远动系统课程设计

铁道信号远程控制课程设计铁道信号远程控制课程设计 题目 题目 TDCSTDCS 网络维护与常见故障分析与探网络维护与常见故障分析与探 讨讨 姓姓 名 名 朱奇朱奇 学学 号 号 2009869120098691 班班 级 级 铁道信号四班铁道信号四班 指导教师 指导教师 黄高勇黄高勇 日日 期 期 2012 6 52012 6 5 铁道信号远程控制 课程设计 第 1 页 课课 程程 设设 计计 任任 务务 书书 专专 业业 铁道信号四班 姓姓 名名 朱奇 学学 号号 20098691 开题日期开题日期 2012 年年 5 5 月月 2020 日日 完成日期 完成日期 2012 年年 6 6 月月 5 5 日日 题题 目目 TDCSTDCS 网络维护与常见故障分析与探讨网络维护与常见故障分析与探讨 一 设计的目的一 设计的目的 通过对课程设计任务的完成 使学生进一步理解课程教学的理论内 容 并且巩固和深化所学课程的知识 通过课程设计 培养学生综合运用所学 课程知识 分析和解决实际问题的能力 通过课程设计 使学生能比较全面而 辩证地分析和处理设计问题 逐步树立正确的设计思想 培养学生严谨认真的 科学态度和严谨务实的工作作风 二 设计的要求二 设计的要求 知识要求 学生在学习本课程之前应该以铁路信号基础设备 铁路信号运营基础 车 站自动控制 区间自动控制等课程为基础 能力要求 要求每位同学能够结合课程设计的内容 独立完成该课程设计 三 指导教师评语三 指导教师评语 四 成四 成 绩绩 指导教师指导教师 签章签章 年年 月月 日日 铁道信号远程控制 课程设计 第 2 页 题题 目 目 TDCSTDCS 网络维护与常见故障分析与探讨网络维护与常见故障分析与探讨 摘摘 要要 TDCS 是覆盖全路的列车调度指挥管理系统 是铁路运输调度指挥现代 化建设的标志 其中 TDCS 的网络将直接影响到系统信息交换的实时性和有效性 如出现网络故障将会对铁路运输的安全与效率造成负面影响 关键词关键词 TDCS 网络 维护 故障分析 1 1 TDCSTDCS 网络结构网络结构 列车调度指挥系统 TDCS 应单独组网 一般采用单通道单机模式 但是在铁 路局的路由器应设置为两台 TDCS 应尽量按照环网结构组建 不具备条件的特殊车站可采用星形结构 通道速率为 2M TDCS 环形结构示意图如下 车站环首尾两条通道应分别连接至铁路局 TDCS 中心的两台并行的路由器上 路局与车站可以组成多个环 相邻两站间采用专线通道直连 每 6 12 站引一条 迂回通道与路局相连 路由协议宜采用 OSPF 它是国际标准协议 适于不同厂商网络设备的互联 互通 如果采用思科专有的 EIGRP 协议 就限制了自己 以后就不能添加或更 换成其他厂商的路由器 RIP 协议适合小规模网络 一条铁路线的车站数量比 较多 不适合用 RIP 协议 路局与一条铁路线尽量划到一个域里 除非车站数 量太多 才划为多个域 铁道信号远程控制 课程设计 第 3 页 路局 TDCS 中心应设置专用的网络管理工作站 网络设备中应设置系统日志 便于查找 分析和排除网络故障 路局 TDCS 中心应设置硬件防火墙 TDCS 网络设备与其他系统接口时 应充分保证两系统间的物理 逻辑隔离 安全性前提下连通 车站路由器到传输设备的常见连接方式如下图 多数车站用 V35 G703 转换器和同轴电缆 具备光纤条件的可以用光猫 有 实回线的可以用 XDSL 其中 V35 G703 转换器应具有本地和远端环回测试功能 便于排除通道故障 2 2 TDCSTDCS 系统的特点系统的特点 TDCS 作为其所辖区域铁路行车 调度指挥系统 改变了调度人员传统的作业方 式 实现了列车运行计划的编制与自动调整 列车计划和调度命令的自动下达 列车运行时分的自动收 报点 列车运输数据自动统计的各项性能和功能 是 重要的铁路行车设备 因此 只有在系统整体架构的设计和每一个具体系统的选型配置上都紧扣 先进性 实用性 可靠性 安全性 高效性 实时性 可扩展性 易管理和维 护性等系统总体设计要求 才能确保系统在稳定可靠运行的基础上有效实现上 述 TDCS 各项功能 系统设计采用了先进技术和成熟经验 并具备数字化 网络化 计算机化 的特点 使系统在一定时期内能够保持技术的先进性 并且 作为不间断运行 的关键应用系统 TDCS 选用了经受过实际应用考验 并得到广大用户认可的 主流技术与产品 在满足现阶段应用要求的同时 提供平台和接口 为系统预 