《全国计算机等级考试四级网络工程师教程》由会员分享,可在线阅读,更多相关《全国计算机等级考试四级网络工程师教程(459页珍藏版)》请在金锄头文库上搜索。
1、第1章网络及其系统设计本章要点:1.1网络的基本概念1.2局域网、城域网与广域网1.3宽带城域网的设计与管理1.4接入网技术1.1网络的基本概念1.1.1网络的定义计算机网络是指将地理位置不同的功能相对独立的多个计算机系统通过通信线路相互连在一起、由专门的网络操作系统进行管理,以实现资源共享的系统。重点提示:重点提示:组建计算机网络的根本目的是为了实现资源共享。这里既包括计算机网络中的硬件资源,如磁盘空间、打印机、绘图仪等,也包括软件资源,如程序、数据等。1.1.2网络的发展过程1终端-通信线路-计算机阶段人们通过通信线将计算机与终端(terminal)相连,通过终端进行数据的发送与接收。2计
2、算机-计算机网络阶段以通信子网为中心,多主机多终端。1969年在美国 建 成 的 ARPAnet是 这 一 阶 段 的 代 表 。 在ARPAnet上首先实现了以资源共享为目的的不同计算机互连的网络,它是今天因特网的前身。3计算机网络成熟阶段国际标准化组织于1984年颁布了“开放系统互连基本参考模型”问题的研究,即为OSI参考模型。4高速的计算机网络阶段光纤在各国的信息基础建设中被逐渐广泛使用,这为建立高速的网络辅垫了基础。千兆乃至万兆传输速率的Ethernet已经被越来越多地用于局域网和城域网中,而基于光纤的广域网链路的主干带宽也已达到10G数量级。1.1.3计算机网络的分类1以通信所使用的
3、介质分类有线网络和无线网络2以使用网络的对象分类公众网络和专用网络3以网络传输技术分类广播式网络和点到点式网络4以网络传输速度的高低分类低速网络和高速网络图1-1点到点网络与广播式网络5按互连规模与通信方式分类局域网、城域网与广域网重点提示:重点提示:最常用的两种计算机分类方法为:(1)按传输技术将其分为广播式网络与点-点式网络;(2)按覆盖范围与规模将其分为局域网、城域网与广域网。1.1.4计算机网络的应用1办公自动化计算机网络能过将一个企业或机关的办公电脑及其外部设备联成网络,可以实现在信息共享和公文流传。2企业的信息化通过在企业中实施基于网络的管理信息系统(MIS)和资源制造计划(ERP
4、),可以实现企业的生产、销售、管理和服务的全面信息化,从而有效提高生产率。4远程教育远程教育是利用internet技术,与教育资源相结合,在计算机网络上进行的教学方式。E-Learning即是指通过internet或其他数字化内容进行学习与教学的活动。5娱乐与消遣网络给我们带了新的丰富多彩的娱乐和消遣方式,如网上聊天、在线点播、新闻浏览以及现在最流行的网络在线游戏等。1.1.5计算机网络的结构及其特点计算机网络首先是一个通信网络,早期的计算机网络主要是广域网,它的结构是由负责数据处理的主计算机与终端以及负责数据通信处理的通信控制处理设备与通信线路所这两部分所组成。从资源构成的角度讲,计算机网络
5、是由硬件和软件组成的。并从功能上将计算机网络逻辑划分为资源子网和通信子网。图1-2资源子网与通信子网的二级子网结构1.2局域网、城域网与广域网1.2.1局域网(LAN,LocalAreaNetwork)局域网(LAN)是当今计算机网络技术应用与发展非常活跃的一个领域。公司、企业、政府部门及至住宅小区内的计算机机都在通过LAN连接起来,以达到资源共享、信息传递和数据通信的目的。1.IEEE802为局域网制定了一系列标准,主要有如下12种。LLC能够提供以下三种服务(1)无确认无连接的服务(2)面向连接方式的服务(3)有确认有连接的服务根据介质访问控制的方式,可以将MAC分为以下三种方式:(1)循
6、环式:每个站轮流得到发送机会,如果一段时间内有许多站发送数据,则方式很有效,如果只有很少站发数据,则该方式开销太大。(2)预约式:将传输介质的使用时间划分为时间糟,而预约管理可以是集中控制,也可以分布控制。(3)竞争式:不对各个工作站的发送权限进行控制,而是自由竞争,它适合于分布式控制,优点在于简单,轻负载下效率高,重负载时效率下降得很快。2CSMA/CD协议CSMA/CD即是带冲突检测的载波侦听多址访问。它的基本原理是:每个节点都共享网络传输信道,在每个站要发送数据之前,都会检测信道是否空闲,如果空闲则发送,否则就等待;在发送出信息后,则对冲突进行检测,当发现冲突时,则取消发送。载波侦听主要
7、是指网络中的各个站点都具备一种对总线上所传输的信号或载波进行监测的功能,其策略即是“信道空闲时,立即发送;信道忙时,继续监听”。冲突检测是指一种检测或识别冲突的机制,这是实现冲突退避的前提。3令牌总线协议采用令牌总线协议的网络,虽然在物理上它们还是连接在一条总线上,但是在逻辑上是组成了一个首尾相连的环。通过一个称为令牌的特殊帧来控制网络的访问。4令牌环协议令牌环使用中继器将单个的点到点线路链接成为物理的环形结构。它的基本原理是:令牌在网络上依次顺序传递,等待捕获一个空令牌,然后将要发送的信息附加到后面,往下一站发送,直到目标站,将令牌释放;如果工作站要发送数据时,经过的令牌不是空的,则等待令牌
8、释放。6无线局域网无线局域网主要可以使用红外线、扩展频谱和窄带微波技术三种通信技术。无线局域网分为两个研究方向,一是由面向数据通信的计算机局域风发展而来的,采用的是无连接协议,即IEEE801.11标准;另一个是致力于面向语音蜂窝电话,采用的是基于连接的协议,即HiperLAN-2标准。重点提示:重点提示:应用是局域网技术发展真正的动力,局域网技术的发展十分迅速,目前已在企业、机关、学校和信息管理与服务领域得到了广泛的应用。1.2.2城域网(MAN,MetropolitanAreaNetwork)1FDDI技术FDDI以光纤为传输介质,传输速率可以达到100Mbps,采用单环和双环两种拓扑结构
9、。2城域网的业务特点(1)传输速率高(2)用户投入少,接入简单(3)技术先进、安全3城域网的主要用途及其适用范围(1)高速上网(2)互动游戏(3)VOD视频点播与网络电视(4)远程医疗、会议、教育(5)远程监控(6)家庭证券交易系统(7)智能设区(8)带宽及管道出租业务1.2.3广域网(WAN,WideAreaNetwork)广域网是一种跨地区的数据通讯网络,通常包含一个国家或地区。广域网通常由两个或多个局域网组成。1综合业务数字网(ISDN)2数据数字网(DDN)3X.25分组交换网4帧中继(FR)5异步传输模式(ATM)1.3宽带城域网的设计与管理1.3.1宽带城域网的结构与设计1宽带城域
10、网的结构宽带城域网的总体结构是由网络平台、业务平台、管理平台与城市宽带出口等部分组成。从逻辑上分,宽带城域网的网络平台又包含了核心交换层、边缘汇聚层与用户接入层三部分。2宽带城域网网络平台的主要功能(1)核心交换层核心交换层为整个网络提供一个高速,宽带的中心连接,并能提供所有城域网出去Internet所需要的路由服务。图1-4宽带城域网的总体结构(2)边缘汇聚层也称汇聚层,它是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路(3)用户接入层也称接入层,它是直接面对用户的一个层面,目的是允许终端用户连接到网络,它为广大的用户提供10/100M的高速接入
11、。它称为网络的“最后一公里”。3宽带城域网的组建及其原则可运营性、可管理性、可盈利性、可扩展性重点提示:重点提示:要组建与成功运营一个宽带城域网需要遵循的基本原则是:必须能够保证网络的可运营性、可管理性、可盈利性与可扩展性。1.3.2宽带城域网的管理与运营宽带城域网位于广域网与接入网的交汇处,各种业务和协议都在此汇聚分流和进出核心网,直接面对终端用户,应用环境复杂。所以其内部是多种交换技术和业务网络并存,因此我们在设计与组建宽带城域网的同时要注意网络成功组建和运营的关键技术。宽带城域网管理与运营的关键技术包括:带宽管理、服务质量QoS、网络管理、用户管理、多业务接入、统计与计费、IP地址的分配
12、与地址转换以及网络安全等。1.3.3宽带城域网设计方案1基于SDH的城域网SDH(SynchronousDigitalHierarchy,同步数字体系)是一种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络。SDH的核心就是应用了波分多路复用技术,就是一条光纤信道上传输多条信号,SDH网络是ATM,DDN等中继网络服务的承载网。2基于10GE的城域网1999底成立了IEE802.3ae工作组进行万兆以太网技术(10Gb/s)的研究,2002年正式发布802.3ae10GE标准。21世纪初,提出了光以太网的概念,它的技术核心是:利用光纤的巨大带宽资源和以太网的成熟与易用
13、为运营商建造新一代的宽带城域接入网。光以太网技术用于建设宽带城域网,必须满足对城域网的几个基本要求:(1)高可靠性(2)可提供服务等级协议(SLA)(3)高可扩展性(4)用户管理图1-6成长中的万兆以太网3基于PRP的城域网弹性分组环技术是一种在环形结构上优化数据业务传送的新型MAC层协议,能够适应多种物理层(如SDH、以太网、DWDM等),可有效地传送数据、话音、图像等多种业务类型。图1-7基于RPR的城域网应用实例RPR技术的主要特点可归纳如下:(1)支持50ms的快速保护(2)实现灵活的环路带宽管理(3)支持环路带宽的公平分配重点提示:重点提示:宽带城域网建设最大的风险是基本技术方案的选
14、择,一般有三类选择:基于SDH的城域网方案、基于10Ge的城域网方案和基于RPR的城域网方案。1.4.1接入网技术概况1接入网技术的发展与接入服务的界定接入网(AccessNetwork,AN)是指交换局到用户终端之间的所有机线设备,它的主干系统为传统的电缆和光缆,一般长数千米;配线系统也可能是电缆和光缆,其长度一般几百米,而引入线通常长几米到几十米。它是泛指用户网络接口(UNI)与业务节点接口(SNI)间实现传送承载功能的实体网络。其目标是建立一种标准化的接口方式,以一个可监控的接入网络,使用户能够获得话音、租用线业务、数据多媒体、有线电视等综合业务。1.4接入网技术2接入技术与“数字会聚”
15、、“三网融合”电信网、计算机网和有线电视网三大网络的高层业务应用的融合。三大网络通过技术改造,能够提供包括语音、数据、图像等综合多媒体的通信业务三网融合,在概念上从不同角度和层次上分析,可以涉及到技术融合、业务融合、行业融合、终端融合及网络融合。重点提示:重点提示:作为用户接入钢的主要有三类:计算机网络、电信通信网与广播电视网。数字化使这三种网络之间的界限越来越模糊,这造成了通信、计算机与广播电视等产业的会聚,出现了经营业务相互融合,进而促进这些产业的重时,同时开辟大量新的信息服务市场,即现了所谓的“三网融合”与“数字会聚”。1.4.2接入技术的主要功能特点与分类1接入网的主要功能:(1)用户
16、口功能(UPF)(2)业务口功能(SPF)(3)核心功能(CF)(4)传送功能(TF)(5)AN系统管理功能(SMF)2接入网的特点(1)主要完成复用、交叉连接和传输功能,不具备交换功能。(2)提供开放的V5标准接口(3)光纤化程度高(4)能提供各种综合业务,接入网除接入交换业务外,还可接入数据业务、视像业务以及租用线业务等。(5)对环境的适应能力强(6)组网能力强(7)可采用HDSL、ADSL、有源或无源光网络、HFC和无线网等多种接入技术。(8)接入网可独立于交换机进行升级(9)接入网提供了功能较为全面的网管系统3接入网技术的分类接入网技术从接入技术分,可分为有线接入与无线接入两类;按接入
17、方式分,它涉及用户的环境与需求,可以分成家庭接入、校网接入、机关接入与企业接入。图1-8接入网技术按接入技术分类图图1-9为接入网技术按接入方式分类图1.4.3各种接入技术的特点1xDSL接入xDSL是DSL(DigitalSubscriberLine)的统称,意即数字用户线路,是以铜电话线为传输介质的点对点传输技术。DSL技术在传统的电话网络(POTS)的用户环路上支持对称和非对称传输模式。xDSL具有以下特征:(1)与话音工作于不同频段,基本不影响电话的正常使用,话音所占频带为04KHz;xDSL调制频带为4.4KHz1MHz。(2)在以办公室和家庭为中心一定距离范围内可以提供较高的数据传
18、输率。(3)铜线的具体条件、天气和片断对话可能将影响传输性能。 xDSL中“x”表任意字符或字符串,根据采取不同的调制方式,获得的信号传输速率和距离不同以及上行信道和下行信道的对称性不同,xDSL可以分为以下若干类型:(1)ADSL(AsymmetricDigitalSubscriberLine,不对称数字用户线路)图1-10用户室内使用ADSL结构(2)HDSL(High-data-rateDigitalSubscriberLine,高速率数字用户线路)(3)VDSL(Very-high-data-rateDigitalSubscriberLine,极高速率数字用户线路)(4)RADSL(R
19、ate-AdaptiveDigitalSubscriberLine,速率自适应数字用户线路)2HFC接入图1-11HFC的结构示意图按不同的分类方式可以把CabelModem分成为同的类型,主要的分类方式有以下几种:(1)按接入角度分:可分为个人的CabelModem和宽带多用户的CabelModem。(2)按接口角度分:可分为内置式、外置式和交互式机顶盒三种(3)按传输方式分:可分为双向对称式传输和非对称式传输。(4)按数据传输方向分:可分为单向传输和双向传输。(5)按同步方式分:可分为同步交换和异步交换。3光纤接入光纤接入是指局端与用户之间完全以光纤作为传输媒体。光纤接入可以分为有源光接入
20、和无源光接入。除了HFC外,光纤接入的方法还有以下几种:(1)DLC(光纤数字环路载波系统)(2)基于ATM的无源光网络(3)SDV(交换式数字视像技术)4宽带无线接入无线接入技术主要有:802.11标准的无线局域网(WLAN)、802.16标准的无线城域网(WMAN)以及正无线网格网(WMN)技术。表1-1 IEEE 802系列标准对比IEEE 802.11IEEE 802.16dIEEE 802.1eIEEE 802.20标准类型WLANWMANWMANWMAN覆盖范围150m(802.11b)100m(802.11a)1-15km几公里2-5km工作频率2.4GHz(802.11b)2.
