计算机网络管理理论与实践教程(完整版)

1、计算机网络管理理论与实践教程第一章 绪论全国信息技术水平考试目录绪论简单网络管理协议SNMP网络系统规划与工程管理IP地址管理网络配置管理网络故障管理网络性能管理网络安全管理理论与技术网络计费管理网络管理平台与工具网络管理机构组织与运行IT服务管理绪论网络管理概述网络管理功能和目标网络管理模型与协议网络管理体系结构网络管理典型实现模式分析网络管理软件系统网络管理概述网络管理的概念网络管理就是对网络中各种资源，如网络设备、通信线路、网络用户、网络服务、网络信息等进行监测、配置、修改、调控，使得网络能够满足应用的需求。按照国际标准化组织（ISO）的定义，网络管理主要包括五个方面工作，即故障管理、配

2、置管理、计费管理、性能管理、安全管理。性能管理计费管理故障管理安全管理配置管理第三阶段智能化管理阶段第二阶段计算机辅助管理阶段网络管理概述网络管理的历程网络管理大致经历的三个阶段：第一阶段人工管理阶段网络管理的功能和目标配置管理配置管理负责监测和修改网络的配置信息和运行状态。在网络的建立、扩充、改造以及运行过程中，对网络资源的配置、运行状态、网络的拓扑结构等配置信息进行定义、监测和修改。故障管理故障管理的目的在于确保网络系统可靠、稳定的运行。在网络发生故障时，及时地进行故障定位，排除故障恢复网络的正常运行。故障管理包括对被管理对象状态的监控、故障事件的追踪、定位与记录以及故障的排除等。网络管理

3、的功能和目标性能管理性能管理的目的是确保网络不会出现过度拥挤的情况，保障网络的可用性，为用户提供良好的网络服务质量(QoS)。安全管理网络安全是指包括网络设备、网络通信协议和网络管理系统在内的所有支持网络系统运行的硬件/软件总体的安全。安全管理的目标是保证网络的保密性、可用性、完整性、可控制性，不因网络设备、网络通信协议、网络管理系统受到人为和自然因素的危害，而导致网络传输信息丢失、泄露或破坏。网络管理的功能和目标计费管理计费管理的主要任务是根据管理部门制定的计费策略，对网络资源的使用情况收取相应的费用，分担网络运行成本。网络管理的功能和目标服务管理服务是由服务提供商支持的、让客户感觉协调一致

4、，能够满足客户的一种或多种需求的可用系统或功能。服务管理融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。目前网络管理的内容将会逐步地纳入到IT服务管理范畴下，作为IT服务的一个组成部分，网络管理也将遵循水平协议（SLP）框架。网络管理模型与协议网络管理模型网络管理可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。网络管理模型与协议网络管理协议网络管理协议是网络管理系统忠最重要的部分，它定义了网络管理者与被管代理间的通信方法，规定了管理信息库的存储结构、信息库中关键字的含义以及各种事件的处理方法。SNMP（Simple Networ

5、k Management Protocol）： 简单网络管理协议CMIP（Common Management Information Protocol）：通用管理信息协议网络管理体系结构网络管理体系结构概念网络管理体系结构是指网络管理系统、网络管理代理的组织形式。常见的网络管理体系结构是：集中式体系结构分层式体系结构分布式体系结构网络管理体系结构集中式网络管理体系结构集中式网络管理体系结构是将网络管理系统建立在一个计算机系统上，由该计算机系统负责所有的网络管理任务。网络管理体系结构分层网络管理体系结构分层体系结构使用多个计算机系统，其中一个作为网络管理的中央服务器系统，其它作为客户端系统。网络

6、管理系统的某些功能驻留在服务器系统上，其它功能由客户端系统完成。网络管理体系结构分布式网络管理体系结构分布式体系结构采用多个对等平台，其中一个平台作为一组对等平台的管理者，每个对等平台都有整个网络设备的完整数据库。网络管理典型实现模式分析基于SNMP网络管理SNMP网络管理体系结构是为了管理TCP/IP协议的网络而提出的一种网络管理协议。SNMP的网络管理模型包括管理者、管理代理、管理信息库和管理协议等重要组成部分。管理者一般是安装了网络管理系统的独立设备，作为网络管理员与网络管理系统的接口。管理代理安装在被管理对象（如主机、路由器和交换机）中,对来自管理者的信息请求和动作请求进行应答，并为管

7、理者报告一些重要的意外事件。管理信息库是管理对象信息的集合，管理者通过管理代理读取管理信息库中对象的值来进行监控。管理站和代理者之间通过SNMP网络管理协议通信。网络管理典型实现模式分析基于CMIP网络管理OSICMIP网络管理体系结构是一个面向对象的设计，其体系结构由4个主要部分组成：信息模型、组织模型、通信模型和功能模型。信息模型：管理信息结构、命名等级体系和管理对象定义；组织模型：采用管理系统和代理系统模式，定义了一些管理角色，如管理者、代理等；通信模型：是基于系统的通信体系结构，包括应用管理、层管理和层操作3种交换管理信息的机制；功能模型：将整个管理系统划分为五个功能域：配置、故障、性

8、能、安全和计费管理。网络管理典型实现模式分析基于WEB的网络管理WBM有两种代理基本的实现方案：代理方案和嵌入式方案。基于代理的实现方案是将Web服务部署到网管设备或服务器上，该设备使用网络管理协议收集网络管理信息，用户使用浏览器，通过HTTP协议与Web服务器进行通信，完成网络管理工作。嵌入式的实现方案是将Web服务嵌入到网络设备中，网络管理员可通过浏览器直接访问该设备并且进行管理。网络管理典型实现模式分析TMN网络管理电信管理网（TMN）由国际电信联盟(ITU)提出，目的是为了向用户提供高质量、高可靠性的电信服务，有效地降低网络运营成本。TMN提供有组织的网络结构，以取得各种类型的操作系统

