计算机网络管理理论与实践教程完整版.ppt

计算机网络管理理论与实践教程 第一章绪论 全国信息技术水平考试 目录 绪论简单网络管理协议SNMP网络系统规划与工程管理IP地址管理网络配置管理网络故障管理网络性能管理网络安全管理理论与技术网络计费管理网络管理平台与工具网络管理机构组织与运行IT服务管理 绪论 网络管理概述网络管理功能和目标网络管理模型与协议网络管理体系结构网络管理典型实现模式分析网络管理软件系统 网络管理概述 网络管理的概念网络管理就是对网络中各种资源 如网络设备 通信线路 网络用户 网络服务 网络信息等进行监测 配置 修改 调控 使得网络能够满足应用的需求 按照国际标准化组织 ISO 的定义 网络管理主要包括五个方面工作 即故障管理 配置管理 计费管理 性能管理 安全管理 网络管理概述 网络管理的历程网络管理大致经历的三个阶段 网络管理的功能和目标 配置管理配置管理负责监测和修改网络的配置信息和运行状态 在网络的建立 扩充 改造以及运行过程中 对网络资源的配置 运行状态 网络的拓扑结构等配置信息进行定义 监测和修改 故障管理故障管理的目的在于确保网络系统可靠 稳定的运行 在网络发生故障时 及时地进行故障定位 排除故障恢复网络的正常运行 故障管理包括对被管理对象状态的监控 故障事件的追踪 定位与记录以及故障的排除等 网络管理的功能和目标 性能管理性能管理的目的是确保网络不会出现过度拥挤的情况 保障网络的可用性 为用户提供良好的网络服务质量 QoS 安全管理网络安全是指包括网络设备 网络通信协议和网络管理系统在内的所有支持网络系统运行的硬件 软件总体的安全 安全管理的目标是保证网络的保密性 可用性 完整性 可控制性 不因网络设备 网络通信协议 网络管理系统受到人为和自然因素的危害 而导致网络传输信息丢失 泄露或破坏 网络管理的功能和目标 计费管理计费管理的主要任务是根据管理部门制定的计费策略 对网络资源的使用情况收取相应的费用 分担网络运行成本 网络管理的功能和目标 服务管理服务是由服务提供商支持的 让客户感觉协调一致 能够满足客户的一种或多种需求的可用系统或功能 服务管理融合了系统管理 网络管理 系统开发管理等管理活动和变更管理 资产管理 问题管理等许多流程的理论和实践 目前网络管理的内容将会逐步地纳入到IT服务管理范畴下 作为IT服务的一个组成部分 网络管理也将遵循水平协议 SLP 框架 网络管理模型与协议 网络管理模型网络管理可以抽象为管理者 管理协议 管理信息库和管理代理四部分组成 网络管理模型与协议 网络管理协议网络管理协议是网络管理系统忠最重要的部分 它定义了网络管理者与被管代理间的通信方法 规定了管理信息库的存储结构 信息库中关键字的含义以及各种事件的处理方法 SNMP SimpleNetworkManagementProtocol 简单网络管理协议CMIP CommonManagementInformationProtocol 通用管理信息协议 网络管理体系结构 网络管理体系结构概念网络管理体系结构是指网络管理系统 网络管理代理的组织形式 常见的网络管理体系结构是 集中式体系结构分层式体系结构分布式体系结构 网络管理体系结构 集中式网络管理体系结构集中式网络管理体系结构是将网络管理系统建立在一个计算机系统上 由该计算机系统负责所有的网络管理任务 网络管理体系结构 分层网络管理体系结构分层体系结构使用多个计算机系统 其中一个作为网络管理的中央服务器系统 其它作为客户端系统 网络管理系统的某些功能驻留在服务器系统上 其它功能由客户端系统完成 网络管理体系结构 分布式网络管理体系结构分布式体系结构采用多个对等平台 其中一个平台作为一组对等平台的管理者 每个对等平台都有整个网络设备的完整数据库 网络管理典型实现模式分析 基于SNMP网络管理SNMP网络管理体系结构是为了管理TCP IP协议的网络而提出的一种网络管理协议 SNMP的网络管理模型包括管理者 管理代理 管理信息库和管理协议等重要组成部分 管理者一般是安装了网络管理系统的独立设备 作为网络管理员与网络管理系统的接口 管理代理安装在被管理对象 如主机 路由器和交换机 中 对来自管理者的信息请求和动作请求进行应答 并为管理者报告一些重要的意外事件 管理信息库是管理对象信息的集合 管理者通过管理代理读取管理信息库中对象的值来进行监控 管理站和代理者之间通过SNMP网络管理协议通信 网络管理典型实现模式分析 基于CMIP网络管理OSI CMIP网络管理体系结构是一个面向对象的设计 其体系结构由4个主要部分组成 信息模型 组织模型 通信模型和功能模型 信息模型 管理信息结构 命名等级体系和管理对象定义 组织模型 采用管理系统和代理系统模式 定义了一些管理角色 如管理者 代理等 通信模型 是基于系统的通信体系结构 包括应用管理 层管理和层操作3种交换管理信息的机制 功能模型 将整个管理系统划分为五个功能域 配置 故障 性能 安全和计费管理 网络管理典型实现模式分析 基于WEB的网络管理WBM有两种代理基本的实现方案 代理方案和嵌入式方案 基于代理的实现方案是将Web服务部署到网管设备或服务器上 该设备使用网络管理协议收集网络管理信息 用户使用浏览器 通过HTTP协议与Web服务器进行通信 完成网络管理工作 嵌入式的实现方案是将Web服务嵌入到网络设备中 