21、5GHz(802.11a)111GHz许可或免许可频段1160Hz许可频段60GHz许可频段3.5GHz许可频段移动性无无本地250km/h业务定位个人用户,游牧式数据接入中小企业用户的数据接入无线传输个人用户的宽带移动数据业务为主高速移动数据业务QoS支持不具备不具备不具备不具备标准化程度高系列标准中的大多数已制定完成,只有少数部分尚在制定中2004年6月份获得IEEE批准2005年上半年通过处于早期需求分析阶段第2章网络的总体规划与设计本章要点本章要点:2.1中小型网络系统的基本结构2.2用户需求与网络应用需求调研2.3需求分析2.4方案设计 2.1中小型网络系统的基本结构图2-1基于网络
22、的中小型信息系统的结构示意图2.1.1网络的运行环境要求网络的运行环境即整个网络系统运行时放置网络硬件设备的环境要求以及网络电源供应所需要的良好安全稳定的供电系统,它是保障系统安全、可靠与稳定运行所必需的基本设备。网络硬件如路由器、交换机、服务器等所放置的场所,一般将这些硬件系统都放置在建筑楼房中的机房或是设备间,配线间。关键的网络设备对供电系统的要求是很严格的,一般是用专门的供电系统,因为它具有较好的稳压同时带有备用电源与供电智能管理。2.1.2网络的设施及操作系统1网络的设施网络的设施包括合适结构化布线系统、城域网主干光缆系统、广域传输线路、微波通信与卫星通信系统等基础设施;同时还有路由器
23、、交换机、网关、网桥、集线器、网卡、Modem以及远程通信服务器等设备。2操作系统网络操作系统作为网络用户和计算机之间的接口,通常具有复杂性、并行性、高效性和安全性等特点。网络操作系统的功能如下:(1)操作系统在同一时间能够在不同的内存内间运行不同的应用程序(2)操作系统拥有较大的物理内存使应用程序能够更好的运行。(3)操作系统可同时支持多个CPU,这样可以减少程序处理时间以提高操作系统性能。(4)操作系统能够与多台计算机构成一个虚拟系统以满足大量用户同时访问时的需要。(5)操作系统能够支持用户通过远程对网络系统进行管理和维护。3网络应用软件及其开发系统开发网络应用软件的工具各不相同,但都是由
24、两部分的开发工具组成:网络数据库开发工具和网络软件工发工具。前者包括有Oracle、MSSQLServer等,后者主要包括等Java、VisualC+、VisualBasic、Delphi等。4网络管理系统网络管理系统是一个软硬件结合的系统,但它以软件为主,属于分布式网络应用系统,通过某种方式对网络进行管理,使网络能正常高效地运行,更加有效的利用网络中的资源得。5网络安全系统网络安全就是网络上的信息的安全,是指网络系统的硬软件系统及其数据受到保护,不因突然的或者恶意的原因而遭到破坏、更改和泄露,系统连续可靠正常地运行,并给予持久不中断的网络服务。广义来说,凡是涉及到网络上信息的保密性、真实性、
25、完整性、可用性和可控性的相关技术和理论都涉及到网络安全技术。2.1.3网络系统设计流程图2-2为网络系统设计流程图2.2用户需求与网络应用需求调研2.2.1用户需求以下是进行用户需求调研的主要内容:(1)了解用户对整个应用系统所期望达成的目标,要对用户的商业目标和解决方案的约束进行全面分析。(2)了解与研究用户的行业、市场、供产商、产品、服务。(3)了解客户的组织结构。(4)加强与用户的沟通,了解用户对系统的期望以及这个系统所预计实现的目标。表2-1 为用户需求调研表用户需求主要内容地点图书馆人数8两年内人员变动20%响应速度书目检索1s,人员检索0.5s,借/还书登记2s可用性8小时/天安全
26、性数据备份,非工作人员不可访问重点提示:重点提示:做好用户需求的调研,对下一步的需求分析起前重要作用,有了足够的信息,对这个网络设计的项目才有了充分的准备,才能更好地开展项目的需求分析工作。2.2.2网络应用需求要弄清一个网络的应用需求,应该从如各部门的信息化工作基础、财力以及对网络的应用要求和认识程序等方面进行分类调查与研究。重点提示:重点提示:用户需求与网络应用需求调研,应该充分理解用户业务活动和用户信息需求;在调查分析的基础上,充分考虑需求与约束并对网络系统组建与信息系统开发的可能性进行充分地论证;运用系统的概念来进行技术方案的规划与设计;根据工程的时间要求要安排各项工作,同时要求各阶段
27、的资料的完整性与规范性。部门人数业务数据网络服务图书馆6查询借书、还书登记预约新书上架借书、还书、预约数据每天平均发生100笔每笔数据量为30KB保留时间两周至一个月60%数据量在学校图书馆局域网内传输40%在校园内部局域网内传输财务部30报销交款汇款税务固定资产管理财务报表数据明细帐目数据总帐数据每天平均200笔每笔数据量为100KB保留时间20年80%数据量在校财务部局域网内传输15%在校园内部局域网内传输5%传送上级主管部门或相关单位教务部57学生档案老师档案课程安排出国办理人事档案数据课程档案数据教师学生出国档案数据每天平均5笔每笔数据量为10Mb保留时间20年50%数据量在校园内部局
28、域网内传输35%在教务部局域网内部传输15%传送上级主管部门或相关单位表2-2网络应用需求调查表的示例2.3需求分析2.3.1网络系统的结点1地理位置及建筑环境调查了解结点的位置、数量等信息。同时,建筑物的总楼层数量,楼层结构布局、应在每个楼层中的何处放置设备、楼层主干线以及传输的路由方式都要考虑在内。表2-3结点调查示例部门校长办公室学术发展部教务部会议室财务部其他楼层765432结点数38102030302数据的流向确定数据流向的主要是指确定数据从哪个结点发出到哪个结点结束以及数据包在网络中所经历的路径。3传输的介质考虑数据传输的介质也是必不可少的,了解了网络系统结点的地理分布后,我们应该
29、结合当地线路的实际情况,确定网络的整体构架并考虑所采用的传输介质、网络设备等。2.3.2网络应用特点1数据库系统(1)RDBMS(关系数据库系统)如Oracle、MSSQLServer等,它是支持关系模型的数据库系统,一般由关系数据结构、关系操作集合和关系完整性约束三部分组成,它一般是为财务管理、人事管理,OA系统应用等提供后台的数据支持。(2)DFS(非结构化数据库系统)它指的是字段长度可变的,其各个字段的记录又可以由重复或不重复的子段所构成的数据字。(3)公司专用信息管理系统一般是为公司专业开发的信息管理系统,如CAD在线设计软件,产品数据管理PDM软件等。2常用Internet/Intr
30、anet业务电子邮件服务FTP文件传输服务IP电话服务网络视频会议与在线点播服务电子商务服务公共资源在线查询服务2.3.3网络总体需求分析通过用户需求与网络应用需求的调研,以及网络系统结点、应用概要等方面的信息,总结出网络宽带的要求并提出所要采用的网络技术。同时提出网络的分层结构以及核心层、汇聚层与接入层的组合以及使用技术、网络的扑拓结构来确定网络的总体需求。2.3.4网络综合布线需求分析结构化布线系统它是一个能够支持用户选择语音、数据、图象等应用的电信布线系统。它能够支持语音、图像、多媒体信息等数据的传输。2.3.5网络可用性与可靠性需求分析网络系统的的可用性与可靠性,一般是指准确度、差错率
31、、响应速度以及无故障运行时间这些方面来评估的。2.3.6网络安全性需求分析网络的安全性,主要表现在网络的稳定性、完整性和保密性。2.3.7网络工程费用估计网络工程费用的估计一般包括网络的基础设施和研硬件设备;同时也包括进行远程通信和接入城域网时所租用的线路费以及服务器与客房端设备;当然还包括系统开发,集成、维护、完善等所支付给技术人员的费用以及用户培训的费用。重点提示:重点提示:网络需求详细分析主要包括:网络总体需求分析、综合布线需求分析、网络可用性与可靠性分析、网络安全性需求以及分析网络工程造价计算。2.4方案设计2.4.1网络系统总体目标与设计原则网络总体目标的确定是网络设计方案的第一步,
32、由于情况不同,则网络系统设计的目标也不同,一般包括功能性、可扩展性、可用性、可靠性、可管理性、安全性与高效率性。网络设计必须能满足设计目标中的要求,主要包括先进性与实用性原则、可维护性原则、可扩展性原则、先进性原则、安全保密原则以及经济性原则。2.4.2网络拓扑结构设计一般简单的星型拓扑只有一个布线间,而主配线设备中有至少一个的交叉连接的接插面板,它是用来连接水平电缆和局域网的交换接口。一个较大型的网络,网络进行互联且连接的距离大于100m,则需要多于一个的布线间,这多个布线间就建立形成了一个多汇集区。次级的布线间用垂直的电缆与主配线设备相连。若垂直电缆的长度超过100m则要将其换成多模光纤。
33、这样就形成了由主配线设备为中心向外以星型结构扩散的可扩展的星型网络。2.4.3网络结构设计图2-3网络系统三层结构图不同规模、功能要求的网络,其网络系统结构也不同,大规模的网络一般是用三层结构,但如果网络的规模稍小,也常使用两层结构,有时将接入层与汇聚层合为一层,或时将核心层和汇聚层的功能合并,甚至当结点数量很少时,只采用一层的网络结构。从经验来看,一个网络需要的结点数为250至5000个时,用三层结构来设计网络系统;若结点数为200至500个左右时,则不必设计接入层,直接将结点接入汇聚层的路由器或交换机,当结点个数少于200个时,则只设计核心层部分。1核心层核心层的网络要承担整个网络50%以
34、上的流量,它是网络的大动脉。核心层技术的选择,需要根据网络系统的地理位置、信息流向与流量等方面而定。图2-4服务器群接入核心路由器的两种方案2汇聚层设计汇聚层为核心层和接入层提供连接,并提供了基于统一策略的互连性并对数据包进行复杂的路由运算。3接入层设计接入层直接连接用户计算机并使各种网络资源设备接入网络。重点提示:重点提示:网络系统三层结构包括核心层、汇聚层与接入层。由于网络的规模对结点数的要求不同,所设计网络的体系结构也不同。图2-5接入层与汇聚层两种结构设计方案2.4.4路由器与交换机选择网络设备选择的基本原则包括:(1)设备厂商的选择原则(2)网络的可扩展性原则(3)网络技术的先进性原
35、则(4)设备的性价比和质量原则1路由器的选择(1)按性能来划分分为高、中、低档的路由器(2)按结构来分可分为“骨干级路由器”、“企业级路由器”和“接入级路由器”。(3)按功能划分可分为“边界路由器”和“中间节点路由器”。图2-6中型规模的网络系统结构路由器的指标一般有:全双工线速转发能力、设备及端口的吞吐量、背靠背帧数、路由表能力、背板能力、丢包率、时延及时延抖动、内部时钟精度、冗余、网管类型与能力、突发处理能力及可靠性与可用性等。2交换机的选择(1)从网络覆盖范围划分:广域网交换机用于电信城域互联和互联网接入等的领域的广域网中。局域网交换机我们常见的交换机,提供高速独立的通信信道。(2)从传
36、输介质和传输速度划分以太网交换机一般指100Mb/s以下的以太网交换机。快速以太网交换机用于100Mb/s快速以太网千兆以太网交换机它的带宽可达1000Mb/s,一般用于大型网络的主干网。ATM交换机用于ATM网络,广泛应用于电信网的主干网。FDDI交换机采用光纤作为介质,现在多用于老式中、小型的快速数据交换网络中。(3)从应用层次划分企业级交换机一般用作企业主干网来构建高速局域网。校园交换机一般作为网络的主干交换机,用于较大型的网络。部门级交换机它可以是固定配置的也可以是模块配置的。工作组交换机它被看作是传统集线器的理想替代品、。桌面型交换机它的特点是每个端口MAC地址很少,且端口数也不多,
37、只具备最基本的交换机特性。(4)从交换机的结构划分固定端口交换机端口数目固定不变,只能提供数量有限类型固定的端口。模块化交换机可由用户选择不同数量、速率和类型的模块,以来适应不同的网络需求。(5)从交换机工作的协议层划分第二层交换机 应用于OSI/RM的第二层协议来定义,只能工作在数据链路层,一般作为桌面型交换机。第三层交换机应用于OSI/RM的第三层,工作在网络层,具有路由功能,可作为大中型网络的基本配置设备。第四层交换机 应用于OSI/RM的第四层,现在在实际应用中使用较少。常用的交换机的技术指标的般有:背板带宽、二/三层交换吞吐率、全双工端口带宽、帧转发速率与VLAN技术。背板吞吐量二/
38、三层交换吞吐率帧转发速率是否支持VLAN技术交换机类型端口的密度最大可堆叠数转发速率背板吞吐量支持的网络类型缓存大小MAC地址数量设备冗余可管理性2.4.5服务器的选择1服务器的分类(1)按应用层次划分可将服务器分:入门级服务器工作组级服务器部门级服务器企业级服务器四类(2)按服务器的处理器架构划分可把服务器分:CISC架构服务器架构服务器RISC架构服务器VLIW架构服务器(3)按服务器应用的角度来划分:文件服务器数据库服务器Internet/Intranet通用服务器应用服务器。应用服务器按照其所提供的功能分类,可分为:CAD服务器VOD视频点播服务器IP电话服务器网络电视会议服务器音频点
39、播服务器打印服务器游戏服务器应用服务器的主要技术包括有:客户与服务器之间的浏览器/服务器模式,将网络的应用建立在Web服务的基础上。中间件与通用数据库接口技术,使客户可利用Web浏览器访问应用服务器,该应用服务器的后端连接数据库服务器,这一点与传统的数据库服务器的结构是不同的,前者采用的是用户、数据服务器与应用服务器三层结构,而后者采用的是客户与服务器构架的二层结构。提供最适合的硬件平台与应用软件,配置、使用方便,性价比高给用户提供了很多便捷。图2-7数据库服务器与应用服务器的体系结构(4)按服务器按用途划分,可将服务器分为通用型服务器和专用型服务器两类。(5)按服务器的机箱结构来划分,可以把
40、服务器划分为“台式服务器”、“机架式服务器”、“机柜式服务器”和“刀片式服务器”四类。 重点提示:重点提示:服务器的种类繁多,其分类方式也多种样,常用的分类方式有:按按应用层次划分、按服务器的处理器架构划分、按服务器应用的角度来划分、按服务器按用途划分、按服务器的机箱结构来划分。2服务器的性能指标网络服务器的技术指标是选择适合的网络服务器的关键,它主要包括:运算速度、磁盘性能与存储能力、可用性、数据吞吐量以及可管理与可扩展性。 服务器的种类多种多样,其采用的技术也各不相同,其中包括:(1)多对称处理(2)集群(3)分布式内存访问(4)应急管理端口(5)热拔插重点提示:重点提示:服务器的性能主要
