计算机网络技术及应用13课件.ppt

1、 第十三章网络安全第十三章网络安全 本章主要内容：本章主要内容：q网络安全概述q防火墙技术q网络病毒及其防范q数据加密与数字证书 q网络管理qTCP/IP诊断命令1计算机网络技术及应用第1页，共51页。本章学习要点o了解网络安全的概念和网络安全面临的风险o掌握保证网络安全常用的技术o了解网络管理的概念、功能及管理方法o掌握几个常用TCP/IP诊断命令的使用2计算机网络技术及应用第2页，共51页。13.1 网络安全概述 13.1.1 网络安全的概念 狭义的网络安全：狭义的网络安全：指计算机、网络系统的硬件、软件及计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而其系

2、统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保障系统能连续可靠地运行。遭到破坏、更改、泄露，保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安全。广义的网络安全：广义的网络安全：从广义角度来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。我们通常所说的网络安全主要是指狭义的网络安全。我们通常所说的网络安全主要是指狭义的网络安全。3计算机网络技术及应用第3页，共51页。网络安全包括五个基本要素：机密性、完整性、可用性、网络安全包括五个基本要素：机密性、完整性、可用性、可控制性与可审查性。

3、可控制性与可审查性。o 机密性：机密性：确保信息不暴露给未授权的实体或进程。o 完整性：完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。o 可用性：可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。o 可控制性：可控制性：可以控制授权范围内的信息流向及行为方式。o 可审查性：可审查性：对出现的网络安全问题提供调查的依据和手段。13.1 网络安全概述 4计算机网络技术及应用第4页，共51页。13.1.2 网络安全面临的风险 目前网络安全面临的风险主要有以下五个方面。o 非授权访问：非授权访问：指没有预先经过同意非法使用网络或计算机资源，

4、比如有意避开系统访问控制机制，对网络设备及资源进行非正常使用；擅自扩大权限、越权访问信息等。o 信息泄漏或丢失：信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括信息在传输中丢失或泄漏(如，利用电磁泄漏或搭线窃听等方式截获机密信息)；在存储介质中丢失或泄漏；通过建立隐蔽隧道窃取敏感信息等。13.1 网络安全概述 5计算机网络技术及应用第5页，共51页。破坏数据完整性：破坏数据完整性：指以非法手段获得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。拒绝服务攻击：拒绝服务攻击：不断对网络服务系统进行干扰，改变

5、其正常的作业流程，执行无关程序使系统响应速度减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。利用网络传播病毒：利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且很难防范。13.1 网络安全概述 6计算机网络技术及应用第6页，共51页。13.1.3 安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，它包括三个重要的组成部分。o 威严的法律：威严的法律：安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法，即通过建立与信息安全相关的法律和法规，可以使非法者慑于法律，不敢轻举妄动

6、。o 先进的技术：先进的技术：先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。o 严格的管理：严格的管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。13.1 网络安全概述 7计算机网络技术及应用第7页，共51页。13.1.4 网络安全技术 o 主动防御技术 数据加密数据加密 身份验证 存取控制 虚拟网络技术（VPN;VLAN)o 被动防御技术 防火墙技术防火墙技术 安全扫描 路由过滤 安全管理 13.1 网络安全概述 8计算机网络

7、技术及应用第8页，共51页。13.2.1 防火墙的概念（Firewall）是一种将内部网络和外部公共网络是一种将内部网络和外部公共网络（Internet）分开的方法或设备。它检查到达防火墙两端）分开的方法或设备。它检查到达防火墙两端的所有数据包的所有数据包(无论是输入还是输出无论是输入还是输出)，从而决定拦截这个，从而决定拦截这个包还是将其放行。包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障，使公共网络与内部网络之间建立起一个安全网关（Security Gateway）。防火墙通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现网络

