網絡設備安全網絡設備安全目錄1.1網絡基礎1.2典型網絡設備1.3網絡設備安全目錄1.1網絡基礎網絡安全問題事發的5月18日22時左右，域名解析服務器DNSPod主站及多個DNS服務器遭受超過10G流量的惡意攻擊，導致DNSPod的6臺解析服務器開始失效，大量網站開始間歇性無法訪問。從2009年5月19日21：06開始，江蘇、安徽、廣西、海南、甘肅、浙江等6個省份的中國電信網絡用戶發現無法登錄網絡，與此同時，電信的客服部門源源不斷地開始接到客戶的投訴。5月20日下午，根據工業和信息化部通信保障局發布的公告，確認該事件原因是暴風網站域名解析系統受到網絡攻擊出現故障，導致電信運營企業的遞歸域名解析服務器收到大量異常請求而引發擁塞。網絡安全問題事發的5月18日22時左右，域名解析服務器DNS網絡為何如此脆弱？如何保障網絡的安全？網絡為何如此脆弱？如何保障網絡的安全？1.1網絡基礎1.1網絡基礎1.1.1網絡的概念計算機網絡是通過通信線路和通信設備將多個具有獨立功能的計算機系統連接起來，按照網絡通信協議實現資源共享和信息傳遞的系統。1.1.1網絡的概念1.1.2通信協議的概念通信協議是為使計算機之間能夠正確通信，而制定的通信規則、約定和標準。在開始通信之前需要確定的事情：通信的發送方、接收方一致的通信方法相同的語言注意傳遞的速度和時間證實或確認要求1.1.2通信協議的概念通信協議是為使計算機之間能夠正確通語義發送方、接收方語法雙方一致同意的通信方法通信語言和語法時序傳遞的速度和時間證實或確認要求通信協議語義語法時序通信協議網絡通信協議的問題：計算機間通信僅靠一個通信協議無法完成?。?！解決方法：網絡分層各層內使用自己的通信協議完成層內通信；各層間通過接口提供服務；各層可以采用最適合的技術來實現；各層內部的變化不影響其他層。網絡通信協議的問題：計算機間通信僅靠一個通信協議無法完成！！定義傳輸介質、信號波形（電壓、電流）等，實現比特流傳輸。定義差錯控制、流量控制機制如何在通信網絡間選擇路由端到端可靠數據傳輸建立維護通信雙方的會話連接信息表示方法（數據格式）為應用提供網絡通信服務1.1.3網絡體系結構定義傳輸介質、信號波形（電壓、電流）等，實現比特流傳輸。定義按照TCP/IP模型搭建計算機網絡時，在計算機上需要安裝配置的組件。3.計算機上安裝的網卡（或者其它通信接口）、網線。2.計算機上的TCP/IP通信程序，一般隨操作系統安裝，但需要用戶配置用于網絡路由的地址。1.計算機上的網絡應用程序，例如IE瀏覽器、QQ程序這是計算機使用TCP/IP模型進行通信的標志按照TCP/IP模型搭建計算機網絡時，3.計算機上安裝的網卡AH1.1.4TCP/IP網絡中數據傳輸過程計算機A計算機B電子郵件數據AHAHAH數據段數據包數據幀比特流封裝/重組AH1.1.4TCP/IP網絡中數據傳輸過程計算機A計算機1.2典型網絡設備1.2典型網絡設備使用TCP/IP模型通信的網絡設備路由器企業級的二層交換機桌面二層交換機使用TCP/IP模型通信的網絡設備路由器企業級的二層交換機桌計算機A計算機B計算機A計算機B計算機A與計算機B之間通信的數據傳輸過程計算機A計算機B計算機A計算機B計算機A與計算機B之間通信的1.2.1交換機交換機可以將LAN細分為多個單獨的沖突域，其每個端口都代表一個單獨的沖突域，為該端口連接的節點提供完全的介質帶寬。