VPNManager操作维护.ppt

DG000102VPNManager操作维护,2.0,学习目标,认识网管平台的基本形态和结构了解VPN业务流程掌握平台的基本操作：资源管理、安全、VPN业务管理、故障管理、性能管理,学习完本课程，您应该能够：,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,第一章入门,第一节用户界面第二节VPN业务流程,WINDOWS下网管的启动与登录,1.启动系统监控终端在“开始”菜单中选择程序/iManagerNSMVPN/VPNSysMonitor，或在桌面上直接双击快捷图标，弹出“登录”对话框，输入登录密码（缺省为N2000），弹出系统监控终端窗口，进行系统信息的维护，包括进程、数据库、系统资源、硬盘和系统版本信息的维护。2.启动客户端在“开始”菜单中选择程序/iManagerNSMVPN/VPNClient，或在桌面上直接双击快捷图标，弹出“用户登录”对话框，输入密码，进入客户端主窗口。系统提供了一个缺省admin用户，密码缺省为：N20003.启动数据库备份工具在“开始”菜单中选择程序/iManagerNSMVPN/DBBackup/DBBackupClient，启动数据库备份工具，方便地管理数据库的备份和恢复。,WINDOWS下网管的启动与登录,启动网管后台进程启动客户端启动系统监控,登录客户端,设置服务器,双击,Solaris下网管的启动与登录,1.启动网管服务器以n2kuser用户登录操作系统，系统会自动启动网管服务器。2.启动系统监控终端在CDE桌面中单击鼠标右键，在弹出工作区菜单中选择应用程序/iManagerNSMVPN/VPNSysMonitor，弹出“登录”对话框，输入登录密码（缺省为N2000），弹出系统监控终端窗口。3启动网管客户端在CDE桌面中单击鼠标右键，在弹出工作区菜单中选择应用程序/iManagerNSMVPN/VPNClient和直接在主面板上单击快捷图标，弹出“用户登录”对话框。系统提供了一个缺省admin用户，密码缺省为：N2000此时系统ACL表（AccessControlList，访问控制列表）为空，用户只能从服务器登录客户端。输入密码后，进入网管客户端拓扑主窗口。,注意：1、启动网管前要先启动数据库,客户端界面组成,VPNManager客户端界面主要由以下几部分组成：菜单栏和工具条主窗口状态条,菜单功能介绍,菜单主要有：系统菜单故障菜单VPN菜单报表工具视图窗口帮助,系统菜单基本操作及参数设置,ACL设置,日志自动转储,注意：只有admin用户有切换登录模式的权限，默认为多用户模式，切换登录模式后将变为单用户模式，所有已经在线的其他用户将被强制退出,系统设置锁定系统切换登录模式注销修改当前用户口令,VPN菜单基本操作及参数设置,任务日志定时同步设备设置缺省SNMP参数,设备自动发现,同步：使网管数据库数据与设备数据一致,共有三个属性页：SNMPV1参数、SNMPV2参数和SNMPV3参数，用户可通过界面底部的按钮设置各个版本的SNMP缺省参数。,VPN菜单基本操作及参数设置,导入发现设备,从文件导入设备,将新发现的设备导入到VPNManager中，其功能与资源管理中的“增加设备”相同。,帮助菜单的作用,帮助主题提供手册软件版本信息,状态栏的作用,位置：状态条位于用户界面的最底部，提供固定信息的在位显示和实时刷新。主要特性：显示信息实时刷新；重要信息以文字闪烁方式提醒用户；支持文本和图标的显示；显示信息以栏目分隔，清晰明了。状态条所显示固定信息，自左向右依次如下：登录用户：显示当前登录用户名称；连接状态：实时显示当前客户端与服务器的连接状态；登录模式：标识当前用户登录模式，包括单用户模式和多用户模式；登录服务器：显示当前客户端所登录服务器名称和服务器IP地址；提示信息：显示当前操作结果的提示信息；版权标志：固定显示一个“红太阳”图标，标识华为技术有限公司商标，声明版权。,CNM介绍,iManagerNSMCNM（CustomerNetworkManagement）客户网络管理系统，简称客户网络管理系统，是华为公司推出的一个基于Web的网络管理系统。用户可以选择以不同（客户或者运营商）的身份登录系统，具备不同的权限。