在小型企業(yè)或者ISP工作

在中小型企業(yè)或者ISP工作WorkingataSmall-to-mediumBusinessesorISP2021年10月鄧文達CCAIChangshaSocialWorkCollege本單元任務你是某ISP現(xiàn)場技術人員。公司承接了ABC公司的網絡升級工程，并安排公司資深技術人員進行了方案設計，現(xiàn)公司派你去現(xiàn)場實施該工程。本單元任務網絡升級方案：新增一臺1841路由器和獨立式2960交換機，以補充現(xiàn)有的LinksysWRT300N，減輕其負荷。新交換機將支持來自一個子網上有線客戶端的連接?，F(xiàn)有Linksys支持另一個子網上的無線客戶端。將1841配置為有線網絡以及無線網絡〔Linksys用戶〕的DHCP效勞器。每個子網中有線和無線客戶端的流量都會通過新的1841客戶路由器路由。在1841與ISP之間使用RIPv2路由協(xié)議，WAN鏈路的封裝使用PPP。客戶路由器必須使用靜態(tài)地址與ISP通信。ISP的技術人員一級技術員角色一級技術員技能標準一級技術員素質標準三級技術員角色描述三級技術員技能標準三級技術員素質標準公司選人標準本單元任務11、辦公室著裝有什么要求？2、在公司打和接的要點是什么？3、遞名片的禮節(jié)？4、吃飯座次的講究？網絡升級規(guī)劃步驟：1、現(xiàn)場勘測2、定義用戶需求3、查看布線和網絡設施3、查看布線和網絡設施布線模型一區(qū)：工作區(qū)二間：設備間、配線間三子系統(tǒng)：水平子系統(tǒng)、垂直子系統(tǒng)、建筑群子系統(tǒng)布線模型布線設計本卷須知在設計結構化布線工程時，第一步是獲取精確的樓層規(guī)劃圖。技術人員利用樓層規(guī)劃圖來確定配線間的可能位置、電纜經過的區(qū)域以及應該避開的電力區(qū)域。在確定網絡設備的位置之后，技術人員需要在樓層規(guī)劃圖上畫出網絡。一些需要記錄的較為重要的工程包括：跳線：從計算機連接到用戶工作區(qū)墻上面板的短電纜水平電纜：從墻上面板連接到分布區(qū)IDF的電纜垂直電纜：從IDF連接到組織主干區(qū)MDF的電纜主干電纜：處理主要通信的網絡局部配線間的位置：用于將最終用戶電纜集中到集線器或交換機的區(qū)域電纜管理系統(tǒng)：用于引導和保護電纜走線的線槽和蓋板電纜標識系統(tǒng)：用于識別電纜的正確標識系統(tǒng)或方案電源考慮事項：駐地應有足夠的插座，以支持網絡設備的電力要求本單元任務2在布線設計中，材料的預算是一項很重要的工作。給出507機房布線工程材料預算。一般包括以下內容：1、網線用量，多少箱？為什么？2、RJ-45水晶頭用量，多少盒？為什么？3、交換機數量，多少端口，多少臺？為什么？4、線槽及用量，多少米？多少包？為什么？5、其他？數量及理由。給出上述材料每種2個品牌的價格預算。選擇線纜雙絞線：直通線straight-through

交叉線cross-over

控制線roll-over選用設備LAN設備：交換機網間設備：路由器CISCO路由器和交換機可靠性與可用性可靠性：reliability，指系統(tǒng)在一定時間內無故障使用的能力。可用性：availability，指系統(tǒng)到達滿足需要的功能，可供使用的時間。IP地址回憶有類子網劃分IPv6為克服IPv4的諸多缺點，IPv6提出的一些改進包括：更大的地址空間更佳的地址空間管理方法更簡單的TCP/IP管理現(xiàn)代化的路由功能對組播、平安性和移動性更好的支持CIDR和私有IP尋址是防止IP地址耗盡的臨時解決方案。IPv6是1998年由RFC2460第一次提出來的。如果IPv4地址空間相當于一個茶匙的容積，那么IPv6地址空間就相當于土星的體積。IPv6的記法IPv6地址記法將128位表示為32個十六進制數字，然后以冒號為分界符，進一步細分為八組四個十六進制數字。