《网络管理与服务》教学课件

网络管理与服务教学课件课程导入与学习目标1网络管理重要性认知理解现代企业对网络管理专业人才的迫切需求，掌握网络管理在数字化转型中的关键作用2技术发展趋势把握跟踪云计算、物联网、人工智能等新兴技术对传统网络管理模式的影响与变革3能力结构构建培养网络规划设计、设备配置管理、故障诊断处理、安全防护等综合专业技能实践应用导向网络管理基础定义核心内涵理解管理对象分类计算机网络管理是指对网络资源进行规划、配置、监控、维护和优•硬件设备路由器、交换机、服务器、终端设备化的系统性活动它涉及硬件设备管理、软件系统维护、网络服务•软件系统操作系统、网络协议、应用程序保障和数据安全防护等多个层面•网络服务DNS、DHCP、Web、邮件、文件服务现代网络管理不仅要确保网络的正常运行，更要追求高效率、高可•数据资源用户数据、配置信息、日志记录靠性和高安全性，为组织的业务发展提供稳定的信息化支撑网络发展与应用现状50B全球联网设备预计2025年物联网设备数量

4.9B互联网用户全球互联网用户总数175ZB数据总量2025年全球数据量预测95%企业联网率大中型企业网络覆盖率互联网和局域网应用规模持续扩大，企业对网络依赖程度不断加深物联网设备的爆发式增长和大数据技术的广泛应用，驱动网络管理向更加智能化、自动化的方向发展传统的人工运维模式已无法满足海量设备和复杂网络环境的管理需求网络管理体系结构应用服务层1用户应用与业务服务管理网络协议层2TCP/IP协议栈管理设备硬件层3物理设备与链路管理网络管理体系采用分层架构设计，从底层的设备硬件管理，到中间的协议栈管理，再到顶层的应用服务管理，形成完整的管理体系这种层次化结构便于管理职责分工，提高管理效率，同时也为不同技术水平的管理人员提供了清晰的工作界面网络管理的主要任务配置管理监控管理性能管理故障管理网络设备参数配置、IP实时监控网络设备状态、分析网络性能数据，识故障检测、定位、排除地址分配、路由表设置、链路流量、性能指标，别性能瓶颈，制定优化和恢复，建立完善的故策略配置等基础配置工及时发现网络异常，为方案，确保网络服务质障处理流程，最大限度作，确保网络按照预定故障预防和性能优化提量满足业务需求减少网络中断对业务的规划正常运行供数据支撑影响局域网（）基础LAN定义与特点网络拓扑结构局域网是在相对较小的地理范围内，包括星型、环型、总线型、树型等将多台计算机设备互联的网络系统多种拓扑结构现代企业局域网多具有传输速度快、延迟低、管理集采用星型拓扑，以交换机为中心连中、安全性高等特点，是企业信息接各终端设备，便于管理和扩展化建设的基础设施常见技术标准主要包括以太网（Ethernet）、快速以太网、千兆以太网、万兆以太网等标准，WiFi无线局域网技术也得到广泛应用局域网组建实务核心设备选型根据网络规模选择合适的交换机、路由器，考虑端口数量、传输速率、管理功能等因素企业级设备需支持VLAN、QoS、安全策略等高级功能网络布线规划设计合理的布线路径，选择适当的传输介质（双绞线、光纤），确保信号质量和传输距离满足要求遵循结构化布线标准，便于后期维护网络架构设计采用三层网络架构接入层连接终端用户，汇聚层实现VLAN汇聚和策略控制，核心层提供高速数据交换和外网连接局域网组建实训任务测试优化阶段设计实施阶段进行全面的网络测试，包括连通性测试、性需求分析阶段绘制网络拓扑图，设计布线方案，配置网络能测试、安全测试根据测试结果优化网络调研办公环境，统计用户数量和设备类型，设备参数搭建测试环境，验证网络连通性配置，解决发现的问题，完成项目验收和交分析业务需求和流量特点制定网络规划方和性能指标编写配置文档和操作手册付案，包括IP地址规划、VLAN划分、安全策略等确定设备选型和预算控制协议体系结构TCP/IP应用层提供网络服务接口传输层端到端数据传输控制网络层路由选择和数据转发链路层局域网数据帧传输物理层物理信号传输介质TCP/IP协议体系是现代网络通信的基础，采用分层设计思想，每层负责特定的通信功能这种模块化结构便于协议开发和网络管理，也为网络故障诊断提供了清晰的分析框架物理层与链路层协议物理层特性链路层协议物理层定义了网络传输的物理特性，包括传输介质、电气特性、机以太网（Ethernet）是最广泛使用的局域网技术，采用械特性和过程特性常见传输介质有双绞线、同轴电缆、光纤等，CSMA/CD访问控制方法WiFi无线局域网使用CSMA/CA方法每种介质都有特定的带宽和传输距离限制避免冲突接口标准如RJ

