目录
1 MAC地址表管理配置.........................................................................................................................1-1
1.1 MAC地址表管理简介.........................................................................................................................1-1
1.2 配置MAC地址表管理.........................................................................................................................1-2
1.2.1 配置MAC地址表项..................................................................................................................1-2
1.2.2 关闭全局的MAC地址学习功能................................................................................................1-2
1.2.3 关闭以太网接口或端口组或聚合接口的MAC地址学习功能....................................................1-3
1.2.4 配置系统MAC地址老化时间...................................................................................................1-3
1.2.5 配置以太网接口或端口组或聚合接口最多可以学习到的MAC地址数......................................1-4
1.3 MAC地址表管理显示和维护..............................................................................................................1-4
1.4 MAC地址表管理典型配置举例(WX系列无线产品适用)................................................................1-5
z本手册中标有“请以设备实际情况为准”的特性描述,表示WX系列无线控制产品的各型号对于此特性的支持情况不同,具体差异请参见用户手册的“特性差异化列表”的“特性支持情况”章节。
z无线控制产品支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用GE口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
1 MAC地址表管理配置
z MAC地址表管理中对于接口的相关配置,目前只能在二层以太网接口和聚合接口上进行。
z本章节内容只涉及静态、动态和黑洞MAC地址表项(黑洞MAC地址表项包括源黑洞MAC地址表项和目的黑洞MAC地址表项)的管理,有关组播MAC地址表项管理的内容,请参见“IP组播分册”中的“组播路由与转发配置”。
1.1 MAC地址表管理简介
为了转发报文,设备需要维护MAC地址表。MAC地址表的表项包含了与该设备相连的设备的MAC 地址、与此设备相连的设备的接口号以及所属的VLAN ID。MAC地址表中的表项包括静态MAC地址表项、动态MAC地址表项和黑洞MAC地址表项,其中静态MAC地址表项和黑洞MAC地址表项是由用户配置的;动态MAC地址表项包括用户配置的以及设备学习得来的。静态MAC地址表项和黑洞MAC地址表项没有老化时间,而动态MAC地址表项有老化时间。
设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE)并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;
如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。
用户手工配置的静态MAC地址表项和黑洞MAC地址表项不会被动态MAC地址表项覆盖,而动态MAC地址表项可以被静态MAC地址表项和黑洞MAC地址表项覆盖。
设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:
z单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送。
z广播方式:当设备收到目的地址为全1的报文,或MAC地址表中没有包含对应报文目的MAC 地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发。
图1-1设备的MAC地址表项
1.2 配置MAC地址表管理
1.2.1 配置MAC地址表项
管理员根据实际情况可以手工添加、修改或删除MAC地址表中的表项。
表1-1全局配置MAC地址表项
操作命令说明进入系统视图system-view-
添加/修改MAC地址表项mac-address { dynamic | static }mac-address
interface interface-type interface-number vlan vlan-id
mac-address blackhole mac-address vlan vlan-id
必选
表1-2接口配置MAC地址表项
操作命令说明进入系统视图system-view-
进入接口视图interface interface-type interface-number-
添加/修改接口下的MAC 地址表项mac-address { dynamic | static }mac-address vlan
vlan-id
必选
1.2.2 关闭全局的MAC地址学习功能
有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:黑客使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。
