计算机网络管理 理论与实践教程.docx

1、计算机网络管理 理论与实践教程计算机网络管理 理论与实践教程计算机网络管理 理论与实践教程整理者：董延芝 学号：220087107122 班级：08网构第一部分 网络管理基础第二部分 网络配置管理第三部分 网络故障管理第一部分 网络管理基础第1章 绪论1.1选择1.1.1 网络管理功能和目标网络管理功能：配置管理故障管理性能管理安全管理计费管理服务管理网络管理目标：最大限度地增加网络的可用时间，提高网络设备的利用率、网络性能、服务质量和安全性，简化网络管理和降低网络运行成本，并提供网络的长期规划。1.2 填空1.2.1 网路管理概念所谓网络管理，就是对网络中各种资源，如网络设备、通信线路、网络

2、用户、网络服务、网络信息等进行监测、配置、修改、调控，使得网络能够满足应用的需求。1.2.2 网络管理软件的组成网络管理软件组成：网络管理信息展示与操作系统网络管理信息采集/控制网络资源（路由器、交换机、通信线路、网络服务、网络用户等）1.2.3网络管理软件的分类网络管理软件软件主要根据管理的对象来分，即可分为通用网络管理软件NMS和网元（设备）管理软件EMS两大类。1.3 判断1.3.1什么是SNMPSNMP是英文Simple Network Management Protocol的缩写，其中文译为简单网络管理协议，它是针对管理TCP/IP网络而提出的一种管理协议。1.4 简答1.4.1网络

3、管理中有哪些典型协议网络管理中的典型协议：SNMP（简单网络管理协议）CORBA（公用对象请求代理（调度）程序体系结构）CMIP（通用管理信息协议）HTTP/SSL（超文本传输协议）第2章 简单网络管理协议SNMP2.1 选择2.1.1 SNMP v1 报文格式SNMP v1 报文格式：SNMP首部（版本标识符、共同体名、PDU类型）、SNMP协议数据单元。2.1.2 RMON概念ROMN中文意思是远程监控，是用于远程监控的标准规范，它是由SNMP MIB扩展而来。2.2 填空2.2.1 SNMP管理模型SNMP管理模型中有4个基本组成部分：管理者（Manager）管理代理（Agent）管理协

4、议管理信息库（MIB）2.3 判断2.3.1 SNMP的有几个版本SNMP的有3个版本，分别是SNMP v1、SNMP v2、 SNMP v32.4 简答2.4.1 SNMP报文封装过程SNMP报文封装过程分为三个阶段：第一阶段：在应用层上数据被封装上SNMP报头。第二阶段：到达传输层，再封装UDP报头。第三阶段：到达网络层，封装IP报头2.4.2 SNMP主要用途SNMP用于监视网络性能、检查分析网络差错、和配置网络设备。第3章 网络系统规划与工程管理3.1 选择3.1.1 项目立项报告项目立项报告主要由两个部分组成。第一部分介绍项目的基本情况，第二部分对项目的建设进行详细的分析。3.1.2

5、 数据处理模型数据处理模型有两类：联机事务处理模型（OLTP）联机分析处理模型（OLAP）3.1.3 数据存储系统分类数据存储类型分为封闭系统的存储和开放系统的存储。开放系统的存储分为内置存储和外挂存储。外挂存储根据连接的方式分为直接连接存储和网络化存储。根据传输协议，开放系统的网络化存储又分为网络接入存储和存储区域网络。3.2 填空3.2.1 网络基础平台的设计组成网络基础平台由传输设备、交换设备、接入设备、网络互联设备、布线系统、网络操作系统、服务器和测试设备等组成。3.2.2 综合布线系统组成综合布线系统划分为6个子系统：工作区子系统水平布线子系统管理子系统垂直子系统设备间子系统建筑群子

6、系统。3.2.3 综合布线系统的工程验收阶段综合布线系统的工程验收阶段有：施工前检查设备安装电、光缆布放（楼内）电、光缆布放（楼间）缆线终结系统测试工程总验收3.3 判断3.3.1 网络设备选型在进行网络设备的选型时，需要考虑以下的一些问题：网络路由和交换设备之间的兼容性是否良好。网络设备的功能和技术指标是否会造成网络整体性能的瓶颈。设备是否具有良好的扩展性，是否支持未来各种新业务和增值业务的开展。3.3.2 水平布线子系统是否布线在同一楼层水平布线子系统是布线在同一楼层。3.4 简答3.4.1 网络系统设计与规划的原则网络系统设计与规划的原则有：标准化原则先进性和实用性原则可靠性和可扩展性原

