機(jī)房運(yùn)維工程師培訓(xùn)教材

1、機(jī)房運(yùn)維工程師培訓(xùn)教材,為新入職的運(yùn)維工程師提供培訓(xùn)，快速的掌握機(jī)房運(yùn)維所需要的知識。了解、熟悉機(jī)房的管理要求規(guī)范加強(qiáng)運(yùn)維操作管理規(guī)范，降低IDC的運(yùn)維風(fēng)險(xiǎn)，保障IDC及設(shè)備的運(yùn)維安全,目的,IDC基礎(chǔ)知識計(jì)算機(jī)基礎(chǔ)知識服務(wù)器硬件知識Windows系統(tǒng)Linux系統(tǒng)網(wǎng)絡(luò)機(jī)房運(yùn)維規(guī)范和流程,大綱,ISP ISP（Internet Service Provider）是互聯(lián)網(wǎng)服務(wù)提供商，向廣大用戶綜合提供互聯(lián)網(wǎng)接入

2、業(yè)務(wù)、信息業(yè)務(wù)和增值業(yè)務(wù)的電信運(yùn)營商。電信、移動(dòng)、聯(lián)通是國內(nèi)最主要的ISP。ICP ICP（Internet Content Provider）是互聯(lián)網(wǎng)內(nèi)容提供商，向廣大用戶綜合提供互聯(lián)網(wǎng)信息業(yè)務(wù)和增值業(yè)務(wù)的電信運(yùn)營商。國內(nèi)知名ICP有新浪、搜狐等等。 IDC IDC即是Internet Data Center，是基于INTERNET網(wǎng)絡(luò)，為集中式收集、存儲(chǔ)、處理和發(fā)送數(shù)據(jù)的設(shè)備提供運(yùn)行維護(hù)的設(shè)施基地并提供相

3、關(guān)的服務(wù)。IDC提供的主要業(yè)務(wù)包括主機(jī)托管(機(jī)位、機(jī)架、VIP機(jī)房出租)、資源出租(如虛擬主機(jī)業(yè)務(wù)、數(shù)據(jù)存儲(chǔ)服務(wù))、系統(tǒng)維護(hù)(系統(tǒng)配置、數(shù)據(jù)備份、故障排除服務(wù))、管理服務(wù)(如帶寬管理、流量分析、負(fù)載均衡、入侵檢測、系統(tǒng)漏洞診斷)，以及其他支撐、運(yùn)行服務(wù)等。,IDC基礎(chǔ)知識,什么是服務(wù)器帶寬？ 帶寬又叫頻寬，是指單位時(shí)間內(nèi)能夠在網(wǎng)絡(luò)線路上傳輸?shù)臄?shù)據(jù)量，常用的單位是bps(bit per second)。帶寬好比是馬路，帶寬越大

4、，傳輸數(shù)據(jù)量越大、越快。什么是獨(dú)享，什么是共享？ 獨(dú)享帶寬就好比該線路是你服務(wù)器的專用高速公路，線路上傳輸?shù)闹挥心约悍?wù)器的數(shù)據(jù)，當(dāng)然傳輸?shù)牧坑幸欢ǖ南拗?，是根?jù)用戶要求來配備；而共享帶寬，就是指有多臺(tái)服務(wù)器在共享這條線路，線路上除了您，還有其它用戶服務(wù)器的數(shù)據(jù)傳輸。獨(dú)享和共享的優(yōu)缺點(diǎn) 獨(dú)享帶寬的優(yōu)點(diǎn)：可自由使用帶寬量，能保證速度和網(wǎng)絡(luò)質(zhì)量 缺點(diǎn)：費(fèi)用昂貴 共享帶寬的優(yōu)點(diǎn)：價(jià)格比獨(dú)

5、享低廉，并且可實(shí)現(xiàn)同線路上的高速資源共享 缺點(diǎn)：速度相對較低且不穩(wěn)定，傳輸速率隨著網(wǎng)絡(luò)傳輸狀態(tài)而有所變化,IDC基礎(chǔ)知識,計(jì)算機(jī)單位的認(rèn)識 8bit(比特)=1Byte(字節(jié)) 1024Byte=1KB 1024KB=1MB 1024MB=1GBIP地址：所謂IP地址就是給每個(gè)連接在Internet上的設(shè)備分配的一個(gè)32Bit的地址。如192.168.1.1子網(wǎng)掩碼：將某個(gè)IP地址劃分網(wǎng)

6、絡(luò)地址和主機(jī)地址兩個(gè)部分，如255.255.255.0網(wǎng)關(guān)地址：網(wǎng)關(guān)（Gateway）就是一個(gè)網(wǎng)絡(luò)連接到另一個(gè)網(wǎng)絡(luò)的關(guān)口DNS：域名解析服務(wù)器，域名和IP地址之間的映射關(guān)系。,計(jì)算機(jī)基礎(chǔ)知識,FTP：用以網(wǎng)絡(luò)上兩臺(tái)計(jì)算機(jī)之間傳輸數(shù)據(jù)HTTP：超文本傳送協(xié)議 (HTTP) 是一種通信協(xié)議，它允許將超文本標(biāo)記語言 (HTML) 文檔從 Web 服務(wù)器傳送到 Web 瀏覽器。SSH：SSH 為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。,計(jì)

