【正文】 此時(shí)，需要新產(chǎn)生一個(gè)IP頭部，IPSec頭部被放置在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個(gè)新的IP頭部。此時(shí)，繼續(xù)使用以前的IP頭部，只對(duì)IP頭部的部分域進(jìn)行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。但無(wú)論是進(jìn)行加密還是進(jìn)行認(rèn)證，IPSec都有兩種工作模式：一種是協(xié)議工作方式類似的隧道模式；另一種是傳輸模式。只有在對(duì)IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性、真實(shí)性、完整性，通過(guò)Internet進(jìn)行安全的通信才成為可能。包過(guò)濾防火墻只能控制來(lái)自或去往某個(gè)站點(diǎn)的IP數(shù)據(jù)包的通過(guò)，可以拒絕來(lái)自某個(gè)外部站點(diǎn)的IP數(shù)據(jù)包訪問(wèn)內(nèi)部某些站點(diǎn)，也可以拒絕某個(gè)內(nèi)部站點(diǎn)對(duì)某些外部網(wǎng)站的訪問(wèn)。正是這個(gè)新增添的處理方法提供了比包過(guò)濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。IPSec通過(guò)查詢SPD(Security Po1icy Database安全策略數(shù)據(jù)庫(kù))決定對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)，包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配，當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過(guò)濾防火墻就按照該規(guī)則制訂的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。3) 簡(jiǎn)述IPSec的工作原理。防火墻系統(tǒng)能夠?qū)⒁恍╊A(yù)期的網(wǎng)絡(luò)攻擊阻擋在網(wǎng)絡(luò)外面，而網(wǎng)絡(luò)入侵檢測(cè)技術(shù)除了減小網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)之外，還能對(duì)一些非預(yù)期的攻擊進(jìn)行識(shí)別并做出反應(yīng)，切斷攻擊連接或通知防火墻系統(tǒng)修改控制準(zhǔn)則，將下一次的類似攻擊阻擋在網(wǎng)絡(luò)外部?！?基于主機(jī)的系統(tǒng)：這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上，用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程并判斷它是否合法。網(wǎng)絡(luò)入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別通常是通過(guò)網(wǎng)絡(luò)入侵特征庫(kù)來(lái)實(shí)現(xiàn)，這種方法有利于在出現(xiàn)了新的網(wǎng)絡(luò)攻擊手段時(shí)，方便地對(duì)入侵特征庫(kù)加以更新，提高入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的識(shí)別能力。其中，前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。2) 簡(jiǎn)述入侵檢測(cè)技術(shù)的工作原理。