ACI的安装、操作与维护
一.操作系统的安装
ACI 系统运行在WindowsNT , Windows2000, Solaris 8操作系统上。本文只介绍在Windows系统上的ACI。
一)系统硬件要求
ACI SERVER:
CPU: Pentium Ⅲ 700M 以上 RAM: 100个NE以下, 需要 1GB RAM LAN Card : 10/100 Mbits CD-ROM: 32ⅹ SCSI PS/2 Keyboard 17” 以上显示器
ACI Client:
CPU: Pentium Ⅲ 600M 以上 Hard Disk: 20G SCSI 以上
100个NE以上,需要 2GB RAM
Graphics adapter card: 4M VRAM 以上
Audio Controller
PS/2 Mouse
Hard Disk: 20G fast IDE
RAM: 128B RAM 以上 LAN Card : 10/100 Mbits
Graphics adapter card: 4M VRAM 以上 CD-ROM: 32ⅹ s
Audio Controller PS/2 Keyboard
PS/2 Mouse 21” 显示器
二)系统的软件要求
ACI Server:
Windows NT4.0 Server with service pack 6;
Windows2000 Server with service pack3,或service pack 4.建议还要安装RPC Hotfix。
ACI Client:
Windows NT4.0 workstaiton with service pack6;
Windows2000 professional with service pack 3或service pack 4. 建议安装RPC Hotfix
三)安装操作系统
1. Windows NT 4.0 系统。
ACI server:
C盘分为4G, 最好NTFS格式安装成为primary domain controller,域名最好不要用默认的domain。在安装IIS的时候,只安装FTP SERVER, 不安装WWW服务器,这样可以降低被攻击的可能性。在安装显卡、网卡和声卡驱动的时候,可能需要相应的Service Pack。最后安装完Service Pack 6 后,给剩余的硬盘分区。建议给D盘分为8G, 剩下的空间分一个区,用于软件和数据的备份。
ACI client:
分区没有太多的要求。需要安装service pack 6、网卡、显卡和声卡的驱动程序。安装完成后,需要将WinNT Workstation 加入到ACI server 所在的域中。
2. Windows2000 系统
现在越来越多的地方使用windows2000系统,而且对win2000系统的配置要比windowsNT4.0要复杂一些。所以需要详细地介绍一下。
Windows 2000 系统的域结构分了3个域层次:
Forest
A set of one or more trees that do not form a contiguous namespace, all trees in a forest share a common schema, configuration, and global catalog. The trees must trust each other through transitive, bi-directional trust relationship. Unlike a tree, a forest does not trust relationships know to the member trees. Trees in a forest form a hierarchy for the purposes of trust.
Domain Tree
The hierarchical tree structure that is used to index domain names. Domain trees are similar in purpose and concept to directory trees , which are used by computer filing systems for disk storage. For example, when numerous files are stored on disk, directories can be used to organize the files into logical collections. When a domain tree had one or more branches, each branch can organize domain names used in the namespace into logical collections.
Child Domain
A domain located in the namespace tree directly beneath another domain name (the parent domain). For example, “ aci.bisc.com” would be a child domain of the parent domain “ bisc.com”. Also known as subdomain.
Forest, domain tree, child domain 的结构层次图
1)分区
用win2000系统盘启动,建议给硬盘分区为 C盘 4G ,最好NTFS格式 D盘 8G, 其余的空间为软件和数据备份。
2) win2000 Server及Service Pack
按照安装向导,将win2000系统安装在硬盘上,注意安装显卡,声卡和网卡的驱动程序,并且安装相应的系统补丁Service Pack3或Service Pack 4, 建议安装预防冲击波病毒的RPC补丁Windows2000-KB823980-x86。
打开“控制面板” —〉“管理工具”—〉“服务器管理”—〉“Active Directory” —〉“启动”。
选择做为主域控制器(Domain Controller for a new domain—PDC)。下一步(NEXT)
