网络协议实验教学

网络协议实验教学（精选12篇）

网络协议实验教学 篇1

0 引言

CAN的技术规范只定义了物理层和数据链路层协议,没有定义应用层协议。CAN的技术特点允许各厂家在CAN协议的基础上自行开发自己的高层应用协议,给用户提供一个面向应用的清晰接口。为了将CAN协议的应用推向更深的层次,同时满足产品的兼容和互操作性,国际上已经形成了诸多基于CAN的应用层协议:CANOpen、Device Net、SAEJ1939、CAL、SDS、CAN Kingdom等,这些高层协议都对CAN应用层做了完整而详尽的定义[1]。Device Net最初由Rock Well旗下Allen-Bradly公司研制开发,凭借该公司在可编程控制器和变频器等方面的优势,在PLC与现场设备之间的通信网络中得到广泛应用。CANOpen是基于CAN总线系统的网络,它是由Ci A进行开发的,CANOpen甚至可以在具有低计算性能和存储能力的设备中使用[2]。

由于目前国内还没有CAN通讯的应用层协议标准,而国外的应用层协议又较为昂贵,并且在一些利用简单的通信协议就可以满足要求的情况下,采用复杂的协议有时会造成资源浪费,用户在应用时也会觉得诸多不便,反而限制了CAN的灵活性,在实际应用中,可以根据需要自定义一个简单有效的协议实现所要求的功能。该协议制订的合理与否,直接关系到总线的传输效率、通用性和将来的可扩展性。

1 系统总体架构设计

考察汽车电气控制部分,可以发现仪表显示、车灯控制和传感器信号采集部分的连线是最复杂的,所以从这几方面入手来解决系统设计所面临的问题。系统分为高速CAN和低速CAN两部分,由高速数据采集模块、低速数据采集模块、仪表显示模块、车灯控制模块、上位机监控模块组成。对于发动机的转速和车速,采用500Kbps的高速速率,以保证良好的通信带宽,从而满足高实时性要求;对于仪表信息显示和车灯系统等普通实时性要求的设备,可工作在125Kbps的低带通信波特率上,通过CAN网桥对两CAN网络数据处理[3]。数据采集模块接收传感器输出的模拟信号、数字信号和开关信号,经ECU进行处理,转换为可在CAN总线上通讯的数据报文格式,分别送到仪表显示模块和灯光控制模块。仪表显示模块分别输出显示油量、水温、转速、车速、本次里程和总里程,用来实时反映汽车各部件当前的工作状态。灯光控制模块完成对灯光控制命令的接收及驱动控制车灯亮灭。同时,将数据采集模块处理后的信号通过RS232-CAN转换卡送入PC机处理及显示,并对CAN总线的发送和接收情况进行监控。

2 系统应用层协议的制定

在本系统中我们采用的是扩展帧,这种模式支持具有很多特性的CAN2.0B协议,具有增强的验收滤波器、强有力的错误处理能力以及自我测试功能。其数据格式[4]如表1所示。

其中:字节0的第7位FF表示帧格式,在扩展帧中FF=1,在标准帧中FF=0;第6位RTR表示帧类型,RTR=0表示为数据帧,RTR=1表示为远程帧。

2.1 标识符ID的定义

CAN总线上每条信息都有一个独一无二的标识符ID,在接收端只有与自己标识符相同的信息才被接收。在CAN系统中,标识符ID决定了信息的优先权和等待时间,一般ID的二进制值越小则优行权越高,所以将重要数据规定为帧号较小。

在CAN扩展格式里,标识符位由ID.28-ID.0组成,其中高7位ID.28-ID.22不能全为隐性1。标识符的分配要满足节点及报文对优先级的要求,同时尽可能地利用标识符加载有关信息,以减少在数据域占用的空间,此外标识符的格式还要为消息滤波提供便利。本文根据CAN仲裁的特点和一般汽车结构特点对CAN的29位标识符作以下设计,这里设定都留有一定的余量,以备将来扩展所需[5]。具体分配如表2所示。

信息采集节点分为模拟量(油量、温度)采集,脉冲量(转速、车速)采集,开关量(左转向、右转向、近光灯、远光灯、制动灯、超车灯、倒车灯、雾灯)采集,分别由ID28~ID24这5位的二进制数组合来定义。仪表显示节点主要包括油量、水温、转速、车速、本次里程、总里程6个仪表,以及4个报警灯:油量低于10L报警、水温高于110℃报警、转速高于8000R/M报警、车速超过120Km/H报警,分别由ID23~ID20这4位的二进制数组合来定义。灯控节点主要控制8个车灯的亮灭,分别由ID19~ID16这4位的二进制数组合来定义。系统主要有5类信息类别:紧急信息、广播信息、命令信息、状态信息、数据信息,分别由ID15~ID13这3位的二进制数组合来定义。

2.2 数据域格式的定义

对CAN报文进行数据域编码是本规范进行数据格式编码的主体,如何对数据域的功能进行详细的划分,这里采用分级编码的方式来进行。本规范中数据域编码的大小只有1个字节,而数据域的实际大小可为8个字节的容量,所以具有很大的扩充性,将来如果车身器件或电子元件增多后,可适量进行功能拓展。表3显示了数据域编码的分配方式。

器件类型编码是指对具体器件进行类型划分,主要包括传感器、仪表、开关、车灯4类,由D7~D5这3位的二进制数组合来定义。具体器件编码是按器件类型为汽车总线的每个控制器件进行编码,从而制定相关的报文格式,由D4~D1这4位的二进制数组合来定义。状态编码一是为说明传感器和仪表的控制流方向是输入还是输出,二是为说明开关和车灯的状态。

3 实验调试软件的设计应用

3.1 监控调试软件的设计

由于本系统的运行都是基于硬件的,功能程序加载在各种微控制器上,系统运行的结果表现为汽车仪表上的各种显示数据,以及汽车上的各种灯类开启,这样对于系统运行的调试和监控就显得比较困难,尤其是对系统的调试和故障排查,如果不设计一套监控调试软件,就无法方便有效的对整个系统的运行情况进行全面掌握。系统监控软件设计的目标是建立一套较为完整的系统调试和测试平台,能够观察本系统汽车仪表所显示的各种数据,能够显示车灯的亮灭情况;此外,还要通过手动输入各种不同的数据,测试系统在不同条件下的运行情况和异常情况。

本系统采用VB设计人机界面,包括汽车控制模块和通讯测试模块两部分。控制模块执行情况如图1所示,数字化显示车辆在行驶过程中的关键数据,以及四个报警灯的亮灭情况。在界面中还包括8个车灯的亮灭显示,通过设定车灯开关的状态,一方面可以监控车灯的启灭情况,另一方面也方便车灯系统的故障检测。当点击车灯的“开关”按钮后,将向总线上发出信号,车灯成功控制后会反馈一个信号给监控软件,监控软件上的模拟灯会相应亮灭。通讯测试模块执行情况如图2所示。数据发送栏中可以选择要发送的CAN帧结构类型(数据帧或远程帧),之后输入待发送的报文ID及数据,点击“发送”后被网络上其他节点接收,将标识符改动再把数据原样返回,返回的报文显示在报文接收栏中,以便测试CAN通信是否成功。

3.2 测试软件的应用

CAN总线的扩展模式支持“自收自发”测试功能,可以检测节点本身的CAN硬件电路功能,但不能测试与CAN总线密切相关的通讯参数。本系统借助于一套有ZLGCANtest通用测试软件支持的接口卡,来监听CAN总线网络通讯数据,向网络发送CAN总线帧报文,以提供给其它节点接收信息,从而检测CAN通路的正确与否。操作此软件,由于CAN节点正在向CAN总线上连续发送报文,因此,在CAN分析测试软件界面可以看到报文接收情况,如图3所示。从图中可以看出接收到的报文是数据长度为8的扩展数据帧,这是CAN节点发出的报文,可以在程序中设置发送CAN报文的格式和数据。

4 结束语

CAN的技术规范只定义了物理层和数据链路层协议,而没有定义应用层协议。因此,本系统针对汽车CAN网络控制系统,制定了一个简单有效的协议实现所要求的功能。系统采用29位标识符的扩展模式,定义了2个字节的标识符ID的和1个字节的数据域编码,并通过自行设计的上位机监测软件和CAN分析测试软件ZLGCANtest对CAN总线上的数据进行实验测试,在PC机上观察节点报文的发送和接收情况。经试验调试表明,报文的接收和发送没有异常,此协议的制定能够实现硬件系统所要求的功能。但这种简单协议的制定也表现出了它的弊端,就是不具有通用性,难以和其他系统兼容。

摘要：针对汽车CAN网络控制系统,依据CAN协议技术规范,重点制定了仪表显示、车灯控制和传感器信号采集部分的应用层协议。CAN总线系统是信息地址定位,而不是设备地址定位,系统采用29位标识符的扩展模式,定义了2个字节的标识符ID的和1个字节的数据域编码。采用自行设计的上位机监测软件和CAN分析测试软件ZLGCANtest对CAN总线上的数据进行实验测试,在PC机上观察节点报文的发送和接收情况。经试验调试表明,报文接收和发送正常,此协议的制定能够实现硬件系统所要求的功能。

关键词：CAN总线,应用层协议,标识符,数据域编码,ZLGCANtest

参考文献

[1]李银河.CAN总线和基于CAN总线的高层协议[J].可编程控制器与工厂自动化,2005,(11):65-68.

[2]SAE.SAE International Surface Vehicle Standard series.2003

[3]刘立峰,廖力清.高低速CAN总线在汽车控制系统中的研究[J].自动化与仪表.2006,(1):36-39.

[4]N.Navet,Y.-Q.Song and F.Simonot,Worst-case deadline fail-ure probability in real-time applications distributed overcontroller area network,ARTICLE Journal of Systems Architecture,2000,46(7).

[5]SAE,SAE J1939,Recommended Practice for Control and Co-mmunications Network,USA,SAE,2000.

网络协议实验教学 篇2

一、实验目的:了解ISO/OSI七层参考模型各层有哪些网络安全协议；掌握各层安全协议的具体应用环境。二、实验软件：Windows XP 操作系统 三、实验步骤：

上Ineternet，利用各种搜索引擎搜索相关资料，并完成提交电子实验报告。

实验2 IPSec实验

一、实验目的：

掌握windows下IPSec的传输模式的配置，理解主机到主机的IPSec VPN的工作原理

二、实验软件：

Windows XP 操作系统2台。分别为主机xp1和主机xp2

三、实验步骤：

1.xp1和xp2均能互相ping通（关闭防火墙）。、2.在xp1下点击开始--->运行，输入“gpedit.msc”,运行组策略。

3.依次展开左侧的“本地计算机”策略—->“计算机配置”—->“windows设置”—->“安全设置”—->“IP安全策略”，点击右键，选择“创建IP安全策略”。

4.在“IP安全策略向导”中选择下一步，对其命名“IPSEC 加密”，选择下一步，在“默认相应规则验证方式”中选择第三个“此字符串用来保护密钥交换”，输入自己设定的密码。选择下一步，选择完成。

5.在“IPSec加密属性”中添加IP安全规则

6.“隧道终结点”选择“此规则不指定隧道”，点击下一步。7.“网络类型”选择“所有网络连接”，点击下一步 8.“身份验证方法”同步骤4，点击下一步。

9．“IP筛选器列表”选择“所有IP通信量”，点击下一步。10.“筛选器操作”选择添加，点击下一步。

11，“筛选器操作名称”输入“必须加密”，点击下一步。12，“筛选器操作常规选项”选择“协商安全”，点击下一步。13.选择“不和不支持Ipsec的计算机通信”，点击下一步。

14.“IP通信安全设施”选择“加密并保持完整性”，点击下一步，完成。15.在“筛选器操作中”选择“必须加密”，点击下一步。

点击下一步，完成。点击确定，并关闭对话框。

右键点击刚添加的IP安全策略，选择“指派”，使规则生效。测试此时xp1不能与xp2互相ping通。提示为“Negotiating IP Security”。Xp1的加密完成。

在xp2上重复进行上述操作，添加一条与xp1中一模一样的规则。测试此时xp1能够与xp2互相ping通。注意：xp1和xp2中规则必须一模一样，否则无法ping通。此时xp1和xp2的所有数据均加密通信。用ping命令测试两者之间的连接。如下图:显示出两台机子正在进行SA协商。

