工学计算机网络管理理论与实践教程完整版

工学计算机网络管理理论与实践教程完整版第1页/共567页目录绪论简单网络管理协议SNMP网络系统规划与工程管理IP地址管理网络配置管理网络故障管理网络性能管理网络安全管理理论与技术网络计费管理网络管理平台与工具网络管理机构组织与运行IT服务管理第2页/共567页绪论网络管理概述网络管理功能和目标网络管理模型与协议网络管理体系结构网络管理典型实现模式分析网络管理软件系统第3页/共567页网络管理概述网络管理的概念网络管理就是对网络中各种资源，如网络设备、通信线路、网络用户、网络服务、网络信息等进行监测、配置、修改、调控，使得网络能够满足应用的需求。按照国际标准化组织（ISO）的定义，网络管理主要包括五个方面工作，即故障管理、配置管理、计费管理、性能管理、安全管理。性能管理计费管理故障管理安全管理配置管理第4页/共567页第三阶段智能化管理阶段第二阶段计算机辅助管理阶段网络管理概述网络管理的历程网络管理大致经历的三个阶段：第一阶段人工管理阶段第5页/共567页网络管理的功能和目标配置管理配置管理负责监测和修改网络的配置信息和运行状态。在网络的建立、扩充、改造以及运行过程中，对网络资源的配置、运行状态、网络的拓扑结构等配置信息进行定义、监测和修改。故障管理故障管理的目的在于确保网络系统可靠、稳定的运行。在网络发生故障时，及时地进行故障定位，排除故障恢复网络的正常运行。故障管理包括对被管理对象状态的监控、故障事件的追踪、定位与记录以及故障的排除等。第6页/共567页网络管理的功能和目标性能管理性能管理的目的是确保网络不会出现过度拥挤的情况，保障网络的可用性，为用户提供良好的网络服务质量(QoS)。安全管理网络安全是指包括网络设备、网络通信协议和网络管理系统在内的所有支持网络系统运行的硬件/软件总体的安全。安全管理的目标是保证网络的保密性、可用性、完整性、可控制性，不因网络设备、网络通信协议、网络管理系统受到人为和自然因素的危害，而导致网络传输信息丢失、泄露或破坏。第7页/共567页网络管理的功能和目标计费管理计费管理的主要任务是根据管理部门制定的计费策略，对网络资源的使用情况收取相应的费用，分担网络运行成本。第8页/共567页网络管理的功能和目标服务管理服务是由服务提供商支持的、让客户感觉协调一致，能够满足客户的一种或多种需求的可用系统或功能。服务管理融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。目前网络管理的内容将会逐步地纳入到IT服务管理范畴下，作为IT服务的一个组成部分，网络管理也将遵循水平协议（SLP）框架。第9页/共567页网络管理模型与协议网络管理模型网络管理可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。第10页/共567页网络管理模型与协议网络管理协议网络管理协议是网络管理系统忠最重要的部分，它定义了网络管理者与被管代理间的通信方法，规定了管理信息库的存储结构、信息库中关键字的含义以及各种事件的处理方法。SNMP（SimpleNetworkManagementProtocol）：简单网络管理协议CMIP（CommonManagementInformationProtocol）：通用管理信息协议…第11页/共567页网络管理体系结构网络管理体系结构概念网络管理体系结构是指网络管理系统、网络管理代理的组织形式。常见的网络管理体系结构是：集中式体系结构分层式体系结构分布式体系结构第12页/共567页网络管理体系结构集中式网络管理体系结构集中式网络管理体系结构是将网络管理系统建立在一个计算机系统上，由该计算机系统负责所有的网络管理任务。第13页/共567页网络管理体系结构分层网络管理体系结构分层体系结构使用多个计算机系统，其中一个作为网络管理的中央服务器系统，其它作为客户端系统。网络管理系统的某些功能驻留在服务器系统上，其它功能由客户端系统完成。第14页/共567页网络管理体系结构分布式网络管理体系结构分布式体系结构采用多个对等平台，其中一个平台作为一组对等平台的管理者，每个对等平台都有整个网络设备的完整数据库。第15页/共567页网络管理典型实现模式分析基于SNMP网络管理SNMP网络管理体系结构是为了管理TCP/IP协议的网络而提出的一种网络管理协议。SNMP的网络管理模型包括管理者、管理代理、管理信息库和管理协议等重要组成部分。管理者一般是安装了网络管理系统的独立设备，作为网络管理员与网络管理系统的接口。管理代理安装在被管理对象（如主机、路由器和交换机）中,对来自管理者的信息请求和动作请求进行应答，并为管理者报告一些重要的意外事件。管理信息库是管理对象信息的集合，管理者通过管理代理读取管理信息库中对象的值来进行监控。管理站和代理者之间通过SNMP网络管理协议通信。第16页/共567页网络管理典型实现模式分析基于CMIP网络管理OSI／CMIP网络管理体系结构是一个面向对象的设计，其体系结构由4个主要部分组成：信息模型、组织模型、通信模型和功能模型。信息模型：管理信息结构、命名等级体系和管理对象定义；组织模型：采用管理系统和代理系统模式，定义了一些管理角色，如管理者、代理等；通信模型：是基于系统的通信体系结构，包括应用管理、层管理和层操作3种交换管理信息的机制；功能模型：将整个管理系统划分为五个功能域：配置、故障、性能、安全和计费管理。第17页/共567页网络管理典型实现模式分析基于WEB的网络管理WBM有两种代理基本的实现方案：代理方案和嵌入式方案。基于代理的实现方案是将Web服务部署到网管设备或服务器上，该设备使用网络管理协议收集网络管理信息，用户使用浏览器，通过HTTP协议与Web服务器进行通信，完成网络管理工作。嵌入式的实现方案是将Web服务嵌入到网络设备中，网络管理员可通过浏览器直接访问该设备并且进行管理。第18页/共567页网络管理典型实现模式分析TMN网络管理电信管理网（TMN）由国际电信联盟(ITU)提出，目的是为了向用户提供高质量、高可靠性的电信服务，有效地降低网络运营成本。TMN提供有组织的网络结构，以取得各种类型的操作系统之间，操作系统与电信设备之间的互连。TMN的管理功能：性能管理、配置管理、帐务管理、故障管理、安全管理。TMN的功能模块：操作系统功能模块、工作站功能模块、网元功能模块、Q适配器功能模块和协调功能模块。第19页/共567页网络管理软件网络管理软件组成网络管理软件应具有网络管理信息采集功能、配置管理功能、故障管理功能、计费管理功能、安全管理功能、服务管理功能以及网络管理操作可视化操作功能。第20页/共567页网络管理软件网络管理系统类型网络管理软件根据被管理对象的不同可分为两大类：通用网络管理软件和网元(网络设备)管理软件。网元管理软件只管理单独的网元,一般由设备的原生产厂商提供，各厂商采用专有的管理MIB库。通用网络管理软件则主要用于掌握全网的状况，支持对所有SNMP设备的发现和监控，可集成设备生产厂商的私有MIB库，实现对全网(多厂商)设备进行识别和统一的管理。第21页/共567页本章小结网络管理概述网络管理功能和目标网络管理模型与协议网络管理体系结构网络管理典型实现模式分析网络管理软件系统第22页/共567页练习与思考网络管理目标和功能是什么？典型网络管理体系结构有哪些？各自特点是什么？适应什么情况？调查市场上主流网络管理软件，比较其功能特性。第23页/共567页计算机网络管理理论与实践教程ThankYou!