IPv6地址分為三局部。全球前綴是前三個地址塊，由Internet名稱注冊機構分配給組織。子網和接口標識符(ID)由網絡管理員控制。本單元任務3IPv6對于物聯(lián)網的意義。提示：1、什么是物聯(lián)網2、物聯(lián)網的關鍵技術3、IPv6對于物聯(lián)網的意義4、試設想IPv6的物聯(lián)網中的應用方式地址轉換NAT的優(yōu)點和缺點NAT術語內部本地網絡：是指連接到私有尋址LAN中路由器接口的任何網絡。內部網絡中主機的IP地址在傳輸到外部目的地之前需要先進行轉換。外部全局網絡：是指與位于LAN外部的路由器相連、無法識別LAN主機私有地址的任何網絡。內部本地地址：是指在內部網絡的主機上配置的私有IP地址。此類地址在傳出本地網絡尋址結構之前，必須首先進行轉換。內部全局地址：是指內部主機顯示給外部網絡的IP地址。這是轉換后的IP地址。外部本地地址：是指數據包在本地網絡中的目的地址。通常此地址與外部全局地址相同。外部全局地址：是指外部主機的實際公有IP地址。此類地址從全局可路由地址或網絡空間分配。靜態(tài)NAT與動態(tài)NAT基于端口的地址轉換PAT看演示CISCO路由器ISR1841SYS-PWRSYSACT1841是一種本錢相對較低的ISR，適用于中小型企業(yè)以及小型企業(yè)分支機構。它綜合了數據、平安和無線效勞等功能?？囱菔綢SR1841的物理安裝ISR1841的物理安裝遵循以下步驟為1841ISR加電：1.穩(wěn)固安裝設備機箱或外殼，并將其接地。2.插上外接CF卡。3.連接電源線。4.配置PC上的終端仿真軟件，并將PC連接到控制臺端口。5.翻開路由器。6.觀察PC上顯示的啟動消息，確保沒有錯誤發(fā)生。這樣，便可以開始配置設備，將其接入網絡?？囱菔編夤芾砗蛶裙芾砻钚泻蛨D形界面配置CISCO的命令行界面CISCO的命令行界面做實驗獲取幫助報錯信息%Incompletecommand

輸入的命令不完整%Invalidinputdetected

輸入的命令有誤。使用錯誤指示符〔^符號〕來提示出錯的地方?？旖菝頢HOW命令做實驗和CiscoIOSCLIshow被網絡技術人員廣泛采用,查看配置文件、設備接口以及過程處理的狀態(tài)，并可用來校驗設備運行狀態(tài)。無論設備是使用CLI或SDM來配置，都可使用Show命令。幾乎路由器的每個過程或功能的狀態(tài)都可使用show命令顯示出來。比較常用的show命令有：showrunning-configshowinterfacesshowarpshowiprouteshowusersshowversion保存配置啟動配置文件存儲在設備的NVRAM中。Router#showstartup-config運行配置保存在設備RAM中Router#showrunning-config要將對運行配置所作的更改復制到已保存的啟動配置文件中，請使用命令：Router#copyrunstart或write警告：如果在copy命令中鍵入startup-config時出現(xiàn)拼寫錯誤，那么可能導致路由器中的IOS喪失(沒有注意系統(tǒng)的提示信息并連續(xù)按回車鍵)，因此本命令的輸入一定要使用<Tab>鍵來完成(防止拼寫錯誤)，有一些設備支持write命令。路由器根本配置enablepassword與enablesecret的區(qū)別在于enablepassword命令在默認情況下不加密。如果在設置使能口令后又設置了使能加密口令，那么使能加密口令會覆蓋使能口令。路由器根本配置命令servicepassword-encryption可確?？诹?console,vtyandenablepassword)得到加密。做實驗WAN接口角色接口配置步驟配置接口的步驟包括：1.指定接口的類型和接口端口號2.指定接口的描述3.配置接口IP地址和子網掩碼4.設置時鐘頻率〔如果將串行接口配置為DCE〕5.