【正文】 ， 即定時(shí)關(guān)系和數(shù)據(jù)匹配限制，測(cè)試的結(jié)果可分為通過(guò)、失敗、無(wú)結(jié)果 3 種。路由器是一種復(fù)雜的網(wǎng)絡(luò)互聯(lián)設(shè)備，需要在各個(gè)通信層上實(shí)現(xiàn)多種協(xié)議。例如 ， 相應(yīng)接口的物理層和鏈路層協(xié)議、 IP/ICMP 等互聯(lián)網(wǎng)層協(xié)議、 TCP/UDP 等傳輸層協(xié)議、 Tel/SNMP 等應(yīng)用層協(xié)議和 RIP/OSPF/BGP 等路由協(xié)議。 協(xié)議一致性測(cè)試應(yīng)當(dāng)包含路由器所實(shí)現(xiàn)的所有協(xié)議。由于該測(cè)試內(nèi)容繁多 且 測(cè)試復(fù)雜，在測(cè)試中 ， 可以選擇重要的協(xié)議以及所關(guān)心的內(nèi)容 進(jìn)行 測(cè)試。由于骨干網(wǎng)上 的 路 由 器可能影響 到 全球路由，所以 ， 在路由器測(cè)試中 ， 應(yīng)特別重視路由協(xié)議一致 性測(cè)試 ， 例如 OSPF和 BGP 協(xié)議。由于一致性測(cè)試只能選擇有限測(cè)試?yán)?進(jìn)行 測(cè)試，一般無(wú)法涵蓋協(xié)議 的 所有內(nèi)容。所以 ， 即使 已 通過(guò)測(cè)試也無(wú)法保證設(shè)備 能 完全實(shí)現(xiàn)協(xié)議 的 所有內(nèi)容，所以最好的辦法是在現(xiàn)實(shí)環(huán)境中 進(jìn)行測(cè) 試。路由器一致性測(cè)試一般采用分布式測(cè)試法或遠(yuǎn)端測(cè)試法。 4. 互操作測(cè)試 由于通信協(xié)議、路由協(xié)議非常復(fù)雜 并 且擁有眾多 的 選項(xiàng)， 因此， 實(shí)現(xiàn)同一協(xié)議的路由器并不能保證互通 、 互操作。并且因?yàn)橐恢滦詼y(cè)試 的 能力有限，即使 可以 通過(guò)協(xié)議一致性測(cè)試也未必能保證完全實(shí)現(xiàn)協(xié)議 ， 所以 ， 有必要對(duì)設(shè)備進(jìn)行互操作測(cè)試。 互操作測(cè)試實(shí)際上是將一 致性測(cè)試中所 使 用的儀表替換成需要與之互通 、 互操作的設(shè)備，選擇一些重要且典型的互聯(lián)方式 進(jìn)行 配置，觀察兩 臺(tái) 設(shè)備是否能按照預(yù)期 的計(jì)劃 正常工作 。 5. 穩(wěn)定性、可靠性測(cè)試 路由器的穩(wěn)定性和可靠性很難 進(jìn)行 測(cè)試。一般可以通過(guò)兩種途徑 得 到： (1)廠家通過(guò)關(guān)鍵部件的可靠性以及備份程度 來(lái) 計(jì)算 出 系統(tǒng) 的 可靠性； (2)用戶或廠家通過(guò)大量相同產(chǎn)品 在使用中的故障率 來(lái) 統(tǒng)計(jì)產(chǎn)品 的 穩(wěn)定性和可靠性。當(dāng)然，用戶也可以通過(guò)在一定時(shí)間內(nèi) ， 對(duì)試運(yùn)行結(jié)果的要求來(lái)保證路由器的可靠性與穩(wěn)定性。 6. 網(wǎng)管測(cè)試 網(wǎng)管測(cè)試一般 用于 測(cè)試網(wǎng)管軟件對(duì)網(wǎng)絡(luò) 和 網(wǎng)絡(luò)設(shè)備的 管理能力。由于路由器是 IP 網(wǎng)的核心設(shè)備，所以必須測(cè)試路由器對(duì)網(wǎng)管的支持度。如果路由器附帶 有 網(wǎng)管軟件，可以通過(guò)使用所附帶的網(wǎng)管軟件來(lái)檢查網(wǎng)管軟件所實(shí)現(xiàn)的配置管理、安全管理、性能管理、計(jì) 賬 管理、故障管理、拓?fù)涔芾砗鸵晥D管理等功能。如果路由器不附帶 有 網(wǎng)管軟件，則應(yīng)當(dāng)測(cè)試路由器對(duì) SNMP 協(xié)議實(shí)現(xiàn)的一致性 和 對(duì) MIB 實(shí)現(xiàn)的程度。由于路由器需要實(shí)現(xiàn)的 MIB 非第 2 章 網(wǎng) 絡(luò) 基 礎(chǔ) ? 25 ? 常多，每個(gè) MIB 都包含 有 大量 的 內(nèi)容，很難對(duì) MIB 實(shí)現(xiàn)完全測(cè)試。一般可以通過(guò)抽測(cè)重要的 MIB 項(xiàng)來(lái)檢查路由器對(duì) MIB 的實(shí)現(xiàn)情況。 (3) 簡(jiǎn)答網(wǎng)絡(luò)故障分層檢測(cè)的方法。 答 ： 針對(duì)網(wǎng)絡(luò)的分層結(jié)構(gòu)特點(diǎn)， 在分析和排查網(wǎng)絡(luò)故障時(shí)，應(yīng)充分利用網(wǎng)絡(luò)這種分層的特點(diǎn)，快速準(zhǔn)確地定位并排除故障。 TCP/IP 的層次結(jié)構(gòu)為管理員分析和排查故障提供了非常好的組織方式。由于 其 各層相對(duì)獨(dú)立，按層排查能夠有效地發(fā)現(xiàn)和隔離故障，因而一般使用逐層分析和排查的方法。 逐層排查方式通常有兩種，一種是從低層開(kāi)始排查，適用于物理網(wǎng)絡(luò)不夠成熟穩(wěn)定的情況， 例 如組建新的網(wǎng)絡(luò)、重新調(diào)整網(wǎng)絡(luò)線纜、增加新的網(wǎng)絡(luò)設(shè)備；另一種是從高層開(kāi)始排查，適用于物理網(wǎng)絡(luò)相對(duì)成熟穩(wěn)定的情況， 例 如硬件設(shè)備沒(méi)有變動(dòng)。無(wú)論 使用 哪種方式，最終都能達(dá)到目 標(biāo)，只是解決問(wèn)題的效率有所差別。 具體采用哪種 排查 方式，可根據(jù)具體 地 情況來(lái)選擇。例如，遇到某客戶端不能訪問(wèn)Web 服務(wù)的情況，如果管理員首先去檢查網(wǎng)絡(luò)的連接線纜，就顯得太悲觀了，除非明確知道網(wǎng)絡(luò)線路有所變動(dòng)。比較好的選擇 方法 是直接從應(yīng)用層著手，可以 按照以下方法進(jìn)行 排查：首先檢查客戶端 的 Web 瀏覽器是否正確配置，可 以 嘗試使用瀏覽器訪問(wèn)另一個(gè) Web服務(wù)器 ， 如果 Web 瀏覽器沒(méi)有問(wèn)題，可 以 在 Web 服務(wù)器上測(cè)試 Web 服務(wù)器是否正常運(yùn)行；如果 Web 服務(wù)器沒(méi)有問(wèn)題，再測(cè)試網(wǎng)絡(luò)的連通性。即使是 Web 服務(wù)器問(wèn)題，從底層開(kāi)始逐層 排查也能最終解決問(wèn)題，只是花費(fèi)的時(shí)間太多了。如果碰巧是線路問(wèn)題，從高層開(kāi)始逐層排查也要浪費(fèi)時(shí)間。 假設(shè)現(xiàn)在在公司里網(wǎng)絡(luò)發(fā)生了故障導(dǎo)致無(wú)法上網(wǎng)，你作為一名網(wǎng)管，應(yīng)該如何排除故障。 答：根據(jù)本章介紹的知識(shí)，可以分成以下排錯(cuò)步驟： （ 1）首先，查看無(wú)線路由器， LAN 的燈是否亮綠燈，如是則正常，否則說(shuō)明路由器故障。 （ 2）再查看無(wú)線路由器的 WAN 燈是否亮且亮綠燈，如是說(shuō)明正常，否則說(shuō)明可能是帶寬外線故障或者路由器本身故障。 （ 3）如果以上可能都排除，接下來(lái)需要檢測(cè)交換機(jī)，觀察交換機(jī)的燈是否閃爍，使用操作 系統(tǒng)的網(wǎng)絡(luò)監(jiān)視器來(lái)查看網(wǎng)絡(luò)包交換情況，來(lái)確認(rèn)交換機(jī)是否故障。 （ 4）當(dāng)交換機(jī)故障排除后，下面就要觀察是否在局域網(wǎng)內(nèi)出現(xiàn) IP 地址沖突，如果是的話，要及時(shí)修改。 （ 5）當(dāng)以上可能性排除后，剩下的是網(wǎng)卡故障和操作系統(tǒng)軟件故障。 只需按照以上的步驟一步一步的排除，最終就可以找到網(wǎng)絡(luò)故障的原因。 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 ? 26 ? 思考與練習(xí) 1. 填空題 (1) 配置管理 、 故障管理 、 性能管理 、 安全管理 和 計(jì)費(fèi)管理 。 (2) 集中式網(wǎng)管 和 分布式網(wǎng)管 (3) 被管理設(shè)備 、 代理 和 網(wǎng)絡(luò)管理系統(tǒng) (NMS) (4) Get、 Set 和 Trap。 2. 選擇題 (1) B (2) C (3) A (4) D 3. 問(wèn)答題 (1) 簡(jiǎn)述網(wǎng)絡(luò)管理系統(tǒng)的 5 大功能。 答： 國(guó)際標(biāo)準(zhǔn)化組織 (ISO)在 ISO/IEC 74984 文檔中定義了網(wǎng)絡(luò)管理的 5 大功能：配置管理、故障管理、性能管理、安全管理和計(jì)費(fèi)管理 。 1. 