45、光纤接口等，规定了设备连接的物理规范理PPP协议常用于广域网点对点连接，提供认证、加密等功能链路解这些特性对于网络布线和设备选型至关重要层负责在直接相连的设备间可靠传输数据帧网络层协议与路由原理地址分配路由选择IPIPv4地址采用32位二进制表示，分为网路由器根据目标IP地址查找路由表，选择络部分和主机部分，通过子网掩码区分最佳路径转发数据包动态更新协议分类路由协议自动学习网络拓扑变化，更新路内部网关协议如RIP、OSPF，外部网关由表信息，适应网络状态协议如BGP，静态路由手工配置传输层协议协议特点协议特点TCP UDP传输控制协议TCP提供可靠的、面向连接的数据传输服务通过三用户数据报协议UDP提供无连接的、不可靠的数据传输服务没次握手建立连接，采用滑动窗口机制进行流量控制，使用序列号和有连接建立过程，不保证数据顺序和完整性，但传输效率高，延迟确认机制保证数据完整性小TCP适用于对数据准确性要求高的应用，如文件传输、网页浏览、UDP适用于实时性要求高的应用，如在线游戏、视频直播、DNS电子邮件等场景查询等场景端口号用于区分不同应用程序的数据流应用层协议与服务域名系统DNS将人类易记的域名转换为计算机识别的IP地址，采用分层分布式架构，提供域名解析服务，是互联网基础设施的重要组成部分动态主机配置DHCP自动为网络设备分配IP地址、子网掩码、默认网关等网络参数，简化网络配置管理，支持地址租约和动态更新机制超文本传输HTTP用于Web浏览器和服务器之间传输网页内容，支持GET、POST等请求方法，HTTPS提供加密传输保障数据安全网络互联基础1需求分析评估办公室规模、用户数量、应用需求和预算限制2设备选型选择合适的路由器、交换机、无线接入点等核心设备3链路规划设计内网拓扑结构和外网接入方案，确保可靠性4安全配置配置防火墙规则、访问控制和无线网络安全策略企业网络组建项目项目启动阶段成立项目团队，制定详细的项目计划和时间表进行现状调研，收集业务需求，制定技术方案和预算计划评估风险因素，制定应急预案方案设计阶段设计网络架构图，制定IP地址规划和VLAN划分方案选择核心设备，设计冗余链路和负载均衡策略制定安全策略和管理制度实施部署阶段按照设计方案采购设备，进行设备安装和配置实施网络布线，配置网络服务进行分阶段测试，确保各项功能正常验收运维阶段进行全面的系统测试和性能验证培训运维人员，建立运维流程编写技术文档，完成项目交付和后期技术支持网络拓扑设计与优化拓扑类型优点缺点适用场景星型拓扑易于管理和故障隔离中心节点故障影响全网办公室局域网环型拓扑无需中心设备，成本低故障影响范围大小型网络连接总线型拓扑结构简单，扩展方便冲突域大，性能受限早期以太网网状拓扑可靠性高，多路径成本高，配置复杂关键业务网络现代企业网络多采用混合拓扑结构，在不同层次使用不同的拓扑类型优化策略包括增加冗余链路、实施负载均衡、优化数据流向等方法与子网划分VLSM304位子网掩码主机地址对应

255.

255.

