在小型企业或者ISP工作.pptVIP

在中小型企业或者ISP工作,Working at a Small-to-medium Businesses or ISP 2010年10月,邓文达 CCAI Changsha Social Work College,本单元任务,你是某ISP现场技术人员。 公司承接了ABC公司的网络升级项目，并安排公司资深技术人员进行了方案设计，现公司派你去现场实施该项目。,本单元任务,网络升级方案： 新增一台 1841 路由器和独立式 2960 交换机，以补充现有的 Linksys WRT300N，减轻其负荷。 新交换机将支持来自一个子网上有线客户端的连接。现有 Linksys 支持另一个子网上的无线客户端。 将 1841 配置为有线网络以及无线网络（Linksys 用户）的 DHCP 服务器。 每个子网中有线和无线客户端的流量都会通过新的 1841 客户路由器路由。在 1841 与 ISP 之间使用 RIP v2 路由协议，WAN 链路的封装使用 PPP。 客户路由器必须使用静态地址/22与 ISP通信。,ISP的技术人员,一级技术员角色,一级技术员技能标准,一级技术员素质标准,三级技术员角色描述,三级技术员技能标准,三级技术员素质标准,公司选人标准,本单元任务1,1、办公室着装有什么要求？ 2、在公司打电话和接电话的要点是什么？ 3、递名片的礼节？ 4、吃饭座次的讲究？,网络升级规划步骤：,1、现场勘测,2、定义用户需求,3、查看布线和网络设施,3、查看布线和网络设施,布线模型,一区：工作区 二间：设备间、配线间 三子系统：水平子系统、垂直子系统、建筑群子系统,布线模型,布线设计注意事项,在设计结构化布线项目时，第一步是获取精确的楼层规划图。技术人员利用楼层规划图来确定配线间的可能位置、电缆经过的区域以及应该避开的电力区域。 在确定网络设备的位置之后，技术人员需要在楼层规划图上画出网络。一些需要记录的较为重要的项目包括： 跳线：从计算机连接到用户工作区墙上面板的短电缆 水平电缆：从墙上面板连接到分布区 IDF 的电缆 垂直电缆：从 IDF 连接到组织主干区 MDF 的电缆 主干电缆：处理主要通信的网络部分 配线间的位置：用于将最终用户电缆集中到集线器或交换机的区域 电缆管理系统：用于引导和保护电缆走线的线槽和盖板 电缆标识系统：用于辨认电缆的正确标识系统或方案 电源考虑事项：驻地应有足够的插座，以支持网络设备的电力要求,本单元任务2,在布线设计中，材料的预算是一项很重要的工作。 给出507机房布线工程材料预算。 一般包括以下内容： 1、网线用量 ，多少箱？为什么？ 2、RJ-45水晶头用量，多少盒？为什么？ 3、交换机数量，多少端口，多少台？为什么？ 4、线槽及用量，多少米？多少包？为什么？ 5、其他？数量及理由。 给出上述材料每种2个品牌的价格预算。,选择线缆,双绞线： 直通线straight-through 交叉线cross-over 控制线roll-over,选用设备,LAN设备：交换机 网间设备：路由器,CISCO路由器和交换机,可靠性与可用性,可靠性：reliability，指系统在一定时间内无故障使用的能力。 可用性：availability，指系统达到满足需要的功能，可供使用的时间。,IP地址回顾,有类子网划分,IPv6,为克服IPv4 的诸多缺点，IPv6 提出的一些改进包括： 更大的地址空间 更佳的地址空间管理方法 更简单的 TCP/IP 管理 现代化的路由功能 对组播、安全性和移动性更好的支持,CIDR 和私有 IP 寻址是避免 IP 地址耗尽的临时解决方案。,IPv6 是 1998 年由 RFC 2460 第一次提出来的。,如果 IPv4 地址空间相当于一个茶匙的容积，则 IPv6 地址空间就相当于土星的体积。,IPv6的记法,IPv6 地址记法将 128 位表示为 32 个十六进制数字，然后以冒号为分界符，进一步细分为八组四个十六进制数字。IPv6 地址分为三部分。