7、算機(jī)基礎(chǔ)知識,按照體系架構(gòu)來區(qū)分，服務(wù)器主要分為兩類：非x86服務(wù)器 　非x86服務(wù)器：包括大型機(jī)、小型機(jī)和UNIX服務(wù)器，它們是使用RISC（精簡指令集）或EPIC（并行指令代碼）處理器，并且主要采用UNIX和其它專用操作系統(tǒng)的服務(wù)器，精簡指令集處理器主要有IBM公司的POWER和PowerPC處理器，SUN的SPARC處理器，EPIC處理器主要是Intel研發(fā)的安騰處理器等。這種服務(wù)器價(jià)格昂貴，體系封閉，但是穩(wěn)定性好，性能強(qiáng)，主

8、要用在金融、電信等大型企業(yè)的核心系統(tǒng)中。X86服務(wù)器 　　x86服務(wù)器：又稱CISC（復(fù)雜指令集）架構(gòu)服務(wù)器，即通常所講的PC服務(wù)器，它是基于PC機(jī)體系結(jié)構(gòu)，使用Intel或其它兼容x86指令集的處理器芯片和Windows操作系統(tǒng)的服務(wù)器。價(jià)格便宜、兼容性好、穩(wěn)定性差、不安全，主要用在中小企業(yè)和非關(guān)鍵業(yè)務(wù)中。,服務(wù)器介紹,按服務(wù)器結(jié)構(gòu)來區(qū)分，服務(wù)器主要分為三類：機(jī)架式服務(wù)器 機(jī)架式服務(wù)器的外形看來不像計(jì)算機(jī)，而像交換機(jī)，

9、有1U（1U=1.75英寸=4.45CM）、2U、4U等規(guī)格。機(jī)架式服務(wù)器安裝在標(biāo)準(zhǔn)的19英寸機(jī)柜里面。這種結(jié)構(gòu)的多為功能型服務(wù)器。刀片式服務(wù)器 刀片式服務(wù)器是指在標(biāo)準(zhǔn)高度的機(jī)架式機(jī)箱內(nèi)可插裝多個(gè)卡式的服務(wù)器單元，實(shí)現(xiàn)高可用和高密度。每一塊"刀片"實(shí)際上就是一塊系統(tǒng)主板。它們可以通過"板載"硬盤啟動(dòng)自己的操作系統(tǒng)，如Windows、Linux等，類似于一個(gè)個(gè)獨(dú)立的服務(wù)器，在這種

10、模式下，每一塊母板運(yùn)行自己的系統(tǒng)，服務(wù)于指定的不同用戶群，相互之間沒有關(guān)聯(lián)。不過，管理員可以使用系統(tǒng)軟件將這些母板集合成一個(gè)服務(wù)器集群。塔式服務(wù)器 塔式服務(wù)器從外觀上看上去就像一臺(tái)體積比較大的PC，機(jī)箱做工一般比較扎實(shí)，非常沉重。塔式服務(wù)器由于機(jī)箱很大，可以提供良好的散熱性能和擴(kuò)展性能，并且配置可以很高，可以配置多路處理器，多根內(nèi)存和多塊硬盤，當(dāng)然也可以配置多個(gè)冗余電源和散熱風(fēng)扇。但是塔式服務(wù)器需要占用很大的空間，不利

11、于服務(wù)器的托管，所以在需要密服務(wù)器集型部署，實(shí)現(xiàn)多機(jī)協(xié)作的領(lǐng)域，塔式服務(wù)器并不占優(yōu)勢。,服務(wù)器介紹,我們在機(jī)房的部署過程中多以機(jī)架式服務(wù)器和刀片式服務(wù)器為主，常見的廠商包括HP、DELL、IBM等，下面會(huì)對這些廠商的主流機(jī)型的服務(wù)器做一個(gè)介紹說明。,主流機(jī)型介紹,HP DL360G7標(biāo)準(zhǔn)1U機(jī)架式服務(wù)器，最多可配置8塊SAS或SATA硬盤，可配置雙電源。實(shí)物圖如下：,主流機(jī)型介紹,HP DL380G7標(biāo)準(zhǔn)2U機(jī)架式服務(wù)器，最多可配置

12、16塊SATA或SAS硬盤，可配置雙電源，實(shí)物圖如下：,主流機(jī)型介紹,DELL R410標(biāo)準(zhǔn)1U機(jī)架式服務(wù)器，最多可配置4塊SAS或SATA硬盤，可配置雙電源，實(shí)物圖如下：,主流機(jī)型介紹,DELL R710標(biāo)準(zhǔn)2U機(jī)架式服務(wù)器，最多可配置8塊SATA或SAS硬盤，可配置雙電源，實(shí)物圖如下：,主流機(jī)型介紹,IBM X3550標(biāo)準(zhǔn)1U機(jī)架式服務(wù)器，最多可配置8塊SATA或SAS硬盤，可配置雙電源，實(shí)物圖如下：,主流機(jī)型介紹,IBM X

13、3650標(biāo)準(zhǔn)2U機(jī)架式服務(wù)器，最多可配置16塊SATA或SAS硬盤，可配置雙電源，實(shí)物圖如下：,主流機(jī)型介紹,磁盤陣列（Redundant Arrays of Inexpensive Disks，RAID），有“價(jià)格便宜且多余的磁盤陣列”之意。原理是利用數(shù)組方式來作磁盤組，配合數(shù)據(jù)分散排列的設(shè)計(jì)，提升數(shù)據(jù)的安全性。磁盤陣列是由很多便宜、容量較小、穩(wěn)定性較高、速度較慢磁盤，組合成一個(gè)大型的磁盤組，利用個(gè)別磁盤提供數(shù)據(jù)所產(chǎn)生加成效果提升整

