1、第10章 网络安全技术10.1 网络安全问题概述 10.1.1网络安全的概念和安全控制模型 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄露等意外发生。网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的边缘学科。图 11-1 网络安全的组成 图11-2网络安全模型 这种通用模型指出了设计特定安全服务的4个基本任务:(1)设计执行与安全性相关的转换算法,该算法必须使对手不能破坏算法以实现其目的。(2)生成算法使用的保密信息。(3)开发分发和共享保密信息的方法。(4)指定两个主体要使用
2、的协议,并利用安全算法和保密信息来实现特定的安全服务。10.1.2 安全威胁 安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。安全威胁可分为故意的(如黑客渗透)和偶然的(如信息被发往错误的地址)两类。故意威胁又可进一步分为被动和主动两类。1安全攻击 对于计算机或网络安全性的攻击,最好通过在提供信息时查看计算机系统的功能来记录其特性。当信息从信源向信宿流动时,图11-3列出了信息正常流动和受到各种类型的攻击的情况。图11-3 安全攻击 另外,从网络高层协议的角度,攻击方法可以概括地分为两大类:服务攻击与非服务攻击。服务攻击
3、(Application Dependent Attack)是针对某种特定网络服务的攻击,如针对E-mail服务,Telnet,FTP,HTTP等服务的专门攻击。非服务攻击(Application Independent Attack)不针对某项具体应用服务,而是基于网络层等低层协议而进行的。TCP/IP协议(尤其是Ipv4)自身的安全机制不足为攻击者提供了方便之门。2基本的威胁 网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。一般认为,目前网络存在的威胁主要表现在:(1)信息泄漏或丢失。(2)破坏数据完整性。(3)拒绝服务攻击。(4)
4、非授权访问。3主要的可实现的威胁 这些威胁可以使基本威胁成为可能,因此十分重要。它包括两类:渗入威胁和植入威胁。(1)主要的渗入威胁有:假冒、旁路控制、授权侵犯。(2)主要的植入威胁有:特洛伊木马、陷门。4潜在的威胁 对基本威胁或主要的可实现的威胁进行分析,可以发现某些特定的潜在威胁,而任意一种潜在的威胁都可能导致发生一些更基本的威胁。5病毒 病毒是能够通过修改其它程序而“感染”它们的一种程序,修改后的程序里面包含了病毒程序的一个副本,这样它们就能够继续感染其它程序。通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,因此
5、,计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒3种技术。10.2 加密与认证技术 11.2.1密码学的基本概念 密码学(或称密码术)是保密学的一部分。保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。密码学是对信息进行编码实现隐蔽信息的一门学问。密码分析学是研究分析破译密码的学问。两者相互独立,而又相互促进。密码系统通常从3个独立的方面进行分类(1)按将明文转换成密文的操作类型可分为:置换密码和易位密码。(2)按明文的处理方法可分为:分组密码和序列密码。(3)按密钥的使用个数可分为:对称密码体制和非对称密码体制。1转换密码和易
6、位密码 在转换密码(substation cipher)中,每个或每组字母由另一个或另一组伪装字母所替换。最古老的一种置换密码是Julius Caesar发明的凯撒密码,这种密码算法对于原始消息(明文)中的每一个字母都用该字母后的第n个字母来替换,其中n就是密钥。例如使加密字母向右移3个字母,即a换成D,b换成E,c换成Fz换成C。由于凯撒密码的整个密钥空间只有26个密钥,只要知道圆圈密算法采用的是凯撒密码,对其进行破译就是轻而易举的事了,因为破译者最多只需尝试25次就可以知道正确的密钥。对凯撒密码的一种改进方法是把明文中的字符换成另一个字符,如将26个字母中的每一个字母都映射成另一个字母。例
