【正文】 在各個通信層上實現(xiàn)多種協(xié)議。例如，相應(yīng)接口的物理層和鏈路層協(xié)議、IP/ICMP等互聯(lián)網(wǎng)層協(xié)議、TCP/UDP等傳輸層協(xié)議、Telnet/SNMP等應(yīng)用層協(xié)議和RIP/OSPF/BGP等路由協(xié)議。協(xié)議一致性測試應(yīng)當(dāng)包含路由器所實現(xiàn)的所有協(xié)議。由于該測試內(nèi)容繁多且測試復(fù)雜，在測試中，可以選擇重要的協(xié)議以及所關(guān)心的內(nèi)容進行測試。由于骨干網(wǎng)上的路由器可能影響到全球路由，所以，在路由器測試中，應(yīng)特別重視路由協(xié)議一致性測試，例如OSPF和BGP協(xié)議。由于一致性測試只能選擇有限測試?yán)M行測試，一般無法涵蓋協(xié)議的所有內(nèi)容。所以，即使已通過測試也無法保證設(shè)備能完全實現(xiàn)協(xié)議的所有內(nèi)容，所以最好的辦法是在現(xiàn)實環(huán)境中進行測試。路由器一致性測試一般采用分布式測試法或遠端測試法。4. 互操作測試由于通信協(xié)議、路由協(xié)議非常復(fù)雜并且擁有眾多的選項，因此，實現(xiàn)同一協(xié)議的路由器并不能保證互通、互操作。并且因為一致性測試的能力有限，即使可以通過協(xié)議一致性測試也未必能保證完全實現(xiàn)協(xié)議，所以，有必要對設(shè)備進行互操作測試?；ゲ僮鳒y試實際上是將一致性測試中所使用的儀表替換成需要與之互通、互操作的設(shè)備，選擇一些重要且典型的互聯(lián)方式進行配置，觀察兩臺設(shè)備是否能按照預(yù)期的計劃正常工作。5. 穩(wěn)定性、可靠性測試路由器的穩(wěn)定性和可靠性很難進行測試。一般可以通過兩種途徑得到：(1)廠家通過關(guān)鍵部件的可靠性以及備份程度來計算出系統(tǒng)的可靠性；(2)用戶或廠家通過大量相同產(chǎn)品在使用中的故障率來統(tǒng)計產(chǎn)品的穩(wěn)定性和可靠性。當(dāng)然，用戶也可以通過在一定時間內(nèi)，對試運行結(jié)果的要求來保證路由器的可靠性與穩(wěn)定性。6. 網(wǎng)管測試網(wǎng)管測試一般用于測試網(wǎng)管軟件對網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的管理能力。由于路由器是IP網(wǎng)的核心設(shè)備，所以必須測試路由器對網(wǎng)管的支持度。如果路由器附帶有網(wǎng)管軟件，可以通過使用所附帶的網(wǎng)管軟件來檢查網(wǎng)管軟件所實現(xiàn)的配置管理、安全管理、性能管理、計賬管理、故障管理、拓撲管理和視圖管理等功能。如果路由器不附帶有網(wǎng)管軟件，則應(yīng)當(dāng)測試路由器對SNMP協(xié)議實現(xiàn)的一致性和對MIB實現(xiàn)的程度。由于路由器需要實現(xiàn)的MIB非常多，每個MIB都包含有大量的內(nèi)容，很難對MIB實現(xiàn)完全測試。一般可以通過抽測重要的MIB項來檢查路由器對MIB的實現(xiàn)情況。(3) 簡答網(wǎng)絡(luò)故障分層檢測的方法。答：針對網(wǎng)絡(luò)的分層結(jié)構(gòu)特點，在分析和排查網(wǎng)絡(luò)故障時，應(yīng)充分利用網(wǎng)絡(luò)這種分層的特點，快速準(zhǔn)確地定位并排除故障。TCP/IP的層次結(jié)構(gòu)為管理員分析和排查故障提供了非常好的組織方式。由于其各層相對獨立，按層排查能夠有效地發(fā)現(xiàn)和隔離故障，因而一般使用逐層分析和排查的方法。逐層排查方式通常有兩種，一種是從低層開始排查，適用于物理網(wǎng)絡(luò)不夠成熟穩(wěn)定的情況，例如組建新的網(wǎng)絡(luò)、重新調(diào)整網(wǎng)絡(luò)線纜、增加新的網(wǎng)絡(luò)設(shè)備；另一種是從高層開始排查，適用于物理網(wǎng)絡(luò)相對成熟穩(wěn)定的情況，例如硬件設(shè)備沒有變動。無論使用哪種方式，最終都能達到目標(biāo)，只是解決問題的效率有所差別。具體采用哪種排查方式，可根據(jù)具體地情況來選擇。例如，遇到某客戶端不能訪問Web服務(wù)的情況，如果管理員首先去檢查網(wǎng)絡(luò)的連接線纜，就顯得太悲觀了，除非明確知道網(wǎng)絡(luò)線路有所變動。