第24页/共567页计算机网络管理理论与实践教程第二章简单网络管理协议SNMP全国信息技术水平考试第25页/共567页目录绪论简单网络管理协议SNMP网络系统规划与工程管理IP地址管理网络配置管理网络故障管理网络性能管理网络安全管理理论与技术网络计费管理网络管理平台与工具网络管理机构组织与运行IT服务管理第26页/共567页简单网络管理协议SNMPSNMP概述SNMP管理模型SNMP管理信息结构SNMP管理信息库远程监视RMONSNMPV1分析SNMP安全分析第27页/共567页SNMP概述SNMP的发展历程随着TCP/IP协议广泛应用，网络数目与网络内主机的数量不断增多，网络管理问题日益凸显。国际标准化组织（ISO）针对其自己提出的开放系统互连参考模型（OSI）的七层协议框架设计了公共管理信息服务（CMIS）和公共管理信息协议（CMIP）。因特网工程任务组（IETF）为了管理快速增长的Internet，决定修改并采用OSI的CMIP作为Internet的网络管理协议，修改后的协议被称为：建立在TCP/IP之上的公共管理信息服务与协议(CMOT)。第28页/共567页SNMP概述SNMP的发展历程CMIS/CMIP的实现由于复杂性和实现代价太高而遇到了许多困难，CMOT迟迟不能正式出台。1990年IETF决定把在NYSERNET和SURANET上开发的简单网关监控协议（SGMP）进行修改后，作为暂时的网络管理解决方案。这个临时解决方案后来发展成为简单网络管理协议（SNMP）的第一个版本SNMPv1。第29页/共567页SNMP概述SNMP的发展历程为了弥补在安全方面的足，IETF开始进行SNMP新版本的开发工作。1992年7月，SNMP的设计者提出了称为SNMPsec的安全SNMP版本。第30页/共567页SNMP概述SNMP的发展历程1993年，IETF发布了SNMP的第二版SNMPv2。SNMPv2吸取了SNMPsec以及RMON在安全性能和功能上的经验，同时针对SNMPv1在管理大型网络上的不足，对SNMP进行了一系列的扩充。第31页/共567页SNMP概述SNMP的发展历程经过几年的试用发现SNMPv2的安全机制存在严重缺陷。许多设备提供商在SNMPv2的基础上加入自定义的安全特性，逐渐形成了SNMPv2u及SNMPv23两个版本。第32页/共567页SNMP概述SNMP的发展历程为统一标准，IETF不得不在1996年对SNMPv2进行修订，发布了SNMPv2c。第33页/共567页SNMP概述SNMP的发展历程1999年IETF正式发布了SNMPv3。SNMPv3是在SNMPv2基础之上增加了安全和管理机制的协议，得到了设备生产厂商的支持。。第34页/共567页SNMP概述SNMP的特点简单可扩展应用广泛SNMP存在的问题…第35页/共567页SNMP管理模型SNMP管理模型的四个基本组成部分管理者管理代理管理协议管理信息库第36页/共567页SNMP管理模型SNMP管理组织结构两层组织模式第37页/共567页SNMP管理模型SNMP管理组织结构三层组织模式第38页/共567页SNMP管理模型SNMP管理组织结构代理服务器组织模式第39页/共567页SNMP管理信息结构对象类型的命名每个MIB对象都使用对象标识符来唯一标识第40页/共567页SNMP管理信息结构对象类型的语法每个MIB变量格式是SMI规定的，用ASN.1描述如下：(objectname)OBJECT-TYPEDESCRIPTION:(description)SYNTAX:(syntax)ACCESS:(access)STATUS:(status)::={(Parent)number}第41页/共567页SNMP管理信息库MIB-II的组对象对象标识符说明system.2.1.1提供设备或系统的信息。interfaces.2.1.2包含网络接口的信息。at.2.1.3用于InternetIP地址到数据链路地址的地址转换表。ip.2.1.4包含关于该设备的网际协议（IP）的统计信息。icmp.2.1.5包含Internet控制消息协议（ICMP）的统计信息。tcp.2.1.6包含传输控制协议（TCP）的统计信息。udp.2.1.7包含用户数据报协议（UDP）的统计信息。egp.2.1.8包含外部网关协议（EGP）的统计信息。cmot.2.1.9CMOT协议的信息。transmission.2.1.10提供系统接口之下的特定媒体的信息。snmp.2.1.11包含简单网络管理协议（SNMP）的统计信息。第42页/共567页远程监视RMONRMON简介RMON是用于远程监控的标准规范，它是由SNMPMIB扩展而来。RMON由探测器和管理者两部分构成。第43页/共567页SNMPv1分析SNMPv1报文格式SNMP报文被封装在用户数据报协议（UDP）报文的数据项中，并通过UDP协议进行传输。第44页/共567页SNMPv1分析SNMPv1报文格式SNMP报文由首部和协议数据单元2部分组成。第45页/共567页SNMPv1分析SNMPv1报文格式SNMPv1报文传输，经过传输层、互联层、网络存取层以及物理层的网络。第46页/共567页SNMPv1分析SNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分。Get/Set类型报文与Trap类型报文的协议数据单元首部格式不同。第47页/共567页SNMPv1分析SNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分。Get/Set类型报文与Trap类型报文的协议数据单元首部格式不同。第48页/共567页SNMP安全分析SNMP安全威胁伪造消息流修改消息窃听拒绝服务攻击流量分析第49页/共567页SNMP安全分析SNMP安全需求提供消息的完整性验证机制提供消息的源验证机制提供消息的时间戳标识提供防止消息内容泄漏和非法读写的保护机制管理者和管理代理之间相互认证第50页/共567页本章小结SNMP概述SNMP管理模型SNMP管理信息结构SNMP管理信息库远程监视RMONSNMPV1分析SNMP安全分析第51页/共567页练习与思考SNMP支持哪些组织模式？SNMP的主要安全威胁是什么？RMON的主要用途是什么？阅读SNMP相关的RFC文档。第52页/共567页计算机网络管理理论与实践教程ThankYou!第53页/共567页计算机网络管理理论与实践教程第三章网络系统规划与工程管理网络系统规划与工程管理全国信息技术水平考试第54页/共567页网络系统规划与工程管理TEXTTEXTTEXTTEXT网络系统建设的准备工作网络系统设计与规划网络系统建设工程施工管理网络系统工程的验收第55页/共567页网络系统建设的准备工作项目立项网络系统建设项目的《立项报告》主要由两个部分组成。第一部分介绍项目的基本情况，包括：工程名称、项目的建设单位、项目组织机构、项目负责人和组织分工、参加单位与协作单位等内容。第二部分对项目的建设进行详细的分析，包括项目背景，项目建设的目的和意义、需求分析、总体方案、分阶段建设方案、投资估算、效益分析等内容可行性分析可行性分析是在项目建设的前期对工程项目的一种考察和鉴定，是把所有与系统的投资效果有关的因素综合起来加以分析。对拟议中的项目进行全面与综合的技术、经济能力的调查与研究，判断它是否可行。可行性分析主要关注经济可行性、技术可行性、系统生存环境可行性、各种可选方案等四个方面的内容立项工程的委托.第56页/共567页网络系统设计与规划网络基础平台网络基础平台的建设主要包括：网络整体规划、网络设备选型、服务器和操作系统选型、存储备份系统选型。第57页/共567页

