《山洪灾害防治县级网络管理维护.ppt》由会员分享,可在线阅读,更多相关《山洪灾害防治县级网络管理维护.ppt(50页珍藏版)》请在三一办公上搜索。
1、一、河南省水利系统网络发展概述,(一)X.25网络(64k),1995-2000年,采用公用分组数据交换网与国家防总、淮委、黄委、安徽、江苏、山东等省以及我省淮河流域11个市水情部门进行计算机联网。网络租用64k bps X.25同步线路,网络设备采用Cisco路由器。主要用来传输水情数据,带宽窄,节点少,功能单一。,河南省水利系统网络发展经历了三个阶段:,(二)SDH网络(2M),河南省水利系统网络发展经历了三个阶段:,2001-2003年,建设河南省水利信息化一期工程。2005-2006年,建设国家防汛抗旱指挥系统一期工程河南省水情分中心计算机网络工程,连接了14个水情分中心。至2006年
2、底,租用省通信公司2M bps SDH光纤电路,建设了省到18个地市水利(水务)局、部分大型水库和厅属单位之间集数据、语音、视频为一体的多业务计算机骨干网络,连网用户 2000余人。实现与水利部的宽带连接。建设了省厅到18个市水利局的异地防汛会商视频会议系统。,(二)SDH网络(2M),河南省水利系统网络发展经历了三个阶段:,(三)MPLS-VPN网络(10M),2007年,租用河南省网通公司10M bps MPLS-VPN光纤电路,对各连网单位网络进行升级改造。全省水利系统网络建设全面进入10M 宽带模式。2008年,建设河南省涡河近期治理工程项目;2009年,建设河南省山洪灾害防治县级试点
3、项目计算机网络工程建设项目。郑州市和信阳市各县水利局已经全面接入河南省水利网。到目前为止,网络覆盖了省水利厅、18个市水利局、5座省管大型水库,24个厅属单位、25个县(区)水利局、10个市管大中型水库和5座节制闸。网络用户达3000余人。,河南省水利系统网络发展经历了三个阶段:,(三)MPLS-VPN网络(10M),河南省水利系统网络发展经历了三个阶段:,二、网络基础,IP地址,一、基础知识,指用TCP/IP协议指定给主机的32位地址。IP地址由由4个用“.”分开的数字域组成,每个数字域范围在0255之间,如10.41.5.168,MAC地址(Physical Address、网卡地址),M
4、AC地址烧录在网卡里的,每个网卡的MAC都不相同,是唯一的。它是由6组16进制的数字组成,例如 00-16-DC-6B-81-2C。,子网掩码与网络划分,一、基础知识,子网掩码是一个32位的2进制数,其对应网络地址的所有位都置为1,对应于主机地址的所有位都置为0。它用来划分网络。例如目前各水利局子网掩码为255.255.255.0,对应为11111111.11111111.11111111.00000000,前面有24个1,所以也称为24位掩码,它划分的网络内有28-2,即254个可用主机 目前各县水利局机器少,子网掩码为255.255.255.128,对应为 11111111.1111111
5、1.11111111.10000000,也称为25位掩码,它划分的网络内有27-2,即126个可用主机。同理,30位掩码即255.255.255.252,它只有2个可用ip,一般做路由用。IP+掩码表示:10.41.54.1/25 即表示掩码为255.255.255.128,网关地址,网关地址也即网络的出口,地址一般设在可以跨网段运行的带路由功能的设备上。只有首先到网关才能正确的把数据转到其他网段,实现网络的互联互通。,一、基础知识,交换机和路由器,交换机工作在OSI的第二层(数据链路层),利用物理地址或者说MAC地址来确定转发数据的目的地址,转发数据速度快,不能跨网段。路由器工作在OSI的第
6、三层(网络层),利用IP地址来确定数据转发的地址,可以跨网段传输,相对转发数据能力差。,二、网络相关设备介绍,交换机和路由器,三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,因此得以广泛应用。推荐各单位以后购置交换机选用三层的并且带端口+MAC+IP三绑定功能的交换机,例如H3C(华三)的。,二、网络相关设备介绍,防火墙,防火墙是提供信息安全服务,实现网络和信息安全的基础设施。它本身具有较强的抗攻击能力,能根据用户定义的安全规则监视和抛弃数据包,保证网络的畅通。用户网关多设在防火墙上,防火墙还兼路由器功能。使用防火墙一定要注意网线接口位置,不能乱换位置,否则会导致网络不通。,二