全球前缀是前三个地址块，由 Internet 名称注册机构分配给组织。子网和接口标识符 (ID) 由网络管理员控制。,本单元任务3,IPv6对于物联网的意义。 提示： 1、什么是物联网 2、物联网的关键技术 3、IPv6对于物联网的意义 4、试设想IPv6的物联网中的应用方式,地址转换,NAT的优点和缺点,NAT术语,内部本地网络：是指连接到私有寻址 LAN 中路由器接口的任何网络。内部网络中主机的 IP 地址在传输到外部目的地之前需要先进行转换。 外部全局网络：是指与位于 LAN 外部的路由器相连、无法识别 LAN 主机私有地址的任何网络。 内部本地地址：是指在内部网络的主机上配置的私有 IP 地址。此类地址在传出本地网络寻址结构之前，必须首先进行转换。 内部全局地址：是指内部主机显示给外部网络的 IP 地址。这是转换后的 IP 地址。 外部本地地址：是指数据包在本地网络中的目的地址。通常此地址与外部全局地址相同。 外部全局地址：是指外部主机的实际公有 IP 地址。此类地址从全局可路由地址或网络空间分配。,静态NAT与动态NAT,基于端口的地址转换PAT,看演示,CISCO路由器 ISR1841,SYS-PWR,SYS ACT,1841 是一种成本相对较低的 ISR，适用于中小型企业以及小型企业分支机构。它综合了数据、安全和无线服务等功能。,看演示,ISR1841的物理安装,ISR1841的物理安装,遵循以下步骤为 1841 ISR 加电： 1. 稳固安装设备机箱或外壳，并将其接地。 2. 插上外接 CF 卡。 3. 连接电源线。 4. 配置 PC 上的终端仿真软件，并将 PC 连接到控制台端口。 5. 打开路由器。 6. 观察 PC 上显示的启动消息，确保没有错误发生。 这样，便可以开始配置设备，将其接入网络。,看演示,带外管理和带内管理,命令行和图形界面配置,CISCO的命令行界面,CISCO的命令行界面,做实验,获取帮助,报错信息,% Incomplete command 输入的命令不完整 %Invalid input detected 输入的命令有误。 使用错误指示符（ 符号）来提示出错的地方。,快捷命令,SHOW命令,做实验和,Cisco IOS CLI show被网络技术人员广泛采用, 查看配置文件、设备接口以及过程处理的状态，并可用来校验设备运行状态。无论设备是使用 CLI 或 SDM 来配置，都可使用 Show 命令。 几乎路由器的每个过程或功能的状态都可使用 show 命令显示出来。比较常用的 show 命令有： show running-config show interfaces show arp show ip route show users show version,保存配置,启动配置文件存储在设备的 NVRAM 中。 Router# show startup-config 运行配置保存在设备 RAM 中 Router# show running-config 要将对运行配置所作的更改复制到已保存的启动配置文件中，请使用命令： Router# copy run start 或 write 警告：如果在copy 命令中键入 startup-config 时出现拼写错误，则可能导致路由器中的IOS丢失(没有注意系统的提示信息并连续按回车键)，因此本命令的输入一定要使用键来完成(避免拼写错误)，有一些设备支持write命令。,路由器基本配置,enable password 与 enable secret 的区别在于 enable password 命令在默认情况下不加密。如果在设置使能口令后又设置了使能加密口令，则使能加密口令会覆盖使能口令。,路由器基本配置,命令 service password-encryption 可确保口令 (console, vty and enable password) 得到加密。,做实验,WAN接口角色,接口配置步骤,配置接口的步骤包括： 1. 