【正文】 在各個(gè)通信層上實(shí)現(xiàn)多種協(xié)議。例如，相應(yīng)接口的物理層和鏈路層協(xié)議、IP/ICMP等互聯(lián)網(wǎng)層協(xié)議、TCP/UDP等傳輸層協(xié)議、Telnet/SNMP等應(yīng)用層協(xié)議和RIP/OSPF/BGP等路由協(xié)議。協(xié)議一致性測(cè)試應(yīng)當(dāng)包含路由器所實(shí)現(xiàn)的所有協(xié)議。由于該測(cè)試內(nèi)容繁多且測(cè)試復(fù)雜，在測(cè)試中，可以選擇重要的協(xié)議以及所關(guān)心的內(nèi)容進(jìn)行測(cè)試。由于骨干網(wǎng)上的路由器可能影響到全球路由，所以，在路由器測(cè)試中，應(yīng)特別重視路由協(xié)議一致性測(cè)試，例如OSPF和BGP協(xié)議。由于一致性測(cè)試只能選擇有限測(cè)試?yán)M(jìn)行測(cè)試，一般無法涵蓋協(xié)議的所有內(nèi)容。所以，即使已通過測(cè)試也無法保證設(shè)備能完全實(shí)現(xiàn)協(xié)議的所有內(nèi)容，所以最好的辦法是在現(xiàn)實(shí)環(huán)境中進(jìn)行測(cè)試。路由器一致性測(cè)試一般采用分布式測(cè)試法或遠(yuǎn)端測(cè)試法。4. 互操作測(cè)試由于通信協(xié)議、路由協(xié)議非常復(fù)雜并且擁有眾多的選項(xiàng)，因此，實(shí)現(xiàn)同一協(xié)議的路由器并不能保證互通、互操作。并且因?yàn)橐恢滦詼y(cè)試的能力有限，即使可以通過協(xié)議一致性測(cè)試也未必能保證完全實(shí)現(xiàn)協(xié)議，所以，有必要對(duì)設(shè)備進(jìn)行互操作測(cè)試?；ゲ僮鳒y(cè)試實(shí)際上是將一致性測(cè)試中所使用的儀表替換成需要與之互通、互操作的設(shè)備，選擇一些重要且典型的互聯(lián)方式進(jìn)行配置，觀察兩臺(tái)設(shè)備是否能按照預(yù)期的計(jì)劃正常工作。5. 穩(wěn)定性、可靠性測(cè)試路由器的穩(wěn)定性和可靠性很難進(jìn)行測(cè)試。一般可以通過兩種途徑得到：(1)廠家通過關(guān)鍵部件的可靠性以及備份程度來計(jì)算出系統(tǒng)的可靠性；(2)用戶或廠家通過大量相同產(chǎn)品在使用中的故障率來統(tǒng)計(jì)產(chǎn)品的穩(wěn)定性和可靠性。當(dāng)然，用戶也可以通過在一定時(shí)間內(nèi)，對(duì)試運(yùn)行結(jié)果的要求來保證路由器的可靠性與穩(wěn)定性。6. 網(wǎng)管測(cè)試網(wǎng)管測(cè)試一般用于測(cè)試網(wǎng)管軟件對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的管理能力。由于路由器是IP網(wǎng)的核心設(shè)備，所以必須測(cè)試路由器對(duì)網(wǎng)管的支持度。如果路由器附帶有網(wǎng)管軟件，可以通過使用所附帶的網(wǎng)管軟件來檢查網(wǎng)管軟件所實(shí)現(xiàn)的配置管理、安全管理、性能管理、計(jì)賬管理、故障管理、拓?fù)涔芾砗鸵晥D管理等功能。如果路由器不附帶有網(wǎng)管軟件，則應(yīng)當(dāng)測(cè)試路由器對(duì)SNMP協(xié)議實(shí)現(xiàn)的一致性和對(duì)MIB實(shí)現(xiàn)的程度。由于路由器需要實(shí)現(xiàn)的MIB非常多，每個(gè)MIB都包含有大量的內(nèi)容，很難對(duì)MIB實(shí)現(xiàn)完全測(cè)試。一般可以通過抽測(cè)重要的MIB項(xiàng)來檢查路由器對(duì)MIB的實(shí)現(xiàn)情況。(3) 簡答網(wǎng)絡(luò)故障分層檢測(cè)的方法。答：針對(duì)網(wǎng)絡(luò)的分層結(jié)構(gòu)特點(diǎn)，在分析和排查網(wǎng)絡(luò)故障時(shí)，應(yīng)充分利用網(wǎng)絡(luò)這種分層的特點(diǎn)，快速準(zhǔn)確地定位并排除故障。TCP/IP的層次結(jié)構(gòu)為管理員分析和排查故障提供了非常好的組織方式。由于其各層相對(duì)獨(dú)立，按層排查能夠有效地發(fā)現(xiàn)和隔離故障，因而一般使用逐層分析和排查的方法。逐層排查方式通常有兩種，一種是從低層開始排查，適用于物理網(wǎng)絡(luò)不夠成熟穩(wěn)定的情況，例如組建新的網(wǎng)絡(luò)、重新調(diào)整網(wǎng)絡(luò)線纜、增加新的網(wǎng)絡(luò)設(shè)備；另一種是從高層開始排查，適用于物理網(wǎng)絡(luò)相對(duì)成熟穩(wěn)定的情況，例如硬件設(shè)備沒有變動(dòng)。無論使用哪種方式，最終都能達(dá)到目標(biāo)，只是解決問題的效率有所差別。具體采用哪種排查方式，可根據(jù)具體地情況來選擇。