山洪灾害防治县级网络管理维护.ppt

一、河南省水利系统网络发展概述 （一）x.25网络（64k） 1995-2000年，采用公用分组数据交换网与国家防总 、淮委、黄委、安徽、江苏、山东等省以及我省淮河流域 11个市水情部门进行计算机联网。网络租用64k bps x.25同步线路，网络设备采用cisco路由器。主要用来传 输水情数据，带宽窄，节点少，功能单一。 河南省水利系统网络发展经历了三个阶段： （二）sdh网络（2m） 河南省水利系统网络发展经历了三个阶段： 2001-2003年，建设河南省水利信息化一期工程。 2005-2006年，建设国家防汛抗旱指挥系统一期工程河南 省水情分中心计算机网络工程，连接了14个水情分中心。至 2006年底，租用省通信公司2m bps sdh光纤电路，建设 了省到18个地市水利（水务）局、部分大型水库和厅属单位 之间集数据、语音、视频为一体的多业务计算机骨干网络， 连网用户 2000余人。实现与水利部的宽带连接。建设了省 厅到18个市水利局的异地防汛会商视频会议系统。 （二）sdh网络（2m） 河南省水利系统网络发展经历了三个阶段： （三）mpls-vpn网络(10m) 2007年，租用河南省网通公司10m bps mpls-vpn 光纤电路，对各连网单位网络进行升级改造。全省水利系统 网络建设全面进入10m 宽带模式。2008年，建设河南省涡 河近期治理工程项目；2009年，建设河南省山洪灾害防治 县级试点项目计算机网络工程建设项目。郑州市和信阳市各 县水利局已经全面接入河南省水利网。到目前为止，网络覆 盖了省水利厅、18个市水利局、5座省管大型水库，24个厅 属单位、25个县（区）水利局、10个市管大中型水库和5座 节制闸。网络用户达3000余人。 河南省水利系统网络发展经历了三个阶段： （三）mpls-vpn网络(10m) 河南省水利系统网络发展经历了三个阶段： 二、网络基础 ip地址 一、基础知识 指用tcp/ip协议指定给主机的32位地址。ip地址由由4个用“.” 分开的数字域组成，每个数字域范围在0255之间，如68 mac地址（physical address、网卡地址） mac地址烧录在网卡里的，每 个网卡的mac都不相同，是唯一的 。它是由6组16进制的数字组成，例 如 00-16-dc-6b-81-2c。 子网掩码与网络划分 一、基础知识 子网掩码是一个32位的2进制数，其对应网络地址的所有位都置为 1，对应于主机地址的所有位都置为0。它用来划分网络。 例如目前各水利局子网掩码为，对应为 11111111.11111111.11111111.00000000，前面有24个1，所以 也称为24位掩码，它划分的网络内有28-2，即254个可用主机 目前各县水利局机器少，子网掩码为28，对应为 11111111.11111111.11111111.10000000，也称为25位掩码，它划分 的网络内有27-2，即126个可用主机 。 同理，30位掩码即52，它只有2个可用ip，一般做路 由用。 ip+掩码表示： /25 即表示掩码为28 网关地址 网关地址也即网络的出口，地址一般设在可以跨网段运行 的带路由功能的设备上。只有首先到网关才能正确的把数据转 到其他网段，实现网络的互联互通。 一、基础知识 交换机和路由器 交换机工作在osi的第二层 （数据链路层），利用物理地址 或者说mac地址来确定转发数据 的目的地址，转发数据速度快， 不能跨网段。 路由器工作在osi的第三层 （网络层），利用ip地址来确定 数据转发的地址，可以跨网段传 输，相对转发数据能力差。 二、网络相关设备介绍 交换机和路由器 三层交换机既有交换机线速转 发报文能力，又有路由器良好的控 制功能，因此得以广泛应用。推荐 各单位以后购置交换机选用三层的 并且带端口+mac+ip三绑定功能的 交换机，例如h3c（华三）的。 二、网络相关设备介绍 防火墙 防火墙是提供信息安全服务， 实现网络和信息安全的基础设施。 