网络维护培训.ppt

《网络维护培训.ppt》由会员分享，可在线阅读，更多相关《网络维护培训.ppt（54页珍藏版）》请在三一办公上搜索。

1、网络基础以及H3C网络设备排障心得,天津方卫信息系统工程技术有限公司 文飞,项目经验2009年2月天津银行核心网络改造(项目经理)2009年12月天津市儿童医院网络改造(项目经理)2008年8月蓟县村镇银行网络建设(项目经理)2008年7月天津银行一级网点(支行)改造(项目经理)2008年4月河北省邢台工商局四级网络改造(项目经理)2008年3月天津市医科大学第二附属医院网络改造(项目经理)2007年11月天津银行北京分行建设(项目经理)2007年10月天津市法院系统安全项目(项目经理)2007年5月天津市武清政务网2期(项目经理)2007年1月渤海银行总部新大楼局域网建设(项目经理)2006

2、年11月天津市生物工程学院校园网建设(项目经理)2006年5月天津银行滨海分行建设(项目经理)2006年3月天津市国家税务局网络改造(技术工程师)2005年11月天津市口腔医院网络改造(项目经理),武清政务网内网结构图,说明:环路的设计可以保证冗余,渤海银行办公大楼网络拓扑图,网通SDH,联通SDH,网通SDH,网通ISDN,所一,所二,网通SDH,网通ISDN,所一,所二,区局,所,市局,NE40-A,NE40-B,防火墙,防火墙,S8512B,S8512A,8M,2M,8M,2M,S6506R,S6506R,S6506R,S6506R,NE08,AR2809,NE08,AR2880,AR2

3、809,AR2809,AR2809,2M,128K,2M,128K,AR2880,Area 1,Area N,静态路由,天津市国家税务局,Area 0,第一部分 案例分享,案例,某银行2002年建成现在使用的核心网络(双6509E+双引擎),2009年2月一天,科技处网络科机房值班人员陆续接到电话,支行业务办不了,总行营业部无法办业务.技术人员进行了诸多方面的测试,发现6509正常运行,但是路由表丢失,无法转发路由.现场查看,主引擎亮红灯,拔出主引擎.恢复正常!期间业务中断20分钟!问题原因:6509的主引擎坏掉后,备份引擎因为双引擎模式问题无法进行切换.建议1:核心网络设备的生命周期一般在5

4、年左右.对于超过5年的核心网络设备建议更换.(软件的特性,硬件的损耗)建议2:对于双核心双引擎双电源的网络设备建议1年进行1次测试切换后续:xx银行计划在今年5月份更换核心,案例,市某医院原先网络H3C 6506R双引擎单核心,所有接入交换机,服务器均为单上连.某日收费挂号处网络设备损坏,导致无法进行正常的收费挂号收费,10分钟之内,聚集数百号人众,病人情绪激动惊动院领导建议:对于信息交换量大,位置重要的接入网络如果是单核心的网络设备建议备一台热备交换机如果是双核心网络建议双上连到核心后述:医院增加一台核心 各楼层增加一台接入交换机 服务器采用双上链,H3C 75,Quidway 65,链路聚

5、合,门诊接入交换机,门诊接入交换机,Quidway 65,门诊接入交换机,门诊客户端,服务器群,服务器群,X医院原有结构,X医院现有结构,门诊客户端,案例,2008年奥运年天津市xx局进行全网的安全大检查,涉及面包括网络设备(路由器 交换机 防火墙 IDS等),服务器 PC等!网络设备关掉不必要的服务,更换密码,添加访问控制列表等。服务器操作系统打补丁关掉不必要的服务等上外网的机器重新登记,且需要低格（见word 文档）源头:xx总局一台曾经接内网的机器接到外网上internet,因为缺乏安全保护,导致一封加密字头的文件被外网黑客窃取.建议:内网有重要数据的 一定要内外网分离!,案例,某日 接

6、到用户电话,网络速度极慢,影响正常使用.派工程师去现场,发现网络当中存在病毒,通过工具查到对应机器,对此机器进行杀毒,查杀大量病毒,网络中部署的有macafee,但此员工出差后,未及时对macafee进行病毒库升级,导致病毒传染全网.建议：病毒的控制在内网安全里很重要,以前的做法是在网络里部署网络版杀毒软件(服务器+客户端模式)现在可以部署NAC和EAD.,案例5,某客户网络在最初建设时候因为节点少，新加一个点位，便随手插到交换机上，也不做标识，等出现网络故障，需要插拔线的时候，也比较容易找到，但随着网络节点扩大，网络缺乏管理，每次找跳线要花费至少10分钟左右 导致员工对IT部门怨声载道,建议

