计算机网络管理理论与实践教程(完整版)

1、计算机网络管理理论与实践教程计算机网络管理理论与实践教程 第一章第一章 绪论绪论 全国信息技术水平考试 计算机网络管理理论与实践教程 目录 v 绪论 v 简单网络管理协议SNMP v 网络系统规划与工程管理 v IP地址管理 v 网络配置管理 v 网络故障管理 v 网络性能管理 v 网络安全管理理论与技术 v 网络计费管理 v 网络管理平台与工具 v 网络管理机构组织与运行 v IT服务管理 计算机网络管理理论与实践教程 绪论 v网络管理概述 v网络管理功能和目标 v网络管理模型与协议 v网络管理体系结构 v网络管理典型实现模式分析 v网络管理软件系统 计算机网络管理理论与实践教程 网络管理概

2、述 v网络管理的概念 网络管理就是对网络中各种资源，如网络设备、通信 线路、网络用户、网络服务、网络信息等进行监测、 配置、修改、调控，使得网络能够满足应用的需求。 按照国际标准化组织（ISO）的定义，网络管理主要包 括五个方面工作，即故障管理、配置管理、计费管理、 性能管理、安全管理。 性能管理 计费管理 故障管理 安全管理 配置管理 计算机网络管理理论与实践教程 第三阶段 智能化管理阶段 第二阶段 计算机 辅助管理阶段 网络管理概述 v网络管理的历程 网络管理大致经历的三个阶段： 第一阶段 人工管理阶段 计算机网络管理理论与实践教程 网络管理的功能和目标 v配置管理 配置管理负责监测和修改

3、网络的配置信息和运行状态。 在网络的建立、扩充、改造以及运行过程中，对网络 资源的配置、运行状态、网络的拓扑结构等配置信息 进行定义、监测和修改。 v故障管理 故障管理的目的在于确保网络系统可靠、稳定的运行。 在网络发生故障时，及时地进行故障定位，排除故障 恢复网络的正常运行。故障管理包括对被管理对象状 态的监控、故障事件的追踪、定位与记录以及故障的 排除等。 计算机网络管理理论与实践教程 网络管理的功能和目标 v性能管理 性能管理的目的是确保网络不会出现过度拥挤的情况， 保障网络的可用性，为用户提供良好的网络服务质量 (QoS)。 v安全管理 网络安全是指包括网络设备、网络通信协议和网络管

4、理系统在内的所有支持网络系统运行的硬件/软件总体 的安全。安全管理的目标是保证网络的保密性、可用 性、完整性、可控制性，不因网络设备、网络通信协 议、网络管理系统受到人为和自然因素的危害，而导 致网络传输信息丢失、泄露或破坏。 计算机网络管理理论与实践教程 网络管理的功能和目标 v计费管理 计费管理的主要任务是根据管理部门制定的计费策略， 对网络资源的使用情况收取相应的费用，分担网络运 行成本。 计算机网络管理理论与实践教程 网络管理的功能和目标 v服务管理 服务是由服务提供商支持的、让客户感觉协调一致， 能够满足客户的一种或多种需求的可用系统或功能。 服务管理融合了系统管理、网络管理、系统开

5、发管理 等管理活动和变更管理、资产管理、问题管理等许多 流程的理论和实践。 目前网络管理的内容将会逐步地纳入到IT服务管理范 畴下，作为IT服务的一个组成部分，网络管理也将遵 循水平协议（SLP）框架。 计算机网络管理理论与实践教程 网络管理模型与协议 v网络管理模型 网络管理可以抽象为管理者、管理协议、管理信息库 和管理代理四部分组成。 计算机网络管理理论与实践教程 网络管理模型与协议 v网络管理协议 网络管理协议是网络管理系统忠最重要的部分，它定 义了网络管理者与被管代理间的通信方法，规定了管 理信息库的存储结构、信息库中关键字的含义以及各 种事件的处理方法。 SNMP（Simple Ne

6、twork Management Protocol）： 简单网络管理协议 CMIP（Common Management Information Protocol）： 通用管理信息协议 计算机网络管理理论与实践教程 网络管理体系结构 v网络管理体系结构概念 网络管理体系结构是指网络管理系统、网络管理代理 的组织形式。 常见的网络管理体系结构是： 集中式体系结构 分层式体系结构 分布式体系结构 计算机网络管理理论与实践教程 网络管理体系结构 v集中式网络管理体系结构 集中式网络管理体系结构是将 网络管理系统建立在一个计算 机系统上，由该计算机系统负 责所有的网络管理任务。 计算机网络管理理论与实践

7、教程 网络管理体系结构 v分层网络管理体系结构 分层体系结构使用多个计算机系统，其中一个作为网 络管理的中央服务器系统，其它作为客户端系统。网 络管理系统的某些功能驻留在服务器系统上，其它功 能由客户端系统完成。 计算机网络管理理论与实践教程 网络管理体系结构 v分布式网络管理体系结构 分布式体系结构采用多个对等平台，其中一个平台作 为一组对等平台的管理者，每个对等平台都有整个网 络设备的完整数据库。 计算机网络管理理论与实践教程 网络管理典型实现模式分析 v基于SNMP网络管理 SNMP网络管理体系结构是为了管理TCP/IP协议的网络 而提出的一种网络管理协议。 SNMP的网络管理模型包括管

8、理者、管理代理、管理信 息库和管理协议等重要组成部分。 管理者一般是安装了网络管理系统的独立设备，作 为网络管理员与网络管理系统的接口。 管理代理安装在被管理对象（如主机、路由器和交 换机）中,对来自管理者的信息请求和动作请求进行 应答，并为管理者报告一些重要的意外事件。 管理信息库是管理对象信息的集合，管理者通过管 理代理读取管理信息库中对象的值来进行监控。 管理站和代理者之间通过SNMP网络管理协议通信。 计算机网络管理理论与实践教程 网络管理典型实现模式分析 v基于CMIP网络管理 OSICMIP网络管理体系结构是一个面向对象的设计， 其体系结构由4个主要部分组成：信息模型、组织模型、

