《計(jì)算機(jī)網(wǎng)絡(luò)安全與管理實(shí)踐》課件-第6章

第6章網(wǎng)絡(luò)管理理論基礎(chǔ)6.1計(jì)算機(jī)網(wǎng)絡(luò)管理概述6.2網(wǎng)絡(luò)管理協(xié)議6.3網(wǎng)絡(luò)故障排除本章小結(jié)

6.1計(jì)算機(jī)網(wǎng)絡(luò)管理概述

6.1.1計(jì)算機(jī)網(wǎng)絡(luò)管理基本概念一般來講，網(wǎng)絡(luò)管理是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動(dòng)的總稱。由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性、開放性，要保證網(wǎng)絡(luò)持續(xù)、穩(wěn)定和安全、可靠、高效地運(yùn)行，使網(wǎng)絡(luò)能夠充分發(fā)揮其作用，就必須實(shí)施一系列的管理措施。

網(wǎng)絡(luò)管理的任務(wù)就是收集、監(jiān)控網(wǎng)絡(luò)中各種資源的使用和各種網(wǎng)絡(luò)活動(dòng)，如設(shè)備和設(shè)施的工作參數(shù)、工作狀態(tài)信息，并及時(shí)通知管理員進(jìn)行處理，從而使網(wǎng)絡(luò)的性能達(dá)到最優(yōu)，

以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的管理。

具體來說，網(wǎng)絡(luò)管理包含兩大任務(wù)：一是對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)的監(jiān)測(cè)，二是對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)的控制。通過對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)的監(jiān)測(cè)可以了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀態(tài)是否正常，是否存在

瓶頸和潛在的危機(jī)；通過對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)的控制可以對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行合理的調(diào)節(jié)，提高性能，保證服務(wù)質(zhì)量。

1.網(wǎng)絡(luò)管理的范圍

管理網(wǎng)絡(luò)是網(wǎng)絡(luò)高效運(yùn)行的前提和保障，管理的對(duì)象不僅是網(wǎng)絡(luò)鏈路的暢通、服務(wù)器的正常運(yùn)行等硬因素，更包括網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)流轉(zhuǎn)等軟因素。

1)設(shè)計(jì)規(guī)劃網(wǎng)絡(luò)

根據(jù)企業(yè)財(cái)力情況、應(yīng)用需求和建筑布局情況，規(guī)劃設(shè)計(jì)合理的網(wǎng)絡(luò)建設(shè)方案，包括網(wǎng)絡(luò)布線方案、設(shè)備購置方案和網(wǎng)絡(luò)應(yīng)用方案。

2)配置和維護(hù)網(wǎng)絡(luò)設(shè)備

在網(wǎng)絡(luò)建設(shè)初期，應(yīng)當(dāng)根據(jù)性能最優(yōu)化和安全最大化的原則配置網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)計(jì)算機(jī)互連。

3)搭建網(wǎng)絡(luò)服務(wù)器

網(wǎng)絡(luò)服務(wù)器的搭建是實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)的基礎(chǔ)。很顯然，每種網(wǎng)絡(luò)服務(wù)都需要相應(yīng)的網(wǎng)絡(luò)服務(wù)器的支持。

4)保障系統(tǒng)正常運(yùn)行

只有網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，才能提供正常的網(wǎng)絡(luò)服務(wù)，無論是鏈路中斷、設(shè)備故障，還是系統(tǒng)癱瘓，都將直接影響網(wǎng)絡(luò)服務(wù)的提供，因此，網(wǎng)絡(luò)管理員還擔(dān)負(fù)著維護(hù)企業(yè)網(wǎng)絡(luò)正常運(yùn)行的職責(zé)。

5)制作和維護(hù)企業(yè)網(wǎng)站

網(wǎng)站是企業(yè)在Internet上的名片。

6)保護(hù)網(wǎng)絡(luò)安全

Internet已經(jīng)成為企業(yè)獲取和發(fā)布信息的重要工具。

7)保證數(shù)據(jù)安全

由于絕大多數(shù)重要數(shù)據(jù)都被集中存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器上，因此必須采取切實(shí)有效的手段保證數(shù)據(jù)的存儲(chǔ)安全和訪問安全。

