网络工程师学习笔记(共11章)- 第6部分

　　主要内容：1、局域网管理技术

　　2、网络管理功能和协议

　　3、网络管理系统

　　4、网络日常管理和维护

　　一、局域网管理技术

　　网络管理是对计算机网络的配置、运行状态和计费等进行的管理。它提供了监控、协调和测试各种网络资源以及网络运行善的手段，还可提供安全管理和计费等功能。

　　1、网络管理包括三个方面：

　　（1）了解网络：识别网络对象的硬件情况、差别局域网的拓扑结构、确定网络的互连、确定用户负载和定位。

　　（2）网络运行：配置网络，选择网络协议是配置网络的重要组成部分；配置网络服务器；网络安全控制。

　　（3）网络维护：主要包括故障检测与排除，发现故障、追踪故障、排除故障、记录故障的解决方法；网络检查；网络升级，主要包括用户许可证的升级，服务器操作系统升级，服务器的硬件升级。

　　2、局域网管理工具

　　NetWare管理工具：SYSCON工具

　　Windows　NT管理工具：服务管理器，性能监视器

　　二、网络管理功能

　　1、网络管理的五大功能

　　配置管理：配置管理的自动获取，在网络设备中自动配置信息中，根据获取手段大致可以分成三类，第一类网络管理协议标准的MIB中定义的配置信息；第二类不在网络管理协议标准中有定义，但对设备运行比较重要的配置信息；第三类就是用于管理的一些辅助信息；自动备份及相关技术；配置一致性检查；用户操作记录功能。

　　性能管理：过滤、归并网络事件，有效地发现、定位网络故障，给出排错建议与排错工具，形成整套的故障发现、告警与处理机制。

　　故障管理：采集、分析网络对象的性能数据、监测网络对象的性能，对网络线路质量进行分析。

　　安全管理：结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制，以保障网络管理系统本身的安全。安全管理分三个部分，首先是网络管理本身的安全，其是被管理网络对象的安全。计费管理：

二、网络管理协议

　　1、IAB最初制定关于internet管理的发展策略，其实采用SGMP作为暂时的管理解决方案。后来演变为SNMP，简单网络管理协议。

　　2、SNMP简单网络管理协议在OSI的第三层网络层提供的管理服务

　　优点：与SNMP相关的管理信息结构（SMI）和管理信息库（MIB）非常简单，从而能够迅速、简便地实现；　　SNMP是建立在SGMP基础上，而对于SGMP从们积累了大量的操作经验。

　　SNMP是按照简单和易于实现的原则设计的。

　　3、CMIS/CMIP公共管理信息服务和公共管理信息协议：是在OSI应用层上提供的网络协议簇，CMIS/CMIP提供支持一个完整的网络管理方案所需要的功能。

　　CMIS提供了应用程序使用的CMIP接口，同时还包括两个ISO应用协议：联系控制服务元素ACSE和远程操作服务元素ROSE，其中ACSE在应用程序之间建立和关闭联系，而ROSE则处理应用之间的请求/响应交互。

　　4、CMOT公共管理信息服务与协议是在TCP/IP协议上实现的CMIS服务，这是一个过渡性的解决方案。CMOT没有直接使用参考模型中表示层实现，而是要求在表示层中使用另外一个协议，轻量表示协议（LPP），该协议提供了目前最普通的两种传输层协议TCP与UDP的接口。

　　5、LMMP局域网个人管理协议，在IEEE802逻辑链路控制LLC上的公共管理信息服务与协议CMOL，它不依赖于任何特定的网络层协议进行网络传输。

　　三、简单网络管理协议SNMP

　　1、SNMP概述：

　　设计时围绕四个概念和目标进行设计：保持管理代理的软件成本尽可能低；最大限度地保持远程管理的功能，以便充分利用因特网资源；体系结构必须有扩充的余地；保持SNMP独立性，不依赖于具体的计算机、网关和网络传输协议。

　　提供了四类管理操作：get操作用来提取特定的网络管理信息；get…next操作通过遍历活动来提供强大的管理信息提取能力；set操作用来对管理信息进行控制；trap用来报告重要的事件。

