计算机网络应用 8

第八章网络管理与维护目录【知识目标】1．掌握计算机网络管理的概念及网络管理协议2．掌握网络故障的分类与故障排除的过程3．了解网络安全的定义和网络经常面临的威胁【技能目标】1．能够描述计算机网络管理的功能与协议运行的原理2．能够运用网络诊断工具发现故障原因并排除故障的方法3．能够运行网络工具应对网络安全威胁8．1网络管理概述网络管理是以计算机网络等相关技术为手段，对各种网络进行监视、控制、运营以及维护等。网络管理已成为计算机网络建设中的一个非常重要的部分，它是进行网络维护的重要手段，并且决定着网络资源的利用率和效益的发挥。8．1．1网络管理的特征（1）有效性，是指网络要能准确而及时地传递信息。（2）可靠性，是指网络必须保证能够稳定地运转，能对各种故障有一定的自愈能力。（3）安全性，是指避免用户数据被非法访问、截获、删除、修改，防止系统被非法入侵和受到病毒侵扰。（4）经济性，是指对网络管理者而言，网络的建设、运营、维护等费用要求尽可能少；对网络用户而言，用户能够使用尽量少的费用获得更多的网络服务。8．1．2网络管理的功能故障管理配置管理计费管理性能管理安全管理1．故障管理（1）维护并检查错误日志。（2）接受错误检测报告并作出响应。（3）跟踪、辨认错误。（4）执行诊断测试。（5）纠正错误。2．计费管理计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。计费管理的目的是计算和收取用户使用网络服务的费用。3．配置管理（1）设置开放系统中有关路由操作的参数。（2）被管对象和被管对象组名字的管理。（3）初始化或关闭被管对象。（4）根据要求收集系统当前状态的有关信息。（5）获取系统重要变化的信息。（6）更改系统的配置。4．性能管理（1）收集统计信息。（2）维护并检查系统状态日志。（3）确定自然和人工状况下系统的性能。（4）改变系统操作模式以进行系统性能管理的操作。5．安全管理（1）创建、删除、控制安全服务和机制（2）维护和检查与安全相关信息的分布（3）维护和检查与安全相关事件的报告8．1．3网络管理系统（NMS）网络管理系统是用来管理网络、保障网络正常运行的软件和硬件的有机组合，是在网络管理平台的基础上实现的各种网络管理功能的集合，包括故障管理、性能管理、配置管理、安全管理和计费管理等功能。1．网络管理者实施网络管理的实体，驻留在管理工作站上。它是整个网络系统的核心，完成复杂网络管理功能。网络管理系统要求管理代理定期收集重要的设备信息，收集到的信息将用于确定单个网络设备、部分网络或整个网络运行的状态是否正常。2．管理代理网络管理代理是驻留在网络设备（这里的设备可以是UNIX工作站、网络打印机，也可以是其它的网络设备）中的软件模块，它可以获得本地设备的运转状态、设备特性、系统配置等相关信息。网络管理代理所起的作用是：充当管理系统与管理代理软件驻留设备之间的中介，通过控制设备的管理信息数据库（MIB）中的信息来管理该设备。3．管理信息库（MIB）管理信息库存储在被管理对象的存储器中，管理库是一个动态刷新的数据库，它包括网络设备的配置信息，数据通信的统计信息，安全性信息和设备特有信息。这些信息、被动态送往管理器，形成网络管理系统的数据来源。4．代理设备和管理协议代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起桥梁作用。利用代理设备，不需要升级整个网络就可以实现从旧协议到新版本的过渡。对于网络管理系统来说，重要的是管理员和管理代理之间所使用的网络管理协议，如SNMP，和它们共同遵循的MIB库。8．1．4简单网络管理协议（SNMP）SNMP是专门设计用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。SNMP使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过SNMP接收随机消息（及事件报告）网络管理系统获知网络出现问题。SNMP管理的网络有三个主要组成部分：管理的设备、代理和网络管理系统。管理设备是一个网络节点，包含ANMP代理并处在管理网络之中。被管理的设备用于收集并储存管理信息。8．1．4简单网络管理协议（SNMP）SNMP实体不需要在发出请求后等待响应的到来，是一个异步的请求/响应协议。SNMP仅支持对管理对象值的检索和修改等简单操作，SNMPv1支持以下四种操作，如下所述。（1）get操作。用于获取特定对象的值，提取指定的网络管理信息。（2）get-next操作。通过遍历MIB树获取对象的值，提供扫描MIB树和依次检索数据的方法。（3）set操作。用于修改对象的值，对管理信息进行控制。（4）trap操作。用于通报重要事件的发生，代理使用它发送非请求性通知给一个或多个预配置的管理工作站，用于向管理者报告管理对象的状态变化。8．1．4简单网络管理协议（SNMP）8．2网络故障处理网络故障（networkfailure）是指由于硬件的问题、软件的漏洞、病毒的侵入等引起网络无法提供正常服务或降低服务质量的状态。