工作站与终端配置及应用实例详解》及其之二、之三,《网络视频技术及应用标准教程》,《虚拟机配置与应用完全手册》,《网络常见问题与故障 1000例》、《Windows Server 2003组网教程(管理篇)》,《企业网络配置与管理》,《非常网管-网络应用》、《非常网管-网络管理》、《非常网管-典型网络实验》、《非常网管-常 用DOS命令》、《虚拟机技术与应用-配置管理与实验》、《网管天下》系列从书。个人获得两项专利技术。
查看本期门诊精彩实录:http://doctor.51cto.com/develop.php?cid=185
参与最新技术门诊:http://doctor.51cto.com/
精选本期网友提问与专家解答,以供网友学习参考。
Q:学习网络已经二年了,感觉学到的东西不是忘记了,就是用不着,一名合格的网络工程师到底要具备哪些技术啊?整天对着小凡配来配去有用吗?
A:一名合格的网络工程师,要学的东西是比较多的。硬件来说,至少要熟悉交换机、路由器的相关知识与配置;软件来说,至少要熟悉TCP/IP协议、熟悉当前流行的网络操作系统、相关服务器的安装与配置。更重要的问题是,你要有独立的分析问题、解决问题的能力。对着小凡来做一些交换机与路由器的实验,是非常有用的。实验是最好的老师。每个初学网络的朋友,都会经过这些。不仅初学者,现在每个做网络、用网络、管网络的人,也是经常搭建一些实验环境,验证自己的想法的。
Q:DC(安装IAS)+第三方防火墙 使用域用户控制上网请问老师可以做用户并发限制吗?也就是说A是有上网权限的,B是没有的;但是A喜欢帮助别人把自己的用户给了B使用。 A:大多数的防火墙是做不到用户并发限制的。例如A能上网,A告诉B自己的用户名与密码,则B也会用A的用户名与密码上网。这个,你可以配置个PPPOE的服务器,限制用户只能通过PPPOE的方式上网,并且限制PPPOE帐户只能登录一次,这样可以限制用户并发上网。当然,如果A做二次代理的话,B也是可以通过A共享上网的。这时候,可以限制每个用户上网的并发TCP连接数、流量等做出进一步的限制。现在也有的防火墙,禁止用户做代理服务器的,你可以找一下这方面的产品。
Q:你好,王老师。我现在是一名小企业的网管,公司的机子也就有20台左右。我现在所做的工作就是维护这些机子的正常运行,当然最主要的工作还是打杂。我现在 抱着这样的心态,我是来学习的。尽管公司里面没有这样的条件,但是我还是自己创造条件来学习,没有问题自己创造问题也要学习。我现在就是想问问,王老师,我这样的学习行吗??我现在所遇见的问题是不是在以后的工作,也会遇到呢???谢谢,王老师…… A:这样学习是可行的。我当时也是在外面公司兼职,一边干活一边学习的。我们现在做实验,模拟真实的或虚拟的环境,期间碰到的每个问题,以后可能会碰到。当我 们做的实验多了、遇到并解决的问题多了,以后再碰到类似问题时,解决的就会快些。就是没有碰到相同的问题,以前的经验也是值得借鉴的。
Q:您好,请问esx server是不是一个系统,像win sever2003一样安装完之后,在系统里面安虚拟机呢? A:差不多可以这样理解。VMware ESX Server直接安装在“裸机”上,安装好后,在管理工作站上,通过VMware ESX Server的客户端,控制并管理VMware ESX Server,在VMware ESX Server中创建虚拟机、在虚拟机中安装操作系统。
Q:我认为一名好的网工首先是要有判断问题的思路,一上来不要盲目的处理问题。第二是要有解决问题的方法和相应的技术。不知道专家我说的对不对 A:对,就是这样的。判断问题、分析问题、解决问题,其中分析与判断是比较关键的。网络中,碰到的问题可能会比较多,有时候碰到的问题可能与网络无关,这就非常考察每个人的判断能力与分析能力,以及其他一些知识。
Q:请问: 1、网络管理需要具备哪些知识点或知识储备? 2、在内网管控上,有哪些比较好的或者成熟的技术应用。 A:网络管理需要的知识比较多,除了需要了解,要管理的网络中的硬件设备(路由器、交换机、网络安全设备、服务器)软件(网络操作系统、客户端操作系统、网络 中所运行的专用软件等),还要了解其他的一些知识(这些就比较杂了,例如,某个员工安装的软件等),网络管理,除了需要专业知识,还要了解其他 的相关知识(比较杂) 内网管控上,现在有许多的 网络行为管理产品,产品比较多,你可以通过搜索引擎,搜索一下
Q:您好,王老师 怎么较好维护整个公司网络的带宽问题,假设要组建一个学校的网络,需要什么设备及怎么连接。 A:需要网络行为管理产品,或者安装网络流量 控制的软件或设备要组建一个学校的网络,看学校的需求、资金投入及后期的维护,综合考虑选择软件、硬件,之后根据学校需要及硬件选择,进行连接。
Q:我现在是一家IT外包公司的维护人员,主要负责几家客户的桌面维护、网络的维护、关于dc的添加用户等等,我想进一步在IT方面发展,有几种道路,各需要什么技能。请专家指导下。
A:这需要看你现在的水平,以及你的爱好,以及其他的条件(时间、资金、是否有时间与精力、能力进一步学习等情况)。IT方面,目前分类比较细,有开发类、有 网络维护类,开发类有游戏、应用软件、系统软件等方面开发,网络维护类,有硬件(路由器、交换机、网络安全产品、其他网络产品等),也有类似软件类(例如 财务软件、数据库软件、网络操作系统等),比较多,主要看你自己的选择。#p#
Q:王老师您好!下面是我的思科ASA5510防火墙配置,我想能让外网访问我的WEB服务器,您帮帮我吗?不知道是那里出了错,外网不用访问我的WEB,可内网可以访WEB。hostname