标准化原则

先进性和实用性原则

可靠性和可扩展性原则经济性和效益性原则安全性与可管理性原则网络系统设计与规划原则第58页/共567页网络系统设计与规划网络整体规划计算机网络的分类按照网络覆盖范围的大小分为局域网、城域网和广域网

网络的拓扑结构总线型拓扑结构图3‑1总线型拓扑结构第59页/共567页网络系统设计与规划环形拓扑结构图3‑2环形拓扑结构第60页/共567页网络系统设计与规划星型拓扑结构图3‑3星型拓扑结构第61页/共567页网络系统设计与规划网络传输技术常用的网络传输技术：同步数字体系（SDH）准同步数字体系（PDH）数字微波传输系统数字卫星通信（VSAT）有线电视网（CATV）

常用的网络交换技术：异步传输模式（ATM）光纤分布式数据接口（FDDI）以太网（Ethernet）第62页/共567页网络系统设计与规划快速以太网（FastEthernet）千兆位以太网常用的网络接入技术主要有：调制解调器（Modem）电缆调制解调器（CablaModem）高速数字用户环路（HDSL）

非对称数字用户环路（ADSL）超高速数字用环路（VDSL）综合业务数字网（ISDN）TDMA和CDMA无线接入第63页/共567页网络系统设计与规划IP地址规划IP地址分类A类地址B类地址C类地址D类地址图3‑4IP地址分类第64页/共567页网络系统设计与规划特殊IP地址网络地址直接广播地址回送地址子网编址子网编址将IP地址的主机号部分再划分为子网部分和主机部分。一个被子网化的IP地址实际包含网络号、子网号、主机号三部分。为了区分这三部分，需要使用子网掩码进行判断。IP协议规定，在子网掩码中，与IP地址的网络号和子网号相对应的位用“1”表示，与IP地址的主机号相对应的位用“0”表示。将IP地址和它的子网掩码相比较，就可以判断出IP地址中哪些位表示网络，哪些位表示主机。第65页/共567页网络系统设计与规划网络设备在进行网络设备的选型时，需要考虑以下的一些问题：网络路由和交换设备之间的兼容性是否良好。网络设备的功能和技术指标是否会造成网络整体性能的瓶颈。设备是否具有良好的扩展性，以支持未来各种新业务和增值业务的开展路由器路由器是一种连接多个网络或网段的网络设备，具有判断网络地址和选择路径的功能。在局域网接入广域网的众多方式中，通过路由器接入互联网是最为普遍的方式。使用路由器接入互联网络的最大优点是：各互联子网仍可保持各自的独立性，每个子网可以采用不同的拓扑结构、传输介质和网络协议，网络结构层次分明

第66页/共567页网络系统设计与规划选择路由器应该考虑以下因素：所支持的路由协议、安全性、背板能力、吞吐量、转发时延、路由表容量以及可靠性交换机在网络系统的设计中，基于应用层次、处理能力和可靠性要求，还根据交换机在应用中所扮演的角色以及所处的位置，将交换机分为核心层交换机、汇聚层交换机和接入层交换机等三类。

选购核心层的交换机，应考虑：模块的可扩展性、端口的可扩容性、带宽的可扩容性、提供可扩展的多种网络业务、网络可靠性。第67页/共567页网络系统设计与规划选购汇聚层的交换机，应考虑：体系结构、可靠性设计、用户管理、管理系统选购汇聚层的交换机，应考虑：1要能够适应恶劣的工作环境2既能满足建设网络的要求，又要有很高的性价比3支持组播，可以满足多媒体和视频流的要求4支持SNMP、RMON等网管协议，支持远程管理5可以利用基于802.1QVLAN中继线路架构在任何端口创建VLAN中继线路，因而可以保障构筑跨骨干的VPN的功能第68页/共567页网络系统设计与规划服务器服务器的运算性能应用系统的数据处理模型大致可以分成两大类：一种是联机事务处理模型OLTP（on-linetransactionprocessing）、另一种是联机分析处理模型OLAP（On-LineAnalyticalProcessing）。OLTP的特点是1实时性要求高2数据量不大3交易一般是确定的，是对确定性的数据进行存取4并发性要求高并且严格的要求事务的完整、安全性

第69页/共567页网络系统设计与规划OLAP的特点是：1实时性要求不是很高2数据量大3查询一般是动态的

服务器的可靠性服务器的可靠性是需要考察的一个重要指标，通常用平均无故障时间（MTBF）值来衡量系统的可靠性。为了提高系统的可靠性，还需要采取以下的一些方案：1在关键业务应用中数据库和应用服务器应支持群集和高可用性（HA）处理，设备选型时应重点考虑多机间的热切换和负载均衡能力