关闭全局的MAC地址学习功能的同时也就关闭了全部接口的MAC地址学习功能。
表1-3关闭全局MAC地址学习功能
操作命令说明进入系统视图system-view-
关闭全局的MAC地址的学习功能mac-address mac-learning
disable
必选
缺省情况下,开启全局的MAC地址学习功
能。
1.2.3 关闭以太网接口或端口组或聚合接口的MAC地址学习功能
在开启全局的MAC地址学习功能的前提下,用户可以关闭设备上的单个接口或者端口组的MAC地址学习功能。
表1-4关闭接口或端口组的MAC地址学习功能
操作命令说明
进入系统视图
system-view-
开启全局的MAC地址学习功能undo mac-address mac-learning
disable
可选
缺省情况下,开启全局的MAC地址学习功
能
进入以太网接口视图interface interface-type interface-number
进入端口组视图port-group manual port-group-name
进入以太网接口或者端口组视图或二层聚合接
口视图进入聚合接
口视图interface bridge-aggregation
interface-number
三者必选其一
进入以太网接口或聚合接口视图后,下面进
行的配置只在当前接口生效;进入端口组视
图后,下面进行的配置将在端口组的所有接
口生效
关闭以太网接口或端口组或二层聚合接口的MAC地址学习功能mac-address mac-learning
disable
必选
缺省情况下,开启以太网接口或端口组或聚
合接口的MAC地址学习功能
z关闭MAC地址学习功能后,对于已经学习到的MAC地址表项的处理情况与设备的型号有关,请以设备的实际情况为准。
z端口组相关的配置请参考“接入分册”中的“以太网接口配置”。
1.2.4 配置系统MAC地址老化时间
如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,可能导致设备广播大量的数据报文,影响设备的运行性能。所以用户需要根据实际情况,配置合适的老化时间来有效的实现MAC地址老化功能。
表1-5配置系统MAC地址老化时间
操作命令说明
进入系统视图system-view
-
配置MAC地址动态表项的老化时间mac-address timer { aging
seconds | no-aging }
可选
MAC地址的老化时间作用于全部接口上,地址老化只对动态的(设备学习到的或者用户配置的动态的)MAC地址表项起作用。
1.2.5 配置以太网接口或端口组或聚合接口最多可以学习到的MAC地址数
通过配置以太网接口或端口组或聚合接口最多可以学习到的MAC地址数,用户可以控制设备维护的MAC地址表的表项数量。如果MAC地址表过于庞大,可能导致设备的转发性能下降。当接口学习到的MAC地址数达到配置的最大值时,该接口将不再对MAC地址进行学习。
表1-6配置以太网接口或端口组或聚合接口最多可以学习到的MAC地址数
操作命令说明进入系统视图system-view-
进入以太网接口视图interface interface-type interface-number
进入端口组视图port-group manual port-group-name
进入以太网接口或者端口组或聚合接口视图
进入聚合接口视图interface bridge-aggregation
interface-number
三者必选其一
进入以太网接口或聚合接口视图后,下面进
行的配置只在当前接口生效;进入端口组视
图后,下面进行的配置将在端口组的所有接
口生效
配置以太网接口或端口组或聚合接口最多可以学习
到的MAC地址数,以及当接口学习到的MAC地址数达到配置的最大值时,是否继续转发源MAC地址不在MAC地址表里的数据帧mac-address max-mac-count
{ count | disable-forwarding }
必选
缺省情况下,以太网接口或端口组或聚合接
口最多可以学习到的MAC地址数目是与设
备相关的,并且当以太网接口或端口组或聚
合接口学习的MAC地址数达到配置的最大
MAC地址数后,允许转发源MAC地址不在
MAC地址表里的数据帧
1.3 MAC地址表管理显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址表管理的运行情况,通过查看显示信息验证配置的效果。
表1-7MAC地址表管理显示和维护
操作命令
display mac-address [ blackhole ] [ vlan vlan-id ] [ count ] 显示MAC地址表信息display mac-address [ mac-address [ vlan vlan-id ] | [ dynamic |
static ] [ interface interface-type interface-number ] [ vlan vlan-id ]
[ count ] ]
MAC地址厂商分配表 Index MAC Address Vendor-Name 100-00-0C-**-**-**Cisco Systems Inc 200-00-0E-**-**-**Fujitsu 300-00-75-**-**-**Nortel Networks 400-00-95-**-**-**Sony Corp 500-00-F0-**-**-**Samsung Electronics 600-01-02-**-**-**3Com 700-01-03-**-**-**3Com 800-01-30-**-**-**Extreme Networks 900-01-42-**-**-**Cisco Systems Inc 1000-01-43-**-**-**Cisco Systems Inc 1100-01-4A-**-**-**Sony Corp 1200-01-63-**-**-**Cisco Systems Inc 1300-01-64-**-**-**Cisco Systems Inc 1400-01-81-**-**-**Nortel Networks 1500-01-96-**-**-**Cisco Systems Inc 1600-01-97-**-**-**Cisco Systems Inc 1700-01-C7-**-**-**Cisco Systems Inc 1800-01-C9-**-**-**Cisco Systems Inc 1900-01-E6-**-**-**Hewlett Packard 2000-01-E7-**-**-**Hewlett Packard 