《计算机网络基础与应用》第8章 网络管理与维护
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
的状态变化。
8.1.4 简单网络管理协议(SNMP)
8.2 网络故障处理
网络故障(network failure)是指由于硬件的问题、软件的漏洞、 病毒的侵入等引起网络无法提供正常服务或降低服务质量的状态。
网络故障必须第一时间处理,不然会影响网络的正常运行。
8.2.1 网络故障概述
故障现象观察 故障相关信息收集 经验判断和理论分析
• 信息项
使用命令
• 基本信息
display diagnostic-information
• 设备信息
display device
• 接口信息
display interface
• 版本信息
display version
• 补丁信息
display patch-information
4.Debug命令
3.入侵检测过程分析
结果处 理
信息收 集
信息分 析
4.入侵检测类型
误用检 测模型
异常检测 模型
8.3.4漏洞扫描
网络漏洞扫描系统远程检测目标主
机TCP/ IP不同端口的服务,记录目 标给予的回答。在获得目标主机
TCP/ IP端口和其对应的网络访问服 务的相关信息后,与网络漏洞扫描 系统提供的漏洞库进行匹配,如果 满足匹配条件,则视为漏洞存在。
分层故障 排除法
分段故障 排除法
分块故障 排除法
替换法
1.分层故障排除法
分层法思想很简单,所有模型都遵循相同的基本前提,当模 型的所有低层结构工作正常时,它的高层结构才能正常工作。
2.分块故障排除法
将网络系统分成几个模块,通过Display命令检查各 个模块,以全局配置、物理接口配置、逻辑接口配置、 路由配置等。分析这些配置文件,发现故障处理故障。
计算机 蠕虫
逻辑炸 弹
2.黑客的攻击手段
(1)口令入侵 (3)DOS攻击
(2)放置特洛伊木马程序。 (4)端口扫描。
(5)网络监听。
(6)欺骗攻击。
(7)电子邮件攻击。
3.网络安全的基本要素
可鉴别 不可抵
机密性 完整性 可用性
性
赖性
4.计算机系统安全等级
美国国防部和国家标准局的《可信计算机系统 评测标准》将计算机系统安全等级分为4类7级。
8.3.5其他网络安全措施
加密技术
虚拟专用网 技术
安全隔离
分为3个级别。
(4)A类。A类是可验证 的保护级。
5.网络安全的防范技术
防火墙 身份验 访问控 入侵检 密码技 反病毒
技术 证技术 制技术 测技术 术
技术
8.3.2 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以 非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络 操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如 链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被
生成的过滤规则来过滤新的通信。
8.3.3入侵检测
入侵检测(ID)是指通过对行为、安 全日志或审计数据或其它网络上可以 获得的信息进行操作,检测到对系统 的闯入或闯入的企图。入侵检测是检 测和响应计算机误用的学科,其作用 包括威慑、检测、响应、损失情况评
估、攻击预测和起诉支持。
2.入侵检测系统模型
3.配置管理
(1)设置开放系统 中有关路由操作的
参数。
(2)被管对象和被 管对象组名字的管
理。
(3)初始化或关闭 被管对象。
(4)根据要求收集 系统当前状态的有
关信息。
(5)获取系统重要 变化的信息。
(6)更改系统的配 置。
4.性能管理
(1)收集 统计信息。
(2)维护 并检查系统 状态日志。
(3)确定 自然和人工 状况下系统 的性能。
(2)可靠性,是指网络必须保证能够稳定地运转,能对各种故障有一定的自愈 能力。 (3)安全性,是指避免用户数据被非法访问、截获、删除、修改,防止系统被 非法入侵和受到病毒侵扰。 (4)经济性,是指对网络管理者而言,网络的建设、运营、维护等费用要求尽 可能少;对网络用户而言,用户能够使用尽量少的费用获得更多的网络服务。