14、個(gè)磁盤系統(tǒng)效能。同時(shí)利用這項(xiàng)技術(shù)，將數(shù)據(jù)切割成許多區(qū)段，分別存放在各個(gè)硬盤上。磁盤陣列還能利用同位檢查（Parity Check）的觀念，在數(shù)組中任一顆硬盤故障時(shí)，仍可讀出數(shù)據(jù)，在數(shù)據(jù)重構(gòu)時(shí)，將數(shù)據(jù)經(jīng)計(jì)算后重新置入新硬盤中。,RAID介紹,磁盤陣列有兩種方式可以實(shí)現(xiàn)，那就是“軟件陣列”與“硬件陣列”。 　　軟件陣列是指通過網(wǎng)絡(luò)操作系統(tǒng)自身提供的磁盤管理功能將連接的普通SCSI卡上的多塊硬盤配置成邏輯盤，組成陣列。軟件陣列可以提供數(shù)據(jù)冗

15、余功能，但是磁盤子系統(tǒng)的性能會(huì)有所降低，有的降低幅度還比較大，達(dá)30%左右。 　　硬件陣列是使用專門的磁盤陣列卡來實(shí)現(xiàn)的。硬件陣列能夠提供在線擴(kuò)容、動(dòng)態(tài)修改陣列級別、自動(dòng)數(shù)據(jù)恢復(fù)、驅(qū)動(dòng)器漫游、超高速緩沖等功能。它能提供性能、數(shù)據(jù)保護(hù)、可靠性、可用性和可管理性的解決方案。陣列卡專用的處理單元來進(jìn)行操作，它的性能要遠(yuǎn)遠(yuǎn)高于常規(guī)非陣列硬盤，并且更安全更穩(wěn)定。,RAID實(shí)現(xiàn),RAID技術(shù)主要包含RAID 0～RAID 7等數(shù)個(gè)規(guī)范，它們的側(cè)重

16、點(diǎn)各不相同，常見的規(guī)范有如下幾種：RAID 0：RAID 0連續(xù)以位或字節(jié)為單位分割數(shù)據(jù)，并行讀/寫于多個(gè)磁盤上，因此具有很高的數(shù)據(jù)傳輸率，但它沒有數(shù)據(jù)冗余，因此并不能算是真正的RAID結(jié)構(gòu)。RAID 0只是單純地提高性能，并沒有為數(shù)據(jù)的可靠性提供保證，而且其中的一個(gè)磁盤失效將影響到所有數(shù)據(jù)。因此，RAID 0不能應(yīng)用于數(shù)據(jù)安全性要求高的場合。,RAID規(guī)范,RAID 1：它是通過磁盤數(shù)據(jù)鏡像實(shí)現(xiàn)數(shù)據(jù)冗余，在成對的獨(dú)立磁盤上產(chǎn)生互為備

17、份的數(shù)據(jù)。當(dāng)原始數(shù)據(jù)繁忙時(shí)，可直接從鏡像拷貝中讀取數(shù)據(jù)，因此RAID 1可以提高讀取性能。RAID 1是磁盤陣列中單位成本最高的，但提供了很高的數(shù)據(jù)安全性和可用性。當(dāng)一個(gè)磁盤失效時(shí)，系統(tǒng)可以自動(dòng)切換到鏡像磁盤上讀寫，而不需要重組失效的數(shù)據(jù)。,RAID規(guī)范,RAID 0+1: 也被稱為RAID 10標(biāo)準(zhǔn)，實(shí)際是將RAID 0和RAID 1標(biāo)準(zhǔn)結(jié)合的產(chǎn)物，在連續(xù)地以位或字節(jié)為單位分割數(shù)據(jù)并且并行讀/寫多個(gè)磁盤的同時(shí)，為每一塊磁盤作磁盤鏡像進(jìn)

18、行冗余。它的優(yōu)點(diǎn)是同時(shí)擁有RAID 0的超凡速度和RAID 1的數(shù)據(jù)高可靠性，但是CPU占用率同樣也更高，而且磁盤的利用率比較低。,RAID規(guī)范,RAID 5：RAID 5不單獨(dú)指定的奇偶盤，而是在所有磁盤上交叉地存取數(shù)據(jù)及奇偶校驗(yàn)信息。在RAID 5上，讀/寫指針可同時(shí)對陣列設(shè)備進(jìn)行操作，提供了更高的數(shù)據(jù)流量。RAID 5更適合于小數(shù)據(jù)塊和隨機(jī)讀寫的數(shù)據(jù)。RAID 3與RAID 5相比，最主要的區(qū)別在于RAID 3每進(jìn)行一次數(shù)據(jù)傳輸就

19、需涉及到所有的陣列盤；而對于RAID 5來說，大部分?jǐn)?shù)據(jù)傳輸只對一塊磁盤操作，并可進(jìn)行并行操作。在RAID 5中有“寫損失”，即每一次寫操作將產(chǎn)生四個(gè)實(shí)際的讀/寫操作，其中兩次讀舊的數(shù)據(jù)及奇偶信息，兩次寫新的數(shù)據(jù)及奇偶信息。,RAID規(guī)范,不同廠商不同型號的服務(wù)器配置都有差別，下面會(huì)介紹常見主流服務(wù)器的RAID配置方法。HP常用的RAID控制器為Smart Array，DELL常用的RAID控制器為PERC 6/i，IBM常用的RAI

