在小型企业或者ISP工作

在中小型企业或者ISP工作WorkingataSmall-to-mediumBusinessesorISP2021年10月邓文达CCAIChangshaSocialWorkCollege本单元任务你是某ISP现场技术人员。公司承接了ABC公司的网络升级工程，并安排公司资深技术人员进行了方案设计，现公司派你去现场实施该工程。本单元任务网络升级方案：新增一台1841路由器和独立式2960交换机，以补充现有的LinksysWRT300N，减轻其负荷。新交换机将支持来自一个子网上有线客户端的连接。现有Linksys支持另一个子网上的无线客户端。将1841配置为有线网络以及无线网络〔Linksys用户〕的DHCP效劳器。每个子网中有线和无线客户端的流量都会通过新的1841客户路由器路由。在1841与ISP之间使用RIPv2路由协议，WAN链路的封装使用PPP。客户路由器必须使用静态地址与ISP通信。ISP的技术人员一级技术员角色一级技术员技能标准一级技术员素质标准三级技术员角色描述三级技术员技能标准三级技术员素质标准公司选人标准本单元任务11、办公室着装有什么要求？2、在公司打和接的要点是什么？3、递名片的礼节？4、吃饭座次的讲究？网络升级规划步骤：1、现场勘测2、定义用户需求3、查看布线和网络设施3、查看布线和网络设施布线模型一区：工作区二间：设备间、配线间三子系统：水平子系统、垂直子系统、建筑群子系统布线模型布线设计本卷须知在设计结构化布线工程时，第一步是获取精确的楼层规划图。技术人员利用楼层规划图来确定配线间的可能位置、电缆经过的区域以及应该避开的电力区域。在确定网络设备的位置之后，技术人员需要在楼层规划图上画出网络。一些需要记录的较为重要的工程包括：跳线：从计算机连接到用户工作区墙上面板的短电缆水平电缆：从墙上面板连接到分布区IDF的电缆垂直电缆：从IDF连接到组织主干区MDF的电缆主干电缆：处理主要通信的网络局部配线间的位置：用于将最终用户电缆集中到集线器或交换机的区域电缆管理系统：用于引导和保护电缆走线的线槽和盖板电缆标识系统：用于识别电缆的正确标识系统或方案电源考虑事项：驻地应有足够的插座，以支持网络设备的电力要求本单元任务2在布线设计中，材料的预算是一项很重要的工作。给出507机房布线工程材料预算。一般包括以下内容：1、网线用量，多少箱？为什么？2、RJ-45水晶头用量，多少盒？为什么？3、交换机数量，多少端口，多少台？为什么？4、线槽及用量，多少米？多少包？为什么？5、其他？数量及理由。给出上述材料每种2个品牌的价格预算。选择线缆双绞线：直通线straight-through

交叉线cross-over

控制线roll-over选用设备LAN设备：交换机网间设备：路由器CISCO路由器和交换机可靠性与可用性可靠性：reliability，指系统在一定时间内无故障使用的能力。可用性：availability，指系统到达满足需要的功能，可供使用的时间。IP地址回忆有类子网划分IPv6为克服IPv4的诸多缺点，IPv6提出的一些改进包括：更大的地址空间更佳的地址空间管理方法更简单的TCP/IP管理现代化的路由功能对组播、平安性和移动性更好的支持CIDR和私有IP寻址是防止IP地址耗尽的临时解决方案。IPv6是1998年由RFC2460第一次提出来的。如果IPv4地址空间相当于一个茶匙的容积，那么IPv6地址空间就相当于土星的体积。IPv6的记法IPv6地址记法将128位表示为32个十六进制数字，然后以冒号为分界符，进一步细分为八组四个十六进制数字。IPv6地址分为三局部。全球前缀是前三个地址块，由Internet名称注册机构分配给组织。子网和接口标识符(ID)由网络管理员控制。本单元任务3IPv6对于物联网的意义。提示：1、什么是物联网2、物联网的关键技术3、IPv6对于物联网的意义4、试设想IPv6的物联网中的应用方式地址转换NAT的优点和缺点NAT术语内部本地网络：是指连接到私有寻址LAN中路由器接口的任何网络。内部网络中主机的IP地址在传输到外部目的地之前需要先进行转换。外部全局网络：是指与位于LAN外部的路由器相连、无法识别LAN主机私有地址的任何网络。