【正文】 能干的人，不在情緒上計(jì)較，只在做事上認(rèn)真；無(wú)能的人！不在做事上認(rèn)真，只在情緒上計(jì)較。什么是奮斗？奮斗就是每天很難，可一年一年卻越來(lái)越容易。寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。內(nèi)網(wǎng)的主機(jī)只能以這一個(gè)地址連接互聯(lián)網(wǎng)。極限的情況，可以用一個(gè)公開(kāi)IP地址為數(shù)百臺(tái)內(nèi)網(wǎng)主機(jī)提供支持。當(dāng)公開(kāi)IP地址被全部占用的時(shí)候，無(wú)法分到公開(kāi)IP地址的數(shù)據(jù)報(bào)將被終止傳輸。當(dāng)連接結(jié)束后，公開(kāi)IP地址將被NAT程序收回，以備其它主機(jī)在與互聯(lián)網(wǎng)通訊時(shí)使用。使用NAT技術(shù)，就可以在內(nèi)網(wǎng)中使用內(nèi)部IP地址。地址轉(zhuǎn)換NAT技術(shù)不僅為網(wǎng)絡(luò)提供了一種安全機(jī)制，也常用于沒(méi)有足夠的公開(kāi)IP地址。 NAT表。，數(shù)據(jù)報(bào)在流經(jīng)路由器時(shí)。
 網(wǎng)絡(luò)地址轉(zhuǎn)換 圖 在邊界路由器上加裝地址轉(zhuǎn)換，如果在邊界路由器上加裝地址轉(zhuǎn)換程序NAT(Network Address Translation)，每當(dāng)在內(nèi)部網(wǎng)絡(luò)的主機(jī)需要連接外網(wǎng)時(shí)，NAT就會(huì)隱藏其源IP地址，并動(dòng)態(tài)分配一個(gè)外部IP地址來(lái)取代。例如，網(wǎng)絡(luò)管理員可能需要在應(yīng)用層過(guò)濾信息以便將訪問(wèn)限制在可用的FTP或Telnet命令的子集之內(nèi)，或者阻塞郵件的進(jìn)入及特定話題的新聞進(jìn)入。IP包過(guò)濾器可能無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。如果打開(kāi)過(guò)濾功能，路由器不僅必須對(duì)每個(gè)數(shù)據(jù)包作出轉(zhuǎn)發(fā)決定，還必須將所有的過(guò)濾器規(guī)則施用給每個(gè)數(shù)據(jù)包。一般來(lái)說(shuō)，隨著過(guò)濾器數(shù)目的增加，路由器的吞吐量會(huì)下降。我們已經(jīng)知道數(shù)據(jù)驅(qū)動(dòng)式攻擊從表面上來(lái)看是由路由器轉(zhuǎn)發(fā)到內(nèi)部主機(jī)上沒(méi)有害處的數(shù)據(jù)。另外，在路由器上進(jìn)行規(guī)則配置之后，幾乎沒(méi)有什么工具可以用來(lái)審核過(guò)濾規(guī)則的正確性，因此會(huì)成為一個(gè)脆弱點(diǎn)。 包過(guò)濾路由器的缺點(diǎn)：定義數(shù)據(jù)包過(guò)濾器會(huì)比較復(fù)雜，因?yàn)榫W(wǎng)絡(luò)管理員需要對(duì)各種Internet服務(wù)、包頭格式、以及每個(gè)域的意義有非常深入的理解。由于Internet訪問(wèn)一般都是在WAN接口上提供，因此在流量適中并定義較少過(guò)濾器時(shí)對(duì)路由器的速度性能幾乎沒(méi)有影響。包過(guò)濾路由器的優(yōu)點(diǎn)：已部署的防火墻系統(tǒng)多數(shù)只使用了包過(guò)濾器路由器。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄。包頭信息中包括IP源地址、IP目標(biāo)地址、TCP/UDP目標(biāo)端口、ICMP消息類(lèi)型。路由器審查每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條訪問(wèn)控制列表中的包過(guò)濾規(guī)則匹配?！?55”表示最低的字節(jié)不需要考慮。最低的字節(jié)不需要考慮。其語(yǔ)法格式為：“accesslist”：創(chuàng)建訪問(wèn)控制列表語(yǔ)句的命令“permit”： 表示允許滿(mǎn)足后面條件的數(shù)據(jù)報(bào)通過(guò)“IP”： 表示本語(yǔ)句針對(duì)IP數(shù)據(jù)報(bào)“”：源主機(jī)。Any表示所有源主機(jī)“”：目標(biāo)主機(jī)“”： ，條件才算成立。前三個(gè)命令所建立的訪問(wèn)控制列表中創(chuàng)建了三條語(yǔ)句。