第八章網(wǎng)絡管理與維護目錄【知識目標】1．掌握計算機網(wǎng)絡管理的概念及網(wǎng)絡管理協(xié)議2．掌握網(wǎng)絡故障的分類與故障排除的過程3．了解網(wǎng)絡安全的定義和網(wǎng)絡經(jīng)常面臨的威脅【技能目標】1．能夠描述計算機網(wǎng)絡管理的功能與協(xié)議運行的原理2．能夠運用網(wǎng)絡診斷工具發(fā)現(xiàn)故障原因并排除故障的方法3．能夠運行網(wǎng)絡工具應對網(wǎng)絡安全威脅8．1網(wǎng)絡管理概述網(wǎng)絡管理是以計算機網(wǎng)絡等相關技術為手段，對各種網(wǎng)絡進行監(jiān)視、控制、運營以及維護等。網(wǎng)絡管理已成為計算機網(wǎng)絡建設中的一個非常重要的部分，它是進行網(wǎng)絡維護的重要手段，并且決定著網(wǎng)絡資源的利用率和效益的發(fā)揮。8．1．1網(wǎng)絡管理的特征（1）有效性，是指網(wǎng)絡要能準確而及時地傳遞信息。（2）可靠性，是指網(wǎng)絡必須保證能夠穩(wěn)定地運轉(zhuǎn)，能對各種故障有一定的自愈能力。（3）安全性，是指避免用戶數(shù)據(jù)被非法訪問、截獲、刪除、修改，防止系統(tǒng)被非法入侵和受到病毒侵擾。（4）經(jīng)濟性，是指對網(wǎng)絡管理者而言，網(wǎng)絡的建設、運營、維護等費用要求盡可能少；對網(wǎng)絡用戶而言，用戶能夠使用盡量少的費用獲得更多的網(wǎng)絡服務。8．1．2網(wǎng)絡管理的功能故障管理配置管理計費管理性能管理安全管理1．故障管理（1）維護并檢查錯誤日志。（2）接受錯誤檢測報告并作出響應。（3）跟蹤、辨認錯誤。（4）執(zhí)行診斷測試。（5）糾正錯誤。2．計費管理計費管理記錄網(wǎng)絡資源的使用，目的是控制和監(jiān)測網(wǎng)絡操作的費用和代價。計費管理的目的是計算和收取用戶使用網(wǎng)絡服務的費用。3．配置管理（1）設置開放系統(tǒng)中有關路由操作的參數(shù)。（2）被管對象和被管對象組名字的管理。（3）初始化或關閉被管對象。（4）根據(jù)要求收集系統(tǒng)當前狀態(tài)的有關信息。（5）獲取系統(tǒng)重要變化的信息。（6）更改系統(tǒng)的配置。4．性能管理（1）收集統(tǒng)計信息。（2）維護并檢查系統(tǒng)狀態(tài)日志。（3）確定自然和人工狀況下系統(tǒng)的性能。（4）改變系統(tǒng)操作模式以進行系統(tǒng)性能管理的操作。5．安全管理（1）創(chuàng)建、刪除、控制安全服務和機制（2）維護和檢查與安全相關信息的分布（3）維護和檢查與安全相關事件的報告8．1．3網(wǎng)絡管理系統(tǒng)（NMS）網(wǎng)絡管理系統(tǒng)是用來管理網(wǎng)絡、保障網(wǎng)絡正常運行的軟件和硬件的有機組合，是在網(wǎng)絡管理平臺的基礎上實現(xiàn)的各種網(wǎng)絡管理功能的集合，包括故障管理、性能管理、配置管理、安全管理和計費管理等功能。1．網(wǎng)絡管理者實施網(wǎng)絡管理的實體，駐留在管理工作站上。它是整個網(wǎng)絡系統(tǒng)的核心，完成復雜網(wǎng)絡管理功能。網(wǎng)絡管理系統(tǒng)要求管理代理定期收集重要的設備信息，收集到的信息將用于確定單個網(wǎng)絡設備、部分網(wǎng)絡或整個網(wǎng)絡運行的狀態(tài)是否正常。2．管理代理網(wǎng)絡管理代理是駐留在網(wǎng)絡設備（這里的設備可以是UNIX工作站、網(wǎng)絡打印機，也可以是其它的網(wǎng)絡設備）中的軟件模塊，它可以獲得本地設備的運轉(zhuǎn)狀態(tài)、設備特性、系統(tǒng)配置等相關信息。網(wǎng)絡管理代理所起的作用是：充當管理系統(tǒng)與管理代理軟件駐留設備之間的中介，通過控制設備的管理信息數(shù)據(jù)庫（MIB）中的信息來管理該設備。3．管理信息庫（MIB）管理信息庫存儲在被管理對象的存儲器中，管理庫是一個動態(tài)刷新的數(shù)據(jù)庫，它包括網(wǎng)絡設備的配置信息，數(shù)據(jù)通信的統(tǒng)計信息，安全性信息和設備特有信息。