小型网络环境下的故障维护手段

1、北京财贸职业学院毕业设计毕业设计 题 目： 小型网络环境下的故障维护手段 系部（院）： 信息物流系 专 业： 计算机网络技术 学 号： xxxxxx 姓 名： xxx 指导教师： 刘永立 22北京财贸职业学院毕业设计内容摘要随着网络在今时今日的不断发展，我们已经进入了高科技信息时代，意味着IT行业达到顶峰的同时也意味着INTERNET技术也提升了一个高度。许多公司都建立了企业网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。但企业的员工在使用企业网络的同时却忽略了 网络安全 问题，登陆了一些非法网站和使用了带病毒的软件，导致了企业计算机系统的

2、崩溃，给同事们带来了大量的工作负担，也严重影响了企业网的正常运行。所以在积极发展办公自动化、实现资源共享的同时，应加强对校园网络的安全重视。正如人们经常所说的：网络的生命在于其安全性。因此，如何在现有的条件下，如何搞好网络的安全，就成了企业网络管理人员的一个重要课题。作为一位网络管理员针对网络的维护和管理，我们一起来探讨一下企业网络安全技术。网络安全主要是网络信息系统的安全性，包括系统安全、网络运行安全和内部网络安全。关键词：系统安全 VLAN 防火墙 目录一、 网络安全概要3（一） 系统安全3（二） 网络运行安全4（三） 内部网络安全4（四） 常用的网络安全工具的介绍5二、 网络维护基本步骤

3、7（一）网络维护范围7（二）制定方案7三、 网络维护实施过程8（一）关键步骤8（二）以太网端口的配置实例14四、 参考文献19五、 总 结201、 网络安全概要（1） 系统安全系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析等技术。1、反病毒技术：计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校

4、就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。2、入侵检测：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。从目前来看系统漏洞的存在成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞

5、，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够，以至于过了几年，还能扫描到机器存在许多漏洞。在校园网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服

6、务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通

7、过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏性行为。因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。（2） 网络运行安全网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外，还要有备份与恢复等应急措施来保证网络受到攻击后，能尽快地全盘恢复运行计算机系统所需的数据。一般数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，这种备份是最有效

8、的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件。根据备份的存储媒介不同，有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放，具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装。其特点是便于保管，用以弥补了热备份的一些不足。进行备份的过程中，常使用备份软件，如GHOST等。（3） 内部网络安全 为了保证局域网安全，内网和外网最好进行访问隔离，常用的措施是在内部网与外部网之间

9、采用访问控制和进行网络安全检测，以增强机构内部网的安全性。1、访问控制：在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全的最主要的，同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。其基本功能有：过滤进、出的数据；管理进、出网络的访问行为；封堵某些禁止的业务等。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不

10、是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。另外，防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段，防止一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。2、网络安全检测：保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析，用实践性的方法扫描分析网络系统，检查报告系存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。以上只是对防

11、范外部入侵，维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施，健康正常的校园网络需要广大师生共同来维护。 （4） 常用的网络安全工具的介绍 1. 可引导的Linux版本：Backtrack 是最流行的可引导Linux版本之一，它有最新的安全工具和应用程序。Backtrack允许您加载一个纯原生的黑客环境，然后可以用它执行渗透测试。所谓Live CD/DVD或可引导发行版，是指一个完整配置的操作系统，它允许用户不需要将它安装到硬件，而体验和评估一个操作系统。您可以从Live DVD、U盘或虚拟机运行这个操作系统。2. 恶意软件分析工具包：Virustotal和Jot

12、ti是2个您不可错过的网站。如果您是一位渗透测试人员，那么您肯定会遇到很多的潜在恶意软件。虽然您可以依赖于一种杀毒软件，但是可能10种、20种都不够用呢！有时候，可能一种杀毒软件并没有检测到病毒，而另一种杀毒软件却把它标记为恶意软件。像和这样的网站可以帮您用多种杀毒产品扫描恶意文件或URL。这样就可以快速方便地检测不同杀毒供应商是否会将该软件标记为恶意软件。3. 漏洞检测框架：Metasploit 是每一位渗透测试人员都不可错过的一个漏洞检测框架。漏洞检测框架是一个为指定攻击目标创建或执行漏洞代码的环境。Metasploit有3步漏洞检测步骤：选择漏洞、配置攻击负载，执行攻击

13、。4. 世界级端口扫描工具：Nmap 是一个非常好的端口扫描应用。它同时支持Linux和Windows平台，既可以从命令，也可以从图形用户界面（GUI）执行任务。它有各种检测计算机网络的功能，如TCP扫描、UDP扫描和和操作系统识别。这是一个所有渗透测试人员都不能错过的工具。5. 网络流量分析工具：Wireshark是一个适用于Windows和Linux的网络协议分析工具。它也是一个很出名的数据包分析工具。作为一位渗透测试人员，您一定需要检查网络流量，这时没有比Wireshark更好的工具了。这个工具在过去几年获得多个奖项，它是观察TCP/IP异常流量的最佳方法。此外，它也很适合用于分析其他安