它本身具有较强的抗攻击能力，能 根据用户定义的安全规则监视和抛 弃数据包，保证网络的畅通。 用户网关多设在防火墙上，防 火墙还兼路由器功能。使用防火墙 一定要注意网线接口位置，不能乱 换位置，否则会导致网络不通。 二、网络相关设备介绍 ups ups又称不间断电源，分为主机和电源两部分。 注意如果长期停电，最好设备关掉，不要让ups把电放完 后又长时间不能充电导致馈电，会严重影响ups使用寿命。 二、网络相关设备介绍 服务器 服务器是指某些高性能计算机，能够通过网络，对外提供服务， 如提供www网站服务，ftp数据传输服务，数据库存储查询服务， 邮件服务等。 服务器电源一定要接在有ups不间断电源输出的插座上，保证在 停电的情况下仍可以不间断的提供服务。 二、网络相关设备介绍 语音接入网关 二、网络相关设备介绍 语音接入网关可以将普通电话端口的模拟语音转化为ip网络上传 输的信息格式，从而实现各联网单位之间免费通话的功能。本次工程 每个单位可接16部电话。 每个语音网关都对应有个可网管的ip地址，每个接口可对应一个 电话号码，可打*114#查询本机电话号码。 语音接入网关 二、网络相关设备介绍 在设计网络电话时，为了区分各单位，由水利厅信息中心统一编 制区位识别码。编码方法是：在各单位的内部电话号码前加拨3位区 位识别码，即区位识别码（3位）+各单位内部电话码（4位），共7 位号码。例如泌阳县电话号码为：3963400-3963415 。 各单位自行分配每部电话使用人，分配完毕和水利厅信息中心联 系提交电话表，以便把各单位电话号码加入到全省ip电话号码表里 光电转换器 光电转换器将光信号（光纤 ）转换为电信号（双绞线）的设 备，是连接联通公司和水利单位 的关键设备。 平时注意其状态灯，发现指示 灯不亮则可能是设备死机或线路 故障，可重启查看设备正常否， 不行则联系联通公司协同解决。 二、网络相关设备介绍 (三) ip地址规划设计 根据国家防汛指挥系统工程总体设计，分配给河南省水利系统 计算机网络的ip地址段为10.41.c.d，ip地址的第一位是全国水利 系统统一网络号都为10；第二位的41代表的是河南省；第三位c是 单位号，例如我们定义1为河南省水利厅，50为郑州市水利局等； 第四位d是主机号，一台机器对应一个ip地址，不能重复。 ip地址的分配由省水利信息中心统一规划，为了节省有限的地 址资源，全省县级通信网络ip地址均采用25位子网掩码的方案，每 个县水利局可分配ip地址为126个，并在所属地域市水利（务）局 ip地址附近。 (三) ip地址规划设计 主机地址的分配原则：服务器地址为小数码地址，客户机地址 居中，网络设备地址使用大数码地址。一定要给服务器和防火墙、 交换机、语音设备、视频设备等网络设备留足地址。 例如泌阳县水利局ip分配如下表： ip地址10.41.202dd：主机号，范围11100 子网掩码码28固定值 网关25固定值 dns8固定值 ping 四、常见网络命令 ping命令可查看ip端网上交通状况，使用方法：ping ip地址或域 名，如ping 50; ping 等，该命令连续发4 个32字节的测试数据包 如果要不停的进行测试，命令后要加-t，如ping 9 -t ipconfig /all 四、常见网络命令 在命令行模式下输入ipconfig /all，可以查看本机ip配置及网卡 物理地址信息。注意有时会同时显示多组连接，一定要看准是本地连接 ，并且这个连接要和你在图形界面下配置的连接一致。 ethernet adapter 本地连接 2: /注意是ethernet本地连接 connection-specific dns suffix . : description . . . . . . . . . . . : marvell yukon 88e8055 pci-e gigabit ethernet controller physical address. . . . . . . . : 00-13-a9-ff-ae-56 /物理地址 dhcp enabled. . . . . . . . . . : no ip address. . . . . . . . . . . . : 44 subnet mask . . . . . . . . . . . : 28 default gateway . . . . . . . . . : 52 dns servers . . . . . . . . . . . : 3 ipconfig /all 四、常见网络命令 通过这个命令还可以看到本机的全面ip信息，当网络不通时， 可以方便的检查配置是否有误。