2100-02-16-**-**-**Cisco Systems Inc 2200-02-17-**-**-**Cisco Systems Inc 2300-02-4A-**-**-**Cisco Systems Inc 2400-02-4B-**-**-**Cisco Systems Inc 2500-02-5F-**-**-**Nortel Networks 2600-02-78-**-**-**Samsung Electronics 2700-02-7D-**-**-**Cisco Systems Inc 2800-02-7E-**-**-**Cisco Systems Inc 2900-02-A5-**-**-**Hewlett Packard 3000-02-B3-**-**-**Intel Corporation 3100-02-B9-**-**-**Cisco Systems Inc 3200-02-BA-**-**-**Cisco Systems Inc 3300-02-DC-**-**-**Fujitsu 3400-02-EE-**-**-**Nokia 3500-02-FC-**-**-**Cisco Systems Inc 3600-02-FD-**-**-**Cisco Systems Inc 3700-03-31-**-**-**Cisco Systems Inc 3800-03-32-**-**-**Cisco Systems Inc 3900-03-42-**-**-**Nortel Networks 4000-03-47-**-**-**Intel Corporation 4100-03-4B-**-**-**Nortel Networks 4200-03-6B-**-**-**Cisco Systems Inc 4300-03-6C-**-**-**Cisco Systems Inc 4400-03-7F-**-**-**Atheros Communications 4500-03-93-**-**-**Apple Computer 4600-03-9F-**-**-**Cisco Systems Inc 4700-03-A0-**-**-**Cisco Systems Inc 4800-03-E3-**-**-**Cisco Systems Inc
编号:SM-ZD-96562 操作系统安全配置管理办 法 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
操作系统安全配置管理办法 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理,提高重要信息系统的安全运行维护水平,规范化操作,确保信息系统安全稳定可靠运行,特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括:AIX系统、Windows系统、Linux系统及HP UNIX系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法
. 配置管理计划******系统
修订页版本控制
目录 目录 ........................................................................................................................................... - 3 -1.引言............................................................................................................................................ - 4 - 1.1编写目的 (4) 1.2适用范围 (4) 1.3参考资料 (4) 1.4术语表 (4) 2.配置管理人员与责任 ................................................................................................................. - 5 - 3.用于配置管理的软硬件资源...................................................................................................... - 6 - 4.配置库结构与权限 ..................................................................................................................... - 6 - 4.1配置库列表 (6) 4.2配置库结构 (6) 4.3配置库操作权限 (6) 5.配置项计划 ................................................................................................................................ - 7 - 6.基线计划 .................................................................................................................................... - 7 - 7.配置库备份计划......................................................................................................................... - 7 -
软件配置管理计划示例 作者:赵文锋计划名CADCSC软件配置管理计划 项目名中国控制系统CAD工程化软件系统 项目委托单位 代表签名年月日 项目承办单位 代表签名年月日 1 引言 1.1 目的 本计划的目的在于对所开发的CADCSC软件规定各种必要的配置管理条款,以保证所交付的CADCSC软件能够满足项目委托书中规定的各种原则需求,能够满足本项目总体组制定的且经领导小组批准的软件系统需求规格说明书中规定的各项具体需求。 软件开发单位在开发本项目所属的各子系统(其中包括为本项目研制或选用的各种支持软件)时,都应该执行本计划中的有关规定,但可以根据各自的情况对本计划作适当的剪裁,以满足特定的配置管理需求。剪裁后的计划必须经总体组批准。 1.2 定义 本计划中用到的一些术语的定义按GB/T 11457 和GB/T 12504。 1.3 参考资料 ◆GB/T 11457 软件工程术语 ◆GB 8566 计算机软件开发规范 ◆GB 8567 计算机软件产品开发文件编制指南 ◆GB/T 12504 计算机软件质量保证计划规范 ◆GB/T 12505 计算机软件配置管理计划规范 ◆CADCSC 软件质量保证计划 2 管理