9、通信模型和功能模型。 信息模型：管理信息结构、命名等级体系和管理对 象定义； 组织模型：采用管理系统和代理系统模式，定义了 一些管理角色，如管理者、代理等； 通信模型：是基于系统的通信体系结构，包括应用 管理、层管理和层操作3种交换管理信息的机制； 功能模型：将整个管理系统划分为五个功能域：配 置、故障、性能、安全和计费管理。 计算机网络管理理论与实践教程 网络管理典型实现模式分析 v基于WEB的网络管理 WBM有两种代理基本的实现方案：代理方案和嵌入式方 案。 基于代理的实现方案是将Web服务部署到网管设备或 服务器上，该设备使用网络管理协议收集网络管理 信息，用户使用浏览器，通过HTTP协

10、议与Web服务器 进行通信，完成网络管理工作。 嵌入式的实现方案是将Web服务嵌入到网络设备中， 网络管理员可通过浏览器直接访问该设备并且进行 管理。 计算机网络管理理论与实践教程 网络管理典型实现模式分析 vTMN网络管理 电信管理网（TMN）由国际电信联盟(ITU)提出，目的 是为了向用户提供高质量、高可靠性的电信服务，有 效地降低网络运营成本。 TMN提供有组织的网络结构，以取得各种类型的操作系 统之间，操作系统与电信设备之间的互连。 TMN的管理功能：性能管理、配置管理、帐务管理、故 障管理、安全管理。 TMN的功能模块：操作系统功能模块、工作站功能模块、 网元功能模块、Q适配器功能模

11、块和协调功能模块。 计算机网络管理理论与实践教程 网络管理软件 v网络管理软件组成 网络管理软件应具有网络管理信息采集功能、配置管 理功能、故障管理功能、计费管理功能、安全管理功 能、服务管理功能以及网络管理操作可视化操作功能。 计算机网络管理理论与实践教程 网络管理软件 v网络管理系统类型 网络管理软件根据被管理对象的不同可分为两大类： 通用网络管理软件和网元(网络设备)管理软件。 网元管理软件只管理单独的网元, 一般由设备的原 生产厂商提供，各厂商采用专有的管理MIB库。 通用网络管理软件则主要用于掌握全网的状况，支 持对所有SNMP设备的发现和监控，可集成设备生产 厂商的私有MIB库，实

12、现对全网(多厂商)设备进行识 别和统一的管理。 计算机网络管理理论与实践教程 本章小结 v网络管理概述 v网络管理功能和目标 v网络管理模型与协议 v网络管理体系结构 v网络管理典型实现模式分析 v网络管理软件系统 计算机网络管理理论与实践教程 练习与思考 v网络管理目标和功能是什么？ v典型网络管理体系结构有哪些？各自特点是什么？ 适应什么情况？ v调查市场上主流网络管理软件，比较其功能特性。 计算机网络管理理论与实践教程 计算机网络管理理论与实践教程计算机网络管理理论与实践教程 第二章第二章 简单网络管理协议简单网络管理协议SNMPSNMP 全国信息技术水平考试 计算机网络管理理论与实践教

13、程 目录 v 绪论 v 简单网络管理协议SNMP v 网络系统规划与工程管理 v IP地址管理 v 网络配置管理 v 网络故障管理 v 网络性能管理 v 网络安全管理理论与技术 v 网络计费管理 v 网络管理平台与工具 v 网络管理机构组织与运行 v IT服务管理 计算机网络管理理论与实践教程 简单网络管理协议SNMP vSNMP概述 vSNMP管理模型 vSNMP管理信息结构 vSNMP管理信息库 v远程监视RMON vSNMPV1分析 vSNMP安全分析 计算机网络管理理论与实践教程 SNMP概述 vSNMP的发展历程 随着TCP/IP协议广泛应用，网络数目与网络内主机的 数量不断增多，网

14、络管理问题日益凸显。 国际标准化组织（ISO）针对其自己提出的开放系统互 连参考模型（OSI）的七层协议框架设计了公共管理信 息服务（CMIS）和公共管理信息协议（CMIP）。 因特网工程任务组（IETF）为了管理快速增长的 Internet，决定修改并采用OSI的CMIP作为Internet的 网络管理协议，修改后的协议被称为：建立在TCP/IP 之上的公共管理信息服务与协议 (CMOT)。 计算机网络管理理论与实践教程 SNMP概述 vSNMP的发展历程 CMIS/CMIP的实现由于复杂性和实现代价太高而遇到了 许多困难，CMOT迟迟不能正式出台。 1990年IETF决定把在NYSERNE

15、T和SURANET上开发的简单 网关监控协议（SGMP）进行修改后，作为暂时的网络 管理解决方案。这个临时解决方案后来发展成为简单 网络管理协议（SNMP）的第一个版本SNMPv1。 计算机网络管理理论与实践教程 SNMP概述 vSNMP的发展历程 为了弥补在安全方面的足，IETF开始进行SNMP新版本 的开发工作。1992年7月，SNMP的设计者提出了称为 SNMPsec的安全SNMP版本。 计算机网络管理理论与实践教程 SNMP概述 vSNMP的发展历程 1993年，IETF发布了SNMP的第二版SNMPv2。SNMPv2吸 取了SNMPsec以及RMON在安全性能和功能上的经验，同 时针