- gametuzi5510
- domain-name default.domain.invalid
- enable password 8Ry2YjIyt7RRXU24 encrypted
- passwd 2KFQnbNIdI.2KYOU encrypted
- names
- dns-guard
- !
- interface Ethernet0/0
- nameif outside
- security-level 0
- ip address 192.168.0.254 255.255.255.0
- !
- interface Ethernet0/1
- nameif inside
- security-level 100
- ip address 10.1.1.1 255.255.255.0
- !
- interface Ethernet0/2
- nameif DMZ
- security-level 30
- ip address 200.1.1.1 255.255.255.0
- !
- interface Management0/0
- nameif management
- security-level 100
- ip address 192.168.1.1 255.255.255.0
- management-only
- !
- ftp mode passive
- access-list icmp_in extended permit icmp any any
- access-list 100 extended permit tcp any host 192.168.0.254 eq www
- access-list 110 extended permit ip 10.1.1.0 255.255.255.0 any
- access-list 120 extended permit ip any host 192.168.0.254
- pager lines 24
- logging asdm informational
- mtu outside 1500
- mtu inside 1500
- mtu management 1500
- mtu DMZ 1500
- asdm image disk0:/asdm-508.bin
- no asdm history enable
- arp timeout 14400
- global (outside) 1 interface
- global (outside) 1 192.168.0.0 netmask 255.255.255.0
- global (DMZ) 1 200.1.1.10-200.1.1.254 netmask 255.255.255.0
- nat (inside) 1 0.0.0.0 0.0.0.0
- nat (DMZ) 1 0.0.0.0 0.0.0.0
- static (DMZ,outside) tcp interface www 200.1.1.1 www netmask 255.255.255.255 dn
- s
- access-group 100 in interface outside
- access-group 110 out interface outside
- access-group 110 in interface inside
- route outside 0.0.0.0 0.0.0.0 192.168.0.254 1
- route outside 0.0.0.0 0.0.0.0 200.1.1.1 1
- route inside 10.1.0.0 255.255.0.0 10.1.1.253 1
- timeout xlate 3:00:00
- timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
- timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
- timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
- timeout uauth 0:05:00 absolute
- http server enable
- http 192.168.1.0 255.255.255.0 management
- no snmp-server location
- no snmp-server contact
- snmp-server enable traps snmp authentication linkup linkdown coldstart
- crypto ipsec security-association lifetime seconds 28800
- crypto ipsec security-association lifetime kilobytes 4608000
- telnet timeout 5
- ssh timeout 5
- console timeout 0
- dhcpd address 192.168.1.2-192.168.1.254 management
- dhcpd dns 172.10.90.2
- dhcpd lease 3600
- dhcpd ping_timeout 50
- dhcpd enable management
- !
