-
LR的破解问题解决了..........
2008-11-12 22:27:36
-
关于Docsis协议的心得
2008-11-05 10:09:59
-
配置CM通过IPV6上线
2008-11-05 10:06:19
-
关于cable升级的方法
2008-11-05 10:01:06
-
CMTS启动的方法
2008-11-05 09:50:58
-
IIS的各种身份验证详细测试
2008-10-08 21:03:56
-
公司不能说的秘密
2008-09-28 14:31:46
-
snmp
2008-08-17 17:28:22
【SNMP简介】[编辑本段]
SNMP的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB:体系结构,改进后的协议就是著名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
SNMP的体系结构是围绕着以下四个概念和目标进行设计的:保持管理代理(agent)的软件成本尽可能低;最大限度地保持远程管理的功能,以便充分利用Internet的网络资源;体系结构必须有扩充的余地;保持SNMP的独立性,不依赖于具体的计算机、网关和网络传输协议。在最近的改进中,又加入了保证SNMP体系本身安全性的目标。
接入Internet的网络面临许多风险,Web服务器可能面临攻击,邮件服务器的安全也令人担忧。但除 此之外,网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务,许多时候这些SNMP服务是不必要的,但却没有引起网络管理员的重视。
根据SANS协会的报告,对于接入Internet的主机,SNMP是威胁安全的十大首要因素之一;同时,SNMP还是Internet主机上最常见的服务之一。特别地,SNMP服务通常在位于网络边缘的设备(防火墙保护圈之外的设备)上运行,进一步加剧了SNMP带来的风险。这一切听起来出人意料,但其实事情不应该是这样的。
〖一、背景知识〗
SNMP开发于九十年代早期,其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包,如HP的OpenView和Nortel Networks的Optivity Network Management System,还有Multi Router Traffic Grapher(MRTG)之类的免费软件,都用SNMP服务来简化网络的管理和维护。
由于SNMP的效果实在太好了,所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天,各种网络设备上都可以看到默认启用的SNMP服务,从交换机到路由器,从防火墙到网络打印机,无一例外。
仅仅是分布广泛还不足以造成威胁,问题是许多厂商安装的SNMP都采用了默认的通信字符串(例如密码),这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备,无需经过复杂的配置。
通信字符串主要包含两类命令:GET命令,SET命令。GET命令从设备读取数据,这些数据通常是操作参数,例如连接状态、接口名称等。SET命令允许设置设备的某些参数,这类功能一般有限制,例如关闭某个网络接口、修改路由器参数等功能。但很显然,GET、SET命令都可能被用于拒绝服务攻击(DoS)和恶意修改网络参数。
最常见的默认通信字符串是public(只读)和private(读/写),除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上,都可以找到某种形式的默认通信字符串。
SNMP 2.0和SNMP 1.0的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信,就可以利用各种嗅探工具直接获取通信字符串,即使用户改变了通信字符串的默认值也无济于事。
近几年才出现的SNMP 3.0解决了一部分问题。为保护通信字符串,SNMP 3.0使用DES(Data Encryption Standard)算法加密数据通信;另外,SNMP 3.0还能够用MD5和SHA(Secure Hash Algorithm)技术验证节点的标识符,从而防止攻击者冒充管理节点的身份操作网络。
虽然SNMP 3.0出现已经有一段时间了,但目前还没有广泛应用。如果设备是2、3年前的产品,很可能根本不支持SNMP 3.0;甚至有些较新的设备也只有SNMP 2.0或SNMP 1.0。
即使设备已经支持SNMP 3.0,许多厂商使用的还是标准的通信字符串,这些字符串对黑客组织来说根本不是秘密。因此,虽然SNMP 3.0比以前的版本提供了更多的安全特性,如果配置不当,其实际效果仍旧有限。
〖二、禁用SNMP〗
要避免SNMP服务带来的安全风险,最彻底的办法是禁用SNMP。如果你没有用SNMP来管理网络,那就没有必要运行它;如果你不清楚是否有必要运行SNMP,很可能实际上不需要。即使你打算以后使用SNMP,只要现在没有用,也应该先禁用SNMP,直到确实需要使用SNMP时才启用它。
下面列出了如何在常见的平台上禁用SNMP服务。
■ Windows XP和Windows 2000
在XP和Win 2K中,右击“我的电脑”,选择“管理”。展开“服务和应用程序”、“服务”,从服务的清单中选择SNMP服务,停止该服务。然后打开服务的“属性”对话框,将启动类型该为“禁用”(按照微软的默认设置,Win 2K/XP默认不安装SNMP服务,但许多软件会自动安装该服务)。
■ Windows NT 4.0
选择“开始”→“设置”,打开服务设置程序,在服务清单中选择SNMP服务,停止该服务,然后将它的启动类型该为禁用。
■ Windows 9x
打开控制面板的网络设置程序,在“配置”页中,从已安装的组件清单中选择“Microsoft SNMP代理”,点击“删除”。检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册键,确认不存在snmp.exe。
■ Cisco Systems硬件