41、表现在:运算速度、磁盘容量与存储能力、高可用性、数据吞吐能力、可管理性与可扩展性。其采用的相关技术包括:对称多处理技术、集群技术、分布内存访问技术、高性能存储与智能I/O技术、服务处理器与Intel服务器控制技术、应急管理端口技术与热拔插技术。3服务器的选型原则 服务器选择型的主要原则包括以下三点:(1)根据应用特点选择原则(2)根据行业特点选择原则(3)根据技术成熟度选择原则2.4.6网络安全设计1网络安全问题(1)网络防攻击(2)网络防病毒我们一般需要考虑在每一种需要防护的平台上都部署防病毒软件。大体上分为以下几类平台:客户端邮件服务器其他服务器网关(3)网络安全漏洞计算机系统的安全性能由
42、高而低划分为A、B、C、D四大等级:D级:最低保护凡没有通过其他安全等级测试项目的系统即属于该级,如Dos,Windows等个人计算机系统。C级:自主访问控制该等级的安全特点在于系统的客体如文件、目录等可由该系统主体如系统管理员、用户、应用程序等自主定义访问权。B级:强制访问控制该等级的安全特点在于由系统强制对客体进行安全保护。A级:可验证访问控制(4)网络信息安全网络信息安全特点为:相对性:安全是相对的,没有绝对的安全综合性:涉及管理及技术多个层面网络安全产品的单一性动态性:技术跟进和维护支持的重要性管理难度大黑盒性(5)垃圾邮件(6)网络内部安全防范(7)网络的数据备份与灾难恢复2网络安全
43、设计原则网络安全设计要从下面几个方面来考虑:(1)从全局考虑(2)从整体考虑(3)从系统的有效性与实用性考虑(4)从安全等级考虑根据数据和信息的保密性与安全要求,要对数据和用户甚至设备进行分等级:数据:分为绝密、机密和公开用户:分为网络管理员、网络用户,其网络用户也应该为其分配不同的权限设备:核心设备、关键设备、普通设备、(5)从系统的自主性与可控性考虑(6)从系统安全有价考虑第3章IP地址及其规划本章要点本章要点:3.1IP地址的概念3.2IP地址划分技术研究与发展3.3IP地址规划3.1IP地址的概念3.1.1IPv4地址概念IP地址只是32位二进制数字。在二进制中,数码只有0和1。一个3
44、2位数码有32个0和1。为了方便,一般把IP地址分为4个8位字段,或者称作8位字节。3.1.2IP地址的标准分类 基本的IP地址是分成8位一个单元的32位二进制数。一般用点分十进制表示。IP地址中的每一个8位位段用0255之间的一个十进制数表示。这些数之间用点(.)隔开,格式为x.x.x.x。IP地址分成五类,分别为:A类地址、B类地址、C类地址与特殊地址。每一个IP地址包括两部分:网络地址和主机地址,上面五类地址对所支持的网络数和主机数有不同的组合。(1)A类地址一个A类IP地址仅使用第一个8位位段表示网络地址。剩下的3个8位位组表示主机地址。(2)B类地址一个B类IP地址使用两个8位位段表
45、示网络号,另外两个8位位段表示主机号。(3)C类地址而C类地址使用三个8位位段表示网络地址,仅用一个8位位段表示主机号。图3-1IP地址的标准分类(4)特殊地址直接广播地址直接广播地址与广播地址相同,是一个Internet协议地址,指定了在某特定网络中的“所有主机”。受限广播地址受限的广播地址是255.255.255.255。在任何情况下,路由器都不转发目的地址为受限的广播地址的数据报,这样的数据报仅出现在本地网络中。“这个网络上的特定主机”地址具有全0网络号的IP地址代表了这个网络上的特定主机当某个主机想同一网络上的其他主机发送报文的时候就会用到它。它的格式为:网络号为0,主号为确定的数值。
46、回送地址127.x.x.x是本机回送地址,即主机IP堆栈内部的IP地址,用于网络软件测试以及本地机进程间通信,无论什么程序使用回送地址发送数据,协议软件立即返回之,从进行任何网络传输。3.2IP地址划分技术研究与发展IP地址的划分共分为四个阶段。(1)第一阶段1981年,IPv4协议制定初期,IP地址设计的目的是希望每个IP地址都能唯一地、确定地识别一个网络与一台主机。这时的IP地址是由网络号与主机号组成,长32位,用点分十进制方法表示,即现在的标准分类的IP地址。(2)第二阶段在1991年起,在原来的标准分类的IP地址上,加入了子网号的三级址结构。将一个网络划分为子网,采用借位的方式,从主机
47、位最高位开始借位变为新的子网位,所剩余的部分则仍为主机位。这使得IP地址的结构分为:网络号、子网号和主机号。(3)第三阶段1993年提出其出了CIDR(ClasslessInterDomainRouting,无类域间路由)技术。CIDR有效地提供了一种更为灵活的在路由器中指定网络地址的方法。使用CIDR时,每个IP地址都有网络前缀,它标识了网络的总数或单独一个网络。(4)第四阶段1996年提出了NAT(NetworkAddressTranslation,网络地址转换)技术,允许一个整体机构以一个公用IP地址形式出现在Internet上。即是一种把内部私有IP地址翻译成合法网络IP地址的技术。图
48、3-2划分IP地址技术的发展阶段示意图3.2.1划分子网的三级地址结构地址有效利用率的问题:(1)A类地址的主机号长度为24位,即可以分配给1600多万个结点,这即是对一个大型的网络来说,也不可能使用到这么多的结点,即使有这样的大型网络,网络中的路由表也太大了。(2)B类地址的主机长度为16位,即一个网络中可以允许有6万多个结点,由经验得到,一般使用B类地址的网络中大多数的网络主机数都不超过50台。(3)C类地址的主机号长度为8位,即一个网络中可以只能分配256个主机和路由器的地址,这个数量又远远不够。1子网的概念在一个IP网络中划分子网使我们能将一个逻辑上单一的大型网络分成若干个较小的网络,
49、即允许将网络划分成许多个部分供内部使用,但是对于外部网络仍像一个网络一样。2子网的划分它将IPv4地址分为三部分:网络部分、子网部分和主机部分。3子网掩码的概念它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网以及哪些位标识的是主机的位掩码。图3-3A类、B类和C类地址掩码图3-4B类地址分为128个子网3.2.2CIDR无间域内路由技术1CIDR提出的背景随着Internet的迅速发展,标准地址分类法带来了两个问题,最大一个问题就是这些类别无法体现顾客的需求。A类地址实在过大,以至浪费了大部分空间。另一方面,C类网络对大多数组织来说实在太小,这意味着大多数组织会请求B类地址,但又没有
50、足够的B类地址可以满足需求。1993年,CIDR技术被提出,RFC1517、1518和1519对其进行了定义并且形成了Inernet的建议标准。CIDR利用表示用来识别网络的比特数量的“网络前缀”,取代了A类、B类和C地址。2CIDR的概念CIDR是一个在Internet上创建附加地址的方法,这些地址提供给服务提供商ISP,再由ISP分配给客户。3CIDR的工作原理CIDR地址包括标准的32位IP地址和用正斜线“/”标记的前缀。4CIDR的技术特点(1)它区别于一般的标准分类IP地址概念的“网络前缀”,代替的原来的“网络号+主机号”的结构,形成了无分类的结构,即表示为“网络前缀+主机号”的二级
51、地址结构,也不再使用“子网”的概念。(2)网络前缀相同的连续的IP地址形成了一个“CIDR地址块”。它是由块起始地址与块地址数来表示的。5CIDR的优点CIDR的优点是解决了困扰传统IP寻址方法的两个问题。重点提示:重点提示:CIDR的研究思路主要是将剩余的IP地址以可变大小的分块方法进行分配,而不按标准的地址分类规则分配。ISP、大学、政府机关及企业在确定IP地址结构时,即可根据对IP地址管理和路由的需要来灵活决定。表3-1为CIDR及其对应的掩码CIDR掩码CIDR掩码/8255.0.0.0/20255.255.240.0/9255.128.0.0/21255.255.248.0/1025
52、5.192.0.0/22255.255.252.0/11255.224.0.0/23255.255.254.0/12255.240.0.0/24255.255.255.0/13255.248.0.0/25255.255.255.128/14255.252.0.0/26255.255.255.192/15255.254.0.0/27255.255.255.224/16255.255.0.0/28255.255.255.240/17255.255.128.0/29255.255.255.248/18255.255.192.0/30255.255.255.252/19255.255.224.03.2
53、.3NAT网络地址转换技术1NAT的概念NAT即网络地址转换,它的基本思路是为每个公司分配少量的IP地址用于传输Internet的流量,而在公司内部的每一台主机分配一个不能够在Internet上使用的保留的专用IP地址。这些专用的地址都是管理机构预留的,它们不需要向Internet管理机构申请,但是在Internet中并不唯一。它们就用于公司的内部网络通信,如果要访问外部的Internet主机,要运行NAT的主机或路由器将内部的专用IP地址转换为全局的IP地址。图3-5NAT在ISP服务中应用的网络结构图2NAT的工作原理(1)内部地址翻译将内部IP一对一的翻译成外部地址。(2)内部全局地址复
54、用使用地址和端口将多个内部地址映射到比较少的外部地址。(3)TCP负载重分配NAT路由器接受外部主机的请求并依据NAT表建立与内部主机的连接,把内部目的地址翻译成内部局部地址并转发数据包到内部主机,内部主机接受包并作出响应。NAT路由器再使用内部局部地址和端口查询数据表做出响应。如果此时,同一主机再做第二个连接,NAT路由器建立与另一虚拟主机的连接,并转发数据。(4)处理重叠网络主机A要求向主机C建立连接,DNS服务器做地址查询。NAT路由器截获DNS的响应,如果地址有重叠,将翻译返回的地址。它将创建一个简单入口把重叠的外部全局地址翻译成外部局部地址。路由器转发DNS响应到主机A,它已经把主机
55、C的外部全局地址翻译成外部局部地址。当路由器接受到主机C的数据包时,它将建立内部局部、全局,外部全局、局部地址间的转换,主机A将由内部局部地址翻译成内部全局地址,主机C将由外部全局地址翻译成外部局部地址。主机C接受数据包并继续通讯。图3-6为NAT工作原理示意图3NAT的技术类型(1)静态NAT(2)动态地址NAT(3)网络地址端口转换NAPT4NAT技术的局限性(1)违反了IP地址的设计原则(2)使IP协议从面向无连接变成面向连接(3)与其他协议工作时经常需要修改(4)破坏了各层独立的原则 重点提示:重点提示:NAT的主要思路即为每一个网络系统分配一个或少量的IP地址用于传输流量到Inter
56、net,在这个网络系统内部的每一台主机分配一个能够在Internet上使用的保留的专用IP地址。3.3IP地址规划3.3.1基本步骤与方法1IP地址规划的步骤(1)获得网络最大子网数量与最大主机数(2)设计基本网络地址结构(3)计算子网络掩码(4)计算网络地址、广播地址与主机地址2IP地址规划详细方法192.168.1.0192.168.1.64192.168.1.128192.168.1.192192.168.1.8192.168.1.72192.168.1.136192.168.1.200192.168.1.16192.168.1.80192.168.1.144192.168.1.2081
57、92.168.1.24192.168.1.88192.168.1.152192.168.1.216192.168.1.32192.168.1.96192.168.1.160192.168.1.224192.168.1.40192.168.1.104192.168.1.168192.168.1.232192.168.1.48192.168.1.112192.168.1.176192.168.1.240192.168.1.56192.168.1.120192.168.1.184192.168.1.248表3-232个子网的网络号子网地址广播地址子网地址广播地址192.168.1.0192.168.
58、1.7192.168.1.128192.168.1.135192.168.1.8192.168.1.15192.168.1.136192.168.1.143192.168.1.16192.168.1.23192.168.1.144192.168.1.151192.168.1.24192.168.1.31192.168.1.152192.168.1.159192.168.1.32192.168.1.39192.168.1.160192.168.1.167192.168.1.40192.168.1.47192.168.1.168192.168.1.175192.168.1.48192.168.1.
59、55192.168.1.176192.168.1.183192.168.1.56192.168.1.63192.168.1.184192.168.1.191192.168.1.64192.168.1.71192.168.1.192192.168.1.199192.168.1.72192.168.1.79192.168.1.200192.168.1.207192.168.1.80192.168.1.87192.168.1.208192.168.1.215192.168.1.88192.168.1.95192.168.1.216192.168.1.223192.168.1.96192.168.1.