例如有些时候网络不通，输入这个 命令什么ip信息都没有，这时候就可以查看网卡是不是被禁用了， 或者网卡本身出了毛病。 ethernet adapter 本地连接 2: /注意是ethernet本地连接 connection-specific dns suffix . : description . . . . . . . . . . . : marvell yukon 88e8055 pci-e gigabit ethernet controller physical address. . . . . . . . : 00-13-a9-ff-ae-56 /物理地址 dhcp enabled. . . . . . . . . . : no ip address. . . . . . . . . . . . : 44 subnet mask . . . . . . . . . . . : 28 default gateway . . . . . . . . . : 52 dns servers . . . . . . . . . . . : 3 arp 四、常见网络命令 arp命令可以查看跟本机有关联的机器的物理地址，具体使用需 要配合一定的参数，arp -a 是查看arp表，arp -d 是清除arp表。 这个命令在网络内有arp病毒导致多数人不能正常上网时非常有 用。可以通过这个命令查看能上网和不能上网的机器的网关arp，比 较两者的差别，不能上网的计算机网关指向的物理地址就是病毒源计 算机的网卡地址。 tracert 四、常见网络命令 tracert命令主要用来显示数据包到达目的主机所经历的路径详细 信息，并显示到达每个路径所消耗的时间。可用来查找网络故障点。 netstat -n 四、常见网络命令 netstat -n命令可以显示所有已建立的有效连接 netstat -an命令可以显示所有连接 这个命令可以确认本机连接是 否正常，判断是否中病毒。如果本机 有大量连接存在，并且端口连续开几 十个上百个，并且自己当前又没使用 p2p软件下载东西，就可以判断本机 中毒了。 三、管理与维护 了解数据流向，制定网络拓扑图 一、局域网管理 数据大致流向如下：局域网用户 电脑通过双绞线（网线）连接到房间 接口，再通过布线系统到机房机柜配 线架，进而连接到交换机设备，交换 机设备通过双绞线连接到防火墙，防 火墙通过双绞线连接到光电转换器， 光电转换器通过光纤和县联通公司相 连，再通过联通线路连接到市水利局 ，再连接到省水利厅，最终和全省乃 至全国水利系统各单位连通。 了解数据流向，制定网络拓扑图 一、局域网管理 管理员还需要清楚各关键设备ip地址，记录各设备具体接口连 线，容易混淆的要贴上标签防止错误连接。然后尽可能的详细标示 在拓扑图上，以便查询。局域网拓扑图样图如下，各单位可自己制 定更清晰美观的图 完备网络管理资料 一、局域网管理 网络施工完毕，管理员需要把各设备资料保存好，以便以后 配置和保修。制定配线架和各房间、交换机端口对应关系图；给各 用户分配完ip地址，制定ip分配表，清楚登记每个用户使用人、ip 地址、mac地址、房间号、电话，以便在某用户过度占用网络资源 和危害国家安全时准确定位；制定ip电话表、网络拓扑图等管理资 料，并妥善保存。 制定网络管理制度 一、局域网管理 网络使用需要有规章制度，明确职责，这样管理才不混乱。 例如省水利信息中心就有信息中心管理制度、机房管理制度 、值班制度、安全保密制度等制度。