7.4 局域网的管理
7.4.1 传统局域网管理
7.4.2 无线局域网管理
7.4.3 校园网管理
第 7章 网络管理
第 7章 网络管理
7.4.1 传统局域网管理
局域网要管理的对象有服务器、客户机、各种网络线路与互
连设备,以及网络操作系统等。企业或组织的局域网管理一般由
专人或机构负责,小型的局域网一般只需配备几个网络管理员,
而大型的局域网需要成立专门的网络管理机构,如网络信息中心
( NIC,Network Information Center)和网络运行中心( NOC,
Network Operation Center)。 网络信息中心 主要职能是域名注
册服务、目录服务、信息发布服务,IP地址分配服务、协调服务
和信息统计等。 网络运行中心 的任务是完成各自治域和 ISP网络
之间的路由、报文转发、计费、安全、用户接入等与网络实际运
行和维护有关的工作。
无论局域网多大或多小,要管理好它,首先要非常熟悉自己
管理的网络,然后要懂得如何保证网络正常运行。应掌握网络维
护技术,并善于借助网络管理工具与软件。
第 7章 网络管理
7.4.1 传统局域网管理
1,了解网络
?识别网络对象的硬件情况
?熟悉网络中运行的软件
?判别局域网的拓扑结构
?确定网络的互联
确定网络连接的设备和接入网络的方式
?确定用户负载和定位
首先,查看文件服务器上的负载,了解文件服务器正常运行的时
间,查看服务器 CPU的使用率,以及服务器上网络连接的数目,这
些数据提供了网络负载的直接数据。然后,利用这些数据分析众多
服务器中哪个使用率最高,哪些网络的负担最重,最后对网络用户
以及负载分布情况有个大致的了解。
第 7章 网络管理
7.4.1 传统局域网管理
2,网络运行
要使一个局域网顺利运转必须完成很多工作,这些工作包括:
? 弄清当前的网络需求
? 配置网络
选择网络操作系统、选择网络连接协议,并根据选择的网络
协议配置客户机的网络软件。
? 服务器管理
企业网络应根据企业网络拓扑结构和网络应用功能来配置服
务器、选择服务器的档次以及操作系统,建立文件服务器、数据
库服务器和各种专用服务器分工合作的服务器资源环境。
? 网络安全控制
首要任务是管理用户注册和访问权限;其次, 还需要管理和
配置好防火墙, 并不断对防火墙升级;再次, 就是查找并消除病
毒, 应在服务器上安装反病毒软件, 并不断升级更新 。
第 7章 网络管理
7.4.1 传统局域网管理
3,网络维护
? 常见网络故障和修复
线路故障,线路故障最常见的情况就是线路不通。诊断这种
故障,可用 ping命令检查线路远端的路由器端口是否还能响应,
或检测该线路上的流量是否还存在。
路由器故障,有些路由器故障仅仅涉及到它本身,这些故障
比较典型的就是路由器 CPU温度过高,CPU利用率过高和路由
器内存余量太小。 对路由器内存余量太小解决方法是对路由器
进行升级、扩内存等,或者重新规划网络的拓扑结构。另一种
路由器故障就是自身的配置错误。比如配置的协议类型不对,
配置的端口不对等。这种故障比较少见,但对其没有什么特别
的发现办法,排除故障取决于网络管理人员的经验。
第 7章 网络管理
7.4.1 传统局域网管理
主机故障, 常见的现象就是主机配置不当。还有一些服务
器设置故障,比如 E-Mail服务器设置不当导致不能收发 E-Mail,
或者域名服务器设置不当将导致不能解析域名。主机故障的另
一种可能是主机安全故障。
发现主机故障是一件困难的事情,特别是攻击者的恶意攻
击。一般可以通过监视主机流量、或扫描主机端口和服务来防
止可能的漏洞。当发现主机受到攻击之后,应立即分析可能的
漏洞,严加预防,并尽快通知网络管理人员。
第 7章 网络管理
7.4.1 传统局域网管理
? 网络检查
网络检查是在网络正常运行的情况下,对服务器状态和网络运
行的动态信息收集和分析过程。表 7-1列出了一些需要定期检查的
网络关键信息。
