公司网络管理规划.pdf_三一文库31doc.com

资源描述

《公司网络管理规划.pdf》由会员分享，可在线阅读，更多相关《公司网络管理规划.pdf（30页珍藏版）》请在三一文库上搜索。

1、公司网络管理规划 2019 年 9 月第1章公司信息化的整体目标和原则公司信息化可以有效提升公司的总体水平。信息技术利用的水平，从一定程度上也体现了公司的管理水平和企业文化。公司员工使用信息化成果的同时，也是信息化与公司管理理念紧密结合的过程。信息化可以与公司企业文化紧密结合，员工在日常的工作中就可以体会公司企业文化的部分内涵。由此，信息化的整体目标是以公司企业文化为主线，紧密结合公司内部管理制度，发展适合公司需要的、先进的IT 成果，提升公司的信息化总体水平。信息化发展的原则，先进、可靠、安全、简易、扩展、有针对、易融合。第2章公司目前信息系统规划前的情况 2.1 公司组织

2、结构设置（2012 年度）公司组织结构设置是否在公司网络 2.2 网络信息系统规划前的逻辑拓扑结构图 2.3 公司目前设备和人员等基础资料汇总整理 2.3.1 公司总部网络内部的所有人员基本信息（人力资源部门提供）员工编码员工姓名所属部门备注 2.3.2 公司总部信息点位平面图要点：对区域内所有信息点（包括语音和数据）进行统一编号并绘制平面示意图。 2.3.3 公司总部机房机柜位置图 2.3.4 网络设备汇总登记表设备识别码设备名称设备型号功能位置管理 IP 地址子网掩码管理 VLAN 备注网络设备（路由器、防火墙和交换机等）无需登记网卡型号和网卡MAC。建议：设备识别码 6 位，

3、 2 位为公司编码，1 位为类别编码，3 位同类设备序号。青岛郡威总部：00；类别编码： 0 网络设备， 1 服务器， 2 笔记本电脑，3 台式机电脑。如青岛郡威总部交换机编码为 000001 ；青岛郡威总部服务器为001001 。设备名称仅标注设备的类型（如路由器、服务器、防火墙、笔记本电脑和台式机电脑等）；设备型号要标注设备的品牌和设备的厂家型号；位置引用青岛郡威总部机房机柜位置统一编号。 2.3.5 服务器设备汇总登记表设备识别码设备名称设备型号网卡 1 型号网卡 1MAC 网卡 2 型号网卡 2MAC 功能位置备注服务器的网卡型号和网卡MAC 有多少物理网卡就记录多少；

4、终端设备汇总登记表、设备识别码设备名称设备型号网卡 1 型号网卡 1MAC 网卡 2 型号网卡 2MAC 员工编码使用人工位号备注要点：终端设备的网卡型号和网卡MAC 有多少物理网卡就记录多少；位置引用总部平面图内的信息点编号；其它无法分类汇总的信息写在备注项内。终端设备（包括台式机和笔记本电脑）主机名称建议方案：“公司 +部门 +序号” 。00 代表青岛郡威总部，部门名称采用简单易记易懂的拼音或缩写，序号为设备在所属部门（或功能）内部序列号，2 位。如，资讯中心电脑编号为： “00ZiXun01 ” 。 2.3.6 设备之间连接的端口设备识别码设备名称源端口设备识别码设备名

5、称目的端口工位号运行状态例：Switch A 连接 Switch B ，以 Switch A 为主时，源端口为Switch A 上的连接 Switch B 的端口；目的端口为Switch B 上的连接Switch A 的端口；运行状态为目前使用情况。下面介绍下目前公司使用的和即将使用的主要网络设备及特点。 2.4 路由器 D-Link 7200 2.4.1 概述端口结构：非模块化广域网接口： 2 或 4 个局域网接口： 3 或 1 个传输速率： 10/100Mbps 网络管理： WEB 管理用户数量： 120 台防火墙：内置防火墙 VPN 支持：支持产品内存： 64MB S

