第9讲：计算机网络故障诊断与排除-其他业务故障诊断与排除2016-12ppt课件(全)

资源描述

《第9讲：计算机网络故障诊断与排除-其他业务故障诊断与排除2016-12ppt课件(全)》由会员分享，可在线阅读，更多相关《第9讲：计算机网络故障诊断与排除-其他业务故障诊断与排除2016-12ppt课件(全)（104页珍藏版）》请在金锄头文库上搜索。

1、黎连业计算机网络故障诊断与排除计算机网络故障诊断与排除中科院计算所计算机职业技能培训中心中科院计算所计算机职业技能培训中心计算机网络故障诊断与排除计算机网络故障诊断与排除讲座教材讲座教材计算机网络故障诊断与排除计算机网络故障诊断与排除第第 3 3 版版清华大学清华大学出版社出版社( 2016.12 ) 第第9讲：讲：其他业务故障诊断与排除其他业务故障诊断与排除本章重点介绍以下内容：IPSec概述;IPSecIKE;IPSec管理和故障排除;防火墙;有关包过滤规则的几个概念;地址过滤常见问题;规则表;IP碎片处理;QoS概述;DCC、ISDN简介。9.1 IPSec概述概述IPSec即因特

2、网协议安全，是由IETF(InternetEngineeringTaskForce)定义的一套在网络层提供IP安全性的协议。1.IPSec使用的模式IPSec可以使用两种模式：通道模式和传输模式。w通道模式通道模式表明数据流经过通道到达远端网关，远端网关将对数据进行解密/认证，把数据从通道中提取出来，并发往最终目的地。这样，偷听者只能看到加密数据流从VPN的一端发往另一端。w传输模式传输模式无法使数据流通过通道传输，因此不适用于VPN通道。但可以用于保证VPN客户端到安全网关连接的安全，如IPSec保护的远程配置。大多数配置中都设置为“通道”(远端网关)。远端网关(RemoteGateway)

3、就是远端安全网关，负责进行解密/认证，并把数据发往目的地。传输模式不适用远程网关。2.IPSec协议(IPSecProtocols)IPSec协议描述如何处理数据的方法。IPSec可以选择的两种协议是AH(AuthenticationHeader，认证头)和ESP(EncapsulatingSecurityPayload，封装安全有效载荷)。wESP具有加密、认证的功能。建议不仅使用加密功能，因为它会大大降低安全性。AH只有认证作用。与ESP认证之间的不同之处仅仅在于，AH可以认证部分外发的IP头，如源和目的地址，保证包确实来自IP包声明的来源。IPSec协议是用来保护通过VPN传输数据流的。

4、使用的协议及其密钥是由IKE协商的。wAHAH是一种认证数据流的协议。它运用加密学复述功能，根据IP包的数据生成一个MAC。此MAC随包发送，允许网关确认原始IP包的整体性，确保数据在通过因特网的途中不受损坏。除IP包数据外，AH也认证部分IP头。AH协议把AH头插在原始IP头之后，在通道模式里，AH头是插在外部IP头之后的，但在原始内部IP头之前。wESPESP用于IP包的加密和认证。还可只用于加密或认证。ESP头插在原始IP头之后，在通道模式里，ESP头是插在外部IP头之后的，但在原始内部IP头之前。ESP头之后的所有数据是经过加密/认证的。与AH不同的是，ESP也对IP包加密。认证阶段也

5、不同，ESP只认证ESP头之后的数据，因此不保护外部IP头。3.IPSec使用期限(IPsecLifetime)wVPN连接的使用期限用时间(秒)和数据量(千字节)表示。只要超出其中任何一个值，就要重新创建用于加密和认证的密钥。如果最后一个密钥期没有使用VPN连接，那么就会终止连接并在需要连接时从头开始重新打开连接。wIPSec多用于企业网之间的连接，可以保证局域网、专用或公用的广域网以及Internet上信息传输的安全。例如，IPSec可以保证Internet上各分支办公点的安全连接。公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络，使得公司可以不必耗巨资去建立自己的专用网络

6、，而只需依托Internet即可以获得同样的效果。IPSec通过认证和密钥交换机制确保企业与其他组织的信息往来的安全性和机密性。wIPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输和Web访问在内的多种应用程序的安全。4.IPSec的优点如果在路由器或防火墙上执行了IPSec，它就会为周边的通信提供强有力的安全保障。一个公司或工作组内部的通信将不涉及与安全相关的费用。下面介绍IPSec的一些优点：(1)IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或

7、服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。(2)IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。(3)如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁ChristianHuitema认为，关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。想要提供IP级的安全，IPSec必须成为配置在所有相关平台(包括WindowsNT、Uni

8、x和Macintosh系统)的网络代码中的一部分。实际上，现在发行的许多Internet应用软件中已包含了安全特征。例如，NetscapeNavigator和MicrosoftInternetExplorer支持保护互联网通信的安全套层协议(SSL)，还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议(SET)。然而，VPN需要的是网络级的功能，这也正是IPSec所提供的。wIPSec提供3种不同的形式来保护通过公有或私有IP网络未传送的私有数据：(1)认证可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。(2)数据完整保证

9、数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。(3)机密性使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。wIPSec由3个基本要素来提供以上3种保护形式：认证协议头(AR)、安全加载封装(ESP)和互联网密钥管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。对于VPN来说，认证和加密都是必需的，因为只有双重安全措施才能确保未经授权的用户不能进入VPN，同时，Internet上的窃听者无法读取VPN上传输的信息。大部分的应用实例中都采用了ESP而不是AH。钥匙交换功能允许手工或自动交换密钥。w当前的

10、IPSec支持数据加密标准(DES)，但也可以使用其他多种加密算法。因为人们对DES的安全性有所怀疑，所以用户会选择使用Triple-DES(即三次DES加密)。至于认证技术，将会推出一个叫做HMAC(MAC即信息认证代码MessageAuthenticationCode)的新概念。5.安全联合(SA)wSA的概念是IPSec的基础。IPSec使用的两种协议(AH和ESP)均使用SA，IKE协议(IPSec使用的密钥管理协议)的一个主要功能就是SA的管理和维护。SA是通信对等方之间对策略要素的一种协定，例如IPSec协议、协议的操作模式(传输模式和隧道模式)、密码算法、密钥、用于保护它们之间数

11、据流的密钥的生存期。wSA是通过像IKE这样的密钥管理协议在通信对等方之间协商的。当一个SA的协商完成时，两个对等方都在它们的安全联合数据库(SAD)中存储该SA参数。SA的参数之一是它的生存期，它以一个时间间隔或是IPSec协议利用该SA来处理的一定数量的字节数的形式存在。wSA由一个三元组惟一地标识，该三元组包含一个安全参数索引(SPI)，一个用于输出处理SA的目的IP地址或是一个用于输入处理SA的源IP地址，以及一个待定的协议(如AH或者ESP)。SPI是为了惟一标识SA而生成的一个32位整数，它在AH和ESP头中传输。6.IPSec的实现方式wIPSec的一个最基本的优点是它可以在共享

12、网络访问设备，甚至是所有的主机和服务器上完全实现，这在很大程度上避免了升级任何网络相关资源的需要。在客户端，IPSec架构允许使用在远程访问介入路由器或基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性：传输模式和隧道模式。(1)传输模式w通常当ESP在一台主机(客户机或服务器)上实现时使用，传输模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。(2)隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包，包括全部TCP/IP或UDP/IP头和数据，它用自己的地址作为源地址加入到新的IP头。当隧道

13、模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。ESP支持传输模式，这种方式保护了高层协议。传输模式也保护了IP包的内容，特别是用于两个主机之间的端对端通信(例如，客户与服务器，或是两台工作站)。传输模式中的ESP加密有时会认证IP包内容，但不认证IP的包头。这种配置对于装有IPSec的小型网络特别有用。但是，要全面实施VPN，使用隧道模式会更有效。ESP也支持隧道模式，保护了整个旧包。为此，IP包在添加了ESP字段后，整个包和包的安全字段被认为是新的IP包外层内容，附有新的IP外层包头。原来的(及内层)包通过“隧道”从一个IP网络起点传输到另一个IP网点，中途

14、的路由器可以检查IP的内层包头。因为原来的包已被打包，新的包可能有不同的源地址和目的地址，以达到安全的目的。隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec的路由器或防火墙。使用了隧道模式，防火墙内很多主机不需要安装IPSec也能安全地通信。这些主机所生成的未加保护的网包，经过外网，使用隧道模式的安全联合规定(即SA，发送者与接收者之间的单向关系，定义装在本地网络边缘的安全路由器或防火墙中的IPSec软件IP交换所规定的参数)传输。7.IPSec认证(IPSecAuthentication)IPSec认证算法用于保护数据流的传输。使用不经认证的ESP(尽管建议不使用未经认证的E

15、SP)时不使用IPSec认证。IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制，即在所有数据包头加入一个密码。正如整个名称所示，AH通过一个只有密钥持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果。AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。其完整性是保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源(识别主机、用户、网络等)。AH本身其实并不支持任何形式的加密，它不能保证通过Internet发送的数据的可信程度。AH只是在加密的出口、进口或使用受到当地政府限制的情况下