20、D控制器為8K。具體各主流服務(wù)器的RAID配置方法請參考《服務(wù)器RAID配置手冊》,RAID配置,由于服務(wù)器上有很多的面板指示燈或者有液晶屏，大部分的故障我們可以通過面板指示燈準(zhǔn)確的定位到某個(gè)具體的硬件上，從而進(jìn)行處理。不同廠商的面板指示燈是有很大的區(qū)別的，請參考《常見服務(wù)器故障判斷手冊》。,常見服務(wù)器故障判斷和處理,目前常用的Windows系統(tǒng)主要包括了Windows 2003和Windows 2008，本章內(nèi)容主要介紹了系統(tǒng)的安裝、

21、系統(tǒng)的基本配置和常用命令以及常見系統(tǒng)故障的處理方法。,Windows系統(tǒng),服務(wù)器的安裝和普通PC的安裝稍有差異，由于服務(wù)器上有些特殊驅(qū)動(dòng)是沒有包含在系統(tǒng)安裝光盤中的，有時(shí)候需要加載驅(qū)動(dòng)，一般情況下我們通過廠商自帶的系統(tǒng)安裝引導(dǎo)盤來進(jìn)行安裝。HP的安裝引導(dǎo)盤為SmartStart，Dell的安裝引導(dǎo)盤為Systems Management Tools and Documentation，IBM的安裝引導(dǎo)盤為Server Guide 。使用

22、安裝引導(dǎo)盤的優(yōu)點(diǎn)在于簡化了用戶的操作，系統(tǒng)安裝完成后所有驅(qū)動(dòng)和應(yīng)用均安裝完成，缺點(diǎn)在于安裝時(shí)間過長，需要重新進(jìn)行分區(qū)（不適用于服務(wù)器中存在大量數(shù)據(jù)的情況）。具體安裝方法請參考《如何使用安裝引導(dǎo)盤安裝操作系統(tǒng)》。,Windows系統(tǒng)安裝,在機(jī)房的實(shí)際運(yùn)維中，由于服務(wù)器數(shù)量較多，可能需要同時(shí)安裝多臺(tái)服務(wù)器，如果使用安裝引導(dǎo)盤來進(jìn)行安裝，效率較低，而且光盤屬于易損件。為了實(shí)現(xiàn)大批量的系統(tǒng)和軟件部署，提高工作效率，實(shí)現(xiàn)自動(dòng)化，可用通過遠(yuǎn)程部署軟

23、件來實(shí)現(xiàn)，我們使用的是微軟的MDT2010遠(yuǎn)程部署系統(tǒng)，可以輕松實(shí)現(xiàn)大批量的系統(tǒng)和軟件的部署。具體使用請參考《MDT2010安裝配置和部署文檔》。,Windows系統(tǒng)安裝,當(dāng)操作系統(tǒng)以及相關(guān)驅(qū)動(dòng)和應(yīng)用安裝完成后，我們第一時(shí)間要將服務(wù)器的補(bǔ)丁全部打上，確保最新的補(bǔ)丁狀態(tài)。我們需要對系統(tǒng)進(jìn)行基本的配置后，方可交付客戶使用，具體需要設(shè)置如下：用戶設(shè)置：賬戶策略中包括了密碼策略和賬戶鎖定策略的安全設(shè)置，可通過組策略進(jìn)行設(shè)置。網(wǎng)絡(luò)配置：IP地

24、址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS。安全設(shè)置：關(guān)閉無用的端口、服務(wù)和賬戶。,Windows系統(tǒng)基本配置,密碼策略：密碼策略中包括了“強(qiáng)制密碼歷史”、“密碼最長使用期限”、“密碼最短使用期限”、“密碼長度最小值”和“密碼必須符合復(fù)雜性要求”。強(qiáng)制密碼歷史：此安全設(shè)置確定再次使用某個(gè)舊密碼之前必須與某個(gè)用戶帳戶關(guān)聯(lián)的唯一新密碼數(shù)。該值必須介于 0 個(gè)和 24 個(gè)密碼之間。此策略使管理員能夠通過確保舊密碼不被連續(xù)重新使用來增強(qiáng)安全性。一般建議設(shè)置

25、該值為12。密碼最長使用期限：此安全設(shè)置確定在系統(tǒng)要求用戶更改某個(gè)密碼之前可以使用該密碼的期間(以天為單位)?？梢詫⒚艽a設(shè)置為在某些天數(shù)(介于 1 到 999 之間)后到期，或者將天數(shù)設(shè)置為 0，指定密碼永不過期。如果密碼最長使用期限介于 1 和 999 天之間，密碼最短使用期限必須小于密碼最長使用期限。,Windows用戶設(shè)置,密碼最短使用期限：此安全設(shè)置確定在用戶更改某個(gè)密碼之前必須使用該密碼一段時(shí)間(以天為單位)?？梢栽O(shè)置一個(gè)介