6、DRAM 处理器： Intel IXP 266MHz 网络安全：防UDP Flooding 攻击防 ARP 广播 . 2.4.2 功能特点 D-Link DI-7200详细参数基本参数路由器类型：企业级路由器传输速率： 10/100Mbps 端口结构：非模块化广域网接口： 2 或 4 个局域网接口： 3 或 1 个功能参数防火墙：内置防火墙 VPN 支持：支持网络安全：防UDP Flooding 攻击防 ARP 广播报文攻击防外网 Ping 攻击防 Ping、端口扫描冲击波病毒防范 ARP 地址欺骗防范网络管理：WEB 管理其他参数处理器：Intel IXP 266MH

7、z 产品内存： 64MB SDRAM 用户数量： 120 台其它特点：负载均衡其它性能：最大连接数160000 绿色节能保修信息保修政策：全国联保，享受三包服务客服电话：800-829-6688 电话备注： 9:00-18:00 详细内容：凡属正常使用情况下由于产品本身质量问题引起的故障，在保修期内D-Link 公司将负责给予有限保修。经维修的机器，在保修期内继续享有保修服务；若距保修期结束不足 3 个月，则所更换的备件自更换之日起享有3 个月的保修。产品的保修起始日期为购机发票日期，如发票日期晚于D-Link 系统发货日期加该产品的宽限期 2.4.3 主要硬件规格 2.5 核心

8、交换机 H3C S3100-16TP-EI 2.5.1 概述核心交换机采用的是H3C 公司的增强型IPv6 强三层万兆以太网交换机，具体产品型号为“ S5500-28C-EI ” 。 2.5.2 功能特点 H3C S3100-16TP-EI 端口参数非模块化端口数量： 20 个端口描述： 16 个 10/100Base-TX以太网端口，2 个 10/100/1000Base-T以太网端口， 2 个复用的100/1000Base-X SFP端口控制端口： 1 个 Console 口传输模式：支持全双工 VLAN：支持基于端口的VLAN（4K 个）支持基于协议的VLAN 支持 Voic

9、e VLAN 支持 GVRP 支持 VLAN VPN（ QinQ），灵活 QinQ 支持基于端口和全局的VLAN Mapping QOS ：每个端口支持4 个输出队列支持802.1p/DSCP 优先级支持端口队列调度（SP、 WRR、SP+WRR）支持基于流的包过滤支持基于流的流量统计支持基于流的重定向支持基于流的优先级标记支持基于流的限速支持流量整形组播管理： IGMP Snooping v1/v2/v3 组播 VLAN 网络管理：支持 XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console 口进行配置支持HGMP v2 集群管理支持SNMP

10、v1/v2/v3，WEB 网管支持RMON 1， 2，3， 9 组 MIB 支持 H3C iMC 智能管理中心支持系统日志，分级告警支持PING、Traceroute ， Multicast Traceroute 支持 Telnet 远程维护支持VCT （Virtual Cable Test ）电缆检测功能支持 DLDP（Device Link Detection Protocol）单向链路检测协议支持Loopback-detection 端口环回检测支持IPv6 host 网络管理特性族安全管理：用户分级管理和口令保护支持Guest VLAN 支持 IEEE 802.1X 认证 / 集中

11、 MAC 地址认证支持AAA 添加必要的访问控制，限制IT 终端的访问。路由器充分发挥流量控制等方面的功能，达到公司各终端访问外网的流量控制和提供高质量的应用服务的目的；建立 DHCP 服务器，为DHCP 中继提供基础服务，按MAC 与 IP 地址的对应关系，为终端设备分配固定的IP 地址；添加必要的访问控制，限制IT 终端的访问；启动防火墙功能，减轻边界防火墙的负载压力。核心交换机根据网络系统规划，建立与网络控制单元相对应的VLAN，并为 VLAN 接口分配IP 地址；启用 DHCP 中继功能，验证在用户地址表中IP 地址与 MAC 地址的绑定关系，保证非法终端不能访