指定接口的类型和接口端口号 2. 指定接口的描述 3. 配置接口 IP 地址和子网掩码 4. 设置时钟频率（如果将串行接口配置为 DCE） 5. 启用接口 no shutdown,做实验和,默认路由,PT路由器配置示例, 为路由器配置设备主机名。 配置控制台口令、特权模式口令和虚拟终端口令。 配置以太网和串行接口。 校验主机与路由器之间的连通性。,DHCP,可以通过 Cisco IOS CLI 为路由器配置 DHCP 服务器的功能。 使用配置了 DHCP 的路由器可简化网络中的 IP 地址管理。 通过 CLI 配置 DHCP 时，有八个基本的步骤： 1. 创建 DHCP 地址池 2. 指定子网 3. 设置排除的 IP 地址 4. 指定域名 5. 设置 DNS 服务器 IP 地址 6. 设置默认路由器 7. 设置租用持续时间 8. 检查配置,，做实验,静态NAT配置,，做实验,TFTP配置,保存配置，路由器必须能够通过网络连接访问运行 TFTP 的服务器。 1. 输入 copy startup-config tftp 命令。 2. 输入要存储配置文件的主机的 IP 地址。 3. 输入要指定给配置文件的名称，或接受默认名称。 4. 回答 yes 以确认每个选项。 还可使用 copy running-config tftp 命令，将运行配置的当前副本存储在 TFTP 服务器上。,TFTP配置,恢复配置 要恢复备份的配置文件，需确保路由器上已配置至少一个可通过网络访问 TFTP 服务器的接口。 1. 输入 copy tftp running-config 命令。 2. 输入 TFTP 服务器所在的远程主机的 IP 地址。 3. 输入配置文件的名称，或接受默认名称。 4. 确认配置文件名及 tftp 服务器地址。,本单元任务4,全体做PT实验任务 和，5分钟，取分数最高前3名。,CISCO交换机2960,Cisco Catalyst 2960 系列以太网交换机是固定配置的独立式设备，不使用模块，也不具备闪存卡插槽，其物理配置无法更改。,典型家庭和小型企业局域网,,Status LEDs SYST LED: 琥珀色(Amber)：系统已通电，但工作不正常。 RPS LED: 冗余电源系统 Port Status, or STAT, the Default Port Mode Duplex LED: Speed LED:,交换机的初始配置,交换机加电不需要配置即可使用。 如果要对交换机进行远程管理，则需要配置IP地址和默认网关。,做实验和,交换机的基本配置,接口速率 Switch(config-if)#speed 100/10/1000/auto 双工模式 Switch(config-if)#duplex full/half/auto 登录标语 Switch(config)#banner motd #标语内容#,交换机的端口安全,常见的端口安全威胁，讨论接入层交换机。 1、未经授权的用户主机随意连接到企业的网络中，造成病毒或者非法侵入的隐患。 2、未经批准采用集线器等设备，造成网络性能下降或者非法侵入隐患。,交换机的端口安全,接入交换机端口安全应对措施： 仅对于连接用户的交换机端口 Switchport mode access 1、启用端口安全 Switch(config-if)#switchport -security 2、限制接入的主机数量 Switch(config-if)#switchport security maxnum 主机数量,交换机的端口安全,3、限制主机MAC地址 Switch(config-if)#switchport security mac-address MAC 地址 4、记住接入的MAC地址 Switch(config-if)#switchport security mac-address sticky 5、违背安全要求的处理办法 Switch(config-if)#switchport port-security violation shutdown,CDP协议,Cisco 发现协议 (CDP) 是交换机、ISR 或路由器采用的一种信息收集工具，用于与直接连接的其它 Cisco 设备共享信息。