留调度集中 CTC 升级的条件 铁道信号远程控制 课程设计 第 4 页 系统是一个实时信息处理系统 其信息传输 响应时间均要满足实时调度 的要求 因此 在调度中心 采用 100M 双以太网的体系结构 保证了局域网 节点之间数据交换的实时性 对于调度中心 TDCS 与各车站 TDCS 设备之间 采用环形与星形相结合的 网络拓扑结构 车站与调度中心之间的数据传输速率高达 2Mbps 以此确保车 站与调度中心之间广域网信息交换的实时性 TDCS 是一个高度可靠 安全的行车指挥系统 该系统出现故障不会影响铁 路行车和车站联锁设备的安全 系统设计从行调台 广域网到车站信息采集系 统 车务终端等设备均采用双机热备或并行运行方式 确保系统的可靠性 并 通过车站联锁隔离设备及专用安全通信协议等措施确保 TDCS 系统的安全运行 及与其它系统的可靠隔离 系统易于维护和维修 并且保证维护和维修工作不会导致系统中断运行 系统 能够实现当一个部件发生故障时能够自动被识别出来 并且无缝地切换到 运行良好的冗余部件上 这也使得用户可以在不间断业务处理的情况下 对系 统资源进行增加 删除 升级和维护 3 3 TDCSTDCS 系统的功能系统的功能 TDCS 系统是综合了计算机技术 网络通信技术和现代控制技术为了提高现 有运输指挥管理手段 提高调度管理水平和运输效率 改善调度指挥人员工作 条件的大型综合性系统工程 TDCS 系统功能符合铁道部 铁路运输调度指挥管理信息系统 DMIS 技 术标准 暂行 的要求 包括列车运行实时透明显示 调度管理信息显示 车次号输入 自动跟踪和无线车次校核 紧追踪报警 运行图管理 包含阶段 计划的编制 调整和下达 甩挂计划下达 实迹运行图自动生成等功能 列 车运行早晚点统计与显示 调度命令下达与管理 日班计划联控 甩挂车管理 施工计划管理 站存车管理 车站行车日志的自动生成 车站自动报点 历史 信息再现回放与查询 系统的自诊断和自保护 系统维护 仿真培训 在线帮 助功能及与其他系统的联网等功能 TDCS 系统的进一步优化及维护建议 TDCS 系统即列车调度指挥系统 是伴随着铁路信息化发展应运而生的 是 铁道信号远程控制 课程设计 第 5 页 铁路提高运输效率确保行车安全的重要手段 首先 让我们了解一下系统的通道组网方案 a a 网络的层次结构网络的层次结构 原 TDCS 系统是由铁道部中心 路局中心 分局中心和车站 四级局域网互联而成的广域网 部中心汇集所有的路局中心 路局中心汇集管 内所有的分局中心 分局中心汇集管内所有的车站局域网 伴随着铁路的跨越 式发展 2005 年 3 月 18 日分局的撤销 新建的 TDCS 系统已经是三级局域网的 互联 即取消了分局中心 而既有的 TDCS 系统则正在向三级过渡 最终讲统一 成如下图所示 b b 互联设备 通道配置及相关协议互联设备 通道配置及相关协议 1 1 传输通道的配置传输通道的配置 根据系统的可靠性及速率要求系统的传输通道配置如下 铁道部中心局域网至路局中心局域网的传输通道配置为 2M 数字通道 车站局域网间及与路局中心局域网间的传输通道配置为 2M 数字通道 上述通道采用的是专线方式 而且均配置了备用或迂回通道 2 2 互联设备及相关协议互联设备及相关协议 TDCS 系统的网间互连设备采用的是 CISCO 系列路由 器 TDCS 系统的网络层通信协议采用的是 TCP IP 协议 部中心局域网 路局中心局 域网之间应用层协议采用的是铁道部标准协议 路由协议采用 OSPF 或 ERGIP c c 站级基层网络的组网方式站级基层网络的组网方式 根据铁路各路局管内车站分布的具体特点 线 状分布 同时为了保证每个车站的信息传输均能满足 T 性及带宽和时延要求 站级基层网络的组网方式采用的是环网方式 即根据车站的地理位置及可利用 传输通道情况 将路局管内的所有车站分成多个环组 就每个环组而言 利用 选定配置好的传输通道进行串联后将其首尾两站的传输通道接至路局中心局域 网的指定路由器 对于组环完成后串联站数较多的环 采用了增加传输通道进 行中间抽头的方式进行了环网的保护和带宽的补充 如系图所示 铁道信号远程控制 课程设计 第 6 页 根据所配置的传输通道的带宽 车站环的车站数量安排为 无中间传输抽头时可挂站数小于 12 有中间传输抽头时可挂站数小于 24 d d TDCSTDCS 系统与传输设备的对接方式系统与传输设备的对接方式 TDCS 系统路由器配置的模块接口为 V 35 接口 