在客户端或者服务器端打开浏览器，键入http:/服务器ip:8080，进入登录界面,第一章入门,第一节用户界面第二节VPN业务流程,VPNManager的业务流程,资源准备,业务发放,业务审计,业务监控,设备资源网络管理域客户资源VPN资源,业务定义业务查看业务部署/拆除业务自动发现,业务配置审计连通性审计,告警监控流量监视报表监控,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,第二章资源管理,第一节设备资源管理第二节网络管理域管理第三节客户资源管理第四节VPN资源管理,设备资源管理,VPNManager的设备资源管理主要包括以下内容：网络管理：在VPNManager设备资源管理中，“网络”实际上是一个虚拟的概念，它作为设备和接口的容器而存在。用户只有先创建了“网络”，才能在“网络”中添加设备。设备管理：设备管理用于对VPN中的设备资源进行添加、查看、修改、删除等各种操作。接口管理：接口管理用于对VPN中的接口资源进行添加、查看、修改、删除等各种操作。,容器的概念：容器属于拓扑节点的一种，其能够容纳成员,设备资源管理,VPNManager的设备资源管理主要包括以下内容：网络管理：在VPNManager设备资源管理中，“网络”实际上是一个虚拟的概念，它作为设备和接口的容器而存在。用户只有先创建了“网络”，才能在“网络”中添加设备。设备管理：设备管理用于对VPN中的设备资源进行添加、查看、修改、删除等各种操作。接口管理：接口管理用于对VPN中的接口资源进行添加、查看、修改、删除等各种操作。,容器的概念：容器属于拓扑节点的一种，其能够容纳成员,设备资源管理,增加网络增加设备手工同步设备设备信息中的“允许同步”属性必须选中；设备同步成功后，设备图标将变为绿色。增加接口,第二章资源管理,第一节设备资源管理第二节网络管理域管理第三节客户资源管理第四节VPN资源管理,网络管理域管理,自治系统管理区域管理PE管理分层PE管理,网络管理域管理,ASBR管理ASBRAutomonousSystemBorderRouter，是跨域的边界路由器，在VPNManager中ASBR是和Region同级的设备节点。和PE类型节点相似，用户可以在资源树中将一个设备加为ASBR类型的节点，或者将一个已经是PE的节点转为ASBR节点，并可以在VPNManager的拓扑视图中看到对应的ASBR节点。同时，还可以通过指定ASBR到ASBR之间的接口连接，手工建立ASBR之间的链路；此外还可以指定链路会影响哪些VPN和客户。在ASBR-ASBR连接接口故障时，系统提供相应的告警。,第二章资源管理,第一节设备资源管理第二节网络管理域管理第三节客户资源管理第四节VPN资源管理,客户资源管理,客户资源管理提供了对客户分类、客户、站点和CE设备的管理。客户资源管理是一个四层结构，分为客户分类、客户、站点和CE。用户应先创建客户分类、客户、站点，然后将设备资源中存在的设备作为CE添加到所创建的站点中。客户资源管理主要包括如下内容：客户分类管理客户分类管理用于对VPN中的客户进行分类，并且对其资源进行添加、查看、修改、删除等操作客户管理客户管理用于对VPN中的客户资源进行添加、查看、修改、删除等操作，客户可以属于某一个客户分类节点站点管理站点管理用于对VPN中的站点资源进行添加、查看、修改、删除等操作CE管理CE管理用于对VPN中的CE资源进行添加、查看、删除等操作，增加CE要选择对应的网络和设备信息后。,客户资源管理,第二章资源管理,第一节设备资源管理第二节网络管理域管理第三节客户资源管理第四节VPN资源管理,VPN资源管理,注意：增加VPN时，VPN名称不能与已经存在的VPN同名,VPN资源管理分为二层VPN资源管理和三层VPN资源管理，其中三层VPN资源管理又可分为VPN管理和SG管理。增加二层VPN：VPN资源库导航树“VPLS”节点，弹出菜单，单击增加二层VPN.