7、如:明文:a b c d e f g h i j k l m n o p q r s t u v w x y z 密文:Q B E L C D F H G I A J N M K O P R S Z U T W V Y X 这种方法称为单字母表替换,其密钥是对应于整个字母表的26个字母串。按照此例中的密钥,明文attack加密后形成的密文是QZZQEA。采用单字母表替换时,密钥的个数有26!=41026个。虽然破译者知道加密的一般原理,但他并不知道使用的是哪一个密钥。即使使用1s试一个密钥的计算机,试遍全部密钥也要用1013年的时间。这似乎是一个很安全的系统,但破译者通过统计所有字母在密文中出
8、现的相对频率,猜测常用的字母、2字母组、3字母组,了解元音和辅音的可能形式,破译者就可逐字逐句地破解出明文。易位密码(transposition cipher)只对明文字母重新排序,但不隐藏它们。列易位密码是一种常用的易位密码,该密码的密钥是一个不含任何重复字母的单词或词语。要破译易位密码,破译者首先必须知道密文是用易位密码写的。通过查看E,T,A,O,I,N等字母的出现频率,容易知道它们是否满足明文的普通模式,如果满足,则该密码就是易位密码,因为在这种密码中,各字母就表示其自身。破译者随后猜测列的个数,即密钥的长度,最后确定列的顺序。在许多情形下,从信息的上下文可猜出一个可能的单词或短语。破
9、译者通过寻找各种可能性,常常能轻易地破解易位密码。2分组密码和序列密码 分组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的密钥和加密函数进行运算。一般为了减少存储量和提高运算速度,密钥的长度有限,因而加密函数的复杂性成为系统安全的关键。分组密码设计的核心是构造既具有可逆性又有很强的非线性的算法。加密函数重复地使用替换和易位两种基本的加密变换,也就是香农在1949年发现的隐蔽信息的两种技术:打乱和扩散。打乱(confusion)是改变信息块使输出位与输入位之间无明显的统计关系。扩散(diffusion)是通过密钥的效应把一个明文位转移到密文的其它位上。另外,在基本加密算法前
10、后,还要进行移位和扩展等。分组密码的优点是:明文信息良好的扩散性,对插入的敏感性,不需要密钥同步,较强的适用性,适合作为加密标准。分组密码的缺点是:加密速度慢;错误扩散和传播。序列密码的加密过程是把报文、话音、图像、数据等原始信息转换成明文数据序列,然后将它同密钥序列进行逐位模2加(即异或运算),生成密文序列发送给接收者。接收者用相同密钥序列进行逐位解密来恢复明文序列。序列密码的安全性主要依赖于密钥序列。密钥序列是由少量的制乱素(密钥)通过密钥序列产生器产生的大量伪随机序列。布尔函数是密钥序列产生器的重要组成部分。序列密码的优点是:处理速度快,实时性好,错误传播小,不易被破译,适用于军事、外交
11、等保密信道。序列密码的缺点是:明文扩散性差,需要密钥同步。3加密技术 数据加密技术可以分为3类,即对称型加密、非对称型加密和不可逆加密。对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,从而使用成本较高,安全性能也不易保证。这类算法的代表是在计算机网络系统中广泛使用的DES算法(Digital Encryption Standard)。不对称型加密算法也称公开密钥算法,其特点是有两个密钥(即公用密钥和私有密钥),只有两者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有两个密钥,它特别适用于分布式系统中的数
12、据加密,在Internet中得到广泛应用。其中公用密钥在网上公布,为数据发送方对数据加密时使用,而用于解密的相应私有密钥则由数据的接收方妥善保管。不对称加密的另一用法称为“数字签名”(digital signature),即数据源使用其私有密钥对数据的校验和(checksum)或其它与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读“数字签字”,并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不常规加密算法有RSA算法和美国国家标准局提出的DSA算法(Digital signature Algorithm)。不常规加密法在分布式系统中应用时需注意的问题是如何管理和确认公