2.網(wǎng)絡(luò)管理系統(tǒng)的構(gòu)成

在一個(gè)網(wǎng)絡(luò)的運(yùn)營(yíng)管理中，網(wǎng)絡(luò)管理人員是通過網(wǎng)絡(luò)管理系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理的。一個(gè)網(wǎng)絡(luò)管理系統(tǒng)一般由管理進(jìn)程、管理代理、管理信息庫(MIB)和管理協(xié)議四部分構(gòu)成。網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型如圖6-1所示。圖6-1網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型

6.1.2計(jì)算機(jī)網(wǎng)絡(luò)管理的功能

國(guó)際標(biāo)準(zhǔn)化組織定義的網(wǎng)絡(luò)管理有5大功能：配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理。

1.配置管理

配置管理是最基本的網(wǎng)絡(luò)管理功能，它負(fù)責(zé)監(jiān)測(cè)和控制網(wǎng)絡(luò)的配置狀態(tài)。

2.性能管理

性能管理保證有效運(yùn)營(yíng)網(wǎng)絡(luò)和提供約定的服務(wù)質(zhì)量，在保證各種業(yè)務(wù)服務(wù)質(zhì)量的同時(shí)，盡量提高網(wǎng)絡(luò)資源利用率。

3.故障管理

故障管理的作用是迅速發(fā)現(xiàn)、定位和排除網(wǎng)絡(luò)故障，動(dòng)態(tài)維護(hù)網(wǎng)絡(luò)的有效性。故障管理的主要功能有告警監(jiān)測(cè)、故障定位、測(cè)試、業(yè)務(wù)恢復(fù)以及修復(fù)等，同時(shí)還要維護(hù)故障目

標(biāo)。

4.安全管理

安全管理的作用是提供信息的保密、認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)數(shù)據(jù)和系統(tǒng)免受侵?jǐn)_和破壞。安全管理主要包括風(fēng)險(xiǎn)分析、安全服務(wù)、告警、日志和報(bào)告功能以

及網(wǎng)絡(luò)管理系統(tǒng)保護(hù)功能。

5.計(jì)費(fèi)管理

計(jì)費(fèi)管理的作用是正確計(jì)算和收取用戶使用網(wǎng)絡(luò)服務(wù)的費(fèi)用，進(jìn)行網(wǎng)絡(luò)資源利用率的統(tǒng)計(jì)和網(wǎng)絡(luò)成本效益的核算。計(jì)費(fèi)管理的目標(biāo)是衡量網(wǎng)絡(luò)的利用率，以便一個(gè)或一組用戶

可以按規(guī)則利用網(wǎng)絡(luò)資源，這樣的規(guī)則使網(wǎng)絡(luò)故障降低到最小(因?yàn)榫W(wǎng)絡(luò)資源可以根據(jù)其能力的大小而合理地分配)，也可使所有用戶對(duì)網(wǎng)絡(luò)的訪問更加公平。為了實(shí)現(xiàn)合理的計(jì)費(fèi)，

計(jì)費(fèi)管理必須和性能管理相結(jié)合。

6.1.3計(jì)算機(jī)網(wǎng)絡(luò)管理員

一般而言，一名合格的網(wǎng)絡(luò)管理員應(yīng)該具備以下能力。

(1)網(wǎng)絡(luò)管理員應(yīng)該具備一定的設(shè)計(jì)能力，能夠規(guī)劃設(shè)計(jì)包含路由的局域網(wǎng)和廣域網(wǎng)，為中小型企業(yè)網(wǎng)絡(luò)(500節(jié)點(diǎn)以下)提供完全的解決方案。

(2)深入了解TCP/IP網(wǎng)絡(luò)協(xié)議，能夠獨(dú)立完成路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的安裝、連接、配置和操作，搭建多層交換的企業(yè)網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)互連和Internet連接。

