特技之一、網絡地址規劃
    企業建立局域網的目的，就是為了實現自動化無紙辦公等高效率、低成本的運營和治理。對于企業而言，網絡擴充和升級都是網管人員必須面對的。因此，ip地址的分配和治理對于網管來說尤為重要。網絡地址規劃，也有技巧可言。

    技巧一：體系化編址
    體系化其實就是結構化、組織化，根據企業的具體需求和組織結構為原則對整個網絡地址進行有條理的規劃。一般這個規劃的過程是由大局、整體著眼，然后逐級由大到小分割、劃分的。這其實跟實際的物理地址分配原則是一樣的，肯定是先劃分省市、再細分割出縣區、再細分出 道路、再來是街巷，最后是門牌。圖一

IP地址分配計算工具

    從網絡總體來說，體系化編制由于相鄰且性質相同的辦公區都在IP地址上也是連續的，這樣不僅于便于網絡治理，也方便網絡升級。未來，一旦某個性能相同的辦公室區域要劃分VLAN或者單獨接入互聯網，地址無需重新分配。
    技巧二：可持續擴展性
    其實就是在初期規劃時為將來的網絡拓展考慮，眼光要放得長遠一些，在將來很可能增大規模的區塊中要留出較大的余地。例如，市場部目前有80臺PC，由于市場部是人員增長速度最快的一個部門，我們可以分配給該部門一個整段的IP，192.168.1.X。這樣既可以保證市場部IP地址的連貫性，又預留了充裕的升級空間。從表面來看，IP地址的分配似乎沒有什么技巧，事實上，一個科學的IP分配方案，可以讓網絡治理更加有序，也可以減輕網管人員的工作量。

    特技之二：網絡設計與規劃

路由器中的防火墻設置

    容錯與備份：在網絡設計過程中，一定要涉及到容錯與備份。一旦服務器故障，或者是網絡線路出現故障，如何能夠讓企業的網絡不中斷。在設計企業網絡時，可以申請兩條寬帶接入線路，一條作為主干線路，另外申請一條廉價的ADSL線路做備份。對于數據安全要求比較高的企業，一定要制定完備的雙機熱備方案，真正做好網絡容錯與備份。企業網絡是一個對安全、穩定性、易用性要求比較高的場所，因此，網管必須學會在網絡設計與規劃過程中，將網絡運行中出現的問題做好預案。

    特技之三：網絡優化

    劃分VLAN：VLAN是Virtual Local Area Network的簡稱，又稱虛擬局域網，是指在交換局域網的基礎上，采用網絡治理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，答應處于不同地理位置的網絡用戶加入到一個邏輯子網中。通過劃分VLAN，可以降低離了廣播，縮小了廣播范圍，可以控制廣播風暴的產生。圖三

根據辦公區域劃分VLAN

    目前，一般具備網管功能的交換機，都可以劃分VLAN。劃分VLAN時，可以根據部門或者通訊量比較大的一些計算機規劃在同一個VLAN里，有效降低大容量的網絡通訊對骨干網絡的占用。

    更換網絡設備：對于劃分VLAN仍然無法解決問題的企業網絡，可以更換網絡數據吞吐量大的網絡設備。有條件的企業，可以更換傳輸介質，將傳統的雙絞線傳輸介質，更換尤為光纖。無論是更換數據交換設備，還是更換光纖，其目的都是為了增加網絡的數據吞吐量，這也是網絡優化最常用的一種方法。總之，網絡優化要以不增加網絡設備為原則，結合現有網絡設備的功能，發揮網絡傳輸的極限。對于規模比較大的企業網絡，網絡優化要經常進行，切莫不要讓網絡始終保持同一狀態運行。

    特技之四：網絡DOS命令
    在Windows大行其道的今天，提及DOS命令，或許很多網管會對此不屑一顧。然而，在日常的網絡維護和網絡故障處理中，DOS命令卻可以起到意想不到的效果。為此，網絡DOS命令也成為一些網管必備的特技之一。Ping、telnet等網絡DOS命令就無需之介紹，下面，我在這里介紹幾個在網絡維護中經常用到的DOS命令。

