自己整理imc知识点.docx
《自己整理imc知识点.docx》由会员分享,可在线阅读,更多相关《自己整理imc知识点.docx(20页珍藏版)》请在冰豆网上搜索。
自己整理imc知识点
1、网络管理功能域包括:
1、故障管理2、性能管理3、配置管理4、计费管理5、安全管理
2、iMC是intelligentManagementCenter智能管理中心
3、MIB是ManagementInformationBase
4、SOA架构:
基础层、服务层、应用层
5、iMC平台分为专业版、标准版和中小企业版,各版本有一定的区别:
a、专业版和标准版同时支持windows和linux操作系统,而中小企业版只支持windows操作系统
b、标准版和中小企业版的iMC产品中,目前集成了SQLServer2008R2Express数据库。
安装标准版或中小企业版时,用户既可以选择使用免费的内嵌数据库,也可以选择使用独立的数据库。
因为内嵌的数据库容量有限,在管理规模大、数据多的环境下不建议使用。
c、专业版和标准版的功能相似,且能够承载其他的业务组件。
而中小企业板和另外两个版本相比,功能上有所删减,且不提供业务组件的支撑。
d、iMC的专业版较标准版只增加一种分级管理功能。
专业版没有内嵌的数据库
6、IETF的网络管理模型包含四个要素:
网络管理者、网管代理、网络管理协议、管理信息库
7、网络管理平台基本应用主要包括:
网络资源管理、网络拓扑管理、性能监视、事件管理和配置管理
8、平台组件功能:
拓扑管理、设备配置下发和版本升级、周期报表查看、ACL资源管理、VLAN资源管理等(不包括QOS,IPSEC等管理功能)
9、iMC产品的安装顺序:
首先安装配置操作系统和数据库,再安装IMC平台,最后安装其他的iMC业务组件
10、目前windows版的iMC使用SQLServer数据库;Linux版的iMC使用Oracle数据库,数据库应该在主从服务器上安装
11、iMC为B/S架构,仅需完成服务器端的安装即可,用户使用WEB浏览器完成管理(只有平台的基本组件执行install操作)
12、EAD策略:
DAM、VAM
13、以windows版的iMC为例,平台安装完毕后,即可启动部署监控代理(DMA,DMA不属于任何组件,是运行在iMC服务器上的管理程序,是iMC平台及其它业务组件的公共组件)
14、DMA能提供:
服务器操作系统及数据库环境的监测、iMC进程管理、iMC安装部署管理、iMC备份与恢复管理
15、iMC的安装是指将安装文件从安装盘中复制到指定的iMC安装目录的过程,为后继的部署做准备
16、iMC的部署是指通常意义上的程序安装过程,只能在完成安装的基础上执行部署、部署的过程会执行创建数据库等操作,升级盘和补丁的部署同样遵循先安装后部署的原则,部署分为集中式部署和分布式部署
17、集中式部署:
iMC平台和所有组件均部署在同一台服务器上
18、分布式部署的前提条件:
从服务器上仍然需要首先完成数据库的安装;在主服务器上安装完成的组件,才能在从服务器上执行部署;主服务器至少完成资源管理模块的部署,且iMC启动完毕;在从服务器上WEB登录主服务器的配置台,远程下载并安装部署监控代理
19、在45天的试用期内iMC保留所有功能
20、在实际工作中不建议用虚拟机,因为虚拟机的网卡会变化;linux需采集内存大小及网卡参数
21、登录方式:
http:
//X.X.X.X:
8080/imc、https:
//X.X.X.X:
8443/imc,通过修改c:
\programfiles\imc\client\conf\applicationcontext.xml文件可以使登录方式只支持https;用户名密码均为admin
22、数据库引擎服务主要用于存储、处理数据,它是SQLServer2008数据库的核心部分,同时也是其他几项服务的基础
23、可以在一台服务器上同时运行多套数据库系统,每一个数据库安装称之为一个数据库实例
24、SQLServer使用的默认侦听端口为TCP1433
25、SQLServer作为windows服务运行,需要为每个SQLServer服务指定运行服务的账户
26、SQLServer的两种登录方式:
windows身份验证和混合模式;H3CiMC要求SQLServer的身份验证模式必须使用混合模式
27、SQLServer配置管理器可以用于启动、停止、暂停和重新启动数据库相关联的服务,以及配置各项服务的启动模式
28、服务器启用了网络协议且正确配置了侦听的ip地址、tcp/ip端口等参数后,客户端才能连接到数据库引擎