内部本地地址：是指在内部网络的主机上配置的私有IP地址。此类地址在传出本地网络寻址结构之前，必须首先进行转换。内部全局地址：是指内部主机显示给外部网络的IP地址。这是转换后的IP地址。外部本地地址：是指数据包在本地网络中的目的地址。通常此地址与外部全局地址相同。外部全局地址：是指外部主机的实际公有IP地址。此类地址从全局可路由地址或网络空间分配。静态NAT与动态NAT基于端口的地址转换PAT看演示CISCO路由器ISR1841SYS-PWRSYSACT1841是一种本钱相对较低的ISR，适用于中小型企业以及小型企业分支机构。它综合了数据、平安和无线效劳等功能。看演示ISR1841的物理安装ISR1841的物理安装遵循以下步骤为1841ISR加电：1.稳固安装设备机箱或外壳，并将其接地。2.插上外接CF卡。3.连接电源线。4.配置PC上的终端仿真软件，并将PC连接到控制台端口。5.翻开路由器。6.观察PC上显示的启动消息，确保没有错误发生。这样，便可以开始配置设备，将其接入网络。看演示带外管理和带内管理命令行和图形界面配置CISCO的命令行界面CISCO的命令行界面做实验获取帮助报错信息%Incompletecommand

输入的命令不完整%Invalidinputdetected

输入的命令有误。使用错误指示符〔^符号〕来提示出错的地方。快捷命令SHOW命令做实验和CiscoIOSCLIshow被网络技术人员广泛采用,查看配置文件、设备接口以及过程处理的状态，并可用来校验设备运行状态。无论设备是使用CLI或SDM来配置，都可使用Show命令。几乎路由器的每个过程或功能的状态都可使用show命令显示出来。比较常用的show命令有：showrunning-configshowinterfacesshowarpshowiprouteshowusersshowversion保存配置启动配置文件存储在设备的NVRAM中。Router#showstartup-config运行配置保存在设备RAM中Router#showrunning-config要将对运行配置所作的更改复制到已保存的启动配置文件中，请使用命令：Router#copyrunstart或write警告：如果在copy命令中键入startup-config时出现拼写错误，那么可能导致路由器中的IOS丧失(没有注意系统的提示信息并连续按回车键)，因此本命令的输入一定要使用<Tab>键来完成(防止拼写错误)，有一些设备支持write命令。路由器根本配置enablepassword与enablesecret的区别在于enablepassword命令在默认情况下不加密。如果在设置使能口令后又设置了使能加密口令，那么使能加密口令会覆盖使能口令。路由器根本配置命令servicepassword-encryption可确保口令(console,vtyandenablepassword)得到加密。做实验WAN接口角色接口配置步骤配置接口的步骤包括：1.指定接口的类型和接口端口号2.指定接口的描述3.配置接口IP地址和子网掩码4.设置时钟频率〔如果将串行接口配置为DCE〕5.启用接口noshutdown做实验和默认路由PT路由器配置例如•为路由器配置设备主机名。•配置控制台口令、特权模式口令和虚拟终端口令。•配置以太网和串行接口。•校验主机与路由器之间的连通性。DHCP可以通过CiscoIOSCLI为路由器配置DHCP效劳器的功能。使用配置了DHCP的路由器可简化网络中的IP地址管理。通过CLI配置DHCP时，有八个根本的步骤：1.创立DHCP地址池2.指定子网3.设置排除的IP地址4.指定域名5.设置DNS效劳器IP地址6.设置默认路由器7.设置租用持续时间8.检查配置，做实验静态NAT配置，做实验TFTP配置保存配置，路由器必须能够通过网络连接访问运行TFTP的效劳器。1.输入copystartup-configtftp命令。2.输入要存储配置文件的主机的IP地址。3.输入要指定给配置文件的名称，或接受默认名称。4.答复yes以确认每个选项。还可使用copyrunning-configtftp命令，将运行配置的当前副本存储在TFTP效劳器上。