从协商到通信，这个之间的认证比较复杂，暂时还没有深入研究

20.在开始－>运行中输入命令ipsecmon，弹出IPSec的安全监视器界面，显示相关的安全属性。

实验3 SSL/TLS基本协议

一、实验目的：

通过实验深入理解 SSL 的工作原理，熟练掌握 Windows 2000 Server 环境下SSL 连接的配置和使用方法。

二、实验软件：

Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。

三、实验步骤：

为 Web 服务器申请证书

1)单击“开始”，选择“程序”→“管理工具”→“Internet 服务管理器”，如图 1。在弹出的如图 2 所示的窗口左侧菜单中右键单击“默认 Web 站点”，选择“属性”。

图 图 2

2)在如图 3 所示的窗口中选择“目录安全性”菜单，单击“安全通信”中的“服务器证书”

图 3

图 4 3)在出现的欢迎使用 Web 服务器证书向导中，单击“下一步”按钮，在图 4中，选中“创建一个新证书”，单击“下一步”按钮。

4)在弹出的如图 5 所示的窗口中输入证书的名称，单击“下一步”按钮。

图 5

5)根据图 6 窗口的提示输入如图 6 所示的组织信息，单击“下一步”按钮。

图 6

6)在图 7 中输入站点的公用名称，单击“下一步”按钮。

图 7 7)图8中接着输入站点的地理信息，单击“下一步”按钮。

图 8

8)接着输入证书请求文件的文件名和存放路径，单击“下一步”按钮。在这个证书请求文件中的存放着刚才输入的用户信息和系统生成的公钥，如图 9 所示。

图 9

9)在图 10 中出现的确认信息窗口，单击“下一步”，接着单击“完成”按钮，完成服务器证书申请。

图 10

提交 Web 服务器证书

1)在服务器所在的计算机上打开 IE 浏览器，在地址栏中输入 http://根 CA的 IP/certsrv，其中的 IP 指的是建立根 CA 的服务器 IP 地址。在出现的页面中选中“申请证书”，并单击“下一步”按钮。

2)在弹出的如图 11 所示的页面中选中“高级申请”，并单击“下一步”，按钮。高级申请可以由用户导入请求证书文件。

图 11 3)在弹出的页面中选中“Base64 编码方式”，并单击“下一步”按钮，如图12 所示。

图 12 4)单击“浏览”，找到证书请求文件，并把它插入在图 13 页面中的“证书申请”框内，单击“提交”按钮。这就将我们上面刚刚完成的这个证书请求文件（即含有个人信息和公钥的文件）提交。

图 13

5)将会弹出如图 14 所示的页面，表示提交成功。服务器证书的颁发和安装 实现步骤同实验 14.1。

客户端证书的申请，颁发和安装

在另一台计算机上重复实验 14.1 中的相关步骤，完成客户端证书的申请，颁发和安装。

未配置 SSL 的普通 Web 连接的安全性

1)在配置 SSL 设置前，在网络中另外一台计算机中打开网络监测工具Sniffer，监测 Web 服务器的网络流量。2)在客户端访问服务器的证书申请网页 http://根 CA 的 IP/certsrv，第 3方计算机的 Sniffer 工具监测到了，数据包（Sniffer 的使用参考其他实验）。

可以看出，在 SSL 配置之前，Web 访问信息是明文传输的，第 3 方可以利用相关的工具窃取信息，在截获的 POST 类型的数据包中可以获得连接的地址等相关信息。

在服务器上配置 SSL 1)单击“开始”按钮，选择“程序”→“管理工具”→“Internet 服务管理器”。在弹出的窗口左侧菜单中右键单击“默认 Web 站点”，选择“属性”。

2)在弹出的窗口中选择“目录安全性”菜单项，选择面板上的“安全通信”中“查看证书”项，查看第 2 步中的安装的证书，如图 14 所示。

图 143)单击“确定”按钮后返回到“目录安全性”面板，选择“安全通信”中的“编辑”项，在弹出的如图 15 所示的窗口中选择“申请安全通道（SSL）”，并在“客户证书”栏中选择“接受客户证书”，单击“确定”按钮。

注意：“忽略客户证书”表示服务器不要求验证客户端的身份，客户端不需要证书，但客户端可以验证服务器的身份：“接收客户证书”则表示双方均可以验证对方的身份。

图 15 4)返回到“目录安全性”面板，单击“应用”按钮及“确定”按钮，完成配置。

客户端通过 SSL 与服务器建立连接

1)在网络中第 3 方的计算机上打开网络监视工具 Sniffer，监测的服务器的数据包。

2)在客户端计算机上打开 IE 浏览器，若仍在地址栏里输入 http://根 CA的 IP/certsrv，则显示如图 16 所示的界面，要求采用 HTTPS（安全的 HTTP）协议连接服务器端。

图 16 3)输入 https://根 CA 的 IP/certsrv，页面中弹出如图 17 所示的提示窗口。

图 17

4)单击“确定”按钮，探出如图 18 所示的证书选择窗口。

图 18

在窗口中选择步骤 2）中申请的证书 Web Cert，单击“确定”按钮。5)之后将正确的弹出正常的证书申请页面，完成基于 SSL 的连接。

6)查看第 3 方计算机上 Sniffer 的监测结果，其中并未出现 POST 类型的有效信息包，截获的信息均为无效的乱码。这说明 SSL 很好的实现了 Web连接的安全性。

实验4 应用OPENSSH和PUTTY进行安全SSH连接

一、实验目的：

掌握windows下IPSec的传输模式的配置，理解主机到主机的IPSec VPN的工作原理

二、实验软件：

Windows XP 操作系统2台。分别为主机xp1和主机xp2

三、实验步骤：远程连接工具putty

随着linux在服务器端应用的普及，linux系统越来越依赖于远程管理，而Putty为常用的远程管理工具。用途：查看服务器端文件、查看进程、关闭进程等

配置：双击putty后，出现下图界面。按图提示步骤进行输入：（1）输入服务器的 IP 或主机名，（2）选择好登录协议，通常选SSH。（3）选择协议的端口，选择22。（4）如果希望把这次的输入保存起来，以后就不需要再重新输入了，就在第4步输入好会话保存的名称，比如：mail-server，或者干脆就是主机的地址，点击保存就可以了。最后点下面的 Open 按钮，输入正确的用户名和口令，就可以登录服务器了。

用法：

（1）保存了会话后，直接点击中下方的text框内的快捷方式即可进入登录界面。（2）进入界面后，按提示输入用户名和密码，比如之前我们进的是192.168.2.96。其对应的用户名和密码是：oracle，oracle123（3）成功登录之后即可对服务器端进行操作。可以查看文件，开启关闭服务等等。下面截图ls显示了当前服务器端的文件列表。红色框选部分是启动汽车板块服务的快捷键。输入start_auto.sh即可启动汽车板块的进程。

个案应用：

主题：关于SSH（或putty）里查看进程的问题 起因：192.168.2.96 前后台打不开

分析：payment服务打不开，首先pj | grep payment 查看payment进程存在与否，因为服务荡掉有两种情况，一种是对应的进程直接荡掉不存在，一种是进程仍在，但服务不能正常运行。第一种直接启动，第二种先kill-9 加对应进程号先将进程kill掉，再重新开启。个案应用：

查有时用putty界面会出现中文字符乱码问题，解决方案如下： 选择配置窗口左边的Translation，在右边的 Received data assumed to be in which character set 下拉列表中选择“UTF-8”

1.远程连接工具ssh

Ssh和putty用法类似，只是界面稍微有些差异。用法：

（1）如果第一次连接服务器，则点击“quick connect”

输入服务器地址，出现如图下所示界面，点击“yes”然后输入密码即可登录。

（2）如果需要创建快捷方式，在输入密码登录成功以后，可以点击“profiles”，然后选择“add profiles”。输入一个保存的名字即可，下次登录时点击profile然后选择保存的名字即

可登录。（3）登录进入后使用同putty。

实验5 Kerberos

一、实验目的：

在这个实验中，将创建一个Kerberos服务。在完成这一实验后，将能够:(1)在服务器端安装 “Kerberos服务”。(2)配置”Kerberos服务”。

(3)利用”Kerberos服务”进行认证，获取票据。

二、实验软件：

服务器运行Windows 2000 Server，并创建活动目录。

三、实验步骤：

步骤:在Windows 2000 Server上建立Kerberos认证服务器，客户端能从Kerberos认证服务器获取票据登录服务器。活动目录的安装：

Windows 2000活动目录和其安全性服务（Kerberos）紧密结合，共同完成任务和协同管理。活动目录存储了域安全策略的信息，如域用户口令的限制策略和系统访问权限等，实施了基于对象的安全模型和访问控制机制。活动目录中的每一个对象都有一个独有的安全性描述，定义了浏览或更新对象属性所需要的访问权限。因此，在使用Windows 2000提供的安全服务前，首先应该在服务器上安装活动目录。操作步骤：

（１）在Windows 2000＂控制面板＂里，打开＂管理工具＂窗口，然后双击＂配置服务器＂，启动＂Windows 2000配置您的服务器＂对话框，如图A７—１所示。

（２）在左边的选项列表中，单击＂Active Directory＂超级链接，并拖动右边的滚动条到底部，单击＂启动＂超级链接，打开＂Active Directory安装向导＂对话框，出现＂欢迎使用Active Directory安装向导＂，按向导提示，单击＂下一步＂按钮，出现＂域控制器类型＂对话框。

（３）单击＂新域的域控制器＂单选按钮，使服务器成为新域的第一个域控制器。单击＂下一步＂按钮，出现＂创建目录树或子域＂对话框。

（４）如果用户不想让新域成为现有域的子域，单击＂创建一个新的域目录树＂单选按钮。单击＂下一步＂按钮，出现＂创建或加入目录林＂对话框。

（５）如果用户所创建的域为单位的第一个域，或者希望所创建的新域独立于现有的目录林，单击＂创建新的域或目录树＂单选按钮。单击＂下一步＂按钮，出现＂新的域名＂对话框。

（６）在＂新域的ＤＮＳ全名＂文本框中，输入新建域的DNS全名，例如:book.com。单击＂下一步＂按钮，出现”Net BIOS域名＂对话框。

（７）在”域Net BIOS名”文本框中，输入Net BIOS域名，或者接受显示的名称，单击＂下一步＂按钮，出现＂数据库和日志文件位置＂对话框。

（８）在”数据库位置”文本框中，输入保存数据库的位置，或者单击”浏览”按钮选择路径；在”日志位置”文本框中，输入保存日志的位置或单击”浏览”按钮选择路径； 如图A７—2所示。单击＂下一步＂按钮，出现＂共享的系统卷＂对话框。

（９）在”文件夹位置”文本框中输入Sysvol文件夹的位置，在Windows 2000中Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。或单击”浏览”按钮选择路径，如图A７—3所示。单击＂下一步＂按钮，出现＂权限＂对话框。

（１０）设置用户和组对象的默认权限，选择”与Windows 2000服务器之前的版本相兼容的权限”。单击＂下一步＂按钮，出现＂目录服务器恢复模式的管理员密码＂对话框。

（１１）在”密码”文本框中输入目录服务恢复模式的管理员密码，在”确认密码”文本框中重复输入密码。单击＂下一步＂按钮，出现＂摘要＂对话框。

（１２）可以看到前几步的设置，如果发现错误，可以单击＂上一步＂按钮重新设置。

（１３）单击＂下一步＂按钮，系统开始配置活动目录，同时打开”正在配置Active Directory”对话框，显示配置过程，经过几分钟之后配置完成。出现”完成Active Directory安装向导”对话框，单击＂完成＂按钮，即完成活动目录的安装，重新启动计算机，活动目录即会生效。

安全策略的设置：

安全策略的目标是制定在环境中配置和管理安全的步骤。Windows 2000组策略有助于在Active Directory域中为所有工作站和服务器实现安全策略中的技术建议。可以将组策略和OU(单位组织)结构结合使用，为特定服务器角色定义其特定的安全设置。如果使用组策略来实现安全设置，则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器，并且新的服务器将自动获取新的设置。操作步骤:(1)在” Active Directory用户和计算机”窗口，右击域名”book.com ”，如图A７-4所示。在弹出的菜单中选择”属性”命令，出现”book.com属性”对话框, 如图A７-5所示。