16、可以提高全球Internet的安全性。当全部功能实现后，它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头，以及下一个高层协议帧(如TCP、UDP、ICMP等)之间。不过，由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1。AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(AuthenticationData)区。消息文摘MD5算法是一

17、个单向数学函数。当应用到分组数据中时，它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时，MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的篡改。在使用HMAC-MD5认证过的数据交换中，发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值，然后放到AH包头的认证数据区，随后数据报被发送给接收者。接收者也必须知道

18、密钥值，以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等，那么数据报在发送过程中就没有被改变，而且可以相信是由只知道秘密密钥的另一方发送的。8.IPSec加密安全加载封装协议(ESP)提供IP数据报的完整性和可信性服务。通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密钥。ESP协议是设计以两种模式工作的：隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在

19、ESP负载中进行封装和加密。完成以后，真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的典型用法就是在防火墙防火墙之间通过虚拟专用网连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准(DES)，DES是一个现在使用得非常普遍的加密算法。它最早是由美国政府公布的，最初是用于商业应用。到现在所有DES专利的保护期都已经到期了，因此全球都有它的免费实现。

20、DES最高支持56位的密钥，而Triple-DES使用三套密钥加密，相当于使用到168位的密钥。IPSec要求在所有的ESP实现中使用一个通用的默认算法，即DESCBC密码分组链方式(CBC)的DES算法。DESCBC通过在组成一个完整的IP数据包(隧道模式)或下一个更高的层协议帧(传输模式)的8比特数据分组中加入一个数据函数来工作。DESCBC用8比特一组的加密数据(密文)来代替8比特一组的未加密数据(明文)。一个随机的、8比特的初始化向量(IV)被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性。DESCBC主要是使用一个由通信各方公认的相同的密钥。正因为如此

21、，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DESCBC算法的有效性依赖于秘密密钥的安全，ESP使用的DESCBC的密钥长度是56比特。由于ESF实际上加密所有的数据，因而它比AH需要更多的处理时间，从而导致性能下降。9.IKE(InternetKeyExchange)w密钥管理包括密钥确定和密钥分发两个方面，最多需要4个密钥：AH、ESP的发送和接收密钥。密钥本身是一个二进制字符串，通常用十六进制表示。例如，一个56位的密钥可以表示为5F39DA752EOC25B4。注意全部长度总共是64位，包括8位的奇偶校验。IPSec支持两种类型

22、的密钥管理方式：一种是手工方式，由安全管理员在各个系统上分别配置所需的SA，这种方式适用于小规模、静态环境；另一种是自动方式，适用于大规模、动态的环境。wIPSec的自动管理密钥协议的默认名字是ISAKMP/Oakley。互联网安全组织和密钥管理协议(InternetSecurityAssociationandKeyManagementProtocol，ISAKMP)对互联网密钥管理的架构以及特定的协议提供支持。Oakley密钥使用的协议基于Diffle-Hellman算法，但它也提供额外的安全功能。特别是Oakley包括认证用户的机制。wInternet密钥交换协议(IKE)用于在两个通信实

23、体协商和建立安全联合(SA)。密钥交换安全联合(SecurityAssociation，SA)是IPSec中的一个重要概念。一个SA表示两个或多个通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始利用IPSec进行安全通信。IPSec协议本身没有提供在通信实体间建立安全联合的方法，利用IKE建立安全联合。IKE定义了通信实体间进行身份认证、协商加密算法和生成共享的会话密钥的方法。具体实现时IKE可以采用共享密钥或数字签名的方式进行身份认证，并采用公开密钥算法中的DiffleHellman协议交换密钥。wIKE采用ISAKMP协议中定义的语言，并根据

24、ISAKMP中所定义的将协商过程分成了两个阶段，其第一个阶段是对如何保证进一步的协商事务取得一致意见，主要是建立一个IKE自身的安全联合，并用它来保护这个协商；第二个阶段则利用IKE自身的安全联合为其他安全协议协商一个或多个安全联合。使用这个SA，一个协议可保护许多交换的分组或数据。通常情况下，在第一阶段的协商下可进行多次第二阶段的协商。w安全联合也可以通过手工方式建立，但是当VPN中节点增多时，手工配置将非常困难。10.IPSEC和VPNw由于企业和政府用户需要把专用WAN/LAN架构与互联网连接，以便访问互联网的服务，所以他们非常热衷于部署安全的lP。用户需要把它们的网络与互联网分隔，但同

25、时要在网上发送和接收网包。安全的IP就可以提供网上的认证和隐私机制。w因为IP安全机制是独立定义，其用途与现在的IP或IPv6不同，IP安全机制不需要依靠IPv6部署。可以看到，安全IP的功能先被广泛使用，比IPv6先流行起来，因为对IP层的安全需求远比增加IPv6功能的需求多得多。w有了IPSec，管理人员就有了实施VPN的安全标准。此外，所有在IPSec中使用的加密和认证算法已经过仔细的研究和几年的验证，所以用户大可放心地将安全问题交付给IPSec。11.PKI(PublicKeyInfrastructure)wPKI是一个用公钥概念与基础来实施和提供安全服务的安全基础设置。PKI的基本机

26、制是定义和建立身份认证和授权规则，然后分发、交换这些规则，并在网络之间解释和管理这些规则。PKI对数据加密、数字签名、防抵赖、数据完整性以及身份鉴别所需要的密钥和认证实施统一地集中管理，支持通信的参与者在网络环境下建立和维护平等的信任关系，保证通信的安全。wPKI是建立在公共密钥机制基础上的，它是一种提供密钥管理和数字签名服务的平台。为了保证有效性，必须使在网上通信的双方确信他们的身份和密钥是合法的和可信赖的。w但是，在大范围的网络环境中，指望每一个用户都和其他用户建立联系是不可能的，也是不现实的。为此，PKI引入了第三方信任和证书的概念。第三方信任是指在特定的范围内，即使通信双方以前并没有建

27、立关系，他们也可以毫无保留地信任对方。w双方之所以相互信任，是因为他们和一个共同的第三方建立了信任关系，第三方为通信的双方提供信任担保。证书是指PKI用户已经注册的以数字化形式存储的身份。数字证书是由大家共同信任的第三方认证中心(CA)颁发的，CA有权签发并废除证书并且对证书的真实性负责。在PKI架构中，CA扮演的角色很像颁发证件的权威机构，如身份证的办理机构。证书包含用户的身份信息、公钥和CA的数字签名。任何一个信任CA的通信方，都可以通过验证对方数字证书上的CA数字签名来建立起与对方的信任关系，并且获得对方的公钥以备使用。为了保证CA所签发的证书的通用性，通常证书格式遵循X.509V3标准

28、，该标准把用户的公钥与用户名等信息绑定在一起。为了建立信任关系，CA用它的私钥对数字证书签名。CA的数字签名提供了三个重要的保证：(1)认证中有效的数字签名保证了认证信息的完整性。(2)因为CA是唯一有权使用它私钥的实体，任何验证数字证书的用户都可以信任CA的签名，从而保证了证书的权威性。(3)由于CA签名的唯一性，CA不能否认自己所签发的证书，并承担相应的责任。一个较完备的PKI支持SET、SSL、IPSec/VPN等协议，支持各种安全网络应用，可以说，PKI是当今网络安全的核心技术之一。典型的PKI系统由5个基本的部分组成：证书申请者(Subscriber)、注册机构(Registrati

29、onAuthority，RA)、认证中心(CertificateAuthority，CA)、证书库(CertificateRepository，CR)和证书信任方(RelyingParty)。其中，认证中心、注册机构和证书库3部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。9.1.2Internet密钥交换协议1.Internet密钥交换协议的主要任务IKE的主要任务有3项：w为端点间的认证提供方法；w建立新的IPSec连接(创建一对SA)；w管理现有连接。IKE跟踪连接的方法是给每个连接分配一组安全联盟(SA)。SA描述与特殊连接相关的所有参数，包括使用的IPS

30、ec协议、加密/解密和认证/确认传输数据使用的对话密钥。SA本身是单向的，每个连接需要一个以上的SA。大多数情况下，只使用ESP或AH，每个连接要创建两个SA，一个描述入站数据流，一个描述出站数据流。同时使用ESP和AH的情况下就要创建4个SA。2.Internet密钥交换协议w加密和认证数据比较直接，唯一需要的是加密和认证算法，及其使用的密钥。因特网密钥交换协议IKE用作分配这些对话用密钥的一种方法，而且在VPN端点间，规定了如何保护数据的方法。wIKE提议是如何保护数据的建议。发起IPSec连接的VPN网关，作为发起者会发出提议列表，提议表建议了不同的保护连接的方法。w协商连接可以通过VP