例如，遇到某客戶端不能訪問Web服務(wù)的情況，如果管理員首先去檢查網(wǎng)絡(luò)的連接線纜，就顯得太悲觀了，除非明確知道網(wǎng)絡(luò)線路有所變動(dòng)。比較好的選擇方法是直接從應(yīng)用層著手，可以按照以下方法進(jìn)行排查：首先檢查客戶端的Web瀏覽器是否正確配置，可以嘗試使用瀏覽器訪問另一個(gè)Web服務(wù)器，如果Web瀏覽器沒有問題，可以在Web服務(wù)器上測(cè)試Web服務(wù)器是否正常運(yùn)行；如果Web服務(wù)器沒有問題，再測(cè)試網(wǎng)絡(luò)的連通性。即使是Web服務(wù)器問題，從底層開始逐層排查也能最終解決問題，只是花費(fèi)的時(shí)間太多了。如果碰巧是線路問題，從高層開始逐層排查也要浪費(fèi)時(shí)間。假設(shè)現(xiàn)在在公司里網(wǎng)絡(luò)發(fā)生了故障導(dǎo)致無法上網(wǎng)，你作為一名網(wǎng)管，應(yīng)該如何排除故障。答：根據(jù)本章介紹的知識(shí)，可以分成以下排錯(cuò)步驟：（1）首先，查看無線路由器，LAN的燈是否亮綠燈，如是則正常，否則說明路由器故障。（2）再查看無線路由器的WAN燈是否亮且亮綠燈，如是說明正常，否則說明可能是帶寬外線故障或者路由器本身故障。（3）如果以上可能都排除，接下來需要檢測(cè)交換機(jī)，觀察交換機(jī)的燈是否閃爍，使用操作系統(tǒng)的網(wǎng)絡(luò)監(jiān)視器來查看網(wǎng)絡(luò)包交換情況，來確認(rèn)交換機(jī)是否故障。（4）當(dāng)交換機(jī)故障排除后，下面就要觀察是否在局域網(wǎng)內(nèi)出現(xiàn)IP地址沖突，如果是的話，要及時(shí)修改。（5）當(dāng)以上可能性排除后，剩下的是網(wǎng)卡故障和操作系統(tǒng)軟件故障。 只需按照以上的步驟一步一步的排除，最終就可以找到網(wǎng)絡(luò)故障的原因。 思考與練習(xí)1. 填空題(1) 配置管理、故障管理、性能管理、安全管理和計(jì)費(fèi)管理。(2) 集中式網(wǎng)管和分布式網(wǎng)管(3) 被管理設(shè)備、代理和網(wǎng)絡(luò)管理系統(tǒng)(NMS) (4) Get、Set和Trap。2. 選擇題(1) B (2) C (3) A (4) D 3. 問答題(1) 簡述網(wǎng)絡(luò)管理系統(tǒng)的5大功能。答：國際標(biāo)準(zhǔn)化組織(ISO)在ISO/IEC 74984文檔中定義了網(wǎng)絡(luò)管理的5大功能：配置管理、故障管理、性能管理、安全管理和計(jì)費(fèi)管理。1. 配置管理配置管理是一組辨別、定義、控制和監(jiān)視設(shè)備所必需的相關(guān)功能，即網(wǎng)絡(luò)中應(yīng)有或?qū)嶋H有多少設(shè)備，每個(gè)設(shè)備的功能及其連接關(guān)系、工作參數(shù)等。2. 故障管理故障管理指的是管理功能中的監(jiān)測(cè)設(shè)備故障以及與故障設(shè)備的監(jiān)測(cè)、恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供可靠的服務(wù)。3. 性能管理性能管理用于對(duì)系統(tǒng)運(yùn)行和通信效率等系統(tǒng)性能進(jìn)行評(píng)價(jià)，包括從被管理設(shè)備中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)，分析和統(tǒng)計(jì)歷史數(shù)據(jù)，建立性能分析模型，預(yù)測(cè)網(wǎng)絡(luò)性能的長期趨勢(shì)，并根據(jù)分析和預(yù)測(cè)結(jié)果對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和參數(shù)進(jìn)行調(diào)整。性能管理保證了網(wǎng)絡(luò)資源的最優(yōu)化利用。4. 安全管理安全管理涉及的問題包括保證網(wǎng)絡(luò)管理工作可靠進(jìn)行的安全問題，保護(hù)網(wǎng)絡(luò)用戶個(gè)人隱私和保護(hù)網(wǎng)絡(luò)管理對(duì)象的問題。5. 計(jì)費(fèi)管理計(jì)費(fèi)管理過程主要用于完成與費(fèi)用有關(guān)的一些信息的收集、處理并給出報(bào)告，包括用戶對(duì)網(wǎng)絡(luò)資源的使用等，計(jì)費(fèi)管理功能提供了對(duì)用戶收費(fèi)的依據(jù)。(2) SNMP定義了哪些基本命令？答：SNMP實(shí)現(xiàn)中的基本命令有3個(gè)：Get、Set和Trap?！?Get：管理系統(tǒng)可以讀取管理代理包含的對(duì)象信息的值。Get命令是SNMP協(xié)議中使用率最高的一個(gè)命令，因?yàn)樗菑木W(wǎng)絡(luò)設(shè)備中獲取管理信息的基本方法?！?Set：管理系統(tǒng)可以修改管理代理包含的對(duì)象信息的值。