網(wǎng)絡(luò)平臺(tái)需要有網(wǎng)絡(luò)節(jié)點(diǎn)之間的認(rèn)證和訪問(wèn)控制，應(yīng)用平臺(tái)需要有針對(duì)用戶的認(rèn)證和訪問(wèn)控制，需要保證數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?，需要有抗抵賴和審?jì)的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。基于DISSP擴(kuò)展的一個(gè)三維安全防范技術(shù)體系框架結(jié)構(gòu)，第一維是安全服務(wù)，給出了8種安全屬性(ITUT )，其中包括了對(duì)等實(shí)體認(rèn)證、數(shù)據(jù)源認(rèn)證、訪問(wèn)控制、機(jī)密性、流量機(jī)密性、數(shù)據(jù)完整性、抗否認(rèn)服務(wù)、可用性；第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成，其包括了通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)、物理環(huán)境；第三維是結(jié)構(gòu)層次，給出并擴(kuò)展了國(guó)際標(biāo)準(zhǔn)化組織ISO的開(kāi)放系統(tǒng)互聯(lián)(OSI)模型，其包括了應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層和物理層。2. 選擇題(1) A (2) ACD (3) A(4) D 3. 問(wèn)答題1) 簡(jiǎn)述網(wǎng)絡(luò)安全防范體系的結(jié)構(gòu)框架。(3) 對(duì)稱加密算法(私鑰密碼體系)和非對(duì)稱加密算法(公鑰密碼體系)。 思考與練習(xí)1. 填空題(1) 機(jī)密性、完整性、可用性、真實(shí)性和不可否認(rèn)性?！?Trap(陷阱)：管理代理可以向網(wǎng)絡(luò)管理軟件主動(dòng)發(fā)送一些信息?！?Set：管理系統(tǒng)可以修改管理代理包含的對(duì)象信息的值?！?Get：管理系統(tǒng)可以讀取管理代理包含的對(duì)象信息的值。5. 計(jì)費(fèi)管理計(jì)費(fèi)管理過(guò)程主要用于完成與費(fèi)用有關(guān)的一些信息的收集、處理并給出報(bào)告，包括用戶對(duì)網(wǎng)絡(luò)資源的使用等，計(jì)費(fèi)管理功能提供了對(duì)用戶收費(fèi)的依據(jù)。性能管理保證了網(wǎng)絡(luò)資源的最優(yōu)化利用。2. 故障管理故障管理指的是管理功能中的監(jiān)測(cè)設(shè)備故障以及與故障設(shè)備的監(jiān)測(cè)、恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供可靠的服務(wù)。答：國(guó)際標(biāo)準(zhǔn)化組織(ISO)在ISO/IEC 74984文檔中定義了網(wǎng)絡(luò)管理的5大功能：配置管理、故障管理、性能管理、安全管理和計(jì)費(fèi)管理。(2) 集中式網(wǎng)管和分布式網(wǎng)管(3) 被管理設(shè)備、代理和網(wǎng)絡(luò)管理系統(tǒng)(NMS) (4) Get、Set和Trap。 只需按照以上的步驟一步一步的排除，最終就可以找到網(wǎng)絡(luò)故障的原因。（4）當(dāng)交換機(jī)故障排除后，下面就要觀察是否在局域網(wǎng)內(nèi)出現(xiàn)IP地址沖突，如果是的話，要及時(shí)修改。（2）再查看無(wú)線路由器的WAN燈是否亮且亮綠燈，如是說(shuō)明正常，否則說(shuō)明可能是帶寬外線故障或者路由器本身故障。假設(shè)現(xiàn)在在公司里網(wǎng)絡(luò)發(fā)生了故障導(dǎo)致無(wú)法上網(wǎng)，你作為一名網(wǎng)管，應(yīng)該如何排除故障。即使是Web服務(wù)器問(wèn)題，從底層開(kāi)始逐層排查也能最終解決問(wèn)題，只是花費(fèi)的時(shí)間太多了。