自己整理imc知识点.docx

1、自己整理imc知识点1、 网络管理功能域包括：1、故障管理 2、性能管理 3、配置管理 4、计费管理 5、安全管理2、 iMC是intelligent Management Center 智能管理中心3、 MIB是Management Information Base4、 SOA架构：基础层、服务层、应用层5、 iMC平台分为专业版、标准版和中小企业版，各版本有一定的区别：a、 专业版和标准版同时支持windows和linux操作系统，而中小企业版只支持windows操作系统b、 标准版和中小企业版的iMC产品中，目前集成了SQL Server 2008 R2 Express数据库。安装标准版

2、或中小企业版时，用户既可以选择使用免费的内嵌数据库，也可以选择使用独立的数据库。因为内嵌的数据库容量有限，在管理规模大、数据多的环境下不建议使用。c、 专业版和标准版的功能相似，且能够承载其他的业务组件。而中小企业板和另外两个版本相比，功能上有所删减，且不提供业务组件的支撑。d、 iMC的专业版较标准版只增加一种分级管理功能。专业版没有内嵌的数据库6、 IETF的网络管理模型包含四个要素：网络管理者、网管代理、网络管理协议、管理信息库7、 网络管理平台基本应用主要包括：网络资源管理、网络拓扑管理、性能监视、事件管理和配置管理8、 平台组件功能：拓扑管理、设备配置下发和版本升级、周期报表查看、A

3、CL资源管理、VLAN资源管理等（不包括QOS，IPSEC等管理功能）9、 iMC产品的安装顺序:首先安装配置操作系统和数据库，再安装IMC平台，最后安装其他的iMC业务组件10、 目前windows版的iMC使用SQL Server数据库；Linux版的iMC使用Oracle数据库，数据库应该在主从服务器上安装11、 iMC为B/S架构，仅需完成服务器端的安装即可，用户使用WEB浏览器完成管理（只有平台的基本组件执行install操作）12、 EAD策略：DAM、VAM13、 以windows版的iMC为例，平台安装完毕后，即可启动部署监控代理（DMA，DMA不属于任何组件，是运行在iMC服

4、务器上的管理程序，是iMC平台及其它业务组件的公共组件）14、 DMA能提供：服务器操作系统及数据库环境的监测、iMC进程管理、iMC安装部署管理、iMC备份与恢复管理15、 iMC的安装是指将安装文件从安装盘中复制到指定的iMC安装目录的过程，为后继的部署做准备16、 iMC的部署是指通常意义上的程序安装过程，只能在完成安装的基础上执行部署、部署的过程会执行创建数据库等操作，升级盘和补丁的部署同样遵循先安装后部署的原则，部署分为集中式部署和分布式部署17、 集中式部署：iMC平台和所有组件均部署在同一台服务器上18、 分布式部署的前提条件：从服务器上仍然需要首先完成数据库的安装；在主服务器上

5、安装完成的组件，才能在从服务器上执行部署；主服务器至少完成资源管理模块的部署，且iMC启动完毕；在从服务器上WEB登录主服务器的配置台，远程下载并安装部署监控代理19、 在45天的试用期内iMC保留所有功能20、 在实际工作中不建议用虚拟机，因为虚拟机的网卡会变化；linux需采集内存大小及网卡参数21、 登录方式：http:/X.X.X.X:8080/imc 、https:/X.X.X.X:8443/imc ,通过修改c:program filesimcclientconfapplication context.xml文件可以使登录方式只支持https；用户名密码均为admin22、 数据库

6、引擎服务主要用于存储、处理数据，它是SQL Server 2008数据库的核心部分，同时也是其他几项服务的基础23、 可以在一台服务器上同时运行多套数据库系统，每一个数据库安装称之为一个数据库实例24、 SQL Server使用的默认侦听端口为 TCP 143325、 SQL Server作为windows服务运行，需要为每个SQL Server服务指定运行服务的账户26、 SQL Server的两种登录方式：windows身份验证和混合模式；H3C iMC要求SQLServer的身份验证模式必须使用混合模式27、 SQL Server配置管理器可以用于启动、停止、暂停和重新启动数据库相关联的