　　2、SNMP管理控制框架与实现

　　SNMP定义了管理进程和管理代理之间的关系，这个关系称为共同体。位于网络管理工作站和各网络元素上利用SNMP相互通信对网络进行管理的软件统称为SNMP应用实体。

　　SNMP的应用实体对internet管理信息库MIB中的管理对象进行操作。SNMP的报文总是源自每个应用实体，报文中包括访应用实体所在的共同的名字。这种报文称为〃有身份标志的报文〃，共同体名字是在管理进程和管理代理之间交换管理信息报文时使用。

　　管理信息报文包括：共同体名，数据。

　　SNMP的实现方式：SNMP在其MIB中采用了树状命名方法对每个管理对象实例命名。SNMP中各种管理信息大多以表格形式存在，一个表格对应一个对象类，每个元素对应于该类的一个对象实例。

　　3、SNMP协议是一个异步的请求/响应协议，是一个非面向连接的协议，是一个对称的协议，没有主从关系。SNMP的设计是基于无连接的用户数据报协议UDP。四种基本协议的交互过程，都是请求管理进程给管理代理，响应则都是由管理代理发给管理进程的。只有Trap是无响应的，有管理代理单向发给管理进程。

　　SNMP协议实体之间的协议数据单元PDU只有两种不同的结构和模式，一个PDU格式在大部分操作中使用，而另一个则在Trap操作中作为trap的协议数据单元。

　　4、Trap操作，是一种捕捉事件并报告的操作，实际上几乎所有网络管理系统和管理协议都具有这种机制。

　四、网络管理系统

　　1、HP…Open　View

　　不能处理因为某一网络对象故障而误导致的其他对象的故障，不具备理解所有网络对象在网络中相互关系的能力。也不能把服务的故障与设备的故障区分开来。性能的轮与状态的轮询是截然分开的，这样导致一个网络对象响应性能轮询失败但不触发一个报警。

　　2、IBM…Net　View

　　不能对故障事件进行归并，它不能找出相关故障卡片的内在关系，因此对一个失效设备，即使是一个重要的路由器，将导致大量的故障卡片和一系列类似的告警。不具备在掌握整个网络结构情况下管理分散对象的能力。性能轮询与状态轮询也是彻底分开的，这将导致故障响应的延迟。

　　3、SUN…SunNet　Manager

　　是第一个重要的基于UNIX的网络管理系统。

　　4、Cabletron　SPECTRUM

　　是一个可扩展的、智能的网络管理系统，它使用了面向对象的方法和客户服务器体系结构。SPECTRUM构筑在一个人工智能的引擎之上，IMT（Inductive　Modeling　Technology）。它是所有四种网络管理软件中惟一具备处理网络对象相关性能力的系统。

　　SPECTRUM服务器提供了两种类型的轮询：自动轮询和手动轮询。

　　SPECTRUM提供了多种形式的告警手段，包括弹出窗口，发出报警声响等。

　　SPECTRUM能自动的发现拓扑结构，但相对比较慢。

　　五、网络日常管理和维护

　　1、VLAN的管理

　　2、WAN接入的管理

　　3、网络故障诊断和排除

　　物理故障：

　　逻辑故障：

　　路由器故障：

　　主机故障：

　　4、网络管理工具

　　连通性测试程序Ping　：

　　路由跟踪程序Traceroute：在Windows中是tracert

　　MIB变量浏览器：

第8章　网络安全与信息安全

　　主要内容：1、密码学、鉴别

　　2、访问控制、计算机病毒

　　3、网络安全技术

　　4、安全服务与安全机制

　　5、信息系统安全体系结构框架

　　6、信息系统安全评估准则

　　一、密码学

　　1、密码学是以研究数据保密为目的，对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。

　　2、对称密钥密码系统（私钥密码系统）：在传统密码体制中加密和解密采用的是同一密钥。常见的算法有：DES、IDEA

　　3、加密模式分类：

　　（1）序列密码：通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流逐位加密得到密文。

　　（2）分组密码：在相信复杂函数可以通过简单函数迭代若干圈得到的原则，利用简单圈函数及对合等运算，充分利用非线性运算。

　　4、非对称密钥密码系统（公钥密码系统）：现代密码体制中加密和解密采用不同的密钥。

　　实现的过程：每个通信双方有两个密钥，K和K'，在进行保密通信时通常将加密密钥K公开（称为公钥），而保留解密密钥K'（称为私钥），常见的算法有：RSA

　　二、鉴别

　　鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程，一般通过某种复杂的身份认证协议来实现。

　　1、口令技术

　　身份认证标记：PIN保护记忆卡和挑战响应卡

　　分类：共享密钥认证、公钥认证和零知识认证

　　（1）共享密钥认证的思想是从通过口令认证用户发展来了。

　　（2）公开密钥算法的出现为

　　2、会话密钥：是指在一次会话过程中使用的密钥，一般都是由机器随机生成的，会话密钥在实际使用时往往是在一定时间内都有效，并不真正限制在一次会话过程中。

　　签名：利用私钥对明文信息进行的变换称为签名

　　封装：利用公钥对明文信息进行的变换称为封装

　　3、Kerberos鉴别：是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份，该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥，还有证明客户方拥有会话密钥的身份认证者信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。

