某体检中心网络于 2011 年随大楼的整体改造,由建筑工程公司搭建而成。随后,体检中心总部在搭建好的网络中增加了体检服务器、检验服务器、影像服务器,及近 100 个终端信息点计算机。体检中心实行半天上班制,即上午上班下午休息,所有数据的交互都发生在上午,且在 9:00-11:00 尤为集中。体检中心网络中心经理负责对搭建好的网络线路、网络中的设备及在业务量集中时段的网络进行测试,保证网络在日后的运行中稳定、正常工作。
1 网络线路测试
体检中心近 100 个信息点在网络搭建时都冗余备份了一条网线,故到信息中心机房的网线近 200 条。对这近 200 条网络若进行盲目测试,不但耽误时间,而且在线路测试过程中会造成线路之间的混淆,使测试过程复杂化。因此在进行线路测试前,按照网线上的标签将信息点目前使用的网线都插到交换机上,然后让所有科室人员将所在科室信息点计算机打开,观察机房中交换机的信号灯是否正常闪烁,并记下属于某科室的网线标签号,实现了科室与网线标签的一一对应,为以后的维护带来便利。
在检测过程中发现交换机上有两个信号指示灯出现时断时续的闪烁状态,说明该线路发生故障,将其中一条线缆的水晶头插入网线测试仪后发现,测线仪的两个模块指示灯只有一号线对亮,其余都不亮。将该网线拔下后对两端水晶头的线序重新整理,用夹线钳重新制作了水晶头,插入网线测试仪后网线所有线对都依次点亮。而另外一条网线用相同的办法重新处理后,故障依然存在,考虑网线在布线过程中出现断裂的情况,利用网线寻线仪将网线一端水晶头插入寻线仪中,通过寻线仪发出请求,若对端有回应,说明线路是通的,若没有回应,将显示线路断路的位置,最终通过寻线仪查找到了出现线路断路的位置,但因为其在施工时已埋在墙体内,放弃对该线路的维修,用另一条备份线路替代,备份的线路在测试中信号灯全亮。
2 网络设备测试
体检中心分为行政部和体检部两大区域。行政部人员需通过 internet 与外界通信,而体检部要求在内部局域网与服务器交互信息,体检部人员杜绝上外网。在设备选型上,选择了 H3C 公司的 R3100 路由器和 S1024 交换机及 H3C U200 防火墙。在路由器上通过绑定信息点计算机的 IP 地址和 MAC 地址的方式实现对体检部人员限制上外网的要求,在网络业务运行前,先对网络设备进行性能测试。
连接 R3100 路由器的 console 口,通过 secureCRT 终端仿真工具登录路由器后,用 displaycurrent-configuration 命令查看路由器当前配置,用 display arp 命令查看当前路由器的 arp表,通过路由器流量分析,发现外部网络中有大量数据包通过位于内部的计算机并试图连接到服务器。对发起该连接的计算机断开网络连接,并对路由器完成了 VLAN 划分,将访问外网的行政部人员划分到 VLAN2 中,并隔离了与位于 VLAN1 的通信,配置了 QOS 协议,限制了网络速率,使行政部人员不能运行 P2P之类的软件。在对路由器性能测试的参数包括吞吐量、时延、帧丢失率、处理背靠背数据帧的能力、地址缓冲容量、地址学习速率等。在完成了以上测试后,最后确保路由器与其他网络设备进行互联时不会出现问题。在设备测试中由于网络中所采用的交换机均为接入层自适应交换机,无需配置,对它的测试只需观察在通电及插入网线后信号指示灯是否正常显示。
为了防止内部用户的攻击行为,网络总添加了H3C U200 防火墙,对防火墙的测试采用了主动测量的办法,即在网络中注入测试流量,采用“入侵式”的测量方式,查看通过防火墙的非法数据包,是否能被防火墙隔离掉,但这种方式对被测网络来说必然会带来一定的安全隐患。因此还可以结合被动测试的方法,对网络中活动的元素,例如服务器进行测试。如通过SNMP 协议读取相关 MIB 信息,或利用 NAI公司的网络协议分析软件 sniffer pro 来分析和测试网络。把安有 sniffer pro 抓包软件的主机连接到关键交换机的某一快速端口,从此端口为镜像目的端口,以网络主干连接的交换机端口作为镜像源端口,对网络中流量进行捕获。从而避免在测试过程中受到网络安全问题的干扰。
3 网络系统应用测试
由于体检中心的业务分三部分,分别与体检服务器、检验服务器、影响服务器交互信息,对每台服务器在业务峰值的流量分析可保证服务器不会出现宕机的情况出现。对业务终端在对服务器进行业务请求时不会出现时延或者连接不到服务器上。在业务终端对服务器进行 ping 命令,保证服务器与业务的连通信。并可利用 sniffer 或 ethereal 网络抓包工具对网络中存在的业务数据包进行分析,防止非法数据包占用网络带宽而使正常数据包无法正常交互。
4 小结
网络测试的对象及方法有很多,本文只是针对网络中存在的部分问题阐述了利用线路检测,利用 sniffer 抓包软件对网络中存在的数据包进行分析,避免网络安全问题,以及利用主动测试方法,为网络注入数据包的方法测试网络,无论利用哪种方法都是为获得第一手网络运行数据,为合理规划、建设网络,有效管理、维护网络奠定基础。
合理的网络测试是网络正常运行的基础,通过测试为网络日后安全运行与扩容建设提供参考数据,避免网络建设与维护方面的重复投资。体检中心的网络数据维护任务很重,只有对网络采用正确、适当的测试方法,才能保证网络的正常运转,网络服务的正常使用,网络的稳定健康。
参考文献
[1] 周学广等 . 信息安全学 [M]. 北京 : 机械工业出版社 ,2003(03).
[2] 曹天杰等编着 . 计算机系统安全 [M]. 北京 : 高等教育出版社 ,2003(09).
[3]( 美 )Mandy Andress 着 . 杨 涛 等 译 . 计算机安全原理 [M]. 北京 : 机械工业出版社 ,2002(01).
[4] 陈健 , 张亚平 , 李艳 . 基于流量分析的入侵检测系统研究 [J]. 天津理工学院学报 ,2008
