计算机网络管理理论与实践教程完整版

《计算机网络管理理论与实践教程完整版》由会员分享，可在线阅读，更多相关《计算机网络管理理论与实践教程完整版（566页珍藏版）》请在金锄头文库上搜索。

1、计算机网络管理理论与实践教程计算机网络管理理论与实践教程第一章第一章 绪论绪论全国信息技术水平考试计算机网络管理理论与实践教程目录v绪论v简单网络管理协议SNMPv网络系统规划与工程管理vIP地址管理v网络配置管理v网络故障管理v网络性能管理v网络安全管理理论与技术v网络计费管理v网络管理平台与工具v网络管理机构组织与运行vIT服务管理计算机网络管理理论与实践教程绪论v网络管理概述v网络管理功能和目标v网络管理模型与协议v网络管理体系结构v网络管理典型实现模式分析v网络管理软件系统计算机网络管理理论与实践教程网络管理概述v网络管理的概念网络管理就是对网络中各种资源，如网络设备、通信线路、网络用

2、户、网络服务、网络信息等进行监测、配置、修改、调控，使得网络能够满足应用的需求。按照国际标准化组织（ISO）的定义，网络管理主要包括五个方面工作，即故障管理、配置管理、计费管理、性能管理、安全管理。性能管理计费管理故障管理安全管理配置管理计算机网络管理理论与实践教程第三阶段智能化管理阶段第二阶段计算机辅助管理阶段网络管理概述v网络管理的历程网络管理大致经历的三个阶段：第一阶段人工管理阶段计算机网络管理理论与实践教程网络管理的功能和目标v配置管理配置管理负责监测和修改网络的配置信息和运行状态。在网络的建立、扩充、改造以及运行过程中，对网络资源的配置、运行状态、网络的拓扑结构等配置信息进行定义、监

3、测和修改。v故障管理故障管理的目的在于确保网络系统可靠、稳定的运行。在网络发生故障时，及时地进行故障定位，排除故障恢复网络的正常运行。故障管理包括对被管理对象状态的监控、故障事件的追踪、定位与记录以及故障的排除等。计算机网络管理理论与实践教程网络管理的功能和目标v性能管理性能管理的目的是确保网络不会出现过度拥挤的情况，保障网络的可用性，为用户提供良好的网络服务质量(QoS)。v安全管理网络安全是指包括网络设备、网络通信协议和网络管理系统在内的所有支持网络系统运行的硬件/软件总体的安全。安全管理的目标是保证网络的保密性、可用性、完整性、可控制性，不因网络设备、网络通信协议、网络管理系统受到人为和

4、自然因素的危害，而导致网络传输信息丢失、泄露或破坏。计算机网络管理理论与实践教程网络管理的功能和目标v计费管理计费管理的主要任务是根据管理部门制定的计费策略，对网络资源的使用情况收取相应的费用，分担网络运行成本。计算机网络管理理论与实践教程网络管理的功能和目标v服务管理服务是由服务提供商支持的、让客户感觉协调一致，能够满足客户的一种或多种需求的可用系统或功能。服务管理融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。目前网络管理的内容将会逐步地纳入到IT服务管理范畴下，作为IT服务的一个组成部分，网络管理也将遵循水平协议（SLP）框架。计算机

5、网络管理理论与实践教程网络管理模型与协议v网络管理模型网络管理可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。计算机网络管理理论与实践教程网络管理模型与协议v网络管理协议网络管理协议是网络管理系统忠最重要的部分，它定义了网络管理者与被管代理间的通信方法，规定了管理信息库的存储结构、信息库中关键字的含义以及各种事件的处理方法。SNMP（Simple Network Management Protocol）： 简单网络管理协议CMIP（Common Management Information Protocol）：通用管理信息协议计算机网络管理理论与实践教程网络管理体系结构v网络管理体

6、系结构概念网络管理体系结构是指网络管理系统、网络管理代理的组织形式。常见的网络管理体系结构是：集中式体系结构分层式体系结构分布式体系结构计算机网络管理理论与实践教程网络管理体系结构v集中式网络管理体系结构集中式网络管理体系结构是将网络管理系统建立在一个计算机系统上，由该计算机系统负责所有的网络管理任务。计算机网络管理理论与实践教程网络管理体系结构v分层网络管理体系结构分层体系结构使用多个计算机系统，其中一个作为网络管理的中央服务器系统，其它作为客户端系统。网络管理系统的某些功能驻留在服务器系统上，其它功能由客户端系统完成。计算机网络管理理论与实践教程网络管理体系结构v分布式网络管理体系结构分布

7、式体系结构采用多个对等平台，其中一个平台作为一组对等平台的管理者，每个对等平台都有整个网络设备的完整数据库。计算机网络管理理论与实践教程网络管理典型实现模式分析v基于SNMP网络管理SNMP网络管理体系结构是为了管理TCP/IP协议的网络而提出的一种网络管理协议。SNMP的网络管理模型包括管理者、管理代理、管理信息库和管理协议等重要组成部分。管理者一般是安装了网络管理系统的独立设备，作为网络管理员与网络管理系统的接口。管理代理安装在被管理对象（如主机、路由器和交换机）中,对来自管理者的信息请求和动作请求进行应答，并为管理者报告一些重要的意外事件。管理信息库是管理对象信息的集合，管理者通过管理代

8、理读取管理信息库中对象的值来进行监控。管理站和代理者之间通过SNMP网络管理协议通信。计算机网络管理理论与实践教程网络管理典型实现模式分析v基于CMIP网络管理OSICMIP网络管理体系结构是一个面向对象的设计，其体系结构由4个主要部分组成：信息模型、组织模型、通信模型和功能模型。信息模型：管理信息结构、命名等级体系和管理对象定义；组织模型：采用管理系统和代理系统模式，定义了一些管理角色，如管理者、代理等；通信模型：是基于系统的通信体系结构，包括应用管理、层管理和层操作3种交换管理信息的机制；功能模型：将整个管理系统划分为五个功能域：配置、故障、性能、安全和计费管理。计算机网络管理理论与实践教

9、程网络管理典型实现模式分析v基于WEB的网络管理WBM有两种代理基本的实现方案：代理方案和嵌入式方案。基于代理的实现方案是将Web服务部署到网管设备或服务器上，该设备使用网络管理协议收集网络管理信息，用户使用浏览器，通过HTTP协议与Web服务器进行通信，完成网络管理工作。嵌入式的实现方案是将Web服务嵌入到网络设备中，网络管理员可通过浏览器直接访问该设备并且进行管理。计算机网络管理理论与实践教程网络管理典型实现模式分析vTMN网络管理电信管理网（TMN）由国际电信联盟(ITU)提出，目的是为了向用户提供高质量、高可靠性的电信服务，有效地降低网络运营成本。TMN提供有组织的网络结构，以取得各种

10、类型的操作系统之间，操作系统与电信设备之间的互连。TMN的管理功能：性能管理、配置管理、帐务管理、故障管理、安全管理。TMN的功能模块：操作系统功能模块、工作站功能模块、网元功能模块、Q适配器功能模块和协调功能模块。计算机网络管理理论与实践教程网络管理软件v网络管理软件组成网络管理软件应具有网络管理信息采集功能、配置管理功能、故障管理功能、计费管理功能、安全管理功能、服务管理功能以及网络管理操作可视化操作功能。计算机网络管理理论与实践教程网络管理软件v网络管理系统类型网络管理软件根据被管理对象的不同可分为两大类：通用网络管理软件和网元(网络设备)管理软件。网元管理软件只管理单独的网元, 一般由

11、设备的原生产厂商提供，各厂商采用专有的管理MIB库。通用网络管理软件则主要用于掌握全网的状况，支持对所有SNMP设备的发现和监控，可集成设备生产厂商的私有MIB库，实现对全网(多厂商)设备进行识别和统一的管理。计算机网络管理理论与实践教程本章小结v网络管理概述v网络管理功能和目标v网络管理模型与协议v网络管理体系结构v网络管理典型实现模式分析v网络管理软件系统计算机网络管理理论与实践教程练习与思考v网络管理目标和功能是什么？v典型网络管理体系结构有哪些？各自特点是什么？适应什么情况？v调查市场上主流网络管理软件，比较其功能特性。计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络

12、管理理论与实践教程第二章第二章 简单网络管理协议简单网络管理协议SNMPSNMP全国信息技术水平考试计算机网络管理理论与实践教程目录v绪论v简单网络管理协议SNMPv网络系统规划与工程管理vIP地址管理v网络配置管理v网络故障管理v网络性能管理v网络安全管理理论与技术v网络计费管理v网络管理平台与工具v网络管理机构组织与运行vIT服务管理计算机网络管理理论与实践教程简单网络管理协议SNMPvSNMP概述vSNMP管理模型vSNMP管理信息结构vSNMP管理信息库v远程监视RMONvSNMPV1分析vSNMP安全分析计算机网络管理理论与实践教程SNMP概述vSNMP的发展历程随着TCP/IP协议

13、广泛应用，网络数目与网络内主机的数量不断增多，网络管理问题日益凸显。国际标准化组织（ISO）针对其自己提出的开放系统互连参考模型（OSI）的七层协议框架设计了公共管理信息服务（CMIS）和公共管理信息协议（CMIP）。因特网工程任务组（IETF）为了管理快速增长的Internet，决定修改并采用OSI的CMIP作为Internet的网络管理协议，修改后的协议被称为：建立在TCP/IP之上的公共管理信息服务与协议 (CMOT)。计算机网络管理理论与实践教程SNMP概述vSNMP的发展历程CMIS/CMIP的实现由于复杂性和实现代价太高而遇到了许多困难，CMOT迟迟不能正式出台。1990年IETF

14、决定把在NYSERNET和SURANET上开发的简单网关监控协议（SGMP）进行修改后，作为暂时的网络管理解决方案。这个临时解决方案后来发展成为简单网络管理协议（SNMP）的第一个版本SNMPv1。计算机网络管理理论与实践教程SNMP概述vSNMP的发展历程为了弥补在安全方面的足，IETF开始进行SNMP新版本的开发工作。1992年7月，SNMP的设计者提出了称为SNMPsec的安全SNMP版本。计算机网络管理理论与实践教程SNMP概述vSNMP的发展历程1993年，IETF发布了SNMP的第二版SNMPv2。SNMPv2吸取了SNMPsec以及RMON在安全性能和功能上的经验，同时针对SNM

15、Pv1在管理大型网络上的不足，对SNMP进行了一系列的扩充。计算机网络管理理论与实践教程SNMP概述vSNMP的发展历程经过几年的试用发现SNMPv2的安全机制存在严重缺陷。许多设备提供商在SNMPv2的基础上加入自定义的安全特性，逐渐形成了SNMPv2u及SNMPv23两个版本。计算机网络管理理论与实践教程SNMP概述vSNMP的发展历程为统一标准，IETF不得不在1996年对SNMPv2进行修订，发布了SNMPv2c。计算机网络管理理论与实践教程SNMP概述vSNMP的发展历程1999年IETF正式发布了SNMPv3。SNMPv3是在SNMPv2基础之上增加了安全和管理机制的协议，得到了设

16、备生产厂商的支持。计算机网络管理理论与实践教程SNMP概述vSNMP的特点简单可扩展应用广泛vSNMP存在的问题计算机网络管理理论与实践教程SNMP管理模型vSNMP管理模型的四个基本组成部分管理者管理代理管理协议管理信息库计算机网络管理理论与实践教程SNMP管理模型vSNMP管理组织结构两层组织模式计算机网络管理理论与实践教程SNMP管理模型vSNMP管理组织结构三层组织模式计算机网络管理理论与实践教程SNMP管理模型vSNMP管理组织结构代理服务器组织模式计算机网络管理理论与实践教程SNMP管理信息结构v对象类型的命名每个MIB对象都使用对象标识符来唯一标识计算机网络管理理论与实践教程SN

17、MP管理信息结构v对象类型的语法每个MIB变量格式是SMI规定的，用ASN.1描述如下：(objectname) OBJECT-TYPEDESCRIPTION:(description)SYNTAX: (syntax)ACCESS: (access)STATUS: (status):=(Parent)number计算机网络管理理论与实践教程SNMP管理信息库vMIB-II的组对象对象标识符说明system1.3.6.1.2.1.1提供设备或系统的信息。interfaces1.3.6.1.2.1.2包含网络接口的信息。at1.3.6.1.2.1.3用于InternetIP地址到数据链路地址的地址

18、转换表。ip1.3.6.1.2.1.4包含关于该设备的网际协议（IP）的统计信息。icmp1.3.6.1.2.1.5包含Internet控制消息协议（ICMP）的统计信息。tcp1.3.6.1.2.1.6包含传输控制协议（TCP）的统计信息。udp1.3.6.1.2.1.7包含用户数据报协议（UDP）的统计信息。egp1.3.6.1.2.1.8包含外部网关协议（EGP）的统计信息。cmot1.3.6.1.2.1.9CMOT协议的信息。transmission1.3.6.1.2.1.10提供系统接口之下的特定媒体的信息。snmp1.3.6.1.2.1.11包含简单网络管理协议（SNMP）的统计信

19、息。计算机网络管理理论与实践教程远程监视RMONvRMON简介RMON是用于远程监控的标准规范，它是由SNMP MIB扩展而来。RMON由探测器和管理者两部分构成。计算机网络管理理论与实践教程SNMPv1分析vSNMPv1报文格式SNMP报文被封装在用户数据报协议（UDP）报文的数据项中，并通过UDP协议进行传输。计算机网络管理理论与实践教程SNMPv1分析vSNMPv1报文格式SNMP报文由首部和协议数据单元2部分组成。计算机网络管理理论与实践教程SNMPv1分析vSNMPv1报文格式SNMPv1报文传输，经过传输层、互联层、网络存取层以及物理层的网络。计算机网络管理理论与实践教程SNMPv

20、1分析vSNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分。Get/Set类型报文与Trap类型报文的协议数据单元首部格式不同。计算机网络管理理论与实践教程SNMPv1分析vSNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分。Get/Set类型报文与Trap类型报文的协议数据单元首部格式不同。计算机网络管理理论与实践教程SNMP安全分析vSNMP安全威胁伪造消息流修改消息窃听拒绝服务攻击流量分析计算机网络管理理论与实践教程SNMP安全分析vSNMP安全需求提供消息的完整性验证机制提供消息的源验证机制提供消息的时间戳标识提供

21、防止消息内容泄漏和非法读写的保护机制管理者和管理代理之间相互认证计算机网络管理理论与实践教程本章小结vSNMP概述vSNMP管理模型vSNMP管理信息结构vSNMP管理信息库v远程监视RMONvSNMPV1分析vSNMP安全分析计算机网络管理理论与实践教程练习与思考vSNMP支持哪些组织模式？vSNMP的主要安全威胁是什么？vRMON的主要用途是什么？v阅读SNMP相关的RFC文档。计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络管理理论与实践教程第三章第三章 网络系统规划与工程管理网络系统规划与工程管理网络系统规划与工程管理网络系统规划与工程管理全国信息技术水平考试计算机网

22、络管理理论与实践教程网络系统规划与工程管理TEXTTEXTTEXTTEXT网络系统建设的准备工作网络系统设计与规划网络系统建设工程施工管理网络系统工程的验收计算机网络管理理论与实践教程网络系统建设的准备工作网络系统建设的准备工作项目立项网络系统建设项目的立项报告主要由两个部分组成。第一部分介绍项目的基本情况，包括：工程名称、项目的建设单位、项目组织机构、项目负责人和组织分工、参加单位与协作单位等内容。第二部分对项目的建设进行详细的分析，包括项目背景，项目建设的目的和意义、需求分析、总体方案、分阶段建设方案、投资估算、效益分析等内容可行性分析可行性分析是在项目建设的前期对工程项目的一种考察和鉴定

23、，是把所有与系统的投资效果有关的因素综合起来加以分析。对拟议中的项目进行全面与综合的技术、经济能力的调查与研究，判断它是否可行。可行性分析主要关注经济可行性、技术可行性、系统生存环境可行性、各种可选方案等四个方面的内容 立项工程的委托 .计算机网络管理理论与实践教程网络系统设计与规划 v网络基础平台n网络基础平台的建设主要包括：网络整体规划、网络设备选型、服务器和操作系统选型、存储备份系统选型。 计算机网络管理理论与实践教程 标准化原则 先进性和实用性原则 可靠性和可扩展性原则经济性和效益性原则安全性与可管理性原则网络系统设计与规划原则计算机网络管理理论与实践教程网络系统设计与规划v网络整体规

24、划n计算机网络的分类按照网络覆盖范围的大小分为局域网、城域网和广域网 n网络的拓扑结构总线型拓扑结构 图 31总线型拓扑结构计算机网络管理理论与实践教程网络系统设计与规划环形拓扑结构 图 32环形拓扑结构计算机网络管理理论与实践教程网络系统设计与规划星型拓扑结构 图 33星型拓扑结构计算机网络管理理论与实践教程网络系统设计与规划v网络传输技术n常用的网络传输技术 ：同步数字体系（SDH） 准同步数字体系（PDH） 数字微波传输系统 数字卫星通信（VSAT） 有线电视网（CATV） n常用的网络交换技术 ：异步传输模式（ATM） 光纤分布式数据接口（FDDI） 以太网（Ethernet）计算机网

25、络管理理论与实践教程网络系统设计与规划快速以太网（FastEthernet） 千兆位以太网n常用的网络接入技术主要有 ：调制解调器（Modem） 电缆调制解调器（CablaModem） 高速数字用户环路（HDSL） 非对称数字用户环路（ADSL） 超高速数字用环路（VDSL） 综合业务数字网（ISDN） TDMA和CDMA无线接入 计算机网络管理理论与实践教程网络系统设计与规划vIP地址规划 nIP地址分类A类地址B类地址C类地址D类地址图 34 IP地址分类计算机网络管理理论与实践教程网络系统设计与规划n特殊IP地址网络地址 直接广播地址 回送地址n子网编址 子网编址将IP地址的主机号部分再

26、划分为子网部分和主机部分。一个被子网化的IP地址实际包含网络号、子网号、主机号三部分。为了区分这三部分，需要使用子网掩码进行判断。IP协议规定，在子网掩码中，与IP地址的网络号和子网号相对应的位用“1”表示，与IP地址的主机号相对应的位用“0”表示。将IP地址和它的子网掩码相比较，就可以判断出IP地址中哪些位表示网络，哪些位表示主机。计算机网络管理理论与实践教程网络系统设计与规划n网络设备l在进行网络设备的选型时，需要考虑以下的一些问题：l网络路由和交换设备之间的兼容性是否良好。l网络设备的功能和技术指标是否会造成网络整体性能的瓶颈。l设备是否具有良好的扩展性，以支持未来各种新业务和增值业务的

27、开展 l路由器路由器是一种连接多个网络或网段的网络设备，具有判断网络地址和选择路径的功能。在局域网接入广域网的众多方式中，通过路由器接入互联网是最为普遍的方式。使用路由器接入互联网络的最大优点是：各互联子网仍可保持各自的独立性，每个子网可以采用不同的拓扑结构、传输介质和网络协议，网络结构层次分明 计算机网络管理理论与实践教程网络系统设计与规划选择路由器应该考虑以下因素：所支持的路由协议、安全性、背板能力 、吞吐量、转发时延、路由表容量 以及可靠性n交换机 在网络系统的设计中，基于应用层次、处理能力和可靠性要求，还根据交换机在应用中所扮演的角色以及所处的位置，将交换机分为核心层交换机、汇聚层交换

28、机和接入层交换机等三类。 选购核心层的交换机，应考虑：模块的可扩展性、端口的可扩容性、带宽的可扩容性 、提供可扩展的多种网络业务、网络可靠性。计算机网络管理理论与实践教程网络系统设计与规划选购汇聚层的交换机 ，应考虑：体系结构、可靠性设计、用户管理、管理系统选购汇聚层的交换机 ，应考虑：1要能够适应恶劣的工作环境 2既能满足建设网络的要求，又要有很高的性价比3支持组播，可以满足多媒体和视频流的要求 4支持SNMP、RMON等网管协议，支持远程管理 5可以利用基于802.1Q VLAN中继线路架构在任何端口创建VLAN中继线路，因而可以保障构筑跨骨干的VPN的功能 计算机网络管理理论与实践教程网

29、络系统设计与规划v服务器 n服务器的运算性能应用系统的数据处理模型大致可以分成两大类：一种是联机事务处理模型OLTP（on-line transaction processing）、另一种是联机分析处理模型OLAP（On-Line Analytical Processing）。OLTP的特点是 1实时性要求高 2数据量不大 3交易一般是确定的，是对确定性的数据进行存取 4并发性要求高并且严格的要求事务的完整、安全性 计算机网络管理理论与实践教程网络系统设计与规划OLAP的特点是： 1实时性要求不是很高 2数据量大 3查询一般是动态的 n服务器的可靠性服务器的可靠性是需要考察的一个重要指标，通常

30、用平均无故障时间（MTBF）值来衡量系统的可靠性。 为了提高系统的可靠性，还需要采取以下的一些方案 ：1在关键业务应用中数据库和应用服务器应支持群集和高可用性（HA）处理，设备选型时应重点考虑多机间的热切换和负载均衡能力 2服务器的硬盘、网络接口、网络连接及电源均应考虑足够的冗余 计算机网络管理理论与实践教程网络系统设计与规划v操作系统v数据存储系统n直接连接存储DAS是指将外置存储设备通过连接电缆，直接连接到一台计算机上。采用直接外挂存储方案的服务器结构如同PC机架构，外部数据存储设备直接挂接在内部总线上，数据存储是整个服务器结构的一部分。n网络接入存储NAS 主要特征是将存储功能从通用文件

31、服务器中分离出来，使其更加专门化。网络接入存储把存储设备和网络接口集成在一起，直接通过网络存取数据，从而获得更高的存取效率，更低的存储成本。计算机网络管理理论与实践教程网络系统设计与规划n存储区域网络 SANv数据备份和恢复系统1）对重要数据的即时备份能力。2）备份数据加密功能。3）设置的灵活性。4）灾难恢复。5）并行处理能力。6）数据可靠性。7）系统的跨平台兼容性。8）使用和操作的简便性。9）支持LUN屏蔽功能。10）数据备份和恢复的效率。计算机网络管理理论与实践教程网络系统设计与规划11）备份管理软件应具备以下功能：显示备份网络拓扑结构图、识别并显示磁带库驱动器、监控作业任务的执行情况（备

32、份进度、资源利用率等）、监控进程的状态。12）备份策略的合理性：设置备份对象、数据保存时间、备份时间段等。13）可以选择灵活的备份策略，支持：数据库全备份、数据库增量备份、文件全备份、文件增量备份、系统全量备份、系统增量备份、跟踪备份等多种备份方式。n磁带库性能指标：配置驱动器数；最大可扩充数。磁带驱动器类型。计算机网络管理理论与实践教程网络系统设计与规划单个磁带容量（非压缩）配置磁带数量，清洗带数量驱动器最大持续传输率（不压缩）磁带库配置磁带匝插槽数支持SAN，磁带驱动器接口类型及速率v综合布线系统n概述图 36综合布线系统示意图计算机网络管理理论与实践教程网络系统设计与规划n标准建筑与建筑

33、群综合布线系统工程设计规范CECS72：97建筑与建筑群综合布线系统工程施工及验收规范CECS89：97中国电气装置安装工程施工及验收规范GBJ232.82智能建筑设计标准 GB/T-50314-2000建筑与建筑群综合布线工程设计规范 GB/T-50311-2000计算机网络管理理论与实践教程综合布线系统的优点结构清晰，便于管理维护结构清晰，便于管理维护灵活方便灵活方便便于扩充便于扩充优点优点优点优点计算机网络管理理论与实践教程网络系统设计与规划建筑与建筑群综合布线工程施工及验收规范 GB/T-50312-2000商用建筑物布线标准EIA/TIA 568A民用建筑线缆标准EIA/TIA586

34、民用建筑信道和空间标准EIA/TIA569民用建筑通信管理标准EIA/TIA606民用建筑通信接地标准EIA/TIA607用户建筑通用布线标准ISO/IEC 11801 CLASS E DRAFT以太网10Base-T标准IEEE802.3以太网100Base-T标准IEEE802.3u千兆以太网标准IEEE802.3Z计算机网络管理理论与实践教程网络系统设计与规划n设计要点综合布线系统应是开放式拓扑结构，应能支持电话、数据、图文、图像等多媒体业务的需要。综合布线系统应按工作区子系统、配线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统等六个部分进行设计。建筑与建筑群的工程设计，应根

35、据实际需要，选择适当配置的综合布线系统。综合布线系统的组网和各段缆线的长度限值应符合规定。综合布线系统工程设计，选用的电缆、光缆、各种连接电缆、跳线，以及配线设备等所有硬件设施，均应符合标准的各项规定。系统设计应根据不同对象采用不同的处理方式。综合布线系统与外部通信网连接时，应符合相应的接入网标准。计算机网络管理理论与实践教程网络系统设计与规划n运行环境机房电源v网络服务平台的设计vInternet网络服务系统Internet网络服务系统包括：万维网（WWW）电子邮件（Email）新闻服务（News）文件传输（FTP）远程登录（Telnet）信息查询（Archie、Gopher、WAIS） 计

36、算机网络管理理论与实践教程网络系统设计与规划n电子邮件系统电子邮件系统通常包括两个组件：邮件用户代理MUA(Mail User Agent)和邮件传送代理MTA(Mail Transport Agent)。 电子邮件系统在规划设计时除了系统容量、并行投递邮件数外，应考虑以下的要求： 1兼容性要求 2安全性要求 3管理功能要求nDNS服务器支持的负载均衡策略支持集中和分布式域名解析。支持多ISP接入应用。易管理性，是否支持基于Web的管理，支持统计分析。与不同操作系统和网络环境的兼容性。计算机网络管理理论与实践教程网络系统设计与规划nWWW服务器支持的单位时间最大并发用户数(与服务器和应用有关)

37、对服务器群集的支持支持页面高速缓存支持XML和Web Service工业标准和ASP、.COM、.NET组件支持SSL、TLS安全协议、RSA、DES等加密算法支持通过ADO和ODBC与第三方数据库进行接口对WML和WAP的支持支持JavaScript、VBScript和Perl等脚本语言与Active Server Pages的兼容能力计算机网络管理理论与实践教程网络系统设计与规划nFTP服务器v多媒体业务网络系统nVOIP系统系统体系:1智能网络管理和控制层 2呼叫控制层 3传输层系统功能 (见书P65)n视频会议系统（见书P66）n应用和服务系统计算机网络管理理论与实践教程网络系统设计与

38、规划v网络安全与管理平台的设计n网络安全服务与模式网络安全服务包括1数据机密性服务2对等实体鉴别服务3访问控制服务4数据完整性服务5禁止否认服务计算机网络管理理论与实践教程网络系统设计与规划n数字证书系统数字证书系统的设计方案应实现以下功能：1证书业务服务系统提供基于数字证书的信任服务，进行证书管理。2密钥管理系统提供基于统一安全管理的密钥服务，进行对称密钥和非对称密钥以及相关的密钥服务管理。3密码服务系统提供基于统一安全管理的密码服务。4授权服务系统以信任服务为基础，为应用系统提供资源访问控制和授权管理服务，支持权限管理。计算机网络管理理论与实践教程DiagramP2DR模型4个主要部分响应

39、检测保护策略计算机网络管理理论与实践教程网络系统设计与规划1可信时间戳服务系统基于国家权威时间源和公钥技术，为应用系统提供可信的时间戳服务。2证书查询验证服务系统提供数字证书/证书撤消列表的目录查询服务，进行证书/证书撤消表的目录管理，以及证书状态在线查询服务。3基础安全防护服务系统提供信息安全防护服务。4故障恢复及容灾备份系统提供系统故障恢复及容灾备份服务。5网络信任域系统提供网络可信接入及网络信任域管理服务。n防火墙系统防火墙是网络安全的第一道防线，一般用来将内部网络与Internet或外部网络相互隔离、限制网络互访，保护内部网络的安全。计算机网络管理理论与实践教程网络系统设计与规划防火墙

40、放在两个网络之间，通常是内部网与外部网或Internet之间，因此所有从内部到外部或从外部到内部的通信都必须经过它，这就意味着防火墙可以检查所有的网络数据包。防火墙类型：包过滤防火墙、服务代理防火墙、网络地址转换NAT选择防火墙考虑的指标：1支持透明和路由两种工作模式。2支持广泛的网络通信协议和应用协议3支持多种入侵监测类型4支持对HTTP、FTP、SMTP等服务类型的访问控制。5支持静态、动态和双向的NAT。计算机网络管理理论与实践教程网络系统设计与规划6支持对日志的统计分析功能，同时日志是否可以存储在本地和网络数据库上7对防火墙本身或受保护网段的非法攻击系统提供多种告警方式以及多种级别的告