1.2.1交換機交換機可以將LAN細分為多個單獨的沖突交換機的工作原理選擇性轉發交換機的工作原理以太網LAN交換機采用五種基本操作來實現其用途：獲取過期泛洪選擇性轉發過濾1以太網LAN交換機采用五種基本操作來實現其用途：1交換機的分類按是否可配置分類交換機的分類按是否可配置分類按端口速率分類10Mbps、100Mbps、1000Mbps按是否可物理擴展分類按端口速率分類按轉發方式分類按轉發方式分類按照工作層次分類：二層交換機三層交換機按照工作層次分類：VLAN的概念3rdFloor2ndFloor1stFloor計算機系郵政系金融系AVLAN=ABroadcastDomain=LogicalNetwork(Subnet)VLAN的概念3rdFloor2ndFloor1stFVLAN10VLAN20VLAN30物理拓撲邏輯拓撲（3臺交換機）三個廣播域一個廣播域VLAN10VLAN20VLAN30物理拓撲邏輯拓撲（3臺交1.2.2路由器路由器是專門用于路由的計算機為數據報文選擇到達目的地址的最佳路徑將數據報文轉發到正確的輸出端口1.2.2路由器路由器是專門用于路由的計算機路由器工作在網絡層，實現不同網段之間的通信。路由器工作在網絡層，實現不同網段之間的通信。路由器核心：路由表目的地址、子網掩碼下一跳地址、輸出端口注意：路由器的路由描述方式是局部的RTB#showiproute--------outputomitted--------/24issubnetted,1subnetsR[120/1]via,00:00:25,Serial0/1/24issubnetted,1subnetsCisdirectlyconnected,Serial0/1/24issubnetted,1subnetsCisdirectlyconnected,Serial0/0/24issubnetted,1subnetsO[110/65]via,00:00:13,Serial0/0路由器核心：路由表RTB#showiproute[RTB]displayiprouting-tableRoutingTables:PublicDestinations:10Routes:10Destination/MaskProtoPreCostNextHopInterface/24RIP1001S2/0/24Direct00S2/0/32Direct00S2/0/32Direct00InLoop0/24Direct00S1/0/32Direct00InLoop0/32Direct00S1/0/24OSPF101563S1/0/8Direct00InLoop0/32Direct00InLoop0[RTB]displayiprouting-table路由器和三層交換機的比較第3層交換機可以像專用路由器一樣在不同的LAN網段之間路由數據包。專用路由器在支持WAN接口卡(WIC)方面更加靈活，這使得它成為用于連接WAN的首選設備，而且有時是唯一的選擇。第3層交換機不能完全取代網絡中的路由器。路由器和三層交換機的比較第3層交換機可以像專用路由器一樣1.2.3典型網絡拓撲結構1.2.3典型網絡拓撲結構在匯聚層交換機上進行VLAN的創建，并在接入層交換機上通過將接入端口指定到相應的VLAN中來按部門劃分廣播域，由匯聚層交換機實現其下的接入層各VLAN之間的路由。在匯聚層交換機和核心層交換機之間運行動態路由選擇協議，由核心層交換機實現整個局域網的路由。對于帶寬需求較高的部分，在接入層交換機和匯聚層交換機之間進行鏈路聚合。對網絡可用性要求較高的部分，進行設備和鏈路的冗余，保障可用性的同時，通過負載均衡提高網絡通信效率。