2服务器的硬盘、网络接口、网络连接及电源均应考虑足够的冗余第70页/共567页网络系统设计与规划操作系统数据存储系统直接连接存储DAS是指将外置存储设备通过连接电缆，直接连接到一台计算机上。采用直接外挂存储方案的服务器结构如同PC机架构，外部数据存储设备直接挂接在内部总线上，数据存储是整个服务器结构的一部分。网络接入存储NAS主要特征是将存储功能从通用文件服务器中分离出来，使其更加专门化。网络接入存储把存储设备和网络接口集成在一起，直接通过网络存取数据，从而获得更高的存取效率，更低的存储成本。第71页/共567页网络系统设计与规划存储区域网络SAN数据备份和恢复系统1）对重要数据的即时备份能力。2）备份数据加密功能。3）设置的灵活性。4）灾难恢复。5）并行处理能力。6）数据可靠性。7）系统的跨平台兼容性。8）使用和操作的简便性。9）支持LUN屏蔽功能。10）数据备份和恢复的效率。第72页/共567页网络系统设计与规划11）备份管理软件应具备以下功能：显示备份网络拓扑结构图、识别并显示磁带库驱动器、监控作业任务的执行情况（备份进度、资源利用率等）、监控进程的状态。12）备份策略的合理性：设置备份对象、数据保存时间、备份时间段等。13）可以选择灵活的备份策略，支持：数据库全备份、数据库增量备份、文件全备份、文件增量备份、系统全量备份、系统增量备份、跟踪备份等多种备份方式。磁带库性能指标：配置驱动器数；最大可扩充数。磁带驱动器类型。第73页/共567页网络系统设计与规划单个磁带容量（非压缩）配置磁带数量，清洗带数量驱动器最大持续传输率（不压缩）磁带库配置磁带匝插槽数支持SAN，磁带驱动器接口类型及速率综合布线系统概述图3‑6综合布线系统示意图第74页/共567页网络系统设计与规划标准建筑与建筑群综合布线系统工程设计规范CECS72：97建筑与建筑群综合布线系统工程施工及验收规范CECS89：97中国电气装置安装工程施工及验收规范GBJ232.82智能建筑设计标准GB/T-50314-2000建筑与建筑群综合布线工程设计规范GB/T-50311-2000第75页/共567页综合布线系统的优点结构清晰，便于管理维护灵活方便便于扩充优点第76页/共567页网络系统设计与规划建筑与建筑群综合布线工程施工及验收规范GB/T-50312-2000商用建筑物布线标准EIA/TIA568A民用建筑线缆标准EIA/TIA586民用建筑信道和空间标准EIA/TIA569民用建筑通信管理标准EIA/TIA606民用建筑通信接地标准EIA/TIA607用户建筑通用布线标准ISO/IEC11801CLASSEDRAFT以太网10Base-T标准IEEE802.3以太网100Base-T标准IEEE802.3u千兆以太网标准IEEE802.3Z第77页/共567页网络系统设计与规划设计要点综合布线系统应是开放式拓扑结构，应能支持电话、数据、图文、图像等多媒体业务的需要。综合布线系统应按工作区子系统、配线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统等六个部分进行设计。建筑与建筑群的工程设计，应根据实际需要，选择适当配置的综合布线系统。综合布线系统的组网和各段缆线的长度限值应符合规定。综合布线系统工程设计，选用的电缆、光缆、各种连接电缆、跳线，以及配线设备等所有硬件设施，均应符合标准的各项规定。系统设计应根据不同对象采用不同的处理方式。综合布线系统与外部通信网连接时，应符合相应的接入网标准。第78页/共567页网络系统设计与规划运行环境机房电源网络服务平台的设计Internet网络服务系统Internet网络服务系统包括：万维网（WWW）电子邮件（Email）新闻服务（News）文件传输（FTP）远程登录（Telnet）信息查询（Archie、Gopher、WAIS）第79页/共567页网络系统设计与规划电子邮件系统电子邮件系统通常包括两个组件：邮件用户代理MUA(MailUserAgent)和邮件传送代理MTA(MailTransportAgent)。电子邮件系统在规划设计时除了系统容量、并行投递邮件数外，应考虑以下的要求：1兼容性要求2安全性要求3管理功能要求DNS服务器支持的负载均衡策略支持集中和分布式域名解析。支持多ISP接入应用。易管理性，是否支持基于Web的管理，支持统计分析。与不同操作系统和网络环境的兼容性。第80页/共567页网络系统设计与规划WWW 服务器支持的单位时间最大并发用户数(与服务器和应用有关)对服务器群集的支持支持页面高速缓存支持XML和WebService工业标准和ASP、.COM、.NET组件支持SSL、TLS安全协议、RSA、DES等加密算法支持通过ADO和ODBC与第三方数据库进行接口对WML和WAP的支持支持JavaScript、VBScript和Perl等脚本语言与ActiveServerPages的兼容能力第81页/共567页网络系统设计与规划FTP服务器多媒体业务网络系统VOIP系统系统体系:1智能网络管理和控制层2呼叫控制层3传输层系统功能(见书P65)视频会议系统（见书P66）应用和服务系统第82页/共567页网络系统设计与规划网络安全与管理平台的设计网络安全服务与模式网络安全服务包括1数据机密性服务2对等实体鉴别服务3访问控制服务4数据完整性服务5禁止否认服务第83页/共567页网络系统设计与规划数字证书系统数字证书系统的设计方案应实现以下功能：1证书业务服务系统提供基于数字证书的信任服务，进行证书管理。2密钥管理系统提供基于统一安全管理的密钥服务，进行对称密钥和非对称密钥以及相关的密钥服务管理。3密码服务系统提供基于统一安全管理的密码服务。4授权服务系统以信任服务为基础，为应用系统提供资源访问控制和授权管理服务，支持权限管理。第84页/共567页DiagramP2DR模型4个主要部分响应检测保护策略第85页/共567页网络系统设计与规划1可信时间戳服务系统基于国家权威时间源和公钥技术，为应用系统提供可信的时间戳服务。2证书查询验证服务系统提供数字证书/证书撤消列表的目录查询服务，进行证书/证书撤消表的目录管理，以及证书状态在线查询服务。3基础安全防护服务系统提供信息安全防护服务。4故障恢复及容灾备份系统提供系统故障恢复及容灾备份服务。5网络信任域系统提供网络可信接入及网络信任域管理服务。防火墙系统防火墙是网络安全的第一道防线，一般用来将内部网络与Internet或外部网络相互隔离、限制网络互访，保护内部网络的安全。第86页/共567页网络系统设计与规划防火墙放在两个网络之间，通常是内部网与外部网或Internet之间，因此所有从内部到外部或从外部到内部的通信都必须经过它，这就意味着防火墙可以检查所有的网络数据包。防火墙类型：包过滤防火墙、服务代理防火墙、网络地址转换NAT选择防火墙考虑的指标：1支持透明和路由两种工作模式。2支持广泛的网络通信协议和应用协议3支持多种入侵监测类型4支持对HTTP、FTP、SMTP等服务类型的访问控制。5支持静态、动态和双向的NAT。第87页/共567页网络系统设计与规划6支持对日志的统计分析功能，同时日志是否可以存储在本地和网络数据库上7对防火墙本身或受保护网段的非法攻击系统提供多种告警方式以及多种级别的告警8提供策略备份和恢复功能9具备检测DoS攻击的能力支持负载均衡10支持双机热备入侵检测入侵检测是通过检查网络中传输的数据包信息，判断是否有违背安全策略或危及系统安全的行为或活动，从而保护系统不受外来的攻击，防止数据的泄漏、篡改和破坏。入侵检测的目的不是阻止入侵的发生，而是在于发现入侵者和入侵行为。从而及时进行网络安全应急响应，避免对系统的恶意访问和破坏。第88页/共567页网络系统设计与规划入侵检测技术主要分为两大类型：异常入侵检测和误用入侵检测