13、用密钥的合法性。不可逆加密算法和特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算机工作量相当可观,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS,Secure Hash Standard)。加密技术用于网络安全通常有两种形式,即面向网络或面向
14、应用服务。从通信网络的传输方面,数据加密技术还可分为以下3类:链路加密方式、节点到节点方式和端到端方式。4密码分析 试图发现明文或密钥的过程称为密码分析。密码分析人员使用的策略取决于加密方案的特性和分析人员可用的信息。密码分析的过程通常包括:分析(统计所截获的消息材料)、假设、推断和证实等步骤。表11-1总结了各类加密消息的破译类型,这些破译是以分析人员所知的信息总量为基础的。破译类型密码分析人员已知的内容仅密文加密算法、要解密的密文已知明文加密算法、要解密的密文、使用保密密钥生成的一个或多个明文-密文对选择明文加密算法、要解密的密文、密码分析人员选择的明文消息,以及使用保密密钥生成的对应的密
15、文对选择密文加密算法、要解密的密文、密码分析人员选择的密文,以及使用保密密钥生成的对应的解密明文选择文本加密算法、要解密的密文、密码分析人员选择的明文消息,以及使用保密密钥生成的对应的密文对、密码分析人员选择的密文,以及使用保密密钥生成的对应的解密明文10.2.2常规密钥密码体制 常规加密也叫作对称加密、保密密钥或单密钥加密,它是20世纪70年代之前使用的惟一一种加密机制。它现在仍是最常用的两种加密类型之一,另一种是公开密钥加密机制。1常规加密的模型 常规加密又称对称加密,该方案有5个组成部分。(1)明文:作为算法输入的原始信息。(2)加密算法:加密算法可以对明文进行多种置换和转换。(3)共享
16、的密钥:共享的保密密钥也是对算法的输入,算法实际进行的置换和转换由保密密钥决定。(4)密文:作为输出的混合信息。它由明文和保密密钥决定。对于给定的信息来讲,两种不同的密钥会产生两种不同的密文。(5)解密算法:这是加密算法的逆向算法。它以密文和同样的保密密钥作为输入,并生成原始明文。目前经常使用的一些常规加密算法有:数据加密标准(Data Encryption Standard,DES)。三重DES(3DES,或称TDEA)。Rivest Cipher5(RC-5)。国际数据加密算法(International Data Encryption Algorithm,IDEA)。2常规加密的要求(1
17、)需要强大的加密算法。(2)发送方和接收方必须用安全的方式来获得保密密钥的副本,必须保证密钥的安全。如果有人发现了密钥,并知道了算法,则使用此密钥的所有通信便都是可读取的。3一些常用的常规加密算法 最常用的加密方案是美国国家标准和技术局(NIST)在1977年采用的数据加密标准(DES),它作为联邦信息处理第46号标准(FIPS PUB 46)。1984年,NIST“再次肯定”DES以FIPS PUB 46-2的名义供联邦再使用5年。算法本身以数据加密算法(DEA,Data Encryption Algorithm)被引用。DES本身虽已不再安全,但其改进算法的安全性还是相当可靠的。TDEA(
18、三重DEA,或称3DES)最初是由Tuchman提出的,在1985年的ANSI标准X9.17中第一次为金融应用进行了标准化。在1999年,TDEA合并到数据加密标准中,文献号为FIPS PUB 46-3。RC5是由Ron Rivest(公钥算法RSA的创始人之一)在1994年开发出来的。其前身RC4的源代码在1994年9月被人匿名张贴到Cypherpunks邮件列表中,泄露了RC4的算法。RC5是在RFC2040中定义的,RSA数据安全公司的很多产品都已经使用了RC5。国际数据加密算法IDEA完成于1990年,开始时称为PES(Proposed Encryption Standard)算法,1
19、992年被命名为IDEA。IDEA算法被认为是当今最好最安全的分组密码算法。10.2.3公开密钥加密技术 公开密钥加密又叫作非常规加密,公钥加密最初是由Diffie和Hellman在1976年提出的,这是几千年来文字加密的第一次真正革命性的进步。因为公钥是建立在数学函数基础上的,而不是建立在位方式的操作上的。更重要的是,公钥加密是不对称的,与只使用一种密钥的对称常规加密相比,它涉及到两位独立密钥的使用。这两种密钥的使用已经对机密性、密钥的分发和身份验证领域产生了深远的影响。公钥加密算法可用于下面一些方面:数据完整性、数据保密性、发送者不可否认和发送者认证。1公钥加密体制的模型图11-5 常规加