9、之间，操作系统与电信设备之间的互连。TMN的管理功能：性能管理、配置管理、帐务管理、故障管理、安全管理。TMN的功能模块：操作系统功能模块、工作站功能模块、网元功能模块、Q适配器功能模块和协调功能模块。网络管理软件网络管理软件组成网络管理软件应具有网络管理信息采集功能、配置管理功能、故障管理功能、计费管理功能、安全管理功能、服务管理功能以及网络管理操作可视化操作功能。网络管理软件网络管理系统类型网络管理软件根据被管理对象的不同可分为两大类：通用网络管理软件和网元(网络设备)管理软件。网元管理软件只管理单独的网元, 一般由设备的原生产厂商提供，各厂商采用专有的管理MIB库。通用网络管理软件则主要

10、用于掌握全网的状况，支持对所有SNMP设备的发现和监控，可集成设备生产厂商的私有MIB库，实现对全网(多厂商)设备进行识别和统一的管理。本章小结网络管理概述网络管理功能和目标网络管理模型与协议网络管理体系结构网络管理典型实现模式分析网络管理软件系统练习与思考网络管理目标和功能是什么？典型网络管理体系结构有哪些？各自特点是什么？适应什么情况？调查市场上主流网络管理软件，比较其功能特性。计算机网络管理理论与实践教程Thank You !计算机网络管理理论与实践教程第二章 简单网络管理协议SNMP全国信息技术水平考试目录绪论简单网络管理协议SNMP网络系统规划与工程管理IP地址管理网络配置管理网络故

11、障管理网络性能管理网络安全管理理论与技术网络计费管理网络管理平台与工具网络管理机构组织与运行IT服务管理简单网络管理协议SNMPSNMP概述SNMP管理模型SNMP管理信息结构SNMP管理信息库远程监视RMONSNMPV1分析SNMP安全分析SNMP概述SNMP的发展历程随着TCP/IP协议广泛应用，网络数目与网络内主机的数量不断增多，网络管理问题日益凸显。国际标准化组织（ISO）针对其自己提出的开放系统互连参考模型（OSI）的七层协议框架设计了公共管理信息服务（CMIS）和公共管理信息协议（CMIP）。因特网工程任务组（IETF）为了管理快速增长的Internet，决定修改并采用OSI的CM

12、IP作为Internet的网络管理协议，修改后的协议被称为：建立在TCP/IP之上的公共管理信息服务与协议 (CMOT)。SNMP概述SNMP的发展历程CMIS/CMIP的实现由于复杂性和实现代价太高而遇到了许多困难，CMOT迟迟不能正式出台。1990年IETF决定把在NYSERNET和SURANET上开发的简单网关监控协议（SGMP）进行修改后，作为暂时的网络管理解决方案。这个临时解决方案后来发展成为简单网络管理协议（SNMP）的第一个版本SNMPv1。SNMP概述SNMP的发展历程为了弥补在安全方面的足，IETF开始进行SNMP新版本的开发工作。1992年7月，SNMP的设计者提出了称为S

13、NMPsec的安全SNMP版本。SNMP概述SNMP的发展历程1993年，IETF发布了SNMP的第二版SNMPv2。SNMPv2吸取了SNMPsec以及RMON在安全性能和功能上的经验，同时针对SNMPv1在管理大型网络上的不足，对SNMP进行了一系列的扩充。SNMP概述SNMP的发展历程经过几年的试用发现SNMPv2的安全机制存在严重缺陷。许多设备提供商在SNMPv2的基础上加入自定义的安全特性，逐渐形成了SNMPv2u及SNMPv23两个版本。SNMP概述SNMP的发展历程为统一标准，IETF不得不在1996年对SNMPv2进行修订，发布了SNMPv2c。SNMP概述SNMP的发展历程1

14、999年IETF正式发布了SNMPv3。SNMPv3是在SNMPv2基础之上增加了安全和管理机制的协议，得到了设备生产厂商的支持。SNMP概述SNMP的特点简单可扩展应用广泛SNMP存在的问题SNMP管理模型SNMP管理模型的四个基本组成部分管理者管理代理管理协议管理信息库SNMP管理模型SNMP管理组织结构两层组织模式SNMP管理模型SNMP管理组织结构三层组织模式SNMP管理模型SNMP管理组织结构代理服务器组织模式SNMP管理信息结构对象类型的命名每个MIB对象都使用对象标识符来唯一标识SNMP管理信息结构对象类型的语法每个MIB变量格式是SMI规定的，用ASN.1描述如下：(objec

15、tname) OBJECT-TYPEDESCRIPTION:(description)SYNTAX: (syntax)ACCESS: (access)STATUS: (status):=(Parent)numberSNMP管理信息库MIB-II的组对象对象标识符说明system.2.1.1提供设备或系统的信息。interfaces.2.1.2包含网络接口的信息。at.2.1.3用于InternetIP地址到数据链路地址的地址转换表。ip.2.1.4包含关于该设备的网际协议（IP）的统计信息。icmp.2.1.5包含Internet控制消息协议（ICMP）的统计信息。tcp.2.1.6包含传输控