2.1 机构 在本软件系统整个开发期间,必须成立软件配置管理小组负责配置管理工作。软件配置管理小组属项目总体组领导,由总体组代表、软件工程小组代表、项目的专职配置管理人员、项目的专职质量保证人员以及各个子系统软件配置管理人员等方面的人员组成,由总体组代表任组长。各子系统的软件配置管理人员在业务上受软件配置管理小组领导,在行政上受子系统负责人领导。软件配置管理小组和软件配置管理人员必须检查和督促本计划的实施。各子系统的软件配置管理人员有权直接向软件配置管理小组报告子项目的软件配置管理情况。各子系统的软件配置管理人员应该根据对子项目的具体要求,制订必要的规程和规定,以确保完全遵守本计划规定的所有要求。 2.2 任务 在软件工程化生产的各个阶段中,与本阶段的阶段产品有关的全部信息在软件开发库存放,与前面各个阶段的阶段产品有关的信息则在软件受控库存放。在研制与开发阶段的阶段产品的过程中,开发者和开发小组长有权对本阶段的阶段产品作必要的修改;但是如果开发者或开发小组长认为有必要个性前面有关阶段的阶段产品时,就必须通过项目的配置管理小组办理正规的审批手续。因此,软件开发库属开发这个阶段产品的开发者管理,而软件受控库由项目的配置管理小组管理。软件经过组装与系统测试后,应该送入软件产品库,如欲对其修改,必须经软件配置管理小组研究同意,然后报项目总体组组长批准。关于软件配置要进行修改时的具体审批手续,将在第条中详细规定。 2.3 职责 在软件配置管理小组中,各类人员要互相配合、分工协作,共同担负起整个项目的软件配置管理工作。其中各类人员的分工如下: A.组长是总体组代表,他对有关软件配置管理的各项工作全面负责,特别要对更改建议的审批和评审负责; B.软件工程小组组长负责监督在软件配置管理工作中认真执行软件工程规范; C.项目的专职配置管理人员检查在作配置更改时的质量保证措施; D.各子系统的配置管理人员具体负责实施各自的配置管理工作,并参与各子系统的功能配置检查和物理配置检查;
配置管理系统(北大软件 010 - 61137666) 配置管理系统,采用基于构件等先进思想和技术,支持软件全生命周期的资源管理需求,确保软件工作产品的完整性、可追溯性。 配置管理系统支持对软件的配置标识、变更控制、状态纪实、配置审核、产品发布管理等功能,实现核心知识产权的积累和开发成果的复用。 1.1.1 组成结构(北大软件 010 - 61137666) 配置管理系统支持建立和维护三库:开发库、受控库、产品库。 根据企业安全管理策略设定分级控制方式,支持建立多级库,并建立相关控制关系;每级可设置若干个库;配置库可集中部署或分布式部署,即多库可以部署在一台服务器上,也可以部署在单独的多个服务器上。 1. 典型的三库管理,支持独立设置产品库、受控库、开发库,如下图所示。 图表1三库结构 2. 典型的四库管理,支持独立设置部门开发库、部门受控库、所级受控库、所级产品库等,如下图所示。
图表2四级库结构配置管理各库功能描述如下:
以“三库”结构为例,系统覆盖配置管理计划、配置标识、基线建立、入库、产品交付、配置变更、配置审核等环节,其演进及控制关系如下图。 图表3 配置管理工作流程 1.1.2主要特点(北大软件010 - 61137666) 3.独立灵活的多级库配置 支持国军标要求的独立设置产品库、受控库、开发库的要求,满足对配置资源的分级控制要求,支持软件开发库、受控库和产品库三库的独立管理,实现对受控库和产品库的入库、出库、变更控制和版本管理。
系统具有三库无限级联合与分布部署特性,可根据企业管理策略建立多控制级别的配置库,设定每级配置库的数量和上下级库间的控制关系,并支持开发库、受控库和产品库的统一管理。 4.产品生存全过程管理 支持软件配置管理全研发过程的活动和产品控制,即支持“用户严格按照配置管理计划实施配置管理—基于配置库的实际状况客观报告配置状态”的全过程的活动。 5.灵活的流程定制 可根据用户实际情况定制流程及表单。 6.支持线上线下审批方式 支持配置控制表单的网上在线审批(网上流转审批)和网下脱机审批两种工作模式,两种模式可以在同一项目中由配置管理人员根据实际情况灵活选用。 7.文档管理功能 实现软件文档的全生命周期管理,包括创建、审签、归档、发布、打印、作废等,能够按照项目策划的软件文档清单和归档计划实施自动检查,并产生定期报表。 8.丰富的统计查询功能,支持过程的测量和监控 支持相关人员对配置管理状态的查询和追溯。能够为领导层的管理和决策提供准确一致的决策支持信息,包括配置项和基线提交偏差情况、基线状态、一致性关系、产品出入库状况、变更状况、问题追踪、配置记实、配置审核的等重要信息; 9.配置库资源的安全控制 1)系统采用三员管理机制,分权管理系统的用户管理、权限分配、系统操 作日志管理。 2)系统基于角色的授权机制,支持权限最小化的策略; 3)系统可采用多种数据备份机制,提高系统的数据的抗毁性。 10.支持并行开发 系统采用文件共享锁机制实现多人对相同配置资源的并行开发控制。在系统共享文件修改控制机制的基础上,采用三种配置资源锁以实现对并行开发的
目录 配置MAC地址表特性 目录 第1章配置MAC地址表特性 (1) 1.1 MAC地址配置任务列表 (1) 1.2 MAC地址配置任务 (1) 1.2.1 配置静态MAC地址 (1) 1.2.2 配置MAC地址老化时间 (1) 1.2.3 配置VLAN共享MAC地址 (2) 1.2.4 显示MAC地址表 (2) 1.2.5 清除动态MAC地址 (2)