当采用 2M 传输通道时传输设备提供的接口为 G 703 接口 根据传输通道 的特性结合实际设备安装的位置距离 TDCS 系统与传输设备的对接方式如图所 示分为以下几种 e e TDCSTDCS 系统路由方案及策略系统路由方案及策略 根据 TDCS 系统网络覆盖范围大 网络节点多的 特点 系统在建设时就对关键的节点通道设置进行了至少两条的 TDCS 系统所要 求的可靠保证 在路由协议方面 由于在我单位管内采用的全部是 CISCO 路由 器 因而最终选用了 CISCO 独家支持的高效协议 EIGRP 协议 在路由路径的选 用方面采用的是最短路径传输数据 最短路径的算法综合考虑途经步数和带宽 速率等因素 在正常的通信状态下 各路由器的工作始终选择在最佳路径上 铁道信号远程控制 课程设计 第 7 页 当最佳路径发生故障或误码率过高时 自动转换进入次佳路径 在最佳路径状 态恢复后 自动转换回最佳路径 路径的转换时间设置为小于 60 秒 综上所述 为 TDCS 系统的概括性组网情况 根据组网情况 结合系统运行和维 护的实际情况 对系统的建设 调整和维护提出如下几点建议 1 1 建设方面的建议建设方面的建议 1 11 1 在传输条件具备的前提下 互联通道的选择回避 64K 通道 伴随着通信光 传输技术日新月异的发展 单纤承载的数据带宽越来越大 在传输系统中 低 阶通道主要是经过接入复用设备进行分叉复用后进入光传输系统进行传输 为 此 系统的互联通道如果选用 64K 及以下的低阶通道 由于中间有源设备环节 的增加和设备性能稳定程度的不同 故然会降低整个系统的性能和稳定性 同 时 由于通道速率的降低也降低系统的整体效能 1 21 2 全面选用光缆及光设备完成系统与承载系统的最后一公里接入 根据目前 光缆与电缆 光设备与电设备的价格比较可以看出 电缆及电设备的价格已经 不占明显的优势 但是从设备的整体运行性能 稳定性和可利用带宽方面看 光缆及光设备却占有明显的优势 因此 在 TDCS 系统的最后一公里接入建设中 一应优选光缆及光设备 1 31 3 改设路由器 V 35 接口为 G 703 接口 由于 T 建设是一项规模较大的应用系 统工程 就改设路由器 V 35 接口为 G 703 接口问题作为专项提出应为合理性要 求 如果能够做出此项更改 即可取消 V 35 G 703 协议转换器 从而进一步实 现同协议端口直接对接 减少中间环节 进一步提高系统运行的稳定性 1 41 4 实现系统路由设备的双备份 为了进一步满足系统的可靠性要求 尽可能 地减少单机无备份环节的存在 通过上述系统的组网分析可知 系统中车站局 域网路由器是网络中的关键设备 但是存在着单机无备份运行的问题 因此 建设中可以考虑实现此关键点的热备份 2 2 既有形成系统调整方面的建议既有形成系统调整方面的建议 2 12 1 参照上述建设方面的建议进行调整更改 提高系统运行的稳定性 2 22 2 调整路由器路径转换的时间间隔 路由器的路径优选转换是根据对通道的 时延 带宽和误码率等多项特性指标进行合理的数据分析和判断后进行的 然 而 通信通道的误码等问题的发生是不可以完全避免的 因此也就不可避免经 铁道信号远程控制 课程设计 第 8 页 常引发路由器的路径优选转换环节的启动 但是如果热备的双向通信通道 即 双向路由路径均有不同程度误码存在 而路由器的转换时间间隔设置又相对较 短 则会出现路由器的路径优选转换动作频繁启动 从而造成系统运行过程中 的单站中断问题的发生 为此 建议在路由器路径转换的时间间隔参数设置上 进行调整 调整的依据要综合考虑所用通信通道传输质量等多方面因素 2 32 3 综合考虑通信传输系统的布局 合理增加通信通道路径 伴随着铁通在铁 路通信专网建设规模的不断扩大 在现有部分铁路车站通信站内存在着多套通 信传输系统的并行运行的情况 为此 为了进一步提高 TDCS 系统 TDCS 系统运 行的稳定性和可靠性 使整个系统的运行不依托于单一的通信传输系统 可以 在多套通信传输系统落地的车站有选择地增加路由器的端口 进而增加环网的 抽头路由路径 从而 保证整个 TDCS 应用系统在所依托的某一传输系统出现问 题时仍能正常运转 为铁路运输提供更好的服务 3 3 维护方面的建议维护方面的建议 3 13 1 调整通信通道中的协议转换设备 实现最小维护单位内的统一 在已建成 的既有 TDCS 系统中 由于建设和建成的时期不同 故而系统网内实现同一功能 的设备类型却不尽相同 