表 7-1需要定期检查的网络关键信息
频率 活 动 频率 活 动
每日 检查各项服务器的磁盘空间 每日 删除旧用户
每日 列出前一天创建的文件 每月 检查用户账号安全性
每日 找出可被存档 /删除的旧文件 每月 确保备份的完整性
每日 检查备份的执行情况 每月 更新服务器模块
每日 检查服务器错误记录文件 每月 更新客户文件
第 7章 网络管理
7.4.1 传统局域网管理
? 网络升级
网络升级是一个持续的过程,网络操作系统 的升级通常最迫切,
但 硬件 和 软件 也可能需要升级。
服务器 的升级至关重要。必须升级的服务器有三种,最简单的
一种是 用户许可证升级 。如果网络服务器的能力已达到最大限度,
并需要容纳更多的用户,则需要进行许可证升级。另一种服务器升
级是 网络操作系统的升级,如果使用的是过时的或有故障的网络操
作系统,就应该升级为最新的版本。第三种服务器升级所指的范围
相对来说要广泛一些,主要指 硬件升级,硬件升级可能包括增加磁
盘空间、改进容错措施或系统升级。另外,客户软件的升级 有时十
分必要,因为旧客户软件对于网络操作系统可能是一种沉重的负担。
第 7章 网络管理
7.4.1 传统局域网管理
? 网络数据备份
企业应制定一个有效的数据备份策略。
数据备份的介质可以是软盘, 光盘, 磁带等, 但从容量, 速度,
安全性, 稳定性, 性价比, 可操作性, 可管理性等方面考虑, 企业
局域网选用磁带机做数据备份是保护网络数据的较好方法 。
数据备份有完全备份、增量备份、指定备份等备份方式。企业
每年、每月宜做完全数据备份,每星期宜做增量数据备份,重要数
据每天应做数据备份,并多份拷贝、异地存放。为能较好地恢复数
据又节省磁带开销,一般企业数据年备份应保留 3年,月备份应保
留 12个月,星期备份应保留 6个月。
第 7章 网络管理
7.4.2 无线局域网管理
1,网络监视
? 以太网监视器
以太网监视器通过在以太网链路上捕获 802.3的 MAC帧,然后进
行协议分析,按需求对其内容进行统计就可以得到当前网络的运行
情况。
?802.11b监视器
对于 802.11b监视器而言,在空气中传播的无线数据包也可以被
捕获,因此可以通过对 802.11b的 MAC帧进行分析以得到客户机和
AP的 MAC地址、服务配置标志符等,对其内容进行统计分析就可以
得到当前 WLAN的状态。
第 7章 网络管理
7.4.2 无线局域网管理
2,网络控制
? AP参数控制
所谓 AP参数控制 是指 利用 AP的自身参数设置进行控制 。这
种控制主要包括:设置允许接入 AP的无线用户数量(部分 AP支
持此功能),由于带宽有限,如果对网络有一定的服务质量要
求,例如视频课件点播、视频会议等,则必须限制同时使用同
一个 AP的无线用户数量;过滤无线用户的 MAC地址,允许或禁
止某些 MAC地址的无线用户使用 AP;过滤协议,通过禁用某些
网络协议来减少网络不必要的负担; RTS阈值,在不存在隐藏
节点的情况下,例如无线教室,AP和无线网卡应禁用 RTS/CTS
设置,否则反而会额外增加网络负担。
。
第 7章 网络管理
7.4.2 无线局域网管理
? 自适应控制
自适应控制 是指按照预先指定的控制策略(如基于带宽或
响应时间),网络监视器根据监视到的网络信息生成控制信息,
然后将控制信息反馈到服务器,服务器对正在进行的服务内容
进行相应控制,对某些无线客户的请求进行响应或拒绝。
对于 TCP连接,如果无法或不适合在服务器端进行控制,则
可以考虑在链路上控制。控制的方法是在链路上监视 TCP的数
据包,当有新的用户进行 TCP连接请求时,控制器立即发出复
位包来中断这个请求。这种方法的缺点是对用户不友好,但在
网络拥挤的情况下也不失为一种可行的策略。
第 7章 网络管理
7.4.2 校园网管理
1,用户管理
?账号管理
主要包括用户账号和 IP地址的开户、销户、暂停和恢复以及