在匯聚層交換機上進行VLAN的創建，并在接入層交換機上通過將1.3網絡設備安全1.3網絡設備安全1.3.1網絡設備自身安全保障禁止不必要的網絡服務禁止HTTP服務禁止DNS服務禁止IP源路由選擇禁止ICMP重定向禁止ARP代理服務禁止直接廣播禁止CDP禁止SNMP協議服務1.3.1網絡設備自身安全保障禁止不必要的網絡服務關閉不使用的接口或端口使用SSH代替Telnet進行設備遠程訪問管理嚴格控制遠程訪問用戶的權限對于遠程訪問進行嚴格的限制交換機管理VLAN與業務VLAN相獨立關閉不使用的接口或端口1.3.2交換機數據安全靜態配置端口類型，避免DTP協商導致的VLAN跳躍攻擊對于Trunk鏈路，明確配置其能傳輸的VLAN數據。對于CISCO交換機，盡量不要使用VTP協議功能。1.3.2交換機數據安全靜態配置端口類型，避免DTP協商1.3.3路由協議安全RIP協議安全配置抑制接口配置MD5認證OSPF協議安全配置MD5認證1.3.3路由協議安全RIP協議安全1.3.4局域網安全AAA認證Authentication：認證，對訪問網絡的用戶的身份進行認證，判斷訪問者是否為合法的用戶；Authorization：授權，為認證通過的不同用戶賦予不同的權限，限制用戶可以訪問的資源和使用的服務；Accounting：計費，用來記錄用戶的操作和使用的網絡資源，包括使用的服務類型、起始時間和數據流量等，在計費的同時對網絡安全情況進行監控。1.3.4局域網安全AAA認證IEEE802.1x技術在以太網接入設備的端口一級對所接入的設備進行認證和控制。在應用了IEEE802.1x的交換機端口上，如果該端口連接的終端設備能夠通過認證，就可以訪問網絡中的資源；而如果不能通過認證，則無法訪問網絡中的資源。IEEE802.1x技術端口安全技術基于MAC地址對網絡接入進行控制的安全機制，它通過定義各種端口安全模式，讓網絡設備的端口學習到該端口下的合法的終端MAC地址；通過檢測端口收到的數據幀中的源MAC地址來控制非授權設備對網絡的訪問；通過檢測從端口發出的數據幀中的目的MAC地址地址來控制對非授權設備的訪問。端口安全模式noRestrictions模式autolearn模式secure模式端口安全技術端口綁定技術將用戶的IP地址和MAC地址綁定到指定的交換機端口上，使交換機只對從相應端口收到的指定IP地址和指定MAC地址的數據報文進行轉發，從而實現對端口轉發的報文進行過濾控制，增強端口的安全性，實現IP源防護（IPSourceGuard，IPSG）功能。交換機上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、IP+MAC+VLAN等六種綁定表項的組合，因此它既支持IP+MAC的綁定，也支持單獨只綁定IP地址或單獨只綁定MAC地址。端口綁定技術DHCPSnooping技術保證客戶端從合法的DHCP服務器獲取IP地址。將連接DHCP服務器的端口指定為信任端口，而將其它的端口指定為不信任端口來保證客戶端從合法的DHCP服務器獲取IP地址。在不信任端口上配置DHCP報文限速功能來防范基于DHCP請求的DoS攻擊。監聽DHCP報文，記錄客戶端的IP地址與MAC地址。監聽DHCP-REQUEST報文和從信任端口上收到的DHCP-ACK報文，記錄客戶端的MAC地址以及動態獲得的IP地址，并將其保存到DHCPSnooping綁定表中。通過讀取DHCPSnooping綁定表中表項的內容可以生成動態端口綁定表項，從而實現動態IP地址與端口的綁定。DHCPSnooping技術終端準入控制（EnduserAdmissionDomination，EAD）終端準入控制（EnduserAdmissionDomi39、把生活中的每一天，都當作生命中的最后一天。