例如，遇到某客戶端不能訪問(wèn)Web服務(wù)的情況，如果管理員首先去檢查網(wǎng)絡(luò)的連接線纜，就顯得太悲觀了，除非明確知道網(wǎng)絡(luò)線路有所變動(dòng)。無(wú)論使用哪種方式，最終都能達(dá)到目標(biāo)，只是解決問(wèn)題的效率有所差別。由于其各層相對(duì)獨(dú)立，按層排查能夠有效地發(fā)現(xiàn)和隔離故障，因而一般使用逐層分析和排查的方法。答：針對(duì)網(wǎng)絡(luò)的分層結(jié)構(gòu)特點(diǎn)，在分析和排查網(wǎng)絡(luò)故障時(shí)，應(yīng)充分利用網(wǎng)絡(luò)這種分層的特點(diǎn)，快速準(zhǔn)確地定位并排除故障。一般可以通過(guò)抽測(cè)重要的MIB項(xiàng)來(lái)檢查路由器對(duì)MIB的實(shí)現(xiàn)情況。如果路由器不附帶有網(wǎng)管軟件，則應(yīng)當(dāng)測(cè)試路由器對(duì)SNMP協(xié)議實(shí)現(xiàn)的一致性和對(duì)MIB實(shí)現(xiàn)的程度。由于路由器是IP網(wǎng)的核心設(shè)備，所以必須測(cè)試路由器對(duì)網(wǎng)管的支持度。當(dāng)然，用戶也可以通過(guò)在一定時(shí)間內(nèi)，對(duì)試運(yùn)行結(jié)果的要求來(lái)保證路由器的可靠性與穩(wěn)定性。5. 穩(wěn)定性、可靠性測(cè)試路由器的穩(wěn)定性和可靠性很難進(jìn)行測(cè)試。并且因?yàn)橐恢滦詼y(cè)試的能力有限，即使可以通過(guò)協(xié)議一致性測(cè)試也未必能保證完全實(shí)現(xiàn)協(xié)議，所以，有必要對(duì)設(shè)備進(jìn)行互操作測(cè)試。路由器一致性測(cè)試一般采用分布式測(cè)試法或遠(yuǎn)端測(cè)試法。由于一致性測(cè)試只能選擇有限測(cè)試?yán)M(jìn)行測(cè)試，一般無(wú)法涵蓋協(xié)議的所有內(nèi)容。由于該測(cè)試內(nèi)容繁多且測(cè)試復(fù)雜，在測(cè)試中，可以選擇重要的協(xié)議以及所關(guān)心的內(nèi)容進(jìn)行測(cè)試。例如，相應(yīng)接口的物理層和鏈路層協(xié)議、IP/ICMP等互聯(lián)網(wǎng)層協(xié)議、TCP/UDP等傳輸層協(xié)議、Telnet/SNMP等應(yīng)用層協(xié)議和RIP/OSPF/BGP等路由協(xié)議。不同的測(cè)試事件是通過(guò)不同的PCO來(lái)控制和觀察的，按照其應(yīng)答是否符合規(guī)范，即定時(shí)關(guān)系和數(shù)據(jù)匹配限制，測(cè)試的結(jié)果可分為通過(guò)、失敗、無(wú)結(jié)果3種。3. 一致性測(cè)試路由器一致性測(cè)試通常采用“黑箱”方法，被測(cè)試設(shè)備IUT叫做“黑箱”。(6) 系統(tǒng)復(fù)位：測(cè)試路由器從軟件復(fù)位或關(guān)電重啟到正常工作的時(shí)間間隔。測(cè)試方法可以采用向路由器端口發(fā)送吞吐量110%和線速間的較小值，持續(xù)60秒后，將速率下降到50%的時(shí)刻到最后一個(gè)丟包的時(shí)間范圍。該測(cè)試實(shí)際上是考驗(yàn)路由器的緩存能力，如果路由器具備線速能力(吞吐量=接口媒體線速)，則該測(cè)試沒(méi)有意義。不同負(fù)荷通常指從吞吐量測(cè)試到線速(線路上傳輸包的最高速率)，步長(zhǎng)一般為線速的10%。時(shí)延測(cè)試應(yīng)當(dāng)重復(fù)20次，然后取其平均值。指的是路由器在不丟包的條件下每秒轉(zhuǎn)發(fā)包的極限，一般可以采用二分法查找該極限點(diǎn)。例如：路由表容量、路由協(xié)議收斂時(shí)間等指標(biāo)。