分類: killtest

5G沒有那麼神

來源:中國教育信息化網
作者:李志民
  當前5G熱得燙手,猶如當年的區塊鍊和共享經濟,絕不能否認其技術進步的意義,但也不能將其視為無所不能的神話。

  移動通信技術已經經歷了四代,1G通信系統是基本只能模擬通話的模擬技術,2G是使可以用網絡的數字技術,3G則是通過採用CDMA無線接入技術,通過提供中高速數據,從而實現多媒體服務,4G通信技術通過採用多天線載波技術,在大幅度提高傳輸速率的同時,也提供很多多樣化的個性服務。第五代移動通信技術(Fifth-Generation,5G)是目前新一代移動通信技術發展的主要方向,與4G相比,是為了滿足智能終端的快速普及和移動互聯質量的要求而發展,移動通信技術還會不斷升級,逐次迭代,滿足未來萬物互聯的應用需求。

  移動通信技術從1G迭代到4G的時間差不多用了20年,2009年普及3G,到2014年升級到4G,每一代的實際運營時間大約是5年。1G基本上是電話功能,2G可以發送文字了,3G可以方便地上互聯網絡了,也就是到了3G才有了移動互聯網的名詞。在3G之前,移動通信技術主要服務在話務領域,服務在互聯網領域的叫做無線互聯技術,今天大家熟悉的WiFi是其中之一。在移動互聯網層面對於消費者來說,5G和4G相比,其實就是高速度、低延遲與高性能,其他的幾乎是感覺不出來的。最近兩年,新聞媒體和資本界完全把5G神話了。

  在資本的話語體系中,物聯網被視為繼移動互聯網之後,5G技術能直接影響的第二大產業。但是,物聯網的概念已經炒了這麼多年,之所以一直沒有出現爆發式增長,其實除了網絡通信的速度因素,還有很多來自其它方面的關鍵制約——尤其是負責通信功能的硬件,這與控制設備的核心算法密切相關。

  即便某些已取得研究成果的識別或後續場景,其功耗、成本和產品體積也尚未能控制下來,這就意味著距離真正量產,還有很遠的距離。在社會主義市場經濟條件下,判斷事物能否成功的基本方法是要符合效率和效益優先的原則,如果事物不符合效率或效益優先的原則,無論是誰忽悠都難以持續發展。

  基於車聯網實現的自動駕駛技術掣肘更多。

  曾經有人吶喊“5G時代=自動駕駛時代”,但實際上,這不過是科學幻想小說的自嗨。想要完全釋放自動駕駛的功能並最大程度上保證安全,目前上路的車輛要有90%以上實現自動駕駛的網絡調度才有可能實現,這在很長一段時間來說都是不可能的,即便拋開前面所說車聯網本身的瓶頸不談,數據丟失、黑客攻擊、身份盜竊等等,都是汽車一旦放開自動駕駛後可能出現的問題。

  科學技術的超前研究不代表社會需求已經產生,而沒有社會需求的所謂產業化是沒有多大意義的,實際上也實現不了產業化。

  如前面所述,移動互聯網本身就包括移動通信技術與無線互聯技術,所以,即便是在移動互聯領域,5G也不是“一家獨大”,移動通信技術會長期與無線互聯技術WiFi等並存。

  無線互聯技術WiFi在中文裡又稱作“行動熱點”,是Wi-Fi聯盟製造商的商標做為產品的品牌認證,是一個創建於IEEE 802.11標準的無線局域網技術標準。

  創造WiFi這種技術的想法,很大程度上取決於使用簡單安排的公共網絡。目前不管是家庭、公司或者是商場、酒店等都會使用WiFi,相對於2G、3G甚至4G上網一般來說,大部分的WiFi速度快、省電、無流量限制,無線設備不需要走SIM卡的流量,因而多數情況下不單獨產生費用。同時,數據傳輸領域中的現代WiFi實際上能夠與移動蜂窩網絡做到完全相同。WiFi支持移動性、覆蓋連續性,移動用戶的服務,網絡中的自動授權,甚至與蜂窩網絡漫遊。

