《资料-网络管理课题》由会员分享,可在线阅读,更多相关《资料-网络管理课题(30页珍藏版)》请在金锄头文库上搜索。
1、l高能所校园网目前的主要环境为:千兆骨 干网,百兆到桌面。在这个网络环境中 运行着为全所用户提供服务的交换机、 路由器和服务器群体。使得网络服务渐 趋完善,网络安全大大加强。 l交换机交换机 l路由器路由器 l邮件服务器邮件服务器 l域名服务器域名服务器 l代理服务器代理服务器 lWWW及及WEB服务器服务器 lFTP服务器服务器 l各级交换机(中心、二三级)的管理与维护各级交换机(中心、二三级)的管理与维护 (1)配合防火墙设置,对交换机配置进行调)配合防火墙设置,对交换机配置进行调 整(整(128网段划分子网并进行调整;重新划网段划分子网并进行调整;重新划 分分Vlan、网关地址变化、静态
2、路由变换等)。网关地址变化、静态路由变换等)。 (2)实现)实现IP+MAC自动(程序)自动(程序)绑定绑定。 (3)交换机的日常故障排除(工厂二车间交换机的日常故障排除(工厂二车间 SSR2000故障定位、设备更换,故障定位、设备更换,E5故障诊断故障诊断 等)等)。 (4)使用访问控制列表()使用访问控制列表(acl)使中心交换机使中心交换机 为网络安全发挥作用。为网络安全发挥作用。 (5)使用访问控制列表()使用访问控制列表(acl)保证交换机本保证交换机本 身的系统安全(只允许固定的机器登录到中身的系统安全(只允许固定的机器登录到中 心交换机),降低黑客攻击心交换机),降低黑客攻击的可
3、能性的可能性。 l中心交换机有时出现两个控制模块之间进行中心交换机有时出现两个控制模块之间进行 切换、造成网络短暂中断的现象。目前,管切换、造成网络短暂中断的现象。目前,管 理员正在采取远端跟踪日志的方法查找问题理员正在采取远端跟踪日志的方法查找问题 原因原因。 l开通了与开通了与ChinaNet相连的相连的10M光纤线路光纤线路, 缓解缓解 了出口的紧张状况了出口的紧张状况, 改善了与国内外的通讯改善了与国内外的通讯。 (2002.5) (2002.5) l停止了与世纪互联的停止了与世纪互联的512K线路线路(2002.6) (2002.6) 。 l开通了与科学院网络中心的开通了与科学院网络
4、中心的1010M M光纤光纤线路线路 (2002.7) (2002.7) 。通过这条线路可与。通过这条线路可与CSTNetCSTNet和和 CERNetCERNet通讯。通讯。 KEK IHEP 院网络中心院网络中心 飞华网络飞华网络 北京通讯北京通讯 中国网通中国网通 中国电信中国电信 国 外 128K 10M 10M 10M 2002.12.11 4:10 pm 2002.12.12 8:57 am l将路由中几年积累的数百条访问列表逐一检将路由中几年积累的数百条访问列表逐一检 查整理查整理, ,并利用逆向掩码合并列表条数以提并利用逆向掩码合并列表条数以提 高数据包的投递速度高数据包的投递
5、速度, ,提高路由器的效率。提高路由器的效率。 l利用访问列表功能阻止一些非法访问利用访问列表功能阻止一些非法访问, ,提高提高 网络的运行效率。网络的运行效率。 l配合防火墙的需求更改路由器的路由设置配合防火墙的需求更改路由器的路由设置。 l通过路由器的记帐功能检查是否有不正常的通过路由器的记帐功能检查是否有不正常的 流量。流量。 l目前出口路由器上运行目前出口路由器上运行BGP路由协议路由协议,由于该由于该 协议的一些特性协议的一些特性,造成路由器选路的复杂性造成路由器选路的复杂性, 有些不可预见的结果有些不可预见的结果。 l系统运行管理:系统日常运行、维护、 监控(用户账号建立、删除,用