16、制协议（TCP）的统计信息。udp.2.1.7包含用户数据报协议（UDP）的统计信息。egp.2.1.8包含外部网关协议（EGP）的统计信息。cmot.2.1.9CMOT协议的信息。transmission.2.1.10提供系统接口之下的特定媒体的信息。snmp.2.1.11包含简单网络管理协议（SNMP）的统计信息。远程监视RMONRMON简介RMON是用于远程监控的标准规范，它是由SNMP MIB扩展而来。RMON由探测器和管理者两部分构成。SNMPv1分析SNMPv1报文格式SNMP报文被封装在用户数据报协议（UDP）报文的数据项中，并通过UDP协议进行传输。SNMPv1分析SNMPv1

17、报文格式SNMP报文由首部和协议数据单元2部分组成。SNMPv1分析SNMPv1报文格式SNMPv1报文传输，经过传输层、互联层、网络存取层以及物理层的网络。SNMPv1分析SNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分。Get/Set类型报文与Trap类型报文的协议数据单元首部格式不同。SNMPv1分析SNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分。Get/Set类型报文与Trap类型报文的协议数据单元首部格式不同。SNMP安全分析SNMP安全威胁伪造消息流修改消息窃听拒绝服务攻击流量分析SNMP安全分析SNMP

18、安全需求提供消息的完整性验证机制提供消息的源验证机制提供消息的时间戳标识提供防止消息内容泄漏和非法读写的保护机制管理者和管理代理之间相互认证本章小结SNMP概述SNMP管理模型SNMP管理信息结构SNMP管理信息库远程监视RMONSNMPV1分析SNMP安全分析练习与思考SNMP支持哪些组织模式？SNMP的主要安全威胁是什么？RMON的主要用途是什么？阅读SNMP相关的RFC文档。计算机网络管理理论与实践教程Thank You !计算机网络管理理论与实践教程第三章 网络系统规划与工程管理网络系统规划与工程管理全国信息技术水平考试网络系统规划与工程管理TEXTTEXTTEXTTEXT网络系统建设

19、的准备工作网络系统设计与规划网络系统建设工程施工管理网络系统工程的验收网络系统建设的准备工作项目立项网络系统建设项目的立项报告主要由两个部分组成。第一部分介绍项目的基本情况，包括：工程名称、项目的建设单位、项目组织机构、项目负责人和组织分工、参加单位与协作单位等内容。第二部分对项目的建设进行详细的分析，包括项目背景，项目建设的目的和意义、需求分析、总体方案、分阶段建设方案、投资估算、效益分析等内容可行性分析可行性分析是在项目建设的前期对工程项目的一种考察和鉴定，是把所有与系统的投资效果有关的因素综合起来加以分析。对拟议中的项目进行全面与综合的技术、经济能力的调查与研究，判断它是否可行。可行性分

20、析主要关注经济可行性、技术可行性、系统生存环境可行性、各种可选方案等四个方面的内容 立项工程的委托 .网络系统设计与规划 网络基础平台网络基础平台的建设主要包括：网络整体规划、网络设备选型、服务器和操作系统选型、存储备份系统选型。 标准化原则 先进性和实用性原则 可靠性和可扩展性原则经济性和效益性原则安全性与可管理性原则网络系统设计与规划原则网络系统设计与规划网络整体规划计算机网络的分类按照网络覆盖范围的大小分为局域网、城域网和广域网 网络的拓扑结构总线型拓扑结构 图 31总线型拓扑结构网络系统设计与规划环形拓扑结构 图 32环形拓扑结构网络系统设计与规划星型拓扑结构 图 33星型拓扑结构网络

21、系统设计与规划网络传输技术常用的网络传输技术 ：同步数字体系（SDH） 准同步数字体系（PDH） 数字微波传输系统 数字卫星通信（VSAT） 有线电视网（CATV） 常用的网络交换技术 ：异步传输模式（ATM） 光纤分布式数据接口（FDDI） 以太网（Ethernet）网络系统设计与规划快速以太网（FastEthernet） 千兆位以太网常用的网络接入技术主要有 ：调制解调器（Modem） 电缆调制解调器（CablaModem） 高速数字用户环路（HDSL） 非对称数字用户环路（ADSL） 超高速数字用环路（VDSL） 综合业务数字网（ISDN） TDMA和CDMA无线接入 网络系统设计与规划

22、IP地址规划 IP地址分类A类地址B类地址C类地址D类地址图 34 IP地址分类网络系统设计与规划特殊IP地址网络地址 直接广播地址 回送地址子网编址 子网编址将IP地址的主机号部分再划分为子网部分和主机部分。一个被子网化的IP地址实际包含网络号、子网号、主机号三部分。为了区分这三部分，需要使用子网掩码进行判断。IP协议规定，在子网掩码中，与IP地址的网络号和子网号相对应的位用“1”表示，与IP地址的主机号相对应的位用“0”表示。将IP地址和它的子网掩码相比较，就可以判断出IP地址中哪些位表示网络，哪些位表示主机。网络系统设计与规划网络设备在进行网络设备的选型时，需要考虑以下的一些问题：网络路

23、由和交换设备之间的兼容性是否良好。网络设备的功能和技术指标是否会造成网络整体性能的瓶颈。设备是否具有良好的扩展性，以支持未来各种新业务和增值业务的开展 路由器路由器是一种连接多个网络或网段的网络设备，具有判断网络地址和选择路径的功能。在局域网接入广域网的众多方式中，通过路由器接入互联网是最为普遍的方式。使用路由器接入互联网络的最大优点是：各互联子网仍可保持各自的独立性，每个子网可以采用不同的拓扑结构、传输介质和网络协议，网络结构层次分明 网络系统设计与规划选择路由器应该考虑以下因素：所支持的路由协议、安全性、背板能力 、吞吐量、转发时延、路由表容量 以及可靠性交换机 在网络系统的设计中，基于应