配置管理 配置管理是一組辨別、定義、控制和監(jiān)視 設(shè)備 所必 需 的相關(guān)功能，即網(wǎng)絡(luò)中應(yīng)有或?qū)嶋H有多少設(shè)備，每個(gè)設(shè)備的功能及其連接關(guān)系、工作參數(shù)等。 2. 故障管理 故障管理指 的是 管理功能中的監(jiān)測(cè)設(shè)備故障以及 與 故障設(shè)備的監(jiān)測(cè)、恢復(fù)或故障 排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供可靠的服務(wù)。 3. 性能管理 性能管理用于對(duì)系統(tǒng)運(yùn)行 和 通信效率等系統(tǒng)性能進(jìn)行評(píng)價(jià)，包括從被管理設(shè)備中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)，分析和統(tǒng)計(jì)歷史數(shù)據(jù)，建立性能分析模型，預(yù)測(cè)網(wǎng)絡(luò)性能的長(zhǎng)期趨勢(shì)，并根據(jù)分析和預(yù)測(cè)結(jié)果對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和參數(shù)進(jìn)行調(diào)整。性能管理保證了網(wǎng)絡(luò)資源的最優(yōu)化利用。 4. 安全管理 安全管理涉及的問(wèn)題包括保證網(wǎng)絡(luò)管理工作可靠進(jìn)行的安全問(wèn)題，保護(hù)網(wǎng)絡(luò)用戶個(gè)人隱私 和 保護(hù)網(wǎng)絡(luò)管理對(duì)象 的 問(wèn)題。 5. 計(jì)費(fèi)管理 計(jì)費(fèi)管理過(guò)程主要 用于 完成與費(fèi)用有關(guān)的一些信息 的收集、處理并給出報(bào)告，包括用戶對(duì)網(wǎng)絡(luò)資源的使用等，計(jì)費(fèi)管理功能提供了對(duì)用戶收費(fèi)的依據(jù)。 (2) SNMP 定義了哪些基本命令？ 第 2 章 網(wǎng) 絡(luò) 基 礎(chǔ) ? 27 ? 答： SNMP 實(shí)現(xiàn)中的基本命令有 3 個(gè)： Get、 Set 和 Trap。 ● Get：管理系統(tǒng)可以讀取管理代理包含的對(duì)象信息的值。 Get 命令是 SNMP 協(xié)議中使用率最高的一個(gè)命令，因?yàn)樗菑木W(wǎng)絡(luò)設(shè)備中獲取管理信息的基本方法。 ● Set：管理系統(tǒng)可以修改管理代理包含的對(duì)象信息的值。 Set 命令是一個(gè)特權(quán)命令，因?yàn)橥ㄟ^(guò)它可以改變?cè)O(shè)備的配置或控制設(shè)備的運(yùn)行狀態(tài)。 ● Trap(陷阱 )：管理代理可以向網(wǎng)絡(luò)管理軟件 主動(dòng)發(fā)送一些信息。 Trap 命令的功能是在網(wǎng)絡(luò)管理系統(tǒng)沒(méi)有明確的要求下，管理代理主動(dòng)通知網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)上有一些特別的情況或特別的問(wèn)題發(fā)生了。 思考與練習(xí) 1. 填空題 (1) 機(jī)密性 、 完整性 、 可用性 、 真實(shí)性 和 不可否認(rèn)性 。 (2) 物理層安全 、 系統(tǒng)層安全 、 網(wǎng)絡(luò)層安全 、 應(yīng)用層安全 和 安全管理 。 (3) 對(duì)稱加密算法 (私鑰密碼體系 )和 非對(duì)稱加密算法 (公鑰密碼體系 )。 (4) 網(wǎng)絡(luò) 層 (5) 數(shù)據(jù)采集子系統(tǒng) 、 數(shù)據(jù)分析子系 統(tǒng) 、控制臺(tái)子系統(tǒng) 和 數(shù)據(jù)庫(kù)管理子系統(tǒng) 。 2. 選擇題 (1) A (2) ACD (3) A (4) D 3. 問(wèn)答題 1) 簡(jiǎn)述網(wǎng)絡(luò)安全防范體系的結(jié)構(gòu)框架。 答： 網(wǎng)絡(luò)安全防范體系的科學(xué)性 和 可行性是其可順利實(shí)施的保障?