各县水利局也要根 据自己实际情况制定切实可行的管理制度，加强用户管理，定期检 查网络和设备的状态，维护机房环境、保证网络健康正常的运行。 网络管理与维护经费，要争取列入预算。这样，设备维修和 升级才能有保证。 网络安全管理 一、局域网管理 增强网络安全意识，加强网络安全管理。要求本单位接网用 户全部安装杀毒软件，及时给计算机修补漏洞，避免个人电脑恶 性中毒堵塞网络。加强流量管理和日志审计，按照公安部82号令 要求，至少保留用户行为日志60天。 二、故障分析与处理 本机 光电转换器、 光端机 水利厅防火墙 50 交换机 网关、防火墙 市水利局防火墙 检查防火墙、交换机、光电转换器等设备硬件状态，看 和平时状态有何不同，如果端口亮红灯或者有告警长鸣声，则 设备有故障，通知相关部门维修，如果设备相应端口不亮灯， 则检查连线，连线没问题，则可能还是设备故障。检查防火墙 各端口连线有无改动，特别是和光电转换器相连的端口。如果 都无异常，将防火墙、交换机、光电转换器等设备断电1到2分 钟后再开机，再查看连接，通则说明是网络堵塞了现已正常。 二、故障分析与处理 ping网关地址，如不能连接，则是局域网问题，执行第步；如 能连接，执行第步。 断开所有内部网络连接设备，重启防火墙后用单机（笔记本电脑 ）接入防火墙局域网口，看能否ping通网关，能ping通，说明局域 网内有机器堵塞网络或交换机有故障，按病毒诊断方法处理；不能 ping通说明防火墙有故障。 ping 县网通互联地址，如果能通，说明线路无故障，可以联系 上级管理部门询问网络状况；如果不通，说明网通线路有故障，联 系当地联通公司进行区域电路检查。 二、故障分析与处理 六、故障处理 病毒危害网络导致多数人甚至全体不能上网的情况主要有两种： 1、中毒机器发大量的攻击包阻塞网络2、中毒机器发出大量的arp欺 骗包，导致网络瘫痪。 对上面两种情况都有一个原始的费力的但相当有效的方法就是断 网测试法。特别是对第一种情况，中毒机器对应交换机指示灯会闪烁 的特别厉害甚至是长亮，这时如果把交换机上对应网线拔出，网络恢 复正常，就说明是这台机器的问题。如果观察指示灯不明显，可以先 断掉一半机器，看另一半能否正常上网，如果不能，如果中毒机器在 这一半里，如果可以了，说明中毒机器在断掉的一半里。然后再缩小 范围，再逐步断网诊断。 病毒机定位与排除 六、故障处理 如果有arp病毒导致大面积不能上网，可通过arp a查看不能上 网机器的网关对应mac来定位中毒机器。 对中毒机器的病毒清除，首先断掉中毒机器的网络，然后到正常 机器上下载360木马专杀工具，用u盘复制到中毒机进行查杀，必要时 可以到安全模式下杀毒。最后再安装杀毒软件进一步进行查杀。 病毒机定位与排除 六、故障处理 病毒机定位与排除 六、故障处理 病毒机定位与排除 四、项目建设施工配合要求 1、确定施工联系人员，包括1名县级水利部门主管领 导和2名技术人员，主管领导负责整个施工过程的协调工作 ，两名技术人员需具备一定的计算机网络基础知识，做好 施工过程中的网络布线、收发设备、施工验收、技术培训 等各方面的配合工作。各县将联系人名单、电话以及网络 设备收货单位、地址于开工前上报至省水利厅信息中心。 2、网络布线，每个单位40个网络接口，16个ip电话接 口，县级水利部门技术人员确定好每个房间布线接口数量 和位置，提供楼层房间示意图给施工人员，把接口数量和 位置标示在房间示意图上。技术人员负责打开每个房间门 锁，带领施工人员进行施工。原则上网络布线不能跨楼， 如需跨楼需本单位提供网络交换机，ip电话话机需自备。 3、机房环境建设，机房选用现有办公用房，面积为 15平方左右，其位置尽量设在办公楼中间，以保证线路不 会因过长（不超过100米）影响数据传输质量。在机柜、 空调、ups电源安放位置附近墙面预留足够的电源插座。 建议空调安放于与机房大门形成对角的位置，空调供电由 市电提供，并按空调设备的要求配备专用线路。机房环境 建设由各单位在山洪灾害项目实施前自行按要求建设完成 。