【正文】 ， 即定時關(guān)系和數(shù)據(jù)匹配限制，測試的結(jié)果可分為通過、失敗、無結(jié)果 3 種。路由器是一種復雜的網(wǎng)絡(luò)互聯(lián)設(shè)備，需要在各個通信層上實現(xiàn)多種協(xié)議。例如 ， 相應(yīng)接口的物理層和鏈路層協(xié)議、 IP/ICMP 等互聯(lián)網(wǎng)層協(xié)議、 TCP/UDP 等傳輸層協(xié)議、 Tel/SNMP 等應(yīng)用層協(xié)議和 RIP/OSPF/BGP 等路由協(xié)議。 協(xié)議一致性測試應(yīng)當包含路由器所實現(xiàn)的所有協(xié)議。由于該測試內(nèi)容繁多 且 測試復雜，在測試中 ， 可以選擇重要的協(xié)議以及所關(guān)心的內(nèi)容 進行 測試。由于骨干網(wǎng)上 的 路 由 器可能影響 到 全球路由，所以 ， 在路由器測試中 ， 應(yīng)特別重視路由協(xié)議一致 性測試 ， 例如 OSPF和 BGP 協(xié)議。由于一致性測試只能選擇有限測試例 進行 測試，一般無法涵蓋協(xié)議 的 所有內(nèi)容。所以 ， 即使 已 通過測試也無法保證設(shè)備 能 完全實現(xiàn)協(xié)議 的 所有內(nèi)容，所以最好的辦法是在現(xiàn)實環(huán)境中 進行測 試。路由器一致性測試一般采用分布式測試法或遠端測試法。 4. 互操作測試 由于通信協(xié)議、路由協(xié)議非常復雜 并 且擁有眾多 的 選項， 因此， 實現(xiàn)同一協(xié)議的路由器并不能保證互通 、 互操作。并且因為一致性測試 的 能力有限，即使 可以 通過協(xié)議一致性測試也未必能保證完全實現(xiàn)協(xié)議 ， 所以 ， 有必要對設(shè)備進行互操作測試。 互操作測試實際上是將一 致性測試中所 使 用的儀表替換成需要與之互通 、 互操作的設(shè)備，選擇一些重要且典型的互聯(lián)方式 進行 配置，觀察兩 臺 設(shè)備是否能按照預期 的計劃 正常工作 。 5. 穩(wěn)定性、可靠性測試 路由器的穩(wěn)定性和可靠性很難 進行 測試。一般可以通過兩種途徑 得 到： (1)廠家通過關(guān)鍵部件的可靠性以及備份程度 來 計算 出 系統(tǒng) 的 可靠性； (2)用戶或廠家通過大量相同產(chǎn)品 在使用中的故障率 來 統(tǒng)計產(chǎn)品 的 穩(wěn)定性和可靠性。當然，用戶也可以通過在一定時間內(nèi) ， 對試運行結(jié)果的要求來保證路由器的可靠性與穩(wěn)定性。 6. 網(wǎng)管測試 網(wǎng)管測試一般 用于 測試網(wǎng)管軟件對網(wǎng)絡(luò) 和 網(wǎng)絡(luò)設(shè)備的 管理能力。由于路由器是 IP 網(wǎng)的核心設(shè)備，所以必須測試路由器對網(wǎng)管的支持度。如果路由器附帶 有 網(wǎng)管軟件，可以通過使用所附帶的網(wǎng)管軟件來檢查網(wǎng)管軟件所實現(xiàn)的配置管理、安全管理、性能管理、計 賬 管理、故障管理、拓撲管理和視圖管理等功能。如果路由器不附帶 有 網(wǎng)管軟件，則應(yīng)當測試路由器對 SNMP 協(xié)議實現(xiàn)的一致性 和 對 MIB 實現(xiàn)的程度。由于路由器需要實現(xiàn)的 MIB 非第 2 章 網(wǎng) 絡(luò) 基 礎(chǔ) ? 25 ? 常多，每個 MIB 都包含 有 大量 的 內(nèi)容，很難對 MIB 實現(xiàn)完全測試。一般可以通過抽測重要的 MIB 項來檢查路由器對 MIB 的實現(xiàn)情況。 (3) 簡答網(wǎng)絡(luò)故障分層檢測的方法。 答 ： 針對網(wǎng)絡(luò)的分層結(jié)構(gòu)特點， 在分析和排查網(wǎng)絡(luò)故障時，應(yīng)充分利用網(wǎng)絡(luò)這種分層的特點，快速準確地定位并排除故障。 TCP/IP 的層次結(jié)構(gòu)為管理員分析和排查故障提供了非常好的組織方式。由于 其 各層相對獨立，按層排查能夠有效地發(fā)現(xiàn)和隔離故障，因而一般使用逐層分析和排查的方法。 逐層排查方式通常有兩種，一種是從低層開始排查，適用于物理網(wǎng)絡(luò)不夠成熟穩(wěn)定的情況， 例 如組建新的網(wǎng)絡(luò)、重新調(diào)整網(wǎng)絡(luò)線纜、增加新的網(wǎng)絡(luò)設(shè)備；另一種是從高層開始排查，適用于物理網(wǎng)絡(luò)相對成熟穩(wěn)定的情況， 例 如硬件設(shè)備沒有變動。無論 使用 哪種方式，最終都能達到目 標，只是解決問題的效率有所差別。 