(2)选择”组策略”标签页(见图A7-6)，系统提供了一系列工具。可以利用这些工具完成”组策略”的建立、添加、编辑、删除等操作。

(3)双击”Default Domain Policy”，出现” 组策略”对话框。在”组策略”窗口左侧”树”中，选择”Windows设置”并展开，在”安全设置”中打开”Kerberos策略”(见图A7-7)，进行安全策略的设置；一般情况下，选择默认设置就能达到系统安全的要求。

Windows 2000 Professional 版客户端Professional 版客户端设置：

Windows 2000 Professional 版客户端设置配置成使用Kerberos域，在这个域里使用单独的登录标记和基于Windows 2000 Professional 的本地客户端账号。操作步骤:(1)安装 Kerberos配置实用程序，在Windows 2000 安装光盘的supportreskitnetmgmtsecurity文件夹 中找到setup.exe 注意:启动Windows 2000时,必须以管理员组的成员身份登录才能安装这些工具。Windows 2000光盘中，打开SupportTools文件夹,双击Setup.exe图标,然后按照屏幕上出现的说明进行操作。

通过以上步骤，用户在本机上安装了Windows 2000 SupportTools，它可以帮助管理网络并解决疑难问题。在用户系统盘的Program FileSupport Tools文件夹中可以看到许多实用工具，其中与Kerberos配置有关的程序为ksetup.exe和kpasswd.exe。用于配置Kerberos域，KDC和Kpasswd服务器，Ktpass.exe用于配置用户口令、账号名映射并对使用Windows 2000 Kerberos KDC的Kerberos服务产生Keytab，如图A７--8所示。

(2)设置Kerberos域。因为Kerberos域不是一个Windows 2000域，所以客户端必须配置成为工作组中的一个成员。当设置Kerberos时，客户机会自动成为工作组的一个成员。

/setdomain参数的值BOOK.COM是指与本地计算机在同一域中的域控制器的DNS。如用户的域控制器的DNS名为puterpassword的参数用于指定本地计算机的密码，如图A７-11所示。(5)重新启动计算机使改变生效。这是一个必须的步骤，无论何时对外部KDC和域配置做了改变，都需要重新启动计算机。(6)使用Ksetup来配置单个注册到本地工作站的账户。/mapuser的第一个参数用于指定Kerberos的主体，第二个参数用于指定本机的用户账户(见图A7-12)。定义账户映射可以将一个 Kerberos域中的主体映射到一个本地账号身份上，将本地账号映射到Kerberos。

实验6 SHTTP

一、实验目的：

掌握windows下HTTPS应用的配置过程，理解主机到服务器的安全访问工作原理

二、实验软件：

Windows XP 操作系统1台。Windows 2000 Server 操作系统机 1台。

三、实验步骤： 1.准备 web 网站

下面以管理员的身份登录到 web 服务器上创建名为：wanjiafu 的网站：然后停止：并设置默认网站为启动 在 C 盘下创建文件夹 web 用于存放网页文件 名为：index.htm 2.为 web 网站创建证书申请文件 右键网站 wanjiafu 打开属性页

点击服务器证书出现：欢迎使用 web 服务器证书向导：对话框：在服务器和客户端之间建立安全的 web 通道： 单击【下一步】按钮：出现服务器证书对话框：可以新建、分配、导入、复制及移动证书：在此选择：新建证书：

【下一步】

【下一步】键入证书的名称

【下一步】键入单位部门信息

【下一步】键入 公用名

【下一步】键入 国家 省份 市县 信息

【下一步】键入 存放 地点

【下一步】查看全部配置

【下一步】完成！

打开 C 盘 看见文件 certreq.txt 打开如下图：

3.为 web 网站申请证书

以域管理员的身份登录到 web 服务器上

打开 IE 浏览器：输入：http：//192.168.0.111/certsrv 单击 【申请一个证书】

单击红线选择区域

下面添加的内容为 C 盘下的 certsrv 文件

点击 【提交】见下图表示已经成功发送了申请 Id 为 2

4.在 CA 服务器上颁发证书

以域管理员的身份登录到 CA 服务器：打开：【证书颁发机构】【控制台】

展开服务器：单击【挂起的申请】可以看到 web 服务器申请的证书现在处于挂起状态

右击 【所有任务】【颁发】

打开【颁发的证书】查看已经颁发了

5.下载证书

以域管理员的身份登录到 web 服务器：

在 IE 浏览器中键入：http：//192.168.0.111/certsrv 打开【证书申请】欢迎界面

单击保存的证书

单击 【DER 编码】【下载证书】

下载后如下图

6.为 web 网站安装证书

打开后创建的 wanjiafu 网站

选择：处理挂起的请求并安装证书

下面是证书的路径：刚才我把保存在桌面了

SSL 端口为默认 443

下面为证书的内容

【下一步】完成 点击【查看证书】

7.为 web 站点设置安全通信 点击【编辑】

勾选 要求安全通道（SSL）和 忽略客户端证书

下面在登录客户端验证之前：需要将默认网站停止：把 wanjiafu 启动

下面以域管理员的身份登录到 web 客户端上：

在 IE 浏览器中输入：http：//192.168.0.111 访问 web 网站 发现这里已经不能用 HTTP 协议访问网站了

下面我们在 IE 浏览器中输入：https：//192.168.0.111 来访问 web 网站 出现安全警报信息：这表示 web 客户端没有安装证书

打开如下图：

成功访问！到这里你们终于知道我的名字了！

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| 任务二：web 网站证书导出、导入和删除

为保存 web 网站证书可以将其导出：当误删除证书以后也可以将其导入：具体步骤如下： 1.导出 web 网站证书

打开 wanjiafu 属性 —— 服务器证书 —— 服务器证书向导 ——

【下一步】默认保存路径

【下一步】键入【证书密码】此密码将在【导入证书】时使用

【下一步】保存打开 C 盘查看文件

2.删除 web 网站证书

步骤同上：打开 IIS 证书向导：选择 【删除当前证书】

此时 【查看证书（V）】按钮已经变灰

3.导入 web 网站证书

步骤同上：打开 IIS 证书向导：选择 【 从.pfx 文件导入证书 】

【下一步】选择 路径（默认系统自动搜索）输入【密码】

网站端口

保存退出：此时查看如下图所见：

导入成功！

实验7-8 应用UDP或TCP控件编写简单的网络协议

一、实验目的：

通过编程熟悉协议的设计制作流程，理解协议发送接收报文的具体流程。

二、实验要求：

浅谈计算机网络协议 篇3

关键词：计算机；网络协议；TCP/IP

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 03-0000-01

Talking about Computer Network Protocol

Ma Xuanmin, Deng Fujiang

(Tianjin Armed Police Command College,Tianjin300250,China)

Abstract:Now,as computer applications becoming more popular,computer network is well used in people's working life,and computer network protocol is the core to achieve this functionality.The article described the various protocols,and analyzed its principles and applications based on TCP/IP protocol.

Keywords:Computer;Network protocol;TCP/IP

随着我国经济的飞速发展以及信息化时代的到来，计算机网络被广泛应用于人们的生活，学习和工作等各个领域，然而计算机网络的有效应用必须依赖于网络协议。

一、计算机网络协议内涵概述

计算机网络协议又称通信协议，顾名思义，是指计算机之间进行网络通信时必须遵循的规则条款，是不同计算机网络的共同语言，计算机之间只有具备相同的网络协议才能识别对方发出的信息，才能进行通信交流。

在OSI/RM层次模型中，网络协议被划分为物理层，数据链路层，网络层，传输层，会话层，表示层及应用层等七个层次。物理层主要是关于比特流在通信信道的物理媒体上进行传输时的协议；数据链路层给出的是将比特流划分成数据帧，并对其进行传输处理时应遵循的协议；网络层则是关于将数据帧划分成更小单元，并对其进行传输处理的协议；传输层的功能主要是处理端与端之间的网络通信，有效的控制流量，改正差错，撤消连接，从而建立符合用户要求的网络通信连接及相关协议；会话层主要是负责在网络中的两节点之间建立和维持通信，支持并管理不同主机上的各种进程之间进行会活，提供建立连接并有序传输数据的一种方法；表示层主要是为在应用层中传输的信息提供表示方法，将表示方面的规则与协议标准化；应用层作为OSI标准的最高层，主要是为高级用户之间的通信提供使用网络环境的手段，主要给出了用户需要的许多常用信息服务的规则和协议。

二、计算机网络协议分析

（一）计算机网络协议分类

TCP/IP协议、IPX/SPX协议和NetBEUI用户扩展接口是目前应用最为广泛的三类局域网协议。TCP/IP协议可译为传输控制协议/因特网互联协议，是开放系统互联网中最基本的协议之一，由近百个协议组成，其中最主要的协议包括网络层的IP协议和传输层的TCP协议，TCP协议主要是将收集来的信息拆分成更小的单元，IP协议主要负责提供可靠的分组投递系统，使通讯信息正确的到达目的地。TCP/IP协议成为目前应用最为广泛的协议，主要是因为它是一种标准化的、可路由选择的协议。IPX/SPX协议可译为互联网络数据包交换协议/序列分组交换协议。SPX协议所起的作用与TCP/IP协议中的TCP协议相同，是面向连接通信方式工作的。IPX协议所起的作用则相当TCP/IP协议中的IP协议，主要负责提供可靠的分组投递系统。 IPX/SPX协议具有可路由选择，可分组寻址，性价比高等特点，在当今社会中得到了越来越广泛的应用。NetBEUI由于开发时间早，所以其效率、速度以及内存占用率也相当优秀，在早期的微软系统中，应用比较广泛，在现在的XP以及windows 7等操作系统中是没有的，或者说将其视为固有缺省协议。NetBEUI是为单段网络（小于100台计算机）而设计，其路由功能缺乏，因此只能用于特定的会议场所、网吧等局域网之间的连接，通常可以将NetBEUI设为默认协议，在局域网之间传输数据时相当便捷。

（二）TCP/IP网络协议ping程序分析

Ping程序主要是用来检测数据时间的，即当前主机传送给目的主机一帧数据时所经历的时间。特别是在网络运行的过程中，如果出现故障，可以利用ping程序来预测故障，而且相当有效。当ping程序检测时，运行不成功，就可以从几个方面来预测故障：网络配置器的配置问题、IP地址是否有效的问题、网线是否正常连接等问题。如果ping程序运行成功，而网络未能连接，则故障的原因极大可能是网络系统的软件配置有问题。Ping程序非常方便，对于用户而言，很多参数可以便捷地应用。比如-t参数，它能不间断地使用当前主機将数据发送给目的主机，如果需要中断，则可以使用Ctrl C；又如-n参数，其能判定对目的主机发送数据的帧数，使用户一目了然。

（三）TCP/IP网络协议应用

当前来讲，TCP/IP的应用层协议并不只有一个，而是多个，比如HTTP协议就是一个面向连接的协议。在应用中，可选用IRIS V4.07进行协议分析，选取操作系统WINDOWS XPSP2。将IRIS的主机连接以太网，即使其拥有内网IP，随之运行IRIS，输入热键CTRL+B，即可获得IRIS地址表，然后将IP地址填入地址表中，有时为了清楚地显示抓取包，可不用添加名称——name，一切设置完毕后关闭窗口。点击IRIS的主窗口Filters菜单，然后选择only http.ftp项。此设置即为IRIS过滤设置，旨在抓取HTTP协议的数据包。然后在主窗口工具栏中点击开始，进行抓包。然后在浏览器中输入某一网址，回到IRIS主窗口，这时便可看到很多抓取包，如果新包不再抓取，可关闭浏览器，然后在IRIS主窗口按停止。以上是TCP/IP网络协议数据传输的一个典型的应用，其分为五个步骤：1.浏览器向DNS服务器发出数据请求，获得IP地址。2.DNS服务器在收到请求之后，将IP地址发往浏览器。3.TCP将IP地址发给WEB服务器，并发出连接请求，直到双方连接通过。4.WEB服务器将数据包传输给目的主机。5.目的主机将数据发送至WEB服务器，并完成确认。这5个步骤，实际上是三个握手的过程，其依靠的是IP协议，但是单纯就IP协议而言，其不具备连接功能，只是将数据发送出去，不能确保数据被成功接收，所以，TCP协议的重要性显现出来了，其能有效保证数据被正确接收。

三、结束语

随着计算机网络的普及，计算机网络协议的分类也越来越细，而TCP/TP协议作为计算机网络协议主流，在实际的学习生活中，应用日益广泛，相信随着计算机技术的发展，TCP/IP协议的相关应用也会更加深入。

参考文献：

[1]魏战争.计算机网络协议初探[J].华章,2010,(13):154-162.