31、N来保护数据流的IPSec连接，或是IKE连接，保护IKE协商本身。w响应的VPN网关，在接收到此提议表后，就会根据自己的安全策略选择最适合的提议，并根据已选择的提议做出响应。3.IKE参数在IKE中要使用许多参数：w端点身份(EndpointIdentification)；w本地和远端网络/主机(LocalandRemoteNetworks/Hosts)；w通道/传输模式(Tunnel/TransportMode)；w远端网关(RemoteGateway)；w主/挑战模式(Main/AggressiveMode)；wIPSec协议(ESP/AH/二者兼有)；wIKE加密(IKEEncrypt

32、ion)；wIKE认证(IKEAuthentication)；wIKEDH组(IKEDHGroup)；wIKE使用期限(IKELifetime)。下面具体介绍。(1)操作模式wIKE参数中有两种操作模式：主模式和挑战模式。二者的不同之处在于，挑战模式可以用更少的包发送更多信息，这样做的优点是快速建立连接，而代价是以清晰的方式发送安全网关的身份。使用挑战模式时，有的配置参数如Diffie-Hellman和PFS不能进行协商，因此两端拥有兼容的配置是至关重要的。(2)IKE加密(IKEEncryption)w指定IKE协商使用的加密算法，如算法种类和使用的密钥长度。(3)IKE认证(IKEAuth

33、entication)w指定IKE协商使用的认证算法。(4)IKEDH(Diffie-Hellman)组w指定IKE交换密钥时使用的Diffie-Hellman组。w密钥交换的安全性随着DH组的扩大而增加，但交换的时间也增加了。(5)IKE使用期限(IKELifetime)wIKE连接的使用期限。w使用期限以时间(秒)和数据量(KB)计算。超过其中任何一个期限时，就会进行新的阶段的交换。如果上一个IKE连接中没有发送数据，就不建立新连接，直到有人希望再次使用VPN连接。(6)IKE认证方法(手工，PSK，证书)w手工密钥w配置VPN最简单的办法是使用手工密钥的方法。使用这种方法时根本不需要使用

34、IKE，在VPN通道两端直接配置加密和认证密钥以及其他参数。w优点：因为该密钥很直接，所以共同操作性很大。目前大多数共同操作问题都出在IKE上。手册密钥完全避开IKE，只设置自己的IPSecSA。w缺点：这种方法陈旧，是IKE产生之前使用的方法，缺少IKE具有的所有功能。因此此法有诸多限制，如总要使用相同的加密/认证密钥，无防止重放攻击服务，非常死板，不够灵活。也无法保证远端主机和网关的真实性。w这种连接也易受某些重放攻击的攻击，这意味着访问加密数据流的恶意实体能够记录一些包，并把包储存下来并在以后发到目的地址。目的VPN端点无法辨别此包是不是重放的包。用IKE就可避免这种攻击。wPre-Sh

35、ared密钥(PSK)wPre-Shared密钥是VPN端点间共享一个密钥的方法，是由IKE提供的服务，所以具有IKE的所有优点，比手工密钥灵活许多。w优点：Pre-Shared密钥具有比手工密钥多得多的优点。包括端点认证，PSK是真正进行端点认证的。还包括IKE的所有优点。相反，在使用固定加密密钥时，一个新的对话密钥在使用后，有一定的时间周期限制。w缺点：使用Pre-Shared密钥时需要考虑的一件事是密钥的分配。如何把Pre-Shared密钥分配给远端VPN客户和网关呢？这个问题很重要，因为PSK系统的安全性是基于PSK的机密性的。如果在某些情况下危及到PSK的安全性，就需要改动配置，使用

36、新的PSK。w证书w每个VPN网关都有自己的证书，和一或多个可信任根证书。w优点：增加了灵活性。例如许多VPN客户端在没有配置相同Pre-Shared密钥时也能够得到管理，使用Pre-Shared密钥和漫游客户端时经常是这种情况。相反，如果某客户端不安全，就可以轻松地取消该客户端证书。无需对每个客户进行重新配置。w缺点：增加了复杂性。基于证书的认证可作为庞大的公有密钥体系结构的一部分，使VPN客户端和网关可依赖于第三方。换言之，要配置更多内容，也可能会出现更多错误。9.2IPSecIKE9.3 IP Sec 管理和故障排除管理和故障排除9.3.1IPSec工具和故障排除基本检测方法1.IPSe

37、c管理工具(1)管理工具IPSecurityPolicyManagement管理单元创建和编辑策略(也可以使用GroupPolicyEditor)；IPSecurity。(2)IPSec监控和排除故障工具IP安全监视器(ipsecmon.exe)在命令提示中启动。这一工具可以监控IPSA、密钥重设、协商错误和其他IPSec统计信息。2.IPSec故障排除基本检测方法IPsecVPN出现故障时，最直接的表现是无法通过IPsecVPN访问远端内部网络。按照故障具体的情况又分为：IPsec隧道无法建立;IPsec隧道建立但无法访问远端内部网络;IPsec隧道时断时连。IPSec故障排除基本检测方法一

38、般有三种:IPsecVPN隧道无法建立w检测方法：使用showcryikeproposal和shcryipsecproposal命令查看ike和ipsec的策略两端是否相同。使用shcrypolicy查看两端数据流是否匹配。IPsec隧道建立但无法访问远端内部网络w检测方法：shipesp查看是否有in和out的数据；查看访问列表是否deny了受保护的数据流。IPsec隧道时断时连w检测方法：查看物理线路是否时通时断；查看是否有网点冲突。9.3.2IKE统计信息下面的IKE统计信息可以使用IP安全监视器来衡量：wOakleyMainModes这是在第一阶段协商中创建的成功的IKESA的总量。w

39、OakleyQuickModes这是在第二阶段协商中创建的成功的IPSecSA的总量。因为这些SA可能以不同的速率终止，此数量不必与MainModes数字相匹配。wSoftAssocations导致协议使用明文发送的第二阶段协商中创建的总量。这通常反映有非IPSec感知的计算机组成的协会的总量。wAuthentionFailures身份识别失败(Kerberos、用户证书、手工创建的密码)总量。这是与PacketsNotAuthenticated(通过打散数据进行的消息身份验证)不同的统计信息。w针对上述问题，可采用以下几种措施：1.本地计算机IPSec策略w该策略使用IPSec传输(而不是隧

40、道)来保护源计算机和目标计算机之间的通信安全。它并不涉及在ActiveDirectory中使用组策略分发IPSec策略。IPSec策略配置是非常灵活的，也是非常强大的，尽管要想设置正确需要理解IKE和IPSec协议本身。有许多安全配置问题必须加以注意。请阅读联机帮助，并搜索Microsoft知识库以查找与IPSec相关的文章。然后阅读下面的说明以帮助弄清哪些功能在策略配置中故意不受支持。wIPSec策略应设计成不管配置多少策略，始终只有一个身份验证方法可以在一对主机之间使用。如果有多个规则应用到同一对计算机(只看源IP地址和IP地址)，必须确信哪些规则允许该计算机使用相同的身份验证方法。还必须

41、要确保用于该身份验证方法的凭据是有效的。例如，IPSec管理单元能使您配置一个规则，该规则使用Kerberos只验证在两个主机IP地址之间的TCP数据，创建带有相同地址的第二条规则，但指定UDP数据使用证书进行身份验证。此策略不会正常工作，因为当出站数据通信设法查找策略中的匹配规则以便以主要模式(该模式只可以使用IKE数据包的源IP地址)响应时，出站数据通信可以比在目标计算机上使用的IKE协商更准确地选择一条规则(因为它匹配协议UDP，而不只是地址)。因此，此策略配置在一对IP地址(主机)之间使用了两个不同的身份验证方法。为避免这种问题，不要使用协议或端口特有的筛选器来协商通信安全。相反，将协

42、议和端口特有的筛选器主要用于允许和闭锁操作。2.不允许对通信进行单向IPSec保护wIPSec策略不允许采用IPSec对通信进行单向保护。如果创建一条规则以保护主机A和B的IP地址之间的通信，那么必须在同一筛选器列表中指定从A到B之间的通信和从B到A之间的通信。可以在同一筛选器列表中创建两个筛选器来完成这件事。或者，可以到IPSec管理单元的筛选器规范属性对话框中选择镜像框。此选项在默认情况下是选中的，因为保护必须双向协商，即使大部分情况下数据通信本身只向一个方向流动。w可以创建单向筛选器以闭锁或允许通信，但不能用来保护通信安全。要保护通信安全，必须手工指定筛选器镜像或使用镜像复选框让系统自动

43、生成。3.计算机证书必须有私钥w若获取证书不当，就可能导致这样一种情况，即，证书存在，且被选择用于IKE身份验证，但无法发挥作用。因为在本地计算机上与证书的公钥对应的私钥不存在。4.验证证书是否有私钥(1)在“开始”菜单上，单击“运行”，然后在文本框中输入“mmc”。单击“确定”按钮。(2)在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”按钮。(3)在“管理单元列表”中，双击证书。单击“关闭”按钮，然后单击“确定”按钮。(4)展开证书-用户(本地计算机)，然后展开个人。(5)单击“证书文件夹”按钮。(6)在右窗格中，双击想检查的证书。(7)在“常规”选项卡中，应看到这样的文字：