8、的安全保护。防火墙的概念模型如下页图示。13.2 防火墙技术9计算机网络技术及应用第9页，共51页。13.2 防火墙技术内部端口外部端口防火墙概念模型示意图10计算机网络技术及应用第10页，共51页。13.2.2 防火墙的功能与分类1.防火墙的功能防火墙的功能 防火墙一般具有如下三种功能：o 忠实执行安全策略，限制他人进入内部网络，过滤掉不安全服务和非法用户。o 限定内部网络用户访问特殊网络站点，接纳外网对本地公共信息的访问。o 具有记录和审计功能，为监视互联网安全提供方便。2.防火墙分类防火墙分类 防火墙的主要技术类型包括数据包过滤、应用代理服务器和状数据包过滤、应用代理服务器和状态检测三种

9、类型。即包过滤防火墙，应用代理服务器，状态检态检测三种类型。即包过滤防火墙，应用代理服务器，状态检测防火墙。测防火墙。13.2 防火墙技术11计算机网络技术及应用第11页，共51页。数据包过滤技术是指在网络层对数据包进行分析、选择。选数据包过滤技术是指在网络层对数据包进行分析、选择。选择的依据是系统内设置的过滤逻辑，称为访问控制。通过检查择的依据是系统内设置的过滤逻辑，称为访问控制。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。议状态等因素或它们的组合来确定是否允许该数据包

10、通过。数据包过滤防火墙的优点是速度快，逻辑简单，成本低，易于安装和使用，网络性能和透明度好。其缺点是配置困难，容易出现漏洞，而且为特定服务开放的端口也存在着潜在危险。13.2 防火墙技术12计算机网络技术及应用第12页，共51页。应用代理服务器是防火墙的第二代产品，应用代理服务应用代理服务器是防火墙的第二代产品，应用代理服务器技术能够将所有跨越防火墙的网络通信链路分为两段，器技术能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。外部计算机的网络链

11、路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢，操作系统容易遭到攻击。13.2 防火墙技术13计算机网络技术及应用第13页，共51页。状态检测防火墙又称状态检测防火墙又称动态动态包过滤防火墙，在网络层由一个检包过滤防火墙，在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，然后以查引擎截获数据包并抽取出与应用层状态有关的信息，然后以此决定对该数据包是接受还是拒绝。此决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被中止。状态检测防火墙克服了包过

12、滤防火墙和应用代理服务器的局限性，根据协议、端口号及源地址、目的地址的具体情况确定数据包是否可以通过，执行速度很快。13.2 防火墙技术14计算机网络技术及应用第14页，共51页。13.3 网络病毒及其防范 当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病网络病毒通常是指各种木马病毒和借助邮件传播的病毒。毒通常是指各种木马病毒和借助邮件传播的病毒。13.3.1 特洛伊木马(Trojan)病毒及其防范 特洛伊木马是一种黑客程序，特洛伊木马是一种黑客程序，从它对被感染电脑的危害性方面考虑，我们不妨称之为病毒，但它与病毒有些区别。它一般并不破坏受害它与病毒有些区别。它一般并不破坏受害

13、者硬盘数据，而是悄悄地潜伏在被感染的机器中，一旦这台机器者硬盘数据，而是悄悄地潜伏在被感染的机器中，一旦这台机器连接到网络，就可能大祸临头。黑客通过连接到网络，就可能大祸临头。黑客通过Internet找到感染病毒的找到感染病毒的机器，在自己的电脑上远程操纵它，窃取用户的上网帐户和密码、机器，在自己的电脑上远程操纵它，窃取用户的上网帐户和密码、随意修改或删除文件，它对网络用户的威胁极大。随意修改或删除文件，它对网络用户的威胁极大。用户的计算机在不知不觉中已经被开了个后门，并且受到别人的暗中监视与控制。15计算机网络技术及应用第15页，共51页。不要轻易泄露你的不要轻易泄露你的IP地址，下载来历不