12、问网络；添加必要的访问控制，限制IT 终端的访问；为核心交换层设备提供冗余设备链路，保证公司数据交换正常。根据网络控制单元划分基于端口的VLAN，逻辑上建立IT 设备与所属网络控制单元比较固定的从属关系，为进一步深化网络控制管理提供条件。连接内部有线局域网络客户的设备，IP 地址由路由器根据VLAN ID 和 MAC 等信息为其分配固定的IP 地址，并对数据报文的IP 地址与 MAC 对应关系进行验证，保证通过授权的设备连接并使用内部局域网络无线局域网络无线局域网络分为外部无线局域网络和内部无线局域网络连接内部无线局域网络的设备访问控制由使用该设备的用户的具体工作需求决定

13、连接内部无线局域网络的设备，IP 地址由路由器根据VLAN ID 和 MAC 等信息为其分配固定的IP 地址，并对数据报文的IP 地址与 MAC 对应关系进行验证，保证通过授权的设备连接并使用内部局域网络。允许使用公司内部无线局域网络的用户为行政部人事任命通知中的公司高层管理干部、公司总经理助理、公司专委会、各部室负责人和经公司批准使用内部无线局域网络的其它人员。连接外部无线局域网络设备仅允许公网访问和网络打印服务，IP 地址由路由器进行动态分配。根据公司数据库及其它应用程序特点，制定完整的备份方案和应急计划。为公司机房或部分特殊部门提供UPS不间断电源。优化网络设备，

14、部署网络监控，使其达到有效工作。从下章开始，将详细介绍为实现上述安全策略所采取的技术手段及简要方案。第5章网络设备实施方案初步 IPv4 协议是目前广泛部署的因特网协议，IPv4 协议简单、易于实现、互操作性好。公司内部业务网络的阶段性目标是构建基于IPv4 协议下的以太网络，业务核心区域和主要数据链路构建千兆网络，普通办公网络构建标准的百兆网络。接入层交换机与公用设备（如网络打印机等）连接的接入端口采用mac地址认证的方式，控制（未）授权设备接入（未）授权网络；终端设备组根据所属网络控制单元划分基于端口的 VLAN，保证设备物理位置和所属网控单元变更的情况下，网络设备设置简单

15、易用。核心交换机验证IP 地址与 MAC 对应地址表项，并对设备进行有必要的访问控制。网络设备管理服务器负责管理网络所有设备，包括版本升级、策略调整、设备监控、日志检查等维护工作。下面讲述公司已有的网络设备及建议的设备的具体功能设置与部署。 5.1 公司总部内部网络控制单元 5.1.1 概述网络控制单元定义根据青岛郡威公司总部各部室网络访问需要和信息系统服务等级程度，或所属个人及其它使用网络系统需求的情况，同时为了便于网络控制策略的设置与实现，对公司总部内部IT 设备进行网络控制单元的划分与管理。网络控制单元范围网络控制单元可以是一个部室，可以是一个使用信息设备的自然人

16、，也可以是其它具有同一网络系统使用需求的逻辑区域。 5.1.2 作为部门的网络控制单元请填写各部室名称 5.1.3 其它逻辑区域的网络控制单元网络设备、无线内部网络、无线外部网络、应用服务器、数据服务器。 5.2 IP 地址规划 5.2.1 IP 地址分配原则 IP 地址的最终分配和解释权在青岛郡威总部XX 部 IP 地址规划基于IPv4 协议标准， IPv4 协议规定私有地址（网络数量），A 类 10.0.0.0(1 个)，B 类 172.16.0.0_172.31.0.0 （16），C 类 192.168.0.0 （256）子网数量、主机数量满足公司近期发展规划要求不同子（分）