44、您有一个与该证书对应的私钥。如果看不到此消息，那么系统就不能顺利地将此证书用于IPSec。w这取决于该证书的申请方式，以及在主机的本地证书存储中的填充方式，此私钥值可能不存在，或可能在IKE协商期间不可用。如果个人文件夹中的证书没有对应的私钥，那么证书注册失败。如果证书是从MicrosoftCertificateServer中获得，且设置了强私钥保护选项，则每次使用私钥在IKE协商中给数据签名时，都必须输入PIN号码以访问私钥。由于IKE协商是在后台由系统服务执行的，服务没有窗口可用来提示用户。因此，以此选项获得的证书不能用于IKE身份验证。5.建立和测试最简单的端对端策略w大多数问题，特别是

45、互操作性问题，都可以通过创建最简单的策略而不是使用默认策略来解决。当创建新策略时，不要启用IPSec隧道，或默认响应规则。在“常规”选项卡上编辑策略，编辑密钥交换，以便只有一个选项目标计算机可以接受。例如，使用RFC2049要求的DES选项SHA1和Low(1)1DiffieHellman组。创建筛选器列表，并带有一个镜像筛选器，指出“我的IP地址”的源地址和您尝试与其安全地通信的IP地址的目标地址。建议通过创建只包含IP地址的筛选器进行测试。创建自己的筛选器操作以只使用一个安全措施来协商安全。如果想用数据包嗅探器查看采用IPSec格式的数据包的通信，可使用“中等安全”(AH格式)。否则，选择

46、自定义，并建立一个单一的安全措施。例如，使用RFC2049要求的参数集，如使用选中SHA1的DES的格式ESP，不指定生存周期，且没有“完全向前保密(PFS)”。要确保在安全措施中两个复选框都被清除，以便它为目标计算机要求IPSec，并不会与非IPSec计算机通信，且不接收不安全的通信。在规则中使用预先共享的密钥的身份验证方法，并要确保在字符中没有空格。目标计算机必须使用完全相同的预先共享的密钥。w备注：必须在目标计算机上进行相同的配置，只是源和目标的IP地址颠倒一下。w应在计算机上指派此策略，然后从该计算机ping目标计算机。可以看到ping返回协商安全。这表明在匹配策略的筛选器，IKE应为

47、ping数据包尝试与目标计算机协商安全。如果从ping目标计算机的多次尝试中继续看到协商IP安全，那么可能没有策略问题，而是可能有IKE问题。6排除IKE协商中的故障wIKE服务作为IPSec策略代理程序服务的一部分运行。要确保此服务在运行。w要确保为审核属性审核登录事件启用了成功和失败审核。IKE服务将列出审核项目，并在安全事件日志中提供协商为什么失败的解释。(1)清除IKE状态：重新启动IPSec策略代理程序服务w要想完整地清除IKE协商的状态，当作为本地管理员登录时，必须使用下面的命令，从命令行解释器提示符停止和启动策略代理程序服务：wnetstoppolicyagentwnetstar

48、tpolicyagent(2)反复尝试这些步骤以保护通信安全w注意：w当停止IPSec策略代理程序服务时，IPSec筛选器保护将被停用。活动的VPN隧道将不再受到IPSec保护。如果也在运行路由或远程访问服务，或启用了传入VPN连接，那么在重新启动IPSec策略代理程序服务之后，必须停止和重新启动远程访问服务，命令为netstartremoteaccess。(3)使用安全日志以查看IKE错误w当IKE协商失败时，安全事件日志会记录失败的原因。使用这些消息以检测失败的协商及其原因，必须使用本指南开始时的步骤启用审核。(4)使用数据包嗅探器w为进行更详细的调查，可使用数据包嗅探器(如Microso

49、ft网络监视器)，以捕获正在交换的数据包。记住，在IKE协商中使用的数据包的大多数内容都是加密的，且不能由数据包嗅探器解释。另外，还应嗅探计算机上所有来来往往的通信，以确保您看到应该看到的通信。Windows2000Server上提供了Microsoft网络监视器的有限制的版本。在默认情况下它不安装，因此您必须依次选择“控制面板”“添加/删除Windows组件”“管理和监视工具”，然后选择“网络监视工具”，按照所要求的步骤操作。(5)使用IKE调试追踪(专家用户)w安全日志是判断IKE协商失败原因的最好位置。但是，对于IKE协议协商方面的专家来说，应使用注册表项启用IKE协商的调试追踪选项。日

50、志在默认情况下是被禁用的。要启用调试日志，必须停止IPSec策略代理程序服务，然后再启动。(6)启用由IKE进行的调试日志从Windows桌面，选择“开始”“运行”，然后在文本框中输入regedt32。单击“确定”按钮就启动了注册表编辑器。w浏览到本地机器上的HKEY_LOCAL_MACHINE。w浏览到下列位置：SystemCurrentControlSetServicesPolicyAgent。w双击PolicyAgent。w如果Oakley项不存在，选择“编辑”“添加”项。w输入项名称(区分大小写)：Oakley。w让类别保留空白，然后单击“确定”按钮。w选择新项Oakley。w在编辑菜

51、单上，单击添加数值。w输入值名称(区分大小写)：EnableLoggingw选择数据类型REG_DWORD并单击“确定”按钮。w输入值1。w选中十六进制作为基数，单击“确定”按钮。w从注册表编辑器退出。w在Windows2000命令提示符下，输入netstoppolicyagent，然后输入netstartpolicyagent以重新启动与IPSec相关的服务。w在默认情况下该文件将被写到windirdebugoakley.log，在策略代理程序服务重新启动之后，文件oakley.log.sav是日志的上一个版本。w日志中的项目限于50000，这样通常可将文件大小限制到6MB以下。(7)其他信

52、息w有关MicrosoftWindows2000操作系统的最新信息，可访问万维网站点和Microsoft网络上的WindowsNTServerForum(GOWORD:MSNTS)。(8)IPSec工具和信息w在Windows2000操作平台CD上用于策略配置的IPSec管理单元显示活动状态的IPSecmon.exe监视器，显示：w网络连接UIIPSec属性；w事件日志管理单元；w显示本地安全审核策略的组策略管理单元；woakley.log中的IKE日志；w联机帮助；w上下文相关的帮助。9.3.3IPsecVPN调试命令参数解释wdebug crypto ike命令命令w命令说明命令说明: 打

54、IKE算法相关的调试信息wdns:IKE协商过程中与DNS相关的调试信息wdownloaded-script:配置下载过程的调试信息wemitting:IKE协商过程中发出报文的详细内容wevent:IKE的时钟事件相关调试信息wkernel:IKE与内核之间的调试信息wlifecycle:IKE协商过程中与生存期相关的调试信息wnatt:IKE协商过程中与NAT穿越相关的调试信息wnormal:IKE协商过程中通常使用的调试信息wparsing:IKE协商过程中接收到的报文内容调试信息wraw:IKE协商报文的原始内容调试信息wsyslog:IKE发送给SYSLOG服务器的调试信息2.deb

56、tx|rx:打开IP报文内容调试信息，tx:显示外出报文内容信息，rx：显示内入报文内容信息，不指定则显示双向内容信息。wFragment:打开IP报文为分片时调试处理信息9.3.4IPsecVPN常见故障处理1.故障一：IPsecVPN隧道无法建立w可能的原因:(1)两端VPN设备无法互通w判断方法和解决方案:w从一端VPN设备ping另外一端，看是否能否ping通。如果不通，检查网络连接情况。(2)两端VPN可以ping通，但是相互收不到IKE协商报文w判断方法和解决方案:检查VPN是否配置ACL或者前端是否有防火墙，禁止了IKE协商报文，需要在ACL或者防火墙上开放UDP500/4500

57、端口；检查发起方VPN的内网口是否UP，特别是3005C-104以SW接口作为内网口，LAN口上没有接PC，SW口无法UP，将导致扩展ping不通对端。(3)两端VPN采用证书认证方式，但是没有证书或者证书无效；采用预共享密钥方式认证没有配置密码w判断方法和解决方案:通过showcryikesa查看IKE隧道状态没有任何信息；打开debugcryikenormal，提示%IKE-ERR:cantinitiate,noavailableauthenticationmaterial(cert/psk)；shcryptocacertificates，查看证书是否有效。(4)两端IKE和IPsec策略

58、不一致w判断方法和解决方案:如果采用主模式，查看IKE状态停止在STATE_MAIN_I1，采用积极模式，IKE状态停止在STATE_AGGR_I1，说明可能是两端策略不一致，通过showcryikeproposal和showcryipsecproposal查看两端策略是否相同；打开debugcryikenormal，提示ignoringnotificationpayload,typeNO_PROPOSAL_CHOSEN。(5)两端VPN设备配置了ID不是IP地址作为身份标识，而是域名或者其他，但是采用IKE协商采用主模式w判断方法和解决方案:查看IKEKEY配置了identity，但是tun