选择 创建一个新的域(Create a New Domain Tree)。下一步(NEXT)
选择 创建一个新的Forest(Create a New Forest)。下一步(NEXT)
输入一个新的域全名,比如 biscaci2.com。如果不加.com这样的后缀,会提示这样的域名在internet 上不能被识别,如果强制使用,也没有太大的关系。下一步(NEXT)
输入Netbios 域名。别的用户使用这个名字来识别这个新的域。客户端就是加入的这个域。比如:biscaci2。下一步(NEXT)
数据库和日至文件的位置,建议使用默认值。下一步(NEXT)
共享系统卷。建议使用默认值。下一步(NEXT)
是否安装DNS,如果客户端与服务器不在一个子网中,建议安装DNS。下一步(NEXT)
选择是否允许非WIN2000系统的权限,严格只使用win2000的权限。下一步(NEXT)
输入路径服务恢复方式的管理员密码,这个密码并不是管理员的登录密码。下一步(NEXT)
确认所有的设置数据。下一步(NEXT)
配置完成,Restart PC。
配置完成后启机过程比较慢,在系统中提示准备网络连接的时候,需要等待几分钟。
二. 安装数据库(Versant)及ACI网管软件
1. 在ACI server (服务器)上
1).安装数据库(Versant)
点击/versant/disk1/setup.exe
点击 Next
选择versant 的安装目录。如果数据库比较大,请注意磁盘空间最好安装在D盘下。
选择组件窗口。点击 Next
输入数据库服务器的名字和IP 地址,自动显示本机名字和ip地址。点击 Next
输入数据库的根目录的路径,最好安装在D盘下。点击Next
完成。在进行下一步之前,一定要重启计算机。
2). 安装ACI网管软件
用域管理员账号登录到windows域中(biscaci)。
点击 emHiX/release/disk1/setup.exe
点击Next
选择安装路径。建议安装在D盘下,其余的路径可以用默认值。点击Next
选择组件窗口。在ACI服务器上选上所有的组件。点击Next
对话框 是否有“服务登陆”的权限?点击 YES
输入管理员密码两次。点击Next
是否指定的另一个windows全局组代替windows 标准管理员组,来管理ACI服务器? 一般没有特殊要求的地方,选择 No. 点击Next
是否指定一个Solaris系统的组来管理ACI。一般都没有Solaris系统安装ACI。选择No,点击Next
ACI做为网元管理,是否属于CORBA域。在没有安装CORBA域的情况下,选择No,点击Next
指定ACI服务器的名字,IP地址。默认值就是本机的名字和IP地址。点击Next
选择数据库的大小。
–100MB: for very small networks, 1–5 NEs
– 1GB: for 1–50 NEs
– 2GB: for 50–100 NEs
– 4GB: for 100–150 NEs
点击Next
输入配置文件的路径。 建议使用默认值。点击Next
设置后台共享目录的路径。建议使用默认值。点击Next
设置系统备份的共享目录的路径。建议使用默认值。点击Next
IDR(Inventory Data Retrieval)报头窗口,填写一些客户数据。国家,客户,网络名称是必须填写的。点击Next。 新安装ACI时,请按标准建立 ACI头部信息: 其中,各字段填写标准(及允许的最多字符数):
Country: China (16) Customer: 运营商 省或自治区 (18) Name of Network: 安装地点 ACI –ID No.(30) Phone Number of Responsible: 区号-电话号码(17) Geographical Location of Server [ Town District] : 按实际情况填写(30) Geographical Location of Server [ Street and Number]: 按实际情况填写(20) Dos窗口弹出,系统开始创建数据库。生成的数据库文件是在versant/db/目录下。完成后提示任意键结束。
弹出dos窗口,安装客户端软件。完成后按回车结束。
弹出dos窗口,安装ACI SNMP 服务器,完成后,敲回车结束
弹出SNMP BRASS 管理多通道设置,选择安装路径。
确定主机是否在某个簇中,选择NO,点击Next
是否查看自述文件,点击完成(Finish)
重启计算机。
3). ACI server 运行前的配置
修改Service 中ACI server 的登录密码。
修改虚拟内存的大小,将虚拟内存扩大为物理内存的3倍
关闭屏幕保护程序
关闭电源管理程序
2.在ACI client 客户端上
安装前需要让客户端上能登录上服务器:把客户机设成与服务器相同网段的IP地址,连接好网线。右击“我的电脑”-“属性”-“网络”-“更改”-“把计算机加入域”输入域名如“biscaci2”,找到域后,要求重启计算机。
用域管理员账号登陆。如:用户名:administrator 域: biscaci2
1). 安装Versant
由于在ACI client 上,versant 只是一个安装的需要的环境,所以对versant 的安装按照默认的方式就可以。也可以和在ACI server 上的安装的一样。
2).安装ACI 网管软件
用域管理员账号登陆。如:用户名:administrator 域: biscaci2
点击 emHiX /release/disk1/setup.exe
欢迎界面。点击Next
选择安装路径。建议安装在D盘下,其余的路径可以用默认值。点击Next
选择组件窗口。只选择client,把其余两项的勾去掉,点击 Next
ACI做为网元管理,是否属于CORBA域。在没有安装CORBA域的情况下,选择No,点击Next
网员管理器XL客户-服务器对话窗口
填写 ACI server 名称和IP地址
确定Client端所需要的选项
如果客户机到服务器的连接速度比较慢,客户机可以自动下载一些图形元素,降低通信量的要求,这样可以选择 Slow connection to remote server。
点击完成,重启计算机
三.安装杀毒软件及设置防火墙