41、警8提供策略备份和恢复功能9具备检测DoS攻击的能力支持负载均衡10支持双机热备n入侵检测 l入侵检测是通过检查网络中传输的数据包信息，判断是否有违背安全策略或危及系统安全的行为或活动，从而保护系统不受外来的攻击，防止数据的泄漏、篡改和破坏。入侵检测的目的不是阻止入侵的发生，而是在于发现入侵者和入侵行为。从而及时进行网络安全应急响应，避免对系统的恶意访问和破坏。计算机网络管理理论与实践教程网络系统设计与规划l入侵检测技术主要分为两大类型：异常入侵检测和误用入侵检测 l入侵监测系统的要求：1在检测到入侵事件时，自动执行切断服务、记录入侵过程、邮件报警等动作2支持攻击特征信息的集中式发布和攻击取证

42、信息的分布式上载3提供多种方式对监视引擎和检测特征的定期更新服务4内置网络使用状况监控工具和网络监听工具n漏洞扫描系统 l漏洞扫描系统的要求 计算机网络管理理论与实践教程网络系统设计与规划1定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描，及时发现系统的安全漏洞、报警并提出补救建议2支持与入侵监测系统的联动3检测规则应与相应的国际标准漏洞相对应4支持灵活的事件和规则自定义功能，允许用户修改和添加自定义检测事件和规则，支持事件查询5支持快速检索事件和规则信息的功能，方便用户通过事件名、详细信息、检测规则等关键字对事件进行快速查询6可以按照风险级别进行事件分级7控制台应能提供事件分析和事

43、后处理功能，应具有对报警事件的源地址进行地址解析，分析主机名，分析攻击来源的功能8提供安全事件统计概要报表，并按照风险等级进行归类9通过数据库管理工具统计数据库建立时间以及当前记录数目计算机网络管理理论与实践教程网络系统设计与规划n网络防病毒系统l反病毒策略包括为安装程序，使用系统和共享文件等制订出相应的规程，以及使用反病毒软件的方法，并使网络中的所有用户遵守 l网络防病毒系统的要求 计算机网络管理理论与实践教程 选择反病毒软件要考虑 快速、方便的升级病毒实时监测能力对新病毒的反应能力病毒查杀能力计算机网络管理理论与实践教程网络系统设计与规划1.支持多种平台的病毒防范。2.支持对服务器的病毒防

44、治。3.支持对电子邮件附件的病毒防治。4.提供对病毒特征信息和检测引擎的定期在线更新服务。5.实现对网络内计算机的集中管理、分布式杀毒6.防病毒范围广泛 n网络管理系统l对网络管理的需求体现在：1.网络管理：对整个网络和指定子系统或设备的工作状态进行集中管理和监控，2.系统管理：服务器系统、存储和备份系统、网络服务、网络安全系统进行统一的管理和监控。3.运行维护管理：对网络系统各种资源的运行状况进行全面的信息采集和自动预警。 计算机网络管理理论与实践教程网络系统建设工程施工管理v工程实施阶段管理概述 n工程实施阶段的管理内容v设备采购的管理n管理的任务和重点以及流程 （见书）计算机网络管理理论

45、与实践教程 开工前的管理内容 审核工程实施人员、承建方资质审核实施进度计划审核实施组织计划审核实施方案计算机网络管理理论与实践教程计算机网络管理理论与实践教程网络系统建设工程施工管理v综合布线工程的施工 综合布线工程包括综合布线设备安装、布放线缆、缆线终接三个环节，综合布线的管理工作内容主要包括以下两方面：1.按照国家关于综合布线的相关施工标准的规定审查承建方人员施工是否规范 2.到场的设备、缆线等设备的数量、型号、规格是否与合同中的设备清单一致，产品的合格证、检验报告是否齐全 常见的施工规范包括：建筑与建筑群综合布线系统工程施工及验收规范CECS89：97、商用建筑物布线标准EIA/TIA

46、568A、用户建筑通用布线标准ISO/IEC 11801 CLASS E DRAFT、建筑与建筑群综合布线工程施工及验收规范GB/T-50312-2000、民用建筑线缆标准EIA/TIA586等 计算机网络管理理论与实践教程网络系统建设工程施工管理n综合布线设备安装敷设管路 敷设线槽 安装过线（路）盒、信息插座底盒（接线盒） 安装桥架 开槽 安装机柜、机架、接线箱、抗震底座 n放布线缆暗管、暗槽内穿放电缆 桥架、线槽、网络地板内明布电缆 计算机网络管理理论与实践教程网络系统建设工程施工管理布线光缆、光缆外护套、光纤束 暗道、暗槽内穿放光缆 桥架、线槽、网络地板内明布光缆 布放光缆护套 气流法布

47、放光纤束 n线缆终接l接对绞电缆l安装8位模块式信息插座l安装光纤信息插座l安装光纤连接盘l光纤连接l制作光纤连接器l制作跳线计算机网络管理理论与实践教程网络系统建设工程施工管理v隐蔽工程n金属线槽安装n管道安装n管内穿线v网络系统安装调试n网络系统的详细逻辑设计网络逻辑设计方案的内容可能包括以下内容：l网间传输协议的选择l路由协议的选择和设计l网络地址的分配计算机网络管理理论与实践教程网络系统建设工程施工管理l子网的划分及配置l虚拟网的划分及配置l路由器参数的确定l交换机参数的确定l网络管理系统参数的确定l其他网络设备、网络链路的参数配置n网络设备加电调试、模拟网络调试n网络设备的安装n主机

48、以及软件系统的安装调试计算机网络管理理论与实践教程网络系统工程的验收v前提条件n外购的硬件设备、软件系统都已全部到货，并通过到货验收n各种设备经过上电测试，运行正常n所有建设项目按照设计方案的要求全部建成，并满足使用要求n各种技术文档和验收资料完备，符合合同的要求n 计算机网络管理理论与实践教程网络系统工程的验收v验收流程计算机网络管理理论与实践教程网络系统工程的验收v验收资料的准备包括基础资料、施工过程文档、技术资料等三类 v网络基础平台的验收n网络设备验收n服务器和操作系统n数据存储和备份系统v网络服务平台的验收nInternet网络服务l电子邮件服务器计算机网络管理理论与实践教程网络系统

49、工程的验收1.功能测试2.系统容量测试3.安全性测试4.防病毒、防垃圾邮件功能测试5.系统可管理性6.系统高可用性lWWW服务器1.在特定的配置环境下支持的单位时间最大并发用户数。2.对服务器群集的支持。3.页面高速缓存。4.协议兼容性。计算机网络管理理论与实践教程网络系统工程的验收n多媒体业务网络lVOIP网络1.承载业务，2.附加业务种类3.音频指标，支持静音压缩和舒适音、自适应抖动缓存平滑语音功能、丢包补偿保障机制，支持多种语音压缩方式4.能够提供的QoS机制5.防抖动性能6.良好的可扩充性7.与现有的数字、模拟电话网的接口种类8.路由器功能计算机网络管理理论与实践教程网络系统工程的验收

50、9.SNMP网管功能10.可编程语音流程11.监视记录呼出信息12.根据网络和线路情况自动做出容错反应13.端口实时监控功能14.记录每次呼叫的详细信息和计费功能l视频会议系统1.图像质量2.系统支持的主要标准、协议3.会议功能4.音频性能5.会议控制功能6.管理功能7.资源管理功能计算机网络管理理论与实践教程网络系统工程的验收v网络安全和管理平台的验收 n数字证书系统的验收lCA系统功能验证：1.能够同时实现外网和Internet用户的认证2.CA中心对于主要应用系统的身份认证需求及兼容性3.完善的中文支持4.支持在线和离线两种证书的申请和审批。5.Web方式和LDAP方式的证书查询，并支持

51、数据库和目录服务器这两种方式的发布证书存储方式。6.支持多种用户申请方式7.CA发证能力8.CA审计功能。计算机网络管理理论与实践教程网络系统工程的验收性能验证 1.整体性能2.可扩展性3.可适应性4.可靠性具体性能指标 1.完成一次证书签发时间。2.完成一次证书管理服务的时间。3.完成一次营业执照的签发时间。4.完成一次加密时间。5.完成一次解密时间。计算机网络管理理论与实践教程网络系统工程的验收lRA系统整体性能：1.可扩展性2.可适应性3.可靠性具体性能指标：1.完成一次证书请求时间。2.完成一次证书下载的时间。3.完成一次证书更新受理时间。4.完成一次证书注销受理时间。5.完成一次加密

52、时间。6.完成一次解密时间。计算机网络管理理论与实践教程网络系统工程的验收n防火墙系统的验收1.支持入侵监测的类型2.支持同时建立的VPN隧道数。3.SSH远程安全登录功能。4.对HTTP、FTP、SMTP等服务类型的访问控制功能。5.静态、动态和双向NAT功能。6.域名解析和链路自动功能。7.日志的统计分析功能。8.非法攻击告警方式。9.策略备份和恢复功能。10.检测DoS攻击的能力，带宽和流量管理功能。11.SCM/ADS客户隧道配置参数自动集中管理功能。12.负载均衡功能。13.双机热备功能。14.WEB自动页面恢复功能。15.与入侵监测系统的联动能力。计算机网络管理理论与实践教程网络系

53、统工程的验收n入侵监测系统的验收1.对外部攻击的检测能力2.知识库完备程度3.对国际标准漏洞库的支持4.规则自定义功能5.事件快速检索功能6.控制台报警功能7.风险分级功能8.事件分析和事后处理功能9.实时监控功能10.安全事件报表统计功能11.高风险事件IP地址分组分析功能12.手动备份、删除、合并数据功能13.对漏洞扫描系统的反应能力计算机网络管理理论与实践教程网络系统工程的验收n漏洞扫描系统1.扫描结果分析测试2.策略库维护测试3.用户管理测试4.日志管理测试5.在线升级测试n网络防病毒系统1.实时扫描功能。2.立即扫描功能。3.部署病毒库更新功能。4.日志管理功能。5.病毒扫描信息统计

54、功能。6.损坏清除功能。7.集中管理功能。计算机网络管理理论与实践教程网络系统工程的验收n网络管理系统v综合布线系统阶段验收项目验收内容验收方式一、施工前检查1环境要求（1）土建施工情况：地面、墙面、门、电源插座及接地装置（2）土建工艺：机房面积、预留孔油（3）施工电源（4）地板铺设施工前检查2设备材料检验（1）外观检查（2）型式、规格、数量（3）电缆电气性能测试（4）光纤特性测试施工前检查3安全、防火要求（1）消防器材（2）危险物的堆放（3）预留孔洞防火措施施工前检查计算机网络管理理论与实践教程网络系统工程的验收二、设备安装1交接间、设备间、设备机柜、机架（1）规格、外观（2）安装垂直、水平

55、度（3）油漆不得脱落，标志完整齐全（4）各种螺丝必须紧固（5）抗震加固措施（6）接地措施随工检验2配线部件及8位模块式通用插座（1）规格、位置、质量（2）各种螺丝必须拧紧（3）标志齐全（4）安装符合工艺要求（5）屏蔽层可靠连接随工检验三、电、光缆布放（楼内）1电缆桥架及线槽布放（1）安装位置正确（2）安装符合工艺要求（3）符合布放缆线工艺要求（4）接地随工检验2缆线暗敷（包括暗管、线槽、地板等方式）（1）缆线规格、路由、位置（2）符合布放线缆工艺要求（3）接地随工检验计算机网络管理理论与实践教程网络系统工程的验收四、电、光缆布放（楼间）1架空缆线（1）吊线规格、架设位置、装设格（2）吊线垂度（

56、3）缆线规格（4）卡、挂间隔（5）缆线的引入符合工艺要求随工检验2管道缆线（1）使用管孔孔位（2）缆线规格（3）缆线走向（4）缆线的防护设施的设置质量隐蔽工程签证3埋式缆线（1）缆线规格（2）敷设位置、深度（3）缆线的防护设施的设置质量（4）回土夯实质量隐蔽工程签证4隧道缆线（1）缆线规格（2）安装位置、路由（3）土建设计符合工艺要求隐蔽工程签证5其他（1）通信线路与其他设施的间距（2）进线室安装、施工质量随工检验或隐蔽工程签证五、缆线终接18位模块式通用插座符合工艺要求随工检验2配线部件符合工艺要求3光纤插座符合工艺要求4各类跳线符合工艺要求计算机网络管理理论与实践教程网络系统工程的验收六、

57、系统测试1工程电气性能测试（1）连接图（2）长度（3）衰减（4）近端串音（两端都应测试）（5）设计中特殊规定的测试内容竣工检验2光纤特性测试（1）衰减（2）长度竣工检验七、工程总验收1竣工技术文件清点、交接技术文件竣工检验计算机网络管理理论与实践教程本章小结v网络系统工程的准备v网络系统设计与规划v网络系统建设工程的招标与投标v网络系统建设工程施工管理v网络系统工程的验收计算机网络管理理论与实践教程练习与思考v简述网络系统建设的准备工作。v网络系统设计与规划有哪些原则。v在进行网络基础平台设计时需要考虑哪些系统的规划与设计？v简述网络系统建设工程的招投标过程。v在网络系统建设工程开工前都有哪些

58、必须完成的工作。v设备采购管理的任务和重点是什么？v简述网络系统建设工程验收的流程。v网络系统建设工程验收需要准备哪些资料。v如何进行综合布线工程的验收。计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络管理理论与实践教程第四章第四章 IPIP地址管理地址管理全国信息技术水平考试计算机网络管理理论与实践教程IP地址管理v地址的规划与管理计算机网络管理理论与实践教程地址的规划与管理v确定所需IP地址的数量n确定子网的数量l在网络的规划和设计中，通常会根据具体的应用需求，将整个网络划分为不同的子网。要计算网络需要使用的IP地址的数量，可以先查看、分析网络的拓扑图，确定整个网络中子网

59、的数量。l路由器工作在OSI模型中的网络层，是用于网络间互连的设备，三层交换机也具备路由的功能。路由器和三层交换机的作用都是将分组从一个网络转发到另一个网络。路由器通常配置多个网络接口，每个接口连接不同的网络或子网 计算机网络管理理论与实践教程地址的规划与管理n每个子网需要多少IP地址l确定子网数量后，接下来就需要对网络应用的环境进行调查，统计出每个子网中有多少个设备需要使用IP地址。通常每个使用IP协议进行通信的网络接口都必须分配一个IP地址，这些设备包括：1.路由器2.工作站3.服务器4.网络打印机5.三层交换机6.使用SNMP管理的网络设备计算机网络管理理论与实践教程地址的规划与管理v选

60、择适合的掩码与掩码中的0位相对应的IP地址部分为主机标识，与掩码中的1位相对应的IP地址部分为网络或子网标识。在掩码中0位的个数决定了IP地址中主机位的个数，即每个子网中可能的IP地址数量。根据所需IP地址的数量来确定IP地址中主机所占用的位数，从而得到子网掩码。 v申请获得IP地址nIP地址资源由Internet登记中心负责管理，目前有三个地区级登记中心：lARIN，Internet地址美洲登记中心 ( )lRIPENCC，Internet地址欧洲登记中心（ ）lAPNIC，Internet地址亚太登记中心（ ） 计算机网络管理理论与实践教程地址的规划与管理v分配IP地址n分配子网地址

61、n分配设备地址n整理相关资料，包括：l网络拓扑图l子网划分图lIP地址申请、审批文件l设备数量统计表l子网地址分配表l设备地址分配表l其它有关资料计算机网络管理理论与实践教程联系与思考v有一段B类地址128.10.0.0，需要至少划分为60个子网，如何规划和使用IP地址？vIP地址资源的管理机构有哪些，如何申请并获取IP地址？计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络管理理论与实践教程第五章第五章 网络配置管理网络配置管理全国信息技术水平考试计算机网络管理理论与实践教程网络配置管理v网络配置管理的信息v网络配置管理的功能v网络配置管理流程v网络配置管理常用工具计算机网络

62、管理理论与实践教程网络配置管理的信息v信息的分类 网络配置信息主要包括以下几种类型：网络设备的配置与状态信息、网络服务的配置与状态信息、网络设备的拓扑结构信息。 n网络设备的配置与状态信息 l设备信息l硬件信息l地址信息l路由信息l协议信息l用户信息l统计信息n网络服务的配置与状态信息 计算机网络管理理论与实践教程网络配置管理的信息lDNS服务信息lWWW服务信息lFTP服务信息lEmail服务信息n网络的拓扑关系l基于路由器路由表的拓扑发现 在路由器中保存着路由服务所需的路由表，路由表包括目的地址、子网掩码、下一跳的地址等信息。基于路由器路由表的拓扑发现方法就是根据这些信息，得到网络中所有路

63、由器集合以及路由器的连接关系，实现算法如下：计算机网络管理理论与实践教程网络配置管理的信息1.建立空的路由器队列，在队列中加入路由器；2.从路由器队列中取任意一个路由器；3.读取当前路由器的路由表；4.把路由表中不重复的下一跳地址的路由器加入路由器队列；5.把当前路由器与下一跳地址的路由器的连接关系加入拓扑关系列表中；6.从第2步开始不断地重复后续的步骤，直到发现网络中所有的路由器为止 l基于ARP协议的拓扑发现l基于ARP协议的拓扑发现方法根据在ARP地址解析表中包括的信息，可以发现与各以太网端口相连的以太网内的其它所有网络设备。通过不断地搜索，就可以得出整个以太网的拓扑结构关系。计算机网络

64、管理理论与实践教程网络配置管理的信息v信息的组织和存储n配置文件 系统的配置文件是保存配置信息的一种常用的信息组织与存储方式，许多被管理对象都将配置信息存储在自己的配置文件中，当被管理对象运行或启动时，从配置文件中读取相应的配置信息来完成系统的设置n数据库包括有面向对象的数据库和关系数据库 n管理信息库MIB n网管技术RMON 计算机网络管理理论与实践教程网络配置管理的功能v收集网络配置信息。v网络的拓扑管理。v定义与修改网络配置信息。v安装软件。v存取配置信息。v生成配置报告。计算机网络管理理论与实践教程网络配置管理的流程图 51网络配置管理流程 计算机网络管理理论与实践教程网络配置管理常

65、用工具v系统配置工具v基于SNMP的管理工具nHP OpenView nSUN NetManager nIBM NetView v基于WEB的管理工具n基于WEB的管理模型包括代理和嵌入两种方案n基于WEB的网络管理标准lWBEM lJMX 计算机网络管理理论与实践教程网络配置管理常用工具nCisco SDM nUNIXUNIX操作系统管理工具操作系统管理工具WebminWebmin计算机网络管理理论与实践教程本章小结本章小结v网络配置管理中需要管理的信息v信息的组织与存储v网络配置管理的功能和流程v网络配置管理中常用的工具的归纳计算机网络管理理论与实践教程联系与思考v简述网络配置管理的信息分

66、类。v网络管理系统所管理的路由器的信息有哪几类？v拓扑发现的方法主要有哪些？v简述网络配置管理中配置信息的组织与存储方式。v什么是管理信息库和管理信息树？v网络配置管理都有那些功能？v简述网络配置管理的流程。v网络配置管理都有哪些常用工具？v基于WEB的网络管理标准有哪些？ 计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络管理理论与实践教程第六章第六章 网络配置管理案例网络配置管理案例全国信息技术水平考试计算机网络管理理论与实践教程网络配置管理案例vCISCO路由器、交换机的配置vLINUX服务器的配置vDNS服务器的配置vWEB服务器的配置计算机网络管理理论与实践教程CIS

67、CO路由器、交换机v配置方式n对Cisco路由器和交换机进行配置，通常有以下四种方式：1.CON，通过与Console口相连的终端或者运行终端仿真软件的微机进行设置。2.Telnet，通过运行Telnet软件连接交换机进行配置。3.TFTP，通过TFTP服务器下载配置信息。4.SNMP，通过网管软件来配置交换机。5.Web，通过Web方式配置交换机。 v存储器体系结构介绍计算机网络管理理论与实践教程CISCO路由器、交换机ROMFlashNVRAMDRAM路由器运行时首先要运行ROM中的程序，该程序主要进行加电自检，对路由器的硬件进行检测。ROM为一种只读存储器，系统掉电，程序也不会丢失。Fl

68、ash是可擦写的ROM，它存贮Cisco的操作系统，可以通过在Flash中写入新版本的操作系统对路由器进行软件升级，Flash中的程序在系统掉电后不会丢失。NVRAM主要目的是保存路由器的配置文件，在系统掉电时数据不丢失。DRAM是动态内存，主要包含路由表、ARP缓存、数据包缓存等，以及正在执行的路由器配置文件。当路由器关机时，里面的内容会全部丢失。计算机网络管理理论与实践教程计算机网络管理理论与实践教程CISCO路由器、交换机v操作系统与配置命令nISO命令状态l用户命令状态l特权命令状态l全局设置状态lvLan设置状态l局部设置状态lrommon状态l交互设置状态nIOS常用命令计算机网络

69、管理理论与实践教程CISCO路由器、交换机l帮助命令，在任何状态下，键入“?”，将显示在此状态下所有可用的命令和说明。l显示命令，用于查看系统的信息。l网络命令，用于检查、测试配置情况。l用户、密码设置命令。l端口设置命令vVLAN配置实例nVLAN的划分方法l基于端口划分VLANl基于MAC地址划分VLANl基于网络层协议划分VLANl根据IP组播划分VLANl按策略划分VLANl按用户定义、非用户授权划分VLAN 计算机网络管理理论与实践教程CISCO路由器、交换机nVLAN配置实例（略）v路由器RIP路由协议的配置n路由选择信息协议RIP简介l路由选择信息协议RIP （Routing I

70、nformation Protocol）是一个距离向量路由选择协议，基于经典的距离向量路由算法，算法简单、易于实现，在中小型网络上应用广泛。lRIP协议的优点是简单，容易配置、维护和使用。因此，它对于比较小的、冗余路径少，而且没有严格性能要求的网络非常实用，RIP协议不适合路由大型的、复杂的互联网环境。计算机网络管理理论与实践教程CISCO路由器、交换机n在路由器上配置RIP路由协议（略）v路由器OSPF路由协议的配置nOSPF协议简介lOSPF是一种分布式的链路状态协议，而不是象RIP那样的距离向量协议。OSPF路由器周期性向邻近路由器广播它所知道的链路状态信息，并接收其他路由器发来的信息，

71、从而计算出最新的网络拓扑图，以及到达各网络的最短距离lOSPF的更新过程收敛的快速是其重要优点，因此，OSPF很适合具有大量路由器的大型复杂的互连网络。但是，与RIP一样，OSPF也存在着不少局限 ：相对比较复杂，对路由器硬件要求较高，需要一定的带宽。n配置OSPF路由协议（略）计算机网络管理理论与实践教程Linux服务器的配置vLinux简介n起源n版本号vLinux的网络配置n建立以太网连接n建立xDSL连接n管理DNS设置n设备别名vLinux的帐户管理和权限管理计算机网络管理理论与实践教程Linux服务器的配置n用户登录子目录n用户数据库l/etc/password文件l/etc/sh

72、adow文件每一行的格式包含着如下所示的几个部分：1.登录名。2.加过密的口令。3.该口令修改后已经过去了多少天。4.需要再过多少天才能修改这个口令。5.需要再过多少天这个口令必须被修改。6.需要在这个口令失效之前多少天对用户发出提示警告。7.口令失效多少天之后禁用这个账户。8.该口令已经被禁用了多少天。9.保留域。计算机网络管理理论与实践教程Linux服务器的配置l/etc/group文件该文件中每一行的格式包含着如下所示的几个部分：1.用户分组名2.加过密的用户分组口令3.用户分组ID号（GID）4.以逗号分隔的成员用户清单 n用户管理器 图 613RedHat用户管理器计算机网络管理理论

73、与实践教程Linux服务器的配置l添加新用户l修改用户属性图 614创建新用户图 615用户属性计算机网络管理理论与实践教程Linux服务器的配置l添加新组群n行使命令行进行用户管理1.创建用户帐号命令useradd2.修改登录口令命令passwd3.删除用户帐号命令userdel4.修改用户属性命令usermod5.创建用户组命令groupadd6.删除用户组命令groupdel7.修改用户组属性命令groupmod图 617组群属性计算机网络管理理论与实践教程DNS服务器配置vIP地址与主机名的转换 目前有三种技术可以实现主机名和IP地址之间的转换：主机名与IP地址映射表hosts、网络信

74、息系统NIS（Network Informataion System）、域名系统DNS（Domain Name System）n主机名与IP地址映射表hosts n网络信息系统NIS n域名系统DNS DNS的名字空间具有层次结构 ，顶级域被分为特殊域、普通域、国家域；下面可划分二级域、三级域等。DNS的层次不能超过127层 计算机网络管理理论与实践教程DNS服务器配置v域名解析过程图 619域名解析过程 计算机网络管理理论与实践教程DNS服务器配置n递归查询 n叠代查询 v域名服务器的类型n主域名服务器n辅助域名服务器 n高速缓存服务器 v解析器的配置n解析器配置文件 Linux操作系统控制

75、解析器设置的核心文件是保存在“/etc”目录中的host.conf，它告诉解析器使用哪些服务，使用顺序又如何 计算机网络管理理论与实践教程DNS服务器配置n域名服务器查找 在配置解析器库利用BIND域名服务进行主机查找时，还必须告诉它准备使用哪些域名服务器。完成此项任务的是一个名为resolv.conf的配置文件，如果该文件不存在或者为空，解析器就会假定域名服务器在本地主机上vDNS服务器的安装配置 n安装BIND域名服务器（以配置域的DNS服务器为例 ）使用如下的命令安装BIND软件包 # tar xzvf bind-9.3.1. tar.gz# cd bind-9.3.1# ./confi

76、gure # make# make install 计算机网络管理理论与实践教程DNS服务器配置安装完BIND后，使用如下的命令启动BIND：# /usr/local/sbin/named nBIND的配置文件l资源记录l/etc/named.conf l/var/named/named.ca l/var/named/localhost.zone l/var/named/named.local n配置主域名服务器l编辑主配置文件/etc/named.conf 计算机网络管理理论与实践教程DNS服务器配置l创建正向解析数据库文件l创建反向解析数据库文件l测试DNS配置n 配置辅助域名服务器 vD

77、NS管理工具nnslookup命令 nslookup命令显示域名系统 (DNS) 基础结构的信息。nslookup 有两种模式：交互式和非交互式。n远程名字驻留控制程序rndc计算机网络管理理论与实践教程Web服务器配置vWeb服务器产品nApache nMicrosoft Internet Information Server(IIS)vApache HTTPApache HTTP服务器的配置服务器的配置n启动和停止WEB服务（假设安装目录为：/usr/local/apache2/ ）l启动Apache HTTP服务器：# /usr/local/apache2/bin/apachectll停

78、止Apache HTTP服务器的命令为：# /usr/local/apache2/bin/apachectl stopl重新启动Apache HTTP服务器的命令为：# /usr/local/apache2/bin/apachectl restart计算机网络管理理论与实践教程Web服务器配置n配置文件的语法 配置文件httpd.conf由指令、段以及注释三种语句组成。指令用于设定服务器的配置，段实际上是包含一组指令的容器，注释用来增加配置文件的可阅读性。n全局环境变量的设置 l主服务器设置l虚拟主机设置计算机网络管理理论与实践教程本章小结v交换机的VLAN配置v路由器的RIP配置和OSPF配

79、置vLinux服务器的网络配置和用户帐户与权限管理vDNS服务器的配置vWEB服务器的配置计算机网络管理理论与实践教程练习与思考v可以通过哪几种方式对路由器和交换机进行配置？vCisco交换机和路由器使用的存储器有哪几种类型？v练习交换机的VLAN配置。v练习路由器的RIP协议配置。v练习路由器的OSPF协议配置。vLinux操作系统中的用户管理命令有哪些？分别说明其作用。v简述域名解析过程。v练习使用nslookup命令、rndc命令。v安装配置一台Apache HTTP服务器。计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络管理理论与实践教程第七章第七章 网络故障管理网络