60、103192.168.1.224192.168.1.231192.168.1.104192.168.1.111192.168.1.232192.168.1.239192.168.1.112192.168.1.119192.168.1.240192.168.1.247192.168.1.120192.168.1.127192.168.1.248192.168.1.255表3-3子网的广播地址3.3.2子网地址的规划1子网地址规划的步骤(1)获得所需的网络号个数从网络设计的需求分析中,每个子网必须分配一个网络号,而每个广域网的连接也需要分配一个网络号。(2)获得所需的主机号个数从网络设计的需求分析
61、中,每个主机分配一个主机号;同时路由器的每一个连接也需要分配一个主机号。(3)网络地址整体规划计算出整个网络的子网掩码为不同的物理段设置不同的子网号子网地址主机地址子网地址主机地址192.168.1.0192.168.1.1192.168.1.6192.168.1.128192.168.1.129192.168.1.134192.168.1.8192.168.1.9192.168.1.14192.168.1.136192.168.1.137192.168.1.142192.168.1.16192.168.1.17192.168.1.22192.168.1.144192.168.1.145192
62、.168.1.150192.168.1.24192.168.1.25192.168.1.30192.168.1.152192.168.1.153192.168.1.158192.168.1.32192.168.1.33192.168.1.38192.168.1.160192.168.1.161192.168.1.166192.168.1.40192.168.1.41192.168.1.46192.168.1.168192.168.1.169192.168.1.174192.168.1.48192.168.1.49192.168.1.54192.168.1.176192.168.1.177192
63、.168.1.182192.168.1.56192.168.1.57192.168.1.62192.168.1.184192.168.1.185192.168.1.190192.168.1.64192.168.1.65192.168.1.70192.168.1.192192.168.1.193192.168.1.198192.168.1.72192.168.1.73192.168.1.78192.168.1.200192.168.1.201192.168.1.206192.168.1.80192.168.1.81192.168.1.86192.168.1.208192.168.1.209192
64、.168.1.214192.168.1.88192.168.1.89192.168.1.94192.168.1.216192.168.1.217192.168.1.222192.168.1.96192.168.1.97192.168.1.102192.168.1.224192.168.1.225192.168.1.230192.168.1.104192.168.1.105192.168.1.110192.168.1.232192.168.1.233192.168.1.238192.168.1.112192.168.1.113192.168.1.118192.168.1.240192.168.1
65、.241192.168.1.246192.168.1.120192.168.1.121192.168.1.126192.168.1.248192.168.1.249192.168.1.254表3-4主机的IP地址2子网地址规划的详细方法(1)计算子网号的长度(2)确定子网的地址子网号主机地址182.33.0.0182.33.0.1182.33.1.254182.33.2.0182.33.2.1182.33.3.254182.33.4.0182.33.4.1182.33.5.254.182.33.250.0182.33.250.1182.33.251.254182.33.252.0182.33.
66、252.1182.33.253.254表3-5子网的主机地址3.3.3VLSM地址的规划1VLSM的概念VLSM(VariableLengthSubnetMask,可变长度子网掩码),是在标准的掩码上面再划分的子网的网络号码,无类路由选择网络可以使用VLSM,而有类路由选择网络中不能使用VLSM。2案例分析(1)需求(2)选择可变长度的子网掩码(3)三个子网IP的地址空间图3-7使用VLSM技术的子网划分结构3.3.4CIDR地址规划设一个公司获得的了202.122.128.0/18的地址块,要将其分成16个大小相等的较的地址块,规划步骤如下:(1)计算出所要占用的主机号中的位数由于,所以对于
67、这个地址块的划分需要占用后14位主机号中的前4位,可以实现将其16等分为大小相等的地址块。(2)地址块的划分16块较小地址块的划分情况如表3-6所示,其中每一个地址块所能分配的地址数为个。地址块1202.122.128.0/2211001010 01111010 10000000 00000000地址块2202.122.132.0/2211001010 01111010 10000100 00000000地址块3202.122.136.0/2211001010 01111010 10001000 00000000地址块4202.122.140.0/2211001010 01111010 100
68、01100 00000000地址块5202.122.144.0/2211001010 01111010 10010000 00000000地址块6202.122.148.0/2211001010 01111010 10010100 00000000地址块7202.122.152.0/2211001010 01111010 10011000 00000000地址块8202.122.156.0/2211001010 01111010 10011100 00000000地址块9202.122.160.0/2211001010 01111010 10100000 00000000地址块10202.12
69、2.164.0/2211001010 01111010 10100100 00000000地址块11202.122.168.0/2211001010 01111010 10101000 00000000地址块12202.122.172.0/2211001010 01111010 10101100 00000000地址块13202.122.176.0/2211001010 01111010 10110000 00000000地址块14202.122.180.0/2211001010 01111010 10110100 00000000地址块15202.122.184.0/2211001010 0
70、1111010 10111000 00000000地址块16202.122.188.0/2211001010 01111010 10111100 00000000表3-6划分CIDR地址块图3-8CIDR地址块划分后的网络结构图3.3.5内部网络专用IP地址规划1需求分析(1)公司分为总部、销售与配送部门、零售店3层结构。(2)总部的主干网上有10个LAN,总共有120台计算机及其联网设备,其在30个城市和地区都有销售与配送部门,每个部门通过2条链路与总部的主干路由器连接。(3)各个销售与配送部门有2个LAN,一个用于销售管理,其连接的计算等设备最多为90台;一个用于配送管理;另外还有一个用来
71、连接2个LAN与公司总部级下属零售店(4)每个零售店1个LAN,最多连接14台计算机。2总体设计(1)采用“总部分部零售店”的3级地址结构。(2)采用A类地址的CIDR地址块,可分配的地址总长度为24位。(3)采用定长子网掩码255.255.255.0。(4)从需求分析已知,该公司网络系统中的子网数多于其主机数,所以32位标准地址结构为:8位网络号、16位子网号与8位主机号。图3-9该公司的网络结构图3地址规划(1)公司总部的LAN地址公司总部有10个LAN,D=0时表示公司的主干网,此时S=110,H=1254。如表3-7所示。表3-7公司总部的LAN地址LAN110.0.1.110.0.1
72、.254LAN610.0.6.110.0.6.254LAN210.0.2.110.0.2.254LAN710.0.7.110.0.7.254LAN310.0.3.110.0.3.254LAN810.0.8.110.0.8.254LAN410.0.4.110.0.4.254LAN910.0.9.110.0.9.254LAN510.0.5.110.0.5.254.LAN1010.0.10.110.0.10.254(2)公司总部到销售与配送部门的连接地址表3-8总部与分部连接的地址信息总部地区110.101.0.110.101.0.210.201.1.110.201.1.2总部地区210.102.0
73、.110.102.0.210.202.1.110.202.1.2总部地区2910.129.0.110.129.0.210.229.1.110.229.1.2总部地区3010.130.0.110.130.0.210.230.1.110.230.1.2(3)销售与配送部门的LAN地址各个地区的销售与配送部门的D不同,其中三个LAN(两个分别用于销售管理和配送管理,还有一个连接公司总部及零售店)。其分部的可分配地址空间如表3-9所示。表3-9分部的地址信息地区1LAN1LAN2LAN310.1.255.110.1.255.1.25410.1.254.110. 1. 254.25410. 1.253.
74、110. 1.253.254地区2LAN1LAN2LAN310.2. 255.110.2.255.25410.2.254.110.2.254.25410.2.253.110.2.253.254地区29LAN1LAN2LAN310.29.255.110.29.255.25410.29.254.110.29. 254.25410.29.253.110.29.1.254地区30LAN1LAN2LAN310.30.255.110.30.255.25410.30.254.110.30.254.25410.30.253.110.30.253.254(4)销售与配送部门到相应零售店的连接地址销售与配送部门分
75、别到相应零售店的连接地址为10.100+D.S.1与10.100+D.S.2。如表3-10所示。表3-10销售与配送部门到相应零售店的连接地址地区零售店分部到零售店连接地址地区1零售店1零售店2零售店239零售店24010.101.1.110.101.1.210.101.2.110.101.2.210.101.239.110.101.239.210.101.240.110.101.240.1.2地区2零售店1零售店2零售店239零售店24010.102.1.110.102.1.210.102.2.110.102.2.210.102.239.110.102.239.210.102.240.110
76、.102.240.2地区29零售店1零售店2零售店239零售店24010.129.1.110.129.1.210.129.2.110.129.2.2.10.129.239.110.129.239.210.129.240.110.129.240.地区30零售店1零售店2零售店239零售店24010.130.1.110.130.1.210.130.2.110.130.2.210.130.239.110.130.239.210.130.240.110.130.240.(5)零售店地址表3-11零售店地址信息地区零售店零售店地址地区1零售店1零售店2零售店239零售店24010.1.1.110.1.1
77、.25410.1.2.110.1.2.25410.1.239.110.1.239.25410.1.240.110.1.240.254地区2零售店1零售店2零售店239零售店24010.2.1.110.2.1.25410.2.2.110.2.2.25410.2.239.110.2.239.25410.2.240.110.2.240.254地区29零售店1零售店2零售店239零售店24010.29.1.110.29.1.25410.29.2.110.29.2.25410.29.239.110.29.239.25410.29.240.110.29.240.254地区30零售店1零售店2零售店239零
78、售店24010.30.1.110.30.1.25410.30.2.110.30.2.25410.30.239.110.30.239.25410.30.240.110.30.240.254(6)案例总结该公司地址结构规划为:总部的LAN:10.0.1.010.0.10.0。总部到分部的连接:10.100+10.D.0与、10.200+10.D.0,其中D=130。分部的LAN:10.D.255.0、10.D.254.0、10.D.253.0。地址空间为10.D.255.110.D.255.254、10.D.254.110.D.254.254、10.D.253.110.D.253.254。其中D=
79、130分部到零售店的连接:10.100+D.S.1与10.100+D.S.2,D=130,S=1240。零售店的LAN:10.D.S.0,其可分配的地址空间为10.D.S.110.D.S.254,其中D=130,S=1240。3.3.6IPv6地址规划1什么是IPv6地址IPv6采用128位的地址长度,可以有个地址几乎可以不受限制地提供地址。IPv6的地址分为:单播地址、组播地址、多播地址与特殊地址等基本的四类地址,同时它还加入了对自动配置的支持。2IPv6地址表示方法(1)IPv6的128位地址用16位边界划分,每个16位段转换成4位十六进制数字,用冒号“:”分隔。结果表示被称为冒号十六进制
80、。(2)压缩零某些地址类型中包含一系列的零。要进一步简化IPv6地址的表示,冒号十六进制格式中被设置为0的连续16位块可以被压缩为“:”例如,链接本地地址FE80:0:0:0:2AA:FF:FE9A:4CA2可以压缩为FE80:2AA:FF:FE9A:4CA2。多播地址FF02:0:0:0:0:0:0:2可以压缩为FF02:2。零压缩只能用于压缩冒号十六进制符号中一个连续的16位段。不能使用零压缩来包括某个16位信息块的一部分。(3)IPv6前缀是地址的一部分,指出有固定值的地址位,或者属于网络标识符的地址位。3IPv6的优势(1)丰富的地址资源(2)移动IP(3)服务质量(4)较高的安全性4
81、IPv6的发展前景现在并没有找到从IPv4到IPv6的平稳过渡策略。IPv6在中国的发展也是不容易的,运营商比较看重眼前的利益,一般会采用技术成熟的产品来组网,所以IPv6的商业发展前景并不明朗。但是从长远的利益和IPv6的优势来看,以发展的眼光来看IPv6是势在必行的。第4章网络路由设计本章要点:本章要点:4.1路由选择算法4.2路由选择协议4.1路由选择算法4.1.1路由选择的概念1路由选择路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。2分组转发分组转发即是指在互联网络中,路由器转发IP分组的物理传输过程与数据报转发机制。分组转发可以分为