；?DISSP 擴(kuò)展的一個(gè)三維安全防范技術(shù)體系框架結(jié)構(gòu) ， 第一維是安全服務(wù)，給出了 8 種安全屬性 (ITUT )，其中包括了對(duì)等實(shí)體認(rèn)證、數(shù)據(jù)源認(rèn)證、訪問(wèn)控制、機(jī)密性、流量機(jī)密性、數(shù)據(jù)完整性、抗否認(rèn)服務(wù)、可用性； 第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成 ，其包括了通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)、物理環(huán)境； 第三維 是結(jié)構(gòu)層次，給出并擴(kuò)展了國(guó)際標(biāo)準(zhǔn)化組織 ISO 的開(kāi)放系統(tǒng)互聯(lián) (OSI)模型 ，其包括了應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層和物理層 。 框架結(jié)構(gòu)中的每一個(gè)系統(tǒng)單元都對(duì)應(yīng)于某一個(gè)協(xié)議層次，需要采取若干種安全服務(wù)才組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 ? 28 ? 能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺(tái)需要有網(wǎng)絡(luò)節(jié)點(diǎn)之間的認(rèn)證 和 訪問(wèn)控制，應(yīng)用平臺(tái)需要有針對(duì)用戶的認(rèn)證 和 訪問(wèn)控制，需要保證數(shù)據(jù)傳輸?shù)耐暾?和 保密性，需要有抗抵賴和審計(jì)的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。針對(duì)一個(gè)信息網(wǎng)絡(luò)系統(tǒng)，如果在各個(gè)系統(tǒng)單元都有相應(yīng)的安全措施來(lái)滿足其安全需求，則該信息網(wǎng)絡(luò) 被認(rèn)為 是安全的。 2) 簡(jiǎn)述入侵檢測(cè)技術(shù)的工作原理。 答： 目前， IDS 分析及檢測(cè)入侵階段一般通過(guò)以下幾種技術(shù)手段進(jìn)行分析：特征庫(kù)匹配、基于統(tǒng)計(jì)的分析和完整性分析。其中 ， 前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。為了 能夠 更有效地發(fā)現(xiàn)網(wǎng)絡(luò)受攻擊的跡象，網(wǎng)絡(luò)入侵檢測(cè)部件應(yīng) 當(dāng) 能夠分析網(wǎng)絡(luò)上 所 使用的各種網(wǎng)絡(luò)協(xié)議，識(shí)別各種網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別通常是通過(guò)網(wǎng)絡(luò)入侵特征庫(kù)來(lái)實(shí)現(xiàn)，這種方法有利于在出現(xiàn)了新的網(wǎng)絡(luò)攻擊手段時(shí) ， 方便地對(duì)入侵特征庫(kù)加以更新，提高入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別能力。 根據(jù) IDS 監(jiān) 控的對(duì)象， 可以 將 IDS 分為 以下 兩大類： ● 基于網(wǎng)絡(luò)的系統(tǒng)：這種 IDS 放置 在 網(wǎng)絡(luò)之上，靠近被檢測(cè)的系統(tǒng)，它們 用于 監(jiān)測(cè)網(wǎng)絡(luò)流量并判斷 它 是否正常 。 ● 基于主機(jī)的系統(tǒng)：這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上，用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程 并判斷它 是否合法。 利用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)安全檢測(cè)和實(shí)時(shí)攻擊識(shí)別，但它只能作為網(wǎng)絡(luò)安全的一個(gè)重要安全組件，網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全實(shí)現(xiàn)應(yīng)該結(jié)合使用防火墻等技術(shù)來(lái)組成一個(gè)完整的網(wǎng)絡(luò)安全解決方案，其原因在于 ， 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)雖然能對(duì)網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別并做出反應(yīng)，但其側(cè)重點(diǎn)在于發(fā)現(xiàn)，不能代替防火 墻系統(tǒng)執(zhí)行整個(gè)網(wǎng)絡(luò)的訪問(wèn)控制策略。