网络不通 源自网关地址冲突

单位局域网包含三十几台客户端工作站，由于工作站数量相对较少，并且可以使用的静态IP地址资源又比较充裕，为此网络管理员为每一台工作站都手工分配了一个静态的IP地址，平时局域网中的每一台工作站都能正常上网，并且上网速度也是很快。可是，最近经常有员工向单位网络管理员反映情况，说局域网网络有时能够正常访问，有时不能正常访问，特别是所有工作站都接入到局域网中时，干脆就不能访问网络了。经过网络管理员的一番深入细致的检查，最终发现这则网络不通的故障现象是由于局域网网关引起的，那么这究竟是怎么一回事呢?现在，本文就对这则故障现象的解决过程进行还原，希望大家能从中得到一点收获!

故障现象

网络管理员接到来自员工的无法访问网络的电话“求援”后，迅速带着一些必备的测试工具奔赴故障现象，经过对故障现场的一番简单勘察后，网络管理员决定先以故障工作站为测试中心，使用Ping命令对局域网中的一些主要工作站IP地址进行连通性测试。网络管理员先是ping了临近的一台工作站IP地址，测试结果发现故障工作站能够很迅速地Ping通临近工作站，这说明故障工作站与局域网网络之间的物理连接是正常的。之后网络管理员又对局域网路由器的IP地址进行了Ping命令测试，毕竟路由器的IP地址就是局域网网络的网关地址，如果该地址无法Ping通的话，那么故障工作站肯定是无法访问外部网络的;经过测试之后，网络管理员发现路由器的IP地址仍然能够正常Ping通，这说明故障工作站到局域网出口这一段线路肯定是正常的。再尝试Ping外网某个目标网站的IP地址时，网络管理员发现Internet网络中的网站地址无法Ping通，这说明故障工作站无法访问Internet网络;根据这一测试结果，网络管理员估计问题很可能发生在局域网网关中，也就是说局域网路由器的参数设置不当或其工作状态不正常。于是，网络管理员毫不犹豫地将局域网路由器作为了重点检查目标，连接到路由器设备上并使用系统管理员身份登录进路由器的后台管理界面后，网络管理员仔细检查了路由器的各个工作参数，但一点异常现象也没有找到;之后，网络管理员又顺便检查了局域网交换机的工作状态，特别是检查了故障工作站所连接的那个交换机连接端口，结果也没有找到有什么异常的地方。

故障解决

在排除了各种可能因素后，网络管理员发现故障工作站还是不能访问网络。偶然之间，一位员工跑来向网络管理员借用杀毒光盘，说是他的工作站不小心感染了网络病毒;这一事件给网络管理员带来了灵感，再加上最近一段时间arp病毒非常猖獗，于是网络管理员初步断定局域网网络无法上网的故障可能是时下非常流行的arp病毒引起的。想到这一点，网络管理员立即从网上下载了arp病毒专杀工具，并将该工具程序拷贝到局域网中的每一台工作站中，并要求每一位员工都要立即运行专杀工具来查杀arp病毒，然而这样的努力没有收到一点成效，故障工作站还是不能通过局域网访问Internet网络，网络管理员一时也陷入了迷芒之中。

在万般无奈之下，网络管理员打算采用隔离法对网络故障进行逐一排查。他先是将外网接口单独连接到一台安装了Windows Server 2003的计算机上，并对该计算机的上网参数进行了合适配置后，发现这台Windows Server 2003服务器主机单独访问网络时完全正常，这说明局域网的路由器工作状态很正常。将局域网网络连接恢复到之前的状态后，网络管理员又耐心询问了单位员工，这些员工都说网络有时通有时不通，特别是早上刚刚上班、只有部分工作站连接到局域网中时，网络访问就很正常，一旦所有工作站全部接入局域网后，网络访问立即就不正常了。

依照这点发现，网络管理员估计很可能是局域网中的某些工作站对网络的正常运行带来了影响。由于先前已经排除了局域网病毒因素，那么现在出现问题的地方很可能是某些工作站的上网配置。为此，网络管理员迅速从网上下载安装了一款名为netsuper的网络管理工具软件，并利用该工具对整个局域网中的所有工作站上网配置信息进行了全面扫描，了解了每一台工作站的IP地址以及MAC地址等配置信息。等到扫描操作结束后，网络管理员从最后的结果界面中竟然找到了故障工作站不能访问网络的原因，原来局域网中某一台工作站使用的IP地址竟然与路由器的IP地址相同，也就是局域网的网关地址与其他工作站IP地址存在冲突现象。如此一来所有的疑惑一切都迎刃而解了，先前网络管理员对网关地址进行Ping命令测试时，虽然能够正常Ping通，但实际上Ping通的并不是真正网关地址，而是与一台普通的工作站进行通讯，并且局域网内部工作站相互进行网络访问时，由于不需要经过路由器中转，所以内网工作站相互之间访问时自然就一切正常了;但是局域网内部工作站访问外网网络时，内网工作站会自动优先选用同一个子网中的网关信息，也就是说内网工作站会优先选用非法网关尝试上网连接，而那个非法网关由于不具有真正的路由功能，所以内网工作站当然就不能访问Internet网络中的内容了。