默认情况下，CDP 会在设备启动时开始运行，然后向直接相连的网络定期发送CDP报文。,禁用CDP,本单元任务5,做实验交换网络的配置和故障排除，5分钟，取分数最高的前3名。,CPE （customer premise equipment ）,专业形象 要确保自己能以最为专业的方式代表公司出现在客户面前。 着装 许多公司都要求现场技术人员穿着统一制服，或者对其着装有着严格的规定。 言行 与客户交谈时，言谈必须谦恭有礼，而且要完整回答客户提出的所有问题。如果客户提问涉及到技术人员不了解的信息，务必记录下客户的问题，并尽快予以跟进。,CPE 安装,工作场所安全,WAN连接,点对点 电路交换 分组交换,PPP协议配置,做实验,路由,查看路由表,对于 Cisco 路由器，IOS 命令 show ip route 可显示路由表中的路由。 路由表中可能存在以下几种路由： 直接连接的路由 静态路由 动态更新的路由 （动态路由） 默认路由,静态路由,ip route 目的网络 子网掩码 网关地址,做实验,距离矢量路由协议,衡量最佳路径的依据：距离 路由器之间互通信息的方式：定期更新,做练习,RIP协议的特点,RIP（路由信息协议）是一种距离矢量路由协议，最初在 RFC 1058 中规范说明。 RIP使用跳数作为路径选择的度量，默认每 30 秒发送一次路由表内容。,RIP 协议简单、易于实施，可供大多数路由器免费使用。 这些优点使 RIP 成为广受欢迎的路由协议。 但 RIP 也有几个缺点： 支持的最大跳数为 15，因此应用 RIP 的网络不能串接 16 台以上的主机。 需定期发送路由表的完整副本到直接相连的邻居。 在大型网络中，这可能导致每次更新时产生巨大的网络流量。 大型网络发生改变时，网络收敛的速度很慢。 RIP 目前有两个版本： RIPv1 和 RIPv2。 RIPv2 支持无类路由，因为它的路由更新中含有子网掩码信息， 而 RIPv1 不会在更新中发送子网掩码信息，因此必须依靠有类默认子网掩码。 RIPv2 用组播更新，RIP v1用广播更新。,RIP配置,在配置 RIP 之前，请启用参与路由的所有物理接口，并为其分配 IP 地址。 在串行链路中，需要在主控路由器上设置时钟速率， 然后再配置 RIP。 对于大多数的基本 RIP 配置，必须记住三个命令：,Router(config)#router rip Router (config-router)#version 2 Router(config-router)#network 网络号,做实验,查看路由,自治系统,AS 是由单个管理机构使用同一套内部路由策略统一控制的一组网络。 每个 AS 都以唯一的 AS 编号 (ASN) 标识。 ASN 在 Internet 上控制和注册。,常见路由协议,自治系统之间的路由,内部网关协议 (IGP) (RIP、EIGRP 和 OSPF)用于在自治系统或组织内部交换路由信息。 外部网关协议 (EGP) 用于在不同自治系统之间交换路由信息。 EGP 协议运行于外部路由器上，也就是位于 AS 边界的路由器上。 外部路由器也称为边界网关。 内部路由器使用 IGP 互相交换各自的路由，而外部路由器则使用外部协议交换网络路由信息。,BGP协议,目前 Internet 上最常用的外部路由协议是边界网关协议 (BGP)。 估计有 95% 的自治系统使用 BGP。 BGP 的最新版本是第 4 版 (BGP-4)，其最新说明可参见 RFC 4271。,本地流量和中转流量,Internet 中的消息流称为流量。Internet 流量可分为以下两类： 本地流量 - 在一个 AS 内传输的流量，流量要么起源于该 AS，要么以该 AS 内部为目的地。