对于Cisco的网络硬件,执行“no SNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭,可执行“show SNMP”命令。这些命令只适用于运行Cisco IOS的平台;对于非IOS的Cisco设备,请参考随机文档。
■ HP硬件
对于所有使用JetDirect卡(绝大部分HP网络打印机都使用它)的HP网络设备,用telnet连接到JetDirect卡的IP地址,然后执行下面的命令:
SNMP-config: 0
quit
这些命令将关闭设备的SNMP服务。但必须注意的是,禁用SNMP服务会影响服务的发现操作以及利用SNMP获取设备状态的端口监视机制。
■ Red Hat Linux
对于Red Hat Linux,可以用Linuxconf工具从自动启动的服务清单中删除SNMP,或者直接从/etc/services文件删除启动SNMP的行。对于其他Linux系统,操作方法应该也相似。
〖三、保障SNMP的安全〗
如果某些设备确实有必要运行SNMP,则必须保障这些设备的安全。首先要做的是确定哪些设备正在运行SNMP服务。除非定期对整个网络进行端口扫描,全面掌握各台机器、设备上运行的服务,否则的话,很有可能遗漏一、二个SNMP服务。特别需要注意的是,网络交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后,再采取下面的措施保障服务安全。
■ 加载SNMP服务的补丁
安装SNMP服务的补丁,将SNMP服务升级到2.0或更高的版本。联系设备的制造商,了解有关安全漏洞和升级补丁的情况。
■ 保护SNMP通信字符串
一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明,逐一检查、修改各个标准的、非标准的通信字符串,不要遗漏任何一项,必要时可以联系制造商获取详细的说明。
■ 过滤SNMP
另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求,即在防火墙或边界路由器上,阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口,厂商私有的实现一般使用199、391、705和1993端口。禁用这些端口通信后,外部网络访问内部网络的能力就受到了限制;另外,在内部网络的路由器上,应该编写一个ACL,只允许某个特定的可信任的SNMP管理系统操作SNMP。例如,下面的ACL只允许来自(或者走向)SNMP管理系统的SNMP通信,限制网络上的所有其他SNMP通信:
access-list 100 permit ip host w.x.y any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmptrap
access-list 100 permit ip any any
这个ACL的第一行定义了可信任管理系统(w.x.y)。利用下面的命令可以将上述ACL应用到所有网络接口:
interface serial 0
ip access-group 100 in
总之,SNMP的发明代表着网络管理的一大进步,现在它仍是高效管理大型网络的有力工具。然而,SNMP的早期版本天生缺乏安全性,即使最新的版本同样也存在问题。就象网络上运行的其他服务一样,SNMP服务的安全性也是不可忽视的。不要盲目地肯定网络上没有运行SNMP服务,也许它就躲藏在某个设备上。那些必不可少的网络服务已经有太多让人担忧的安全问题,所以最好关闭SNMP之类并非必需的服务——至少尽量设法保障其安全。
SNMP规定了5种协议数据单元PDU(也就是SNMP报文),用来在管理进程和代理之间的交换。get-request操作:从代理进程处提取一个或多个参数值get-next-request操作:从代理进程处提取紧跟当前参数值的下一个参数值set-request操作:设置代理进程的一个或多个参数值get-response操作:返回的一个或多个参数值。这个操作是由代理进程发出的,它是前面三种操作的响应操作。trap操作:代理进程主动发出的报文,通知管理进程有某些事情发生。
前面的3种操作是由管理进程向代理进程发出的,后面的2个操作是代理进程发给管理进程的,为了简化起见,前面3个操作今后叫做get、get-next和set操作。图1描述了SNMP的这5种
报文操作。请注意,在代理进程端是用熟知端口161俩接收get或set报文,而在管理进程端是用熟知端口162来接收trap报文。
图2是封装成UDP数据报的5种操作的SNMP报文格式。可见一个SNMP报文共有三个部分组成,即公共SNMP首部、get/set首部trap首部、变量绑定。
〖公共SNMP首部〗
■ 版本
写入版本字段的是版本号减1,对于SNMP(即SNMPV1)则应写入0。
■共同体(community)
共同体就是一个字符串,作为管理进程和代理进程之间的明文口令,常用的是6个字符“public”。
〖PDU类型〗
根据PDU的类型,填入0~4中的一个数字,其对应关系如表1所示意图。
〖get/set首部〗
■请求标识符(request ID)
这是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文,这些报文都使用UDP传送,先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对于哪一个请求报文
■差错状态(error status)
由代理进程回答时填入0~5中的一个数字,见表2的描述。
■ 差错索引(error index)
当出现noSuchName、badValue或readOnly的差错时,由代理进程在回答时设置的一个整数,它指明有差错的变量在变量列表中的偏移。
〖trap首部〗
■企业(enterprise)
填入trap报文的网络设备的对象标识符。此对象标识符肯定是在图3的对象命名树上的enterprise结点{1.3.6.1.4.1}下面的一棵子
树上。
〖trap类型〗
此字段正式的名称是generic-trap,共分为表3中的7种。
类型2、3、5时,在报文后面变量部分的第一个变量应标识响应的接口。