40、機不可失，時不再來。

41、就算全世界都否定我，還有我自己相信我。

42、不為模糊不清的未來擔憂，只為清清楚楚的現在努力。

43、付出才會杰出。

44、成功不是憑夢想和希望，而是憑努力和實踐。

45、成功這件事，自己才是老板！

46、暗自傷心，不如立即行動。

47、勤奮是你生命的密碼，能譯出你一部壯麗的史詩。

48、隨隨便便浪費的時間，再也不能贏回來。

49、不要輕易用過去來衡量生活的幸與不幸！每個人的生命都是可以綻放美麗的，只要你珍惜。

50、給自己定目標，一年，兩年，五年，也許你出生不如別人好，通過努力，往往可以改變%的命運。破罐子破摔只能和懦弱做朋友。

51、當眼淚流盡的時候，留下的應該是堅強。

52、上天完全是為了堅強你的意志，才在道路上設下重重的障礙。

53、沒有播種，何來收獲；沒有辛苦，何來成功；沒有磨難，何來榮耀；沒有挫折，何來輝煌。

54、只要路是對的，就不怕路遠。

55、生命對某些人來說是美麗的，這些人的一生都為某個目標而奮斗。

56、浪花總是著揚帆者的路開放的。

74、失敗是什么？沒有什么，只是更走近成功一步；成功是什么？就是走過了所有通向失敗的路，只剩下一條路，那就是成功的路。

75、要改變命運，首先改變自己。

76、我們若已接受最壞的，就再沒有什么損失。

77、在生活中，我跌倒過。我在嘲笑聲中站起來，雖然衣服臟了，但那是暫時的，它可以洗凈。

78、沒有壓力的生活就會空虛；沒有壓力的青春就會枯萎；沒有壓力的生命就會黯淡。

79、人生就像一杯沒有加糖的咖啡，喝起來是苦澀的，回味起來卻有久久不會退去的余香。

80、最困難的時候，就是距離成功不遠了。

81、知道自己要干什么，夜深人靜，問問自己，將來的打算，并朝著那個方向去實現。而不是無所事事和做一些無謂的事。

82、出路出路，走出去了，總是會有路的。困難苦難，困在家里就是難。

83、人生最大的喜悅是每個人都說你做不到，你卻完成它了！

84、勇士搏出驚濤駭流而不沉淪，懦夫在風平浪靜也會溺水。

85、生活不是林黛玉，不會因為憂傷而風情萬種。

86、唯有行動才能改造命運。

87、即使行動導致錯誤，卻也帶來了學習與成長；不行動則是停滯與萎縮。

88、光說不干，事事落空；又說又干，馬到成功。

89、對于每一個不利條件，都會存在與之相對應的有利條件。

90、人的潛能是一座無法估量的豐富的礦藏，只等著我們去挖掘。

91、要成功，不要與馬賽跑，要騎在馬上，馬上成功。

2、虛心使人進步，驕傲使人落后。

3、謙虛是學習的朋友，自滿是學習的敵人。

4、若要精，人前聽。

5、喜歡吹噓的人猶如一面大鼓，響聲大腹中空。

6、強中更有強中手，莫向人前自夸口。

7、請教別人不折本，舌頭打個滾。

8、人唯虛，始能知人。滿招損，謙受益。滿必溢，驕必敗。39、把生活中的每一天，都當作生命中的最后一天。43網絡設備安全網絡設備安全目錄1.1網絡基礎1.2典型網絡設備1.3網絡設備安全目錄1.1網絡基礎網絡安全問題事發的5月18日22時左右，域名解析服務器DNSPod主站及多個DNS服務器遭受超過10G流量的惡意攻擊，導致DNSPod的6臺解析服務器開始失效，大量網站開始間歇性無法訪問。從2009年5月19日21：06開始，江蘇、安徽、廣西、海南、甘肅、浙江等6個省份的中國電信網絡用戶發現無法登錄網絡，與此同時，電信的客服部門源源不斷地開始接到客戶的投訴。5月20日下午，根據工業和信息化部通信保障局發布的公告，確認該事件原因是暴風網站域名解析系統受到網絡攻擊出現故障，導致電信運營企業的遞歸域名解析服務器收到大量異常請求而引發擁塞。網絡安全問題事發的5月18日22時左右，域名解析服務器DNS網絡為何如此脆弱？如何保障網絡的安全？網絡為何如此脆弱？如何保障網絡的安全？1.1網絡基礎1.1網絡基礎1.1.1網絡的概念計算機網絡是通過通信線路和通信設備將多個具有獨立功能的計算機系統連接起來，按照網絡通信協議實現資源共享和信息傳遞的系統。1.1.1網絡的概念1.1.2通信協議的概念通信協議是為使計算機之間能夠正確通信，而制定的通信規則、約定和標準。在開始通信之前需要確定的事情：通信的發送方、接收方一致的通信方法相同的語言注意傳遞的速度和時間證實或確認要求1.1.2通信協議的概念通信協議是為使計算機之間能夠正確通語義發送方、接收方語法雙方一致同意的通信方法通信語言和語法時序傳遞的速度和時間證實或確認要求通信協議語義語法時序通信協議網絡通信協議的問題：計算機間通信僅靠一個通信協議無法完成?。?！