网络管理与存储复习要点.doc

一、 VLAN 概念、划分、功能 VLAN（Virtual Local Area Network）即虚拟局域网，它是一种将局域网内的设备逻辑地而不是物理地划分成一个个网段的技术。这里的网段仅仅是逻辑网段的概念，而不是真正的物理网段。可以简单地将VLAN理解为是在一个物理网络上逻辑地划分出来的逻辑网络。划分：基于端口（port-based）的VLAN基于MAC地址（MAC-based）的VLAN基于协议（protocol-based）的VLAN基于IP（IP-based）的VLAN基于策略（policy-based）的VLAN 为什么要使用VLAN 增加了网络连接的灵活性 控制网络上的广播风暴 增加网络的安全性 实现网络集中化管理控制二、 交换机（二层、三层）、连接方式（差别）按协议层次分类：o 第二层交换机（网桥技术） 使用可编程的ASIC（专用集成电路）通过高速背板/总线（速率可达每秒几十GB）并基于MAC地址完成不同端口间的数据转发，价格最低，性能亦最低，支持VLAN，通常为非网管型o 第三层交换机（路由技术） 使用可编程的ASIC（专用集成电路）而不是运行在处理器之上的软件进行数据转发和IP路由处理，具有线速路由功能，可为每个端口配置独立的IP地址，可根据IP地址划分为小而独立的VLAN既可完成第二层交换机的端口交换功能，又能完成部分路由器的路由功能o 第四层交换机 能够基于传输层中的TCP/UDP应用端口号决定传输，即根据端口主机的应用需求来自主确定或动态限制端口的交换过程和数据流量，即具有第四层智能应用交换需求o 第七层交换技术可以实现有效的数据流优化和智能负载均衡。用户不仅能验证是否在发送正确的内容，而且还能打开网络上传送的数据包（不用考虑IP地址或端口），并根据包中的信息做出负载均衡决定。当单一交换机所能够提供的端口数量不足以满足网络计算机的需求时，必须要有两个以上的交换机提供相应数量的端口，这也就要涉及到交换机之间连接的问题。从根本上来讲，交换机之间的连接不外乎两种方式，一是堆叠，一是级联。o 级联(Uplink)p 上层交换机普通以太网端口与下层交换机的Uplink（级联）端口连接p 需要注意的是交换机不能无限制级联，超过一定数量的交换机进行级联，最终会引起广播风暴，导致网络性能严重下降。 o 堆叠(Stack)p 几台交换机堆叠在一起，采用专用堆叠电缆进行连接p 堆叠中的所有交换机可视为一个整体交换机来进行管理，但必须有专门端口（Up和Down，通常都是D型25孔接口）o 群集（集群）p 堆叠和级联技术的综合，可将分布各处的交换机逻辑地组合到一起，其中一台为Commander（管理者），其他交换机则处于从属地位，由Commander统一管理。堆叠和级联的区别堆叠(Stack)和级联(Uplink)是指多台交换机或集线器连接在一起，主要目的是增加端口密度。但实现的方法不同。o 级联是通过集线器的某个端口与其它集线器相连的，如使用一个集线器UPLINK口到另一个的普通端口；而堆叠是通过集线器的背板连接起来的，它是一种建立在芯片级上的连接，优点是不会产生瓶颈的问题。o 级联可通过一根双绞线在任何网络设备厂家的交换机之间，集线器之间，或交换机与集线器之间完成。而堆叠只有在自己厂家的设备之间，且此设备必须具有堆叠功能才可实现。级联只需单做一根双绞线(或其他媒介)，堆叠需要专用的堆叠模块和堆叠线缆。o 交换机的级联在理论上是没有级联个数限制的(注意：集线器级联有个数限制，且10M和100M的要求不同)，而堆叠各个厂家的设备会标明最大堆叠个数。o 级联相对容易，但堆叠这种技术有级联不可达到的优势。首先，多台交换机堆叠在一起，从逻辑上来说，它们属于同一个设备。这样，如果你想对这几台交换机进行设置，只要连接到任何一台设备上，就可看到堆叠中的其他交换机。