24、用层次、处理能力和可靠性要求，还根据交换机在应用中所扮演的角色以及所处的位置，将交换机分为核心层交换机、汇聚层交换机和接入层交换机等三类。 选购核心层的交换机，应考虑：模块的可扩展性、端口的可扩容性、带宽的可扩容性 、提供可扩展的多种网络业务、网络可靠性。网络系统设计与规划选购汇聚层的交换机 ，应考虑：体系结构、可靠性设计、用户管理、管理系统选购汇聚层的交换机 ，应考虑：1要能够适应恶劣的工作环境 2既能满足建设网络的要求，又要有很高的性价比3支持组播，可以满足多媒体和视频流的要求 4支持SNMP、RMON等网管协议，支持远程管理 5可以利用基于802.1Q VLAN中继线路架构在任何端口创建

25、VLAN中继线路，因而可以保障构筑跨骨干的VPN的功能 网络系统设计与规划服务器 服务器的运算性能应用系统的数据处理模型大致可以分成两大类：一种是联机事务处理模型OLTP（on-line transaction processing）、另一种是联机分析处理模型OLAP（On-Line Analytical Processing）。OLTP的特点是 1实时性要求高 2数据量不大 3交易一般是确定的，是对确定性的数据进行存取 4并发性要求高并且严格的要求事务的完整、安全性 网络系统设计与规划OLAP的特点是： 1实时性要求不是很高 2数据量大 3查询一般是动态的 服务器的可靠性服务器的可靠性是需要

26、考察的一个重要指标，通常用平均无故障时间（MTBF）值来衡量系统的可靠性。 为了提高系统的可靠性，还需要采取以下的一些方案 ：1在关键业务应用中数据库和应用服务器应支持群集和高可用性（HA）处理，设备选型时应重点考虑多机间的热切换和负载均衡能力 2服务器的硬盘、网络接口、网络连接及电源均应考虑足够的冗余 网络系统设计与规划操作系统数据存储系统直接连接存储DAS是指将外置存储设备通过连接电缆，直接连接到一台计算机上。采用直接外挂存储方案的服务器结构如同PC机架构，外部数据存储设备直接挂接在内部总线上，数据存储是整个服务器结构的一部分。网络接入存储NAS 主要特征是将存储功能从通用文件服务器中分离

27、出来，使其更加专门化。网络接入存储把存储设备和网络接口集成在一起，直接通过网络存取数据，从而获得更高的存取效率，更低的存储成本。网络系统设计与规划存储区域网络 SAN数据备份和恢复系统1）对重要数据的即时备份能力。2）备份数据加密功能。3）设置的灵活性。4）灾难恢复。5）并行处理能力。6）数据可靠性。7）系统的跨平台兼容性。8）使用和操作的简便性。9）支持LUN屏蔽功能。10）数据备份和恢复的效率。网络系统设计与规划11）备份管理软件应具备以下功能：显示备份网络拓扑结构图、识别并显示磁带库驱动器、监控作业任务的执行情况（备份进度、资源利用率等）、监控进程的状态。12）备份策略的合理性：设置备份

28、对象、数据保存时间、备份时间段等。13）可以选择灵活的备份策略，支持：数据库全备份、数据库增量备份、文件全备份、文件增量备份、系统全量备份、系统增量备份、跟踪备份等多种备份方式。磁带库性能指标：配置驱动器数；最大可扩充数。磁带驱动器类型。网络系统设计与规划单个磁带容量（非压缩）配置磁带数量，清洗带数量驱动器最大持续传输率（不压缩）磁带库配置磁带匝插槽数支持SAN，磁带驱动器接口类型及速率综合布线系统概述图 36综合布线系统示意图网络系统设计与规划标准建筑与建筑群综合布线系统工程设计规范CECS72：97建筑与建筑群综合布线系统工程施工及验收规范CECS89：97中国电气装置安装工程施工及验收规

29、范GBJ232.82智能建筑设计标准 GB/T-50314-2000建筑与建筑群综合布线工程设计规范 GB/T-50311-2000综合布线系统的优点结构清晰，便于管理维护灵活方便便于扩充优点网络系统设计与规划建筑与建筑群综合布线工程施工及验收规范 GB/T-50312-2000商用建筑物布线标准EIA/TIA 568A民用建筑线缆标准EIA/TIA586民用建筑信道和空间标准EIA/TIA569民用建筑通信管理标准EIA/TIA606民用建筑通信接地标准EIA/TIA607用户建筑通用布线标准ISO/IEC 11801 CLASS E DRAFT以太网10Base-T标准IEEE802.3以

30、太网100Base-T标准IEEE802.3u千兆以太网标准IEEE802.3Z网络系统设计与规划设计要点综合布线系统应是开放式拓扑结构，应能支持电话、数据、图文、图像等多媒体业务的需要。综合布线系统应按工作区子系统、配线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统等六个部分进行设计。建筑与建筑群的工程设计，应根据实际需要，选择适当配置的综合布线系统。综合布线系统的组网和各段缆线的长度限值应符合规定。综合布线系统工程设计，选用的电缆、光缆、各种连接电缆、跳线，以及配线设备等所有硬件设施，均应符合标准的各项规定。系统设计应根据不同对象采用不同的处理方式。综合布线系统与外部通信网连接

31、时，应符合相应的接入网标准。网络系统设计与规划运行环境机房电源网络服务平台的设计Internet网络服务系统Internet网络服务系统包括：万维网（WWW）电子邮件（Email）新闻服务（News）文件传输（FTP）远程登录（Telnet）信息查询（Archie、Gopher、WAIS） 网络系统设计与规划电子邮件系统电子邮件系统通常包括两个组件：邮件用户代理MUA(Mail User Agent)和邮件传送代理MTA(Mail Transport Agent)。 电子邮件系统在规划设计时除了系统容量、并行投递邮件数外，应考虑以下的要求： 1兼容性要求 2安全性要求 3管理功能要求DNS服务