我們可以用下面的命令來(lái)建立一個(gè)訪問(wèn)控制列表：(config) accesslist 101 deny ip any (config) accesslist 101 permit ip (config) accesslist 101 deny ip any any(config) interface e1(configif) ip accessgroup 101 (configif) exit (config)上面六條命令，前三個(gè)命令建立了一個(gè)編號(hào)為101的訪問(wèn)控制列表。 圖 包過(guò)濾路由器防火墻的建立下面我們利用實(shí)例來(lái)介紹如何建立一個(gè)包過(guò)濾防火墻。包過(guò)濾路由器根據(jù)“訪問(wèn)控制列表”審查每個(gè)數(shù)據(jù)包的報(bào)頭，來(lái)決定該數(shù)據(jù)包是否要被拒絕還是被轉(zhuǎn)發(fā)。攻擊探測(cè)防火墻可以安裝在代理服務(wù)器上，也可以做成獨(dú)立的設(shè)備，串接在與外網(wǎng)連接的鏈路，裝在邊界路由器的后面。外界的滲透，要從代理服務(wù)器開(kāi)始，因此增加了攻擊內(nèi)網(wǎng)主機(jī)的難度。 圖 包過(guò)濾防火墻2） 代理服務(wù)器這種防火墻方案要求所有內(nèi)網(wǎng)的主機(jī)需要使用代理服務(wù)器與外網(wǎng)的主機(jī)通訊。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，并且防火墻本身也必須能夠免于滲透。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過(guò)防火墻的重要信息。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線的攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個(gè)主機(jī)的堅(jiān)固程度來(lái)決定，并且安全性等同于其中最弱的系統(tǒng)。防火墻負(fù)責(zé)管理外部網(wǎng)絡(luò)和機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。 什么是防火墻防火墻是這樣的系統(tǒng)，它能用來(lái)屏蔽、阻攔數(shù)據(jù)報(bào)，只允許授權(quán)的數(shù)據(jù)報(bào)通過(guò)，以保護(hù)網(wǎng)絡(luò)的安全性。為了提供所需級(jí)別的保護(hù)，機(jī)構(gòu)需要有安全策略來(lái)防止非法用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息。當(dāng)機(jī)構(gòu)的內(nèi)部數(shù)據(jù)和網(wǎng)絡(luò)設(shè)施暴露在Internet上的時(shí)候，網(wǎng)絡(luò)管理員越來(lái)越關(guān)心網(wǎng)絡(luò)的安全。 當(dāng)一個(gè)機(jī)構(gòu)將其內(nèi)部網(wǎng)絡(luò)與Internet連接之后，所關(guān)心的一個(gè)主要問(wèn)題就是安全。不過(guò)，這也并不是很安全的方式。從真實(shí)網(wǎng)管工作站發(fā)往代理的報(bào)文都必須包含共同體名，它起著口令的作用。 圖 SNMP的5種通訊包SNMP協(xié)議使用周期性（如每10分鐘）的輪詢(xún)以維持對(duì)網(wǎng)絡(luò)的時(shí)實(shí)監(jiān)控，同時(shí)也使用Trap包來(lái)報(bào)告緊急事件，使SNMP協(xié)議成為一種有效的網(wǎng)絡(luò)管理協(xié)議。SNMP報(bào)文類(lèi)型編號(hào)SNMP報(bào)文名稱(chēng)用途0Getrequest網(wǎng)管工作站發(fā)出的論詢(xún)請(qǐng)求1Getnext request網(wǎng)管工作站發(fā)出的論詢(xún)請(qǐng)求2GetresponseSNMP代理程序向網(wǎng)管工作站傳送的配置參數(shù)和運(yùn)行參數(shù)3Setrequest網(wǎng)管工作站向設(shè)備發(fā)出的設(shè)置命令4Trap設(shè)備中的SNMP代理程序向網(wǎng)管工作站報(bào)告緊急事件網(wǎng)管工作站在輪詢(xún)時(shí)，使用Getrequest和Getnext request報(bào)文請(qǐng)求SNMP代理程序報(bào)告設(shè)備的配置參數(shù)和運(yùn)行參數(shù)，SNMP代理程序使用Getresponse包向網(wǎng)管工作站傳送這些參數(shù)。