20、密体制模型图11-6 公共密钥算法的演示2一些常用的公钥体制 RSA公钥体制是1978年Rivest、Shamir和Adleman提出的一个公开密钥密码体制,RSA就是以其发明者姓名的首字母命名的。RSA体制被认为是迄今为止理论上最为成熟完善的一种公钥密码体制。该体制的构造基于Euler定理,它利用了如下的基本事实:寻找大素数是相对容易的,而分解两个大素数的积在计算上是不可行的。RSA算法的安全性建立在难以对大数提取因子的基础上。所有已知的证据都表明,大数的因子分解是一个极其困难的问题。与对称密码体制如DES相比,RSA的缺点是加密、解密的速度太慢。因此,RSA体制很少用于数据加密,而多用在数
21、字签名、密钥管理和认证等方面。10.2.4 数字签名 数字签名提供了一种签别方法,普遍用于银行、电子商业等,以解决下列问题:(1)伪造:接收者伪造一份文件,声称是对方发送的;(2)冒充:网上的某个用户冒充另一个用户发送或接收文件;(3)篡改:接收者对收到的文件进行局部的修改。(4)抵赖:发送者或接收者最后不承认自己发送或接收的文件。10.2.5 身份认证技术 网络用户的身份认证可以通过下述3种基本途径之一或它们的组合来实现。(1)所知(Knowledge)个人所掌握的密码、口令等。(2)所有(Possessses)个人的身份认证、护照、信用卡、钥匙等。(3)个人特征(Characteristi
22、cs)人的指纹、声音、笔记、手型、血型、视网膜、DNA、以及个人动作方面的特征等。10.3 防火墙技术 11.3.1 防火墙概述 一般来说,防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能的对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。一个防火墙可以是一个实现安全功能的路由器、个人计算机、主机或主机的集合等,通常位于一个受保护的网络对外的连接处,若这个网络到外界有多个连接,那么需要安装多个防火墙系统。防火墙可以提供以下服务:(1)限定人们从一个特别的控制点进入或离开;(2)保证对
23、主机的应用安全访问;(3)防止入侵者接近你的其它防御设施;(4)有效防止破坏者对客户机和服务器所进行的破坏;(5)监视网络。10.3.2防火墙系统结构 防火墙的系统结构一般分为以下几种:(1)屏蔽路由器屏蔽路由器Internet内部主机代理服务器 一般采用路由器连接内网和外网,如图11-7所示,此路由器可以起到一定的防火墙作用,通过设置路由器的访问控制表,基于IP进行包过滤,这种方法不具备监控和认证功能,最多可以进行流量记录。图11-7屏蔽路由器实现防火墙(2)双目主机结构 它包含一个有两个网络接口的代理服务器系统,关闭正常IP路由功能,并安装运行网络代理服务程序。有一个包过滤防火墙,用于连接
24、Internet,如图11-8所示。Internet包 过 滤 路 由器代理服务器内部主机Web服务器(3)屏蔽主机结构Internet包过滤路由器代理服务器路由器内部主机(4)屏蔽子网结构 将网络划分为三个部分:Internet(外网)、DMZ(分军事区)、内网。Internet与DMZ区通过外部屏蔽路由器隔离,DMZ区与内网通过内部屏蔽路由器隔离,如图11-10所示。图11-10 屏蔽子网防火墙10.3.3防火墙分类 从构成上可以将防火墙分为以下几类:(1)硬件防火墙(2)软件防火墙(3)软硬结合防火墙10.3.4防火墙的作用 防火墙能有效的对网络进行保护,防止其它网络的入侵,归纳起来,防
25、火墙具有以下作用:(1)控制进出网络的信息流向和信息包;(2)提供对系统的访问控制;(3)提供使用和流量的日志和审计;(4)增强保密性。使用防火墙可以阻止攻击者获取攻击网络系统的有用信息。(5)隐藏内部IP地址及网络结构的细节;(6)记录和统计网络利用数据以及非法使用数据。10.3.5 防火墙的设计策略 防火墙设计策略基于特定的防火墙,定义完成服务访问策略的规则。通常有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何除非被明确允许。第一种的特点是“在被判有罪之前,任何嫌疑人都是无罪的”,它好用但不安全。第二种是“宁可错杀一千,也不放过一个”,它安全但不好用。在实用中防火墙通常采用第二种