32、器支持的负载均衡策略支持集中和分布式域名解析。支持多ISP接入应用。易管理性，是否支持基于Web的管理，支持统计分析。与不同操作系统和网络环境的兼容性。网络系统设计与规划WWW服务器支持的单位时间最大并发用户数(与服务器和应用有关)对服务器群集的支持支持页面高速缓存支持XML和Web Service工业标准和ASP、.COM、.NET组件支持SSL、TLS安全协议、RSA、DES等加密算法支持通过ADO和ODBC与第三方数据库进行接口对WML和WAP的支持支持JavaScript、VBScript和Perl等脚本语言与Active Server Pages的兼容能力网络系统设计与规划FTP服务

33、器多媒体业务网络系统VOIP系统系统体系:1智能网络管理和控制层 2呼叫控制层 3传输层系统功能 (见书P65)视频会议系统（见书P66）应用和服务系统网络系统设计与规划网络安全与管理平台的设计网络安全服务与模式网络安全服务包括1数据机密性服务2对等实体鉴别服务3访问控制服务4数据完整性服务5禁止否认服务网络系统设计与规划数字证书系统数字证书系统的设计方案应实现以下功能：1证书业务服务系统提供基于数字证书的信任服务，进行证书管理。2密钥管理系统提供基于统一安全管理的密钥服务，进行对称密钥和非对称密钥以及相关的密钥服务管理。3密码服务系统提供基于统一安全管理的密码服务。4授权服务系统以信任服务为

34、基础，为应用系统提供资源访问控制和授权管理服务，支持权限管理。DiagramP2DR模型4个主要部分响应检测保护策略网络系统设计与规划1可信时间戳服务系统基于国家权威时间源和公钥技术，为应用系统提供可信的时间戳服务。2证书查询验证服务系统提供数字证书/证书撤消列表的目录查询服务，进行证书/证书撤消表的目录管理，以及证书状态在线查询服务。3基础安全防护服务系统提供信息安全防护服务。4故障恢复及容灾备份系统提供系统故障恢复及容灾备份服务。5网络信任域系统提供网络可信接入及网络信任域管理服务。防火墙系统防火墙是网络安全的第一道防线，一般用来将内部网络与Internet或外部网络相互隔离、限制网络互访

35、，保护内部网络的安全。网络系统设计与规划防火墙放在两个网络之间，通常是内部网与外部网或Internet之间，因此所有从内部到外部或从外部到内部的通信都必须经过它，这就意味着防火墙可以检查所有的网络数据包。防火墙类型：包过滤防火墙、服务代理防火墙、网络地址转换NAT选择防火墙考虑的指标：1支持透明和路由两种工作模式。2支持广泛的网络通信协议和应用协议3支持多种入侵监测类型4支持对HTTP、FTP、SMTP等服务类型的访问控制。5支持静态、动态和双向的NAT。网络系统设计与规划6支持对日志的统计分析功能，同时日志是否可以存储在本地和网络数据库上7对防火墙本身或受保护网段的非法攻击系统提供多种告警方

36、式以及多种级别的告警8提供策略备份和恢复功能9具备检测DoS攻击的能力支持负载均衡10支持双机热备入侵检测 入侵检测是通过检查网络中传输的数据包信息，判断是否有违背安全策略或危及系统安全的行为或活动，从而保护系统不受外来的攻击，防止数据的泄漏、篡改和破坏。入侵检测的目的不是阻止入侵的发生，而是在于发现入侵者和入侵行为。从而及时进行网络安全应急响应，避免对系统的恶意访问和破坏。网络系统设计与规划入侵检测技术主要分为两大类型：异常入侵检测和误用入侵检测 入侵监测系统的要求：1在检测到入侵事件时，自动执行切断服务、记录入侵过程、邮件报警等动作2支持攻击特征信息的集中式发布和攻击取证信息的分布式上载3

37、提供多种方式对监视引擎和检测特征的定期更新服务4内置网络使用状况监控工具和网络监听工具漏洞扫描系统 漏洞扫描系统的要求 网络系统设计与规划1定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描，及时发现系统的安全漏洞、报警并提出补救建议2支持与入侵监测系统的联动3检测规则应与相应的国际标准漏洞相对应4支持灵活的事件和规则自定义功能，允许用户修改和添加自定义检测事件和规则，支持事件查询5支持快速检索事件和规则信息的功能，方便用户通过事件名、详细信息、检测规则等关键字对事件进行快速查询6可以按照风险级别进行事件分级7控制台应能提供事件分析和事后处理功能，应具有对报警事件的源地址进行地址解析，

38、分析主机名，分析攻击来源的功能8提供安全事件统计概要报表，并按照风险等级进行归类9通过数据库管理工具统计数据库建立时间以及当前记录数目网络系统设计与规划网络防病毒系统反病毒策略包括为安装程序，使用系统和共享文件等制订出相应的规程，以及使用反病毒软件的方法，并使网络中的所有用户遵守 网络防病毒系统的要求 选择反病毒软件要考虑 快速、方便的升级病毒实时监测能力对新病毒的反应能力病毒查杀能力网络系统设计与规划支持多种平台的病毒防范。支持对服务器的病毒防治。支持对电子邮件附件的病毒防治。提供对病毒特征信息和检测引擎的定期在线更新服务。实现对网络内计算机的集中管理、分布式杀毒防病毒范围广泛 网络管理系统