8.3网络安全
网络安全是指计算机网络资产的安全, 保证其不受自然和人为的有害因素的 威胁和迫害。网络安全技术是指各种 网络监控和管理技术,这些技术通过 对网络系统的硬件、软件以及数据资 源进行保护,防止其遭到破坏,保证 网络系统能够安全、可靠地运行。
1.网络威胁
1.网络威胁
计算机 病毒
特洛伊 木马
网络管理代理是驻留在网络设备(这里的设备可以是UNIX工作站、网络打 印机,也可以是其它的网络设备)中的软件模块,它可以获得本地设备的 运转状态、设备特性、系统配置等相关信息。网络管理代理所起的作用是: 充当管理系统与管理代理软件驻留设备之间的中介,通过控制设备的管理
信息数据库(MIB)中的信息来管理该设备。
• 在路由器上打开debugging信息显示命令为。 • <Huawei>terminal debugging • Debug是设备调试,排错中非常重要也非常有效的手段。
缺省下调试信息输出是关闭的,需要用命令将其打开。 使用debug调试设备需要对网络协议和华为产品相对熟 悉的情况下使用。
8.2.3 网络故障排除的常用方法
SNMP管理的网络有三个主要组成部分:管理的设备、代理和网络管理系统。 管理设备是一个网络节点,包含 ANMP 代理并处在管理网络之中。被管理 的设备用于收集并储存管理信息。
8.1.4 简单网络管理协议(SNMP)
SNMP实体不需要在发出请求后等待响应的到来,是一个异 步的请求/响应协议。SNMP仅支持对管理对象值的检索和修
3.分段故障排除法
分段就是把有故障网络分成几个段,逐一排除故障所在 的段。分段的中心思想就是缩小网络故障涉及的设备和 线路,来更快地判定故障,然后再逐级恢复原有网络。
4.替换法
替换法是检查硬件问题最常用的方法。当怀疑是网线 问题时,更换一根确定是好的网线试一试;当怀疑是 接口模块有问题时,更换一个其它接口模块试一试。
括故障管理、性能管理、配置管理、安全管理和计费管理等功能。
1.网络管理者
实施网络管理的实体,驻留在管理工作站上。它是整个网络系 统的核心,完成复杂网络管理功能。网络管理系统要求管理代 理定期收集重要的设备信息,收集到的信息将用于确定单个网
络设备、部分网络或整个网络运行的状态是否正常。
2.管理代理
允许,并监视网络运行ຫໍສະໝຸດ Baidu态。
1.包过滤防火墙
包过滤防火墙又称为包过滤路由器,是根据已经定义好的过滤规则来检查每个数据包,确定 数据包是否符合这个过滤规则,来决定数据包是否能通过,符合的数据包将被转发,而不符
合的数据包将被丢弃。
2.应用网关防火墙
3.应用代理防火墙
4.状态检测防火墙
状态检测防火墙能通过状态检测技术, 动态地维护各个连接的协议状态。状态 检测在包过滤的同时,检查数据包之间 的关联性和数据包中的动态变化。它根 据过去通信信息和其他应用程序获得的 状态信息来动态生成过滤规则,根据新
• -d 不解析主机名; • -h 指定最大TTL大小; • -j 设定松散源地址路由列表; • -w 用于设置UDP报文的超时时间,单位毫秒。
3.Display命令
• display命令是用于了解路由器的当前状况、检测相邻路由器、从总体上监 控网络、隔离互连网络中故障的最重要的工具之一。几乎在任何故障排除和 监控场合,display命令都是必不可少的。
止ping命令并查看当前的统计结果,而Ctr+C则中断命 令的执行。 • -l 设置Ping报文所携带的数据部分的字节数,设置范 围从0至65500。
2.Traceroute 命令
• tracert [ -d ] [ -h maximum_hops ] [ -j host-list ] [ -w timeout ] host
用于监控网络互联环境的工作状况和 解决基本的网络故障。主要命令为:
Ping命令
Traceroute 命令
Show命令
Debug命 令
1.Ping命令