6、户空间 监控、警告,用户数据备份,系统硬件 升级(Users:1100 Harddisk:36G*4 MEM:1024M CPU:PIII800) l病毒邮件处理方案的制定和实施工作 lEmail地址统一工作(移植的服务器: astrosv1、sapc02、pony1、lnat等) l 系统安全管理:系统安全管理: a)、Sendmail服务安全:使用服务安全:使用Sendmail本身特本身特 性,使用禁止转发、禁止接收等规则保证邮性,使用禁止转发、禁止接收等规则保证邮 件服务的安全件服务的安全 b)、继续更新垃圾邮件过滤规则,提高垃圾邮件过滤继续更新垃圾邮件过滤规则,提高垃圾邮件过滤 效率。
7、统计数字:效率。统计数字: 时间阶段时间阶段邮件邮件 个数个数 内容过滤内容过滤(bit)邮件邮件 个数个数 主题过滤主题过滤(bit) 02-9-902-10-211125 72562093761226122284 02-10-2102-10-31596331858856110954620341 02-10-3102-11-251900 136321198192346323923 c)、)、开启开启SMTP身份验证功能,减少借助我身份验证功能,减少借助我 所邮件服务器向外发送垃圾邮件的可能性所邮件服务器向外发送垃圾邮件的可能性。 d)、)、使用访问控制列表(使用访问控制列表(ipchains
8、)保证服务保证服务 器本身的系统安全、降低黑客攻击的可能性器本身的系统安全、降低黑客攻击的可能性。 a)、8-10月,由于发送了垃圾邮件,我所月,由于发送了垃圾邮件,我所mail服服 务器、务器、mail转发机转发机v-wall以及以及202.38.128.0网段网段 分别被分别被BNL以及一些反垃圾邮件组织官方网站以及一些反垃圾邮件组织官方网站 org.db等列为黑名单,造成我所等列为黑名单,造成我所mail用户无法用户无法 与许多单位正常通信。解决方案:与相关单位与许多单位正常通信。解决方案:与相关单位 (如:(如:BNL,org.db)通过各种渠道(如:通过各种渠道(如:e- mail、
9、网上申请等)联系申请解除黑名单,采网上申请等)联系申请解除黑名单,采 取措施(取措施(SMTP身份认证、病毒邮件过滤)减身份认证、病毒邮件过滤)减 少、杜绝垃圾邮件发送的可能性,同时采用程少、杜绝垃圾邮件发送的可能性,同时采用程 序的方式定期查找我所服务器是否被列为黑名序的方式定期查找我所服务器是否被列为黑名 单并及时处理。单并及时处理。 b)、10月中旬,发现我所月中旬,发现我所mail、sun无法将无法将 邮件发送到邮件发送到cern,经过与经过与cern管理员联系,管理员联系, 得知由于我所的邮件是经过一级转发(即我得知由于我所的邮件是经过一级转发(即我 所的邮件病毒处理机所的邮件病毒处
10、理机v-wall)过去,他们误过去,他们误 认为这是不正常的,经过解释,认为这是不正常的,经过解释,cern理解了理解了 我们的邮件发送机制,问题得以解决。我们的邮件发送机制,问题得以解决。 c)、10月份,月份,mail服务器出现短时间内用户无服务器出现短时间内用户无 法使用法使用telnet登录的现象。原因:由于同时登录的现象。原因:由于同时 有过多的有过多的telnet进程(大概有进程(大概有90个用户同时个用户同时 在线),服务器无法响应。解决方案:研究在线),服务器无法响应。解决方案:研究 在线的用户发现有许多用户登录到在线的用户发现有许多用户登录到mail服务服务 器长时间处于器长
11、时间处于idle状态,所以,采取了预设状态,所以,采取了预设 autologout的办法(的办法(20分钟),减少了同时分钟),减少了同时 在线的用户数量,该现象也就解决了。在线的用户数量,该现象也就解决了。 l由于由于mail服务器用户的大量增加(目前服务器用户的大量增加(目前 1100多),使得系统资源利用率比较高多),使得系统资源利用率比较高 (由网管测试结果观测),有时候出现服(由网管测试结果观测),有时候出现服 务器响应时间比较长的现象,需要对系统务器响应时间比较长的现象,需要对系统 进行硬件升级。进行硬件升级。 1)1)第一域名服务器的域名由原来的第一域名服务器的域名由原来的 cn