82、直接转发与间接转发两种。图4-1分组转发的过程4.2.1路由选择算法及目标1.路由选择算法(1)静态路由选择算法(2)动态路由选择算法2路由选择算法的目标(1)最优化(2)简洁性(3)坚固性(4)快速收敛(5)灵活性4.1.3路由选择的参数(1)带宽带宽即指一条链路的传输速率,一般表示为Mb/s。(2)跳数跳数即为一个分组从其源主机到目的主机所要经过的路由器的个数,显而易见,经过的路由器的个数越少,即跳数越小,这个路径越好。(3)时延时延即为一个分组从其源主机到目的主机所要经历的时间。当然,时间越短,即时延越小,也说明这个路径越好。(4)负载负载指的是单位时间内通过路由器或是线路的通信量。(5
83、)可靠性可靠性的衡量标准即为分组传输过程中的误码率,误码率是数据传输精确性的指标。误码率=传输中的误码/所传输的总码数*100%,当然误码率越小,说明其可靠性越高。(6)花费花费即为分组传输过程中的开销。4.1.4路由表路由表是随着路由选择算法的产生而产生的,路由器要传输IP分组时,必须查询路由表来决定分组发送的下一个地址。1静态路由表由系统管理员事先设置好固定的路由表称之为静态路由表,管理员将每一个目的地址的路径都输入到这个路由表中,因此,它一般是在系统安装时就根据网络的配置情况预先设定的,它不会随着网络结构的改变而改变,其更新工作必须由管理员手工完成。2动态路由表动态路由表是路由器根据网络
84、系统的运行情况而自动调整的路由表。路由器根据路由选择协议提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。重点提示:重点提示:路由表是当路由器传输IP分组时用于查询路由以决定分组所要发送的下一个路由,它分为动态路由表和静态路由表。4.1.5IP路由选择与路由汇聚IP分组的路由在使用CIDR协议后,就通过子网的划分的相反过程来汇聚。路由表的项目由“网络前缀”和“下一跳地址”两项内容组成,因此,选择路由应当从匹配结果中选择具有最长网络前缀的路由。图4-2即为CIDR的路由汇聚图。图中,核心路由器通过两条专线S1与S2与两台汇聚路由器连接。两台汇聚路由器又分别通过Ether
85、net各连接了4台接入路由器,得到了8个子网。图4-2CIDR的路由汇聚图路由器接口172.18.54.240/30S1172.18.54.244/30S2172.18.54.0/28S1172.18.54.16/28S2172.18.0.0/24S1172.18.1.0/24S1172.18.2.0/24S1172.18.3.0/24S1172.18.44.0/24S2172.18.45.0/24S2172.18.46.0/24S2172.18.47.0/24S2路由器接口172.18.54.240/30S1172.18.54.244/30S2172.18.54.0/28S1172.18.5
86、4.16/28S2172.18.0.0/22S1172.18.1.44/22S2表4-1核心路由器的路由表表4-2汇聚后的核心路由的路由表4.1.6路由选择的评价1算法简单、正确、最佳路由算法尽量简单以减少路由资源的耗费和分组转的时延;分组沿着路由表所指引的路径能够到达正确的目的地址;分组转发的算法开销尽可能的低,它应在衡量各方面因素后,得到一个相对较为合适的传输路径。2稳定、公平在网络的拓扑和通信量相对稳定的情况下,路由算法收敛于一个较好的解,并且算法应该对所有的用户都是公平的。3适应网络拓扑、通信量的变化当网络拓扑、通信量的变化时,算法能自动进行更新,改变路由,以均衡各链路的负载。4.2路
87、由选择协议4.2.1路由选择协议的概念1自治系统Internet采用分层的路由选择协议,并将整个Internet划分为许多较小的自治。自治系统就是处于一个管理机构控制之下的路由器和网络群组。自治系统的想法是把Internet的路由分成两层。2路由选择协议路由选择协议是一种网络层协议,它通过提供一种共享路由选择信息的机制,它允许路由器通过与其他路由器的来更新和维护自己的路由表,并确定最佳的路由选择路径。4.2.2路由选择协议的分类1.内部网关协议是用于自治系统内部的路由选择协议,目前主要的内部网关协议有:(1)地址解析协议它是一个TCPIP协议,它为内部路由器传递数据报提供方法。(2)路由选择信
88、息协议它是一种分布式的、基于距离向量路由选择协议。(3)优先开放最短路径它是一种链路状态路由选择协议,它优于路由选择信息协议。现在是Internet网中最常用的内部网关协议。(4)端系统到中间系统它帮助端系统寻找定位路由器,并提供一种方法使路由器告知端系统它们的存在。(5)中间系统到中间系统它为一个域内两个路由器之间传送信息分组提供动态路由。(6)内部网关路由选择协议是一种距离向量路由选择协议,由Cisco公司开发。2.外部网关协议在自治系统的边界是路由器其它路由器之间交换信息时被使用。它包括以下协议:(1)边界网关协议它提供有关相邻点可达性信息。同时也提供了基于策略的算法,使网络管理者对路由
89、选择有较多的控制权。(2)域间路由选择协议它包含路由选择的策略,但它不大可能在Internet上代替边界网关协议。重点提示:重点提示:Internet将路由选择协议分为内部网关协议与外部网关协议两类。内部网关协议一般用于一个自治系统的内部;外部网关协议一般用于两个不同的自治系统之间,将路由选择信息从一个自治系统传到另一个自治系统。图4-3自治系统、内部网关协议与外部网关协议的关系4.2.3内部网关协议1路由信息协议RIP当路由器收到包含某表项的更新的路由更新信息时,就更新其路由表:该路径的跳数值加上1,发送者记为下一跳。同时记录该路由器可以到达的目的网络或目的主机的矢量标识。路由信息协议路由器
90、只维护其到目的路由器的最佳路径即具有最小跳数值的路径。更新了自己的路由表后,路由器立刻发送路由更新把变化通知给其它路由器,这种更新是与周期性发送的更新信息无关的。并且,路由信息协议通过对从源地址到目的地址的最大跳数的限制来防止路由环,最大值为15。如果路由器收到新更新信息,且把跳数值加1后成为16,就认为该目的网络不可到达。路由信息协议的工作主程主要分为路由表的建立和路由表信息的更新两步。(1)路由表的建立首先获取一个初始路由表,有三种方式方式一路由器系统启动时,从外存读入一个完整的路由表,长驻内存使用;系统关闭时再将当前路由表写回外存,供下次使用。方式二系统启动时,只提供一个空表,通过执行显
91、式命令来填充这个路由表。方式三系统启动时,从与本路由器直接相连的各网络地址中,推导出一组初始路由。(2)路由表的更新设路由器1与路由器2是相邻的两个路由器,它们在同一个自治系统内。表4-3路由器1的更新前的路由表目的网络距离路由10.0.0.00直接30.0.0.05路由器240.0.0.05路由器360.0.0.09路由器3113.0.0.03路由器6128.0.0.07路由器6136.0.0.013路由器7140.0.0.05路由器8表4-4路由器2发送的报文目的网络距离10.0.0.0220.0.0.0330.0.0.0450.0.0.08128.0.0.05136.0.0.04表4-5
92、路由器1更新过以后的路由表目的网络距离路由10.0.0.00直接20.0.0.04路由器230.0.0.05路由器240.0.0.05路由器350.0.0.09路由器260.0.0.09路由器3113.0.0.03路由器6128.0.0.06路由器2136.0.0.05路由器2140.0.0.05路由器82开放最短路径优先协议OSPF(1)概念(2)最短路径优先算法(3)自治系统内的区域划分(4)开放最短路径优先协议的执行路由器的初始化网络的运行(5)开放最短路径优先协议的特点重点提示:目前,内部网关协议主要有:路由信息协议和开放最短路径优先协议。前者是一种分布式、基于距离向量的路由选择协议;
93、后者是使用分布式链路状态协议。图4-4一个自治系统划分的情况4.2.4外部网关协议1外部网络协议的设计外部网关协议是自治系统间的路由协议,它交换的网络可达性信息提供了足够的信息来检测路由回路并根据性能优先和策略约束对路由进行决策。1989年,主要的外部网关协议:边界网关协议(BGP)发布后,即越来越被广泛的应用,1995年发布了新版本BGP-4。2外部网关协议的路由选择协议BGP有4种分组类型:(1)打开分组打开分组用来与相邻的BGP发言人建立连接。(2)更新分组用来通告可达路由和撤销无效路由。(3)存活分组确认打开报文,以周期性地确保连接的有效性。(4)通告分组当检测到一个差错时,发送通告分
94、组。重点提示:重点提示:边界网关协议BGP是外部网关协议的主要内容,BGP-4是它的新版本,BGP路由选择协议包括:打开分组、更新分组、存活分组和通告分组等四个分组,并通过这些分组选择出较好的路由。图4-5BGP发言人与自治系统的关系示意图图4-6某个BGP发言人所构造的自治系统连接的树形结构第5章局域网技术本章要点:本章要点:5.1局域网的基本概念5.2Ethernet组网技术5.3局域网设备选型5.4综合布线技术5.1局域网的基本概念5.1.1交换式局域网交换式局域网的核心设备使局域网交换机,它的特点是低交换延迟;能支持不同的传输速率和工作模式以及支持虚拟局域服务。局域网交换机可以在它的多
95、个端口之间建立多个并发连接。它主要采用两种转发方式:快捷交换方式与存储转发交换方式。典型的交换式局域网使交换式以太网,它的核心部件是以太网交换机。以太网交换机可以有多个端口,每个端口可以单独与一个结点连接,也可以与一个共享介质式的以太网集线器连接。5.1.2虚拟局域网1999年IEEE公布了关于VLAN的802.1Q标准。一个逻辑工作组的结点可以分布在不同的物理网段上,但它们之间的通信就像在同一个物理网段上一样。可以根据功能或应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。局域网的组网方法一般以以下四种:(1)虚拟网络建立在局域网交换机之上(2)用MAC地址定义虚拟网(3
96、)用网络层地址定义虚拟网(4)IP广播组虚拟局域网图5-1典型虚拟网的物理结构与逻辑结构5.1.3OSI参考模型国际标准组织制定了OSI模型。这个模型把网络通信的工作分为7层,OSI参考模型的全称是开放系统互连参考模型,它是由国际标准化组织(InternationalStandardOrganization,ISO)提出的一个网络系统互连模型。各层的功能分别如下:(1)物理层该层为上层协议提供了一个传输数据的物理媒体。在这一层,数据的单位称为比特。(2)数据链路层数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。这一层的数据的
97、单位称为帧(frame)。(3)网络层网络层负责对子网间的数据包进行路由选择。此外,还实现拥塞控制、网际互连等功能。这一层的数据的单位称为数据包。(4)传输层传输层是第一个端到端,即主机到主机的层次,它将上层数据分段并提供端到端的、可靠的或不可靠的传输。同时,该层还处理端到端的差错控制和流量控制问题。这一层的数据的单位称为数据段。(5)会话层会话层管理主机之间的会话进程,即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。(6)表示层表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式
98、转换等。(7)应用层应用层为操作系统或网络应用程序提供访问网络服务的接口。图5-2OSI参考模型的分层结构5.2Ethernet组网技术5.2.1Ethernet的命名因此通过Ethernet的各物理层标准对其进行命名,它的名称由三部分组成。表5-1Ethernet的物理层标准命名格式IEEE802.3 x (Mb/s)Type-yName (局域网名称)x为该Ethernet数据传输的速率,单位是Mb/s;Type为传输的方式,基带或频带;y为网络的最大长度,单位是100m;Name是局域网的名称。5.2.210BASE-T标准Ethernet组网技术10BASE-T的组网由网卡、集线器、交
99、换机、双绞线等设备组成。结点都通过双绞线连接到一个集线器上,当其中一个结点发送数据的时候,任何一个结点都可以收到消息,由于集线器工作在物理层,所以每次只能有一个结点能够发送数据,而其他的结点都处于接收数据的状态。按照使用集线器的方式,双绞线的组网方法可以有:1.单一集线器结构2.多集线器级联结构3.堆叠式集线器结构。图5-3用集线器连接多个结点的Ethernet图5-4单一集线器组建的10BASE-T网络图5-6为堆叠式集线器的Ethrenet图5-6多集线器级联的Ethernet与10BASE-5和10BASE-2相比,它有如下特点:(1)安装简单、扩展方便;网络的建立灵活、方便,可以根据网
100、络的大小,选择不同规格的交换机连接在一起,形成所需要的网络拓扑结构。(2)网络的可扩展性强。因为扩充与减少工作站都不会影响或中断整个网络的工作。(3)集线器或交换机具有很好的故障隔离作用。当某个工作站与中央节点之间的连接出现故障时,也不会影响其他节点的正常运行;甚至当网络中某一个集线器或交换机出现故障时,也只会影响到与该集线器或交换机直接相连的节点。5.2.3快速Ethernet组网技术1IEEE802.3u协议1995年颁布的IEEE802.3u,可支持100M的数据传输速率,并且与100BASE-T一样可支持共享式与交换式两种使用环境,在交换式Ethernet环境中可以实现全双工通信。IE
101、EE802.3u在MAC子层仍采用CSMA/CD作为介质访问控制协议,并保留了IEEE802.3的帧格式。但是,为了实现100M的传输速率,在物理层作了一些重要的改进。图5-7IEEE802.3u的体系结构2MII接口为了屏蔽下层不同的物理细节,100BASE-T为MAC和高层协议提供了一个100M传输速率的公共透明接口,其功能与Ethernet的AUI接口相同。MII接口向上通过MAC子层的接口提供载波侦听与冲突检测的信号,向下支持10Mb/s与100Mb/s的接口,同时集线器可与其交换控制信息。3100BASE-TX、100BASE-T4与100BASE-FX100BASE-T一般包括:1
102、00BASE-TX、100BASE-T4与100BASE-FX3种传输介质标准。表5-2三种物理层标准的对比物理层协议线缆线缆对数最大分段长度编码优点100BASE-T43类4类 5类UTP4对3对:数据传输1对:检测冲突100m8B/6T3类UTP100BASE-TX5类UTP/RJ45接头1类UTP/DB-9接头2对2对100m4B/5B全双工100BASE-FX62.5UM单模/12UM多模光纤ST或SC光纤连接器2对415m4B/5B-NRZI全双工长距离4全双工与半双工全双工是指接收与发送采用两个相互独立的通道,可同时进行,互不干扰。而半双工则是接收与发送共用一个通道,同一时刻只能发
103、送或只能接收,所以半双工可能会产生冲突。5100Mb/s与10Mb/s速率的自动协商在100Base-T问世以后,在Ethernet的连接器上出现的信号可能是多种不同的Ethernet信号包括10Base-T半双工、10base-T全双工、100base-TX半双工、100Base-TX全双工或100Base-FX全双工等工作模式中的任一种。为了简化管理,推出了10Mb/s与100Mb/s的自动协商模式。(1)100BASE-TX或100BASE-FX全双工模式(2)100BASE-T4(3)100BASE-TX半双工模式(4)100BASE-T全双工模式(5)100BASE-T半双工模式10