- class-map inspection_default
- match default-inspection-traffic
- !
- !
- policy-map global_policy
- class inspection_default
- inspect dns maximum-length 512
- inspect ftp
- inspect h323 h225
- inspect h323 ras
- inspect rsh
- inspect rtsp
- inspect esmtp
- inspect sqlnet
- inspect skinny
- inspect sunrpc
- inspect xdmcp
- inspect sip
- inspect netbios
- inspect tftp
- !
- service-policy global_policy global
- Cryptochecksum:56b2336f6c03d2c2a78ffd389b1c2419
: end A:我对硬件设备不是很熟悉。内网能访问,说明你的网站服务器是好的,外网不能访问,你是不是没有将防火墙对外的地址映射到内网网站服务器?如果映射好了,内网网站服务器的网关地址配置正确的话,应该是可以访问的。
Q:王老师您好, 我有这样一个问题,我们公司服务器是centos操作系统,现在托管于电信机房100M共享。现在我们公司需要将一个运行在centos环境下的ERP系 统和一个asp的公司网站和一个公司内部的聊天工具类似QQ一样。需要安装客户端和服务端才可以进行通讯,请问这样如何实现这三个系统都可以正常运作, (ERP系统、asp网站、内部聊天工具) A:如果你的ASP网站与内部聊天工具,服务器端是运行在centos操作系统上,则在远程centos服务器中安装配置ASP网站与内部聊天服务器端,并开放相应的服务端口,并进行相应的配置即可;而工作站端,则安装聊天客户端软件、ERP的客户端软件。对于服务器端,只要服务的端口不同,应该可以同时运行。工作站端,可能就无所谓了,只要能运行在同一平台就行了。如果不能同时运行,只能借助于虚拟机了。
Q:你好,王老师 请问一下,网络安全方面的只是需要从哪些方面入手呢? 硬件?软件? A:至少要熟悉TCP/IP协议、熟悉IP地址的划分。然后看你想学习那方面:网站方面、数据库方面、网络安全,如果是网站方面,可能还要熟悉宿主机操作系统 (Linux或Windows)、IIS或Apache等,数据库有MYSQL、SQL Server等,网络安全方面,可能就比较多了,既要熟悉硬件、还要熟悉软件。你可以先从一方面学起,或者你找相关的图书,多看一些书,多学、多想、多 练。
Q:王老师您好, 我有这样一个问题,我们公司服务器是centos操作系统,现在托管于电信机房100M共享。现在我们公司需要将一个运行在centos环境下的ERP系 统和一个asp的公司网站和一个公司内部的聊天工具类似QQ一样。需要安装客户端和服务端才可以进行通讯,请问这样如何实现这三个系统都可以正常运作, (ERP系统、asp网站、内部聊天工具) A:在你设置公网地址的机器上,启用或配置端口转发。详细的你可以查一下相关的资料。或者,你详细的描述一下,你的拓扑图,例如:公网地址绑定在A服务器上,A服务器是物理机。在A物理机上配置 了虚拟机,A的虚拟地址是192.168.1.3,虚拟机的网卡地址是192.168.1.4,网关地址是192.168.1.3.则在A上,用虚拟机自 带的NAT转换功能,或者用A机的防火墙功能,映射相关的端口到192.168.1.3.用虚拟机解决完了,剩下的就是端口转发了,端口转发的方法,可以查相关的资料的。