这样就给通信维护部门的维护工作带来了相当大的困 难 首先是负责维护的人员需要掌握同一功能不同类型设备的维护方式和经验 其次是需要相当大的倒代备用设备 为此 尽量调整设备类型实现在最小维护 单位内的类型统一 不但可以降低维护工作人员的压力 而且可以减少维护资 金的投入 3 23 2 尽可能实现通信通道中的协议转换设备的统一网管 既有建成的 TDCS 系统 中 主要的通信传输设备均具有统一的网管 但是通道构成中各类协议转换设 备却不具备或未开通此项功能 为此 对此项设备的维护的难度就相当的大 主要是因为铁路车站的布局特点 线状分布 致使对协议转换设备重起 复 位及更换均需要相当大的交通成本和维护的时间成本 同时也不能满足铁路行 车系统对 TDCS 系统实时性的要求 如果能够实现对通信通道中的协议转换设备 的统一网管或局域性统一网管 均能在降低维护成本的同时较大幅度地提高系 统工作的实时性 4 4 TDCSTDCS 网络维护网络维护 铁道信号远程控制 课程设计 第 9 页 4 14 1 网络安全管理网络安全管理 系统的安全漏洞检测是实时地检测系统重要服务的状态 提供安全检测 工具 以搜索系统可能存在的安全漏洞或隐患 并借助于智能辅助决策 系统给出弥补措施的建议 网络管理用户分组管理于访问控制要网络管理员按任务的不同分成若干 用户组 不同的用户组有不同的权限管理范围 对用的操作由访问控制 检查保证用户不能使用网络管理系统 安装防病毒软件管理系统 对所有客服端的防毒软件进行统一管理 防 火墙是实现网络安全的重要技术 要对各服务器和客服端安装防火墙 因为由路由器只对网络层进行初步的保障 路由器的访问控制列表只能 看做防火墙系统的一个补充 复杂的防控系统还需要通过防火墙来实现 对系统日志和用户操作进行记录和分析 使系统的操作对网络对象的修 改有据可查 同时有助于故障的跟踪与恢复 管理员身份的认证采用公开的密匙的证书认证机制 对于信任域内的用 户可采用签单的口令认证方式 对各客服端间的信息传输也采用了安全的套接 子层传输协议 对管理信息加密传输并保证其完整性 对网络对象所发出的告警事件 进行与安全相关的信息分析 提供历史 安全事件的检索和分析机制 及时地发现正在进行的攻击或可疑的攻击迹象 4 24 2 网络拓扑管理网络拓扑管理 基于网络拓扑图可进行网络监视 在性能 告警 配置等方面动态反映网 络的变化 并在网元上可获得完整的配置信息 网络拓扑浏览可切换到不同的网络视图 根据需要选择是否显示或隐藏某 些类型的网元 查看节点对象配置属性 正确反映网元及其网元间的连接关系 查看网元相关的故障 性能信息 查看网元的告警详情和历史信息 并可启动 相关的仿真终端程序 输出图形文件并发不到公用信息系统中 运用能显示自 身属性的工具和易于却别的图标显示 结合自动发现 可动态更新拓扑网络 拓扑图监视可实时反映网元的告警类别与级别 根据不同告警提示状态 发出 告警声音提示 铁道信号远程控制 课程设计 第 10 页 4 34 3 网络配置管理网络配置管理 网络配置信息通常包括网络设置的拓扑关系 域名 IP 地址 运行参数 备份条件和配置更改条件等内容的所有管理范围内的所有设备的任何静态和动 态信息 网络配置管理包括定义配置信息 设置和修改管理对象的属性 监视 属性值和关系变化 生成配置状态报告等 定义配置信息通常采用简单的列表方式 每一项对应于某一个属性值 设 置和修改管理对象的属性值只有符合要求的管理者才能运用该功能 必须严格 限制可修改的设备的数量 参数和响应时间 保证在修改配置属性是 不会导 致整个网络的瘫痪或只要的服务功能丧失 在定义和修改管理对象间的关系时 应在不影响任何一部分的条件下 动态修改 增加 删除网络设备间的相互联 系 连接关系以及彼此间的依赖条件 管理域的数据修改 要确保管理域内的 管理授权和管理模式是一致的 4 44 4 网络性能管理网络性能管理 监控网络设备和相应的所有连接 监视设备和线路的使用率 出错率 及相应的阀值 并进行阀值报警 定期的历史数据分析 及时提醒管理者和决策者做出设备或线路的升 级计划 保证设备和线路的容量不会因过度使用而出现网络性能急剧下降的情 况 网络实行实时监控 采集实时数据 提供对流量 负载 丢包 设备 温度 网络延时 工作状态等信号和网络设备及线路的性能指标进行实时检测 进行可视化分析 4 54 5 网络测试网络测试 为了便于管理人员的工作 IP Net Manager 提供了一些列自动工具帮助 管理人员查找 