而级联的设备逻辑上是独立的，如果想要网管这些设备，必须依次连接到每个设备。o 多个设备级联会产生级联瓶颈。例如，两个百兆交换机通过一根双绞线级联，则它们的级联带宽是百兆。这样不同交换机之间的计算机要通讯，都只能通过这百兆带宽。而两个交换机通过堆叠连接在一起，堆叠线缆将能提供高于1G的背板带宽，极大地减低了瓶颈。o 级联还有一个堆叠达不到的目的，是增加连接距离。堆叠线缆最长也只有几米，所以堆叠时应予考虑。 三、 路由器 配置路由器的主要功能通过软件实现。路由器有自己独立的嵌入式操作系统。配置方式a) 控制台方式 通过console口和终端仿真软件b) 远程拨号方式 利用AUX口接MODEM拨号设备c) TFTP服务器方式 通过以太网上的TFTP服务器配置路由器d) 远程登录方式 通过以太网上的telnet程序远程登录e) 网管工作站方式 通过以太网上的SNMP网管工作站配置状态o router 用户模式, 登录成功时进入n 用户命令状态（用户可查看路由器当前连接情况，不能查看和更改路由器的配置内容）o router# 特权模式, 在用户命令状态下输入enable进入n 特权命令状态（可查看配置但不能修改）o router(config)# 配置模式n 进入方法 router# config terminaln 可修改路由器配置(如静态路由表设置等)o router(config)#interface Ethernet 端口配置模式n 如 router(config)#interface Ethernet0 或 Serial0o 对话状态n 在特权模式下使用setup命令进入(新路由器则在登录成功时自动进入)配置示例 ptgz (用户级状态) ptgzenable （转入特权级命令） ptgz# （特权状态即exec状态） 进去后打“？”可列出有关命令。 退出： exit 或 logout四、 分层网络 设计 各层含义层次型网络结构具有如下好处a) 减轻网络中设备的CPU负载b) 降低网络成本c) 简化每个设计元素并且易于理解d) 容易变更层次结构e) 网络互连设备可以充分发挥它们的特性分层模型的每一层都有特定的作用f) 核心层提供两个场点之间的优化传输路径g) 分布层(汇聚层)将网络服务连接到接入层，并且实现安全、流量负载和选路的策略h) 在广域网设计中，接入层由园区边界上的路由器组成。在园区网中，接入层为端用户访问提供交换机或集线器核心层l 是互连网络的高速主干。必须用冗余组件设计核心层，使之具有高可靠性，且能快速适应变化l 配置核心层的路由器时，应用优化分组吞吐量的路由特性，避免无关功能，为降低时延和增强管理，优化核心层l 核心层应有有限的和一致的范围。即增加分布层路由器和接入层交换机及用户局域网，不增加核心层的范围。限制核心层的范围可提供可预测的性能，并且易于发现故障l 核心层拓扑结构应包括一条或多条连接到外部网络的链路。不鼓励地区网自行建立到Internet的连接，而应将这些功能集中在核心层，进而减少复杂性和潜在的选路问题，这对于提高网络安全性也有帮助。分布层l 连接网络核心层与接入层；能因安全性原因控制通过核心层的通信。可在此配置VLAN之间的路由l 允许核心层连接多个地点，保持高水平性能。为保持核心层的高性能，分布层可以在耗用带宽的接入层选路协议和优化的核心层选路协议之间重新发布l 为了提高选路协议的性能 汇总接入层的路由。分布层对某些网络提供了一个到接入层路由器的默认路由，仅当与核心层路由器通信时才用动态选路协议 地址转换。这使接入层中设备可使用专用内部地址接入层l 提供了用户在局部子网访问互连网络的能力。接入层包括路由器、交换机、网桥和共享媒体的集线器l 在园区网的接入层，交换机分解了带宽冲突域，以满足高时延特性的应用程序的需求l 接入层可以使用诸如ISDN、帧中继、租用数字线路和模拟调制解调器等广域网技术提供对公司互连网络的访问。