7、服务，以及配置各项服务的启动模式28、 服务器启用了网络协议且正确配置了侦听的ip地址、tcp/ip端口等参数后，客户端才能连接到数据库引擎29、 数据库文件分为主要数据文件和次要数据文件。主要数据文件包含数据库的启动信息：每个数据库必须且只能有一个主要数据文件；主要数据文件建议的扩展名为 .mdf；次要数据文件由用户自定义并存放用户数据：次要文件可以有多个，用于将数据分散到多个磁盘上；次要数据文件建议的扩展名为 .ndf30、 SQL Server 2008数据库文件在创建时可以指定一个初始大小和特定增量，并启动自动增长。在启用自动增长的情况下，如果数据库的数据文件有多个，则只有在这多个文件

8、都被填满之后文件才会继续增长，增长的方式为各个文件循环增长。每个数据库文件可以指定一个最大值，如果没有指定，则文件可以增长到用完文件所在磁盘的空间。31、 使用SSMS可以查看数据库文件的详细信息；可以设置数据库文件的大小及增长限制；可以完成数据文件的移动；提供收缩数据库向导32、 随着数据量的增加，数据库文件的大小也会随之变化（数据库收缩）33、 SQL Server 2008的安全机制可以分三个级别：操作系统级别、SQL Server级别、数据库级别34、 SQL Server数据库系统的索引从类型上可以分为聚集索引和非聚集索引35、 常用的数据库操作语言（DML）主要有：select语句

9、、insert语句、update语句、delete语句（edit语句不属于查询语句）36、 SQL Server 2008的三种恢复模式：完整恢复模式、大容量日志恢复模式、简单恢复模式37、 SQL Server 2008的主要备份策略：完全数据库备份、数据库和事务日志备份、差异备份、文件或文件组备份38、 差异备份策略也叫增量备份39、 SQL Server数据库文件的大小受安装时设置的影响，可以设置成自动增长且增长不限制文件大小40、 SNMP网络管理框架包含三个重要概念：管理信息库（MIB）、管理信息结构（SMI）、简单网络管理协议（SNMP）41、 MIB是由SNMP调用的42、 MI

10、B可以分为公有MIB和私有MIB。公有MIB也叫标准MIB，用来实现各厂商通用的基础网络管理功能，而私有MIB则为各厂商自定义的MIB，用来配合特定的管理软件实现其个性化的管理功能43、 H3C公司的私有MIB节点的根可以表示为1.3.6.1.4.1.2550644、 MIB对象分为标量对象和表对象，在表示一个完整的对象实例的OID时，需要在该对象标识符后面加上实例索引值：访问标量对象时，在对象标识符后补一个0；访问表对象时，在对象标识符末尾补上具体的实例索引值45、 设备在iMC上显示为pc的原因：设备上未配置SNMP或配置参数和设备不一致、有防火墙或ACL屏蔽SNMP协议端口号46、 对于

11、基于设备私有MIB实现的性能监视，网管系统可以在了解该MIB的基础上自定义监视方法47、 告警的两种实现方法：一种是网管主动周期性的检查网络设备的运行状态，这种操作称之为轮询；另一种是当设备发现自身故障时主动上报给网管系统，称之为Trap48、 配置轮询会通过SNMP协议获取指示设备运行状态的相关MIB对象的值，缺省间隔为120分钟49、 SNMP V1共定义了五种报文：iMC（GetRequest、GetNextRequest、SetRequest）、SNMP Agent(GetResponse、Trap)50、 GetRequest、GetNextRequest、SetRequest是一种

12、简单的请求加应答的操作方式，网络管理者使用随机源端口向网管代理的UDP端口161发送请求，网管代理使用UDP端口161作为源端口，向请求中的随机源端口发送回应51、 由网管代理向网络管理者主动上报事件的操作，使用随机的源端口向网络管理者的UDP端口162发送Trap52、 SNMP V1、 V2C团体字分为只读团体字和读写团体字53、 SNMP V2C、SNMP V3在V1的基础上新增了两种报文：GetBulkRequest和InformRequest54、 SNMP V3定义了全新的报文格式，但仍然沿用SNMP V2C的PDU，无需配置读写团体55、 SNMP V1和SNMP V2使用基于明

13、文团体名的安全机制，对消息来源，完整性及机密性没有任何保障机制。这些安全隐患在SNMP V3中均得到了很好的改善。SNMP V3通过基于用户的安全模型（USM）和基于视图的访问控制模型（VACM）使得安全性得到显著的增强56、 SNMP V3基于共享密钥使用单向散列算法为报文添加签名57、 iMC平台支持全面的基础资源管理，主要体现在： a、更多的管理设备类型 b、多厂家设备的统一管理 c、灵活快捷的自动发现算法 d、直观的设备面板管理 e、清晰的网络设备资产管理58、 iMC支持多种形式的拓扑管理，主要包含：a、 ip拓扑 b、增强的二层拓扑 c、全网拓扑 d、数据中心机房、机架拓扑59、

