計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的日常管理與維護(hù)淺談

1、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的日常管理與維護(hù)淺談【作者簡(jiǎn)介】梁彥麗，石家莊市聯(lián)通公司集團(tuán)客戶響應(yīng)中心，技術(shù)支持，工程師 【摘 要】計(jì)算機(jī)通信網(wǎng)絡(luò)暢通的基礎(chǔ)是做好網(wǎng)絡(luò)的管理與維護(hù)。既要確保網(wǎng)絡(luò)終端不受外來(lái)信息的干擾，同時(shí)又要加強(qiáng)網(wǎng)絡(luò)管理，確保網(wǎng)絡(luò)安全正常運(yùn)行。本文筆者著重介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全和管理的日常維護(hù)思路，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)人員有一定的幫助。 【關(guān)鍵詞】計(jì)算機(jī) 網(wǎng)絡(luò)系統(tǒng) 安全維護(hù) 我們?cè)谌粘Ｓ?jì)算機(jī)網(wǎng)絡(luò)管理和維護(hù)中，需要從網(wǎng)絡(luò)安全技術(shù)和后期日常維護(hù)兩個(gè)方面做好預(yù)防工作，確保網(wǎng)絡(luò)通信的持久安全暢通。所謂網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理的安

2、全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，以及其他的安全服務(wù)和安全機(jī)制策略。在我們?nèi)粘９芾砗途S護(hù)中首先要做好網(wǎng)絡(luò)安全防范。網(wǎng)絡(luò)的安全防范主要包括兩種，其一是針對(duì)計(jì)算機(jī)病毒的防御，其二是進(jìn)行有效的網(wǎng)絡(luò)管理。一、針對(duì)計(jì)算機(jī)病毒的防御 防御計(jì)算機(jī)病毒應(yīng)該從兩個(gè)方面著手，首先應(yīng)該加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識(shí)，使他們能養(yǎng)成正確上網(wǎng)、安全上網(wǎng)的好習(xí)慣。再者，應(yīng)該加強(qiáng)技術(shù)上的防范措施，如使用高技術(shù)防火墻、使用防毒殺毒工具等。具體做法如下。 1.設(shè)置權(quán)限及口令 網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問(wèn)數(shù)據(jù)和

3、使用網(wǎng)絡(luò)資源。在選擇口令時(shí)，必須選擇超過(guò)6個(gè)字符并且由字母和數(shù)字共同組成的口令并且定期變更口令;2.軟件的安裝采用集中管理 在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。除軟件本身的安全機(jī)制外，應(yīng)將網(wǎng)絡(luò)防火墻技術(shù)與入侵檢測(cè)系統(tǒng)相結(jié)合，增強(qiáng)網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài).入侵檢測(cè)

4、系統(tǒng)（Intrusion detection system,簡(jiǎn)稱IDS）是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的行為的系統(tǒng)。作為分層安全中日益被越普遍采用的成份，入侵檢測(cè)系統(tǒng)能有效地提升黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)的門(mén)檻。入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干個(gè)關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢測(cè)網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。3.實(shí)時(shí)殺毒，多層防御 當(dāng)計(jì)算機(jī)病毒

5、對(duì)網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時(shí)，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)行殺毒?；诰W(wǎng)絡(luò)的病毒特點(diǎn)，應(yīng)該著眼于網(wǎng)絡(luò)整體來(lái)設(shè)計(jì)防范手段。在計(jì)算機(jī)硬件和軟件，LAN服務(wù)器，服務(wù)器上的網(wǎng)關(guān)，Internet層層設(shè)防，對(duì)每種病毒都實(shí)行隔離、過(guò)濾，而且完全在后臺(tái)操作。計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開(kāi)放的系統(tǒng)，它是同時(shí)運(yùn)行多程序、多數(shù)據(jù)流向和各種數(shù)據(jù)業(yè)務(wù)的服務(wù)。單機(jī)版的殺毒軟件雖然可以暫時(shí)查殺終端機(jī)上的病毒，一旦上網(wǎng)仍會(huì)被病毒感染，它是不能在網(wǎng)絡(luò)上徹底有效地查殺病毒，確保系統(tǒng)安全的。所以網(wǎng)絡(luò)防毒一定要從網(wǎng)絡(luò)系統(tǒng)和角度重新設(shè)計(jì)防毒解決方案，只有這樣才能有效地查殺網(wǎng)絡(luò)上的計(jì)算機(jī)病毒。 4、培