啟用接口noshutdown做實驗和默認路由PT路由器配置例如?為路由器配置設備主機名。?配置控制臺口令、特權模式口令和虛擬終端口令。?配置以太網和串行接口。?校驗主機與路由器之間的連通性。DHCP可以通過CiscoIOSCLI為路由器配置DHCP效勞器的功能。使用配置了DHCP的路由器可簡化網絡中的IP地址管理。通過CLI配置DHCP時，有八個根本的步驟：1.創(chuàng)立DHCP地址池2.指定子網3.設置排除的IP地址4.指定域名5.設置DNS效勞器IP地址6.設置默認路由器7.設置租用持續(xù)時間8.檢查配置，做實驗靜態(tài)NAT配置，做實驗TFTP配置保存配置，路由器必須能夠通過網絡連接訪問運行TFTP的效勞器。1.輸入copystartup-configtftp命令。2.輸入要存儲配置文件的主機的IP地址。3.輸入要指定給配置文件的名稱，或接受默認名稱。4.答復yes以確認每個選項。還可使用copyrunning-configtftp命令，將運行配置的當前副本存儲在TFTP效勞器上。TFTP配置恢復配置要恢復備份的配置文件，需確保路由器上已配置至少一個可通過網絡訪問TFTP效勞器的接口。1.輸入copytftprunning-config命令。2.輸入TFTP效勞器所在的遠程主機的IP地址。3.輸入配置文件的名稱，或接受默認名稱。4.確認配置文件名及tftp效勞器地址。本單元任務4全體做PT實驗任務和，5分鐘，取分數最高前3名。CISCO交換機2960CiscoCatalyst2960系列以太網交換機是固定配置的獨立式設備，不使用模塊，也不具備閃存卡插槽，其物理配置無法更改。典型家庭和小型企業(yè)局域網StatusLEDsSYSTLED:琥珀色(Amber)：系統(tǒng)已通電，但工作不正常。RPSLED:冗余電源系統(tǒng)PortStatus,orSTAT,theDefaultPortModeDuplexLED: SpeedLED:交換機的初始配置交換機加電不需要配置即可使用。如果要對交換機進行遠程管理，那么需要配置IP地址和默認網關。做實驗和交換機的根本配置接口速率Switch(config-if)#speed100/10/1000/auto雙工模式Switch(config-if)#duplexfull/half/auto登錄標語Switch(config)#bannermotd#標語內容#交換機的端口平安常見的端口平安威脅，討論接入層交換機。1、未經授權的用戶主機隨意連接到企業(yè)的網絡中，造成病毒或者非法侵入的隱患。2、未經批準采用集線器等設備，造成網絡性能下降或者非法侵入隱患。交換機的端口平安接入交換機端口平安應對措施：僅對于連接用戶的交換機端口Switchportmodeaccess1、啟用端口平安Switch(config-if)#switchport-security2、限制接入的主機數量Switch(config-if)#switchport–securitymaxnum主機數量交換機的端口平安3、限制主機MAC地址Switch(config-if)#switchport–securitymac-addressMAC地址4、記住接入的MAC地址Switch(config-if)#switchport–securitymac-addresssticky5、違背平安要求的處理方法Switch(config-if)#switchportport-securityviolationshutdown