26、设计策略,但多数防火墙都会在两种策略之间采取折衷。1防火墙实现站点安全策略的技术(1)服务控制。(2)方向控制。(3)用户控制。(4)行为控制。2防火墙在大型网络系统中的部署 根据网络系统的安全需要,可以在如下位置部署防火墙:(1)在局域网内的VLAN之间控制信息流向时加入防火墙。(2)Internet与Internet之间连接时加入防火墙。(3)在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,总部的局域网和各分支机构连接时,一般通过公网ChinaPac,ChinaDD和NFrame Relay等连接,需要采用防火墙隔离,并利用某些软件提供的功能构成虚拟专
27、网VPN。(4)总部的局域网和分支机构的局域网是通过Internet连接的,需要各自安装防火墙,并组成虚拟专网。(5)在远程用户拨号访问时,加入虚拟专网。(6)利用一些防火墙软件提供的负载平衡功能,ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志记录等功能。(7)两网对接时,可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(DMZ,De-Militarized Zone,非军事区,其名称来源于朝鲜战争的三八线)及存取安全控制,消除传统软件防火墙的瓶颈问题。设置防火墙还要考虑到网络策略和服务访问策略。影响防火墙系统设计、
28、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。10.4 病毒与病毒的防治 11.4.1病毒的种类及特点 1病毒的种类多种多样,主要有以下6种。(1)文件型的
29、病毒(2)引导扇区病毒(3)宏病毒(5)多形性病毒(6)伙伴病毒 2网络病毒的特点 Internet的发展孕育了网络病毒,由于网络的互联性,病毒的威力也大大增强。网络病毒具有以下特点:(1)破坏性强。(2)传播性强。(3)具有潜伏性和可激发性。(4)针对性强。(5)扩散面广。10.4.2病毒的传播途径与防治 1计算机病毒有以下4种传播途径。第一种途径:通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机专用芯片和硬盘等。第二种途径:通过移动存储设备来传播,这些设备包括软盘、磁盘等。第三种途径:通过计算机网络进行传播。第四种途径:通过点对点通信系统和无线通道传播。2病毒的防治 病毒在发作前
30、是难以发现的,因此所有的防病毒技术都是在系统后台运行的,先于病毒获得系统的控制权,对系统进行实时监控,一旦发现可疑行为,就阻止非法程序的运行,利用一些专门的技术进行判别,然后加以清除。反病毒技术包括检测病毒和清除病毒两方面,而病毒的清除都是以有效的病毒探测为基础的。目前广泛使用的主要检测病毒的方法有特征代码法、校验和法、行为监测法、感染实验法等。第10章 网络管理与维护技术10.1网络管理技术 花费大量时间和资金建立起来的计算机网络,需要不断地进行维护。网络管理包括5个功能:配置管理、故障管理、性能管理、安全管理、计费管理。网络管理是控制一个复杂的计算机网络,使它具有最高的效率和生产力的过程。
31、根据进行网络管理的系统的能力,这一过程通常包括数据收集、数据处理、数据分析和产生用于管理网络的报告。第一个使用的网络管理(简称网管)协议称为简单网络管理协议(SNMP,又称SNMP第一版或SNMPv1),当时这个协议被认为是临时的、简单的、解决当时急需解决的问题的协议,而复杂的、功能强大的网络管理协议需要进一步设计。到20世纪80年代,在SNMP的基础上设计了两个网络管理协议:一个称为SNMP第二版(简称SNMPv2),它包含了原有的特性,这些特性目前被广泛使用,同时增加了很多新特性以克服原先SNMP的缺陷;第二个网络管理协议称为公共管理信息协议(简称CMIP),它是一个组织地更好,并且比SN