打印用户回执等。
?收费管理
主要是对用户账号及申请 IP地址的用户收取各种管理费用及
出国费用等。
?查询打印
管理员可以按各种条件 ( 如用户账号, 用户类型, 所在学院
和系别, 开户日期等 ) 或条件的组合, 查询和打印所有用户资料
表, 包括 IP用户资料表, 收费情况表, 暂停恢复资料表等 。
第 7章 网络管理
7.4.2 校园网管理
? 业务统计
主要统计各种用户的申请, 在用, 暂停等情况, 统计用户交
纳各种费用的分类情况 。 管理员还可以查询欠款用户的情况, 打
印用户名单并督促用户尽快交纳所欠款项 。
校园网的用户管理 可购买商品化的网络管理软件或采用其他
网络计费管理系统 。
2,设备的监控和管理
? 设备监控
校园网的设备监控需 充分利用设备厂商所提供的网管软件,
或借助于第三方网管工具 。网络设备的监控主要监视有数据流量
的端口,特别是要监控交换机端口以及服务器。
第 7章 网络管理
7.4.2 校园网管理
要监视核心交换机端口的流量,可查看网管软件的流量分析
曲线图,如图 7.5所示。该图横坐标表示时间(小时),纵坐标
表示流量( M),图中实曲线表示流出,阴影部分表示流入。如
工商楼最大流出约 11.5Mbps,最大流入约 4.4Mbps,上午
10:00~11:00以及晚上 5:00~6:00是流出高峰,而流入高峰集中在
上午 9:00~10点,00。
端口 11 --F ast E the rn et 2/9 机械楼
端口 12 --F ast E the rn et 2/9 工商楼
图 7.5 交换机端口流量分析曲线图
第 7章 网络管理
7.4.2 校园网管理
? 硬件设备的日常维护
应定期对网络设备进行除尘 。 大部分网络设备都安装有指示
灯, 维护人员可以从指示灯的颜色或闪烁状态判断设备的运转情
况 。 对于主干设备, 如高端路由器, 高端交换机或防火墙, 应对
硬件备份, 以保证在突发事故的情况下能快速切换到另一台设备 。
? 网络设备的软故障
设备配置是导致软故障的主要原因。处理网络设备软故障的
一个有效方法是定期对交换机、路由器和服务器的配置进行备份。
当设备发生故障时,可利用备份进行恢复。
设备管理的另一个重要方面是对设备升级。如对防火墙,路
由器和交换机定期或不定期地进行升级。
第 7章 网络管理
7.4.2 校园网管理
3,安全管理
网络安全从总体上讲分为两类:网络的物理安全和非物理
安全。网络的物理安全指网络设施的牢固性、耐用性,如防雷、
防火、防盗等;非物理性安全主要指采用先进的技术、制订各种
保障校园网安全的规章制度、条例、法规等。通常所说的网络安
全主要指技术方面的安全。
?网络设备的软故障
通过采取技术和管理措施,可以完全防范计算机病毒。应及
时升级杀毒软件,拒绝接受不明电子邮件,下载 zip,exe等文件
时中应特别加以注意,因为它们有潜伏病毒的可能性。
第 7章 网络管理
7.4.2 校园网管理
?Web服务器安全预防措施
WWW目录访问权限设定;
对 IP地址的控制;
端口安全性的实现 。
?网络主机 IP安全预防措施
IP转换,网络地址转换。
IP防盗,IP与 MAC地址绑定 ;
802.1X认证以及 IP与房间网络端口绑定的策略。
第 7章 网络管理
7.4.2 校园网管理
?防火墙管理
当一个网络连接 Internet之后, 系统安全除考虑计算机病毒,
系统稳定之外, 更重要的是防止非法用户入侵 。 而目前主要是靠
防火墙完成 。
防火墙贯穿于内部网络的整个防御过程:防火墙能够检测到
通过防火墙的各种入侵, 攻击和异常事件, 并以相应的方式通知
相关人员, 安全员依据这些警报信息及时修改相应的安全策略,
重新制定访问控制规则;由安全员分析审计信息, 修正策略, 制
定新的过滤规则 。 防火墙和相应的操作系统可采用补丁程序进行
升级, 而且升级应定期进行, 以对付黑客新增的入侵攻击手段 。