这时可使用诸如拨号请求路由选择(DDR)和静态路由选择这些路由选择功能来控制带宽利用率，并降低接入层远程链路的成本层次型网络设计原则l 原则1：控制分层企业网拓扑结构的范围。在大多数情况下，需核心层、分布层和接入层三个主要层次。l 原则2：先设计接入层，其次设计分布层，最后是核心层。五、 防火墙 原理 类别（差别） 实现防火墙是内部网与外部网之间的一个中介系统，它通过监测、限制、修改跨越防火墙的数据流，尽可能地对屏蔽内部网络的结构、信息和运行情况，拒绝未经授权的非法用户访问或存取内部网络中的敏感数据，保护其不被偷窃或破坏，同时允许合法用户不受妨碍地访问网络资源。分类n 包过滤防火墙 通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态，按网络管理员设定的过滤规则确定是否允许该数据包通过。 优点：速度快，简单低廉,广泛应用于路由器上。 缺点：配置好包过滤规则比较困难，易出现漏洞。单纯的包过滤防火墙容易被黑客用“IP欺骗攻击”等攻破（IP欺骗攻击：通过向防火墙发出一系列含有一串顺序的IP地址的信息包，一旦有一个包通过了防火墙，就可用这个IP地址来伪装成被信任的主机建立应用连接）。n 应用级网关（代理服务器） 代理服务器象一堵墙一样挡在内部网络和外部网络之间，从外部只能看到该代理服务器而无法获知任何内部资源。优点；比单一的包过滤防火墙可靠，且可以详细记录所有访问状态信息。缺点：执行速度慢，安装代理服务器的操作系统本身易遭到攻击。n 状态检测防火墙 这种防火墙由一个“监测引擎”截获数据包并抽取有关信息按有关安全规定进行检查和分析，作出接纳、拒绝、身份认证、报警等反应。一旦某个访问违反安全规定，就会拒绝该访问。目前已在国内外得到广泛应用。优点：非常坚固缺点：会降低网络的速度，且配置比较复杂。六、 子网划分七、 熟悉各种命令（ipconfig / ping / tracert / netstat ）1、 Ping用来测试两个主机之间的连通性。使用了 ICMP 回送请求与回送回答报文。应用层直接使用网络层 ICMP 的例子，它没有通过运输层的 TCP 或UDP。 Ping 命令通过向计算机发送 ICMP 回应报文并且监听回应报文的返回，以校验与远程计算机或本地计算机的连接。对于每个发送报文， Ping 最多等待 1 秒，并打印发送和接收把报文的数量。比较每个接收报文和发送报文，以校验其有效性。默认情况下，发送四个回应报文，每个报文包含 64 字节的数据（周期性的大写字母序列）。参数：n -t用当前主机不断向目的主机发送数据包。n -n count指定ping 的次数。n -I size指定发送数据包的大小。n -w timeout指定超时时间的间隔（单位：ms，默认为1000）2、 Ipconfig该诊断命令显示当前 TCP/IP 网络中的所有配置变量。在运行 DHCP 的系统中该命令特别有用，允许用户决定 DHCP 配置过哪些 TCP/IP 配置变量。不带参数运行 ipconfig 实用程序将当前 TCP/IP 的所有配置变量提供给用户，包括 IP 地址和子网掩码。用法：n ipconfig /all |/release adapter |/renew adapter n 参数：n /all显示所有的配置信息。n /release释放指定适配器的IP。n /renew更新指定适配器的IP。3、 Netstat 显示协议统计信息及当前 TCP/IP 网络连接状只有在安装 TCP/IP 协议之后才能使用该命令。netstat -a -e -n -s -p protocol -r intervaln 则显示主机IP地址而非主机名e 显示以太网统计数据a 显示所有连接和监听端口s 按协议显示统计结果（默认情况统计TCP、UDP和IP三种协议统计结果 4、Tracert 用来跟踪和显示IP数据包在网络上的传输路径。