入侵监测系统的要求：1在检测到入侵事件时，自动执行切断服务、记录入侵过程、邮件报警等动作2支持攻击特征信息的集中式发布和攻击取证信息的分布式上载3提供多种方式对监视引擎和检测特征的定期更新服务4内置网络使用状况监控工具和网络监听工具漏洞扫描系统漏洞扫描系统的要求第89页/共567页网络系统设计与规划1定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描，及时发现系统的安全漏洞、报警并提出补救建议2支持与入侵监测系统的联动3检测规则应与相应的国际标准漏洞相对应4支持灵活的事件和规则自定义功能，允许用户修改和添加自定义检测事件和规则，支持事件查询5支持快速检索事件和规则信息的功能，方便用户通过事件名、详细信息、检测规则等关键字对事件进行快速查询6可以按照风险级别进行事件分级7控制台应能提供事件分析和事后处理功能，应具有对报警事件的源地址进行地址解析，分析主机名，分析攻击来源的功能8提供安全事件统计概要报表，并按照风险等级进行归类9通过数据库管理工具统计数据库建立时间以及当前记录数目第90页/共567页网络系统设计与规划网络防病毒系统反病毒策略包括为安装程序，使用系统和共享文件等制订出相应的规程，以及使用反病毒软件的方法，并使网络中的所有用户遵守

网络防病毒系统的要求

第91页/共567页

选择反病毒软件要考虑

快速、方便的升级病毒实时监测能力对新病毒的反应能力病毒查杀能力第92页/共567页网络系统设计与规划支持多种平台的病毒防范。支持对服务器的病毒防治。支持对电子邮件附件的病毒防治。提供对病毒特征信息和检测引擎的定期在线更新服务。实现对网络内计算机的集中管理、分布式杀毒防病毒范围广泛网络管理系统对网络管理的需求体现在：网络管理：对整个网络和指定子系统或设备的工作状态进行集中管理和监控，系统管理：服务器系统、存储和备份系统、网络服务、网络安全系统进行统一的管理和监控。运行维护管理：对网络系统各种资源的运行状况进行全面的信息采集和自动预警。第93页/共567页网络系统建设工程施工管理工程实施阶段管理概述

工程实施阶段的管理内容设备采购的管理管理的任务和重点以及流程（见书）第94页/共567页

开工前的管理内容

审核工程实施人员、承建方资质审核实施进度计划审核实施组织计划审核实施方案第95页/共567页第96页/共567页网络系统建设工程施工管理综合布线工程的施工综合布线工程包括综合布线设备安装、布放线缆、缆线终接三个环节，综合布线的管理工作内容主要包括以下两方面：按照国家关于综合布线的相关施工标准的规定审查承建方人员施工是否规范到场的设备、缆线等设备的数量、型号、规格是否与合同中的设备清单一致，产品的合格证、检验报告是否齐全常见的施工规范包括：建筑与建筑群综合布线系统工程施工及验收规范CECS89：97、商用建筑物布线标准EIA/TIA568A、用户建筑通用布线标准ISO/IEC11801CLASSEDRAFT、建筑与建筑群综合布线工程施工及验收规范GB/T-50312-2000、民用建筑线缆标准EIA/TIA586等

第97页/共567页网络系统建设工程施工管理综合布线设备安装敷设管路敷设线槽安装过线（路）盒、信息插座底盒（接线盒）安装桥架开槽安装机柜、机架、接线箱、抗震底座

放布线缆暗管、暗槽内穿放电缆桥架、线槽、网络地板内明布电缆

第98页/共567页网络系统建设工程施工管理布线光缆、光缆外护套、光纤束暗道、暗槽内穿放光缆桥架、线槽、网络地板内明布光缆布放光缆护套气流法布放光纤束线缆终接接对绞电缆安装8位模块式信息插座安装光纤信息插座安装光纤连接盘光纤连接制作光纤连接器制作跳线第99页/共567页网络系统建设工程施工管理隐蔽工程金属线槽安装管道安装管内穿线网络系统安装调试网络系统的详细逻辑设计网络逻辑设计方案的内容可能包括以下内容：网间传输协议的选择路由协议的选择和设计网络地址的分配第100页/共567页网络系统建设工程施工管理子网的划分及配置虚拟网的划分及配置路由器参数的确定交换机参数的确定网络管理系统参数的确定其他网络设备、网络链路的参数配置网络设备加电调试、模拟网络调试网络设备的安装主机以及软件系统的安装调试第101页/共567页网络系统工程的验收前提条件外购的硬件设备、软件系统都已全部到货，并通过到货验收各种设备经过上电测试，运行正常所有建设项目按照设计方案的要求全部建成，并满足使用要求各种技术文档和验收资料完备，符合合同的要求