[2]陈应勋.计算机网络通信协议的分析研究[J].管理与财富,2009,(4):120-121

网络协议实验教学 篇4

关键词：网络协议分析,理论教学,实践教学,计算机网络

引言

“网络协议分析”课程是针对网络工程专业学生开设的专业限选课,是网络工程专业的核心课程之一,在该专业教学中具有其他课程无法替代的作用。在网络工程专业大部分专业课程中,网络协议方面的内容都占据着很重要的位置。从底层的网络体系结构、网络数据通信,到上层的网络服务提供、网络应用开发,网络协议都扮演了重要的角色,在现代计算机网络中,网络协议可以说是无处不在。甚至有学者认为:计算机网络理论课程的内容实际上就是网络理论加上网络协议。但在这些专业课程中,仅仅是从各自课程的角度介绍相关的网络协议,而没有从协议的角度深入分析相关的内容,在这些课程中协议只处在配角的地位,起到辅助的作用。“网络协议分析”课程则是从协议的角度介绍网络通信过程中所涉及的协议体系结构、工作原理以及在网络通信中的应用,对网络协议的协议格式、工作过程和原理进行介绍和分析,重在培养学生在网络设计和开发过程中应用网络协议方面知识的能力。鉴于TCP/IP协议族在当今计算机网络领域的地位和作用(目前已成为事实上的国际标准),课程通常以TCP/IP协议族为例进行讲授。由于课程的内容与其先修课程“数据通信技术”和“计算机网络原理”有一定的重合性,学生开始学习本课程时通常感觉课程定位不清、内容上很抽象,针对这门课程容易出现内容枯燥、难学的感觉。目前在“网络协议分析”课程教学过程中存在的主要问题包括:自底向上的内容组织方式学生不大容易接受;偏重于理论教学,偏离生活实际;侧重于知识传授,学生缺乏动手实践的机会;定位于理论课程,照本宣科,与学生缺乏互动;介绍协议、标准等的时候中英文术语的使用不规范、不统一等。针对“网络协议分析”课程教学过程中出现的问题,出于激发学生学习的兴趣、提高教学水平、保证教学质量的目的,本文分别从理论教学和实践教学两方面对“网络协议分析”课程的教学改革进行探讨。

1 理论教学改革

课程理论教学改革主要是从教学内容和教学手段这两方面展开。“网络协议分析”课程总课时为36学时,教材采用的是由机械工业出版社出版的、杨延双主编的《TCP/IP协议分析及应用》,该书介绍了TCP/IP协议族中主要协议的原理、功能及应用[1]。此外,为了丰富课程教学内容,推荐由Gary R.Wright编写的“TCP/IP Illustrated”(TCP/IP详解,英文原版教材)[2]作为教学辅导教材,供学生学习和参考。

所采用的教材和教辅都是按照TCP/IP体系结构协议分层自底向上的顺序进行讲解,内容从网络接口层开始,依次按照网络层、传输层和应用层的顺序展开。从技术的角度,这样的内容组织方式无可厚非,但从知识传授的角度,按照网络分层自底向上的讲解顺序是先给出解决方案然后才告诉你这些方案所要解决的问题,违背了人类“带着问题寻求答案”的思维习惯。在课程的授课过程中,采用Kurose和Ross所提出的自顶向下学习方法[3],从TCP/IP协议族的应用层协议开始并沿着协议栈向下的顺序展开讲解。这样做的好处是将与学生生活实际息息相关的网络应用作为切入点,从看得见、摸得着的实例出发,一开始就能抓住学生的兴趣所在,驱使学生带着问题寻求答案,带着好奇心一步一步探求解决问题要采用的技术方案和手段,课程讲解的过程自然而然地变成了学生求解问题的过程,更符合人类求知的基本思维模式。从学生反馈的情况看,自顶向下的讲授方法有效提高了学生学习的兴趣,效果明显。

此外,“网络协议分析”课程内容本身的特点,要求在授课过程中不管是在授课内容还是授课方式上都需要因材施教、有所创新。课程内容很多涉及到报文格式、协议工作原理等方面的内容,学习起来比较枯燥乏味,有学生甚至觉得其学起来与法律课中的法律条文无异,学的过程中提不起兴趣。解决的方案是对于国际标准、报文格式这样的比较抽象、学生不大好记忆的知识点,采取实例教学的方法,理论联系实际,尽量结合生活和生产实际的例子进行讲解,使学生更容易理解和记忆。例如,在讲解IP协议中的IP地址问题的时候,通过让学生自己动手使用ipconfig命令查询计算机的IP地址、子网掩码、网关和DNS设置来加深理解;在讲解DNS协议的时候,通过剖析日常生活中常遇到的“能上QQ但打开不了网页”的问题,与学生讨论DNS协议以及DNS服务器的作用。通过实例化教学,抽象的知识以实实在在的实例反映出来,便于学生理解和记忆。

2 实践教学改革

虽然“网络协议分析”课程的定位是专业理论课,主要以理论教学为主,但是由于课程的很多内容都在网络工程实际中加以应用,如果能够结合工程实际开设课程实验,无疑对学生加深对所学知识的理解和应用会有促进作用。基于以上考虑,针对课程知识结构的特点,我们搭建了“网络协议分析”课程的实验环境。

Sniffer Pro、WireShark、WinNetCap和WinSock Expert都是目前流行的抓包工具。针对课程知识结构的特点并结合课程的实际教学情况,我们选取WireShark作为搭建实验环境的平台。WireShark(前称Ethereal)是世界上最流行的网络分析工具[4][5],也是是目前最好的开放源码的网络协议分析器,支持Linux和windows平台。目前被广泛地应用于网络故障的诊断和分析、网络测试软件和网络协议的开发及教育等领域。WireShark基于一套捕捉网络数据包的函数库,在工作的过程中将一个数据包从链路层接收,并将其还原至传输层以上供上层分析。由于该工具的开源性及良好的可扩展性结构,经过很多人的二次开发已经可以支持五百多种协议,完全能够胜任网络协议分析课程教学的需要,为学生提供一个动手实践验证所学的知识、分析和设计新的网络协议的实验环境。

3 结束语

通过对“网络协议分析”课程教学和实践教学改革进行探讨,针对课程自身的知识结构和学生学习的实际情况,从教学内容和方法以及实践环节等几个方面进行摸索和创新,提高学生学习该课程的兴趣,促进该课程教学质量的提升。网络协议相关的知识更新很快,要求我们与时俱进,不断深化该课程的教学改革,以保证良好的教学效果。

参考文献

[1]杨延双,张建标,王全民.TCP/IP协议分析及应用[M].北京:机械工业出版社,2007.

[2]W.Richard Stevens.TCP/IP Illustrated Volume II:The Implementation[M].北京:机械工业出版社,2002.

[3]J.F.Kurose,K.W.Ross.Computer Networking:A Top-Down Approach Featuring the Internet[M].USA:Addison Wesley,2005.

[4]Wireshark[OL].http://wireshark.org/about.html.

网络协议实验教学 篇5

802.11b协议

说明：802.11b协议是由IEEE(电气电子工程师学会)于9月批准的，该协议的无线网络工作在2.4GHz频率下，最大传输速率可以达到11Mbps，可以实现在1Mbps、2Mbps、5.5Mbps以及11Mbps之间的自动切换;采用DSSS(直接序列展频技术)，理论上在室内的最大传输距离可以达到100米，室外可以达到300米。目前，也称802.11b为Wi-Fi。

应用：目前，802.11b协议凭借其价格低廉、高开放性的特点被广泛应用于无线局域网领域，是目前使用最多的无线局域网协议之一。在无线局域网中，802.11b协议主要支持Ad Hoc(点对点)和Infrastructure(基本结构)两种工作模式，前者可以在无线网卡之间实现无线连接，后者可以借助于无线AP，让所有的无线网卡与之无线连接。

802.11a协议

说明：802.11a协议同样是在19制定完成的，其主要工作在5GHz的频率下，数据传输速率可以达到54Mbps，传输距离在10米～100米之间;采用了OFDM(正交频分多路复用)调制技术，可以支持语音、数据、图像的传输，不过与802.11b协议不兼容。

应用：802.11a协议凭借传输速度快，还因为使用了5GHz工作频率，所以受干扰比较少的特点，也被应用于无线局域网。但是因为价格比较昂贵，且相下不兼容，所以目前市场上并不普及，

802.11g协议

说明：802.11g协议于6月正式推出，它是在802.11b协议的基础上改进的协议，支持2.4GHz工作频率以及DSSS技术，并结合了802.11a协议高速的特点以及OFDM技术。这样802.11g协议即可以实现11Mbps传输速率，保持对802.11b的兼容，又可以实现54Mbps高传输速率。

应用：随着人们对无线局域网数据传输的要求，802.11g协议也已经慢慢普及到无线局域网中，和802.11b协议的产品一起占据了无线局域网市场的大部分。而且，部分加强型的802.11g产品已经步入无线百兆时代。

WEP协议

说明：全称Wired Equivalent Protocol(有线等效协议)，是为了保证802.11b协议数据传输的安全性而推出的安全协议，该协议可以通过对传输的数据进行加密，这样可以保证无线局域网中数据传输的安全性。目前，在市场上一般的无线网络产品支持64/128甚至256位WEP加密，未来还会慢慢普及WEP的改进版本――WEP2。

无线网络协议的安全分析与测试 篇6

【摘 要】随着信息技术的不断更新，3G移动通信系统已经为人们广泛使用，3G 移动通信系统网络安全问题也越来越受到人们的重视，可见，对3G移动通信系统的网络安全进行分析具有重要的意义，据此提出了一些具体的安全防范措施。

【关键词】3G移动通信系统；网络安全；防范措施

随着第三代移动通信（3G）网络技术的发展，移动终端功能的增强和移动业务应用内容的丰富，各种无线应用将极大地丰富人们的日常工作和生活，也将为国家信息化战略提供强大的技术支撑，网络安全问题就显得更加重要。

1.3G 移动通信系统及网络安全相关概述

3G移动通信系统即第三代移动通信技术，3G是英文the thirdgeneration的缩写。移动通信技术发展至今历经三次技术变革。3G的概念于1986年由国际电联正式提出，是将无线通信与互联网等新兴多媒体整合的新一代通信系统[1]。3G系统不仅满足了用户基本的通话需求，对于非语音业务如图像、视频交互，电子商务等，3G系统同样提供了优质业务的服务。

3G移动通信系统由于与互联网等多媒体通信结合，原本封闭的网络逐渐开放，一方面可以节省投资，另一方面便于业务升级，提供良好的服务。但与此同时3G移动通信系统的安全面临一定挑战。

构建3G系统的安全原则概括来说可做如下表述：建立在2G系统基础之上的3G系统要充分吸收构建2G系统的经验教训，对2G系统中可行有效的安全方法要继续使用，针对他的问题应加以修补，要全面保护3G系统，并且提供全部服务，包括新兴业务服务。3G系统需要达到的安全目标：保护用户及相关信息；保护相关网络的信息安全；明确加密算法；明确安全标准，便于大范围用户的之间的应用；确保安全系统可被升级，应对可能出现的新服务等。

2.影响3G移动通信系统网络安全的主要因素

3G移动通信系统的主要安全威胁来自网络协议和系统的弱点，攻击者可以利用网络协议和系统的弱点非授权访问、非授权处理敏感数据、干扰或滥用网络服务，对用户和网络资源造成损失。

按照攻击的物理位置，对移动通信系统的安全威胁可分为对无线链路的威胁、对服务网络的威胁和对移动终端的威胁，其威胁方式主要有以下几种。（1）窃听：在无线链路或服务网内窃听用户数据、信令数据及控制数据；（2）伪装：伪装成网络单元截取用户数据、信令数据及控制数据，伪终端欺骗网络获取服务；（3）流量分析：主动或被动流量分析以获取信息的时间、速率、长度、来源及目的地；（4）破坏数据完整性：修改、插入、重放、删除用户数据或信令数据以破坏数据完整性；（5）拒绝服务：在物理上或协议上干扰用户数据、信令数据及控制数据在无线链路上的正确传输实现拒绝服务攻击；（6）否认：用户否认业务费用、业务数据来源及发送或接收到的其他用户数据，网络单元否认提供网络服务；（7）非授权访问服务： 用户滥用权限获取对非授权服务的访问，服务网滥用权限获取对非授权服务的访问；（8）资源耗尽：通过使网络服务过载耗尽网络资源，使合法用户无法访问。当然，随着移动通信网络规模的不断发展和网络新业务的应用，还会有新的攻击类型出现。