网络管理员可通过浏览器直接访问该设备并且进行管理 网络管理典型实现模式分析 TMN网络管理电信管理网 TMN 由国际电信联盟 ITU 提出 目的是为了向用户提供高质量 高可靠性的电信服务 有效地降低网络运营成本 TMN提供有组织的网络结构 以取得各种类型的操作系统之间 操作系统与电信设备之间的互连 TMN的管理功能 性能管理 配置管理 帐务管理 故障管理 安全管理 TMN的功能模块 操作系统功能模块 工作站功能模块 网元功能模块 Q适配器功能模块和协调功能模块 网络管理软件 网络管理软件组成网络管理软件应具有网络管理信息采集功能 配置管理功能 故障管理功能 计费管理功能 安全管理功能 服务管理功能以及网络管理操作可视化操作功能 网络管理软件 网络管理系统类型网络管理软件根据被管理对象的不同可分为两大类 通用网络管理软件和网元 网络设备 管理软件 网元管理软件只管理单独的网元 一般由设备的原生产厂商提供 各厂商采用专有的管理MIB库 通用网络管理软件则主要用于掌握全网的状况 支持对所有SNMP设备的发现和监控 可集成设备生产厂商的私有MIB库 实现对全网 多厂商 设备进行识别和统一的管理 本章小结 网络管理概述网络管理功能和目标网络管理模型与协议网络管理体系结构网络管理典型实现模式分析网络管理软件系统 练习与思考 网络管理目标和功能是什么 典型网络管理体系结构有哪些 各自特点是什么 适应什么情况 调查市场上主流网络管理软件 比较其功能特性 计算机网络管理理论与实践教程 ThankYou 计算机网络管理理论与实践教程 第二章简单网络管理协议SNMP 全国信息技术水平考试 目录 绪论简单网络管理协议SNMP网络系统规划与工程管理IP地址管理网络配置管理网络故障管理网络性能管理网络安全管理理论与技术网络计费管理网络管理平台与工具网络管理机构组织与运行IT服务管理 简单网络管理协议SNMP SNMP概述SNMP管理模型SNMP管理信息结构SNMP管理信息库远程监视RMONSNMPV1分析SNMP安全分析 SNMP概述 SNMP的发展历程随着TCP IP协议广泛应用 网络数目与网络内主机的数量不断增多 网络管理问题日益凸显 国际标准化组织 ISO 针对其自己提出的开放系统互连参考模型 OSI 的七层协议框架设计了公共管理信息服务 CMIS 和公共管理信息协议 CMIP 因特网工程任务组 IETF 为了管理快速增长的Internet 决定修改并采用OSI的CMIP作为Internet的网络管理协议 修改后的协议被称为 建立在TCP IP之上的公共管理信息服务与协议 CMOT SNMP概述 SNMP的发展历程CMIS CMIP的实现由于复杂性和实现代价太高而遇到了许多困难 CMOT迟迟不能正式出台 1990年IETF决定把在NYSERNET和SURANET上开发的简单网关监控协议 SGMP 进行修改后 作为暂时的网络管理解决方案 这个临时解决方案后来发展成为简单网络管理协议 SNMP 的第一个版本SNMPv1 SNMP概述 SNMP的发展历程为了弥补在安全方面的足 IETF开始进行SNMP新版本的开发工作 1992年7月 SNMP的设计者提出了称为SNMPsec的安全SNMP版本 SNMP概述 SNMP的发展历程1993年 IETF发布了SNMP的第二版SNMPv2 SNMPv2吸取了SNMPsec以及RMON在安全性能和功能上的经验 同时针对SNMPv1在管理大型网络上的不足 对SNMP进行了一系列的扩充 SNMP概述 SNMP的发展历程经过几年的试用发现SNMPv2的安全机制存在严重缺陷 许多设备提供商在SNMPv2的基础上加入自定义的安全特性 逐渐形成了SNMPv2u及SNMPv23两个版本 SNMP概述 SNMP的发展历程为统一标准 IETF不得不在1996年对SNMPv2进行修订 发布了SNMPv2c SNMP概述 SNMP的发展历程1999年IETF正式发布了SNMPv3 SNMPv3是在SNMPv2基础之上增加了安全和管理机制的协议 得到了设备生产厂商的支持 SNMP概述 SNMP的特点简单可扩展应用广泛SNMP存在的问题 SNMP管理模型 SNMP管理模型的四个基本组成部分管理者管理代理管理协议管理信息库 SNMP管理模型 SNMP管理组织结构两层组织模式 SNMP管理模型 SNMP管理组织结构三层组织模式 SNMP管理模型 SNMP管理组织结构代理服务器组织模式 SNMP管理信息结构 对象类型的命名每个MIB对象都使用对象标识符来唯一标识 SNMP管理信息结构 对象类型的语法每个MIB变量格式是SMI规定的 用ASN 1描述如下 SNMP管理信息库 MIB II的组 远程监视RMON RMON简介RMON是用于远程监控的标准规范 它是由SNMPMIB扩展而来 RMON由探测器和管理者两部分构成 SNMPv1分析 SNMPv1报文格式SNMP报文被封装在用户数据报协议 UDP 报文的数据项中 并通过UDP协议进行传输 SNMPv1分析 SNMPv1报文格式SNMP报文由首部和协议数据单元2部分组成 SNMPv1分析 SNMPv1报文格式SNMPv1报文传输 经过传输层 互联层 网络存取层以及物理层的网络 SNMPv1分析 SNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分 Get