CDP協(xié)議Cisco發(fā)現(xiàn)協(xié)議(CDP)是交換機、ISR或路由器采用的一種信息收集工具，用于與直接連接的其它Cisco設備共享信息。默認情況下，CDP會在設備啟動時開始運行，然后向直接相連的網絡定期發(fā)送CDP報文。禁用CDP本單元任務5做實驗交換網絡的配置和故障排除，5分鐘，取分數最高的前3名。CPE〔customerpremiseequipment〕專業(yè)形象要確保自己能以最為專業(yè)的方式代表公司出現(xiàn)在客戶面前。著裝許多公司都要求現(xiàn)場技術人員穿著統(tǒng)一制服，或者對其著裝有著嚴格的規(guī)定。言行與客戶交談時，言談必須謙恭有禮，而且要完整答復客戶提出的所有問題。如果客戶提問涉及到技術人員不了解的信息，務必記錄下客戶的問題，并盡快予以跟進。CPE安裝工作場所平安WAN連接點對點電路交換分組交換PPP協(xié)議配置做實驗路由查看路由表對于Cisco路由器，IOS命令showiproute可顯示路由表中的路由。路由表中可能存在以下幾種路由：直接連接的路由靜態(tài)路由動態(tài)更新的路由〔動態(tài)路由〕默認路由靜態(tài)路由iproute[目的網絡][子網掩碼][網關地址]做實驗距離矢量路由協(xié)議衡量最正確路徑的依據：距離路由器之間互通信息的方式：定期更新做練習RIP協(xié)議的特點RIP〔路由信息協(xié)議〕是一種距離矢量路由協(xié)議，最初在RFC1058中標準說明。RIP使用跳數作為路徑選擇的度量，默認每30秒發(fā)送一次路由表內容。RIP協(xié)議簡單、易于實施，可供大多數路由器免費使用。這些優(yōu)點使RIP成為廣受歡送的路由協(xié)議。但RIP也有幾個缺點：支持的最大跳數為15，因此應用RIP的網絡不能串接16臺以上的主機。需定期發(fā)送路由表的完整副本到直接相連的鄰居。在大型網絡中，這可能導致每次更新時產生巨大的網絡流量。大型網絡發(fā)生改變時，網絡收斂的速度很慢。RIP目前有兩個版本：RIPv1和RIPv2。RIPv2支持無類路由，因為它的路由更新中含有子網掩碼信息，而RIPv1不會在更新中發(fā)送子網掩碼信息，因此必須依靠有類默認子網掩碼。RIPv2用組播更新，RIPv1用播送更新。RIP配置在配置RIP之前，請啟用參與路由的所有物理接口，并為其分配IP地址。在串行鏈路中，需要在主控路由器上設置時鐘速率，然后再配置RIP。對于大多數的根本RIP配置，必須記住三個命令：Router(config)#routerripRouter(config-router)#version2Router(config-router)#network[網絡號]做實驗查看路由自治系統(tǒng)AS是由單個管理機構使用同一套內部路由策略統(tǒng)一控制的一組網絡。每個AS都以唯一的AS編號(ASN)標識。ASN在Internet上控制和注冊。常見路由協(xié)議自治系統(tǒng)之間的路由內部網關協(xié)議(IGP)(RIP、EIGRP和OSPF)用于在自治系統(tǒng)或組織內部交換路由信息。外部網關協(xié)議(EGP)用于在不同自治系統(tǒng)之間交換路由信息。EGP協(xié)議運行于外部路由器上，也就是位于AS邊界的路由器上。外部路由器也稱為邊界網關。內部路由器使用IGP互相交換各自的路由，而外部路由器那么使用外部協(xié)議交換網絡路由信息。BGP協(xié)議目前Internet上最常用的外部路由協(xié)議是邊界網關協(xié)議(BGP)。估計有95%的自治系統(tǒng)使用BGP。BGP的最新版本是第4版(BGP-4)，其最新說明可參見RFC4271。本地流量和中轉流量Internet中的消息流稱為流量。Internet流量可分為以下兩類：本地流量-在一個AS內傳輸的流量，流量要么起源于該AS，要么以該AS內部為目的地。這就像同一條街道內的交通流量一樣。中轉流量-起源于該AS之外、通過該AS發(fā)送到外部目的地的流量。這就像經過某條街道的交通流量一樣。自治系統(tǒng)之間的流量受到嚴格控制。為了保障平安性或防止過載，必須限制甚至禁止特定類型的消息進入或流出AS。許多自治系統(tǒng)網絡管理員選擇不傳送中轉流量。如果路由器的容量缺乏以處理大量流量，中轉流量可能會使其過載并且路由失敗。