16、对SNMPv1在管理大型网络上的不足，对SNMP进行 了一系列的扩充。 计算机网络管理理论与实践教程 SNMP概述 vSNMP的发展历程 经过几年的试用发现SNMPv2的安全机制存在严重缺陷。 许多设备提供商在SNMPv2的基础上加入自定义的安全 特性，逐渐形成了SNMPv2u及SNMPv23两个版本。 计算机网络管理理论与实践教程 SNMP概述 vSNMP的发展历程 为统一标准，IETF不得不在1996年对SNMPv2进行修订， 发布了SNMPv2c。 计算机网络管理理论与实践教程 SNMP概述 vSNMP的发展历程 1999年IETF正式发布了SNMPv3。SNMPv3是在SNMPv2基

17、础之上增加了安全和管理机制的协议，得到了设备生 产厂商的支持。 计算机网络管理理论与实践教程 SNMP概述 vSNMP的特点 简单 可扩展 应用广泛 vSNMP存在的问题 计算机网络管理理论与实践教程 SNMP管理模型 vSNMP管理模型的四个基本组成部分 管理者 管理代理 管理协议 管理信息库 计算机网络管理理论与实践教程 SNMP管理模型 vSNMP管理组织结构 两层组织模式 计算机网络管理理论与实践教程 SNMP管理模型 vSNMP管理组织结构 三层组织模式 计算机网络管理理论与实践教程 SNMP管理模型 vSNMP管理组织结构 代理服务器组织模式 计算机网络管理理论与实践教程 SNMP

18、管理信息结构 v对象类型的命名 每个MIB对象都使用对象标识符来唯一标识 计算机网络管理理论与实践教程 SNMP管理信息结构 v对象类型的语法 每个MIB变量格式是SMI规定的，用ASN.1描述如下： (objectname) OBJECT-TYPE DESCRIPTION:(description) SYNTAX: (syntax) ACCESS: (access) STATUS: (status) :=(Parent)number 计算机网络管理理论与实践教程 SNMP管理信息库 v MIB-II的组 对象对象标识符说明 system.2.1.1提供设备或系统的信息。 int

19、erfaces.2.1.2包含网络接口的信息。 at.2.1.3用于InternetIP地址到数据链路地址的地址转换表。 ip.2.1.4包含关于该设备的网际协议（IP）的统计信息。 icmp.2.1.5包含Internet控制消息协议（ICMP）的统计信息。 tcp.2.1.6包含传输控制协议（TCP）的统计信息。 udp.2.1.7包含用户数据报协议（UDP）的统计信息。 egp.2.1.8包含外部网关协议（EGP）的统计信息。 cmot.2.1.9CMOT协议的信息。 tran

20、smissio n .2.1.10提供系统接口之下的特定媒体的信息。 snmp.2.1.11包含简单网络管理协议（SNMP）的统计信息。 计算机网络管理理论与实践教程 远程监视RMON vRMON简介 RMON是用于远程监控的标准规范，它是由SNMP MIB扩 展而来。 RMON由探测器和管理者两部分构成。 计算机网络管理理论与实践教程 SNMPv1分析 vSNMPv1报文格式 SNMP报文被封装在用户数据报协议（UDP）报文的数据 项中，并通过UDP协议进行传输。 计算机网络管理理论与实践教程 SNMPv1分析 vSNMPv1报文格式 SNMP报文由首部和协议数据

21、单元2部分组成。 计算机网络管理理论与实践教程 SNMPv1分析 v SNMPv1报文格式 SNMPv1报文传输，经过传输层、互联层、网络存取层以 及物理层的网络。 计算机网络管理理论与实践教程 SNMPv1分析 v SNMPv1报文格式 SNMPv1报文协议数据单元分为协议数据单元首部和变量 绑定两个部分。 Get/Set类型报文与Trap类型报文的协议数据单元首部 格式不同。 计算机网络管理理论与实践教程 SNMPv1分析 v SNMPv1报文格式 SNMPv1报文协议数据单元分为协议数据单元首部和变量 绑定两个部分。 Get/Set类型报文与Trap类型报文的协议数据单元首部 格式不同。

22、 计算机网络管理理论与实践教程 SNMP安全分析 v SNMP安全威胁 伪造 消息流修改 消息窃听 拒绝服务攻击 流量分析 计算机网络管理理论与实践教程 SNMP安全分析 v SNMP安全需求 提供消息的完整性验证机制 提供消息的源验证机制 提供消息的时间戳标识 提供防止消息内容泄漏和非法读写的保护机制 管理者和管理代理之间相互认证 计算机网络管理理论与实践教程 本章小结 vSNMP概述 vSNMP管理模型 vSNMP管理信息结构 vSNMP管理信息库 v远程监视RMON vSNMPV1分析 vSNMP安全分析 计算机网络管理理论与实践教程 练习与思考 vSNMP支持哪些组织模式？ vSNMP

23、的主要安全威胁是什么？ vRMON的主要用途是什么？ v阅读SNMP相关的RFC文档。 计算机网络管理理论与实践教程 计算机网络管理理论与实践教程计算机网络管理理论与实践教程 第三章第三章 网络系统规划与工程管理网络系统规划与工程管理网络系统规划与工程管理网络系统规划与工程管理 全国信息技术水平考试 计算机网络管理理论与实践教程 网络系统规划与工程管理 TEXTTEXTTEXTTEXT 网络系统建设 的准备工作 网络系统设计 与规划 网络系统建 设工程施工 管理 网络系统工 程的验收 计算机网络管理理论与实践教程 网络系统建设的准备工作网络系统建设的准备工作 项目立项 网络系统建设项目的立项