• Ping [ -n number ] [ -t ] [ -l number ] ip-address • -n Ping报文的个数,缺省值为5; • -t 持续地ping 直到人为地中断,Ctr+Breack暂时中
8.1.4 简单网络管理协议(SNMP)
SNMP是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、 交换机及 HUBS等)的一种标准协议,它是一种应用层协议。 SNMP 使网 络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。
改等简单操作,SNMPv1支持以下四种操作,如下所述。
(1)get操作。用于获 取特定对象的值,提取 指定的网络管理信息。
(2)get-next操作。通 过遍历MIB树获取对象 的值,提供扫描MIB树 和依次检索数据的方法。
(3)set操作。用于修 改对象的值,对管理信
息进行控制。
(4)trap操作。用于通 报重要事件的发生,代 理使用它发送非请求性 通知给一个或多个预配 置的管理工作站,用于 向管理者报告管理对象
(1)D类。D类的安全级 别最低,保护措施最少且
没有安全功能。
(2)C类。C类是自定义 保护级,该级的安全特点 是系统的对象可自主定义 访问权限。C类分为两个
级别为C1级与C2级。
(3)B类。B类是强制式 安全保护类,它的特点在 于由系统强制实现安全保 护,因此用户不能分配权 限,只能通过管理员对用 户进行权限的分配。B类
(4)改变 系统操作模 式以进行系 统性能管理 的操作。
5.安全管理
(1)创建、删 除、控制安全服
务和机制
(2)维护和检 查与安全相关信
息的分布
(3)维护和检 查与安全相关事
件的报告
8.1.3网络管理系统(NMS)
网络管理系统是用来管理网络、保障网络正常运行的软件和硬件的有机 组合,是在网络管理平台的基础上实现的各种网络管理功能的集合,包
3.管理信息库(MIB)
管理信息库存储在被管理对象的存储器中,管理库是一个 动态刷新的数据库,它包括网络设备的配置信息,数据通 信的统计信息,安全性信息和设备特有信息。这些信息、
被动态送往管理器,形成网络管理系统的数据来源。
4.代理设备和管理协议
代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起 桥梁作用。利用代理设备,不需要升级整个网络就可以实现从旧协议 到新版本的过渡。对于网络管理系统来说,重要的是管理员和管理代 理之间所使用的网络管理协议,如SNMP,和它们共同遵循的MIB库。
循环2
网络故障的分类
各种可能原因列表 对每一原因实施排错方案
故障排除?
N
Y
故障排除过程文档化
循环1
(1)连通性问题。硬件、 系统、电源、媒介故障;
配置错误;不正确的相
恢复实施方案前的网络状态
互作用。
(2)性能问题。网络拥 塞;到目的地不是最佳 路由;转发异常;路由
环路;网络错误。
8.2.2 网络故障处理的诊断工具
3.能够运行网络工具应对网络安全威胁
8.1网络管理概述
网络管理是以计算机网络等相关技术为手段,
对各种网络进行监视、控制、运营以及维护等。 网络管理已成为计算机网络建设中的一个非常 重要的部分,它是进行网络维护的重要手段, 并且决定着网络资源的利用率和效益的发挥。
8.1.1网络管理的特征
(1)有效性,是指网络要能准确而及时地传递信息。
第八章 网络管理与维护
人民邮电出版社 主编:孟敬
目 录
【知识目标】
1.掌握计算机网络管理的概念及网络管理协议 2.掌握网络故障的分类与故障排除的过程 3.了解网络安全的定义和网络经常面临的威胁
【技能目标】
1.能够描述计算机网络管理的功能与 协议运行的原理
2.能够运用网络诊断工具发现故障原 因并排除故障的方法
8.1.2网络管理的功能
故障管理
安全管理
配置管理
性能管理 计费管理
1.故障管理
(1)维护并检查 错误日志。 (2)接受错误检测报告并 作出响应。
(3)跟踪、辨认错误。 (4)执行诊断 测试。
(5)纠正错误。
2.计费管理