7.4.1 传统局域网管理
7.4.2 无线局域网管理
7.4.3 校园网管理
第 7章 网络管理
第 7章 网络管理
7.4.1 传统局域网管理
局域网要管理的对象有服务器、客户机、各种网络线路与互
连设备,以及网络操作系统等。企业或组织的局域网管理一般由
专人或机构负责,小型的局域网一般只需配备几个网络管理员,
而大型的局域网需要成立专门的网络管理机构,如网络信息中心
( NIC,Network Information Center)和网络运行中心( NOC,
Network Operation Center)。 网络信息中心 主要职能是域名注
册服务、目录服务、信息发布服务,IP地址分配服务、协调服务
和信息统计等。 网络运行中心 的任务是完成各自治域和 ISP网络
之间的路由、报文转发、计费、安全、用户接入等与网络实际运
行和维护有关的工作。
无论局域网多大或多小,要管理好它,首先要非常熟悉自己
管理的网络,然后要懂得如何保证网络正常运行。应掌握网络维
护技术,并善于借助网络管理工具与软件。
第 7章 网络管理
7.4.1 传统局域网管理
1,了解网络
?识别网络对象的硬件情况
?熟悉网络中运行的软件
?判别局域网的拓扑结构
?确定网络的互联
确定网络连接的设备和接入网络的方式
?确定用户负载和定位
首先,查看文件服务器上的负载,了解文件服务器正常运行的时
间,查看服务器 CPU的使用率,以及服务器上网络连接的数目,这
些数据提供了网络负载的直接数据。然后,利用这些数据分析众多
服务器中哪个使用率最高,哪些网络的负担最重,最后对网络用户
以及负载分布情况有个大致的了解。
第 7章 网络管理
7.4.1 传统局域网管理
2,网络运行
要使一个局域网顺利运转必须完成很多工作,这些工作包括:
? 弄清当前的网络需求
? 配置网络
选择网络操作系统、选择网络连接协议,并根据选择的网络
协议配置客户机的网络软件。
? 服务器管理
企业网络应根据企业网络拓扑结构和网络应用功能来配置服
务器、选择服务器的档次以及操作系统,建立文件服务器、数据
库服务器和各种专用服务器分工合作的服务器资源环境。
? 网络安全控制
首要任务是管理用户注册和访问权限;其次, 还需要管理和
配置好防火墙, 并不断对防火墙升级;再次, 就是查找并消除病
毒, 应在服务器上安装反病毒软件, 并不断升级更新 。
第 7章 网络管理
7.4.1 传统局域网管理
3,网络维护
? 常见网络故障和修复
线路故障,线路故障最常见的情况就是线路不通。诊断这种
故障,可用 ping命令检查线路远端的路由器端口是否还能响应,
或检测该线路上的流量是否还存在。
路由器故障,有些路由器故障仅仅涉及到它本身,这些故障
比较典型的就是路由器 CPU温度过高,CPU利用率过高和路由
器内存余量太小。 对路由器内存余量太小解决方法是对路由器
进行升级、扩内存等,或者重新规划网络的拓扑结构。另一种
路由器故障就是自身的配置错误。比如配置的协议类型不对,
配置的端口不对等。这种故障比较少见,但对其没有什么特别
的发现办法,排除故障取决于网络管理人员的经验。
第 7章 网络管理
7.4.1 传统局域网管理
主机故障, 常见的现象就是主机配置不当。还有一些服务
器设置故障,比如 E-Mail服务器设置不当导致不能收发 E-Mail,
或者域名服务器设置不当将导致不能解析域名。主机故障的另
一种可能是主机安全故障。
发现主机故障是一件困难的事情,特别是攻击者的恶意攻
击。一般可以通过监视主机流量、或扫描主机端口和服务来防
止可能的漏洞。当发现主机受到攻击之后,应立即分析可能的
漏洞,严加预防,并尽快通知网络管理人员。
第 7章 网络管理
7.4.1 传统局域网管理
? 网络检查
网络检查是在网络正常运行的情况下,对服务器状态和网络运
行的动态信息收集和分析过程。表 7-1列出了一些需要定期检查的
网络关键信息。
