计算机网络_第8章习题答案

8.1 画出管理信息通信的体系结构。

答：管理信息通信的层次结构如下图所示。

8.2 在简单网络管理协议中，SNMPv1与SNMPv2有什么不同？

答：

1988年，Internet体系结构委员会(IAB，Internet Architecture Board)在简单网关监控协议(SGMP)基础上公布了SNMPv1(RFC 1157)；1993年，设计出功能更强、更有效的SNMPv2，该版本集成了用于验证的MD5算法和加密机制，进一步增加了协议的安全性。

8.3 SNMP采用的管理方式是什么？

答：

SNMP采用管理进程/代理进程的方式进行管理。管理程序和代理程序按照客户机/服务器的方式工作。管理程序作为客户端的角色，运行的是SNMP客户机程序，向某个代理程序发出请求(或命令)，运行于被管对象中的代理程序则作为服务器的角色，运行SNMP服务器程序，返回响应(或根据命令执行某种操作)。在网络管理系统中往往是少数几个客户程序与多个服务器程序进行交互。

8.4 在SNMP中，MIB是什么？其结构如何？

答：

管理信息库MIB是一个网络中所有可能的被管对象的集合的数据结构，由RFC1212定义。MIB是一个树形结构，它存放被管设备上所有管理对象与被管对象的值。不同的被管设备在MIB中有相同或不同的对象。一个MIB描述了包含在数据库中的对象或表项。每一个对象或表项都有4个属性，即：对象类型(Object Type)、语法(Syntax)、存取(Access)、状态(Status)。

8.5 在网络管理系统中，什么叫代理？代理与外部代理有何异同？

答：

网络管理系统中的代理又称为管理代理。在网络管理模型中，用“网络元素”(NE，Network Element)来表示网络资源，每个网络元素内部都有一个负责执行管理任务的管理代理，整个网络有一个或多个对网络实施集中式管理的管理进程(网管中心)。

管理代理与外部代理的区别在于：管理代理仅是管理操作的执行机构，是网络元素的一部分；而外部代理则是在网络元素外附加的，专为那些不符合管理协议标准的网络元素而设，完成管理协议转换、管理信息过滤以及统计信息或数据采集的操作。

8.6一个集中式的网络管理系统在逻辑上有哪些功能模块？

答：

ISO在ISO/IEC 74984文件中将开放系统的系统管理功能分成五个基本功能域，包括：故障管理、计费管理、配置管理、性能管理、安全管理。

8.7 CMISE主要提供哪些服务？

答：

CMISE主要用于控制网络管理系统中网络管理实体间有关管理信息的交换。CMISE的定义分为接口和协议两部分。接口用于指定提供的服务，协议用于指定协议数据单元(PDU)的格式和相关过程。CMISE提供七类服务，如下表所示。

(1)设备或线路损坏                    

(2)网络设备配置错误                

(3)系统的负载过高引起的故障        

(4)线路受到严重电磁干扰            

(5)网络插头误接                    

(6)重要进程或端口关闭引起的故障    

答：

（1）设备或线路损坏                    物理故障

（2）网络设备配置错误                逻辑故障

(3) 系统的负载过高引起的故障        逻辑故障

(4)线路受到严重电磁干扰            物理故障

(5) 网络插头误接                    物理故障

(6) 重要进程或端口关闭引起的故障    逻辑故障

8.9 在某网络中，在网管工作站上对一些关键服务器，如DNS服务器、E-mail服务器等实施监控，以防止磁盘占满或系统死机造成网络服务的中断。分析下列的操作哪个是不正确的，试解释。