菜单项增加三层VPN：VPN资源库导航树中的“BGP/MPLSVPN”菜单中增加增加SG：选择某个三层VPN后，单击右键增加SG,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,第三章BGP/MPLSVPN业务管理,第一节BGP/MPLSVPN业务发放第二节BGP/MPLSVPN业务审计第三节BGP/MPLSVPN业务监控,BGP/MPLSVPN业务发放,BGP/MPLSVPN业务发放主要包括以下四部分内容：BGP/MPLSVPN业务定义：BGP/MPLSVPN业务查看BGP/MPLSVPN业务部署BGP/MPLSVPN业务自动发现,BGP/MPLSVPN业务定义,BGP/MPLSVPN业务定义的功能：创建BGP/MPLSVPN业务：SCD是一个CE（theCustomerEdgeRouter）与一个PE（theProviderEdgeRouter）之间业务合同的实例，“创建BGP/MPLSVPN业务”将完成业务配置描述的定义。创建过程使用向导的方式，以引导用户完成业务创建的全过程；修改BGP/MPLSVPN业务：SCD描述CE-PE链路的业务要求，当该业务要求发生简单变化时，可以通过修改SCD来修改业务。修改业务采用与创建业务完全一样的向导界面；删除BGP/MPLSVPN业务：SCD描述CE-PE链路的业务要求，当该业务要求发生根本变化时，可以删除该业务并根据新的要求重新创建。,BGP/MPLSVPN业务定义,创建业务选择主菜单VPN/BPG/MPLSVPN业务/业务定义，弹出业务配置描述定义向导,BGP/MPLSVPN业务定义,创建业务,BGP/MPLSVPN业务查看,业务拓扑查看：用户可通过浏览网络拓扑视图来了解整个网络的拓扑结构和业务的运行状态，如表所示，可以分别显示客户、网络视图，也可对VPN和SG进行过滤,BGP/MPLSVPN业务查看,业务拓扑查看：,BGP/MPLSVPN业务查看,业务列表查看：对于业务配置描述信息，可以按照不同的过滤方式组织成列表，全方位呈现所规划的业务,BGP/MPLSVPN业务部署,BGP/MPLSVPN业务部署功能主要由配置解析、实施部署和拆除部署三个部分组成,BGP/MPLSVPN业务自动发现,BGP/MPLSVPN业务自动发现功能通过业务自动发现向导来发现设备上已经存在的BGP/MPLSVPN配置信息，在管理员可以方便地根据这些信息在网络管理系统内建立BGP/MPLSVPN业务数据和拓扑视图。,第三章BGP/MPLSVPN业务管理,第一节BGP/MPLSVPN业务发放第二节BGP/MPLSVPN业务审计第三节BGP/MPLSVPN业务监控,BGP/MPLSVPN业务审计,当BGP/MPLSVPN业务已经部署成功后，需要对其完整性进行检查时，可以使用BGP/MPLSVPN配置审计功能。操作方法如下：选择VPN/BGP/MPLSVPN业务/业务列表菜单项，进入BGP/MPLSVPN业务列表查看窗口，选择欲进行配置审计业务的SCD或链路；选择主菜单业务/业务审计或者单击右键菜单业务审计完成配置审计操作；业务审计结果通过弹出的窗口显示，通过点击按钮详细可以查看详细的审计结果。,BGP/MPLSVPN业务审计,当BGP/MPLSVPN业务已经部署成功后，需要对其连通性进行检查时，可以使用连通性审计功能。操作步骤如下：选择VPN/BGP/MPLSVPN业务/业务列表菜单项，进入BGP/MPLSVPN业务列表查看窗口，选择欲进行配置审计业务的SCD或链路；选择主菜单业务/连通性审计或者单击右键菜单连通性审计完成连通性审计操作；业务连通性审计结果将记录在用户日志中，通过单击主菜单系统/浏览用户日志可以查看连通性审计结果。,第三章BGP/MPLSVPN业务管理,第一节BGP/MPLSVPN业务发放第二节BGP/MPLSVPN业务审计第三节BGP/MPLSVPN业务监控,BGP/MPLSVPN业务监控,BGP/MPLSVPN业务监控主要包括以下三部分内容：告警监控：根据网元故障，分析出受影响的业务和客户，告警管理和拓扑管理紧密结合，在拓扑上显示网络和业务故障，及时提醒维护人员定位、排除故障；流量监视：通过流量数据采集和显示流量图，为用户提供监视PE设备流量的手段，方便业务供应商监视业务性能；报表监控：负责统计各种报表信息并将统计结果输出到HTML文件中，以表格形式显示。,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,VPN定义,定义VPLSVPN资源,业务定义,业务定义,VPLS业务部署,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,任务管理,任务定制,任务调度,任务日志,实施定时部署任务定时拆除部署任务定时连通性测试任务定时同步设备任务定时报表任务,任务查看、任务修改、任务执行、任务删除、任务挂起、解除挂起、删除过期任务、任务刷新等功能,任务日志记载了任务执行情况,任务管理提供以任务定制、调度的方式来实现操作业务的功能，为其它业务、操作的实现提供任务工具的支持。