Transcript 单元二网络设备管理
单元二网络设备管理 1、 VLAN概述 • VLAN(Virtual Local Area Network)即 虚拟局域网,是一种通过将局域网内的 设备逻辑地而不是物理地划分成一个个 网段从而实现虚拟工作组的新兴技术。 IEEE于1999年颁布了用以标准化VLAN 实现方案的802.1Q协议标准草案。 VLAN概述 • VLAN是为解决以太网的广播问题和安全 性而提出的一种协议,它在以太网帧的 基础上增加了VLAN头,用VLAN ID把 用户划分为更小的工作组,限制不同工 作组间的用户二层互访,每个工作组就 是一个虚拟局域网。虚拟局域网的好处 是可以限制广播范围,并能够形成虚拟 工作组,动态管理网络。 • • • • 基于端口划分的VLAN 基于MAC地址划分VLAN 根据IP组播划分VLAN 基于网络层划分VLAN 802.1Q标记 IP地址子网划分 • 当我们设定网络环境的时候﹐要输入 IP 地址﹑netmask ﹑网络地址之外﹐还需要指定广播地址( broadcast )。 我已经知道如果 Host ID 全部为 0 是网络地址﹑而全部 为 1 则是广播地址。 子网划分 • 192.168.0.1/255.255.224.0 • 192.168.1.1/255.255.255.252 • 他们的地址范围、网络地址、广播地址 分析是多少? "公共 IP" 与 "私有 IP " • 10.0.0.0 - 10.255.255.255 • 172.16.0.0 - 172.31.255.255 • 192.168.0.0 - 192.168.255.255 三层交换的概念 • 交换是从一个接口接收,然后通过另一 个接口发出的过程。第二层与第三层交 换之间的区别在于用以确定正确输出接 口的帧内信息类型。 • 在第二层交换中,帧的交换基于 MAC 地 址信息。 • 在第三层交换中,帧的交换基于网络层 信息,如 IP 地址。 • 第二层交换机为网络提供了以下优点: • 高带宽、VLAN – 网络设计人员可以利用 VLAN 来建造能避免特大第二层广播 域问题的大型第二层网络。 – 网络周围的移动、添加和更改更加容易,因为无论物理位置 在哪里,用户始终在他们自己的 VLAN 中。第三层交换机或 路由器对 VLAN 通信不可缺少。 • 业务类别优先化:某些第二层交换机上的业务类别 (CoS) 优先化 允许网络管理员根据协议、IP 地址和以太网类型等标准给不同类 型的局域网业务分配优先权级别。这使网络管理员可以根据协议、 应用或用户控制业务流,从而确保更加高效的网络运转。 • ● 用户安全:第二层交换机提供了基于用户的稳健安全机质,这 种机质基于网络登录 (802.1x) 技术,可防止任何未经认证的用户 接入网络。 第三层交换提供以下优点 • • • • • • 提高了网络效率:第三层交换机通过允许网络管理员在第二层 VLAN 进行路由业务,确保将第二层广播控制在一个 VLAN 内,降 低了业务量负载。 可持续发展:由于 OSI 层模型的分层特点,第三层交换机能够 创建更加易于扩展和维护 的更大规模的网络。 更加广泛的拓扑选择:基于路由器的网络支持任何拓扑,并能更 轻易超过类似第二层交换网络的更大规模和复杂程度。 工作组和服务器安全:第三层设备能根据第三层网络地址创建接 入策略,这允许网络管理员控制和阻塞某些 VLAN 到 VLAN 通信, 阻塞某些 IP 地址,甚至能防止某些子网访问特定的信息。 更加优异的性能:通过使用先进的 ASIC 技术,第三层交换机可 提供远远高于基于软件的传统路由器的性能。比如,每秒 4000 万 个数据包对每秒 30 万个数据包。第三层交换机为千兆网络这样的 带宽密集型基础架构提供了所需的路由性能。