弄清楚了网络故障原因之后，网络管理员立即修改了与局域网网关地址冲突的那台工作站IP地址，之后又将局域网路由器设备重新启动了一下，最后整个局域网网络的运行状态立即恢复了畅通，网络管理员又在先前不能上网的故障工作站中进行了上网连接，结果发现无法上网的故障现象也已经消失了。

故障反思

上面的故障现象虽然已经被成功排除了，但是经过这件事情之后，网络管理员对网络管理工作进行了更为深刻的反思，毕竟单纯将局域网服务器的维护、管理工作做好，并不能保障局域网网络完全正常运行，对客户端工作站的管理同样也是不可忽视，因为客户端用户日后要是再次随意更改上网参数的话，仍然还会造成类似的故障现象。为了阻止客户端用户随意更改上网参数，网络管理员建议各位朋友采用如下方法管理客户端工作站：

1.禁止客户端用户修改参数

要做到这一点，我们可以在客户端工作站系统桌面中依次单击“开始”/“运行”命令，在其后出现的系统运行文本框中输入“gpedit.msc”字符串命令，单击回车键后，打开对应工作站系统的组策略编辑窗口;在该编辑窗口的左侧显示区域，将鼠标定位于“用户配置”/“管理模板”/“网络”/“网络及拨号连接”节点选项上，在目标节点选项下面双击“可以访问lan连接组件的属性”组策略选项，打开目标组策略属性设置窗口，选中其中的“禁用”选项，再单击“确定”按钮关闭目标组策略属性设置窗口，如此一来客户端用户就不能进入本地连接属性设置对话框，去随意修改客户端工作站的的各种上网参数了。

为了防止一些熟悉网络的朋友自行修改本地客户端系统的组策略参数，我们还可以通过反注册本地连接图标的方式，来将本地连接图标隐藏起来，从而达到禁止客户端用户进入本地连接属性设置窗口的目的。我们可以先打开本地客户端系统的“开始”菜单，从中点选“运行”选项，并在弹出的系统运行框中依次执行字符串命令“regsvr32 Netcfgx.dll/u”、“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”，最后再将客户端工作站系统重新启动一下，如此一来系统本地连接图标就会被隐藏起来了，到时客户端用户也就无法随意更改各种上网参数了。

当然，还有一种更实用的办法来禁止客户端用户随意修改本地的IP地址参数。在使用该方法时，我们可以先获取本地客户端工作站网卡的物理地址;如果局域网中只有少数几台工作站的IP地址需要绑定时，那么我们只要在Win2000或WinXP系统环境下执行字符串命令“ipconfig /all”，就能获得目标网卡设备的MAC地址了，要是我们想快速获取若干台工作站的网卡MAC地址时，不妨借助类似“MAC地址扫描器”这样的专业查找工具，来批量得到整个工作子网中的所有工作站网卡物理地址。一旦得到目标网卡设备的物理地址后，我们再依次单击“开始”/“运行”命令，在系统运行框中执行字符串命令“cmd”，将系统屏幕转到Ms-dos工作窗口，然后在命令行提示符下执行类似“arp -s ip mac”这样的字符串命令，就能将目标IP地址限制在指定网卡设备上使用了。

2.使用DHCP自动分配IP地址

使用手工方法为客户端工作站系统逐一分配IP地址，不但费时费力，而且还很容易发生IP地址冲突现象，明显不利于局域网网络的管理与维护。为此，在条件许可的情况下，我们应该考虑在局域网中架设一台DHCP服务器，让DHCP服务器自动为局域网中的所有客户端工作站分配动态IP地址，这样不但解放了网络管理员自己，而且也解决了IP地址频繁冲突的故障现象。当然，对于局域网中的一些重要主机，例如服务器、路由器等，我们可以在DHCP服务器中设置好保留IP地址，以便让重要主机仍然能够正常使用静态IP地址为局域网网络提供服务。

3.限制客户端用户操作权限

如果将客户端用户的操作权限降低为普通用户组权限，而不是Administrators组权限时，那么客户端用户自然就不能随意对IP地址等系统参数进行修改了，那样的话局域网网络的运行稳定性也就能得到有效保证了。

4.尽量使用活动目录管理网络

在条件许可的情况，单位局域网应该尽可能安装配置活动目录，使用域方式对局域网客户端进行管理。统一要求客户端用户使用域账户登录局域网，从而防止以前的工作组用户权限相对自由的局面，客户端用户必须使用网络管理员事先分配好的域账户才能登录本地工作站系统，那样一来不但能够有效提高单位员工的安全防范意识，而且还能大大提升局域网网络的运行稳定性。