(1)为服务器设置严重故障报警的Trap，以及时通知网管工作站

(2)在每服务台上运行SNMP的守护进程，以响应网管工作站的查询请求

(3)在网络配置管理工具中设置相应监控参数的MIB

(4)收集这些服务器上的用户信息存放于网管工作站上

答： (4)不正确。所采取的措施只能做到采集用户信息，和服务器的工作状态无关。

8.10指出下列不属于基于策略的网络管理的选项，并加以解释。

(1)使用VLAN虚拟网自动管理功能动态适应网络中用户的变化

(2)依赖LDAP、DEN等目录服务建立基于用户的访问控制策略

(3)利用四层交换技术的负载均衡功能自动根据策略的优先级定义进行关键任务的优先传输

(4)采用三层交换技术对路由实现限速转发，减少路由器的“瓶颈”阻碍

答： (4) 不属于基于策略的网络管理的选项。这种方式并没有根据负载调配资源，而是了资源的使用。

8.11举例说明现在网络安全有哪些主要的威胁因素。

答：

网络安全所面临的威胁宏观上可分为人为威胁和自然威胁。自然威胁通常指地震、水灾、雷击等自然现象对网络系统硬件设备可能的损害；人为威胁则是有目的的破坏。对网络的攻击包括对静态信息的攻击和对动态信息的攻击。根据对动态信息的攻击形式不同，可以将攻击分为被动攻击和主动攻击两种。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析等。主动攻击是指以各种方式有选择地破坏信息(如修改、删除、伪造、添加、重放、乱序、冒充、病毒等)。

8.12 在ISO/OSI定义的安全体系结构中规定了哪五种服务？

答：

在ISO/OSI定义的安全体系结构中规定的五种服务为：身份鉴别(Authentication)服务、访问控制(Access Control)服务、数据保密(Data Confidentiality)服务、数据完整性(Data Integrity)服务和不可否认性(Non-Reputation)服务。

8.13 衡量网络安全的指标有哪些？

答：

衡量网络安全的指标主要有网络系统的可靠性、可用性、保密性、完整性、不可抵赖性。

8.14 对称密钥密码系统的特点是什么？

答：

对称密钥密码(Symmetric Key Cryptography)系统是一种传统的密码，其加密和解密使用相同的密钥，且加密和解密的过程可逆。

8.15 在RSA算法中，发送方传送数据所用的加密密钥是什么？

答：

RSA算法属于非对称密钥密码(Asymmetric Key Cryptography)系统。在这种密码系统中有两个密钥K和K’。每个通信方进行保密通信时，通常将加密密钥K公布(称为公钥，Public Key)，而保留秘密密钥K’(称为私钥，Privacy Key)，所以人们习惯称之为公开密钥技术。使用公开密钥密码系统时，用户可以将自己设计的加密密钥和算法公诸于众，而只保密解密密钥。对于任何人利用这个加密密钥和算法向该用户发送的加密信息，该用户均可以将之还原。

8.16 在数字签名中，首先实施电子签名的密钥是什么？

答：

数字签名是通信双方在网上交换信息时采用公开密钥法对所收发的信息进行确认，以此来防止伪造和欺骗的一种身份认证方法。数字签名通常使用公开密钥法进行，其过程如下图所示：

由图中可见，首先实施电子签名的密钥是发送方（A）的私钥。

8.17 IPSec协议中的AH、ESP和IKE的作用分别是什么？

答：

IPSec协议分三个部分：封装安全净负荷(ESP，Encapstllation Security Payload)、鉴别报头(AH，Authentication Header)和Internet密钥交换(IKE，Internet Key Exchange)。ESP协议主要用来处理对IP数据包的加密．并对鉴别提供某种程度的支持。AH只涉及鉴别，不涉及加密，它除了对IP的有效负载进行鉴别外，还可对IP报头实施鉴别。IKE协议主要是对密钥交换进行管理。IETF的IP安全(IPSec)加密标准解决了安全性的保密问题。IPSec的封装安全净载荷(ESP)允许选择的加密方法为数据加密标准(DES)或三重DES(3DES)，这两种标准都提供了严格的保密性及强大的验证功能。

8.18 什么是VPN？有几种模式？

答：

虚拟专用网(VPN，Virtual Privacy Network)是将物理分布在不同地点的网络通过公用骨干网(尤其是Internet)连接而成的逻辑上的虚拟子网。为了保障信息的安全，VPN技术采用了鉴别、访问控制、保密性和完整性等措施，以防信息被泄露、篡改和复制。

VPN分为两种模式：直接模式和隧道模式。直接模式VPN使用IP和编址来建立对VPN上传输的数据的直接控制，对数据加密；采用基于用户身份的鉴别。隧道模式使用IP帧作为隧道发送分组。