24、报告主要由两个部分组成。 第一部分介绍项目的基本情 况，包括：工程名称、项目 的建设单位、项目组织机构、 项目负责人和组织分工、参 加单位与协作单位等内容。 第二部分对项目的建设进行 详细的分析，包括项目背景， 项目建设的目的和意义、需 求分析、总体方案、分阶段 建设方案、投资估算、效益 分析等内容 可行性分析 可行性分析是在项目 建设的前期对工程项 目的一种考察和鉴定， 是把所有与系统的投 资效果有关的因素综 合起来加以分析。对 拟议中的项目进行全 面与综合的技术、经 济能力的调查与研究， 判断它是否可行。 可行性分析主要关注 经济可行性、技术可 行性、系统生存环境 可行性、各种可选方 案等

25、四个方面的内容 立项工程的委托 . 计算机网络管理理论与实践教程 网络系统设计与规划 v网络基础平台 n网络基础平台的建设主要包括：网络整体规划、 网络设备选型、服务器和操作系统选型、存储备 份系统选型。 计算机网络管理理论与实践教程 标准化原则 先进性和实用性原则 可靠性和可扩展性原则 经济性和效益性原则 安全性与可管理性原则 网络系统设计与规划原则 计算机网络管理理论与实践教程 网络系统设计与规划 v 网络整体规划 n计算机网络的分类 按照网络覆盖范围的大小分为局域网、城域网和广 域网 n网络的拓扑结构 总线型拓扑结构 图 3 1总线型拓扑结构 计算机网络管理理论与实践教程 网络系统设计与

26、规划 环形拓扑结构 图 3 2环形拓扑结构 计算机网络管理理论与实践教程 网络系统设计与规划 星型拓扑结构 图 3 3星型拓扑结构 计算机网络管理理论与实践教程 网络系统设计与规划 v网络传输技术 n常用的网络传输技术 ： 同步数字体系（SDH） 准同步数字体系（PDH） 数字微波传输系统 数字卫星通信（VSAT） 有线电视网（CATV） n常用的网络交换技术 ： 异步传输模式（ATM） 光纤分布式数据接口（FDDI） 以太网（Ethernet） 计算机网络管理理论与实践教程 网络系统设计与规划 快速以太网（FastEthernet） 千兆位以太网 n常用的网络接入技术主要有 ： 调制解调器（

27、Modem） 电缆调制解调器（CablaModem） 高速数字用户环路（HDSL） 非对称数字用户环路（ADSL） 超高速数字用环路（VDSL） 综合业务数字网（ISDN） TDMA和CDMA无线接入 计算机网络管理理论与实践教程 网络系统设计与规划 vIP地址规划 nIP地址分类 A类地址 B类地址 C类地址 D类地址 图 3 4 IP地址分类 计算机网络管理理论与实践教程 网络系统设计与规划 n特殊IP地址 网络地址 直接广播地址 回送地址 n子网编址 子网编址将IP地址的主机号部分再划分为子网部分和主机 部分。 一个被子网化的IP地址实际包含网络号、子网号、主机号 三部分。 为了区分这三

28、部分，需要使用子网掩码进行判断。IP协议 规定，在子网掩码中，与IP地址的网络号和子网号相对应 的位用“1”表示，与IP地址的主机号相对应的位用“0”表 示。将IP地址和它的子网掩码相比较，就可以判断出IP地 址中哪些位表示网络，哪些位表示主机。 计算机网络管理理论与实践教程 网络系统设计与规划 n网络设备 l在进行网络设备的选型时，需要考虑以下的一些问题： l网络路由和交换设备之间的兼容性是否良好。 l网络设备的功能和技术指标是否会造成网络整体性能的瓶 颈。 l设备是否具有良好的扩展性，以支持未来各种新业务和增 值业务的开展 l路由器 路由器是一种连接多个网络或网段的网络设备，具有判断网 络

29、地址和选择路径的功能。在局域网接入广域网的众多方 式中，通过路由器接入互联网是最为普遍的方式。使用路 由器接入互联网络的最大优点是：各互联子网仍可保持各 自的独立性，每个子网可以采用不同的拓扑结构、传输介 质和网络协议，网络结构层次分明 计算机网络管理理论与实践教程 网络系统设计与规划 选择路由器应该考虑以下因素：所支持的路由协议、安全 性、背板能力 、吞吐量、转发时延、路由表容量 以及可 靠性 n交换机 在网络系统的设计中，基于应用层次、处理能力和可靠性 要求，还根据交换机在应用中所扮演的角色以及所处的位 置，将交换机分为核心层交换机、汇聚层交换机和接入层 交换机等三类。 选购核心层的交换机

30、，应考虑：模块的可扩展性、端口的 可扩容性、带宽的可扩容性 、提供可扩展的多种网络业 务、网络可靠性。 计算机网络管理理论与实践教程 网络系统设计与规划 选购汇聚层的交换机 ，应考虑：体系结构、可靠性设计、 用户管理、管理系统 选购汇聚层的交换机 ，应考虑： 1要能够适应恶劣的工作环境 2既能满足建设网络的要求，又要有很高的性价比 3支持组播，可以满足多媒体和视频流的要求 4支持SNMP、RMON等网管协议，支持远程管理 5可以利用基于802.1Q VLAN中继线路架构在任何端口创建 VLAN中继线路，因而可以保障构筑跨骨干的VPN的功能 计算机网络管理理论与实践教程 网络系统设计与规划 v服

31、务器 n服务器的运算性能 应用系统的数据处理模型大致可以分成两大类：一种是联 机事务处理模型OLTP（on-line transaction processing）、另一种是联机分析处理模型OLAP（On- Line Analytical Processing）。 OLTP的特点是 1实时性要求高 2数据量不大 3交易一般是确定的，是对确定性的数据进行存取 4并发性要求高并且严格的要求事务的完整、安全性 计算机网络管理理论与实践教程 网络系统设计与规划 OLAP的特点是： 1实时性要求不是很高 2数据量大 3查询一般是动态的 n服务器的可靠性 服务器的可靠性是需要考察的一个重要指标，通常用平均