BGP的配置ISP在客戶處安裝路由器時，通常會將其配置為使用默認靜態(tài)路由到達該ISP。但有時候，ISP可能會希望該路由器包含在其自治系統(tǒng)中，并且參加BGP。此時，必須通過啟用BGP的命令來配置客戶所在地路由器。routerbgp[AS編號]neighbor[IP地址]remote-as[AS編號]network[網絡地址]用于BGP的IP地址通常是已注冊、可路由的地址，用來標識唯一的組織。在超大型的組織中，可如前所述在BGP過程中使用私有地址。但在Internet上，BGP絕不能用來通告私有網絡地址。如果ISP客戶有自己的注冊IP地址塊，可能會希望其內部的某些網絡路由為Internet所知曉。要使用BGP通告內部路由，需執(zhí)行一條network命令本單元任務6全體做練習，5分鐘，取前三名。ISP提供的效勞代維效勞主機托管TCP/IP協(xié)議TCP與UDP數據傳輸過程對于數據庫、網頁和電子郵件之類的應用，所有數據都必須以原始形式到達目的地，這樣得到的數據才有用。建立連接三次握手UDP一般認為UDP是不可靠的傳輸協(xié)議，因為它無法保證消息能夠被目的主機接收到。但這并不表示使用UDP的應用程序也同樣不可靠，而只是意味著傳輸層協(xié)議不提供這些功能。如有必要，可通過其它方式來實現(xiàn)。在常見網絡中，UDP通信的總量往往相對較低，但某些常用的應用層協(xié)議使用了UDP，包括：域名系統(tǒng)(DNS)簡單網絡管理協(xié)議(SNMP)動態(tài)主機配置協(xié)議(DHCP)路由信息協(xié)議(RIP)簡單文件傳輸協(xié)議(TFTP)在線游戲TCP與UDP的比照支持多種效勞配置常見效勞DNSFTP/TFTPHTTP/HTTPSIMAP/POP3/SNMPDHCP思考企業(yè)有沒有部署DNS效勞器的必要性？HTTP效勞器是托管好還是自行維護好？郵件效勞器對企業(yè)有什么意義？企業(yè)部署DHCP容易出現(xiàn)什么問題？ISP提供的平安效勞幫助客戶端設置平安的設備密碼通過補丁管理和軟件升級保護應用程序刪除可能形成漏洞的多余應用程序和效勞確保應用程序和效勞僅供必要的用戶使用配置桌面防火墻和病毒檢查軟件對軟件和效勞執(zhí)行平安掃描，確定技術人員必須保護的平安漏洞最正確平安作法常用的數據平安功能和規(guī)程包括：保密：加密效勞器硬盤中存儲的數據訪問控制：設置權限，限制對文件和文件夾的訪問根據用戶帳戶或用戶組成員資格允許或拒絕訪問如果允許訪問，那么根據用戶帳戶或用戶組成員資格分配不同的權限級別在分配訪問文件和文件夾的權限時，最正確平安做法是遵循最小權限的原那么。身份認證、授權和記帳(AAA)是網絡管理員為提高對攻擊者入侵網絡的防范能力而采取的三步式措施。身份認證：要求用戶提供用戶名和密碼以驗明其身份。授權：為用戶分配使用特定資源和執(zhí)行特定任務的權限。記帳：記錄使用的應用程序及其使用時間。AAA可用于不同類型的網絡連接，它需要一個數據庫來記錄用戶證書、權限和帳戶統(tǒng)計數據。本地身份認證是AAA最簡單的形式，它在網關路由器上保存本地數據庫。如果某組織有大量用戶要使用AAA進行身份認證，那么必須在單獨的效勞器上保存一個數據庫。最正確平安作法有許多網絡協(xié)議可供給用程序使用。有些協(xié)議具有平安版本，有些那么沒有。數據加密DoS（標準的拒絕服務）攻擊是指服務器或服務受到攻擊而導致合法用戶無法使用服務。標準DoS攻擊的部分示例包括SYN泛洪攻擊、ping泛洪、LAND攻擊、帶寬消耗攻擊和緩沖區(qū)溢出攻擊。DDoS（分布式拒絕服務）攻擊是指使用多臺計算機攻擊一個特定的目標。在DDoS攻擊中，攻擊者對許多臺受到入侵的計算機系統(tǒng)（通常是Internet上的計算機系統(tǒng)）擁有權限，從而可以遠程發(fā)動攻擊。