比較好的選擇方法是直接從應(yīng)用層著手，可以按照以下方法進行排查：首先檢查客戶端的Web瀏覽器是否正確配置，可以嘗試使用瀏覽器訪問另一個Web服務(wù)器，如果Web瀏覽器沒有問題，可以在Web服務(wù)器上測試Web服務(wù)器是否正常運行；如果Web服務(wù)器沒有問題，再測試網(wǎng)絡(luò)的連通性。即使是Web服務(wù)器問題，從底層開始逐層排查也能最終解決問題，只是花費的時間太多了。如果碰巧是線路問題，從高層開始逐層排查也要浪費時間。假設(shè)現(xiàn)在在公司里網(wǎng)絡(luò)發(fā)生了故障導(dǎo)致無法上網(wǎng)，你作為一名網(wǎng)管，應(yīng)該如何排除故障。答：根據(jù)本章介紹的知識，可以分成以下排錯步驟：（1）首先，查看無線路由器，LAN的燈是否亮綠燈，如是則正常，否則說明路由器故障。（2）再查看無線路由器的WAN燈是否亮且亮綠燈，如是說明正常，否則說明可能是帶寬外線故障或者路由器本身故障。（3）如果以上可能都排除，接下來需要檢測交換機，觀察交換機的燈是否閃爍，使用操作系統(tǒng)的網(wǎng)絡(luò)監(jiān)視器來查看網(wǎng)絡(luò)包交換情況，來確認交換機是否故障。（4）當(dāng)交換機故障排除后，下面就要觀察是否在局域網(wǎng)內(nèi)出現(xiàn)IP地址沖突，如果是的話，要及時修改。（5）當(dāng)以上可能性排除后，剩下的是網(wǎng)卡故障和操作系統(tǒng)軟件故障。 只需按照以上的步驟一步一步的排除，最終就可以找到網(wǎng)絡(luò)故障的原因。 思考與練習(xí)1. 填空題(1) 配置管理、故障管理、性能管理、安全管理和計費管理。(2) 集中式網(wǎng)管和分布式網(wǎng)管(3) 被管理設(shè)備、代理和網(wǎng)絡(luò)管理系統(tǒng)(NMS) (4) Get、Set和Trap。2. 選擇題(1) B (2) C (3) A (4) D 3. 問答題(1) 簡述網(wǎng)絡(luò)管理系統(tǒng)的5大功能。答：國際標(biāo)準(zhǔn)化組織(ISO)在ISO/IEC 74984文檔中定義了網(wǎng)絡(luò)管理的5大功能：配置管理、故障管理、性能管理、安全管理和計費管理。1. 配置管理配置管理是一組辨別、定義、控制和監(jiān)視設(shè)備所必需的相關(guān)功能，即網(wǎng)絡(luò)中應(yīng)有或?qū)嶋H有多少設(shè)備，每個設(shè)備的功能及其連接關(guān)系、工作參數(shù)等。2. 故障管理故障管理指的是管理功能中的監(jiān)測設(shè)備故障以及與故障設(shè)備的監(jiān)測、恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供可靠的服務(wù)。3. 性能管理性能管理用于對系統(tǒng)運行和通信效率等系統(tǒng)性能進行評價，包括從被管理設(shè)備中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)，分析和統(tǒng)計歷史數(shù)據(jù)，建立性能分析模型，預(yù)測網(wǎng)絡(luò)性能的長期趨勢，并根據(jù)分析和預(yù)測結(jié)果對網(wǎng)絡(luò)拓撲結(jié)構(gòu)和參數(shù)進行調(diào)整。性能管理保證了網(wǎng)絡(luò)資源的最優(yōu)化利用。4. 安全管理安全管理涉及的問題包括保證網(wǎng)絡(luò)管理工作可靠進行的安全問題，保護網(wǎng)絡(luò)用戶個人隱私和保護網(wǎng)絡(luò)管理對象的問題。5. 計費管理計費管理過程主要用于完成與費用有關(guān)的一些信息的收集、處理并給出報告，包括用戶對網(wǎng)絡(luò)資源的使用等，計費管理功能提供了對用戶收費的依據(jù)。(2) SNMP定義了哪些基本命令？答：SNMP實現(xiàn)中的基本命令有3個：Get、Set和Trap?！?Get：管理系統(tǒng)可以讀取管理代理包含的對象信息的值。Get命令是SNMP協(xié)議中使用率最高的一個命令，因為它是從網(wǎng)絡(luò)設(shè)備中獲取管理信息的基本方法?！?Set：管理系統(tǒng)可以修改管理代理包含的對象信息的值。