解決方法：網絡分層各層內使用自己的通信協議完成層內通信；各層間通過接口提供服務；各層可以采用最適合的技術來實現；各層內部的變化不影響其他層。網絡通信協議的問題：計算機間通信僅靠一個通信協議無法完成??！定義傳輸介質、信號波形（電壓、電流）等，實現比特流傳輸。定義差錯控制、流量控制機制如何在通信網絡間選擇路由端到端可靠數據傳輸建立維護通信雙方的會話連接信息表示方法（數據格式）為應用提供網絡通信服務1.1.3網絡體系結構定義傳輸介質、信號波形（電壓、電流）等，實現比特流傳輸。定義按照TCP/IP模型搭建計算機網絡時，在計算機上需要安裝配置的組件。3.計算機上安裝的網卡（或者其它通信接口）、網線。2.計算機上的TCP/IP通信程序，一般隨操作系統安裝，但需要用戶配置用于網絡路由的地址。1.計算機上的網絡應用程序，例如IE瀏覽器、QQ程序這是計算機使用TCP/IP模型進行通信的標志按照TCP/IP模型搭建計算機網絡時，3.計算機上安裝的網卡AH1.1.4TCP/IP網絡中數據傳輸過程計算機A計算機B電子郵件數據AHAHAH數據段數據包數據幀比特流封裝/重組AH1.1.4TCP/IP網絡中數據傳輸過程計算機A計算機1.2典型網絡設備1.2典型網絡設備使用TCP/IP模型通信的網絡設備路由器企業級的二層交換機桌面二層交換機使用TCP/IP模型通信的網絡設備路由器企業級的二層交換機桌計算機A計算機B計算機A計算機B計算機A與計算機B之間通信的數據傳輸過程計算機A計算機B計算機A計算機B計算機A與計算機B之間通信的1.2.1交換機交換機可以將LAN細分為多個單獨的沖突域，其每個端口都代表一個單獨的沖突域，為該端口連接的節點提供完全的介質帶寬。1.2.1交換機交換機可以將LAN細分為多個單獨的沖突交換機的工作原理選擇性轉發交換機的工作原理以太網LAN交換機采用五種基本操作來實現其用途：獲取過期泛洪選擇性轉發過濾1以太網LAN交換機采用五種基本操作來實現其用途：1交換機的分類按是否可配置分類交換機的分類按是否可配置分類按端口速率分類10Mbps、100Mbps、1000Mbps按是否可物理擴展分類按端口速率分類按轉發方式分類按轉發方式分類按照工作層次分類：二層交換機三層交換機按照工作層次分類：VLAN的概念3rdFloor2ndFloor1stFloor計算機系郵政系金融系AVLAN=ABroadcastDomain=LogicalNetwork(Subnet)VLAN的概念3rdFloor2ndFloor1stFVLAN10VLAN20VLAN30物理拓撲邏輯拓撲（3臺交換機）三個廣播域一個廣播域VLAN10VLAN20VLAN30物理拓撲邏輯拓撲（3臺交1.2.2路由器路由器是專門用于路由的計算機為數據報文選擇到達目的地址的最佳路徑將數據報文轉發到正確的輸出端口1.2.2路由器路由器是專門用于路由的計算機路由器工作在網絡層，實現不同網段之間的通信。路由器工作在網絡層，實現不同網段之間的通信。路由器核心：路由表目的地址、子網掩碼下一跳地址、輸出端口注意：路由器的路由描述方式是局部的RTB#showiproute--------outputomitted--------/24issubnetted,1subnetsR[120/1]via,00:00:25,Serial0/1/24issubnetted,1subnetsCisdirectlyconnected,Serial0/1/24issubnetted,1subnetsCisdirectlyconnected,Serial0/0/24issubnetted,1subnetsO[110/65]via,00:00:13,Serial0/0路由器核心：路由表RTB#showiproute[RTB]displayiprouting-tableRoutingTables:PublicDestinations:10Routes:10Destination/MaskProtoPreCostNextHopInterface/24RIP1001S2/0/24Direct00S2/0/32Direct00S2/0/32Direct00InLoop0/24Direct00S1/0/32Direct00InLoop0/32Direct00S1/0/24OSPF101563S1/0/8Direct00InLoop0/32Direct00InLoop0[RTB]displayiprouting-table路由器和三層交換機的比較第3層交換機可以像專用路由器一樣在不同的LAN網段之間路由數據包。