1. 路由器设置网络访问控制(以西门子ERX为例)
由于ACI网管系统需要使用到SNMP,FTP,BOOTP等很多协议。而且很多ACI网管都是安装在公网上,有真实的INTERNET地址,从而就暴露在攻击者面前。所以需要给ACI 设置防火墙。
在与ACI相联的路由器上设置访问列表,只允许DSLAM的网管地址访问ACI,拒绝其他未知地址的访问。在路由器上设置访问列表能有效地预防网络上的攻击。举例如下:ACI地址为202.99.11.1,DSLAM地址为202.99.12.0/24,在ERX相应接口上的访问命令为:
classifier-list ACI01 ip 202.99.12.0 0.0.0.255 202.99.11.1 0.0.0.0
classifier-list ACI02 ip any any
policy-list pNetM
forward classifier-group ACI01 precedence 10
filter classifier-group ACI02 precedence 20
interface fastEthernet X/Y.Z
vlan id x
ip address X.X.X.X X.X.X.X
ip proxy-arp
ip policy output pNetM statistics enabled
2. 安装杀毒软件
在ACI网管安装有实时监测功能的防毒杀毒软件,比如瑞星,Norton,金山毒霸,或其他的一
些防毒软件。定期更新病毒数据库。这样对于一些蠕虫病毒,有一定的防范作用。具体的安装步骤比较简单,这里就不用详细介绍了。
3. 安装防火墙软件
在ACI网管上安装防火墙软件。天网个人防火墙,金山网镖,Sygate 个人防火墙都可以设置IP访问规则,打开或关闭某些端口,控制应用程序对网络的访问。这儿以SYGATE Personal Firewall 5.5 为例,介绍个人防火墙的一些设置。
按照安装向导安装软件。一般在安装完成后需要重启计算机。
启动防火墙软件。
点击 Tool——> Advanced Rules
点击 Add, 添加允许访问的ip地址列表
选择Host标签,填写允许访问的ip地址
选择可以访问的应用程序。
点击确定。
将每个DSLAM的IP 地址都添加到这个列表中,其余的应用程序都能被访问。这样设置后,除了DSLAM以外的地址来的IP packets都会被防火墙阻断。这在很大的程度上降低了被攻击的可能性。
四.ACI的配置与操作
1. 网元的添加
打开SNMP-DCN子窗口
选择SNMP PORT,点击右键,选择“Insert NE”。
在弹出的窗口中选择dslam的类型。 根据版本选择如V2.1/V3.0/ hix5300。(Xld3110,hix5300以后的都选择hix5300)。输入DSLAM的IP地址和DSLAM的名字(可以按照地名来去
点击SNMP设置,选用默认值。
点击Ftproot, 填写dslam ftp到server上的根目录的路径。
点击应用,最好在出现FINISH和绿色小圈后,再关闭添加网元的窗口。
2.设置ACI的域
ACI 的域是在网元层定义的多个NE(网元)合在一起的逻辑组。具体的定义如下:
一个NE ( 网元 ) 可以存在于多个域中
一个NE ( 网元 )是作为一个整体,而不是一个部分来添加到域中。
不同的域中可以有相同的NE ( 网元 )
不属于操作员的NE ( 网元 )在SNMP-DCN中被隐藏或显示成不可操作的灰色
3.设置ACI的管理权限
ACI的权限级别了一组操作员可以使用的命令。
给一组操作员分配一定的权限来管理某些节点的步骤
先在windows域中创建一个用户组。
在ACI中创建一个域
点击 安全(security) 域(domain)管理(administration)
在弹出的域管理窗口中点击 创建(Create)
在弹出的窗口中填写域名称(必须符合windows 命名标准)。最好填写输入说明。点击确定
把NE ( 网元 )添加到新建的域中
选择NE ( 网元 ),点击 安全(security) 域(domain)添加/删除NE(网元)
在弹出的添加/删除NE(网元)窗口中选择需要加入的域
在ACI中创建这个用户组分配权限。
点击 安全(security)权限(permission) 管理(administration)
在弹出的窗口中点击 创建(create)
在弹出的窗口中填写权限的名称,并选择相应的权限。
将windows 用户组,ACI的域,用户权限建立映射。
点击 安全(security) 域(domain)管理(administration)
双击需要配置的域,或选择好需要配置的域后,点击 权限(permissrions)
在弹出的窗口中左侧是windows 用户组,右侧是可选择的权限。对于不同的windows用户组,选择不同的权限,如果不让某个用户组对这个域操作,在这个用户组的权限中给none。
4.一致性检查(Consistency Check)
一致性检查是将ACI SERVER中的数据库与DSLAM现运行的数据库做同步检查。在用LCT做完数据后,软件版本升级后,都必须做一次一致性检查。
5.ACI系统的日常维护(告警和日志管理)
EMXL 或EMHIX 的故障管理功能支持告警和事件消息。告警消息是自发或应请求产生。事件是来自网元,或由于某些状态改变或发生问题而在内部产生。
ACI 告警&事件(Alarms & Events log)的配置与保存
ACI服务器的告警列表中的所有告警都作为记录项被记录在告警日志中。ACI服务器收到的所有事件消息都记录在了事件日志中。
配置告警和事件日志
点击故障(Fault) 告警和日志管理(Alarms & Events Administration)
可以选择每个日志允许的最大记录数,默认情况下是10000。
启动或停止告警和事件日志
当日志已经写满时,建议选择循环覆盖最旧的记录
导出告警和事件日志
可以选择手动或自动保存日志。建议自动保存日志,可以定在每天凌晨3:00将日志导出成为一个文件。日志文件的取名规则是:---@.csv。当自动导出时,告警日志文件的目录: ACI server安装目录\\export\\alarm\\automatic\\。
当自动导出时,事件日志文件的目录: ACI server安装目录\\export\\event\\automatic\\。