7、、网络相关设备介绍,UPS,UPS又称不间断电源,分为主机和电源两部分。注意如果长期停电,最好设备关掉,不要让UPS把电放完后又长时间不能充电导致馈电,会严重影响UPS使用寿命。,二、网络相关设备介绍,服务器,服务器是指某些高性能计算机,能够通过网络,对外提供服务,如提供WWW网站服务,FTP数据传输服务,数据库存储查询服务,邮件服务等。服务器电源一定要接在有UPS不间断电源输出的插座上,保证在停电的情况下仍可以不间断的提供服务。,二、网络相关设备介绍,语音接入网关,二、网络相关设备介绍,语音接入网关可以将普通电话端口的模拟语音转化为IP网络上传输的信息格式,从而实现各联网单位之间免费通话的功
8、能。本次工程每个单位可接16部电话。每个语音网关都对应有个可网管的IP地址,每个接口可对应一个电话号码,可打*114#查询本机电话号码。,语音接入网关,二、网络相关设备介绍,在设计网络电话时,为了区分各单位,由水利厅信息中心统一编制区位识别码。编码方法是:在各单位的内部电话号码前加拨3位区位识别码,即区位识别码(3位)+各单位内部电话码(4位),共7位号码。例如泌阳县电话号码为:3963400-3963415。各单位自行分配每部电话使用人,分配完毕和水利厅信息中心联系提交电话表,以便把各单位电话号码加入到全省IP电话号码表里,光电转换器,光电转换器将光信号(光纤)转换为电信号(双绞线)的设备,
9、是连接联通公司和水利单位的关键设备。平时注意其状态灯,发现指示灯不亮则可能是设备死机或线路故障,可重启查看设备正常否,不行则联系联通公司协同解决。,二、网络相关设备介绍,(三)IP地址规划设计,根据国家防汛指挥系统工程总体设计,分配给河南省水利系统计算机网络的IP地址段为10.41.C.D,IP地址的第一位是全国水利系统统一网络号都为10;第二位的41代表的是河南省;第三位C是单位号,例如我们定义1为河南省水利厅,50为郑州市水利局等;第四位D是主机号,一台机器对应一个IP地址,不能重复。,IP地址的分配由省水利信息中心统一规划,为了节省有限的地址资源,全省县级通信网络IP地址均采用25位子网
10、掩码的方案,每个县水利局可分配IP地址为126个,并在所属地域市水利(务)局IP地址附近。,(三)IP地址规划设计,主机地址的分配原则:服务器地址为小数码地址,客户机地址居中,网络设备地址使用大数码地址。一定要给服务器和防火墙、交换机、语音设备、视频设备等网络设备留足地址。,例如泌阳县水利局IP分配如下表:,Ping,四、常见网络命令,ping命令可查看IP端网上交通状况,使用方法:ping IP地址或域名,如ping 10.41.8.250;ping 等,该命令连续发4个32字节的测试数据包,如果要不停的进行测试,命令后要加-t,如ping 10.41.5.99-t,IPconfig/all
11、,四、常见网络命令,在命令行模式下输入ipconfig/all,可以查看本机IP配置及网卡物理地址信息。注意有时会同时显示多组连接,一定要看准是本地连接,并且这个连接要和你在图形界面下配置的连接一致。,Ethernet adapter 本地连接 2:/注意是Ethernet本地连接 Connection-specific DNS Suffix.:Description.:Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller Physical Address.:00-13-A9-FF-AE-56/物理地址 Dhcp Enabled.:No
12、 IP Address.:10.41.212.244 Subnet Mask.:255.255.255.128 Default Gateway.:10.41.212.252 DNS Servers.:10.41.7.13,IPconfig/all,四、常见网络命令,通过这个命令还可以看到本机的全面IP信息,当网络不通时,可以方便的检查配置是否有误。例如有些时候网络不通,输入这个命令什么IP信息都没有,这时候就可以查看网卡是不是被禁用了,或者网卡本身出了毛病。,Ethernet adapter 本地连接 2:/注意是Ethernet本地连接 Connection-specific DNS Suf