DDoS攻擊的性質通常與標準DoS攻擊的性質相同，但DDoS攻擊是同時從多個計算機系統(tǒng)上發(fā)出的。DRDoS（分布式反射拒絕服務）攻擊是指攻擊者發(fā)送欺騙性或虛假請求到Internet上的許多計算機系統(tǒng)，并將請求的源地址修改為目標計算機系統(tǒng)。接收請求的計算機系統(tǒng)將會作出響應。當計算機系統(tǒng)響應請求時，所有這些請求都會導向同一目標計算機系統(tǒng)。攻擊的反射特性使得攻擊的來源非常難以確認。訪問列表和端口過濾盡管使用了AAA和加密，但ISP仍然必須防范許多不同類型的攻擊。目前有三種主要的拒絕效勞攻擊。訪問列表和端口過濾端口過濾是根據特定的TCP或UDP端口控制通信流量。許多效勞器操作系統(tǒng)具有通過端口過濾限制訪問的選項。這樣，效勞器既可以提供所需效勞，又可以受到保護。網絡路由器和交換機也可以利用端口過濾來控制通信流量和保護對設備的訪問。ISP必須能夠過濾可能損害ISP網絡或效勞器運營的網絡流量。訪問列表和端口過濾ISP必須能夠過濾可能損害ISP網絡或效勞器運營的網絡流量。訪問列表用來根據源和〔或〕目的IP地址確定允許或拒絕通過網絡的通信，也可以允許或拒絕所用協(xié)議的源和〔或〕目的端口上的通信。管理員在網絡設備〔如路由器〕上創(chuàng)立訪問列表，以控制是轉發(fā)通信還是作出攔截。訪問列表只是第一條防線，還缺乏以保護網絡平安。它只能禁止訪問網絡，而不能幫助網絡防范各種類型的惡意攻擊。防火墻防火墻是一種網絡硬件或軟件，用于定義可以進出網絡特定區(qū)域的通信以及處理通信的方式。訪問列表是防火墻使用的工具之一。防火墻的訪問列表可能非常復雜。防火墻使用訪問列表來控制允許通過或需要攔截的流量，并隨著新功能的開發(fā)和新威脅的涌現(xiàn)而不斷演變。

不同的防火墻具有不同的功能。動態(tài)數據包過濾防火墻或狀態(tài)防火墻將跟蹤源設備與目的設備之間的通信過程。防火墻的功能越多，處理數據包所需的時間就越長。防火墻防火墻可以為整個網絡以及內部本地網段〔如效勞器群〕提供邊界平安。防火墻還控制著可以進入受保護的本地網絡的通信類型。某些組織可以選擇實施內部防火墻來保護敏感區(qū)域。做實驗IDSandIPSIDS（入侵檢測系統(tǒng)）是一種基于軟件或硬件的解決方案，它被動地監(jiān)聽網絡通信。網絡通信并非直接流過IDS設備，IDS通過網絡接口監(jiān)控通信。當它檢測到惡意通信時，就會發(fā)送警報到預配置的管理站。IPS（入侵防御系統(tǒng)）則是一種主動式物理設備或軟件功能。通信從IPS的一個接口進入，從另外一個接口送出。IPS可檢測網絡通信中的實際數據包，并實時允許或拒絕想進入網絡的數據包。IDS和IPS技術都部署為傳感器。IDS或IPS傳感器可以是：使用IPS版本CiscoIOS配置的路由器專門設計為提供專用IDS或IPS效勞的設備〔硬件〕安裝在自適應平安設備(ASA)、交換機或路由器中的網絡模塊IDS解決方案在檢測入侵時作被動反響。它們根據網絡通信或計算機活動的特征碼檢測入侵。它不會阻止初始通信到達目的地，而是對檢測到的活動作出響應。在正常配置下，IDS在檢測到惡意通信時，可以主動重新配置網絡設備〔例如平安設備或路由器〕來攔截其它的惡意通信，但是最初的惡意流量已經通過網絡到達預定目的地，而無法攔截。只有后續(xù)的流量才會受到攔截。因此，IDS設備無法阻止某些入侵。處于防火墻之外，用于攔截大多數的惡意流量。處于防火墻之后，用來檢測防火墻的不當配置。IDSandIPSIPS解決方案可主動作出反響，它們可以實時攔截所有可疑的活動。當IPS檢測到惡意流量時，可以立即予以攔截。然后，IPS會依照配置發(fā)送警報，將入侵的相關信息通知管理站。由于IPS可以主動防范攻擊，最初及后續(xù)的惡意流量都會遭到攔截。IPS是一種入侵檢測設備，而非軟件。IPS檢查整個數據包。因此，對于防火墻無法攔截或無法配置為攔截的新攻擊，IPS都可以立即加以攔截。