32、 无故障时间（MTBF）值来衡量系统的可靠性。 为了提高系统的可靠性，还需要采取以下的一些方案 ： 1在关键业务应用中数据库和应用服务器应支持群集和高可 用性（HA）处理，设备选型时应重点考虑多机间的热切换 和负载均衡能力 2服务器的硬盘、网络接口、网络连接及电源均应考虑足够 的冗余 计算机网络管理理论与实践教程 网络系统设计与规划 v操作系统 v数据存储系统 n直接连接存储DAS 是指将外置存储设备通过连接电缆，直接连接到一台计算 机上。采用直接外挂存储方案的服务器结构如同PC机架构， 外部数据存储设备直接挂接在内部总线上，数据存储是整 个服务器结构的一部分。 n网络接入存储NAS 主要特征

33、是将存储功能从通用文件服务器中分离出来，使 其更加专门化。网络接入存储把存储设备和网络接口集成 在一起，直接通过网络存取数据，从而获得更高的存取效 率，更低的存储成本。 计算机网络管理理论与实践教程 网络系统设计与规划 n存储区域网络 SAN v 数据备份和恢复系统 1）对重要数据的即时备份能力。 2）备份数据加密功能。 3）设置的灵活性。 4）灾难恢复。 5）并行处理能力。 6）数据可靠性。 7）系统的跨平台兼容性。 8）使用和操作的简便性。 9）支持LUN屏蔽功能。 10）数据备份和恢复的效率。 计算机网络管理理论与实践教程 网络系统设计与规划 11）备份管理软件应具备以下功能：显示备份网

34、络拓扑结构 图、识别并显示磁带库驱动器、监控作业任务的执行情况 （备份进度、资源利用率等）、监控进程的状态。 12）备份策略的合理性：设置备份对象、数据保存时间、备 份时间段等。 13）可以选择灵活的备份策略，支持：数据库全备份、数据 库增量备份、文件全备份、文件增量备份、系统全量备份、 系统增量备份、跟踪备份等多种备份方式。 n磁带库性能指标： 配置驱动器数；最大可扩充数。 磁带驱动器类型。 计算机网络管理理论与实践教程 网络系统设计与规划 单个磁带容量（非压缩） 配置磁带数量，清洗带数 量 驱动器最大持续传输率（不压 缩） 磁带库配置磁带匝插槽数 支持SAN，磁带驱动器接口类 型及速率 v

35、综合布线系统 n概述 图 3 6综合布 线系统示意图 计算机网络管理理论与实践教程 网络系统设计与规划 n标准 建筑与建筑群综合布线系统工程设计规范CECS72： 97 建筑与建筑群综合布线系统工程施工及验收规范 CECS89：97 中国电气装置安装工程施工及验收规范GBJ232.82 智能建筑设计标准 GB/T-50314-2000 建筑与建筑群综合布线工程设计规范 GB/T- 50311-2000 计算机网络管理理论与实践教程 综合布线系统的优点 结构清晰，便于管理维护结构清晰，便于管理维护 灵活方便灵活方便 便于扩充便于扩充 计算机网络管理理论与实践教程 网络系统设计与规划 建筑与建筑群

36、综合布线工程施工及验收规范 GB/T-50312- 2000 商用建筑物布线标准EIA/TIA 568A 民用建筑线缆标准EIA/TIA586 民用建筑信道和空间标准EIA/TIA569 民用建筑通信管理标准EIA/TIA606 民用建筑通信接地标准EIA/TIA607 用户建筑通用布线标准ISO/IEC 11801 CLASS E DRAFT 以太网10Base-T标准IEEE802.3 以太网100Base-T标准IEEE802.3u 千兆以太网标准IEEE802.3Z 计算机网络管理理论与实践教程 网络系统设计与规划 n设计要点 综合布线系统应是开放式拓扑结构，应能支持电话、数据、 图文

37、、图像等多媒体业务的需要。 综合布线系统应按工作区子系统、配线子系统、干线子系 统、设备间子系统、管理子系统、建筑群子系统等六个部 分进行设计。 建筑与建筑群的工程设计，应根据实际需要，选择适当配 置的综合布线系统。 综合布线系统的组网和各段缆线的长度限值应符合规定。 综合布线系统工程设计，选用的电缆、光缆、各种连接电 缆、跳线，以及配线设备等所有硬件设施，均应符合标准 的各项规定。 系统设计应根据不同对象采用不同的处理方式。 综合布线系统与外部通信网连接时，应符合相应的接入网 标准。 计算机网络管理理论与实践教程 网络系统设计与规划 n运行环境 机房 电源 v 网络服务平台的设计 v Int

38、ernet网络服务系统 Internet网络服务系统包括： 万维网（WWW） 电子邮件（Email） 新闻服务（News） 文件传输（FTP） 远程登录（Telnet） 信息查询（Archie、Gopher、WAIS） 计算机网络管理理论与实践教程 网络系统设计与规划 n电子邮件系统 电子邮件系统通常包括两个组件：邮件用户代理MUA(Mail User Agent)和邮件传送代理MTA(Mail Transport Agent)。 电子邮件系统在规划设计时除了系统容量、并行投递邮件 数外，应考虑以下的要求： 1兼容性要求 2安全性要求 3管理功能要求 nDNS服务器 支持的负载均衡策略支持集中