具體采用哪種 排查 方式，可根據(jù)具體 地 情況來選擇。例如，遇到某客戶端不能訪問Web 服務(wù)的情況，如果管理員首先去檢查網(wǎng)絡(luò)的連接線纜，就顯得太悲觀了，除非明確知道網(wǎng)絡(luò)線路有所變動。比較好的選擇 方法 是直接從應(yīng)用層著手，可以 按照以下方法進行 排查：首先檢查客戶端 的 Web 瀏覽器是否正確配置，可 以 嘗試使用瀏覽器訪問另一個 Web服務(wù)器 ， 如果 Web 瀏覽器沒有問題，可 以 在 Web 服務(wù)器上測試 Web 服務(wù)器是否正常運行；如果 Web 服務(wù)器沒有問題，再測試網(wǎng)絡(luò)的連通性。即使是 Web 服務(wù)器問題，從底層開始逐層 排查也能最終解決問題，只是花費的時間太多了。如果碰巧是線路問題，從高層開始逐層排查也要浪費時間。 假設(shè)現(xiàn)在在公司里網(wǎng)絡(luò)發(fā)生了故障導致無法上網(wǎng)，你作為一名網(wǎng)管，應(yīng)該如何排除故障。 答：根據(jù)本章介紹的知識，可以分成以下排錯步驟： （ 1）首先，查看無線路由器， LAN 的燈是否亮綠燈，如是則正常，否則說明路由器故障。 （ 2）再查看無線路由器的 WAN 燈是否亮且亮綠燈，如是說明正常，否則說明可能是帶寬外線故障或者路由器本身故障。 （ 3）如果以上可能都排除，接下來需要檢測交換機，觀察交換機的燈是否閃爍，使用操作 系統(tǒng)的網(wǎng)絡(luò)監(jiān)視器來查看網(wǎng)絡(luò)包交換情況，來確認交換機是否故障。 （ 4）當交換機故障排除后，下面就要觀察是否在局域網(wǎng)內(nèi)出現(xiàn) IP 地址沖突，如果是的話，要及時修改。 （ 5）當以上可能性排除后，剩下的是網(wǎng)卡故障和操作系統(tǒng)軟件故障。 只需按照以上的步驟一步一步的排除，最終就可以找到網(wǎng)絡(luò)故障的原因。 組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 ? 26 ? 思考與練習 1. 填空題 (1) 配置管理 、 故障管理 、 性能管理 、 安全管理 和 計費管理 。 (2) 集中式網(wǎng)管 和 分布式網(wǎng)管 (3) 被管理設(shè)備 、 代理 和 網(wǎng)絡(luò)管理系統(tǒng) (NMS) (4) Get、 Set 和 Trap。 2. 選擇題 (1) B (2) C (3) A (4) D 3. 問答題 (1) 簡述網(wǎng)絡(luò)管理系統(tǒng)的 5 大功能。 答： 國際標準化組織 (ISO)在 ISO/IEC 74984 文檔中定義了網(wǎng)絡(luò)管理的 5 大功能：配置管理、故障管理、性能管理、安全管理和計費管理 。 1. 配置管理 配置管理是一組辨別、定義、控制和監(jiān)視 設(shè)備 所必 需 的相關(guān)功能，即網(wǎng)絡(luò)中應(yīng)有或?qū)嶋H有多少設(shè)備，每個設(shè)備的功能及其連接關(guān)系、工作參數(shù)等。 2. 故障管理 故障管理指 的是 管理功能中的監(jiān)測設(shè)備故障以及 與 故障設(shè)備的監(jiān)測、恢復或故障 排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供可靠的服務(wù)。 3. 性能管理 性能管理用于對系統(tǒng)運行 和 通信效率等系統(tǒng)性能進行評價，包括從被管理設(shè)備中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)，分析和統(tǒng)計歷史數(shù)據(jù)，建立性能分析模型，預測網(wǎng)絡(luò)性能的長期趨勢，并根據(jù)分析和預測結(jié)果對網(wǎng)絡(luò)拓撲結(jié)構(gòu)和參數(shù)進行調(diào)整。性能管理保證了網(wǎng)絡(luò)資源的最優(yōu)化利用。 4. 安全管理 安全管理涉及的問題包括保證網(wǎng)絡(luò)管理工作可靠進行的安全問題，保護網(wǎng)絡(luò)用戶個人隱私 和 保護網(wǎng)絡(luò)管理對象 的 問題。 5. 計費管理 計費管理過程主要 用于 完成與費用有關(guān)的一些信息 的收集、處理并給出報告，包括用戶對網(wǎng)絡(luò)資源的使用等，計費管理功能提供了對用戶收費的依據(jù)。 (2) SNMP 定義了哪些基本命令？ 第 2 章 網(wǎng) 絡(luò) 基 礎(chǔ) ? 27 ? 答： SNMP 實現(xiàn)中的基本命令有 3 個： Get、 Set 和 Trap。 ● Get：管理系統(tǒng)可以讀取管理代理包含的對象信息的值。 Get 命令是 SNMP 協(xié)議中使用率最高的一個命令，因為它是從網(wǎng)絡(luò)設(shè)備中獲取管理信息的基本方法。 ● Set：管理系統(tǒng)可以修改管理代理包含的對象信息的值。 Set 命令是一個特權(quán)命令，因為通過它可以改變設(shè)備的配置或控制設(shè)備的運行狀態(tài)。 ● Trap(陷阱 )：管理代理可以向網(wǎng)絡(luò)管理軟件 主動發(fā)送一些信息。 Trap 命令的功能是在網(wǎng)絡(luò)管理系統(tǒng)沒有明確的要求下，管理代理主動通知網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)上有一些特別的情況或特別的問題發(fā)生了。 思考與練習 1. 填空題 (1) 機密性 、 完整性 、 可用性 、 真實性 和 不可否認性 。 (2) 物理層安全 、 系統(tǒng)層安全 、 網(wǎng)絡(luò)層安全 、 應(yīng)用層安全 和 安全管理 。 (3) 對稱加密算法 (私鑰密碼體系 )和 非對稱加密算法 (公鑰密碼體系 )。 (4) 網(wǎng)絡(luò) 層 (5) 數(shù)據(jù)采集子系統(tǒng) 、 數(shù)據(jù)分析子系 統(tǒng) 、控制臺子系統(tǒng) 和 數(shù)據(jù)庫管理子系統(tǒng) 。 2. 選擇題 (1) A (2) ACD (3) A (4) D 3. 問答題 1) 簡述網(wǎng)絡(luò)安全防范體系的結(jié)構(gòu)框架。 答： 網(wǎng)絡(luò)安全防范體系的科學性 和 可行性是其可順利實施的保障?；?DISSP 擴展的一個三維安全防范技術(shù)體系框架結(jié)構(gòu) ， 第一維是安全服務(wù)，給出了 8 種安全屬性 (ITUT )，其中包括了對等實體認證、數(shù)據(jù)源認證、訪問控制、機密性、流量機密性、數(shù)據(jù)完整性、抗否認服務(wù)、可用性； 第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成 ，其包括了通信平臺、網(wǎng)絡(luò)平臺、系統(tǒng)平臺、應(yīng)用平臺、物理環(huán)境； 第三維 是結(jié)構(gòu)層次，給出并擴展了國際標準化組織 ISO 的開放系統(tǒng)互聯(lián) (OSI)模型 ，其包括了應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層和物理層 。 框架結(jié)構(gòu)中的每一個系統(tǒng)單元都對應(yīng)于某一個協(xié)議層次，需要采取若干種安全服務(wù)才組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理 ? 28 ? 能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺需要有網(wǎng)絡(luò)節(jié)點之間的認證 和 訪問控制，應(yīng)用平臺需要有針對用戶的認證 和 訪問控制，需要保證數(shù)據(jù)傳輸?shù)耐暾?和 保密性，需要有抗抵賴和審計的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。針對一個信息網(wǎng)絡(luò)系統(tǒng)，如果在各個系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求，則該信息網(wǎng)絡(luò) 被認為 是安全的。 2) 簡述入侵檢測技術(shù)的工作原理。 答： 目前， IDS 分析及檢測入侵階段一般通過以下幾種技術(shù)手段進行分析：特征庫匹配、基于統(tǒng)計的分析和完整性分析。其中 ， 前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。為了 能夠 更有效地發(fā)現(xiàn)網(wǎng)絡(luò)受攻擊的跡象，網(wǎng)絡(luò)入侵檢測部件應(yīng) 當 能夠分析網(wǎng)絡(luò)上 所 使用的各種網(wǎng)絡(luò)協(xié)議，識別各種網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)入侵檢測部件對網(wǎng)絡(luò)攻擊行為的識別通常是通過網(wǎng)絡(luò)入侵特征庫來實現(xiàn)，這種方法有利于在出現(xiàn)了新的網(wǎng)絡(luò)攻擊手段時 ， 方便地對入侵特征庫加以更新，提高入侵檢測部件對網(wǎng)絡(luò)攻擊行為的識別能力。 