26、于 1 和 998 天之間的值，或者將天數(shù)設(shè)置為 0，允許立即更改密碼。如果希望“強(qiáng)制密碼歷史”有效，則需要將密碼最短使用期限設(shè)置為大于 0 的值。一般我們設(shè)置該值為0，機(jī)器交付給客戶時(shí)，客戶可以更改密碼。密碼長度最小值：此安全設(shè)置確定用戶帳戶密碼包含的最少字符數(shù)?？梢詫⒅翟O(shè)置為介于 1 和 14 個(gè)字符之間，或者將字符數(shù)設(shè)置為 0 以確定不需要密碼。一般建議設(shè)置該值為12。密碼必須符合復(fù)雜性要求：此安全設(shè)置確定密碼是否必須符合復(fù)雜

27、性要求。為了增加帳號的安全性，建議將administrator帳號重命名。,Windows用戶設(shè)置,帳號鎖定策略：帳號鎖定策略中包含了“賬戶鎖定時(shí)間”、“帳號鎖定閥值”以及“重置帳號鎖定計(jì)數(shù)器”帳號鎖定時(shí)間：此安全設(shè)置確定鎖定帳戶在自動(dòng)解鎖之前保持鎖定的分鐘數(shù)?？捎梅秶鷱?0 到 99,999 分鐘。如果將帳戶鎖定時(shí)間設(shè)置為 0，帳戶將一直被鎖定直到管理員明確解除對它的鎖定。帳號鎖定閥值：此安全設(shè)置確定導(dǎo)致用戶帳戶被鎖定的登錄嘗試

28、失敗的次數(shù)。在管理員重置鎖定帳戶或帳戶鎖定時(shí)間期滿之前，無法使用該鎖定帳戶?？梢詫⒌卿泧L試失敗次數(shù)設(shè)置為介于 0 和 999 之間的值。如果將值設(shè)置為 0，則永遠(yuǎn)不會(huì)鎖定帳戶。重置帳號鎖定計(jì)數(shù)器：此安全設(shè)置確定在某次登錄嘗試失敗之后將登錄嘗試失敗計(jì)數(shù)器重置為 0 次錯(cuò)誤登錄嘗試之前需要的時(shí)間?？捎梅秶?1 到 99,999 分鐘。如果定義了帳戶鎖定閾值，此重置時(shí)間必須小于或等于帳戶鎖定時(shí)間。,Windows用戶設(shè)置,網(wǎng)絡(luò)配置中主要包

29、括了IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS。某些客戶的服務(wù)器可能有雙網(wǎng)卡，在網(wǎng)關(guān)的配置中我們需要注意不可以兩塊網(wǎng)卡均配置網(wǎng)關(guān)，只能為其中一個(gè)網(wǎng)卡配置網(wǎng)關(guān)，另外一個(gè)網(wǎng)卡的通訊我們可以通過添加靜態(tài)路由來實(shí)現(xiàn)。為了安全考慮，只安裝基本的TCP/IP協(xié)議。,Windows網(wǎng)絡(luò)配置,由于機(jī)房服務(wù)器均是對外提供互聯(lián)網(wǎng)服務(wù)，安全性非常重要，服務(wù)器正式交付客戶使用前，我們需要進(jìn)行相關(guān)安全方面的設(shè)置，最大的安全=最小的權(quán)限和最少的服務(wù)（具體可參考《Windo

30、ws系統(tǒng)安全配置手冊》）,除此之外，我們還需要做以下設(shè)置：遠(yuǎn)程連接：為了確?？蛻艨梢赃h(yuǎn)程連接到服務(wù)器上，我們需要開啟服務(wù)器端的遠(yuǎn)程桌面連接，默認(rèn)服務(wù)器的遠(yuǎn)程桌面連接端口為3389，為安全起見，建議通過注冊表更改端口（大于1024）。隱藏共享：為了方便管理系統(tǒng)，系統(tǒng)成功啟動(dòng)后，會(huì)自動(dòng)啟動(dòng)一些特殊資源的隱藏共享，如IPC$、C$、admin$等，當(dāng)這些隱藏共享資源被非法用戶利用時(shí)，本地系統(tǒng)的安全會(huì)收到很大的威脅，為了讓本地系統(tǒng)遠(yuǎn)離安全攻

31、擊，我們可以將這些隱藏共享停用?？梢酝ㄟ^注冊表更改、自動(dòng)腳本等方式來實(shí)現(xiàn)。,Windows安全配置,關(guān)閉無用的端口：為了防止黑客通過端口對服務(wù)器進(jìn)行攻擊，我們在實(shí)際運(yùn)維中只需要對外發(fā)布需要的端口，其它的端口均關(guān)閉。我們可以通過IPSEC或者是系統(tǒng)自帶防火墻來實(shí)現(xiàn)。,Windows安全配置,雖然Windows是圖像化操作系統(tǒng)，但是在日常工作中我們經(jīng)常會(huì)使用命令來進(jìn)行操作和故障判斷，下面會(huì)介紹有一些常見的命令：regedit：打開注冊表編

32、輯器。ping：測試網(wǎng)絡(luò)連通性。Ipconfig：查看當(dāng)前服務(wù)器IP配置情況Tracert：路由跟蹤，也可使用pathpingtelnet：連接到遠(yuǎn)程服務(wù)器Netstat：顯示協(xié)議統(tǒng)計(jì)和當(dāng)前 TCP/IP 網(wǎng)絡(luò)連接Nslookup：查看域名解析,Windows常見命令,Arp：顯示和修改ARP使用的“IP 到物理”地址轉(zhuǎn)換表。Net session：查看鏈接Net view：顯示當(dāng)前網(wǎng)絡(luò)計(jì)算機(jī)列表Runas：允許用戶用

