1、網絡測試概述
1.1網絡測試方法
網絡測試有多種測試方法,根據測試中是否向被測網絡注入測試流量,可以将網絡測試方法分為主動測試和被動測試。
主動測試指利用測試工具有目的地主動向被測網絡注入測試流量,并根據這些測試流量的傳送情況來分析網絡技術參數的測試方法。主動測試具備良好的靈活性,它能夠根據測試環境明确控制測量中所産生的測量流量的特征,如特性、采樣技術、時标頻率、排程、包大小、類型(模拟各種應用)等。主動測試使測試能夠按照測試者的意圖進行,容易進行場景仿真。主動測試的問題在于安全性,因為主動向被測網絡注入測試流量,是“入侵式”的測量,必然會帶來一定的安全隐患。如果在測試中進行細緻的測試規劃,可以降低主動測試的安全隐患。
被動測試是指利用特定測試工具收集網絡中活動的元素(包括路由器、交換機、伺服器等裝置)的特定資訊,以這些資訊作為參考,通過量化分析,實作對網絡性能、功能進行測量的方法。常用的被動測試方式包括、通過SNMP協定讀取相關MIB資訊,通過Sniffer、Ethereal等專用資料包捕獲分析工具進行測試。被動測試的優點在于它的安全性。被動測試不會主動向被測網絡注入測試流量,是以不會存在注入、DDos、網絡欺騙等安全隐患;被動測試的缺點是不夠靈活,局限性較大,而且因為是被動地收集資訊,并不能按照測試者的意願進行測試,會受到網絡機構、測試工具等多方面的限制。
1.2網絡測試工具
網絡測試工具主要有線纜測試儀、網絡協定分析儀、網絡測試儀。
線纜測試儀用于檢測線纜品質,可以直接判斷線路的通斷狀況;
網絡協定分析儀多用于網絡的被動測試,分析儀捕獲網絡上的資料報和資料幀,網絡維護人員根據捕獲的資料,經過分析,可迅速檢查網絡問題;
網絡測試儀是專用的軟硬體結合的測試裝置,具有特殊的測試闆卡和測試軟體,這類裝置多用于網絡的主動測試,能對網絡裝置、網絡系統以及網絡應用進行綜合測試,具備典型的三大功能:資料報捕獲、負載産生和智能分析。網絡測試儀多用于大型網絡的測試。
1.3網絡測試的安全性
根據防範安全攻擊的安全需求、需要達到的安全目标、對應安全機制所需的安全服務等因素,參照SSE-CMM(系統安全工程能力成熟度模型)和ISO17799(資訊安全管理标準)等國際标準,綜合考慮可實施性、可管理性、擴充性、綜合完備性、系統均衡性等方面,得到網絡對測試方法的安全性要求,包括以下内容:
(1)在采用主動測試方法時,需要将測試流量注入網絡,是以不可避免地會對網絡造成影響。對于被動測試技術,由于需要采集網絡上的資料分組,是以會将使用者資料暴露給無意識的接收者,對網絡服務的客戶造成潛在的安全問題;
(2)在網絡中,測試活動本身也可以看作是網絡所提供的一種特殊的服務,是以要防止網絡中的破壞行為對測試主機的攻擊。
1.4網絡工程資訊安全等級劃分
桔皮書是美國國家安全局(NSA)的國家計算機安全中心(NCSC)頒布的官方标準,其正式的名稱為“受信任計算機系統評價标準”(Trusted Computer System Evalution CRITERIA,TCSEC)。2015年,桔皮書是權威性的計算機系統安全标準之一,它将一個計算機系統可接受的信任程度給予分級,依照安全性從高到低劃分為A、B、C、D四個等級,這些安全等級不是線性的,而是指數級上升的。桔皮書标準(D1、C1、C2、B1、B2、B3和A1級)中,D1級是不具備最低安全限度的等級,C1和C2級是具備最低安全限度的等級,B1和B2是具有中等安全保護能力的等級,B3和A1級屬于最高安全等級。