3.3G 移动通信系统网络存在的安全问题

由于传播方式以及传输信息的影响，移动通信系统网络所面临的安全威胁更加严重，移动通信系统为保证数据信息的有效传播，无线电讯号需要在传播过程中进行多角度、多方向传播，并且传播必须具有强大的穿透力，和有线网络相比，其信息遭受破坏的因素会更多。3G用户的通信信息安全面临更多的威胁，由于 3G网络提供了许多新的服务，业务范围不断增加，3G移动通信系统用户可以登入互联网，通过手机终端共享网络资源，所以，来自网络的安全威胁也影响着3G 移动通信系统网络用户的通信信息安全。

相比2G系统，3G移动通信系统更易受到网络安全的威胁。因为3G系统相比之前的 2G系统数据资源量巨大，并且网络信息也比较多，有些信息涉及到金钱利益等方面，因此，不法分子以及黑客就会寻找机会，导致网络安全受到威胁。另外，3G 移动通信系统的网络开放程度比较高，所以，也给黑客的攻击创造了许多的方便条件，还有，如果3G网络软件设置有缺陷，也可能导致3G系统产生漏洞，给3G 网络带来不安全因素，造成潜在安全威胁。

4.3G 移动通信系统的网络安全防范对策

4.1 3G移动通信系统网络安全的技术

接入网安全的实现由智能卡USIM卡保证，它在物理和逻辑上均属独立个体。未来各种不同媒体间的安全、无缝接入将是研究开发的重点。3G核心网正逐步向IP网过渡，新的安全问题也将涌现，互联网上较成熟安全技术同时也可应用于3G移动通信网络的安全防范。传输层的安全因为互联网的接入受到更为广泛的重视，其防范技术主要采用公钥加密算法，同时具有类似基于智能卡的设备。应用层安全主要是指运营商为用户提供语音与非语音服务时的安全保护机制。代码安全，在3G系统中可针对不同情况利用标准化工具包定制相应的代码，虽有安全机制的考虑，但是不法分子可以伪装代码对移动终端进行破坏，可通过建立信任域节点来保证代码应用的安全。

4.2 3G 移动通信系统的安全体系结构

3G系统安全体系结构中定义了三个不同层面上的五组安全特性，三个层面由高到低分别是：应用层、归属层/服务层和传输层；五组安全特性包括网络接入安全、网络域安全、用户域安全、应用域安全、安全特性的可视性及可配置能力。网络接入安全是指3G网络系统中的对无线网络的保护。其功能包括用户认证、网络认证、用户身份识别、机密性算法、对移动设备的认证、保护数据完整性、有效性等。网络域安全是指运营商间数据传输的安全性，其包括三个安全层次：密钥建立、密钥分配、通信安全。用户域安全主要指接入移动台的安全特性，具体包括两个层次：用户与USIM卡、USIM卡与终端。保证它们之间的正确认证以及信息传输链路的保护。应用域安全是指用户在操作相关应用程序时，与运营商之间的数据交换的安全性。USIM卡提供了添加新的应用程序的功能，所以要确保网络向USIM卡传输信息的安全。安全特性的可视性及可配置能力是指允许用户了解所应用的服务的安全性，以及自行设置的安全系数的功能。

4.3 3G移动通信系统网络安全的防范措施

首先，个人用户应加强安全意识，对于不明信息的接收要慎重；确保无线传输的对象是确定的安全对象；浏览、下载网络资源注意其安全性；安装杀毒软件等。其次，企业用户大力宣传3G系统相关的安全知识，建立完善的管理及监管制度。最后，电信运营商要从用户、信息传输过程及终端等各个方面保证自身及用户接入网络的安全性。手机等移动终端已渗入日常生活的各个方面，3G移动通信系统的网络的安全性影响更加深远，也将面临更多的挑战。

5.结语

3G系统的安全以第2代移动通信系统中的安全技术为基础，保留了在系统中被证明是必要和强大的安全功能，并且对系统中的安全弱点做了很大的改进，同时也考虑了安全的扩展性。网络安全问题是系统的一个重要问题，只有保证所提供业务的安全性，才能获得成功。系统的安全要提供新的安全措施来保证其所提供新业务的安全。

【参考文献】

[1]曾勇，舒燕梅.3G给信息安全带来前景[J].信息安全与通信保密，2009，21（4）：45-47.

[2]邓娟，蒋磊.3G网络时代移动电子商务安全浅析[J].电脑知识与技术，2009，16（6）：113-115.

网络协议实验教学 篇7

1 实践教学设计总述

常用的网络安全协议包括Kerberos认证协议,安全电子交易协议SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]这些安全协议属于不同的网络协议层次,能提供不同的安全功能。特别是在IPV6 当中采用IPSec来加强网络的安全性。并且在开放系统互连标准中,网络协议被分为7 层,其中物理层、数据链路层、网络层、传输层和应用层都是常用的。所以,由于每种网络安全协议内容丰富以及它们都有各自的优点和缺点,致使在实际应用中网络安全协议更具复杂性。教师需要通过实践教学设计来实现让学生全面理解和掌握协议中的原理和细节,并能够有效应用。首先要做到让学生由表及里的、由浅入深的认识和学习网络安全协议,其次要做到让学生能应用到网络安全协议,最后达到创新的目标。所以实践教学内容要划分为阶段性的,才能让学生逐步透彻地掌握网络安全协议中的方方面面。

2 SSL协议的实践教学实施

2. 1 认知阶段

教师在本阶段的教学内容就是让学生认识SSL协议。需要掌握以下内容:

SSL采用公开密钥技术,其目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为因特网上保密通信的工业标准。SSL协议中的SSL握手协议可以完成通信双方的身份鉴定以及协商会话过程中的信息加密密钥,从而建立安全连接。SSL握手协议如下图所示。

而在SSL协议中,获取SSL/TLS协议通信流量,直观地观看SSL/TLS协议的结构就需要使用Wireshark抓包分析工具软件。通过流量抓取分析来让学生掌握SSL/TLS的具体内容。

2. 2 体验阶段

经过初步的学习,要让学生体验SSL的应用范围,对SSL的应用过程有一个直观的感受和体验。学生用于数字证书生成、发放和管理需要完成CA的安装与配置,其次分别为IISWeb服务器和客户端申请、安装证书,再在服务器上配置SSL,通过以上步骤完成IIS服务器中的SSL/TLS配置来建立客户端和服务器的连接。[2]此阶段的具体应用会让学生深入的了解SSL/TLS中的有关内容。

2. 3 应用阶段

应用阶段的教学内容是前两阶段教学内容的升华,它会使学生具备利用SSL/TLS协议进行通信的编程能力。而要达到这点,就需要通过利用Open SSL,实现一个简单的SSL服务器和客户端。这个阶段的工作量不小,学生需要在教师的指导下分组进行。进行过程中主要环节包括,首先,学生利用自己熟悉的系统和开发平台来完成Open SSL的编译安装。其次,学生参考已有的源代码来完成VC + + 编译环境的设置。[3]再次,学生利用Open SSL的证书生成命令性工具生成服务器和客户端数字证书。最后,通过完成简单的TCP握手连接和通信,并加入SSL握手功能来实现SSL/TL编程。

2. 4 总结提高阶段

课堂上的理论教学和阶段性的实践教学对于学生熟悉掌握SSL协议具有很好的作用,但是还存在某些方面的不完整性。例如,通过研究和实际应用SSL/TLS协议的过程中,如何进一步改善SSL/TLS协议所存在的问题。这些都是需要学生去解决的。在解决过程中,学生就能具备进行高效学习的能力。教师可以采取向学生提问的方式来进行这一阶段的教学内容。问题可以是多方面的,例如通过前几阶段的认识和实践,SSL/TLS协议还存在哪些不足? 并通过一个实际的SSL / TLS协议的应用案例,发现SSL / TLS协议还有哪些局限性,并解决这些局限所带来的问题。在此阶段内,学生和教师要进行不断的交流和讨论,并找出相关事实依据来论证自己的观点。例如,针对Heartbleed漏洞,学生需要了解漏洞产生的原因和危害,并提出解决措施。通过分析发现是Open SSL开源软件包的问题导致了此漏洞出现,与SSL / TL协议并无太大关系。经过对此问题的分析研究,我们可以发现,协议本身的安全并不代表能在实现协议过程中避免所有的不安全因素。

3 实践教学效果评价

各个阶段的实践教学过程需要教师进行精心的设计和把握,并通过具体的实施实践才能验证实践教学设计的是否合理,是否有效。由于网络安全协议课程本身就非常复杂,再加上具体实施过程中内容、方法和难度有所不同,就需要根据学生的反馈情况来进行及时的调整。教师要从各项反馈指标进行自我反思,并与学生进行沟通。同时,在此过程中,也要认真检查对学生的作业布置,关注学生是否掌握了有关网络安全协议的技能,注重学生的完成情况和学生对于实践教学过程中不足之处的意见。

4 结论

网络安全协议内容复杂,具体应用过程及各项技术操作也较为烦琐,因此,单单只是针对SSL /TLS协议的实践教学做了简要的设计并不能移植到所有的网络安全协议课程的教学中去。若要讲关于网络安全协议中链路层和网络层,那么第三阶段的实践教学内容就不具意义了。而要讲应用层的安全协议,第三阶段的实践教学内容相比于第一阶段和第二阶段就重要得多。对于信息安全专业的学生来说,只有掌握好计算机网络和密码学的课程内容,才能继续网络安全协议课程的学习。因为网络安全协议课程的理论性和实践性都非常强。在实践教学的实施过程中,不但要让学生充分品尝动手的乐趣,还要让学生掌握网络安全协议的具体知识。同时还要注重培养在网络安全协议方面的应用型人才。

参考文献

[1]刘凯.网络安全协议课程的实践教学设计[J].计算机教育,2014(24):111-114,118.

[2]颜未柱.高职网络安全课程教学难点分析及针对性教学设计[J].好家长,2014(51):227.

网络协议实验教学 篇8

关键词：一体化教学,网络管理技术,生成树协议

0前言

《网络管理技术》既注重理论又特别注重动手操作, 想要学习好这门课程并不是听听课看看书就能学好的, 这门课程重要的环节是实际动手操作。特别是对技工学校的学生来说, 这门课程就是为了能提高自己专业的职业动手能力。在今后的企业工作中更加强调动手能力和团队合作能力, 所以使用一体化的教学模式十分合适。

1一体化教学模式的前提条件

(1) 场地上一体化:将平常的上课教室与网络管理实操机房合为一体; (2) 内容上一体化:企业真实案例进入课堂, 例内容为主导, 书本教材为辅。将教师授课的理论内容和案例有机的结合为一体; (3) 教师的一体化:将讲台上的教师放入企业参加培训, 将企业的工作人员请上讲台。培养“双师型”教师。

2一体化教学的实施过程

下面以“网络交换机生成树协议配置”为具体实例, 探讨一体化教学在《网络管理技术》课程中的应用。

(1) 展示企业项目场景和需求。将企业项目的场景和需求展示给学生。如:企业需要搭建内部网, 基本情况及需求如下:有两栋楼, 每个楼都有相同的四个部门, 拥有的计算机数如下, 办公室12台, 资产部4台, 技术部16台, 市场销售部14台;各部门拥有独立的Vlan, 通过三层Switch让各部门之间能连通;规划部门IP地址, IP地址不浪费又有盈余;设定三层Switch为网络的生成树的根。

(2) 提炼出项目任务要求。教师引导学生通过对企业项目背景和需求的分析, 可以更为具体提出需要解决的项目任务。如:通过企业需求提炼出项目具体任务:规划IP地址;绘制出网络拓扑图;完成生成树协议配置;实现网络通讯, 完成企业需求。

(3) 项目任务具体分析。通过分析项目任务, 教师以解决实际问题的方式把理论知识传递给学生, 确保学习的针对性。教师引导学生以思考、讨论的方式对项目案例进行分析。学生带入企业项目场景, 提高其学习积极性、分析问题和解决问题的能力。如:引导学生分析上面的项目任务, 得出将整个网络分成四个子网, 分配给四个部门。然后将网络划分成四个vlan网络。修改Switch的优先级将三层Switch设置为生成树的根。