14、iMC平台提供强大的告警管理，体现在：a、 清晰直观的故障显示 b、智能的告警关联和告警过滤 c、智能的告警根源及影响度分析 d、灵活的告警定义 e、丰富的告警转发机制 f、自动告警转储60、 iMC的性能管理：支持性能视图和性能报表等多种数据查看方式、支持在拓扑图中自定义展示性能数据、支持自定义监视实例和性能阈值61、 iMC的性能管理还支持性能告警。当性能数据达到某一阈值时由iMC平台产生某种级别的告警，支持配置两级阈值62、 ACL和VLAN是通过telnet/ssh实现的，其它的是通过SNMP操作63、 802.1X称之为基于端口的访问控制协议，解决局域网用户的接入认证问题，由三个部分

15、组成：客户端Supplicant System、设备端Authenticator System、认证服务Authentication Server System64、 UAM组件作为Radius服务器组件，目前支持的接入方式包括802.1X，Portal、VPN、无线等65、 Raduis支持telnet/ssh/terminal/ l2tp vpn/ ipsec vpn /802.1x /portal/pppoe （ssl vpn不选）66、 iNode管理中心 勾选 无可溶解客户端 67、 802.1X系统的核心概念：非受控端口（始终处于双向连通状态）；受控端口（在非授权状态不处理业务（协

16、议报文可以通过，数据报文不可以通过），而经过授权之后则处于双向连通状态）68、 802.1x认证通过前不能访问Radius server 即不通69、 端口受控模式有两种：基于端口和基于Mac 的，H3C设备默认采用基于MAC的控制70、 三种常用的主流接入认证方式：802.1X、PPPoE、和Portal认证71、 认证前不能获取ip地址72、 被动触发方式：每隔一定的时间间隔，向客户端发送EAPRequest/Identity帧73、 当iNode与Cisco交换机配合使用时，必须指定客户端使用目的MAC为组播（0180c2000003）的协议帧与设备端交互（缺省使用目的Mac 为交换机M

17、AC的单播报文与设备端交互）74、 Radius工作在UDP协议之上，认证服务器监听UDP 1812端口，计费服务器监听UDP 1813端口75、 Radius报文格式取值为3表示AccessReject、取值为4表示AccountingRequest 76、 Radius编号为26号的属性供厂商自行扩展77、 维持客户在线，Portal设备和Radius server用Accounting维持AAA用户在线；客户端和Portal server用 handshake维持Portal用户在线78、 域名标识Withdomain （后缀非空） 和withoutdomain （后缀为空）79、 UA

18、M的vlan功能：接入业务、用户80、 UAM不能提供动态地址分配，只能动态指定分配，提供802.1x、Portal、L2tp81、 针对一个用户，可以设置多个服务在线，通过加后缀区分82、 说法错误的是：a、基于端口 b、全局802.1X c、ppp chap eap d、认证前能访问服务器 （a、b、d）83、 服务器通过Radius的AccessAccept报文实现向设备授权，典型例子是下发vlan84、 Vlan有两种下发模式：下发vlan编号和下发vlan的别名85、 UAM服务器在授权信息配置中提供了三种下发ACL的方式：手工输入、列表选择、接入ACL列表86、 SessionTi

19、meout属性的值被填充为0时，表示服务器通知设备端强制该用户下线87、 策略服务器并非单独的一台服务器，也不是一个单独的业务组件，而是集成在UAM组件中并缺省启用88、 使能“仅限iNode客户端”实际上是使能了UAM的客户端版本检测功能。客户端版本检测有两种途径：一种是使用扩展EAPOL帧上传版本信息，需要H3C设备端支持；另一种设备无关的方式，也是目前普遍的使用方式，是有iNode的客户端在回应用户名的同时，将版本信息一同上报到设备端，在由设备端将版本信息和用户名一同存放在Radius AccessRequest报文的用户名属性中上报至服务器。设备无关方式要求iNode的拨号连接属性中勾