39、和分布式域名解析。 支持多ISP接入应用。 易管理性，是否支持基于Web的管理，支持统计分析。 与不同操作系统和网络环境的兼容性。 计算机网络管理理论与实践教程 网络系统设计与规划 nWWW服务器 支持的单位时间最大并发用户数(与服务器和应用有关) 对服务器群集的支持 支持页面高速缓存 支持XML和Web Service工业标准和ASP、.COM、.NET组件 支持SSL、TLS安全协议、RSA、DES等加密算法 支持通过ADO和ODBC与第三方数据库进行接口 对WML和WAP的支持 支持JavaScript、VBScript和Perl等脚本语言 与Active Server Pages的兼容

40、能力 计算机网络管理理论与实践教程 网络系统设计与规划 nFTP服务器 v多媒体业务网络系统 nVOIP系统 系统体系: 1智能网络管理和控制层 2呼叫控制层 3传输层 系统功能 (见书P65) n视频会议系统（见书P66） n应用和服务系统 计算机网络管理理论与实践教程 网络系统设计与规划 v网络安全与管理平台的设计 n网络安全服务与模式 网络安全服务包括 1数据机密性服务 2对等实体鉴别服务 3访问控制服务 4数据完整性服务 5禁止否认服务 计算机网络管理理论与实践教程 网络系统设计与规划 n数字证书系统 数字证书系统的设计方案应实现以下功能： 1证书业务服务系统提供基于数字证书的信任服务

41、， 进行证书管理。 2密钥管理系统提供基于统一安全管理的密钥服务， 进行对称密钥和非对称密钥以及相关的密钥服务 管理。 3密码服务系统提供基于统一安全管理的密码服务。 4授权服务系统以信任服务为基础，为应用系统提供 资源访问控制和授权管理服务，支持权限管理。 计算机网络管理理论与实践教程 Diagram P2DR模型4个主要部分 响应 检测 保护 策略 计算机网络管理理论与实践教程 网络系统设计与规划 1可信时间戳服务系统基于国家权威时间源和公钥技术，为 应用系统提供可信的时间戳服务。 2证书查询验证服务系统提供数字证书/证书撤消列表的目录 查询服务，进行证书/证书撤消表的目录管理，以及证书

42、状态在线查询服务。 3基础安全防护服务系统提供信息安全防护服务。 4故障恢复及容灾备份系统提供系统故障恢复及容灾备份服 务。 5网络信任域系统提供网络可信接入及网络信任域管理服务。 n防火墙系统 防火墙是网络安全的第一道防线，一般用来将内部网络与 Internet或外部网络相互隔离、限制网络互访，保护内部 网络的安全。 计算机网络管理理论与实践教程 网络系统设计与规划 防火墙放在两个网络之间，通常是内部网与外部网或 Internet之间，因此所有从内部到外部或从外部到内部的 通信都必须经过它，这就意味着防火墙可以检查所有的网 络数据包。 防火墙类型：包过滤防火墙、服务代理防火墙、网络地址 转换

43、NAT 选择防火墙考虑的指标： 1支持透明和路由两种工作模式。 2支持广泛的网络通信协议和应用协议 3支持多种入侵监测类型 4支持对HTTP、FTP、SMTP等服务类型的访问控制。 5支持静态、动态和双向的NAT。 计算机网络管理理论与实践教程 网络系统设计与规划 6支持对日志的统计分析功能，同时日志是否可以存储在本地和网 络数据库上 7对防火墙本身或受保护网段的非法攻击系统提供多种告警方式以 及多种级别的告警 8提供策略备份和恢复功能 9具备检测DoS攻击的能力支持负载均衡 10支持双机热备 n入侵检测 l入侵检测是通过检查网络中传输的数据包信息，判断是否有违 背安全策略或危及系统安全的行为

44、或活动，从而保护系统不受 外来的攻击，防止数据的泄漏、篡改和破坏。入侵检测的目的 不是阻止入侵的发生，而是在于发现入侵者和入侵行为。从而 及时进行网络安全应急响应，避免对系统的恶意访问和破坏。 计算机网络管理理论与实践教程 网络系统设计与规划 l入侵检测技术主要分为两大类型：异常入侵检测和误用入 侵检测 l入侵监测系统的要求： 1在检测到入侵事件时，自动执行切断服务、记录入侵过程、 邮件报警等动作 2支持攻击特征信息的集中式发布和攻击取证信息的分布式 上载 3提供多种方式对监视引擎和检测特征的定期更新服务 4内置网络使用状况监控工具和网络监听工具 n漏洞扫描系统 l漏洞扫描系统的要求 计算机网

45、络管理理论与实践教程 网络系统设计与规划 1定期或不定期地使用安全性分析软件对整个内部系统进行 安全扫描，及时发现系统的安全漏洞、报警并提出补救建 议 2支持与入侵监测系统的联动 3检测规则应与相应的国际标准漏洞相对应 4支持灵活的事件和规则自定义功能，允许用户修改和添加 自定义检测事件和规则，支持事件查询 5支持快速检索事件和规则信息的功能，方便用户通过事件 名、详细信息、检测规则等关键字对事件进行快速查询 6可以按照风险级别进行事件分级 7控制台应能提供事件分析和事后处理功能，应具有对报警 事件的源地址进行地址解析，分析主机名，分析攻击来源 的功能 8提供安全事件统计概要报表，并按照风险等

46、级进行归类 9通过数据库管理工具统计数据库建立时间以及当前记录数 目 计算机网络管理理论与实践教程 网络系统设计与规划 n网络防病毒系统 l反病毒策略包括为安装程序，使用系统和共享文件等制订 出相应的规程，以及使用反病毒软件的方法，并使网络中 的所有用户遵守 l网络防病毒系统的要求 计算机网络管理理论与实践教程 选择反病毒软件要考虑 快速、方便的升级病毒实时监测能力对新病毒的反应能力病毒查杀能力 计算机网络管理理论与实践教程 网络系统设计与规划 1. 支持多种平台的病毒防范。 2. 支持对服务器的病毒防治。 3. 支持对电子邮件附件的病毒防治。 4. 提供对病毒特征信息和检测引擎的定期在线更新