7、则安全性和可管理性原则经济性和效益型原则3.4.2 数据备份和恢复系统选择数据备份和恢复系统应考虑的因素包括：（1）对重要数据的即时备份能力（2）备份数据加密功能（3）设置的灵活性（4）灾难恢复（5）并行处理能力（6）数据可靠性（7）系统的跨平台兼容性（8）使用和操作的简便性（9）支持逻辑单元号屏蔽功能（10）数据备份和恢复的效率（11）备份管理软件应能识别并显示磁带库驱动器、监控作业任务的执行情况（备份进度、资源利用率等）、监控进程的状态（12）备份策略的合理性：设置备份对象、数据保存时间、备份时间段等（13）备份策略的灵活性：支持数据库、文件和系统的全亮备份、增量备份以及跟踪备份等多种备份

8、方式3.4.3 验收的流程验收的流程开始验收准备，进行初步验收，检查初验是否合格，不合格退回去整改，合格进行竣工验收申请，进行评审竣工验收申请，检查是否符合竣工验收条件，不符合退回去整改，合格则成立验收组，进行正式验收，工程移交，结束。第4章 IP地址管理4.1 简答4.1.1 A、B、C类网络号位数、主机号位数A类：网络号：前8位，主机号：后24位。B类：网络号：前16位，主机号：后16位。C类：网络号：前24位，主机号：后8位。4.1.2 IP地址换算有一段B类地址128.10.0.0，需要至少划分为60个子网，如何规划和使用IP地址？因为需要60个子网，即需要向主机号借6位，所以子网掩码

9、为255.255.252.0第一个子网号为128.10.4.0 有效IP地址为128.10.4.1128.10.7.254第二个子网号为128.10.8.0 有效IP地址为128.10.8.1128.10.11.254块大小为4，即其余子网为前一个子网号+4最后一个子网号为128.10.252.0 有效IP地址为128.10.252.1128.10.255.254第二部分 网络配置管理第5章 网络配置管理5.1 填空5.1.1 路由器中保存在路由器中保存着路由服务所需要的路由表，路由表包括目的地址、子网掩码、下一跳的地址等信息。5.1.2 网络配置管理功能网络配置管理主要包括以下几个方面的功能

10、：收集网络配置信息网络的拓扑管理定义与修改网络配置信息安装软件存取配置信息生成配置报告5.2 简答5.2.1 网络配置管理流程开始配置需求分析配置方案设计备份原有配置信息配置方案实施测试运行第6章 网络配置管理案例6.1 选择6.1.1 存储器体系结构ROMFlashNVRAMDRAM6.1.2 OSPF概念OSPF（开放式最短路径优先）是一种分布式的链路状态协议。6.2 填空6.2.1 Apache HTTP服务器的配置语法配置“httpd.conf”由指令、段以及注释三种语句组成。6.3 判断6.3.1 IOS常用命令IOS常用命令有：帮助命令，在任何状态下键入“？”，都将显示在此状态下所

11、有可用的命令和说明。显示命令，用于查看系统的信息。show version：显示系统的硬件配置、软件版本、配置文件等信息。show processes：显示当前的活动进程。show protocols：显示配置的协议。show memory：显示路由器的内存信息。show ip route：显示路由表。show flash：显示flash设备的信息。show running-config：显示当前的活动配置。show startup-config：显示开机的配置。show interface：显示已经配置的接口属性。网络命令，用于检查、测试配置情况。telnet：用于登录主机。ping：用于检

12、测主机是否到达。trace：用于路由追踪。用户、密码设置命令。username：用于设置用户名。password：用于设置用户密码。enable secret：用于设置特权密码。端口设置命令。interface：用于对端口进行设置。ip address：用于设置IP地址。no shutdown：用于激活端口。line：用于设置物理线路。6.3.2 RIP路由协议的配置router rip IOS打开RIP路由协议。network 10.0.0.0 网络10.0.0.0被定义到路由器上。network 192.168.5.0 网络192.168.5.0被定义到路由器上。6.3.3 用户数据库 s