计费管理记录网络资源的使用,目的是控制 和监测网络操作的费用和代价。计费管理的 目的是计算和收取用户使用网络服务的费用。
8.1.4 简单网络管理协议(SNMP)
8.2 网络故障处理
网络故障(network failure)是指由于硬件的问题、软件的漏洞、 病毒的侵入等引起网络无法提供正常服务或降低服务质量的状态。
网络故障必须第一时间处理,不然会影响网络的正常运行。
8.2.1 网络故障概述
故障现象观察 故障相关信息收集 经验判断和理论分析
• 信息项
使用命令
• 基本信息
display diagnostic-information
• 设备信息
display device
• 接口信息
display interface
• 版本信息
display version
• 补丁信息
display patch-information
4.Debug命令
3.入侵检测过程分析
结果处 理
信息收 集
信息分 析
4.入侵检测类型
误用检 测模型
异常检测 模型
8.3.4漏洞扫描
网络漏洞扫描系统远程检测目标主
机TCP/ IP不同端口的服务,记录目 标给予的回答。在获得目标主机
TCP/ IP端口和其对应的网络访问服 务的相关信息后,与网络漏洞扫描 系统提供的漏洞库进行匹配,如果 满足匹配条件,则视为漏洞存在。
分层故障 排除法
分段故障 排除法
分块故障 排除法
替换法
1.分层故障排除法
分层法思想很简单,所有模型都遵循相同的基本前提,当模 型的所有低层结构工作正常时,它的高层结构才能正常工作。
2.分块故障排除法
将网络系统分成几个模块,通过Display命令检查各 个模块,以全局配置、物理接口配置、逻辑接口配置、 路由配置等。分析这些配置文件,发现故障处理故障。
计算机 蠕虫
逻辑炸 弹
2.黑客的攻击手段
(1)口令入侵 (3)DOS攻击
(2)放置特洛伊木马程序。 (4)端口扫描。
(5)网络监听。
(6)欺骗攻击。
(7)电子邮件攻击。
3.网络安全的基本要素
可鉴别 不可抵
机密性 完整性 可用性
性
赖性
4.计算机系统安全等级
美国国防部和国家标准局的《可信计算机系统 评测标准》将计算机系统安全等级分为4类7级。
8.3.5其他网络安全措施
加密技术
虚拟专用网 技术
安全隔离
分为3个级别。
(4)A类。A类是可验证 的保护级。
5.网络安全的防范技术
防火墙 身份验 访问控 入侵检 密码技 反病毒
技术 证技术 制技术 测技术 术
技术
8.3.2 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以 非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络 操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如 链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被
生成的过滤规则来过滤新的通信。
8.3.3入侵检测
入侵检测(ID)是指通过对行为、安 全日志或审计数据或其它网络上可以 获得的信息进行操作,检测到对系统 的闯入或闯入的企图。入侵检测是检 测和响应计算机误用的学科,其作用 包括威慑、检测、响应、损失情况评
估、攻击预测和起诉支持。
2.入侵检测系统模型
3.配置管理
(1)设置开放系统 中有关路由操作的
参数。
(2)被管对象和被 管对象组名字的管
理。
(3)初始化或关闭 被管对象。
(4)根据要求收集 系统当前状态的有
关信息。
(5)获取系统重要 变化的信息。
(6)更改系统的配 置。
4.性能管理
(1)收集 统计信息。
(2)维护 并检查系统 状态日志。
(3)确定 自然和人工 状况下系统 的性能。
(2)可靠性,是指网络必须保证能够稳定地运转,能对各种故障有一定的自愈 能力。 (3)安全性,是指避免用户数据被非法访问、截获、删除、修改,防止系统被 非法入侵和受到病毒侵扰。 (4)经济性,是指对网络管理者而言,网络的建设、运营、维护等费用要求尽 可能少;对网络用户而言,用户能够使用尽量少的费用获得更多的网络服务。