第102页/共567页网络系统工程的验收验收流程第103页/共567页网络系统工程的验收验收资料的准备包括基础资料、施工过程文档、技术资料等三类网络基础平台的验收网络设备验收服务器和操作系统数据存储和备份系统网络服务平台的验收Internet网络服务电子邮件服务器第104页/共567页网络系统工程的验收功能测试系统容量测试安全性测试防病毒、防垃圾邮件功能测试系统可管理性系统高可用性WWW服务器在特定的配置环境下支持的单位时间最大并发用户数。对服务器群集的支持。页面高速缓存。协议兼容性。第105页/共567页网络系统工程的验收多媒体业务网络VOIP网络承载业务，附加业务种类音频指标，支持静音压缩和舒适音、自适应抖动缓存平滑语音功能、丢包补偿保障机制，支持多种语音压缩方式能够提供的QoS机制防抖动性能良好的可扩充性与现有的数字、模拟电话网的接口种类路由器功能第106页/共567页网络系统工程的验收SNMP网管功能可编程语音流程监视记录呼出信息根据网络和线路情况自动做出容错反应端口实时监控功能记录每次呼叫的详细信息和计费功能视频会议系统图像质量系统支持的主要标准、协议会议功能音频性能会议控制功能管理功能资源管理功能第107页/共567页网络系统工程的验收网络安全和管理平台的验收数字证书系统的验收CA系统功能验证：能够同时实现外网和Internet用户的认证CA中心对于主要应用系统的身份认证需求及兼容性完善的中文支持支持在线和离线两种证书的申请和审批。Web方式和LDAP方式的证书查询，并支持数据库和目录服务器这两种方式的发布证书存储方式。支持多种用户申请方式CA发证能力CA审计功能。第108页/共567页网络系统工程的验收性能验证整体性能可扩展性可适应性可靠性具体性能指标完成一次证书签发时间。完成一次证书管理服务的时间。完成一次营业执照的签发时间。完成一次加密时间。完成一次解密时间。第109页/共567页网络系统工程的验收RA系统整体性能：可扩展性可适应性可靠性具体性能指标：完成一次证书请求时间。完成一次证书下载的时间。完成一次证书更新受理时间。完成一次证书注销受理时间。完成一次加密时间。完成一次解密时间。第110页/共567页网络系统工程的验收防火墙系统的验收支持入侵监测的类型支持同时建立的VPN隧道数。SSH远程安全登录功能。对HTTP、FTP、SMTP等服务类型的访问控制功能。静态、动态和双向NAT功能。域名解析和链路自动功能。日志的统计分析功能。非法攻击告警方式。策略备份和恢复功能。检测DoS攻击的能力，带宽和流量管理功能。SCM/ADS客户隧道配置参数自动集中管理功能。负载均衡功能。双机热备功能。WEB自动页面恢复功能。与入侵监测系统的联动能力。第111页/共567页网络系统工程的验收入侵监测系统的验收对外部攻击的检测能力知识库完备程度对国际标准漏洞库的支持规则自定义功能事件快速检索功能控制台报警功能风险分级功能事件分析和事后处理功能实时监控功能安全事件报表统计功能高风险事件IP地址分组分析功能手动备份、删除、合并数据功能对漏洞扫描系统的反应能力第112页/共567页网络系统工程的验收漏洞扫描系统扫描结果分析测试策略库维护测试用户管理测试日志管理测试在线升级测试网络防病毒系统实时扫描功能。立即扫描功能。部署病毒库更新功能。日志管理功能。病毒扫描信息统计功能。损坏清除功能。集中管理功能。第113页/共567页网络系统工程的验收网络管理系统综合布线系统阶段验收项目验收内容验收方式一、施工前检查1．环境要求（1）土建施工情况：地面、墙面、门、电源插座及接地装置（2）土建工艺：机房面积、预留孔油（3）施工电源（4）地板铺设施工前检查2．设备材料检验（1）外观检查（2）型式、规格、数量（3）电缆电气性能测试（4）光纤特性测试施工前检查3．安全、防火要求（1）消防器材（2）危险物的堆放（3）预留孔洞防火措施施工前检查第114页/共567页网络系统工程的验收二、设备安装1．交接间、设备间、设备机柜、机架（1）规格、外观（2）安装垂直、水平度（3）油漆不得脱落，标志完整齐全（4）各种螺丝必须紧固（5）抗震加固措施（6）接地措施随工检验2．配线部件及8位模块式通用插座（1）规格、位置、质量（2）各种螺丝必须拧紧（3）标志齐全（4）安装符合工艺要求（5）屏蔽层可靠连接随工检验三、电、光缆布放（楼内）1．电缆桥架及线槽布放（1）安装位置正确（2）安装符合工艺要求（3）符合布放缆线工艺要求（4）接地随工检验2．缆线暗敷（包括暗管、线槽、地板等方式）（1）缆线规格、路由、位置（2）符合布放线缆工艺要求（3）接地随工检验第115页/共567页网络系统工程的验收四、电、光缆布放（楼间）1．架空缆线（1）吊线规格、架设位置、装设格（2）吊线垂度（3）缆线规格（4）卡、挂间隔（5）缆线的引入符合工艺要求随工检验2．管道缆线（1）使用管孔孔位（2）缆线规格（3）缆线走向（4）缆线的防护设施的设置质量隐蔽工程签证3．埋式缆线（1）缆线规格（2）敷设位置、深度（3）缆线的防护设施的设置质量（4）回土夯实质量隐蔽工程签证4．隧道缆线（1）缆线规格（2）安装位置、路由（3）土建设计符合工艺要求隐蔽工程签证5．其他（1）通信线路与其他设施的间距（2）进线室安装、施工质量随工检验或隐蔽工程签证五、缆线终接1．8位模块式通用插座符合工艺要求随工检验2．配线部件符合工艺要求3．光纤插座符合工艺要求4．各类跳线符合工艺要求第116页/共567页网络系统工程的验收六、系统测试1．工程电气性能测试（1）连接图（2）长度（3）衰减（4）近端串音（两端都应测试）（5）设计中特殊规定的测试内容竣工检验2．光纤特性测试（1）衰减（2）长度竣工检验七、工程总验收1．竣工技术文件清点、交接技术文件竣工检验第117页/共567页本章小结网络系统工程的准备网络系统设计与规划网络系统建设工程的招标与投标网络系统建设工程施工管理网络系统工程的验收第118页/共567页练习与思考简述网络系统建设的准备工作。网络系统设计与规划有哪些原则。在进行网络基础平台设计时需要考虑哪些系统的规划与设计？简述网络系统建设工程的招投标过程。在网络系统建设工程开工前都有哪些必须完成的工作。设备采购管理的任务和重点是什么？简述网络系统建设工程验收的流程。网络系统建设工程验收需要准备哪些资料。如何进行综合布线工程的验收。第119页/共567页计算机网络管理理论与实践教程ThankYou!第120页/共567页计算机网络管理理论与实践教程第四章IP地址管理全国信息技术水平考试第121页/共567页IP地址管理地址的规划与管理第122页/共567页地址的规划与管理确定所需IP地址的数量确定子网的数量在网络的规划和设计中，通常会根据具体的应用需求，将整个网络划分为不同的子网。要计算网络需要使用的IP地址的数量，可以先查看、分析网络的拓扑图，确定整个网络中子网的数量。路由器工作在OSI模型中的网络层，是用于网络间互连的设备，三层交换机也具备路由的功能。路由器和三层交换机的作用都是将分组从一个网络转发到另一个网络。路由器通常配置多个网络接口，每个接口连接不同的网络或子网第123页/共567页地址的规划与管理每个子网需要多少IP地址确定子网数量后，接下来就需要对网络应用的环境进行调查，统计出每个子网中有多少个设备需要使用IP地址。通常每个使用IP协议进行通信的网络接口都必须分配一个IP地址，这些设备包括：路由器工作站服务器网络打印机三层交换机使用SNMP管理的网络设备第124页/共567页地址的规划与管理选择适合的掩码与掩码中的0位相对应的IP地址部分为主机标识，与掩码中的1位相对应的IP地址部分为网络或子网标识。在掩码中0位的个数决定了IP地址中主机位的个数，即每个子网中可能的IP地址数量。根据所需IP地址的数量来确定IP地址中主机所占用的位数，从而得到子网掩码。

申请获得IP地址IP地址资源由Internet登记中心负责管理，目前有三个地区级登记中心：ARIN，Internet地址美洲登记中心()RIPENCC，Internet地址欧洲登记中心（

）APNIC，Internet地址亚太登记中心（

）

第125页/共567页地址的规划与管理分配IP地址分配子网地址分配设备地址整理相关资料，包括：网络拓扑图子网划分图IP地址申请、审批文件设备数量统计表子网地址分配表设备地址分配表其它有关资料第126页/共567页联系与思考有一段B类地址，需要至少划分为60个子网，如何规划和使用IP地址？IP地址资源的管理机构有哪些，如何申请并获取IP地址？第127页/共567页计算机网络管理理论与实践教程ThankYou!第128页/共567页计算机网络管理理论与实践教程第五章网络配置管理全国信息技术水平考试第129页/共567页网络配置管理网络配置管理的信息网络配置管理的功能网络配置管理流程网络配置管理常用工具第130页/共567页网络配置管理的信息信息的分类