2、網絡裝置與子系統測試
2.1網絡裝置測試
2.1.1路由器裝置檢測
網絡系統中使用的路由器裝置的接口功能、通信協定功能、資料包轉發功能、路由資訊維護、管理控制功能、安全功能及性能名額應符合YD/T 1096-2001、YD/T 1097-2001的規定及産品明示要求。路由器裝置檢測主要包括以下内容:
- 檢查路由器,包括裝置型号、出廠編号及随機配套的線纜;檢測路由器軟硬體配置,包括軟體版本、記憶體大小、MAC位址、接口闆等資訊。
- 檢測路由器的系統配置,包括主機名、各端口IP位址、端口描述、加密密碼、開啟的服務類型等。
- 檢測路由器的端口配置,包括端口類型、數量、端口狀态。
- 路由器内的子產品(路由處理引擎、交換機矩陣、電源、風扇等)具有備援配置時,測試其備份功能。
- 對上述的各種檢測資料和狀态資訊做好詳細記錄。
2.1.2交換機裝置檢測
網絡系統中使用的交換機的端口密度、資料幀轉發功能、資料幀過濾功能、資料幀轉發及過濾的資訊維護功能、運作維護功能、網絡管理功能及性能名額應符合YD/T 1099-2001、YD/T 1255-2003的規定和産品明示要求。交換機裝置檢測主要包括以下内容:
- 檢查交換機的裝置型号、出廠編号及軟硬體配置。
- 檢測交換機的系統配置,包括主機名、加密密碼及VLAN的數量、VLAN描述、VLAN位址、生成樹配置等。
- 檢測交換機的端口,包括端口類型、數量、端口狀态。
- 交換機内的子產品(交換矩陣、電源、風扇等)具有備援配置時,測試其備份功能。
- 對上述的各種檢測資料和狀态資訊做好詳細記錄。
2.1.3伺服器裝置檢測
伺服器裝置檢測主要包括以下内容:
- 檢測伺服器裝置的主機配置,包括CPU類型及數量、總線配置、圖形子系統配置、記憶體、内置儲存設備(軟碟驅動器、硬碟、CD驅動器、錄音帶機)、網絡接口、外存接口等。
- 檢測伺服器裝置的外設配置,例如,顯示器、鍵盤、海量儲存設備(外置硬碟、錄音帶機等)、列印機等。
- 檢測伺服器裝置的系統配置,包括主機名稱、作業系統版本、所安裝的作業系統更新檔情況;檢查伺服器中所安裝軟體的目錄位置、軟體版本。
- 檢查伺服器的網絡配置,如主機名、IP位址、網絡端口配置、路由配置等。
- 伺服器内的子產品(電源、風扇等)具有備援配置時,測試其備份功能。
- 對上述的各種檢測資料和狀态資訊做好詳細記錄。
2.1.4網絡安全裝置檢測
網絡安全裝置檢測主要包括以下内容:
- 檢測安全裝置的硬體配置是否與工程要求一緻。
- 檢測安全裝置的網絡配置,如名稱、IP位址、端口配置等。
- 檢測設定的安全政策是否符合使用者的安全需求。
- 對上述的各種檢測資料和狀态資訊做好詳細記錄。
2.2子系統測試
2.2.1節點區域網路測試
若節點區域網路中存在幾個網段或進行VLAN劃分,測試各網段或VLAN之間的隔離性,不同網段或VLAN之間應不能進行監聽。檢查生成樹協定(STP)的配置情況。
2.2.2路由器基本功能測試
路由器基本功能測試主要包括以下内容:
- 對路由器的測試可使用終端從路由器的控制端口接入或使用工作站遠端登入。
- 檢查路由器配置檔案的儲存。
- 檢查路由器所開啟的管理服務功能(DNS、SNMP等)。
- 檢查路由器所開啟的服務品質保證措施。
2.2.3伺服器基本功能測試
伺服器基本功能測試主要包括以下内容:
- 根據伺服器所用的作業系統,測試其基本功能。例如,系統核心、檔案系統、網絡系統、輸入/輸出系統等。