网络故障必须第一时间处理，不然会影响网络的正常运行。8．2．1网络故障概述网络故障的分类（1）连通性问题。硬件、系统、电源、媒介故障；配置错误；不正确的相互作用。（2）性能问题。网络拥塞；到目的地不是最佳路由；转发异常；路由环路；网络错误。8．2．2网络故障处理的诊断工具用于监控网络互联环境的工作状况和解决基本的网络故障。主要命令为：Ping命令Traceroute命令Show命令Debug命令1．Ping命令Ping[-nnumber][-t][-lnumber]ip-address-nPing报文的个数，缺省值为5；-t持续地ping直到人为地中断，Ctr+Breack暂时中止ping命令并查看当前的统计结果，而Ctr+C则中断命令的执行。-l设置Ping报文所携带的数据部分的字节数，设置范围从0至65500。2．Traceroute命令tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]host-d不解析主机名；-h指定最大TTL大小；-j设定松散源地址路由列表；-w用于设置UDP报文的超时时间，单位毫秒。3．Display命令display命令是用于了解路由器的当前状况、检测相邻路由器、从总体上监控网络、隔离互连网络中故障的最重要的工具之一。几乎在任何故障排除和监控场合，display命令都是必不可少的。信息项使用命令基本信息displaydiagnostic-information设备信息displaydevice接口信息displayinterface版本信息displayversion补丁信息displaypatch-information4．Debug命令在路由器上打开debugging信息显示命令为。<Huawei>terminaldebuggingDebug是设备调试，排错中非常重要也非常有效的手段。缺省下调试信息输出是关闭的，需要用命令将其打开。使用debug调试设备需要对网络协议和华为产品相对熟悉的情况下使用。8．2．3网络故障排除的常用方法分层故障排除法分块故障排除法分段故障排除法替换法1．分层故障排除法分层法思想很简单，所有模型都遵循相同的基本前提，当模型的所有低层结构工作正常时，它的高层结构才能正常工作。2．分块故障排除法将网络系统分成几个模块，通过Display命令检查各个模块，以全局配置、物理接口配置、逻辑接口配置、路由配置等。分析这些配置文件，发现故障处理故障。3．分段故障排除法分段就是把有故障网络分成几个段，逐一排除故障所在的段。分段的中心思想就是缩小网络故障涉及的设备和线路，来更快地判定故障，然后再逐级恢复原有网络。4．替换法替换法是检查硬件问题最常用的方法。当怀疑是网线问题时，更换一根确定是好的网线试一试；当怀疑是接口模块有问题时，更换一个其它接口模块试一试。8．3网络安全网络安全是指计算机网络资产的安全，保证其不受自然和人为的有害因素的威胁和迫害。网络安全技术是指各种网络监控和管理技术，这些技术通过对网络系统的硬件、软件以及数据资源进行保护，防止其遭到破坏，保证网络系统能够安全、可靠地运行。1．网络威胁1．网络威胁计算机病毒计算机蠕虫特洛伊木马逻辑炸弹2．黑客的攻击手段（1）口令入侵 （2）放置特洛伊木马程序。 （3）DOS攻击 （4）端口扫描。 （5）网络监听。 （6）欺骗攻击。（7）电子邮件攻击。3．网络安全的基本要素机密性完整性可用性可鉴别性不可抵赖性4．计算机系统安全等级美国国防部和国家标准局的《可信计算机系统评测标准》将计算机系统安全等级分为4类7级。（1）D类。D类的安全级别最低，保护措施最少且没有安全功能。（2）C类。C类是自定义保护级，该级的安全特点是系统的对象可自主定义访问权限。C类分为两个级别为C1级与C2级。（3）B类。B类是强制式安全保护类，它的特点在于由系统强制实现安全保护，因此用户不能分配权限，只能通过管理员对用户进行权限的分配。B类分为3个级别。 （4）A类。A类是可验证的保护级。5．网络安全的防范技术防火墙技术身份验证技术访问控制技术入侵检测技术密码技术反病毒技术8．3．2防火墙技术网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。1．包过滤防火墙包过滤防火墙又称为包过滤路由器，是根据已经定义好的过滤规则来检查每个数据包，确定数据包是否符合这个过滤规则，来决定数据包是否能通过，符合的数据包将被转发，而不符合的数据包将被丢弃。2．应用网关防火墙3．应用代理防火墙4．状态检测防火墙状态检测防火墙能通过状态检测技术，动态地维护各个连接的协议状态。状态检测在包过滤的同时，检查数据包之间的关联性和数据包中的动态变化。它根据过去通信信息和其他应用程序获得的状态信息来动态生成过滤规则，根据新生成的过滤规则来过滤新的通信。8．3．3入侵检测入侵检测（ID）是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测是检测和响应计算机误用的学科，其作用包括