因此,第三层交换 机可以部署在网络中许多具有更高战略意义的位置。 三层交换机部署 • 布线室集中点 • 核心集中点 • 服务器集中点 三层交换机示例 • Cisco Catalyst 3550系列智能化以太网交换机是 一个新型的、可堆叠的、多层企业级交换机系 列,可以提供高水平的可用性、可扩展性、安 全性和控制能力,从而提高网络的运行效率。 因为具有多种快速以太网和千兆以太网配置, 因此Catalyst 3550系列既可以作为一个功能强 大的接入层交换机,用于中型企业的布线室; 也可以作为一个骨干网交换机,用于中型网络。 三层交换机示例 • Catalyst 3550-24和3550-48中含有标准多 层软件镜像(SMI)或者增强型多层软件 镜像(EMI)。EMI提供了一组更加丰富 的企业级功能,包括基于硬件的IP单播 和多播路由,虚拟LAN(VLAN)间的 路由,路由访问控制列表(RACL)和热 备用路由器协议(HSRP)。 SNMP网管协议和RMON介绍 • 说起网络管理,恐怕大部分人立刻就能想到局 域网的组建、服务器的配置、美萍网管大师之 类的软件使用以及软、硬件系统的安装、调试 和维护等工作,而相当多的中小规 模局域网管 理员平日里的工作也就是不断地安装操作系统 和应用软件、查杀病毒、数据备份、计算机和 网线、网卡的故障排除等等,在很多非专业人 士的眼里似乎这 些就是网络管理的全部,而在 相当多的网管论坛上,这些也都是大家讨论的 重点。 • 然而,严格地说来,这类工作并不是真 正意义上的网络管理,它们只能被称作 系统 管理或者系统维护,充其量它们只 是网络管理中的一个很小的并且缺乏技 术含量的部分,而真正的网络管理则离 不开SNMP--简单网络管理协议。 • 由于SNMP网络管理的学习并不像普通的系统 维护那么简单,它不但要求我们的网络管理员 要深入了解网络中的交换和路由设备, 还要求 我们能够透彻认识SNMP协议原理,所以这种 管理方式在大部分中小规模局域网中的运用并 不多见。但因为SNMP是目前在计算机网络中 用得最广泛的网 络管理协议,所以我们可以肯 定的说:一个连SNMP都不清楚的网络管理员 就绝对不是一个好的网络管理员。 初识SNMP网络管理 • SNMP的英文全称是Simple Network Management Protocol,中文名为简单网络管理协议,是一个基于 TCP/IP协议的网络管理标准。SNMP网络管理包含两个 部分:网络管理站(也叫管理进程, manager)和被管 的网络单元(也叫被管设备)。网络管理站通常是一 台安装了网络管理软件的计算机,可以显示所有被管 设备的状态,我们一般称之为网管 工作站;而被管设 备则种类繁多,包括交换机、路由器、防火墙、服务 器以及打印机等等,被管设备上的管理软件我们称之 为代理进程,用于回答管理进程(网管工 作站)的查 询。 SNMP协议内容 • SNMP网络管理包括三个组成部分:管理信息 库MIB、管理信息结构SMI和SNMP网络管理 协议。管理信息库(MIB)中存放的是被管 设 备的所有信息,比方说被管设备的名称、运行 时间、接口速度、接口进来/发出的报文等等, 当前的管理信息库版本为MIB-II;管理信息结 构SMI用于定 义管理信息库MIB的结构和表示 符号,限制在MIB变量中允许的变量类型,指 定对这些变量命名的规则以及创建定义变量类 型的规则;而SNMP网络管理协议 则是管理进 程(位于网管工作站上)和代理进程(位于被 管设备上)之间的通信协议。 