TFTP配置恢复配置要恢复备份的配置文件，需确保路由器上已配置至少一个可通过网络访问TFTP效劳器的接口。1.输入copytftprunning-config命令。2.输入TFTP效劳器所在的远程主机的IP地址。3.输入配置文件的名称，或接受默认名称。4.确认配置文件名及tftp效劳器地址。本单元任务4全体做PT实验任务和，5分钟，取分数最高前3名。CISCO交换机2960CiscoCatalyst2960系列以太网交换机是固定配置的独立式设备，不使用模块，也不具备闪存卡插槽，其物理配置无法更改。典型家庭和小型企业局域网StatusLEDsSYSTLED:琥珀色(Amber)：系统已通电，但工作不正常。RPSLED:冗余电源系统PortStatus,orSTAT,theDefaultPortModeDuplexLED: SpeedLED:交换机的初始配置交换机加电不需要配置即可使用。如果要对交换机进行远程管理，那么需要配置IP地址和默认网关。做实验和交换机的根本配置接口速率Switch(config-if)#speed100/10/1000/auto双工模式Switch(config-if)#duplexfull/half/auto登录标语Switch(config)#bannermotd#标语内容#交换机的端口平安常见的端口平安威胁，讨论接入层交换机。1、未经授权的用户主机随意连接到企业的网络中，造成病毒或者非法侵入的隐患。2、未经批准采用集线器等设备，造成网络性能下降或者非法侵入隐患。交换机的端口平安接入交换机端口平安应对措施：仅对于连接用户的交换机端口Switchportmodeaccess1、启用端口平安Switch(config-if)#switchport-security2、限制接入的主机数量Switch(config-if)#switchport–securitymaxnum主机数量交换机的端口平安3、限制主机MAC地址Switch(config-if)#switchport–securitymac-addressMAC地址4、记住接入的MAC地址Switch(config-if)#switchport–securitymac-addresssticky5、违背平安要求的处理方法Switch(config-if)#switchportport-securityviolationshutdown

CDP协议Cisco发现协议(CDP)是交换机、ISR或路由器采用的一种信息收集工具，用于与直接连接的其它Cisco设备共享信息。默认情况下，CDP会在设备启动时开始运行，然后向直接相连的网络定期发送CDP报文。禁用CDP本单元任务5做实验交换网络的配置和故障排除，5分钟，取分数最高的前3名。CPE〔customerpremiseequipment〕专业形象要确保自己能以最为专业的方式代表公司出现在客户面前。着装许多公司都要求现场技术人员穿着统一制服，或者对其着装有着严格的规定。言行与客户交谈时，言谈必须谦恭有礼，而且要完整答复客户提出的所有问题。如果客户提问涉及到技术人员不了解的信息，务必记录下客户的问题，并尽快予以跟进。CPE安装工作场所平安WAN连接点对点电路交换分组交换PPP协议配置做实验路由查看路由表对于Cisco路由器，IOS命令showiproute可显示路由表中的路由。路由表中可能存在以下几种路由：直接连接的路由静态路由动态更新的路由〔动态路由〕默认路由静态路由iproute[目的网络][子网掩码][网关地址]做实验距离矢量路由协议衡量最正确路径的依据：距离路由器之间互通信息的方式：定期更新做练习RIP协议的特点RIP〔路由信息协议〕是一种距离矢量路由协议，最初在RFC1058中标准说明。RIP使用跳数作为路径选择的度量，默认每30秒发送一次路由表内容。RIP协议简单、易于实施，可供大多数路由器免费使用。这些优点使RIP成为广受欢送的路由协议。但RIP也有几个缺点：支持的最大跳数为15，因此应用RIP的网络不能串接16台以上的主机。需定期发送路由表的完整副本到直接相连的邻居。