104、0Mb/s与10Mb/s速率的自动协议一般来说,具有以下功能:(1)确定双绞线的远端设备使用的是何种工作模式(2)向其他结点发布这个远端设备的工作模式(3)协调并确定双方的工作模式(4)选择两方最高性能的工作模式重点提示:重点提示:快速Ethernet在保持传统的Ethernet帧结构与介质访问控制方法不变的基础上,将数据传速率提高到了100Mb/s,IEEE802委员会于1995正式批准快速Ethernetr的标准协议是IEEE802.3u。5.3局域网设备选型5.3.1中继器中继器工作于物理层,它对高层协议是透明的。其一,它只能对传输介质上的信号进行信号增强与转发;其二,他的作用只是增加传
105、输距离,它不改变帧的内容;其三,它所连接的几个网络段仍属于这个局域网,只要该局域网中任一结点发送了数据,其他的结点都可以接收到这个数据,它们共享了一个冲突域。因此,中继器不属于网络互联设备。图5-8Ethernet中用中继器连接两个结点理论上说,中继器是可以把网络延长到任意的传输距离,但一般网络都有限制一对工作站之间所加入的中继器的最大数量。Ethernet中限制最多只能使用4个中继器,即最多由5个网段组成。图5-9中继器的工作原理重点提示:重点提示:中继器工作在物理层,它的作用是将衰减后的信号经过接收、放大、整形后再向与它相连的另一个缆段发送出去。中继器使用的目的是增传输介质的长度,它所连接
106、的结点仍然共享一个冲突域,所以中继器不属于网络互联设备。5.3.2集线器集线器的英文称为“Hub”,即是“中心”的意思,集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时,把所有结点集中在以它为中心的节点上,建立起一个物理上的星型网络结构。它工作于物理层并采用CSMA/CD介质访问控制方式。集线器在工作时具有以下两个特点。(1)集线器只是一个多端口的信号放大设备,它在网络中只起到信号放大和发送作用。(2)集线器只与它的上连设备进行通信,而同层的各端口之间不会直接进行通信,而是通过上连设备再将信息广播到所有端口上。5.3.3网桥1网桥的功能及工作原理网络类似于中继器,也
107、是用于连接两个网络段,但它工作在数据链路层。网络在工作时要先分析帧的地址字段,再决定是否把收到的帧转发到另一个网络段上去。即网桥接收到数据帧后,先检查帧的源地址与目的地址,如果两个地址在同一个网络段上,就不转发;如果两个地址在不同的网络段上,就把帧转发到目的地址所在的网络段上。2网桥使用的原因(1)许多大学的院系或公司的部门都有各自的局域网,主要用于连接他们自己的个人计算机、工作站以及服务器。由于各院系或部门的工作性质不同,因此选用了不同的局域网,而它们之间又需要进行数据的相互交流,因而需要网桥。(2)一个单位的建筑楼在地理位置上较分散,并且相距较远,在各个地点建立一个局域网,再用网桥连接起来
108、,可以节省开销。(3)有时需要将一个逻辑上单一的局域网分成多个局域网。(4)在有些情况下,相距较远的两台主机之间的物理距离太远,来回时延过长,网络仍将不能正常工作。唯一的办法是将局域网分段,在各段之间放置网桥。(5)在一个单独的局域网中,一个有缺陷的结点不断地输出无用的信息,这将破坏局域网的正常运行。网桥可以设置在局域网中的关键部位,用于防止因单个结点失常而破坏整个系统。保证网络运行的可靠性。(6)大多数局域网接口都有一种混杂工作方式,在这种方式下,计算机接收所有的帧。如果网中多处设置网桥并谨慎地拦截无须转发的重要信息。3网桥的协议标准IEEE802.1与IEEE802.5分别制定了透明网桥与
109、源路由网桥的协议标准。透明网桥的MAC地址表在网桥刚刚连接到局域网的时候是空的,但是透明网桥有一种有效的地址学习机制,可以使MAC地址表内容从无到有,逐渐地建立起来。网桥互联时难免会出现环状结构,如图5-10所示,这样可能使网桥反复转发同一个帧,给网络增加了不必要的负担,为了解决这个问题,透明网桥使用了生成树算法,而由该算法所制定的协议即称为生成树协议。生成树协议的核心思想是让网桥能够自动发现一个没有环路的拓扑结构的子网,也就是一个生成树。图5-10网桥互联的环状结构这种算法是从根网桥的选择开始的。根网桥是整个拓扑结构的核心,所有的数据实际上都要通过根网桥。根网桥的选择即是从网络中选择一个作为
110、属性拓扑的树根;再让每一个网桥决定通向该根网桥的最短路径,这样,各网桥就可以知道如何到达这个“中心”;接下来,每个局域网选择其指定的网桥,或者与根网桥最接近的网桥。指定的网桥将把数据从局域网发送到根网桥;最后,是每个网段要选择一个根端口,所谓根端口也即“用来向根网桥发送数据的端口”,它一般是该网段距离根网桥最近的端口,网段上的每一个端口,甚至连接到终端系统的端口,都将参加这个根端口选择,除非你将一个端口设置为“忽略”。一个网段只能有一个根端口,其它的端口都处于阻塞状态,称为阻塞端口。生成树协议有以下几个特点:(1)生成树协议提供一种控制环路的方法采用这种控制环路的方法,在连接发生问题的时候,E
111、thernet能够绕过出现故障的连接。(2)生成树中的根网桥是一个逻辑的中心生成树协议监视整个网络的通信。最好不要依赖设备的自动选择去挑选哪一个网桥会成为根网桥。(3)生成树协议重新计算的开销很大恰当地设置主机连接端口并推荐使用快速生成树协议。4网桥的分类网桥多种有分类方式:(1)从网桥的帧转发策略来分可以将网桥分为透明网桥和源路由网桥。(2)从网桥的端口数来分可以将网桥分为双端口网桥与多端口网络。(3)从网桥的连接线路来分可以将网桥分为普通局域网网桥、无线网桥与远程网桥。5.3.4交换机交换机可以在它的多个端口之间建立并发连接,交换式Ethernet是典型的交换式局域网,它的核心部件就是Et
112、hernet交换机。5.4综合布线技术5.4.1综合布线系统的概念综合布线系统(PremisesDistributedSystem,PDS),它是一种集成化通用传输系统,在建筑物和园区范围内,利用双绞线或光缆来传输信息,同时可以连接电话、计算机、会议电视和监视电视等设备的结构化信息传输系统。综合布线系统使用标准的双绞线和光纤,支持高速率的数据传输。它一般使用物理分层星型拓扑结构。综合布线系统是针对计算机与通信的配线系统而设计的,它可以满足各种不同的计算机与通信的要求,其中包括:(1)模拟、数字语音系统。(2)高、低速数据系统。(3)需要传输的如传真机、图形终端、绘图仪图像信息。(4)电视会议与
113、安全监视系统等视频信号。(5)28个VHF宽带视频信号。(6)建筑物的安全报警和空调控制系统的传感器信号。5.4.2综合布线技术1系统的网络拓扑2子系统组成综合布线系统是由6个独立的子系统所组成,这6个子系统为:(1)工作区子系统(2)配线子系统(3)干线子系统(4)设备间子系统(5)管理子系统(6)建筑群子系统图5-11一个星型拓扑结构的综合布线系统3系统的主要部件(1)传输介质综合布线系统中常用的传输介质为双绞线和光缆(2)连接部件建筑群配线架(CD)。建筑群干线电缆、建筑群干线光缆。建筑物配线架(BD)。建筑物干线电缆、建筑物干线光缆。楼层配线架(FD)。水平电缆、水平光缆。转接点(TP
114、)。信息插座(IO)。通信引出端(TO)。图5-12综合布线系统的子系统组成图5-13综合布线主要连接部件4设备配置综合布线系统的设备配置主要是指各种配线架、布线子系统、传输介质以及通信引出端等的配置。图5-14中小型单栋建筑的综合布线系统网络结构5设计等级综合布线可以分为以下3个等级:(1)基本型综合布线系统基本型综合布线系统是一个经济有效的布线方案。其特点为:每个工作区有1个信息插座;每个工作区有1条水平布线4对非屏蔽双绞线。完全采用夹接式交接硬件。每个工作区的干线电缆至少有1对双绞线。(2)增强型综合布线系统增强型综合布线系统不仅支持语音和数据的应用,还支持图像,影像,影视,视频会议等,
115、它的特点为:每个工作区有2个以上信息插座。每个工作区的配线电缆为2条4对非屏蔽双绞线。采用夹接式或插接式交接硬件。每个工作区的干线电缆至少有2对双绞线。(3)综合型布线系统综合型布线系统是将双绞线和光缆纳入建筑物布线的系统,其特点为:在基本型和增强型综合布线系统的基础上增设光缆系统。在每个基本型工作区的干线中至少配有2对双绞线。在每个增强型工作区的干线电缆中至少有3对双绞线。6系统标准现在,综合布线在参考系统布线的标准时,一般从以下几个标准体系入手:(1)国际标准ISO/IEC11801;(2)北美标准ANSI/TIA/EIA568-B;(3)欧洲标准CELENECEN50173;(4)中国标
116、准GB/T50311-2000和GB/T50312-2000。我们在对布线的标准进行选择时,主要考虑下面两方面的因素:(1)用户指定,比如一些在华的欧洲公司,比较倾向于采用欧洲标准。(2)根据综合布线的性质和功能由布线系统集成商推荐选定。7特点(1)兼容性(2)开放性(3)灵活性(4)可靠性(5)先进性(6)经济性重点提示:重点提示:综合布线系统是一种集成化通用传输系统,在建筑物和园区范围内,利用双绞线或光缆来传输信息,同时可以连接电话、计算机、会议电视和监视电视等设备的结构化信息传输系统。它的特点是兼容性、开放性、灵活性、可靠性、先进性与经济性。5.4.3综合布线系统的子系统设计1工作区子系
117、统设计工作区子系统由终端设备连接到信息插座之间的设备组成。包括:信息插座、插座盒、连接跳线和适配器组成。图5-15工作区子系统工作区子系统的设计主要考虑信息插座和适配器两方面:(1)信息插座(2)适配器工作区适配器的选用应符合下列要求:在设备连接器处采用不同信息插座的连接器时,可以用专用电缆或适配器。当在单一信息插座上进行两项服务时,应用“Y”型适配器。在配线子系统中选用的电缆类型不同于设备所需的电缆类型时以及在连接使用不同信号的数模转换时,应采用适配器。根据工作区内不同的电信终端设备可配备相应的终端匹配器2配线子系统设计配线子系统是将干线子系统线路延伸到用户的工作区。该系统是从各个子配线间出
118、发连向各个工作区的信息插座。3干线子系统设计干线子系统是综合布线系统的主干,它包括供干线电缆走线用的垂直或水平通道;连接设备间与网络接口、连接设备间与建筑群子系统、连接干线接线间与各卫星接线间以连接主设备间和计算机中心间的电缆。干线子系统设计要遵守以下4点原则:(1)确定所需的电缆对数与和主干电缆时要考虑语音和数据信号的共享原则。(2)最短、最安全、最经济等方面来进行路由选择。(3)干线电缆可采用点对点端接,也可采用分去递减端接或电缆直接连接的方法。(4)若设备间与计算机中心机房处于不同地点,则应把语音电缆接入设备间,数据电缆接入计算机中心机房,选择干线电缆的不同部分来分别满足语音和数据的需要
119、,也可在必要时采用光缆。4设备间子系统设计设备间子系统是在每一幢大楼的适当地点设置电信设备和计算机网络设备,以及建筑物配线设备,进行网络管理的场所。设备间内的所有总配线设备应用色标区别各类用途的配线区。图5-16干线子系统5管理子系统设计管理子系统对综合布线系统中的布线电缆进行端接和配线管理。如图5-17所示它常设置在大楼的中央设备机房和各个楼层的分配线间。管理子系统还应该注意以下6点:(1)配线间的进出线路以及跳线应采用色表或者标签等进行明确标识。(2)交换区应有良好的标记系统。(3)配线架采用光配线盒和铜配线架组成。(4)供电、接地、通风良好,机械承重合适.(5)有Hub、交换机的地方要配
120、有专用稳压电源。(6)采取防尘、防静电、防火和防雷击措施。图5-17管理子系统6建筑群子系统设计建筑群子系统是综合布线系统中由连接楼群的通信传输介质与各种支持设备组成的系统,它包括有传输介质、各种有线设备和微波、无线电通信等无线通信方式。建筑群子系统布线有以下3种方式:(1)地下管道敷设方式(2)直埋沟内敷设方式(3)架空方式建筑群子系统设计的步骤如下:(1)了解敷设现场并确定电缆系统的一般参数。(2)确定建筑物的电缆入口、明显障碍物的位置。(3)确定主电缆路由和另选电缆路由。(4)选择所需电缆类型(5)确定每种选择方案所需成本(6)选择最经济、最实用的设计方案。重点提示:重点提示:综合布线系
121、统是由6个独立的子系统所组成:包括工作区子系统、配线子系统、干线子系统、设备间子系统、管理子系统与建筑群子系统。第6章交换机的原理与配置本章要点:本章要点:6.1交换机的基本概念6.2交换表6.3交换机的交换结构6.4交换机的交换模式6.5交换机的配置6.1交换机的基本概念6.1.1交换机功能交换机的主要功能包括物理编址、网络拓扑、错误校验、帧序列以及流控。它可以“学习”MAC地址,并把其存放在内部MAC地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。6.1.2交换机的工作原理交换机拥有一条背部总线和内部交换矩阵。这个背部总线的带宽很高,交换
122、机的所有的端口都挂接在这条背部总线上。当收到数据包后,处理端口会查找内存中的地址对照表以确定目的MAC地址的网卡连接接在哪个端口上,随后通过内部交换矩阵,迅速地将该数据包传送到目的端口。若目的MAC地址不存在,则这才广播到所有的端口,在接收到端口的回应后,交换机会“学习”新的地址,并把它添加入其内部的MAC地址表中。使用交换机通过MAC地址表,只允许必要的网络数据通过它。这样有效地将网络进行“分段”。通过交换机的这种过滤和转发方法,有效地隔离广播风暴,减少了错误包的出现。6.1.3交换机的分类1根据OSI参考模型的层次分类可分为第2层交换机、3层交换机和多层交换机2根据交换机的构架分类可分为单
123、台交换机、堆叠交换机和模块化交换机3根据交换机支持的局域网标准分类分为Ethernet交换机、FDDI交换机、ATM交换机和令牌环交换机图6-1单台交换机图6-2堆叠交换机图6-3模块化交换机6.1.4局域网交换机1功能(1)建立与维护交换表(2)建立虚连接(3)数据转发2工作原理例如结点A向结点B发送信息,局域网交换机收到A结点发出的数据帧后,根据帧中的目的MAC地址,查询交换表得到目的端口号,即B结点地址的端口号。如果A结点与B结点处于交换机的同一个端口上,交换机得到源端口号与目的端号相同,则出于某种安全控制,将该数据帧丢弃。如果A、B结点处于不同的端口且B地址在表中,则在源端口和目的端口
124、之间建立起虚连接,形成专用的传输通道将该数据帧转发到目的端口;若B地址不在表中,则交换机向A结点所处端口以外的其它结点发送消息,得到B端口的信息,则将所得到的信息添加到交换表中再连接虚连接进行数据帧交换操作。图6-4局域网交换机6.1.5VLAN技术1VLAN的结构网络上的用户终端被划分为多个逻辑工作组,每一个逻辑工作组即为一个VLAN。VLAN最大的特点是在组成逻辑网时无须考虑用户或设备在网络中的物理位置。 2VLAN的技术特点(1)VLAN工作在OSI参考模型的第2层数据链路层。(2)每一个VLAN都是一个独立的逻辑网段和广播域,其广播的信息只发送给该VLAN中的结点。(3)每一个VLAN
125、都是一个独立的网络,各自有惟一不同的子网号,VLAN只能通过第3层路由才能进行通信而不能直接完成通信。2VLAN的实现方式(1)静态VLAN在静态VLAN中,由网络管理员根据交换机端口进行静态的VALN分配,每个端口属于一个VLAN。(2)动态VLAN动态VLAN是指以交换机上联网用户的MAC地址、逻辑地址或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。图6-5VLAN的结构图6-6静态VLAN结构6.1.6生成树协议ST生成树协议STP是一个二层的链路管理协议,它的功能是保证在网络中没有回路的前提下,为第二层提供冗余路径。STP中定义了根桥、根端口、指定端、路径开销等概念,目的