第1章配置MAC地址表特性 1.1 MAC地址配置任务列表 配置静态MAC地址 配置MAC地址老化时间 配置VLAN共享MAC地址 显示MAC地址表 清除动态MAC地址 1.2 MAC地址配置任务 1.2.1 配置静态MAC地址 静态MAC地址表项指的是那些不能够被交换机老化掉的MAC地址表项,它只能被人工 的删除掉。根据交换机使用过程中的实际需要,可以添加和删除静态MAC地址。进入 特权模式下按下列步骤来添加和删除一个静态MAC地址。 命令目的 configure 进入全局配置模式 [no] mac address-table static mac-addr vlan vlan-id interface interface-id 添加/删除一个静态MAC地址表项。mac-addr为MAC地址; vlan-id为VLAN号,有效范围1~4094 ;interface-id为端口名称。 exit 退回到管理模式。 write 保存配置。 1.2.2 配置MAC地址老化时间 当一个动态的MAC地址在指定的老化时间内没有被使用时,交换机将把该MAC地址从 MAC地址表中删除。交换机MAC地址的老化时间可以根据需要进行配置,默认的老化 时间为300秒。 进入特权模式下按下列步骤来配置MAC地址的老化时间 命令目的
MAC地址表故障处理手册
目录 1-1 1 MAC地址表故障处理·························································································································· 1-1 1.1 源MAC地址攻击导致端口流量瞬断故障处理····················································································· ··· 1-1 1.1.1 故障描述 ······························································································································ 1.1.2 故障处理步骤·························································································································· 1-1 ······ 1-3 1.2 故障诊断命令·······························································································································
软件配置管理计划示例 计划名国势通多媒体网络传输加速系统软件配置管理计划 项目名国势通多媒体网络传输加速系统软件 项目委托单位代表签名年月日 项目承办单位北京麦秸创想科技有限责任公司 代表签名年月日 1 引言 1.1 目的 本计划的目的在于对所开发的国势通多媒体网络传输加速系统软件规定各种必要的配置管理条款,以保证所交付的国势通多媒体网络传输加速系统软件能够满足项目委托书中规定的各种原则需求,能够满足本项目总体组制定的且经领导小组批准的软件系统需求规格说明书中规定的各项具体需求。 软件开发单位在开发本项目所属的各子系统(其中包括为本项目研制或选用的各种支持软件)时,都应该执行本计划中的有关规定,但可以根据各自的情况对本计划作适当的剪裁,以满足特定的配置管理需求。剪裁后的计划必须经总体组批准。 1.2 定义 本计划中用到的一些术语的定义按GB/T 11457 和GB/T 12504。 1.3 参考资料
◆GB/T 11457 软件工程术语 ◆GB 8566 计算机软件开发规范 ◆GB 8567 计算机软件产品开发文件编制指南 ◆GB/T 12504 计算机软件质量保证计划规范 ◆GB/T 12505 计算机软件配置管理计划规范 ◆国势通多媒体网络传输加速系统软件质量保证计划 2 管理 2.1 机构 在本软件系统整个开发期间,必须成立软件配置管理小组负责配置管理工作。软件配置管理小组属项目总体组领导,由总体组代表、软件工程小组代表、项目的专职配置管理人员、项目的专职质量保证人员以及各个子系统软件配置管理人员等方面的人员组成,由总体组代表任组长。各子系统的软件配置管理人员在业务上受软件配置管理小组领导,在行政上受子系统负责人领导。软件配置管理小组和软件配置管理人员必须检查和督促本计划的实施。各子系统的软件配置管理人员有权直接向软件配置管理小组报告子项目的软件配置管理情况。各子系统的软件配置管理人员应该根据对子项目的具体要求,制订必要的规程和规定,以确保完全遵守本计划规定的所有要求。 2.2 任务
XXX工程XXXXXXXXXXXXXXXXXXXX信息 系统建设项目 (招标编号:XXXX-EMTC-XXXX)XXXXXX总集成项目配置 管理方案 XXXXX科技股份有限公司 2009年10月
目录 关于本文档 (1) 第1章配置项的标识规则 (2) 第2章配置管理计划 (2) 2.1 配置管理计划目的 (2) 2.2 角色、职责和人员 (2) 2.3 配置和细化管理控制 (3) 2.3.1 工作空间规则 (3) 2.3.2 细化管理控制 (4) 2.4 配置状态统计 (4) 2.4.1 DCB会议备忘录 (4) 2.4.2 细化请求的汇总 (5) 2.4.3 基线状态报告 (5) 2.5 配置审核 (5) 第3章配置项说明 (5)
金宏工程国家发展改革委药品和医疗器械价格评审信息系统A包总集成项目配置管理方案关于本文档 说明:类型-创建(C)、修改(U)、删除(D)、增加(A);
第1章配置项的标识规则 公司名称-Project Name-Type – Name – Version 其中: 项目名称或项目编号:采用立项后的项目名称缩写或给定的项目编号表示 系统名称或组件名称:采用约定的缩写规则取长度不超过6位的字符表示 类型名称为(标识代码):项目工作产品名称的标识,为采用约定的缩写规则取长度不超过8位的字符。 编号:当配置项为同一模板样式的序列的工作产品时可将编号标识引入,一般为三位数字; 版本:采取两位,形式为0.0,第一版为V1.0,以后每增加0.1表示较小修改,增加1.0表示新的Release。 第2章配置管理计划 2.1配置管理计划目的 配置管理计划编写目的如下: 在项目的整个生存周期中建立和维护产品的完整性 软件配置管理活动是有计划的 确定需要CM控制的工作产品 建立和维护工作产品的基线 控制对工作产品的细化 2.2角色、职责和人员