  所以5G和Wi-Fi在將來和時間裡還是會相輔相成,同時出現在我們的生活中,畢竟兩都有不同的使用環境,各有各的好處。

  特別是在校園網建設方面,應該加強教育網主幹網建設,大力發展WiFi,以減輕師生的經濟負擔,提升網絡使用效率。

IBM Cloud Pak for Data System V1.x Administrator Specialty

IBM Cloud Pak for Data System V1.x Administrator Specialty
Certification overview, objectives, exam preparation and registration
認證概述
面向數據的 IBM 雲包 管理員具有 IBM 數據系統雲包的知識和經驗。該管理員能夠執行與日常管理和操作,配置,安全性和補丁管理,環境升級和問題確定相關的任務。

合作夥伴世界技能代碼: S0010100

要求
考試 S1000-002:適用於數據系統的 IBM 雲包 V1.x 管理員專業
考試目標
在考試開發期間,主題專家 (SME) 定義個人成功履行產品或解決方案職責所需的所有任務、知識和經驗。這些由以下目標表示,認證考試中的問題基於這些目標。

試題數量: 40 道
題目數: 28
允許時間: 75 分鐘
狀態: 直播

第 1 部分:雲包數據系統概述15%

第2部分:用於數據系統配置的雲包20%

第3部分:用於數據系統管理的雲包22%

第 4 部分:用於數據系統操作的雲包18%

第5部分:雲包用於數據系統安全性和合規性10%

第 6 部分:用於數據系統問題確定的雲包15%
考試資源
提供課程和出版物以幫助您準備認證測試。在參加認證考試之前,建議但不是必需的課程。請注意,課程設置不斷添加和更新。
本考試提供以下語言版本:英語
每次考試價格:100 美元
Exam S1000 – 002 IBM Cloud Pak for Data System V1.x Administrator Specialty
1. How many control nodes are designated in Cloud Pak for Data
System?
A. 1
B. 2
C. 3
D. 4
2. What is the node personality type that hosts only a specific pod or
application?
A. unset
B. labeled
C. control
D. universal
3. How many 2U Lenovo D2 enclosures make up a Cloud Pak for
Data System base configuration?
A. 1
B. 2
C. 3
D. 4
4. What are two different networks available in Cloud Pak for Data
System?
A. samba
B. fabric
C. token ring
D. management
E. fibre channel
5. What are the three IBM Cloud Pak for Data System user
classifications?
A. platadmin, platuser, root
B. administrator, local, database
C. application, platform, internal
D. data engineer, data scientist, data steward
6. Which two methods are supported for external user
authentication?
A. SAML
B. Samba
C. Kerberos
D. OpenLDAP
E. Windows AD
7. Which port must be open on the firewall in order for Call Home to
communicate with IBM Support servers?
A. 443
B. 5480
C. 8080
D. 50022
8. What are two examples of a stateful alert in Cloud Pak for Data
Systems?
A. ACTION_FAILED
B. APPLIANCE_EVENT
C. SW_NEEDS_ATTENTION
D. TEST_CALLHOME_EVENT
E. APPLIANCE_APPLICATION_DOWN
9. What is the maximum number of nodes covered by the Portworx
license in a base Cloud Pak for Data System?
A. 6
B. 4
C. 8
D. 12
10. What is the configuration file used for audit log redirection on
Cloud Pak for Data System?
A. /etc/audisp/plugins.d/syslog.conf
B. /etc/security/auditlog/apsyslog.conf
C. /var/log/remote/plugins.d/syslog.conf
D. /opt/ibm/appliance/platform/etc/system.conf
11. What three ap apps sub commands are available to manage IBM
Cloud Pak for Data System applications from the command line?
A. stop
B. enable
C. delete
D. install
E. restart
F. disable
12. Which service is responsible for identifying issues on the Cloud
Pak for Data System platform?
A. Kubernetes
B. Policy Engine
C. Alerts Engine
D. Platform Manager
13. Which two hardware resources are available to monitor from the
IBM Cloud Pak for Data System web console?
A. PDU
B. SAN
C. Patch panel
D. Server nodes
E. Fabric switches
14. Which action can be used to harden the security of Cloud Pak for
Data System?
A. Apply full STIG guides and recommendations.
B. Apply STIG guides manually with a list of exceptions.
C. Run the tool security_compliance_manager –ALL as root user.
D. Run the tool security_compliance_manager –stigAll as apadmin user
Answer Key:
1. C
2. B
3. B
4. BD
5. C
6. DE
7. A
8. CE
9. C
10. A
11. BEF
12. D
13. DE
14. D