20、选“上传客户端版本号”，服务器侧则无特殊配置要求89、 服务器还需要将客户端控制的相关指令下发给iNode。下发指令也有两种途径：一种是服务器通过AccessAccept报文中的私有属性将指令发至设备端，设备端在将指定携带在扩展EAPOL帧中发送到客户端，需要H3C设备端支持；另一种基于策略服务器实现的方式也称为设备无关方式，是待客户端和策略服务器之间建立私有通信机制后，策略服务器通过私有的UDP报文将指令下发到客户端90、 Portal体系构架由四部分组成：客户端Client 、portal server、宽带接入服务器BAS、Radius server（无策略服务器）91、 使用Porta

21、l协议的：Portal Server和BAS之间92、 BAS和Radius Server二者之间传输的标准的Radius协议93、 支持Portal的设备有：sw55及以上、MSR，SR路由器、无线AC（36交换机不支持）94、 Portal认证方式的组网灵活、部署快捷、适合旧网改造95、 Portal Server的内部模块之间，以及Portal Server和iNode客户端之间交互的协议称之为Portal私有协议，而Portal Server和BAS 之间交互的协议称之为标准的Portal协议（可以使用H3C公司的BAS设备和Portal Server，与第三方的标准的Radius S

22、erver配合实现Portal认证）96、 二层Portal认证：认证终端与BAS设备之间不经过三层转发97、 三层Portal认证：认证终端与BAS设备之间经过其它设备的三层转发98、 Portal承载在UDP之上，是厂商私有协议；Portal最大的优点是免客户端认证，但也可以使用客户端进行认证；Portal是网关型认证，网络中只要有一个支持Portal的设备作为BAS，就可以实现对全网用户的控制；Portal协议的特点决定了对客户端控制力度较弱，客户端认证未通过时也可以访问一定的资源99、 Portal逃生方案设计了两种交互机制：用户心跳、逃生心跳100、 用户心跳原理：Portal Ke

23、rnel周期性向BAS设备发送用户信息同步报文，报文中包含了服务器上的Portal在线用户列表，BAS设备为每个在线用户单独维护在线状态。在一定的时间间隔内，如果服务器发送的用户信息同步报文中的用户在设备上一直不存在（设备因供电异常导致重启），则设备将回应一个用户同步确认报文。确认报文中包含设备上缺少的用户信息，Portal Kernel收到后，清除服务器上该用户的在线信息，并向终端用户直接发送强制下线报文；另一种情况，如果在一定的时间间隔内，设备上的某在线用户在服务器发来的用户信息同步报文中一直找不到（服务器重启期间有终端用户手工操作下线），则设备立即发送计费结束报文通知AAA服务器将该用户

24、下线101、 逃生心跳原理：Portal Kernel周期性向BAS设备发送逃生心跳报文，在一定的时间间隔内，如果设备没有收到来自服务器的逃生报文，则认为Portal服务器发生故障并切换至逃生模式，即临时自动取消认证。当故障恢复，BAS设备重新收到来自Portal Kernel的逃生心跳报文时，会自动开启认证，恢复正常的工作模式102、 逃生方案：BAS与iMC同时配置逃生才能生效103、 可溶解客户端（DC）通过java下载客户端，在服务器端完成部署，当网页关闭是客户端关闭104、 Radius地址：离Radius 服务器最近的接口地址105、 Portal地址：Portal接入设备启用Po

25、rtal的端口地址（在BAS设备上）106、 iMC UAM组件可以提供Portal服务器功能，关于UAM组件的Portal相关功能描述正确的是：abcA、 UAM支持Web方式的Portal认证也支持和iNode客户端配合实现Portal认证B、 UAM提供的Portal认证支持自定义认证页面，能够根据用户的操作系统种类或用户连接的无线SSID返回不同的认证页面C、 UAM提供的Portal模块能够提供服务后缀的描述信息列表供客户端创建连接时或从认证主页发起认证时选择D、 UAM组件只能同时提供一种认证服务，要么802.1x，要么Portal107、 L2TP的体系架构只要由三部分组成：L2

26、TP网络服务器（LNS），L2TP访问集中器（LAC）、远程系统（Remote System）108、 L2TP隧道封装的基本思想是将PPP报文封装在可在公网传输的ip报文内，到达对端后再解封装为原始的PPP报文（考试题认为是对的）109、 L2TP隧道的建立过程：LAC向LNS发送开始控制连接请求（SCCRQ，StartControlConnectionRequest ）LNS收到请求后，回应开始控制连接应答（SCCRP，StartControlConnectionReplay）LAC收到来自LNS的应答后，返回开始控制连接已连接（SCCCN，StartControlConnectionco