信息系统配置管理办法 第1章总则 第一条为了规范信息系统生产环境的配置管理,保证生产环境信息资产的完整性、有效性、可追溯性及正确性,防范信息系统运行中配置变更所带来的潜在风险,确保信息系统的安全可靠运行,依据《商业银行信息科技风险管理指引》、《信息系统安全等级保护基本要求》、《防范操作风险的管理办法》等制度规范,同时参照配置管理理论制定本办法。 第二条配置管理是指对保证信息系统业务连续性的配置项进行标识、存储和控制,并维护其完整性、一致性、可追溯性及正确性的工作,是对各个配置项的变更、跟踪、发布和评审的重要管理工作。 第三条配置管理工作是贯穿整个信息系统生命周期的核心基础工作之一,只有利用配置管理的理论把项目条理化、清晰化,才能将如需求、设计、开发、测试、运行、维护等其他工作纳入正确的轨道,保证整个信息系统管理工作的顺利进行。 第四条本办法中所提及的配置项均指信息系统的配置项。 第五条本办法由信息技术部负责解释和修订,自发文之日起开始执行。
第2章角色与职责 第六条配置管理工程师(CME):负责制定配置管理计划;建立并维护配置库;实施基线建立、基线变更、产品发布;协调和实施配置审计;维护配置管理工作记录;发布配置状态报告;根据配置项目的干系人和影响范围来制定配置计划,提出配置管理的分类和时间。配置管理工程师应当由专职人员担任,其主要工作为配置管理,其他工作量不应影响到配置管理的正常进行。 第七条配置管理委员会(CCB):负责批准基线的建立和变更,批准从基线区建立产品。CCB的组成可分多级,每级CCB负责一种或者多种类型的基线,在信息系统策划时就应当确定CCB成员和职责;CCB成员可由项目负责人、信息系统管理人员、质量保证人员、测试负责人组成,人数不少于5人,必要时可由信息技术部副总经理或总经理以及信息系统业务归口管理部门代表参与决策和评审。评审的结果应该是CCB全体人员一致同意通过才能决定。 第八条信息系统管理人员:负责参与识别配置项,向CME提供接受配置管理的工作产品,参与创建基线和产品,负责产品的发布。 第九条项目组/项目成员:负责向CME提供接受配置管理的工作产品,配合配置管理工作的要求完成相应的活动。成员组成可以是各个与配置项相关的技术开发或维护人员,也可以是业务管理人员。 第十条质量保证工程师: 负责审计和评审配置管理活动和工作产品,参与配置管理的变更审批和基线确定。成员应当由信息系统维护技术人员和业务归口管理部门人员组成。
查看交换机的MAC地址表 1 实验目的: 进一步了解交换机的MAC地址和端口的对应。 2 网络拓扑 3 试验环境: 交换机和HUB相连,在一个网段192.168.0.0/24,计算机的Ip地址由DHCP分配。 4 试验要求 查看交换机的MAC地址表。 5 基本配置步骤 5.1在Switch0上 Switch#show mac-address-table Mac Address Table
------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 发现MAC地址表是空的。最初交换机并不知道那那个接口对应着那个MAC地址。 5.2在计算机PC2上 PC>ping 192.168.0.11 Pinging 192.168.0.11 with 32 bytes of data: Reply from 192.168.0.11: bytes=32 time=8ms TTL=128 Reply from 192.168.0.11: bytes=32 time=9ms TTL=128 Reply from 192.168.0.11: bytes=32 time=9ms TTL=128 Reply from 192.168.0.11: bytes=32 time=8ms TTL=128 Ping statistics for 192.168.0.11: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:
信息系统变更、发布、配置管理制度 第一条为规范信息系统变更、发布、配置与维护管理,提高软件管理水平,优化软件变更与维护管理流程,特制定本制度。 第二条信息系统变更、发布、配置工作可分为下面三类类型:功能完善维护、系统缺陷修改、统计报表生成。功能完善维护指根据业务部门的需求,对信息系 统进行的功能完善性或适应性维护;系统缺陷修改指对一些系统功能或使用 上的问题所进行的修复,这些问题是由于系统设计和实现上的缺陷而引发 的;统计报表生成指为了满足业务部门统计报表数据生成的需要,而进行的 不包含在应用系统功能之内的数据处理工作。 第三条信息系统变更、发布、配置工作以任务形式由需求方(一般为业务部门)和维护方(计算机中心和软件厂商)协作完成。信息系统变更、发布、配置过 程类似软件开发、发布、配置,大致可分为四个阶段:任务提交和接受、任 务实现、任务验收和程序下发上线。 第四条需求部门提出系统需求,并将需求整理成《信息系统变更申请表》(附件一),由部门负责人审批后提交给计算机中心。 第五条信息中心负责接受需求并上报给信息主管院长。主管院长分析需求,并提出系统变更建议。计算机中心根据变更建议审批《信息变更申请表》。 第六条信息中心根据部门提供的需求与软件开发商联系协同实现信息系统变更需求,产生供发布的程序。 第七条信息中心组织相关业务部门的信息系统最终用户对系统程序变更进行测试。第八条信息系统变更程序测试完成后,由计算机中心配置完善信息系统,正式发布
并通知需求部门。 第九条信息中心出具信息系统变更验收报告(附件二),需求部门签字验收。 附件一信息系统变更申请表 信息系统变更申请表
PMP中关于软件配置管理系统和配置管理项 关于配置管理系统和配置管理项: 配置管理系统的定义是 整个项目管理系统的一个子系统。它由一系列正式的书面程序组成,用于对以下工作 提供技术和管理方面的指导与监督:识别并记录产品、成果、服务或部件的功能特征和物 理特征;控制对上述特征的任何变更;记录并报告每一项变更及其实施情况;支持对产品、成果或部件的审查,以确保其符合要求。该系统包括文件和跟踪系统,并明确了为核准和 控制变更所需的批准层次。 配置管理系统的作用是 1. 识别产品和组成部分功能和属性 2. 控制上述特征的变更 3. 记录每个变更实施情况 4. 辅助审核,核实是否符合要求 在项目中,使用包含变更控制过程的配置管理系统的目标是 1. 建立一种先进的方法,以便规范地识别和提出对既定基准的变更,并评估变更的价值和有效性; 2. 通过分析各项变更的影响,为持续验证和改进项目创造机会; 3. 建立一种机制,以便项目管理团队规范地向有关干系人沟通变更的批准和否决情况。 配置管理项 1. 从哪里来(谁创建,什么时候,为什么) 2. 目前在哪里 3. 将到哪里去 以下是我的理解 在PMP中,有配置管理系统,但这个系统不是我们一向认为的某个特定的软件系统 之类的。是一种可以有系统管理,如果没有系统管理,人工通过文件或者架构设置工作流 程都可以进行管理的系统。所以在PMP中的所有系统,都可以这样理解。(IT行业的同学,通常会理解为一个软件系统) 配置管理系统如何理解,就要看它存在的目的。它存在的目的就是为了管理变更。所以,配置管理系统里面最重要的就是变更管理系统(这个是PMP的重点)。而配置管理 系统比变更管理系统多出一部分,多出来的这部分是什么,就是配置管理系统区别于变更 管理系统的部分。顾名思义,变更管理系统,只是负责管理变更,那么没有变更前,是怎 样的呢,这个就是配置惯例系统负责的工作。 举个例子: 一个房屋装修项目,我已经确定了图纸和材料。我确定了我的窗户都是推开的窗。所以,窗户的大小,材料,和推开方式,就是某个配置项的内容。(识别产品和组成部分功 能和属性)