这就像同一条街道内的交通流量一样。 中转流量 - 起源于该 AS 之外、通过该 AS 发送到外部目的地的流量。这就像经过某条街道的交通流量一样。 自治系统之间的流量受到严格控制。为了保障安全性或防止过载，必须限制甚至禁止特定类型的消息进入或流出 AS。 许多自治系统网络管理员选择不传送中转流量。如果路由器的容量不足以处理大量流量，中转流量可能会使其过载并且路由失败。,BGP的配置,ISP 在客户处安装路由器时，通常会将其配置为使用默认静态路由到达该 ISP。 但有时候，ISP 可能会希望该路由器包含在其自治系统中，并且加入 BGP。 此时，必须通过启用 BGP 的命令来配置客户所在地路由器。,router bgp AS 编号 neighbor IP 地址 remote-as AS 编号 network 网络地址 用于 BGP 的 IP 地址通常是已注册、可路由的地址，用来标识唯一的组织。 在超大型的组织中，可如前所述在 BGP 过程中使用私有地址。 但在 Internet 上，BGP 绝不能用来通告私有网络地址。,如果 ISP 客户有自己的注册 IP 地址块，可能会希望其内部的某些网络路由为 Internet 所知晓。 要使用 BGP 通告内部路由，需执行一条 network 命令,本单元任务6,全体做练习，5分钟，取前三名。,ISP提供的服务,代维服务 主机托管,TCP/IP协议,TCP与UDP,数据传输过程,对于数据库、网页和电子邮件之类的应用，所有数据都必须以原始形式到达目的地，这样得到的数据才有用。,建立连接,三次握手,UDP,一般认为 UDP 是不可靠的传输协议，因为它无法保证消息能够被目的主机接收到。但这并不表示使用 UDP 的应用程序也同样不可靠，而只是意味着传输层协议不提供这些功能。如有必要，可通过其它方式来实现。 在常见网络中，UDP 通信的总量往往相对较低，但某些常用的应用层协议使用了 UDP，包括： 域名系统 (DNS) 简单网络管理协议 (SNMP) 动态主机配置协议 (DHCP) 路由信息协议 (RIP) 简单文件传输协议 (TFTP) 在线游戏,TCP与UDP的对比,支持多种服务,配置常见服务,DNS FTP/TFTP HTTP/HTTPS IMAP/POP3/SNMP DHCP,思考,企业有没有部署DNS服务器的必要性？ HTTP服务器是托管好还是自行维护好？ 邮件服务器对企业有什么意义？ 企业部署DHCP容易出现什么问题？,ISP提供的安全服务,帮助客户端设置安全的设备密码 通过补丁管理和软件升级保护应用程序 删除可能形成漏洞的多余应用程序和服务 确保应用程序和服务仅供必要的用户使用 配置桌面防火墙和病毒检查软件 对软件和服务执行安全扫描，确定技术人员必须保护的安全漏洞,最佳安全作法,常用的数据安全功能和规程包括： 保密： 加密服务器硬盘中存储的数据 访问控制： 设置权限，限制对文件和文件夹的访问 根据用户帐户或用户组成员资格允许或拒绝访问 如果允许访问，则根据用户帐户或用户组成员资格分配不同的权限级别 在分配访问文件和文件夹的权限时，最佳安全做法是遵循最小权限的原则。,身份认证、授权和记帐 (AAA) 是网络管理员为提高对攻击者入侵网络的防范能力而采取的三步式措施。 身份认证：要求用户提供用户名和密码以验明其身份。 授权：为用户分配使用特定资源和执行特定任务的权限。 记帐：记录使用的应用程序及其使用时间。 AAA 可用于不同类型的网络连接，它需要一个数据库来记录用户证书、权限和帐户统计数据。本地身份认证是 AAA 最简单的形式，它在网关路由器上保留本地数据库。如果某组织有大量用户要使用 AAA 进行身份认证，则必须在单独的服务器上保留一个数据库。,最佳安全作法,有许多网络协议可供应用程序使用。有些协议具有安全版本，有些则没有。,数据加密,DoS （标准的拒绝服务）攻击是指服务器或服务受到攻击而导致合法用户无法使用服务。标准 DoS 攻击的部分示例包括 SYN 泛洪攻击、ping 泛洪、LAND 攻击、带宽消耗攻击和缓冲区溢出攻击。