32、MPv1和SNMPv2有更多特性的网络管理协议。对用户而言,要求网络管理协议具有好的安全性、简单的用户界面、价格相对低廉而且对网络管理是有效的。由于Internet的大规模发展以及用户的要求,使得SNMPv1和SNMPv2成为业界事实上的标准而被广泛使用。10.1.2 ISO网络管理模式 目前国际标准化组织ISO在网络管理的标准化上作了许多工作,它特别定义了网络管理的五个功能域:配置管理管理所有的网络设备,包括各设备参数的配置与设备账目的管理。故障管理找出故障的位置并进行恢复。性能管理统计网络的使用状况,根据网络的使用情况进行扩充,确定设置的规划。安全管理限制非法用户窃取或修改网络中的重要数据
33、等。计费管理记录用户使用网络资源的数据,调整用户使用网络资源的配额和记账收费。1配置管理 配置管理的目的在于随时了解系统网络的拓扑结构以及所交换的信息,包括连接前静态设定的和连接后动态更新的。配置管理调用客体管理功能、状态管理功能和关系管理功能。2.故障管理 故障管理的目标是自动监测、记录网络故障并通知用户,以便网络有效的运行。故障管理包含以下几个步骤:(1)判断故障症状;(2)隔离该故障;(3)修复该故障;(4)对所有重要子系统的故障进行修复;(5)记录故障的监测及其结果。3.性能管理 性能管理的目标是衡量和呈现网络性能的各个方面,使人们可在一个可接受的水平上维护网络的性能,性能变量的例子有
34、网络吞吐量、用户响应时间和线路利用率。性能管理包含以下几个步骤:(1)收集网络管理者感兴趣的那些变量的性能参数。(2)分析这些数据,以判断是否处于正常水平。(3)为每个重要的变量决定一个适合的性能门限值,超过该限值就意味着网络的故障。4.安全管理 安全管理的目标是按照本地的指导来控制对网络资源的访问,以保证网络不被侵害,并保证重要的信息不被未授权的用户访问。安全管理子系统将网络资源分为授权和未授权两大类。5.计费管理 计费管理的目标是衡量网络的利用率,以便一个或一组用户可以按规则利用网络资源,这样的规则使网络故障减低到最小,也可以使所有用户对网络的访问更加公平。为了达到合理的计费管理目的,首先
35、必须通过性能管理测量出所有重要网络资源的利用率,对其结果的分析使得对当前的应用模式具有更深入的了解,并可以在该点设置定额。对资源利用率的测量可以产生计费信息,并产生可用来估价费率的信息,以及可用于资源利用率优化的信息。10.1.3 公共管理信息协议CMIP 在网络管理模型中,网络管理者和代理之间需要交换大量的管理信息。这一过程必须遵循统一的通信规范,我们把这个通信规范称为网络管理协议。网络管理协议是高层网络应用协议,它建立在个体物理网络及其基础通信协议基础之上,为网络管理平台服务。网络管理协议提供了访问任何生产厂商生产的任何网络设备,并获得一系列标准值的一致性方式。对网络设备的查询包括:设备的
36、名字;设备中软件的版本;设备中的接口数;设备中一个接口的每秒包数等。用于设置网络设备的参数包括:设备的名字;网络接口的地址;网络接口的运行状态;设备的运行状态等。目前使用的标准网络管理协议包括:简单网络管理协议(SNMP)、公共管理信息服务/协议(CMIS/CMIP)和局域网个人管理协议(LMMP)等。10.1.4简单网络管理协议SNMP SNMP是由因特网工程任务组IETF(the Internet Engineering Task Force)提出的面向Internet的管理协议,其管理对象包括网桥、路由器、交换机等内存和处理能力有限的网络互联设备。SNMP采用轮询监控的方式,管理者隔一定
37、时间间隔向代理请求管理信息,管理者根据返回的管理信息判断是否有异常事件发生。轮询监控的主要优点是对代理资源的要求不高,缺点是管理通信的开销大。SNMP由于其简单性得到了业界广泛的支持,成为目前最流行的网络管理协议。SNMP位于ISO/OSI参考模型的应用层,它遵循ISO的网络管理模型。SNMP模型由管理节点和代理节点构成,采用的是代理/管理站模型,如图12-1所示。图 12-2 SNMP传输层映射10.2 网络维护工具 Ping、Ipconfig、Tracert、Netstat、Arp是Windows自带的许多网络维护工具,下面以Windows 2000为例作简要介绍。1 1PingPing
38、用法:Ping-t a-n count-I size-f-I TTL-v TOS-r count-s count-j host-list|-k host-list-w timeout 参数:-t 用当前主机不断向目的主机发送数据包;-n count 指定ping 的次数;-I size 指定发送数据包的大小;-w timeout 指定超时时间的间隔(单位:ms,缺省为1000)。例1 E:ping Pinging 211.100.31.131with32 bytes of data:Reply from 211.100.31.131:bytes=32 time=50ms TTL=243 Rep