■特定代码(specific-code)
指明代理自定义的时间(若trap类型为6),否则为0。
■ 时间戳(timestamp)
指明自代理进程初始化到trap报告的事件发生所经历的时间,单位为10ms。例如时间戳为1908表明在代理初始化后1908ms发生了该时间。
■变量绑定(variable-bindings)
指明一个或多个变量的名和对应的值。在get或get-next报文中,变量的值应忽略。
简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月,RFC1157定义了SNMP(simplenetworkmanagementprotocol)的第一个版本SNMPv1。RFC1157和另一个关于管理信息的文件RFC1155一起,提供了一种监控和管理计算机网络的系统方法。因此,SNMP得到了广泛应用,并成为网络管理的事实上的标准。
SNMP在90年代初得到了迅猛发展,同时也暴露出了明显的不足,如,难以实现大量的数据传输,缺少身份验证(Authentication)和加密(Privacy)机制。因此,1993年发布了SNMPv2,具有以下特点:
支持分布式网络管理
扩展了数据类型
可以实现大量数据的同时传输,提高了效率和性能
丰富了故障处理能力
增加了集合处理功能
加强了数据定义语言
管理信息库MIB指明了网络元素所维持的变量(即能够被管理进程查询和设置的信息)。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域名系统DNS相似的树型结构,它的根在最上面,根没有名字。图3画的是管理信息库的一部分,它又称为对象命名(objectnamingtree)。
对象命名树的顶级对象有三个,即ISO、ITU-T和这两个组织的联合体。在ISO的下面有4个结点,其中的饿一个(标号3)是被标识的组织。在其下面有一个美国国防部(Department of Defense)的子树(标号是6),再下面就是Internet(标号是1)。在只讨论Internet中的对象时,可只画出Internet以下的子树(图中带阴影的虚线方框),并在Internet结点旁边标注上{1.3.6.1}即可。
在Internet结点下面的第二个结点是mgmt(管理),标号是2。再下面是管理信息库,原先的结点名是mib。1991年定义了新的版本MIB-II,故结点名现改为mib-2,其标识为{1.3.6.1.2.1},或{Internet(1) .2.1}。这种标识为对象标识符。
最初的结点mib将其所管理的信息分为8个类别,见表4。现在de mib-2所包含的信息类别已超过40个。
应当指出,MIB的定义与具体的网络管理协议无关,这对于厂商和用户都有利。厂商可以在产品(如路由器)中包含SNMP代理软件,并保证在定义新的MIB项目后该软件仍遵守标准。用户可以使用同一网络管理客户软件来管理具有不同版本的MIB的多个路由器。当然,一个没有新的MIB项目的路由器不能提供这些项目的信息。
这里要提一下MIB中的对象{1.3.6.1.4.1},即enterprises(企业),其所属结点数已超过3000。例如IBM为11.3.6.1.4.1.2},Cisco为{1.3.6.1.4.1.9},Novell为{1.3.6.1.4.1.23}等。<FONT color=#0066cc>
</FONT> -
IPV6
2008-08-17 17:21:39
-
IPV4
2008-08-17 17:07:38
ipv4 IPv4
IPv4,是互联网协议(Internet Protocol,IP)的第四版,也是第一个被广泛使用,构成现今互联网技术的基石的协议。1981年Jon Postel 在RFC791中定义了IP。
TCP/IP协议栈
(按TCP/IP参考模型划分) 地址格式
IPv4使用32位地址,因此最多可能有4,294,967,296(=232)个地址。一般的书写法为4个用小数点分开的十进制数。也有人把4個位元組的數字化成一個巨型整數,但這種標示法並不常見。另一方面,目前还并非很流行的IPv6使用的128位地址所採用的位址記數法,在IPv4也有人用,但使用范圍更少。 過去IANAIP地址分为A,B,C,D 4类,把32位的地址分为两个部分:前面的部分代表网络地址,由IANA分配,后面部分代表局域网地址。如在C类网络中,前24位为网络地址,后8位为局域网地址,可提供254个设备地址(因为有两个地址不能为网络设备使用: 255为广播地址,0代表此网络本身) 。网络掩码(Netmask) 限制了网络的范围,1代表网络部分,0代表设备地址部分,例如C类地址常用的网络掩码为255.255.255.0。 一些特别的IP地址段:
- 127.x.x.x给本机地址使用。
- 224.x.x.x为多播地址段。
- 255.255.255.255为通用的广播地址。
- 10.x.x.x,172.16.x.x和192.168.x.x供本地网使用,这些网络连到互连网上需要对这些本地网地址进行转换(NAT)。 但由於這種分類法會大量浪費網路上的可用空間,所以新的方法不再作這種區分,而是把用者需要用的位址空間,以2的乘冪方式來撥與。例如,某一網路只要13個ip位址,就會把一個 16位址的區段給他。假設批核了 61.135.136.128/16 的話,就表示從 61.135.136.129 到 61.135.136.142 的網址他都可以使用。
IP包长
IP包由首部(header)和实际的数据部分组成。数据部分一般用来传送其它的协议,如TCP, UDP,ICMP等。数据部分最长可为65515字节(Byte)(=2xx16 - 1 - 最短首部长度20字节) 。一般而言,低层(链路层) 的特性会限制能支持的IP包长。例如以太网(Ethernet)协议,有一个协议参数,即所谓的最大传输单元(Maximum Transfer Unit, MTU) ,为1518字节,以太网的帧首部使用18字节,剩给整个IP包(首部+数据部分)的只有1500字节。 还有一些底层网络只能支持更短的包长。这种情况下,IP协议提供一个分割(fragment)的可选功能。长的IP包会被分割成许多短的IP包,每一个包中携带一个标志(Fragmentid)。发送方(比如一个路由器) 将长IP包分割,一个一个发送,接送方(如另一个路由器)按照相应的IP地址和分割标志将这些短IP包再组装还原成原来的长IP包。