47、服务。 5. 实现对网络内计算机的集中管理、分布式杀毒 6. 防病毒范围广泛 n网络管理系统 l对网络管理的需求体现在： 1. 网络管理：对整个网络和指定子系统或设备的工作状态进行集 中管理和监控， 2. 系统管理：服务器系统、存储和备份系统、网络服务、网络安 全系统进行统一的管理和监控。 3. 运行维护管理：对网络系统各种资源的运行状况进行全面的信 息采集和自动预警。 计算机网络管理理论与实践教程 网络系统建设工程施工管理 v工程实施阶段管理概述 n工程实施阶段的管理内容 v设备采购的管理 n管理的任务和重点以及流程 （见书） 计算机网络管理理论与实践教程 开工前的管理内容 审核工程实施人员

48、、 承建方资质 审核实施进度计划审核实施组织计划审核实施方案 计算机网络管理理论与实践教程 计算机网络管理理论与实践教程 网络系统建设工程施工管理 v 综合布线工程的施工 综合布线工程包括综合布线设备安装、布放线缆、缆线终 接三个环节，综合布线的管理工作内容主要包括以下两 方面： 1. 按照国家关于综合布线的相关施工标准的规定审查承建 方人员施工是否规范 2. 到场的设备、缆线等设备的数量、型号、规格是否与合 同中的设备清单一致，产品的合格证、检验报告是否齐 全 常见的施工规范包括：建筑与建筑群综合布线系统工程 施工及验收规范CECS89：97、商用建筑物布线标准 EIA/TIA 568A、用

49、户建筑通用布线标准ISO/IEC 11801 CLASS E DRAFT、建筑与建筑群综合布线工程施工及验收 规范GB/T-50312-2000、民用建筑线缆标准EIA/TIA586等 计算机网络管理理论与实践教程 网络系统建设工程施工管理 n综合布线设备安装 敷设管路 敷设线槽 安装过线（路）盒、信息插座底盒（接线盒） 安装桥架 开槽 安装机柜、机架、接线箱、抗震底座 n放布线缆 暗管、暗槽内穿放电缆 桥架、线槽、网络地板内明布电缆 计算机网络管理理论与实践教程 网络系统建设工程施工管理 布线光缆、光缆外护套、光纤束 暗道、暗槽内穿放光缆 桥架、线槽、网络地板内明布光缆 布放光缆护套 气流法

50、布放光纤束 n线缆终接 l接对绞电缆 l安装8位模块式信息插座 l安装光纤信息插座 l安装光纤连接盘 l光纤连接 l制作光纤连接器 l制作跳线 计算机网络管理理论与实践教程 网络系统建设工程施工管理 v隐蔽工程 n金属线槽安装 n管道安装 n管内穿线 v网络系统安装调试 n网络系统的详细逻辑设计 网络逻辑设计方案的内容可能包括以下内容： l网间传输协议的选择 l路由协议的选择和设计 l网络地址的分配 计算机网络管理理论与实践教程 网络系统建设工程施工管理 l子网的划分及配置 l虚拟网的划分及配置 l路由器参数的确定 l交换机参数的确定 l网络管理系统参数的确定 l其他网络设备、网络链路的参数配

51、置 n网络设备加电调试、模拟网络调试 n网络设备的安装 n主机以及软件系统的安装调试 计算机网络管理理论与实践教程 网络系统工程的验收 v前提条件 n外购的硬件设备、软件系统都已全部到货，并通过到货验 收 n各种设备经过上电测试，运行正常 n所有建设项目按照设计方案的要求全部建成，并满足使用 要求 n各种技术文档和验收资料完备，符合合同的要求 n 计算机网络管理理论与实践教程 网络系统工程的验收 v验收流程 计算机网络管理理论与实践教程 网络系统工程的验收 v验收资料的准备 包括基础资料、施工过程文档、技术资料等三类 v网络基础平台的验收 n网络设备验收 n服务器和操作系统 n数据存储和备份系

52、统 v网络服务平台的验收 nInternet网络服务 l电子邮件服务器 计算机网络管理理论与实践教程 网络系统工程的验收 1. 功能测试 2. 系统容量测试 3. 安全性测试 4. 防病毒、防垃圾邮件功能测试 5. 系统可管理性 6. 系统高可用性 lWWW服务器 1. 在特定的配置环境下支持的单位时间最大并发用户数。 2. 对服务器群集的支持。 3. 页面高速缓存。 4. 协议兼容性。 计算机网络管理理论与实践教程 网络系统工程的验收 n多媒体业务网络 lVOIP网络 1. 承载业务， 2. 附加业务种类 3. 音频指标，支持静音压缩和舒适音、自适应抖动缓存平 滑语音功能、丢包补偿保障机制，

53、支持多种语音压缩方 式 4. 能够提供的QoS机制 5. 防抖动性能 6. 良好的可扩充性 7. 与现有的数字、模拟电话网的接口种类 8. 路由器功能 计算机网络管理理论与实践教程 网络系统工程的验收 9. SNMP网管功能 10. 可编程语音流程 11. 监视记录呼出信息 12. 根据网络和线路情况自动做出容错反应 13. 端口实时监控功能 14. 记录每次呼叫的详细信息和计费功能 l视频会议系统 1. 图像质量 2. 系统支持的主要标准、协议 3. 会议功能 4. 音频性能 5. 会议控制功能 6. 管理功能 7. 资源管理功能 计算机网络管理理论与实践教程 网络系统工程的验收 v 网络安