MAC認證原理描述

MAC認證簡介
定義
MAC認證,全稱MAC地址認證,是一種基於接口和終端MAC地址對用戶的訪問權限進行控制的認證方法。

優點
用戶終端不需要安裝任何客戶端軟件。
MAC認證過程中,不需要用戶手動輸入用戶名和密碼。
能夠對不具備802.1X認證能力的終端進行認證,如打印機和傳真機等啞終端。
認證系統
如圖所示,MAC認證系統為典型的客戶端/服務器結構,包括三個實體:終端、接入設備和認證服務器。

圖MAC認證系統

終端:嘗試接入網絡的終端設備。
接入設備:是終端訪問網絡的網絡控制點,是企業安全策略的實施者,負責按照客戶網絡制定的安全策略,實施相應的准入控制(允許、拒絕、隔離或限制)。
認證服務器:用於確認嘗試接入網絡的終端身份是否合法,還可以指定身份合法的終端所能擁有的網絡訪問權限。
用戶名形式
終端進行MAC認證時使用的用戶名和密碼需要在接入設備上預先配置,有以下幾種形式。缺省情況下,終端進行MAC認證時使用的用戶名和密碼均為終端的MAC地址。

MAC認證時使用的用戶名 密碼 適用場景
終端的MAC地址 兩種形式:
終端的MAC地址
指定的密碼
客戶端少量部署且MAC地址容易獲取的場景,例如對少量接入網絡的打印機進行認證。
指定的用戶名 指定的密碼 由於同一個接口下可以存在多個終端,此時所有終端均使用指定的用戶名和密碼進行MAC認證,服務器端僅需要配置一個賬戶即可滿足所有終端的認證需求,適用於終端比較可信的網絡環境。
DHCP選項,有三種形式:
circuit-id子選項
remote-id子選項
circuit-id子選項和remote-id子選項的組合
指定的密碼 該場景下終端需通過DHCP方式獲取IP地址,且需保證DHCP報文能夠觸發MAC認證。
MAC認證流程
對於MAC認證用戶密碼的處理,有PAP和CHAP兩種方式:
PAP:設備將MAC地址、共享密鑰、隨機值依次排列順序後,經過MD5算法進行HASH處理後封裝在屬性名”User-Password”中。
CHAP:設備將CHAP ID、MAC地址、隨機值依次排列順序後,經過MD5算法進行HASH處理後封裝在屬性名”CHAP-Password”和”CHAP-Challenge”中。
採用PAP和CHAP方式的MAC認證流程分別如 圖2-14和 圖2-15所示,兩者實現方式相似,以下重點介紹PAP方式。
圖2-14 MAC認證流程(PAP方式)

接入設備收到終端發送的arp/dhcp/dhcpv6/nd報文,觸發MAC認證。
設備隨機生成一個隨機值,並對MAC認證用戶的MAC地址、共享密鑰、隨機值依次排列後經過MD5算法進行HASH處理,然後將用戶名、HASH處理結果以及隨機值封裝在RADIUS認證請求報文中發送給RADIUS服務器,請求RADIUS服務器對該終端進行MAC認證。
RADIUS服務器使用收到的隨機值對本地數據庫中對應MAC認證用戶進行MAC地址、共享密鑰、隨機值依次排列後經過MD5算法進行HASH處理,如果與設備發來的值相同,則向設備發送認證接受報文,表示終端MAC認證成功,允許該終端訪問網絡。
圖2-15 MAC認證流程(CHAP方式)