12、 改为改为cn; 其其IPIP地址不变,仍为地址不变,仍为 202.38.128.58202.38.128.58; 2)2)第二域名服务器域名由第二域名服务器域名由cn 改为改为cn,IPIP地址为地址为202.38.128.10202.38.128.10; 3)DNS3)DNS服务器删除所有用户帐号服务器删除所有用户帐号, ,只提供只提供DNSDNS服务,服务, 关闭其他服务。关闭其他服务。 4)4)第二域名服务器第二域名服务器SunSun系统升级至系统升级至RedhatRedhat 7.2 7.2 , 解决了解决了RedHat6.2RedHat6.2升级至升级至Redhat7.2Redha
13、t7.2用户口令移用户口令移 植及植及DNSDNS的问题。的问题。 l目前目前DNSDNS服务器的操作系统是服务器的操作系统是RedHatRedHat 6.2 6.2, 版本较低;版本较低; l因因DNSDNS服务器在服务器在DMZ区,所内用户进行域名解区,所内用户进行域名解 析须经过防火墙。析须经过防火墙。 l建立了建立了LinuxLinux平台上的平台上的ProxyProxy服务器;服务器; l编写了编写了LinuxLinux平台上的平台上的ProxyProxy服务器记费软件。服务器记费软件。 l目前所内提供用户使用的目前所内提供用户使用的ProxyProxy服务器有两服务器有两 台,操作
14、系统分别为台,操作系统分别为Windows NT 4.0Windows NT 4.0,和和 RedHatRedHat 7.3 7.3。用户使用时较不方便。用户使用时较不方便。 l目前启用的网威长城防火墙存在的问题目前启用的网威长城防火墙存在的问题: (1)记帐信息不全面记帐信息不全面不能提供对方不能提供对方IP地址地址, 用用 户不能查询户不能查询; (2)记帐方式不合理记帐方式不合理所内所外流量都记费所内所外流量都记费; (3)记帐准确性有待提高记帐准确性有待提高。 l包括包括1010个个C C类地址和类地址和192.168192.168内部地址的内部地址的 分配。分配。 l分别在两台服务器
15、上安装软件实现了站点记数分别在两台服务器上安装软件实现了站点记数 功能功能。 l目前这两台服务器的系统软件都是目前这两台服务器的系统软件都是RedHat 7.0 。 l20022002年两次改版了七室主页年两次改版了七室主页。年初改版主要体年初改版主要体 现为用户服务的主题现为用户服务的主题, ,增加了许多有关这方面的增加了许多有关这方面的 网页(如:用户支持栏目网页(如:用户支持栏目) )。第二次改版使得内。第二次改版使得内 容多、更丰富容多、更丰富( (如:与课题有关信息和学术活动如:与课题有关信息和学术活动 等等) )。 l完成了全所电话号码查询系统程序完成了全所电话号码查询系统程序,包
16、括输入、包括输入、 修改、查询、删除功能。目前正在收集整理数修改、查询、删除功能。目前正在收集整理数 据准备放入数据库中。据准备放入数据库中。 l分别在两台服务器上建立了安全策略保证服务分别在两台服务器上建立了安全策略保证服务 器的安全运行。器的安全运行。 l2002年年4月,用一台月,用一台DELL1400建立了高能所建立了高能所FTP 服务器。目前此服务器硬盘容量为服务器。目前此服务器硬盘容量为126G,依据用依据用 途将软件分为途将软件分为4类以方便所内用户下载。类以方便所内用户下载。 lFTP服务器存放软件包括:服务器存放软件包括: Windows操作系统上运行的软件操作系统上运行的软件 Linux操作系统机器上运行的软件操作系统机器上运行的软件 Cern库库 Portable Batch System软件软件 l 用户电话答疑、咨询。 l 现场技术支持。