网络配置信息主要包括以下几种类型：网络设备的配置与状态信息、网络服务的配置与状态信息、网络设备的拓扑结构信息。

网络设备的配置与状态信息设备信息硬件信息地址信息路由信息协议信息用户信息统计信息网络服务的配置与状态信息第131页/共567页网络配置管理的信息DNS服务信息WWW服务信息FTP服务信息Email服务信息网络的拓扑关系基于路由器路由表的拓扑发现

在路由器中保存着路由服务所需的路由表，路由表包括目的地址、子网掩码、下一跳的地址等信息。基于路由器路由表的拓扑发现方法就是根据这些信息，得到网络中所有路由器集合以及路由器的连接关系，实现算法如下：第132页/共567页网络配置管理的信息建立空的路由器队列，在队列中加入路由器；从路由器队列中取任意一个路由器；读取当前路由器的路由表；把路由表中不重复的下一跳地址的路由器加入路由器队列；把当前路由器与下一跳地址的路由器的连接关系加入拓扑关系列表中；从第2步开始不断地重复后续的步骤，直到发现网络中所有的路由器为止基于ARP协议的拓扑发现基于ARP协议的拓扑发现方法根据在ARP地址解析表中包括的信息，可以发现与各以太网端口相连的以太网内的其它所有网络设备。通过不断地搜索，就可以得出整个以太网的拓扑结构关系。第133页/共567页网络配置管理的信息信息的组织和存储配置文件系统的配置文件是保存配置信息的一种常用的信息组织与存储方式，许多被管理对象都将配置信息存储在自己的配置文件中，当被管理对象运行或启动时，从配置文件中读取相应的配置信息来完成系统的设置数据库包括有面向对象的数据库和关系数据库

管理信息库MIB网管技术RMON

第134页/共567页网络配置管理的功能收集网络配置信息。网络的拓扑管理。定义与修改网络配置信息。安装软件。存取配置信息。生成配置报告。第135页/共567页网络配置管理的流程图5‑1网络配置管理流程第136页/共567页网络配置管理常用工具系统配置工具基于SNMP的管理工具HPOpenViewSUNNetManagerIBMNetView基于WEB的管理工具基于WEB的管理模型包括代理和嵌入两种方案基于WEB的网络管理标准WBEMJMX第137页/共567页网络配置管理常用工具CiscoSDMUNIX操作系统管理工具Webmin第138页/共567页本章小结网络配置管理中需要管理的信息信息的组织与存储网络配置管理的功能和流程网络配置管理中常用的工具的归纳第139页/共567页联系与思考简述网络配置管理的信息分类。网络管理系统所管理的路由器的信息有哪几类？拓扑发现的方法主要有哪些？简述网络配置管理中配置信息的组织与存储方式。什么是管理信息库和管理信息树？网络配置管理都有那些功能？简述网络配置管理的流程。网络配置管理都有哪些常用工具？基于WEB的网络管理标准有哪些？

第140页/共567页计算机网络管理理论与实践教程ThankYou!第141页/共567页计算机网络管理理论与实践教程第六章网络配置管理案例全国信息技术水平考试第142页/共567页网络配置管理案例CISCO路由器、交换机的配置LINUX服务器的配置DNS服务器的配置WEB服务器的配置第143页/共567页CISCO路由器、交换机配置方式对Cisco路由器和交换机进行配置，通常有以下四种方式：CON，通过与Console口相连的终端或者运行终端仿真软件的微机进行设置。Telnet，通过运行Telnet软件连接交换机进行配置。TFTP，通过TFTP服务器下载配置信息。SNMP，通过网管软件来配置交换机。Web，通过Web方式配置交换机。存储器体系结构介绍第144页/共567页CISCO路由器、交换机ROMFlashNVRAMDRAM路由器运行时首先要运行ROM中的程序，该程序主要进行加电自检，对路由器的硬件进行检测。ROM为一种只读存储器，系统掉电，程序也不会丢失。Flash是可擦写的ROM，它存贮Cisco的操作系统，可以通过在Flash中写入新版本的操作系统对路由器进行软件升级，Flash中的程序在系统掉电后不会丢失。NVRAM主要目的是保存路由器的配置文件，在系统掉电时数据不丢失。DRAM是动态内存，主要包含路由表、ARP缓存、数据包缓存等，以及正在执行的路由器配置文件。当路由器关机时，里面的内容会全部丢失。第145页/共567页第146页/共567页CISCO路由器、交换机操作系统与配置命令ISO命令状态用户命令状态特权命令状态全局设置状态vLan设置状态局部设置状态rommon状态交互设置状态IOS常用命令第147页/共567页CISCO路由器、交换机帮助命令，在任何状态下，键入“?”，将显示在此状态下所有可用的命令和说明。显示命令，用于查看系统的信息。网络命令，用于检查、测试配置情况。用户、密码设置命令。端口设置命令VLAN配置实例VLAN的划分方法基于端口划分VLAN基于MAC地址划分VLAN基于网络层协议划分VLAN根据IP组播划分VLAN按策略划分VLAN按用户定义、非用户授权划分VLAN第148页/共567页CISCO路由器、交换机VLAN配置实例（略）路由器RIP路由协议的配置路由选择信息协议RIP简介路由选择信息协议RIP（RoutingInformationProtocol）是一个距离向量路由选择协议，基于经典的距离向量路由算法，算法简单、易于实现，在中小型网络上应用广泛。RIP协议的优点是简单，容易配置、维护和使用。因此，它对于比较小的、冗余路径少，而且没有严格性能要求的网络非常实用，RIP协议不适合路由大型的、复杂的互联网环境。第149页/共567页CISCO路由器、交换机在路由器上配置RIP路由协议（略）路由器OSPF路由协议的配置OSPF协议简介OSPF是一种分布式的链路状态协议，而不是象RIP那样的距离向量协议。OSPF路由器周期性向邻近路由器广播它所知道的链路状态信息，并接收其他路由器发来的信息，从而计算出最新的网络拓扑图，以及到达各网络的最短距离OSPF的更新过程收敛的快速是其重要优点，因此，OSPF很适合具有大量路由器的大型复杂的互连网络。但是，与RIP一样，OSPF也存在着不少局限：相对比较复杂，对路由器硬件要求较高，需要一定的带宽。配置OSPF路由协议（略）第150页/共567页Linux服务器的配置Linux简介起源版本号Linux的网络配置建立以太网连接建立xDSL连接管理DNS设置设备别名Linux的帐户管理和权限管理第151页/共567页Linux服务器的配置用户登录子目录用户数据库/etc/password文件/etc/shadow文件每一行的格式包含着如下所示的几个部分：登录名。加过密的口令。该口令修改后已经过去了多少天。需要再过多少天才能修改这个口令。需要再过多少天这个口令必须被修改。需要在这个口令失效之前多少天对用户发出提示警告。口令失效多少天之后禁用这个账户。该口令已经被禁用了多少天。保留域。第152页/共567页Linux服务器的配置/etc/group文件该文件中每一行的格式包含着如下所示的几个部分：用户分组名加过密的用户分组口令用户分组ID号（GID）以逗号分隔的成员用户清单