17、公司或项目部使用不同子网的IP 地址，同一公司内部不同网络控制单元根据信息发展需要划分子网同一局域网（ LAN）内设备的IP 地址是唯一的，同一网络控制单元内的设备使用同一子网的IP 地址被一台路由器或防火墙等三层设备分割连接不同端口的设备使用不同子网的IP 地址内部有线设备根据MAC 分配固定IP 地址 IP 地址分配方式针对 IT 设备的不同需求，提供了三种IP 地址分配方式：手工分配地址：由青岛郡威公司总部XX部室为业务服务器或网络设备等手工分配设定 IP 地址。自动分配固定的地址：将连接内部无线和有线局域网络的IT 终端设备的MAC 地址与 IP 地址绑定，通过

18、DHCP 服务为其分配与MAC 地址有对应关系的固定的IP 地址。自动分配动态的地址：DHCP 为外部无线局域网络客户端分配动态IP 地址。 5.3 核心路由器系统名称：自定义 interface Ethernet0/0（外网连接80C）， ip 地址：自定义；子网掩码： 255.255.255.0 interface Ethernet0/1（内网连接核心交换机），ip 地址：自定义：子网掩码： 255.255.255.0 5.4 核心交换机系统名称：自定义管理 Vlan 1 ，ip 地址：自定义；子网掩码： 255.255.255.0 建立 IP VLAN 接口， IP 地址为各

19、IP 子网的最大可用IP 地址 5.5 内部有线局域网工作站 IP 地址分配从每一子网的最小IP 地址开始，最大IP 地址为每个IP 子网网关，核心层交换机VLAN接口地址。部门部门名称子网号最小 IP 地址最大 IP 地址子网掩码品牌管理部PinPai 园区设施管理部YuanQu 相关部室设置 5.6 无线局域网工作站 IP 地址分配从子网的最小IP 地址开始，最大IP 地址为子网网关，核心层交换机 VLAN接口地址。无线 AP 地址从最大无线AP 地址（最大 IP 地址 -1 ）回数。（以总部为例）功能区域规划个数子网号最小 IP 地址最大 IP 地址子网掩码内部无线

20、局域网250 192.168.2.000 192.168.2.001 192.168.2.254 255.255.255.0 5.7 分公司内网 IP 规划分公司内部局域网络指的是与总部网络相对独立且具有一定规模与公司总部有VPN数据传输业务的子公司或项目部。它的内网IP 规划范围初步设定为从192.168.11.X开始，子网掩码为255.255.255.0。 5.7.1 需要做的事根据终端设备所在部门和IP 规划，分配IP 地址和系统主机名。 5.8 交换机便于网络接入，将报文的接收端口和终端设备的MAC 地址安全认证；根据所属部门或设备功能对接入网络的设备划分基于端口的VLA

21、N。此时，交换机只对从该端口收到的符合规定的终端设备发出的报文进行转发。 5.8.1 端口汇聚端口汇聚是将多个以太网端口汇聚在一起形成一个逻辑上的汇聚组，使用汇聚服务的上层实体把同一汇聚组内的多条物理链路视为一条逻辑链路。端口汇聚可以实现出/ 入负荷在汇聚组中各个成员端口之间分担，以增加带宽。同时，同一汇聚组的各个成员端口之间彼此动态备份，提高了连接可靠性。 5.8.2 端口安全端口安全（ Port Security ）是一种对网络接入进行控制的安全机制，通过定义各种安全模式，让设备学习到合法的源MAC 地址，以达到相应的网络管理效果。启动了端口安全功能之后，对于交换机不能

22、通过安全模式学习到其源MAC 地址的报文，系统将视为非法报文；对于不能通过802.1x 认证或 MAC 地址认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。端口安全的Intrusion Protection特性：该特性通过检测端口接收到的数据帧的源MAC 地址或 802.1x 认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤源地址是此MAC 地址的报文，保证了端口的安全性。 5.8.3 DHCP