在大型网络中，这可能导致每次更新时产生巨大的网络流量。大型网络发生改变时，网络收敛的速度很慢。RIP目前有两个版本：RIPv1和RIPv2。RIPv2支持无类路由，因为它的路由更新中含有子网掩码信息，而RIPv1不会在更新中发送子网掩码信息，因此必须依靠有类默认子网掩码。RIPv2用组播更新，RIPv1用播送更新。RIP配置在配置RIP之前，请启用参与路由的所有物理接口，并为其分配IP地址。在串行链路中，需要在主控路由器上设置时钟速率，然后再配置RIP。对于大多数的根本RIP配置，必须记住三个命令：Router(config)#routerripRouter(config-router)#version2Router(config-router)#network[网络号]做实验查看路由自治系统AS是由单个管理机构使用同一套内部路由策略统一控制的一组网络。每个AS都以唯一的AS编号(ASN)标识。ASN在Internet上控制和注册。常见路由协议自治系统之间的路由内部网关协议(IGP)(RIP、EIGRP和OSPF)用于在自治系统或组织内部交换路由信息。外部网关协议(EGP)用于在不同自治系统之间交换路由信息。EGP协议运行于外部路由器上，也就是位于AS边界的路由器上。外部路由器也称为边界网关。内部路由器使用IGP互相交换各自的路由，而外部路由器那么使用外部协议交换网络路由信息。BGP协议目前Internet上最常用的外部路由协议是边界网关协议(BGP)。估计有95%的自治系统使用BGP。BGP的最新版本是第4版(BGP-4)，其最新说明可参见RFC4271。本地流量和中转流量Internet中的消息流称为流量。Internet流量可分为以下两类：本地流量-在一个AS内传输的流量，流量要么起源于该AS，要么以该AS内部为目的地。这就像同一条街道内的交通流量一样。中转流量-起源于该AS之外、通过该AS发送到外部目的地的流量。这就像经过某条街道的交通流量一样。自治系统之间的流量受到严格控制。为了保障平安性或防止过载，必须限制甚至禁止特定类型的消息进入或流出AS。许多自治系统网络管理员选择不传送中转流量。如果路由器的容量缺乏以处理大量流量，中转流量可能会使其过载并且路由失败。BGP的配置ISP在客户处安装路由器时，通常会将其配置为使用默认静态路由到达该ISP。但有时候，ISP可能会希望该路由器包含在其自治系统中，并且参加BGP。此时，必须通过启用BGP的命令来配置客户所在地路由器。routerbgp[AS编号]neighbor[IP地址]remote-as[AS编号]network[网络地址]用于BGP的IP地址通常是已注册、可路由的地址，用来标识唯一的组织。在超大型的组织中，可如前所述在BGP过程中使用私有地址。但在Internet上，BGP绝不能用来通告私有网络地址。如果ISP客户有自己的注册IP地址块，可能会希望其内部的某些网络路由为Internet所知晓。要使用BGP通告内部路由，需执行一条network命令本单元任务6全体做练习，5分钟，取前三名。ISP提供的效劳代维效劳主机托管TCP/IP协议TCP与UDP数据传输过程对于数据库、网页和电子邮件之类的应用，所有数据都必须以原始形式到达目的地，这样得到的数据才有用。建立连接三次握手UDP一般认为UDP是不可靠的传输协议，因为它无法保证消息能够被目的主机接收到。但这并不表示使用UDP的应用程序也同样不可靠，而只是意味着传输层协议不提供这些功能。如有必要，可通过其它方式来实现。在常见网络中，UDP通信的总量往往相对较低，但某些常用的应用层协议使用了UDP，包括：域名系统(DNS)简单网络管理协议(SNMP)动态主机配置协议(DHCP)路由信息协议(RIP)简单文件传输协议(TFTP)在线游戏TCP与UDP的比照支持多种效劳配置常见效劳DNSFTP/TFTPHTTP/HTTPSIMAP/POP3/SNMPDHCP思考企业有没有部署DNS效劳器的必要性？HTTP效劳器是托管好还是自行维护好？邮件效劳器对企业有什么意义？企业部署DHCP容易出现什么问题？