任务管理组成：,任务管理,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,拓扑视图的打印、鸟瞰图,打印是对当前拓扑图的打印，打印前可以进行预览；鸟瞰图可以对整个拓扑视图的全景进行浏览，在鸟瞰图中拖动显示焦点，拓扑视图的当前焦点也随之移动；,BirdView,拓扑管理,拓扑管理,拓扑视图查看,拓扑管理,拓扑视图操作,拓扑管理,网元管理网元信息管理用于查看、修改拓扑视图中指定网元，如自治系统、区域、PE、站点、CE等的详细信息。“网元信息管理”主要包括如下内容：查看网元信息“查看网元信息”用于查看拓扑图中指定网元，如自治系统、区域、ASBR、PE、站点、CE等的详细信息。其操作方法为：鼠标右键点击当前视图中网元节点，选择相应右键菜单查看详细信息，在当前拓扑视图上弹出相应网元的详细信息对话框，可查看当前网元的详细信息。修改网元信息“修改网元信息”用于修改拓扑图中指定网元，如自治系统、区域、站点、PE、CE以及ASBR等的名称和其他属性。其操作方法为：鼠标右键点击当前视图中网元节点，选择相应右键菜单修改，在当前拓扑视图上弹出相应网元的修改信息对话框，可修改当前网元的详细信息。,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,性能管理,链路流量采集,带宽利用率采集,VPN流量采集,启动链路流量采集查看流量图停止链路流量采集删除/转储流量数据,启动带宽利用率采集查看带宽利用率图设置带宽利用率告警阈值停止带宽利用率采集删除/转储带宽利用率数据,启动VPN流量采集修改VPN流量采集查看VPN流量图象停止VPN流量采集,流量监控,性能管理,启动链路流量采集,链路流量查看,打开全网网络视图或该业务链路对应VPN的网络视图并展开到最底层；用鼠标选中该链路并弹出右键菜单；选择性能采集/启动流量采集。,打开全网网络视图或该业务链路对应VPN的网络视图并展开到最底层；用鼠标选中该链路并弹出右键菜单；选择查看流量图。,性能管理,启动VPN流量采集,VPN流量采集查看,VPN流量采集停止,选择VPN资源库树型列表上的某个VPN，单击右键，弹出菜单；选择流量采集/启动/配置流量采集，弹出“启动/配置VPN流量采集”对话框在“启动/配置VPN流量采集”对话框中选好要采集的VPN和业务后单击按钮。,选择VPN资源库树型列表上的某个VPN，单击右键，弹出菜单；选择菜单查看流量图，可查看当前VPN的流量图象。,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,故障管理,故障管理需要经历的步骤收集告警信息定位排除故障故障经验总结,故障分类,故障可分为告警和事件，告警是当设备发生故障时上报给我们的提示信息，事件也是一种告警只不过是指提示性的或故障与恢复不能一一对应的告警。告警和事件按级别可分四类紧急告警（事件）重要告警（事件）次要告警（事件）警告告警（事件）按告警的状态和产生时间实时告警（事件）：打开实时告警浏览窗口后产生的告警（事件）当前告警：所有未确认或未恢复的告警历史告警：已恢复，已确认告警注意：实时告警窗口中已确认恢复的告警会自动转到历史告警中去,告警属性,选择故障设置本地设置,浏览查询告警,选择故障/故障浏览器，打开故障浏览器主界面，左边显示故障导航树，右边显示“故障实时浏览”窗口,多样的告警监视方式,告警打印：通过告警设置本地属性来设置告警实时打印，将关心的告警直接在产生的同时打印出来告警声光提示：有告警，可以发出声音提醒用户，同时可以外接告警箱，告警箱通过告警级别和告警状态闪烁告警灯，给用户声光提示。我们可以在网管中进行声光控制，停告警音等。告警远程通知：可以通过告警设置远程通知设置将告警转接到E_mail，及时提示系统操作维护人员。,告警实时打印,转E_mail,送告警箱,声光提示,Internet,告警板,告警板便于我们在网管客户端上直观的了解目前的告警状况。可以设置告警板的显示方式，正常窗口显示会在客户端窗口的右上角如图所示小图标。双击图标会弹出告警板，显示告警的级别和数量。