,DDoS（分布式拒绝服务）攻击是指使用多台计算机攻击一个特定的目标。在 DDoS 攻击中，攻击者对许多台受到入侵的计算机系统（通常是 Internet 上的计算机系统）拥有权限，从而可以远程发动攻击。DDoS 攻击的性质通常与标准 DoS 攻击的性质相同，但 DDoS 攻击是同时从多个计算机系统上发出的。,DRDoS（分布式反射拒绝服务）攻击是指攻击者发送欺骗性或虚假请求到 Internet 上的许多计算机系统，并将请求的源地址修改为目标计算机系统。接收请求的计算机系统将会作出响应。当计算机系统响应请求时，所有这些请求都会导向同一目标计算机系统。攻击的反射特性使得攻击的来源非常难以确认。,访问列表和端口过滤,尽管使用了 AAA 和加密，但 ISP 仍然必须防范许多不同类型的攻击。目前有三种主要的拒绝服务攻击。,访问列表和端口过滤,端口过滤是根据特定的 TCP 或 UDP 端口控制通信流量。许多服务器操作系统具有通过端口过滤限制访问的选项。这样，服务器既可以提供所需服务，又可以受到保护。网络路由器和交换机也可以利用端口过滤来控制通信流量和保护对设备的访问。,ISP 必须能够过滤可能损害 ISP 网络或服务器运营的网络流量。,访问列表和端口过滤,ISP 必须能够过滤可能损害 ISP 网络或服务器运营的网络流量。,访问列表用来根据源和（或）目的 IP 地址确定允许或拒绝通过网络的通信，也可以允许或拒绝所用协议的源和（或）目的端口上的通信。管理员在网络设备（如路由器）上创建访问列表，以控制是转发通信还是作出拦截。 访问列表只是第一条防线，还不足以保护网络安全。它只能禁止访问网络，而不能帮助网络防范各种类型的恶意攻击。,防火墙,防火墙是一种网络硬件或软件，用于定义可以进出网络特定区域的通信以及处理通信的方式。 访问列表是防火墙使用的工具之一。防火墙的访问列表可能非常复杂。 防火墙使用访问列表来控制允许通过或需要拦截的流量，并随着新功能的开发和新威胁的涌现而不断演变。 不同的防火墙具有不同的功能。动态数据包过滤防火墙或状态防火墙将跟踪源设备与目的设备之间的通信过程。 防火墙的功能越多，处理数据包所需的时间就越长。,防火墙,防火墙可以为整个网络以及内部本地网段（如服务器群）提供边界安全。 防火墙还控制着可以进入受保护的本地网络的通信类型。 某些组织可以选择实施内部防火墙来保护敏感区域。,做实验 ,IDS and IPS,IDS（入侵检测系统）是一种基于软件或硬件的解决方案，它被动地监听网络通信。网络通信并非直接流过 IDS 设备，IDS 通过网络接口监控通信。当它检测到恶意通信时，就会发送警报到预配置的管理站。,IPS（入侵防御系统）则是一种主动式物理设备或软件功能。通信从 IPS 的一个接口进入，从另外一个接口送出。IPS 可检测网络通信中的实际数据包，并实时允许或拒绝想进入网络的数据包。,IDS 和 IPS 技术都部署为传感器。IDS 或 IPS 传感器 可以是： 使用 IPS 版本 Cisco IOS 配置的路由器 专门设计为提供专用 IDS 或 IPS 服务的设备（硬件） 安装在自适应安全设备 (ASA)、交换机或路由器中的网络模块,IDS 解决方案在检测入侵时作被动反应。它们根据网络通信或计算机活动的特征码检测入侵。它不会阻止初始通信到达目的地，而是对检测到的活动作出响应。 在正常配置下，IDS 在检测到恶意通信时，可以主动重新配置网络设备（例如安全设备或路由器）来拦截其它的恶意通信，但是最初的恶意流量已经通过网络到达预定目的地，而无法拦截。只有后续的流量才会受到拦截。因此，IDS 设备无法阻止某些入侵。 处于防火墙之外，用于拦截大多数的恶意流量。 处于防火墙之后，用来检测防火墙的不当配置。,IDS and IPS,IPS 解决方案可主动作出反应，它们可以实时拦截所有可疑的活动。 当 IPS 检测到恶意流量时，可以立即予以拦截。然后，IPS 会依照配置发送警报，将入侵的相关信息通知管理站。