(3)掌握網(wǎng)絡(luò)軟件工具的使用，迅速診斷、定位和排除網(wǎng)絡(luò)故障，正確使用、保養(yǎng)和維護(hù)硬件設(shè)備。

(4)應(yīng)當(dāng)為企業(yè)設(shè)計(jì)完整的網(wǎng)絡(luò)安全解決方案，以降低收益損失和攻擊風(fēng)險(xiǎn)。根據(jù)企業(yè)對(duì)其網(wǎng)絡(luò)安全弱點(diǎn)的評(píng)估，針對(duì)已知的安全威脅，選擇適當(dāng)?shù)挠布?、軟件、策略以及?/p>

置以提供保護(hù)選擇。

(5)需要熟悉Windows2003/2008Server網(wǎng)絡(luò)操作系統(tǒng)，具備使用高級(jí)Windows平臺(tái)和Microsoft服務(wù)器產(chǎn)品，為企業(yè)提供成功的設(shè)計(jì)、實(shí)施和管理商業(yè)解決方案的能力。

(6)掌握數(shù)據(jù)庫的基本原理，能夠圍繞MicrosoftSQLServer數(shù)據(jù)庫系統(tǒng)開展實(shí)施與管理工作，實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)的綜合應(yīng)用。

6.2網(wǎng)絡(luò)管理協(xié)議

6.2.1網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)介網(wǎng)絡(luò)管理系統(tǒng)中最重要的部分就是網(wǎng)絡(luò)管理協(xié)議，它定義了網(wǎng)絡(luò)管理者與被管理者之間進(jìn)行通信的統(tǒng)一的語法和規(guī)則。在網(wǎng)絡(luò)管理協(xié)議產(chǎn)生以前，管理者要學(xué)習(xí)各種不同網(wǎng)絡(luò)設(shè)備獲取數(shù)據(jù)的方法，因?yàn)榧词故枪δ芟嗤脑O(shè)備，各個(gè)生產(chǎn)廠家使用的收集數(shù)據(jù)的方法也可能不一樣。這種狀況已不能適應(yīng)網(wǎng)絡(luò)互連發(fā)展的需要。

6.2.2SNMP協(xié)議

SNMP是最早提出的網(wǎng)絡(luò)管理協(xié)議之一，提供了一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)方法。由于它簡(jiǎn)單明了，實(shí)現(xiàn)起來比較容易，一經(jīng)推出便得到了廣泛的應(yīng)用和支持，SNMP

已成為網(wǎng)絡(luò)管理事實(shí)上的標(biāo)準(zhǔn)。

6.2.3網(wǎng)絡(luò)配置協(xié)議

1.Netconf簡(jiǎn)介

Netconf，即網(wǎng)絡(luò)配置協(xié)議，是IETF設(shè)計(jì)的全新一代網(wǎng)絡(luò)管理協(xié)議。Netconf協(xié)議完全基于XML之上，所有的配置數(shù)據(jù)和協(xié)議消息都用XML表示。

2.Netconf層次結(jié)構(gòu)

如同ISO/OSI一樣，Netconf協(xié)議也采用了分層結(jié)構(gòu)，每個(gè)層分別對(duì)協(xié)議的某一個(gè)方面進(jìn)行包裝，并向上層提供相關(guān)的服務(wù)。分層結(jié)構(gòu)能讓每個(gè)層次只關(guān)注協(xié)議的一個(gè)方面，實(shí)現(xiàn)起來更加簡(jiǎn)單，同時(shí)合理地解耦各層之間的依賴，可以將各層內(nèi)部實(shí)現(xiàn)機(jī)制的變更對(duì)其他層的影響降到最低。Netconf協(xié)議分成四層：內(nèi)容層、操作層、RPC層、通信協(xié)議層。