23、Snooping S3100-SI 系列以太网交换机不支持DHCP Snooping 信任端口功能。但为了防御因私自架设 DHCP 服务器，而导致的网络混乱；或者攻击者恶意冒充DHCP 服务器，为客户端分配 IP 地址等配置参数等情况，S3100-SI 系列以太网交换机提供了防DHCP 服务器仿冒功能。在开启 DHCP Snooping 功能的交换机的下游端口（与DHCP 客户端直接或间接相连的端口）上配置防DHCP 服务器仿冒功能后，交换机会从该端口向外发送DHCP-DISCOVER报文，用于探测连接到该端口的DHCP服务器，如果接收到回应报文（DHCP-OFFER报文），则

24、认为该端口连接了仿冒的DHCP 服务器，交换机会根据配置的处理策略进行处理，例如仅发送告警信息，或发送告警信息的同时将相应端口进行管理Down 操作。 5.8.4 端口 VLAN 根据所属部门或设备功能对接入网络的设备划分端口VLAN。VLAN（Virtual Local Area Network ，虚拟局域网）把一个物理上的LAN 划分成多个逻辑上的LAN，每个 VLAN 是一个广播域。各个VLAN 内的主机间不能直接通信，增强了LAN 的安全性。使用VLAN 可以创建跨物理网络范围的虚拟工作组，位置改变后也可以通过简单VLAN 管理使其在网络访问方面没有根本改变。 5.9 核心交

25、换机通过 H3C 的 IRF2（第二代智能弹性架构）技术，便于控制多台核心交换设备，同时达到连接可靠的目的。启用 DHCP 中继功能，验证在用户地址表中IP 地址与 MAC 地址的绑定关系，保证非法终端不能通过DHCP中继访问外部网络。对 VLAN 之间进行策略限制，实现公司内部终端设备访问控制的目的。 5.9.1 IP 地址分配与安全验证的实现 5.9.1.1 无线网络终端设备IP 地址分配内部无线局域网络是给部分员工提供在公司内部有控制的使用网络工作的辅助手段，内部无线 AP 功能的设备连接到公司接入交换机。启用核心交换机的DHCP 服务，将客户端的 MAC 地址与 IP

26、地址绑定，即采用静态MAC 绑定方式进行IP 地址分配，当具有此MAC 地址的客户端申请IP 地址时， DHCP 服务器将根据客户端的MAC 地址查找对应的IP 地址，并分配给客户端。外部无线局域网络为来访客户提供有限访问网络的功能，外部无线AP（路由器）连接到公司核心交换机。可以考虑采用路由器动态地址分配方式，配置该地址池可分配的IP 地址。 5.9.2 基于 IP 子网的 VLAN 简介基于 IP 子网的 VLAN 是根据报文源IP 地址及子网掩码来进行划分的。设备从端口接收到 untagged 报文后，会根据报文的源IP 地址来确定报文所属的VLAN，然后将报文自动

27、划分到指定VLAN 中传输。基于IP 子网的 VLAN 只对 Hybrid 端口配置有效。 5.9.3 需要做的事 1、设置端口类型。核心交换机与服务器之间连接的端口类型为Access 类型；与接入交换机连接端口设置为TRUNK，并添加到相应汇聚组。 2、使能 DHCP 服务 , 配置 VLAN 接口工作在DHCP 中继模式 , 当接口收到DHCP客户端发来的 DHCP 报文时，会将报文转发给DHCP 服务器，由服务器分配地址。 3、手工配置IP 地址与 MAC 地址的绑定关系，在接口上使能DHCP中继的地址匹配检查功能。 4、确定必要的访问控制策略，对内网设备提供有限的访问控制。