由于 IPS 可以主动防范攻击，最初及后续的恶意流量都会遭到拦截。 IPS 是一种入侵检测设备，而非软件。 IPS 检查整个数据包。因此，对于防火墙无法拦截或无法配置为拦截的新攻击，IPS 都可以立即加以拦截。,IDS and IPS,无线安全,在 ISP 提供的服务当中，有时候会包括为客户创建可登录到无线局域网 (WLAN) 的无线热点。 无线网络易于实施，但如果配置不正确，便很容易受到攻击。无线信号可以穿透墙壁，因此在企业建筑物之外也可以访问。可以采用以下方法保护无线网络： MAC 地址过滤 WEP（有线等效保密）加密无线节点之间发送的数据，应只用于不支持新版无线安全协议的旧设备 WPA（Wifi 保护访问）使用临时密钥完整协议 (TKIP)，提供相互身份认证的机制，永远不会传送密钥 WPA2（Wifi 保护访问 2 ）使用更安全的“高级加密标准”(AES) 加密技术,无线安全,PT 在无线路由器上配置 WEP.pka,主机安全,无论网络中是否存在防护层，服务器若未得到正确的保护，都容易遭受攻击。 保护服务器的方法之一是使用基于主机的防火墙。 基于主机的防火墙是在主机操作系统上直接运行的软件。它帮助主机防范可能穿透所有其它防护层的恶意攻击。 启用基于主机的防火墙时，既要允许访问完成工作任务所需的网络资源，又要防止应用程序给恶意攻击留下漏洞。,ISP 使用基于主机的防火墙来限制对服务器上特定服务的访问。使用基于主机的防火墙时，ISP 通过封锁对无关端口的访问来保护服务器及客户的数据。,ISP 服务器利用基于主机的防火墙来防范各种不同类型的攻击和漏洞。 已知的攻击 可被利用的服务 蠕虫和病毒 后门和特洛伊木马,主机安全,除了基于主机的防火墙之外，还可以在主机上安装 Anti-X 软件。 Anti-X 软件可以帮助计算机系统防范病毒、蠕虫、间谍软件、恶意软件、网络钓鱼甚至垃圾邮件。 必须使用事件管理程序来跟踪所有事件和相应的解决方案，以防病毒感染再次发生。事件管理是 ISP 管理和维护客户数据所必需的程序。,主机安全,服务等级协议,ISP 和用户通常签订有称为服务等级协议 (SLA) 的合同。该合同上清楚地列明了双方的期望和义务。 典型的 SLA 包括以下几部分： 服务说明 费用 跟踪和报告 问题管理 安全 协议的终止 服务中断时的赔偿 可用性、性能和可靠性 SLA 是一个重要的文档，其中清楚地列明了网络的管理、监控和维护等相关条款。,实验操作 解释服务等级协议.pdf,监控网络链路性能,ISP 负责监控和检查设备的连通性，包括属于 ISP 的任务设备，以及位于客户所在地但 ISP 在 SLA 中已经表示同意监控的设备。 初始配置时如果设备无法通过网络访问，或者必须对设备进行目视检查，则适合采用带外管理。 在管理可以通过网络访问的服务器时，带内管理比带外管理更适合，可全面检查网络的设计等。,传统的带内管理协议包括 Telnet、SSH、HTTP 和 SNMP（简单网络管理协议）。,选择带内带外工具,SNMP 是一种网络管理协议，可让网络管理员收集有关网络及相应设备的数据 SNMP 主要包括四部分： 管理站装有 SNMP 管理应用程序的计算机，供管理员监控和配置网络。 管理代理SNMP 管理的设备上安装的软件 管理信息库 (MIB)设备所保留的其自身与网络性能参数相关的数据库。 网络管理协议管理站与管理代理之间使用的通信协议。,CiscoWorks 等工具中包含 SNMP 管理系统软件。Internet 上有可供下载的 CiscoWorks 免费版本。SNMP 管理代理软件通常内嵌于服务器、路由器和交换机的操作系统中。,管理站包含供管理员配置网络设备的 SNMP 管理应用程序，还存储着这些设备的有关数据。管理站通过轮询设备来收集信息。轮询是指管理站向代理请求特定信息。 代理的任务是响应轮询，向管理站报告信息。当管理站轮询代理时，代理将调用 MIB 中存储的统计信息。 代理还可以使用陷阱配置。陷阱是代理中触发警报的事件。