14、明的软件时要警惕其地址，下载来历不明的软件时要警惕其中是否隐藏了木马，使用下载软件前一定要用木马检测工具进中是否隐藏了木马，使用下载软件前一定要用木马检测工具进行检查。行检查。对付特洛伊木马除了用手工清除方法用手工清除方法外，也可用可用Lockdown 2000等专门的反木马软件来清除等专门的反木马软件来清除，还可以用它们来检测自己机器上是否有已知或未知的木马程序，实时监视自己电脑端口是否有“异常活动”，禁止别人访问你的机器。一旦有人企图连接你的机器，他们就会发出报警声音，还能对正在扫描你机器的人进行跟踪，告诉你此人来自何处、正在做什么，提示用户用专门的反木马软件进行清除。13.3 网络病毒及

15、其防范 16计算机网络技术及应用第16页，共51页。13.3.2 邮件病毒及其防范 邮件病毒和普通病毒是一样的，只不过由于它们主要通过电子邮件传邮件病毒和普通病毒是一样的，只不过由于它们主要通过电子邮件传播，所以才称为播，所以才称为“邮件病毒邮件病毒”。它通常借助邮件。它通常借助邮件“附件附件”夹带的方法进夹带的方法进行扩散，一旦你收到这类行扩散，一旦你收到这类E-mail，运行了附件中病毒程序就能使你的电脑，运行了附件中病毒程序就能使你的电脑染毒。染毒。这类病毒本身的代码并不复杂，大都是一些脚本，比如I love you病毒病毒，就是一个用VB Script编写的仅十几KB的脚本文件，只要收

16、到该病毒的E-mail并打开附件后，病毒就会按照脚本指令，将浏览器自动连接上一个网址，下载木马程序，更改一些文件后缀为.vbs，最后再把病毒自动发给Outlook通讯薄中的每一个人。此外，常见的其他邮件病毒有：Nimda(尼姆达尼姆达)蠕虫、蠕虫、SirCam蠕虫、欢乐蠕虫、欢乐时光、时光、W32.Nachi蠕虫（中文称蠕虫（中文称“冲击波杀手冲击波杀手”）、）、W32.Blaster（中文称（中文称“冲击波冲击波”）等病毒）等病毒。13.3 网络病毒及其防范 17计算机网络技术及应用第17页，共51页。o 不要打开陌生人来信中的附件，最好是直接删除；不要打开陌生人来信中的附件，最好是直接删除

17、；o 不要轻易运行附件中的不要轻易运行附件中的.EXE、.COM等可执行文件，运行以前要等可执行文件，运行以前要先查杀病毒；先查杀病毒；o 安装一套可以实时查杀安装一套可以实时查杀E-mail病毒的防病毒软件；病毒的防病毒软件；o 收到自认为有趣的邮件时，不要盲目转发，因为这样会帮收到自认为有趣的邮件时，不要盲目转发，因为这样会帮助病毒的传播；对于通过脚本助病毒的传播；对于通过脚本“工作工作”的病毒，可以采用在的病毒，可以采用在浏览器中禁止浏览器中禁止JAVA或或ActiveX运行的方法来阻止病毒的发作。运行的方法来阻止病毒的发作。13.3 网络病毒及其防范 18计算机网络技术及应用第18页，

18、共51页。13.4 数据加密与数字证书 13.4.1 数据加密技术 数据加密就是通过一定的算法将明文转换为密文的过程，加密的过程是对数据加密就是通过一定的算法将明文转换为密文的过程，加密的过程是对信息的重新组合，使得只有收发双方才能解码还原信息。加密的逆过程是解信息的重新组合，使得只有收发双方才能解码还原信息。加密的逆过程是解密，即把密文还原成明文的过程。密，即把密文还原成明文的过程。密码体制可以分为两大类：对称密钥和非对称密钥。密码体制可以分为两大类：对称密钥和非对称密钥。1.对称密钥体制对称密钥体制 对称密钥（又称为私钥密码）体制使用相同的密钥加密和解密信息，亦即对称密钥（又称为私钥密码）