由于IETF沒(méi)有對(duì)路由器性能測(cè)試作出專門的規(guī)定，一般來(lái)說(shuō)，只能按照RFC2544進(jìn)行測(cè)試。路由器功能測(cè)試一般采用遠(yuǎn)端測(cè)試法。路由器對(duì)上述功能并非必須完全實(shí)現(xiàn)，但是由于路由器作為網(wǎng)絡(luò)設(shè)備，存在最小功能集，對(duì)最小功能集所規(guī)定的功能，路由器必須給予支持。通過(guò)多種不同的途徑對(duì)路由器進(jìn)行控制管理，并且允許記錄日志。路由協(xié)議包括RIP、OSPF、BGP等協(xié)議。(3) 數(shù)據(jù)包轉(zhuǎn)發(fā)功能：該功能主要用于按照路由表內(nèi)容在各端口(包括邏輯端口)之間轉(zhuǎn)發(fā)數(shù)據(jù)包并且改寫鏈路層數(shù)據(jù)包的頭信息。局域網(wǎng)接口主要包括以太網(wǎng)、令牌環(huán)、令牌總線、FDDI等網(wǎng)絡(luò)接口；廣域網(wǎng)接口主要包括E1/TE3/TDS通用串行口等網(wǎng)絡(luò)接口。1. 功能測(cè)試路由器功能通?？梢詣澐譃槿缦聨讉€(gè)方面：(1) 接口功能：該功能用于將路由器連接到網(wǎng)絡(luò)中。(2) 描述路由器性能測(cè)試的主要方法?！?網(wǎng)絡(luò)管理：網(wǎng)絡(luò)管理指的是網(wǎng)絡(luò)管理員通過(guò)網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作，包括配置管理、計(jì)賬管理、性能管理、差錯(cuò)管理和安全管理。一般情況下，專用路由器所支持的VPN數(shù)量較多?！?VPN支持能力：通常情況下，路由器都能支持VPN?！?時(shí)延抖動(dòng)：時(shí)延抖動(dòng)即時(shí)延變化?！?丟包率：丟包率指的是測(cè)試中所丟失的數(shù)據(jù)包數(shù)量占所發(fā)送的數(shù)據(jù)包數(shù)量的比率，通常在吞吐量范圍內(nèi)進(jìn)行測(cè)試?！?路由表能力：路由器通常依靠其所建立及維護(hù)的路由表來(lái)決定如何轉(zhuǎn)發(fā)數(shù)據(jù)包。● 部分網(wǎng)狀：該測(cè)試在更嚴(yán)格的環(huán)境下測(cè)試交換機(jī)最大的承受能力，通過(guò)從多個(gè)發(fā)送端口向多個(gè)接收端口以網(wǎng)狀形式發(fā)送幀來(lái)進(jìn)行測(cè)試?！?線端阻塞(Head of Line Blocking，HOL)：該測(cè)試決定擁塞的端口如何影響非擁塞端口的轉(zhuǎn)發(fā)速率?！?錯(cuò)誤幀過(guò)濾：該測(cè)試項(xiàng)目決定了交換機(jī)能否正確地過(guò)濾某些錯(cuò)誤類型的幀?！?延遲：該項(xiàng)指標(biāo)能夠決定數(shù)據(jù)包通過(guò)交換機(jī)的時(shí)間?！?背對(duì)背(BacktoBack)：該測(cè)試用于測(cè)試交換機(jī)在不丟幀的情況下能夠持續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)幀的數(shù)量。其分別為如下：● 吞吐量：作為用戶選擇交換機(jī)和衡量交換機(jī)性能的最重要指標(biāo)之一，吞吐量的高低決定了交換機(jī)在沒(méi)有丟幀的情況下發(fā)送和接收幀的最大速率。2. 選擇題(1) A (2) ABCD(3) B (4) D 3. 問(wèn)答題(1) 根據(jù)本章的內(nèi)容，闡述3層交換機(jī)測(cè)試的主要指標(biāo)和這些指標(biāo)的意義。(3) 功能測(cè)試、性能測(cè)試、穩(wěn)定性可靠性測(cè)試、一致性測(cè)試、互操作性測(cè)試和網(wǎng)管測(cè)試。圖913 家庭網(wǎng)絡(luò)拓?fù)鋱D 思考與練習(xí)1. 填空題(1) 一致性測(cè)試、互操作性測(cè)試和性能測(cè)試。