Set命令是一個(gè)特權(quán)命令，因?yàn)橥ㄟ^它可以改變?cè)O(shè)備的配置或控制設(shè)備的運(yùn)行狀態(tài)?！?Trap(陷阱)：管理代理可以向網(wǎng)絡(luò)管理軟件主動(dòng)發(fā)送一些信息。Trap命令的功能是在網(wǎng)絡(luò)管理系統(tǒng)沒有明確的要求下，管理代理主動(dòng)通知網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)上有一些特別的情況或特別的問題發(fā)生了。 思考與練習(xí)1. 填空題(1) 機(jī)密性、完整性、可用性、真實(shí)性和不可否認(rèn)性。(2) 物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。(3) 對(duì)稱加密算法(私鑰密碼體系)和非對(duì)稱加密算法(公鑰密碼體系)。(4) 網(wǎng)絡(luò)層(5) 數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子系統(tǒng)和數(shù)據(jù)庫管理子系統(tǒng)。2. 選擇題(1) A (2) ACD (3) A(4) D 3. 問答題1) 簡述網(wǎng)絡(luò)安全防范體系的結(jié)構(gòu)框架。答：網(wǎng)絡(luò)安全防范體系的科學(xué)性和可行性是其可順利實(shí)施的保障。基于DISSP擴(kuò)展的一個(gè)三維安全防范技術(shù)體系框架結(jié)構(gòu)，第一維是安全服務(wù)，給出了8種安全屬性(ITUT )，其中包括了對(duì)等實(shí)體認(rèn)證、數(shù)據(jù)源認(rèn)證、訪問控制、機(jī)密性、流量機(jī)密性、數(shù)據(jù)完整性、抗否認(rèn)服務(wù)、可用性；第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成，其包括了通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)、物理環(huán)境；第三維是結(jié)構(gòu)層次，給出并擴(kuò)展了國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互聯(lián)(OSI)模型，其包括了應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層和物理層?？蚣芙Y(jié)構(gòu)中的每一個(gè)系統(tǒng)單元都對(duì)應(yīng)于某一個(gè)協(xié)議層次，需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺(tái)需要有網(wǎng)絡(luò)節(jié)點(diǎn)之間的認(rèn)證和訪問控制，應(yīng)用平臺(tái)需要有針對(duì)用戶的認(rèn)證和訪問控制，需要保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄裕枰锌沟仲嚭蛯徲?jì)的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。針對(duì)一個(gè)信息網(wǎng)絡(luò)系統(tǒng)，如果在各個(gè)系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求，則該信息網(wǎng)絡(luò)被認(rèn)為是安全的。2) 簡述入侵檢測(cè)技術(shù)的工作原理。答：目前，IDS分析及檢測(cè)入侵階段一般通過以下幾種技術(shù)手段進(jìn)行分析：特征庫匹配、基于統(tǒng)計(jì)的分析和完整性分析。其中，前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。為了能夠更有效地發(fā)現(xiàn)網(wǎng)絡(luò)受攻擊的跡象，網(wǎng)絡(luò)入侵檢測(cè)部件應(yīng)當(dāng)能夠分析網(wǎng)絡(luò)上所使用的各種網(wǎng)絡(luò)協(xié)議，識(shí)別各種網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別通常是通過網(wǎng)絡(luò)入侵特征庫來實(shí)現(xiàn)，這種方法有利于在出現(xiàn)了新的網(wǎng)絡(luò)攻擊手段時(shí)，方便地對(duì)入侵特征庫加以更新，提高入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別能力。根據(jù)IDS監(jiān)控的對(duì)象，可以將IDS分為以下兩大類：● 基于網(wǎng)絡(luò)的系統(tǒng)：這種IDS放置在網(wǎng)絡(luò)之上，靠近被檢測(cè)的系統(tǒng)，它們用于監(jiān)測(cè)網(wǎng)絡(luò)流量并判斷它是否正常。