33、其他權(quán)限運(yùn)行指定的工具和程序，而不是用戶當(dāng)前登錄提供的權(quán)限Route：在本地 ip 路由表中顯示和修改條目Chkdsk：磁盤檢測工具Gpedit.msc：打開組策略編輯器mstsc:：打開遠(yuǎn)程桌面連接客戶端taskmgr：打開任務(wù)管理器,Windows常見命令,為了提高工作效率，提升客戶滿意度，我們對系統(tǒng)故障進(jìn)行快速的定位，并進(jìn)行解決，具體請參考《Windows系統(tǒng)常見故障解決手冊》。,Windows系統(tǒng)常見故障排除,Linu

34、x是一種自由和開放源碼的類Unix操作系統(tǒng)。IDC機(jī)房中的主流操作系統(tǒng)都是linux，常用的LINUX系統(tǒng)主要有Redhat、SUSE、Fedora、Debian。本章內(nèi)容主要介紹了系統(tǒng)的安裝、系統(tǒng)的基本配置和常用命令以及常見系統(tǒng)故障的處理方法。,Linux系統(tǒng),Linux的發(fā)行版本較多，各個(gè)版本的Linux安裝都有差異，和Windows系統(tǒng)安裝一樣，一方面我們可以通過廠商自帶的安裝引導(dǎo)盤進(jìn)行安裝，另一方面我們也可以通過遠(yuǎn)程網(wǎng)絡(luò)部署的方

35、式來進(jìn)行安裝。具體安裝方法請參考《Linux系統(tǒng)遠(yuǎn)程安裝手冊》。,Linux系統(tǒng)安裝,系統(tǒng)安裝完成后，我們也需要對系統(tǒng)進(jìn)行一些基本的配置，方可交付客戶使用，具體配置如下：網(wǎng)絡(luò)配置：IP地址、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS安全設(shè)置：通過相關(guān)設(shè)置保障系統(tǒng)的安全性。,Linux系統(tǒng)基本配置,Linux的網(wǎng)絡(luò)配置和Windows是有不同的，雖然Linux也有圖形化界面，但是一般情況下我們還是以命令行的方式為主，Linux的網(wǎng)絡(luò)配置可以通過兩種方式實(shí)

36、現(xiàn)：Ifconfig ethx *.*.*.* netmask *.*.*.*，臨時(shí)更改編輯/etc/sysconfig/network-script/ifcfg-ehtX，編輯完成后，需運(yùn)行 service network restart 網(wǎng)絡(luò)配置完成后，為了確?？蛻裟軌蜻h(yuǎn)程登錄到服務(wù)器，我們需要開啟服務(wù)器上的SSH服務(wù)，同時(shí)需要設(shè)置禁止Root用戶使用ssh登錄。,Linux網(wǎng)絡(luò)配置,雖然Linux系統(tǒng)本身的安全性較高，但

37、是為了保障系統(tǒng)的安全，我們還是需要做相關(guān)的設(shè)置，主要如下：用戶管理服務(wù)管理系統(tǒng)文件權(quán)限系統(tǒng)優(yōu)化日志管理防火墻具體設(shè)置方法請參考《Linux系統(tǒng)安全配置手冊》,Linux安全配置,Linux的日常運(yùn)維基本都是通過命令來完成的，常用的Linux命令如下：ping：測試網(wǎng)絡(luò)連通性ifconfig：查看和設(shè)置網(wǎng)絡(luò)參數(shù)Ifup ifdown：激活或關(guān)閉某個(gè)網(wǎng)絡(luò)適配卡Netstat：查看服務(wù)器監(jiān)聽端口和鏈接狀態(tài)Route：查

38、看路由信息Traceroute：追蹤路由Passwd：修改用戶密碼,Linux常見命令,Hwinfo：查看相關(guān)硬件信息Dmesg：查看系統(tǒng)內(nèi)核級別的日志信息Chkconfig：開啟和關(guān)閉服務(wù)相關(guān)Fdisk：磁盤分區(qū)Mkfs.ext3：創(chuàng)建文件系統(tǒng)Fsck.ext3：修復(fù)文件系統(tǒng),Linux常見命令,為了提高工作效率，提升客戶滿意度，我們需要對系統(tǒng)故障進(jìn)行快速的定位，并進(jìn)行解決，具體請參考《Linux系統(tǒng)常見故障解決手冊》。

39、,Linux系統(tǒng)常見故障排除,網(wǎng)絡(luò)作為IDC的一個(gè)基礎(chǔ)是非常重要的，衡量一個(gè)IDC機(jī)房的好壞，網(wǎng)絡(luò)是非常重要的一點(diǎn)，一個(gè)好的IDC機(jī)房能夠提供給客戶非常穩(wěn)定的網(wǎng)絡(luò)資源，小并且穩(wěn)定的延遲，高的業(yè)務(wù)持續(xù)性。本章內(nèi)容主要包括了網(wǎng)絡(luò)基礎(chǔ)知識、交換、路由以及常見網(wǎng)絡(luò)故障排除。,網(wǎng)絡(luò),OSI七層模型OSI是Open System Interconnect的縮寫，意為開放式系統(tǒng)互聯(lián)。國際標(biāo)準(zhǔn)組織（國際標(biāo)準(zhǔn)化組織）制定了OSI模型。這個(gè)模型把網(wǎng)絡(luò)通信