7、:网络中的跳线需要打上标签做好识别 需要有电子版的记录,我们要什么样的网络?高可用性!可控性!安全性!可扩展性!,为什么高可用性非常重要?停机代价及其昂贵,业务日益依赖网络,加大了网络 停机对业务的影响 关键业务型应用(如:银行)IP电话(如:中铁电话院)平均每小时损失100万美元(2004年CISCO 数据)不仅收入受到影响,而且 业绩受损 声望降低 额外支出 员工失望 国内/国际安全 生命遭到威胁(医院),举例:Cisco交换产品在高可用性上的控制,如何考虑引擎的冗余配置？,应用对网络可用性要求不高，主干交换机故障所致影响不大。价格最低；,引擎,引擎,引擎,客户的应用对网络可用性有一定要求

8、，主干交换机不能出故障，但资金有限，故配置双引擎以确保设备级的可用性。该方案要注意引擎故障切换时间，最好在3-5秒。,如何考虑引擎的冗余配置？,适用于高可用性网络应用环境，配置双主干交换机和双引擎，每个接入层/汇聚层交换机以双链路连接到两个主干交换机。该方案具有最高的可用性，在设备级和链路级均有最高的可用性。要求引擎切换时间应该足够小（3-5秒内）要求全网交换机支持802.1w（rstp)以提供快速L2链路切换，支持802.1s(mstp)以提供多L2链路的负载分担 以及能够运行支持快速收敛和负载均衡的L3路由协议。,适用于高可用性网络应用环境，配置双主干交换机，每个接入层/汇聚层交换机以双链

9、路连接到两个主干交换机。该方案具有较高的可用性，可以提供链路级的可用性。要求全网交换机支持802.1w以及802.1s,或者在接入层交换机上支持Flexlink;该方案费用较双机双引擎低，但高于单机双引擎,2 交换机中的安全性十分重要,交换机是防御内部安全威胁的第一道防线如果一位移动办公的员工在不知情的情况下感染了一个病毒,但又没有最新防病毒软件或服务包,会发生什么情况?当他连接局域网的时候,会对网络造成什么影响?如果一个访客/合同商/入侵者连接到局域网,会发生什么情况?哪些信息会被破坏?如果一个恶意用户截获来自局域网饿保密语音呼叫和敏感数据,会发生什么情况?如果一个恶意用户通过DDOS攻击来

10、破坏公司网络,会发生什么情况?,安全事故代价昂贵,3 融合应用的发展 需要网络支持:网络硬件和网络智能特性,4 为什么扩展性重要?,在网络上增加语音 视频 数据和无线应用/设备,推动了对于更高带宽和可扩展性的需求使网络能经济高效地快速适应 新要求,5 为什么说增强管理性十分重要?-IT员工的数量增长无法满足需求增长速度,第二部分 广域网,两个概念：局域网：通过自己铺设光纤或者布线完成pc间的互访 例子：一个单位组建单位内部的局域网广域网：通过租用运营商的链路完成两端局域网络的互访,天津,北京,运营商,用户,用户,通过广域网天津的用户可以和北京的用户完成资源共享,广域网概述,广域网简称WAN，是

11、在一个广泛范围内建立的计算机通信网广域网是一种跨地区的数据通讯网络，使用电信运营商提供的设备作为信息传输平台广域网主要用来将距离较远的局域网彼此连接起来,LAN,LAN,WAN,OSI 七层模型对应网络系统集成,主流的协议:,封装的协议:hdlc(cisco 私有)ppp(业界通用)路由协议:域内路由:Rip Eigrp ospf 域间路由:Bgp IS-IS,什么是路由？,路由是指导IP报文发送的路径信息。,（N,R1,M）,R1,目标网络N,其它网络,显示路由表信息,H3Cdisplay ip routing-tableRouting Tables:Destination/Mask pro

12、to pref Metric Nexthop Interface 9.1.0.0/1 RIP 100 4 120.0.0.2 Serial0.,路由的来源（Protocol）,链路层协议发现的路由开销小，配置简单，无需人工维护。只能发现本接口所属网段的路由。手工配置静态路由无开销，配置简单，需人工维护，适合简单拓朴结构的网络。动态路由协议发现的路由开销大，配置复杂，无需人工维护，适合复杂拓朴结构的网络。,路由优先级（Preference）,从优先级最高的协议获取的路由最先被优先选择加入路由表中。,RIP,OSPF,10.0.0.0 R0,10.0.0.0 R1,R1,路由表,路由的花费（Met