14、全工具的活动。6. SQL注入攻击测试工具：Acunetix 可用于测试网站和Web应用程序的跨站脚本攻击、SQL注入攻击及其他常见的Web漏洞攻击。只要想想有多少基于Web的应用程序，您就明白为什么渗透测试人员不能错过这个工具。7. Web应用测试工具：Burp Suite是一个专门用于测试Web应用安全的完整工具包。它可以作为代理服务器、Web爬虫、入侵工具和转发工具，还可以自动发送请求。8. 像瑞士军刀一样的黑客工具：Cain and Abel有密码破解、穷举、嗅探、地址解析协议/DNS污染等功能。Cain and Abel真正的优点在于功能丰富。9. 世界级加密工具：TrueCrypt

15、是一个开源加密软件包，支持Windows、Linux和OS X。虽然有人认为它不是一种黑客工具，但是我认为大多数渗透测试人员需要这个工具。毕竟，您的计算机上一定会有一些列举已知漏洞的笔记、记录和报告。您就真的放心不去加密这些信息吗？10. 用于加载多个操作系统的工具：VMware。作为一位渗透测试人员，您一定需要运行多个操作系统，而VMware可以帮您轻松运行多个操作系统。您能使用这些虚拟系统执行测试、安装可引导开源操作系统（如BackTrack）和支持只能运行在特定操作系统的应用。VMware既有免费版，也有付费版。 2、 网络维护基本步骤（一）网络维护范围l 交换机操作、日常维护、紧急维护

16、和保养。（二）制定方案 1、风险识别（1）使用AC适配器时存在人身意外触电伤害。（2）快速而频繁地开启和关闭电源易对半导体芯片产生损伤。（3）机房灰尘过大，影响设备稳定运行（4）发现问题但未及时进行处理，影响设备正常运行。2、消减措施（1）先验电、后作业，在连接电源线之前，确认供电电压是AC适配器的额定电压；使用随机附带的AC适配器，不要使用其他的适配器；在更换电池前关闭仪器电源，拔出AC适配器接头。（2）需重新开启交换机时，请在关闭电源35秒后再打开电源。（3）检查机房窗户是否关闭完好；清理灰尘，注意保持机房卫生清洁。（4）加强责任心与培训。3、总体设计 （1）将计算机连接交换机或路由器 （

17、2）打开超级终端并配置 （3）进入欢迎页面 （4）建立VLAN （5）查看交换机是否有错误代码 （6）完成3、 网络维护实施过程（一）关键步骤1、如图1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。图1：通过Console口搭建本地配置环境2、在PC机上运行终端仿真程序（如Windows 3.X的Terminal或Windows 9X/Windows 2000/Windows XP的超级终端等，以下配置以Windows XP为例），选择与交换机相连的串口，设置终端通信参数：传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流

18、控，如图2至图4所示图2 新建连接图3 连接端口设置图4端口通信参数设置3、以太网交换机上电，终端上显示设备自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如），如图5所示。图5 以太网交换机配置界面4、键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”，具体的配置命令请参考本手册中相关部分的内容。创建vlan表1 VLAN接口的基本配置操作命令说明进入系统视图system-view-创建VLAN接口并进入VLAN接口视图interface Vlan-interface vlan-id必选缺省情况下，在交换机上不存在VLAN接口指定当前VLAN接口的

19、描述字符串description text可选缺省情况下，VLAN接口的描述字符串为该VLAN接口的接口名，例如“Vlan-interface1 Interface”将VLAN接口的管理状态设置为关闭shutdown可选缺省情况下，VLAN接口的管理状态为打开，此时VLAN接口状态受VLAN中端口状态的影响，即：当VLAN中所有以太网端口状态为Down时，VLAN接口为Down状态，即关闭状态；当VLAN中有一个或一个以上的以太网端口处于Up状态时，则VLAN接口处于Up状态如果将VLAN接口的管理状态设置为关闭，则VLAN接口的状态始终为Administratively Down，不受VLA

20、N中端口状态的影响将VLAN接口的管理状态设置为打开undo shutdown表2 配置管理VLAN操作命令说明进入系统视图system-view-指定交换机上的管理VLANmanagement-vlan vlan-id必选缺省情况下，管理VLAN为VLAN 1创建并进入管理VLAN接口视图interface vlan-interface vlan-id必选配置管理VLAN接口IP地址ip address ip-address mask必选缺省情况下，管理VLAN接口没有配置IP地址配置静态路由ip route-static ip-address mask | mask-length inte