40、的工作分為7層，分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。,網(wǎng)絡(luò)基礎(chǔ)知識,網(wǎng)絡(luò)基礎(chǔ)知識,IP地址所謂IP地址就是給每個(gè)連接在Internet上的主機(jī)分配的一個(gè)32bit地址。按照TCP/IP協(xié)議規(guī)定，IP地址用二進(jìn)制來表示，每個(gè)IP地址長32bit，比特?fù)Q算成字節(jié)，就是4個(gè)字節(jié)。二進(jìn)制的數(shù)據(jù)比較難記憶，我們在實(shí)際使用中都用10進(jìn)制來表示。下面章節(jié)中會(huì)介紹IP地址的分類、子網(wǎng)的拆分和合并等。,網(wǎng)絡(luò)基礎(chǔ)知識,IP

41、地址分類IP地址由兩部分組成，網(wǎng)絡(luò)地址和主機(jī)地址，我們將IP地址分為5類：A類：A類地址中，第一段為網(wǎng)絡(luò)地址，后面三段為主機(jī)地址，地址范圍是：1.0.0.0-126.255.255.255B類：B類地址中，前面兩段為網(wǎng)絡(luò)地址，后面兩段為主機(jī)地址，地址范圍是：128.0.0.0-191.255.255.255C類：C類地址中，前面三段為網(wǎng)絡(luò)地址，后面一段為主機(jī)地址，地址范圍是：192.0.0.0-223.255.255.255D

42、類：D類地址范圍是：224.0.0.0-239.255.255.255，這類地址主要用作組播地址E類：E類地址范圍是：240.0.0.0-254.255.255.255，這類地址保留。0.0.0.0這個(gè)地址表示所有網(wǎng)絡(luò)，127.0.0.0為保留地址，主要用作測試回路,網(wǎng)絡(luò)基礎(chǔ)知識,公有地址和私有地址按照常規(guī)劃分，網(wǎng)絡(luò)分為WAN和LAN，我們也將IP地址分為公有地址和私有地址，其中公有地址用在互聯(lián)網(wǎng)中，可以在整個(gè)互聯(lián)網(wǎng)中被識別，而且

43、是唯一性的，私有地址主要用作在局域網(wǎng)中，這類地址是無法再公網(wǎng)中使用的。私有地址有三類：10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255,網(wǎng)絡(luò)基礎(chǔ)知識,子網(wǎng)劃分和子網(wǎng)合并正常情況下一個(gè)C類地址最多可容納的主機(jī)數(shù)量為254臺(tái)，在實(shí)際的工作中，由于各種需求，我們可能需要減少或者增加一個(gè)網(wǎng)絡(luò)內(nèi)的主機(jī)數(shù)量，這時(shí)候我們就需要使用子網(wǎng)劃分或者

44、是子網(wǎng)合并。顧名思義，子網(wǎng)劃分就是將一個(gè)大的網(wǎng)絡(luò)劃分成多個(gè)小的網(wǎng)絡(luò)，可以減少廣播流量；子網(wǎng)合并就是將幾個(gè)網(wǎng)絡(luò)進(jìn)行合并，保障一個(gè)網(wǎng)絡(luò)中可以容納更多的主機(jī)。,網(wǎng)絡(luò)基礎(chǔ)知識,互聯(lián)網(wǎng)中，網(wǎng)線作為一種物理載體是必不可少的，常用的網(wǎng)線主要包括雙絞線和光纖。我們常用的雙絞線有五類、超五類和六類線。雙絞線的連接是通過RJ-45水晶頭來實(shí)現(xiàn)的，水晶頭的做法有兩種568A：白綠 綠 白橙 藍(lán) 白藍(lán) 橙 白棕 棕 568B：白橙 橙 白綠 藍(lán) 白藍(lán) 綠

45、 白棕 棕 我們常用的標(biāo)準(zhǔn)是568B，網(wǎng)線做好后，有兩種，一種稱為直連線，雙絞線的兩端均用同一標(biāo)準(zhǔn)，主要用來連接主機(jī)和交換機(jī)。另一種稱為交叉線，兩端采用不同的標(biāo)準(zhǔn)，主要用作主機(jī)和主機(jī)之間的連接,網(wǎng)絡(luò)基礎(chǔ)知識,雙絞線受到制作工藝的限制，存在著很多的不足，如衰減較大，傳輸距離一般限制為100M，不適用于遠(yuǎn)距離傳輸，所以在遠(yuǎn)距離傳輸或者核心端口連接時(shí)我們更多的采用光纖來進(jìn)行通訊，光纖我們分為兩種：多模光纖：當(dāng)傳輸距離超過100M后，我們會(huì)

46、考慮使用多模光纖，多模光纖的有效傳輸距離一般在2KM左右（百兆），千兆網(wǎng)絡(luò)的距離基本在500M左右。單模光纖：當(dāng)傳輸距離超過2KM后，我們會(huì)使用單模光纖，單模光纖的有效傳輸距離可達(dá)到100KM。,網(wǎng)絡(luò)基礎(chǔ)知識,交換機(jī)是從網(wǎng)橋發(fā)展而來，屬于OSI第二層即數(shù)據(jù)鏈路層設(shè)備。它根據(jù)MAC地址尋址，通過站表選擇路由，站表的建立和維護(hù)由交換機(jī)自動(dòng)進(jìn)行。經(jīng)過逐步的發(fā)展，交換機(jī)現(xiàn)在已經(jīng)發(fā)展到二層交換機(jī)、三層交換機(jī)和四層交換機(jī)。我們常用的交換機(jī)技術(shù)包括