專用路由器在支持WAN接口卡(WIC)方面更加靈活，這使得它成為用于連接WAN的首選設備，而且有時是唯一的選擇。第3層交換機不能完全取代網絡中的路由器。路由器和三層交換機的比較第3層交換機可以像專用路由器一樣1.2.3典型網絡拓撲結構1.2.3典型網絡拓撲結構在匯聚層交換機上進行VLAN的創建，并在接入層交換機上通過將接入端口指定到相應的VLAN中來按部門劃分廣播域，由匯聚層交換機實現其下的接入層各VLAN之間的路由。在匯聚層交換機和核心層交換機之間運行動態路由選擇協議，由核心層交換機實現整個局域網的路由。對于帶寬需求較高的部分，在接入層交換機和匯聚層交換機之間進行鏈路聚合。對網絡可用性要求較高的部分，進行設備和鏈路的冗余，保障可用性的同時，通過負載均衡提高網絡通信效率。在匯聚層交換機上進行VLAN的創建，并在接入層交換機上通過將1.3網絡設備安全1.3網絡設備安全1.3.1網絡設備自身安全保障禁止不必要的網絡服務禁止HTTP服務禁止DNS服務禁止IP源路由選擇禁止ICMP重定向禁止ARP代理服務禁止直接廣播禁止CDP禁止SNMP協議服務1.3.1網絡設備自身安全保障禁止不必要的網絡服務關閉不使用的接口或端口使用SSH代替Telnet進行設備遠程訪問管理嚴格控制遠程訪問用戶的權限對于遠程訪問進行嚴格的限制交換機管理VLAN與業務VLAN相獨立關閉不使用的接口或端口1.3.2交換機數據安全靜態配置端口類型，避免DTP協商導致的VLAN跳躍攻擊對于Trunk鏈路，明確配置其能傳輸的VLAN數據。對于CISCO交換機，盡量不要使用VTP協議功能。1.3.2交換機數據安全靜態配置端口類型，避免DTP協商1.3.3路由協議安全RIP協議安全配置抑制接口配置MD5認證OSPF協議安全配置MD5認證1.3.3路由協議安全RIP協議安全1.3.4局域網安全AAA認證Authentication：認證，對訪問網絡的用戶的身份進行認證，判斷訪問者是否為合法的用戶；Authorization：授權，為認證通過的不同用戶賦予不同的權限，限制用戶可以訪問的資源和使用的服務；Accounting：計費，用來記錄用戶的操作和使用的網絡資源，包括使用的服務類型、起始時間和數據流量等，在計費的同時對網絡安全情況進行監控。1.3.4局域網安全AAA認證IEEE802.1x技術在以太網接入設備的端口一級對所接入的設備進行認證和控制。在應用了IEEE802.1x的交換機端口上，如果該端口連接的終端設備能夠通過認證，就可以訪問網絡中的資源；而如果不能通過認證，則無法訪問網絡中的資源。IEEE802.1x技術端口安全技術基于MAC地址對網絡接入進行控制的安全機制，它通過定義各種端口安全模式，讓網絡設備的端口學習到該端口下的合法的終端MAC地址；通過檢測端口收到的數據幀中的源MAC地址來控制非授權設備對網絡的訪問；通過檢測從端口發出的數據幀中的目的MAC地址地址來控制對非授權設備的訪問。端口安全模式noRestrictions模式autolearn模式secure模式端口安全技術端口綁定技術將用戶的IP地址和MAC地址綁定到指定的交換機端口上，使交換機只對從相應端口收到的指定IP地址和指定MAC地址的數據報文進行轉發，從而實現對端口轉發的報文進行過濾控制，增強端口的安全性，實現IP源防護（IPSourceGuard，IPSG）功能。交換機上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、IP+MAC+VLAN等六種綁定表項的組合，因此它既支持IP+MAC的綁定，也支持單獨只綁定IP地址或單獨只綁定MAC地址。端口綁定技術DHCPSnooping技術保證客戶端從合法的DHCP服務器獲取IP地址。將連接DHCP服務器的端口指定為信任端口，而將其它的端口指定為不信任端口來保證客戶端從合法的DHCP服務器獲取IP地址。在不信任端口上配置DHCP報文限速功能來防范基于DHCP請求的DoS攻擊。監聽DHCP報文，記錄客戶端的IP地址與MAC地址。監聽DHCP-REQUEST報文和從信任端口上收到的DHCP-ACK報文，記錄客戶端的MAC地址以及動態獲得的IP地址，并將其保存到DHCPSnooping綁定表中。通過讀取DHCPSnooping綁定表中表項的內容可以生成動態端口綁定表項，從而實現動態IP地址與端口的綁定。DHCPSnooping技術終端準入控制（EnduserAdmissionDomina