Q:王老师你好!我们单位有三个网络,都要求专网专用,物理隔离,还要求保密。现在病毒泛滥,请问如何较好地管理这样的网络? 补充一下王教师!目前我们的三个网络只是接到机房,各办公室只有一条网线,如果三个网络同进运行可能要重新布线,比较麻烦,而且一个办公室只有两台电脑,但工作需要可能要使用三个网络。有没有好的办法在机房搞定,比如说添加新设备等!预算价格在10万元以内 A:你可以在每个网络中,配置一个“网络版”杀毒软件的服务器端,在公网上获得病毒库后,通过U盘复制到这三个网络的服务器端,为当前网络的工作站升级。
Q:王老师:您好,我现在有一个问题,EXCHANGE 服务器中,从用户A发送邮件到用户B,不能显示内容,但点回复后却又能显示,请问这是什么问题,谢谢。正文看不到,只有在回得邮件的时候才能看到内容。A:你是用OWA还是outlook收信,还是用其他第三方的软件收信?是邮件正文看不到还是附件看不到?我用exchange没有碰到相关的问题。你发一个文本的正文试试,我想,可能是你客户端的设置,或者你发的是html正文的原因。
Q:王老师,你好!现在遇到一个选择上的难题。一直以来都非常喜欢网络,在公司也是做接入网这一块,这半年本想先从PON入手,先将华为GPON与中兴 EPON完全掌握(前期中兴EPON已经搞半年多了,在中兴技术支持也有相关案例发表)。再从事数通方面工作,而通过与主管沟通,得知后半年,公司主要接 了几个城域网优化的项目。都为数通方面内容!自己现在又想按以前的想法学好PON技术,又想按主管的意愿去做数通项目。主要的困顿地方是,个人感觉PON技术会在未来两,三年内大面积运用,GPON会在三网融合上有很大作为。而随着带宽不断加大,城域网优化势在必行。而数通知识自己又相对薄弱!所以两者相持不下,不知该如何选择? A:非常抱歉,我对这方面不了解。我个人理解,如果爱好某方面,时间又允许的话,可以多学学,提前做一些技术的储备,总会有用上的一天的。即使用不上,从事类似的工作,也会有所借鉴。#p#
Q:王老师:您好!就目前社会对网路的需求形式来看,不是很乐观。毕竟网络在老板眼里总是产生不了直接的价值,软件则不同,做软件的人的工资远远高于做网络的,但这并 不是绝对的。我想问一下,对于我们这些做网络的人来说,有多少种网络规划能走向网路的高层,比如说信息主管、CIO等等?就拿我的情况来说吧,大学计算机专业,大四在青鸟培训了一年。刚出道来上海,考虑到自己底子很薄,也就去给电信跑底层ADSL、PC机、少数中小型企业网 络,大概跑了四个月左右,感觉自己底层做的不错了,就去了一家刚成立的公司,做房地产写字楼租售的,待遇还是相当不错的,当时考虑到网络环境比较大,毕竟 是一栋大楼的网络维护,到现在多半年了,什么东西都是自己探索、寻找得到的,算是比较累的了!不过还好,网络这一块虽是自己摸索,但学到了很多东西,眼看 快到年底了,大楼的招租也快结束了,网络的扩建也在年底前完成。完成之后,剩下的也就维护了,没有多大问题了。再加上公司里的经理什么的,对管理这一块并 不是很熟,老总对IT这一块大的方面的投资估计需要一段时间。而我的时间有限啊,不能再等等了,打算明年另寻出路。请专家指示一下,下一份工作我应该怎么选择比较合理!我的最终目标是信息主管或者CIO。 A:这个问题我也不好回答。对于我们每个人来说,学网络,最初都是从装机器、装系统开始的(我学的可能早些,是从MS-DOS 3.30、Netware开始的),然后才开始接触并学习网络。