(4) 任务实施, 进行实践。将学生分小组操作, 教师和学生进行同步操作, 关键部分教师演示和讲解, 大部分让学生小组独立完成。教师负责各种问题解答并适当的提示引导。让学生“学以致用, 用以致学”能完成交换机配置。实施过程如下:

1) 规划IP地址:有四个部门, 划分为至少四个子网;各部门的pc数量不同, 为获得足够容量主机数, 又不浪费ip地址, 将网络分成四个具有24-2容量子网;2) 构建网络拓扑图如图1;3) 配置二层交换机:vlan的划分和二层之间trunk模式设置;4) 配置三层交换机:vlan的划分;三层与二层之间trunk模式的设置;三层的优先级设置;三层的根桥设置 (生成树协议配置) ;5) 测试网络通信:ping命令测试网络通讯。

(5) 检查与评价。为不同的项目实训制定不同的考核评价方案。在每个项目完成后要进行阶段性的项目考核;让教师了解学生对职业技能掌握的情况。如:网络交换机的生成树协议配置对应的考核标准如图2。

阶段性项目考核占总成绩50%, 要求学生必须达标。课程理论部分通过期末考试完成, 占总成绩30%。还有20%作为学生平时的学习态度和职业道德考核。

3一体化教学出现的问题

3.1一体化教学资料包的建设不完善

《网络管理技术》课程的一体化教学模式应该与企业多多沟通, 需要企业的大力支持;对教学资料包的建设需要教师、学生与企业三方面共同建立完成, 现在缺乏企业相关人员的参与, 缺少最新的技术教学资料的补充, 有些教学内容比较陈旧。

3.2无法参与到企业项目

网络管理技术是很多公司和企业比较重要的部分, 企业不愿意让这些没有任何工作经验的学生参与进来。建议加强教师和学生的素质, 加强与企业的联系, 才能解决这个问题。

4结束语

一体化教学方法使教学过程以具体项目为载体, 让学生“学以致用, 用以致学”, 教师在做中教, 学生在做中学。使用一体化教学模式后, 学生在课堂上的学习主动性、积极性、动手操作能力都得到了很大提升。

参考文献

[1]李学祥主编.《网络管理技术》.清华大学出版社, 2010.

网络协议实验教学 篇9

网络协议分析器 (network analyzer) 是对通用协议的数据包进行解码, 并以人可读的格式显示网络流量内容的软件或设备。由于网络协议种类繁多, 各种新协议层出不穷, 因此分析器必须具有良好的可扩展性, 可方便地支持新的协议。

Wireshark是一款免费开源的协议分析器, 是目前应用最广泛的网络协议分析软件之一。本文介绍了WireShark网络协议解析的原理与新协议添加的方法, 并分析了向WireShark中添加新协议解析器的两种方法, 并对自定义的网络协议给出添加步骤。

1Wireshark系统结构

WireShark的系统结构如图1所示, 主要功能模块如下:①GTK 1/2:图形窗口工具, 操控所有的用户输入/输出界面;②Core:将其它模块连接起来, 起到综合调度的作用;③Epan:Wireshark协议解析器;④Capture:数据包捕获引擎, 依赖于底层库WinPcap/libpcap库;⑤Wiretap:从磁盘读写数据包文件的引擎。

2数据包协议解析原理

2.1协议树

基于OSI的7层协议模型, 协议数据是从上到下封装后发送的, 而对于协议解析需要从下至上进行。首先对网络层的协议识别后进行组包还原, 然后脱去网络层协议头, 将里面的数据交给传输层分析, 这样一直进行下去, 直到应用层。

由于网络协议种类很多, 就Wireshark所识别的500多种协议来说, 为使协议和协议间层次关系明晰, 从而对数据流中各层次的协议能够逐层处理, Wireshark系统采用了协议树的方式, 如图2中所示。图2中UDP协议的所有数据都是封装在IP协议中的, 那么UDP协议就是IP协议的一个协议子节点, 具有相同父节点的协议成为兄弟节点, 如TCP与UDP节点。

Wireshark采用协议的特征字来识别拥有同样父协议的兄弟节点协议。每个协议注册自己的特征字, 这些特征字给子节点协议提供可以互相区分开来的标识。在Wireshark中注册一个协议解析器首先需要指出它的父协议是什么, 另外还需指出自己区别于父节点下所有兄弟节点协议的特征字。

由于采用了协议树加特征字的设计, Wireshark在协议解析上具备了很强的扩展性, 增加一个协议只需要将该协议相关的解析函数挂到协议树上相应的节点即可。

2.2添加协议解析器的方式

向Wireshark添加新协议解析器有两种方式:内置型 (built-in) 和插件型 (plugin) 。

2.2.1 插件型 (plugin)

插件型是构建一个插件 (如一个动态连接库) , 并把它自己注册到主程序中, 执行解析工作。

插件技术, 就是在程序的设计开发过程中, 把整个应用程序分成宿主程序和插件两个部分, 宿主程序与插件能够相互通信。并且, 在宿主程序不变的情况下, 可通过增减插件或修改插件来调整应用程序的功能。运用插件技术可以开发出伸缩性良好、便于维护的应用程序。

由于现在网络协议种类繁多, 为了可以随时增加新的协议解析器, Wireshark也采用了插件技术。如果需要对一个新的协议进行解析, 只需要开发这个协议解析器, 并调用注册函数向主程序注册就可以了。

2.2.2 内置型 (built-in)

内置型是把一个协议解析器编译进主程序中, 它将一直可用。

内置型与组件型的差异很小, 只不过内置型的重构周期比组件型的长很多, 同时没有插件型那么灵活。

3数据包解析器代码结构

新增加一个协议解析器的步骤一般分为注册协议, 初始化解析器, 实际解析处理3个步骤, 下面以自定义协议演示如何增加一个协议解析器。插件型与内置型两种方式的代码结构基本相同, 此处不做区别。自定义协议 (FOO Protocol) 格式如表1所示。

该协议为UDP协议的子协议, 端口为1234, 其中:

数据包类型—— 一个字节, 可能取值:1—初始化, 2—终止, 3—数据。

标识—— 一个字节, 可能取值:0x01—开始数据包, 0x02—结束数据包, 0x04—优先数据包。

序号—— 两个字节。

IP地址—— 四个字节。

3.1注册协议

主要调用proto_register_protocol函数来注册协议。

3.2初始化解析器

把UDP端口进行绑定, 所以主程序在接收到该端口的UDP数据包后就调用该解析器。其中dissect_foo为做实际解析工作的函数。

3.3实际解析处理

添加对具体协议各字段的解析。

有关协议解析器添加更详细、更具体的内容参见文献[2]。

4解析器代码的编译

插件型与内置型解析器代码的编译区别较大, 对此分别说明。

4.1.1 插件型 (plugin)

为了编译该解析器代码来创建该插件, 除了解析器的源代码packet-foo.c外, 还需要在该源代码文件所在目录下创建下列一些文件, 其包含了Windows平台与UNIX/Linux平台下的各自所需文件。①Makefile.am —— UNIX/Linux的makefile 模板;②Makefile.common —— 包含插件文件的名称;③Makefile.nmake —— 包含Wireshark插件的Windows平台下的makefile;④moduleinfo.h —— 包含插件版本信息;⑤moduleinfo.nmake —— 包含Windows 平台下动态链接库 (DLL) 的版本信息;⑥packet-foo.c —— 自定义协议解析器的源代码;⑦plugin.rc.in —— 包含Windows 平台下的DLL资源模板。

Makefile.common与Makefile.am文件必须修改, 来反映相关的文件与解析器名称。

moduleinfo.h 与moduleinfo.nmake文件必须填写版本信息。

把该解析器编译成一个动态连接库或共享库, 并复制到已安装Wireshark的plugin目录下, 即可使用。

4.1.2 内置型 (built-in)

内置型协议解析器源代码都在目录wireshark-1.2.0epandissectors下。此处, 我们以添加UDP协议为例, 说明内置型添加协议解析器的步骤:

第一步:将要添加的协议解析器源文件packet-udp.c和头文件packet-udp.h放在此目录下;

第二步:在此目录下修改Makefile.common文件, 分别将源文件和头文件名添加到对应的DISSECTOR_SRC和DISSECTOR_INCLUDE宏下面。

第三步:最后对整个工程进行编译连接, 就可以把要添加的协议解析器, 如同Wireshark大多数内置解析器一起被整合编译到libwireshark中。

5结束语

在自行开发自定义协议分析器时, 除了需要处理大量底层数据捕获、缓存与存储的开发工作外, 还涉及到复杂的数据包过滤、网络信息统计与数据包内容显示的开发工作, 并且很难提供足够的实用功能。

通过有效利用Wireshark已有框架, 使得自定义协议解析器的开发量可显著减少, 并可提供功能强大与兼容性更好的协议解析器, 从而为网络分析工作提供强有力的工具支持。

参考文献

[1]WinPcap技术文档4.0.1[EB/OL].http://www.winpcap.org.2011-06-10.

[2]Wireshark Developer's Guide 29135for Wireshark 1.2.0[EB/OL].http://www.winpcap.org.2011-06-10.

网络协议实验教学 篇10

拓扑发现首先要得到整个网络中的各个设备的路由信息, 然后利用这些信息来自动生成网络拓扑图, 在此过程中要充分利用各种路由的搜索算法和有关协议。网络拓扑发现算法主要包括发现路由器与路由器、路由器与子网之间的连接关系以及局域网内部交换机与交换机、交换机与主机之间的连接关系。其中自动发现路由器与路由器、路由器与子网之间的连接关系比较简单, 由于现在绝大多数设备都支持SNMP协议, 因此相关信息就可以从每个路由器的MIB库的ipRouterTable中获取。

1 简单网络管理协议 (SNMP) 简介

简单网络管理协议 (SNMP) 是为基于TCP/IP的多厂商异构互联网的管理而设计。它作为工业标准, 已被广泛接受, 其应用已扩展到其它协议组。目前几乎所有的网络产品, 包括交换机、路由器、UPS、MODEM等硬件以及许多软件均支持SNMP。SNMP的基础是MIB数据库, MIB数据库包含了所有被管对象的信息, MIB是这些对象的有结构的集合。网络中每个系统 (工作站、服务器、路由器、网桥等) 都拥有一个反映系统中被管对象状态的MIB。网络管理实体可以通过提取MIB中的对象值监测系统中的资源, 也可以通过修改这些对象值来控制资源。MIB变量记录了每个相连网络的状态、通信量统计数据、发生差错的次数以及内部数据结构的当前内容等。与ARP欺骗相关的信息就可以通过这些MIB变量获取, 并且通过MIB库定义的其它MIB变量可以设置网络设备的运行参数, 从而将实施ARP欺骗的终端隔离开来, 阻止ARP欺骗对网络正常通信的破坏。

SNMP的管理信息库采用树型结构, 它的根在最上面, 根没有名字。每个MIB对象都用对象标识符 (OID) 来唯一的标识, 其中每个可用信息是一个带标号的节点, 每个节点用数字和字符两种方式显示, 其中对象标识符OID是由句点隔开的一组整数, 也就是从根节点通向它的路径, 它命名节点并指示它在树中的准确位置。图1是管理信息库的一部分, 它又称为对象命名树 (objectnamingtree) 。

如图1所示, 在只讨论Internet中的对象时, 只给出Internet以下的子树 (图中的波浪线方框) , 并在Internet结点旁边标注上{1.3.6.1}即可。在Internet结点下面的第二个结点是mgmt, 标号为2。再下面是管理信息库, 其标识为{1.3.6.1.2.1}, 或{Internet (1) .2.1}。这种标识为对象标识符。

2 网络拓扑发现算法描述

众所周知, 路由器的一个端口既可以和子网相连也可以与其他路由器相连, 但是一个子网与另一个子网通信必须要通过路由器, 因此子网要连接到路由设备的某个端口上。而子网间的相互通信是通过各自的网关完成的, 所以网关与路由器端口是一一对应的。

对于指定深度的网络, 基于SNMP的拓扑发现算法是使用一个路由器作为种子路由器, 其在此网络中所有可以到达的网段, 以及到达该网段所经由的下一跳路由器的端口IP地址和相关路由信息均被其路由表记录。获取这些记录并且继续向下搜索, 直到指定深度为止。在此过程中还能获取到它所经过的每个路由设备上端口的直连子网及子网掩码, 据此而得到这些子网中所有的活动主机以及它们的系统和IP地址等信息。因此, 只要有任意一个路由设备端口的IP地址已知, 就能将其作为种子路由获取到指定深度内的所有活动主机和路由设备的拓扑结构。