13、hadow例子sshah:boQavhhaCkaXg:10750:0:99999:7:-1:-1:134529868sshah（登录名）:boQavhhaCkaXg（加密过的口令）:10750（该口令修改后过去了10750天）:0（需要再过0天才能修改这个口令）:99999（需要再过99999天这个口令必须被修改）:7（需要在这个口令失效前7天对用户发出提示警告）:-1（不会禁用这个账户）:-1（该口令不会被禁用）:134529868（保留域）6.3.4 用户管理命令创建用户账户命令useradd修改登录口令命令passwd删除用户账户命令userdel修改用户属性命令usermod创建用户组

14、命令groupadd删除用户组命令groupdel修改用户组属性命令groupmod6.4 简答6.4.1 路由器配置方式对Cisco路由器和交换器进行配置，通常有以下5种方式：CON方式：通过与Console口相连的终端或者运行终端仿真软件的微机进行设置。Telnet方式：通过运行Telnet软件连接交换机进行配置。TFTP方式：通过TFTP服务器下载配置信息。SNMP方式：通过网络管理软件来配置交换机。Web方式：听过浏览器配置交换机。6.4.2 resolv.conf例子：domain 指定本地域名search com 构造域名查询列表nameserver 10.1.2.3 指定准备使用

15、的域名服务器1的IP地址nameserver 10.3.2.1 指定准备使用的域名服务器2的IP地址第三部分 网络故障管理第7章 网络故障管理7.1填空7.1.1网络分析软件举例网络分析软件有：Network MonitorNetXRay7.2 简答7.2.1 网络常见故障常见的故障有：数据传输链路故障，如双绞线、光纤、专线等发生的故障。网络设备故障，如中继器、交换机、路由器、主机等发生的故障。软件系统故障，如操作系统、数据库、DNS服务、应用服务系统等发生的故障。7.2.2 网络故障管理流程发现故障，收集有关信息，分析、查找故障原因，拟定并测试解决方案，方案如不可行，退回重新收集信息，可行就

16、实施故障解决方案，故障如没有排除则退回重新收集信息，可行就记住故障管理日志。7.2.3 网络测试命令作用网络测试命令常用的有：显示设置网络配置信息命令ipconfig和ifconfig。测试远程主机是否可达命令ping。路由最终命令traceroute和tracert。显示修改地址解析协议缓存记录命令arp。显示网络连接状态命令netstat。显示和修改路由表命令route。第8章 网络故障管理案例8.1 选择8.1.1 生成树协议概念生成树协议英文缩写是STP，是第二层的链路管理协议。8.2 填空8.2.1 ARP协议基本功能ARP协议基本功能：将IP地址映射到MAC地址8.3 判断8.3.

17、1 检查双绞线的一般步骤检查双绞线是否被损坏，如果是，则更换新的双绞线。使用线缆连通测试仪测试双绞线是否出现短路，开路等简单的线缆故障，如果是，则更换连接头，测试故障是否修复，如果未修复，则更换新的双绞线。如果双绞线连通测试没有发现故障，检查RJ45插座是否出现故障，如果是，则更换插座。使用线缆分析器测试双绞线的。8.3.2 网卡绿灯和红灯表示什么正常工作时链路指示灯呈绿色，表示适配器已接至有效链路，而活动指示灯呈现红色闪烁状态，表示正在发送或接受网络数据。如果链路和活动指示灯都不亮时，表示网卡未能正确接入网络中，或者网络驱动程序文件破损或删除。8.3.3测试环回地址说明什么为了检查该主机的网

18、卡是否正常工作，测试回环地址127.0.0.1，能够连通，说明网卡及其驱动和网络协议设置没有问题。8.4 简答8.4.1 生成树作用生成树是通过在交换机之间传递配置消息协议报文来确定网络的拓扑结构，提供传输链路冗余，并将环路网络修剪成无环路的树形网络，避免报文在环路网络中的增生和无限循环。8.4.2传输控制协议TCP连接的建立和释放过程客户端首先向服务器发送一个同步SYN数据报文，指明客户端希望连接的服务器端口，以及客户端的初始序号(SEQ=x)。服务器发回同步SYN报文作为应答，报文中包含服务器的初始序列号（SEQ=y），同时，将该数据报头中的确定序号设置为客户端的SEQ加1（ACK=x+1