诊断和排除网络故障及进行网络测试 一 Ping 测试 Ping 是一个回显协议 使用 ICMP 响应请求和响应应答报文 Super ping 的功能有 Loop back ping 用于验证 TCP IP 软件的操作 Ping 地址确定能否寻址物理网络设备 铁道信号远程控制 课程设计 第 11 页 Ping 远程 IP 地址验证能否寻址网络 Ping 远程主机名验证主机上某个服务器的操作 二 Traceroute 路由器跟踪向管理人员报告管理系统所在设备与目标设备之间的路由信 息 根据故障定位的需要 IP Net Manager 设计了路由器跟踪程序 进行图形 化的路由跟踪和呈现 三 包 时延关系测试 包 时延关系测试以图的形式向管理人员显示发向目标设备的包与时延之 间的对应关系 实现中利用路由跟踪程序 因为而该程序中含有时间信息 测 试包大小将从 100 字节到 1200 字节 每次增加 100 字节大小 每种大小的包个 发 5 个 计算平均延时 然后利用所测数据以图的形式返回给管理人员 图中 的横轴表示以字节为单位的包大小 纵轴表示以毫秒为单位的延时 四 仿真终端 仿真终端实现 Telnet 功能 可以登录到远端设备 直接进行相应的管理 和配置功能 Telnet 仿真终端程序可以记录任何操作指令 五 接口带宽实时检测功能 通过 SNMP 采集 对给定的一台设备的其中一个或多个接口 实时采集带 宽的使用情况 根据需要能够统计出带宽的利用率等性能指标 并且能够通过 图形或者表格形式进行呈现 六 IP Browser 功能 给定一个 IP 地址段 要求对其中的每一个 IP 地址进行测试 列车哪些 IP 地址当前处于活动状态 对于当前活动的 IP 能够测试出设备类型 设备连 接口状态等基本信息 七 MIB 浏览 IP Net Manager 通过集成 Unicenter TNG 的 Object View 工具实现 MIB 浏览功能 Object View 可以把公有的 MIB 文件和厂家私有的 MIB 文件为信息 源 将真个 TDCS 业务网的管理信息模型呈现在网管人员面前 4 64 6 客服端管理客服端管理 客服端管理的对象分布于 TDCS 业务网络的各个局域网之中 运行着关键业 铁道信号远程控制 课程设计 第 12 页 务应用的主机系统 包括各种应用服务器 工作站等 监视主机的运行状况就 是要对主机系统正在运行的 CPU 内存 物理磁盘 逻辑卷 交换区 文件系 统 进程与服务 日志 作业 会话 网络接口卡以及 IPC 等资源使用情况进 行实时监控 同时 通过设定告警阀值 在支援使用超标的情况下产生告警信 息 在获取个主机系统产生的系统故障和告警处理 进行集中存放于日志文件 或数据库中 并支持事件分类 排序 过滤 关联和转发等操作 另外通过捕 获的事件于预定义策略进行匹配 对特定事件自动进行响应 响应的方式可以 是执行脚本或二进制程序 发送电子邮件 发出声 光报警 发送网络消息等来 通知管理员 4 74 7 网络安全风险评估网络安全风险评估 风险评估是网络安全防御的一项重要技术 其原理是根据已知的安全漏洞 知识库 对目标可能存在的安全隐患进行逐项检查 目标可以是工作站 服务 器 交换机 数据库应用等各种对象 然后根据扫描结果向系统管理员提供周 密可靠的安全性分析报告 为提高网络安全整体水平产生重要依据 在网络安 全体系的建设中 安全扫描工具花费低 效果好 见效快 与网络的运行相对 对立 安装运行简单 可以大规模减少安全管理员的手工劳动 有利于保持全 网安全政策的统一和稳定 风险评估技术基本上可分为主机和网络两种 前者 主要关注软件所在主机上面的风险漏洞 后者则是通过网络远程探测其他主机 的安全风险漏洞 网络采用的通信协议并不是为安全通信而设计的 这些协议和网络设备存 在一些固有的安全隐患 入侵者可利用这些漏洞 通过网络实施攻击 基于网 络的风险评估技术 主要是模拟黑客攻击的方法 检测网络协议 网络服务 网络设备等方面的漏洞 关键业务和宝贵的信息资源都要依赖于数据库平台 数据库本身的漏洞和错误配置同样会引起严重的安全问题 数据库的风险评估 主要针对数据库系统的授权 认证和完整性方面进行安全漏洞检测 4 84 8 网络入侵监控和防御技术网络入侵监控和防御技术 入侵检测系统 IDS 采取基于网络或主机的办法来辨认并躲避攻击 在任何一种情况下 都要寻找 攻击标志 即一种代表恶意或可疑意图攻 铁道信号远程控制 课程设计 第 13 页 击的模式 