255.252每个子网可用主机数642子网数量可用主机C类网络最大子网数扣除网络和广播地址可变长子网掩码VLSM技术允许在同一网络中使用不同长度的子网掩码，提高IP地址利用率子网划分时需要考虑主机数量需求、网络增长空间和管理便利性实用技巧包括按部门划分VLAN、预留扩展地址空间、采用层次化地址规划等方法局域网管理命令实操网络命令网络命令Windows Linux•ipconfig查看和配置网络接•ifconfig网络接口配置口•route路由表管理•ping测试网络连通性•ss套接字统计信息•tracert跟踪数据包路由路径•tcpdump网络数据包捕获•netstat显示网络连接状态•iptables防火墙规则配置•nslookup DNS域名解析测试设备配置实例通过Console口或SSH连接网络设备，使用命令行界面进行配置常见操作包括VLAN创建、端口配置、路由设置、访问控制列表配置等掌握设备特定的命令语法是网络管理的基本技能网络设备基础管理交换机基础配置路由器基础管理配置管理IP地址，设置VLAN和端口分配，启用生成树协议防止环配置接口IP地址和子网掩码，设置静态路由或动态路由协议，配置路配置端口安全限制MAC地址数量，设置端口镜像用于流量监NAT地址转换和访问控制列表启用SSH远程管理，设置用户权控限和密码策略Switchconfig#vlan10Routerconfig#interface gigabitethernet0/0Switchconfig-vlan#name SalesRouterconfig-if#ip address

192.

168.

1.1Switchconfig#interface fastethernet0/

1255.

255.

255.0Switchconfig-if#switchport accessvlan10Routerconfig-if#no shutdown网络服务器部署与管理服务器服务器邮件服务器文件服务器DNS Web部署域名解析服务，配置正向安装Apache或Nginx，配置部署邮件系统，配置SMTP、搭建文件共享服务，设置用户和反向解析区域虚拟主机和SSL证书POP