這些信息、被動態(tài)送往管理器，形成網(wǎng)絡管理系統(tǒng)的數(shù)據(jù)來源。4．代理設備和管理協(xié)議代理設備在標準網(wǎng)絡管理軟件和不直接支持該標準協(xié)議的系統(tǒng)之間起橋梁作用。利用代理設備，不需要升級整個網(wǎng)絡就可以實現(xiàn)從舊協(xié)議到新版本的過渡。對于網(wǎng)絡管理系統(tǒng)來說，重要的是管理員和管理代理之間所使用的網(wǎng)絡管理協(xié)議，如SNMP，和它們共同遵循的MIB庫。8．1．4簡單網(wǎng)絡管理協(xié)議（SNMP）SNMP是專門設計用于在IP網(wǎng)絡管理網(wǎng)絡節(jié)點（服務器、工作站、路由器、交換機及HUBS等）的一種標準協(xié)議，它是一種應用層協(xié)議。SNMP使網(wǎng)絡管理員能夠管理網(wǎng)絡效能，發(fā)現(xiàn)并解決網(wǎng)絡問題以及規(guī)劃網(wǎng)絡增長。通過SNMP接收隨機消息（及事件報告）網(wǎng)絡管理系統(tǒng)獲知網(wǎng)絡出現(xiàn)問題。SNMP管理的網(wǎng)絡有三個主要組成部分：管理的設備、代理和網(wǎng)絡管理系統(tǒng)。管理設備是一個網(wǎng)絡節(jié)點，包含ANMP代理并處在管理網(wǎng)絡之中。被管理的設備用于收集并儲存管理信息。8．1．4簡單網(wǎng)絡管理協(xié)議（SNMP）SNMP實體不需要在發(fā)出請求后等待響應的到來，是一個異步的請求/響應協(xié)議。SNMP僅支持對管理對象值的檢索和修改等簡單操作，SNMPv1支持以下四種操作，如下所述。（1）get操作。用于獲取特定對象的值，提取指定的網(wǎng)絡管理信息。（2）get-next操作。通過遍歷MIB樹獲取對象的值，提供掃描MIB樹和依次檢索數(shù)據(jù)的方法。（3）set操作。用于修改對象的值，對管理信息進行控制。（4）trap操作。用于通報重要事件的發(fā)生，代理使用它發(fā)送非請求性通知給一個或多個預配置的管理工作站，用于向管理者報告管理對象的狀態(tài)變化。8．1．4簡單網(wǎng)絡管理協(xié)議（SNMP）8．2網(wǎng)絡故障處理網(wǎng)絡故障（networkfailure）是指由于硬件的問題、軟件的漏洞、病毒的侵入等引起網(wǎng)絡無法提供正常服務或降低服務質(zhì)量的狀態(tài)。網(wǎng)絡故障必須第一時間處理，不然會影響網(wǎng)絡的正常運行。8．2．1網(wǎng)絡故障概述網(wǎng)絡故障的分類（1）連通性問題。硬件、系統(tǒng)、電源、媒介故障；配置錯誤；不正確的相互作用。（2）性能問題。網(wǎng)絡擁塞；到目的地不是最佳路由；轉(zhuǎn)發(fā)異常；路由環(huán)路；網(wǎng)絡錯誤。8．2．2網(wǎng)絡故障處理的診斷工具用于監(jiān)控網(wǎng)絡互聯(lián)環(huán)境的工作狀況和解決基本的網(wǎng)絡故障。主要命令為：Ping命令Traceroute命令Show命令Debug命令1．Ping命令Ping[-nnumber][-t][-lnumber]ip-address-nPing報文的個數(shù)，缺省值為5；-t持續(xù)地ping直到人為地中斷，Ctr+Breack暫時中止ping命令并查看當前的統(tǒng)計結(jié)果，而Ctr+C則中斷命令的執(zhí)行。-l設置Ping報文所攜帶的數(shù)據(jù)部分的字節(jié)數(shù)，設置范圍從0至65500。2．Traceroute命令tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]host-d不解析主機名；-h指定最大TTL大??；-j設定松散源地址路由列表；-w用于設置UDP報文的超時時間，單位毫秒。3．Display命令display命令是用于了解路由器的當前狀況、檢測相鄰路由器、從總體上監(jiān)控網(wǎng)絡、隔離互連網(wǎng)絡中故障的最重要的工具之一。幾乎在任何故障排除和監(jiān)控場合，display命令都是必不可少的。信息項使用命令基本信息displaydiagnostic-information設備信息displaydevice接口信息displayinterface版本信息displayversion補丁信息displaypatch-information4．