4） SNMP通訊協(xié)議SNMP通訊協(xié)議規(guī)定了網(wǎng)管工作站與設(shè)備中的SNMP代理程序之間的通訊格式，網(wǎng)管工作站與設(shè)備中的SNMP代理程序之間通過(guò)SNMP報(bào)文的形式來(lái)交換信息。MIB數(shù)據(jù)庫(kù)中存儲(chǔ)哪些參數(shù)以及數(shù)據(jù)庫(kù)結(jié)構(gòu)的定義在[RFC1212]、[RFC1213]這樣的文件中都有詳細(xì)的說(shuō)明。3） 管理信息庫(kù)MIBMIB是一個(gè)信息存儲(chǔ)庫(kù)，安裝在網(wǎng)管工作站上。因此，從操作和控制的角度看，網(wǎng)管工作站“管理”著許多代理。這種被稱(chēng)為T(mén)rap的方式，能夠及時(shí)地將諸如網(wǎng)絡(luò)端口失效、丟包數(shù)量超過(guò)警戒閥值等緊急信息報(bào)告給SNMP網(wǎng)管工作站。SNMP代理程序?qū)?lái)自SNMP網(wǎng)管工作站的信息查詢(xún)和修改設(shè)備配置的請(qǐng)求作出響應(yīng)。每個(gè)設(shè)備中的代理程序負(fù)責(zé)搜集本地的參數(shù)（如：設(shè)備端口流量、錯(cuò)包和錯(cuò)包數(shù)量情況、丟包和丟包數(shù)量情況等）。許多SNMP網(wǎng)管工作站的應(yīng)用進(jìn)程都具有圖形用戶(hù)界面，提供數(shù)據(jù)分析、故障發(fā)現(xiàn)的功能，網(wǎng)絡(luò)管理者能方便地檢查網(wǎng)絡(luò)狀態(tài)并在需要時(shí)采取行動(dòng)。SNMP網(wǎng)管工作站運(yùn)行一個(gè)或多個(gè)管理進(jìn)程，它通過(guò)SNMP協(xié)議在網(wǎng)絡(luò)上與網(wǎng)絡(luò)設(shè)備中的SNMP代理程序通信，發(fā)送命令并接收代理的應(yīng)答。SNMP協(xié)議規(guī)定整個(gè)系統(tǒng)必須有一個(gè)網(wǎng)管工作站，通過(guò)網(wǎng)絡(luò)設(shè)備中的SNMP代理程序，網(wǎng)絡(luò)設(shè)備中的設(shè)備類(lèi)型、端口配置、通訊狀況等信息定時(shí)傳送給網(wǎng)管工作站，再由網(wǎng)管工作站以圖形和報(bào)表的方式描繪出來(lái)。 圖 SNMP的體系結(jié)構(gòu)。SNMP協(xié)議在功能上規(guī)定要從一個(gè)或多個(gè)網(wǎng)管工作站上遠(yuǎn)程監(jiān)控網(wǎng)絡(luò)的運(yùn)行參數(shù)和設(shè)備，這包括：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、設(shè)備端口流量、錯(cuò)包和錯(cuò)包數(shù)量情況、丟包和丟包數(shù)量情況、設(shè)備和端口的連接狀態(tài)、VLAN劃分情況、幀中繼和ATM網(wǎng)絡(luò)情況、服務(wù)器CPU、內(nèi)存、磁盤(pán)、IPC、進(jìn)程、網(wǎng)絡(luò)使用情況，服務(wù)器日志情況、應(yīng)用響應(yīng)情況、SAN網(wǎng)絡(luò)情況等。SNMP協(xié)議提出了對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控管理的技術(shù)方案。本章將針對(duì)上述任務(wù)介紹較常用的網(wǎng)絡(luò)管理技術(shù)和網(wǎng)絡(luò)安全技術(shù)。一個(gè)高效率工作的網(wǎng)絡(luò)離不開(kāi)有效的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)管理是重要的網(wǎng)絡(luò)技術(shù)之一。此時(shí)，非對(duì)稱(chēng)式傳輸就比對(duì)稱(chēng)式傳輸有了更多更大的應(yīng)用范圍，它可以開(kāi)展電話、高速數(shù)據(jù)傳遞、視頻廣播、交互式服務(wù)和娛樂(lè)等服務(wù)，它能最大限度地利用可分離頻譜，按客戶(hù)需要提供帶寬。很明顯，非對(duì)稱(chēng)式傳輸最大的優(yōu)勢(shì)在于提高了下行速率，并極大地滿(mǎn)足INTER接入的客戶(hù)需求。如果CABLE MODEM也采用這種非對(duì)稱(chēng)式的傳輸，既能滿(mǎn)足客戶(hù)的要求，又能解決上行信號(hào)的噪聲問(wèn)題。上行的26MHz信號(hào)經(jīng)雙向?yàn)V波器檢出，輸入給變頻器，變頻器解出上行信號(hào)的中頻(36～44MHz)再調(diào)制為下行的251MHz，構(gòu)成一個(gè)邏輯環(huán)路，從而實(shí)現(xiàn)了有線電視網(wǎng)雙向交互的物理鏈路。