29、数据库文件分为主要数据文件和次要数据文件。
主要数据文件包含数据库的启动信息:
每个数据库必须且只能有一个主要数据文件;主要数据文件建议的扩展名为.mdf;次要数据文件由用户自定义并存放用户数据:
次要文件可以有多个,用于将数据分散到多个磁盘上;次要数据文件建议的扩展名为.ndf
30、SQLServer2008数据库文件在创建时可以指定一个初始大小和特定增量,并启动自动增长。
在启用自动增长的情况下,如果数据库的数据文件有多个,则只有在这多个文件都被填满之后文件才会继续增长,增长的方式为各个文件循环增长。
每个数据库文件可以指定一个最大值,如果没有指定,则文件可以增长到用完文件所在磁盘的空间。
31、使用SSMS可以查看数据库文件的详细信息;可以设置数据库文件的大小及增长限制;可以完成数据文件的移动;提供收缩数据库向导
32、随着数据量的增加,数据库文件的大小也会随之变化(数据库收缩)
33、SQLServer2008的安全机制可以分三个级别:
操作系统级别、SQLServer级别、数据库级别
34、SQLServer数据库系统的索引从类型上可以分为聚集索引和非聚集索引
35、常用的数据库操作语言(DML)主要有:
select语句、insert语句、update语句、delete语句(edit语句不属于查询语句)
36、SQLServer2008的三种恢复模式:
完整恢复模式、大容量日志恢复模式、简单恢复模式
37、SQLServer2008的主要备份策略:
完全数据库备份、数据库和事务日志备份、差异备份、文件或文件组备份
38、差异备份策略也叫增量备份
39、SQLServer数据库文件的大小受安装时设置的影响,可以设置成自动增长且增长不限制文件大小
40、SNMP网络管理框架包含三个重要概念:
管理信息库(MIB)、管理信息结构(SMI)、简单网络管理协议(SNMP)
41、MIB是由SNMP调用的
42、MIB可以分为公有MIB和私有MIB。
公有MIB也叫标准MIB,用来实现各厂商通用的基础网络管理功能,而私有MIB则为各厂商自定义的MIB,用来配合特定的管理软件实现其个性化的管理功能
43、H3C公司的私有MIB节点的根可以表示为1.3.6.1.4.1.25506
44、MIB对象分为标量对象和表对象,在表示一个完整的对象实例的OID时,需要在该对象标识符后面加上实例索引值:
访问标量对象时,在对象标识符后补一个0;访问表对象时,在对象标识符末尾补上具体的实例索引值
45、设备在iMC上显示为pc的原因:
设备上未配置SNMP或配置参数和设备不一致、有防火墙或ACL屏蔽SNMP协议端口号
46、对于基于设备私有MIB实现的性能监视,网管系统可以在了解该MIB的基础上自定义监视方法
47、告警的两种实现方法:
一种是网管主动周期性的检查网络设备的运行状态,这种操作称之为轮询;另一种是当设备发现自身故障时主动上报给网管系统,称之为Trap
48、配置轮询会通过SNMP协议获取指示设备运行状态的相关MIB对象的值,缺省间隔为120分钟
49、SNMPV1共定义了五种报文:
iMC(GetRequest、GetNextRequest、SetRequest)、SNMPAgent(GetResponse、Trap)
50、GetRequest、GetNextRequest、SetRequest是一种简单的请求加应答的操作方式,网络管理者使用随机源端口向网管代理的UDP端口161发送请求,网管代理使用UDP端口161作为源端口,向请求中的随机源端口发送回应
51、由网管代理向网络管理者主动上报事件的操作,使用随机的源端口向网络管理者的UDP端口162发送Trap
52、SNMPV1、V2C团体字分为只读团体字和读写团体字
53、SNMPV2C、SNMPV3在V1的基础上新增了两种报文:
GetBulkRequest和InformRequest
54、SNMPV3定义了全新的报文格式,但仍然沿用SNMPV2C的PDU,无需配置读写团体
55、SNMPV1和SNMPV2使用基于明文团体名的安全机制,对消息来源,完整性及机密性没有任何保障机制。
这些安全隐患在SNMPV3中均得到了很好的改善。
SNMPV3通过基于用户的安全模型(USM)和基于视图的访问控制模型(VACM)使得安全性得到显著的增强
56、SNMPV3基于共享密钥使用单向散列算法为报文添加签名
57、iMC平台支持全面的基础资源管理,主要体现在:
a、更多的管理设备类型b、多厂家设备的统一管理c、灵活快捷的自动发现算法d、直观的设备面板管理