代理的特定区域配置了必须保持的阈值或上限，例如可以访问特定端口的流量。如果超过了阈值，代理就会发送警报消息到管理站。这样可以避免管理站不断轮询网络设备。 管理站和受管理的设备通过可以访问设备的社区 ID（称为社区字符串）加以标识。,选择带内带外工具,维护设备日志并定期核查是网络监控的重要部分。Syslog 是日志系统事件的一项标准。像 SNMP 一样，Syslog 也是一种应用层协议，可让设备发送信息到管理站上安装和运行的 Syslog 守护进程。 Syslog 系统由 Syslog 服务器和 Syslog 客户端组成。Syslog 服务器接受和处理来自 Syslog 客户端的日志消息。客户端是受到监控的设备。Syslog 客户端生成日志消息并将其发送到 Syslog 服务器。 日志消息通常包含日志消息 ID、消息类型、设备发送消息的时间戳（日期、时间）以及消息文本。根据发送 Syslog 消息的网络设备，Syslog 消息可能还会包含其它项目。,选择带内带外工具,选择带内带外工具,备份介质,如果丢失网站中存储的内容，将可能需要数百甚至数千工时来恢复这些数据。在内容恢复期间如果发生停机事故，则造成的业务损失更是无法估量。 数据备份非常重要。IT 专业人员的工作是尽力降低丢失数据的风险，同时为丢失的任何数据提供快速恢复的服务。,当 ISP 需要备份其数据时，必须权衡备份解决方案的成本与效率。当今市面上有许多类型的备份介质，包括磁带介质、光存储介质、硬盘介质和固态介质等。备份介质的选择可能是一个复杂的过程，因为影响选择的因素有很多。其中的部分因素包括： 数据量 介质的价格 介质的性能 介质的可靠性 离站存储的便利性,备份介质,磁带仍然是最常见的备份介质类型之一。 磁带有以下几种类型： 数字数据存储 (DDS) 数字音频磁带 (DAT) 数字线性磁带 (DLT) 线性开放磁带 (LTO) 光存储介质是少量数据的常见选择。一张 CD 的存储容量为 700MB，DVD 的单面双层光盘最多可以支持 8.5GB，而每张 HD-DVD 和蓝光盘片的容量超过 25GB。ISP 可以使用光存储介质将 Web 内容数据递交给客户。客户也可以使用此介质将网站内容递交给 ISP Web 托管网站。带有内置 CD 或 DVD 驱动器的计算机系统可以轻松访问光存储介质。,备份介质,基于硬盘的备份系统因其驱动器成本低、容量高而越来越受欢迎。但基于硬盘的备份系统难以实现离站存储。大型磁盘阵列，如直接连接存储 (DAS)、网络连接存储 (NAS) 和存储区域网络 (SAN) 等，都无法移动。 基于硬盘的备份系统通常与磁带备份系统结合使用，以利于离站存储。在分级备份解决方案中同时使用硬盘和磁带，既可以在恢复时快速从本地硬盘获取数据，又可拥有长期存档的解决方案。 固态存储是指没有任何活动部件的非易失性存储介质。固态介质形式多样，既有邮票大小、只能存储 1GB 数据的小型驱动器，也有路由器大小、可以存储 1000GB (1TB) 数据的封装。 固态存储适合于需要快速存储和检索数据的场合。固态数据存储系统的应用包括数据库加速、高清晰视频访问、数据检索和 SANS。高容量固态存储设备的成本很高，但随着技术的不断成熟，价格会越来越低。,备份介质,文件备份方法,正常（完全）备份 将复制所有选取的文件，并将每个文件标记为已经备份。选择正常备份时，只需要最新的备份便可恢复所有文件，从而加速和简化恢复过程。完全备份耗时最长。 差异备份 只复制自上次完全备份后更改过的文件。在执行下一次完全备份之前，差异备份过程会一直运行。这样可以缩短备份的时间。 增量备份 只保存自上次增量备份后创建或更改的文件。增量备份的速度最快，但恢复时间最长。,选择备份解决方案之后，必须决定如何执行备份。有三种方法可供选择。,备份系统需要定期维护以确保正常运行。确保备份能成功的一些步骤包括： 替换介质 查看备份日志 执行试验性恢复 执行驱动器维护,文件备份方法,数据备份是任何灾难恢复