- 檢查伺服器中啟動的程序是否符合此伺服器的服務功能要求。
- 測試伺服器中應用軟體的各種功能。
- 在伺服器有高可用叢集配置時,測試其主備切換功能。
2.2.4節點連通性測試
節點連通性測試主要包括以下内容:
- 測試節點各網段中的伺服器與路由器的連通性。
- 測試節點各網段間的伺服器之間的聯通性。
- 測試本節點與同網内其他節點、與國内其他網絡、與國際網際網路的連通性。
2.2.5節點路由測試
節點路由測試主要包括以下内容:
- 檢查路由器的路由表,并與網絡拓撲結構,尤其是本節點的結構比較。
- 測試路由器的路由收斂能力,先清除路由表,檢查路由表資訊的恢複。
- 路由資訊的接收、傳播與過濾測試,根據節點對路由資訊的需求及節點中路由協定的設定,測試節點路由資訊的接收、傳播與過濾,檢查路由内容是否正确。
- 路由的備份測試,當節點具有1個以上的出入口路由時,模拟某路由的故障,測試路由的備份情況。
- 路由選擇規則測試,測試節點對于路由選擇規則的實作情況,對于業務流向安排是否符合設計要求的流量疏通的負載分擔實作情況,網絡存在多個網間出入口時流量疏通對于出入口的選擇情況等。
2.2.6節點安全測試
節點安全測試包括路由器安全配置測試和伺服器安全配置測試。
(1)路由器安全配置測試主要包括以下内容:
- 檢查路由器的密碼是否加密。
- 測試路由器作業系統密碼驗證機制,屏蔽非法使用者登入的功能。
- 測試路由器的通路控制清單功能。
- 對于接入路由器,測試路由器的反向路徑轉發(RFP)檢查功能。
- 檢查路由器的路由協定配置,是否啟用量路由資訊交換安全驗證機制。
- 檢查路由器上應該限制的一些不必要的服務是否關閉。
(2)伺服器安全配置測試主要包括以下内容:
- 測試伺服器的重要系統檔案基本安全性能,如使用者密碼應加密存放,密碼檔案、系統檔案及主要服務配置檔案的安全,其他各種檔案的權限設定等。
- 測試伺服器系統被限制的服務是否被禁止。
- 測試伺服器的預設使用者設定及有關賬号是否被禁止。
- 測試伺服器中所安裝的有關安全軟體的功能。
- 測試伺服器上的其他安全配置内容。
3、綜合布線系統測試
為保證綜合布線系統測試資料準确可靠,對測試環境、測試溫度、測試儀表都有嚴格的規定。
(1)測試環境。綜合布線測試現場應無産生嚴重電火花的電焊、電鑽和産生強磁幹擾的裝置作用,被測綜合布線系統必須是無源網絡,測試時應斷開與之相連的有源、無源通信裝置。
(2)測試溫度。綜合布線測試現場的溫度在20~30℃,濕度宜在30%~80%,由于衰減名額的測試受測試環境溫度影響較大,當測試環境溫度超出上述範圍時,需要按有關規定對測試名額和測試資料進行修正。
(3)測試儀表的精度要求。測試儀表的精度表示綜合布線電氣參數的實際值與儀表測量值的差異程度,測試儀的精度直接決定、測量數值的準确性,用于綜合布線測試現場的測試儀表至少滿足實驗室二級精度。
3.1綜合布線系統測試種類
綜合布線系統測試從工程的角度分為驗證測試和認證測試兩種。驗證測試一般是在施工的過程中由施勞工員邊施工邊測試,以保證所完成的每一個部件連接配接的正确性;認證測試是指對布線系統按照一定的标準進行逐項檢測,以确定布線是否能達到設計要求。
它們的差別是:驗證測試隻注重綜合布線的連接配接性能,主要是确認現場施工時施勞工員穿纜、連接配接相關硬體的安裝工藝,常見的連接配接故障有電纜标簽錯、連接配接短路、連接配接開路、雙絞線連接配接錯等。事實上,施工時人員不可避免地會發生連結出錯,尤其是在沒有測試工具測試該點的連接配接性,發現問題及時解決,既可以保證品質又可以提高施工速度。
