單元6 網(wǎng)絡系統(tǒng)安全管理

單元2網(wǎng)絡綜合布線系統(tǒng)設計目錄單元3網(wǎng)絡工程設計單元4網(wǎng)絡系統(tǒng)安全設計單元1網(wǎng)絡安全系統(tǒng)集成概述單元6網(wǎng)絡系統(tǒng)安全管理單元5網(wǎng)絡工程的實施與測試驗收

引例描述結(jié)構(gòu)化維護方法不但能減少網(wǎng)絡宕機時間（在故障出現(xiàn)之前解決問題），還是一種性價比非常好的維護方法。特別值得一提的是，結(jié)構(gòu)化維護方法還能更快地解決網(wǎng)絡中出現(xiàn)的各種意外故障，且因為降低了網(wǎng)絡故障的發(fā)生概率，應對網(wǎng)絡故障的資源消耗也對應減少了。由于結(jié)構(gòu)化維護方法需要考慮組織的商業(yè)目標，因而可以根據(jù)商業(yè)因素來分配網(wǎng)絡資源。另外，通過持續(xù)的網(wǎng)絡監(jiān)控行為（這也是結(jié)構(gòu)化維護方法中的一個組成部分）能夠更大程度地發(fā)現(xiàn)網(wǎng)絡中存在的安全隱患，如配置系統(tǒng)日志（Syslog）、網(wǎng)絡時間協(xié)議（NTP）、簡單的網(wǎng)絡管理協(xié)議（SNMP）、NetFlow和交換端口分析器等，對網(wǎng)絡系統(tǒng)實施不間斷監(jiān)控，及時反饋系統(tǒng)狀態(tài)，保證業(yè)務的持續(xù)可靠運行，同時使用各種類型的數(shù)據(jù)來檢測、驗證和遏制漏洞攻擊等。

學習目標

掌握網(wǎng)絡設備調(diào)試方法、制訂實施方案和測試方案、網(wǎng)絡管理、流量監(jiān)控等技能。具備排除網(wǎng)絡安全故障、網(wǎng)絡流量監(jiān)控的能力。具有大國工匠精神、團隊協(xié)作精神、5S的職業(yè)素?養(yǎng)。

網(wǎng)絡故障排除拓撲圖如圖6-1所示，在AS-SW、CO-SW、RA、RB和PC上已做了預配。假定你是一名網(wǎng)絡管理員，請排除網(wǎng)絡中的故障問題，實現(xiàn)PC1能ping通Server的功能。具體要求是：排除所有網(wǎng)絡故障，不要刪除原有配置，只能修改或添加相關(guān)配置命?令。

任務場景回顧OSI參考模型。研究網(wǎng)絡工程文檔包含的內(nèi)容。學習網(wǎng)絡故障排除方法。探究網(wǎng)絡故障排除流?程。

任務布置

從本質(zhì)上來說，網(wǎng)絡維護是指讓網(wǎng)絡保持正常運行并滿足企業(yè)機構(gòu)商業(yè)需求而所要做的各種工作。

（1）硬件和軟件安裝及配?置

（2）針對故障報告進行故障檢測與排?除

（3）監(jiān)控和調(diào)整網(wǎng)絡性?能

（4）規(guī)劃網(wǎng)絡擴容方?案

（5）記錄網(wǎng)絡狀況以及網(wǎng)絡發(fā)生的各種變更情?況

（6）確保網(wǎng)絡與法律法規(guī)及企業(yè)策略保持一?致（7）保護網(wǎng)絡免受內(nèi)部和外部的安全威?脅6.1.1網(wǎng)絡運行與維護概述6.1.2網(wǎng)絡設備配置文檔在排除網(wǎng)絡故障的過程中，可以采取診斷多種問題的方法，包括試錯法、參照法、替換法等。每一種方法的實施都離不開具體的網(wǎng)絡環(huán)境，因此，在排除網(wǎng)絡故障之前，必須弄清網(wǎng)絡配置文件、終端系統(tǒng)配置文件、物理網(wǎng)絡拓撲圖、邏輯網(wǎng)絡拓撲?圖。