3、IMAP协议权限和访问控制服务器部署需要考虑硬件配置、操作系统选择、应用软件安装配置、安全加固、性能优化等多个方面建立完善的权限管理体系，定期进行安全更新和数据备份，确保服务的稳定性和安全性服务应用DHCP发现DHCP客户端广播DHCP Discover消息，寻找可用的DHCP服务器服务器响应DHCP服务器回复Offer消息，提供可用的IP地址和配置参数客户端请求客户端发送Request消息，正式请求分配特定的IP地址确认分配服务器发送ACK确认消息，完成IP地址租约建立过程DHCP服务大大简化了网络配置管理，支持地址池管理、租约时间控制、保留地址设置等功能常见配置问题包括地址池耗尽、租约时间设置不当、作用域冲突等，需要合理规划地址资源和监控服务状态服务部署实践DNS递归查询迭代查询25%的解析请求30%的解析过程•客户端向本地DNS服务器查询•根域名服务器返回顶级域服务器地址•服务器代为查询并返回结果•逐级查询直至获得最终结果记录管理缓存机制10%的维护工作35%的性能提升•A记录、CNAME记录、MX记录配置•本地缓存频繁查询的域名记录•TTL值设置和记录更新•减少网络流量和查询延迟文件与打印服务管理文件服务器权限管理网络打印服务案例建立分层目录结构，根据部门和职能划分共享文件夹设置用户组部署打印服务器，统一管理网络打印机资源配置打印队列和优先权限，包括读取、写入、修改、删除等不同级别的访问控制级，设置用户打印权限和配额限制实施文件版本控制，定期备份重要数据，配置磁盘配额限制用户存实现打印任务监控和统计，支持不同部门的打印成本核算配置打储空间建立文件访问日志，监控敏感文件的访问情况，确保数据印机驱动程序自动分发，简化客户端配置过程，提高用户体验安全网络性能监控方法协议应用SNMP简单网络管理协议SNMP提供标准化的设备监控接口，通过MIB库获取设备状态信息，包括CPU使用率、内存占用、接口流量等关键指标性能指标监控监控带宽利用率、丢包率、延迟、抖动等网络性能指标设置阈值告警，及时发现性能瓶颈和异常情况，为网络优化提供数据依据实时监控实践部署网络监控平台，实现7×24小时不间断监控建立监控数据库，支持历史数据查询和趋势分析，为容量规划和性能优化提供支撑网络管理工具与平台管理工具主要功能适用规模费用模式SolarWinds NPM综合网络监控管理中大型企业商业授权Nagios Core开源监控告警系统中小型网络免费开源PRTG NetworkMonitor统一监控平台中型企业按传感器收费Zabbix企业级监控解决方案各种规模免费开源ManageEngine OpManager网络设备管理中小型企业订阅模式选择网络管理工具时需要考虑网络规模、预算限制、功能需求、技术支持等因素开源工具成本低但需要较强的技术能力，商业工具功能完善但费用较高网络日常运维策略定期巡检预防性维护制定设备巡检计划，检查硬件状态、系统定期更新设备固件和安全补丁，清理设备日志、性能指标记录设备运行参数，及灰尘，检查连接线缆，更换老化部件时发现潜在问题应急响应故障预警制定应急预案，建立故障处理流程，培训建立监控告警体系，设置合理的告警阈值，技术人员，确保快速恢复网络服务实现故障早期发现和快速响应网络故障分类与诊断思路连通性故障性能故障包括物理链路中断、设备故障、配置错误网络延迟高、丢包率大、带宽不足等性能等导致的网络不通问题诊断方法包括问题通过流量分析、性能监控、瓶颈定ping测试、链路状态检查、路由表分析位等方法进行诊断和解决等•带宽瓶颈链路容量不足•物理层线缆、接口、设备电源•设备性能CPU、内存占用过高•数据链路层交换机端口、VLAN配•协议问题路由收敛、生成树重算置•网络层IP地址、路由配置配置故障由于配置错误或不当导致的网络问题，如VLAN配置错误、ACL规则问题、路由配置失误等需要仔细检查配置文件和参数设置•VLAN配置端口分配、Trunk配置•路由配置静态路由、动态协议•安全策略防火墙规则、ACL设置故障定位案例解析问题现象分析某部门用户反映无法访问互联网，但局域网内部通信正常收集故障现象信息，确定影响范围和故障发生时间，初步判断故障可能原因和位置分层排查方法从物理层开始逐层检查确认设备电源和链路状态正常，检查交换机端口配置无误，验证VLAN和路由配置发现网关路由器外网接口down状态根因分析处理检查路由器外网接口配置，发现ISP线路故障联系运营商确认线路问题，协调故障修复同时启动备用线路，恢复网络服务，并更新故障处理记录网络安全基本概念高级持续威胁APT攻击和零日漏洞利用恶意软件攻击病毒、木马、勒索软件传播身份认证攻击密码破解、身份伪造、权限提升网络层面攻击DDoS攻击、中间人攻击、协议漏洞基础设施攻击物理安全、设备漏洞、供应链攻击网络安全威胁呈现多层次、多样化特点，需要建立深度防御体系主流防护策略包括边界防护、内网隔离、行为监控、数据加密等多重措施，形成完整的安全防护框架防火墙原理与配置包过滤技术基于IP地址、端口号、协议类型等参数进行数据包过滤检查数据包头部信息，根据预设规则决定是否允许通过适用于基础的访问控制需求状态检测机制跟踪连接状态信息，维护连接表记录能够识别TCP连接的建立、维持和断开过程，提供更精确的访问控制和更高的安全性应用层检测深度包检测技术分析应用层数据内容能够识别特定应用协议，检测恶意代码和异常行为，提供应用层安全防护能力规则配置实例配置默认拒绝策略，允许必要的服务端口设置内网到外网的NAT转换规则，配置DMZ区域服务器访问策略，建立日志记录和告警机制入侵检测与防御入侵检测系统入侵防御系统IDS IPS被动监控网络流量和系统活动，发现可疑行为后发出告警采用签主动阻断检测到的攻击行为，集成检测和防御功能部署在网络关名检测和异常检测两种主要技术，能够识别已知攻击模式和异常行键路径上，能够实时分析数据包并采取阻断措施为特征相比IDS具有更强的实时防护能力，但可能影响网络性能和可用性部署位置包括网络边界、内网关键节点和服务器主机需要定期更需要careful调整策略，平衡安全性和网络性能的关系新攻击特征库，调整检测规则，减少误报和漏报情况与加密通信VPN1隧道建立在公网上建立加密隧道，封装私有数据进行安全传输2身份认证验证用户身份和设备合法性，支持多种认证方式3数据加密使用对称和非对称加密算法保护数据机密性4密钥管理安全生成、分发和更新加密密钥，确保通信安全VPN技术支持远程办公和分支机构互联，常见类型包括站点到站点VPN和远程访问VPN关键配置包括选择合适的加密算法、配置认证方式、设置隧道参数等，需要在安全性和性能之间找到平衡点无线网络技术基础