Set类型报文与Trap类型报文的协议数据单元首部格式不同 SNMPv1分析 SNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分 Get Set类型报文与Trap类型报文的协议数据单元首部格式不同 SNMP安全分析 SNMP安全威胁伪造消息流修改消息窃听拒绝服务攻击流量分析 SNMP安全分析 SNMP安全需求提供消息的完整性验证机制提供消息的源验证机制提供消息的时间戳标识提供防止消息内容泄漏和非法读写的保护机制管理者和管理代理之间相互认证 本章小结 SNMP概述SNMP管理模型SNMP管理信息结构SNMP管理信息库远程监视RMONSNMPV1分析SNMP安全分析 练习与思考 SNMP支持哪些组织模式 SNMP的主要安全威胁是什么 RMON的主要用途是什么 阅读SNMP相关的RFC文档 计算机网络管理理论与实践教程 ThankYou 计算机网络管理理论与实践教程 第三章网络系统规划与工程管理网络系统规划与工程管理 全国信息技术水平考试 网络系统规划与工程管理 TEXT TEXT TEXT TEXT 网络系统建设的准备工作 网络系统设计与规划 网络系统建设工程施工管理 网络系统工程的验收 网络系统建设的准备工作 网络系统设计与规划 网络基础平台网络基础平台的建设主要包括 网络整体规划 网络设备选型 服务器和操作系统选型 存储备份系统选型 网络系统设计与规划原则 网络系统设计与规划 网络整体规划计算机网络的分类按照网络覆盖范围的大小分为局域网 城域网和广域网网络的拓扑结构总线型拓扑结构 图3 1总线型拓扑结构 网络系统设计与规划 环形拓扑结构 图3 2环形拓扑结构 网络系统设计与规划 星型拓扑结构 图3 3星型拓扑结构 网络系统设计与规划 网络传输技术常用的网络传输技术 同步数字体系 SDH 准同步数字体系 PDH 数字微波传输系统数字卫星通信 VSAT 有线电视网 CATV 常用的网络交换技术 异步传输模式 ATM 光纤分布式数据接口 FDDI 以太网 Ethernet 网络系统设计与规划 快速以太网 FastEthernet 千兆位以太网常用的网络接入技术主要有 调制解调器 Modem 电缆调制解调器 CablaModem 高速数字用户环路 HDSL 非对称数字用户环路 ADSL 超高速数字用环路 VDSL 综合业务数字网 ISDN TDMA和CDMA无线接入 网络系统设计与规划 IP地址规划IP地址分类A类地址B类地址C类地址D类地址 图3 4IP地址分类 网络系统设计与规划 特殊IP地址网络地址直接广播地址回送地址子网编址子网编址将IP地址的主机号部分再划分为子网部分和主机部分 一个被子网化的IP地址实际包含网络号 子网号 主机号三部分 为了区分这三部分 需要使用子网掩码进行判断 IP协议规定 在子网掩码中 与IP地址的网络号和子网号相对应的位用 1 表示 与IP地址的主机号相对应的位用 0 表示 将IP地址和它的子网掩码相比较 就可以判断出IP地址中哪些位表示网络 哪些位表示主机 网络系统设计与规划 网络设备在进行网络设备的选型时 需要考虑以下的一些问题 网络路由和交换设备之间的兼容性是否良好 网络设备的功能和技术指标是否会造成网络整体性能的瓶颈 设备是否具有良好的扩展性 以支持未来各种新业务和增值业务的开展路由器路由器是一种连接多个网络或网段的网络设备 具有判断网络地址和选择路径的功能 在局域网接入广域网的众多方式中 通过路由器接入互联网是最为普遍的方式 使用路由器接入互联网络的最大优点是 各互联子网仍可保持各自的独立性 每个子网可以采用不同的拓扑结构 传输介质和网络协议 网络结构层次分明 网络系统设计与规划 选择路由器应该考虑以下因素 所支持的路由协议 安全性 背板能力 吞吐量 转发时延 路由表容量以及可靠性交换机在网络系统的设计中 基于应用层次 处理能力和可靠性要求 还根据交换机在应用中所扮演的角色以及所处的位置 将交换机分为核心层交换机 汇聚层交换机和接入层交换机等三类 选购核心层的交换机 应考虑 模块的可扩展性 端口的可扩容性 带宽的可扩容性 提供可扩展的多种网络业务 网络可靠性 网络系统设计与规划 选购汇聚层的交换机 应考虑 体系结构 可靠性设计 用户管理 管理系统选购汇聚层的交换机 应考虑 1要能够适应恶劣的工作环境2既能满足建设网络的要求 又要有很高的性价比3支持组播 可以满足多媒体和视频流的要求4支持SNMP RMON等网管协议 支持远程管理5可以利用基于802 1QVLAN中继线路架构在任何端口创建VLAN中继线路 因而可以保障构筑跨骨干的VPN的功能 网络系统设计与规划 服务器服务器的运算性能应用系统的数据处理模型大致可以分成两大类 一种是联机事务处理模型OLTP on linetransactionprocessing 另一种是联机分析处理模型OLAP On LineAnalyticalProcessing OLTP的特点是1实时性要求高2数据量不大3交易一般是确定的 是对确定性的数据进行存取4并发性要求高并且严格的要求事务的完整 安全性 网络系统设计与规划 OLAP的特点是 1实时性要求不是很高2数据量大3查询一般是动态的服务器的可靠性服务器的可靠性是需要考察的一个重要指标 通常用平均无故障时间 MTBF 值来衡量系统的可靠性 为了提高系统的可靠性 