局域网安全管理

　　局域网安全管理_互联网_IT/计算机_专业资料。局域网安全管理 课程内容 局域网的运行与几个网络管理工 具的使用举例 IP地址与MAC地址的管理与 常见网络病毒的边界防御方法 数据备份与恢复技术基础 1 局域网的运行 常

　　局域网安全管理 课程内容 局域网的运行与几个网络管理工 具的使用举例 IP地址与MAC地址的管理与 常见网络病毒的边界防御方法 数据备份与恢复技术基础 1 局域网的运行 常用网管工具的使用举例 1.1 网络管理的基本知识 刺激网络管理需求的因素： ? 网络规模日益扩大 ? 设备种类日益繁多 ? 的复杂性和成本不断提高 ? 对网管人员的要求不断提高 网管需求： ? 提供效率 ? 了解全网性能 ? 网络管能化 ? 网络用户的使用情况 ? 客户网络管理的需求 网络管理功能 故障管理：对网络中问题和故障 进行定位 配置管理：通过网络管理实现对网络 设备的配置 安全管理：提供登录用户安全级别， 视图浏览权限等 性能管理：网络管理系统向用户提供 被管设备相关的性能参数 计费管理：和记录用户对网络资 源的使用，对其收取合理费用 网络管理系统模型 基于UDP通信模型 管理者 SNMP 被管系统 执行操作 代 通知 理 MIB 被管对象 1.2 SNMP协议栈 SNMP被广泛接纳并被通信设备厂家使用的工 业标准 SNMP被设计成与下层协议无关，所以它可在 IP、IPX、AppleTalk、OSI以及其他用到的传 输协议上被使用 SNMP管理信息在任意两点间传送，只要 IP可达且无防火墙 SNMP定义基本的功能集收集被管设备的数据 SNMP目前有三个版本V1、V2、V3，其中 V1/V3应用普遍 SNMP协议栈 SNMP操作模型 NMS Request Response UDP Port162 Trap UDP Port161 Agent 被管设备 SNMP操作模型 SNMP的数据收集方法：网管工作站NMS向 被管设备发送各种查询报文，同时接收被管 设备的响应和Trap报文 网管代理SNMP-Agent是常驻被管设备内的 一个实时进程，处理来自网管工作站的请求 报文，然后从设备上的相关模块取出管理变 量（OID）的数值，形成响应报文，回送网 管站 紧急情况下(如物理接口Up/Down状态变化 或阈值条件满足)，网管代理主动发Trap报 文通知NMS 1.3 常用网管软件的使用 Solarwinds Tools MRTG Sniffer Pro Solarwinds Tools的使用 启动该软件后出现的是如左图的工具条， 会列出能够使用的所有工具。 网络浏览功能-选择其中的Discovery-IP Network Browser Cisco设备的配置浏览与编辑功能 Cisco tools菜单的config editor/viewer功能 MAC地址发现功能 Discover菜单的MAC Address Discovery 命令 MRTG软件的使用 MRTG（Multi Router Traffic Grapher ，多 由器通信图示器）作为一个工具，可以以 图形方式表示通过SNMP设备的网络通信的状 况。就像该工具名称所称呼的那样，它显示从 由器和其它网络设备处获得的网络通信应用 信息及其他统计信息。它产生HTML格式的页 面和GIF格式的图，提供了通过Web浏览器显 示可视的网络性能信息的功能。网络性能是网 络管理最重要的一个方面。使用该工具使我们 更方便地查明设备和网络的性能问题。 MRTG 一个正常的学生宿舍主干交换机日流量图 川大出口由器故障分析图 川大出口由器故障分析图 病毒导致流量异常图 10M交换机流量图 管理工具使用三 Sniffer Pro的安装相对简单，最后 有一个注册过程，前面的步骤都可 以随便填写，最后的Serial Number 填写read it.txt文件中的SN即可。 Sniffer Pro的使用 2 IP地址与MAC地址 的管理与 如何防止ip地址 2.1 IP地址问题 企业内联网普通用户随意使用或有意盗 用IP地址的现象比较普遍，假断掌手相图解这种现象一 般不会对用户上网造成影响，但对于网 络管理员来说却是比较大的安全隐患。 采取切实有效的措施来加强对内联网网 络资源的管理，杜绝安全隐患，是企业 网络安全管理急需解决的问题。 2.2 IP地址问题的解决 此类问题常见的解决办法有三种： 1、采用二层交换机上一个端口对应一个 mac地址的方法。 2、采用三层交换机上ip地址和mac地址 绑定的技术。 3、利用PPPoE或802.1x技术进行用户认 证。 2.1.1 二层交换机上端口绑定mac 目前一般的二层可管理交换机都支持此 功能，比如华为最低端的S2016及其同档 系列产品，均可进行此类设置。 [SwitchA]intece Ethernet 0/1 [SwitchA-Ethernet0/1]mac-address maxmac-count 1 此语句意味着该端口只能学习一个mac 地址，那么只有一个连接到这个端口的 用户可以接入网络。 2.1.1 二层交换机上端口绑定mac 优点：对于网管人员来说，可以尽量减 少非法用户接入网络，避免网络接入费 用的流失。 缺点：无法接入用户之间互相 ip地址。 2.2.2 ip地址与mac地址绑定 此项操作需在三层交换机上完成。在三 层交换机上将所有用户的ip地址和mac地 址一一对应绑定，在cisco交换机4506上， 其语句为 （config）#arp ip_add MAC_add arpa 其他尚未分配出去的ip地址全部和全0的 mac地址作绑定。 2.2.2 ip地址与mac地址绑定 具体实现：可以在三层交换机上获取全 部已分配的ip地址和mac地址，做成excel 表格，转换为文本文件后，在交换机的 配置模式下，一次复制粘贴到交换机上。