机房网络维护

《机房网络维护》由会员分享，可在线阅读，更多相关《机房网络维护（4页珍藏版）》请在金锄头文库上搜索。

1、Company number：【WTUT-WT88Y-W8BBGB-BWYTT-19998 】机房网络设备维护网络设备的维护机房网络设备维护的重要内容有服务器日常维护，路由器日常维护，交换机日常维 护，防火墙的日常维护。1. 服务器日常维护 服务器是黑客攻击的主要目标，所以服务器的日常维护是非常重要的，服务器日常维护 要重点 注意如下 8 点内容：1) 服务器设备的工作状态巡查和网络设备具体内容的巡检。2) 经常更改系统管理员密码，定期更新系统补丁。3) 不要安装任何第三方软件，更不要在服务器上注册未知的组件。4) 不要在服务器上使用IE浏览器访问任何网站，杜绝隐患。5) 备份数据库，以防万一

2、。6) 操作系统的维护。 操作系统是服务器运行的软件基础， 多数服务器使用Windows2003或 Windows2008Server作为操作系统，维护起来还是比较容易的。7) 检查系统日志，定时查看系统各个盘符的磁盘权限是否设定的安全权限。8) 及时更新病毒库，查杀病毒。2. 路由器日常维护路由器日常维护要重点注意如下 8点内容：1) 路由器设备的工作状态巡查和网络设备具体内容的巡检。2) 保护路由器口令。一旦路由器密码泄露，网络也就毫无安全可言。3) 阻止查看到路由器当前的用户列表，命令为no service finger.。4) 管理HTTP服务。HTTP服务器提供Web管理接口。No

3、ip http server命令可以停止 HTTP月服务。5) 校验数据流路径的合法性。使用RPF(reverse path forwarding,反相路径转发)达到抵 御spoofing的攻击的目的。RPF反相路径转发的配置命令为ip verify unieast rpf。6) 抵御spoofin(欺骗)累攻击。使用访问控制列表，过滤掉所有目标地址为网络广播地 址。7) 防止SYN攻击。路由器的软件平台开启TCP拦截功能，防止SYN攻击，工作模 式分栏截和监视俩种，默认情况是拦截模式。8) 使用安全的 SNMP 管理方案。 SNMP 广泛应用在路由器的监控，配置方面，使用MDS 数字身份鉴别

4、方式。不同的路由器设备配置不同的数字签名密码，这是提高 整体安全性能的有效手段。3. 交换机日常维护交换机的日常维护要重点注意如下 6点内容；1) 交换机设备的工作状态巡查和网络设备具体内容的巡检2) 查看交换机的参数。查看命令：show switch。查看某个端口的流量： show packet ports8。 (8代表为此交换机的第8个端口) 查看某个端口的错误传输状态： show error ports8。禁止和启用端口。启用第8个的端口的命令为： config ports 8state enable 。 禁用第 8 个端口的命令为： config ports 8 state disab

5、le 。3) 配置端口模式。配置第8个端口的模式为自适应：config ports 8 speed auto。 配置第8 个端口的模式为100M半双工：config ports 8 speed 100- half。配置口的模式为 100M 全双工： config ports 8 speed 100-full。4）配置宽带限制。配置第8个端口的收发率均为10 Mbpos,rx-rate为收，tx-rate为发，命令如 下：Config bandwidth-control 8rx-rate10 tx-rate10配置第 8 个端口的收发率均无限制，命令如下：Config bandwidth-con

6、trol 8 rx-rate no-limit tx-rate no-limit。5）创建交换机的用户名和密码。创建一个角色为管理员，用户名 weiadmin 的用户，命令如下：Create account admi n（用户名角色）admin（用户名）会提示输入密码 修改用户名为 admin 的密码，命令如下：Config account admin（用户名）会提示输入旧密码和新密码删除用户名为admin的用户，命令如下：Delete account admin （用户名）创建访问次交换机 snmp fuwu 的密码，命令如下：Create snmp community colorme（密码

7、）view communityview read-only6）禁止或启用一些服务。启用 web 服务，命令： enable web 。禁用 web 服务，命令： disable web启用 telnet 服务，命令： enable telnet4. 防火墙日常维护1）防火墙设备的工作状态巡查和网络设备具体内容的巡检。2）配置 System-ip 地址，指定专用终端管理防火墙。3）更改 netscreen 账号和口令，不建议使用缺省的 netscreen 账号管理的防火墙：设置两级 管理员账号并定期变更口令；仅允许使用ssh和ss方式登录防火墙进行管理维护。4）防火墙日常 3个关键资源信息的维护

8、：1. Sessine。Session资源正常使用限制在70%以下，当Session资源正常使用到85% 时，需要检查 Session 表和告警信息，检查 Session 是否使用于正常业务，网络中是否 存在 flood 攻击行为，需要考虑设备容量限制并及时升级。2. CPU。硬件架构的防火墙，正常工作状态下防火墙cpu使用率应保持在50%以下，如 出现CPU使用率过高的情况需要检查Session使用情况和各类告警信息，并检查网络中 是否存在攻击流量。通常情况下，防火墙 CPU 使用率过高往往与攻击有关，可通过正 确设置 Session 对应选项进行防范。需查看异常流量，告警日志，检查策略是否

9、优化， 配置文件中是否存在无效的命令。3. Menmory。防火墙对内存的使用把握的十分准确，采用“预分配”机制，空载时内 存使用率为约 50%60%，随着流量的不断增长，内存的使用率应基本保持稳定。当出 现内存使用率高达 90%时，需检查网络中是否存在攻击流量，并查看为 debug 分配的 空间是否过大。5 ） . 建立防火墙维护检查信息表。防火墙维护检查信息表如下：防火墙维护检查信息表检杳对象检杳命令相关信息检查结果备注Sessi onGet sessi onCPUGet cpuMemoryGet memoryLn terfaceGet in terface路由表Get routeHA状态

10、Get n srp事件查看Get log eve nt告警信息Get chassis6）建立防火墙设备维护表。建立防火墙设备维护表，为判断网络异常提供参数依据。防火墙的维护表如下防火墙设备维护表设备型 号设备用 途设备状 态事件现 象事件处 理处理过 程处理结 果负责人7）应急处理。当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流 量，定位故障是否与防火去有关。如果故障与防火墙有关，可在防火墙上打开 debug功能更综包处理过程，检验策略配置是否存在问题。一旦定位防火墙故障，双机环境下可通过命令进行双机切换；单机环境下发生故障 时，利用备份交换机/路由器配置快速旁路防火墙。应急处理应

11、注意如下 4点内 容；1. 检测设备运行状态。网络出现故障时，应快速判断防火墙设备运行状态，通过 Console 口登录到防火墙，快速查看 CPU,Memory, Session, Interface 以及告警信息，初步排除防 火墙硬件故障并判断是否存在攻击行为。2. 跟踪防火墙对数据包的处理情况。如果出现部分网络无法正常访问，顺序检查接口状 态，路由和策略配置是否有误，在确认上诉配置无误后，通过 debug 命令检查防火墙对 特定网段数据包的处理情况。部分地址无法通过防火墙往往与策略配置有关。3. 检查是否存在攻击流量、通过查看告警信息确认是否有异常信息，同时在上行交换机中 通过端口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在 Sereen 选 项中启用对应防护措施来屏蔽攻击流量。4. 检查 nsrp 工作状态。使用 get nsrp 命令检查 nsrp 集群工作状态，如 nsrp 转态出现异常 或发生切换，需进一步确认引起切换的原因，引起 nsrp 切换的原因通常为链路故障， 交换机端口故障，设备断电或重启。