19、体制使用相同的密钥加密和解密信息，亦即通信双方建立并共享一个密钥。通信双方建立并共享一个密钥。对称密钥的工作原理为：对称密钥的工作原理为：用户A要传送机密信息给B，则A和B必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥K，于是A用密钥K和加密算法E对明文P加密得到密文C，并将密文C发送给B；B收到后，用同样一把密钥K和解密算法D对密文解密，得到明文P，即还原，全部过程如下页图所示。19计算机网络技术及应用第19页，共51页。对称密钥的工作原理示意图对称密钥的工作原理示意图13.4 数据加密与数字证书 20计算机网络技术及应用第20页，共51页。2.非对称密钥体制非对称密钥体制 非对称

20、密钥体制也称为公钥密钥体制。非对称密钥体制也称为公钥密钥体制。非对称密钥密钥体制不同于传统的对称密钥体制，它要求要求密钥成对出现密钥成对出现，一个为公共密钥，另一个为，一个为公共密钥，另一个为专用密钥，且不可能从其中一个推导出另一个。公共密钥可以发专用密钥，且不可能从其中一个推导出另一个。公共密钥可以发布出去，专用密钥要保证绝对的安全。用公共密钥加密的信息只布出去，专用密钥要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密，反之亦然。能用专用密钥解密，反之亦然。非对称密钥体制的原理为：非对称密钥体制的原理为：用户A和用户B各自拥有一对密钥（KA、KA-1）和（KB、KB-1）。私钥KA-

21、1、KB-1分别由A、B各自保管，而KA、KB则以证书的形式对外公布。当A要将明文消息P安全发送给B时，A用B的公钥KB加密P得到密文C；而B收到密文P后，用私钥KB-1解密恢复明文P。如下图：13.4 数据加密与数字证书 21计算机网络技术及应用第21页，共51页。非对称加密原理示意图非对称加密原理示意图13.4 数据加密与数字证书 22计算机网络技术及应用第22页，共51页。13.4.2 数字证书 数字证书是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信数字证书是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份，即要在各方的身份，即要在Internet上解决

22、上解决“我是谁我是谁”的问题的问题，就如同现实中我们每个人都拥有一张证明个人身份的身份证一样。数字证书是由权威公正的第三方机构电子身份认证中心数字证书是由权威公正的第三方机构电子身份认证中心CA（Certificate Authority）签发的包含公开密钥、拥有者信息以及发证机构信息的文件。签发的包含公开密钥、拥有者信息以及发证机构信息的文件。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传输信息的机密性、完整性以及交易身份的真实性、签名信息的不可否认性，从而保障网络应用的安全性。数字证书采用非对称密钥体制。数字证书采用非对称密钥体制。数字证书广

23、泛应用于：数字证书广泛应用于：发送安全电子邮件，访问安全站点，网上证券，网上招标采购，网上签约，网上办公，网上交费，网上税务等网上电子交易活动等。13.4 数据加密与数字证书 23计算机网络技术及应用第23页，共51页。数字证书的格式遵循ITUT X.509国际标准。X.509数字证书通常包含以下内容：（1）证书的版本信息。（2）证书的序列号。每个证书都有唯一的证书序列号。（3）证书所使用的签名算法。（4）证书的发行机构名称。命名规则一般采用X.500格式。（5）证书的有效期。通用的证书一般采用UTC时间格式，范围为1950-2049。（6）证书所有人的名称。命名规则一般采用X.500格式。（

24、7）证书所有人的公开密钥。（8）证书发行者对证书的签名。13.4 数据加密与数字证书 24计算机网络技术及应用第24页，共51页。1.网络管理的概念和功能 国际标准化组织ISO将网络管理定义为：指控制、协调指控制、协调和监督和监督OSI环境下的网络通信服务和信息处理活动。网环境下的网络通信服务和信息处理活动。网络管理的目标是确保网络的正常运行，或者当网络运络管理的目标是确保网络的正常运行，或者当网络运行出现异常时能够及时响应和排除故障。行出现异常时能够及时响应和排除故障。在在OSI网络管理框架模型中，基本的网络管理功能被分成网络管理框架模型中，基本的网络管理功能被分成5个功能模块：故障管理、配