1．網(wǎng)絡配置文件

（1）設備類型、型?號（2）IOS映像名?稱

（3）網(wǎng)絡設備主機?名

（4）設備位置，如果有模塊，還應包括模塊和插槽等信?息

（5）數(shù)據(jù)鏈路和網(wǎng)絡層地?址

（6）設備物理方面的任何其他重要信?息6.1.2網(wǎng)絡設備配置文檔終端系統(tǒng)配置文件重點關(guān)注終端系統(tǒng)設備中使用的硬件和軟件，例如服務器、網(wǎng)絡管理控制臺和用戶工作站。

2．終端系統(tǒng)配置文件

（1）設備名稱（用途）（2）操作系統(tǒng)及版?本

（3）IPv4和IPv6地?址

（4）子網(wǎng)掩碼和前綴長?度

（5）默認網(wǎng)關(guān)和DNS服務?器

（6）終端系統(tǒng)上使用的任何高帶寬網(wǎng)絡應?用終端與服務器配置信息6.1.2網(wǎng)絡設備配置文檔網(wǎng)絡拓撲圖可以跟蹤網(wǎng)絡中設備的位置、功能和狀態(tài)，有兩種類型：物理拓撲圖和邏輯拓撲圖。

3．物理網(wǎng)絡拓撲圖

（1）設備類?型（2）型號和制造?商

（3）操作系統(tǒng)版?本

（4）電纜類型及標識?符

（5）電纜規(guī)?格

（6）接頭類?型

（7）電纜連接端?點6.1.2網(wǎng)絡設備配置文檔終端系統(tǒng)配置文件重點關(guān)注終端系統(tǒng)設備中使用的硬件和軟件，例如服務器、網(wǎng)絡管理控制臺和用戶工作站。

4．邏輯網(wǎng)絡拓撲圖

（1）設備名稱（用途）（2）操作系統(tǒng)及版?本

（3）IPv4和IPv6地?址

（4）子網(wǎng)掩碼和前綴長?度

（5）默認網(wǎng)關(guān)和DNS服務?器

（6）終端系統(tǒng)上使用的任何高帶寬網(wǎng)絡應?用物理網(wǎng)絡拓撲圖6.1.3常見網(wǎng)絡故障排除方法不同的網(wǎng)絡管理員會使用不同的故障檢測與排除方法，但大多數(shù)故障檢測與排除方法都包含收集和分析信息、排除潛在原因、推斷最可能的原因、驗證可疑原因等步?驟。

（1）試錯法

試錯法依據(jù)經(jīng)驗對解決問題的方法進行推測，隨后實施這種解決方案并對得到的結(jié)果進行檢驗，然后不斷地重復這一過程，直到得到了正確的解決方法為止。（2）實例對照法

假設有兩個相近的網(wǎng)絡環(huán)境，其中一個工作正常而另一個恰巧相反。那么在這種情況下就可以使用實例對照法，即將其中不正常的網(wǎng)絡按照正常工作的網(wǎng)絡進行設置。

（3）替換法

在IT行業(yè)中，使用替換方法來解決問題是非常普遍的。6.1.4常見網(wǎng)絡故障排除方法在實際的網(wǎng)絡中，有可能相同的故障現(xiàn)象是由不同的原因造成的，也有可能相同的原因造成不同的故障現(xiàn)象，能否解決網(wǎng)絡故障問題，取決于網(wǎng)絡運維人員排障知識的積累程度。

1．識別故障現(xiàn)象（1）這個問題是連續(xù)出現(xiàn)，還是間斷出現(xiàn)的？（2）是完全不能備份，還是備份的速度慢（即性能下降）

（3）哪個或哪些局域網(wǎng)服務器受到影響，地址是什么？網(wǎng)絡故障問題的處理流程6.1.4常見網(wǎng)絡故障排除方法

3．使用OSI分層模型確認網(wǎng)絡問題（1）自下而上故障排除法

（2）自上而下故障排除法

（3）分段故障排除法

（4）使用OSI分層模型排除網(wǎng)絡故障的原則：要快速解決網(wǎng)絡故障，需要選擇最有效的網(wǎng)絡故障排除法只有確認網(wǎng)絡問題是什么后，才能確定解決方案。