IP路由
Ipv4并不区分作为网络终端的主机(host) 和网络中的中间设备如路由器中间的差别。每台电脑可以即做主机又做路由器。路由器用来联结不同的网络。所有用路由器联系起来的这些网络的总和就是互联网。 IPv4技术即适用于局域网(LAN) 也适用于广域网。一个IP包从发送方出发,到接送方收到,往往要穿过通过路由器连接的许许多多不同的网络。每个路由器都拥有如何传递IP包的知识,这些知识记录在路由表中。路由表中记录了到不同网络的路径,在这儿每个网络都被看成一个目标网络。路由表中记录由路由协议管理,可能是静态的记录比如由网络管理员写入的,也有可能是由路由协议动态的获取的。有的路由协议可以直接在IP协议上运行。 常用的路由协议有
- 路由信息协议(Routing Information Protocol, RIP),
- 开放式最短路径优先协议,Open Shortest Path Fast, OSPF) ,
- 中介系统对中介系统协议(Intermediate System – Intermediate System, IS-IS) ,
- 边界网关协议(Border Gateway Protocol, BGP) . 在网络负荷很重或者出错的情况下,路由器可以将收到的IP包丢弃。在网络负荷重的时候,同样一个IP包有可能由路由器决定走了不同的路径。路由器对每一个IP包都是单独选择路由的。这也提高了IP通信的可靠性。但单是IP层上的包传输,并不能保证完全可靠。IP包可能会丢失; 可能会有重复的IP包被接受方收到; IP包可能会走不同的路径,不能保证先发的先到; 接受方收到的可能是被分割了的IP包。在IP之上再运行TCP协议则解决这些缺点提供了一个可靠的数据通路。
ICMP
互联网控制消息协议(Internet Control Messages Protocol,ICMP) 用于查错和控制(如),是IP协议不可能缺少的帮手。几乎任何的IP协议的实施(Implementation)都伴随一个ICMP协议的实施。ICMP协议实现在IP之上,即ICMP包是作为IP的数据部分来传送的。 ICMP的一个重要的应用是网络拥塞控制: 路由器丢弃一个IP包时,一般会用ICMP发一个消息给这个IP包的原发送者,原发送者可以相应的降低IP包的发送频率,以降低或避免IP包再被丢弃的可能性。 ICMP的另一个重要的应用在於,将传送ICMP消息的IP包禁止分割位(Don't Fragment-Bit)设置上,就可以利用ICMP的来测量一段网络的最大传输单元(MTU) 。
IPOE
Ipv4可以运行在各种各样的底层网络上,比如端对端的串行数据链路(PPP协议和SLIP协议) ,卫星链路等等。局域网中最常用的是以太网。 一个用于IP包的以太网数据帧,在IP包首部前有一个14字节的以太网帧首部,在IP数据部分后添加了一个32位(4字节) 的CRC校验。 除了1518字节的最大传输单元(MTU) 限制外,以太网还有最小传输单元的限制: 总帧长不能小於64字节。如果IP包太短,比如IP数据部分短于26字节,那么后面会添0(Padding) ,这时IP首部中的'包长度'指示了真正的包长。 以太网使用48位的地址。每个以太网网卡都有一个独一无二的48位的硬件地址。所有的位均为1的地址是以太网广播地址。发送数据的以太网网卡必须知道数据接送方的以太网地址才能把数据发给它。 地址解析协议ARP(Address Resolution Protocol) 用于将IP地址转换成以太网地址。每台计算机上都有一个ARP列表,里面存储了以太网中不同的IP地址与以太网地址的对应关系。如果一台计算机发现某个目标IP地址没有对应的以太网地址,它会发一个ARP请求(Request) 到以太网中询问,拥有该IP地址的计算机就会发一个ARP应答(Reply)来通知它自己的以太网地址。
IP包首部格式
IPv4首部一般是20字节长。在以太网帧中,IPv4包首部紧跟着以太网帧首部,同时以太网帧首部中的协议类型值设置为080016。 IPv4提供不同,大部分是很少用的选项,使得IPv4包首部最长可扩展到60字节(总是4个字节4个字节的扩展)
IP包头字段说明
版本:4位,指定IP协议的版本号。 包头长度(IHL):4位,IP协议包头的长度,指明IPv4协议包头长度的字节数包含多少个32位。由于IPv4的包头可能包含可变数量的可选项,所以这个字段可以用来确定IPv4数据报中数据部分的偏移位置。IPv4包头的最小长度是20个字节,因此IHL这个字段的最小值用十进制表示就是5 (5x4 = 20字节)。就是说,它表示的是包头的总字节数是4字节的倍数。 服务类型:定义IP协议包的处理方法,它包含如下子字段 ::过程字段:3位,设置了数据包的重要性,取值越大数据越重要,取值范围为:0(正常)~ 7(网络控制) ::延迟字段:1位,取值:0(正常)、1(期待低的延迟) ::流量字段:1位,取值:0(正常)、1(期待高的流量) ::可靠性字段:1位,取值:0(正常)、1(期待高的可靠性) ::成本字段:1位,取值:0(正常)、1(期待最小成本) ::未使用:1位 长度:IP包的总长 标识:唯一地标识主机所发送的一个数据段,通常每发送一个数据段后加一。但IP包被分割后,分割得到的IP包拥有相同的标识 标志:是一个3位的控制字段,包含: ::保留位:1位 ::不分段位:1位,取值:0(允许数据报分段)、1(数据报不能分段) ::更多段位:1位,取值:0(数据包后面没有包,该包为最后的包)、1(数据包后面有更多的包) 段偏移量:当数据段被分割时,它和更多段位(MF, More fragments)进行连接,帮助目的主机将分段的包组合。 TTL:表示数据包在网络上生存多久,每通过一个路由器该值减一,为0时将被路由器丢弃。 协议:8位,这个字段定义了IP数据报的数据部分使用的协议类型。常用的协议及其十进制数值包括ICMP(1)、TCP(6)、UDP(17)。 校验和:16位,是IPv4数据报包头的校验和。 源IP地址: 目的IP地址:
高层协议
IP 是TCP/IP参考模型中网络层的核心协议。在IP之上有许多高层协议。重要的如传输层协议TCP和UDP,应用层的域名服务协议DNS等。
过去和未来
IPv4从出生到如今几乎没什么改变的生存了下来。1983年TCP/IP协议被ARPAnet采用,直至发展到后来的互联网。那时只有几百台计算机互相联网。到1989年联网计算机数量突破10万台,并且同年出现了1.5Mbit/s的骨干网。因为IANA把大片的地址空间分配给了一些公司和研究机构,90年代初就有人担心10年内IP地址空间就会不敷用,并由此导致了IPv6 的开发。
参看 -
测试CMTS的CPU利用率的方法
2008-07-24 00:04:35
-
TCP/IP有关的报文格式收藏
2008-07-20 20:04:56
-
网络七层协议具体协议
2008-07-19 23:02:50
-
关于CMTS系统的知识
2008-07-19 22:18:17
实战:DHCP服务在CMTS系统中的配置
作者:祥子 2007-11-05编者按:CMTS(Cable modem termination system Cable modem头端系统)是Cable Mdome系统中的核心设备,Cable Modem一般只在广电系统开展的网络接入中使用,一般用户不太熟悉。下面我以DHCP服务在CMTS系统中的配置为例,介绍一下CMTS系统的网络配置过程。
一、CMTS系统的网络拓扑
这是一个实际工作环境中的CMTS系统。
图1 CMTS系统网络拓扑图如图1所示,CMTS系统(本例中以Terayon公司的头端产品为例)主要由BW3230和BW3240组成,其中BW3230主要是面向以太网的部分,而BW3240则主要是面向射频电缆的部分。BW3230就象这个头端设备中的大脑一样,将以太网和HFC(光缆与同轴混合传输网)联接起来,同时负责数据的传输。在实际工作中,CM是通过DHCP的方式来获取IP的,那么这一过程在CMTS系统中是如何实现的呢?下面我们分别就BW3230和DHCP服务器上的设置分别来说明一下。
二、BW3230的作用和AAI接口的配置
BW3230的作用有什么呢?首先它是作为CM和CPE用户的网关,其次它要兖当一个DHCP中继代理的角色,告诉下面的CM和CPE用户DHCP服务器的地址是多少,那么如何在BW3230上进行配置呢?需要进行以下几步:
(一)配置AAI接口的IP地址和子网掩码AAI接口即aggregate access interface(聚合访问端口),以下的配置都是在该端口下进行。
在Terayon CMTS的全局配置模式下,键入interface access 0并打回车 这个命令将从命令行界面转到了访问控制配置模式
在(config-if-AAI-0)模式下键入ip address<your CM network ip address> <subnet mask>并打回车 例如:Terayon CMTS(config-if-AAI-0)# ip address 192.169.0.1 255.255.224.0
以上命令用ip :192.169.0.1和子网掩码:255.255.224.0定义一个私有的CM的访问网络,注意到此处是用了一个私网地址,以节省公网地址。
(二)配置AAI接口的第二个IP地址继续在这个模式下键入ip address<你的CPE网络><子网掩码>secondary,打回车。
例如: Terayon CMTS(config-if-AAI-0)#ip address 172.16.16.1 255.255.224.0 secondary
以上命令用ip: 172.16.16.1和子网掩码:255.255.224.0定义了一个CPE访问网络。
(三)在BW3230上配置中继代理
在BW3200上配置DHCP服务器地址以实现DHCP中继传输,在AAI模式下使用以下命令:cable helper-address {ip-address}[cable-modeml/host]
这个参数{ip-address}是一台DHCP服务器的地址,而可选项[cable-modeml|host]则是允许你指定这台DHCP服务器是为cable modem网络还是为host(CPE)网络提供服务,如果你没有特别指定这个参数,这台DHCP服务器就同时为CM和CPE网络提供服务。
例如: Terayon CMTS(config-if-AAI-0)# cable helper-address 192.168.168.3
以上命令指定一台DHCP服务器的地址为192.168.168.3 ,并且是同时为CM和CPE网络提供服务的。
(四)显示端口的IP地址
在<config-if-AAI-0>模式下键入do show interfaces ip并打回车。
例如:Terayon CMTS(config-if-AAI-0)#do show interfaces ip(则会显示以下信息)
ADDRESS NET MASK IP TYPE INTERFACE
----------------------------------------------------------------
192.168.168.2 255.255.255.0 primary 0/0/1
192.169.0.1 255.255.224.0 primary access 0
172.16.16.1 255.255.224.0 secondary access 0
(五)为CM和CPE访问网络配置网关端口地址(giaddr)
在AAI模式使用以下命令:
Cable dhcp-giaddr{policy|primary}
这个{policy|primary}参数用于判断你在第4步中配置的DHCP服务器地址对于CM(primary)和CPE(secondary)是否同时都是可用的。
如果你选择使用policy,CM和CPE网络使用不同的网关地址
如果你选择使用primary,CM和CPE网络使用相同的网关地址
通常的,在一个单一ISP的网络中,你应该选择使用policy,而在一个拥有多个ISP的网络中,则应该选择使用primary,以便使得每一个CPE用户都能从相应的ISP商提供的DHCP服务器中获得IP地址。