根据反馈信息，可以知道信息包在网络上的各个网段传输所花费的时间的长短。 tracert IP地址或域名n 参数：n -d不解析主机名。n -w timeout设置超时时间（单位：ms）。n Tracert 用于跟踪路径，即可记录从本地至目的主机所经过的路径，以及到达时间。利用它，可以确切地知道究竟在本地到目的地之间的哪一环节上发生了故障。八、 ftp / web 服务器 安全策略WEB服务器：具备网站发布功能的服务器n 提供WWW服务n 提供FTP服务n 提供E-MAIL服务n 提供WEB数据库访问服务n 资源管理n 安全管理在各种服务器中，安装、使用和管理最方便的是以Windows 2000为网络操作系统的WEB服务器。九、 网络安全策略网络安全目的i 进不来使用访问控制机制，阻止非授权用户进入网络i 拿不走使用授权机制，实现对用户的权限控制i 看不懂使用加密机制，确保信息不暴露给未授权的实体或进程i 改不了使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据。i 走不脱使用审计、监控、防抵赖等安全机制，监视并记录攻击者、破坏者行为痕迹。网络安全管理包括威胁分析、定义和强制安全性策略、检查标志、执行和强制访问控制、确保机密、数据完整性、系统监视、事件报告。十、 DHCP / DNS / web 工作原理 1、 DNS域名系统（Domain Name System），将域名解析成为IP地址查询方式：递归查询（Recursive Query）：客户机送出查询请求后，DNS服务器必须告诉客户机正确的数据（IP地址）或通知客户机找不到其所需数据。如果DNS服务器内没有所需要的数据，则DNS服务器会代替客户机向其他的DNS服务器查询。客户机只需接触一次DNS服务器系统，就可得到所需的节点地址。 迭代查询（Iterative Query）：客户机送出查询请求后，若该DNS服务器中不包含所需数据，它会告诉客户机另外一台DNS服务器的IP地址，使客户机自动转向另外一台DNS服务器查询，依次类推，直到查到数据，否则由最后一台DNS服务器通知客户机查询失败。 2、DHCP自动为网络中的端计算机分配临时IP地址的责任 DHCP使用客户/服务器模型。网络管理员建立一个或多个维护TCP/IP配置信息并将其提供给客户端的DHCP服务器。DHCP允许通过本地网络上的DHCP服务器IP地址数据库为客户端动态指派IP地址。3、WINS WINS服务为注册和查询网络上计算机和用户组NetBIOS名称的动态映射提供了分布式数据库。WINS将NetBIOS名称映射为IP地址，并设计为解决路由环境的NetBIOS名称解析中所出现的问题。WINS对于使用TCP/IP上的NetBIOS路由网络中的NetBIOS名称解析是最佳选择。通过WINS服务，可减少使用NetBIOS名称解析的本地IP广播，并允许用户很容易地定位远程网络上的系统，这就是WINS服务的最根本作用。名称注册、名称更新、名称查询、名称释放 十一、 案例（如网络不通，解决步骤是什么）故障排除指南1、 PING （回路地址）验证网卡是否可以正常加载并运行TCP/IP协议2、 PING （Ping本机IP地址）验证网络上本主机的IP地址是否与其他主机的IP地址发生冲突。3、 PING （Ping本网络已正常入网的其他主机的IP地址）检查网络连通性好坏。4、 PING 缺省网关的IP地址（即位于本网络内的IP路由器或主）5、 PING远程计算机的IP地址（即位于其他子网区域内的主机IP）。1、 观察外部症状2、 形成一个假设3、 测试该假设4、 假设正确与否？