網(wǎng)絡故障排除方法的選擇原則現(xiàn)在大多數(shù)組織都依賴于網(wǎng)絡基礎(chǔ)設施的平穩(wěn)運行，網(wǎng)絡宕機常常意味著產(chǎn)能、利潤和聲譽的損失，因而網(wǎng)絡故障檢測與排除是網(wǎng)絡支持團隊的重要職能。網(wǎng)絡支持團隊診斷和排除故障的效率越高，組織所遭受的損失就越少。網(wǎng)絡維護任務可以分為兩大類，即結(jié)構(gòu)化任務和故障驅(qū)動型任務。其中，結(jié)構(gòu)化任務是指按照預定計劃執(zhí)行網(wǎng)絡運維任務；故障驅(qū)動型任務是指在收到故障報告后解決問題。在實際工作中永遠也不可能消除故障驅(qū)動型任務，但通過結(jié)構(gòu)化維護方法完全可以減少故障驅(qū)動型任務出現(xiàn)的概率。單元2網(wǎng)絡綜合布線系統(tǒng)設計目錄單元3網(wǎng)絡工程設計單元4網(wǎng)絡系統(tǒng)安全設計單元1網(wǎng)絡安全系統(tǒng)集成概述單元6網(wǎng)絡系統(tǒng)安全管理單元5網(wǎng)絡工程的實施與測試驗收

如圖6-10所示的網(wǎng)絡拓撲結(jié)構(gòu)，將路由器R1和路由器R2的日志信息記錄到日志服務器上；為了確保記錄信息的有序，網(wǎng)絡中部署了NTP服務器。日志信息和NTP服務的安全性主要由服務器自身來保障。在時間同步過程中，R1和R2與NTP服務之間交互的信息通過協(xié)議認證來加強。另外，在網(wǎng)絡中的R1上部署了NetFlow，將R1的Fa0/0接口下的流量（ICMP、Telnet）統(tǒng)計到報告系統(tǒng)，并用流量分析器進行監(jiān)?控。

任務場景學習系統(tǒng)日志和網(wǎng)絡時間協(xié)議?；仡櫤唵尉W(wǎng)絡管理協(xié)議。探究端口分析器的作用及操作。研究NetFlow流量監(jiān)控工具。

任務布置6.2.1系統(tǒng)日志與網(wǎng)絡時間協(xié)議簡介日志記錄是發(fā)現(xiàn)網(wǎng)絡事件和執(zhí)行排錯的一項重要工具。正確的日志記錄，能夠反映多臺設備事件之間的關(guān)聯(lián)，是建立安全網(wǎng)絡的重要一環(huán)。如果沒有合適的時間戳，系統(tǒng)日志消息就無法在排除故障中發(fā)揮作用。

1．系統(tǒng)日志和網(wǎng)絡時間協(xié)議系統(tǒng)日志用于記錄來自網(wǎng)絡設備和終端的事件消息，有助于使安全監(jiān)控切實可行，運行日志的服務器通常偵聽UDP的514端口。系統(tǒng)日志消息通常帶有時間戳，這使得不同來源的消息能夠按時間組織，以提供網(wǎng)絡通信過程的視圖，實現(xiàn)此目的的一種方法是在設備上使用NTP。6.2.1系統(tǒng)日志與網(wǎng)絡時間協(xié)議簡介

2．系統(tǒng)日志信息格式簡介日志信息通常是指IOS中系統(tǒng)所產(chǎn)生的報警信息，其中每一條信息都分配了一個告警級別，并攜帶一些說明問題或事件嚴重性的描述信息。日志信息格式IOS規(guī)定，日志信息分為7個級別，每個級別都和一個嚴重等級相關(guān)，級別0最高，級別6最低。6.2.1系統(tǒng)日志與網(wǎng)絡時間協(xié)議簡介