28、5.10路由器建立 DHCP 服务器，为连接DHCP 中继接口的终端设备提供必要的IP 地址。使用防火墙的 Web 和邮件过滤功能可以阻止内部用户访问非法的网址或访问含有非法内容的网页，防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。 5.10.1DHCP 服务器在 VLAN 接口上建立DHCP 服务器。配置地址池动态分配的IP 地址范围时，请尽量保证该地址范围与DHCP 服务器接口或DHCP 中继接口地址的网段一致，以免分配错误的IP 地址。通过将客户端的MAC 地址与 IP 地址绑定的方式实现为客户端分配固定的IP 地址。当具有此 MAC 地址的客户端申请I

29、P 地址时， DHCP 服务器将根据客户端的MAC 地址查找到对应的 IP 地址，并分配给客户端。第6章日常管理与维护 6.1 QoS 6.1.1 拥塞管理传统的IP 网络无区别地对待所有的报文，设备处理报文采用的策略是FIFO（First In First Out ，先入先出）。FIFO 依照报文到达时间的先后顺序分配转发所需要的资源。为用户提供专用带宽、减少报文的丢失率、管理和避免网络拥塞、调控网络的流量、设置报文的优先级。这种服务策略称作Best-Effort ，它尽最大的努力将报文送到目的地，但对分组转发的延迟、抖动、丢包率和可靠性等需求不提供任何承诺和保证。只适用于

30、对带宽、延迟不敏感的 WWW 、FTP、E-mail 等业务。在分组交换以及多用户业务并存的复杂环境下，拥塞又是常见的。拥塞，是指由于供给资源的相对不足而造成转发速率下降、引入额外的延迟的一种现象。引发网络拥塞的因素：链路带宽流量在出端口超过线速；用以正常转发处理的资源的不足，如可分配的处理器时间、缓冲区、内存资源的不足；在某个时间内对所到达的流量控制不力，使之超出了可分配的网络资源。拥塞使流量不能及时获得资源，造成服务性能下降。拥塞有可能会引发的负面影响：拥塞增加了报文传输的延迟和抖动，过高的延迟会引起报文重传；拥塞使网络的有效吞吐率降低，造成网络资源的利用率降低；拥

31、塞加剧会耗费大量的网络资源（特别是存储资源），不合理的资源分配甚至可能导致系统陷入资源死锁而崩溃。解决网络拥塞问题的一个直接途径是增加网络带宽，更有效的办法是在网络中增加流量控制和资源分配的功能，为有不同服务需求的业务提供有区别的服务，正确地分配和使用资源。在进行资源分配和流量控制的过程中，尽可能地控制好那些可能引发网络拥塞的直接或间接因素，减少拥塞发生的概率；在拥塞发生时，依据业务的性质及其需求特性权衡资源的分配，将拥塞对QoS 的影响减到最小。 6.1.2 流量管理技术主要的流量管理技术有流分类、流量监管、流量整形、拥塞管理和拥塞避免。流分类是基础，它依据一定的匹配规

32、则识别出报文，是有区别地实施服务的前提；而流量监管、流量整形、拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制，是有区别地提供服务思想的具体体现。流分类：依据一定的匹配规则识别出对象。流量监管：对进入设备的特定流量的规格进行监管。当流量超出规格时，可以采取限制或惩罚措施，以保护客户利益和网络资源不受损害。流量整形：一种主动调整流的输出速率的流控措施，通常是为了使流量适配下游设备可供给的网络资源，避免不必要的报文丢弃和拥塞。拥塞管理：拥塞管理是必须采取的解决资源竞争的措施。通常是将报文放入队列中缓存，并采取某种调度算法安排报文的转发次序。拥塞避免：过度的拥塞

33、会对网络资源造成损害。拥塞避免监督网络资源的使用情况，当发现拥塞有加剧的趋势时采取主动丢弃报文的策略，通过调整流量来解除网络的过载。 6.2 日志管理与系统维护 6.2.1 构建网络管理站在网络内部建立网络管理站（Network Management Station， NMS）。安装运行适合公司网络设备的网络管理平台的工作站，目前常用的网管平台有h3c iMC、 Sun NetManager 和 IBM NetView等。建立网络设备软件版本管理的存储服务器，网络设备建立仅为网络管理站访问的FTP 服务器，实时对网络设备提供版本升级工作。 6.2.2 开启网络设备内网FTP 服务功