ISP提供的平安效劳帮助客户端设置平安的设备密码通过补丁管理和软件升级保护应用程序删除可能形成漏洞的多余应用程序和效劳确保应用程序和效劳仅供必要的用户使用配置桌面防火墙和病毒检查软件对软件和效劳执行平安扫描，确定技术人员必须保护的平安漏洞最正确平安作法常用的数据平安功能和规程包括：保密：加密效劳器硬盘中存储的数据访问控制：设置权限，限制对文件和文件夹的访问根据用户帐户或用户组成员资格允许或拒绝访问如果允许访问，那么根据用户帐户或用户组成员资格分配不同的权限级别在分配访问文件和文件夹的权限时，最正确平安做法是遵循最小权限的原那么。身份认证、授权和记帐(AAA)是网络管理员为提高对攻击者入侵网络的防范能力而采取的三步式措施。身份认证：要求用户提供用户名和密码以验明其身份。授权：为用户分配使用特定资源和执行特定任务的权限。记帐：记录使用的应用程序及其使用时间。AAA可用于不同类型的网络连接，它需要一个数据库来记录用户证书、权限和帐户统计数据。本地身份认证是AAA最简单的形式，它在网关路由器上保存本地数据库。如果某组织有大量用户要使用AAA进行身份认证，那么必须在单独的效劳器上保存一个数据库。最正确平安作法有许多网络协议可供给用程序使用。有些协议具有平安版本，有些那么没有。数据加密DoS（标准的拒绝服务）攻击是指服务器或服务受到攻击而导致合法用户无法使用服务。标准DoS攻击的部分示例包括SYN泛洪攻击、ping泛洪、LAND攻击、带宽消耗攻击和缓冲区溢出攻击。DDoS（分布式拒绝服务）攻击是指使用多台计算机攻击一个特定的目标。在DDoS攻击中，攻击者对许多台受到入侵的计算机系统（通常是Internet上的计算机系统）拥有权限，从而可以远程发动攻击。DDoS攻击的性质通常与标准DoS攻击的性质相同，但DDoS攻击是同时从多个计算机系统上发出的。DRDoS（分布式反射拒绝服务）攻击是指攻击者发送欺骗性或虚假请求到Internet上的许多计算机系统，并将请求的源地址修改为目标计算机系统。接收请求的计算机系统将会作出响应。当计算机系统响应请求时，所有这些请求都会导向同一目标计算机系统。攻击的反射特性使得攻击的来源非常难以确认。访问列表和端口过滤尽管使用了AAA和加密，但ISP仍然必须防范许多不同类型的攻击。目前有三种主要的拒绝效劳攻击。访问列表和端口过滤端口过滤是根据特定的TCP或UDP端口控制通信流量。许多效劳器操作系统具有通过端口过滤限制访问的选项。这样，效劳器既可以提供所需效劳，又可以受到保护。网络路由器和交换机也可以利用端口过滤来控制通信流量和保护对设备的访问。ISP必须能够过滤可能损害ISP网络或效劳器运营的网络流量。访问列表和端口过滤ISP必须能够过滤可能损害ISP网络或效劳器运营的网络流量。访问列表用来根据源和〔或〕目的IP地址确定允许或拒绝通过网络的通信，也可以允许或拒绝所用协议的源和〔或〕目的端口上的通信。管理员在网络设备〔如路由器〕上创立访问列表，以控制是转发通信还是作出拦截。访问列表只是第一条防线，还缺乏以保护网络平安。它只能禁止访问网络，而不能帮助网络防范各种类型的恶意攻击。防火墙防火墙是一种网络硬件或软件，用于定义可以进出网络特定区域的通信以及处理通信的方式。访问列表是防火墙使用的工具之一。防火墙的访问列表可能非常复杂。防火墙使用访问列表来控制允许通过或需要拦截的流量，并随着新功能的开发和新威胁的涌现而不断演变。

不同的防火墙具有不同的功能。动态数据包过滤防火墙或状态防火墙将跟踪源设备与目的设备之间的通信过程。防火墙的功能越多，处理数据包所需的时间就越长。防火墙防火墙可以为整个网络以及内部本地网段〔如效劳器群〕提供边界平安。防火墙还控制着可以进入受保护的本地网络的通信类型。某些组织可以选择实施内部防火墙来保护敏感区域。做实验IDSandIPSIDS（入侵检测系统）是一种基于软件或硬件的解决方案，它被动地监听网络通信。网络通信并非直接流过IDS设备，IDS通过网络接口监控通信。当它检测到恶意通信时，就会发送警报到预配置的管理站。IPS（入侵防御系统）则是一种主动式物理设备或软件功能。通信从IPS的一个接口进入，从另外一个接口送出。IPS可检测网络通信中的实际数据包，并实时允许或拒绝想进入网络的数据包。IDS和IPS技术都部署为传感器。