54、全和管理平台的验收 n数字证书系统的验收 lCA系统 功能验证： 1. 能够同时实现外网和Internet用户的认证 2. CA中心对于主要应用系统的身份认证需求及兼容性 3. 完善的中文支持 4. 支持在线和离线两种证书的申请和审批。 5. Web方式和LDAP方式的证书查询，并支持数据库和目录服 务器这两种方式的发布证书存储方式。 6. 支持多种用户申请方式 7. CA发证能力 8. CA审计功能。 计算机网络管理理论与实践教程 网络系统工程的验收 性能验证 1. 整体性能 2. 可扩展性 3. 可适应性 4. 可靠性 具体性能指标 1. 完成一次证书签发时间。 2. 完成一次证书管理服务

55、的时间。 3. 完成一次营业执照的签发时间。 4. 完成一次加密时间。 5. 完成一次解密时间。 计算机网络管理理论与实践教程 网络系统工程的验收 lRA系统 整体性能： 1. 可扩展性 2. 可适应性 3. 可靠性 具体性能指标： 1. 完成一次证书请求时间。 2. 完成一次证书下载的时间。 3. 完成一次证书更新受理时间。 4. 完成一次证书注销受理时间。 5. 完成一次加密时间。 6. 完成一次解密时间。 计算机网络管理理论与实践教程 网络系统工程的验收 n防火墙系统的验收 1.支持入侵监测的类型 2.支持同时建立的VPN隧道数。 3.SSH远程安全登录功能。 4.对HTTP、FTP、S

56、MTP等服务类型的访问控制功能。 5.静态、动态和双向NAT功能。 6.域名解析和链路自动功能。 7.日志的统计分析功能。 8.非法攻击告警方式。 9.策略备份和恢复功能。 10.检测DoS攻击的能力，带宽和流量管理功能。 11.SCM/ADS客户隧道配置参数自动集中管理功能。 12.负载均衡功能。 13.双机热备功能。 14.WEB自动页面恢复功能。 15.与入侵监测系统的联动能力。 计算机网络管理理论与实践教程 网络系统工程的验收 n入侵监测系统的验收 1. 对外部攻击的检测能力 2. 知识库完备程度 3. 对国际标准漏洞库的支持 4. 规则自定义功能 5. 事件快速检索功能 6. 控制台

57、报警功能 7. 风险分级功能 8. 事件分析和事后处理功能 9. 实时监控功能 10.安全事件报表统计功能 11.高风险事件IP地址分组分析功能 12.手动备份、删除、合并数据功能 13.对漏洞扫描系统的反应能力 计算机网络管理理论与实践教程 网络系统工程的验收 n漏洞扫描系统 1. 扫描结果分析测试 2. 策略库维护测试 3. 用户管理测试 4. 日志管理测试 5. 在线升级测试 n网络防病毒系统 1. 实时扫描功能。 2. 立即扫描功能。 3. 部署病毒库更新功能。 4. 日志管理功能。 5. 病毒扫描信息统计功能。 6. 损坏清除功能。 7. 集中管理功能。 计算机网络管理理论与实践教程

58、 网络系统工程的验收 n网络管理系统 v 综合布线系统 阶段验收项目验收内容验收方式 一、施工前检查 1环境要求 （1）土建施工情况：地面、墙 面、门、电源插座及接地装置 （2）土建工艺：机房面积、预 留孔油 （3）施工电源 （4）地板铺设 施工前检查 2设备材料检 验 （1）外观检查 （2）型式、规格、数量 （3）电缆电气性能测试 （4）光纤特性测试 施工前检查 3安全、防火 要求 （1）消防器材 （2）危险物的堆放 （3）预留孔洞防火措施 施工前检查 计算机网络管理理论与实践教程 网络系统工程的验收 二、设备安装 1交接间、设备 间、设备机柜、 机架 （1）规格、外观 （2）安装垂直、水平

59、度 （3）油漆不得脱落，标志完整齐 全 （4）各种螺丝必须紧固 （5）抗震加固措施 （6）接地措施 随工检验 2配线部件及8 位模块式通用 插座 （1）规格、位置、质量 （2）各种螺丝必须拧紧 （3）标志齐全 （4）安装符合工艺要求 （5）屏蔽层可靠连接 随工检验 三、电、光缆布放 （楼内） 1电缆桥架及线 槽布放 （1）安装位置正确 （2）安装符合工艺要求 （3）符合布放缆线工艺要求 （4）接地 随工检验 2缆线暗敷（包 括暗管、线槽、 地板等方式） （1）缆线规格、路由、位置 （2）符合布放线缆工艺要求 （3）接地 随工检验 计算机网络管理理论与实践教程 网络系统工程的验收 四、电、光缆布放（楼间） 1架空缆线 （1）吊线规格、架设位置、装设格 （2）吊线垂度 （3）缆线规格 （4）卡、挂间隔 （5）缆线的引入符合工艺要求 随工检验 2管道缆线 （1）使用管孔孔位 （2）缆线规格 （3）缆线走向 （4）缆线的防护设施的设置质量 隐蔽工程签证 3埋式缆线 （1）缆线规格 （2）敷设位置、深度 （3）缆线的防护设施的设置质量 （4）回土夯实质量 隐蔽工程签证 4隧道缆线 （1）缆线规格 （2）安装位置、路由 （3）土建设计符合工艺要求 隐蔽工程签证 5其他 （1）通信线路与其他设施的间距 （2）进线室安装、施工质量 随工检验或隐蔽工 程签证 五、缆线终接 18位模块式通用插座符