在有線電視網(wǎng)里利用5～30(42)MHz作為上行頻帶，對(duì)應(yīng)的回傳最多可利用3個(gè)標(biāo)準(zhǔn)8MHz頻帶：500～550MHz傳輸模擬電視信號(hào)，550～650MHz為VOD(視頻點(diǎn)播)，650～750MHz為數(shù)據(jù)通訊。 CABLE MODEM的傳輸模式Cable Modem的傳輸模式分為對(duì)稱(chēng)式傳輸和非對(duì)稱(chēng)式傳輸。 Cable Modem 終端系統(tǒng)（CMTS）能和所有的Cabke Modem通訊，但是Cable Modem只能和CMTS通訊。來(lái)自用戶(hù)的上行數(shù)據(jù)，在用戶(hù)小區(qū)的前端被濾波器件從電視電纜中取出，通過(guò)光節(jié)點(diǎn)機(jī)、光纜、反向光收機(jī)，送到Cable Modem 終端系統(tǒng)CMTS，解調(diào)后送入INTERNET。接收下行信號(hào)時(shí)，Cable Modem把它轉(zhuǎn)換為數(shù)字信號(hào)，以便電腦處理。Cable Modem傳輸模式下，可以占用其中的一個(gè)或多個(gè)頻道傳輸數(shù)據(jù)信號(hào)。Cable Modem要在兩個(gè)不同的方向上接收和發(fā)送數(shù)據(jù)，把上、下行數(shù)字信號(hào)用不同的調(diào)制方式調(diào)制在雙向傳輸?shù)哪骋粋€(gè)6MHz(或8MHz)帶寬的電視頻道上。Cable Modem不僅包含調(diào)制解調(diào)部分，它還包括電視接收調(diào)諧、加密解密和協(xié)議適配等部分。 CABLE MODEM的體系結(jié)構(gòu)Cable Modem是一種可以通過(guò)有線電視網(wǎng)絡(luò)進(jìn)行高速數(shù)據(jù)接入的裝置。Cable Modem技術(shù)的下行速率可達(dá)30Mbps。有線電視使用的同軸電纜通常具有550MHz的頻響特性，一些新建小區(qū)的電視電纜達(dá)到了700MHz，甚至900MHz，遠(yuǎn)遠(yuǎn)超過(guò)電話電纜2MHz的頻帶寬度，因此非常適合傳輸數(shù)據(jù)。這樣一個(gè)城市最寶貴的資源用于Internet的寬帶接入具有廣泛的應(yīng)用前景。圖 通過(guò)代理接入INTERNET 除了Sygate，Wingate也是常用的代理服務(wù)器軟件。（如果服務(wù)器打開(kāi)了DHCP服務(wù)，則客戶(hù)端可設(shè)置本機(jī)IP為自動(dòng)獲?。?。另外一塊網(wǎng)卡接入局域網(wǎng)中的以太網(wǎng)交換機(jī)（或HUB）。代理服務(wù)器是一臺(tái)普通的電腦，安裝Sygate Office Network軟件，作為局域網(wǎng)中其它主機(jī)連接INTERNET的默認(rèn)網(wǎng)關(guān)。此外，ISP也可能給用戶(hù)提供其它的PPPoE軟件。它其實(shí)就是EnterNet，使用上也完全一樣，只是打上了BELL加拿大ISP部Sympatico的商標(biāo)，并略微做了修改。RASPPPoE：是一個(gè)由個(gè)人開(kāi)發(fā)的免費(fèi)軟件。 圖 EnterNet300的撥號(hào)界面WinPoET：由WindRiver公司開(kāi)發(fā)，該公司同時(shí)也是PPPoE協(xié)議起草者之一。EnterNet300：由Efficient Networks公司開(kāi)發(fā)，是最流行的PPPOE驅(qū)動(dòng)軟件，中國(guó)電信、網(wǎng)通等大ISP都選擇他提供給用戶(hù)。因此，在使用這些操作系統(tǒng)的計(jì)算機(jī)上，就需要另外安裝PPPoE軟件。而PPPoE協(xié)議是1998年后期由Redback 網(wǎng)絡(luò)公司、RouterWare公司以及World的子公司UUNET Technologies公司在IETF RFC制的基礎(chǔ)上聯(lián)合開(kāi)發(fā)出來(lái)的。發(fā)現(xiàn)階段結(jié)束，進(jìn)入PPP會(huì)話階段后，所有PPPoE報(bào)頭中的報(bào)文碼將填寫(xiě)為0x00。需要使用PPP的用戶(hù)認(rèn)證成功后，接入服務(wù)器才會(huì)在雙方建立的PPP連接上傳輸數(shù)據(jù)。然后，雙方進(jìn)入PPP會(huì)話階段。這時(shí)，接入服務(wù)器會(huì)為這次與用戶(hù)主機(jī)的連接分配一個(gè)會(huì)話標(biāo)識(shí)號(hào)Session ID，雙方在這個(gè)連接上的數(shù)據(jù)報(bào)都