表 7-1需要定期检查的网络关键信息
频率 活 动 频率 活 动
每日 检查各项服务器的磁盘空间 每日 删除旧用户
每日 列出前一天创建的文件 每月 检查用户账号安全性
每日 找出可被存档 /删除的旧文件 每月 确保备份的完整性
每日 检查备份的执行情况 每月 更新服务器模块
每日 检查服务器错误记录文件 每月 更新客户文件
第 7章 网络管理
7.4.1 传统局域网管理
? 网络升级
网络升级是一个持续的过程,网络操作系统 的升级通常最迫切,
但 硬件 和 软件 也可能需要升级。
服务器 的升级至关重要。必须升级的服务器有三种,最简单的
一种是 用户许可证升级 。如果网络服务器的能力已达到最大限度,
并需要容纳更多的用户,则需要进行许可证升级。另一种服务器升
级是 网络操作系统的升级,如果使用的是过时的或有故障的网络操
作系统,就应该升级为最新的版本。第三种服务器升级所指的范围
相对来说要广泛一些,主要指 硬件升级,硬件升级可能包括增加磁
盘空间、改进容错措施或系统升级。另外,客户软件的升级 有时十
分必要,因为旧客户软件对于网络操作系统可能是一种沉重的负担。
第 7章 网络管理
7.4.1 传统局域网管理
? 网络数据备份
企业应制定一个有效的数据备份策略。
数据备份的介质可以是软盘, 光盘, 磁带等, 但从容量, 速度,
安全性, 稳定性, 性价比, 可操作性, 可管理性等方面考虑, 企业
局域网选用磁带机做数据备份是保护网络数据的较好方法 。
数据备份有完全备份、增量备份、指定备份等备份方式。企业
每年、每月宜做完全数据备份,每星期宜做增量数据备份,重要数
据每天应做数据备份,并多份拷贝、异地存放。为能较好地恢复数
据又节省磁带开销,一般企业数据年备份应保留 3年,月备份应保
留 12个月,星期备份应保留 6个月。
第 7章 网络管理
7.4.2 无线局域网管理
1,网络监视
? 以太网监视器
以太网监视器通过在以太网链路上捕获 802.3的 MAC帧,然后进
行协议分析,按需求对其内容进行统计就可以得到当前网络的运行
情况。
?802.11b监视器
对于 802.11b监视器而言,在空气中传播的无线数据包也可以被
捕获,因此可以通过对 802.11b的 MAC帧进行分析以得到客户机和
AP的 MAC地址、服务配置标志符等,对其内容进行统计分析就可以
得到当前 WLAN的状态。
第 7章 网络管理
7.4.2 无线局域网管理
2,网络控制
? AP参数控制
所谓 AP参数控制 是指 利用 AP的自身参数设置进行控制 。这
种控制主要包括:设置允许接入 AP的无线用户数量(部分 AP支
持此功能),由于带宽有限,如果对网络有一定的服务质量要
求,例如视频课件点播、视频会议等,则必须限制同时使用同
一个 AP的无线用户数量;过滤无线用户的 MAC地址,允许或禁
止某些 MAC地址的无线用户使用 AP;过滤协议,通过禁用某些
网络协议来减少网络不必要的负担; RTS阈值,在不存在隐藏
节点的情况下,例如无线教室,AP和无线网卡应禁用 RTS/CTS
设置,否则反而会额外增加网络负担。
。
第 7章 网络管理
7.4.2 无线局域网管理
? 自适应控制
自适应控制 是指按照预先指定的控制策略(如基于带宽或
响应时间),网络监视器根据监视到的网络信息生成控制信息,
然后将控制信息反馈到服务器,服务器对正在进行的服务内容
进行相应控制,对某些无线客户的请求进行响应或拒绝。
对于 TCP连接,如果无法或不适合在服务器端进行控制,则
可以考虑在链路上控制。控制的方法是在链路上监视 TCP的数
据包,当有新的用户进行 TCP连接请求时,控制器立即发出复
位包来中断这个请求。这种方法的缺点是对用户不友好,但在
网络拥挤的情况下也不失为一种可行的策略。
第 7章 网络管理
7.4.2 校园网管理
1,用户管理
?账号管理
主要包括用户账号和 IP地址的开户、销户、暂停和恢复以及