25、置管理、计费管理、性能管理和安个功能模块：故障管理、配置管理、计费管理、性能管理和安全 管 理。全 管 理。这 5 个 功 能 模 块 通 常 按 其 英 文 首 字 母 简 称 为FCAPS(Fault、Configuration、Accounting、Performance、Security)。补：网络管理 25计算机网络技术及应用第25页，共51页。故障管理故障管理 故障管理是最基本的网络管理功能。它包括故障检测、故障诊断和故障恢复或排除等相关工作部分，其目的是保证网络能够提供连续、可靠的服务。故障管理通过过滤、归并网络事件，有效地发现、定位网络故障，并根据故障现象采取相应的跟踪、诊断和

26、测试措施，形成完善的故障发现、告警与处理机制。补：网络管理 26计算机网络技术及应用第26页，共51页。配置管理配置管理 配置管理就是通过对网络参数进行定义、收集、检测和管理，使网络性能达到最优。配置管理应对网络拓扑结构、网络交换设备、路由设备、服务器等进行管理，并构造和维护整个网络系统的配置。检测网络被管对象的状态，完成网络设备配置的语法检查等。另外，网络的运行环境也是经常变化的，系统本身也要随着用户的增加、减少或设备的维护、添加而经常调整网络的配置，使网络能够更有效地工作。网络管理提供的这些手段构成了网络管理的配置功能。补：网络管理 27计算机网络技术及应用第27页，共51页。计费管理计费

27、管理 计费管理是商业化计算机网络的重要网络管理功能。对于商业化的计算机网络，计费系统要包含很多非常详细的计费信息，例如，每次通信的开始时间、结束时间、通信中使用的服务等级、通信中传输的数据量等信息，并使用户能够查询这些信息。在非商业化的网络上，计费管理也可以用来统计不同线路和不同资源的利用率，帮助网络管理人员分析网络的利用情况。从本质上讲，无论在什么网络上，计费管理的根本依据都是网络用户使用网络资源的情况。一个网络管理系统记录这些信息，并选择一种用户可接受的计费方法。补：网络管理 28计算机网络技术及应用第28页，共51页。性能管理性能管理 性能管理通过监视和分析被管网络及其所提供服务的性能机

28、制，用来管理和度量网络吞吐量、用户响应时间和线路利用率等系统性能。性能管理收集有关被管网络当前状况的数据信息，并以此为依据分析网络运行效率，及时发现瓶颈，为优化系统性能提供数据。性能分析的结果可以触发每个诊断测试过程或导致重新配置网络，以维持网络性能。总之，性能管理的目的是保证在使用最少的网络资源和具有最少时延的前提下，使得网络能够提供可靠的、连续的通信服务。补：网络管理 29计算机网络技术及应用第29页，共51页。o 安全管理安全管理 安全管理是为了保证网络不会被非法侵入、非法使用及资源破坏。安全管理的主要内容包括：与安全措施有关的信息分发（如密钥的分发和访问权限的设置等），与安全有关的事件

29、通知（如网络有非法侵入、无权用户对特定信息的访问企图等），安全服务设施的创建、控制和删除，与安全有关的网络操作事件的记录、维护和查阅等日志管理工作等。一个计算机网络的管理系统必须要有特定的关于网络管理的安全策略，及根据这一策略设计而实现的网络安全管理系统。安全管理主要通过使用用户认证、访问控制、数据加密等机制，控制只有授权用户才能访问或修改网络设备配置参数，确保网络管理系统本身的安全。补：网络管理 30计算机网络技术及应用第30页，共51页。2.网络管理系统的逻辑模型 一个网络管理系统的逻辑结构模型大致由4部分组成：o 被管代理（Agent）o 网络管理者（Management Manager

30、）o 管理信息库MIB（Management Information Base）o 网络管理协议（Network Management Protocol）补：网络管理 31计算机网络技术及应用第31页，共51页。被管代理被管代理 被管代理是驻留在被管对象上的、配合网络管理的处理实体。任何一个可被管理的被管对象（例如，主机、工作站、文件服务器、打印服务器、路由器等）都是一个被管代理。被管代理的任务是向管理者报告被管对象的状态，并接收来自管理者的网络管理命令，使被管对象执行指定的操作，然后将其操作结果返回给管理者。补：网络管理 32计算机网络技术及应用第32页，共51页。网络管理者网络管理者 在网

