从一次断网排查说起
上周邻居老张打电话说家里Wi-Fi早上总断,重启路由器也没用。过去看了眼他的配置文件,发现DHCP租期设成了5分钟,设备频繁重连导致冲突。改回12小时后问题消失。这其实是个典型的配置不当案例——网络配置文件不是填完就完事,得讲究方法。
结构清晰比功能堆砌更重要
很多人喜欢把所有规则塞进一个conf文件,比如把防火墙策略、端口映射、DNS转发全写在router.conf里。但实际运维时,一旦出问题很难定位。建议按功能拆分:
<!-- 主配置引用子模块 -->
<include file="dhcp.conf"/>
<include file="firewall-rules.conf"/>
<include file="qos-policy.conf"/>就像厨房调料分格存放,用的时候不手忙脚乱。
变量命名要让人看得懂
见过有人用a1、tmp_x这类变量定义WAN接口,半年后自己都忘了对应哪条线路。换成wan_main、backup_lte这种描述性名称,交接工作时新来的同事也不会抓瞎。
版本控制不是大厂专利
小区物业的监控网络去年升级时,管理员直接覆盖了旧配置,结果NVR录像机批量掉线。如果当时用了git管理变更记录,回滚到上个稳定版本只要30秒。哪怕是单机部署,每次修改前手动备份成config_20240401.bak也比没有强。
别让注释变成“谎言展览馆”
有台核心交换机的配置里写着“# 2018年为财务部打印机单独开的例外”,实际上那台HP LaserJet早就报废了。过时注释比没注释更危险,定期清理无用说明和废弃规则应该纳入巡检清单。
测试环境先走一遍
某连锁店总部推送新ACL策略前,用虚拟机搭了简化版拓扑做验证。发现一条deny any会误杀POS机心跳包,现场调整后再下发,避免了全国门店收银瘫痪。哪怕只是多一台备用路由做沙箱测试,都能挡住八成低级错误。
权限分级写进配置习惯
公司前台小妹曾误删AP列表,因为她登录的是admin账号。现在所有终端配置都遵循最小权限原则:查看状态用monitor账户,调试才用super-user。配置文件里明确限定不同用户的操作范围:
user monitor {
role: viewer
allow-commands: show, ping, traceroute
}
user engineer {
role: admin
allow-commands: all except format, factory-reset
}就像家里钥匙,没必要给每个客人都配大门主钥匙。