引言：公司為實現(xiàn)內(nèi)部資源共享，同時防止內(nèi)部資料外流，組建了專供內(nèi)部使用的資源網(wǎng)。未進(jìn)行實名注冊的用戶和主機(jī)MAC地址未在防火墻上綁定的電腦無法訪問局域網(wǎng)外資源。但網(wǎng)絡(luò)監(jiān)測部門發(fā)現(xiàn)我部局域網(wǎng)內(nèi)某電腦連接了互聯(lián)網(wǎng)。經(jīng)排查得知，該用戶使用手機(jī)連接電腦，并開啟了USB上網(wǎng)功能，導(dǎo)致內(nèi)部電腦連接了互聯(lián)網(wǎng)。

公司為實現(xiàn)內(nèi)部資源共享，同時防止內(nèi)部資料外流，組建了專供內(nèi)部使用的資源網(wǎng)。此網(wǎng)有專用的服務(wù)器、路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，與互聯(lián)網(wǎng)物理隔離。內(nèi)部電腦要上資源網(wǎng)需要安裝實名認(rèn)證軟件。為防止人員將內(nèi)部電腦連接互聯(lián)網(wǎng)，實名認(rèn)證軟件具有定時向資源網(wǎng)和互聯(lián)網(wǎng)上監(jiān)測終端發(fā)送主機(jī)名、IP地址、網(wǎng)卡MAC地址等主機(jī)信息的功能。未進(jìn)行實名注冊的用戶和主機(jī)MAC地址未在防火墻上綁定的電腦無法訪問局域網(wǎng)外資源，但可以訪問局域網(wǎng)內(nèi)部資源。

故障現(xiàn)象

某日，網(wǎng)絡(luò)監(jiān)測部門在互聯(lián)網(wǎng)上通過監(jiān)測終端，發(fā)現(xiàn)我部局域網(wǎng)內(nèi)某電腦連接了互聯(lián)網(wǎng)，并將該電腦的主機(jī)名、IP地址、MAC地址發(fā)給了我們，責(zé)成我部盡快將其找到，并上報相關(guān)情況。

故障排查

為了找到該電腦，我們首先查看了IP地址所在的具體部門。因為單位的局域網(wǎng)由8個C類地址組成，主機(jī)數(shù)量很多。為了便于管理，在建網(wǎng)初期，已為各部門劃分了不同的地址段。通過比對查找，發(fā)現(xiàn)雖然此IP地址屬于甲部門，但確實不是該部門的電腦，肯定有人違規(guī)使用了其他部門的地址?？磥韽腎P地址已經(jīng)無法找到問題電腦了。

由于要訪問局域網(wǎng)外資源網(wǎng)信息的電腦都在防火墻上進(jìn)行了綁定，并有實名登記，如果此電腦曾經(jīng)通過路由器出局域網(wǎng)，肯定綁定了MAC地址。于是將該電腦的MAC地址與防火墻中的MAC地址綁定表進(jìn)行對比，也未找到相同的，看來又一個希望破滅了。猜測該電腦可能還在線，Ping該電腦的IP地址，但未能Ping通，看來不在線。經(jīng)過大家的討論和分析，認(rèn)為此電腦如果是我單位某部門的，那么與此電腦同批采購的電腦的MAC地址的前幾位應(yīng)該是相同的。因為同一批次同一品牌的電腦所用網(wǎng)卡很可能是同一廠家的，其前3組用來表示網(wǎng)絡(luò)廠商標(biāo)識的16進(jìn)制數(shù)應(yīng)該相同。

故障解決

用局域網(wǎng)查看工具軟件查看局域網(wǎng)內(nèi)所有在線電腦的IP地址和MAC地址，確實發(fā)現(xiàn)有兩臺電腦MAC地址的前幾位與問題電腦相同。通過查看登記，這兩臺電腦也在同一個部門。于是我們直接前往該部門所在辦公室，發(fā)現(xiàn)辦公桌上有三臺電腦，兩臺在用，一臺關(guān)機(jī)。經(jīng)過檢查，問題電腦就是它。

原來，某人用USB線將手機(jī)與電腦相連，本來只想將手機(jī)內(nèi)的照片傳到電腦里，卻開啟了USB上網(wǎng)功能，導(dǎo)致內(nèi)部電腦連接了互聯(lián)網(wǎng)。

經(jīng)驗總結(jié)

問題電腦終于找到了，但問題還沒有完，給我們留下了很多思索。為什么在局域網(wǎng)中定位一臺內(nèi)部電腦這么復(fù)雜？為什么會出現(xiàn)內(nèi)部電腦外連事件呢？我想主要有三點啟示：一是要規(guī)范內(nèi)部電腦及其入網(wǎng)管理。每臺投入使用的內(nèi)部電腦都應(yīng)登記在冊，特別是MAC地址，并嚴(yán)格按劃分的IP地址進(jìn)行設(shè)置，不得使用非本部門的IP。二是在技術(shù)方面，將每臺入網(wǎng)的內(nèi)部電腦MAC地址與對應(yīng)交換機(jī)端口進(jìn)行綁定，在交換機(jī)上進(jìn)行相關(guān)設(shè)置，使未綁定的電腦無法入網(wǎng)。三是進(jìn)行安全保密教育。不得將手機(jī)、無線網(wǎng)卡等可上網(wǎng)設(shè)備與內(nèi)部電腦互聯(lián)，防止因誤操作導(dǎo)致違規(guī)上網(wǎng)。