IDSandIPS無線平安在ISP提供的效勞當中，有時候會包括為客戶創(chuàng)立可登錄到無線局域網(WLAN)的無線熱點。無線網絡易于實施，但如果配置不正確，便很容易受到攻擊。無線信號可以穿透墻壁，因此在企業(yè)建筑物之外也可以訪問?？梢圆捎靡韵路椒ūＷo無線網絡：MAC地址過濾WEP〔有線等效保密〕加密無線節(jié)點之間發(fā)送的數據，應只用于不支持新版無線平安協(xié)議的舊設備WPA〔Wifi保護訪問〕使用臨時密鑰完整協(xié)議(TKIP)，提供相互身份認證的機制，永遠不會傳送密鑰WPA2〔Wifi保護訪問2〕使用更平安的“高級加密標準〞(AES)加密技術無線平安PT在無線路由器上配置WEP.pka主機平安無論網絡中是否存在防護層，效勞器假設未得到正確的保護，都容易遭受攻擊。保護效勞器的方法之一是使用基于主機的防火墻。基于主機的防火墻是在主機操作系統(tǒng)上直接運行的軟件。它幫助主機防范可能穿透所有其它防護層的惡意攻擊。啟用基于主機的防火墻時，既要允許訪問完成工作任務所需的網絡資源，又要防止應用程序給惡意攻擊留下漏洞。ISP使用基于主機的防火墻來限制對效勞器上特定效勞的訪問。使用基于主機的防火墻時，ISP通過封鎖對無關端口的訪問來保護效勞器及客戶的數據。ISP效勞器利用基于主機的防火墻來防范各種不同類型的攻擊和漏洞。的攻擊可被利用的效勞蠕蟲和病毒后門和特洛伊木馬主機平安除了基于主機的防火墻之外，還可以在主機上安裝Anti-X軟件。Anti-X軟件可以幫助計算機系統(tǒng)防范病毒、蠕蟲、間諜軟件、惡意軟件、網絡釣魚甚至垃圾郵件。必須使用事件管理程序來跟蹤所有事件和相應的解決方案，以防病毒感染再次發(fā)生。事件管理是ISP管理和維護客戶數據所必需的程序。主機平安效勞等級協(xié)議ISP和用戶通常簽訂有稱為效勞等級協(xié)議(SLA)的合同。該合同上清楚地列明了雙方的期望和義務。典型的SLA包括以下幾局部：效勞說明費用跟蹤和報告問題管理平安協(xié)議的終止效勞中斷時的賠償可用性、性能和可靠性SLA是一個重要的文檔，其中清楚地列明了網絡的管理、監(jiān)控和維護等相關條款。實驗操作解釋效勞等級協(xié)議.pdf監(jiān)控網絡鏈路性能ISP負責監(jiān)控和檢查設備的連通性，包括屬于ISP的任務設備，以及位于客戶所在地但ISP在SLA中已經表示同意監(jiān)控的設備。初始配置時如果設備無法通過網絡訪問，或者必須對設備進行目視檢查，那么適合采用帶外管理。在管理可以通過網絡訪問的效勞器時，帶內管理比帶外管理更適合，可全面檢查網絡的設計等。傳統(tǒng)的帶內管理協(xié)議包括Telnet、SSH、HTTP和SNMP〔簡單網絡管理協(xié)議〕。選擇帶內帶外工具SNMP是一種網絡管理協(xié)議，可讓網絡管理員收集有關網絡及相應設備的數據SNMP主要包括四局部：管理站——裝有SNMP管理應用程序的計算機，供管理員監(jiān)控和配置網絡。管理代理——SNMP管理的設備上安裝的軟件管理信息庫(MIB)——設備所保存的其自身與網絡性能參數相關的數據庫。網絡管理協(xié)議——管理站與管理代理之間使用的通信協(xié)議。CiscoWorks等工具中包含SNMP管理系統(tǒng)軟件。Internet上有可供下載的CiscoWorks免費版本。SNMP管理代理軟件通常內嵌于效勞器、路由器和交換機的操作系統(tǒng)中。管理站包含供管理員配置網絡設備的SNMP管理應用程序，還存儲著這些設備的有關數據。管理站通過輪詢設備來收集信息。輪詢是指管理站向代理請求特定信息。代理的任務是響應輪詢，向管理站報告信息。當管理站輪詢代理時，代理將調用MIB中存儲的統(tǒng)計信息。代理還可以使用陷阱配置。陷阱是代理中觸發(fā)警報的事件。代理的特定區(qū)域配置了必須保持的閾值或上限，例如可以訪問特定端口的流量。