13、fix.:Description.:Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller Physical Address.:00-13-A9-FF-AE-56/物理地址 Dhcp Enabled.:No IP Address.:10.41.212.244 Subnet Mask.:255.255.255.128 Default Gateway.:10.41.212.252 DNS Servers.:10.41.7.13,ARP,四、常见网络命令,Arp命令可以查看跟本机有关联的机器的物理地址,具体使用需要配合一定的参数,Arp-a 是
14、查看arp表,Arp-d 是清除arp表。,这个命令在网络内有arp病毒导致多数人不能正常上网时非常有用。可以通过这个命令查看能上网和不能上网的机器的网关arp,比较两者的差别,不能上网的计算机网关指向的物理地址就是病毒源计算机的网卡地址。,Tracert,四、常见网络命令,tracert命令主要用来显示数据包到达目的主机所经历的路径详细信息,并显示到达每个路径所消耗的时间。可用来查找网络故障点。,netstat-n,四、常见网络命令,netstat-n命令可以显示所有已建立的有效连接 netstat-an命令可以显示所有连接,这个命令可以确认本机连接是否正常,判断是否中病毒。如果本机有大量连
15、接存在,并且端口连续开几十个上百个,并且自己当前又没使用p2p软件下载东西,就可以判断本机中毒了。,三、管理与维护,了解数据流向,制定网络拓扑图,一、局域网管理,数据大致流向如下:局域网用户电脑通过双绞线(网线)连接到房间接口,再通过布线系统到机房机柜配线架,进而连接到交换机设备,交换机设备通过双绞线连接到防火墙,防火墙通过双绞线连接到光电转换器,光电转换器通过光纤和县联通公司相连,再通过联通线路连接到市水利局,再连接到省水利厅,最终和全省乃至全国水利系统各单位连通。,了解数据流向,制定网络拓扑图,一、局域网管理,管理员还需要清楚各关键设备ip地址,记录各设备具体接口连线,容易混淆的要贴上标签
16、防止错误连接。然后尽可能的详细标示在拓扑图上,以便查询。局域网拓扑图样图如下,各单位可自己制定更清晰美观的图,完备网络管理资料,一、局域网管理,网络施工完毕,管理员需要把各设备资料保存好,以便以后配置和保修。制定配线架和各房间、交换机端口对应关系图;给各用户分配完IP地址,制定IP分配表,清楚登记每个用户使用人、IP地址、MAC地址、房间号、电话,以便在某用户过度占用网络资源和危害国家安全时准确定位;制定IP电话表、网络拓扑图等管理资料,并妥善保存。,制定网络管理制度,一、局域网管理,网络使用需要有规章制度,明确职责,这样管理才不混乱。例如省水利信息中心就有信息中心管理制度、机房管理制度、值班
17、制度、安全保密制度等制度。各县水利局也要根据自己实际情况制定切实可行的管理制度,加强用户管理,定期检查网络和设备的状态,维护机房环境、保证网络健康正常的运行。网络管理与维护经费,要争取列入预算。这样,设备维修和升级才能有保证。,网络安全管理,一、局域网管理,增强网络安全意识,加强网络安全管理。要求本单位接网用户全部安装杀毒软件,及时给计算机修补漏洞,避免个人电脑恶性中毒堵塞网络。加强流量管理和日志审计,按照公安部82号令要求,至少保留用户行为日志60天。,二、故障分析与处理,检查防火墙、交换机、光电转换器等设备硬件状态,看和平时状态有何不同,如果端口亮红灯或者有告警长鸣声,则设备有故障,通知相
18、关部门维修,如果设备相应端口不亮灯,则检查连线,连线没问题,则可能还是设备故障。检查防火墙各端口连线有无改动,特别是和光电转换器相连的端口。如果都无异常,将防火墙、交换机、光电转换器等设备断电1到2分钟后再开机,再查看连接,通则说明是网络堵塞了现已正常。,二、故障分析与处理,ping网关地址,如不能连接,则是局域网问题,执行第步;如能连接,执行第步。断开所有内部网络连接设备,重启防火墙后用单机(笔记本电脑)接入防火墙局域网口,看能否ping通网关,能ping通,说明局域网内有机器堵塞网络或交换机有故障,按病毒诊断方法处理;不能ping通说明防火墙有故障。ping 县网通互联地址,如果能通,说明