设计拓扑发现算法时, 需要用到待检路由设备网关、拓扑信息、子网信息。这些信息都存放在相应链表中。待检设备网关链表中存放待检路由设备网关信息, 对这些信息进行处理后就能得到该设备的网关信息及对应的子网信息, 并将网关信息放入拓扑信息链表, 子网信息放入子网信息链表中。算法会在指定深度停止搜索, 在得到的拓扑信息链表中就能获得在此深度内所有路由设备间的连接关系, 然后在子网信息链表中又能得到各路由设备的子网及其所有主机的信息。

需要从路由设备返回的应答数据包解析出的每条记录中的路由相关信息如下所示:

ipRouteDest:路由的目的地址。如为0.0.0.0。说明该路由为缺省路由。

ipRouteNextHop:路由的下一跳路由器地址。

ipRouteMask:路由目的地的子网掩码。

ipRoutelflndex:网关的接口号。

ifDescr:接口的描述, 指定了vlan号。

ipRouteType:路由的类型, 为整型类型。其意义如表1所示。

主要算法如下:

1) 初始化相应各链表。

2) 向种子路由设备发送PDU征询数据包, 然后通过返回的应答数据包解析相关信息。在此过程中主要用到ipRouteType这个量。如果当前ipRouteType的值为3, 表示目标所在地址直接与该路由器相连, 即发现一个子网。此时将ipRouteNextHop值放入拓扑信息链表, ipRouteNextHop、ipRouteDest、ipRouteMask、ipRoutelflndex、ifDescr值放入子网信息链表;若当前的ipRouteType值为4, 表明目标地址所在的子网不是直接与该路由器相连, 必须至少再经过一个路由器。因此将ipRouteNextHop和ipAdEntAddr值放入拓扑信息链表;若ipRouteNextHop在待检设备网关链表中无节点的IP地址与之相同, 则将其放入待检设备网关链表, 并将该节点的跳数值赋为2, 表示该路由设备距本地网关所在设备有一跳距离。

3) 若当前节点的深度不超过指定深度, 并且待检设备网关链表不为空, 那么还需继续进行如下处理:取出当前的ipRouteNextHop, 封入PDU征询数据包发给其他路由设备, 然后重复第二步操作。最后若子网信息链表中还是无节点的IP地址与此ipRouteNextHop相同, 则将ipRouteNextHop放入待检设备网关链表, 将该节点的跳数加一。

4) 从待检设备网关链表中删除当前已被处理过的节点并判断是否继续处理。

当到达指定深度后算法会自动停止, 此时检索拓扑信息链表, 就能得到此深度内所有路由设备的拓扑结构。

3 结论

本文讨论了一种利用snmp协议来自动发现网络拓扑结构的方法, 介绍了该算法的主要流程, 同时还分析了此过程中需要实现的一些关键技术。由于在此过程中不需要发送大量探测数据包, 所以不会对网络造成过重的负担。由该方法所构造的网络拓扑能够较真实地反映网络拓扑情况, 为流量测量中测试站点的布置、采样处理和结果分析提供了良好的依据, 收到了理想的效果。

摘要：该文通过对简单网络管理协议的MIB库中的各种表进行分析, 描述了一种基于SNMP的网络拓扑发现方法, 该方法能自动准确的发现指定深度内的所有网络设备的连接情况。该方法不向网络中发送过多的探测数据包, 对网络的流量不产生太大影响。

关键词：MIB,网络拓扑发现,SNMP

参考文献

[1]David Zeltserman.SNMPv3与网络管理[M].潇湘工作实, 译.北京:人民邮电出版社, 2000.

[2]黄锦亮, 杜旭.基于SNMP的以太网拓扑发现[J].计算机应用, 2006, 26 (1) :37-39.

[3]李晓鸿, 张大方.一种以太网拓扑发现算法[J].同济大学学报, 2002, 30 (10) :1173-1177.

计算机网络通信协议的分析研究 篇11

【关键词】：计算机网络协议网络模型应用研究

目前，计算机网络应用已遍及人类生活、学习、工作等活动的一切领域。这一切网络的应用都是通过网络协议实现的。

一计算机网络协议概述

1计算机网络协议的定义

网络协议(有时也称为通信协议)是指在计算机与计算机之间进行通信必须遵循的一些事先约定好的规则。网络协议必须遵循标准化的体系结构，目前主要有ISO的OSI标准和TCP／IP协议组标准。通信涉及的所有部分都必须认同一套用于信息交换的规则。

在OSI／RM层次模型中，把网络协议规定成7层模型。

一是物理层，给出了一个通信信道的物理媒体上传输原始的二进制数据流(也称比特流)时的协议(IS02110，IEEE802J IEEE802，2)二是数据链路层。给出了把二进制数据流划分成数据帧，并依照一定规则传送与处理的协议(SLIP，CSLIP，PPP，AR P，RARP，MTU)；三是网络层把数据帧划分成更小的“分组”，规定分组的格式，给出使分组经过通信子网正确的从源传送到目的地的协议。网络层是控制通信子网正常运行的协议，它提供两类典型的数据分组传送服务方式(IP，ICMP，RIP，OSPF，BGP，IGMP)l四是传输层，根据高层用户的请求建立起有效的网络通信连接，处理端到端之间通信的差错控制、恢复处理和流量控制问题，也可以方便的撤消与拆除网络连接(TCP，UDP)；五是会话层，允许不同主机上的各种进程之间进行会话；六是表示层，为应用层提供传输的信息在表示方面的规则与协议；七是应用层，为各类不同的网络应用提供使用网络环境的手段，具体规定了在用户级别需要的、带有通信任务的许多常用信息服务的规则和协议。

2计算机网络协议的分类

(1)局域网协议。局域网协议定义了在多种局域网介质上的通信。目前，常用的局域网协议主要有NetBEUI、IPX／SPX及其兼容协议和TCP／IP三类。

(2)广域网协议。广域网协议是在OSI参考模型的最下面三层操作。定义了在不同的广域网介质上的通信。主要用于广域网的通信协议比较多，如：高级数据链路控制协议、点到点协议(PPP)、数字数据网(DDN)、综合业务数字网(ISDN)、数字用户线(xDSL)、X.25协议等等。

(3)路由选择协议。路由选择协议是网络层协议，它负责路径的选择和交换。路由选择协议还分为内部路由协议(它是在一个自治系统内部交换路由信息的路由协议)和外部路由协议(它是为连接两个或多个自治系统的路由协议)。

二网络协议中ping程序及其应用

这个程序用来检铡一帧数据从当前主机传送到目的主机所需要的时间。当网络运行中出现故障时，采用这个实用程序来预测故障和确定故障源是非常有效的。如果执行ping不成功，则可以预测故障出现在以下几个方面：网线是否连通，网络适配器配置是否正确，IP地址是否可用等；如果执行ping成功而网络仍无法使用，那么问题很可能出在网络系统的软件配置方面，ping成功只能保证当前主机与目的主机间存在一条连通的物理路径。它还提供了许多参数，如-t使当前主机不断地向目的主机发送数据，直到使用Ctrl-c中断；-n可以自己确定向目的主机发送的数据帧数等等。

我们称发送回显请求的ping程序为客户，而称被ping的主机为服务器。大多数的TCP／IP央现都在内核中直接支持Ping服务器。ICMP回显请求和回显应答报文如图所示。

对于其他类型的ICMP查询报文，服务器必须响应标识符和序列号字段。另外，客户发送的选项数据必须回显，假设客户对这些信息都会感兴趣。

UNIX系统在实现Ping程序时是把ICMP报文中的标识符字段置成发送进程的ID号。这样即使在同一台主机上同时运行了多个Ping程序实例，Ping程序也可以识别出返回的信息。

序列号从0开始，每发送一次新的回显请求就加1。Ping程序打印出返回的每个分组的序列号，允许我们查看是否有分组丢失、失序或重复。IP是一种最好的数据报传递服务，因此这三个条件都有可能发生。旧版本的Ping程序曾经以这种模式运行，即每秒发送一个回显请求，并打印出返回的每个回显应答。但是，新版本的实现需要加Ac-s选项才能以这种模式运行。默认情况下，新版本的Ping程序只发送一个回显请求。

三网络协议应用的分析

TCP／IP的应用层协议有多个，HTTP协议是一个面向连接的协议。选用IRIS V4，07作为协议分析工具。这操作系统是WINDOWS XPSP2。运行IRIS的主机位于以太网内，具有内网的IP。

运行IRIS，用热键CTRL+B弹出IRIS地址表。在表中填写机器的IP地址，这里我们运行IRIs的主机IP为102，34，12，113，为了对抓取的包看得更清楚不要添主机的名字(name)，设置好关闭此窗口。回到IRIS的主窗口，点击Kilters菜单项，在下拉的菜单中

选择only-http，ftl项。这是IRIS提供的过滤设置，此设置只抓取HTTP协议的数据包。在IRIS的主窗口，点击工具栏中的开始按钮，开始抓包。转到浏览器界面，输入任意一个常用的网址，待此页面在浏览器中完成后回到IRIS主窗口，可以看到抓取的多个包。如果此时没有再抓取新包，可以关闭WEB浏览器，再转到IRIS主窗口按下停止按钮。

为了更好的分析协议，我们先描述一下上述例子数据的传输步骤。第一、应用软件即WEB浏览器向DNS服务器发出请求，要求提供发往它的Web地址的相应的IP地址。第二、DNS服务器收到请求后，发回相应的IP地址。第三、TCP用所获得的IP向WEB服务器发出连接请求。双方建立连接。第四、WEB服务器向目的主机传送数据。第五、目的主机向WEB服务器发送数据传送完成确认。这是TCP建立数据传输通道的三次握手过程。TCP的数据包是靠IP协议来传输的。但IP协议提供的是无连接的服务，只管把数据送出去，不能保证IP数据报能成功地到达目的地，保证数据的可靠传输是靠TCP协议来完成的。当接收端收到来自发送端的信息时，接收端将发送一条应答信息，向对方表示已收到你的信息了。这三组数据将能看到这个过程。TCP是一个面向连接的协议。无论哪—方向另一方发送数据之前，都必须先在双方之间建立一条连接。建立连接的过程就是三次握手的过程。

LEO卫星网络路由协议研究 篇12

随着互联网的广泛应用以及卫星技术的快速发展, 卫星网络将逐渐成为下一代互联网重要的组成部分。目前通信卫星按其轨道高度, 大体上分为3类:地球同步卫星 (Geostationary Earth Orbit satellite, GEO) 、中轨卫星 (Medium Earth Orbit Satellites, MEO) 和低轨卫星 (Low Earth Orbit Satellites, LEO) 。

静止地球轨道卫星GEO具有相对地面静止和覆盖面积广的优点, 但是用户终端功耗大、频率资源利用低和卫星与地面终端之间的星地链路延迟大, 不适合提供实时的多媒体数据传输。LEO卫星的轨道与GEO的相比轨道较低、卫星与地面节点之间的星地链路具有与地面上链路可比的传输延迟、用户终端实现简单而且功耗低、频率能够高效复用和链路具有高带宽, 如果卫星之间具有星际链路 (Inter-Satellite Link, ISL) , 卫星之间的通信可以不需要依赖陆地上的网络资源, 因此, 能够提供宽带通信业务的LEO卫星网络目前成为卫星通信网络的研究热点之一[1~3]。

本文对LEO卫星网络系统中路由技术的研究进行了介绍, 第1节介绍了LEO卫星网络的拓扑结构特点;第2节介绍了LEO极轨道卫星网络模型, 提出了LEO卫星网络路由机制的分类方式;第3节着重阐述了LEO卫星网络各种路由协议的主要思想;第4节介绍了LEO卫星网络路由协议的未来研究方向;最后是结束语。

1 LEO卫星网络的拓扑结构特点

1.1 相关概念

LEO卫星系统通常包括多个轨道平面, 每个轨道平面上运行多个卫星。卫星的轨道高度在500~2 000km之间, 典型的运行速度大约为20 000km/h, 绕地球一周不超过2h。按轨道是否通过极地可以将LEO卫星系统分为极地轨道星座和非极地轨道星座, 极地轨道星座的卫星轨道平面都通过南北极地区域。目前主要有Iridium, Teledesic和Globalstar三大LEO卫星系统。