31、络管理中起核心作用的是管理者，任何一个网络管理系统都至少应该有一个管理者。管理者负责网络管理的全部监视和控制工作。管理者通过与被管代理的信息交互（发送请求/接收响应）完成管理工作，它接收被管代理发来的报告，并指示被管代理应如何操作。补：网络管理 33计算机网络技术及应用第33页，共51页。管理信息库管理信息库MIB MIB是网络管理中的一个重要组成部分。它由一个系统内的许多被管对象及其属性组成。它实际上就是一个数据库，负责提供被管对象的各种信息，这些信息由管理者和被管代理共享。网络管理协议网络管理协议 网络管理协议定义了管理者和被管代理之间的通信方法，规定了管理信息库MIB的存储结构、MIB库

32、中关键字的含义以及各种事件的处理方法。MIB中的管理信息和网络管理协议描述了所有被管对象及其属性值，网络管理的主要工作就是对这些对象及其属性值的读取或设置。补：网络管理 34计算机网络技术及应用第34页，共51页。3.简单网络管理协议 简单网络管理协议SNMP(Simple Network Management Protocol)在1988年8月作为一个网络管理标准RFC1157正式公布于世。SNMP一经推出就得到了广泛的应用和支持，成为网络管理领域中事实上的工业标准。目前，为了便于网络管理软件的使用，在大中型网络中通常要求所购置的网络设备支持SNMP协议。SNMP采用了管理者/代理模式，其管

33、理模型如下页图所示。补：网络管理 35计算机网络技术及应用第35页，共51页。补：网络管理 低层低层网络管理应用程序SNMP管理者UDPIP低层SNMP被管对象SNMP代理UDPIP低层SNMP报文SNMP管理系统SNMP被管理系统SNMP管理模型管理模型 36计算机网络技术及应用第36页，共51页。SNMP协议主要用于OSI7层模型中较低层次的管理，它采用轮询监控的工作方式：管理者按一定的时间间隔向代理请求管理信息，根据管理信息判断是否有异常事件发生；当管理对象发生紧急情况时，也可以使用称为trap(陷阱)信息的报文主动报告。SNMP是为了方便在TCP/IP上使用而开发的，但是其检测、控制活

34、动却独立于TCP/IP，它采用TCP/IP协议模型提供的无连接数据报传输服务（UDP）。SNMP的优点是协议简单，易于实现；缺点是管理通信开销大。补：网络管理 37计算机网络技术及应用第37页，共51页。4.常用的网络管理软件介绍 目前，常用的网络管理系统主要有：HP公司的OpenView，Sun公司的NetManager，IBM公司的Tivoli NetView，CA公司的Unicenter等。o HP OpenView OpenView是HP公司推出的网络管理系统平台。可支持自动OpenView搜索网络，帮助客户了解自己的环境；对第三层和第二层环境进行问题根本原因分析，可动态根据网络中的变

35、动进行调整；提供故障诊断工具，帮助快速解决复杂问题；收集主要网络信息，帮助用户发现问题并主动进行管理等功能。补：网络管理 38计算机网络技术及应用第38页，共51页。Sun NetManager NetManager提供一种集成的网络管理，这是一种介于集中式的网络管理和分散的、非共享的对象管理之间的网络管理方式。集成网络管理特别在管理不同独立部门的网络所组成的统一网络时非常有用，而分布式的轮询机制也在一定程度上补偿了缺乏相关性处理的缺陷。IBM Tivoli NetView NetView是IBM公司推出的Tivoli系列产品中用于网络管理的系统平台。能够提供整个网络环境的完整视图，实现网络产