如果超過了閾值，代理就會發(fā)送警報消息到管理站。這樣可以防止管理站不斷輪詢網絡設備。管理站和受管理的設備通過可以訪問設備的社區(qū)ID〔稱為社區(qū)字符串〕加以標識。選擇帶內帶外工具維護設備日志并定期核查是網絡監(jiān)控的重要局部。Syslog是日志系統(tǒng)事件的一項標準。像SNMP一樣，Syslog也是一種應用層協(xié)議，可讓設備發(fā)送信息到管理站上安裝和運行的Syslog守護進程。Syslog系統(tǒng)由Syslog效勞器和Syslog客戶端組成。Syslog效勞器接受和處理來自Syslog客戶端的日志消息?？蛻舳耸鞘艿奖O(jiān)控的設備。Syslog客戶端生成日志消息并將其發(fā)送到Syslog效勞器。日志消息通常包含日志消息ID、消息類型、設備發(fā)送消息的時間戳〔日期、時間〕以及消息文本。根據發(fā)送Syslog消息的網絡設備，Syslog消息可能還會包含其它工程。選擇帶內帶外工具選擇帶內帶外工具備份介質如果喪失網站中存儲的內容，將可能需要數百甚至數千工時來恢復這些數據。在內容恢復期間如果發(fā)生停機事故，那么造成的業(yè)務損失更是無法估量。數據備份非常重要。IT專業(yè)人員的工作是盡力降低喪失數據的風險，同時為喪失的任何數據提供快速恢復的效勞。當ISP需要備份其數據時，必須權衡備份解決方案的本錢與效率。當今市面上有許多類型的備份介質，包括磁帶介質、光存儲介質、硬盤介質和固態(tài)介質等。備份介質的選擇可能是一個復雜的過程，因為影響選擇的因素有很多。其中的局部因素包括：數據量介質的價格介質的性能介質的可靠性離站存儲的便利性備份介質磁帶仍然是最常見的備份介質類型之一。磁帶有以下幾種類型：數字數據存儲(DDS)數字音頻磁帶(DAT)數字線性磁帶(DLT)線性開放磁帶(LTO)光存儲介質是少量數據的常見選擇。一張CD的存儲容量為700MB，DVD的單面雙層光盤最多可以支持8.5GB，而每張HD-DVD和藍光盤片的容量超過25GB。ISP可以使用光存儲介質將Web內容數據遞交給客戶。客戶也可以使用此介質將網站內容遞交給ISPWeb托管網站。帶有內置CD或DVD驅動器的計算機系統(tǒng)可以輕松訪問光存儲介質。備份介質基于硬盤的備份系統(tǒng)因其驅動器本錢低、容量高而越來越受歡送。但基于硬盤的備份系統(tǒng)難以實現(xiàn)離站存儲。大型磁盤陣列，如直接連接存儲(DAS)、網絡連接存儲(NAS)和存儲區(qū)域網絡(SAN)等，都無法移動?；谟脖P的備份系統(tǒng)通常與磁帶備份系統(tǒng)結合使用，以利于離站存儲。在分級備份解決方案中同時使用硬盤和磁帶，既可以在恢復時快速從本地硬盤獲取數據，又可擁有長期存檔的解決方案。固態(tài)存儲是指沒有任何活動部件的非易失性存儲介質。固態(tài)介質形式多樣，既有郵票大小、只能存儲1GB數據的小型驅動器，也有路由器大小、可以存儲1000GB(1TB)數據的封裝。固態(tài)存儲適合于需要快速存儲和檢索數據的場合。固態(tài)數據存儲系統(tǒng)的應用包括數據庫加速、高清晰視頻訪問、數據檢索和SANS。高容量固態(tài)存儲設備的本錢很高，但隨著技術的不斷成熟，價格會越來越低。備份介質文件備份方法正?！餐耆硞浞輰椭扑羞x取的文件，并將每個文件標記為已經備份。選擇正常備份時，只需要最新的備份便可恢復所有文件，從而加速和簡化恢復過程。完全備份耗時最長。差異備份只復制自上次完全備份后更改正的文件。在執(zhí)行下一次完全備份之前，差異備份過程會一直運行。這樣可以縮短備份的時間。增量備份只保存自上次增量備份后創(chuàng)立或更改的文件。增量備份的速度最快，但恢復時間最長。選擇備份解決方案之后，必須決定如何執(zhí)行備份。有三種方法可供選擇。備份系統(tǒng)需要定期維護以確保正常運行。確保備份能成功的一些步驟包括：替換介質查看備份日志執(zhí)行試驗性恢復