当 IDS 在网络中寻找这些模式时 它是基于网络的 而当 IDS 在 记录文件中寻找攻击标志时 它是基于主机的 次两种方法互为补充 一种 真正有效的入侵检测系统应将二者结合 基于网络的入侵检测系统使用原始 网络包作为数据源 IDS 通常利用一个运行在随机模式下网络的适配器来实 时监视并分析通过网络的所有通信业务 它的攻击辨识模块通常使用四种常 用技术来识别攻击标志 模式 表达式或字节匹配 频率或穿越阀值 低级时间的相关性 规统学意义上的非常规象检测 一旦检测到了攻击行为 IDS 的响应模块就提供多种选项以通知 报警 并对攻击采取相应的反应 通常都包括通知管理员 中断连接并且为法庭分 析和证据收集而做的会话记录 4 94 9 访问控制访问控制 根据 TDCS 网络和生产运行的需要 制定详细的网络资源访问控制策略以及 管理落实制度是安全防御的一个重要内容 访问控制具有基于 IP 地址 域名和 用户身份等几种形式 身份认证技术是实现基于用户身份的访问控制的基础 路由器 防火墙 主机则是实现访问控制的只要网络手段 一 路由器 路由器是实现网络资源访问控制的基本手段 接入层路由器和网管系统 办公系统的交换机是实现网络资源访问控制的主要位置 按照制定的 TDCS 安全 策略配置访问控制列表 ACL 可以实现有效的基于 IP 地址的访问控制 二 防火墙 防火墙可以实现比路由器更加细化的访问控制 合理配置的防火墙是保证 访问控制策略的有力手段 防火墙可以实现基于 IP 地址 域名和用户身份等的 控制访问 三 主机 主机本身的资源访问控制手段是整个访问控制体系的最后堡垒 以 Windows NT 实现资源访问控制为例 主要手段包括 铁道信号远程控制 课程设计 第 14 页 用户 用户组 注册表 网络属性高级配置 控制面板 网络 网卡属性 高级配置 Windows IIS Server 高级配置 4 104 10 网络病毒防控网络病毒防控 在 TDCS 中 病毒的防治是一个非常重要的工作 根据 TDCS 的现状 可能 存在以下病毒的来源 网络中的工作站 可能会运行带病毒或恶意代码的后门程序 文件等 载体 使病毒通过网络在 TDCS 中迅速传播 来自外部的邮件 可能带有恶意代码或有病毒的附件 其他来源 在 TDCS 中没有和 Interner 的连接 所以 TDCS 采用下面的措施对病毒进行 防范 采用可以进行集中管理的企业级网络病毒防范系统 在 TDCS 和 TMIS 等外部网络连接处 配置网关防毒软件 对进入网络中 的基于 HTTP SMTP FTP 协议的数据进行内容安全的检查 在网络中的个重要服务器 安装基于服务器进行保护的病毒防治软件 并可以通过网络中的一台管理服务器进行统一的安装 策略配置 查杀 毒 升级等各方面的操作 在网络中的各总要服务器 安装基于工作站进行保护的病毒防治软件 并可以通过网络中的一台管理服务器进行统一的安装 策略配置 查杀 毒 升级等各方面的操作 5 5 TDCSTDCS 网络故障网络故障 5 15 1 网络故障的管理网络故障的管理 故障管理用于检测网络环境中的异常操作和现象 故障管理主要涉及故 障检查 故障诊断 故障修复及故障记录等四个方面 通过对管理信息的分 析和处理 网络管理人员可以发现问题 并通过跟踪分析和故障隔离等多种 方法 逐步确定故障的原因和位置 并进行错误报警和实施有效的隔离 如 下所述 故障检查是网络管理系统主动探测或被动接收网络中的各种事件信息 并识别出其中与网络和系统故障相关的内容 对其中的关键部分保持持 铁道信号远程控制 课程设计 第 15 页 续跟踪 生成网络故障记录 故障报警是接受故障监测模块传送来的报警信息 根据报警策略驱动不 同的报警程序 即启动故障辅助智能决策系统 以报警窗口和声光报警 发出网络严重故障报警 通知管理人员立刻进行处理 故障信息过滤与关联分析是依靠对事件记录的分析 定义网络故障并生 成故障卡片 记录排除故障的步骤和与故障相关的值班员日志 构造排 错行动记录 相互关联 以反映故障生产 变化 消除的整个过程的各 个方面 检索 分析故障信息是提供可视化的良好人机界面浏览并关键字检索查 询故障管理系统数据库中所有的记录 定期收集故障记录数据 在此基 础上给出被管网络系统 被管线路和被管设备的可靠安全性参数 排除故障支持是网络系统向管理人员提供一系列的实时检测工具 对被 管设备状态进行测试并记录测试结果 以供技术人员分析和排错 并可 以根据已有的排错经验和管理员对故障的描述 