19、）,表示对客户端的同步SYN数据报文进行确定。 客户端向服务器发回一个确定报文，将确定序号设置为服务器上次报文的SEQ加1（ACK=y+1），表示对服务器的SYN报文进行确定。8.4.3 网络地址转换技术NAT在一个典型的配置中，一个本地网络使用一个专有网络的指定子网（比如192.168.x.x或10.x.x.x）和连在这个网络上的一个路由器。这个路由器占有这个网络地址空间的一个专有地址（比如 192.168.0.1），同时它还通过一个或多个因特网服务提供商提供的公有的IP地址（叫做“过载” NAT）连接到因特网上。当信息由本地网络向因特网传递时，源地址被立即从专有地址转换为公用地址。由路由器

20、跟踪每个连接上的基本数据，主要是目的地址和端口。 当有回复返回路由器时，它通过输出阶段记录的连接跟踪数据来决定该转发给内部网的哪个主机；如果有多个公用地址可用，当数据包返回时，TCP或UDP客户机的端口号可以用来分解数据包。对于因特网上的一个系统，路由器本身充当通信的源和目的地址。 8.5 分析8.5.1 例如题目：在使用RIP协议下，路由器1向路由器2发送自己的路由表，这张路由表的内容有：路由器到目的网路1的距离为N问： 当路由器2收到路由器1广播的路由表会采取什么措施？答：若路由表2的路由表没有到达网络1的条目，则在路由表中添加到网络1的条目，该条目的信息为：目的的网络为1，下一跳路由器为

21、路由器1，跳数为N+1若路由器2的路由表已经包含了到网络1的条目，到达网络1的跳数为M，且下一跳不是路由器1，而是其他的路由器（如路由器3），则路由器2比较M与N的大小，如果MN+1，说明通过路由器1到达网络1的距离短，即路由器更新到达网络1的条目：目的的网络为1，下一跳路由器为路由器1，跳数为N+1。若MN+1还是，条目都更改为路由器发过来的条目。第四部分 网络性能管理第9章 网络性能管理9.1 填空9.1.1 使用ping命令来测试大小为1000B的数据包在网络上的响应时间ping s 1000 10.3.2.1(10.3.2.1为目标IP地址)9.1.2 节点性能指标节点性能指标有：吞吐

22、量，转发率，丢包率，节点处理时延。9.2 判断9.2.1 free、ps、df、top命令作用free命令用来显示内存的使用情况。ps命令用来报告正在执行的程序的运行情况。df命令用来显示磁盘文件系统的使用情况。top命令用于显示CPU状态、内存使用情况、交互区使用情况以及系统中正在运行的程序，并通过交互界面来面对这些程序进行管理。9.2.2 信道利用率信道利用率：一段时间内信道处在占用状态的时间与总观察时间的比值。9.2.3 带宽利用率带宽利用率：实际使用的带宽与链路带宽容量的比率。第10章 网络性能管理案例10.1 填空10.1.1 Linux操作系统性能的优化Linux优化应从这些方面考

23、虑：关闭不必要的驻留程序关闭图形用户界面减少虚拟控制台处理器子系统的优化内存子系统的优化磁盘子系统的优化输入/输出10.1.2 如何测试Apache HTTP服务器的性能使用Apache Bench测试Apache HTTP服务器的性能。第五部分 网络安全管理第11章 网络安全管理理论与技术11.1 填空11.1.1 网络安全管理概念网络安全管理概念：机密性、完整性、可用性、抗抵赖性、可控性。11.1.2 网络安全管理基本方法网络安全管理基本方法：风险评估与控制方法系统化管理方法生命周期的管理方法层次化和协作式管理方法动态管理方法应急响应管理方法11.1.3 Windows系统安全增强基本流程

24、Windows系统安全增强基本流程：分析网络系统的业务需求。根据网络管理的业务需求，订制合适的安全策略。明确网络管理的范围。在所管辖的网络范围内进行网络安全风险评估，建立网络系统资产清单，识别网络系统资产的威胁和脆弱性，确定网络系统资产的风险类型和级别。根据网络系统资产的价值和风险级别，设计适当的安全机制，选择风险控制的目标，实现风险控制管理。制订相应网络安全管理制度、操作规程以及法律声明。运行网络安全风险控制系统，监测网络系统的风险变化。根据网络安全风险控制系统的运行效果，及时调整网络风险管理控制措施。11.1.4 防火墙功能防火墙有以下功能：过滤非安全网络访问限制网络访问网络访问审计网络带