80、故障管理全国信息技术水平考试计算机网络管理理论与实践教程网络故障管理v网络故障管理内容v网络故障管理流程v网络故障管理定位与分析v网络故障管理常用工具与资源计算机网络管理理论与实践教程网络故障管理内容故障检测故障检测异步告警，即在发生故障时，由发生故障的设备或服务器主动向网络管理系统报告主动轮询，即由网络管理系统定期查询各设备和服务器的状态计算机网络管理理论与实践教程网络故障管理内容n故障监测，通过执行监控过程和生成故障报告来监测故障。l网络维护及错误日志检查1.使用多种网络故障监控方式监控网络的整体运行情况。2.对于网络中的重要机器、设备进行运行状态的重点监视。3.检查网络设备的错误日志，分

81、析错误原因。计算机网络管理理论与实践教程网络故障管理内容l网络故障报告1.通过各种途径报告网络故障，报告方式包括使用颜色、声音、日志、触发机制等。2.网络故障自动报警，具有自动通知的手段，包括寻呼机、手机、电子邮件等方法。3.根据网络故障的危害程度将报警指示分级管理，系统根据故障级别做出不同反应 v故障隔离n接收错误检测报告并做出响应l分析设备故障情况，制定排错方案。l启用备用线路或设备，进行故障隔离。计算机网络管理理论与实践教程网络故障管理内容故障分析与定位确认故障类型及性质执行诊断测试跟踪、辨认故障Phase 1Phase 2Phase 3计算机网络管理理论与实践教程故障排除故障分析预测故

82、障分析预测4321错误纠正错误纠正根据故障分析结果，制定并实施解决方案根据故障分析结果，制定并实施解决方案根据网络系统故障的类型根据网络系统故障的类型及发作频度，分析故障产及发作频度，分析故障产生的原因，预测将来网络生的原因，预测将来网络故障的发作趋势故障的发作趋势计算机网络管理理论与实践教程网络故障管理内容n历史报警查询统计n建立故障报警数据库，通过对历史故障警报资料的统计分析，寻找网络故障发生的规律，建立故障预防体系。n故障排除后必须认真分析网络故障产生的原因。 计算机网络管理理论与实践教程网络故障管理流程图 71网络故障处理流程计算机网络管理理论与实践教程网络故障的定位与分析v分层定位分

83、析法nOSI模型与TCP/IP模型图 72 OSI参考模型与TCP/TP体系结构计算机网络管理理论与实践教程网络故障的定位与分析n分层的分析方法l分析网络故障应该以网络原理为基础，根据网络配置和运行的记录和相关资料，从故障的实际现象出发，以网络诊断工具为手段获取诊断信息。在定位分析网络故障时，可以按照OSI参考模型的分层结构顺序，采用自下而上、自上而下的方法进行检测和分析，逐步确定网络故障点，查找问题的根源。 v分段定位法 n分段定位法是指在查找定位网络故障时，以整个网络的拓扑图为参考，按照物理位置的不同将网络划分为相对独立的部分，分别进行检查、测试的方法 计算机网络管理理论与实践教程网络故障

84、的定位与分析v比较分析法n比较分析法是通过对比与故障点的环境、配置相似的其它工作点的使用情况，来分析定位网络故障的方法。 v替换分析法n比较分析法是通过对比与故障点的环境、配置相似的其它工作点的使用情况，来分析定位网络故障的方法。 计算机网络管理理论与实践教程网络故障管理常用工具与资源v网络测试工具n网线连通性测试仪n网线性能测试仪 网线性能测试仪和普通的网线连通性测试仪的区别在于它能提供更多的功能，除了可以测试网线的连接和断开外，它还提供以下功能：l测量网线的衰减率。l测量网线的远近串扰。l测量网线终端电阻的阻抗。l测试网线是否达到CAT3、CAT5和CAT6等标准。l存储和打印网线测试结果

85、等。 图 73网线测试仪计算机网络管理理论与实践教程网络故障管理常用工具与资源v网络测试命令n显示网络基本配置信息的命令ipconfig和ifconfign测试远程主机是否可达命令pingn路由追踪命令traceroute和tracertn显示修改地址解析协议缓存记录命令arpn显示网络连接状态命令netstatn显示修改路由表命令route计算机网络管理理论与实践教程 网络分析软件网络分析软件常见的数据错误类型常见的数据错误类型 幻帧（Ghosts）CRC校验错误滞后冲突（Late Collisions）本地冲突（Local Collisions）计算机网络管理理论与实践教程网络故障管理常用

86、工具与资源nNetwork MonitornNetXRay v网络故障管理系统 n网络故障管理系统的任务是及时发现并帮助网络管理员排除网络故障，它是网络管理系统中基本而且重要的任务。一般来说，故障管理系统以监视网络设备和网络链路的工作状况为基础，包括对网络设备状态数据的采集、存储，实现报警信息通知、故障过滤、报警显示、报警统计、故障定位等功能。n网络故障管理系统通常同时使用异步告警和主动轮询这两种方法收集网络状态信息。 计算机网络管理理论与实践教程网络故障管理常用工具与资源v其他资源n技术文档n知识库计算机网络管理理论与实践教程本章小结v本章主要讲述网络故障管理的内容v网络故障管理的流程v网络

87、故障的定位与分析方法v网络故障管理时常用的工具，包括网络测试工具、网络测试命令、网络分析软件、网络故障管理系统以及技术文档和知识库等计算机网络管理理论与实践教程练习与思考v网络故障管理包括哪些内容？v如何监测网络故障。v简述网络故障管理的流程。v网络故障的定位与分析有哪些方法？v简述在网络故障的定位与分析中的用自下而上的方法。v网络故障管理常用的工具有哪几类？v网络故障管理系统都有哪些功能。v练习ping、tracert命令的使用。v练习使用网络测试仪。计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络管理理论与实践教程第八章第八章 网络故障管理案例网络故障管理案例全国信息技术

88、水平考试计算机网络管理理论与实践教程网络故障管理案例v物理层故障的查找和排除v数据链路层故障的查找和排除v网络层故障的查找和排除v传输层故障的查找和排除v其它层故障的查找和排除计算机网络管理理论与实践教程物理层故障的查找和排除v物理层故障的类型n电源故障 n传输线路故障 n硬件故障l网络设备硬件故障l集线器或交换机端口故障l网络接口卡故障n因配置错误引起的故障l串行链路的同步与异步l接口被关闭l双工配置计算机网络管理理论与实践教程物理层故障的查找和排除v传输线路故障排除案例（见书P190）v网络设备故障排除案例 (见书P191)计算机网络管理理论与实践教程数据链路层故障的查找和排除数据链路层故

89、障的查找和排除 故障原因故障原因传输路径传输路径和网络性和网络性能能封装类型错误封装类型错误地址解析错误地址解析错误其他 l由于噪音干扰、缆线长度不合理以及驱动程序等原因造成的CRC错误和FCS错误l广播风暴计算机网络管理理论与实践教程数据链路层故障的查找和排除v故障信息收集n查看网络接口设置信息n查看网络层与数据链路层地址映射信息计算机网络管理理论与实践教程数据链路层故障的查找和排除n查看数据包传输路径nCisco IOS show命令v故障排除nARP欺骗造成的网络故障的排除lARP欺骗原理 ARP是无状态协议，不会监测自己是否发过请求包，也不知道收到的应答时候合法，并且不认证MAC地址。

90、这种缺陷是的攻击者发送虚假ARP报文，伪造IP地址和MAC地址的映射关系修改被攻击主机，实现APR欺骗。l故障现象l解决方案n网络环路故障的排除计算机网络管理理论与实践教程网络层故障的查找和排除vIP地址分配故障的查找和排除n首先查看用户物理层的连通性 n远程登陆Cisco交换机，使用show ip interface brief命令，显示交换机各端口的有关信息 n在交换机上使用show interface fastethernet n在PC上使用IPCONFIG /ALL命令进行检查 v静态路由协议故障的排除 首先应检查路由器接口的IP地址配置，然后可以沿着从源到目标的路径，查看路由器路由表

91、。如果路由没有在路由表中出现，应该检查是否已经输入适当的静态路由、默认路由或者动态路由。发现问题后，可以手工配置一些丢失的路由，或者排除一些动态路由选择过程的故障等。计算机网络管理理论与实践教程网络层故障的查找和排除v动态路由协议故障RIP的排除案例nRIP简介l路由选择信息协议RIP（Routing Information Protocol）是一个距离向量路由选择协议，它的算法简单、易于实现，在网络上应用广泛。RIP进行路由选择的度量标准是数据报从源主机到目的主机所经过的路由器数目。l运行RIP的路由器使用组播协议周期性地把自己的路由表发送给与其直接相邻其它路由器，路由表中含有该路由器到其所

92、知的目的地址之间的距离信息。接收者将收到的路由信息加上1，然后与自己的路由表进行比较，选择到目的网络最短的路径，更新路由表。计算机网络管理理论与实践教程网络层故障的查找和排除n版本不兼容引起的故障 在路由器上配置RIP时，通常默认路由器可以接收RIP版本1和RIP版本2的分组，但只能发送RIP版本1的分组。如果希望只能发送和接收RIP版本1的分组，则在配置RIP时需要用命令version 1来指定版本。如果希望只能发送和接收RIP版本2的分组，则在配置RIP时需要用命令version 2来指定版本。当指定了接收特定的版本后，路由器将不再接收其它路由器发来的非该版本的路由表更新信息。如果相邻路由

93、器的RIP版本设置不匹配，将会引起路由器之间无法更新各自路由表，从而导致网络故障的发生。 计算机网络管理理论与实践教程网络层故障的查找和排除n认证密钥不匹配引起的故障v动态路由协议OSPF故障的排除案例nOSPF简介l开放式最短路径优先OSPF（Open Shortest Path First）是一种分布式的链路状态协议，运行OSPF协议的路由器周期性向邻近路由器广播它所知道的链路状态信息，并接收其他路由器发来的信息，从而计算出最新的网络拓扑图，以及到达各网络的最短距离。lOSPF也有它的局限性：1.OSPF比较复杂，需要专门技术。2.OSPF要求较高的路由器处理能力。3.OSPF还要求有一定

94、的带宽。 计算机网络管理理论与实践教程网络层故障的查找和排除n参数不匹配引起的故障 运行OSPF的路由器为了形成并维护邻居的邻接关系，需要周期性的在邻接路由器之间交换Hello分组。在Hello分组中包含有几个用以约定路由器相互通讯的参数，如果这几个参数不匹配，那么路由器之间就不能形成邻居的邻接关系，也就无法交换OSPF的路由更新信息。n通过OSPF的状态定位故障路由器状态含义可能发生故障的原因ATTEMPT路由器向邻居发送Hello分组，但没有收到响应。neighbor语句配置错误网络发生连通性故障INIT路由器收到邻居发来的Hello分组，但双向通信没有建立。由于访问控制阻止、组播发生故障

95、、第二层故障等原因，造成Hello丢失仅在一方启用了认证frame-relay map/dialer map语句配置错误2-WAY路由器收到邻居发来的Hello分组，并在该分组的邻居字段中看到了自己的ID。在需要进行DR/BDR选举的网络上，路由器的优先级设置不正确注：此状态不一定标识发生故障EXSTART/EXCHANGE路由器与邻居形成了主/从关系，处在交换DBD分组的过程中MTU不匹配出现重复的路由器ID网络发生连通性故障LOADING路由器向邻居发送链路状态请求分组，原因是在邻接期间收到了过时的或丢失的链路状态通告。MTU不匹配链路状态请求分组不正确表 81可能的故障原因与OSPF状态

96、计算机网络管理理论与实践教程传输层故障的查找和排除v传输控制协议 TCP 传输控制协议在传输层实现分组序列、确认和重传机制，提供面向连接的、可靠的数据传输服务。TCP提供的服务是面向连接的，在发送正式数据前，首先需要建立一个源主机到目的主机的连接。连接建立后，源主机和目的主机就可以在该连接上发送和接收数据。TCP将发送的数据进行分段，在目的主机重组数据，若发现有数据未被目的主机接收到，则重传该数据，确保发送的数据正确到达目的主机，不会发生丢失或乱序的情况。数据传输完毕关闭连接。 计算机网络管理理论与实践教程传输层故障的查找和排除nTCP连接的建立和释放图 84TCP连接的建立 图 85TCP连

97、接的关闭计算机网络管理理论与实践教程传输层故障的查找和排除n流量的控制图 86TCP的流量控制计算机网络管理理论与实践教程传输层故障的查找和排除v用户数据报协议UDP nUDP是非连接的，无需建立连接就将数据直接封装在IP数据报中进行发送。而且UDP不使用确认信息对数据的到达进行确认，也不对接收到的数据进行排序。因此，利用UDP协议传送的数据可能会出现丢失、重复和乱序现象。nUDP的优点是实现简单和运行高效，适合于小的、单独报文的发送，以及和时间相关的应用 v网络地址转换技术NAT 网络地址转换的类型有：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）三种

98、类型 计算机网络管理理论与实践教程其他层故障的查找和排除vDNS服务配置不当引起网络故障的案例计算机网络管理理论与实践教程本章小结v本章根据分层定位分析法给出了v物理层故障查找和排除v数据链路层故障查找和排除v网络层故障查找和排除v传输层故障查找和排除等案例。计算机网络管理理论与实践教程练习与思考v简述物理层故障的类型。v练习使用分层定位分析法来解决网络故障。v简述动态路由协议RIP的工作原理。v简述动态路由协议OSPF的工作原理。v简述传输控制协议TCP连接的建立与释放过程。v简述网络地址转换技术NAT。v练习netstat命令的使用。v练习nslookup命令的使用。v练习使用网络分析软件

99、来捕获分析网络数据。计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络管理理论与实践教程第九章第九章 网络性能管理网络性能管理全国信息技术水平考试计算机网络管理理论与实践教程网络性能管理v网络性能管理的指标v采集性能指标数据的方法v网络性能管理的流程v网络性能管理常用工具v服务质量计算机网络管理理论与实践教程网络性能管理的指标网络总体性能指标网络总体性能指标 响应时间响应时间网络利用率网络利用率吞吐量吞吐量网络的连通性网络的连通性计算机网络管理理论与实践教程网络性能管理的指标节点性能指标节点性能指标 节点处理时延节点处理时延丢包率丢包率转发率转发率吞吐量吞吐量计算机网络管理理论

100、与实践教程网络性能管理的指标网络链路指标网络链路指标 链路的帧传输延时链路的帧传输延时带宽利用率带宽利用率信道利用率信道利用率带宽带宽计算机网络管理理论与实践教程网络性能管理的指标网络应用服务的性能指标网络应用服务的性能指标 系统带宽系统带宽最大稳定连接数最大稳定连接数吞吐率吞吐率系统响应时间系统响应时间计算机网络管理理论与实践教程采集性能指标数据的方法v从网络上获得网络性能指标数据的方法有以下三类：1.查询网络设备获得与性能相关的信息2.观察网络上现有的流量3.生成测试流量发送到网络上，以测试网络性能计算机网络管理理论与实践教程网络性能管理流程图 91性能管理流程计算机网络管理理论与实践教程

101、网络性能管理常用工具v节点性能管理工具nWindows2000操作系统提供了性能监视器和网络监视器nLinux操作系统监视工具 n系统资源管理工具Server Vantage v链路性能管理工具nDSP-4000数字式电缆分析仪 nOptiFiber光缆认证分析仪 v网络性能管理工具n网络性能分析测试工具SmartBits n网络流量检测工具MRTG n网络性能测试工具Netperf 计算机网络管理理论与实践教程网络性能管理常用工具v网络应用服务性能测试工具n负载测试工具LoadRunnern网络应用性能管理工具Network Vantage n自动化负载测试工具QALoad n服务器性能工具

102、Web Application Stress计算机网络管理理论与实践教程服务质量vQoS概述n传统网络缺陷l传统IP路由技术的吞吐量不高l传统IP没有服务质量QoS保证nQoS功能l报文分类和着色l网络拥塞管理l网络拥塞避免l流量监管和流量整形lQoS信令协议计算机网络管理理论与实践教程服务质量vQoS服务模型 n综合服务体系结构IntServ l两种服务：保证服务、负载控制服务l四个功能部件：资源预留协议（RSVP）、访问控制(Admission Control)、分类器(Classifier)、队列调度器(Scheduler)l调度算法：WFQ、WF2Q、SCFQ、VC、MD-SCFQ、W

103、RR等 l流程：1.在发送报文前，应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求 2.网络在收到应用程序的资源请求后，执行资源分配检查，基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了资源，则只要应用程序的报文控制在流量参数描述的范围内，网络将承诺满足应用程序的QoS需求。3.应用程序一般在收到网络的确认信息，才开始按照申请的流量参数和特定服务质量请求发送报文 计算机网络管理理论与实践教程服务质量n区分服务体系结构DiffServ l所提供服务：1.Expedited Services(EF-RFC2598)2.Assur

104、ed Services(AF-RFC2597)l所运用技术：1.CAR2.队列技术vIPQoS的实现机制 n队列管理机制（Queue Management Mechanism）PPD、EPD、RED、FRED、RIO、BLUE等算法 计算机网络管理理论与实践教程服务质量n队列调度机制Queueing Scheduling Mechanism 队列调度算法主要有：基于循环调度的算法、基于GPS(Generalized Processor Sharing)的算法两大类n基于约束的路由(CBR) n业务量工程 计算机网络管理理论与实践教程本章小结v对反映网络性能的指标分为网络总体性能指标、节点性能指

105、标、链路性能指标和网络应用服务的性能指标等v介绍了采集性能指标数据的三种方法：查询网络设备获得与性能相关的信息、观察网络上现有的流量、生成测试流量发送到网络上测试网络性能，并给出了进行网络性能管理的参考流程。v概要地介绍了随着新兴的多媒体实时业务而出现的服务质量（Qos）技术、服务质量以及实现机制等内容。 计算机网络管理理论与实践教程联系与思考v简述反映网络性能的各类性能指标。v简述采集性能指标数据的三种方法。v练习查询网络设备的MIB中与性能有关的信息。v举例说明通过生成测试流量来采集性能指标数据的方法。v简述网络性能管理的流程。v网络性能管理都有哪些常用工具？v练习使用测试工具来采集节点性

106、能指标数据。v简述OoS的IntServ模型。v简述OoS的DiffServ模型中域的概念以及各种类型路由器的作用。计算机网络管理理论与实践教程计算机网络管理理论与实践教程计算机网络管理理论与实践教程第十章第十章 网络性能管理案例网络性能管理案例全国信息技术水平考试计算机网络管理理论与实践教程网络性能管理案例v使用MRTG监测网络流量v使用netperf监测网络流量vLinux操作系统性能测试vLinux操作系统性能优化v使用WAS测试Web服务器性能v使用Apache Bench测试HTTP服务器的性能v用Apache Bench测试Apache HTTP服务器性能vApache HTTP服

107、务器的性能优化计算机网络管理理论与实践教程使用 MRTG监测网络流量v编译、安装MRTGv最新版本的MRTG程序可在其官方网站http:/www.mrtg.org/上下载。其中包含程序原代码、编译好的Win32应用程序、以及Linux操作系统的RPM安装包。若希望在Unix或者Linux操作系统的环境下编译MRTG程序原代码，必须先确定机器上已安装GCC编译程序及Perl程序。由于MRTG程序产生的流量统计图为PNG格式的图形文件，并且使用了图形压缩函数库zlib、图表绘制函数库gd以及有关处理png图形格式的函数库。因此，为了使MRTG能够正常的安装和运行，在安装MRTG的主机中必须事先安装

108、好perl、zlib、gd、libpng、ucd-SNMP等软件。可以用如下的RPM命令来确认是否安装了这些软件： 计算机网络管理理论与实践教程使用MRTG监测网络流量v# rpm -qa | grep perlvperl-5.6.0-17vmod_perl-1.24_01-3v# rpm -qa | grep zlibvzlib-1.1.3-24vzlib-devel-1.1.3-24v# rpm -qa | grep gdvgd-1.8.4-4vgd-devel-1.8.4-4v# rpm -qa | grep libpngvlibpng-1.0.12-2vlibpng-devel-1.0

109、.12-2v# rpm -qa| grep SNMPvucd-SNMP-4.2.1-7vucd-SNMP-utils-4.2.1-7vucd-SNMP-devel-4.2.1-7 计算机网络管理理论与实践教程使用 MRTG监测网络流量vgd：绘图链接库，用来处理PNG格式的图形文件。v下载地址：http:/ v# tar -zxvf mrtg-2.9.17.tar.gzv# cd mrtg-2.9.17计算机网络管理理论与实践教程使用 MRTG监测网络流量v接下来便可配置编译程序进行编译时需用的各项参数，包括即将生成的mrtg应用程序存放的路径（本案例设定mrtg 的安装路径为：/usr/lo

110、cal/mrtg-2），zlib、gd、libpng等链接库的存放路径等参数：v# ./configure -prefix=/usr/local/mrtg-2 -with-gd=/usr/include -with-gd-lib=/usr/lib -with-gd-inc=/usr/include -with-png=/usr/include -with-zlib=/usr/include计算机网络管理理论与实践教程使用 MRTG监测网络流量v当configure程序对系统环境检查完成并确认适合安装MRTG程序后，将在安装目录下生成Makefile文件。接下来便可执行make命令编译mrtg源

111、程序，然后将编译完成的mrtg可执行应用程序安装到指定路径里：v# makev# make install计算机网络管理理论与实践教程使用 MRTG监测网络流量1.1.在被管网络设备上配置在被管网络设备上配置SNMPSNMP服务服务v对于路由器、交换机、主机等不同的网络设备，配置和启动SNMP服务的方法各不相同。在本案例中，被监管的网络设备为一台运行Linux操作系统的主机，下面讲解如何在该主机上配置、运行SNMP服务。v首先检查在该主机上是否安装了SNMP软件，如果没有检测到SNMP软件包，则需要通过安装光盘进行安装，或者从Internet上下载相关软件进行安装：v# rpm -qa| gr

112、ep SNMP ucd-SNMP-4.2.1-7 ucd-SNMP-utils-4.2.1-7 ucd-SNMP-devel-4.2.1-7计算机网络管理理论与实践教程使用 MRTG监测网络流量v如果主机上已经安装了SNMP软件包，则修改SNMPd的配置，使其允许mrtg软件读取该主机上的SNMP统计数据。命令如下：vvi /etc/SNMP/SNMPd.conf 将：v#view systemview included mib2修改为：vview mib2 included .iso.org.dod.internet.mgmt.mib-2 fc 将：vaccess notConfigGrou

113、p any noauth exact systemview none none修改为：vaccess notConfigGroup any noauth exact mib2 none none 然后重新启动SNMPd：v/etc/rc.d/init.d/SNMPd restart计算机网络管理理论与实践教程使用 MRTG监测网络流量1.1.配置配置MRTGMRTGvMRTG的配置信息保存在mrtg.cfg文件中，可以手工创建并编辑该配置文件，在其中定义希望的监控特性。mrtg软件包提供有cfgmaker配置工具，这是一个脚本文件，它可以根据运行参数自动生成mrtg.cfg配置文件。v首先在W

114、eb服务器的DocumentRoot目录下创建一个子目录，用来存放mrtg生成的统计文件。在本案例中，假设apache httpd的DocumentRoot在/var/www/html目录下，在该目录下创建mrtg子目录：v# mkdir /var/www/html/mrtg其中的/var/www/html/mrtg为mrtg的工作目录。接下来生成mrtg配置文件：计算机网络管理理论与实践教程使用 MRTG监测网络流量v# cfgmaker -global WorkDir: /var/www/html/mrtg -global Options_: growright,bits -ifref=i

115、p -output /etc/mrtg.cfgpublic10.3.2.1 配置工具cfgmaker的参数说明如下：vglobal表示随后的选项对所有指定的设备都是有效的。vWorkDir用来指示MRTG的工作目录。vOptions用来指定一些特定的选项，这里的“growright,bits”是用来指定默认options配置的，对于常见的应用来说默认options配置就可以满足需求了。vifref用来指示使用什么选项来标识设备接口，可以指定的设备接口有nr、ip、eth、descr、name。nr表示使用在MIBII库中Interface的ifIndex来识别接口；ip表示使用ip地址识别接口

116、；eth表示使用物理地址标识接口；descr表示使用描述信息来标识接口；name表示使用接口名来标识接口。voutput用来指示配置文件存放的目录。vpublic10.3.2.1表示监控IP地址为10.3.2.1的设备，采用public作为共同体名通过SNMP协议来监控设备10.3.2.1。计算机网络管理理论与实践教程使用 MRTG监测网络流量v上述的配置范例会对10.3.2.1这台网络设备收集流量数据，并对输出图形设定bits及growright选项，同时在/etc/mrtg.cfg目录下产生mrtg.cfg设定文件，而所有产生的图形及网页都会放置在/var/www/html/mrtg目录下

117、。vMRTG软件包中还有一个程序indexmaker，可将配置文件mrtg.cfg中每个Target的website做个简单的index.html文件。利用indexmaker程序生成监测统计结果的首页：v# ./indexmaker -output= /var/www/html/mrtg/index.html -title=主机流量统计表 /etc/mrtg.cfg 程序indexmaker按照给定的参数在/var/www/html/mrtg目录下输出一个标题为“主机流量统计表”的index.html文件。计算机网络管理理论与实践教程使用 MRTG监测网络流量运行运行MRTGMRTG完成完成

118、MRTGMRTG的设置后，使用如下的命令启动的设置后，使用如下的命令启动MRTGMRTG程序：程序：# /usr/local/mrtg-2/bin/mrtg /etc/# /usr/local/mrtg-2/bin/mrtg /etc/mrtg.cfgmrtg.cfg可以看可以看到到MRTGMRTG在其工作目录下创建了被监测设备的流量统计图在其工作目录下创建了被监测设备的流量统计图和相应的和相应的HTMLHTML页面，为了让页面，为了让MRTGMRTG持续地读取被监测设备持续地读取被监测设备的数据，并产生具有实效性的统计信息，通常让的数据，并产生具有实效性的统计信息，通常让MRTGMRTG定定

119、时自动地运行。例如，设置时自动地运行。例如，设置MRTGMRTG每隔五分钟运行一次。每隔五分钟运行一次。以以rootroot身份运行命令身份运行命令crontabcrontab e e，进入编辑状态后，添，进入编辑状态后，添加内容如下：加内容如下：* */5 * * * * /usr/local/mrtg-2/bin/mrtg /5 * * * * /usr/local/mrtg-2/bin/mrtg /etc/etc/mrtg.cfgmrtg.cfg保存所做的修改，退出编辑状态。通过浏保存所做的修改，退出编辑状态。通过浏览器访问地址览器访问地址http:/10.3.2.1/mrtg/http

120、:/10.3.2.1/mrtg/，可以看到如图，可以看到如图 1010 1 1所示的所示的MRTGMRTG生成的流量统计页面。生成的流量统计页面。计算机网络管理理论与实践教程计算机网络管理理论与实践教程v图中深蓝色曲线刻画了网络设备10.3.2.1上的某个端口随时间变化的输出流量曲线，而浅绿色曲线则是该端口输入流量随时间的变化图，图下方统计了流量的峰值、平均值和当前值。vMRTG除了能够提供详细的每日流量记录，同时也能够以相同的视觉呈现方式产生过去七天，过去四周，以及过去12个月的流量记录。能够做到这点是因为MRTG把从路由器取得的所有数据都记录下来。这些记录会自动合计，所以不至于随着时间成长

121、地太大，不过仍保留足够提供过去两年来流量趋势的信息。vMRTG并不仅限于监测流量，我们也可以利用MRTG来监测任何SNMP参数。我们甚至可以运用外部程序来收集想要用MRTG进行监控的数据，例如系统负载、登入数量等，或者将二或多项数据来源结合在单一图形内以利观察。与其他类似的软件相比，MRTG更加简便易用，适合于长期的网络监测任务，并提供了友好的用户界面。与商业化网管软件相比，MRTG最大的优点在于它是免费的，同时其功能也在逐渐完善起来。计算机网络管理理论与实践教程使用使用netperfnetperf测试网络性能测试网络性能 1.1.编译、安装编译、安装netperfnetperfv最新版本的n

122、etperf程序可在其官方网站http:/perf.org/上下载。该站点提供与netperf程序相关的信息，包括程序的下载、使用手册、测试的基准以及用户的反馈等。v下载了netperf程序原代码后，首先解开程序原代码的压缩包，并切换至该目录下：v# tar -zxvf netperf-2.4.1.tar.gz # cd netperf-2.4.1 在netperf-2.4.1目录下包含编译netperf应用程序所需的所有文件以及一些为方便测试工作编写的脚本文件。netperf安装文件包含一个makefile文件，在编译应用程序之前需要根据安装环境的要求修改该文件。在安装的netperf应用程