21、rface-type interface-number | next-hop preference preference-value reject | blackhole description text 可选表3 配置以太网端口操作命令说明进入系统视图system-view-进入相应端口的视图interface interface-type interface-number-打开以太网端口undo shutdown可选缺省情况下，端口处于打开状态如果想关闭端口，可以使用shutdown命令设置以太网端口描述字符串description text可选缺省情况下，端口没有配置描述字符串设置以太网

22、端口的双工模式duplex auto | full | half 可选缺省情况下，端口的双工模式为auto（自协商）设置以太网端口的速率speed 10 | 100 | 1000 | auto 可选缺省情况下，端口的速率处于auto（自协商）状态仅千兆端口支持配置速率为1000 Mbps设置以太网端口的MDI（Medium Dependent Interface）模式mdi across | auto | normal 可选缺省情况下，端口的MDI模式为auto配置以太网端口允许通过的帧的最大长度为2048字节（仅S3100-EI系列交换机支持该特性）jumboframe enable可选缺省

23、情况下，以太网端口允许通过的帧的最大长度为2048字节表4 配置基于Access端口的VLAN（在VLAN视图下）配置命令说明进入系统视图system-view-进入VLAN视图vlan vlan-id必选如果指定的VLAN不存在，则该命令先完成VLAN的创建，然后再进入该VLAN的视图将指定Access端口加入到当前VLAN中port interface-list必选缺省情况下，系统将所有端口都加入到VLAN1表5 配置基于Trunk端口的VLAN操作命令说明进入系统视图system-view-进入以太网端口视图interface interface-type interface-numbe

24、r-配置端口的链路类型为Trunkport link-type trunk必选设置Trunk端口的缺省VLAN IDport trunk pvid vlan vlan-id可选Trunk端口的缺省VLAN为VLAN1将当前Trunk端口加入到指定的VLANport trunk permit vlan vlan-id-list | all 可选缺省情况下，所有端口都属于VLAN1（二）以太网端口的配置实例1、组网需求交换机Switch A与对端交换机Switch B使用Trunk端口Ethernet1/0/1相连；端口Ethernet1/0/1的缺省VLAN ID为100；端口Ethernet1

25、/0/1允许VLAN2、VLAN6到VLAN 50、VLAN100的报文通过。组网图图6以太网端口配置举例组网图2、配置步骤# 进入Ethernet1/0/1以太网端口视图。 system-viewSysname interface ethernet1/0/1# 配置端口Ethernet1/0/1为Trunk端口。 Sysname-Ethernet1/0/1 port link-type trunk# 允许VLAN2、VLAN6到VLAN 50、VLAN100的报文通过端口Ethernet1/0/1转发。Sysname-Ethernet1/0/1 port trunk permit vlan

26、2 6 to 50 100# 配置端口Ethernet1/0/1的缺省VLAN ID为100。Sysname-Ethernet1/0/1 port trunk pvid vlan 1003、配置vlan实例# 进入系统视图。 system-view# 创建VLAN 10，并指定VLAN 10为交换机的管理VLAN。SwitchA vlan 10SwitchA-vlan10 quitSwitchA management-vlan 10# 创建交换机管理VLAN 10的VLAN接口并进入VLAN接口视图。SwitchA interface vlan-interface 10# 配置管理VLAN 1

27、0接口的IP地址为/24。SwitchA-Vlan-interface10 ip address SwitchA-Vlan-interface10 quit# 配置缺省路由。SwitchA ip route-static 首先，我们打开路由器，默认IP地址：(用户名：useradmin密码：admin!#$%)图7进入华三设备配置界面接下来就是设置路由，这个步骤较为简单，直接选择快速设置即可。在快速设置里有一步骤是设置无线的，完成设置后无法使用无线，因为快速设置使用的事WEP加密方式，

28、所以我们要对我们所设置的SSID进行一些修改。图8接入服务配置我们依次选择端口配置=无线=接入服务，然后我们可以看到我们设置的SSID，在编辑这个SSID前，先对该SSID去使能（关闭该SSID），然后进去编辑图9 wep加密在这里我们在WEP加密去勾（即不使用WEP加密），然后再加密类型选择TKIP/CCMP and TKIP，安全IE选择WPA/WPA and WPA2。最后我们就是设置无线密码了，我们在端口安全里面端口设置，然后选择端口模式为psk/mac and psk,然后再psk选项里面设置共享密码。图10保存点击确定后，返回接入服务，然后对该SSID使能（开启该SSID），我们的

29、无线设置就告一段落了，再保存配置后退出路由器设置。clock datetime 11:12:00 2009/12/13 设定时间system-biew 设置模式sysname eeds 路由器名 local-user eeds 当地登录名 Password cipher sac 登陆密码 quitsuper password cipher sac 远程登陆，进入管理模式密码Interface e0/0 设置e0口Ip address 24quitInterface e0/1 设置e1 口IP address 24quitTeinet server enable 打开telnetUser-interface vty 0 4 使用线路监听 Set auth password cipher sac 登陆用