126、是通过生成树计算达到裁剪冗余环路的目的,同时实现链路备份和路径最优化。用于构造这棵树的算法称为生成树算法SPA。BPDU(BridgeProtocolDataUnit,网桥协议数据单元)在交换机之间传递的,它为STP的工作提供信息。BPDU每隔2s或是在网络发生故障、网络拓扑变化时,便向所有的交换机端口发送一次,以便交换机能交换当前最新的拓扑信息,并迅速识别和检测其中的环路。BPDU数据包有两种类型,一种是包含配置信息的配置BPDU,另一种是包含拓扑变化信息的拓扑变化通知BPDU。图6-8生成树项目字节协议ID2版本号1报文类型1标记域1根网桥ID8根路径成本4发送网桥ID8端口ID2报文老化
127、时间2最大老化时间2访问时间2转发延迟2重点提示:重点提示:生成树协议STP的主要功能是在保证网络中没有回路的前提下,允许在第二层链路中提供冗余路径,保证网络能够稳定、可靠地运行。STP的主要算法是生成树算法,该算法的核心是根网桥的选择。BPDU为STP的根网络确定乃至整个树状结构的生成提供必要的信息。表6-1BPDU数据内容6.2交换表6.2.1交换表的内容交换表的内容包括:目的MAC地址、该地址所对应的交换机端口号以及所在的虚拟子网。1一个大型交换机的交换表VLANDestMAC/RouteDesCoSDestinationPortsorVCs/ProtocolType第一列是VLAN的I
128、D号,第二列是目的MAC地址,第三列是该地址相对应的交换机的端口号。2一个小型交换机的交换表DestinationAddressAddressTypeVLANDestinationPort该交换表的第一列为目的MAC地址,第二列为地址类型,第三列为VLAN的ID号,第四号为该目的MAC地址所对应的交换机的端口号。6.2.2交换表的建立、保存与维护交换机在初始开机的时候,交换表是空的,使用时,慢慢“学习”建立起它的交换表。由于高速缓存的空间是有限的。交换机每次查询交换表时所使用到的表项,都盖上一个时间戳;同时交换机每存入一个新的表项时,也给它盖上一个时间戳。经过长时间没有被使用到的表项,即被删除
129、,以便交换表有足够的空间来加入新的表项。图6-9交换机工作示例重点提示:重点提示:交换机通过“学习”的方式建立起交换表,交换表存储在交换机的高速缓存中,由于高速缓存的容量有限,交换表要定时进行刷新,删除长时间没有用的表项,加入新的表项。1大中型交换机在交换机的超级用户模式下,输入命令“showcamdynamic”2小型交换机在交换机的超级用户模式下,输入命令“showmac-address-table”6.2.3交换表命令的显示6.3交换机的交换结构6.3.1软件执行交换结构交换机接收到数据帧后,先将其由串行代码转化为并行代码,暂时存储在交换机的快速缓存RAM中,交换机的CPU开始根据数据帧
130、中的目的MAC地址进行查询交换表。确定了目的端口后,交换机在源端口与目的端口之间建立起虚连接,然后将以并行代码形式存储在RAM中的数据帧转化为串行代码,发送到目的端口。图6-10软件执行结构6.3.2矩阵交换结构在矩阵交换结构中,交换机确定了目的端口后,根据源端口与目的端口打开交换矩阵中相应的开关,在两个端口之间建立连接,通过建立的这个传输通道来完成数据帧的传输。它的优点是交换速率快、时延小、易于实现;缺点是扩展与可管理性较差。图6-11矩阵交换结构6.3.3总线交换结构总线交换结构的交换机拥有一条很高带宽的背部总线交换机的所有的端口都挂接在这条背部总线上,总线按时隙分为多条逻辑通道,各个端口
131、都可以往该总线上发送数据帧,这些数据帧都按时隙在总线上传输,并从各的目的端口中输出数据帧。图6-12总线交换结构6.3.4共享存储交换结构共享存储交换结构将共享存储RAM代替了总线交换结构中的总线,数据帧通过共享存储器实现从源端口直接传送到目的端口,它是总线交换结构的改进。图6-13共享存储交换结构6.4交换机的交换模式6.4.1快速转发交换模式快速转发交换模式是指交换机在接收数据帧时,一旦检测到6个字节目的地址就立即进行转发操作。由于数据帧在进行转发处理仅是帧中的MAC地址部被拷贝到缓冲区,这时它并不是一个完整的帧,因此这个数据帧将无法经过校验、纠错,即被直接转发,即使是有错误的数据帧,仍然
132、被转发到网络上。6.2.3交换表命令的显示碎片丢弃交换模式也被称为自由分段模式或是碎片隔离交换模式。交换机接收到数据帧时,先检测该数据帧是不是冲突碎片,如果不是冲突碎片,也不保存整个数据帧,而是在接收了它的目的地址就直接进行转发操作;如果该数据帧是冲突碎片,则直接将该帧丢弃。冲突碎片是因为网络冲突而受损的数据帧碎片,其特征是长度小于64字节,它不是有效的数据帧,应该被丢弃。碎片丢弃交换模式过滤掉了冲突碎片,提高了网络传速的效率和带宽的利用率。6.4.3存储转发交换模式存储转发模式与前两种转发模式最大的不同在于:它将接收到的整个数据帧保存在缓冲区中。它把数据帧先存储起来,然后进行循环冗余码校验检
133、查,在对错误帧进行处理后,才取出数据帧的目的地址,进行转发操作。重点提示:重点提示:交换机的动态转发交换模式主要包括:快速转发交换模式、碎片丢弃交换模式、存储转发交换模式。前两种交换换模式的交换机在接收到数据帧后,仅将数据帧中的目的MAC地址拷贝到缓冲区内即进行转发;存储转发交换模式要求交换机将整个数据帧保存到缓冲区中,再进行转发处理。6.5交换机的配置6.5.1配置方式1使用Console端口配置(1)将信号线的一端接在笔记本电脑的异步串行口(COM1或COM2)上,另一端接入交换机的Console接口,给交换机接上电源。(2)在WindowsXP/2000中,【开始】【所有程序】【附件】【
134、通迅】【超级终端】。(3)点击【超级终端】后弹出“连接描述”窗口。在“名称(N):”栏下的框内键入新的连接名,例如“switch”,点击【确定】。(4)弹出“连接到”窗口。在“连接使用(N):”一栏的下拉框中选择所连接上的端口。即由Console线所连接到笔记本电脑的异步传输口COM1或COM2,本次连接Console连接的是COM1口,所以选中“COM1”选项,点击【确定】。(5)弹出“COM1属性”窗口,如图6-18所示。设置窗口中每一栏的端口参数。“每秒位数(B):”即传输速率设为9600;“数据位(D):”为8位;“奇偶校验(P):”选择“无”;“停止位(S):”为1位;“数据流控制(
135、F):”选择“硬件”。设置完成后点击【确定】。(6)在配置终端是按“回车”键,配置终端的屏幕上将会显示交换机的初始化信息,交换机初始化完成以后,将出现普通用户模式的提示符。图6-14交换机与笔记本电脑的连接图6-15进入超级终端配置图6-16连接描述图6-17连接到图6-18COM1属性2使用telnet命令配置先做好以下几点工作:交换机与作为模拟终端的计算机都与网络连接,且能通过网络进行通信。该计算机有访问交换机的权限。交换机已配置好设备管理地址(如IP地址、子网掩码等)和控制远程登录的密码。(1)在WindowsXP/2000中,【开始】【运行(R).】进入“运行”窗口。图6-19运行(2
136、)设交换机的IP地址为222.159.61.182,“运行”窗口的框中输入命令“telnet222.159.61.182”。这时屏幕中将出来交换机的信息。3使用浏览器配置确认已经做好以下准备工作:在用于配置的计算机中已安装TCP/IP协议,并且在用于配置的计算机和被管理的交换机上都已经配置好IP地址,它们可以通过网络进行通信。用于配置的计算机中安装有支持Java的Web浏览器,如InternetExplorer4.0及以上版本、Netscape4.0及以上版本等。在被管理的交换机上建立了拥有管理权限的用户帐户和密码。被管理交换机支持HTTP服务,并且已经启用了该服务。(1)把计算机连接在交换机
137、的端口上,在计算机上运行Web浏览器。在浏览器的地址栏中键入被管理的交换机的IP地址,单击回车键连接交换机。(2)弹出“连接到”对话框。在“用户名(U):”框中输入管理权限的用户名,在“密码(P):”框中输入管理权限的密码,用户名与密码应该已经事先通过Console端口设置好。点击【确定】。(3)在Web浏览器中显示交换机的管理界面。页面为与CiscoCatalyst1900建立连接后,显示在Web浏览器中的配置界面。首先看到的是要求输入用户帐号和密码,这时您就输入在先前已设置好的交换机配置超级用户帐号和密码进入系统。图6-20连接到窗口图6-21CiscoCatalyst1900在Web浏览
138、器中的配置界面6.5.2配置系统信息1配置交换机的主机名2配置超级用户口令3配置设备管理4远程登录系统5系统时间的改变6.5.3配置端口(1)配置端口描述信息通过描述信息了解交换机端口的物理连接情况(2)端口的关闭和开启交换机初始缺省状态下是为关闭状态。(3)配置端口的通信方式网络一般有单工、半双工、全双工三种通信方式,交换机端口常工作在半双工或全双工的工作模式下,网络中直接连接的两台交换机端口的通信方式应强制设为一致,否则会产生严重丢包。(4)配置端口的传输速率传输速率为10/100/1000Mb/s,同时还能设置使端口自适应选择传输速率。6.5.4交换机VLAN配置(1)VTP的配置VTP
139、有三种工作模式:VTPServerVTPClientVTPTransparent(2)VLAN的建立与删除VLAN的建立即要给这个VLAN分配一个VLANname与VLANID(3)为端口分配VLAN(4)VLANTrunk的配置6.5.5交换机STP配置1主要任务(1)打开或关闭STP(2)配置STP根网桥和备份根网桥(3)配置生成树优先级生成树优先级的取值范围是061440,其中0的优先级最高,61440的优先级最低,优先级的有效值为4096的倍数,从061440递增,数值越大,优先级越低。(4)配置STP可选功能配置BackboneFast生成树可选功能图6-22生成树可选功能Backb
140、oneFas配置UplinkFast生成树可选功能配置PostFast生成树可选功能配置BPDUFilter生成树可选功能图6-23生成树可选功能UplinkFast第7章路由器的原理及配置本章要点本章要点:7.1路由器的概念7.2路由器的工作7.3路由器的配置7.4路由器静态路由配置7.5路由器动态协议配置7.6DHCP的功能及配置7.7IP访问控制列表的功能及配置7.1路由器的概念7.1.1基本概念作为网络层的网络互连设备,路由器在网络互连中起到了不可或缺的作用。与物理层或数据链路层的网络互连设备相比,其具有一些物理层或数据链路层的网络互连设备所没有的重要功能。它能实现异构网络的互连,在物
141、理上拓展了网络的规模;实现网络的逻辑划分;实现VLAN之间的通信;同时,还可以实现其他一些重要的网络功能,如提供访问控制功能、优先级服务和负载平衡等。图7-1路由器7.1.2路由器的基本功能1路由选择路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的主机。路由器通过路由协议、网络连接的情况及网络的性能来建立网络的拓结构。路由算法为网络上的路由产生一个权值,路由器通过权值来选择最佳路由,权值越小,路由越佳。路由器常用的权值包括:(1)带宽(2)延迟(3)负载(4)可靠性(5)跳数(6)花费2分组转发对于一台路由器,其分组转发的任务即是在收到数据包后,根据
142、路由表所提供的最佳路径的信息,将其转发给下一跳的路由器、目的端口或是缺省路由器。缺省路由也称为缺省网关,它是与主机在同一个子网中的路由器端口的IP地址。图7-3主机的缺省路由主机1的缺省网关是222.205.20.1,主机4的缺省网关是222.205.112.1路由器也有它的缺省网关,它一般指向与该路由器的一个端口的直接相连接的,并且通往Internet的出口路由器。图7-4路由器的缺省路由重点提示:重点提示:路由器必须具备路由选择和分组转发两个基本功能。路由选择让路由器知道如何将数据分组转发到目的主机,沿着哪一条路径进行转发。分组转是沿着路由选择所确定最佳路由,将分组从源主机通过若干个路由器
143、发送到目的主机。这两个功能共同完成端到端的数据传送。7.1.3路由器的结构1中央处理器(CPU)2只读内存(ROM)3随机存储器RAM4非易失性随机存储器NVRAM5闪存flash6接口(1)局域网接口(2)广域网接口(3)配置接口图7-5路由器硬件结构重点提示:重点提示:路由器与计算机一样具有中央处理器、内存、存储器和接口等硬件系统。同时路由器的软件主要是由路由器的操作系统互联网络操作系统组成。硬件系统和软件系统共同组成路由器。7.2路由器的工作7.2.1路由器的工作原理路由器工作在OSI参考模型的第3层,即网络层。路由器利用网络层定义的“逻辑”上的网络地址来区别不同的网络,实现网络的连接和
144、隔离,保持各个网络的独立性。已知路由器的两个基本功能即是路由选择和分组转发,路由器接收到数据包后,通过路由选择获得将该数据包转发到目的端口的路径,并沿着这个路径将数据包从源主机一跳一跳地经过若干个路由器,发送到目的主机。图7-6路由器工作原理图7.2.2路由表路由器通过对路由表的查询来选择最佳路径的策略,路由表中保存着各种传输路径的相关数据,供路由选择时使用。路由表中保存着目的网络所对应的目的端口、网上路由器的个数和下一个路由器的名字以及缺省路由等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。图7-7路由表结构路由协议管理距离路由协议
145、管理距离直接连接0静态路由1外部BGP20内部EIGRP90IGRP100OSPF110IS-IS115RIP120外部EIGRP170内部BGP200未知255表7-1各路由协议的管理距离7.2.3路由器的工作模式1用户模式以终端或Telnet方式进入路由器时系统会提示用户输入口令,这时只要输入正确有口令后便进入第1级用户模式级别。2特权模式在用户模式下先输入“enable”,再输入相应的超级用户密码,即进入第2级特权模式。3设置模式这种模式下,允许用户真正修改路由器的配置。如果一台路由器还没进行任何配置时,Console将会进入这个工作模式,它可以协助用户对路由器进行初始化的配置。4全局配
146、置模式在特权模式中输入命令“configterminal”,也可以进入设置模式。5其它配置模式其它配置模式包括端口配置模式、虚拟终端配置模式、路由配置模式等。在全局配置的模式下输入相应的命令即可进入相应的配置模式。6RXBOOT模式在路由器出现问题时,有时可以RXBOOT模式解决,它是路由器的维护模式。7.3路由器的配置7.3.1路由器配置方式(1)使用Console端口配置。(2)使用telnet远程登录配置(3)从TFTP服务器上下载配置文件和修改配置文件的方式配置。(4)在AUX端口接一台Modem同电话网相连,在远端拨号配置。(5)使用网管协议SNMP进行配置。图7-8远程登录路由器7
147、.3.2常用配置命令1配置路由器主机名2配置超级用户口令3保存配置4删除配置5telenet命令6ping命令7trace命令8show命令9系统时钟设置10退出重点提示:重点提示:路由器的常用配置方式包括:使用Console配置、使用telnet配置、使用TFTP配置、使用AUX端口配置以及使用网管协议SNMP配置,前三种配置是现在最常用的配置方式。图7-9路由器的网络检测命令7.3.3接口配置1基本接口配置(1)启动与关闭(2)配置模式(3)带宽配置(4)IP地址配置(5)Ethernet的工作方式2分类接口配置(1)LAN接口(2)WAN接口(3)POS接口(4)loopback接口7.