答：根據(jù)本章介紹的知識(shí)，可以構(gòu)建出簡(jiǎn)單的家庭局域網(wǎng)環(huán)境，首先需要構(gòu)建出家庭網(wǎng)絡(luò)的基本網(wǎng)絡(luò)設(shè)備，由于考慮到價(jià)格和性能以及布線的工藝難度，所以，選擇無(wú)線路由器，另外，為了能夠滿足在家庭網(wǎng)絡(luò)中不同地方增加計(jì)算機(jī)，所以，建議使用交換機(jī)。h. Internet/Intranet服務(wù)(Internet/Intranet Service)為了適應(yīng)Internet與Intranet的應(yīng)用，局域網(wǎng)操作系統(tǒng)一般都支持TCP/IP協(xié)議、提供各種Internet服務(wù)和支持Java應(yīng)用開(kāi)發(fā)工具，使局域網(wǎng)服務(wù)器成為Web服務(wù)器，全面支持Internet與Intranet的訪問(wèn)。對(duì)于用戶來(lái)說(shuō)，在一個(gè)局域網(wǎng)系統(tǒng)中的分布在不同位置的多個(gè)服務(wù)器資源都是透明的，用戶可以使用簡(jiǎn)單的方法訪問(wèn)一個(gè)大型互聯(lián)局域網(wǎng)系統(tǒng)。它將分布在不同地理位置的互聯(lián)局域網(wǎng)中的資源組織在一個(gè)全局性的、可復(fù)制的分布數(shù)據(jù)庫(kù)中，網(wǎng)中的多個(gè)服務(wù)器都有該數(shù)據(jù)庫(kù)的副本。e. 信息服務(wù)(Message Service)局域網(wǎng)可以利用存儲(chǔ)轉(zhuǎn)發(fā)方式或?qū)Φ鹊狞c(diǎn)到點(diǎn)通信方式完成電子郵件服務(wù)，目前已經(jīng)進(jìn)一步發(fā)展為文本文件和二進(jìn)制數(shù)據(jù)文件，以及圖像、數(shù)字視頻與語(yǔ)音數(shù)據(jù)的同步傳輸服務(wù)?？蛻舳?服務(wù)器模式優(yōu)化了局域網(wǎng)系統(tǒng)的協(xié)同操作模式，有效地改善了局域網(wǎng)的應(yīng)用系統(tǒng)性能。網(wǎng)絡(luò)打印服務(wù)在接收到用戶打印請(qǐng)求后，按照先到先服務(wù)的原則，將多個(gè)用戶需要打印的文件排隊(duì)，使用排隊(duì)隊(duì)列管理用戶的打印任務(wù)。通過(guò)打印服務(wù)功能，在局域網(wǎng)中可以設(shè)置一臺(tái)或幾臺(tái)打印機(jī)，這樣，網(wǎng)絡(luò)用戶就可以遠(yuǎn)程共享網(wǎng)絡(luò)打印機(jī)了。b. 打印服務(wù)(Print Service)打印服務(wù)也是局域網(wǎng)操作系統(tǒng)提供的最基本的網(wǎng)絡(luò)服務(wù)功能之一。網(wǎng)絡(luò)工作站可以根據(jù)所規(guī)定的權(quán)限對(duì)文件進(jìn)行相應(yīng)的讀、寫以及其他各種操作。(2) 局域網(wǎng)的主要服務(wù)有哪些？答：局域網(wǎng)操作系統(tǒng)通過(guò)文件服務(wù)器向網(wǎng)絡(luò)工作站提供各種有效的服務(wù)，這些服務(wù)主要包括以下幾種：a. 文件服務(wù)(File Service)文件服務(wù)是局域網(wǎng)操作系統(tǒng)中最重要、最基本的網(wǎng)絡(luò)服務(wù)功能。b. 從操作系統(tǒng)的角度看，大多數(shù)網(wǎng)絡(luò)操作系統(tǒng)都是圍繞核心調(diào)度的多用戶共享資源的操作系統(tǒng)，包括磁盤處理、打印機(jī)處理、網(wǎng)絡(luò)通信處理等面向用戶的處理程序和面向多用戶系統(tǒng)的核心調(diào)度程序。答：網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)用戶與計(jì)算機(jī)網(wǎng)絡(luò)的接口。 思考與練習(xí)填空題(1)