在LEO卫星网络中, 卫星之间存在星际链路, 目前每颗卫星最多有4~8条到附近卫星的星际链路。星际链路是高带宽的高频或光链路, 主要分为轨道内星际链路 (Intraplane ISL) 、轨道间星际链路 (Interplane ISL) 和反向缝链路 (Crossseam ISL) 。轨道内星际链路是卫星与同一个轨道上最近2颗或4颗卫星间的链路, 在卫星运行过程中保持不变。轨道间星际链路是卫星与邻近轨道上卫星间的链路。轨道间星际链路在卫星运行过程中是动态可变的, 主要原因是: (1) 在不同的纬度, 卫星轨道间的距离是不同的; (2) 在极地区域, 卫星快速交叉运行, 卫星上天线系统不能快速跟踪卫星的交叉位置, 轨道间链路需要经过断开再连接的过程。在极地星座中, 存在南北反向运转的相邻两个卫星轨道平面, 这两个反向运行轨道上卫星间的链路称为反向缝链路。大部分路由协议中, 假设反相逢链路是不存在的。

1.2 LEO卫星网络路由机制要求

L E O星座复杂的拓扑结构使其无法直接使用地面网络的路由协议, 一种有效的卫星网路由技术应该具有以下性质[4]。

(1) 网络拓扑的动态变化的适应性

这是卫星网的路由技术应具有的基本性质。路由技术还应采取适当措施避免可能出现的路由环, 或者在出现路由环时能够及时、有效地消除路由环带来的不利影响。

(2) 抗毁性

当两次路由更新间隔之间出现卫星节点失效或者链路故障时, 路由技术应能够有效避免由此引起的数据丢失, 这对于空间攻防对抗来说尤为重要。

(3) 高效性

路由技术或者协议应尽量降低实施的复杂性, 以较小的开销获得较大的传输成功率或者系统吞吐量。

(4) 网络流量变化的适应性

路由技术应能采取措施支持流量负载均衡以避免网络出现链路拥塞或节点拥塞, 或者在出现拥塞时及时、有效地消除拥塞带来的影响。

除此之外, 卫星网的组网结构也直接影响着路由技术的有效性, 因此, 在考虑路由技术的上述性质时, 还应考虑技术的通用性。

2 LEO极轨道卫星网络模型及分类

2.1 动态拓扑结构及数学模型

2.2 LEO卫星网络特性

针对星座路由设计的影响, 本文将LEO星座特性分为拓扑结构、切换、处理能力3类进行分析, 如图2。

(1) LEO卫星星座的拓扑特性主要是由LEO卫星在轨道上高速运动引起的, 这增加了路由设计难度。但星座中卫星分布的均匀性和对称性, 使得拓扑变化存在一定的周期性和可预测性, 又为星座路由设计提供了有利条件, 带来了新的研究方向。

(2) LEO卫星星座的切换特性是路由协议中的热点研究问题。当发生切换时, 由于卫星进入或退出正在通信的路径, 需要立刻重选路径。路径重选主要有完全重选、部分重选和组播重选三种基本方法, 或者根据卫星上天线系统的不同控制机制分为异步切换和同步切换两种方式。

(3) 星上处理能力局限性是卫星网络自身的一个缺陷, 由于全球业务日益增多, 业务种类的多样性, 对服务质量 (Qo S) 的要求也随之增高。如何合理地设计卫星路由, 尽可能地减少网络拥塞和提高网络资源利用率是这一类路由协议需要解决的难题。

3 LEO网络路由协议分析和比较

按照上述三种分类, 文中将分别介绍各类LEO卫星网络路由协议中的典型协议, 详细分析和讨论各自的性能参数、所解决的问题、系统结构以及存在的缺陷等。

3.1星座拓扑路由协议

3.1.1静态性路由

静态性路由机制就是根据LEO卫星网运行的周期性特点, 把卫星网系统周期划分为一系列的时间片段。在每个时间片段内, 卫星网的拓扑是固定不变的。时间片段的选取如果足够小, 则可以认为该时间段中的ISL链路代价是固定值。卫星网拓扑的变化只可能发生在时间片之间的切换点上, 这样就可以采用已有成熟的方法如Dijkstra最短路径协议找到最优路径以及备选路径。静态性路由机制能够用大量存储需求换取在线计算复杂度的降低。

1997年Werner提出了一种基于ATM机制的面向连接服务的动态虚拟拓扑路由协议 (Discrete Time Dynamic Virtual Topolopy Routing, DT-DVTR) [6]。算法的优化目标是减少由于拓扑在不同时间片间切换为引起的VP路径切换次数。协议将卫星网的路由计算转化为N个静态虚拟拓扑下的VP (Virtual Path) 路由计算问题, 利用拓扑变化的周期特性划分时间间隔, 将动态路由转变为一系列静态路由, 有效地简化了路由协议复杂度, 降低了通信开销。但是DT-DVTR协议没有能够有效解决链路切换或连接切换引起的重路由问题, 而且每颗卫星需要存放各个离散间隔内的大量路由信息, 对星载存储能力提出了较高的要求。

FSA (Finite State Automaton) [7]卫星网络路由协议同样把星座周期分割为有限个时间片, 每个时间片对应的网络拓扑看作一个“状态”。将卫星网络的动态拓扑结构模型看作为一个有限状态自动机, 卫星网络的路由问题转化为在有限状态自动机中对固定网络拓扑进行链路分配最优化的问题。它的优化目标为:

其中, i、j为卫星节点;C是链路容量;fij为在链路 (i, j) 上的运行流量。该优化目标主要考虑的是全局优化, 减小全局网络负担, 增大剩余容量。

FSA协议的优势在于对网络资源的最优化使用, 它的缺点在于: (1) 选择路径标准不是路由最短原则; (2) 动态链路分配技术对于LEO卫星网络实现难度过高; (3) 路由算法的计算复杂度过高。

Gounder提出了一种基于快照序列的路由算法[8], 算法中定义卫星网络的一个“快照”为卫星系统在某一特定时刻的网络拓扑。每当增加一个新的ISL或者断开一个已有的ISL时, 认为形成了一个新的快照。这样, 卫星的动态拓扑结构可以表示为一系列拓扑结构快照的循环, 循环周期就是卫星系统周期。

快照序列路由使用简单标记交换, 路由表项的机构为:

<入口链表, 入口标签, 出口链路, 出口标签>

卫星节点收到数据分组时, 根据分组的标签和入口链路号查找路由表, 如果链路通信量正常, 那么选择最短路径。如果下一个节点出现故障或ISL拥塞, 则选择另一个合适的备选路径。但由于相邻快照间的变化很小, 快照的数量非常多, 快照的存储是一个问题。

3.1.2动态性路由

3.2 卫星同步和异步切换的路由

根据卫星上天线系统的不同控制机制, 卫星切换又可分为异步切换和同步切换两种方式。

(1) 同步切换路由协议

同步切换路由协议模型最早应用在Teledesic星座系统中。在此基础上, 研究者们继而提出了虚拟节点 (VNs) 模型。卫星下方所在的地面区域进行逻辑地址编号, 并将其值作为该卫星的地址。当卫星要离开所在区域进入下一个区域时, 星上路由信息会通过地面服务器移交给下一个通过该区域的卫星节点, 卫星网络上的路由协议就可以承载在一个拓扑固定的虚拟网络上。分布式数据报路由协议 (DRA) [11]采用VNs模型, 隐藏卫星网络的动态特性, 通过各卫星节点独立计算出下一跳, 获得最小延迟路由。但该协议缺乏对全局负载的考虑, 增加整个网络路由状态的不稳定性, 同时也缺乏考虑单个节点失效时的补救方法。近年来, 同步切换协议以及VNs模型已经被越来越多的研究者采纳。同时, 针对这类协议的不足之处, 研究者也给予了修正。例如, VNs模型只考虑了虚拟节点和服务卫星一对一的情况, 但实际中会出现多颗卫星共同服务一个覆盖区域的情况, 如果依旧使用一对一的VNs旧模型, 则可能导致路由失效和通信中断。因此提出了一种多状态的虚拟网络 (MSVN) 模型, 不仅解决了一对一模型的局限性, 也为Earth-fixed卫星模型系统设计了一种新的切换机制, 同时适用于新, 旧两类虚拟节点模型。

(2) 异步切换路由协议

异步切换路由协议的核心是优化切换引起的信道资源分配问题, 减少切换对路由选择的影响。当地面终端进入覆盖重叠区域, 首先判断是否有可用信道, 如果有则接入请求;如果没有则将请求放入队列中。这种协议称为切换排队协议 (HQ) 。在设计切换方法时, 让系统保留一部分信道用于切换请求, 称为守护信道切换 (HG) 。当繁忙信道数量达到给定阈值, 卫星就只处理切换请求而不再接受新请求。协议中阈值的选取是平衡系统资源和服务质量的关键。切换保证 (GH) 路由协议分析了星座的运动特性以及卫星各个波束对地面终端的服务时间, 引入终端进入和离开某个波束的两个时间阈值。协议中不仅在当前卫星预留信道, 同时在将要使用卫星中预留信道。这种设计提高了通信服务质量, 但是协议中一旦信道预留失败, 通话将一定时间内被中断, 这是通信中最糟糕的情况。

3.3 面向负载的路由协议

(1) 负载均衡路由协议

由于业务分部的不平均, 比如城市与农村, 北极与南极, 导致不同区域上空的卫星利用率存在很大差距。因此, 面向负载的路由协议应运而生。Explicit Load Balancing (ELB) 协议[12]的核心思想是服务卫星能够在掌握下一跳链路负载的情况下选择路由。协议通过拥塞卫星发送信令的方式, 通知相邻卫星降低发送速率, 或尽可能地选择其它路径, 用以降低网络阻塞率。但是ELB协议只是针对拥塞节点相对较少的情况, 当出现较多拥塞的情况, 该协议可能失效。基于优先权的自适应路由协议 (Priority-based Adaptive Routing, PAR) [13]是在拥塞发生前尽量减少拥塞的路由协议, 起到合理分配网络负载的作用。该协议利用链路前一时刻的状态参数 (例如排队长度、等待时间等) 决定下一跳方向, 是一种适用于动态业务分布的最小跳协议。通过仿真实验发现, PAR协议和其它最小跳协议相比不仅有较高的系统吞吐率, 而且时延也较低。从研究的内容和目标来看, 基于负载均衡的协议势必将是下一步研究的重要方向之一, 很多问题还有待进一步攻破。

(2) 考虑Qo S的路由

A.Jukan提出了一种基于Qo S的分布式路由协议[14], 源节点通过泛洪方式向目的节点发送连接请求。每个中间节点不断更新Qo S参数, 当包达到目的节点, 根据路径上各节点参数, 删除不符合Qo S要求的链路, 最后在满足条件的路径中选择跳数最小或者链路生命期最长的路径作为路由。Kandus提出了一种面向业务的路由协议 (TCD) , 试图满足不同的业务的Qo S要求。协议将业务分为三类:实时业务、保证吞吐率的业务和尽力而为业务。卫星节点分配三个相互独立的输出队列服务于不同的业务, 分别采用不同的路由策略, 分别对应不同的Qo S保证。该协议的不足在于可能分配一条单一路径给一项大数量的业务, 造成路径超负载, 从而造成整个网络的业务不均衡。

4 未来的研究方向

通过研究, 发现LEO卫星网络路由研究中仍然面临许多挑战, 亟待进一步研究[15]:

(1) 性能和开销这对矛盾仍然是卫星路由协议面临的难题。因为星间链路容量有限, 为此需要对现有的各种LEO卫星路由协议进行全面的、定量的研究, 以便在性能和开销之间寻找到最佳平衡点, 尽可能地减小星间链路负载。

(2) 提供Qo S保证成为下一代卫星通信系统中不可忽视的重点。目前很多协议缺乏对Qo S的研究或者研究不深入, 例如, 如何在降低通信时延的同时满足时延抖动的要求、如何在多条路径拥塞情况下保持通信等等, 都需要进一步探讨。

(3) 网络负载均衡。由于卫星自身的局限性和全球业务不均, 使得合理利用卫星网络资源越来越受到研究者的关注。结合动态业务建立自适应的卫星路由模型, 合理规划和分配网络资源, 以达到优化全局网络性能的效果, 这类路由协议将毋庸置疑地成为卫星网络路由协议发展的关键。

5 结束语