如果有未恢复告警时，告警灯会按告警的级别以不同颜色闪烁直到告警恢复。双击告警板上告警灯会弹出相应级别的故障浏览窗口，便于查看详细信息。,故障维护经验,每次故障排除都应总结和记录维护经验，故障维护经验可以查看和更新。维护经验记录和积累，对下一次解决类似故障有很大指导作用。选择故障/设置/故障维护经验，弹出“故障维护经验”对话框窗口左边的设备类型树中选中一种设备类型，右边表格会自动显示出相应的告警；在表格中选中一条告警；在“维护经验”栏里输入相应的处理经验,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,保障网管运行环境的安全,需要注意的问题网管服务器的路由设置为最小目的地址路由数据库系统管理员sa口令不为空设备侧SNMP团体名不采用缺省设置网管侧设备SNMP不能采用缺省设置工作站的无关服务已关闭,网管的安全管理,网管的安全可分两个层次设备的安全网管本身的安全网管的安全管理手段用户权限管理用户登录管理日志管理,用户权限管理,注意：1、网管安装完成后创建缺省的admin用户是超级用户，拥有所有的操作权限和管理权限，admin可以在系统ACL表中的任何一台客户端登录。2、设备集分配的仍然是操作权限，即对设备集内设备具有操作权限,网管安全管理的几个概念：用户：使用网管的人员集合用户组：一组具有相同管理权限和操作权限的网管用户的集合操作集：操作集是一组具有相同执行权限的操作的集合设备集：将被管理设备按照某种原则划分成若干组，即设备集相互关系：对于网管的每个用户都对应自己的用户组，有自己的操作集和设备集，使其能管理设备集中规定的设备，并对这些设备有操作集中规定的权限,用户组,注意：用户可以属于多个组，具有的权限是几个组权限的合集,系统预置了三个组并预置了相应的操作集维护员组：允许进行日常维护操作。操作员组：允许进行一般的查询、设置操作。监视员组：只允许进行查询操作。,ACL控制,ACL地址总列表,非法分子,咦，我已经窃取了维护人员的用户名和口令，并且也Ping得通服务器，但怎么登录不上去呢？奇怪！,X,在系统设置ACL配置中可添加删除可访问的IP地址，在安全管理的的地址访问控制中也可添加删除。选中允许用户受ACL限制后，此用户只能在acl表中选中的IP地址的客户端登录网管，不选可以在ACL列表中的所有IP地址的客户端登录。系统安装之初，系统ACL表为空，用户只能由服务器登录,允许用户受ACL控制,用户ACL控制,安全管理操作,VPNManager系统安装完成后，提供一个缺省用户：admin（缺省密码：N2000）。admin用户是超级用户，拥有所有的操作权限和管理权限，其他用户都是直接或间接地由admin用户创建。系统中只能有一个admin用户，也就是说，当一个操作者以admin用户登录到系统后，就不允许其它任何操作者再以admin用户登录。,创建一个用户要经过以下步骤：新建操作集，增加成员创建用户组为用户组添加操作权限和限制管理权限创建用户为用户分配用户组地址访问控制添加操作权限和限制管理权限,完善的安全策略权限管理,鉴权功能,怎么不能操作？,创建了用户后，在以该用户登录时，网管就会对此用户进行用户登录鉴权和用户操作鉴权用户登录鉴权。用户登录需要经过如下鉴权：IP地址是否是系统允许访问的合法IP地址用户密码是否正确用户帐号是否被禁用是否是在登录允许时间段内进行登录等。用户操作鉴权。用户进行操作时，系统也进行多种权限检查.设备权限检查。系统根据授权的设备对用户操作进行限制。操作权限检查。系统根据授权的操作对用户的操作进行限制。用户登录鉴权通过后，系统将用户无权操作的命令屏蔽，用户在自己的拓扑界面上只能发现已经授权的设备。,完善的安全策略数据库安全,数据库备份,操作日志,数据库恢复,课程内容,资源管理,入门,BGP/MPLSVPN业务管理,VPLS业务管理,任务管理,拓扑管理,性能管理,故障管理,安全管理,日志管理,在线用户管理,监视登录用户的操作，实时监控当前用户的操作状态查看在线用户登录清单，了解目前哪些用户登录、登录IP地址、登录时间等。超级用户可强制某些用户退出操作状态，及时中断一些危险的操作。,用户操作日志,通过浏览用户日志来浏览和查询各网管用户的操作情况查看用户操作的详细信息可以设置转储日志条数和时间进行立即转储选择菜单系统/用户日志转储，弹出“日志转储”,