13、ric）,路由的花费表示到达这条路由所指的目的地址的代价，通常以下因素会影响到路由的花费值。线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元静态路由的花费值为0。不同的动态路由协议会选择以上的一种或几种因素来计算花费值。该花费值只在同一种路由协议内有比较意义。不同的路由协议之间的路由花费值没有可比性，也不存在换算关系。,静态路由配置,注意：只有下一跳所属的的接口是点对点（PPP、HDLC）的接口时，才可以填写interface_name，否则必须填写nexthop-address。,H3Cip route-static ip-address mask|masklen interfac

14、e-type interfacce-name|nexthop-address preference value reject|blackhole,静态路由的配置命令和命令模式,例如：,ip route-static 129.1.0.0 16 Serial 2,缺省路由配置示例,Quidway A,S0,S0,Quidway B,Network N,Public Network,在路由器 Quidway A上配置：,Internet 上 大约99.99%的路由器上都存在一条缺省路由!缺省路由并不一定都是手工配置的静态路由，有时也可以由动态路由协议产生。,动态路由协议在协议栈中的位置,路由协议的基

15、本原理（一）,动态路由协议是做什么的计算路由的计算本地路由器到网络中其它网段的路由如何做到这一点每台路由器将自己已知的路由相关信息发给相邻的路由器，由于大家都这样做，最终每台路由器都会收到网络中所有的路由信息然后运行某种算法，计算出最终的路由来（实际上需要计算的是该条路由的下一跳和花费）,路由协议的基本原理（二）,动态路由协议是做什么的“天王盖地虎”“宝塔镇河妖”每种路由协议都有自己的语言（相应的路由协议报文），如果两台路由器都实现了某种路由协议并已经启动该协议，则具备了相互通信的基础“初次见面，请多关照”一台新加入的路由器应该主动把自己介绍给网段内的其它路由器通过发送广播报文或发送给指定的路

16、由器邻居来做到这一点“好久不见，近况如何”为了能够观察到某台路由器突然失败（路由器本身故障或连接线路中断）这种异常情况，规定两台路由器之间的协议报文应该周期性地发送,自治系统（）,由同一机构管理，使用同一组选路策略的路由器的集合。,内部路由协议（）,自治系统,自治系统,外部路由协议（）,EIGRP(CISCO私有),按寻径算法划分,距离矢量算法RIPBGP链路状态算法OSPFIS-ISEIGRP,现有路由协议的性能比较,综合性能,有路由环路问题,无路由环路问题,RIP1,RIP2,BGP,OSPF,IS-IS,RIP协议概述（一）,RIP是Routing Information Protoco

17、l（路由信息协议）的简称。RIP路由协议是距离矢量路由协议的一个具体实现。RIP协议适用于中小型网络，有RIP-1和RIP-2。RIP-2使用组播（224.0.0.9）发送，支持验证和VLSM。RIP支持：水平分割、路由中毒和触发更新。,RIP协议概述(二),RIP,OSPF协议概述,可适应大规模网络路由变化收敛速度快无路由自环支持变长子网掩码VLSM支持等值路由支持区域划分提供路由分级管理支持验证支持以组播地址发送协议报文,OSPF协议的一些基本概念,Router ID一个32bit的无符号整数，是一台路由器的唯一标识，在整个自治系统内唯一。协议号OSPF的协议号是89。,OSPF协议计算路

18、由过程,(一）网络的拓朴结构,（四）每台路由器分别以自己为根节点计算最小生成树,（三）由链路状态数据库得到的带权有向图,C,A,B,D,1,2,3,5,RTC,RTD,3,2,1,5,RTB,RTA,OSPF的五种协议报文,HELLO报文 用来发现及维持邻居关系，选举DR、BDR。DD报文 用来描述本地LSDB的情况。LSR报文向对端请求本端没有或对端更新的LSA。LSU报文向对端路由器发送所需的LSA。LSAck报文收到LSU之后，进行确认。,OSPF划分区域,Area2,Area1,Area0,骨干区域与虚连接,Area 19,Area 12,Area 0,RTB,RTA,Virtual Link,第三部分 排障,