Set命令是一個特權(quán)命令，因為通過它可以改變設(shè)備的配置或控制設(shè)備的運行狀態(tài)。● Trap(陷阱)：管理代理可以向網(wǎng)絡(luò)管理軟件主動發(fā)送一些信息。Trap命令的功能是在網(wǎng)絡(luò)管理系統(tǒng)沒有明確的要求下，管理代理主動通知網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)上有一些特別的情況或特別的問題發(fā)生了。 思考與練習(xí)1. 填空題(1) 機密性、完整性、可用性、真實性和不可否認性。(2) 物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。(3) 對稱加密算法(私鑰密碼體系)和非對稱加密算法(公鑰密碼體系)。(4) 網(wǎng)絡(luò)層(5) 數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)和數(shù)據(jù)庫管理子系統(tǒng)。2. 選擇題(1) A (2) ACD (3) A(4) D 3. 問答題1) 簡述網(wǎng)絡(luò)安全防范體系的結(jié)構(gòu)框架。答：網(wǎng)絡(luò)安全防范體系的科學(xué)性和可行性是其可順利實施的保障。基于DISSP擴展的一個三維安全防范技術(shù)體系框架結(jié)構(gòu)，第一維是安全服務(wù)，給出了8種安全屬性(ITUT )，其中包括了對等實體認證、數(shù)據(jù)源認證、訪問控制、機密性、流量機密性、數(shù)據(jù)完整性、抗否認服務(wù)、可用性；第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成，其包括了通信平臺、網(wǎng)絡(luò)平臺、系統(tǒng)平臺、應(yīng)用平臺、物理環(huán)境；第三維是結(jié)構(gòu)層次，給出并擴展了國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互聯(lián)(OSI)模型，其包括了應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層和物理層?？蚣芙Y(jié)構(gòu)中的每一個系統(tǒng)單元都對應(yīng)于某一個協(xié)議層次，需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺需要有網(wǎng)絡(luò)節(jié)點之間的認證和訪問控制，應(yīng)用平臺需要有針對用戶的認證和訪問控制，需要保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?，需要有抗抵賴和審計的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。針對一個信息網(wǎng)絡(luò)系統(tǒng)，如果在各個系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求，則該信息網(wǎng)絡(luò)被認為是安全的。2) 簡述入侵檢測技術(shù)的工作原理。答：目前，IDS分析及檢測入侵階段一般通過以下幾種技術(shù)手段進行分析：特征庫匹配、基于統(tǒng)計的分析和完整性分析。其中，前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。為了能夠更有效地發(fā)現(xiàn)網(wǎng)絡(luò)受攻擊的跡象，網(wǎng)絡(luò)入侵檢測部件應(yīng)當(dāng)能夠分析網(wǎng)絡(luò)上所使用的各種網(wǎng)絡(luò)協(xié)議，識別各種網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)入侵檢測部件對網(wǎng)絡(luò)攻擊行為的識別通常是通過網(wǎng)絡(luò)入侵特征庫來實現(xiàn)，這種方法有利于在出現(xiàn)了新的網(wǎng)絡(luò)攻擊手段時，方便地對入侵特征庫加以更新，提高入侵檢測部件對網(wǎng)絡(luò)攻擊行為的識別能力。根據(jù)IDS監(jiān)控的對象，可以將IDS分為以下兩大類：● 基于網(wǎng)絡(luò)的系統(tǒng)：這種IDS放置在網(wǎng)絡(luò)之上，靠近被檢測的系統(tǒng)，它們用于監(jiān)測網(wǎng)絡(luò)流量并判斷它是否正常。