还需要采取以下的一些方案 1在关键业务应用中数据库和应用服务器应支持群集和高可用性 HA 处理 设备选型时应重点考虑多机间的热切换和负载均衡能力2服务器的硬盘 网络接口 网络连接及电源均应考虑足够的冗余 网络系统设计与规划 操作系统数据存储系统直接连接存储DAS是指将外置存储设备通过连接电缆 直接连接到一台计算机上 采用直接外挂存储方案的服务器结构如同PC机架构 外部数据存储设备直接挂接在内部总线上 数据存储是整个服务器结构的一部分 网络接入存储NAS主要特征是将存储功能从通用文件服务器中分离出来 使其更加专门化 网络接入存储把存储设备和网络接口集成在一起 直接通过网络存取数据 从而获得更高的存取效率 更低的存储成本 网络系统设计与规划 存储区域网络SAN数据备份和恢复系统1 对重要数据的即时备份能力 2 备份数据加密功能 3 设置的灵活性 4 灾难恢复 5 并行处理能力 6 数据可靠性 7 系统的跨平台兼容性 8 使用和操作的简便性 9 支持LUN屏蔽功能 10 数据备份和恢复的效率 网络系统设计与规划 11 备份管理软件应具备以下功能 显示备份网络拓扑结构图 识别并显示磁带库驱动器 监控作业任务的执行情况 备份进度 资源利用率等 监控进程的状态 12 备份策略的合理性 设置备份对象 数据保存时间 备份时间段等 13 可以选择灵活的备份策略 支持 数据库全备份 数据库增量备份 文件全备份 文件增量备份 系统全量备份 系统增量备份 跟踪备份等多种备份方式 磁带库性能指标 配置驱动器数 最大可扩充数 磁带驱动器类型 网络系统设计与规划 单个磁带容量 非压缩 配置磁带数量 清洗带数量驱动器最大持续传输率 不压缩 磁带库配置磁带匝插槽数支持SAN 磁带驱动器接口类型及速率综合布线系统概述 图3 6综合布线系统示意图 网络系统设计与规划 标准建筑与建筑群综合布线系统工程设计规范CECS72 97建筑与建筑群综合布线系统工程施工及验收规范CECS89 97中国电气装置安装工程施工及验收规范GBJ232 82智能建筑设计标准GB T 50314 2000建筑与建筑群综合布线工程设计规范GB T 50311 2000 综合布线系统的优点 结构清晰 便于管理维护 灵活方便 便于扩充 优点 网络系统设计与规划 建筑与建筑群综合布线工程施工及验收规范GB T 50312 2000商用建筑物布线标准EIA TIA568A民用建筑线缆标准EIA TIA586民用建筑信道和空间标准EIA TIA569民用建筑通信管理标准EIA TIA606民用建筑通信接地标准EIA TIA607用户建筑通用布线标准ISO IEC11801CLASSEDRAFT以太网10Base T标准IEEE802 3以太网100Base T标准IEEE802 3u千兆以太网标准IEEE802 3Z 网络系统设计与规划 设计要点综合布线系统应是开放式拓扑结构 应能支持电话 数据 图文 图像等多媒体业务的需要 综合布线系统应按工作区子系统 配线子系统 干线子系统 设备间子系统 管理子系统 建筑群子系统等六个部分进行设计 建筑与建筑群的工程设计 应根据实际需要 选择适当配置的综合布线系统 综合布线系统的组网和各段缆线的长度限值应符合规定 综合布线系统工程设计 选用的电缆 光缆 各种连接电缆 跳线 以及配线设备等所有硬件设施 均应符合标准的各项规定 系统设计应根据不同对象采用不同的处理方式 综合布线系统与外部通信网连接时 应符合相应的接入网标准 网络系统设计与规划 运行环境机房电源网络服务平台的设计Internet网络服务系统Internet网络服务系统包括 万维网 WWW 电子邮件 Email 新闻服务 News 文件传输 FTP 远程登录 Telnet 信息查询 Archie Gopher WAIS 网络系统设计与规划 电子邮件系统电子邮件系统通常包括两个组件 邮件用户代理MUA MailUserAgent 和邮件传送代理MTA MailTransportAgent 电子邮件系统在规划设计时除了系统容量 并行投递邮件数外 应考虑以下的要求 1兼容性要求2安全性要求3管理功能要求DNS服务器支持的负载均衡策略支持集中和分布式域名解析 支持多ISP接入应用 易管理性 是否支持基于Web的管理 支持统计分析 与不同操作系统和网络环境的兼容性 网络系统设计与规划 WWW服务器支持的单位时间最大并发用户数 与服务器和应用有关 对服务器群集的支持支持页面高速缓存支持XML和WebService工业标准和ASP COM NET组件支持SSL TLS安全协议 RSA DES等加密算法支持通过ADO和ODBC与第三方数据库进行接口对WML和WAP的支持支持JavaScript VBScript和Perl等脚本语言与ActiveServerPages的兼容能力 网络系统设计与规划 FTP服务器多媒体业务网络系统VOIP系统系统体系 1智能网络管理和控制层2呼叫控制层3传输层系统功能 见书P65 视频会议系统 见书P66 应用和服务系统 网络系统设计与规划 网络安全与管理平台的设计网络安全服务与模式网络安全服务包括1数据机密性服务2对等实体鉴别服务3访问控制服务4数据完整性服务5禁止否认服务 网络系统设计与规划 数字证书系统数字证书系统的设计方案应实现以下功能 1证书业务服务系统提供基于数字证书的信任服务 进行证书管理 