1)內(nèi)容層

內(nèi)容層是被管對(duì)象的集合。

2)操作層

操作層定義了一系列在RPC中應(yīng)用的基本的原語操作集，這些操作將組成Netconf的基本能力。

3)RPC層

RPC層為RPC模塊的編碼提供了一個(gè)簡(jiǎn)單的、與傳輸協(xié)議無關(guān)的機(jī)制。通過使用<rpc>和<rpc-reply>元素對(duì)Netconf協(xié)議的客戶端(網(wǎng)絡(luò)管理者或網(wǎng)絡(luò)配置應(yīng)用程序)和服務(wù)器端(網(wǎng)絡(luò)設(shè)備)的請(qǐng)求和響應(yīng)數(shù)據(jù)(即操作層和內(nèi)容層的內(nèi)容)進(jìn)行封裝。

4)通信協(xié)議層

通信協(xié)議層主要提供一個(gè)客戶端與服務(wù)器的通信路徑。Netconf可以基于任何能夠提供基本傳輸需求的傳輸協(xié)議實(shí)現(xiàn)分層。

6.3網(wǎng)絡(luò)故障排除

網(wǎng)絡(luò)故障大致可以分為四類，即鏈路故障、配置故障、協(xié)議故障和服務(wù)故障。

6.3.1故障診斷與排除

1.鏈路故障

當(dāng)一臺(tái)正常連接的服務(wù)器突然無法提供服務(wù)后，鏈路故障的可能性最大。當(dāng)計(jì)算機(jī)出現(xiàn)上述鏈路故障現(xiàn)象時(shí)，應(yīng)當(dāng)按照以下步驟進(jìn)行故障的定位。

1)確認(rèn)鏈路故障

2)基本檢查

3)初步測(cè)試

4)排除網(wǎng)卡

5)排除網(wǎng)絡(luò)協(xié)議故障

6)故障定位

7)故障排除

2.協(xié)議故障

協(xié)議故障的表現(xiàn)在許多方面與鏈路故障有相似之處，以下原因可能導(dǎo)致協(xié)議故障：協(xié)議未安裝、協(xié)議配置不正確、網(wǎng)絡(luò)有兩個(gè)或兩個(gè)以上的計(jì)算機(jī)使用同一名稱。當(dāng)計(jì)算機(jī)出

現(xiàn)上述協(xié)議故障時(shí)，應(yīng)當(dāng)按照以下方法進(jìn)行故障的定位。

(1)檢查計(jì)算機(jī)是否安裝TCP/IP協(xié)議和NETBEUI協(xié)議。實(shí)現(xiàn)局域網(wǎng)通信，需安裝NetBEUI協(xié)議；實(shí)現(xiàn)Internet通信，需安裝TCP/IP協(xié)議。

(2)檢查計(jì)算機(jī)的TCP/IP配置參數(shù)是否正確。TCP/IP協(xié)議涉及的基本配置參數(shù)有4個(gè)，即IP地址、子網(wǎng)掩碼、DNS(域名解析服務(wù))和默認(rèn)網(wǎng)關(guān)，任何一個(gè)設(shè)置錯(cuò)誤，都可能導(dǎo)致故障發(fā)生。

(3)使用Ping命令，測(cè)試與其他計(jì)算機(jī)和服務(wù)器的連接狀況。

3.配置故障

網(wǎng)絡(luò)管理員對(duì)服務(wù)器、交換機(jī)、路由器的不當(dāng)設(shè)置自然會(huì)導(dǎo)致網(wǎng)絡(luò)故障，計(jì)算機(jī)使用者(特別是接觸計(jì)算機(jī)時(shí)間不長(zhǎng)的員工)對(duì)計(jì)算機(jī)設(shè)置的修改，也往往會(huì)產(chǎn)生意想不到的訪問錯(cuò)誤。

(1)服務(wù)器配置錯(cuò)誤。

(2)網(wǎng)絡(luò)配置錯(cuò)誤。

(3)用戶配置錯(cuò)誤。

4.網(wǎng)絡(luò)服務(wù)故障

導(dǎo)致網(wǎng)絡(luò)服務(wù)故障的可能性包括兩個(gè)方面，即服務(wù)器硬件故障和操作系統(tǒng)故障。通常情況下，導(dǎo)致網(wǎng)絡(luò)服務(wù)故障最主要的原因是操作系統(tǒng)故障，因此，當(dāng)網(wǎng)絡(luò)服務(wù)故障發(fā)生時(shí)，