以太网排错网络文档以太网排错冲突增多，网络性能下降以太网排错FCS错误以太网排错早期冲突和短帧以太网排错超长帧以太网排错滞后冲突以太网排错广播风暴因特网连接排错 （ICMP / PING / TRACERT / IPCONFIG）主机到主机连接排错具体排除思路是：先询问、观察故障时间和原因，然后动手检查硬件和软件设置，动手（观察和检查）则要遵循先外（网间连线 ）后内（单机内部），先硬（硬件）后软（软件）。相关检查：（1）首先要检查共同的通道。 （2）如果检查了网络的物理层后没有发现问题，接下来就要进行网络的数据链路层的检查。（3）如果检查了网络的数据链路层后没有发现问题，接下来就需要检查网络层和传输层。（4）如果目的计算机能ping通，但是网络应用层的程序却不能连通，则需要检查防火墙的参数设置与加载的设置是否正确，还需要检查相关网络应用程序的参数设置是否正确。十二、 磁盘冗余阵列 各级别（差别）RAIDRedundant Array of Independent Disks，廉价硬盘冗余阵列基本概念来自於集结多个容量小、又不贵的硬磁盘组成一个磁盘阵列，产生比一个容量大但是较贵的硬磁盘还要好的效能。 通常说的“磁盘阵列”则是指由自带CPU的阵列控制器控制的一个硬盘阵列柜种海量存储设备 基本原理一个“阵列控制器”（Array controller）来控制多个硬盘的相互连接、使多个硬盘的读写同步以减少错误、提高效率和可靠性的存储控制技术。 级别：业界公认的标准是RAID 0RAID 5，其他如RAID 6，RAID 7，乃至RAID 10等，都是厂商各做各的，并无一致的标准。常用的RAID级别有：RAID0，RAID1，RAID5和RAID10（RAID 0+1） RAID 0: 单纯数据条块化n “数据条块化”的“无容错能力”磁盘驱动器群组n 所有磁盘阵列系统中，数据存取效能最佳和磁盘空间利用率最高的一种 优点：传输率和硬盘利用率最高，价格便宜。缺点： 无冗余，可靠性最差，其中一个磁盘发生故障，所有数据将丢失。应用：通常使用在暂存数据和高 I/O 速率的工作站 。RAID1：磁盘镜像和磁盘双工在 RAID 1 系统中，相同的数据被存储在两个硬盘上（100% 冗余）。当一个磁盘驱动器发生故障时，在另一个磁盘上可立即获得数据，从而无损数据完整性。通过一个 SCSI 通道映射两个磁盘时我们称之为磁盘镜像。如果每个磁盘都与独立的 SCSI 通道连接，我们称之为磁盘双工（更加安全）。n “磁盘镜像备份”磁盘驱动器群组n 所有拥有容错能力的磁盘阵列系统中，容错能力最好，磁盘空间利用率最低，数据存取效率最高的一种优点：可用性高，即使一个磁盘发生故障，逻辑硬盘上的数据依然可用。缺点：需要 2 个磁盘，但只使用其中一个存储数据。应用：通常使用于较小的系统，其中一个磁盘的容量足够，并用作启动盘。 RAID 10RAID 0+1的综合体 在RAID 0+1配置下，数据被分段存入到一个磁盘组1，然后又被镜象到另一个磁盘组2，从而既产生了良好的输入/输出性能，又可获得了良好的可靠性。RAID 10 是 RAID 0 (性能) 和 RAID 1(数据安全)的结合，以提供了良好的性能和数据安全性。与 RAID 0 相同之处在于，在较高负载条件下可以保证最佳性能。与 RAID 1 相同之处在于，50% 的安装容量被用作冗余。 优点：可用性高，即使一个磁盘发生故障，逻辑硬盘上的数据依然可用；良好的写入性能缺点：需要偶数个磁盘，最少为 4 个，另外只能使用一半的磁盘容量 应用：通常使用于需要较高序列写入性能的场合 RAID 2 和 RAID 3 容错能力好，磁盘空间利用率较高，大数据量存取性能好。二者的主要区别在于数据安全技术不同RAID 2采用“海明码”进行错误校正及检测，故需要较多的额外磁盘，而RAID 3采用奇偶校验的（parity check）技术，所需的额外磁盘数大大减少 在一个由n个硬盘组成的阵列中，RAID 3可承受一个硬盘的失败。如奇偶校验盘失败，剩余的数据硬盘不受影响，但冗余将丢失。 