    Netstat：這是一個用來查看網絡狀態的命令，操作簡便功能強大。利用這個命令，可以查看到當前機器的服務信息，通過這些信息，可以有效發現和預防木馬。如圖四：

當前機器開放的端口信息

    -a 查看本地機器的所有開放端口，這里可以看出本地機器開放有http服務。
    命令格式：netstat -a IP
    -r 列出當前的路由信息，告訴我們本地機器的網關、子網掩碼等信息。
    命令格式：netstat -r IP
    Tracert：跟蹤路由信息，使用此命令可以查出數據從本地機器傳輸到目標主機所經過的所有途徑，這對我們了解網絡布局和結構很有幫助。如圖五，

Tracert經過的路由信息

    這里說明數據從本地機器傳輸到211.99.194.172的機器上，中間所經過的路由節點，以及經過每個路由時的時間，通過這些信息，可以判定網絡故障出現在哪個節點。命令格式：tracert IP

    Net：這個命令是網絡命令中最重要的一個，必須透徹把握它的每一個子命令的用法，因為它的功能實在是太強大了，這簡直就是微軟為我們提供的最好的入侵工具。首先讓我們來看一看它都有那些子命令，鍵入net /?回車。在這里，我們重點把握幾個重要的子命令。

    net start：使用它來啟動遠程主機上的服務。當你和遠程主機建立連接后，假如發現它的什么服務沒有啟動，而你又想利用此服務怎么辦?就使用這個命令來啟動吧。命令格式：net start servername與net start對應的還有net stop命令。假如發現遠程主機的某個服務礙手礙腳，可以直接利用這個命令將該服務停止，命令格式和net start相同。圖六

啟程遠程機器的MySQL服務

    net user：查看和帳戶有關的情況，包括新建帳戶、刪除帳戶、查看特定帳戶、激活帳戶、帳戶禁用等。這對我們入侵是很有利的，最重要的，它為我們克隆帳戶提供了前提。鍵入不帶參數的net user，可以查看所有用戶，包括已經禁用的。Net user還有以下幾種經典應用：
    net user viger 6688 /add，新建一個用戶名為viger密碼為6688的帳戶，默認為user組成員。
    net user viger /del，將用戶名為viger的用戶刪除。
    net user viger，查看用戶名為viger的用戶的情況。
    net user viger /active:no，將用戶名為viger的用戶禁用。
    net user viger /active:yes，激活用戶名為viger的用戶。
    熟悉了這些網絡DOS命令后，在網絡維護中肯定會起到事半功倍的效果。為此，雖然目前已經是Windows視窗操作系統的天下，可DOS命令仍然不能忽視。

    特技之五：手工查殺木馬

    了解了常用網絡程序占用的端口之后，在DOS提示符下，運行netstat –an查看本機當前打開的端口。假如發現除了以上所說的端口外，還有其他端口被占用，尤其是木馬常用端口被占用，那么機器有可能被植入了“木馬”。圖七

注冊表中的RUN鍵值

    為了確定機器被植入了木馬程序，可以繼續檢查注冊表的以下幾個位置。
    HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion 下所有以“run”開頭的鍵值。
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion 下所有以“run”開頭的鍵值。
    HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以“Run”開頭的鍵值。

    假如上述鍵值中加載了可疑的程序，那么機器肯定被植入了木馬程度。除了注冊表之外，Win.ini、system.ini等系統文件中，也是木馬的藏身之所。找到了木馬的藏身之所，查殺木馬病毒就輕易多了。不過，查殺木馬時，盡量斷開網絡，在操作系統的安全模式下查殺，更重要的是，一定要把木馬程序的所有加載項目查清楚，否則，機器重新啟動之后，木馬仍然會駐留在機器中。