39、对网络管理的需求体现在：网络管理：对整个网络和指定子系统或设备的工作状态进行集中管理和监控，系统管理：服务器系统、存储和备份系统、网络服务、网络安全系统进行统一的管理和监控。运行维护管理：对网络系统各种资源的运行状况进行全面的信息采集和自动预警。 网络系统建设工程施工管理工程实施阶段管理概述 工程实施阶段的管理内容设备采购的管理管理的任务和重点以及流程 （见书） 开工前的管理内容 审核工程实施人员、承建方资质审核实施进度计划审核实施组织计划审核实施方案网络系统建设工程施工管理综合布线工程的施工 综合布线工程包括综合布线设备安装、布放线缆、缆线终接三个环节，综合布线的管理工作内容主要包括以下两方

40、面：按照国家关于综合布线的相关施工标准的规定审查承建方人员施工是否规范 到场的设备、缆线等设备的数量、型号、规格是否与合同中的设备清单一致，产品的合格证、检验报告是否齐全 常见的施工规范包括：建筑与建筑群综合布线系统工程施工及验收规范CECS89：97、商用建筑物布线标准EIA/TIA 568A、用户建筑通用布线标准ISO/IEC 11801 CLASS E DRAFT、建筑与建筑群综合布线工程施工及验收规范GB/T-50312-2000、民用建筑线缆标准EIA/TIA586等 网络系统建设工程施工管理综合布线设备安装敷设管路 敷设线槽 安装过线（路）盒、信息插座底盒（接线盒） 安装桥架 开槽

41、 安装机柜、机架、接线箱、抗震底座 放布线缆暗管、暗槽内穿放电缆 桥架、线槽、网络地板内明布电缆 网络系统建设工程施工管理布线光缆、光缆外护套、光纤束 暗道、暗槽内穿放光缆 桥架、线槽、网络地板内明布光缆 布放光缆护套 气流法布放光纤束 线缆终接接对绞电缆安装8位模块式信息插座安装光纤信息插座安装光纤连接盘光纤连接制作光纤连接器制作跳线网络系统建设工程施工管理隐蔽工程金属线槽安装管道安装管内穿线网络系统安装调试网络系统的详细逻辑设计网络逻辑设计方案的内容可能包括以下内容：网间传输协议的选择路由协议的选择和设计网络地址的分配网络系统建设工程施工管理子网的划分及配置虚拟网的划分及配置路由器参数的确

42、定交换机参数的确定网络管理系统参数的确定其他网络设备、网络链路的参数配置网络设备加电调试、模拟网络调试网络设备的安装主机以及软件系统的安装调试网络系统工程的验收前提条件外购的硬件设备、软件系统都已全部到货，并通过到货验收各种设备经过上电测试，运行正常所有建设项目按照设计方案的要求全部建成，并满足使用要求各种技术文档和验收资料完备，符合合同的要求 网络系统工程的验收验收流程网络系统工程的验收验收资料的准备包括基础资料、施工过程文档、技术资料等三类 网络基础平台的验收网络设备验收服务器和操作系统数据存储和备份系统网络服务平台的验收Internet网络服务电子邮件服务器网络系统工程的验收功能测试系统

43、容量测试安全性测试防病毒、防垃圾邮件功能测试系统可管理性系统高可用性WWW服务器在特定的配置环境下支持的单位时间最大并发用户数。对服务器群集的支持。页面高速缓存。协议兼容性。网络系统工程的验收多媒体业务网络VOIP网络承载业务，附加业务种类音频指标，支持静音压缩和舒适音、自适应抖动缓存平滑语音功能、丢包补偿保障机制，支持多种语音压缩方式能够提供的QoS机制防抖动性能良好的可扩充性与现有的数字、模拟电话网的接口种类路由器功能网络系统工程的验收SNMP网管功能可编程语音流程监视记录呼出信息根据网络和线路情况自动做出容错反应端口实时监控功能记录每次呼叫的详细信息和计费功能视频会议系统图像质量系统支持

44、的主要标准、协议会议功能音频性能会议控制功能管理功能资源管理功能网络系统工程的验收网络安全和管理平台的验收 数字证书系统的验收CA系统功能验证：能够同时实现外网和Internet用户的认证CA中心对于主要应用系统的身份认证需求及兼容性完善的中文支持支持在线和离线两种证书的申请和审批。Web方式和LDAP方式的证书查询，并支持数据库和目录服务器这两种方式的发布证书存储方式。支持多种用户申请方式CA发证能力CA审计功能。网络系统工程的验收性能验证 整体性能可扩展性可适应性可靠性具体性能指标 完成一次证书签发时间。完成一次证书管理服务的时间。完成一次营业执照的签发时间。完成一次加密时间。完成一次解密

45、时间。网络系统工程的验收RA系统整体性能：可扩展性可适应性可靠性具体性能指标：完成一次证书请求时间。完成一次证书下载的时间。完成一次证书更新受理时间。完成一次证书注销受理时间。完成一次加密时间。完成一次解密时间。网络系统工程的验收防火墙系统的验收支持入侵监测的类型支持同时建立的VPN隧道数。SSH远程安全登录功能。对HTTP、FTP、SMTP等服务类型的访问控制功能。静态、动态和双向NAT功能。域名解析和链路自动功能。日志的统计分析功能。非法攻击告警方式。策略备份和恢复功能。检测DoS攻击的能力，带宽和流量管理功能。SCM/ADS客户隧道配置参数自动集中管理功能。负载均衡功能。双机热备功能。W