IDS或IPS传感器可以是：使用IPS版本CiscoIOS配置的路由器专门设计为提供专用IDS或IPS效劳的设备〔硬件〕安装在自适应平安设备(ASA)、交换机或路由器中的网络模块IDS解决方案在检测入侵时作被动反响。它们根据网络通信或计算机活动的特征码检测入侵。它不会阻止初始通信到达目的地，而是对检测到的活动作出响应。在正常配置下，IDS在检测到恶意通信时，可以主动重新配置网络设备〔例如平安设备或路由器〕来拦截其它的恶意通信，但是最初的恶意流量已经通过网络到达预定目的地，而无法拦截。只有后续的流量才会受到拦截。因此，IDS设备无法阻止某些入侵。处于防火墙之外，用于拦截大多数的恶意流量。处于防火墙之后，用来检测防火墙的不当配置。IDSandIPSIPS解决方案可主动作出反响，它们可以实时拦截所有可疑的活动。当IPS检测到恶意流量时，可以立即予以拦截。然后，IPS会依照配置发送警报，将入侵的相关信息通知管理站。由于IPS可以主动防范攻击，最初及后续的恶意流量都会遭到拦截。IPS是一种入侵检测设备，而非软件。IPS检查整个数据包。因此，对于防火墙无法拦截或无法配置为拦截的新攻击，IPS都可以立即加以拦截。IDSandIPS无线平安在ISP提供的效劳当中，有时候会包括为客户创立可登录到无线局域网(WLAN)的无线热点。无线网络易于实施，但如果配置不正确，便很容易受到攻击。无线信号可以穿透墙壁，因此在企业建筑物之外也可以访问。可以采用以下方法保护无线网络：MAC地址过滤WEP〔有线等效保密〕加密无线节点之间发送的数据，应只用于不支持新版无线平安协议的旧设备WPA〔Wifi保护访问〕使用临时密钥完整协议(TKIP)，提供相互身份认证的机制，永远不会传送密钥WPA2〔Wifi保护访问2〕使用更平安的“高级加密标准〞(AES)加密技术无线平安PT在无线路由器上配置WEP.pka主机平安无论网络中是否存在防护层，效劳器假设未得到正确的保护，都容易遭受攻击。保护效劳器的方法之一是使用基于主机的防火墙。基于主机的防火墙是在主机操作系统上直接运行的软件。它帮助主机防范可能穿透所有其它防护层的恶意攻击。启用基于主机的防火墙时，既要允许访问完成工作任务所需的网络资源，又要防止应用程序给恶意攻击留下漏洞。ISP使用基于主机的防火墙来限制对效劳器上特定效劳的访问。使用基于主机的防火墙时，ISP通过封锁对无关端口的访问来保护效劳器及客户的数据。ISP效劳器利用基于主机的防火墙来防范各种不同类型的攻击和漏洞。的攻击可被利用的效劳蠕虫和病毒后门和特洛伊木马主机平安除了基于主机的防火墙之外，还可以在主机上安装Anti-X软件。Anti-X软件可以帮助计算机系统防范病毒、蠕虫、间谍软件、恶意软件、网络钓鱼甚至垃圾邮件。必须使用事件管理程序来跟踪所有事件和相应的解决方案，以防病毒感染再次发生。事件管理是ISP管理和维护客户数据所必需的程序。主机平安效劳等级协议ISP和用户通常签订有称为效劳等级协议(SLA)的合同。该合同上清楚地列明了双方的期望和义务。典型的SLA包括以下几局部：效劳说明费用跟踪和报告问题管理平安协议的终止效劳中断时的赔偿可用性、性能和可靠性SLA是一个重要的文档，其中清楚地列明了网络的管理、监控和维护等相关条款。实验操作解释效劳等级协议.pdf监控网络链路性能ISP负责监控和检查设备的连通性，包括属于ISP的任务设备，以及位于客户所在地但ISP在SLA中已经表示同意监控的设备。初始配置时如果设备无法通过网络访问，或者必须对设备进行目视检查，那么适合采用带外管理。在管理可以通过网络访问的效劳器时，带内管理比带外管理更适合，可全面检查网络的设计等。传统的带内管理协议包括Telnet、SSH、HTTP和SNMP〔简单网络管理协议〕。选择带内带外工具SNMP是一种网络管理协议，可让网络管理员收集有关网络及相应设备的数据SNMP主要包括四局部：管理站——装有SNMP管理应用程序的计算机，供管理员监控和配置网络。管理代理——SNMP管理的设备上安装的软件管理信息库(MIB)——设备所保存的其自身与网络性能参数相关的数据库。网络管理协议——管理站与管理代理之间使用的通信协议。CiscoWorks等工具中包含SNMP管理系统软件。