2密钥管理系统提供基于统一安全管理的密钥服务 进行对称密钥和非对称密钥以及相关的密钥服务管理 3密码服务系统提供基于统一安全管理的密码服务 4授权服务系统以信任服务为基础 为应用系统提供资源访问控制和授权管理服务 支持权限管理 Diagram P2DR模型4个主要部分 响应 保护 策略 网络系统设计与规划 1可信时间戳服务系统基于国家权威时间源和公钥技术 为应用系统提供可信的时间戳服务 2证书查询验证服务系统提供数字证书 证书撤消列表的目录查询服务 进行证书 证书撤消表的目录管理 以及证书状态在线查询服务 3基础安全防护服务系统提供信息安全防护服务 4故障恢复及容灾备份系统提供系统故障恢复及容灾备份服务 5网络信任域系统提供网络可信接入及网络信任域管理服务 防火墙系统防火墙是网络安全的第一道防线 一般用来将内部网络与Internet或外部网络相互隔离 限制网络互访 保护内部网络的安全 网络系统设计与规划 防火墙放在两个网络之间 通常是内部网与外部网或Internet之间 因此所有从内部到外部或从外部到内部的通信都必须经过它 这就意味着防火墙可以检查所有的网络数据包 防火墙类型 包过滤防火墙 服务代理防火墙 网络地址转换NAT选择防火墙考虑的指标 1支持透明和路由两种工作模式 2支持广泛的网络通信协议和应用协议3支持多种入侵监测类型4支持对HTTP FTP SMTP等服务类型的访问控制 5支持静态 动态和双向的NAT 网络系统设计与规划 6支持对日志的统计分析功能 同时日志是否可以存储在本地和网络数据库上7对防火墙本身或受保护网段的非法攻击系统提供多种告警方式以及多种级别的告警8提供策略备份和恢复功能9具备检测DoS攻击的能力支持负载均衡10支持双机热备入侵检测入侵检测是通过检查网络中传输的数据包信息 判断是否有违背安全策略或危及系统安全的行为或活动 从而保护系统不受外来的攻击 防止数据的泄漏 篡改和破坏 入侵检测的目的不是阻止入侵的发生 而是在于发现入侵者和入侵行为 从而及时进行网络安全应急响应 避免对系统的恶意访问和破坏 网络系统设计与规划 入侵检测技术主要分为两大类型 异常入侵检测和误用入侵检测入侵监测系统的要求 1在检测到入侵事件时 自动执行切断服务 记录入侵过程 邮件报警等动作2支持攻击特征信息的集中式发布和攻击取证信息的分布式上载3提供多种方式对监视引擎和检测特征的定期更新服务4内置网络使用状况监控工具和网络监听工具漏洞扫描系统漏洞扫描系统的要求 网络系统设计与规划 1定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描 及时发现系统的安全漏洞 报警并提出补救建议2支持与入侵监测系统的联动3检测规则应与相应的国际标准漏洞相对应4支持灵活的事件和规则自定义功能 允许用户修改和添加自定义检测事件和规则 支持事件查询5支持快速检索事件和规则信息的功能 方便用户通过事件名 详细信息 检测规则等关键字对事件进行快速查询6可以按照风险级别进行事件分级7控制台应能提供事件分析和事后处理功能 应具有对报警事件的源地址进行地址解析 分析主机名 分析攻击来源的功能8提供安全事件统计概要报表 并按照风险等级进行归类9通过数据库管理工具统计数据库建立时间以及当前记录数目 网络系统设计与规划 网络防病毒系统反病毒策略包括为安装程序 使用系统和共享文件等制订出相应的规程 以及使用反病毒软件的方法 并使网络中的所有用户遵守网络防病毒系统的要求 选择反病毒软件要考虑 网络系统设计与规划 支持多种平台的病毒防范 支持对服务器的病毒防治 支持对电子邮件附件的病毒防治 提供对病毒特征信息和检测引擎的定期在线更新服务 实现对网络内计算机的集中管理 分布式杀毒防病毒范围广泛网络管理系统对网络管理的需求体现在 网络管理 对整个网络和指定子系统或设备的工作状态进行集中管理和监控 系统管理 服务器系统 存储和备份系统 网络服务 网络安全系统进行统一的管理和监控 运行维护管理 对网络系统各种资源的运行状况进行全面的信息采集和自动预警 网络系统建设工程施工管理 工程实施阶段管理概述工程实施阶段的管理内容设备采购的管理管理的任务和重点以及流程 见书 开工前的管理内容 网络系统建设工程施工管理 综合布线工程的施工综合布线工程包括综合布线设备安装 布放线缆 缆线终接三个环节 综合布线的管理工作内容主要包括以下两方面 按照国家关于综合布线的相关施工标准的规定审查承建方人员施工是否规范到场的设备 缆线等设备的数量 型号 规格是否与合同中的设备清单一致 产品的合格证 检验报告是否齐全常见的施工规范包括 建筑与建筑群综合布线系统工程施工及验收规范CECS89 97 商用建筑物布线标准EIA TIA568A 用户建筑通用布线标准ISO IEC11801CLASSEDRAFT 建筑与建筑群综合布线工程施工及验收规范GB T 50312 2000 民用建筑线缆标准EIA TIA586等 网络系统建设工程施工管理 综合布线设备安装敷设管路敷设线槽安装过线 路 盒 信息插座底盒 接线盒 安装桥架开槽安装机柜 机架 接线箱 抗震底座放布线缆暗管 暗槽内穿放电缆桥架 线槽 网络地板内明布电缆 网络系统建设工程施工管理 布线光缆 光缆外护套 光纤束暗道 暗槽内穿放光缆桥架 线槽 