SNMP操作 • SNMP网络管理定义了5种报文操作: • GetRequest操作:用于管理进程从代理进程上面提取一个或者多 个MIB参数值,这些参数值均在管理信息库中被定义; • GetNextRequest操作:从代理进程上面提取一个或多个参数的下 一个参数值; • SetRequest操作:设置代理进程的一个或多个MIB参数值; • GetResponse操作:代理进程返回一个或多个MIB参数值,它是前 面三种操作中的响应操作; • Trap操作:这是代理进程主动向管理进程发出的报文,它标记出 一个可能需要特殊注意的事件的发生,比方说重新启动可能就会 触发一个Trap陷阱。 • 前面三个操作是管理进程向代理进程发 出的,后面两个操作则是代理进程发给 管理进程的,其中除了Trap操作使用 UDP162端口外,其他4个操作均使用 UDP161端口。通过这五种报文操作,管 理进程和代理之间就能够进行相互之间 的通信了。 MIB • 管理信息库MIB中存放的是网络管理员 可以访问的一些信息,我们可以将这些 信息理解为网络管理中的被管资源。在 SNMP网络管理中资源是用对象来表示的, 每一个对象表示被管资源某一方面的属 性,这些对象的集合就形成了管理信息 库。MIB是一个树形结构,被划分为若 干个组,包括system组、interface组、at 组和ip组等等。 系统组(system)对象 • • • • • • mgmt/mib-2/system/sysDescr(OID为.1.3.6.1.2.1.1.1): 此对象为只读的显示串,它包含所用硬件、操作系统和网络软 件的名称和版本等完整信息。 mgmt/mib-2/system/sysContact(OID为.1.3.6.1.2.1.1.4): 此对象为可读写的显示串,它给出负责这一节点的人的名字和 地址,有时可用它来测试代理(Agent)是否可写。 mgmt/mib-2/system/sysUpTime(OID为.1.3.6.1.2.1.1.3): 此对象为只读的TimeTicks类型,它定义自最近一次重新初始化 网络管理软件以来所经过的时间(以1/100秒为单位)。通常代理 (Agent)在启动时便初始化时钟,有时可比较sysUpTime的值来决 定被管设备的稳定性。 接口组(interface)对象 • • • mgmt/mib-2/interfaces/ifNumber(OID为.1.3.6.1.2.1.2.1): 表示一个设备上有的接口数。 mgmt/mib-2/interfaces/ifTable/ifEntry/ifDescr(OID 为.1.3.6.1.2.1.2.2.1.2) • 这是接口的文本描述符,为只读显示串,它描述了接口的厂商 名、产品名和硬件接口的版本号。 • mgmt/mib-2/interfaces/ifTable/ifEntry/ifInOctets(OID 为.1.3.6.1.2.1.2.2.1.10) • 为只读的计数器(Counter),它定义在接口上收到的字节总数 (包括帧格式)。 RMON协议 • SNMP作为一个基于TCP/IP并在Internet互联网 中应用最广泛的网管协议,网络管理员可以使用 SNMP监视和分析网络运行情况,但是SNMP 也有一些明显的不足之由于SNMP使用轮询采 集数据,在大型网络中轮询会产生巨大的网络 管理报文,从而导致网络拥塞; SNMP仅提供一 般的验证,不能提供可靠的安全保证; 不支持 分布式管理,而采用集中式管理。由于只由网 管工作站负责采集数据和分析数据,所以网管 工作站的处理能力可能成为瓶颈。 • 为了提高传送管理报文的有效性、减少网管工作站的 负载、满足网络管理员监控网段性能的需求,IETF开 发了RMON用以解决SNMP在日益扩大的分布式互联中 所面临的局限性。 • RMON标准使SNMP更有效、更积极主动地监测远程 设备,网络管理员可以更快地跟踪网 络、网段或设备 出现的故障。RMON MIB的实现可以记录某些网络事 件,可以记录网络性能数据和故障历史,可以在任何 时候访问故障历史数据以有利于进行有效地故障诊断。 