打印用户回执等。
?收费管理
主要是对用户账号及申请 IP地址的用户收取各种管理费用及
出国费用等。
?查询打印
管理员可以按各种条件 ( 如用户账号, 用户类型, 所在学院
和系别, 开户日期等 ) 或条件的组合, 查询和打印所有用户资料
表, 包括 IP用户资料表, 收费情况表, 暂停恢复资料表等 。
第 7章 网络管理
7.4.2 校园网管理
? 业务统计
主要统计各种用户的申请, 在用, 暂停等情况, 统计用户交
纳各种费用的分类情况 。 管理员还可以查询欠款用户的情况, 打
印用户名单并督促用户尽快交纳所欠款项 。
校园网的用户管理 可购买商品化的网络管理软件或采用其他
网络计费管理系统 。
2,设备的监控和管理
? 设备监控
校园网的设备监控需 充分利用设备厂商所提供的网管软件,
或借助于第三方网管工具 。网络设备的监控主要监视有数据流量
的端口,特别是要监控交换机端口以及服务器。
第 7章 网络管理
7.4.2 校园网管理
要监视核心交换机端口的流量,可查看网管软件的流量分析
曲线图,如图 7.5所示。该图横坐标表示时间(小时),纵坐标
表示流量( M),图中实曲线表示流出,阴影部分表示流入。如
工商楼最大流出约 11.5Mbps,最大流入约 4.4Mbps,上午
10:00~11:00以及晚上 5:00~6:00是流出高峰,而流入高峰集中在
上午 9:00~10点,00。
端口 11 --F ast E the rn et 2/9 机械楼
端口 12 --F ast E the rn et 2/9 工商楼
图 7.5 交换机端口流量分析曲线图
第 7章 网络管理
7.4.2 校园网管理
? 硬件设备的日常维护
应定期对网络设备进行除尘 。 大部分网络设备都安装有指示
灯, 维护人员可以从指示灯的颜色或闪烁状态判断设备的运转情
况 。 对于主干设备, 如高端路由器, 高端交换机或防火墙, 应对
硬件备份, 以保证在突发事故的情况下能快速切换到另一台设备 。
? 网络设备的软故障
设备配置是导致软故障的主要原因。处理网络设备软故障的
一个有效方法是定期对交换机、路由器和服务器的配置进行备份。
当设备发生故障时,可利用备份进行恢复。
设备管理的另一个重要方面是对设备升级。如对防火墙,路
由器和交换机定期或不定期地进行升级。
第 7章 网络管理
7.4.2 校园网管理
3,安全管理
网络安全从总体上讲分为两类:网络的物理安全和非物理
安全。网络的物理安全指网络设施的牢固性、耐用性,如防雷、
防火、防盗等;非物理性安全主要指采用先进的技术、制订各种
保障校园网安全的规章制度、条例、法规等。通常所说的网络安
全主要指技术方面的安全。
?网络设备的软故障
通过采取技术和管理措施,可以完全防范计算机病毒。应及
时升级杀毒软件,拒绝接受不明电子邮件,下载 zip,exe等文件
时中应特别加以注意,因为它们有潜伏病毒的可能性。
第 7章 网络管理
7.4.2 校园网管理
?Web服务器安全预防措施
WWW目录访问权限设定;
对 IP地址的控制;
端口安全性的实现 。
?网络主机 IP安全预防措施
IP转换,网络地址转换。
IP防盗,IP与 MAC地址绑定 ;
802.1X认证以及 IP与房间网络端口绑定的策略。
第 7章 网络管理
7.4.2 校园网管理
?防火墙管理
当一个网络连接 Internet之后, 系统安全除考虑计算机病毒,
系统稳定之外, 更重要的是防止非法用户入侵 。 而目前主要是靠
防火墙完成 。
防火墙贯穿于内部网络的整个防御过程:防火墙能够检测到
通过防火墙的各种入侵, 攻击和异常事件, 并以相应的方式通知
相关人员, 安全员依据这些警报信息及时修改相应的安全策略,
重新制定访问控制规则;由安全员分析审计信息, 修正策略, 制
定新的过滤规则 。 防火墙和相应的操作系统可采用补丁程序进行
升级, 而且升级应定期进行, 以对付黑客新增的入侵攻击手段 。