36、品的管理。采用标准的SNMP协议对网络上符合该协议的设备进行实时的监控，对网络中发生的故障进行报警，从而减少系统管理的管理难度和管理工作量。补：网络管理 39计算机网络技术及应用第39页，共51页。CA Unicenter Unicenter是CA公司推出的网络管理系统平台，其体系结构构筑于开放、集成、全面的企业管理解决方案，每个Unicenter模块都内置了通用服务组件，每一个模块可成为一个完整的解决方案，同时每一个模块也可以与其他模块（包括第三方产品）实现无缝的集成。补：网络管理 40计算机网络技术及应用第40页，共51页。1.ping命令命令 主要功能：确定本地主机是否能与另一台主机成功

37、交换（发送与主要功能：确定本地主机是否能与另一台主机成功交换（发送与接收）数据包。根据返回的信息，可以推断接收）数据包。根据返回的信息，可以推断TCP/IP参数是否设置正参数是否设置正确、运行是否正常和网络是否通畅等。确、运行是否正常和网络是否通畅等。由于ping命令的包长非常小，所以在网络上传递的速度非常快，可以快速地检测目的站点是否可达。如果执行ping不成功，则可以预测故障出现在以下几个方面：网线不通；网络适配器配置不正确；IP地址不可用等。如果执行Ping成功而网络仍然无法使用，那么问题很可能出在网络系统的软件配置方面，ping成功只能保证当前主机与目的主机存在一条连通的物理路径。补：

38、TCP/IP诊断命令 41计算机网络技术及应用第41页，共51页。ping命令的使用方法如下：命令的使用方法如下：选择【开始】|【运行】命令，键入ping，单击【运行】即可看到ping命令的运行结果。也可以在Windows 2000的MS-DOS方式下，输入ping（如ping192.168.0.100）。如果网络是连通的，则显示下页图一所示的信息，如果网络不能连通，则显示下页图二所示的响应失败信息。补：TCP/IP诊断命令 42计算机网络技术及应用第42页，共51页。图一图一 网络连通状态下显示的信息网络连通状态下显示的信息 补：TCP/IP诊断命令 43计算机网络技术及应用第43页，共51

39、页。图二图二 网络不连通状态下显示的信息网络不连通状态下显示的信息 补：TCP/IP诊断命令 44计算机网络技术及应用第44页，共51页。2.IPconfig命令命令 IPconfig命令用于查看网络中的TCP/IP协议的有关配置，例如IP地址、默认网关、子网掩码、网卡物理地址等。在Windows 系列操作系统的MS-DOS方式下，输入“IPconfig/?”命令可以查看IPconfig命令的语法格式。补：TCP/IP诊断命令 45计算机网络技术及应用第45页，共51页。IPconfig命令的具体应用举例如下：命令的具体应用举例如下：o IPconfig 如果该命令没有使用参数，将向用户提供所

40、有当前的TCP/IP实际配置情况，包括IP地址和子网掩码等，如下页图一所示。o IPconfig/all 将向用户显示与TCP/IP协议相关的所有细节，包括主机名、节点类型、是否启用IP路由、网卡物理地址、是否启用DHCP、IP地址等，这种方法便于对计算机网络的配置情况进行全面检查，如下页图二所示。补：TCP/IP诊断命令 46计算机网络技术及应用第46页，共51页。补：TCP/IP诊断命令 图一图一 IPconfig命令显示结果命令显示结果 47计算机网络技术及应用第47页，共51页。补：TCP/IP诊断命令 图二图二 IPconfig/all命令显示结果命令显示结果 48计算机网络技术及应

41、用第48页，共51页。stat命令命令 netstat命令用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于查看本机各端口的网络连接情况，该命令的常用举例如下：o netstat-a 用于显示本机所有连接和侦听端口的使用情况，如下页图一所示。o netstat-r 用于显示本机路由表的内容，如下页图二所示。补：TCP/IP诊断命令 49计算机网络技术及应用第49页，共51页。补：TCP/IP诊断命令 图一图一 netstat-a命令显示结果命令显示结果 50计算机网络技术及应用第50页，共51页。补：TCP/IP诊断命令 图二图二 netstat-r命令显示结果命令显示结果 51计算机网络技术及应用第51页，共51页。