6、養(yǎng)網(wǎng)絡(luò)管理人員和使用人員的良好上網(wǎng)習(xí)慣。使管理者和使用者都能做到以下幾個(gè)方面:1) 安裝病毒防護(hù)軟件做好基礎(chǔ)防范；2) 手動(dòng)查殺病毒和定時(shí)查殺病毒相結(jié)合，保障計(jì)算機(jī)系統(tǒng)的安全；3) 設(shè)置病毒監(jiān)控中心實(shí)時(shí)監(jiān)測(cè)及時(shí)發(fā)現(xiàn)病毒；4) 使用病毒隔離系統(tǒng)隔離和清除病毒；5) 使用漏洞掃描工具掃描網(wǎng)絡(luò)系統(tǒng)漏洞，及時(shí)修復(fù)；6) 設(shè)置恰當(dāng)?shù)陌踩雷o(hù)級(jí)別；7) 經(jīng)常查看歷史記錄，分析異常日志；8) 定時(shí)升級(jí)，安裝網(wǎng)絡(luò)監(jiān)視器；二、進(jìn)行有效的網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動(dòng)的總稱。其目的就是使網(wǎng)絡(luò)中的資源得到更加有效的利用，并在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行出現(xiàn)異常時(shí)能及時(shí)響應(yīng)和排除故障

7、，并協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效運(yùn)行等。為了維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常工作,保證所有網(wǎng)絡(luò)資源處于良好的運(yùn)行狀態(tài),必須有相應(yīng)的網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行支撐。網(wǎng)絡(luò)管理技術(shù)是伴隨著計(jì)算機(jī)、網(wǎng)絡(luò)和通信技術(shù)的發(fā)展而發(fā)展的，二者相輔相成。從網(wǎng)絡(luò)管理范疇來(lái)分類，可分為對(duì)網(wǎng)“路”的管理。即針對(duì)交換機(jī)、路由器等主干網(wǎng)絡(luò)進(jìn)行管理；對(duì)接入設(shè)備的管理，即對(duì)內(nèi)部PC、服務(wù)器、交換機(jī)等進(jìn)行管理；對(duì)行為的管理。即針對(duì)用戶的使用進(jìn)行管理；對(duì)資產(chǎn)的管理，即統(tǒng)計(jì)IT軟硬件的信息等。網(wǎng)絡(luò)管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模，任何網(wǎng)管系統(tǒng)無(wú)論其規(guī)模大小如何，基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺(tái)、網(wǎng)管支撐軟件、網(wǎng)管工作平臺(tái)和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組

8、成。網(wǎng)管軟件平臺(tái)提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能以及網(wǎng)絡(luò)用戶分布方面的基本管理。網(wǎng)管支撐軟件是運(yùn)行于網(wǎng)管軟件平臺(tái)之上，支持面向特定網(wǎng)絡(luò)功能、網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)管理的支撐軟件系統(tǒng)。網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)是決定網(wǎng)絡(luò)管理性能的重要因素之一。在做好網(wǎng)絡(luò)安全防范的同時(shí)還要做好計(jì)算機(jī)網(wǎng)絡(luò)的后期日常維護(hù)工作。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)轉(zhuǎn)與功能完善的網(wǎng)絡(luò)軟件密不可分。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，就是利用通訊設(shè)備和線路將地理位置不同的、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等共享，包括硬件資源和軟件資源的共享：因此，如何有效地做好本單位計(jì)算機(jī)網(wǎng)絡(luò)的日常維護(hù)工作，確保其安全穩(wěn)定地運(yùn)行，這是網(wǎng)絡(luò)維護(hù)人員的一項(xiàng)非常重要的工作。計(jì)算機(jī)網(wǎng)絡(luò)的維護(hù)涉及