首先應(yīng)確認(rèn)服務(wù)器是否感染病毒或被攻擊。

1)服務(wù)器硬件故障

由于服務(wù)器本身在硬件選用上非常嚴(yán)格，所以在非人為干預(yù)情況下，發(fā)生服務(wù)器故障的可能性比較小。硬件故障往往是在安裝新的板卡、修改系統(tǒng)配置文件，或者進(jìn)行擴(kuò)容后

發(fā)生的。

2)操作系統(tǒng)故障

WindowsServer是可以長(zhǎng)期穩(wěn)定正常運(yùn)行的，然而，WindowsServer本身也存在許多系統(tǒng)和安全漏洞，非常容易招致蠕蟲病毒或其他各種惡意攻擊。可以采取以下幾種方式防范病毒攻擊：

(1)只提供網(wǎng)絡(luò)服務(wù)。

(2)關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。

(3)安裝系統(tǒng)補(bǔ)丁。

(4)安裝病毒防火墻。

6.3.2故障排除的一般步驟

1.識(shí)別故障現(xiàn)象

識(shí)別故障現(xiàn)象時(shí)，應(yīng)該詢問以下幾個(gè)問題：

(1)當(dāng)故障現(xiàn)象發(fā)生時(shí)，正在運(yùn)行什么進(jìn)程？

(2)這個(gè)進(jìn)程以前運(yùn)行過嗎？

(3)以前這個(gè)進(jìn)程的運(yùn)行是否成功？

(4)這個(gè)進(jìn)程最后一次成功運(yùn)行是什么時(shí)候？

(5)從什么時(shí)候起發(fā)生了改變？

2.對(duì)故障現(xiàn)象進(jìn)行詳細(xì)描述

處理由用戶報(bào)告的問題時(shí)，對(duì)故障現(xiàn)象的詳細(xì)描述顯得尤為重要。當(dāng)無法做出明確的判斷時(shí)，就要親自到現(xiàn)場(chǎng)去試著操作、運(yùn)行一下程序，并注意出錯(cuò)信息。如果確實(shí)不

了解錯(cuò)誤信息的確切含義，可查詢用戶手冊(cè)。

3.列舉可能導(dǎo)致錯(cuò)誤的原因

接下來，網(wǎng)絡(luò)管理員應(yīng)當(dāng)思考導(dǎo)致錯(cuò)誤的原因可能有哪些，如網(wǎng)卡硬件故障、網(wǎng)絡(luò)連接故障、網(wǎng)絡(luò)設(shè)備故障、TCP/IP協(xié)議設(shè)置不當(dāng)，等等。然后根據(jù)出錯(cuò)的可能性把這些原因按優(yōu)先級(jí)別進(jìn)行排序，不要忽略其中的任何一個(gè)。

4.縮小搜索范圍

網(wǎng)絡(luò)管理員須采用有效的軟硬件工具，從各種可能導(dǎo)致錯(cuò)誤的原因中一一剔除非故障因素。對(duì)所有列出的可能導(dǎo)致錯(cuò)誤的原因逐一進(jìn)行測(cè)試，從而判斷某一區(qū)域的網(wǎng)絡(luò)運(yùn)行是

正?；蚴遣徽！Ａ硗?，也不要在自己已經(jīng)確定了的一個(gè)錯(cuò)誤上停下來，而不再繼續(xù)測(cè)試，因?yàn)榇藭r(shí)既有可能是搞錯(cuò)了，也有可能存在的錯(cuò)誤不止一個(gè)，所以盡量使用所有可能的方

法來測(cè)試所有的可能性。

5.故障分析

處理完問題之后，網(wǎng)絡(luò)管理員必須分析故障是如何發(fā)生的，是什么原因?qū)е铝斯收系陌l(fā)生，以后如何避免類似故障的發(fā)生，從而擬定相應(yīng)的對(duì)策，采取必要的措施，制定嚴(yán)格

的規(guī)章制度。

本章小結(jié)