例如:Terayon CMTS(config-if-AAI-0)# cable dhcp-giaddr policy
以上命令配置为你在第4步中定义的CM和CPE访问网络配置网关地址。
这一块看起来有点别扭,但是换个说法好理解了,那就是CM和CPE需要一个网关才能与外部网络(如互联网)进行通讯,而BW3230要与外部网络(如互联网)通讯同样需要一个网关,而这个网关指定在BW3230中就通过是就是通过cable dhcp-giaddr policy来指定的,而且DHCP服务器的地址就是作为网关地址。说到这里要注意了,一般来说,DHCP服务器是一台WIN2000的服务器,如果没有开启路由功能(即路由与远程访问)功能,那它怎么作网关呢?我们会在下面DHCP服务器的设置中加以说明。
三、CMTS系统中DHCP服务器的配置
相对于一般的DHCP服务器,CMTS系统中的DHCP服务器需要配置的地方要多一些,配置的内容包括创建两个作用域以便分别为为CM和CPE分配IP地址、子网掩码、网关、DNS; 指定为CM发送的配置文件和TFTP服务器的地址、建立保留地址等等,最后还要通过ip route命令来设置对于CM和CPE的回指路由,下面我们就分别来进行介绍(有了前面通用的DHCP服务器的设置基础,下面的介绍就以图示为主)。
(一)创建两个作用域(如图2所示)
图2 分别为CPE和CM创建了作用域
由图2可见,我们分别为CPE用户和CM创建了作用域,以便分别向这两类用户分配IP地址。
(二)为CPE分配网关和DNS(图3)
图3 为CPE指定的网关和DNS服务器地址
(三)为CM指定网关、指定向CM发送的配置文件及TFTP服务器的地址(如图4、图5所示)
图4 为CM指定网关
图5 指定TFTP服务器的地址及向CM发送的配置文件由图4和图5可见,除了要为CM指定网关外,还要向CM指定TFTP服务器的地址及配置文件的路径,为什么要这么做,因为CM要工常工作,必须要通过TFTP的方式得到一个配置文件,而这些信息必须在DHCP服务器的相关选项中进行指定才能获得。
(四)建立保留地址(如图6)
图5 在CM的作用域中创建保留地址
为什么要在CM的作用域中创建保留地址,主要是为了方便远程管理。因为我们有一批用户是通过CM下面接交换机接入,当这些用户反映上不去网时,我们可以通过PING CM的地址的方式来判断是一个用户家的网络出现了问题还是这个CM出现了问题。
(五)回指路由的创建
这台DHCP服务器是没有开启路由功能,那么针对CM和CPE的网段写回指路由呢?很简单,创建一个批处理就搞定了,文件名为routeadd.bat,内容如下:
route add 192.169.0.0 mask 255.255.224.0 192.168.168.2 metric 1
route add 172.16.0.0 mask 255.255.224.0 192.168.168.2 metric 1
route print
将这个批处理文件放在系统的启动项中,每次随着系统一起启动就可以了。为什么我们不在DHCP服务器上开启路由功能(路由与远程访问)呢?因为我们不想让CM用户和以太网用户相互访问,这样可以起到一个基本的网络隔离作用。
以上通过具体的例子说明了DHCP服务在CMTS系统的应用,其实大家也看出来了,如果想让CM正式工作(用我们的行话讲叫上线),TFTP服务器也必须正常工作才行,下一章我会针对TFTP服务在CMTS系统的配置作一个介绍。 -
关于cable modem 注册的几种状态
2008-07-19 22:06:48
-
怎么使Cable modem 上线
2008-07-19 20:21:44
-
各种测试摸板
2008-07-12 19:33:57
-
用SecureCRT连接VMware中的Linux系统(转)
2008-07-12 19:26:56
用SecureCRT连接VMware中的Linux系统2008年04月18日 星期五 01:23一、预备知识:
Secure:
SecureCRT将SSH(Secure Shell)的安全登录、数据传送性能和Windows终端仿真提供的可靠性、可用性和可配置性结合在一起。
SecureCRT将终端仿真程序同Secure Shell协议的强加密功能、多种认证选项和数据整合特性相联合,可以有效的保护密码、用户帐号、数据和计算机系统。SecureCRT具有安全远程访问、文件传输和数据通道功能。
SecureCRT为您提供加密的Secure Shell (SSH1和SSH2)会话。对于SSH、Telnet和其他协议,SecureCRT具有强大的会话管理和定制特性,并带有指定会话和多个会话窗口。支持包括VT100, VT102, VT220, ANSI, SCO ANSI, Wyse 50/60, Xterm,Linux控制台在内的多种终端仿真。SecureCRT还可以使用强大的脚本功能将常规性的配置任务自动化,有效节省了时间。
SecureCRT采用了一个密码库,符合FIPS 140-2 加密需求,通过 X.509 数字认证提高了认证能力,可以轻松启动多个会话,改进了SSH代理功能。系统需求:Windows 2003, XP, 2000;Microsoft Internet Explorer 5.5 或更高。
虚拟机VMware workstation:
虚拟机软件可以在一台电脑上模拟出来若干台PC,每台PC可以运行单独的操作系统而互不干扰,可以实现一台电脑“同时”运行几个操作系统,还可以将这几个操作系统连成一个网络。
目前PC上的虚拟机软件有下述两个:
VMWare http://www.vmware.com
Virtual PC http://www.connectix.com本人使用的是VMware,限于文章篇幅,只对这两款软件做了最简短的介绍,如果需要详细信息,请Google。
二、安装SecureCRT和VMware workstation,并在VMware中安装Linux系统。
过程没啥好讲的,如果英文不好,最好down个汉化版(SecureCRT和VMware),安装看提示吧...