27、nnect）消息进行确认LNS收到来自LAC的确认消息后，返回零长度体（ZLB，ZeroLength Body）最为最后的确认。隧道建立110、 L2TP会话建立过程：LAC向LNS发送呼入请求（ICRQ，IncomingCallRequest），请求建立会话LNS收到请求后，回应呼入应答（ICRP，IncomingCallReplay）LAC 收到来自LNS的应答后，返回入呼叫已连接（ICCN，IncomingCallConnected）消息进行确认LNS收到来自LAC的确认消息后，返回零长度体（ZLB，ZeroLength Body）作为最后的确认。会话建立。111、 LNS对拨号用户的身

28、份验证可分为以下三种：代理验证、强制本端CHAP验证、LCP重协商（无 强制对端CHAP验证 ）112、 IPSEC提供两种工作模式：传输模式、隧道模式113、 IPSEC包含两种安全协议：AH、ESP114、 AH协议能够提供数据完整性、数据源验证和防重放功能，而ESP协议除了能够实现AH协议所能实现的所有数据保护功能之外，还能够加密传输的数据，即保障数据机密性（AH能保护数据报文）115、 AH协议：ip承载，协议号51，提供数据完整性检查、数据源验证及防重放功能、支持传输模式和隧道模式116、 ESP协议：ip承载，协议号50，提供数据完整性检查、数据源验证、防重放及数据加密功能、支持传

29、输模式和隧道模式117、 IKE协商分为两个阶段：阶段一的作用是协商IKE SA，有两种形式：主模式与野蛮模式；阶段二的作用是完成IPsec SA的协商，只有一种模式：快速模式118、 IPsec与NAT存在诸多的兼容性问题：AH与NAT的兼容问题、TCP/UDP校验和与NAT的兼容问题、IKE固定端口号与NAT的兼容问题、NAT设备的实现与IPsec的兼容问题119、 IPsec就是为了解决： NAT穿越、动态地址120、 IPsec使用额外的UDP封装，即在外层ip包头和ESP头之间插入一个标准的UDP头来实现穿越NAT组网121、 为了支持Nat 穿越，IPsec SA必须使用IKE协商

30、自动建立122、 定制iNode VPN客户端的流程：使用iNode管理中心定制客户端时，首先选择左侧导航栏的“客户端定制”，然后在右侧网络接入组件窗口中勾选“VPN”。对于使用智能卡接入的情况下，还需要勾选左侧功能组件窗口中的智能卡支持选项123、 带有VPN功能的客户端安装过程中会为操作系统创建一个虚拟网卡，用于报文在本机的封装124、 为了方便使用者，同时也为了提高安全性，将客户端所使用的证书存放在智能卡中是一个不错的选择（智能卡更安全）125、 iMC UAM作为Radius服务器，能够为VPN接入用户实施身份认证126、 iMC UAM能够为L2TP接入用户分配（指定的）私网ip地址

31、 （考题该选项为错误）127、 IKE协议说法正确的是：A、 IKE阶段一协商包括两种模式：主模式与野蛮模式B、 如果网络中存在NAT，或者一端动态获取ip地址，则IKE协商必须使用野蛮模式C、 在IKE阶段一协商时，主要目的是协商出IKE SA128、 H3C EAD方案集成了三大功能：网络接入、终端安全、桌面管理129、 EAD终端用户接入四部曲:身份认证、安全检查、动态授权、行为审计130、 在行为审计没有通过的，在其更新完成后，要等到EAD轮询到且检查通过后才能上网131、 EAD解决方案的四个重要组成部分：iMC服务器、iNode智能客户端、安全联动设备、第三方安全加固服务器132、

32、 EAD解决方案中的iMC服务器由iMC平台、UAM组件和EAD组件构成133、 802.1x，用户通过身份认证，由Radius的编号为11的标准属性FilterId下发的是隔离ACL134、 用户通过安全检查，由Radius的扩展属性下发的是安全ACL135、 H3C公司的网络设备配置安全检查机制时有两个要点：一是需要通过命令行使能H3C设备端对扩展Radius的支持（缺省情况下设备仅支持标准Radius）；二是必须配置Accounting命令136、 EAD用户上线后，为了双方检测对方的存活状态，客户端向策略服务器周期性发送EAD心跳报文137、 桌面管理业务基本流程：新资产注册更新桌面管理策略桌面管理信息上报软件分发138、 DAM（桌面资产管理）报文基于UDP封装，DA