25、宽控制11.1.5 入侵检测概念入侵检测是一种用于发现信息网络中攻击行为的安全艺术。具有入侵检测功能的系统称为IDS。11.2 判断11.2.1 加密安全工具SSH：它是基于公钥技术的安全应用软件，提供加密、认证、完整性检查等多种安全服务。常用来替换Telnet服务。PGP：是一种加密技术，应用了多种加密技术，密钥管理算法选用RSA、数据加密算法IDEA、完整性检测和数字签名算法，采用了MD5和RSA及随机数生成器，PGP讲这些密码技术有机集成在一起，利用对称和非对称加密算法的各自优点，实现一个比较完善的密码系统。它能构防止非授权者阅读邮件，能对用户的邮件加上数字签名，从而使收信人可以确定发信

26、人的身份。Open SSL：SSL工作原理是将应用层的信息加密或签证处理，在发送给对方，收方经验证鉴别无误后解密还原信息。Open SSL是一种用于在两个应用层之间构造安全通信的软件包，它能够使被传送的信息保密性及可靠性。11.3 简答11.3.1 网络攻击典型手段网络攻击典型手段：端口扫描、口令破解、缓冲区溢出、恶意代码、网站钓鱼、拒绝服务、网络嗅探、SQL注入攻击、社交工程方法、会话劫持、漏洞扫描。11.3.2 网络安全管理基本流程（1）确认系统安全增强的安全目标和系统的业务用途（2）安装最小化的操作系统（3）安装最新系统补丁（4）配置安装的系统服务（5）配置安全策略（6）慎用NetBIO

27、S（7）账户安全配置（8）文件系统安全配置（9）配置TCP/IP筛选和ICF（10）禁用光盘或软盘启动（11）使用屏幕保护口令（12）设置应用软件安全（13）安装第三方防护软件11.3.3 什么是应急响应？响应流程是什么？有哪些典型的应急响应工具？应急响应：是针对安全而采取的安全措施响应流程：由安全事件报警、安全事件确认、启动应急预案、安全事件处理、安全事故处理、应急工作总结。典型的应急响应工具：访问控制：iptables安全状态评估：Nessus，Fport，Lsof，ps系统恢复：ghost安全监测：Tcpdump、sniffer安全取证：Traceroute、swatch第12章 网络安

28、全管理典型案例12.1 简答12.1.1 IDS部署基本步骤根据组织或公司的安全策略要求，确定IDS要监测的对象或保护网段。在监测对象或保护网段上，安装IDS探测器，采集网络入侵检测所需要的信息。针对检测对象或保护网段的安全需求，制定相应的检测策略。依据检测策略，选用合适的IDS结构类型。在IDS上，配置入侵检测规则。测试验证IDS的安全策略是否正常执行。运行和维护IDS。12.2 分析12.2.1 防火墙iptables配置案例只允许外部用户访问目的为WWW服务器的包通过防火墙分析：因为WWW服务正常使用的是：TCP协议，端口号为80，且WWW服务器的IP地址为：198.168.80.11，

29、所以在防火墙上设置允许：目的地址为198.168.80.11，TCP协议，端口号为80的数据包通过。iptables命令为：/sbin/iptables -A FROWARD -p tcp -d 198.168.80.11 -dport www -i eth0 -j ACCEPT 只允许外部用户访问目的为FTP服务器的包通过防火墙分析：因为FTP服务器正常使用：TCP协议，端口号为20,21，且FTP服务器的IP地址为：198.168.80.12，所以在防火墙上设置允许：目的地址为198.168.80.12 ，协议，端口号为20,21的数据包通过iptables命令为：/sbin/iptables -A FROWARD -p tcp -d 198.168.80.12 -dport ftp -i eth0 -j ACCEPT-j:符合前面的条件采取的措施，ACCEPT,即接受，允许进入只允许访问目的为SMTP服务器的包通过防火墙分析：因为SMTP服务器正常使用：TCP协议，端口号为25，且FTP服务器的IP地址为：198.168.80.13，所以在防火墙上设置