59、nel配置中配置了setmodemain；查看IKE状态停止在STATE_MAIN_I1状态。(6)对端VPN设备配置错误ID或者没有配置IDw判断方法和解决方案:查看IKEKEY配置了identity，但是tunnel配置中没有配置ID；查看IKE状态停止在STATE_AGGR_I1状态；有%IKE-ERR:AggressiveModepacketfrom20.0.0.2:500hasinvalidID报错。(7)两端VPN设备不支持NAT穿越w判断方法和解决方案:如果采用主模式，查看IKE状态停止在STATE_MAIN_I2状态，说明有可能VPN不支持NAT穿越，我们VPN默认支持，一般可

60、能其他厂家VPN不支持。(8)两端VPN设备预共享密钥不一致w判断方法和解决方案:如果采用主模式，查看IKE状态停止在STATE_MAIN_I3状态，说明有可能两端VPN预共享密钥配置不一致；通过showruncrykey查看两端的KEY是否相同。(9)两端保护数据流不匹配w判断方法和解决方案:查看IKE状态停止在STATE_QUICK_I1状态，说明有可能两端VPN预共享密钥配置不一致；通过showcryipsecsa查看没有ipsec隧道；日志中有报错：%IKE-ERR:cannotrespondtoIPsecSArequestforinstance-65666:30.0.0.0/8:0/

61、0=20.0.0.2(20.0.0.2).20.0.0.1(20.0.0.1)=192.168.0.0/16:0/02.故障二：VPN隧道通，无法办理业务w可能的原因:(1)业务数据走NAT，没有走VPN隧道w判断方法和解决方案:设备配置了NAT转换，访问列表没有将VPN的业务数据deny，可以查看访问列表来判断；可以通过showcryipsecsa或者showipesp查看output的数据一直没有增加；修改访问列表，拒绝VPN数据走NAT转换。(2)要访问服务器没有路由指向对端VPN网关或者网关设置不对w判断方法和解决方案:在中心端VPN设备上ping服务器看能否ping通；第一步可以pi

62、ng通，则可以在客户端VPN设备上通过showcryipsecsa或者showipesp查看output的数据有增加，但是input的数据一直没有增加，在中心端VPN设备相反，有input的数据，但是没有output;设置服务器对应的下端网段路由应该指向中心IPsecVPN设备的内网口。(3)线路PMTU导致大数据包丢弃w判断方法和解决方案:某些业务软件（例如一些财务软件或者登陆需要下载大量数据的应用程序）可以出现登陆界面，但是输入用户名密码后一直没有反应；客户端采用默认ping包可以ping通服务器，ping大包不通；可以修改服务器网卡的MTU线路PMTU。3.故障三：VPN时通时断w可能的

63、原因:(1)公网连接不稳定w判断方法和解决方案:通过ping测试检测物理线路问题；直接用PC接在公网线路测试看看是否会断；如果是动态拨号，可以更改idletimeout为0。(2)某次线路故障造成两端的IPsecSA不能够同步w判断方法和解决方案:查看两端VPN设备是否关闭了DPD；通过showcryipsecsa查看两端SPI是否不相同;在两端手工清除隧道重新建立或者设置DPD解决不同步问题。(3)分支机构VPN配置重复w判断方法和解决方案:隧道时断时连表现为当只有一个下端的时候一切正常，但当第二个或某个特定下端连接上来的时候，出现只有一个能正确建立IPsec隧道或时断时连；在中心VPN设备

64、检查某个分支机构不能建立VPN隧道时却有相关的IPsec数据流；可以在分支机构VPN上更换网段测试或者配置使用积极模式，配置不通的标识ID。9.3.5IKE错误信息（以下只是信息的关键语句）及原因信息1：w00:24:20:%IKE-DBG-receivedVendorIDpayloaddraft-ietf-ipsec-nat-t-ike-03w00:24:20:%IKE-DBG-ignoringVendorIDpayloaddraft-ietf-ipsec-nat-t-ike-02w00:24:20:%IKE-DBG-ignoringVendorIDpayloaddraft-ietf-ips

65、ec-nat-t-ike-00w00:24:20:%IKE-DBG-receivedVendorIDpayloadDeadPeerDetectionw00:24:20:%IKE-ERR-noacceptableOakleyTransformw原因:由于对方提议的SA载荷中的变换算法（如加密算法）与本地策略不符，因而拒绝对方的协商请求，协商失败，删除产生的状态信息信息2：w00:26:24:%IKE-ERR-nextpayloadtypeofISAKMPIdentificationPayloadhasanunknownvalue:201w00:26:24:%IKE-ERR-probableaut

66、henticationfailure(mismatchofpresharedsecrets?):malformedpayloadinpacketw原因:预共享密钥不匹配，就必然导致双方使用的加密密钥和验证密钥不相同，从而引起解密失败（出现的现象是发现接收到的ISAKMP消息格式不正确）信息3：w00:35:51:%IKE-DBG-sendingencryptednotificationNO_PROPOSAL_CHOSENto128.255.40.223:500w原因:双方关于进行IPsec封装所采用的算法或协议没有达成一致，就会导致快速模式协商失败信息4：w00:38:53:%IKE-ERR-

67、requestedflowisnotmatchedbyanyflowofours,notacceptedw00:38:53:%IKE-ERR-cannotrespondtoIPsecSArequestforinstance-65545:1.1.1.0/24:0/0=128.255.40.222(128.255.40.222).128.255.40.223(128.255.40.222)=2.2.2.0/24:0/0w原因:双方就提议的受IPsec保护的数据流进行协商不一致就直接导致协商失败信息5：w2w3d:22:41:26:%IKE-ERR:werequirepeertohaveID3005

68、B,butpeerdeclares20.0.0.2w2w3d:22:41:26:%IKE-ERR:AggressiveModepacketfrom20.0.0.2:500hasinvalidIDw原因:对端ID无效导致IKE协商失败w说明: 本节内容参考引用了迈普技术服务中心的IPsecVPN故障排除手册和技术资料,作者对此表示感谢。9.4防火墙9.4.1防火墙的定义w防火墙是在两个网络之间强制执行访问控制策略的一个或多个系统，它常常安装在受保护的内部网络连接到Internet的点上，所有来自因特网的传输信息或从内部网络发出的信息都穿过防火墙。逻辑上，防火墙是分离器、限制器、分析器，它可以根据

69、企业的安全策略控制(允许、拒绝、监测)出入网络的信息流，所以实际上它是在开放与封闭的界面上构造了一个保护层，属于内部范围的业务，依照安全策略在授权许可下进行内部对外部的联系，在安全策略约束下进行外部对内部网络的访问受到防火墙的限制，从而保护内部网络不受来自外部的入侵。防火墙不能完全保证网络不受外界非法侵入，但仍起到明显的保护隔离作用。此外，防火墙是一种被动防卫技术，由于假设了网络的边界和服务，因此对内部的非法访问难以有效地控制。w目前密码技术常在防火墙中采用，如身份识别和验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术。9.4.2防火墙的原理9.4.3防火墙能做什么

70、1.防火墙是网络安全的重点w一个防火墙能极大地提高内部网络的安全性，把防火墙看做阻塞点，所有进出的信息必须穿过唯一的、狭窄的检查点，防火墙为网络安全起到了把关的作用，能够集中安全防范检查点，即将网络连接到Internet的点。防火墙通过过滤不安全的服务而降低风险，保护内部网络。2.防火墙能强制安全策略wInternet的许多服务是不安全的，防火墙执行站点的安全策略，仅仅允许“认可的”和符合规则的服务穿过。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。3.防火墙能有效地记录因特网活动w因为所有的传输信息穿过防火墙，防火墙非常适合于收集关于系统

71、和网络使用、误用的信息。作为访问的唯一点，防火墙能在被保护的内部网络和外部网络之间进行记录。4.防火墙能限制内部信息的暴露w通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节(如Finger、DNS等)服务。9.4.4防火墙不能做什么防火墙对网络威胁具有较好的防范，但不是安全解决方案的全部，某些威胁是防火墙力所不及的。需要弄清楚防备这些威胁

72、的其他方法(物理安全、主机安全和用户教育)，这些也必须包括在全面安全计划内。1.防火墙不能防范恶意的知情者w侵袭者来自防火墙内部，防火墙实际上无能为力，内部用户能偷窃数据、破坏硬件和软件，并且巧妙地修改程序而从不接近防火墙。2.不通过防火墙的连接难有作为w防火墙能有效地控制穿过它的传输信息，但对不通过它的传输信息无能为力。例如，站点允许防火墙后面的内部系统拨入访问怎么办？防火墙绝对没有办法防止入侵者通过这样一种调制解调器进入。所以必须有严格的安全管理制度。3.防火墙不能防备完全新的威胁w防火墙被用来防备已知的威胁，但一个好的设计也可以防备新的威胁，没有防火墙能自动防御所有新的威胁。4.防火墙不

73、能防备病毒w防火墙不能消除网络上的病毒，虽然许多防火墙扫描所有通过的信息，以决定是否允许穿过防火墙到达内部网络，但扫描多半是针对源与目标的地址和端口号，而非扫描数据细节，且病毒多半隐藏在数据中，检查随机数据包中的病毒穿过防火墙是十分困难的。9.4.5防火墙应遵循的准则1.未经说明允许的就是拒绝w防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。2.未说明拒绝的均为许可的w约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基