46、EB自动页面恢复功能。与入侵监测系统的联动能力。网络系统工程的验收入侵监测系统的验收对外部攻击的检测能力知识库完备程度对国际标准漏洞库的支持规则自定义功能事件快速检索功能控制台报警功能风险分级功能事件分析和事后处理功能实时监控功能安全事件报表统计功能高风险事件IP地址分组分析功能手动备份、删除、合并数据功能对漏洞扫描系统的反应能力网络系统工程的验收漏洞扫描系统扫描结果分析测试策略库维护测试用户管理测试日志管理测试在线升级测试网络防病毒系统实时扫描功能。立即扫描功能。部署病毒库更新功能。日志管理功能。病毒扫描信息统计功能。损坏清除功能。集中管理功能。网络系统工程的验收网络管理系统综合布线系统阶段

47、验收项目验收内容验收方式一、施工前检查1环境要求（1）土建施工情况：地面、墙面、门、电源插座及接地装置（2）土建工艺：机房面积、预留孔油（3）施工电源（4）地板铺设施工前检查2设备材料检验（1）外观检查（2）型式、规格、数量（3）电缆电气性能测试（4）光纤特性测试施工前检查3安全、防火要求（1）消防器材（2）危险物的堆放（3）预留孔洞防火措施施工前检查网络系统工程的验收二、设备安装1交接间、设备间、设备机柜、机架（1）规格、外观（2）安装垂直、水平度（3）油漆不得脱落，标志完整齐全（4）各种螺丝必须紧固（5）抗震加固措施（6）接地措施随工检验2配线部件及8位模块式通用插座（1）规格、位置、质量

48、（2）各种螺丝必须拧紧（3）标志齐全（4）安装符合工艺要求（5）屏蔽层可靠连接随工检验三、电、光缆布放（楼内）1电缆桥架及线槽布放（1）安装位置正确（2）安装符合工艺要求（3）符合布放缆线工艺要求（4）接地随工检验2缆线暗敷（包括暗管、线槽、地板等方式）（1）缆线规格、路由、位置（2）符合布放线缆工艺要求（3）接地随工检验网络系统工程的验收四、电、光缆布放（楼间）1架空缆线（1）吊线规格、架设位置、装设格（2）吊线垂度（3）缆线规格（4）卡、挂间隔（5）缆线的引入符合工艺要求随工检验2管道缆线（1）使用管孔孔位（2）缆线规格（3）缆线走向（4）缆线的防护设施的设置质量隐蔽工程签证3埋式缆线（1

49、）缆线规格（2）敷设位置、深度（3）缆线的防护设施的设置质量（4）回土夯实质量隐蔽工程签证4隧道缆线（1）缆线规格（2）安装位置、路由（3）土建设计符合工艺要求隐蔽工程签证5其他（1）通信线路与其他设施的间距（2）进线室安装、施工质量随工检验或隐蔽工程签证五、缆线终接18位模块式通用插座符合工艺要求随工检验2配线部件符合工艺要求3光纤插座符合工艺要求4各类跳线符合工艺要求网络系统工程的验收六、系统测试1工程电气性能测试（1）连接图（2）长度（3）衰减（4）近端串音（两端都应测试）（5）设计中特殊规定的测试内容竣工检验2光纤特性测试（1）衰减（2）长度竣工检验七、工程总验收1竣工技术文件清点、交

50、接技术文件竣工检验本章小结网络系统工程的准备网络系统设计与规划网络系统建设工程的招标与投标网络系统建设工程施工管理网络系统工程的验收练习与思考简述网络系统建设的准备工作。网络系统设计与规划有哪些原则。在进行网络基础平台设计时需要考虑哪些系统的规划与设计？简述网络系统建设工程的招投标过程。在网络系统建设工程开工前都有哪些必须完成的工作。设备采购管理的任务和重点是什么？简述网络系统建设工程验收的流程。网络系统建设工程验收需要准备哪些资料。如何进行综合布线工程的验收。计算机网络管理理论与实践教程Thank You !计算机网络管理理论与实践教程第四章 IP地址管理全国信息技术水平考试IP地址管理地址

51、的规划与管理地址的规划与管理确定所需IP地址的数量确定子网的数量在网络的规划和设计中，通常会根据具体的应用需求，将整个网络划分为不同的子网。要计算网络需要使用的IP地址的数量，可以先查看、分析网络的拓扑图，确定整个网络中子网的数量。路由器工作在OSI模型中的网络层，是用于网络间互连的设备，三层交换机也具备路由的功能。路由器和三层交换机的作用都是将分组从一个网络转发到另一个网络。路由器通常配置多个网络接口，每个接口连接不同的网络或子网 地址的规划与管理每个子网需要多少IP地址确定子网数量后，接下来就需要对网络应用的环境进行调查，统计出每个子网中有多少个设备需要使用IP地址。通常每个使用IP协议进

52、行通信的网络接口都必须分配一个IP地址，这些设备包括：路由器工作站服务器网络打印机三层交换机使用SNMP管理的网络设备地址的规划与管理选择适合的掩码与掩码中的0位相对应的IP地址部分为主机标识，与掩码中的1位相对应的IP地址部分为网络或子网标识。在掩码中0位的个数决定了IP地址中主机位的个数，即每个子网中可能的IP地址数量。根据所需IP地址的数量来确定IP地址中主机所占用的位数，从而得到子网掩码。 申请获得IP地址IP地址资源由Internet登记中心负责管理，目前有三个地区级登记中心：ARIN，Internet地址美洲登记中心 ( )RIPENCC，Internet地址欧洲登记中心（ ）AP