● 基于主機(jī)的系統(tǒng)：這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上，用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程并判斷它是否合法。利用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)安全檢測(cè)和實(shí)時(shí)攻擊識(shí)別，但它只能作為網(wǎng)絡(luò)安全的一個(gè)重要安全組件，網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全實(shí)現(xiàn)應(yīng)該結(jié)合使用防火墻等技術(shù)來組成一個(gè)完整的網(wǎng)絡(luò)安全解決方案，其原因在于，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)雖然能對(duì)網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別并做出反應(yīng)，但其側(cè)重點(diǎn)在于發(fā)現(xiàn)，不能代替防火墻系統(tǒng)執(zhí)行整個(gè)網(wǎng)絡(luò)的訪問控制策略。防火墻系統(tǒng)能夠?qū)⒁恍╊A(yù)期的網(wǎng)絡(luò)攻擊阻擋在網(wǎng)絡(luò)外面，而網(wǎng)絡(luò)入侵檢測(cè)技術(shù)除了減小網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)之外，還能對(duì)一些非預(yù)期的攻擊進(jìn)行識(shí)別并做出反應(yīng)，切斷攻擊連接或通知防火墻系統(tǒng)修改控制準(zhǔn)則，將下一次的類似攻擊阻擋在網(wǎng)絡(luò)外部。因此，通過將網(wǎng)絡(luò)安全檢測(cè)技術(shù)和防火墻系統(tǒng)結(jié)合起來，可以實(shí)現(xiàn)一個(gè)完整的網(wǎng)絡(luò)安全解決方案。3) 簡述IPSec的工作原理。答：IPSec的工作原理類似于包過濾防火墻，可以看作是對(duì)包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)，包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配，當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過濾防火墻就按照該規(guī)則制訂的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。IPSec通過查詢SPD(Security Po1icy Database安全策略數(shù)據(jù)庫)決定對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。但是，IPSec不同于包過濾防火墻的是：對(duì)IP數(shù)據(jù)包的處理方法除了丟棄和直接轉(zhuǎn)發(fā)(繞過IPSec)外，還有一種即進(jìn)行IPSec處理。正是這個(gè)新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過濾防火墻只能控制來自或去往某個(gè)站點(diǎn)的IP數(shù)據(jù)包的通過，可以拒絕來自某個(gè)外部站點(diǎn)的IP數(shù)據(jù)包訪問內(nèi)部某些站點(diǎn)，也可以拒絕某個(gè)內(nèi)部站點(diǎn)對(duì)某些外部網(wǎng)站的訪問。但是，包過濾防火墻不能保證從內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對(duì)IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性、真實(shí)性、完整性，通過Internet進(jìn)行安全的通信才成為可能。IPSec既可以只對(duì)IP數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時(shí)實(shí)施兩者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證，IPSec都有兩種工作模式：一種是協(xié)議工作方式類似的隧道模式；另一種是傳輸模式。傳輸模式只對(duì)IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時(shí)，繼續(xù)使用以前的IP頭部，只對(duì)IP頭部的部分域進(jìn)行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。隧道模式對(duì)整個(gè)IP數(shù)據(jù)色進(jìn)行加密或認(rèn)證。此時(shí)，需要新產(chǎn)生一個(gè)IP頭部，IPSec頭部被放置在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個(gè)新的IP頭部。