74、于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证私有网网络安全性的难度。9.4.6防火墙遵循的安全策略在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设和商务需求分析基础上来制定。w构筑防火墙和加强网络安全应遵循一些基本的策略。1.最小特权原则w设计网络安全产品最根本的安全原则就是最小特权原则，最小特权是说任一对象(用户、管理员、程序、系统等)应当且仅应当具有该对象完成指定任务所需要的特权。这样一方面能尽量避免网络遭受侵袭，并减少侵袭造成的损失；另一方面便于审计追踪，

75、定位责任。2.纵深防御原则w构建安全的网络不能只依靠单一的安全机制，而是要尽量建立多层机制，互相支撑以达到比较满意的效果。防火墙的作用不可忽视，但又不能把防火墙作为因特网安全问题的唯一解决方法。通过建立多层机制可互相提供备份和冗余，如网络安全、主机安全和人员安全。所有机制都很重要，但不要对任何一个抱有绝对的信任。3.阻塞点原则w阻塞点强迫侵袭者通过一个受到监控的窄小通道。在因特网安全系统中，位于局域网和因特网之间的防火墙就是这样一个阻塞点，任何一个因特网上的侵袭者都必须通过这个防御侵袭的通道，管理员应仔细监视这条通道，并在发现侵袭时做出响应。4.最薄弱环节原则w防火墙的强度取决于系统中最薄弱的

76、环节，要尽量消除系统中的薄弱环节，如口令保护、加密通道、角色划分等。对消除不掉的薄弱环节要严加防范。5.失效保护状态w防火墙系统应明确当系统崩溃时所采取的保护措施应该保证系统的安全。即如果系统运行错误，那么应该拒绝用户访问。通常有两种策略可供选择。(1)默认拒绝状态：除了明确允许的都被禁止；(2)默认许可状态：除了明确禁止的都被允许。w从安全角度讲，默认拒绝状态是最佳选择；从方便用户访问的角度讲，默认许可状态比较合适，管理员需要根据实际情况选择相应的安全策略。6.简单化原则w简单化也是一个安全保护战略，这是因为简单的事情易于理解，如果你不了解某事，就不能了解它是否安全。复杂化必然会存在隐藏的角

77、落，并且复杂的程序有更多的小毛病，任何小毛病都可能引发安全问题。9.4.7防火墙如何能防止非法者的入侵防火墙是Internet上公认网络存取控制最佳的安全解决方案，网络公司正式将防火墙列入信息安全机制。防火墙是软硬件的结合体，架设在网络之间以确保安全的连接。因此可以当做Internet、Intranet或Extranet的网关器，以定义一个规则组合或安全政策，来控制网络间的通信。并可有效率地记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络暴露的危机等。所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙，且唯有符合安全政策定义的封包，才能通过

78、防火墙。既然防火墙是Internet/Intranet相关技术服务进出的唯一信道，要正确地使用防火墙就必须先了解防火墙的技术。w一般来说，采用一些功能强大的反黑软件和防火墙来保证的系统安全，在这里通过限制端口来帮助防止非法入侵。1.非法入侵的方式简单说来，非法入侵的方式可粗略分为4种：(1)扫描端口，通过已知的系统Bug攻入主机；(2)种植木马，利用木马开辟的后门进入主机；(3)采用数据溢出的手段，迫使主机提供后门进入主机；(4)利用某些软件设计的漏洞，直接或间接控制主机。w非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多，也最普遍；而对后两种方式来说

79、，只有一些手段高超的黑客才利用，涉及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。因此，能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。端口就像一所房子(服务器)的门一样，不同的门通向不同的房间(服务器提供的不同服务)。常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，如139等；还有一些木马程序，如冰河、BO、广场等都是自动开辟一个你不察觉的端口。2.限制端口的方法w对于个人用户来说，可以限制端口对外提供任何服务；而对于

80、对外提供网络服务的服务器，需把必须利用的端口(例如，WWW端口80，FTP端口21，邮件服务端口25、110等)开放，其他的端口则全部关闭。w对于Windows2000Server来说，不需要安装任何其他软件，可以利用TCP/IP功能限制服务器的端口。具体设置如下：w添加或者删除完毕，重新启动机器以后，服务器就被保护起来。w最后，提醒个人用户，若只上网浏览，可以不添加任何端口。但是若要利用一些网络联络工具，如OICQ，就要打开4000端口。同理，发现某个常用的网络工具不能起作用时，应搞清主机所开的端口，然后在“TCP/IP筛选”中添加端口即可。9.4.8常用的防火墙9.4.9防火墙的缺陷防火墙

81、的缺陷主要有：防火墙不能防范不经过防火墙的攻击；防火墙不能防止感染了病毒的软件或文件的传输；防火墙不能防止数据驱动式攻击；防火墙需要其他的安全策略配合。9.5有关包过滤规则的几个概念在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务不允许通过，并将这些规定翻译成有关的包过滤规则，但对包的内容不予以关心。例如，允许站点接收来自于因特网的邮件，而该邮件是由什么工具制作的，具体内容则与我们无关。路由器只关注包中的“包头”一小部分内容。为了便于叙述，下面介绍将服务翻译成包过滤规则时几个非常重要的概念。1.协议总是双向的w协议总是双向的，协议包括一方发送一个请求而另一方回送一个应答。在指定包过滤

82、规则时，要注意包是从两个方向来到路由器的。例如，只允许向外的Telnet包将我们的输入信息送达远程主机而不允许返回的显示信息包通过相同的连接，这种规则是不正确的。同时，拒绝半个连接往往也是不起作用的。在许多攻击中，入侵者往内部网发送包，他们甚至不用返回信息就可完成对内部网的攻击，因为他们可以对返回信息进行推测。2.准确理解“往内”与“往外”的语义w在制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。一个往外的服务(如上面提到的Telnet)同时包含往外的包(输入的信息)和往内的包(屏幕显示的信息)。虽然大多数人习惯于用“服务”来定义规则，但在实际制定

83、包过滤规则时也一定要弄清“往内”与“往外”的包和“往内”与“往外”的服务这几个词之间的区别。9.6 地址过滤常见问题地址过滤常见问题9.7 规规则则表表9.8IP碎片处理1.为什么存在IP碎片w链路层具有最大传输单元MTU特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500，你可以用netstat-i命令查看这个值。如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片(Fragmentation)操作，使每一片的长度都小于或等于MTU。假设要传输一个UDP数据包，以太网的MTU为1500字节，一般IP首部为20字节，UDP首

84、部为8字节，数据的净荷(Payload)部分预留是1500208=1472字节。如果数据部分大于1472字节，就会出现分片现象。2.IP碎片攻击wIP首部有两个字节表示整个IP数据包的长度，所以IP数据包最长只能为0xFFFF，就是65535字节。如果有意发送总长度超过65535的IP碎片，一些老的系统内核在处理时就会出现问题，导致崩溃或者拒绝服务。另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。3.阻止IP碎片攻击wWindows系统应打上最新的ServicePack，目前的Linux内核已经不受影响。w如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒

85、通过碎片包的数目。w如果防火墙有重组碎片的功能，应确保自身的算法没有问题，否则就会影响整个网络。wWin2K系统中，自定义IP安全策略，设置“碎片检查”。9.9 QoS 概概述述9.9.1QoS问题wQoS(QualityofService，网络服务质量)是网络于用户之间和网络上互相通信的用户之间关于信息传输与共享的质量约定，例如，传输延迟允许时间、最小传输画面失真度和声像同步等。在Internet等计算机网络上为用户提供高质量的QoS必须解决以下问题：(1)QoS的分类与定义。对QoS进行分类和定义的目的是使网络可以根据不同类型的QoS进行管理和分配资源。例如，给实时服务分配较大的带宽和较

86、长的CPU处理时间等，另一方面，对QoS进行分类定义也方便用户根据不同的应用提出QoS需求。(2)准入控制和协商。即根据网络中资源的使用情况，允许用户进入网络进行多媒体信息传输并协商其QoS。(3)资源预约。为了给用户提供满意的QoS，必须对端系统、路由器和传输带宽等相应的资源进行预约，以确保这些资源不被其他应用所抢用。(4)资源调度与管理。对资源进行预约之后，是否能得到这些资源，还依赖于相应的资源调度与管理系统。9.9.2QoS现状和相关技术现在，IP网络如何提供服务质量QoS支持这一问题已成为业界关注的焦点。对于由QoS控制来实现QoS保证，国际上不同组织和团体提出了不同的控制机制和策略。

87、比较著名的有：(1)ISO/OSI提出了基于ODP分布式环境的QoS控制，但至今仍只停留在只给出了用户层的QoS参数说明和变成接口阶段，具体实现QoS控制策略并未提出。(2)ATM论坛提出了QoS控制的策略和实现，ATM控制是“连接预定”型(ConnectionandReservation)，它的核心内容是在服务建立之前，通过接纳控制和资源预留来提供服务的QoS保证，而在服务交互的过程中，用户进程和网络要严格按照约定的QoS实现服务QoS保证。(3)IETF组织也已经提出了多种服务模型和机制来满足对QoS的需求，其中比较典型的有RFC2115、RFC2117，以及1998和1999年提出的RF