● 基于主機的系統(tǒng)：這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程并判斷它是否合法。利用網(wǎng)絡(luò)入侵檢測技術(shù)可以實現(xiàn)網(wǎng)絡(luò)安全檢測和實時攻擊識別，但它只能作為網(wǎng)絡(luò)安全的一個重要安全組件，網(wǎng)絡(luò)系統(tǒng)的實際安全實現(xiàn)應(yīng)該結(jié)合使用防火墻等技術(shù)來組成一個完整的網(wǎng)絡(luò)安全解決方案，其原因在于，網(wǎng)絡(luò)入侵檢測技術(shù)雖然能對網(wǎng)絡(luò)攻擊進行識別并做出反應(yīng)，但其側(cè)重點在于發(fā)現(xiàn)，不能代替防火墻系統(tǒng)執(zhí)行整個網(wǎng)絡(luò)的訪問控制策略。防火墻系統(tǒng)能夠?qū)⒁恍╊A(yù)期的網(wǎng)絡(luò)攻擊阻擋在網(wǎng)絡(luò)外面，而網(wǎng)絡(luò)入侵檢測技術(shù)除了減小網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險之外，還能對一些非預(yù)期的攻擊進行識別并做出反應(yīng)，切斷攻擊連接或通知防火墻系統(tǒng)修改控制準(zhǔn)則，將下一次的類似攻擊阻擋在網(wǎng)絡(luò)外部。因此，通過將網(wǎng)絡(luò)安全檢測技術(shù)和防火墻系統(tǒng)結(jié)合起來，可以實現(xiàn)一個完整的網(wǎng)絡(luò)安全解決方案。3) 簡述IPSec的工作原理。答：IPSec的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當(dāng)接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配，當(dāng)找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制訂的方法對接收到的IP數(shù)據(jù)包進行處理。這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。IPSec通過查詢SPD(Security Po1icy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包進行處理。但是，IPSec不同于包過濾防火墻的是：對IP數(shù)據(jù)包的處理方法除了丟棄和直接轉(zhuǎn)發(fā)(繞過IPSec)外，還有一種即進行IPSec處理。正是這個新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡(luò)安全性。進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認證。包過濾防火墻只能控制來自或去往某個站點的IP數(shù)據(jù)包的通過，可以拒絕來自某個外部站點的IP數(shù)據(jù)包訪問內(nèi)部某些站點，也可以拒絕某個內(nèi)部站點對某些外部網(wǎng)站的訪問。但是，包過濾防火墻不能保證從內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對IP數(shù)據(jù)包實施了加密和認證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性、真實性、完整性，通過Internet進行安全的通信才成為可能。IPSec既可以只對IP數(shù)據(jù)包進行加密，或只進行認證，也可以同時實施兩者。但無論是進行加密還是進行認證，IPSec都有兩種工作模式：一種是協(xié)議工作方式類似的隧道模式；另一種是傳輸模式。傳輸模式只對IP數(shù)據(jù)包的有效負載進行加密或認證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。隧道模式對整個IP數(shù)據(jù)色進行加密或認證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放置在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。