e、清晰的网络设备资产管理
58、iMC支持多种形式的拓扑管理,主要包含:
a、ip拓扑b、增强的二层拓扑c、全网拓扑d、数据中心机房、机架拓扑
59、iMC平台提供强大的告警管理,体现在:
a、清晰直观的故障显示b、智能的告警关联和告警过滤c、智能的告警根源及影响度分析d、灵活的告警定义e、丰富的告警转发机制f、自动告警转储
60、iMC的性能管理:
支持性能视图和性能报表等多种数据查看方式、支持在拓扑图中自定义展示性能数据、支持自定义监视实例和性能阈值
61、iMC的性能管理还支持性能告警。
当性能数据达到某一阈值时由iMC平台产生某种级别的告警,支持配置两级阈值
62、ACL和VLAN是通过telnet/ssh实现的,其它的是通过SNMP操作
63、802.1X称之为基于端口的访问控制协议,解决局域网用户的接入认证问题,由三个部分组成:
客户端SupplicantSystem、设备端AuthenticatorSystem、认证服务AuthenticationServerSystem
64、UAM组件作为Radius服务器组件,目前支持的接入方式包括802.1X,Portal、VPN、无线等
65、Raduis支持telnet/ssh/terminal/l2tpvpn/ipsecvpn/802.1x/portal/pppoe(sslvpn不选)
66、iNode管理中心勾选无可溶解客户端
67、802.1X系统的核心概念:
非受控端口(始终处于双向连通状态);受控端口(在非授权状态不处理业务(协议报文可以通过,数据报文不可以通过),而经过授权之后则处于双向连通状态)
68、802.1x认证通过前不能访问Radiusserver即不通
69、端口受控模式有两种:
基于端口和基于Mac的,H3C设备默认采用基于MAC的控制
70、三种常用的主流接入认证方式:
802.1X、PPPoE、和Portal认证
71、认证前不能获取ip地址
72、被动触发方式:
每隔一定的时间间隔,向客户端发送EAP-Request/Identity帧
73、当iNode与Cisco交换机配合使用时,必须指定客户端使用目的MAC为组播(0180c2000003)的协议帧与设备端交互(缺省使用目的Mac为交换机MAC的单播报文与设备端交互)
74、Radius工作在UDP协议之上,认证服务器监听UDP1812端口,计费服务器监听UDP1813端口
75、Radius报文格式取值为3表示Access-Reject、取值为4表示Accounting-Request
76、Radius编号为26号的属性供厂商自行扩展
77、维持客户在线,Portal设备和Radiusserver用Accounting维持AAA用户在线;客户端和Portalserver用handshake维持Portal用户在线
78、域名标识With-domain(后缀非空)和without-domain(后缀为空)
79、UAM的vlan功能:
接入业务、用户
80、UAM不能提供动态地址分配,只能动态指定分配,提供802.1x、Portal、L2tp
81、针对一个用户,可以设置多个服务在线,通过加后缀区分
82、说法错误的是:
a、基于端口b、全局802.1Xc、pppchapeapd、认证前能访问服务器(a、b、d)
83、服务器通过Radius的Access-Accept报文实现向设备授权,典型例子是下发vlan
84、Vlan有两种下发模式:
下发vlan编号和下发vlan的别名
85、UAM服务器在授权信息配置中提供了三种下发ACL的方式:
手工输入、列表选择、接入ACL列表
86、Session-Timeout属性的值被填充为0时,表示服务器通知设备端强制该用户下线
87、策略服务器并非单独的一台服务器,也不是一个单独的业务组件,而是集成在UAM组件中并缺省启用
88、使能“仅限iNode客户端”实际上是使能了UAM的客户端版本检测功能。
客户端版本检测有两种途径:
一种是使用扩展EAPOL帧上传版本信息,需要H3C设备端支持;另一种设备无关的方式,也是目前普遍的使用方式,是有iNode的客户端在回应用户名的同时,将版本信息一同上报到设备端,在由设备端将版本信息和用户名一同存放在RadiusAccess-Request报文的用户名属性中上报至服务器。
设备无关方式要求iNode的拨号连接属性中勾选“上传客户端版本号”,服务器侧则无特殊配置要求
89、服务器还需要将客户端控制的相关指令下发给iNode。
下发指令也有两种途径:
一种是服务器通过Access-Accept报文中的私有属性将指令发至设备端,设备端在将指定携带在扩展EAPOL帧中发送到客户端,需要H3C设备端支持;另一种基于策略服务器实现的方式也称为设备无关方式,是待客户端和策略服务器之间建立私有通信机制后,策略服务器通过私有的UDP报文将指令下发到客户端
90、Portal体系构架由四部分组成:
客户端Client、portalserver、宽带接入服务器BAS、Radiusserver(无策略服务器)
91、使用Portal协议的:
PortalServer和BAS之间
92、BAS和RadiusServer二者之间传输的标准的Radius协议
93、支持Portal的设备有:
sw55及以上、MSR,SR路由器、无线AC(36交换机不支持)
94、Portal认证方式的组网灵活、部署快捷、适合旧网改造
95、PortalServer的内部模块之间,以及PortalServer和iNode客户端之间交互的协议称之为Portal私有协议,而PortalServer和BAS之间交互的协议称之为标准的Portal协议(可以使用H3C公司的BAS设备和PortalServer,与第三方的标准的RadiusServer配合实现Portal认证)
96、二层Portal认证:
认证终端与BAS设备之间不经过三层转发
97、三层Portal认证:
认证终端与BAS设备之间经过其它设备的三层转发
98、Portal承载在UDP之上,是厂商私有协议;Portal最大的优点是免客户端认证,但也可以使用客户端进行认证;Portal是网关型认证,网络中只要有一个支持Portal的设备作为BAS,就可以实现对全网用户的控制;Portal协议的特点决定了对客户端控制力度较弱,客户端认证未通过时也可以访问一定的资源
99、Portal逃生方案设计了两种交互机制:
用户心跳、逃生心跳
100、用户心跳原理:
PortalKernel周期性向BAS设备发送用户信息同步报文,报文中包含了服务器上的Portal在线用户列表,BAS设备为每个在线用户单独维护在线状态。
在一定的时间间隔内,如果服务器发送的用户信息同步报文中的用户在设备上一直不存在(设备因供电异常导致重启),则设备将回应一个用户同步确认报文。
确认报文中包含设备上缺少的用户信息,PortalKernel收到后,清除服务器上该用户的在线信息,并向终端用户直接发送强制下线报文;另一种情况,如果在一定的时间间隔内,设备上的某在线用户在服务器发来的用户信息同步报文中一直找不到(服务器重启期间有终端用户手工操作下线),则设备立即发送计费结束报文通知AAA服务器将该用户下线
101、逃生心跳原理:
PortalKernel周期性向BAS设备发送逃生心跳报文,在一定的时间间隔内,如果设备没有收到来自服务器的逃生报文,则认为Portal服务器发生故障并切换至逃生模式,即临时自动取消认证。
当故障恢复,BAS设备重新收到来自PortalKernel的逃生心跳报文时,会自动开启认证,恢复正常的工作模式
102、逃生方案:
BAS与iMC同时配置逃生才能生效
103、可溶解客户端(DC)通过java下载客户端,在服务器端完成部署,当网页关闭是客户端关闭
104、Radius地址:
离Radius服务器最近的接口地址
105、Portal地址:
Portal接入设备启用Portal的端口地址(在BAS设备上)
106、iMCUAM组件可以提供Portal服务器功能,关于UAM组件的Portal相关功能描述正确的是:
abc
A、UAM支持Web方式的Portal认证也支持和iNode客户端配合实现Portal认证
B、UAM提供的Portal认证支持自定义认证页面,能够根据用户的操作系统种类或用户连接的无线SSID返回不同的认证页面
C、UAM提供的Portal模块能够提供服务后缀的描述信息列表供客户端创建连接时或从认证主页发起认证时选择
D、UAM组件只能同时提供一种认证服务,要么802.1x,要么Portal
107、L2TP的体系架构只要由三部分组成:
L2TP网络服务器(LNS),L2TP访问集中器(LAC)、远程系统(RemoteSystem)
108、L2TP隧道封装的基本思想是将PPP报文封装在可在公网传输的ip报文内,到达对端后再解封装为原始的PPP报文(考试题认为是对的)
109、L2TP隧道的建立过程:
LAC向LNS发送开始控制连接请求(SCCRQ,Start-Control-Connection-Request)――LNS收到请求后,回应开始控制连接应答(SCCRP,Start-Control-Connection-Replay)――LAC收到来自LNS的应答后,返回开始控制连接已连接(SCCCN,Start-Control-Connection-connect)消息进行确认――LNS收到来自LAC的确认消息后,返回零长度体(ZLB,Zero-LengthBody)最为最后的确认。
隧道建立
110、L2TP会话建立过程:
LAC向LNS发送呼入请求(ICRQ,Incoming-Call—Request),请求建立会话――LNS收到请求后,回应呼入应答(ICRP,Incoming-Call—Replay)――LAC收到来自LNS的应答后,返回入呼叫已连接(ICCN,Incoming-Call—Connected)消息进行确认――LNS收到来自LAC的确认消息后,返回零长度体(ZLB,Zero-LengthBody)作为最后的确认。
会话建立。
111、LNS对拨号用户的身份验证可分为以下三种:
代理验证、强制本端CHAP验证、LCP重协商(无强制对端CHAP验证)
112、IPSEC提供两种工作模式:
传输模式、隧道模式
113、IPSEC包含两种安全协议:
AH、ESP
114、AH协议能够提供数据完整性、数据源验证和防重放功能,而ESP协议除了能够实现AH协议所能实现的所有数据保护功能之外,还能够加密传输的数据,即保障数据机密性(AH能保护数据报文)
115、AH协议:
ip承载,协议号51,提供数据完整性检查、数据源验证及防重放功能、支持传输模式和隧道模式
116、ESP协议:
ip承载,协议号50,提供数据完整性检查、数据源验证、防重放及数据加密功能、支持传输模式和隧道模式
117、IKE协商分为两个阶段:
阶段一的作用是协商IKESA,有两种形式:
主模式与野蛮模式;阶段二的作用是完成IPsecSA的协商,只有一种模式:
快速模式
118、IPsec与NAT存在诸多的兼容性问题:
AH与NAT的兼容问题、TCP/UDP校验和与NAT的兼容问题、IKE固定端口号与NAT的兼容问题、NAT设备的实现与IPsec的兼容问题
119、IPsec就是为了解决:
NAT穿越、动态地址
120、IPsec使用额外的UDP封装,即在外层ip包头和ESP头之间插入一个标准的UDP头来实现穿越NAT组网
121、为了支持Nat穿越,IPsecSA必须使用IKE协商自动建立
122、定制iNodeVPN客户端的流程:
使用iNode管理中心定制客户端时,首先选择左侧导航栏的“客户端定制”,然后在右侧网络接入组件窗口中勾选“VPN”。
对于使用智能卡接入的情况下,还需要勾选左侧功能组件窗口中的智能卡支持选项
123、带有VPN功能的客户端安装过程中会为操作系统创建一个虚拟网卡,用于报文在本机的封装
124、为了方便使用者,同时也为了提高安全性,将客户端所使用的证书存放在智能卡中是一个不错的选择(智能卡更安全)
125、iMCUAM作为Radius服务器,能够为VPN接入用户实施身份认证
126、iMCUAM能够为L2TP接入用户分配(指定的)私网ip地址(考题该选项为错误)
127、IKE协议说法正确的是:
A、IKE阶段一协商包括两种模式:
主模式与野蛮模式
B、如果网络中存在NAT,或者一端动态获取ip地址,则IKE协商必须使用野蛮模式
C、在IKE阶段一协商时,主要目的是协商出IKESA
128、H3CEAD方案集成了三大功能:
网络接入、终端安全、桌面管理
129、EAD终端用户接入四部曲:
身份认证、安全检查、动态授权、行为审计
130、在行为审计没有通过的,在其更新完成后,要等到EAD轮询到且检查通过后才能上网
131、EAD解决方案的四个重要组成部分:
iMC服务器、iNode智能客户端、安全联动设备、第三方安全加固服务器
132、EAD解决方案中的iMC服务器由iMC平台、UAM组件和EAD组件构成
133、802.1x,用户通过身份认证,由Radius的编号为11的标准属性Filter-Id下发的是隔离ACL
134、用户通过安全检查,由Radius的扩展属性下发的是安全ACL
135、H3C公司的网络设备配置安全检查机制时有两个要点:
一是需要通过命令行使能H3C设备端对扩展Radius的支持(缺省情况下设备仅支持标准Radius);二是必须配置Accounting命令
136、EAD用户上线后,为了双方检测对方的存活状态,客户端向策略服务器周期性发送EAD心跳报文
137、桌面管理业务基本流程:
新资产注册-更新桌面管理策略-桌面管理信息上报-软件分发
138、DAM(桌面资产管理)报文基于UDP封装,DA
升级会员 