47、了Vlan、Trunk、Stp、Vtp、Channle等，具體介紹和配置請參考《網(wǎng)絡(luò)交換技術(shù)培訓(xùn)教材》。,交換機(jī),路由器（Router）是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號的設(shè)備。路由器的一個(gè)作用是連通不同的網(wǎng)絡(luò)，另一個(gè)作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大

48、的效益來。,路由器,路由器中最核心的內(nèi)容就是路由協(xié)議，從大的方向路由協(xié)議分為兩種：靜態(tài)路由協(xié)議：靜態(tài)路由表在開始選擇路由之前就被建立，并且只能由網(wǎng)絡(luò)管理員更改，所以只適于網(wǎng)絡(luò)傳輸狀態(tài)比較簡單的環(huán)境。靜態(tài)路由具有以下特點(diǎn)： 靜態(tài)路由無需進(jìn)行路由交換，因此節(jié)省網(wǎng)絡(luò)的帶寬、CPU的利用率和路由器的內(nèi)存。 靜態(tài)路由具有更高的安全性。在使用靜態(tài)路由的網(wǎng)絡(luò)中，所有要連到網(wǎng)絡(luò)上的路由器都需在鄰接路由器上設(shè)置其相應(yīng)的路由。因此，在某種程度上提

49、高了網(wǎng)絡(luò)的安全性。靜態(tài)路由具有以下缺點(diǎn)： 管理者必須真正理解網(wǎng)絡(luò)的拓?fù)洳⒄_配置路由。 網(wǎng)絡(luò)的擴(kuò)展性能差。如果要在網(wǎng)絡(luò)上增加一個(gè)網(wǎng)絡(luò)，管理者必須在所有路由器上加一條路由。 配置煩瑣，特別是當(dāng)需要跨越幾臺(tái)路由器通信時(shí)，其路由配置更為復(fù)雜。,路由器,動(dòng)態(tài)路由協(xié)議：動(dòng)態(tài)路由協(xié)議內(nèi)部網(wǎng)關(guān)協(xié)議IGP和外部網(wǎng)關(guān)協(xié)議EGP。而內(nèi)部網(wǎng)關(guān)協(xié)議IGP可以分為距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議。常用的動(dòng)態(tài)路由協(xié)議有RIP、IGRP、EIGRP和BG

50、P。具體的介紹和配置請參考《網(wǎng)絡(luò)路由技術(shù)培訓(xùn)教材》。,路由器,為了提高工作效率，提升客戶滿意度，我們需要對網(wǎng)絡(luò)故障進(jìn)行快速的定位，并進(jìn)行解決，具體請參考《常見網(wǎng)絡(luò)故障排除手冊》。,常見網(wǎng)絡(luò)故障排除,前面主要是介紹了機(jī)房常用的相關(guān)技術(shù)，要想維護(hù)和管理好一個(gè)IDC機(jī)房，不單單需要技術(shù)，還需要有規(guī)范化的管理制度和流程來支撐，下面的章節(jié)會(huì)重點(diǎn)介紹機(jī)房運(yùn)維的管理制度和流程。,機(jī)房運(yùn)維管理制度和流程,運(yùn)維工程師高壓線：IDC機(jī)房中所有已加電的設(shè)

51、備未經(jīng)允許一律不許操作。在有運(yùn)營設(shè)備的區(qū)域操作時(shí)，未經(jīng)允許，一律不準(zhǔn)碰到運(yùn)營設(shè)備。禁止未經(jīng)授權(quán)的情況下對操作系統(tǒng)外任何應(yīng)用程序、數(shù)據(jù)庫等軟件操作。禁止泄漏我公司IDC機(jī)房任何敏感信息（包含但不僅限與網(wǎng)絡(luò)架構(gòu)、帶寬、IP、服務(wù)器數(shù)量/型號、網(wǎng)絡(luò)設(shè)備數(shù)量/型號等）。禁止在沒有授權(quán)的情況下擅自操作、移動(dòng)、搬遷IDC設(shè)備（包括存放在IDC機(jī)房的備件）。禁止在沒有授權(quán)的情況下擅自插拔網(wǎng)線、光纖和電源線。禁止帶無關(guān)人員進(jìn)入IDC機(jī)房。,

52、機(jī)房運(yùn)維管理制度和流程,我們在機(jī)房運(yùn)維中所用到的制度和流程如下：IDC機(jī)房日常管理制度IDC機(jī)房值班巡檢制度IDC機(jī)房設(shè)備上下架流程和規(guī)范IDC機(jī)房運(yùn)維故障管理辦法IDC機(jī)房設(shè)備進(jìn)出流程IDC機(jī)房備件使用和管理流程IDC機(jī)房人員進(jìn)出流程IDC機(jī)房人員授權(quán)操作流程IDC機(jī)房變更流程IDC機(jī)房事件流程IDC機(jī)房問題流程,機(jī)房運(yùn)維管理制度和流程,本培訓(xùn)教材所涉及到的文檔包括：《服務(wù)器RAID配置手冊》《常見服務(wù)器故障