网络地板内明布光缆布放光缆护套气流法布放光纤束线缆终接接对绞电缆安装8位模块式信息插座安装光纤信息插座安装光纤连接盘光纤连接制作光纤连接器制作跳线 网络系统建设工程施工管理 隐蔽工程金属线槽安装管道安装管内穿线网络系统安装调试网络系统的详细逻辑设计网络逻辑设计方案的内容可能包括以下内容 网间传输协议的选择路由协议的选择和设计网络地址的分配 网络系统建设工程施工管理 子网的划分及配置虚拟网的划分及配置路由器参数的确定交换机参数的确定网络管理系统参数的确定其他网络设备 网络链路的参数配置网络设备加电调试 模拟网络调试网络设备的安装主机以及软件系统的安装调试 网络系统工程的验收 前提条件外购的硬件设备 软件系统都已全部到货 并通过到货验收各种设备经过上电测试 运行正常所有建设项目按照设计方案的要求全部建成 并满足使用要求各种技术文档和验收资料完备 符合合同的要求 网络系统工程的验收 验收流程 网络系统工程的验收 验收资料的准备包括基础资料 施工过程文档 技术资料等三类网络基础平台的验收网络设备验收服务器和操作系统数据存储和备份系统网络服务平台的验收Internet网络服务电子邮件服务器 网络系统工程的验收 功能测试系统容量测试安全性测试防病毒 防垃圾邮件功能测试系统可管理性系统高可用性WWW服务器在特定的配置环境下支持的单位时间最大并发用户数 对服务器群集的支持 页面高速缓存 协议兼容性 网络系统工程的验收 多媒体业务网络VOIP网络承载业务 附加业务种类音频指标 支持静音压缩和舒适音 自适应抖动缓存平滑语音功能 丢包补偿保障机制 支持多种语音压缩方式能够提供的QoS机制防抖动性能良好的可扩充性与现有的数字 模拟电话网的接口种类路由器功能 网络系统工程的验收 SNMP网管功能可编程语音流程监视记录呼出信息根据网络和线路情况自动做出容错反应端口实时监控功能记录每次呼叫的详细信息和计费功能视频会议系统图像质量系统支持的主要标准 协议会议功能音频性能会议控制功能管理功能资源管理功能 网络系统工程的验收 网络安全和管理平台的验收数字证书系统的验收CA系统功能验证 能够同时实现外网和Internet用户的认证CA中心对于主要应用系统的身份认证需求及兼容性完善的中文支持支持在线和离线两种证书的申请和审批 Web方式和LDAP方式的证书查询 并支持数据库和目录服务器这两种方式的发布证书存储方式 支持多种用户申请方式CA发证能力CA审计功能 网络系统工程的验收 性能验证整体性能可扩展性可适应性可靠性具体性能指标完成一次证书签发时间 完成一次证书管理服务的时间 完成一次营业执照的签发时间 完成一次加密时间 完成一次解密时间 网络系统工程的验收 RA系统整体性能 可扩展性可适应性可靠性具体性能指标 完成一次证书请求时间 完成一次证书下载的时间 完成一次证书更新受理时间 完成一次证书注销受理时间 完成一次加密时间 完成一次解密时间 网络系统工程的验收 防火墙系统的验收支持入侵监测的类型支持同时建立的VPN隧道数 SSH远程安全登录功能 对HTTP FTP SMTP等服务类型的访问控制功能 静态 动态和双向NAT功能 域名解析和链路自动功能 日志的统计分析功能 非法攻击告警方式 策略备份和恢复功能 检测DoS攻击的能力 带宽和流量管理功能 SCM ADS客户隧道配置参数自动集中管理功能 负载均衡功能 双机热备功能 WEB自动页面恢复功能 与入侵监测系统的联动能力 网络系统工程的验收 入侵监测系统的验收对外部攻击的检测能力知识库完备程度对国际标准漏洞库的支持规则自定义功能事件快速检索功能控制台报警功能风险分级功能事件分析和事后处理功能实时监控功能安全事件报表统计功能高风险事件IP地址分组分析功能手动备份 删除 合并数据功能对漏洞扫描系统的反应能力 网络系统工程的验收 漏洞扫描系统扫描结果分析测试策略库维护测试用户管理测试日志管理测试在线升级测试网络防病毒系统实时扫描功能 立即扫描功能 部署病毒库更新功能 日志管理功能 病毒扫描信息统计功能 损坏清除功能 集中管理功能 网络系统工程的验收 网络管理系统综合布线系统 网络系统工程的验收 网络系统工程的验收 网络系统工程的验收 本章小结 网络系统工程的准备网络系统设计与规划网络系统建设工程的招标与投标网络系统建设工程施工管理网络系统工程的验收 练习与思考 简述网络系统建设的准备工作 网络系统设计与规划有哪些原则 在进行网络基础平台设计时需要考虑哪些系统的规划与设计 简述网络系统建设工程的招投标过程 在网络系统建设工程开工前都有哪些必须完成的工作 设备采购管理的任务和重点是什么 简述网络系统建设工程验收的流程 网络系统建设工程验收需要准备哪些资料 如何进行综合布线工程的验收 计算机网络管理理论与实践教程 ThankYou 计算机网络管理理论与实践教程 第四章IP地址管理 全国信息技术水平考试 IP地址管理 地址的规划与管理 地址的规划与管理 确定所需IP地址的数量确定子网的数量在网络的规划和设计中 通常会根据具体的应用需求 将整个网络划分为不同的子网 要计算网络需要使用的IP地址的数量 可以先查看 分析网络的拓扑图 确定整个网络中子网的数量 路由器工作在OSI模型中的网络层 是用于网络间互连的设备 三层交换机也具备路由的功能 路由器和三层交换机的作用都是将分组从一个网络转发到另一个网络 路由器通常配置多个网络接口 每个接口连接不同的网络或子网 地址的规划与管理 每个子网需要多少IP地址确定子网数量后 