123、序中包含哪些功能，也通过修改该文件进行设置。编译netperf功能的参数选项如表 101所示。计算机网络管理理论与实践教程v -Ae 用针对于HP-UX系统的ANSI C编译器选项v-DDIRTY包含发送数据之前弄脏数据缓存的代码，该选项有助于使网络中正在进行的数据压缩无效v-DHISTOGRAM包含记录测试中请求/响应时间直方图的代码v-DINTERVALS包含在TCP和UDP测试中进行间隔测试的代码，此选项可避免在繁忙网络上丢失数据包v-DDO_DLPI包含测试DLPI的代码v-DDO_UNIX包含测试UNIX域套接字的代码v-D$(LOG_FILE)指定netperf程序在启用调试功能时

124、于何处输出调试结果v-DUSE_LOOPER使用looper或socker进程计算CPU性能v-DUSE_PSTAT对于HP-UX 10或更高版本的系统，使用pstat()函数计算CPU的性能计算机网络管理理论与实践教程v-DUSE_KSTAT对于Solaris2.X操作系统，使用kstat接口计算CPU的性能v-DUSE_PRO_STAT对于Linux系统，使用/proc/star文件确定CPU的利用率v-DDO_IPV6包含测试Ipv6套接字接口的代码v-U hpux用于在HP-UX系统上编译netperf之时，也能够在HP-RT系统上运行v-DDO_DNS包含测试DNS服务器性能的代码v

125、-DHAVE_SENDFILE包含使用sendfile()函数和send()函数测试发送数据的代码v-D_POSIX_SOURCE用于MPE/ix系统上的安装v-D_SOCKET_SOURCE用于MPE/ix系统上的安装v-DMPE用于MPE/ix系统上的安装计算机网络管理理论与实践教程v确定在netperf程序中需要包含哪些功能之后，编辑makefile文件，在相应的行上添加或删除这些功能。下面是一个在Linux操作系统下makefile文件的设置的实例：vNETPERF_HOME = /opt/netperf LOG_FILE = DEBUG_LOG_FILE=/tmp/netperfde

126、bug” CFLAGS = -o D$(LOG_FILE) DDIRTY DHISTOGRAM DUSE_PROC_STATDDOD_FIRST_BURSTNETPERF_HOME条目定义了netperf的安装目录为/opt/netperf。vLOG_FILE条目定义了应该将调试日志文件放在主机的什么位置。默认情况下，日志文件将放在/tmp目录中。系统重新启动后此目录将会被删除。vCFLAGS行中的DUSE_PROC_STAT选项，设置为在Linux操作系统下编译netperf。v修改makefile文件之后，必须使用make命令编译源代码，并使用带有instMl选项的make命令安装它：v#

127、 make# make install正确地编译和安装了netperf软件包后，必须配置运行netserver程序，接收来自netperf客户端的连接。计算机网络管理理论与实践教程运行运行netservernetserver以独立模式运行以独立模式运行netservernetserverv要启动要启动netservernetserver，只要运行，只要运行netservernetserver的可执行文件：的可执行文件：v$/opt/$/opt/netperf/netservernetperf/netserver Starting Starting netservernetserver at p

128、ort 12865 at port 12865 netservernetserver启动后，它将指示使用哪个端口去监听进来的启动后，它将指示使用哪个端口去监听进来的客户端连接，本实例中，客户端连接，本实例中，netservernetserver监听监听TCPTCP端口端口1286512865。netservernetserver以后台模式运行，使用以后台模式运行，使用psps命令可以检测到该程命令可以检测到该程序正在运行：序正在运行：v$ $psps ax | ax | grepgrep netservernetserver 17339 7 S 0:00/opt/netperf/netserv

129、er$ 17339 7 S 0:00/opt/netperf/netserver$ 从从psps命令返回的结果可以看到，命令返回的结果可以看到，netservernetserver程序正在运行，程序正在运行，在系统中的进程在系统中的进程ID(PID)ID(PID)为为1733917339。以独立模式启动。以独立模式启动netservernetserver，它将在后台运行，直到重新启动服务器或手，它将在后台运行，直到重新启动服务器或手动停止它。动停止它。 计算机网络管理理论与实践教程v要手动停止netserver，必须使用kill命令杀死netserver运行实例的PID号，如下所示：v$ps

130、ax | grep netserver 17339 7 S 0:00/usr/local/netperf/netserver $kill-9 17339 $ps ax | grep netserver 17580 pts/1 S 0:00 grep netserver $ 停止netserver程序后，再次执行ps命令检测，返回结果的显示中已经没有该程序。计算机网络管理理论与实践教程自动启动自动启动netservernetserver对于对于inetdinetd方法，对探测到连接企图时要自动启动的方法，对探测到连接企图时要自动启动的netservernetserver，必须为其在，必须为其在i

131、netd.confinetd.conf文件中创建一个文件中创建一个条目，如下所示：条目，如下所示：netservernetserver stream stream tcptcp nowaitnowait root root /opt/opt/netperf/netservernetperf/netserver netservernetservernetservernetserver不使不使用受保护的用受保护的TCPTCP端口号，所以可以使用系统中的任意端口号，所以可以使用系统中的任意用户启动，本例使用用户启动，本例使用rootroot用户启动用户启动netservernetserver应用程应

132、用程序。序。inetd.confinetd.conf文件的文件的netservernetserver条目中指定了条目中指定了netservernetserver可执行文件的位置，本实例为可执行文件的位置，本实例为/opt/opt/netperfnetperf。xinetdxinetd配置文件的格式与配置文件的格式与inetdinetd不同，对探测到连接不同，对探测到连接企图时要自动启动的企图时要自动启动的netservernetserver，需要为其在，需要为其在/etc/services/etc/services文件中创建一组说明，如下所示：文件中创建一组说明，如下所示：socket_typ

133、esocket_type=stream=streamwait=nowait=nouser=rootuser=rootserver=/opt/server=/opt/netperf/netservernetperf/netserver 计算机网络管理理论与实践教程运行运行netperfnetperfv根据作用范围的不同，netperf的命令行参数可以分为两大类：全局命令行参数、测试相关的局部参数，两者之间使用“”分隔，如下所示：vnetperf global options- test-specific options 全局命令行选项指定的设置定义了应该执行哪种netperf测试，以及如何执行n

134、etperf测试。这些选项用于控制netperf测试的基本设置，对所有测试类型都有效。 v全局命令行选项位于“-”前的global options部分，各全局参数选项之间没有次序的限制。计算机网络管理理论与实践教程测试批量网络流量的性能测试批量网络流量的性能1.TCP_STREAMvnetperf的默认测试类型是TCP_STREAM批量传输测试。测试过程中，netperf根据设定的参数选项，向netserver主机发送批量的TCP数据分组，以确定数据传输过程中的吞吐量，命令如下：v./netperf -H 10.3.2.1 -l 60 TCP STREAM TEST to 10.3.2.1 R

135、ecv Send SendSocket Socket Message Elapsed Size Size Size Time Throughputbytes bytes bytes secs. 10bits/sec16384 16384 16384 60.00 7.63计算机网络管理理论与实践教程v在本例中，使用全局命令行选项-H来指定远程netserver主机的IP地址为10.3.2.1，另一个选项-l用来设置测试持续的时间为60秒。从netperf的TCP_STREAM测试结果输出中，我们得到以下的一些信息：v远端系统（netserver）使用大小为16384字节的socket接收缓存v本

136、地系统（netperf）使用大小为16384字节的socket发送缓存v本地系统向远端系统发送的测试分组大小为16384字节v测试经历的时间为60秒v吞吐量的测试结果为7.63Mbps计算机网络管理理论与实践教程v缺省情况下，netperf主机发送的测试分组大小通常设置为本地系统所使用的套接字发送缓存的大小，从而减少本地的套接字传输对吞吐量计算的影响。若希望以特定的分组大小进行测试，可以修改相应的nerperf参数选项，TCP_STREAM方式下与测试相关的参数选项如表 103所示：v-s size设置本地系统的socket发送与接收缓存大小为size字节 -S size设置远端系统的sock

137、et发送与接收缓存大小为size字节 -m size设置本地系统发送测试分组的大小为size字节 -M size设置远端系统接收测试分组的大小为size字节 -D对本地与远端系统的socket设置TCP_NODELAY选项计算机网络管理理论与实践教程v通过修改与测试方式相关的参数选项，并观察测试结果的变化，可以确定是哪些因素在影响网络连接的吞吐量。测试方式相关的参数选项与全局参数选项之间用“-”进行分隔。例如，如果怀疑由于缺乏足够的缓存区空间，使得路由器无法转发大的数据包，就可以增加测试数据包的大小，以观察吞吐量的变化：v./netperf -H 10.3.2.1 -l 60 - - -m 2

138、048 TCP STREAM TEST to 10.3.2.1 Recv Send Send Socket Socket Message ElapsedSize Size Size Time Throughputbytes bytes bytes secs. 10bits/sec 16384 16384 2048 60.00 7.72计算机网络管理理论与实践教程UDP_STREAMUDP_STREAMvUDP_STREAM方式使用与TCP_STREAM方式相同的局部命令行参数，可以使用-m来修改测试中使用分组的大小：v./netperf -t UDP_STREAM -H 10.3.2.1 -

139、-m 1024 UDP UNIDIRECTIONAL SEND TEST to 10.3.2.1 Socket Message Elapsed Messages Size Size Time Okay Errors Throughputbytes bytes secs # # 106bits/sec 65535 1024 9.99 114127 0 91.35 41600 9.99 114122 9.57计算机网络管理理论与实践教程vUDP_STREAM方式的结果中有两行测试数据，第一行显示的是本地系统的发送统计，这里的吞吐量表示netperf向本地套接字发送分组的能力。但是，由于UDP是不可

140、靠的传输协议，发送出去的分组数量不一定等于接收到的分组数量。v第二行显示的是远端netserver主机接收的情况，在实际网络环境中，一般远端系统套接字缓存大小不同于本地系统的套接字缓存大小，而且由于UDP协议的不可靠性，远端系统的接收吞吐量要远远小于发送出去的吞吐量。计算机网络管理理论与实践教程测试请求测试请求/ /响应模型的性能响应模型的性能v在客户端/服务器的网络环境下，常见的网络流量类型是请求/响应（request/response）模型，如图 102图所示。请求/响应模型中的客户端网络设备通常会发送一些小的数据包，向服务器端查询有关信息，服务器端接收查询请求，经过处理后返回查询结果的数

141、据，返回的查询结果数据一般都是较大的数据信息。计算机网络管理理论与实践教程TCP_RRTCP_RRvTCP_RR测试在一个TCP连接中发生的多次TCP 请求和响应时网络的性能，这种类型的测试模拟经常出现在数据库中的应用情况。数据库的客户端程序与服务器端程序建立一个TCP连接，然后在这个连接中传送数据库的多次交易过程。下面是一个简单的TCP_RR测试实例：v./netperf -t TCP_RR -H 10.3.2.1 -l 60 TCP REQUEST/RESPONSE TEST to 10.3.2.1 Local /Remote Socket Size Request Resp. Elaps

142、ed Trans. Send Recv Size Size Time Rate bytes Bytes bytes bytes secs. per sec 16384 87380 1 1 59.99 1995.32 16384 16384计算机网络管理理论与实践教程vTCP_RR测试的输出结果也是由两行组成。第一行显示本地系统的情况，第二行显示的是远端系统的信息。平均的交易率（transaction rate）为1995.32次/秒。注意，在默认的情况下，每次交易的请求数据包和响应数据包的大小都为1个字节，这不具有很大的实际意义。可以通过修改测试相关的参数来改变请求和响应数据包的大小，TCP_

143、RR方式下的参数如表 104所示：v-r req,resp设置请求和响应数据包的大小 -s size设置本地系统的套接字发送与接收缓存大小为size字节 -S size设置远端系统的套接字发送与接收缓存大小为size字节 -D对本地与远端系统的socket设置TCP_NODELAY选项计算机网络管理理论与实践教程v通过使用-r参数，可以改变请求和响应数据包的大小，更改格式有：v-r 32，设置请求数据包的大小为32字节，响应数据包的大小为1字节。v-r 1024，设置请求数据包的大小为1024字节，响应数据包的大小为1字节。v-r 32,1024，设置请求数据包的大小为32字节，响应数据包的大

144、小为1024字节。计算机网络管理理论与实践教程TCP_CRRTCP_CRRv有些TCP事务要求每一个请求/响应都要建立一个新的TCP连接。最典型的应用就是HTTP，每个HTTP事务都是在一个单独的TCP连接中进行的。使用这种技术的协议需要不断地建立新的TCP连接，并且在交易结束后删除TCP连接。vTCP_CRR方式用于测试在类似HTTP事务的处理过程中的网络性能。下面是一个简单的TCP_CRR测试实例：计算机网络管理理论与实践教程v./netperf -t TCP_CRR -H 10.3.2.1 l 60vTCP Connect/Request/Response TEST to 10.3.2.

145、1vLocal /RemotevSocket Size Request Resp. Elapsed Trans.vSend Recv Size Size Time Ratevbytes Bytes bytes bytes secs. per secv v131070 131070 1 1 59.99 17.32v16384 16384 v从上面的测试结果可以看到，即使是使用一个字节的请求和响应分组，事务处理率也明显地降低到每秒钟只有17.32个事务。这是因为对于每一个交易事务，都增加了创建和删除TCP连接的时间开销。TCP_CRR的测试相关参数选项与TCP_RR相同（如表 104所示），可以使

146、用-r选项来更改请求和响应数据包的大小。计算机网络管理理论与实践教程UDP_RRUDP_RRvUDP_RR方式测试使用UDP分组进行请求和响应的交易过程中的网络性能。下面是一个简单的UDP_CRR测试实例： v./netperf -t UDP_RR -H 10.3.2.1 l 60vUDP REQUEST/RESPONSE TEST to 10.3.2.1vLocal /RemotevSocket Size Request Resp. Elapsed Trans.vSend Recv Size Size Time Ratevbytes Bytes bytes bytes secs. per s

147、ecv v65535 65535 1 1 59.99 2176.53v9216 41600 计算机网络管理理论与实践教程v由于没有TCP连接所带来的负担，所以事务处理率有较大的提升，达到了每秒2176.53个事务。如果UDP的处理率与TCP的处理率差别非常大，则需要检查网络设备，确定在网络中的路由器或其它的网络设备是否对UDP和 TCP采用不同的缓存空间和处理技术。计算机网络管理理论与实践教程分析分析LinuxLinux操作系统的性能操作系统的性能v用vmstat监视内存使用情况 v虚拟内存统计工具vmstat（Virtual Memory Statistics），用于监视操作系统的虚拟内存、

148、进程、CPU活动，对系统的整体情况进行统计。vmstat的语法如下：vvmstat -V -n delay countvmstat 各参数的说明如表 105所示。v-V表示打印出版本信息 -n表示在周期性循环输出时，输出的头部信息仅显示一次delay是两次输出之间的延迟时间，如果不指定delay值，则仅输出最近一次启动以来的各性能指标的平均值 count是按照给定的时间间隔进行统计的次数，如果不指定count值，但指定了delay值，则count的缺省值为无穷大计算机网络管理理论与实践教程v运行vmstat首先得到的统计报告展现的是从最近一次启动以来的各性能指标的平均值。其它的统计报告显示的是

149、给定采样周期的统计值。vmstat的运行结果如下所示：v# vmstat -n 5 5vprocs memory swap io system cpuv r b swpd free inact active si so bi bo in cs us sy id wav 0 0 10800 5396 10692 364576 3 9 74 284 173 223 4 1 92 4v 0 0 10924 5436 7384 369696 22 51 399 118 261 334 18 2 61 19v 0 0 11164 5504 8804 372052 49 163 182 430 388 5

150、43 47 3 31 19v 1 0 12464 5492 11708 371968 5 305 154 558 380 510 45 3 30 21v 2 0 12792 5544 15820 371716 145 143 315 446 434 644 43 4 27 27 计算机网络管理理论与实践教程vvmstat输出结果中各字段的含义为：vprocsvr：等待运行时间的进程数。vb：不可中断休眠的进程数。vw：被交换出但仍可运行的进程数。vmemoryvswpd：被使用的虚拟内存的总数（kB）。vfree：空闲内存的总数（kB）。vbuff：作为缓存使用的内存总数（kB）。vswapv

151、si：从磁盘交换区读入的内存总数（kB/s）。vso：写入磁盘交换区的内存总数（kB/s）。viovbi：输出到块设备的块数（blocks/s）。vbo：从块设备读取的块数（blocks/s）。vsystemvin：每秒钟发生的中断数，包括系统时钟。vcs：每秒钟发生的转换数。The number of context switches per second.vCPUvus：用户时间的百分比。vsy：系统时间的百分比。vid：空闲时间的百分比。计算机网络管理理论与实践教程用iostat监视I/O子系统情况 v输入/输出统计工具iostat（I/O statistics），用于对系统的磁盘操作活

152、动进行监视，报告磁盘活动统计情况和CPU的使用情况。iostat的语法如下：viostat -c | -d -k -t -V -x device interval count iostat各参数的说明如表 106所示。v-c报告CPU的使用情况 -d报告磁盘的使用情况 -k按每秒千字节显示数据 -t输出报告时打印时间 -V打印出版本信息和用法 -x device指定要统计的设备名称，默认为所有的设备interval指定统计间隔的时间 count按照指定时间间隔统计的次数计算机网络管理理论与实践教程viostat的输出格式如下所示：v# iostatvLinux 2.4.21-4.EL (liz

153、ard) 2006年02月21日vavg-cpu: %user %nice %sys %idlev 0.38 0.00 0.11 99.50vDevice: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtnvdev8-0 5.86 14.51 42.39 822628 2402306 计算机网络管理理论与实践教程viostat输出结果中各字段的含义为：v由iostat命令产生的第一个报告是CPU的利用率统计报告，对于多处理器来说，统计结果是所有处理器的平均值。该报告显示如下的一些信息：v%user：显示CPU运行在用户级的百分比。v%nice：显示CPU运

154、行在用户级的nice优先级的百分比。v%sys：显示CPU运行在系统级的百分比。v%idle：显示CPU空闲状态的百分比。v由iostat命令产生的第二个报告是设备的利用率统计报告，提供了每一个物理设备的统计信息。该报告显示如下的一些信息：vDevice：设备的名称。vtps：设备每秒钟的传输数。vBlk_read/s：每秒钟从设备读出的数据的块数。vBlk_wrtn/s：每秒钟向设备写入的数据的块数。vBlk_read：从设备读出的数据块的总数。vBlk_wrtn：写入设备的数据块的总数。vkB_read/s：每秒钟从设备读出的数据的千字节数。vkB_wrtn/s：每秒钟向设备写入的数据的千

155、字节数。vkB_read：从设备读出的数据的千字节总数。vkB_wrtn：向设备写入的数据的千字节总数。计算机网络管理理论与实践教程使用使用sarsar进行综合分析进行综合分析vsar的语法如下 vsar -A -b -B -c -d -H -h -i interval v -q -r -R -t -u -v -V -w -W -y v -n DEV | EDEV | SOCK | FULL v -x pid | SELF | SUM | ALL v -X pid | SELF | ALL v -I irq | SUM | PROC | ALL | XALL v -U cpu | ALL v

156、-o filename | -f filename v -s hh:mm:ss v -e hh:mm:ss v interval count 计算机网络管理理论与实践教程sar各参数的说明如表 107所示 v-A所有的报告，相当于指定参数-bBcdqrRuvwWy -I SUM -I PROC -n FULL -U ALL -b报告输入输出和传输率统计值 -B报告系统分页的统计值 -c报告系统进程的创建活动 -d报告每个块设备的活动情况 -e设备报告的结束时间 -f从文件中获取监控数据 -h当从文件获取数据时，按照较易被格式处理命令处理的格式打印其内容 -H当从文件获取数据时，按照较易被关系数

157、据库系统处理的格式打印其内容 -I报告一个给定中断的统计值 -n报告网络状态 -o将数据以二进制的格式保存在文件中 -q报告队列的长度和负载平均值 -r报告内存和交互区的使用统计 -R报告内存的统计 -s设置报告开始时间 -t当从二进制文件中读取数据时，显示文件创建者本地的时间戳 -uCPU利用率-v报告节点状态，文件和其它的内核表 -V打印出版本信息和用法 -w系统交换活动 -W系统交换活动的统计结果 -yTTY设备活动计算机网络管理理论与实践教程v使用sar监测系统进程的活动，输出如下报告：v# sar -qvLinux 2.4.21-4.EL (lizard) 02/20/2006v03

158、:20:00 PM runq-sz plist-sz ldavg-1 ldavg-5v03:30:00 PM 0 60 0.10 0.56v03:40:00 PM 0 40 0.52 0.29v03:50:02 PM 0 43 0.61 0.20v04:00:00 PM 0 64 1.99 1.03v04:10:01 PM 0 89 1.29 1.11v04:20:04 PM 0 88 1.13 1.11v04:30:00 PM 0 44 0.14 0.20v04:40:00 PM 0 79 0.82 0.75v04:50:00 PM 0 55 0.02 0.13v05:00:00 PM 0

159、53 0.09 0.21v05:10:00 PM 0 60 0.04 0.10v05:20:01 PM 1 66 0.01 0.04v05:30:00 PM 3 84 0.13 0.14v05:40:00 PM 1 123 0.04 0.10v05:50:00 PM 3 115 0.00 0.03vAverage: 1 71 0.46 0.40 计算机网络管理理论与实践教程v输出结果中各字段的含义为：vrunq-sz：等待运行的进程数。vplist-sz：进程列表中的进程数。vldavg-1：最近一分钟的系统负载。vldavg-5：最近五分钟的系统负载。v通过监测等待运行的进程数、系统负载等性

160、能指标，可以了解系统运行的状态。如果runq-sz 值、plist-sz值和ldavg值比较大，则表明系统比较繁忙、负载较重。其直接后果，可能使系统的响应速度降低。计算机网络管理理论与实践教程v使用sar监测系统监测CPU利用率，输出如下报告：v# sar -uLinux 2.4.21-4.EL (lizard) 2006年02月21日00时00分00? CPU %user %nice %system %idle00时10分00? all 0.25 0.00 0.02 99.7300时20分00? all 0.27 0.00 0.02 99.7100时30分00? all 0.28 0.00

161、0.01 99.7200时40分00? all 0.28 0.00 0.01 99.7200时50分00? all 0.28 0.00 0.01 99.7101时00分00? all 0.28 0.00 0.01 99.7101时10分00? all 0.27 0.00 0.02 99.7101时20分00? all 0.29 0.00 0.01 99.7001时30分00? all 0.27 0.00 0.01 99.7201时40分00? all 0.27 0.00 0.02 99.7101时50分00? all 0.27 0.00 0.02 99.7102时00分00? all 0.26

162、 0.00 0.01 99.7302时10分00? all 0.29 0.00 0.01 99.7002时20分00? all 0.26 0.00 0.01 99.7302时30分00? all 0.29 0.00 0.01 99.7002时40分00? all 0.27 0.00 0.02 99.7102时50分00? all 0.27 0.00 0.01 99.72Average: all 0.38 0.00 0.12 99.50计算机网络管理理论与实践教程v输出结果中各字段的含义为：vuser：cpu处在用户模式下时间（百分比）vsystem：cpu处在系统模式下时间（百分比）vidle

163、：cpu空闲时间（百分比）v从监测到的user、system和idle值可以分析系统运行的状况，发现哪种类型的活动占用CPU时间较多，帮助系统管理员深入地了解系统的性能。如果发现系统响应比较慢，而此时的idle的值却比较高，这表明进程竞争的主要资源不是CPU，可能是内存或者输入输出设备等造成的系统瓶颈。如果系统中有大型的作业运行，那么此时的idle值就会比较低。在安排系统作业时，应该合理调度、错开系统应用高峰，当系统相对空闲时再运行较大的作业。计算机网络管理理论与实践教程LinuxLinux操作系统性能的优化操作系统性能的优化1.1.关闭不必要的驻留程序关闭不必要的驻留程序vRed Hat E

164、nterprise Linux AS安装完成后，默认启动的部分进程如表 108所示 vFreeWnn日语转换引擎。 NetworkManager优化网络连接的守护进程。 acpid监听和分发来自内核的ACPI事件。 amandaAmanda备份系统客户端 apmd监测电池状态，当电池的电量低时可用于关闭计算机。 amd挂载设备和NFS主机的守护进程。 arptables_jf使用arptables来自动化包过滤防火墙。 cannaCanna的日语转换引擎。 cups公用UNIX打印系统CUPS (Common UNIX Printing System)启动和关闭脚本。 hpojHP Offic

165、eJet 打印机Linux驱动程序的脚本和设备的设置程序。 isdn启动和停止ISDN服务。 pcmciaPCMCIA设备的支持程序。 portmap用于管理RPC连接。 rhnsd周期性地连接Red Hat 网络服务器的后台程序，用于检查系统的更新、通告以及监测等任务。 sendmail邮件服务器程序。 xfs用于X Windows的字体服务。计算机网络管理理论与实践教程v系统管理员可以根据实际应用的需求，关闭一些不必要的服务驻留程序。例如，如果服务器不需要处理邮件，那么可以停止sendmail进程。输入如下命令：v# /sbin/service sendmail stop 也可以配置在下次

166、启动的时候不自动启动sendmail服务，输入如下的命令：v# /sbin/chkconfig sendmail off 除了使用命令行的方式控制服务的启动和停止外，Linux还提供了图形方式下的进程管理功能。Red Hat Enterprise Linux AS服务配置工具是图形化应用程序，用来配置在引导时需要启动哪些SysV服务和xinetd服务。它允许启动、停止、和重新启动SysV服务以及重新启动xinetd。计算机网络管理理论与实践教程v点击面板上的Main Menu=System Settings=Server Settings=Services，或在 shell 提示下，键入命令

167、redhat-config-services。进入如图 103所示的服务配置界面。计算机网络管理理论与实践教程关闭图形用户界面关闭图形用户界面v图形用户界面提供给系统管理员一个方便直观的操作环境，但使用图形界面会占用较多的内存和CPU处理时间，影响系统的性能。通常在Linux服务器上，没有必要一直启动图形用户界面，因为几乎所有的管理任务均可在命令行方式下完成。当需要使用时可以启动图形用户界面，用完后马上关闭。vLinux操作系统有多种运行模式，如表 109所示。v0Halt1Sing le user mode 2Multi-use 3Full multi-user mode 4Unused 5

168、X11 6Reboot计算机网络管理理论与实践教程v在大多数情况下，应该把服务器的运行级别定义为3。这样，服务器启动时进入的不是图形用户界面，而是字符界面。修改文件/etc/inittab来设置服务器启动的运行级别，inittab文件的内容如下所示：v#v# inittab This file describes how the INIT process should set upv# the system in a certain run-level.v#v# Author: Miquel van Smoorenburg, v# Modified for RHS Linux by Marc

169、Ewing and Donnie Barnesv#v# Default runlevel. The runlevels used by RHS are:v# 0 - halt (Do NOT set initdefault to this)v# 1 - Single user modev# 2 - Multiuser, without NFS (The same as 3, if you do not have networking)v# 3 - Full multiuser modev# 4 - unusedv# 5 - X11v# 6 - reboot (Do NOT set initde

170、fault to this)v# vid:5:initdefault:v# System initialization.vsi:sysinit:/etc/rc.d/rc.sysinitvl0:0:wait:/etc/rc.d/rc 0vl1:1:wait:/etc/rc.d/rc 1vl2:2:wait:/etc/rc.d/rc 2vl3:3:wait:/etc/rc.d/rc 3vl4:4:wait:/etc/rc.d/rc 4vl5:5:wait:/etc/rc.d/rc 5vl6:6:wait:/etc/rc.d/rc 6计算机网络管理理论与实践教程v修改/etc/inittab，v将：

171、 id:5:initdefault:修改为：vid:3:initdefault: 修改后重新启动服务器，则服务器启动的时候运行在runlevel 3命令行方式下，而不是进入GUI。如果需要在图形方式下运行应用程序，可以在命令行方式下，执行startx 来启动Xserver。计算机网络管理理论与实践教程减少虚拟控制台减少虚拟控制台v Linux操作系统默认定义了6个虚拟控制台，如果在实际的应用中不需要这么多虚拟控制台，则可以修改/etc/inittab，注释掉那些不需要的虚拟控制台设置项，以节省内存的消耗。修改/etc/inittab，将：v# Run gettys in standard ru

172、nlevels v1:2345:respawn:/sbin/mingetty tty1 v2:2345:respawn:/sbin/mingetty tty2 v3:2345:respawn:/sbin/mingetty tty3 v4:2345:respawn:/sbin/mingetty tty4 v5:2345:respawn:/sbin/mingetty tty5 v6:2345:respawn:/sbin/mingetty tty6 计算机网络管理理论与实践教程v修改为：v# Run gettys in standard runlevels v1:2345:respawn:/sbin