实验四(1)管理MAC地址转发表 4.1实验拓扑图 交换机基本配置实验拓扑图如图3-1所示 4.2 实验目的 (1)了解交换机的作用。 (2)通过MAC地址转发表,理解交换机的基于MAC地址转发表的工作过程。 (3)掌握添加静态MAC地址的方法。 4.3实验步骤 (1)在设备间通信前,查看交换机的MAC地址转发表,结果为空,如图4-1所示。
图4-1 PC1地址信息 (2)在PC1和PC2计算机命令提示符下,用命令“ipconfig /all”分别查看机器网卡的MAC地址,如图4-2、4-3所示: 图4-2 PC1地址信息 图4-3 PC2地址信息 (3)在主机PC1上用ping命令对主机PC2发送ICMP包后,再查看交换机的MAC地址转发表,如图4-4、图4-5所示 图4-4 PC1向PC2发送ICMP包
图4-5 PC1和PC2通信后的MAC地址表 MAC地址表的形成过程是交换机学习数据帧源地址的过程。用ping 命令对主机PC2发送信息时,由于MAC地址转发表为空,没有匹配任何信息,所以交换机向除源端口外的所有其他端口广播此帧,最终PC2会收到该帧。交换机学习到了该帧的源地址(0060.4785.2184),则将0060.4785.2184 Fa0/1这样一条映射关系加入到了转发表中。PC2响应PC1的ping包也是同样的过程。 (4)设置静态MAC地址,命令如图4-6所示。 图4-6 设置静态MAC地址 (5)查看MAC地址转发表,观察设置了静态MAC地址后的结果,显示结果如图4-7所示。 图4-7 设置静态MAC地址之后的MAC地址表 需要注意的是,即使将对应该静态MAC地址的设备PC2拆除了,目的
交换机MAC地址表 交换机在转发数据时,需要根据MAC 地址表来做出相应转发,如果目标主机的 MAC 地址不在表中,交换机将收到的数据包在所有活动接口上广播发送。当交换机 上的接口状态变成UP 之后,将动态从该接口上学习MAC 地址,并且将学习到的 MAC 地址与接口相对应后放入MAC 地址表。 交换机的MAC 地址表除了动态学习之外,还可以静态手工指定,并且在指定 MAC 地址时,还可以指定在某个VLAN 的某个接口收到相应的MAC 后,将数据包作 丢弃处理。 注:交换机上,一个接口可以对应多个MAC 地址,地址的数量无上限,但不超 过交换机所支持的MAC 地址最大数量。 一个MAC 地址可以同时出现在交换机的多个接口上,但此特性并不被所有型号 的交换机支持,在某些型号的交换机上,一个MAC 地址只能出现在一个接口上,如 果出现在另外一个接口上,将会报错,并且数据转发也会出错。
1.查看交换机MAC 地址表 (1)查看接口F0/1 的MAC 地址表 Switch#sh mac-address-table interface f0/1 Mac Address Table ------------------------------------------- Vlan Mac Address ---- ----------- -------- ----- 0013.1a2f.0680 DYNAMIC Fa0/1 Type Ports 2 Total Mac Addresses for this criterion: 1 Switch# 说明:交换机从F0/1 上学习到了MAC 地址0013.1a2f.0680,并且说明是动态学 习到的。 2.手工静态指定MAC 地址 (1)手工静态指定MAC 地址
IT运维配置管理系统项目 建议书 xx中辰华创科技有限公司2014年7月 目录 一、IT运维配置管理背景 (3) 二、IT运维配置管理现状 (4) 三、解决方案 (8) 四、IT运维配置管理应用效果 (10) 4.1实现集中帐号管理,降低管理费用 (10) 4.2实现集中身份认证和访问控制,避免冒名访问,提高访问安全性 (10) 4.3实现集中授权管理,简化授权流程,减轻管理压力 (11) 4.4实现单点登录,规范操作过程,简化操作流程 (11) 4.5实现实名运维审计,满足安全规范要求 (12) 五、总结..................................................................................................................................... . (12)
一、IT运维配置管理背景 随着各行业业务的迅速发展,各种经营支撑系统不断增加,网络规模迅速扩大,支撑系统中有大量的网络设备、主机和数据库等IT系统,它们分别属于不同的部门和不同的业务系统。目前各IT系统都有一套独立的用户管理、认证、授权和审计机制,由相应的管理员负责维护和管理。当维护人员同时对多个系统进行维护时,设备的权限管理复杂度会成倍增加,经常出现共享帐号,弱口令帐号,授权不清,访问控制不严,操作审计不全等问题,降低了核心设备和关键设备的安全性,给单位或组织的生产和运营带来巨大风险。 原有的由各个系统分散的进行用户、认证、权限、审计的管理模式造成了在业务管理和安全之间的失衡,已经成为业务发展的瓶颈之一,不能满足单位目前及未来业务发展的要求。 IT运维配置管理系统针对单位内部的网络设备和服务器进行保护,对此类资产的常用访问方式进行监控和审计。例如对字符终端、图形终端等访问方式进行监控和审计,实现对用户运维过程的标准化管理,满足单位内部网络对核心资源的访问安全的要求。二、IT运维配置管理现状 目前,单位或机构的运维管理有以下三个特点: 关键的核心业务都部署于Unix和Windows服务器上。 应用的复杂度决定了多种角色交叉管理。 基于这些现状,在管理中存在以下突出问题: 1.使用共享帐号的安全隐患: 单位的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。 如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。由于共享帐号是多人共同使用,发生问题后,无法准确定位恶
MAC地址表配置