3．系統(tǒng)日志和NTP的配置

（1）配置NTP服務?器

（2）配置日志服務?器

（3）配置NTP客戶?端

（4）配置日志服?務

（5）驗證測?試日志服務器的配置界面NTP服務器的配置界面6.2.2簡單的網(wǎng)絡管理協(xié)議

1．SNMP簡介SNMP（SimpleNetworkManagementProtocol，簡單網(wǎng)絡管理協(xié)議）的前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP），用來對通信線路進行管理。SNMP將不同種類的設備、不同廠家生產(chǎn)的設備、不同型號的設備，定義為一個統(tǒng)一的接口和協(xié)議，使得管理員可以使用統(tǒng)一的界面對這些需要管理的網(wǎng)絡設備進行管理。SNMPv2?認證是由簡單的文本字符串組成的，并且在設備之間以明文且未加密的形式進行通信。Read-Only（只讀）字符串能滿足多數(shù)案例的需求。R1(config)#snmp-servercommunitycrnet@aia!nf0RW10R1(config)#snmp-servercommunitybjcrnetRO10//設置SNMP只讀或讀寫串口令，10

為Access-list

號R1(config)#access-list10permit210.82.8.650.0.0.0R1(config)#access-list10permit210.82.8.690.0.0.0//只讓

210.82.8.65

和

210.82.8.69

兩臺主機可以通過SNMP采集路由器數(shù)據(jù)認證執(zhí)行命令6.2.2簡單的網(wǎng)絡管理協(xié)議

2．SNMP的操作

（1）配置讀寫共同體

（2）配置終端管理程序

（3）查詢路由器接口的MAC地址

（4）關(guān)閉路由器接口SNMP配置網(wǎng)絡拓撲結(jié)構(gòu)路由器接口MAC地址配置界面路由器接口狀態(tài)查詢6.2.3使用端口鏡像來監(jiān)控網(wǎng)絡流量

1．端口分析器的概念

（1）數(shù)據(jù)包分析器：使用軟件（如Wireshark）捕獲和分析流量，以便進行故障排?除。

（2）入侵防御系統(tǒng)：側(cè)重于流量安全，實施后可在發(fā)生網(wǎng)絡攻擊時檢測網(wǎng)絡攻?擊。作為網(wǎng)絡管理員，需要借助網(wǎng)絡協(xié)議分析儀監(jiān)控網(wǎng)絡流量，從而完成故障排除或流量分析任?務。交換機總是盡可能地將數(shù)據(jù)幀直接轉(zhuǎn)發(fā)至目的地，除非目的MAC地址不明確，或是廣播或組播MAC地址時，數(shù)據(jù)幀才會被交換機泛洪至VLAN內(nèi)的所有交換機的端口，由此可見，并不能簡單地把網(wǎng)絡協(xié)議分析儀連接到交換機來監(jiān)控感興趣的數(shù)據(jù)?流。交換機端口分析器原理6.2.3使用端口鏡像來監(jiān)控網(wǎng)絡流量

2．端口分析器的分類

（1）本地SPAN。配置SPAN時需考慮以下三個重要事項：①目的端口不能是源端口，源端口也不能是目的端?口。②目的端口的數(shù)量取決于平?臺。③目的端口不再是普通的交換機端口，僅被監(jiān)控的流量會通過該端?口。

（2）遠程SPAN（簡稱RSPAN）。SPAN的源端口和目的端口位于不同的交換機上。被鏡像的數(shù)據(jù)流需要通過一個專用的VLAN在不同交換機的Trunk?鏈路上傳輸，并最終到達鏡像目的端本地SPAN工作原理RSPAN工作原理6.2.3使用端口鏡像來監(jiān)控網(wǎng)絡流量

3．SPAN的配置實踐

（1）網(wǎng)絡基本配?置。

（2）配置本地SPAN。（3）配置RSPANSPAN配置網(wǎng)絡拓撲圖SPAN配置結(jié)果驗證6.2.4使用NetFlow監(jiān)控網(wǎng)絡流量

1．NetFlow簡介NetFlow?是思科開發(fā)的一種協(xié)議，為IP應用提供一系列高效的重要服務，包括網(wǎng)絡流量統(tǒng)計、基于利用率的網(wǎng)絡賬單、網(wǎng)絡規(guī)劃、安全、拒絕服務監(jiān)控、網(wǎng)絡監(jiān)控，可提供有關(guān)網(wǎng)絡用戶、應用程序、高峰使用時間以及流量路由的重要信?息NetFlow?不像完整的數(shù)據(jù)包捕獲一樣捕獲數(shù)據(jù)包的全部內(nèi)容，而是記錄有關(guān)數(shù)據(jù)包流的信息。NetFl