　　4、数字签名：

　　加密过程为C=EB（DA（m））　用户A先用自己的保密算法（解密算法DA）对数据进行加密DA（m），再用B的公开算法（加密算法EB）进行一次加密EB（DA（m））。

　　解密的过程为m=　EA　（DB　（C））　用户B先用自己的保密算法（解密算DB）对密文C进行解密DB　（C），再用A的公开算法（加密算法EA）进行一次解密EA　（DB　（C））。只有A才能产生密文C，B是无法依靠或修改的，所以A是不得抵赖的DA（m）被称为签名。

三、访问控制

　　访问控制是指确定可给予哪些主体访问的权力、确定以及实施访问权限的过程。被访问的数据统称为客体。

　　1、访问矩阵是表示安全政策的最常用的访问控制安全模型。访问者对访问对象的权限就存放在矩阵中对应的交叉点上。

　　2、访问控制表（ACL）每个访问者存储有访问权力表，该表包括了他能够访问的特定对象和操作权限。引用监视器根据验证访问表提供的权力表和访问者的身份来决定是否授予访问者相应的操作权限。

　　3、粗粒度访问控制：能够控制到主机对象的访问控制

　　细粒度访问控制：能够控制到文件甚至记录的访问控制

　　4、防火墙作用：防止不希望、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。

　　防火墙的分类：IP过滤、线过滤和应用层代理

　　路由器过滤方式防火墙、双穴信关方式防火墙、主机过滤式防火墙、子网过滤方式防火墙

　　5、过滤路由器的优点：结构简单，使用硬件来降低成本；对上层协议和应用透明，无需要修改已经有的应用。缺点：在认证和控制方面粒度太粗，无法做到用户级别的身份认证，只有针对主机IP地址，存在着假冒IP攻击的隐患；访问控制也只有控制到IP地址端口一级，不能细化到文件等具体对象；从系统管理角度来看人工负担很重。

　　6、代理服务器的优点：是其用户级身份认证、日志记录和帐号管理。缺点：要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关，这就极大限制了新应用的采纳。

　　7、VPN：虚拟专用网，是将物理分布在不同地点的网络通过公共骨干网，尤其是internet联接而成的逻辑上的虚拟子网。

　　8、VPN的模式：直接模式VPN使用IP和编址来建立对VPN上传输数据的直接控制。对数据加密，采用基于用户身份的鉴别，而不是基于IP地址。隧道模式VPN是使用IP帧作为隧道的发送分组。

　　9、IPSEC是由IETF制订的用于VPN的协议。由三个部分组成：封装安全负载ESP主要用来处理对IP数据包的加密并对鉴别提供某种程序的支持。，鉴别报头（AP）只涉及到鉴别不涉及到加密，internet密钥交换IKE主要是对密钥交换进行管理。

　　四、计算机病毒

　　1、计算机病毒分类：操作系统型、外壳型、入侵型、源码型

　　2、计算机病毒破坏过程：最初病毒程序寄生在介质上的某个程序中，处于静止状态，一旦程序被引导或调用，它就被激活，变成有传染能力的动态病毒，当传染条件满足时，病毒就侵入内存，随着作业进程的发展，它逐步向其他作业模块扩散，并传染给其他软件。在破坏条件满足时，它就由表现模块或破坏模块把病毒以特定的方针表现出来。

　　五、网络安全技术

　　1、链路层负责建立点到点的通信，网络层负责寻径、传输层负责建立端到端的通信信道。

　　2、物理层可以在通信线路上采用某些技术使得搭线偷听变得不可能或者容易被检测出。数据链路层，可以采用通信保密机进行加密和解密。

　　3、IP层安全性

　　在IP加密传输信道技术方面，IETF已经指定了一个I