19、线路无故障,可以联系上级管理部门询问网络状况;如果不通,说明网通线路有故障,联系当地联通公司进行区域电路检查。,二、故障分析与处理,六、故障处理,病毒危害网络导致多数人甚至全体不能上网的情况主要有两种:1、中毒机器发大量的攻击包阻塞网络2、中毒机器发出大量的arp欺骗包,导致网络瘫痪。对上面两种情况都有一个原始的费力的但相当有效的方法就是断网测试法。特别是对第一种情况,中毒机器对应交换机指示灯会闪烁的特别厉害甚至是长亮,这时如果把交换机上对应网线拔出,网络恢复正常,就说明是这台机器的问题。如果观察指示灯不明显,可以先断掉一半机器,看另一半能否正常上网,如果不能,如果中毒机器在这一半里,如果可以
20、了,说明中毒机器在断掉的一半里。然后再缩小范围,再逐步断网诊断。,病毒机定位与排除,六、故障处理,如果有arp病毒导致大面积不能上网,可通过arp a查看不能上网机器的网关对应mac来定位中毒机器。对中毒机器的病毒清除,首先断掉中毒机器的网络,然后到正常机器上下载360木马专杀工具,用u盘复制到中毒机进行查杀,必要时可以到安全模式下杀毒。最后再安装杀毒软件进一步进行查杀。,病毒机定位与排除,六、故障处理,病毒机定位与排除,六、故障处理,病毒机定位与排除,四、项目建设施工配合要求,1、确定施工联系人员,包括1名县级水利部门主管领导和2名技术人员,主管领导负责整个施工过程的协调工作,两名技术人员需
21、具备一定的计算机网络基础知识,做好施工过程中的网络布线、收发设备、施工验收、技术培训等各方面的配合工作。各县将联系人名单、电话以及网络设备收货单位、地址于开工前上报至省水利厅信息中心。,2、网络布线,每个单位40个网络接口,16个IP电话接口,县级水利部门技术人员确定好每个房间布线接口数量和位置,提供楼层房间示意图给施工人员,把接口数量和位置标示在房间示意图上。技术人员负责打开每个房间门锁,带领施工人员进行施工。原则上网络布线不能跨楼,如需跨楼需本单位提供网络交换机,IP电话话机需自备。,3、机房环境建设,机房选用现有办公用房,面积为15平方左右,其位置尽量设在办公楼中间,以保证线路不会因过长
22、(不超过100米)影响数据传输质量。在机柜、空调、UPS电源安放位置附近墙面预留足够的电源插座。建议空调安放于与机房大门形成对角的位置,空调供电由市电提供,并按空调设备的要求配备专用线路。机房环境建设由各单位在山洪灾害项目实施前自行按要求建设完成。,4、会商室环境建设,会商室环境建设前要充分了解其中各种设备的安装位置及连接线路,各种线路应在装修时采用暗埋方式提前布设。会商室环境建设由各单位在山洪灾害项目实施前自行按要求建设完成。,注意:机房和会商室在装修前一定要先通知相关部门布线,有不明白的问题和上级部门多联系,多沟通,以免工程不符合要求或不方便美观而返工,重复建设。,5、联通公司会在工程实施
23、安装设备前先开通光缆线路,县级水利部门提前确定好光缆走线位置,进入机房走线时,要求光缆由地板下经过并通过预留孔洞进入机柜接入光电转换器,线路长度要留有足够的冗余,做好线路测试,确保线路畅通。,注意:网络建设和视频会议是两个相对独立的系统,配合联通公司布线时,网络的10M MPLS-VPN 线路接入机房,视频会议的2M SDH线路接入视频会商室。,7、安装设备前,确保机房已经正常供电,满足设备的安装要求。机房内根据各单位需要自备计算机桌椅作为操作平台,便于日后管理人员操作。,8、配合施工,整个设备安装施工过程,县级水利部门技术人员需要在场,简单了解设备的调试状况,施工人员对技术人员进行现场讲解培训,技术人员做好记录,按要求对设备进行简单操作。,6、网络设备接收,收到设备后,技术人员做好设备型号、数量记录,放置入机房,做好防潮、防火、防盗工作,保障设备安装前得安全。,9、网络设备安装完毕正常运行后,技术人员做好计算机和IP电话用户记录,如网卡地址、IP地址、电话号码等,制定网络管理制度,保管好各种网络设备的附件和资料,便于计算机网络出现故障后进行查询维修,保持机房的环境整齐。,10、工程验收,县水利局主管领导和技术人员全面配合验收部门做好工程验收工作。,赵新强值班电话:0371-65571592 3712095,谢谢大家!,