目录 目录 第1章 MAC地址表配置 (1) 1.1 MAC地址配置任务列表 (1) 1.2 MAC地址配置任务 (1) 1.2.1 配置静态MAC地址 (1) 1.2.2 配置MAC地址老化时间 (1) 1.2.3 显示MAC地址表 (2) 1.2.4 清除动态MAC地址 (2)
第1章 MAC地址表配置 1.1 MAC地址配置任务列表 本章节主要描述85系列交换机上配置MAC地址表的功能: z配置静态MAC地址 z配置MAC地址老化时间 z显示MAC地址表 z清除动态MAC地址 1.2 MAC地址配置任务 1.2.1 配置静态MAC地址 静态MAC地址表项指的是那些不能够被交换机老化掉的MAC地址表项,它只能被 人工的删除掉。根据交换机使用过程中的实际需要,可以添加和删除静态MAC地址。 进入特权模式下按下列步骤来添加和删除一个静态MAC地址。 命令目的 configure 进入全局配置模式 [no] mac address-table static mac-addr vlan vlan-id interface interface-id 添加/删除一个静态MAC地址表项。mac-addr为MAC地址; vlan-id为VLAN号,有效范围1~4094 ;interface-id为端口名称。 exit 退回到管理模式。 write 保存配置。 1.2.2 配置MAC地址老化时间 当一个动态的MAC地址在指定的老化时间内没有被使用时,交换机将把该MAC地 址从MAC地址表中删除。交换机MAC地址的老化时间可以根据需要进行配置,默 认的老化时间为300秒。 进入特权模式下按下列步骤来配置MAC地址的老化时间。 命令目的 configure 进入全局配置模式。
机电管理系统性能测试系统 配置管理计划
这里填写公司名称 文档编号:XXXXXXXX-XXX-XXX 版本号:1.00 产品名称:机电管理系统性能测试系统 文档名称:配置管理计划 这里填写公司地址、联系方式等
目录 1. 引言 0 1.1 目的 0 1.2 术语定义 0 1.3 参考资料 0 2. 软件配置 (1) 2.1 软件配置环境 (1) 2.2 软件配置项 (1) 2.3 配置管理员 (2) 3. 软件配置管理计划 (3) 3.1 建立示例配置库 (3) 3.2 配置标识管理 (5) 3.3 配置库控制 (6) 3.4 配置的检查和评审 (7) 3.5 配置库的备份 (8) 3.6 配置管理计划的修订 (8) 3.7 配置管理计划附属文档 (8) 4. 里程碑 (10) 附录1 文档命名规定 (11) 1、受控配置库文件命名规则 (11) 2、非受控配置库文件命名规则 (11) 3、提交文档文件命名规则 (11) 附录2文档编码规范 (12) 附录3 帐号及权限管理 (13) 附录4 配置库使用规定 (15) 文档修改记录 (16)
1. 引言 1.1 目的 本文档目的在于机电管理系统性能测试系统进行软件配置管理,提高软件质量,降低软件开发成本。 本文档内容主要参考研发中心相关的ISO程序和制度文档,并在这基础上整理成适合本项目的软件配置管理,为项目经理、配置管理员及相关人员提供日常的配置管理操作步骤。 1.2 术语定义 软件配置管理:简称SCM(Software Configuration Management的缩写),是在项目开发中,标识、控制和管理软件变更的一种管理。配置管理的使用取决于项目规模和复杂性以及风险水平。软件的规模越大,配置管理就显得越重要。 基线:(BaseLine) 是项目储存库中每个工件版本在特定时期的一个“快照”。它提供一个正式标准,随后的工作基于此标准,并且只有经过授权后才能变更这个标准。建立一个初始基线后,以后每次对其进行的变更都将记录为一个差值,直到建成下一个基线。 配置管理员:项目组中负责配置管理工作的角色,该角色可以兼职。在某一开发阶段通过评审或某一质量检查点通过审核后,配置管理员负责统一添加或修改相关文档的最新有效版本以及审批人签字。 配置标识:(Configuration Identification)对软件项目在开发过程中的资源进行标识,以便识别。 配置检查:(Configuration Audit)对软件配置管理过程中的行动进行检查。 1.3 参考资料 《研发中心配置管理制度》 《产品的标识与可追溯性程序》 《开发手册》
仅供参考[整理] 安全管理文书 操作系统安全配置管理办法 日期:__________________ 单位:__________________ 第1 页共5 页
操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理,提高重要信息系统的安全运行维护水平,规范化操作,确保信息系统安全稳定可靠运行,特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括:AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[2007]43号信息安全等级保护管理办法 --GB/T21028-2007信息安全技术服务器安全技术要求 --GB/T20272-2006信息安全技术操作系统安全技术要求 --GB/T20269-2006信息安全技术信息系统安全管理要求 --GB/T22239-2008信息安全技术信息系统安全等级保护基本要求--GB/T22240-2008信息安全技术信息系统安全等级保护定级指南3支持文件 第 2 页共 5 页
《IT主流设备安全基线技术规范》(Q/CSG11804-2010) 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员,负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置,应由终端管理员负责进行配置,或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理,变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善,由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型,不同的应用环境及不同的安全等级,结合信息系统和终端安全特性,制定合适的操作系统安全配置,以采取合适的安全控制措施。 5.2根据应用系统实际情况,在总体安全要求的前提下,操作系统的安全配置应满足《IT主流设备安全基线技术规范》(Q/CSG11804-2010)文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 6附则 第 3 页共 5 页