网络管理课题6tuba.ppt

网络管理课题,高能所校园网目前的主要环境为:千兆骨干网，百兆到桌面。在这个网络环境中运行着为全所用户提供服务的交换机、路由器和服务器群体。使得网络服务渐趋完善，网络安全大大加强。,主要网络设备及服务器,交换机路由器邮件服务器域名服务器代理服务器WWW及WEB服务器FTP服务器,交换机的管理与维护（一）,各级交换机（中心、二三级）的管理与维护（1）配合防火墙设置，对交换机配置进行调整（128网段划分子网并进行调整；重新划分Vlan、网关地址变化、静态路由变换等）。（2）实现IP+MAC自动（程序）绑定。（3）交换机的日常故障排除（工厂二车间SSR2000故障定位、设备更换，E5故障诊断等）。,交换机的管理与维护（二）,（4）使用访问控制列表（acl）使中心交换机 为网络安全发挥作用。（5）使用访问控制列表（acl）保证交换机本身的系统安全（只允许固定的机器登录到中心交换机），降低黑客攻击的可能性。,交换机存在的问题,中心交换机有时出现两个控制模块之间进行切换、造成网络短暂中断的现象。目前，管理员正在采取远端跟踪日志的方法查找问题原因。,路由器管理（一）,开通了与ChinaNet相连的10M光纤线路,缓解了出口的紧张状况,改善了与国内外的通讯。(2002.5)停止了与世纪互联的512K线路(2002.6)。开通了与科学院网络中心的10M光纤线路(2002.7)。通过这条线路可与CSTNet和CERNet通讯。,高能所出口拓扑图,KEK,IHEP,院网络中心,飞华网络,北京通讯,中国网通,中国电信,国,外,128K,10M,10M,10M,128K出口流量图,2002.12.11 4:10 pm,10M出口流量图(飞华）,2002.12.12 8:57 am,路由器管理（二）,将路由中几年积累的数百条访问列表逐一检查整理,并利用逆向掩码合并列表条数以提高数据包的投递速度,提高路由器的效率。利用访问列表功能阻止一些非法访问,提高网络的运行效率。配合防火墙的需求更改路由器的路由设置。通过路由器的记帐功能检查是否有不正常的流量。,路由器管理上存在的确问题,目前出口路由器上运行BGP路由协议,由于该协议的一些特性,造成路由器选路的复杂性,有些不可预见的结果。,邮件服务器管理（一）,系统运行管理：系统日常运行、维护、监控（用户账号建立、删除，用户空间监控、警告，用户数据备份，系统硬件升级（Users:1100 Harddisk:36G*4 MEM:1024M CPU:PIII800）病毒邮件处理方案的制定和实施工作Email地址统一工作（移植的服务器：astrosv1、sapc02、pony1、lnat等）,邮件服务器管理（二）,系统安全管理：a)、Sendmail服务安全：使用Sendmail本身特性，使用禁止转发、禁止接收等规则保证邮件服务的安全,邮件服务器管理（三）,b)、继续更新垃圾邮件过滤规则，提高垃圾邮件过滤效率。统计数字：,邮件服务器管理（四）,c）、开启SMTP身份验证功能，减少借助我所邮件服务器向外发送垃圾邮件的可能性。d）、使用访问控制列表（ipchains）保证服务器本身的系统安全、降低黑客攻击的可能性。,邮件服务器运行中出现的问题（一）,a)、8-10月，由于发送了垃圾邮件，我所mail服务器、mail转发机v-wall以及202.38.128.0网段分别被BNL以及一些反垃圾邮件组织官方网站org.db等列为黑名单，造成我所mail用户无法与许多单位正常通信。解决方案：与相关单位（如：BNL,org.db）通过各种渠道（如：e-mail、网上申请等）联系申请解除黑名单，采取措施（SMTP身份认证、病毒邮件过滤）减少、杜绝垃圾邮件发送的可能性，同时采用程序的方式定期查找我所服务器是否被列为黑名单并及时处理。,邮件服务器运行中出现的问题（二）,b）、10月中旬，发现我所mail、sun无法将邮件发送到cern，经过与cern管理员联系，得知由于我所的邮件是经过一级转发（即我所的邮件病毒处理机v-wall）过去，他们误认为这是不正常的，经过解释，cern理解了我们的邮件发送机制，问题得以解决。,邮件服务器运行中出现的问题（三）,c)、10月份，mail服务器出现短时间内用户无法使用telnet登录的现象。原因：由于同时有过多的telnet进程（大概有90个用户同时在线），服务器无法响应。解决方案：研究在线的用户发现有许多用户登录到mail服务器长时间处于idle状态，所以，采取了预设autologout的办法（20分钟），减少了同时在线的用户数量，该现象也就解决了。,邮件服务器目前存在的问题,由于mail服务器用户的大量增加（目前1100多），使得系统资源利用率比较高（由网管测试结果观测），有时候出现服务器响应时间比较长的现象，需要对系统进行硬件升级。,DNS改进（一）,1)第一域名服务器的域名由原来的 改为；其IP地址不变，仍为202.38.128.58；2)第二域名服务器域名由 改为，IP地址为202.38.128.10；3)DNS服务器删除所有用户帐号,只提供DNS服务，关闭其他服务。,DNS改进（二）,4)第二域名服务器Sun系统升级至Redhat 7.2，解决了RedHat6.2升级至Redhat7.2用户口令移植及DNS的问题。,DNS服务器存在的问题,目前DNS服务器的操作系统是RedHat 6.2，版本较低；因DNS服务器在DMZ区，所内用户进行域名解析须经过防火墙。,Proxy改进工作,建立了Linux平台上的Proxy服务器；编写了Linux平台上的Proxy服务器记费软件。,Proxy服务器存在的问题,目前所内提供用户使用的Proxy服务器有两台，操作系统分别为Windows NT 4.0，和RedHat 7.3。用户使用时较不方便。,记费软件存在的问题,目前启用的网威长城防火墙存在的问题:(1)记帐信息不全面不能提供对方IP地址,用户不能查询;(2)记帐方式不合理所内所外流量都记费;(3)记帐准确性有待提高。,所内IP地址分配,包括10个C类地址和192.168内部地址的分配。,WWW及WEB服务器（一）,分别在两台服务器上安装软件实现了站点记数功能。目前这两台服务器的系统软件都是RedHat 7.0。2002年两次改版了七室主页。年初改版主要体现为用户服务的主题,增加了许多有关这方面的网页（如：用户支持栏目)。第二次改版使得内容多、更丰富(如：与课题有关信息和学术活动等)。,WWW及WEB服务器（二）,完成了全所电话号码查询系统程序,包括输入、修改、查询、删除功能。目前正在收集整理数据准备放入数据库中。分别在两台服务器上建立了安全策略保证服务器的安全运行。,FTP服务器,2002年4月，用一台DELL1400建立了高能所FTP服务器。目前此服务器硬盘容量为126G，依据用途将软件分为4类以方便所内用户下载。FTP服务器存放软件包括：Windows操作系统上运行的软件 Linux操作系统机器上运行的软件 Cern库 Portable Batch System软件,用户技术支持,用户电话答疑、咨询。现场技术支持。,