39、ly from 211.100.31.131:bytes=32 time=60ms TTL=243 Request timed out.Reply from 211.100.31.131:bytes=32 time=50ms TTL=243 Ping statistics for 211.100.31.131:Packets:Sent=4,Received=3,Lost:1(25%loss),Approximate round trip times in mili-seconds:Minimum=50ms,Maximum=60ms,Average=53ms 从上面的返回结果可以知道,我们向(其
40、IP为211.100.31.131)发送的4个大小为32Bytes的测试数据包中,有3个得到了服务器的正常响应(Reply from),另一个响应超时(Request timed out)。平均每个数据包自发送到收到服务器响应的时间间隔为56ms(最小为50ms,最大为60ms)。这一结果显示,本机到的网速较快(平均响应时间短),但是网络可能不大稳定(丢失了一个数据包)。例2 E:ping 202.11.89.118 Pinging 202.112.89.118 with 32 bytes of data:Request timed out.Request timed out.Request
41、timed out.Request timed out.Ping statistics for 202.112.89.118:Packets:Sent=4,Received=0,Lost=4(100%loss),Approximate round trip times in milli-seconds:Minimum=0ms,Maximum=0ms,Average=0ms 上例中4个测试数据包均超时,说明本机很可能无法与202.112.89.118通信。但是也存在例外情况,即Ping“不通”但实际网络是连通的。这是因为Ping是用来检测最基本的网络连接情况的,Ping程序所使用的数据包为TCP
42、/IP协议族最基本的ICMP包。不幸的是,某些操作系统(尤其是Windows)存在缺陷,面对对方发送过来的大的ICMP包,或者数量巨大的碎小的ICMP包,无法正常处理,可能导致网络堵塞、瘫痪,甚至整个系统崩溃、死机。目前的网络防火墙所采用的一种简便方法是,对方发来的ICMP包不做任何处理,直接抛弃。在Ping装有这样的防火墙的主机时,将被告知“Request time out”,其实这并不是网络不通。例3 E:ping Unknown host .这一结果显示域名不存在。2 2IpconfigIpconfig 顾名思义,Ipconfig用于显示和修改IP协议的配置信息。它适用于Win9x、Wi
43、nNT和Win2000,但命令格式稍有不同。下面以Win2000为例做简要介绍。用法:ipconfig/all|/release adapter|/renew adapter 参数:/all显示所有的配置信息;/release释放指定适配器的IP/renew更新指定适配器的IP 例4 用“ipconfig/renew 0”命令可以更新0号适配器的IP。例5 用“ipconfig/all”命令可以显示有关本地IP配置的详细信息。显示结果如下:E:ipconfig/all3 3TracertTracert 用法:tracert-d-h maximum hops-j hostlist-w timeo
44、ut 参数:-d不解析主机名;-w timeout设置超时时间(单位:ms)Tracert 用于跟踪“路径”,即可纪录从本地至目的主机所经过的路径,以及到达时间。利用它,可以确切地知道究竟在本地到目的地之间的哪一环节上发生了故障。例6 E:tracert www.Y Tracing route to 216.115.102.75 Over a maximum of 30 hops:110ms 10ms 10ms 166.111.174.1 210ms 10ms 由上面的返回可以知道,本地路由器为166.111.174.1,转发给路由器为166.111.1.73,166.111.1.73拦截了本