接下来就需要对网络应用的环境进行调查 统计出每个子网中有多少个设备需要使用IP地址 通常每个使用IP协议进行通信的网络接口都必须分配一个IP地址 这些设备包括 路由器工作站服务器网络打印机三层交换机使用SNMP管理的网络设备 地址的规划与管理 选择适合的掩码与掩码中的0位相对应的IP地址部分为主机标识 与掩码中的1位相对应的IP地址部分为网络或子网标识 在掩码中0位的个数决定了IP地址中主机位的个数 即每个子网中可能的IP地址数量 根据所需IP地址的数量来确定IP地址中主机所占用的位数 从而得到子网掩码 申请获得IP地址IP地址资源由Internet登记中心负责管理 目前有三个地区级登记中心 ARIN Internet地址美洲登记中心 RIPENCC Internet地址欧洲登记中心 APNIC Internet地址亚太登记中心 地址的规划与管理 分配IP地址分配子网地址分配设备地址整理相关资料 包括 网络拓扑图子网划分图IP地址申请 审批文件设备数量统计表子网地址分配表设备地址分配表其它有关资料 联系与思考 有一段B类地址128 10 0 0 需要至少划分为60个子网 如何规划和使用IP地址 IP地址资源的管理机构有哪些 如何申请并获取IP地址 计算机网络管理理论与实践教程 ThankYou 计算机网络管理理论与实践教程 第五章网络配置管理 全国信息技术水平考试 网络配置管理 网络配置管理的信息网络配置管理的功能网络配置管理流程网络配置管理常用工具 网络配置管理的信息 信息的分类网络配置信息主要包括以下几种类型 网络设备的配置与状态信息 网络服务的配置与状态信息 网络设备的拓扑结构信息 网络设备的配置与状态信息设备信息硬件信息地址信息路由信息协议信息用户信息统计信息网络服务的配置与状态信息 网络配置管理的信息 DNS服务信息WWW服务信息FTP服务信息Email服务信息网络的拓扑关系基于路由器路由表的拓扑发现在路由器中保存着路由服务所需的路由表 路由表包括目的地址 子网掩码 下一跳的地址等信息 基于路由器路由表的拓扑发现方法就是根据这些信息 得到网络中所有路由器集合以及路由器的连接关系 实现算法如下 网络配置管理的信息 建立空的路由器队列 在队列中加入路由器 从路由器队列中取任意一个路由器 读取当前路由器的路由表 把路由表中不重复的下一跳地址的路由器加入路由器队列 把当前路由器与下一跳地址的路由器的连接关系加入拓扑关系列表中 从第2步开始不断地重复后续的步骤 直到发现网络中所有的路由器为止基于ARP协议的拓扑发现基于ARP协议的拓扑发现方法根据在ARP地址解析表中包括的信息 可以发现与各以太网端口相连的以太网内的其它所有网络设备 通过不断地搜索 就可以得出整个以太网的拓扑结构关系 网络配置管理的信息 信息的组织和存储配置文件系统的配置文件是保存配置信息的一种常用的信息组织与存储方式 许多被管理对象都将配置信息存储在自己的配置文件中 当被管理对象运行或启动时 从配置文件中读取相应的配置信息来完成系统的设置数据库包括有面向对象的数据库和关系数据库管理信息库MIB网管技术RMON 网络配置管理的功能 收集网络配置信息 网络的拓扑管理 定义与修改网络配置信息 安装软件 存取配置信息 生成配置报告 网络配置管理的流程 图5 1网络配置管理流程 网络配置管理常用工具 系统配置工具基于SNMP的管理工具HPOpenViewSUNNetManagerIBMNetView基于WEB的管理工具基于WEB的管理模型包括代理和嵌入两种方案基于WEB的网络管理标准WBEMJMX 网络配置管理常用工具 CiscoSDMUNIX操作系统管理工具Webmin 本章小结 网络配置管理中需要管理的信息信息的组织与存储网络配置管理的功能和流程网络配置管理中常用的工具的归纳 联系与思考 简述网络配置管理的信息分类 网络管理系统所管理的路由器的信息有哪几类 拓扑发现的方法主要有哪些 简述网络配置管理中配置信息的组织与存储方式 什么是管理信息库和管理信息树 网络配置管理都有那些功能 简述网络配置管理的流程 网络配置管理都有哪些常用工具 基于WEB的网络管理标准有哪些 计算机网络管理理论与实践教程 ThankYou 计算机网络管理理论与实践教程 第六章网络配置管理案例 全国信息技术水平考试 网络配置管理案例 CISCO路由器 交换机的配置LINUX服务器的配置DNS服务器的配置WEB服务器的配置 CISCO路由器 交换机 配置方式对Cisco路由器和交换机进行配置 通常有以下四种方式 CON 通过与Console口相连的终端或者运行终端仿真软件的微机进行设置 Telnet 通过运行Telnet软件连接交换机进行配置 TFTP 通过TFTP服务器下载配置信息 SNMP 通过网管软件来配置交换机 Web 通过Web方式配置交换机 存储器体系结构介绍 CISCO路由器 交换机 ROM Flash NVRAM DRAM 路由器运行时首先要运行ROM中的程序 该程序主要进行加电自检 对路由器的硬件进行检测 ROM为一种只读存储器 系统掉电 程序也不会丢失 Flash是可擦写的ROM 它存贮Cisco的操作系统 可以通过在Flash中写入新版本的操作系统对路由器进行软件升级 Flash中的程序在系统掉电后不会丢失 NVRAM主要目的是保存路由器的配置文件 在系统掉电时数据不丢失 