根據(jù) IDS 監(jiān) 控的對象， 可以 將 IDS 分為 以下 兩大類： ● 基于網(wǎng)絡(luò)的系統(tǒng)：這種 IDS 放置 在 網(wǎng)絡(luò)之上，靠近被檢測的系統(tǒng)，它們 用于 監(jiān)測網(wǎng)絡(luò)流量并判斷 它 是否正常 。 ● 基于主機的系統(tǒng)：這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程 并判斷它 是否合法。 利用網(wǎng)絡(luò)入侵檢測技術(shù)可以實現(xiàn)網(wǎng)絡(luò)安全檢測和實時攻擊識別，但它只能作為網(wǎng)絡(luò)安全的一個重要安全組件，網(wǎng)絡(luò)系統(tǒng)的實際安全實現(xiàn)應(yīng)該結(jié)合使用防火墻等技術(shù)來組成一個完整的網(wǎng)絡(luò)安全解決方案，其原因在于 ， 網(wǎng)絡(luò)入侵檢測技術(shù)雖然能對網(wǎng)絡(luò)攻擊進行識別并做出反應(yīng)，但其側(cè)重點在于發(fā)現(xiàn)，不能代替防火 墻系統(tǒng)執(zhí)行整個網(wǎng)絡(luò)的訪問控制策略。防火墻系統(tǒng)能夠?qū)⒁恍╊A期的網(wǎng)絡(luò)攻擊阻擋 在 網(wǎng)絡(luò)外面，而網(wǎng)絡(luò)入侵檢測技術(shù)除了減小網(wǎng)絡(luò)系統(tǒng)的安全風險之外，還能對一些非預期的攻擊進行識別并做出反應(yīng)，切斷攻擊連接或通知防火墻系統(tǒng)修改控制準則，將下一次的類似攻擊阻擋 在 網(wǎng)絡(luò)外部。因此 ， 通過 將 網(wǎng)絡(luò)安全檢測技術(shù)和防火墻系統(tǒng)結(jié)合 起來 ，可以實現(xiàn)一個完整的網(wǎng)絡(luò)安全解決方案。 3) 簡述 IPSec 的工作原理。 答： IPSec 的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展 。當接收到一個 IP 數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則 表中進行匹配 ， 當找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制 訂 的方法對接收到的 IP 數(shù)據(jù)包進行處理。這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。 IPSec通過查詢 SPD(Security Po1icy Database 安全策略數(shù)據(jù)庫 )決定對接收到的 IP 數(shù)據(jù)包 進行 處理。但是 ， IPSec 不同于包過濾防火墻的是 ： 對 IP 數(shù)據(jù)包的處理方法除了丟棄 和直接轉(zhuǎn)發(fā) (繞過 IPSec)外，還有一種即進行 IPSec 處理。正是這 個 新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡(luò)安全性。 進行 IPSec 處理意味著對 IP 數(shù)據(jù)包進行加密和 認證。包過濾防火墻只能控制來自或去往某個站點的 IP 數(shù)據(jù)包的通過，可以拒絕來自某個外部站點的 IP 數(shù)據(jù)包訪問內(nèi)部某些站點，也可以拒絕某個內(nèi)部站點對某些外部網(wǎng)站的訪問。但是 ， 包過濾防火墻不能保證 從 內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對第 2 章 網(wǎng) 絡(luò) 基 礎(chǔ) ? 29 ? IP 數(shù)據(jù)包實施了加密和認證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性 、 真實性 、 完整性，通過 Inter 進 行 安全的通信才成為可能。 IPSec 既可以只對 IP 數(shù)據(jù)包進行加密，或只進行認證，也可以同時實施 兩 者。但無論是進行加密還是進行認證， IPSec 都有兩種工作模式 ： 一種是協(xié)議工作方式類似的隧道模式 ； 另一種是傳輸模式。 傳輸模式只對 IP 數(shù)據(jù)包的有效負載進行加密或認證。此時，繼續(xù)使用以前的 IP 頭部，只對 IP 頭部的部分域進行修改，而 IPSec 協(xié)議頭部插入到 IP 頭部和傳輸層頭部之間。 隧道模式對整個 IP 數(shù)據(jù)色進行加密或認證。此時，需要新產(chǎn)生一個 IP 頭部， IPSec頭部被放 置 在新產(chǎn)生的 IP 頭部和以前