88、C26xx系列中的综合业务模型(Int-Serv)、差分业务模型(DifferentiatedServices)、多协议标签MPLS技术(Multi-ProtocolLabelSwitching)、流量工程(TrafficEngineering)和QoS路由(QoS-basedRouting)等。它们均用于解决Internet网络的QoS控制和管理。9.10DCC、ISDN简介w拨号控制中心(Dial-ControlCenter)简称DCC，指路由器之间通过公用交换网(PSTN和ISDN)进行互联时所采用的路由技术。拨号控制中心是指：跨公用交换网相连的路由器之间不预先建立连接，只有当它们之间有

89、数据需要传送时才以拨号的方式建立通信，即启动DCC拨号流程建立连接并传送信息，当链路再次空闲时，DCC会自动断开连接。w由于某些场合下，路由器之间仅在有信息需要传送时才建立连接并通信，因此传送的信息表现出时间不相关性、突发性、总体数据量小等特点，DCC恰好为此种应用提供了灵活、经济、高效的解决方案。在实际应用中，DCC一般以备份形式为干线通信提供保障，在干线因为线路或其他原因出现故障而不能正常进行通信业务时，提供替代的辅助通路，确保业务正常进行。wDCC呼叫可以通过Modem连接PSTN网络(或者ISDN网络)来拨号。一个完整的DCC拨号过程包括4个阶段：链路建立阶段、链路协议协商阶段、数据传

90、输阶段和链路挂断阶段。对于Modem和ISDN拨号来说，除了链路建立和链路挂断阶段不同之外，其他阶段都一致。在链路建立和链路挂断阶段，Modem采用系统脚本交互，ISDN通过D通道的ITU-TQ.931消息进行通道选择和链路控制。1.DCC呼叫的典型过程DCC呼叫的典型过程分为4个阶段：(1)拨号、建立链路过程；(2)PPP等协议协商过程；(3)数据传输过程；(4)呼叫挂断过程。DCC的使用广泛，将会和RADIUS、备份中心、L2TP等配合使用。建议在配置时采用逐步复杂的方式，先配置好DCC，并确信能够呼通之后，再增加其他配合使用的配置，而不是一步到位，否则会增加故障处理的难度。2.DCC故障

91、处理的一般办法在网络上测定DCC最常用的方法是ping命令。从源端向目的端发送ping报文时，成功则意味着所有物理层、数据链路层、网络层功能均正常运转。而当呼叫失败时，应按照如下步骤进行故障处理：(1)检查源地址到目的地址之间所有物理连接是否正常，所有接口和协议是否运行。(2)查看电缆、Modem等硬件设施是否连接正确，一般物理层线路故障的排除可以通过检查硬件得到解决。(3)如果Modem或者Q.921运行正常，DCC仍然不能呼叫或者发起呼叫不能成功呼通，可以参考上述方法检查是否存在DCC或者用户认证等其他配置错误。检查是否配置了DCC使能，是否配置DCC拨号列表(dialer-rule命令)

92、以及引用到该拨号口上，是否配置拨号串，如果采用dialerroute命令进行配置应确保与访问的目的地址匹配。对于*循DCC，是否配置了用户认证等。(4)使用display和debug命令查看统计信息并进行调试，进一步定位故障。3.DCC常见故障和处理方法w在实际的拨号应用中，故障一般出现在拨号过程中，因此链路建立阶段和链路协议协商阶段为关注的重点。由于拨号遵循从链路建立、链路协商到正常数据通信的过程，因此故障处理也按照从物理连接故障、链路建立过程中的故障、链路协议协商过程中的故障的次序进行。(1)ISDN接口的物理故障wPRI接口w采用displaycontrollere1命令可以查询该接口物

93、理连接是否正确。如果该cE1/PRI接口处于DOWN状态，说明物理连接不正确，可能是接口脱落导致，或者同轴电缆接反，需要将接头插紧或者调整同轴电缆连接即可。如果已经确认接口的物理连接正确，但是仍然无法进入UP状态，则检查电缆两端的物理帧格式封装，Quidway26/36系列路由器默认采用NO-CRC4帧格式校验。只有当电缆两端帧格式校验配置一致，cE1/PRI接口才能正常进入UP状态。wBRI接口w没有呼叫时其接口始终处于去激活状态。当路由器一上电启动，使用displayinterfacesbri命令就能查询到该接口物理状态为UP，协议状态是spoofing。因此，在没有呼叫时无法判断BRI接

94、口物理状态是否正常。(2)ISDN接口的链路故障w当PRI接口物理状态正常时，或采用BRI接口进行呼叫时，如果使用debugisdnq921命令只显示SABME帧，而无法显示收发的RR帧，则说明Q.921链路建立失败。w如果确认是Q.921链路建立失败，由于Q.921建议描述了非对称设备之间的通信参数和规程，即电缆两端必须一端作用户侧，一端作网络侧。Quidway26/36系列路由器目前只支持用户侧，因此与之相连的交换机必须配置为网络侧，否则无法成功建链。(3)Modem的物理故障wModem的物理故障可能是由以下原因造成的：Modem通过V.24同轴电缆与路由器的同步(或异步)接口相连，如果

95、使用debugmodemat命令后始终不显示ok，说明Modem不正常，可以尝试关电源重新复位Modem。如果能看到ok，主叫端Modem一直在拨号，但接收端没有摘机(伴随有“咔嗒”声)，则需要查看Modem的自动应答属性是否正确。有些Modem的属性是自动应答，路由器就应该采用undomodemauto-answer命令取消自动应答；如果Modem属性是非自动应答，路由器就需要采用modemauto-answer命令来配置自动应答属性。Modem拨号成功率与Modem本身质量和线路质量都有关，需要耐心多尝试。如果无法确认Modem是否为自动应答，可以采用超级终端连接Modem，采用AT命令a

96、t&v来查看。查看结果中ats01表示为自动应答，ats0=0表示为非自动应答。如果需要设置Modem的自动应答属性，则使用ats0=0命令设置为非自动应答，或者采用ats0=1设置为自动应答，并且用at&w命令来保存配置。如果已经确认Modem正常，并且呼叫总是出现忙音，说明被叫端占线，可能对端线路正在使用；或者两端同时在尝试呼叫对端，从而出现呼叫冲突。对于被呼线路正在使用的情况，可以等待对端挂断后再尝试呼叫；如果出现呼叫冲突，可以采用配置dialertimerenable命令将两端的呼叫间隔设置为不同的值，从而避免下次呼叫再发生呼叫冲突。(4)同/异步Modem拨号的配置问题w首先确定采用

97、同步拨号，还是异步拨号。w对于同步拨号，其接口必须是同步拨号接口；对于异步拨号，如果采用同/异步接口(即Serial接口)，则必须先使用命令physical-modeasynchronous命令把该接口设置为异步口，同时采用命令modem设置Modem拨号属性。对于异步接口(即Async接口)，直接采用modem命令设置Modem拨号属性。(5)无法发起拨号w拨号接口的IP或者IPX路由失败。w如果使用debugippacket命令打开调试开关后显示路由失败的提示，则使用displayiproute命令查看路由是否正确，使用displaycurrent-configuration查看拨号接口的

98、配置，检查拨号接口上的IP或者IPX地址是否配置正确。(6)拨号接口没有使能w使用debugdialerevent命令打开拨号调试开关，如果显示DCC:DCCmustbeConfiguredontheinterface的提示，则采用displaycurrent-configuration命令查看拨号接口配置，如果是*循DCC必须采用dialerenable-circular命令使能DCC；如果是共享DCC(拨号接口采用PPP封装)必须采用dialeruser命令和dialerbundle命令来使能。(7)未配置拨号触发条件w使用debugdialerevent和debugdialerpacke

99、t命令打开DDR相应的调试开关，如果能看到DCC:Theinterfacehasnodialer-group或DCC:itisanuninterestingpacket提示信息，则采用displaycurrent-configuration命令查看拨号口配置，如果没有在拨号口上配置dialer-group命令，则需添加配置；如果已经配置了dialer-group则查看dialer-group的序号与dialer-rule对应的序号是否一致，并且dialer-rule设置的触发报文类型或者条件是否正确(切记dialer-rule默认是禁止触发拨号，除非配置为permit)。只有出现DCC:iti

100、saninterestingpacket时才可能正确拨号。(8)未配置拨号串w使用debugdialerevent和debugdialerpacket命令打开DDR相应的调试开关，如果出现DCC:thereisnotadialerroutematchingthisaddress和DCC:thereisnotadialernumberontheinterface,failed,discardpacket调试信息，则使用displaycurrent-configuartion命令查看拨号口配置。如果在呼出的接口上既没有配置dialerroute命令又没有配置dialernumber命令，则说明没有