给出故障排错流程 提 示和指导 故障管理配置是接受管理员输入和其他配置信息 对故障管理系统进行 配置 包括故障优先级 查询时间间隔等内容 故障的管理可分为 3 个层次 数据采集层 数据处理层 数据应用层 一 数据采集层 故障系统的采集 从协议层可分为 TRAP SYSLOG 其他 从采 集方式上可分为 由网元主动上报 TRAP SYSLOG 信息 由代理或 IPNet 其他模块采用轮询方式产生的 TRAP 信息 二 数据处理层 数据处理层可分为 事件过滤 标准化和重定义 事件相关性分析 压缩 故障定位 自动处理 自动升级和失效管理 知识库 存储和备 份 三 数据应用层 数据应用层可分为 集中监控 实时呈现 显示策略 告警传递 报表统计 告警处理 模块间故障定位 铁道信号远程控制 课程设计 第 16 页 5 25 2 网络故障分析方法网络故障分析方法 一 show interface 命令 我们通常所碰到的硬件问题主要有 路由器接口接插不牢靠 检查如电源 线 V 35 线 连接 HUB 的网线 铜轴缆线等 路由器本身硬件问题主要集中在 接口控制器 RAM 模块 路由器处理器及路由器风扇上 检查路由器接口的一 种方法是使用 show interface 命令 如果接口及协议是激活的 则接口应该没 有问题 如果接口控制器不再起作用 接口在 show interface 命令中将为不可 用状态 如果接口没有问题 但线路协议失效 则问题与配置或线路有关 与 硬件无关 二 Ping 命令 Ping 是发送一个数据包到特定目标的应用程序 用来测试网络的连通性及 数据包丢失 Ping 发送的数据包请求从目标节点返回一个响应 目标节点收到 每次请求后便发送一个响应数据包给请求的源点 三 show ip route 命令 路由表是获悉路由器当前如何路由数据包的唯一途径 接口启用或关闭时 路由将自动加入到路由表或路由表中删除 使用 show ip route 命令显示路由 器中现有路由表的内容 每行开头的字母说明该路由是直接连接到路由器 C 静态路由 S OSPF O 或者是外部 EIGRP EX 如果路由是直接连接的 它还 说明是通过动态路由协议进行学习的 它将说明目的的网关 上次更新的时间 指向的目的网关的连接口等信息 所有的行都以 xxx xxx xxx xxx yy 的形式显示路由和网络掩码 其中 xxx xxx xxx xxx 是 IP 地址标识的网络位置 yy 表示网络掩码的比特数 x x x 是用于管理的信息源距离和路由距离 四 telnet 命令 远程测试工具 telnet 命令允许选择连接到远程系统的端口 23 5 35 3 终端机故障终端机故障 系统软件故障 主要表现为蓝屏 黑屏 开机时提示错误不能进入系统或 系统报警等现象 蓝屏 黑屏主要由硬盘损坏或系统文件丢失和错误造成 这 样就需要更换硬盘或重新安装系统 开机时提示错误不能进入 可以参照提示 铁道信号远程控制 课程设计 第 17 页 来查找故障逐步排除 系统报警可通过重新启动计算机来解决问题 应用软件故障 主要表现为车站之间 车站与调度台不能报点或上报信息 丢失 时间不准确等问题 车站间不能报点 主要检查邻站配置文件是否错误 及数据文件是否一致 车站与调度台不能报点 主要检查上报的信息是否完整 数据是否有丢包的现象存在 如果丢包严重 就要联合铁通对造成丢包问题进 行处理 5 45 4 通用网络故障分析及处理通用网络故障分析及处理 一 网络环线故障 首先确定物理连接没有问题 因为往往可能就是因为某根线缆连接不好导 致通道中断的 如果确认了线缆没有问题 而通道仍然中断时就应该利用路由 器来进行进一步的判断 使用 TELNET 键入密码后 看见 证明进入路由器 进入路由器后 可以通过一组命令来对通道进行简单的测试 最通常的就 是用 Ping 命令和 show interface 命令 Ping 命令测试远方的端口是否有回应 如果通道已经中断了 肯定是没有回应的 这个命令主要是用来做连通性测试 用的 如果发现 ping 不能 就用 show interface 进行下一步的测试 首先在 DDF 板上对设备进行环路测试 环路测试一般分为两种 设备环路 测试和线路环路测试 设备环路测试 就是在通信通道的终端设备上 即协议转换器 对路由器 的方向作一个环路 状态可能通过转换器或协议转换器上的状态指示灯和 show interface 命令在路由器上察看端口状态 如果显示 interface