使用这种方法减少了管 理工作站同代理(Agent)间的 数据流量,使简单而有力地管理大型网络成为可能。 RMON MIB • RMON MIB由一组统计数据、分析数据和诊断 数据组成,不象标准MIB仅提供被管对象大量 的关于端口的原始数据,它提供的是一个网段 的统计数据和计算结果。 RMON MIB对网段 数据的采集和控制通过控制表和数据表完成。 RMON MIB按功能分成九个组。每个组有自己 的控制表和数据表。其中,控制表可读写,数 据表只读,控制表用于描述数据表所存放数据 的格式。 • RMON MIB的使用意味着首次把网络管 理扩展到物理层,使独立地收集设备的 数据成为可能,内置的监控工具提供了 不占用宝贵网络资源(带宽)而对整个 流量进行有限度的分析能力,RMON产 品已经可以使用,而且其数量在今后会 平稳增长。 网络管理测试工具介绍 • 网络分析又称为协议分析,是指使用专业软件 记录通过交换机端口的所有网络数据,按照网 络体系结构对数据的协议和内容进行分析统计 的过程。网络分析可以作为学习网络的有效工 具,也可以作为网络协议设计,网络应用调试 的强力武器,但最常见的还是作为网络管理与 故障分析工具。目前常用的网络分析软件著名 的有Ethereal、Sniffer pro,国内比较知名是科 来网络分析软件。 网络管理软件 • 对于一个有超过200个客户端的网络而言, 纯手工管理已经很难保证网络服务的质 量,因此对于中、大型网络,一个有效, 可靠的网络管理软件是必须的。大型网 络管理软件可以对网络设备、网络服务、 网络线路、网络记帐、网络故障、网络 安全等方面协助网络管理员,为管理网 络提供监控、告警、日志、统计分析等 方面的帮助。 • 大型网管系统有IBM Tivoli、HP OpenView和CA Unicenter等系统,这些系 统可以管理从终端的PC机到大型数据库, 从PC硬件到系统安全,但这些系统价格 高高在上,安装使用复杂,要求网络管 理制度运行规范,所以不大适应国内的 网络环境。 • 中型网络管理系统国外的有Cisco公司的 CiscoWorks、3com公司的Network Supervisor、 美国NetScout公司的nGenius Performance Manager和硬件探针、Micromuse公司的 NetCool网管系统、SolarWinds公司的 Solarwinds 软件、Concord公司的Concord eHealth软件套装等,这些软件价格稍低,但由 于是英文界面,对很多人来说还存在一些语言 障碍。少数国内成熟、专业的网管软件提供商 已经推出了拥有“完全自主知识产权”和“本 土化”的中型网络管理软件,如游龙科技的 SiteView、北大青鸟的 NetSureXpert网管系统、 • 专业型网络管理工具国产的较多,其中 较知名的是网络执法官等局域网管理软 件,这些软件适合200台以下终端的网吧 等局域网环境。国外较箸名的有MRTG 网络流量统计软件,可以用于交换机、 路由器各个端口的流量分析统计。 网络设备日常维护 • 交换机,路由器、防火墙等网络设备是 网络中的关键设备,它们24*7不间断运 行,一旦出现故障网络服务就会出现全 局或局部的中断。交换机一般放在大楼 的设备间,一般没有专门的空调和稳压 电源,工作环境非常恶劣,因此对网络 设备的日常维护非常重要。 • 对网络设备来说影响工作的环境因素主要是供 电电压、工作温度、湿度和灰尘,因此网络设 备日常维护主要是这三个方面,一般对于安装 在设备间的交换机只进行每周一次的现场巡检, 主要检查交换机工作声音有无异常、设备间有 无水迹等情况,对于过保修期的交换机或其它 网络设备,可每一到两年打开外壳使用工业吹 气机进行除尘。交换机的工件温度和供电电压, 可以使用网络软件人交换机中远程实时获取。