173、/mingetty tty1 v2:2345:respawn:/sbin/mingetty tty2 v3:2345:respawn:/sbin/mingetty tty3 v4:2345:respawn:/sbin/mingetty tty4 v#5:2345:respawn:/sbin/mingetty tty5 v#6:2345:respawn:/sbin/mingetty tty6 计算机网络管理理论与实践教程处理器子系统的优化处理器子系统的优化v处理器对于服务器性能的提升来说是最重要的硬件子系统之一，其通常是性能的瓶颈。CPU的优化主要是根据工作需求正确地选择其型号，这样既可以满足性

174、能的要求，又可以节约资金。如果机器的用途只是使用基本的应用程序，那么选用一个低端的CPU就可以了。如果使用Linux机器做繁重的数学操作，如运行科学计算、数据库等应用程序，就需要花更多的钱买高端的CPU，甚至需要考虑使用多CPU。Linux可以很好的利用多个CPU的性能，具体的CPU数量依据运行的平台而定。计算机网络管理理论与实践教程v需要注意的是，只有基于SMP内核的LINUX操作系统才可以支持Hyper-Threading功能。选择合适的内核对系统性能非常重要，Red Hat Linux和SUSE LINUX都包括有基于SMP内核的版本。在选择操作系统内核时必须与处理器子系统相匹配，才能发

175、挥硬件的最佳效能。计算机网络管理理论与实践教程内存子系统的优化内存子系统的优化v对内存子系统的进行优化时需要不断地监测，来保证内存的改变不会对服务器的其他子系统造成负面影响。如果要改变虚拟内存参数(在/proc/sys/vm)，建议您每次只改变一个参数然后监测效果。对与虚拟内存的调整包括以下几个项目：v配置Linux内核如何更新dirty buffers到磁盘。磁盘缓存区用于暂存磁盘的数据。相对于内存来讲，磁盘缓存区的速度很慢。因此，如果服务器使用这类内存，性能会成问题。当缓存区内的数据完全dirty，使用：sysctl -w vm.bdflush=30 500 0 0 500 3000 60

176、 20 0vvm.bdflush有9个参数，但是建议您只改变其中的3个：v1 nfract, 为排队写入磁盘前，bdflush daemon允许的缓存区最大百分比。v2 ndirty, 为bdflush即刻写的最大缓存区的值。如果这个值很大，bdflush需要更多的时间完成磁盘的数据更新。v7 nfract_sync, 发生同步前，缓存区变dirty的最大百分比。计算机网络管理理论与实践教程v配置kswapd daemon，指定Linux的内存交换页数量vsysctl -w vm.kswapd=1024 32 64v三个参数的描述如下：v tries_base 相当于内核每次所交换的“页”的数

177、量的四倍。对于有很多交换信息的系统，增加这个值可以改进性能。v tries_min 是每次kswapd swaps出去的pages的最小数量。v swap_cluster 是kswapd 即刻写如的pages数量。数值小，会提高磁盘I/O的性能；数值大可能也会对请求队列产生负面影响。v如果要对这些参数进行改动，请使用工具vmstat检查对性能的影响。其它可以改进性能的虚拟内存参数为：v_ buffermemv_ freepagesv_ overcommit_memoryv_ page-clusterv_ pagecachev_ pagetable_cache计算机网络管理理论与实践教程磁盘子系

178、统的优化磁盘子系统的优化v特定的驱动器参数可以改进磁盘设备的性能。hdparm程序可以对硬盘参数进行检查和设置。 通过hdparm程序来设置IDE硬盘，使用DMA和32位I/O是大幅提升系统性能的好办法。将IDE硬盘的PCI总线指定为32位I/O的命令如下：v# /sbin/hdparm -c 1 /dev/had为了在硬盘上使用DMA，可以键入下面命令：v# /sbin/hdparm -d 1 /dev/had计算机网络管理理论与实践教程v更改完成后，还可以使用hdparm程序来检查修改后的结果，命令如下：v# /sbin/hdparm -tT /dev/had/dev/had: Timin

179、g buffer-cache reads: 1808 MB in 2.00 seconds = 904.00 MB/sec Timing buffered disk reads: 68 MB in 3.00 seconds = 22.67 MB/sec硬盘经过一段时间的读取之后，会返回测试结果：v/dev/had:Timing buffered disk reads : 64MB in 2.33 seconds = 27.47MB/sec如果使设置的结果保持不变，可以对hdparm程序使用 -k参数：v# /sbin/hdparm -k 1 /dev/had计算机网络管理理论与实践教程输入输入

180、/ /输出输出v除此之外，I/O程序对系统性能也是相当重要的，网络硬件I/O对服务器尤其重要。现在大多数系统使用10/100 Mb以太网，而基于PCI的以太网卡比老式的ISA卡可以获得更好的性能。如果有较重的网络负载，则可以考虑千兆以太网卡。 v对于打印类任务，甚至低级别的并行口，大量的I/O程序也很重要。 v大多数情况下，I/O的速度与硬件的质量直接相关。有时硬件的质量又与其专用的驱动程序的质量有关。所以，对于I/O设备的性能优化主要是选择高质量的硬件。 v当然，一台计算机的性能受多方面因素的影响，包括硬件和软件的因素。如果系统根本无法满足用户的需求，可以选择升级硬件。但是，如果没有软件优化

181、的配合，一些硬件的升级也不会带来好的运行结果。所以花费一定的时间来优化系统，可以大大节省升级硬件的费用。计算机网络管理理论与实践教程使用使用Web Application StressWeb Application Stress测试测试webweb服务器性能服务器性能1.1.安装安装WASWASvWeb Application Stress对操作系统的要求为Microsoft Windows NT 4.0 Service Pack 4或以上版本，包括Windows 2000平台。还要求浏览器为Internet Explorer 4.0以上版本，与Internet Explorer 5.0工作更

182、好。v首先下载最新版本的Web Application Stress安装程序，Web Application Stress的官方网站是http:/ Windows 2000 Resource Kit CD里面也可以找到这个工具。v在测试机器上运行Web Application Stress安装程序，按照安装向导的指示进行安装。计算机网络管理理论与实践教程2.2.创建测试脚本创建测试脚本Web Application StressWeb Application Stress可以通过记录浏览器活可以通过记录浏览器活动，导入服务器日志文件或分析动，导入服务器日志文件或分析WebWeb文件夹的内容文件

183、夹的内容来帮助测试者创建测试脚本。记录浏览器活动的来帮助测试者创建测试脚本。记录浏览器活动的方式以精确的方式捕捉所有用户的交互活动。任方式以精确的方式捕捉所有用户的交互活动。任何从浏览器发往服务器的何从浏览器发往服务器的URLURL指向，应用程序参数指向，应用程序参数和和HTTPHTTP头部信息都会被自动地记录在新的测试脚头部信息都会被自动地记录在新的测试脚本里。本里。Web Application StressWeb Application Stress只需要在主客户机器创只需要在主客户机器创建和存储的测试脚本，当测试由主客户端初始化建和存储的测试脚本，当测试由主客户端初始化时，测试脚本会自

184、动地分发到其他的测试客户端。时，测试脚本会自动地分发到其他的测试客户端。计算机网络管理理论与实践教程1.清除浏览器的缓存内容2.录制脚本计算机网络管理理论与实践教程计算机网络管理理论与实践教程设置测试脚本设置测试脚本v1.在WAS窗口的脚本项，双击脚本项最前面的方型按钮（在表单的第一列）打开这项的详细菜单。v2.在Querystring标签里（也叫Querystring Editor,如Figure 3所示），选定Format data to CGI standard。相应的名字-值对会出现在check box下的表单里。计算机网络管理理论与实践教程v3.点选定的名字-值对的值，一个新的按钮会

185、出现v4.点这个按钮打开Field Values对话框v5.在Field values对话框输入一串值，每一行一个值。也可以通过剪切，粘贴一个电子表格的数据文件来输入。v6.在Querystring Editor里，在表单中点有相同名字-值对的Distribution一列。在下拉菜单选择Random。v为脚本项设置SSLv为特定的脚本项激活SSL，需要作以下操作：v1. 在WAS窗口的脚本项，双击脚本项最前面的方型按钮（在表单的第一列）打开这项的详细菜单。v2. 在 SSL标签里，选Use SSL. (注意在激活SSL时确保端口值应该在80到 443之间)。计算机网络管理理论与实践教程指定被测

186、目标指定被测目标WebWeb服务器服务器新录制的测试脚本种，被测目标服务器默认为新录制的测试脚本种，被测目标服务器默认为“localhost”，应该替换为，应该替换为IP地址或目标服地址或目标服务器的域名。务器的域名。v在如图 105所示的界面中，点击左边分栏内的测试脚本名，在右边分栏内的“Server”项目后输入目标服务器的IP地址或域名。如果希望对有网络负载均衡的服务器群组进行测试，则需要输入IP地址群。计算机网络管理理论与实践教程1.设置并发连接数计算机网络管理理论与实践教程1.设定测试运行的时间长度2.设置随机延迟时间3.设定挂起时间4.指定带宽瓶颈5.建立多个客户端机器计算机网络管理

187、理论与实践教程计算机网络管理理论与实践教程6.6.设置性能计数器设置性能计数器计算机网络管理理论与实践教程运行测试脚本 计算机网络管理理论与实践教程查看测试报告查看测试报告计算机网络管理理论与实践教程用用ApacheBenchApacheBench测试测试Apache HTTPApache HTTP服务器的性能服务器的性能vAb的语法如下： vab -A auth-username:password -c concurrency -C cookie-vname=value -d -e csv-file -g gnuplot-file -h -Hvcustom-header -i -k -n r

188、equests -p POST-file -Pvproxy-auth-username:password -q -s -S -t timelimit v-T content-type -v verbosity -V -w -x -attributesv -X proxy:port -y -attributes -z -attributes vhttp:/hostname:port/path 计算机网络管理理论与实践教程Apache HTTPApache HTTP服务器的性能优化服务器的性能优化1.1.硬件平台和操作系统对性能的影响硬件平台和操作系统对性能的影响v最直接影响Web服务器性能的硬件

189、因素是内存，因为它决定了Web服务器可以缓存多少内容。缓存的内容越多，在硬盘上读取内容的机会就越少，而存取硬盘上的特定文件是一件很费时的操作。对硬盘的访问增加了每次请求的延时，使得用户认为服务器的响应不够快。同时，许多用户会点击停止和刷新按钮，重新装载网页，这将进一步增加Web服务器的负担。拥有更快速的CPU、快速的网卡和硬盘也都可以让服务器的性能得到提升。v选择适当的操作系统对web服务器性能的影响也很重要，通常选择运行的操作系统最新的稳定发行版和补丁包。许多操作系统的提供商在新的操作系统中对他们的TCP栈和线程库的性能进行了显著的改进，这些特性使得Apache服务器可以更快地运行。计算机网

190、络管理理论与实践教程运行时设置的优化运行时设置的优化1.1.设置设置HostnameLookupsHostnameLookups选项选项v可使用限制DNS查询的使用范围的方法，让DNS查询只发生在符合条件的请求中被执行。下面的例子使主机名的查询只发生在.html和.cgi文件的请求中：vHostnameLookups offvvHostnameLookups onv 计算机网络管理理论与实践教程设置设置FollowSymLinksFollowSymLinks和和SymLinksIfOwnerMatchSymLinksIfOwnerMatch选项选项v如果在任意一个URL空间里没有指定Follo

191、wSymLinks选项，或者指定了SymLinksIfOwnerMatch选项，那么Apache将执行额外的系统调用来检查每个文件的符号链接。例如：vDocumentRoot /www/htdocsvvOptions SymLinksIfOwnerMatchv 计算机网络管理理论与实践教程v当Apache HTTP Server接收到一个对index.html文件的请求时，Apache将在/www、/www/htdocs、/www/htdocs/index.html等路径里执行系统调用lstat。因为系统调用lstat的结果不做缓存，所以在每一个请求时都要发生这些调用。如果确实需要对符号链接做

192、安全性检测，可以做如下的设置：vDocumentRoot /www/htdocsvvOptions FollowSymLinksvvvOptions -FollowSymLinks +SymLinksIfOwnerMatchv 计算机网络管理理论与实践教程设置设置AllowOverrideAllowOverride选项选项v由于AllowOverride None的设置，使得Apache服务器不需要查看根目录下的访问控制文件，也不需要查看以下各级目录下的访问控制文件，直至httpd.conf中为某个目录指定了允许Alloworride，即允许查看访问控制文件。由于Apache对目录访问控制是采

193、用的继承方式，如果从根目录就允许查看访问控制文件，那么 Apache就必须逐级地查看访问控制文件，对系统性能会造成影响。而缺省关闭了根目录的这个特性，就使得Apache从httpd.conf中具体指定的目录向下搜寻，减少了搜寻的级数，增加了系统性能。因此对于系统根目录设置AllowOverride None不但对于系统安全有帮助，也有益于系统性能。 例如：vDocumentRoot /www/htdocsvvAllowOverride nonev 计算机网络管理理论与实践教程与进程创建有关参数的设置与进程创建有关参数的设置v在使用子进程处理HTTP请求的Web服务器上，常用的方式是一个子进程为

194、一次连接服务，这样造成的问题就是每次连接都需要生成、退出子进程的系统操作，使得这些额外的处理过程占据了计算机的大量处理能力。Apache HTTP Server使用了一个特殊技术来解决这个问题，这就是预先生成多个空余的子进程驻留在系统中，一旦有请求出现，就立即使用这些空余的子进程进行处理，这样就不存在生成子进程造成的延迟了。在运行中随着客户请求的增多，启动的子进程会随之增多，这些子进程副本在处理完一次HTTP请求之后并不立即退出，而是停留在系统中等待下一次服务请求，一个子进程可以为多次连接请求服务，这样就极大的提高了性能。计算机网络管理理论与实践教程编译时设置的优化编译时设置的优化1.1.选择

195、编译选择编译MPMMPM模块模块vMPM模块是平台相关的，对于Unix、Windows、BeOS、和NetWare有不同的解决方案，一些平台有不止一个方案可以选择。Apache 2.0配置流程中最重要的决策是决定运行哪种MPM。当从源代码进行编译时，管理员必须在配置过程中选择MPM并把它编译到服务器中。由于UNIX上的某些MPM使用线程，而某些MPM不使用线程，如果管理员在配置期间选择了适当的MPM并把它编译到Apache中，Apache将能更好地运行 。计算机网络管理理论与实践教程v进入httpd-2.0.45目录，运行以下命令，查看可选择的MPM类型：v$./configure -help

196、|grep mpmv-with-mpm=MPMvChoose the process model for Apache to use.vMPM=beos|worker|prefork|mpmt_os2| perchild|leader|threadpool 计算机网络管理理论与实践教程v从返回的帮助信息可以看到，Apache HTTP Server目前支持的MPM包括：beos、worker、prefork、mpmt_os2、perchildBeos、leader和threadpool。beos是BeOS操作系统上缺省的MPM；mpmt_os2是OS/2上缺省的MPM；perchild主要设计

197、目的是以不同的用户和组的身份来运行不同的子进程；leader和threadpool都是基于worker的变体，还处于实验性阶段。v管理员通过在运行configure脚本程序时包括自变量-with-mpm=NAME 来规定把MPM编译到服务器中，其中NAME是希望采用的MPM的名称。计算机网络管理理论与实践教程preforkprefork的工作原理及配置的工作原理及配置v若使用prefork，在make编译和 make install安装后，查看缺省生成的httpd.conf配置文件，里面包含如下配置段：vvStartServers 5vMinSpareServers 5vMaxSpareSer

198、vers 10vMaxClients 150vMaxRequestsPerChild 0v vMaxClients是设定的是Apache可以同时处理的请求，是对Apache性能影响最大的参数。如果请求总数已达到这个值，那么后面的请求就要排队，直到某个已处理请求完毕。系统管理员可以根据硬件配置和负载情况来动态调整这个值。计算机网络管理理论与实践教程worker的工作原理及配置 vworker是支持多线程和多进程混合模型的MPM。由于使用线程来处理，所以可以处理相对多的请求，而系统资源的开销要小于基于进程的服务器。worke也使用了多进程，每个进程又生成多个线程，以获得基于进程服务器的稳定性。vw

199、orker的工作原理是，由主控制进程生成“StartServers”个子进程，每个子进程中包含固定的ThreadsPerChild线程数，各个线程独立地处理请求。同样，为了不在请求到来时再生成线程，MinSpareThreads和MaxSpareThreads设置了最少和最多的空闲线程数；而MaxClients设置了所有子进程中的线程总数。如果现有子进程中的线程总数不能满足负载，控制进程将派生新的子进程。计算机网络管理理论与实践教程v在configure -with-mpm=worker后，进行make编译、make install安装。在缺省生成的httpd.conf中有以下配置段：vvSt

200、artServers 2vMaxClients 150vMinSpareThreads 25vMaxSpareThreads 75vThreadsPerChild 25vMaxRequestsPerChild 0v vworker模式下所能同时处理的请求总数是由子进程总数乘以ThreadsPerChild值决定的，应该大于等于MaxClients。如果负载很大，现有的子进程数不能满足时，控制进程会派生新的子进程。计算机网络管理理论与实践教程本章小结本章小结v性能管理包括性能数据的采集和系统性能的优化两个主要部分。本章给出了使用MRTG监测网络流量、使用netperf测试网络性能、分析Linux

201、操作系统性能、使用Web Application Stress Tool测试HTTP服务器性能、使用Apache Bench测试HTTP服务器性能等采集性能数据的案例，也给出了优化Linux操作系统性能、优化Apache HTTP服务器性能的案例。这些案例可以加深读者对网络性能管理基本概念的理解，为实际工作提供参考和帮助。计算机网络管理理论与实践教程练习与思考练习与思考安装、配置MRTG软件，监测网络流量。安装、配置netperf软件，测试网络性能。使用sar命令对Linux操作系统性能进行分析。简述对Linux操作系统性能进行优化的方案。练习对Linux操作系统性能进行优化。使用Web Ap

202、plication Stress Tool对HTTP服务器进行性能测试。使用Apache Bench对HTTP服务器进行性能测试。简述影响WEB服务器性能的几种因素。练习对Apache HTTP服务器性能进行优化。计算机网络管理理论与实践教程 第第1111章网络安全管理理论与技术章网络安全管理理论与技术1.1.网络安全管理概述网络安全管理概述1.1.网络安全现状分析网络安全现状分析v随着信息化建设进展，网络已经成为支撑许多行业开展业务的基础平台,网络安全将直接影响到业务正常运转，甚至关系到国家安全和社会稳定。目前，网络要面临着不同动机的威胁者，承受不同类型的攻击。根据威胁主体的自然属性，主要包

203、括自然威胁和人为威胁。自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。人为威胁分为：v盗窃类型的威胁，如偷窃设备、窃取数据、盗用计算资源等。v破坏类型的威胁，如破坏设备、破坏数据文件、引入恶意代码等。v处理类型的威胁，如插入假的输入、隐瞒某个输出、电子欺骗、非授权改变文件、修改程序和更改设备配置等。v操作错误和疏忽类型的威胁，如数据文件的误删除、误存和误改、磁盘误操作等。v 计算机网络管理理论与实践教程 按照威胁对象来分类按照威胁对象来分类 网络管理威胁网络管理威胁网络服务威胁网络服务威胁网络通信威胁网络通信威胁物理安全威胁物理安全威胁计算机网络管理理论与实践教程网络攻击典型手段网络

204、攻击典型手段v1.端口扫描 v2.口令破解v3.缓冲区溢出 v4.恶意代码 v5.网站钓鱼 v6.拒绝服务v7.网络嗅探 v8.SQL注入攻击v9.社交工程方法（SocialEngineering） v10.会话劫持v11.漏洞扫描计算机网络管理理论与实践教程网络安全管理概念网络安全管理概念v网络安全管理是网络管理重要组成部分之一，网络安全管理是指通过一定安全技术措施和管理手段，确保网络资源的保密性、可用性、完整性、可控制性、抗抵赖性，不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害，而导致网络中断、信息泄露或破坏。下面分别解释一下五个基本安全属性概念：计算机网络管理理

205、论与实践教程机密性机密性完整性完整性可用性可用性可控性可控性抗抵赖性抗抵赖性网络安全管理网络安全管理基本安全属性计算机网络管理理论与实践教程网络安全管理目标 v网络安全管理目标就是通过适当的安全防范措施，确保网络系统中的资源五个基本安全属性(机密性、完整性、可用性、抗抵赖性、可控性)得到保证实现，以满足网上业务开展的安全要求。计算机网络管理理论与实践教程网络安全管理内容网络安全管理内容v网络安全管理涉及到内容有许多，从技术层面上分析，网络安全管理涉及到风险评估、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测、应急响应等安全技术；从管理层面上分析，网络安全管理涉及到安全组织架

206、构、安全管理制度、安全操作流程、人员培训和考核等；从管理对象上分析，网络安全管理涉及到网络物理环境、网络通信线路和设备、网络操作系统、网络应用服务、网络操作、以及人员。计算机网络管理理论与实践教程网络安全管理要素 v网络安全管理主要要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。由于网络管理对象自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。网络安全管理实际上就是风险控制，其基本过程是通过对网络管理对象的威胁和脆弱性进行分析，确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度，从而确定网络管理对象的风险等级，然后是根据网络

207、管理对象的风险等级，选取合适的安全保护措施，降低网络管理对象的风险。网络安全管理主要要素之间相互关系如图 111所示。计算机网络管理理论与实践教程计算机网络管理理论与实践教程网络安全管理对象网络安全管理对象v网络安全管理对象是企业、机构直接赋予了价值而需要保护的资产。它存在形式有形的和无形的，如网络设备硬件、软件文档是有形的，而服务质量、网络带宽则是无形的。常见网络安全管理对象分类如表 111所示。v计算机 存储设备 网络设备 通信线路 安全设备或系统 网管信息 软件 应用数据 计算机网络管理理论与实践教程网络安全技术发展网络安全技术发展v总的来说，网络信息安全领域发展是快速的，随着IT新技术

208、的出现和攻击手段变化，信息安全新思想、新概念、新方法、新技术、新产品将不断涌现。根据我们自己所掌握的信息分析，未来信息安全技术发展动向具有以下特点：v网络安全管理信息技术由单一安全产品向安全管理平台转变v信息安全技术发展从静态、被动向动态、主动方向转变v信息安全防护从基于特征向基于行为转变v内部网信息安全技术得到重视发展v信息安全机制构造趋向组件化v信息安全管理由粗放型向量化型转变 v软件安全日趋重要，其安全工程方法及相关产品将会快速发展v面向SOA的安全相关技术和产品将会快速发展计算机网络管理理论与实践教程网络安全管理组织与安全策略网络安全管理组织与安全策略1.1.网络安全组织网络安全组织v

209、一个理想的网络信息安全组织由信息安全领导层、信息安全管理层、信息安全执行层、信息安全外部顾问组，如图 112所示。信息安全领导层信息安全管理层信息安全顾问组信息安全执行层计算机网络管理理论与实践教程人事管理安全人事管理安全v对人员安全进行有效的管理是信息网络安全的基石，必须采取相应的安全管理措施来实现，主要包括以下几个方面：v录用审查v教育培训v持证上岗v安全考核v签订保密协议v权限分散控制v授权最小化v离岗控制v人员换岗v多人负责，人员互备份计算机网络管理理论与实践教程网络安全策略网络安全策略v通常情况下，一个安全策略文件应具备以下内容：v违规处理v有效期v所有者v责任v参考文件v策略主体内

210、容v复查v涉及范围计算机网络管理理论与实践教程网络安全管理基本方法网络安全管理基本方法管理方法管理方法系统化管理方法应急响应管理方法生命周期的管理方法层次化和协作式管理方法风险评估与控制方法动态管理方法计算机网络管理理论与实践教程网络安全管理基本流程网络安全管理基本流程v第一步，分析网络系统的业务需求v第二步，根据网络系统的业务安全求，制定合适的安全策略。v第三步，明确网络管理的范围v第四步，在所管辖的网络范围内，进行网络安全风险评估v第五步，根据网络系统资产的价值和风险级别，设计适当的安全机制，选择风险控制的目标，实现风险控制管理。v第六步，制定相应网络安全管理制度、操作规程以及法律声明。v

211、第七步，运行网络安全风险控制系统，监测网络系统的风险变化。v第八步，根据网络安全风险控制系统的运行效果，及时调整网络风险管理控制措施。计算机网络管理理论与实践教程v 网络安全风险管理系统维护确定网络安全策略明确网络安全管理范围实施网络安全风险评估网络安全风险控制管理制定网络安全管理相关声明明确网络系统业务需求网络安全风险管理系统运行计算机网络管理理论与实践教程网络安全管理应急响应流程网络安全管理应急响应流程Title第二步，安全事件确认第一步，安全事件报警第三步，启动应急预案第四步，安全事件处理第六步，应急工作总结第五步，撰写安全事件报告计算机网络管理理论与实践教程网络安全管理相关技术网络安全

212、管理相关技术1.1.加密技术加密技术v数据加解密技术是信息安全保护重要技术之一，它涉及到密码学和密码分析学。v其中，各密码体制有其自己的特点，分别阐述如下。 1.私钥密码体制2.2.公钥密码体制公钥密码体制3.3.混合密码体制混合密码体制计算机网络管理理论与实践教程加密安全工具 vSSHvPGPvOpen SSL计算机网络管理理论与实践教程系统安全增强方法系统安全系统安全停止服务和卸载软件安全漏洞打补丁升级或更换程序安装专用的安全工具软件修改配置或权限去除特洛伊等恶意程序计算机网络管理理论与实践教程WindowsWindows系统安全增强基本流程系统安全增强基本流程v确认系统安全增强的安全目标

213、和系统的业务用途v安装最小化的操作系统v安装最新系统补丁v配置安装的系统服务v配置安全策略v慎用NetBIOSv账户安全配置v文件系统安全配置v配置TCP/IP筛选和ICFv用光盘或软盘启动v安装第三方防护软件v使用屏幕保护口令v设置应用软件安全计算机网络管理理论与实践教程UNIX/LinuxUNIX/Linux系统安全增强基本流程系统安全增强基本流程计算机网络管理理论与实践教程认证技术认证技术v鉴别是对实体身份的真实性进行识别，鉴别的依据是用户所拥有的特殊信息或实物，这些信息是秘密的，其它用户都不能拥有。v认证是一个实体向另外一个实体证明了某种所声称的属性过程。认证由两个部分组成：一是标识（

214、identification）；二是鉴别（authentication）。标识是用来代表实体的身份，确保实体在系统中的唯一性和可辨认性，一般用名称和标识符（ID）来表示。计算机网络管理理论与实践教程认证技术认证技术v常用的鉴别信息有主要有四种：v所知道的秘密，如用户口令、PIN (Personal Identification Number)。v所拥有的实物，一般是不可伪造的设备，如智能卡、磁卡等。v生物特征信息，如指纹、声音、视网膜等。v上下文信息，就是认证实体所处的环境信息、地理位置、时间等，例如IP地址等。v在网络中，认证的主要目的有三方面：v验证网络资源的访问者的身份，给网络系统访问授

215、权提供支持服务。v验证网络信息的发送者和接收者的真实性，防止假冒。v验证网络信息的完整性，防止篡改、重放或延迟。计算机网络管理理论与实践教程认证技术认证技术Title接入认证接入认证口令认证口令认证基于生物特征认证基于生物特征认证单点登陆单点登陆智能卡智能卡/USB认证认证PKI/数字证书数字证书计算机网络管理理论与实践教程防火墙技术防火墙技术v防火墙是由一些软硬件组合而成的网络访问控制系统，它根据一定安全规则来控制流过防火墙的网络包，如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障作用。防火墙一般用来将内部网络与Internet或者其它外部网络互相隔离、限

216、制网络互访，保护内部网络的安全，如图 115所示。计算机网络管理理论与实践教程 防火墙的功能 网络带宽控制网络访问审计限制网络访问过滤非安全网络访问计算机网络管理理论与实践教程包过滤包过滤v包过滤是在IP层实现的防火墙技术，包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。 计算机网络管理理论与实践教程应用服务代理应用服务代理v应用服务代理防火墙扮演受保护网内部网主机和外部网主机的网络通信连接“中间人”角色，代理防火墙代替受保护网的主机向外部网发送服务请求，并将外部服务请求响应的结果返回给受保护网的主机，如图 116所示。接收代理服务请求读取代理