8.3网络安全
网络安全是指计算机网络资产的安全, 保证其不受自然和人为的有害因素的 威胁和迫害。网络安全技术是指各种 网络监控和管理技术,这些技术通过 对网络系统的硬件、软件以及数据资 源进行保护,防止其遭到破坏,保证 网络系统能够安全、可靠地运行。
1.网络威胁
1.网络威胁
计算机 病毒
特洛伊 木马
网络管理代理是驻留在网络设备(这里的设备可以是UNIX工作站、网络打 印机,也可以是其它的网络设备)中的软件模块,它可以获得本地设备的 运转状态、设备特性、系统配置等相关信息。网络管理代理所起的作用是: 充当管理系统与管理代理软件驻留设备之间的中介,通过控制设备的管理
信息数据库(MIB)中的信息来管理该设备。
• 在路由器上打开debugging信息显示命令为。 • <Huawei>terminal debugging • Debug是设备调试,排错中非常重要也非常有效的手段。
缺省下调试信息输出是关闭的,需要用命令将其打开。 使用debug调试设备需要对网络协议和华为产品相对熟 悉的情况下使用。
8.2.3 网络故障排除的常用方法
SNMP管理的网络有三个主要组成部分:管理的设备、代理和网络管理系统。 管理设备是一个网络节点,包含 ANMP 代理并处在管理网络之中。被管理 的设备用于收集并储存管理信息。
8.1.4 简单网络管理协议(SNMP)
SNMP实体不需要在发出请求后等待响应的到来,是一个异 步的请求/响应协议。SNMP仅支持对管理对象值的检索和修
3.分段故障排除法
分段就是把有故障网络分成几个段,逐一排除故障所在 的段。分段的中心思想就是缩小网络故障涉及的设备和 线路,来更快地判定故障,然后再逐级恢复原有网络。
4.替换法
替换法是检查硬件问题最常用的方法。当怀疑是网线 问题时,更换一根确定是好的网线试一试;当怀疑是 接口模块有问题时,更换一个其它接口模块试一试。
括故障管理、性能管理、配置管理、安全管理和计费管理等功能。
1.网络管理者
实施网络管理的实体,驻留在管理工作站上。它是整个网络系 统的核心,完成复杂网络管理功能。网络管理系统要求管理代 理定期收集重要的设备信息,收集到的信息将用于确定单个网
络设备、部分网络或整个网络运行的状态是否正常。
2.管理代理
允许,并监视网络运行ຫໍສະໝຸດ Baidu态。
1.包过滤防火墙
包过滤防火墙又称为包过滤路由器,是根据已经定义好的过滤规则来检查每个数据包,确定 数据包是否符合这个过滤规则,来决定数据包是否能通过,符合的数据包将被转发,而不符
合的数据包将被丢弃。
2.应用网关防火墙
3.应用代理防火墙
4.状态检测防火墙
状态检测防火墙能通过状态检测技术, 动态地维护各个连接的协议状态。状态 检测在包过滤的同时,检查数据包之间 的关联性和数据包中的动态变化。它根 据过去通信信息和其他应用程序获得的 状态信息来动态生成过滤规则,根据新
• -d 不解析主机名; • -h 指定最大TTL大小; • -j 设定松散源地址路由列表; • -w 用于设置UDP报文的超时时间,单位毫秒。
3.Display命令
• display命令是用于了解路由器的当前状况、检测相邻路由器、从总体上监 控网络、隔离互连网络中故障的最重要的工具之一。几乎在任何故障排除和 监控场合,display命令都是必不可少的。
止ping命令并查看当前的统计结果,而Ctr+C则中断命 令的执行。 • -l 设置Ping报文所携带的数据部分的字节数,设置范 围从0至65500。
2.Traceroute 命令
• tracert [ -d ] [ -h maximum_hops ] [ -j host-list ] [ -w timeout ] host
用于监控网络互联环境的工作状况和 解决基本的网络故障。主要命令为:
Ping命令
Traceroute 命令
Show命令
Debug命 令
1.Ping命令
• Ping [ -n number ] [ -t ] [ -l number ] ip-address • -n Ping报文的个数,缺省值为5; • -t 持续地ping 直到人为地中断,Ctr+Breack暂时中