9、到以下幾個(gè)方面：一、清楚網(wǎng)絡(luò)設(shè)備的性能、作用、基本設(shè)置以及維護(hù)方法，還要了解用戶機(jī)房路由器、交換機(jī)的連接方法和熟悉常用的網(wǎng)絡(luò)命令的使用方法。這里簡(jiǎn)單介紹幾個(gè)常用的網(wǎng)絡(luò)命令。Ping 測(cè)試網(wǎng)絡(luò)聯(lián)接狀況以及信息包發(fā)送和接收狀況非常有用的工具，是網(wǎng)絡(luò)測(cè)試最常用的命令。Ping向目標(biāo)主機(jī)(地址)發(fā)送一個(gè)回送請(qǐng)求數(shù)據(jù)包，要求目標(biāo)主機(jī)收到請(qǐng)求后給予答復(fù)，從而判斷網(wǎng)絡(luò)的響應(yīng)時(shí)間和本機(jī)是否與目標(biāo)主機(jī)(地址)聯(lián)通。命令格式： ping IP地址或主機(jī)名 -t -a -n count -l size Tracert 用來(lái)顯示數(shù)據(jù)包到達(dá)目標(biāo)主機(jī)所經(jīng)過(guò)的路徑，并顯示到達(dá)每個(gè)節(jié)點(diǎn)的時(shí)間。命令功能同Ping類似，但它所獲

10、得的信息要比Ping命令詳細(xì)得多，它把數(shù)據(jù)包所走的全部路徑、節(jié)點(diǎn)的IP以及花費(fèi)的時(shí)間都顯示出來(lái)。該命令比較適用于大型網(wǎng)絡(luò)。命令格式：tracert IP地址或主機(jī)名 -d-h maximumhops-j host_list -w timeoutNetstat 可以幫助網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)的整體使用情況。它可以顯示當(dāng)前正在活動(dòng)的網(wǎng)絡(luò)連接的詳細(xì)信息，例如顯示網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息，可以統(tǒng)計(jì)目前總共有哪些網(wǎng)絡(luò)連接正在運(yùn)行。 利用命令參數(shù)，命令可以顯示所有協(xié)議的使用狀態(tài)，這些協(xié)議包括TCP協(xié)議、UDP協(xié)議以及IP協(xié)議等，另外還可以選擇特定的協(xié)議并查看其具體信息，還能顯示所有主機(jī)的端口號(hào)以及當(dāng)前主

11、機(jī)的詳細(xì)路由信息。命令格式：netstat -r -s -n -a  Ipconfig 以窗口的形式顯示IP協(xié)議的具體配置信息，命令可以顯示網(wǎng)絡(luò)適配器的物理地址、主機(jī)的IP地址、子網(wǎng)掩碼以及默認(rèn)網(wǎng)關(guān)等，還可以查看主機(jī)名、DNS服務(wù)器、節(jié)點(diǎn)類型等相關(guān)信息。其中網(wǎng)絡(luò)適配器的物理地址在檢測(cè)網(wǎng)絡(luò)錯(cuò)誤時(shí)非常有用。命令格式：Ipconfig -all -batchfile-renew-releaseArp 顯示和修改“地址解析協(xié)議 (ARP)”緩存中的項(xiàng)目。ARP 緩存中包含一個(gè)或多個(gè)表，它們用于存儲(chǔ) IP 地址及其經(jīng)過(guò)解析的以太網(wǎng)或令牌環(huán)物理地址。計(jì)算機(jī)