217、服务安全策略代理服务是否需要认证？执行代理服务认证认证是 否通过？响应代理服务请求代理服务处理是否完成？ 否结束？结束等待代理服务请求计算机网络管理理论与实践教程外网外网服务器代理服务器内部网客户代理计算机网络管理理论与实践教程应用服务代理技术的优点Add Your TextAdd Your TextAdd Your TextAdd Your TextAdd Your TextAdd Your TextAdd Your TextAdd Your Text不允许外部主机直接访问内部主机支持多种用户认证方案可以分析数据包内部的应用命令可以提供详细的审计记录计算机网络管理理论与实践教程应用服务代理技

218、术的缺点速度比包过滤慢速度比包过滤慢对用户不透明对用户不透明v与特定应用协议相关联，代理服务器与特定应用协议相关联，代理服务器v并不能支持所有的网络协议并不能支持所有的网络协议 应用服务代理技术的缺点 计算机网络管理理论与实践教程网络地址转换网络地址转换vNAT是“Network Address Translation”的英文缩写，中文的意思是“网络地址转换”。NAT技术主要为了解决公开地址不足而出现，它可以缓解了少量因特网IP地址和大量主机之间的矛盾，但NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高了内部网络的安全性。 计算机网

219、络管理理论与实践教程漏洞扫描漏洞扫描v典型漏洞扫描软件 vCOPS(Computer Oracle and Password System)vNessusvSAINTvX-scanvNmapvWhisker计算机网络管理理论与实践教程安全风险评估安全风险评估v网络安全风险评估（简称“网络风险评估”）就是指依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程，评估内容涉及到网络系统的脆弱性、网络安全威胁以及脆弱性被威胁源利用后所造成的实际影响，并根据安全事件发生的可能性影响大小来确认的网络安全风险等级。简单地说，网络风险评估就是指特定威胁利用网络

220、资产的脆弱性，造成网络资产损失或破坏的潜在可能性。 计算机网络管理理论与实践教程IDSIDS工作原理工作原理v入侵检测是一种用于发现信息网络中攻击行为的安全技术。具有入侵检测功能的系统称为入侵检测系统，简称IDS。入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或违背安全策略的行为，其作用表现为以下几个方面：v发现受保护系统中入侵行为或异常行为。v检验安全保护措施的有效性。v分析受保护系统的所面临的威胁。v有利于阻止安全事件扩大，及时报警触发网络安全应急响应。v可以为网络安全策略制定提供重

221、要指导。v报警信息可用作网络犯罪取证。计算机网络管理理论与实践教程IDSIDS一般组成一般组成v一个入侵检测系统主要由以下功能模块组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。 配置系统库数据采集入侵检测器应急措施攻击模式库审计记录/协议数据等报警系统操作安全控制系统计算机网络管理理论与实践教程IDSIDS类型类型v根据IDS的检测数据来源，IDS可以分为三大类，第一类是基于主机入侵检测系统（简称HIDS），即HIDS通过分析主机的信息来检测入侵行为；v第二类是基于网络入侵检测系统（简称NIDS）NIDS通过获取网络通信中数据包，然后对这些数据包进行攻击特征

222、扫描或异常建模来发现入侵行为。v第三类是分布式入侵检测系统（简称DIDS），DIDS从多台主机、多个网段采集检测数据，或者是收集单个IDS的报警信息，然后根据收集到的信息进行综合分析，以发现入侵行为。计算机网络管理理论与实践教程IDSIDS检测方法检测方法vIDS主要技术方法两种：误用入侵检测和异常检测v误用入侵检测通常称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击,而这些基于漏洞攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为立即被检测到，如图 119所示。 攻击者攻击模式库模式匹配报警

223、计算机网络管理理论与实践教程v异常检测方法是指通过计算机或网络资源统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的阀值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象，如图 1110所示。计算机网络管理理论与实践教程开源代码开源代码IDSIDSvIDS成为网络管理员监控网络安全状况的有利工具，目前，互联网上有公开源代码的IDS，常用的IDS列举如下。vSWATCHvTripwirevsnort计算机网络管理理论与实践教程恶意代码恶意代码v恶意代码是一种能够违背计算机系统安全策略的程序代码，使得计算机系统信息泄漏、资源滥用、破坏系统的完整性及可用性。恶意代

224、码种类主要包括计算机病毒(Computer Virus)、蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹(Logic Bombs)、细菌(Bacteria)、恶意脚本(Malicious Scripts)和恶意ActiveX 控件、间谍软件（Spyware）等。典型的恶意代码有计算计算机病毒、网络蠕虫、特洛伊木马。恶意代码防护技术方法v要做好恶意代码防护，一方面组织管理上必须加强恶意代码的安全防范意识。v另一方面，通过安全技术措施手段来实现，主要恶意代码监测预警（安全通告、威胁报警、疫情发布等）、恶意代码预防(安装杀毒软件、安全加固、系统免疫、访问控制) 、检测恶意代码(

225、漏洞扫描、注册表查找) 、恶意代码应急响应 (恢复、备份、漏洞修补)。计算机网络管理理论与实践教程审计基本概念审计基本概念v审计是有关计算机系统中有关的活动记录和检查。 v审计系统主要有以下的作用： v对潜在的攻击者起到震慑或警告作用。 v对于已经发生的系统破坏行为提供有效的追纠证据。 v为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 v为系统管理员提供系统运行的统计日志，使系统管理员能够发现系统性能上的不足或需要改进与加强的地方。v从审计的对象来划分，主要分为操作系统的审计和网络的审计，此外还有设备的审计以及应用系统的审计。计算机网络管理理论与

226、实践教程操作系统审计操作系统审计v操作系统审计主要是针对一台主机系统中活动进行记录审计，操作系统的审计范围有限，只限于某台主机系统。审计事件一般分为两类：成功事件和失败事件。成功事件表示一个用户成功地获得了访问一种资源的权限，而失败事件则表明用户尝试过但失败了。失败事件对于跟踪企图攻击系统的行为非常有用。目前，商业操作系统都提供审计功能。以Windows2000为例，Windows2000可以审计的事件包括：账户登录事件、账户管理、目录服务访问、登录事件、对象访问、策略更改、特权使用、过程追踪、系统事件等。计算机网络管理理论与实践教程防止内部员工滥用网络资源防止来自互联网的病毒的攻击防止垃圾邮

227、件、垃圾信息在网络中扩散防止内部员工泄露工作机密互联网内容管理互联网内容管理协助管理协助管理员有效地员有效地调整网络调整网络性能性能计算机网络管理理论与实践教程VPNVPNvVPN是英文的virtual private network缩写，中文翻译为“虚拟专用网”，其基本技术原理是把需要经过公共网传递的报文（packet）做加密处理后，然后再由公共网络发送到目的地。利用VPN技术能够在不可信任的公共网络上构建了一条专用的安全通道，经过VPN传输的数据在公共网上具有保密性，如图 1111所示。 因特网VPN公司分支机构VPN公司分支机构VPN公司总部计算机网络管理理论与实践教程网闸网闸v网闸通过

228、利用一种GAP技术(源于英文的“Air Gap”) ，使两个或者两个以上的网络在不连通的情况下，实现它们之间安全数据交换和共享。其技术原理是一个具有控制功能的开关读写存储安全设备，通过开关的设置来连接或切断两个独立主机系统的数据交换，如图 1112所示。v 计算机网络管理理论与实践教程网络安全管理相关标准与规范网络安全管理相关标准与规范1.1.标准与规范概述标准与规范概述v为了对现有计算机系统或网络系统提供安全评估依据和指导安全管理，各国政府先后制定和颁发了一系列有关信息安全标准，包括技术性标准、管理性标准或行业性标准。历史上第一个计算机安全评价标准由美国国防部于1983年制定，该标准是可信计

229、算机系统评测准则（Trusted Computer System Evaluation Criteria，TCSEC），简称TCSEC。TCSEC带动了国际上计算机安全评测的研究，德国、英国、加拿大、西欧四国等纷纷制定了各自的计算机系统评价标准。近年来，我国也制定了系列信息安全方面标准，主要包括：v国家标准GB17859-1999计算机信息系统安全保护等级划分准则vGB/T183362001信息技术 安全技术 信息技术安全性评估准则v国家标准GB93611988计算站场地安全要求v国家标准GB28872000电子计算机场地通用规范v国家标准GB501741993电子计算机机房设计规范 计算机网

230、络管理理论与实践教程TCSEC TCSEC vTCSEC是美国国防部根据国防信息系统的保密需求制定的，首次公布于1983年。由于它使用了橘色书皮，所以通常被称为橘皮书。1985年，TCSEC再次修改后发布，然后一直沿用至今。TCSEC在用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通路建立、安全检测、生命周期保障、文档写作等各方面提出了规范性要求。根据系统所采用的安全策略和所具备的安全功能，TCSEC将系统划分为A、B、C、D四种类型和7个安全级别。其中A代表安全性最高的系统。 计算机网络管理理论与实践教程GB17859GB17859v1999年10月19日，中国国家技术监督局发布

231、了中华人民共和国国家标准计算机信息系统安全保护等级划分准则，简称GB17859-1999。GB17859-1999基本上是参照美国TCSEC制定的，将计算机信息系统安全保护能力划分为5个等级，计算机信息系统安全保护能力随着安全保护等级增大而逐渐增强，其中第五级是最高安全等级。GB17859-1999各级别分别定义如下：v第一级：用户自主保护级。v第二级：系统审计保护级。v第三级：安全标记保护级。v第四级：结构化保护级。v第五级：访问验证保护级。计算机网络管理理论与实践教程CCCC标准标准vCC标准是美国同加拿大以及欧共体国家一起制定的通用安全评价准则（Common Criteria for I

232、T Security Evaluation，CC），1996年1月发布了CC的1.0版，1997年8月颁布了CC的2.0版。1999年7月CC标准通过国际标准组织认可，被确立为国际标准，即ISO/IEC 15408。CC标准吸收了各国制订信息系统安全评测标准的经验，将会对信息安全系统和产品的研究、应用与评测带来重大影响。它的基础是欧洲的ITSEC、美国的TCSEC、加拿大的CTCPEC，以及国际标准化组织ISO SC27 WG3的安全评价标准。1999年7月，国际标准化组织ISO将CC 2.0作为国际标准ISO/IEC 15408公布。CC标准提出了“保护轮廓”，将评估过程分为“功能”和“保证

233、”两部分，是目前最全面的信息技术安全评估标准。 计算机网络管理理论与实践教程vCC由三部分组成，v简介和一般模型v安全功能要求v安全保证要求计算机网络管理理论与实践教程BS7799BS7799vBS7799标准是由英国标准协会（BSI）制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，标准由两部分组成：vBS7799-1：1999信息安全管理实施细则vBS7799-2：1999信息安全管理体系规范计算机网络管理理论与实践教程信息安全等级保护管理办法信息安全等级保护管理办法第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级计算机网络管理理论

234、与实践教程本章小结本章小结v在本章中，我们首先对网络安全管理问题和典型网络攻击手段进行归纳分析，给出网络安全管理概念以及管理目标、管理内容、管理对象等。然后介绍了网络安全组织、人事安管理安全和网络安全策略、网络安全管理方法和流程。对于网络安全管理常用的安全技术，本章做了重点介绍，其内容包括安全风险评估、安全增强、身份认证、数据加解密、入侵检测、漏洞扫描、恶意代码防护、网闸、VPN、应急响应等。最后，本章讨论网络安全相关标准和规范内容。计算机网络管理理论与实践教程练习与思考练习与思考v简述一下网络安全现状和存在的问题。v网络安全目标和功能是什么？v网络安全基本技术有哪些？v典型网络攻击手段有哪些

235、？v网络安全管理有哪些管理方法？网络安全管理包含哪几个步骤？管理遵循的标准和规范有哪些？v网络安全管理相关标准与规范有哪些？各自主要内容是什么？v收集整理典型的计算机病毒、网络蠕虫、特洛伊木马等恶意代码特征信息。试比较分析计算机病毒、特洛伊木马和网络蠕虫区别。v收集整理防范计算机病毒、网络蠕虫、特洛伊木马等恶意代码安全措施及主流解决方案。v什么是应急响应？响应流程是什么？有哪些典型的应急响应工具？计算机网络管理理论与实践教程第第1212章章 网络安全管理典型案例网络安全管理典型案例v计算机病毒安全管理 v具体来说，企业管理者对网络防毒方面应该重点考虑以下几个方面：v病毒查杀能力v对新病毒的反应

236、能力v病毒实时监测能力v快速、方便的升级v智能安装、远程识别v管理方便，易于操作v对现有资源的占用v系统兼容性v软件的价格v软件商的实力 计算机网络管理理论与实践教程防毒产品选购指标 v内存解毒v查解变体代码机和病毒制造机v虚拟机技术v未知病毒预测v在线监控、实时解毒v病毒源跟踪v压缩还原技术v包裹还原技术v应急恢复vVxd和VDD技术v查解Trojan（特洛伊木马v查解Java病毒v查解宏病毒v多平台支持v网络反病毒v其它v智能升级v检测病毒数量计算机网络管理理论与实践教程防毒产品选介防毒产品选介1234 江民江民 瑞星瑞星金山毒霸金山毒霸北信源北信源计算机网络管理理论与实践教程防病毒部署典

237、型案例防病毒部署典型案例 1.基于单机病毒防护 2.基于网络病毒防护计算机网络管理理论与实践教程v3.基于网络分级病毒防护基于网络分级病毒防护计算机网络管理理论与实践教程 基于网关级防护 基于邮件网关病毒防护计算机网络管理理论与实践教程防火墙防火墙1.1.防火墙部署基本步骤防火墙部署基本步骤v第一步，根据组织或公司的安全策略要求，将网络划分成若干安全区域。v第二步，在安全区域之间设置针对网络通信的访问控制点。v第三步，针对不同访问控制点的通信业务需求，制定相应的边界安全策略。v第四步，依据控制点的边界安全策略，采用合适的防火墙技术和防范结构。v第五步，在防火墙上，配置实现对应的边界安全策略。v

238、第六步，测试验证边界安全策略是否正常执行。v第七步，运行和维护防火墙。计算机网络管理理论与实践教程企业、政府纵向网络中防火墙的部署 总部互联网分支机构分支机构计算机网络管理理论与实践教程内部网络安全防护中防火墙的部署内部网络安全防护中防火墙的部署互联网/外网内部网计算机网络管理理论与实践教程高可靠性网络中防火墙部署高可靠性网络中防火墙部署互联网/外网计算机网络管理理论与实践教程防火墙防火墙iptablesiptables配置案例配置案例互联网WWWeth0: 198.199.37.254eth1: 198.199.37.254计算机网络管理理论与实践教程互联网内容管理需求分析互联网内容管理需求

239、分析v典型的因互联网使用不当导致的安全问题如下：v互联网的不合理使用，导致学生学习效率下降v互联网上充斥着恶意软件，给网络带来安全风险v互联网资源的非法使用，可能会给学校或组织带来法律风险v互联网资源的不公平使用，会对现有的网络带宽造成严重影响计算机网络管理理论与实践教程互联网内容管理基本流程互联网内容管理基本流程v针对组织中不同的网络访问者，制订互联网访问控制策略。例如，网络流量大小规则、Web站点访问规则、网络应用服务类型控制、网页浏览内容限制规则、邮件内容访问限制。v选择合适的安全设备来实施互联网访问控制策略。v部署互联网访问控制设备，配置实现互联网访问控制策略。v监控互联网访问控制设备

240、运行状态，更新安全策略。计算机网络管理理论与实践教程互联网内容管理案例互联网内容管理案例计算机网络管理理论与实践教程网络入侵管理网络入侵管理1.1.IDSIDS部署基本步骤部署基本步骤v第一步，根据组织或公司的安全策略要求，确定IDS要监测对象或保护网段。v第二步，在监测对象或保护网段，安装IDS探测器，采集网络入侵检测所需要的信息。v第三步，针对监测对象或保护网段的安全需求，制定相应的检测策略。v第四步，依据检测策略，选用合适的IDS结构类型。v第五步，在IDS上，配置入侵检测规则。v第六步，测试验证IDS的安全策略是否正常执行。v第七步，运行和维护IDS。计算机网络管理理论与实践教程HID

241、SHIDS典型部署案例典型部署案例vHIDS分布式应用vHIDS单机应用HIDS管理中心HIDS 探测器HIDS 探测器计算机网络管理理论与实践教程NIDSNIDS典型部署案例典型部署案例v检测内部网入侵行为计算机网络管理理论与实践教程v外部威胁监测与识别计算机网络管理理论与实践教程漏洞安全管理漏洞安全管理1.1.漏洞管理基本需求漏洞管理基本需求v安全漏洞扫描，找到有漏洞的软件或计算机。v安全漏洞修补，将已有漏洞的软件打补丁。v安全漏洞预防，避免安装有漏洞的软件包。v漏洞信息自动管理，能够搜集漏洞和补丁信息，对有漏洞的机器进行补丁自动更新。计算机网络管理理论与实践教程 WindowsWindo

242、ws系统漏洞扫描案例系统漏洞扫描案例v第一步，网络管理员从网络下载具有RPC漏洞扫描功能软件retinarpcdcom。第二步，网络管理员把retinarpcdcom.exe安装到管理机上。v第三步，网络管理员运行retinarpcdcom.exe。v第四步，网络管理员输入Windows服务器IP地址。v第五步，网络管理员查看扫描结果，如图 1213所示 计算机网络管理理论与实践教程计算机网络管理理论与实践教程CGICGI漏洞扫描案例漏洞扫描案例v第一步，网络管理员从网络下载具有CGI漏洞扫描功能软件TWWWSACN。v第二步，网络管理员把TWWWSACN安装到管理机上。v第三步，网络管理员运

243、行TWWWSACN。v第四步，网络管理员输入Windows服务器IP地址。v第五步，网络管理员查看扫描结果，如图 1214所示 计算机网络管理理论与实践教程本章小结 v在本章中，针对网络安全管典型问题，给出解决案例，主要包括计算机病毒安全管理、防火墙、互联网络内容管理、网络入侵、漏洞安全管理。计算机网络管理理论与实践教程练习与思考练习与思考v企业网中防毒典型需求有哪些？防病毒应采取哪些安全策略？防病毒产品主流技术有哪些？病毒的防护模式主要有哪些？v安装一个商业防病毒软件，并做病毒库更新维护、杀毒等操作。v绘制企业网络环境中计算机病毒传播链“地图”。调查目前企业中防病毒解决方案。收集防病毒招标书

244、资料，针对标书给出防病毒解决方案。v防火墙和IDS的各自功能是什么？它们有什么区别？调查市场上的防火墙/IDS产品，给出选购技术参数指标。v设计防火墙/IDS部署方案一般需要经过哪个步骤？针对企业办公需要互联网，请给出防火墙/IDS部署方案。v针对校园网络内容安全，请给出安全解决方案。v网络管理员如何增强Windows、Linux的系统安全性？v从网上下载开源的Open SSL软件包，增强Apache WEB服务器和浏览器的安全通信。v在Unix/Linux中，安装SSH软件包，掌握其使用方法。计算机网络管理理论与实践教程 第第1313章章 网络计费管理网络计费管理1.1.网络计费管理的功能网

245、络计费管理的功能v制定计费策略v收集计费信息v计算用户账单和收取费用计算机网络管理理论与实践教程设备成本通讯成本场地成本其它成本人员成本网络的投资成本计算机网络管理理论与实践教程 基于网络流量计费基于使用时间计费基于网络服务计费通信费大致分为 三种计费方式计算机网络管理理论与实践教程收集计费信息收集计费信息v计费管理的关键是计费信息的收集。对不同的网络应用，计费信息的收集方法也是不一样的。一般来说，资源访问的计费信息格式如下：用户名、来源、访问开始时间、访问终止时间、服务类型、服务量。这些是计费管理中的主要信息。当然也有些其他类型的网络服务的计费信息不是这样的，但一般来说要更加简单一些。计算机

246、网络管理理论与实践教程网络流量的数据采集网络流量的数据采集v基于网络流量的计费中，计费信息采集主要是获取网络上所有IP协议数据包，分析其包头数据，提取源IP地址、目的地址、数据包大小、数据协议类型等有关数据，并将它插入到数据库中。用户信息和计费策略输入则是由网络管理员根据实际情况和单位的计费策略将网络用户的有关信息和计费策略信息输入到数据库或配置文件中。计费应用根据数据库中的信息，向网络管理员和网络用户提供各种统计应用，查询网络使用情况、用户交费信息等。TCP/IP网络流量的采集方式包括基于网络监听技术的采集方法、基于路由器IP数据包统计的采集方法和基于代理服务器的流量统计的采集方法等。 计算

247、机网络管理理论与实践教程基于以太局域网监听技术的流量数据采基于以太局域网监听技术的流量数据采集方法集方法计算机网络管理理论与实践教程 以太网网卡的工作方式 v混杂模式v直接方式组播方式广播方式计算机网络管理理论与实践教程基于路由器基于路由器IPIP数据包统计的流量数据采数据包统计的流量数据采集方法集方法计算机网络管理理论与实践教程v依据路由器的IP数据包统计功能来实现网络流量统计的技术具有以下特点v统计数据有效而准确v基于标准的SNMP方法实现，从而在数据采集手段上与其他网络管理功能保持一致。v计费服务器不受地点限制。计算机网络管理理论与实践教程基于代理服务器的流量数据采集方法基于代理服务器的

248、流量数据采集方法v代理服务器为每个用户分给一个帐户和密码。用户只有通过授权认证后才能使用代理，当用户通过代理服务器访问Internet时，代理服务器记录用户的IP地址、帐户、请求时间、URL、信息长度等详细数据，然后定期进行分类统计和记账。计算机网络管理理论与实践教程基于访问日志的事后流量计费基于访问日志的事后流量计费v基于访问日志的事后流量计费的方法是以IP为单位将访问记录实时存储下来，定时对此记录信息进行分析统计，得出最终的流量费用。此方法对于存储和运算的要求异常的高。比如对于100M的出口流量，每个小时大约会有200M左右的访问日志将被存储下来，每天就会有 4.8G的数据。每天分析4.8

249、G的数据对于服务器压力非常大。除此之外，只能对IP地址进行流量计费，不支持对用户的流量计费。计算机网络管理理论与实践教程用户的认证与管理用户的认证与管理1.1.用户认证与管理的方式用户认证与管理的方式1.1.基于基于DHCP+WebDHCP+Web的用户管理的用户管理v基于DHCP+Web的用户管理是在接入服务器内部运行一个DHCP服务器，然后客户端采用DHCP来随机获得一个内部IP地址，用户每次上网先登入内部网络，然后输入管理员分配的用户和密码。用户和密码经过系统认证通过之后，系统将记录相关的信息，并且为用户开通。用户如果不想再继续使用本网络就要登入主页，然后选择下网，系统会自动记录，并关闭

250、该用户。计算机网络管理理论与实践教程无认证基于固定地址用户管理无认证基于固定地址用户管理v采用无认证方式的基于地址的用户管理方式是给每个用户分配一个固定的IP地址，宽带接入管理服务器进行集中管理。计算机网络管理理论与实践教程基于基于PPPOEPPPOE方式的用户管理方式的用户管理vPPPOE（Point to Point Protocol Over Ethernet）是一个点对点的协议。每个用户在进行系统登记的时候，必须运行一个客户端的程序，通过PPPOE协议的点对点方式进行虚拟拨号，然后进行认证，并且从系统随机取得用户所需要的IP地址、网关、DNS等参数，然后在用户中心进行认证和登记。vPP

251、POE客户端除了完成用户登记及用户连接检测之外，还实时控制用户是否中断。当用户连接生成后，PPPOE客户端程序起着监护程序的作用，如果与用户的连接发生中断就进行记录，在服务器端形成报告。计算机网络管理理论与实践教程基于基于SRAPSRAP用户认证管理用户认证管理vSRAP（Simple Remote Authentication Protocol）的认证方式和PPPOE方式一样，它也要求用户终端需安装一个支持SRAP协议的客户端程序。但是SRAP不仅能控制用户的网络访问，支持视频组播及所有宽带应用，而且支持基于宽带服务的认证和计费。vSRAP基于客户端/服务器结构，它包括三个阶段：初始化阶段、

252、认证阶段和连接断开阶段。 计算机网络管理理论与实践教程认证协议与机制 1.1.RADIUSRADIUS认证协议分析认证协议分析v远程拨号用户身份认证及计费服务RADIUS （Remote Authentication Dial-In User Service）最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一个通用的认证、计费协议，并定义于Internet特别工作组IETF提交的RFC2865和RFC2866文件中。RADIUS是一种基于客户端/服务器方式的安全认证协议，它是在IETF制定的分布式安检模式基础上开发的。RADIUS的客户方通

253、过它与RADIUS的服务方进行通信，以验证用户是否有权限获得相应的服务。计算机网络管理理论与实践教程RADIUSRADIUS协议的工作原理协议的工作原理vRADIUS是一种基于客户端/服务器结构的协议，它的客户端最初是访问服务器NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为认证服务器（Radius Server）的客户端。Radius Server是一个可以运行在UNIX、LINUX或Windows上的软件。它通过一个集中存放用户信息（包括用户ID及口令、访问权限等）的用户数据库来负责对用户的连接请求进行认证和授权。计算机网络管理理论与

254、实践教程计算机网络管理理论与实践教程RadiusRadius数据包的结构数据包的结构计算机网络管理理论与实践教程 Radius协议的认证方式协议的认证方式 远端Radius验证CHAP方式v远端Radius验证PAP方式本地NAS验证CHAP方式本地NAS验证PAP方式计算机网络管理理论与实践教程RADIUSRADIUS协议认证协商过程协议认证协商过程计算机网络管理理论与实践教程v1、用户发出登录请求（如PPPOE拨号登录），向NAS发送用户名、密码等认证信息。v2、NAS接收到用户的认证信息后，组装认证请求报文（Access-Request）。并根据用户所在的域把认证请求包发给相应的Radi

255、us服务器。v3、Radius服务器判断用户是否合法。如果合法，则向NAS发送认证通过响应（Access-Accept）；否则，Radius服务器向NAS发送拒绝响应Access-Reject）。v4、NAS接收到Access-Reject，拒绝用户的连接请求；NAS接收到Access-Accept响应后，从该响应数据包中解析出授权信息（可用时间、流量、接入速率控制等），并根据这些信息配置用户的权限，接通用户数据通路。v5、如果允许用户正常上线，NAS向Radius服务器发送实时计费请求报文（Accounting-Request Start）。v6、Radius服务器开始计费，并回送响应（Ac

256、counting-Response Start），以表示收到计费报文。如果Radius服务器连续几次没有收到实时计费请求，Radius服务器会认为用户已经离线。发送回应包终止用户计费。v7、用户发送注销请求。v8、NAS向Radius服务器发送计费结束请求（Accounting-Request Stop），其中包含用户连线时长、流量和数据包数量等信息。与登录请求时的计费请求包（Access-Request）不同之处在于其中包含了用户计费终止信息。v9、Radius服务器接收到后，验证用户名相关信息。如果正确就发送计费结束回应（Accounting -Response Stop）。v10、NAS

257、随即中止用户的连接。计算机网络管理理论与实践教程 RADIUS协议的特点协议的特点 对计费的良好支持多平台支持可扩展性良好的安全特性计算机网络管理理论与实践教程DiameterDiameter协议协议v一个良好的AAA协议必须具有如下特点：v协议必须对典型的信息和协同工作的需求进行明确的规定。v协议必须定义错误信息类别,并且可以正确地根据错误类别返回。错误信息类别必须覆盖所有的操作错误。v计费操作模型必须描述所有的上网方式。v协议必须能够在IP v6上正常运行。v协议应该能够在传输过程中正确处理拥塞问题。v支持代理。v与RADIUS兼容。v协议应该定义轻量级数据对象,以便于NAS实现。v协议应

258、该提供协议本身和数据模型的逻辑区别，并且支持更多的数据类型。v必须定义MIB，支持IP v4和IP v6操作。计算机网络管理理论与实践教程vDiameter用传输控制协议(TCP)和信令控制传输协议(SCTP)取代RADIUS的UDP通信机制，具备连接建立与终止、对等节点能力协商和错误通知等特征,并且可以采用IP 安全协议(IPsec)或者传输层安全(TLS)协议对连接加密。vDiameter协议兼容RADIUS，消息格式与RADIUS消息相近。Diameter头部包括版本、消息长度、命令标志、命令代码、应用代码、逐跳标志以及端到端标志域。头部之后是若干属性值对，携带的属性值对取决于消息的类型