69.6WiFi6标准理论速率最新无线网络标准Gbps最大传输速度1601024信道宽度QAM调制MHz支持的最大带宽最高调制阶数无线网络技术快速发展，从

802.11a/b/g发展到最新的WiFi6标准安全机制也从早期的WEP发展到WPA3，提供更强的加密保护现代无线网络支持多用户MIMO、OFDMA等先进技术，大幅提升网络容量和用户体验无线网络部署实操覆盖规划安全配置30%的工作量25%的部署工作•无线信号覆盖范围测算•WPA3企业级加密设置•接入点位置优化布局•RADIUS认证服务器配置•信道规划避免干扰•访客网络隔离策略性能优化接入控制20%的维护工作25%的管理任务•负载均衡和漫游优化•用户身份认证机制•干扰检测和信道调整•设备MAC地址过滤•性能监控和故障排除•带宽限制和QoS策略网络访问控制技术访问控制列表ACL用户认证方式对比基于源地址、目标地址、端口号等参数本地认证简单但扩展性差，适用于小型控制数据包通过支持标准ACL和扩展网络RADIUS/TACACS+集中认证支ACL两种类型，可以实现精细化的访问持大规模用户管理

802.1X端口认证提控制策略供动态访问控制能力•标准ACL基于源IP地址过滤•本地认证设备本地用户数据库•扩展ACL支持多种匹配条件•RADIUS远程拨入用户服务•命名ACL便于管理和维护•LDAP轻量级目录访问协议动态访问控制根据用户身份、设备类型、时间、位置等因素动态调整访问权限支持基于角色的访问控制和基于属性的访问控制模型•RBAC基于角色的访问控制•ABAC基于属性的访问控制•NAC网络准入控制网络管理与信息化建设数字化转型网络成为业务数字化基础设施系统集成网络与业务系统深度融合数据中心3集中化的IT资源管理平台移动办公无处不在的网络接入需求现代企业信息化建设中，网络不再是简单的连接工具，而是业务运营的重要基础设施网络管理需要与业务系统紧密集成，支持云计算、大数据、人工智能等新兴技术应用，为企业数字化转型提供强有力的技术支撑云计算与网络管理基础设施即服务IaaS提供虚拟化的计算、存储、网络资源平台即服务PaaS提供应用开发和部署环境软件即服务SaaS提供即用型应用软件服务管理即服务MSP提供专业的IT运维管理服务云计算环境下的网络管理面临新的挑战和机遇虚拟化网络、软件定义网络SDN、网络功能虚拟化NFV等技术改变了传统网络架构云管理平台提供统一的资源管理界面，支持弹性扩缩容、自动化运维等功能物联网时代的网络管理挑战海量设备接入大数据处理安全风险增加运维复杂度物联网设备数量激增，物联网产生海量数据流，物联网设备安全防护能设备类型多样、分布广传统网络架构难以支撑对网络带宽和处理能力力普遍较弱，成为网络泛、生命周期不同，传大规模设备接入需要提出更高要求需要边安全的薄弱环节需要统运维模式无法有效管新的网络协议和管理模缘计算和云计算协同处建立设备认证、数据加理需要智能化运维工式应对设备多样性和规理，优化数据传输和存密、异常检测等多层次具和自动化管理平台支模化挑战储策略安全防护体系撑。