12、上安裝的每一個(gè)以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有自己?jiǎn)为?dú)的表。如果在沒(méi)有參數(shù)的情況下使用，則 arp 命令將顯示幫助信息。命令格式： arp -a -d IP地址 -s IP地址MAC地址二、要熟悉網(wǎng)絡(luò)的結(jié)構(gòu)布局和網(wǎng)絡(luò)的運(yùn)行情況。仔細(xì)研究網(wǎng)絡(luò)拓?fù)鋱D，對(duì)于整個(gè)網(wǎng)絡(luò)所涉及到的網(wǎng)絡(luò)設(shè)備以及物理鏈路要一清二楚，網(wǎng)絡(luò)上所涉及到網(wǎng)絡(luò)設(shè)備的上、下聯(lián)設(shè)備都是哪些設(shè)備，具體位置在那里等都要做到心中有數(shù)；熟悉網(wǎng)絡(luò)正常運(yùn)行時(shí)的狀態(tài)、使用效率以及網(wǎng)絡(luò)資源的分配情況等，明確需要添加哪些新設(shè)備或資源，當(dāng)網(wǎng)絡(luò)出現(xiàn)不穩(wěn)定因素時(shí)，能夠快速分析出故障原因等，便于更好的做好后期維護(hù)工作。 三、及時(shí)排除網(wǎng)絡(luò)故障。網(wǎng)絡(luò)故障的處理分為故障檢測(cè)

13、、故障定位、故障隔離、重新配置修復(fù)或替換失效的部分，使系統(tǒng)恢復(fù)正常狀態(tài)。首先，使用網(wǎng)管軟件進(jìn)行檢查，實(shí)時(shí)查看網(wǎng)絡(luò)鏈路情況，如果鏈路有故障，則線條變?yōu)榧t色，也可查看交換機(jī)是否工作正常，并自動(dòng)生成網(wǎng)絡(luò)拓?fù)鋱D，實(shí)時(shí)對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行監(jiān)測(cè)，在用戶還未報(bào)修之前就獲知網(wǎng)絡(luò)所潛在的故障源。其次，能夠熟練運(yùn)用網(wǎng)絡(luò)測(cè)試儀對(duì)網(wǎng)絡(luò)線纜進(jìn)行檢測(cè)，根據(jù)具體故障現(xiàn)象判斷是物理故障（設(shè)備線路損壞、插頭松動(dòng)、線路受到嚴(yán)重電磁干擾等）、線路故障（線路損壞及線路衰耗過(guò)大）、端口故障（插頭松動(dòng)和端口本身壞）、集線器或路由器故障還是主機(jī)物理故障進(jìn)行分類處理；第三，利用常用的Ping和Tracert命令來(lái)測(cè)試網(wǎng)絡(luò)的連通性，如果Ping命令執(zhí)行不成功，則可以預(yù)測(cè)故障出現(xiàn)在以下幾個(gè)方面：網(wǎng)線故障，網(wǎng)絡(luò)適配器配置不正確，IP地址不正確；如果Ping命令執(zhí)行成功而網(wǎng)絡(luò)仍無(wú)法使用，則要考慮問(wèn)題出現(xiàn)在軟件配置方面，Ping成功只能表示本機(jī)與目標(biāo)主機(jī)之間存在一條連通的物理鏈路。由于現(xiàn)在很多計(jì)算機(jī)都安裝了防火墻軟件，默認(rèn)都關(guān)閉了ICMP應(yīng)答，所以即使Ping不通，也不代表這臺(tái)主機(jī)關(guān)機(jī)或死機(jī)了。Tracert命令類似于Ping 命令，但是由它獲得的信息更詳細(xì)，數(shù)據(jù)包所經(jīng)路由的全部路徑，ip及花費(fèi)的時(shí)間等。 除此之外還要建立網(wǎng)絡(luò)維護(hù)典型案例文檔，不斷積