認證測試既注重連接配接性能測試,又注重電氣性能的測試,它不能提高綜合布線的通道傳輸性能,隻是确認安裝的線纜及相關硬體連接配接、安裝工藝是否達到設計要求。此外,除了正确的連接配接外,還要滿足有關的标準,如電氣參數是否達到有關規定的标準,這需要用特定的測試儀器(如FLUKE-620/DSP100等)按照一定的測試方法進行測試,并對測試結構按照一定的标準進行比較分析。
目前綜合布線主要有兩大标準:一是北美的EIA/TIA 568A(由美國制定);二是國際标準,即ISO/IEC 11801。
3.2綜合布線系統鍊路測試
TSB-67定義了兩種标準的鍊路測試模型:基本鍊路(Basic link)測試和通道(Channel)測試。如果傳輸媒體是光纖,還需要進行光纖鍊路測試。基本鍊路是建築物中的固定電纜部分,它不含插座至末端的連接配接電纜。基本鍊路測試用來測試綜合布線中的固定部分,它不含使用者端使用的線纜,測試時使用的是測試儀提供的專用軟線電纜,它包括最長為90m的水準布線,兩端可分别有一個連接配接點并各有一條測試用2m長連接配接線,被測試的是基本鍊路設施。通道是指從網絡裝置至網絡裝置的整個連接配接,即使用者電纜被當成鍊路的一部分,必須與測試儀相連。通道測試用來測試端到端的鍊路整體性能,它是使用者連接配接方式,又稱使用者鍊路,泳衣驗證包括使用者跳線在内的整體通道性能,它包括不超過90m長的水準線纜、1各資訊插座、1個可選的轉接點、配線架和使用者跳線。通道總長度不得超過100m。
3.2.1鍊路連接配接性能測試
該項測試關注的是線纜施工時連接配接的正确性,不關心布線通道的性能,通常采用基本連接配接測試模型。
3.2.2電氣性能測試
電氣性能測試是檢查布線系統中鍊路的電氣性能名額是否符合标準。對于雙線布線,一般需要測試以下項目:連接配接圖、線纜長度、近端串擾、特性抗阻、直流環路電阻、衰減、近端串擾與衰減差、傳播時延和其他項目(如回波損耗、鍊路脈沖噪聲電平)等。
3.2.3光纖鍊路測試
對于光纖或光纖系統,基本的測試為:測量光纖輸入/輸出功率、分析光纖的衰減/損耗、确定光纖的連接配接性和發生光損耗的部位等。光纜開盤後應先檢查光纜外表有無損傷,光纜端頭封裝是否良好。綜合布線系統工程采用光纜時,應檢查光纜合格證及檢驗測試資料,在必要時,可測試光纖衰減和光纖長度。
光纖的連續性測試是光纖基本的測試之一,通常把紅色雷射、LED或其他可見光注入光纖,在末端監視光的輸出,同時光通過光纖傳輸後功率會發生變化,由此可以測出光纖的傳導性能,即光纖的衰減/損耗。光纖鍊路損耗一般為15dB/km,連接配接器損耗為0.75dB/個,一次連接配接衰減應小于3dB。光纖測試可以用光損耗測試儀現場測試安裝的鍊路,檢驗損耗是否低于“規定的”損耗預算;用光時域反射計(OTDR)診斷未能通過損耗測試的鍊路,識别缺陷的成因和位置,檢視散射回來的光,測試反射系數,确定故障位置;用光纖放大鏡檢驗帶連接配接器的光纖兩端,檢驗連接配接器打磨和清潔程度。在問題診斷中,通常第一步是使用放大鏡進行清潔和目視檢查。
![【網絡工程師配置篇】華為RIP路由基礎配置續篇——重分發 RIP路由重分發[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)