259、。v完整的Diameter网络包括以下部分：v客户端：位于网络边缘执行访问控制的设备，例如NAS和移动代理。vDiameter服务器：处理认证、授权、计费请求。v中继服务器：不修改Diameter消息，仅根据消息中的内容决定转发的下一个节点。v代理服务器：对接收的Diameter消息作一定修改后转发到下一个节点。v重定向服务器：向发送节点返回路由信息，使之确定Diameter消息的接收节点。v协议转换器：完成Diameter与RADIUS或者其它协议之间的转换。计算机网络管理理论与实践教程本章小结本章小结v计费管理是网络管理的五大基本功能之一，它包括制定计费策略、收集计费信息、计算用户账单和收

260、取费用等功能。计费管理系统对于一个大型网络及至中、小型网络来说都是不可缺少的重要组成部分。本章主要讲述网络计费管理有关内容，首先介绍了网络计费管理的功能，对网络流量的数据采集方法进行了分类与归纳，分析用户认证与管理的方式，着重讨论了认证协议与认证机制。计算机网络管理理论与实践教程练习与思考练习与思考v网络计费管理有哪些功能？v制定计费策略时应考虑哪些因素？v有哪些网络流量的数据采集方法？v简述基于以太网监听技术的流量采集方法的原理。vSNMP中有哪些与计费有关的MIB变量。v有哪些用户认证与管理的方式？v简述RADIUS协议的工作原理。v简述RADIUS数据包的结构。v简述Diameter协议

261、与RADIUS协议的主要区别。计算机网络管理理论与实践教程第第1414章章 网络计费管理案例网络计费管理案例计算机网络管理理论与实践教程路由器路由器IPIP数据包统计方法的实现数据包统计方法的实现Cisco MIBCisco MIB中与计费相关的数据中与计费相关的数据对边界路由器进行配置对边界路由器进行配置网络流量数据采集的实现网络流量数据采集的实现网络流量数据的采集可分成以下几个步骤：设置采集数据时间间隔的定时器装入Cisco MIB清空检查点数据库，将活动数据库中的记录复制到检查点数据库，同时清空活动数据库从检查点数据库读取IP 流量将流量信息写入数据库中计算机网络管理理论与实践教程网络流

262、量数据采集的实现网络流量数据采集的实现Add Your TextAdd Your TextAdd Your TextAdd Your TextAdd Your TextAdd Your TextAdd Your TextAdd Your Text设置定时器设置定时器装入装入Cisco - MIB 库库数据读入前的清库准备工作数据读入前的清库准备工作从检查点数据库读取从检查点数据库读取IP流量流量计算机网络管理理论与实践教程LinuxLinux环境下环境下RadiusRadius服务器的安装服务器的安装1.1.安装安装FreeRADIUSFreeRADIUS2.2.配置配置FreeRADIUSF

263、reeRADIUS 1）配置服务器2 2）配置客户机）配置客户机3 3）配置用户的验证和配置信息）配置用户的验证和配置信息4 4）配置网络访问服务器）配置网络访问服务器计算机网络管理理论与实践教程园区网通用控制计费系统的设计与实现园区网通用控制计费系统的设计与实现1.运行环境计费系统包括计费网关、认证服务器、计费服务器、管理工作站几部分 2.系统软件结构计算机网络管理理论与实践教程服务器系统设计服务器系统设计1.1.内核内核IPIP转发部分转发部分2.认证服务器计算机网络管理理论与实践教程计费部分计费部分v计时器模块v记录处理模块v日处理模块v月处理模块v季度处理模块v年度处理模块v记录清理模

264、块1.查询、控制部分计算机网络管理理论与实践教程客户端设计客户端设计v客户端获得用户输入用户帐户、密码，完成身份验证过程。并且具有超时重发功能增加系统可靠性，客户端还具有定时向服务器发送心跳信号的功能这样在客户端崩溃一段时间以后认证服务器能够发现客户端崩溃从而终止该用户使用，加强了系统的健壮性。计算机网络管理理论与实践教程结论结论v网络收费是一个非常重要但又未能找到妥善解决方案的问题，其合理性、可靠性及安全性是用户非常关心的问题，本文就针对现存计费方式的不足，提出了一个新的解决方法，并且详细描述了一个系统的设计和实现。该系统具有如下特点：v安全性v通用性v易扩展性v灵活性计算机网络管理理论与实

265、践教程本章小结本章小结v计费管理的主要任务是根据管理部门制定的计费策略，对网络资源的使用情况收取相应的费用，分担网络运行成本。计费管理的关键是计费信息的收集。对不同的网络应用，计费信息的收集方法也是不一样的。本章给出了从Cisco路由器中读取有关网络流量的数据的实例，介绍了在Linux环境下安装Radius服务器的方法。 计算机网络管理理论与实践教程练习与思考练习与思考vCisco MIB中与计费相关的变量有哪些？v如果需要从Cisco路由器中读取有关网络流量的数据，该路由器应如何配置？v读取Cisco路由器中有关网络流量的数据时，为什么要设置定时器？v简述从Cisco路由器中采集网络流量数据

266、的步骤。v从Cisco路由器采集网络流量数据时，为什么部直接从活动数据库中读取？v配置RADIUS服务器时，需要修改哪些文件？v简述RADIUS服务器的安装、配置过程。v练习安装RADIUS服务器。v针对具体单位的网络情况设计网络计费管理的解决方案。计算机网络管理理论与实践教程第第1515章章 网络管理平台与工具网络管理平台与工具v随着网络应用的发展，越来越多的企业认识到，除了要依靠网络设备本身和网络架构的可靠性之外，网络管理是一个关键环节，结构越来越复杂和规模越来越大的网络系统需要网络管理软件来保证系统的正常运作，网络管理的质量会直接影响网络的运行质量，管理好一个网络与网络的建设同等重要。网

267、络管理已经是保证计算机网络，特别是大型计算机网络正常运行的关键因素。使用网管系统软件来监控管理网络，可实时查看全网的状态，检测网络性能可能出现的瓶颈，并进行自动处理或告警显示，以保证网络高效、可靠地运转。网络管理软件已成为网络必不可少的一部分。计算机网络管理理论与实践教程网络管理系统选购标准网络管理系统选购标准 以业务为中心为应用软件和服务提供环境为应用软件和服务提供环境可用性、可扩展性、易用性的结合可用性、可扩展性、易用性的结合性能价格比性能价格比标准支持和协议的独立性标准支持和协议的独立性传统支持传统支持集成性和灵活性集成性和灵活性计算机网络管理理论与实践教程网络管理软件的类型网络管理软件

268、的类型按照管理对象分类v目前常用的网络管理软件可分为两大类，主要根据管理对象来分的，即通用网络管理软件NMS和网元(设备)管理软件EMS两大类，网元管理软件只管理单独的网元(网络设备)，通用网络管理软件的管理目标为一个网络。按照管理范畴分类从网络管理的范畴来分类，又可分为对网“路”的管理，即针对交换机、路由器等主干网络进行管理；对接入设备的管理，即对内部PC、服务器、交换机等进行管理；对行为的管理，即针对用户的使用进行管理；对资产的管理，即统计IT软硬件的信息等。计算机网络管理理论与实践教程v按照管理功能分类v根据国际标准化组织(ISO)定义网络管理有五大功能：故障管理、配置管理、性能管理、安

269、全管理、计费管理，即通常所说的FCAPS。对网络管理软件产品功能的不同，又可细分为五类，即网络故障管理软件、网络配置管理软件、网络性能管理软件、网络服务/安全管理软件、网络计费管理软件。1.按照发展历史分类v第一代网管软件就是最常用的命令行方式，并结合一些简单的网络监测工具，它不仅要求使用者精通网络的原理及概念，还要求使用者了解不同厂商的不同网络设备的配置方法。v第二代网管软件有着良好的图形化界面，用户无须过多了解设备的配置方法，就能图形化地对多台设备同时进行配置和监控，大大提高了工作效率，但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题数增大，容易引发误操作。v第三代网管软件相对

270、来说比较智能，是将网络和管理进行有机结合的软件系统，具有“自动配置”和“自动调整”功能。对网管人员来说，只要把用户情况、设备情况以及用户与网络资源之间的分配关系输入网管系统，系统就能自动地建立图形化的人员与网络的配置关系，并自动鉴别用户身份，分配用户所需的资源(如电子邮件、Web、文档服务等)。计算机网络管理理论与实践教程开放性开放性安全性安全性智能化智能化基于基于Web的管理的管理综合性综合性网络管理软件的技术热点网络管理软件的技术热点开放性开放性安全性安全性智能化智能化基于基于Web的管理的管理综合性综合性计算机网络管理理论与实践教程网络管理新趋势网络管理新趋势1.技术发展趋势v总体上来讲

271、，新一代的综合网管软件必须具备开放系统的特性，即兼容性、可移植性(Portability)、可互操作性(Interoperability)、可伸缩性(Scalability)和易用性(Availability)等特征，也是网络管理软件及其技术发展的趋势。分布式技术一直是推动网络管理技术发展的核心技术，也越来越受到业界的重视。v网络安全与网络管理的结合将成为网络综合化管理的发展趋势，更多的用户希望将网管和安全完全应用于一种管理平台，在此基础上有效管理网络中的资源。计算机网络管理理论与实践教程应用趋势应用趋势v网管软件诞生初期完全是为了电信、金融类型的客户服务的。随着信息化的普及，随着校通、电子政

272、务、ERP等业务的大力推行，其他类型的中小型企业对于网络管理也有了强烈的需求。对网络的安全管理以及故障管理方面的应用趋势尤为明显。计算机网络管理理论与实践教程网络管理平台网络管理平台1.1.CiscoworksCiscoworksv园区管理器v内容流量监视器vNGenius实时监视器v基本资源管理器vCiscoView图形设备管理工具计算机网络管理理论与实践教程HP HP OpenViewOpenView管理平台管理平台vHP OpenView是一套优秀的面向业务的开放式、模块化的企业级网络管理解决方案。从问世以来，HP OpenView获得了许多奖项，得到用户和业界的广泛好评。HP Open

273、View支持SNMP、SNMPv2、DCE-RPC、HUPS和CMlP等管理标准，它包含完整的网络系统管理功能，提供完整的网络管理的解决方案。 计算机网络管理理论与实践教程HP HP OpenViewOpenView的体系结构的体系结构计算机网络管理理论与实践教程HP HP OpenViewOpenView的功能组成的功能组成vHP OpenView集成了网络管理和系统管理的优点，使网络管理与系统管理集成在同一个的用户界面中，共享消息数据库、对象数据库、拓扑数据库等中的数据，形成完整统一的管理系统。OpenView系列产品包括统一管理平台，通过服务和资产管理、网络安全、服务质量保障、故障自动监

274、测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能，提供对网络环境的全面管理，使网络管理员能够及时了解整个网络当前的真实状况，进行主动控制，实现企业综合的网络管理需要。v实现各种网络管理功能的OpenView系列产品包括：v网络监控管理：HP OpenView Network Node Managerv网络应用管理：HP OpenView Smart Plug-insv网络性能管理：HP OpenView Performance Insightv路由协议管理：HP OpenView Route Analytics Management Systemv数字资产配

275、置管理：HP OpenView Radia计算机网络管理理论与实践教程网络监控管理网络监控管理 网络路径管理网络性能管理网络故障管理网络拓扑管理计算机网络管理理论与实践教程网络应用管理网络应用管理vHP OpenView Smart Plug-ins for Advanced RoutingvHP OpenView Smart Plug-ins for MPLS VPNvHP OpenView Smart Plug-ins for LANWAN edgevHP OpenView Smart Plug-ins for lP TelephonevHP OpenView Smart Plug-ins

276、 for lP MuITicast计算机网络管理理论与实践教程网络性能管理网络性能管理v广域网性能统计分析：HP OpenView Report Pack for WAN CorevIP电话性能统计分析：HP OpenView Report Pack for IP Telephonev服务质量性能统计分析HP OpenView Report Pack for Quality Assurancev设备负载性能统计分析HP OpenView Report Pack for Infrastructure UsagevLANWAN性能统计分析HP OpenView Report Pack for LA

277、N/WAN EdgevMPLS VPN性能统计分析：HP OpenView Report Pack for MPLS VPN 计算机网络管理理论与实践教程路由协议管理路由协议管理v直观的路由协议视图监控v全面的路由协议变化记录v网管设计维护的辅助工具计算机网络管理理论与实践教程数字资产配置管理数字资产配置管理vRadia Configuration ServervRadia Integration ServervRadia Proxy ServervRadia Policy ServervRadia Management PortalvRadia Inventory Serverv客户端组件由

278、OS Manager、Application Manager、Software Manager、Usage Manager、Inventory Manager、Patch Manager等客户端应用组成，包括vRadia Software ManagervRadia Application ManagervRadia Inventory ManagervRadia Usage ManagervRadia Patch ManagervRadia OS Manager计算机网络管理理论与实践教程产品主要功能v软件和设备生命周期管理v操作系统安装部署v软件补丁自动分发v软件和应用恢复v资产配置管理v

279、基于Web的远程控制v软件使用情况管理计算机网络管理理论与实践教程HP HP OpenViewOpenView的开发环境的开发环境vHP OpenView平台提供了应用程序二次开发和程序集成的工具和方法，主要有：NNM开发工具包、应用程序集成方法。计算机网络管理理论与实践教程NNMNNM开发者工具包开发者工具包v应用程序使用的协议数据单元按内部结构存储，处理方便，繁复的BER编，解码和单元发送、接收等工作为管理平台所屏蔽，它包括以下软件包：vHP OpenView SNMP APl：提供对SNMP v1协议栈和SNMP v2协议栈的访问。vSNMP Configuration API：提供对配

280、置数据库的访问，提供许多的工具以动态地得到、更新和存储配置信息。vHP OpenView Windows API：包含图形用户接口集成的库函数和数据库访问函数，简化管理应用程序的开发，提供访问网络管理平台内部对象数据库的工具。计算机网络管理理论与实践教程1.1.应用程序集成方法应用程序集成方法v应用程序注册文件Application Registration File (ARF)可把自行开发的网络和系统管理应用程序集成到OpenView Windows (OVW)用户界面里。ARF给OVW提供以下的重要信息：v描述应用程序与OVW集成的结构。v用户触发应用进程的方法。v应用进程的管理方式。v应

281、用程序的帮助信息的存放位置。v注册文件又分为三类，它们分别是：v菜单注册文件(Menu Registration File)：提供通过下拉式菜单、弹出式菜单和工具条按钮把应用程序与OVW集成。v符号类型注册文件(Symbol Type Registration File)：用于定义HP OVW中的符号类(class)和子类(subclass)。v域注册文件(Field Registration File)：用于定义构成对象的属性类型。计算机网络管理理论与实践教程OpenViewOpenView管理平台数据接口的开发管理平台数据接口的开发v性能数据采集模块v事件信息采集模块v配置信息采集模块计算

282、机网络管理理论与实践教程IBM Tivoli IBM Tivoli 管理平台管理平台vIBM Tivoli采用面向对象的设计，通过在系统管理产品的底层提供组件服务的管理平台来为整个Tivoli 系统管理产品服务。Tivoli组件服务提供给所有的Tivoli管理工具和第三方开发的应用程序以一套公用的服务，这些基本的服务包括安全管理、任务库、调度服务数据加密、对象调用、数据存储、权限分派等和DHCP服务等，同时还提供规则域和规则管理机制，用来定义和使用分布式环境中的各种资源。计算机网络管理理论与实践教程IBM TivoliIBM Tivoli网络管理解决方案网络管理解决方案vIBM Tivoli网

283、络管理解决方案以IBM Tivoli NetView作为网络管理平台，同时配合IBM Tivoli Switch Analyzer可以对网络第二层实施监控；所有网络监控的事件，可以无缝地发送到IBM Tivoli Enterprise Console，与其它系统管理监控事件进行关联。同时，所有网络性能数据可以通过Tivoli Data Warehouse进行存储，以便生成网络管理性能报告。v通过IBM Tivoli网络管理解决方案，可以实现的功能主要包括：网络拓扑管理、网络故障管理、网络性能管理、网络设备管理、管理权限分配、计算机网络管理理论与实践教程网络拓扑管理网络拓扑管理计算机网络管理理论

284、与实践教程 网络故障管理网络故障管理 冗余路径相关安全性、核查和控制自动化管理整合和关联计算机网络管理理论与实践教程网络性能管理网络性能管理v网管人员需要了解网络实时的性能状况，需要能够对网络性能做出分析和预测，并生成相应的报表。Tivoli NetView的SnmpCollect功能，能够自动采集重要的网络性能数据，如：IP流量、带宽利用率、出错包数量、丢弃包数量、snmp流量等，并设置相应的阈值，当所采集的数据达到阈值时能够触发报警或者定义好的自动操作。用图形的方式显示这些网络性能数据的变化情况，也可以将这些数据存放于关系型数据库系统中，以便于检索和分析。 计算机网络管理理论与实践教程网络

285、设备管理网络设备管理计算机网络管理理论与实践教程企业资产管理解决方案企业资产管理解决方案vIBM Tivoli软件资产管理解决方案，能够帮助企业控制动态电子商务环境中的复杂性，最大限度提高技术投资回报率，以及提供安全且高度可用的电子商务基础架构。IBM Tivoli资产解决方案不仅有助于满足当今维持强劲且高效率电子商务基础构架的需求，而且能够提供未来扩展和新技术的基础。它能够帮助企业降低成本，提高生产力，以及实现对企业电子商务基础架构的有效控制。它也提供了优异的跨大网络扩展能力，设计为管理异构操作环境，并且能够帮助取得短实现价值时间。vIBM Tivoli资产管理解决方案组合包括四个核心产品：

286、IBM Tivoli Configuration Manager（配置管理软件）、IBM Tivoli License Manager（软件许可证管理）、IBM Tivoli Remote Control（远程控制）和IBM Tivoli Workload Schedule(作业调度)。这四个软件能够单独提供价值，但也经常合在一起以帮助最大化集成的价值。跨数目巨大的端点进行扩展和异构操作系统平台进行管理，均属于这些产品的内置功能。IBM Tivoli Configuration Manager包含了软件分发和资产清单的功能。如图 154所示。计算机网络管理理论与实践教程计算机网络管理理论与实践

287、教程v软件分发组件令用户能够由中央控制点对多个系统和用户快速高效率地部署复杂的关键业务应用程序。关键特征包括：v通过参考模型的欲用配置管理v移动客户机支持v跨防火墙管理v通过Web浏览程序界面对最终用户注册部署的支持v活动计划器能够减轻向大量的端点分发多个软件包所需的工作v字节层区分，前者有助于降低网络流量v检查附属档案，主动防止分发失败v通过多广播能力减少的带宽占用v增强的报告与分析能力计算机网络管理理论与实践教程计算机网络管理理论与实践教程WebWeb管理解决方案管理解决方案vIBM Tivoli Monitoring for Web Infrastructure是一个优化应用服务器和其所

288、连接的Web服务器的性能和可用性的关键工具。它提供了一个单一控制点，可以让IT管理人员了解Web的环境中关键元素的健康状况。它也可以使管理人员快速识别问题，在需要时向相关人员报警，并提供自动解决问题的方法。Tivoli Monitoring for Web Infrastructure还提供了一个实时性能健康状况视图，并可以将数据传送到共享数据仓库，形成历史报告及分析。这个软件提高了IT管理人员的工作效率，保证了对重要Web基础设施的性能和可用性的优化。计算机网络管理理论与实践教程SUN Solstice Enterprise Manager vSolstice Enterprise Mana

289、ger是SUN研制的系列产品之一。它是一个分布式的管理应用平台，既提供了对计算机数据网的管理开发，也提供了对电信网络管理应用开发的平台。它是一个具有安全性的、多用户的面向未来的分布式网络管理平台，它提供一种完全的和开放的基准，允许设备制造商和服务提供者的实现在任何地方管理任何事务。它是一种特别为庞大而分散的企业设计的先进管理平台。计算机网络管理理论与实践教程Solstice Enterprise ManagerSolstice Enterprise Manager功能特功能特性性vSolstice Enterprise Manager能从使用CMIP、SNMP、RPC或私有代理的网元处接受信息

290、。它支持任何通过管理协议适配器的协议，并在代理和管理信息服务器（MIS）之间充当解释器的作用。vSolstice Enterprise Manager具有完全的分布式、多用户的管理信息服务器（MIS）结构。v它支持管理信息应用。所有由使用Solstice Enterprise Manager的C+ API（可便携的管理接口或PMI）书写的管理应用程序都可与MIS相互作用。vSolstice Enterprise Manager的设计特别是为了可扩充和使用的方便。它在面向对象的平台上构建，该平台可使开发者和最终用户更具效率，因为他们可以构建适合他们自己商业模型的信息模型。计算机网络管理理论与实践

291、教程Solstice Enterprise ManagerSolstice Enterprise Manager体系结体系结构构v它的结构有三种基本的组件组成：v可移植的管理接口（PMI）v管理信息服务器（MIS）v管理协议适配器（MPA）v另外，该产品包含核心的网络管理应用程序，包括应用程序运行器、浏览器、发现工具、需求设计器、日志管理器、对象编辑器/浏览器、告警管理器、绘图器、配置应用程序工具和关系数据库录入后台程序。计算机网络管理理论与实践教程可移植管理接口（可移植管理接口（PMIPMI）vPMI是一种面向对象的C+程序接口，通过它，管理活动可以直接面向管理信息服务器（MIS）。它为获得

292、广泛的管理信息提供了一种灵活的方法。PMI是对网络管理论坛（NMF）的一个贡献，作为一种高层的API，它提供下列服务：v初始化，包括到达MIS的分布式消息接口的建立。v分布式。一种应用程序可以经由PMI从任何主机发布。v事件预约和传播。v数据的编、译码。v为应用程序设计的本地对象缓存管理。v协议的透明性。使用户MI的应用程序不必考虑与代理对话的管理协议的具体细节。v位置的透明性。PMI屏蔽了应用程序与代理所处的位置。v管理功能。PMI允许应用程序对管理对象执行Get，Set，Create，Delete和Action操作。计算机网络管理理论与实践教程管理信息服务器（管理信息服务器（MISMIS）

293、vMIS是管理数据和功能的可扩展的知识库。它提供联系控制，连接服务，对象管理，请求服务。它的功能由MIS服务管理者提供的单一的接口来触发，并通过PMI进行通信。vMIS提供下列服务：v对元数据仓库中被管对象描述的储存。v支持协议和位置的透明性。v管理信息树（MIT）的维护v多客户请求的协调v对本地数据持久储存的支持v分布的多用户可对MIS中的数据以及网络中的数据进行访问。v本地对象的对象管理服务v用来传递（ASN.1）语法的知识库计算机网络管理理论与实践教程管理协议适配器（管理协议适配器（MPAMPA）vMPA模块允许Solstice Enterprise Manager的通过翻译每一个代理的

294、协议从任一个代理处接受管理信息。因此，标准的和私有的代理都能够通过MPA与MIS通信。为了负荷平衡MPA可在远端运行。每个MPA模块支持一种管理协议。所有的MPA和MIS之间的通信都通过PMI。vMPA模块在运行环境被提供来支持CMIP、SNMP和RPC。使用MPA，开发者能够创建对其他协议的支持，如TL1、ASCII、NML和私有协议。计算机网络管理理论与实践教程核心应用程序核心应用程序v告警管理器v日志管理器，v对象编辑器/浏览器（OBED）v应用程序运行器v浏览器v探索器，v请求设计器，一种先进的请求管理机制，用来简化复杂的操作和过滤事件。v日志浏览器v日志管理器，一种全面的用来储存网络

295、事件和性能信息的登录系统。v对象编辑器/浏览器（OBED），使得从MIS管理信息树中检索，组织，浏览和编辑管理对象变得简单。计算机网络管理理论与实践教程AT-AT-SNMPcSNMPcvAT-SNMPc网管平台软件是一个结合了完整的网管特性、扩展能力和易用性的网管平台。该软件具有的伸缩特性，可以适用于各种规模的网络系统。AT-SNMPc是一个安全的分布式通用的网络管理系统平台，能有效地监控整个网络的基础架构。它可以直观显示、监控和前瞻性地管理网络。AT-SNMPc它支持SNMP v3，它的轮询功能可检测关键网络组成的可用性和可达性，保证正常运行时间，从而增强了网络的可用性。计算机网络管理理论与

296、实践教程 AT-SNMPc主要特性主要特性 与其它管理工具的与其它管理工具的集成集成多厂商支持多厂商支持布式体系结构和分层管理界面友好、操作简便界面友好、操作简便计算机网络管理理论与实践教程 AT-SNMPc的功能组成的功能组成 安全管理安全管理性能管理性能管理故障管理故障管理配置管理配置管理计算机网络管理理论与实践教程网络管理常用工具网络管理常用工具1连通性测试程序连通性测试程序2路由跟踪程序路由跟踪程序.3MIB变量浏览器变量浏览器.计算机网络管理理论与实践教程本章小结本章小结v网络管理是保证计算机网络正常运行的关键因素。使用网管系统软件来监控管理网络，可实时查看全网的状态，检测网络性能可

297、能出现的瓶颈，并进行自动处理或告警显示，以保证网络高效、可靠地运转。本章主要讲述网络平台与网络工具的有关内容，分析了网络管理系统选购的标准、网络管理软件的类型以及网络管理软件的技术特点等内容。着重介绍了HP Openview、IBM Tivoli等常用的网络管理平台和常用的管理工具。计算机网络管理理论与实践教程练习与思考练习与思考v选购网络管理系统应考虑哪些原则？v在选购网络管理系统时应如何考虑标准支持的问题？v简述网络管理软件的类型。v简述网络管理软件发展的历史。v网络管理软件有哪些技术热点？v练习Ciscoworks软件的使用。v简述HP OpenView管理平台的体系结构。v网络管理常用

298、工具有哪几类？v练习连通性测试工具和路由追踪工具。计算机网络管理理论与实践教程第第1616章章 网络管理平台应用案例网络管理平台应用案例1.1.IBM TivoliIBM Tivoli应用案例应用案例计算机网络管理理论与实践教程vPrudential是最早采用IBM Tivoli的公司。Prudential 成立于1875年，为全世界的4000万客户提供服务。该公司提供各种产品和服务，其中包括：保险、投资管理、年金、证券、互助基金、员工福利和遗产管理、不动产经纪和重新安置服务、以及消费者银行业务等。vPrudential是40多年前开始实现计算机化的第一批公司之一，它从IT的战略使用上获得了很

299、大好处，IT帮助确保员工和客户能在他们需要的时间及他们希望的方式得到信息。Prudential的长期市场增长也反映了这一点，Prudential今天的IT环境包括19部大型机、4000台 Windows NT和Unix服务器，以及10多万台联网的Windows NT台式机和Windows 95便携机。将这些连在一起的是一个TCP/IP网络，它链接了大约1100台路由器、500台交换机、900个集线器、3800个局域网段、1700个广域网链路，以及7500个令牌环或以太网适配器接口。这一基础设施是Prudential向其客户提供世界一流服务的一个强大工具，公司利用先进的操作控制中心(OCC)来监

300、视这一基础设施。OCC采用剧院式的布局，它有3个大型显示屏，OCC给Prudential的IS专业人员提供了世界各地该公司IT基础设施的最新情况。计算机网络管理理论与实践教程v在推出OCC和投资Tivoli以前，分散在整个公司的专业操作人员使用单点解决方案来管理系统资源。Prudential是最早采用Tivoli NetView的公司，将它作为一种单点解决方案来管理其网络基础设施。现在，公司选择了Tivoli Enterprise来帮助Prudential集成、统一和正规化整个企业的系统管理过程，充分利用户rudential在NetView上的已有投资。通过采用框架方法，Prudential建

301、立了端到端的系统资源情况，这对与尽量减小企业中系统问题的影响非常关键。v信息系统副总裁John Andolino说：“很多次，总有某个地方会发生故障并可能影响到几个地方。Tivoli给我们提供了能力，使我们能看到网络上我们的合作伙伴那里在发生什么情况，这在过去是不可能做到的。现在，我们可以主动采取必要的步骤，保证当某个部件故障时我们能了解情况，能了解其影响。利用Tivoli Distributed Monitoring(分布式监视)和Tivoli Enterprise Console(企业控制台)，IS 工作人员能接收部件故障的预警和早期指示，这样他们就能迅速做出反应。来自Tivoli Ent