Internet上有可供下载的CiscoWorks免费版本。SNMP管理代理软件通常内嵌于效劳器、路由器和交换机的操作系统中。管理站包含供管理员配置网络设备的SNMP管理应用程序，还存储着这些设备的有关数据。管理站通过轮询设备来收集信息。轮询是指管理站向代理请求特定信息。代理的任务是响应轮询，向管理站报告信息。当管理站轮询代理时，代理将调用MIB中存储的统计信息。代理还可以使用陷阱配置。陷阱是代理中触发警报的事件。代理的特定区域配置了必须保持的阈值或上限，例如可以访问特定端口的流量。如果超过了阈值，代理就会发送警报消息到管理站。这样可以防止管理站不断轮询网络设备。管理站和受管理的设备通过可以访问设备的社区ID〔称为社区字符串〕加以标识。选择带内带外工具维护设备日志并定期核查是网络监控的重要局部。Syslog是日志系统事件的一项标准。像SNMP一样，Syslog也是一种应用层协议，可让设备发送信息到管理站上安装和运行的Syslog守护进程。Syslog系统由Syslog效劳器和Syslog客户端组成。Syslog效劳器接受和处理来自Syslog客户端的日志消息。客户端是受到监控的设备。Syslog客户端生成日志消息并将其发送到Syslog效劳器。日志消息通常包含日志消息ID、消息类型、设备发送消息的时间戳〔日期、时间〕以及消息文本。根据发送Syslog消息的网络设备，Syslog消息可能还会包含其它工程。选择带内带外工具选择带内带外工具备份介质如果丧失网站中存储的内容，将可能需要数百甚至数千工时来恢复这些数据。在内容恢复期间如果发生停机事故，那么造成的业务损失更是无法估量。数据备份非常重要。IT专业人员的工作是尽力降低丧失数据的风险，同时为丧失的任何数据提供快速恢复的效劳。当ISP需要备份其数据时，必须权衡备份解决方案的本钱与效率。当今市面上有许多类型的备份介质，包括磁带介质、光存储介质、硬盘介质和固态介质等。备份介质的选择可能是一个复杂的过程，因为影响选择的因素有很多。其中的局部因素包括：数据量介质的价格介质的性能介质的可靠性离站存储的便利性备份介质磁带仍然是最常见的备份介质类型之一。磁带有以下几种类型：数字数据存储(DDS)数字音频磁带(DAT)数字线性磁带(DLT)线性开放磁带(LTO)光存储介质是少量数据的常见选择。一张CD的存储容量为700MB，DVD的单面双层光盘最多可以支持8.5GB，而每张HD-DVD和蓝光盘片的容量超过25GB。ISP可以使用光存储介质将Web内容数据递交给客户。客户也可以使用此介质将网站内容递交给ISPWeb托管网站。带有内置CD或DVD驱动器的计算机系统可以轻松访问光存储介质。备份介质基于硬盘的备份系统因其驱动器本钱低、容量高而越来越受欢送。但基于硬盘的备份系统难以实现离站存储。大型磁盘阵列，如直接连接存储(DAS)、网络连接存储(NAS)和存储区域网络(SAN)等，都无法移动。基于硬盘的备份系统通常与磁带备份系统结合使用，以利于离站存储。在分级备份解决方案中同时使用硬盘和磁带，既可以在恢复时快速从本地硬盘获取数据，又可拥有长期存档的解决方案。固态存储是指没有任何活动部件的非易失性存储介质。固态介质形式多样，既有邮票大小、只能存储1GB数据的小型驱动器，也有路由器大小、可以存储1000GB(1TB)数据的封装。固态存储适合于需要快速存储和检索数据的场合。固态数据存储系统的应用包括数据库加速、高清晰视频访问、数据检索和SANS。高容量固态存储设备的本钱很高，但随着技术的不断成熟，价格会越来越低。备份介质文件备份方法正常〔完全〕备份将复制所有选取的文件，并将每个文件标记为已经备份。选择正常备份时，只需要最新的备份便可恢复所有文件，从而加速和简化恢复过程。完全备份耗时最长。差异备份只复制自上次完全备份后更改正的文件。在执行下一次完全备份之前，差异备份过程会一直运行。这样可以缩短备份的时间。增量备份只保存自上次增量备份后创立或更改的文件。增量备份的速度最快，但恢复时间最长。选择备份解决方案之后，必须决定如何执行备份。有三种方法可供选择。备份系统需要定期维护以确保正常运行。确保备份能成功的一些步骤包括：替换介质查看备份日志执行试验性恢复