45、地到的国际流量。4 4NetstatNetstat 用法:nestat-a-e-n-s-p proto-r interval 参数:-a显示主机的所有连接和监听端口信息;-e显示以太网统计信息;-n以数据表格显示地址端口;-p proto显示特定的协议的具体使用信息;-r显示本机路由表的内容;-s显示每个协议的使用状态(包括TCP,DP,IP);interval刷新显示的时间间隔(单位:ms)。Netstat程序可以帮助我们了解网络的整体使用情况。例7 netstatp TCP表示查看TCP连接。netstata表示查看所有信息。10.3局域网常见的故障排除 12.3.1网络常见故障 故障概述
46、:网络中可能出现各种各样的故障,故障现象也可能是千奇百怪。但从宏观上看,问题只有一种,那就是网络不能提供服务。例如网络中的某个用户无法访问服务器,其原因可能是网线有问题,可能是该用户使用的计算机的网卡有问题,还可能是用户的TCP/IP属性配置不正确,也有可能是服务器本身的问题,因此查找故障发生的原因要有适当的步骤和方法。1故障检测第一步ping ping命令在网络故障排除中是非常有用的一个工具,往往作为网络管理员探测故障原因的首选。当我们ping一台主机时实际上是向那台主机发出了一个ICMP数据包,而ICMP协议又是在TCP/IP协议中的第二层Internet层。当一台客户端无法享受服务器提供
47、的服务时,我们可以首先试着ping一下服务器的IP地址,如果能够ping通,而且没有丢包现象,那么我们就可以确定Internet层,以及它以下的各层都是没有问题的,这样我们就可以将检测问题的主要精力放在应用层,试着去找出其中的问题所在。如果ping 不通或ping通了但有丢包现象,那么我们就可以先将问题锁定在Internet层和网络接口层,首先解决这两层的问题,再看上层是否有问题。2网络接口层故障排除 当出现网络故障时,我们可以在客户端上首先使用ping命令,ping服务器的IP地址,如果ping通,证明故障肯定不在网络接口层,如果ping 不通或ping通了但有丢包现象,问题可能出现在网络接
48、口层或Internet层,但根据层次结构,我们首先应该检查的还是网络接口层,首先排除了网络接口层的问题后,再进行后续的检查,网络接口层最有可能出现问题的地方是网线,集线器,网卡,交换机,检测时按照此顺序进行。3网线问题 网络中的计算机互相连接都需要网线,而网线也处在整个层次结构中的最底层,也是最容易出问题的地方。我们必须首先了解网线的种类以及连接设备使用网线的情况后,才可以排除网线的故障。4网线种类 直通缆(标准568B):两端线序一样,线序是:白橙,橙,白绿,蓝,白蓝,绿,白棕,棕。交叉缆(568A)标准:一端为直通缆的线序,另一端为:白绿,绿,白橙,蓝,白蓝,橙,白棕,棕。5设备连接使用网
49、线情况 PC-PC:交叉缆;PC-Hub:直通缆;Hub-Hub普通口:交叉缆;Hub-Hub 级连口-级连口:交叉缆;Hub-Hub普通口-级连口:直通缆;Hub-SWITCH:交叉缆;Hub-级联口SWITCH:直通缆;SWITCH-SWITCH:交叉缆;SWITCH-ROUTER:直通缆;ROUTER-ROUTER:交叉缆。100BaseT连接双绞线,以100Mb/S的EIA/TIA568B作为标准规格。10.3.2网络故障的排除 1网线用错 故障原因:通过上面的讲解我们已经知道了直通缆和交叉缆在不同设备之间的应用,如果安装线缆或布线的时候用错网线就会导致网络不通。查找方法:如果网线裸露
50、在外只要把网线的两头对在一起就很容易能够发现此网线是直通缆还是交叉缆。如果网线已经布好就需要测线仪来进行测量了。解决方法:发现网线用错了就换一根对的网线,如果布好的网线用错了,就需要将某一头接一根转接线或转接头,将错误的网线转换成正确的线序。2网线折断 故障原因:当网络不通时,有可能是网线折断或接触不良。查找方法:电缆/光缆测试仪:用于测量电缆或光缆的连通状况和属性的其他信息;数字万用表:测量经过电缆的电脉冲,确定电缆是否有短路或断路;时域反射器(TDR):可利用声脉冲找出电缆的断点位置。解决方案:找到折断的网线,将此网线替换。3集线器问题 如果通过上面的检测,证明连接客户端和服务器的网线没有