用户管理器图6‑13RedHat用户管理器第153页/共567页Linux服务器的配置添加新用户修改用户属性图6‑14创建新用户图6‑15用户属性第154页/共567页Linux服务器的配置添加新组群行使命令行进行用户管理创建用户帐号命令useradd修改登录口令命令passwd删除用户帐号命令userdel修改用户属性命令usermod创建用户组命令groupadd删除用户组命令groupdel修改用户组属性命令groupmod图6‑17组群属性第155页/共567页DNS服务器配置IP地址与主机名的转换

目前有三种技术可以实现主机名和IP地址之间的转换：主机名与IP地址映射表hosts、网络信息系统NIS（NetworkInformataionSystem）、域名系统DNS（DomainNameSystem）主机名与IP地址映射表hosts网络信息系统NIS域名系统DNSDNS的名字空间具有层次结构，顶级域被分为特殊域、普通域、国家域；下面可划分二级域、三级域等。DNS的层次不能超过127层第156页/共567页DNS服务器配置域名解析过程图6‑19域名解析过程第157页/共567页DNS服务器配置递归查询叠代查询

域名服务器的类型主域名服务器辅助域名服务器高速缓存服务器解析器的配置解析器配置文件

Linux操作系统控制解析器设置的核心文件是保存在“/etc”目录中的host.conf，它告诉解析器使用哪些服务，使用顺序又如何第158页/共567页DNS服务器配置域名服务器查找

在配置解析器库利用BIND域名服务进行主机查找时，还必须告诉它准备使用哪些域名服务器。完成此项任务的是一个名为resolv.conf的配置文件，如果该文件不存在或者为空，解析器就会假定域名服务器在本地主机上DNS服务器的安装配置

安装BIND域名服务器（以配置域的DNS服务器为例）使用如下的命令安装BIND软件包

#tarxzvfbind-9.3.1.tar.gz#cdbind-9.3.1#./configure#make#makeinstall第159页/共567页DNS服务器配置安装完BIND后，使用如下的命令启动BIND：#/usr/local/sbin/named

BIND的配置文件资源记录/etc/named.conf/var/named/named.ca/var/named/localhost.zone/var/named/named.local

配置主域名服务器编辑主配置文件/etc/named.conf

第160页/共567页DNS服务器配置创建正向解析数据库文件创建反向解析数据库文件测试DNS配置配置辅助域名服务器DNS管理工具nslookup命令

nslookup命令显示域名系统(DNS)基础结构的信息。nslookup有两种模式：交互式和非交互式。远程名字驻留控制程序rndc第161页/共567页Web服务器配置Web服务器产品ApacheMicrosoftInternetInformationServer(IIS)ApacheHTTP服务器的配置启动和停止WEB服务（假设安装目录为：/usr/local/apache2/）启动ApacheHTTP服务器：#/usr/local/apache2/bin/apachectl停止ApacheHTTP服务器的命令为：#/usr/local/apache2/bin/apachectlstop重新启动ApacheHTTP服务器的命令为：#/usr/local/apache2/bin/apachectlrestart第162页/共567页Web服务器配置配置文件的语法

配置文件httpd.conf由指令、段以及注释三种语句组成。指令用于设定服务器的配置，段实际上是包含一组指令的容器，注释用来增加配置文件的可阅读性。全局环境变量的设置主服务器设置虚拟主机设置第163页/共567页本章小结交换机的VLAN配置路由器的RIP配置和OSPF配置Linux服务器的网络配置和用户帐户与权限管理DNS服务器的配置WEB服务器的配置第164页/共567页练习与思考可以通过哪几种方式对路由器和交换机进行配置？Cisco交换机和路由器使用的存储器有哪几种类型？练习交换机的VLAN配置。练习路由器的RIP协议配置。练习路由器的OSPF协议配置。Linux操作系统中的用户管理命令有哪些？分别说明其作用。简述域名解析过程。练习使用nslookup命令、rndc命令。安装配置一台ApacheHTTP服务器。第165页/共567页计算机网络管理理论与实践教程ThankYou!第166页/共567页计算机网络管理理论与实践教程第七章网络故障管理全国信息技术水平考试第167页/共567页网络故障管理网络故障管理内容网络故障管理流程网络故障管理定位与分析网络故障管理常用工具与资源第168页/共567页网络故障管理内容故障检测异步告警，即在发生故障时，由发生故障的设备或服务器主动向网络管理系统报告主动轮询，即由网络管理系统定期查询各设备和服务器的状态第169页/共567页网络故障管理内容故障监测，通过执行监控过程和生成故障报告来监测故障。网络维护及错误日志检查使用多种网络故障监控方式监控网络的整体运行情况。对于网络中的重要机器、设备进行运行状态的重点监视。检查网络设备的错误日志，分析错误原因。第170页/共567页网络故障管理内容网络故障报告通过各种途径报告网络故障，报告方式包括使用颜色、声音、日志、触发机制等。网络故障自动报警，具有自动通知的手段，包括寻呼机、手机、电子邮件等方法。根据网络故障的危害程度将报警指示分级管理，系统根据故障级别做出不同反应故障隔离接收错误检测报告并做出响应分析设备故障情况，制定排错方案。启用备用线路或设备，进行故障隔离。第171页/共567页网络故障管理内容故障分析与定位确认故障类型及性质执行诊断测试跟踪、辨认故障Phase1Phase2Phase3第172页/共567页故障排除故障分析预测4321错误纠正根据故障分析结果，制定并实施解决方案根据网络系统故障的类型及发作频度，分析故障产生的原因，预测将来网络故障的发作趋势第173页/共567页网络故障管理内容历史报警查询统计建立故障报警数据库，通过对历史故障警报资料的统计分析，寻找网络故障发生的规律，建立故障预防体系。故障排除后必须认真分析网络故障产生的原因。

第174页/共567页网络故障管理流程图7‑1网络故障处理流程第175页/共567页网络故障的定位与分析分层定位分析法OSI模型与TCP/IP模型图7‑2OSI参考模型与TCP/TP体系结构第176页/共567页网络故障的定位与分析分层的分析方法分析网络故障应该以网络原理为基础，根据网络配置和运行的记录和相关资料，从故障的实际现象出发，以网络诊断工具为手段获取诊断信息。在定位分析网络故障时，可以按照OSI参考模型的分层结构顺序，采用自下而上、自上而下的方法进行检测和分析，逐步确定网络故障点，查找问题的根源。分段定位法分段