34、能开启网络设备内网FTP 服务功能，便于管理人员对网络设备进行软件和配置等文件的升级备份操作。 6.2.3 日志管理信息中心是H3C 网络设备的信息枢纽，它能够对所有的系统信息进行分类、管理，为网络管理员监控网络运行情况和诊断网络故障提供了强有力的支持。信息中心的系统信息共分为三类：log 类，日志类信息；trap 类，告警类信息；debug 类，调试类信息。信息按严重性划分为八个等级，严重性由高到底的顺序依次为：系统不可用信息（emergencies ）、需要立刻做出反应的信息（alerts ）、严重信息（critical ）、错误信息（errors ）、警告信

35、息（ warnings ）、正常出现但是重要的信息（notifications ）、需要记录的通知信息 (informational)和调试过程产生的信息(debugging) 。系统可以向以下六个方向发送系统信息：控制台（console ）、监视终端（ monitor ）、日志缓冲区（ logbuffer ）、日志主机（loghost ）、告警缓冲区（trapbuffer ）和 SNMP 模块六个方向。系统支持十个通道，缺省情况下，05 六个通道已经定义了通道名、输出规则和输出方向。可以通过命令改变通道名、输出规则和输出方向，用户还可以在不改变六个通道缺省配置的情况

36、下，配置6、7、8、9 这四个富余通道，将他们与输出方向关联，以便对输出的系统信息实施配置的过滤规则。缺省输出规则规定了各个输出方向可以输出的信息模块、输出的信息类型以及输出的信息级别，缺省情况下：允许所有模块的高于或等于informational级别的 log 信息发往日志主机；允许所有模块的高于或等于warnings 级别的 log 信息发往控制台、监视终端和日志缓冲区；所有模块的所有log 信息不允许发往告警缓冲区和SNMP 模块方向。允许所有模块的所有Trap 信息发往控制台、监视终端和日志主机；允许所有模块的高于或等于warnings 级别的 Trap 信息发往告警缓

37、冲区和SNMP 模块；所有模块的所有Trap 信息不允许发往日志缓冲区方向。允许所有模块的所有debug 信息发往控制台和监视终端；所有模块的所有debug 信息不允许发往日志主机、告警缓冲区、日志缓冲区和SNMP 模块。不同网络设备支持日志管理协议也不同，一般支持简单网络管理协议（Simple Network Management Protocol，SNMP ）。 SNMP （Simple Network Management Protocol，简单网络管理协议）是网络中管理设备和被管理设备之间的通信规则，它定义了一系列消息、方法和语法，用于实现管理设备对被管理设备的访问和管理。

38、SNMP 具有以下优势：自动化网络管理。网络管理员可以利用SNMP 平台在网络上的节点检索信息、修改信息、发现故障、完成故障诊断、进行容量规划和生成报告。屏蔽不同设备的物理差异，实现对不同厂商产品的自动化管理。爱人者，人恒爱之；敬人者，人恒敬之；宽以济猛，猛以济宽，政是以和。将军额上能跑马，宰相肚里能撑船。最高贵的复仇是宽容。有时宽容引起的道德震动比惩罚更强烈。君子贤而能容罢，知而能容愚，博而能容浅，粹而能容杂。宽容就是忘却，人人都有痛苦，都有伤疤，动辄去揭，便添新创，旧痕新伤难愈合，忘记昨日的是非，忘记别人先前对自己的指责和谩骂，时间是良好的止痛剂，学会忘却，生活才有阳光，才