8.1.4 简单网络管理协议(SNMP)
SNMP是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、 交换机及 HUBS等)的一种标准协议,它是一种应用层协议。 SNMP 使网 络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。
改等简单操作,SNMPv1支持以下四种操作,如下所述。
(1)get操作。用于获 取特定对象的值,提取 指定的网络管理信息。
(2)get-next操作。通 过遍历MIB树获取对象 的值,提供扫描MIB树 和依次检索数据的方法。
(3)set操作。用于修 改对象的值,对管理信
息进行控制。
(4)trap操作。用于通 报重要事件的发生,代 理使用它发送非请求性 通知给一个或多个预配 置的管理工作站,用于 向管理者报告管理对象
(1)D类。D类的安全级 别最低,保护措施最少且
没有安全功能。
(2)C类。C类是自定义 保护级,该级的安全特点 是系统的对象可自主定义 访问权限。C类分为两个
级别为C1级与C2级。
(3)B类。B类是强制式 安全保护类,它的特点在 于由系统强制实现安全保 护,因此用户不能分配权 限,只能通过管理员对用 户进行权限的分配。B类
(4)改变 系统操作模 式以进行系 统性能管理 的操作。
5.安全管理
(1)创建、删 除、控制安全服
务和机制
(2)维护和检 查与安全相关信
息的分布
(3)维护和检 查与安全相关事
件的报告
8.1.3网络管理系统(NMS)
网络管理系统是用来管理网络、保障网络正常运行的软件和硬件的有机 组合,是在网络管理平台的基础上实现的各种网络管理功能的集合,包
3.管理信息库(MIB)
管理信息库存储在被管理对象的存储器中,管理库是一个 动态刷新的数据库,它包括网络设备的配置信息,数据通 信的统计信息,安全性信息和设备特有信息。这些信息、
被动态送往管理器,形成网络管理系统的数据来源。
4.代理设备和管理协议
代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起 桥梁作用。利用代理设备,不需要升级整个网络就可以实现从旧协议 到新版本的过渡。对于网络管理系统来说,重要的是管理员和管理代 理之间所使用的网络管理协议,如SNMP,和它们共同遵循的MIB库。
循环2
网络故障的分类
各种可能原因列表 对每一原因实施排错方案
故障排除?
N
Y
故障排除过程文档化
循环1
(1)连通性问题。硬件、 系统、电源、媒介故障;
配置错误;不正确的相
恢复实施方案前的网络状态
互作用。
(2)性能问题。网络拥 塞;到目的地不是最佳 路由;转发异常;路由
环路;网络错误。
8.2.2 网络故障处理的诊断工具
3.能够运行网络工具应对网络安全威胁
8.1网络管理概述
网络管理是以计算机网络等相关技术为手段,
对各种网络进行监视、控制、运营以及维护等。 网络管理已成为计算机网络建设中的一个非常 重要的部分,它是进行网络维护的重要手段, 并且决定着网络资源的利用率和效益的发挥。
8.1.1网络管理的特征
(1)有效性,是指网络要能准确而及时地传递信息。
第八章 网络管理与维护
人民邮电出版社 主编:孟敬
目 录
【知识目标】
1.掌握计算机网络管理的概念及网络管理协议 2.掌握网络故障的分类与故障排除的过程 3.了解网络安全的定义和网络经常面临的威胁
【技能目标】
1.能够描述计算机网络管理的功能与 协议运行的原理
2.能够运用网络诊断工具发现故障原 因并排除故障的方法
8.1.2网络管理的功能
故障管理
安全管理
配置管理
性能管理 计费管理
1.故障管理
(1)维护并检查 错误日志。 (2)接受错误检测报告并 作出响应。
(3)跟踪、辨认错误。 (4)执行诊断 测试。
(5)纠正错误。
2.计费管理
计费管理记录网络资源的使用,目的是控制 和监测网络操作的费用和代价。计费管理的 目的是计算和收取用户使用网络服务的费用。