RAID4：带有指定奇偶校验的数据条块 RAID 4 与 RAID 0 非常相似。数据分割在各磁盘之间。此外，RAID 控制器也会计算单个磁盘 (P1, P2, .) 上存储的冗余性（奇偶校验信息）。即使有一个磁盘发生故障，所有的数据完全可用。丢失的数据通过有效数据以及奇偶校验信息计算后存取。与 RAID 1 不同之处在于，只需要一个磁盘空间用于冗余。假如有一个由 5 个磁盘组成的 RAID 4 磁盘阵列，其中 80% 的安装磁盘容量用于用户容量，则只有 20% 的容量用于冗余。如果存在许多小数据块时，奇偶校验磁盘将出现吞吐量的瓶颈。对于较大的数据块，RAID 4 将展示大大提高的性能。 优点：可用性高，即使一个磁盘发生故障，逻辑硬盘上的数据依然可用，很好地利用了磁盘空间（如 n 个磁盘的阵列，n-1 被用作数据存储）缺点：必须计算冗余信息，这样就限制了写入性能 应用：由于安装容量与实际可用容量的比率较高，通常使用于较大的数据存储系统 RAID5：带有分段的奇偶校验的数据条块 与 RAID 4 不同，RAID 5 磁盘阵列中的奇偶校验数据分割在各磁盘之间。RAID 5 磁盘阵列提供更加平衡的吞吐量。即使对多重任务和多用户环境中的小数据块，它的响应时间都十分良好。RAID 5 与 RAID 4 的安全级别相同：其中一个磁盘发生故障时，所有的数据完全可用。丢失的数据通过有效数据以及奇偶校验信息计算得出。 优点：可用性高，即使一个磁盘发生故障，逻辑硬盘上的数据依然可用优点：很好地利用了磁盘空间（如 n 个磁盘的阵列，n-1 被用作数据存储）缺点：必须计算冗余信息，这样就限制了写入性能 应用：由于安装容量与实际可用容量的比率较高，通常用于较大的数据存储系统 RAID 4 和RAID5 容错能力好，磁盘空间利用率较高，小数据密集存取性能好。 RAID 4和RAID 3是一样的，但RAID 4可以兼容更大的数据块。RAID 5与RAID 4很相似，但只是奇偶校验数据被分段保存到所有的硬盘，即它不用校验磁盘而将校验数据以循环的方式放在每一个磁盘中，而不是写入一个指定的硬盘，从而消除了读取单个奇偶校验盘引起的瓶颈问题。所以RAID 5能大幅增加小档案的存取性能，不但可同时读取，甚至有可能同时执行多个写入的动作，这对联机交易处理(OLTP)如银行系统、金融、股市等或大型数据库的处理提供了最佳的解决方案，因为这些应用的每一笔数据量小，磁盘输出入频繁而且必须容错。 RAID 4和RAID 5的可靠性同RAID 3。 RAID 6独立的数据硬盘与两个独立分布式校方案 RAID 6等级是在RAID 5基础上，为了进一步加强数据保护而设计的一种RAID方式，实际上是一种扩展RAID 5等级。与RAID 5的不同之处于除了每个硬盘上都有同级数据XOR校验区外，还有一个针对每个数据块的XOR校验区。当然，当前盘数据块的校验数据不可能存在当前盘而是交错存储的。这样一来，等于每个数据块有了两个校验保护屏障（一个分层校验，一个是总体校验），因此RAID 6的数据冗余性能相当好。但是，由于增加了一个校验，所以写入的效率较RAID 5还差，而且控制系统的设计也更为复杂，第二块的校验区也减少了有效存储空间。 RAID 7最优化的异步高I/O速率和高数据传输率 RAID 7等级是至今为止，理论上性能最高的RAID模式，因为它从组建方式上就已经和以往的方式有了重大的不同。基本形式见图，以往一个硬盘是一个组成阵列的“柱子”，而RAID 7中多个硬盘组成一个“柱子”。换言之，在RAID 7中，以前的单个硬盘相当于分割成多个独立的硬盘，有自己的读写通道，这样做的好处就是在读/写某一区域的数据时，可以迅速定位，而不会因为以往因单个硬盘的限制同一时间只能访问该数据区的一部分。 RAID 7是一个整体的系统，有自己的操作系统，有自己的处理器，有自己的总线，而不是通过简单的插卡就可以实现的。十三、 存储区域网与 区别、联