53、NIC，Internet地址亚太登记中心（ ） 地址的规划与管理分配IP地址分配子网地址分配设备地址整理相关资料，包括：网络拓扑图子网划分图IP地址申请、审批文件设备数量统计表子网地址分配表设备地址分配表其它有关资料联系与思考有一段B类地址，需要至少划分为60个子网，如何规划和使用IP地址？IP地址资源的管理机构有哪些，如何申请并获取IP地址？计算机网络管理理论与实践教程Thank You !计算机网络管理理论与实践教程第五章 网络配置管理全国信息技术水平考试网络配置管理网络配置管理的信息网络配置管理的功能网络配置管理流程网络配置管理常用工具网络配置管理的信息信息的分类 网络配置信息主要包括以

54、下几种类型：网络设备的配置与状态信息、网络服务的配置与状态信息、网络设备的拓扑结构信息。 网络设备的配置与状态信息 设备信息硬件信息地址信息路由信息协议信息用户信息统计信息网络服务的配置与状态信息 网络配置管理的信息DNS服务信息WWW服务信息FTP服务信息Email服务信息网络的拓扑关系基于路由器路由表的拓扑发现 在路由器中保存着路由服务所需的路由表，路由表包括目的地址、子网掩码、下一跳的地址等信息。基于路由器路由表的拓扑发现方法就是根据这些信息，得到网络中所有路由器集合以及路由器的连接关系，实现算法如下：网络配置管理的信息建立空的路由器队列，在队列中加入路由器；从路由器队列中取任意一个路由

55、器；读取当前路由器的路由表；把路由表中不重复的下一跳地址的路由器加入路由器队列；把当前路由器与下一跳地址的路由器的连接关系加入拓扑关系列表中；从第2步开始不断地重复后续的步骤，直到发现网络中所有的路由器为止 基于ARP协议的拓扑发现基于ARP协议的拓扑发现方法根据在ARP地址解析表中包括的信息，可以发现与各以太网端口相连的以太网内的其它所有网络设备。通过不断地搜索，就可以得出整个以太网的拓扑结构关系。网络配置管理的信息信息的组织和存储配置文件 系统的配置文件是保存配置信息的一种常用的信息组织与存储方式，许多被管理对象都将配置信息存储在自己的配置文件中，当被管理对象运行或启动时，从配置文件中读取

56、相应的配置信息来完成系统的设置数据库包括有面向对象的数据库和关系数据库 管理信息库MIB 网管技术RMON 网络配置管理的功能收集网络配置信息。网络的拓扑管理。定义与修改网络配置信息。安装软件。存取配置信息。生成配置报告。网络配置管理的流程图 51网络配置管理流程 网络配置管理常用工具系统配置工具基于SNMP的管理工具HP OpenView SUN NetManager IBM NetView 基于WEB的管理工具基于WEB的管理模型包括代理和嵌入两种方案基于WEB的网络管理标准WBEM JMX 网络配置管理常用工具Cisco SDM UNIX操作系统管理工具Webmin本章小结网络配置管理中

57、需要管理的信息信息的组织与存储网络配置管理的功能和流程网络配置管理中常用的工具的归纳联系与思考简述网络配置管理的信息分类。网络管理系统所管理的路由器的信息有哪几类？拓扑发现的方法主要有哪些？简述网络配置管理中配置信息的组织与存储方式。什么是管理信息库和管理信息树？网络配置管理都有那些功能？简述网络配置管理的流程。网络配置管理都有哪些常用工具？基于WEB的网络管理标准有哪些？ 计算机网络管理理论与实践教程Thank You !计算机网络管理理论与实践教程第六章 网络配置管理案例全国信息技术水平考试网络配置管理案例CISCO路由器、交换机的配置LINUX服务器的配置DNS服务器的配置WEB服务器的

58、配置CISCO路由器、交换机配置方式对Cisco路由器和交换机进行配置，通常有以下四种方式：CON，通过与Console口相连的终端或者运行终端仿真软件的微机进行设置。Telnet，通过运行Telnet软件连接交换机进行配置。TFTP，通过TFTP服务器下载配置信息。SNMP，通过网管软件来配置交换机。Web，通过Web方式配置交换机。 存储器体系结构介绍CISCO路由器、交换机ROMFlashNVRAMDRAM路由器运行时首先要运行ROM中的程序，该程序主要进行加电自检，对路由器的硬件进行检测。ROM为一种只读存储器，系统掉电，程序也不会丢失。Flash是可擦写的ROM，它存贮Cisco的操

59、作系统，可以通过在Flash中写入新版本的操作系统对路由器进行软件升级，Flash中的程序在系统掉电后不会丢失。NVRAM主要目的是保存路由器的配置文件，在系统掉电时数据不丢失。DRAM是动态内存，主要包含路由表、ARP缓存、数据包缓存等，以及正在执行的路由器配置文件。当路由器关机时，里面的内容会全部丢失。CISCO路由器、交换机操作系统与配置命令ISO命令状态用户命令状态特权命令状态全局设置状态vLan设置状态局部设置状态rommon状态交互设置状态IOS常用命令CISCO路由器、交换机帮助命令，在任何状态下，键入“?”，将显示在此状态下所有可用的命令和说明。显示命令，用于查看系统的信息。网

60、络命令，用于检查、测试配置情况。用户、密码设置命令。端口设置命令VLAN配置实例VLAN的划分方法基于端口划分VLAN基于MAC地址划分VLAN基于网络层协议划分VLAN根据IP组播划分VLAN按策略划分VLAN按用户定义、非用户授权划分VLAN CISCO路由器、交换机VLAN配置实例（略）路由器RIP路由协议的配置路由选择信息协议RIP简介路由选择信息协议RIP （Routing Information Protocol）是一个距离向量路由选择协议，基于经典的距离向量路由算法，算法简单、易于实现，在中小型网络上应用广泛。RIP协议的优点是简单，容易配置、维护和使用。因此，它对于比较小的、冗