三、将虚拟机网卡调至“桥接(Bridge)”状态,并勾选真机本地连接属性中的虚拟机桥接协议。
四、修改Linux设置文件,主要涉及启动模式、防火墙策略、字符类型、主机名..
1.#vi /etc/inittab 修改Linux启动模式
2.#vi /etc/sysconfig/selinux 禁用本地策略应用(注:我在这步没有做:任)
照图中所示,修改为“disabled”
3.#vi /etc/sysconfig/i18n 修改默认字符
4.#vi /etc/sysconfig/network 修改主机名
5.#reboot
五、启动SecureCRT,准备连接。
1.启动,并点击“快速连接”按钮进行配置:
接下来点击连接,即可。
恭喜你,连接成功!
-
奥建三和面试
2008-07-12 18:13:54
[顶]奥建三和面试不知为什么今天面试总找不到感觉,听同学说 ,今天的公司就在昨天去的附近,我13:20就到了师大
暨大后,发现与公司貌似不在那里,然后一路问业务管理的,他们也不是很清楚,嘎嘎,穷人家的孩子
,不管打的,只能一路狂跑,便走边跑,到了公司附近,那有两个软件园,我以为就是那一个,结果错
了,离两点钟越来越近了,没有办法,只有先给HR(人力资源部经理)打了个电话,貌似不是HR接的,
历尽千辛万苦,14:10终于到了公司(从来没有过的迟到).........
今天面试的时候,第一关就是HR进行面试,她问了以下几个问题:
1.自我介绍........(不知道为什么,今天的两次自我介绍都没有进入状态)
2.住在哪里,广州有没有同学与亲戚,是不是与同学住在一起.......
3.当我说都是软件测试的同学后,她又问他们都工作了吗,工资多少.........(可能为陷阱)
4.我当我说2000以上后,她问我2000下点,会不会考虑,最低底线是多少.......(答曰:1800-
2000)
5.她问我家具体是湖南哪里,家人是不是都在湖南?(不知道问这有什么意思)
6.我以前公司的气氛怎么样?(可能为陷阱)
7.为什么要从医生转为软件测试,同学是不是都是转行过来的?
8.来广州找过工作没,有没有消息,每次面试后总结过没,是怎么总结的?(请问大家:这个的最
佳答案)
9.用三分钟的时间简述我公司录用的要求.......
10.你简历说的沟通能力与现实不符合,我反驳:我在医院经常与病人沟通,她是个大傻子,她居然
说病人不喜欢说话,要我举例子,真的是信了她的邪.....
11.为什么要辞职,试用期的工资是多少?(很郁闷的问题)
12.你在哪里培训的,培训机构怎么样,感觉怎么样,还把我培训的证书拿过去确认下...........
差不多了介绍了公司的福利:五星期8小时制,节日礼金+生日礼金+社保........
最后给了我一个提问的机会:我问测试的规模?
她没有具体告诉我,她只说现在是一个很薄弱的环节,也是今年抓的重点..........
忽然之间我恍然大悟,她压根不是在招人,她是在打听测试的行情,为以后招人做准备.........
最后要我回来等消息..........
测试工程师
电子邮箱: sh-hr@yeah.net
发布日期: 2008-06-24 工作地点: 广州市 招聘人数: 2 工作年限: 一年以上
外语要求: 英语 良好 学 历: 大专
职位描述:
1、计算机操作熟练,曾使用过一些MIS系统;
2、良好沟通,协助能力;
3、学习总结能力强;
4、热爱测试工作;
5、有参加过专业培训,熟悉软件测试流程,软件测试理论及方法,熟练试用测试工具者优先考虑。
高级测试工程师
电子邮箱: sh-hr@yeah.net
发布日期: 2008-06-24 工作地点: 广州市 招聘人数: 2 工作年限: 二年以上
外语要求: 英语 良好 学 历: 大专
职位描述:
岗位职责:
1、参与测试技术文档的编写及管理;
2、负责软件测试及软件缺陷报告;
3、参与软件质量控制和规范开发过程等工作;
4、负责软件性能测试及自动化回归测试的实施和推广
岗位要求:
1、计算机相关专业大专以上学历,2年以上软件测试经验;
2、熟悉软件开发过程,软件测试流程,熟练制定系统的测试计划和测试用例,对功
能测试、集成测试和系统测试有一定的经验,且熟悉常用测试方法及技巧;
3、能熟练运用测试工具进行测试和编写测试脚本;
软件公司是一家专业从事建设行业管理信息系统、办公自动化系统及数据采集系统开发及网络集成的高
科技企业。
本公司属广州天河软件园园区企业(位于天河北的天城广场),广州市高新技术企业单位,广东省软件行业
协会会员单位,并于2001年通过了信息产业部"双软"认证及ISO9001:2000认证.主打产品在行业内率先
通过建设部科技成果评估。软件用户遍及全省各地(200多家)及部分外省市,在全国从事同类型应用软件
开发的公司中位居前列.并且是建设部相关信息化标准参编单位。 -
现在公司的面试
2008-07-12 18:09:43
1.请说出FTP,Telnet,UDP 等的基本功能?
2.请说出UDP 与TCP的区别?