网络发展比较快,可能刚学习了没多长时间,就又有新的知识、新的技术了,原来学的可能就 “落伍”了。从这方面说,好像学网络比较累。但如果一直开始学网络的话,一直没有被“拉下”的话,如果只专注某一方面,则改进相对来说也不是非常的大,例 如从Windows 2003到Windows 2003 R2,再到Windows 2008、Windows 2008 R2。我个人看来,现在懂些技术再做销售,可能是最好的了。如果单独做技术,则找一些专业的、“大”一些的公司,到处调试一些设备,收入也应该不错的。例如现在做网络安全、网络流量监控、VPN设备等,这方面,相当于说,调试相对简单,但利润是比较大的。如果是做系统,如“操作系统”类的技术,可能收入不是太多(我就熟悉这些,好像除了做老师,别的也没什么收入了,呵呵,可能与我处的城市有关)。
Q:我搞网络已经10年了,网络工程师也过了,关键我对网络工程师的前途很担忧,对未来也很渺茫,请问王老师,在网络发展和网络的未来管理上我们应该做些什么呢?我们需要从哪些方面着手去做好网络管理管理和维护的工作呢?谢谢! A:我想,如果是固定在一个单位的话,则至少需要维护好自己的网络。如果是在一个系统集成公司,则需要不断的学习新的知识、掌握新的技术,并且将所学用于实践。另外,在业余时间,多学新的知识、多做实验、多积累。我目前做的也只能是这些。
Q:我用Vmware 6.5安装了一个98系统,但是却不能在上面运行我本机里的软件,我想问下98虚拟系统是不是不支持读取本机共享文件?如果可以的话,应该怎么设置?如果换成2000系统是不是可以解决这个问题?#p#
A:Windows 98好像是不支持这种读取(好久不用98了)。如果你想用本机的,可以通过“网上邻居”共享文件夹的方式,访问主机的文件,或者使用net use x: \\主机ip\主机共享文件夹 /user:主机用户名 主机密码的方式,映射主机的共享文件夹到98虚拟机的X盘来访问。或者,将需要的文件做成 ISO镜像、或者关闭98的虚拟机、使用MAP功能映射到主机盘符,将需要的拷贝到虚拟机中、断掉共享、再启动98虚拟的方法。换成2000是没有问题的。
Q:您好,请问下在网络安全方面一般的200台以内很小型的网络中,没有用硬件防火墙,只用一款H3C 的路由做路由带防火墙,偶尔会遭遇SYN FLOOD UDP FLOOD ICMP FLOOD 等类型攻击致网络外部连接终断,请问下在不增加设备的情况下有没有更好的办法就对 A:我个人认为,只要你连接到Internet,就会经常有人扫描你的系统(漏洞),并在扫描到漏洞后试图入侵。对于企业来说,不管你用硬件还是软件防火墙,只要注意以下的几点,一般安全就不会存在问题:对于防火墙来说,如果没有对外提供服务,则关闭所有的服务端口(TCP的入口)。只开放必须的端口访问外网,例如DNS查询、www浏览、FTP、邮件、聊天等端口。对于网络中的所有计算机,启用软件防火墙、设置强密码、及时更新操作系统与应用软件补丁、安装一款杀毒软件,不浏览“可能有问题”的网页。如果没有必要,网络中的工作站,不要使用Administrator组权限登录,而是使用普通的帐户登录,这样即时浏览网页有“问题”,也很少会感染木马。另外,我维护的许多企业网络,尤其是有固定的公网地址的网络,安装了ISA Server或TMG2010的防火墙,经常会在日志中看到,网络上的其他IP地址扫描并试图入侵,基本上每20分钟就会有一次。但这些见的多了,并且网络也没有被入侵成功过,就习惯了。
【编辑推荐】