    絕殺之六：查殺病毒

    安全模式下再殺毒：目前大多數殺毒軟件是基于Windows界面的，但在殺毒中經常會碰到這樣的情形，明明已經把病毒殺掉，可重新啟動之后，病毒依然存在，這是因為在一般Windows環境下殺毒，效果可能會大打折扣。誠然，現在的反病毒軟件都能查殺內存病毒，但是此技術究竟還未成熟，不一定能將病毒全部殺光。因此，假如發現Windows下無法將病毒徹底查殺，可以嘗試在Windows安全模式下進行。在Windows安全模式下，這些病毒都不會在啟動時被激活，病毒可以被徹底殺掉。圖八

各種病毒專殺工具

    殺毒先斷網：目前，很多病毒都是網絡病毒，可以借助局域網大肆傳播。為此，網管在殺毒時，一定要將機器與網絡斷開。假如帶著網絡查殺病毒，有可能會出現殺毒軟件剛剛將病毒殺毒，機器再次感染了病毒。

    殺毒要分類對待：最近一年多的時間里，即時通訊軟件的興起，大大方便了企業員工的交流，不過，即時通訊軟件也成為病毒的一個重要傳播工具。QQ尾巴曾經一度讓很多人為之苦惱，殺毒軟件查不出病毒，討厭的QQ尾巴卻揮之不去。對于類似QQ尾巴及相關的病毒，普通殺毒軟件一般很難奏效，要想徹底根治此類病毒，最有效的辦法就是使用專殺工具，非凡病毒，非凡對待。殺病毒，并不是僅僅是簡單的用殺毒軟件就可以達到預期效果的，網管同樣不能輕視。要想徹底殺光企業網絡中的病毒，不僅需要技巧，也需要策略，更需要對病毒知識的全面了解。

    特技之七：防范網絡攻擊

    口令入侵：在企業網絡中，只要擁有正確的帳號和口令就可以獲取一定的資源，為此，一些黑客通常會利用網絡監聽軟件，或者強行破解及系統漏洞獲得口令。一旦企業網絡的口令泄露，企業網絡的安全將失去了保障，而且這種破壞對于企業網絡是致命的。

    電子郵件攻擊：電子郵件是互聯網上運用得十分廣泛的一種通訊方式，也是企業員工的主要通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量非凡大時，還有可能造成郵件系統對于正常的工作反映緩慢，甚至癱瘓。相對于其它的攻擊手段來說，這種攻擊方法具有簡單、見效快等優點。

    DDoS攻擊：DoS的英文全稱是Denial of Service，也就是“拒絕服務”的意思。從網絡攻擊的各種方法和所產生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務訪問，破壞組織的正常運行，最終它會使你的部分Internet連接和網絡系統失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。隨意在Google或者百度等搜索引擎中輸入“DDoS攻擊”的要害字，會有多種可以實現DDoS攻擊的軟件，這也使得企業網絡備受威脅。圖九

DDoS攻擊原理圖

    只有了解了網絡攻擊的方式和相關知識，網管才能針對攻擊模式制定防范網絡攻擊的方案。由于防范網絡攻擊不僅僅需要在網絡設備及PC上做防范，還需要對PC的使用者進行一定的安全教育。

    安全總匯：
    提高安全意識：提醒使用企業網絡的員工不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序，比如“特洛伊”類黑客程序就需要騙你運行。盡量避免從互聯網中下載不知名的軟件，即使從知名的網站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統進行掃描。密碼設置盡可能使用字母數字混排，單純的英文或者數字很輕易窮舉。將常用的密碼設置不同，防止被人查出一個，連帶到重要密碼。重要密碼最好經常更換。

    使用防毒、防黑等防火墻軟件：防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。

    資料定期備份：對于重要的企業資料做好嚴密的保護，并養成資料備份的習慣。對于一些機密資料，最好加上密碼，防止機密資料失竊。對于企業而言，一旦網絡被攻擊，企業面臨的可能是商業機密的泄露，或者是網絡的中斷，這將會影響企業的正常運營。為此，網管必須積極做好防范網絡攻擊的工作。

    結束語：DOS命令，查殺木馬，殺毒，這些看似平常的操作，其實卻蘊含著諸多的技巧。網管同行們熟練把握了網絡建設、治理和維護的諸多技巧后，這些看似平常的操作，也會成為“特技”。一個優秀的網管，不僅需要七大特技，而是需要更多的特技。