3.请UDP协议传输数据包的封装过程,用简单图形表示,只需标出每段的协议?
4.hub,交换机与路由器的区别,分别工作在哪一层?
5.请说出LINUX的5种命令,并简述其功能?
6.LINUX的主目录下/下有什么文件夹,一般存放那些文件?
7.一个缺陷报告所包含的内容,如何提交高质量的缺陷报告?
8.简述白盒测试与黑盒测试的优缺点?
9.任选一种语言(C,C++,JAVA)实现下面的功能
输入Instr=“123a12 ”
输出为Instr的次数
如:输入1 次数为2
输入2 次数为2
10.以电梯为例,写出测试的设计方案?
11. 有四个朋友住在一个小镇里。他们的名字是甲、乙、丙、丁。他们一个是警察,一个是木匠,一个是农民,一
个是医生。
一天,甲的儿子摔断了腿,甲带儿子去看医生。医生有个妹妹是丙的妻子。农民没有结婚,他养着 许多母
鸡,乙经常去农民家里买鸡蛋。警察天天都能见到丙,因为他们是邻居。
请问,甲、乙、丙、丁四人中谁是警察?谁是木匠?谁是农民?谁是医生?
公司行业:通信/电信/网络设备 公司性质:外资(欧美) 公司规模:少于50人
发布日期: 2008-06-19 工作地点: 广州市 招聘人数: 若干 工作年限: 一年以上
外语要求: 英语 学 历: 大专
职位描述:
工作职责:
负责软件产品测试
负责软件缺陷跟踪管理
测试数据库维护和编写质量评估报告
职位要求:
大专以上学历,一年以上专职测试工程师工作经验;
熟悉软件测试流程,能够编写测试用例;具有良好的文档管理、维护习惯;
热爱软件测试工作,可以胜任重复性工作,工作细致认真,有耐心;
具备良好的学习能力和质疑习惯,有良好的团队合作意识,有强烈的责任心和积极主动的工作态度,较
强的沟通能力和表达能力;
有脚本(TCL,JSP等)编写工作经验者优先;
对软件质量控制体系有实际操作经验者优先。
公司是一家从事通讯、网络、视频技术和设备的研发、生产的高新技术企业,位于
广州市天河区软件园.总公司CASA SYSTEMS 位于美国高新技术重地麻州高新技术带,具有在交互式视频
、广播和宽带网络方面的世界领先技术。现公司全面发展中国研发基地,面向全国诚聘各专业人才。一
经录用,待遇优于国内知名企业,各技术人员均享有赴美接受专业培训机会,和事业发展机会。今天一清早,与同学两人去公司笔试........
呵呵,又是早半小时到了公司......
进去小坐了一下,公司朋友不好意思要我们先等,就发了一份入职申请和一份 笔试题给我们做........
笔试题见(广州凯媒通讯面试题目),
不看不知道,一看吓一跳,5555555,网络这一块,不会......
LINUX知道一些.........
测试专业这一块,自己还是没有任何怀疑,逻辑推理也不难........
我们在笔试的时候,来了一个女生在职的,她做了一下,呵,她跟我们说,她一个也不会,然后小交流了下,不
到五分钟,就走了.........
后来又来了一个男生,看了一下题目,什么都没有做,就直接走了......
虽然,我们做的也不是很好,但是,我们还是坚持到了最后........
呵呵,虽然,我不是很会,但是我全做完了,两张纸,答得满满的..........
呵呵,不管结果与否,我都已无憾,如果有幸进入,这也将是一场艰巨的战争...........不知道卫为什么,今天面试整个过程貌似没有进入状态............
今天面试我的可能不是个搞技术的,我以为今天会问些网络方面的问题,结果一个也不是,以为那天考的很乱,结果不是想象的那么乱,还得了79分,虽然不是很完美,但比想象的要好........
还是几个关键的问题:1.为什么要从医学转测试.........
2.了解了一些培训机构,每个班有多少人,看来我的简历问了一些相关的问题,还小夸了一下我,嘎嘎........
3.薪资问题
最后说,基本已经确定,近三天美国的技术总监要来中国,要我到时与他聊下,最后确定....555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555
最后给我一个问题的机会:我问了一下测试规模,这是我选择公司最关心的问题,他告诉我现在公司有哟26人,开发加测试有10多个,测试有三个,一个为华南理工的研究生,两个为华南理工的本科生..................
嘎嘎,不管结果怎么样,压力大啊
期待,期待.............<貌似看到了希望>
嘎嘎,在13:30之前赶到了公司,出于礼貌,跟公司打了个电话,(由于改约15:00,却又按原计划13:30到了),最后还是被放进去了,上次面试的那个部门经理小聊了一会,谈了下工资,但具体工资还要与H聊,他说可以录用.........,他发现我身上湿透了,呵呵,就说:身上都湿了,就不耽误时间了,如果能等的话,就等下与美国过来的技术总监聊聊,由于中国与美国时间差的关系,没能见到他,最后却见了HR,与她长谈了半个小时,从转行,辞职原因,以前公司的气氛,求职经历,薪水等等..........,HR最怕的是留不住人..........,最后,差不多了,她要去体检,说三天之内给我消息..........
嘎嘎,最后我问了一个很弱智的问题:体检的费用..................哇哇.............
标题搜索
我的存档
数据统计
- 访问量: 47132
- 日志数: 57
- 文件数: 1
- 建立时间: 2008-04-26
- 更新时间: 2010-03-03