serial0 1 is up line protocol is down looped 这样的输出 证明设备环路测试成 功 也就是可以肯定路由器的接口到转换器接口之间是不存在问题的 否则自 身设备存在问题 线路环路测试 就是在通信通道上的某个设备向一端路由器方向作环路测 试 再在给方向的路由器上用 show interfac 命令进行测试 如果显示 interface serial0 1 is up line protocol is down looped 这样的 输出 证明线路环路测试成功 也就是说从测试点到路由器之间是不存在问题 的 铁道信号远程控制 课程设计 第 18 页 只有当显示 interface serial0 1 is up line protocol is up 这样 的语句才证明通道是连通的 否则通道上肯定是某个地方出了故障 我们通常所碰到的硬件问题主要有 路由器接口接插不牢靠 检查如电源 线 V 35 线 连接 HUB 的网线 铜轴缆线等 路由器本身硬件问题主要集中在 接口控制器 2T 模块 路由器及路由器风扇上 二 路由器配置 如果诊断出是路由器出了故障 这时要重新对路由器进行配置后才能对其 更换 以玉屏为例 使用 TELNET 键入密码后 看见 进入用户级界面 如 route 接下来输入 enable 语句 进入管理员界面 如 route Route Route enble Route conf t int fa0 0 ip add 172 25 241 33 255 255 255 224 no shut exit int s0 0 ip add 172 28 206 2 255 255 255 252 en ppp no shut exit int s0 1 ip add 172 28 206 5 255 255 255 252 en ppp no shut exit int s1 0 铁道信号远程控制 课程设计 第 19 页 ip add 172 28 208 6 255 255 255 252 en ppp no shut exit int loopback0 ip add 172 25 250 4 255 255 255 255 no shut exit router eigrp 1421 network 172 25 0 0 network 172 26 1 0 0 0 0 255 network 172 26 2 0 0 0 0 255 network 172 28 206 0 0 0 0 255 network 172 28 208 0 0 0 0 255 no auto summary exit snmp server community gyfjdmis enable password CASCO line vty 0 4 password CASCO login exit hostname YUPING 02 exit 三 地线压差或接触不良造成数据丢包 实际运用中 当使用ping命令查看某节点路由器串行端口时 有时通时断 的情况发生 显示如下 C ping 192 168 1 1 Pinging192 168 1 1 with32 bytes of data 铁道信号远程控制 课程设计 第 20 页 Reply from192 168 1 1 bytes 32 time 50ms TTL 241 Reply from192 168 1 1 bytes 32 time 50ms TTL 24 1 Request timed out Request timed out Request timed out Reply om192 168 1 1 bytes 32 time 50ms rIfrL 241 Reply from192 168 1 1 bytes 32 time 50ms rIfrL 24 1 Request timed out Request timed out 使用telnet命令 远程登录可能有问题的路由器 使用命令show interface查 看该路由器的接口 show int sO 1 Serial0 1 is up line protocol is up 151 input errors 80 CRC 59 frame 0 overrun 0 ignored 11 aboa 广域网口协议连接 1ine protoco1 在频繁翻转 up down 并且其中带下