防火墻系統(tǒng)能夠?qū)⒁恍╊A(yù)期的網(wǎng)絡(luò)攻擊阻擋 在 網(wǎng)絡(luò)外面，而網(wǎng)絡(luò)入侵檢測(cè)技術(shù)除了減小網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)之外，還能對(duì)一些非預(yù)期的攻擊進(jìn)行識(shí)別并做出反應(yīng)，切斷攻擊連接或通知防火墻系統(tǒng)修改控制準(zhǔn)則，將下一次的類似攻擊阻擋 在 網(wǎng)絡(luò)外部。因此 ， 通過(guò) 將 網(wǎng)絡(luò)安全檢測(cè)技術(shù)和防火墻系統(tǒng)結(jié)合 起來(lái) ，可以實(shí)現(xiàn)一個(gè)完整的網(wǎng)絡(luò)安全解決方案。 3) 簡(jiǎn)述 IPSec 的工作原理。 答： IPSec 的工作原理類似于包過(guò)濾防火墻，可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展 。當(dāng)接收到一個(gè) IP 數(shù)據(jù)包時(shí)，包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)則 表中進(jìn)行匹配 ， 當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過(guò)濾防火墻就按照該規(guī)則制 訂 的方法對(duì)接收到的 IP 數(shù)據(jù)包進(jìn)行處理。這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。 IPSec通過(guò)查詢 SPD(Security Po1icy Database 安全策略數(shù)據(jù)庫(kù) )決定對(duì)接收到的 IP 數(shù)據(jù)包 進(jìn)行 處理。但是 ， IPSec 不同于包過(guò)濾防火墻的是 ： 對(duì) IP 數(shù)據(jù)包的處理方法除了丟棄 和直接轉(zhuǎn)發(fā) (繞過(guò) IPSec)外，還有一種即進(jìn)行 IPSec 處理。正是這 個(gè) 新增添的處理方法提供了比包過(guò)濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。 進(jìn)行 IPSec 處理意味著對(duì) IP 數(shù)據(jù)包進(jìn)行加密和 認(rèn)證。包過(guò)濾防火墻只能控制來(lái)自或去往某個(gè)站點(diǎn)的 IP 數(shù)據(jù)包的通過(guò)，可以拒絕來(lái)自某個(gè)外部站點(diǎn)的 IP 數(shù)據(jù)包訪問(wèn)內(nèi)部某些站點(diǎn)，也可以拒絕某個(gè)內(nèi)部站點(diǎn)對(duì)某些外部網(wǎng)站的訪問(wèn)。但是 ， 包過(guò)濾防火墻不能保證 從 內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過(guò)篡改。只有在對(duì)第 2 章 網(wǎng) 絡(luò) 基 礎(chǔ) ? 29 ? IP 數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性 、 真實(shí)性 、 完整性，通過(guò) Inter 進(jìn) 行 安全的通信才成為可能。 IPSec 既可以只對(duì) IP 數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時(shí)實(shí)施 兩 者。但無(wú)論是進(jìn)行加密還是進(jìn)行認(rèn)證， IPSec 都有兩種工作模式 ： 一種是協(xié)議工作方式類似的隧道模式 ； 另一種是傳輸模式。 傳輸模式只對(duì) IP 數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時(shí)，繼續(xù)使用以前的 IP 頭部，只對(duì) IP 頭部的部分域進(jìn)行修改，而 IPSec 協(xié)議頭部插入到 IP 頭部和傳輸層頭部之間。 隧道模式對(duì)整個(gè) IP 數(shù)據(jù)色進(jìn)行加密或認(rèn)證。此時(shí)，需要新產(chǎn)生一個(gè) IP 頭部， IPSec頭部被放 置 在新產(chǎn)生的 IP 頭部和以前