MAC認證授權
認證用於確認嘗試接入網絡的用戶身份是否合法,而授權則用於指定身份合法的用戶所能擁有的網絡訪問權限,即用戶能夠訪問哪些資源。授權最基礎也是最常使用的授權參數是VLAN、ACL和UCL組,此處以RADIUS授權進行說明,其他授權方式的授權方法以及更多可授權的參數請參見AAA授權方案。

VLAN
為了將受限的網絡資源與未認證用戶隔離,通常將受限的網絡資源和未認證的用戶劃分到不同的VLAN。用戶認證成功後,認證服務器將指定VLAN授權給用戶。此時,設備會將用戶所屬的VLAN修改為授權的VLAN,授權的VLAN並不改變接口的配置。但是,授權的VLAN優先級高於用戶配置的VLAN,即用戶認證成功後生效的VLAN是授權的VLAN,用戶配置的VLAN在用戶下線後生效。RADIUS服務器授權VLAN時,必須同時使用以下RADIUS標準屬性:
Tunnel-Type:必須配置為“VLAN”或“13”
Tunnel-Medium-Type:必須配置為“802”或“6”
Tunnel-Private-Group-ID:可以是VLAN ID、VLAN描述、VLAN名稱和VLAN pool
ACL
用戶認證成功後,認證服務器將指定ACL授權給用戶,則設備會根據該ACL對用戶報文進行控制。

如果用戶報文匹配到該ACL中動作為permit的規則,則允許其通過。
如果用戶報文匹配到該ACL中動作為deny的規則,則將其丟棄。
RADIUS服務器授權ACL有兩種方法:

授權靜態ACL:RADIUS服務器通過RADIUS標準屬性Filter-Id將ACL ID授權給用戶。為使授權的ACL生效,需要提前在設備上配置相應的ACL及規則。
授權動態ACL:RADIUS服務器通過華為RADIUS擴展屬性HW-Data-Filter將ACL ID及其ACL規則授權給用戶。ACL ID及其ACL規則需要在RADIUS服務器上配置,設備上不需要配置。
UCL
用戶控制列表UCL組(User Control List)是網絡成員的集合。UCL組裡面的成員,可以是PC、手機等網絡終端設備。借助UCL組,管理員可以將具有相同網絡訪問策略的一類用戶劃分為同一個組,然後為其部署一組網絡訪問策略,滿足該類別所有用戶的網絡訪問需求。相對於為每個用戶部署網絡訪問策略,基於UCL組的網絡控制方案能夠極大的減少管理員的工作量。RADIUS服務器授權UCL組有兩種方式:
授權UCL組名稱:RADIUS服務器通過RADIUS標準屬性Filter-Id將UCL組名稱授權給指定用戶。
授權UCL組ID:RADIUS服務器通過華為RADIUS擴展屬性HW-UCL-Group將UCL組ID授權給指定用戶。
無論是哪一種授權UCL組方式,都必須提前在設備上配置相應的UCL組及UCL組的網絡訪問策略。
free-rule
用戶認證成功之前,為滿足用戶基本的網絡訪問需求,需要用戶認證成功前就能獲取部分網絡訪問權限。可在free-rule模板中配置free-rule規則,滿足用戶的認證成功前的網絡訪問需求。

用戶的free-rule可以通過普通的free-rule定義,也可以通過ACL定義。普通的free-rule由IP地址、MAC地址、接口、VLAN等參數確定;通過ACL定義的free-rule由ACL規則確定。兩種方式定義的free-rule都能夠指定用戶無需認證就可以訪問的目的IP地址。除此之外,ACL定義的free-rule還能夠指定用戶認證成功前就可以訪問的目的域名。

基於域名定義用戶的free-rule有時要比基於IP地址簡單方便。例如,某些認證用戶由於沒有認證賬號,必須首先在運營商提供的官方網站上註冊申請會員賬號;或者通過微博、微信等第三方賬號進行登錄。這就要求用戶認證通過前,能夠訪問特定的網站。由於用戶記憶網站的域名要比記憶其IP地址容易的多,所以,此時可以通過ACL定義的free-rule,指定用戶認證成功前即可訪問以上網站域名。