39、有欢乐。不要轻易放弃感情，谁都会心疼；不要冲动下做决定，会后悔一生。也许只一句分手，就再也不见；也许只一次主动，就能挽回遗憾。世界上没有不争吵的感情，只有不肯包容的心灵；生活中没有不会生气的人，只有不知原谅的心。感情不是游戏，谁也伤不起；人心不是钢铁，谁也疼不起。好缘分，凭的就是真心真意；真感情，要的就是不离不弃。爱你的人，舍不得伤你；伤你的人，并不爱你。你在别人心里重不重要，自己可以感觉到。所谓华丽的转身，都有旁人看不懂的情深。人在旅途，肯陪你一程的人很多，能陪你一生的人却很少。谁在默默的等待，谁又从未走远，谁能为你一直都在？这世上，别指望人人都对你好，对你好的人一辈子也不会遇到

40、几个。人心只有一颗，能放在心上的人毕竟不多；感情就那么一块，心里一直装着你其实是难得。动了真情，情才会最难割；付出真心，心才会最难舍。你在谁面前最蠢，就是最爱谁。其实恋爱就这么简单，会让你智商下降，完全变了性格，越来越不果断。所以啊，不管你有多聪明，多有手段，多富有攻击性，真的爱上人时，就一点也用不上。这件事情告诉我们。谁在你面前很聪明，很有手段，谁就真的不爱你呀。遇到你之前，我以为爱是惊天动地，爱是轰轰烈烈抵死缠绵；我以为爱是荡气回肠，爱是热血沸腾幸福满满。我以为爱是窒息疯狂，爱是炙热的火炭。婚姻生活牵手走过酸甜苦辣温馨与艰难，我开始懂得爱是经得起平淡。爱人者，人恒爱之；敬人者

41、，人恒敬之；宽以济猛，猛以济宽，政是以和。将军额上能跑马，宰相肚里能撑船。最高贵的复仇是宽容。有时宽容引起的道德震动比惩罚更强烈。君子贤而能容罢，知而能容愚，博而能容浅，粹而能容杂。宽容就是忘却，人人都有痛苦，都有伤疤，动辄去揭，便添新创，旧痕新伤难愈合，忘记昨日的是非，忘记别人先前对自己的指责和谩骂，时间是良好的止痛剂，学会忘却，生活才有阳光，才有欢乐。不要轻易放弃感情，谁都会心疼；不要冲动下做决定，会后悔一生。也许只一句分手，就再也不见；也许只一次主动，就能挽回遗憾。世界上没有不争吵的感情，只有不肯包容的心灵；生活中没有不会生气的人，只有不知原谅的心。感情不是游戏，谁也伤不起

42、；人心不是钢铁，谁也疼不起。好缘分，凭的就是真心真意；真感情，要的就是不离不弃。爱你的人，舍不得伤你；伤你的人，并不爱你。你在别人心里重不重要，自己可以感觉到。所谓华丽的转身，都有旁人看不懂的情深。人在旅途，肯陪你一程的人很多，能陪你一生的人却很少。谁在默默的等待，谁又从未走远，谁能为你一直都在？这世上，别指望人人都对你好，对你好的人一辈子也不会遇到几个。人心只有一颗，能放在心上的人毕竟不多；感情就那么一块，心里一直装着你其实是难得。动了真情，情才会最难割；付出真心，心才会最难舍。你在谁面前最蠢，就是最爱谁。其实恋爱就这么简单，会让你智商下降，完全变了性格，越来越不果断。所以啊，不管你有多聪明，多有手段，多富有攻击性，真的爱上人时，就一点也用不上。这件事情告诉我们。谁在你面前很聪明，很有手段，谁就真的不爱你呀。遇到你之前，我以为爱是惊天动地，爱是轰轰烈烈抵死缠绵；我以为爱是荡气回肠，爱是热血沸腾幸福满满。我以为爱是窒息疯狂，爱是炙热的火炭。婚姻生活牵手走过酸甜苦辣温馨与艰难，我开始懂得爱是经得起平淡。

展开阅读全文