101、配置拨号串(对于共享DCC必须采用配置dialernumber；对于*循DDR采用二者之一来配置)。对于被呼的接口，如果是同步拨号口则必须同样配置拨号串；如果是其他接口，则可以省略该配置。(9)拨号串设置错误w主呼端已经发起呼叫，使用debugdialerpacket、debugdialerevent、debugmodemat、debugisdnq931命令打开对应的调试开关，如果在被呼端没有接收到呼叫的信息提示，则首先检查被呼端的物理连接是否正确。如果连接正确，则需要确认被呼端的中继号、BRI号或者电话号与主呼端配置的拨号串是否一致。(10)呼叫的连接过程失败w主呼端已经发起呼叫，使用deb

102、ugdialerpacket和debugdialerevent命令打开DDR调试开关后，如果提示信息正常；而使用debugppppacket(如果物理接口封装为PPP)没有任何PPP报文输出，并提示DCC：wait-for-carrier-timeoutonalinkoninterface*，shutdown!startenable-time，然后呼叫挂断。按照如下步骤进行分析：如果采用Modem拨号，使用debugmodemat和debugmodemevent命令打开Modem调试开关，如果提示线路忙说明设置的呼叫号码是自己。如果提示DCC：wait-for-carrier-timeouto

103、nalinkoninterface*shutdown!startenable-time，则可能对端正在使用，或者出现呼叫冲突，也有可能是线路质量比较差。如果采用ISDN拨号，使用debugisdnq921和debugisdnq931命令打开ISDN调试开关，如果出现RR帧则说明物理连接和Q.921协议运行正常，再通过查看Q.931消息Disconnect或者Release、ReleaseComplete中的Cause原因值来获取呼叫挂断的原因，然后根据具体原因进行修改。在采用ISDN拨号时交换机的最小和最大号码长度判断很严格。如果在发起呼叫的Setup消息之后，交换机返回Disconnect消

104、息，并且Cause原因值为9c，则表明呼叫号码不正确，需要确认交换机配置的最小号长或者最大号长是否正确。(11)呼叫冲突w两台路由器同时向对端发起呼叫时，按照如下步骤进行分析：两端同时发起呼叫，如果对端正在被使用，则只有等待对端挂断。两端采用自动呼叫间隔，并以同样的时间发起呼叫，需要调整自动拨号间隔(命令dialerautodial-interval)或者两次拨号使能时间间隔(命令dialertimerenable)，使两端的间隔不一致。两端都配置了DCC接口负载阈值(命令dialerthreshold0)，一个通道呼叫成功后，其他通道的呼叫本应该几乎同时UP，却每次都参差不齐，没有规律，甚至

105、其他通道都可能无法呼叫成功。此时，需要取消一端的dialerthreshold配置。(12)用户认证失败w主呼端已经发起呼叫，使用debugdialerpacket和debugdialerevent命令打开DDR调试开关，查看到呼叫正常；使用debugppppacket命令打开PPP调试开关，已经有PPP报文收发。按照如下步骤进行分析：查看PPP协商报文，如果有PAP或者CHAP认证报文，但是认证过程失败，则使用displaycurrent-configuration命令查看两端配置的用户名和密码是否匹配。如果在拨号口配置的dialerroute命令中有name选项，也要确认该用户名与对端的I

106、P是否对应。对于共享DCC来说，由于是通过用户名来区分每个Dialer口，因此如果作为主呼端，必须在Dialer接口上配置pppauthentication命令来要求对端发送用户名和密码。如果共享DCC作为被呼端，需要通过对端的用户名来查找所属的父接口，因此必须在共享DCC采用的物理接口上配置pppauthentication命令来要求对端发送用户名和密码。(13)IP地址协商错误w呼叫开始且PPP协商成功，但呼叫被挂断。按照如下步骤进行分析：使用debugdialerevent和debugdialerpacket命令打开DDR调试开关，如果看到DCC：peeraddrmatchingerro

107、roninterface*，shutdownlink的提示，说明对端的IP地址与本端dialermap配置的IP地址一致，所以呼叫被拒绝。采用dialerstring命令进行配置，问题解决。(14)ISDN回呼失败wPPP回呼的Client端呼叫成功，但Server端没有挂断呼叫也没有回呼。按照如下步骤进行分析：使用debugdialerevent和debugdialerpacket命令打开DDR调试，如果没有出现DCC:LinklayertransfercallbackrequestwithnameanddialstringtoDCConinterface信息，则查看Client端是否配置p

108、ppcallbackclient命令，或者Server端是否配置pppcallbackserver命令。如果出现DCC：LinklayertransfercallbackrequestwithnameanddialstringtoDDRoninterface信息，但没有出现DCC:Readytocallback,disconnecttheincome-callfirst信息，则需要查看Server端是否配置dialercallbackserver命令。如果配置为dialercallback-centeruser，则表明采用dialerroute中与username匹配的拨号串回呼；如果配置为d

109、ialercallback-centerdial-number，则表明采用local-user命令中的callback-dialstring来回呼，因此需要查找对应的回呼拨号串是否存在并且正确。wISDN被呼端接收到呼叫，但没有挂断呼叫并回呼。按照如下步骤进行分析：使用debugisdnq931和debugdialerevent命令打开调试开关，显示出DDR:ReceiveCALL_CONN_IND和DDR:ReceivedaCallerwithIDininterface信息，如果ID为空或者ID与Server端的dialercall-in配置的ID不一致，回呼就会失败。ISDN回呼需要交换机

110、的配合，需要在交换机上配置成将主叫号码前转并发送给被呼端，这样ISDN回呼才能成功。(15)呼叫挂断后，再次呼叫失败w使用debugdialerevent和debugdialerpacket命令打开DDR调试开关，显示DDR：Enable-timeoutiseffective，failed的提示，则为了防止呼叫过于频繁，DDR要求两次呼叫之间必须有间隔，如果提示DDR：Enable-timeoutiseffective，failed，则说明该间隔时间还没有超时，只需等待即可。如果设置的时间比较长，可以使用dialertimerenable命令进行修改。w前面介绍了利用防火墙端口防止入侵，以躲避

111、服务器在端口上受到攻击，但还有很多其他方面也需要得到注意。本章习题1.IPsecVPN调试命令有哪些？2.简述IPsecVPN常见故障3.简述DCC故障处理的一般办法4.简述DCC常见故障和处理方法5.选择题：DCC呼叫的典型过程：A.拨号、建立链路过程；B.PPP等协议协商过程；C.数据传输过程；D.呼叫挂断过程。6.填空题：在IKE中要使用许多参数：(端点身份)；本地和远端网络/主机；(通道/传输模式)；(远端网关)；主/挑战模式；(IPSec协议)；IKE加密；(IKE认证)；(IKEDH组)；(IKE使用期限)本章习题答案1.IPsecVPN调试命令有哪些？答案:(1)debugcry

112、ptoike命令(2)debugcryptoipsec命令2.简述IPsecVPN常见故障答案:(1)IPsecVPN隧道无法建立(2)VPN隧道通，无法办理业务(3)VPN时通时断3.简述DCC故障处理的一般办法答案:在网络上测定DCC最常用的方法是ping命令。从源端向目的端发送ping报文时，成功则意味着所有物理层、数据链路层、网络层功能均正常运转。而当呼叫失败时，应按照如下步骤进行故障处理：(1)检查源地址到目的地址之间所有物理连接是否正常，所有接口和协议是否运行。(2)查看电缆、Modem等硬件设施是否连接正确，一般物理层线路故障的排除可以通过检查硬件得到解决。(3)如果Modem或

113、者Q.921运行正常，DCC仍然不能呼叫或者发起呼叫不能成功呼通，可以参考上述方法检查是否存在DCC或者用户认证等其他配置错误。检查是否配置了DCC使能，是否配置DCC拨号列表(dialer-rule命令)以及引用到该拨号口上，是否配置拨号串，如果采用dialerroute命令进行配置应确保与访问的目的地址匹配。对于*循DCC，是否配置了用户认证等。(4)使用display和debug命令查看统计信息并进行调试，进一步定位故障。4.简述DCC常见故障和处理方法答案:在实际的拨号应用中，故障一般出现在拨号过程中，因此链路建立阶段和链路协议协商阶段为关注的重点。由于拨号遵循从链路建立、链路协商到正

114、常数据通信的过程，因此故障处理也按照从物理连接故障、链路建立过程中的故障、链路协议协商过程中的故障的次序进行。5.选择题：DCC呼叫的典型过程：A.拨号、建立链路过程；B.PPP等协议协商过程；C.数据传输过程；D.呼叫挂断过程。答案:(ABCD)6.填空题：在IKE中要使用许多参数：(端点身份)；本地和远端网络/主机；(通道/传输模式)；(远端网关)；主/挑战模式；(IPSec协议)；IKE加密；(IKE认证)；(IKEDH组)；(IKE使用期限)答案:(端点身份)；本地和远端网络/主机；(通道/传输模式)；(远端网关)；主/挑战模式；(IPSec协议)；IKE加密；(IKE认证)；(IKEDH组)；(IKE使用期限)谢谢谢谢 !

展开阅读全文

第9讲：计算机网络故障诊断与排除-其他业务故障诊断与排除2016-12ppt课件(全)

最新文档