DRAM是动态内存 主要包含路由表 ARP缓存 数据包缓存等 以及正在执行的路由器配置文件 当路由器关机时 里面的内容会全部丢失 CISCO路由器 交换机 操作系统与配置命令ISO命令状态用户命令状态特权命令状态全局设置状态vLan设置状态局部设置状态rommon状态交互设置状态IOS常用命令 CISCO路由器 交换机 帮助命令 在任何状态下 键入 将显示在此状态下所有可用的命令和说明 显示命令 用于查看系统的信息 网络命令 用于检查 测试配置情况 用户 密码设置命令 端口设置命令VLAN配置实例VLAN的划分方法基于端口划分VLAN基于MAC地址划分VLAN基于网络层协议划分VLAN根据IP组播划分VLAN按策略划分VLAN按用户定义 非用户授权划分VLAN CISCO路由器 交换机 VLAN配置实例 略 路由器RIP路由协议的配置路由选择信息协议RIP简介路由选择信息协议RIP RoutingInformationProtocol 是一个距离向量路由选择协议 基于经典的距离向量路由算法 算法简单 易于实现 在中小型网络上应用广泛 RIP协议的优点是简单 容易配置 维护和使用 因此 它对于比较小的 冗余路径少 而且没有严格性能要求的网络非常实用 RIP协议不适合路由大型的 复杂的互联网环境 CISCO路由器 交换机 在路由器上配置RIP路由协议 略 路由器OSPF路由协议的配置OSPF协议简介OSPF是一种分布式的链路状态协议 而不是象RIP那样的距离向量协议 OSPF路由器周期性向邻近路由器广播它所知道的链路状态信息 并接收其他路由器发来的信息 从而计算出最新的网络拓扑图 以及到达各网络的最短距离OSPF的更新过程收敛的快速是其重要优点 因此 OSPF很适合具有大量路由器的大型复杂的互连网络 但是 与RIP一样 OSPF也存在着不少局限 相对比较复杂 对路由器硬件要求较高 需要一定的带宽 配置OSPF路由协议 略 Linux服务器的配置 Linux简介起源版本号Linux的网络配置建立以太网连接建立xDSL连接管理DNS设置设备别名Linux的帐户管理和权限管理 Linux服务器的配置 用户登录子目录用户数据库 etc password文件 etc shadow文件每一行的格式包含着如下所示的几个部分 登录名 加过密的口令 该口令修改后已经过去了多少天 需要再过多少天才能修改这个口令 需要再过多少天这个口令必须被修改 需要在这个口令失效之前多少天对用户发出提示警告 口令失效多少天之后禁用这个账户 该口令已经被禁用了多少天 保留域 Linux服务器的配置 etc group文件该文件中每一行的格式包含着如下所示的几个部分 用户分组名加过密的用户分组口令用户分组ID号 GID 以逗号分隔的成员用户清单用户管理器 图6 13RedHat用户管理器 Linux服务器的配置 添加新用户修改用户属性 图6 14创建新用户 图6 15用户属性 Linux服务器的配置 添加新组群行使命令行进行用户管理创建用户帐号命令useradd修改登录口令命令passwd删除用户帐号命令userdel修改用户属性命令usermod创建用户组命令groupadd删除用户组命令groupdel修改用户组属性命令groupmod 图6 17组群属性 DNS服务器配置 IP地址与主机名的转换目前有三种技术可以实现主机名和IP地址之间的转换 主机名与IP地址映射表hosts 网络信息系统NIS NetworkInformataionSystem 域名系统DNS DomainNameSystem 主机名与IP地址映射表hosts网络信息系统NIS域名系统DNSDNS的名字空间具有层次结构 顶级域被分为特殊域 普通域 国家域 下面可划分二级域 三级域等 DNS的层次不能超过127层 DNS服务器配置 域名解析过程 图6 19域名解析过程 DNS服务器配置 递归查询叠代查询域名服务器的类型主域名服务器辅助域名服务器高速缓存服务器解析器的配置解析器配置文件Linux操作系统控制解析器设置的核心文件是保存在 etc 目录中的host conf 它告诉解析器使用哪些服务 使用顺序又如何 DNS服务器配置 域名服务器查找在配置解析器库利用BIND域名服务进行主机查找时 还必须告诉它准备使用哪些域名服务器 完成此项任务的是一个名为resolv conf的配置文件 如果该文件不存在或者为空 解析器就会假定域名服务器在本地主机上DNS服务器的安装配置安装BIND域名服务器 以配置域的DNS服务器为例 使用如下的命令安装BIND软件包 tarxzvfbind 9 3 1 tar gz cdbind 9 3 1 configure make makeinstall DNS服务器配置 安装完BIND后 使用如下的命令启动BIND usr local sbin namedBIND的配置文件资源记录 etc named conf var named named ca var named localhost zone var named named local配置主域名服务器编辑主配置文件 etc named conf DNS服务器配置 创建正向解析数据库文件创建反向解析数据库文件测试DNS配置配置辅助域名服务器DNS管理工具nslookup命令nslookup命令显示域名系统 DNS 基础结构的信息