Debug命令在路由器上打開debugging信息顯示命令為。<Huawei>terminaldebuggingDebug是設備調(diào)試，排錯中非常重要也非常有效的手段。缺省下調(diào)試信息輸出是關閉的，需要用命令將其打開。使用debug調(diào)試設備需要對網(wǎng)絡協(xié)議和華為產(chǎn)品相對熟悉的情況下使用。8．2．3網(wǎng)絡故障排除的常用方法分層故障排除法分塊故障排除法分段故障排除法替換法1．分層故障排除法分層法思想很簡單，所有模型都遵循相同的基本前提，當模型的所有低層結(jié)構工作正常時，它的高層結(jié)構才能正常工作。2．分塊故障排除法將網(wǎng)絡系統(tǒng)分成幾個模塊，通過Display命令檢查各個模塊，以全局配置、物理接口配置、邏輯接口配置、路由配置等。分析這些配置文件，發(fā)現(xiàn)故障處理故障。3．分段故障排除法分段就是把有故障網(wǎng)絡分成幾個段，逐一排除故障所在的段。分段的中心思想就是縮小網(wǎng)絡故障涉及的設備和線路，來更快地判定故障，然后再逐級恢復原有網(wǎng)絡。4．替換法替換法是檢查硬件問題最常用的方法。當懷疑是網(wǎng)線問題時，更換一根確定是好的網(wǎng)線試一試；當懷疑是接口模塊有問題時，更換一個其它接口模塊試一試。8．3網(wǎng)絡安全網(wǎng)絡安全是指計算機網(wǎng)絡資產(chǎn)的安全，保證其不受自然和人為的有害因素的威脅和迫害。網(wǎng)絡安全技術是指各種網(wǎng)絡監(jiān)控和管理技術，這些技術通過對網(wǎng)絡系統(tǒng)的硬件、軟件以及數(shù)據(jù)資源進行保護，防止其遭到破壞，保證網(wǎng)絡系統(tǒng)能夠安全、可靠地運行。1．網(wǎng)絡威脅1．網(wǎng)絡威脅計算機病毒計算機蠕蟲特洛伊木馬邏輯炸彈2．黑客的攻擊手段（1）口令入侵 （2）放置特洛伊木馬程序。 （3）DOS攻擊 （4）端口掃描。 （5）網(wǎng)絡監(jiān)聽。 （6）欺騙攻擊。（7）電子郵件攻擊。3．網(wǎng)絡安全的基本要素機密性完整性可用性可鑒別性不可抵賴性4．計算機系統(tǒng)安全等級美國國防部和國家標準局的《可信計算機系統(tǒng)評測標準》將計算機系統(tǒng)安全等級分為4類7級。（1）D類。D類的安全級別最低，保護措施最少且沒有安全功能。（2）C類。C類是自定義保護級，該級的安全特點是系統(tǒng)的對象可自主定義訪問權限。C類分為兩個級別為C1級與C2級。（3）B類。B類是強制式安全保護類，它的特點在于由系統(tǒng)強制實現(xiàn)安全保護，因此用戶不能分配權限，只能通過管理員對用戶進行權限的分配。B類分為3個級別。 （4）A類。A類是可驗證的保護級。5．網(wǎng)絡安全的防范技術防火墻技術身份驗證技術訪問控制技術入侵檢測技術密碼技術反病毒技術8．3．2防火墻技術網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。1．包過濾防火墻包過濾防火墻又稱為包過濾路由器，是根據(jù)已經(jīng)定義好的過濾規(guī)則來檢查每個數(shù)據(jù)包，確定數(shù)據(jù)包是否符合這個過濾規(guī)則，來決定數(shù)據(jù)包是否能通過，符合的數(shù)據(jù)包將被轉(zhuǎn)發(fā)，而不符合的數(shù)據(jù)包將被丟棄。2．應用網(wǎng)關防火墻3．應用代理防火墻4．狀態(tài)檢測防火墻狀態(tài)檢測防火墻能通過狀態(tài)檢測技術，動態(tài)地維護各個連接的協(xié)議狀態(tài)。狀態(tài)檢測在包過濾的同時，檢查數(shù)據(jù)包之間的關聯(lián)性和數(shù)據(jù)包中的動態(tài)變化。它根據(jù)過去通信信息和其他應用程序獲得的狀態(tài)信息來動態(tài)生成過濾規(guī)則，根據(jù)新生成的過濾規(guī)則來過濾新的通信。8．3．3入侵檢測入侵檢測（ID）是指通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測是檢測和響應計算機誤用的學科，其作用包括