302、erprise Console的信息投影到3个剧院一样的屏幕上，以便显示所有分布系统资源的健康情况，其中包括所有网络单元、Windows NT和Unix服务器以及基于Windows的台式机。另外，还考虑了使用Tivoli Security Management(安全管理)来支持一致和集中的安全管理政策。”计算机网络管理理论与实践教程v除此之外，Tivoli Manager for OS/390给Prudential工作人员提供了大型机系统状态的全面情况。公司技术服务企业系统软件副总裁Ken Tyminski说：“Tivoli Manager for OS/390整合了来自很多点解决方案的事件数

303、据，我们使用这些单点解决方案来监视我们的大型机环境。不需要监视和解释几十个屏幕来了解数据中心发生的情况。现在我们在一个屏幕上提供我们需要的信息，这样我们就能立即行动。”vTivoli帮助Prudential达到了关键IT目标：缩短解决问题的时间、最大程度的缩短系统故障时间及降低成本。其结果是，IS小组能够提供先进、主动和全面的服务而不用增加工作人员。计算机网络管理理论与实践教程HP HP OpenViewOpenView应用案例一应用案例一v国家某直属局的组织结构是以国家局为中心，以各个省、直辖市、自治区的地方局为骨干，以地市局为辅助而形成的网状结构。在该局内部，无论是业务流转还是计算机支撑结

304、构都是按照这种结构设计的。该局与地方局的关系是业务指导关系，每一级都有自己的计算中心。该局计算中心负责整个业务系统的信息化指导工作。在国家局、各省局及省局内部之间是相互关联的三级星型网络结构。这种网络结构的特点是：网络规模很大，设备数量多，种类复杂，层次结构明显，并且需要支持多种关键业务的运行；管理人员面对大量日常管理维护任务、设备配置、用户故障报警及处理任务，比较被动；整个IT系统没有达到高质量的运行；对于网络设备及计算机系统的性能情况没有量化的记录与业务分析数据。v针对这种情况，该局购买了惠普公司的C200工作站作为网管工作站，并采用HP OpenView管理软件来加强对网络的管理。但随着

305、该局业务的发展和管理规模的扩大，目前的网络系统管理软件在功能、结构及配置上都无法满足当前的管理要求。在网络系统管理上出现以下问题：网络系统管理软件模块不够完备；对这些网络系统管理软件没有进行满足该局管理需求的客户化设计、安装及配置实施；没有相应的支持管理流程的工具；网管工作站的性能不能满足国家级网络系统管理结构的要求；该局的管理技术人员未能掌握使用网管软件。计算机网络管理理论与实践教程v因此，该局决定实施网络系统管理项目，目的是通过一个完整的网络系统管理解决方案，实现高水平、高层次地对该局现有的关键网络设备、服务器及应用系统进行高质量的运行维护管理。为达到这个目的，该局确定了在设计及实施网管系

306、统改造过程中所坚持的基本原则：先进性、实用性、投资保护和注重实施。v惠普公司的IT服务管理(ITSM，IT Service Management)方法由保障服务的交付、业务与IT战略整合、服务规划与管理、服务的开发与部署、服务的运作与维护等5大流程模块组成，其中，每大模块又包含诸多小模块。v针对该局网络现状及特点，惠普公司为其网络系统管理提出了以下解决方案：整体管理结构为两级分布式管理结构；管理功能的重点为故障管理、性能管理及配置管理，并用相应HP ITSM模块来实施；管理范围包括国家局、省级局及地市局的关键网络设备、服务器及其上的操作系统、数据库及应用系统；惠普公司负责项目实施并在实施过程中

307、进行知识传递。计算机网络管理理论与实践教程v基于这些方案，该局就形成了新的网络系统管理结构。该结构根据网络系统的实际分布及应用状况、组织机构的构成、管理范围的大小、管理的功能及网络系统管理人员的分布情况等，将网络系统的管理结构分为两个级别的管理层次来实现分布式管理。v惠普公司在为该局规划IT系统管理体系时，主要参考了IT服务管理模型，并根据其系统现状及未来管理目标，为其选择了ITSM的故障管理、性能管理及配置管理等功能模块，并用HP OpenView解决方案来实现这些功能，搭建统一的IT系统管理平台。v该局网络系统分为管理层和业务保障层两个层次。在业务保障层，HP ITSM方法论主要体现在HP

308、 OpenView Vantage Point Service Desk管理软件，它犹如一个服务管理中枢，进行各项管理。在网络系统管理层，性能管理、故障管理等各项功能则分别由HP OpenView的各个套件所完成。计算机网络管理理论与实践教程v作为一个完整的、全面的面向支持流程(Support Processes)的解决方案，HP OpenView Service Desk集成了支持流程所需要的呼叫管理、事件管理、问题管理、配置管理、变化管理、工作流管理等关键功能模块。v配置管理也叫做资产管理，Service Desk能够跟踪和控制该局的配置项目。而变化管理也是Service Desk的一个重

309、要管理职能。以前，该局网络出现问题，每个管理者都可以改动，谁改动了哪里都互不知道。而现在有了变化管理，管理人员都要按照流程来做，做了哪些变动、谁审批的都要写清楚。最后，Service Desk系统能够为该局的IT系统提供完整的业务库，并提供服务呼叫业务、问题业务、配置信息业务、座席人员及专家工作业务等报表，使网络管理员能对IT管理有一个清晰的了解与掌握。v通过HP OpenView Service Desk解决方案的实施，该局建立了预防型而非反应型的服务管理平台。它帮助该局优化IT管理流程，提高IT基础设施的服务质量，减少其变化对关键业务带来的影响，在服务管理流程中提供端到端的管理。计算机网络

310、管理理论与实践教程v而在网络管理层，HP OpenView的各个套件能够完成网络系统管理的各项功能。对于网络配置管理，惠普采用 HP OpenView Network Node Manager来帮助该局业务管理域内计算机网络系统的资源。对于数据备份及恢复管理，惠普采用 HP OpenView OmniBack II 来为该局提供数据的高度可存取性及可靠保护。对于性能管理，惠普采用HP OpenView Performance 及 HP OpenView Network Node Manager 来监视控制并分析记录该局网络及系统的性能情况，使网络管理员抢在网络中断之前采取措施、预测网络发展。v

311、在应用HP OpenView ITSM解决方案后，该局无论是网络上的各种设备、机器、系统，还是现有的各种操作系统和数据库系统，都拥有了相应的监控、管理功能，形成了一套统一的网络与系统管理整体解决方案，从而轻松实现包括配置管理、故障及操作管理、性能管理等各项功能；同时，对于各种事件，也拥有了一套完善的收集、告警、处理、分析功能，为该局提供统一的、智能的事件处理服务。计算机网络管理理论与实践教程HP HP OpenViewOpenView应用案例二应用案例二v某通信公司通讯中心承载着全国长途的主要业务，其网络系统和主机系统运行着关键的业务应用，为了保证长途业务的稳定运行，必须对其加强对通讯中心IT

312、系统环境的管理，对分布式信息系统中的所有网络设备、主机系统、各种系统软件和应用软件进行全面的集中的管理和监控。从管理内容和功能上看，可以分为以下几个方面：计算机网络管理理论与实践教程v1.网络管理和性能监测v2.系统事件管理v3.系统性能分析v4.数据库系统管理计算机网络管理理论与实践教程v针对通信公司通讯中心在网络和系统管理方面的上述需求，以及管理系统的现状，提出了满足用户需求的系统管理解决方案： v1.建立系统管理综合控制台v2.网络管理v3.系统管理v4.系统性能管理v5.数据库管理计算机网络管理理论与实践教程四、项目评价v通信公司长途计费系统管理解决方案的特点：v通信公司长途计费系统管

313、理解决方案采用HP OpenView管理平台，在此平台之上通过对功能的定制和二次开发，形成完整的、适合通信公司通讯中心实际情况的管理系统。整个系统管理解决方案具有以下突出特点：v1.统一的管理平台v2.模块化结构v3.简单易用，进行直观的操作和管理v4.提供标准的和开放的应用接口及开发工具 5.专业化服务更贴近用户实际需求计算机网络管理理论与实践教程AT-AT-SNMPcSNMPc应用案例应用案例计算机网络管理理论与实践教程CA CA UnicenterUnicenter应用案例应用案例计算机网络管理理论与实践教程本章小结本章小结v越来越多的企业认识到，除了要依靠网络设备本身和网络架构的可靠性

314、之外，网络管理是一个关键环节，网络管理的质量会直接影响网络的运行质量，管理好一个网络与网络的建设同等重要。本章主要介绍了IBM Tivoli、HP OpenView等几个典型的网络管理平台的应用案例。计算机网络管理理论与实践教程练习与思考练习与思考v对比论述各种网络管理平台的优缺点。v针对具体单位的网络情况设计网络管理平台解决方案 计算机网络管理理论与实践教程 第17章 网络管理机构组织与运行 v网络系统规模的日益扩大和网络应用水平的不断提高，一方面使得网络的维护成为网络管理的重要问题之一，例如排除网络故障更加困难、维护成本上升等；另一方面，如何提高网络性能也成为网络系统应用的主要问题。网络一

315、旦出现重大故障，所造成的损失是无法用金钱来计算的。网络管理工作做得好，企业则可以确保生产和业务不中断；有助于提高工作效率和企业的竞争力；可以确保网络的规模随业务的扩展而扩大；可以确保企业数据的安全和一致性；降低网络维护的成本。计算机网络管理理论与实践教程网络运行与管理网络运行与管理网络管理中心职责一、为计算机网络的建设与发展提出科学、合理的建议，一、为计算机网络的建设与发展提出科学、合理的建议，并按照要求对网络建设进行规划设计和组织实施；并按照要求对网络建设进行规划设计和组织实施；v二、负责计算机网络公共资源的管理，包括网络设备、光缆、双绞线、UPS等；v三、负责计算机网络的运行和维护，包括网

316、主干的开通、运行和维护；出口数据线和光缆通信的开通、运行和维护；v四、为用户举办网络知识培训班和用户上网培训班，不断提高用户应用计算机网络的能力；v七、负责并组织网站主页的制作与维护；v八、积极协助各部门建设好部门的网络机房和多媒体机房，为各类用户提供良好的上机环境。v九、协助有关部门建立相关网络应用与管理系统。v十、协助做好与计算机网络有关其他的工作。计算机网络管理理论与实践教程网络管理中心主任职责（一）总体目标（一）总体目标v v（二）工作职能：v 计算机网络管理理论与实践教程网络管理中心副主任职责（一）总体目标（一）总体目标v v（二）工作职能v 计算机网络管理理论与实践教程网络信息中心

317、（网络信息中心（NICNIC）职责）职责（一）总体目标（一）总体目标v v（二）工作作风v 计算机网络管理理论与实践教程v（三）安全稳定v v（四）工作职能v 计算机网络管理理论与实践教程网络运行中心（网络运行中心（NOCNOC）职责）职责v（一）总体目标v v（二）工作作风v 计算机网络管理理论与实践教程v（三）安全稳定v v（四）工作职能计算机网络管理理论与实践教程网络服务中心（网络服务中心（NSC）职责）职责 工作职能安全稳定工作作风总体目标计算机网络管理理论与实践教程网络管理典型工作内容网络管理典型工作内容 网络服务器的管理 网络用户的管理网络文件和目录的管理网络文件和目录的管理网络打

318、印机的配置和管理网络打印机的配置和管理IPIP地址的管理地址的管理网络安全管理网络安全管理网络布线的日常维护网络布线的日常维护关键设备的管理关键设备的管理技术支持服务技术支持服务计算机网络管理理论与实践教程敬业耐心Text3保持权威性保持坚定的立场网络管理员的职责与素养网络管理员的职责与素养计算机网络管理理论与实践教程本章小结本章小结v本章主要讲述网络管理机构组织与运行有关内容，介绍了网络运行管理的机构设置与职责、网络管理的工作内容以及网络管理员的职责与素养。最后，收集整理了与网络管理有关的部分政策法规以及校园网和网络运营商的日常管理制度，以方便读者查阅。计算机网络管理理论与实践教程思考与练习

319、v简述网络信息中心的职责。v简述网络运行中心的职责。v简述网络管理员的职责。v简述中国互联网络域名体系。v互联网IP地址备案时需提交哪些信息？v针对具体单位的网络情况设计网络运行的有关管理制度 计算机网络管理理论与实践教程 第第1818章章 ITIT服务管理服务管理1.1.ITIT服务管理的产生背景服务管理的产生背景v首先，信息技术的发展直接推动了企业信息化的发展v其次，现代社会非常显著的特征就是服务意识的兴起v第三，从企业自身的角度来说，随着外部竞争的加剧，企业为了实现其业务目标纷纷确立了“以客户为中心，以市场为导向”的服务理念，这就要求企业的IT管理能够紧扣客户需求和业务流程，从而确保IT

320、作为一种服务帮助企业实现业务目标和改进客户体验计算机网络管理理论与实践教程ITIT服务管理的发展历程服务管理的发展历程发展期萌芽期孕育期Phase 1Phase 2Phase 3计算机网络管理理论与实践教程ITIT服务管理的含义和范围服务管理的含义和范围1.1.ITIT服务管理的含义服务管理的含义vIT服务管理是一套通过服务级别协议(SLA)来保证IT服务质量的协同流程，它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。v而IT服务管理领域的国际权威组织国际IT服务管理论坛则认为，IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整

321、合IT服务与企业业务，提高了组织提供IT服务和对IT服务进行支持的能力和水准。计算机网络管理理论与实践教程ITIT服务管理的范围服务管理的范围vIT服务管理的主要目标是对管理客户和用户的需求进行管理，使IT与这些需求实现有效的整合。IT服务管理针对的主要是企业业务与IT技术的整合，而不是业务管理本身。明确这一点非常重要，因为它明确划分了IT服务管理与ERP（企业资源规划）、CRM（客户关系管理）和SCM（供应链管理）等管理方法和管理软件之间的界限。v此外，IT服务管理需要确保组织的业务需求以合理的成本得到IT的充分支持。IT服务管理建立在传统的IT管理基础之上，但它并不侧重于IT的技术管理。有

322、关IT技术的技术管理工作是系统管理和网络管理的任务。计算机网络管理理论与实践教程ITIT服务管理的核心理念服务管理的核心理念以流程为基础以客户为中心注重服务品质和服务成本的平衡IT服务管理的核心理念服务管理的核心理念计算机网络管理理论与实践教程ITIT基础框架库（基础框架库（ITILITIL）的核心流程）的核心流程1.基本概念v服务台（Service Desk）在服务支持中扮演着一个极其重要的角色。完整意义上的服务台可以理解为其他IT部门和服务流程的“前台”，它可以在不需要联系特定技术人员的情况下处理大量的客户请求。对用户而言，服务台是他们与IT部门的唯一连接点，确保他们找到帮助其解决问题和请

323、求的相关人员。计算机网络管理理论与实践教程服务台的目标服务台的目标v服务台的主要目标是协调客户（用户）和IT部门之间的关系，为IT服务运作提供支持，从而提高客户的满意度。计算机网络管理理论与实践教程服务台的结构服务台的结构v服务台的一项主要任务是确保用户请求的得到有效的处理，IT部门的有关信息可以迅速反馈给用户，从而促进双方的协调和沟通。用户有任何问题或需要任何支持都直接和服务台联系。v根据具体需求，可以选择不同的服务台结构。常见的服务台结构有分布式服务台、集中式服务台和虚拟式服务台。计算机网络管理理论与实践教程 服务台的主要工作服务台的主要工作 响应用户呼叫提供信息基础架构监控供应商联络日常

324、运作管理v客户需求管理和客户关系管理计算机网络管理理论与实践教程事故管理的概念事故管理的概念v事故 ( Incident ) 是指引起或有可能引起服务中断或服务质量下降的不符合IT服务标准操作的活动。这里所指的事故不仅包括软硬件故障，还包括服务请求，例如状态查询、重置口令、数据库导出等。v当多个事故需要同时处理时，必须根据事故所造成的影响、事故的紧急程度、解决事件的难易程度等因素确定事故处理的优先级。v如果在协议约定的时间内一线支持无法解决事故，就需要更多的支持人员介入，这称作事故升级（Incident Escalation）。图 181给出了事故升级（Incident Escalation）

325、的一般程序。一线支持一般指服务台，二线支持指管理部门，三线支持指软件开发及构架，四线支持指提供商。计算机网络管理理论与实践教程计算机网络管理理论与实践教程事故管理的目标事故管理的目标v故管理的目标是在尽可能小地影响客户和用户业务的情况下使IT系统尽快恢复到服务级别协议所定义的服务级别，同时记录事故以为其他流程提供支持。计算机网络管理理论与实践教程事故管理流程事故管理流程计算机网络管理理论与实践教程问题管理的概念问题管理的概念v事故管理的主要目标是争取在最短的时间内解决事故和恢复IT服务运作，尽量避免或减少事故对用户和客户造成影响。v但是，事故管理并不负责查找事故产生的潜在原因，其强调的是速度。

326、调查和分析IT基础架构和查找事故产生的根本原因是问题管理的责任。v与事故管理强调事故恢复的速度不同，问题管理强调的是找出事故产生的根源，从而制定恰当的解决方案或防止其再次发生的预防措施。计算机网络管理理论与实践教程v问题管理与事故管理及变更管理的关系如图 183所示。计算机网络管理理论与实践教程问题管理的目标问题管理的目标v问题管理与事故管理都是针对事故而为用户提供支持的服务管理流程。但两者的目标是不同的，如果说事故管理流程是“治标”的流程，那么问题管理则致力于“治本”。具体来说，问题管理所要达到的目标包括以下三项：v将由IT基础架构中的错误引起的事故和问题对业务的影响减少到最低程度；v查明事

327、故或问题产生的根本原因，制定解决方案和防止事故再次发生的预防措施；v实施主动问题管理，在事故发生之前发现和解决可能导致事故产生的问题。计算机网络管理理论与实践教程问题管理流程问题管理流程计算机网络管理理论与实践教程v问题管理流程运作过程中需要输入的信息包括：v由事故管理流程提供的事故信息和应急措施。v由配置管理数据库提供的配置信息。v有关IT基础架构中所使用的产品的供应商的信息，包括有关这些产品的技术说明和知名错误的信息。v有关基础架构组件及其运行情况的信息，如能力管理报告、可用性报告和服务级别报告等。v问题管理流程输出的信息包括：v知名错误。v变更请求（RFCs）。v更新的问题记录（包括解决

328、方案和/或应急方案）。v已经得到解决并终止的问题的记录。v将事故与问题、知名错误的匹配信息。v管理信息。计算机网络管理理论与实践教程配置管理的概念配置管理的概念vIT服务可以为企业的业务运作提供支持，而IT服务能否满足业务运作的要求很大程度上取决于支持IT服务运作的IT基础架构的配置及运行情况。因此，必须建立专门的流程提供有关IT基础架构的配置情况的信息。配置管理就是专门负责提供这方面信息的流程。计算机网络管理理论与实践教程配置管理的目标配置管理的目标v配置管理作为组织IT基础架构的信息中心和控制中心，必须实现以下几个目标：v计量组织和服务中所使用的所有IT资产和配置项的价值。v为其它服务管理

329、流程提供有关IT基础架构配置的准确信息。v为事故管理、问题管理、变更管理和发布管理的运作提供支持。v核实有关IT基础架构的配置记录的正确性并纠正发现的错误。计算机网络管理理论与实践教程配置管理流程配置管理流程计算机网络管理理论与实践教程变更管理的概念变更管理的概念v变更管理是指为在最短的中断时间内完成基础架构或服务的任一方面的变更而对其进行控制的服务管理流程。当问题管理通过调查和分析发现问题产生的根本原因，但不能制定恰当的解决方案从根本上予以解决时，问题管理需要向变更管理提交变更请求，从而从通过实施必要的变更从根本上消除问题的根源。计算机网络管理理论与实践教程变更管理的目标变更管理的目标v变更

330、管理的目标是确保在变更实施过程中使用标准的方法和步骤，尽快地实施变更，以将由变更所导致的业务中断对业务的影响减小到最低。计算机网络管理理论与实践教程变更管理流程变更管理流程v变更管理流程需要输入的信息包括：v变更请求（RFC）。v配置管理数据库（CMDB）提供的数据信息，特别是有关变更影响的信息。v变更实施进度表（Forward Schedule of Changes）。v能力管理提供的能力数据库以及财务管理流程提供的预算信息等。v变更管理流程输出的信息包括：v更新的变更实施进度表。v触发配置管理和发布管理开始运作的信号。v变更咨询委员会的议程、会议记录和行动项目。v变更管理报告。v变更管理流

331、程的运作与事故管理、问题管理、配置管理和发布管理等流程具有密切的关系。这种关系可以表示如图 186所示。计算机网络管理理论与实践教程计算机网络管理理论与实践教程发布管理的概念发布管理的概念v发布是指经过测试并导入实际应用环境的新增或改进的配置项的集合。v发布管理负责计划与实施IT服务的变更，并描述变更的各个方面。其主要目标是通过正规的实施变更流程及测试确保应用系统的质量。v发布的类型主要包括德尔塔发布（Delta Release）、全发布（Full Release）和包发布（Package Release）三种。德尔塔发布（又称增量发布）是指仅仅对自上次全发布或Delta发布以来发布单元中实际

332、发生变化或新增的那些配置项进行发布的方式。全发布是指同时构建、测试、分发和实施发布单元的所有组成组件的发布方式。包发布是指将一组软件配置项以包的形式一起导入实际运作环境的发布方式。计算机网络管理理论与实践教程v发布管理运作过程中涉及的数据库主要有以下三个v配置管理数据库（CMDB）v最终软件库（Definitive Software Library，DSL）v最终硬件库（Definitive Hardware Store，DHS）计算机网络管理理论与实践教程发布管理的目标发布管理的目标v计划和协调软硬件组件的发布。v设计和实施有效的程序来分发和安装IT系统的变更。v确保只有正确的、被授权的和经

333、过测试的软硬件版本才能导入实际运作环境。v结合变更管理，准确发布的确切内容和首次发布计划。v确认所有最终软件库中软件正本的拷贝是安全可靠的，并且在配置管理数据库中得到了更新。计算机网络管理理论与实践教程发布管理的主要活动发布管理的主要活动计算机网络管理理论与实践教程服务级别管理的概念服务级别管理的概念v服务级别管理是（SLM）为签订服务级别协议（SLAs）而进行的计划、草拟、协商、监控和报告以及签订服务级别协议后对服务品质的评价等一系列活动所组成的一个服务管理。服务级别管理旨在确保组织所需的IT服务质量在成本合理的范围内得以维持并逐渐提高。计算机网络管理理论与实践教程计算机网络管理理论与实践教

334、程服务级别管理的目标服务级别管理的目标v明确客户的业务需求及相应的IT服务需求。v确保以合理的成本提供约定的IT服务级别。v确保实际的IT服务级别达到约定的服务级别的要求。v改善客户关系和提高客户满意度。计算机网络管理理论与实践教程服务级别管理流程服务级别管理流程v服务级别管理是协调服务提供方和服务接受方的关键性流程，它为规范双方行为、解决双方争议提供了一个管理框架和协商的基础。服务级别管理促使客户去思考和确定他们真实的业务需求，也使得IT服务提供方更加专注于服务质量的提高。通过考虑IT服务提供过程中发生的成本，服务级别管理还有助于提高IT服务的经济效益。计算机网络管理理论与实践教程ITIT服

335、务财务管理的概念服务财务管理的概念vIT服务财务管理（Financial Management for IT Services）是负责对IT服务运作过程中所涉及的所有资源进行货币化管理的流程。该流程主要包括预算编制、IT核算和服务计费三个子流程。计算机网络管理理论与实践教程ITIT服务财务管理的目标服务财务管理的目标v对支持IT服务运作的IT资产和资源进行成本效益管理；v为IT服务管理人员基于成本效益原则对每项IT投资做出科学的决策提供信息；v便于企业内部采取商业化形式进行IT服务的运作；v全面核算IT服务的运作成本；v通过服务计费引导客户行为，节约IT服务成本。计算机网络管理理论与实践教程I

336、TIT服务财务管理流程服务财务管理流程计算机网络管理理论与实践教程能力管理的概念能力管理的概念v能力管理主要关注组织业务和IT基础架构之间的关系，它不仅要评价和改进现有服务能力，而且还应分析和预测组织未来的业务需求，从而据以确定未来应当配置的服务能力的级别。因此，能力管理流程是一个积极的具有前瞻性的服务管理流程。计算机网络管理理论与实践教程v能力管理流程的实施主要围绕以下三方面的问题展开：v维持现有IT服务能力的成本相对于组织的业务需求而言是合理的吗？v现有的IT服务能力能满足当前及将来的客户需求吗？v现有的IT服务能力发挥了其最佳效能吗？计算机网络管理理论与实践教程能力管理的目标能力管理的目

337、标v分析当前的业务需求和预测将来的业务需求，并确保这些需求在制定能力计划时得到充分的考虑。v确保当前的IT资源能够发挥最大的效能、提供最佳的服务品质。v确保组织的IT投资按计划进行，避免不必要的资源浪费。计算机网络管理理论与实践教程能力管理流程能力管理流程 业务能力管理服务能力管理资源能力管理计算机网络管理理论与实践教程计算机网络管理理论与实践教程ITIT服务持续性管理服务持续性管理vIT服务持续性管理（IT Service Continuity Management）就是负责预防灾难、增强IT基础架构的恢复能力（Resilience）和容错能力（Fault Tolerance）的流程，它需要

338、确保组织在发生灾难后有足够的技术、财务和管理资源来确保IT服务的持续性运作。vIT服务持续性管理（ITSCM）是组织业务持续性计划（Business Continuity Management）的一个组成部分。业务持续性管理流程主要侧重于将风险降低至合理水平以及在业务中断发生以后进行业务流程恢复两个方面。而IT服务持续性管理主要侧重于IT基础架构的技术方面。vIT服务持续性管理与事故管理、问题管理关注日常性的事故和问题不同，它主要关 计算机网络管理理论与实践教程持续性管理的目标持续性管理的目标vIT服务持续性管理的目标是确保业务运作所需的IT基础架构和和IT服务在灾难发生后的限定时间内能够得到

339、恢复，从而对组织的总体业务持续性管理（BCM）提供支持 。计算机网络管理理论与实践教程ITIT服务持续性管理流程服务持续性管理流程计算机网络管理理论与实践教程可用性管理的概念可用性管理的概念v可用性管理是有关设计、实施、监控、评价和报告IT服务的可用性以确保持续地满足业务的可用性需求的服务管理流程。v可用性（Availability）是指一个组件或一种服务在设定的某个时刻或某段时间内发挥其应有功能的能力。它通常以可用率来表示，即在约定的服务时段内，客户实际能够使用的服务的时间比例。v与可用性相关的概念有可靠性（Reliability）、可维护性（Maintainability）、安全性（Sec

340、urity）和可服务性（Serviceability）。v可靠性是指IT基础架构可以无间断运作的能力，它主要取决于单个IT组件的可靠性和IT基础架构的整体恢复能力。v可维护性是指IT基础架构在出现故障后能够被迅速恢复的能力。v安全性是指于某项服务相关的数据的保密性、完整性和可用性。计算机网络管理理论与实践教程可用性管理的目标可用性管理的目标v可用性管理的目标是提供确保业务目标的成本合理的、可用性级别定义的IT服务。即客户需求应该和IT结构及IT组织所能提供的能力相一致。如果二者之间存在差距，就需要由有可用性管理流程来提供解决方案。计算机网络管理理论与实践教程可用性管理流程可用性管理流程计算机网

341、络管理理论与实践教程可用性管理的主要活动可用性管理的主要活动v可用性管理流程涉及IT基础架构的设计、实施、评价和控制等过程，并且贯穿于IT服务运作的整个过程。可用性管理流程运作过程中需要进行的活动主要包括可用性需求分析、可用性设计、恢复方案设计、编制可用性计划、IT组件维护管理、可用性改进、可用性评价和报告等活动。计算机网络管理理论与实践教程本章小结本章小结vIT服务管理是一套通过服务级别协议(SLA)来保证IT服务质量的协同流程，它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。本章主要介绍IT服务管理的概念、产生和发展，详细介绍了IT服务管理的含义、范围以及核心理念，IT基础框架库（ITIL）的核心流程。计算机网络管理理论与实践教程练习与思考练习与思考v简述IT服务管理的发展历程。vIT服务管理的含义是什么？vIT服务管理的范围有哪些？v简述IT基础框架库（ITIL）的核心流程。v简述IT基础框架库（ITIL）中服务台的含义。v简述配置管理的概念、目标和流程。v简述变更管理的流程。v针对具体单位的情况，采用ITIL的思想和方法规划IT服务管理。v谈谈对IT服务管理的发展前景的看法。