148、4路由器静态路由配置静态路由是指由网络管理员手工配置的路由信息,使用静态路由协议时,路由器不能根据网络的实际情况动态地进行路由选择。当网络的拓扑结构或链路的状态发生变化时,也无法动态地改新路由表,必须网络管理员手工去修改路由表中相关的静态路由信息。因此它适合规模较小,网络拓扑结构一般不会变化的较为简单的局域网。图7-10静态路由配置示例7.5.1RIP配置1RIP的原理在默认情况下,RIP不考虑带宽、时延等因素,而使用一种非常简单的制度:距离就是通往目的站点所需经过的链路数,也称为跳数,跳数越小,路径越佳,RIP将跳数最小的路径作为最佳路径。RIP的跳数取值为115,数值16表示无穷大,即路径
149、不可达。RIP不支持可变长掩码,因此它只根据各类网络的网络号来确定这个IP地址的掩码。2配置命令(1)routerrip命令该命令用于启动RIP协议,开始RIP进程。(2)network命令该命令用于设置参与RIP协议的网络地址,它的命令格式为。(3)passive-interface命令该命令用于指定被动接口,该接口将被抑制路由更新,即路由更新报文不再通过该路由器的接口。它的命令格式为。(4)distribute-list命令该命令用于指定有路由过滤功能的接口,在被指点的路由器的接口上,既可以过滤其接收的路由更新信息,还可以过滤输出的路由更新信息,它常与passive-interface一起
150、使用,这样被指定的接口既可以过滤接收的路由信息,也可阻止该路由器更新信息的输出,即禁止了该接口参加RIP。它的命令格式为。(5)distance命令该命令用来配置或改变OSPF的管理距离,它用来测量路由的可信度,该值越小则可信度越高,OSPF的管理距离默认值为110,有效值范围为1255。它的命令格式为。(6)neighbor命令该命令用于指定邻居路由器,这样,RIP路由器在不容许发送广播包或是在网络技术不支持网络广播的特殊情况下,路由器仍可以单播的方式向该邻居路由器发送路由更新信息。它的命令格式为。7.5.2OSPF配置1OSPF的原理OSPF全称为开放式最短路径优先协议。相比于RIP,OS
151、PF克服了它的许多缺陷:OSPF不再采用跳数的概念,而是根据接口的吞吐率、拥塞状况、往返时间、可靠性等实际链路的负载能力来进行路由选择,在选择出最短、最优路由的同时并允许保持到达同一目标地址的多条路由。OSPF是一种分层次的路由协议,其层次中最大的实体是自治系统,在每个自治系统中,再将网络划分为不同的区域,每个区域都有自己特定的标识号,即区域ID,它是一个32位的无符号数值,范围是04294967295,其中区域ID为0时表示的是主干区域。路由表的计算包括下面五个步骤:(1)存储当前的路由表,如果当前的路由表是无效的,则从头开始重新建立路由表。(2)通过Dijkstra算法建立最短路径树,计算
152、域内路由。(3)通过检查链路状态总结报告来计算域间路由,若该路由器连到多个域,则只检查主干域的链路状态总结报告。(4)在连到一个或多个传输域的域边界路由器中查看链路状态总结报告,比较是否有比(2)(3)步更好的路径;(5)自治系统外部路由的计算,通过查看自治系统外部的链路状态报告来计算目的地在自治系统外的路由。2配置命令(1)routerospf命令该命令用来启动OSPF进程,命令格式,其中ProcessID是OSPF的进程号,它的范围是165535。(2)networkip命令该命令用来定义参与OSPF的子网地址,它的命令的格式为,在单个IP地址参与OSPF时使用。(3)range命令该命令
153、用于某一特定范围的子网聚合参与OSPF时定义参与的这一范围子网的子网,它的命令格式为。(4)passive-interface命令该命令用来配置OSPF的被动接口。(5)distribute命令该命令用来配置路由过滤功能。(6)distance命令该命令用来配置或改变OSPF的管理距离。(7)redistributemetric命令该命令用来配置引入外部路由到OSPF的参数。(8)redistributetag命令该命令用来配置引入外部路由时缺省的标记值。(9)redistributeconnectedmetric-type命令该命令用来设置个入外部路由时的外部路由类型7.6DHCP的功能及配
154、置7.6.1DHCP的原理(1)当DHCP客户机第一次登录网络的时候该客户机没有任何IP数据设定,它将向网络发出一个DHCPDISCOVER封包。由于客户端还不知道自己属于哪一个网络,所以封包的来源地址会0.0.0.0,其目的地址则为255.255.255.255,向网络进行广播。(2)一般默认DHCPdiscover的等待时间为1秒,当客户机将第一个DHCPDISCOVER封包送出去之后,在1秒之内没有得到响应的话,就会进行第二次DHCPDISCOVER广播。客户端最多有四次广播,除了第一次会等待1秒之外,其余三次的等待时间分别是9秒、13秒、16秒。如果都没有得到DHCP服务器的响应,客户
155、端则会显示错误信息,宣告DHCPDISCOVER的失败。之后,系统会继续在5分钟之后再重复一次DHCPDISCOVER的过程。(3)当DHCP服务器监听到客户端发出的DHCPDISCOVER广播后,将会对客户机作出应答。它会从那些还没有租出的地址中,选择最前面的闲置IP,DHCP客户所需的TCP/IP设定,响应给客户端一个DHCPOFFER封包。(4)DHCP协议允许网络上配置多台DHCP,客户机将会收到网络上多台DHCP服务器的响应,但它只会挑选其中一个DHCPOFFER,通常都是最先抵达的那个,然后客户机向网络发送一个DHCPREQUEST广播封包,告诉所有DHCP服务器它将接受哪一台服务
156、器提供的IP地址。同时客户端还会向网络发送一个ARP封包,确认网络上是否有其它机器在使用该IP地址;如果发现该IP已经被占用,客户机则会发出一个DHCPDECLINE封包给DHCP服务器拒绝接受其DHCPOFFER并重新发送DHCPDISCOVER信息。(5)当DHCP服务器接收到客户端的DHCPREQUEST封包之后,向客户端发出一个DHCPACK响应,确认该IP租约的正式生效。图7-11DHCPServer/Client工作模式图7-12DHCP的工作流程7.6.2DHCP的配置DHCP的配置主要IP池的建立与配置以及数据库代理的配置。建立IP池后,进行DHCP配置模式,该配置模式下对DH
157、CP进行配置,主要任务包括:IP池地址的子网地址、子网掩码以及缺省网关、域名、域名服务器IP地址、IP地址租用时间等的配置。1IP池的建立与配置(1)IP池的建立(2)IP池子网地址与子网掩码的配置(3)排除不用于动态分配的IP地址(4)配置缺省网关(5)配置IP地址池的域名系统(6)IP地址租用时间2数据库代理的配置DHCP数据库代理是用于存储DHCP绑定信息的一台主机。在一般情况下可以不对其进行配置。若不想配置DHCP数据库代理,则使用命令noipdhcpconflictlogging,该命令取消了地址冲突日志的记录的功能,以实现不配置数据库。7.7IP访问控制列表的功能及配置7.7.1访
158、问控制列表的作用(1)限制网络流量(2)限制通信流量(3)网络安全访问(4)限制通信类型图7-13访问控制列表对数据包进行过滤7.7.2访问控制列表的执行过程访问控制列表是一个连续的列表,该控制列表在建立并配置好后,接着其应用于一个接,一个VTYline或被其他命令引用后,列表开始生效。一个端口执行哪条访问控制列表,这需要按照列表中的条件语句执行顺序来判断。一般是从第一条开始顺序执行的,如果一个数据包的报头与表中的某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查,反之,才交给下一条语句进行比较。7.7.3访问控制列表的过滤准则(1)过滤源地址或目的地址该准则不仅可以允许或拒绝来自
159、某源IP地址的数据包进入路由器,还可以允许和拒绝目的地址为某IP地址的数据包通过路由器。(2)过滤端口号该准则可以允许或拒绝某些协议的某些端口号的数据包通过路由器。(3)过滤协议该准则可以允许或拒绝如TCP、UDP、ICMP等协议的数据包通过路由器。图7-14访问控制列表的过滤准则7.7.4访问控制列表的分类(1)标准访问控制列表标准访问控制列表基于网络地址的信息流,且只允许过滤源地址。标准IP访问表的表号标识是从199后来又扩展了范围13001999。(2)扩展访问控制列表扩展访问控制列表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据,它既检查数据包的源
160、地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。7.7.5访问控制列表的重要参数1表号和名字表号是用来标识或是引用某个访问控制列表。访问控制列名的名字用字符串来表示。2通配符掩码访问控制列表的通配符掩码是一个32bit的数字字符串,它点分成4个8位,每组包含8bit。在通配符掩码位中,表示形式与IP地址的子网掩码相同。它实际上即是子网掩码的反码。表7-2访问控制列表表号范围表号范围访问列表种类说明19913001999IP standard access list基于IP的标准访问控制列表100199 20002699IP extended access list基于IP的
161、扩展访问控制列表10001099IPX SAP access list基于IPX业务通告协议的访问控制列表11001199Extended 48-bit MAC address access list扩展的基于48位MAC地址的访问控制列表200299Protocol type-code access list基于协议类型码的访问列表70079948-bit MAC address access list基于48位MAC地址的访问列表800899IPX standard access list基于IPX的标准访问控制列表900-999IPX extended access list基于IPX的
162、扩展访问控制列表7.7.6访问控制列表的配置1标准访问控制列表的配置配置命令为2扩展访问控制列表的配置配置命令为:(1),“操作”的命令包括:“lt”(小于)、“gt”(大于)、“eq”(等于)、“neq”(不等于)。(2)3命名访问控制列表的配置配置命令为(1)(2)”提示符号。输入“enable”后,界面提示输入密码“Cisco”,即可以开始对1200进行详细配置。8.4无线局域网的组网模式1.对等网络对等网络是最简单的无线局域网结构。一个对等网络由一组有无线网络接口的计算机组成。这些计算机要有相同的工作组名、ESSID和密码。任何时间,只要两个或更多的无线网络接口互相都在彼此的范围之内,
163、它们就可以建立一个独立的网络。2.基础结构网络由于对等模式在功能上的局限性,在具有一定数量用户或是需要建立一个稳定的无线网络平台时,一般会采用以无线AP为中心的模式,将有限的“信息点”扩展为“信息区”,这种模式也是无线局域网最为普通的构建模式,即基础结构模式。图8-4对等网络图8-5以无线AP为中心的基础网络结构8.5无线局域网的设计1初步调研(1)Who谁在使用网络?(2)What用户使用何种设备来访问该网络?(3)When用户何时使用该网络?(4)Where用户在何处使用该网络?(5)Why用户为何要使用该网络?2综合当前情况分析无线局域网的设计者应该从当前的情况出发,综合初步调研得到的信
164、息,充分理解现有网络、系统、用户以及应用之间的关系和相互作用,并找出潜在的问题和难点,在满足网络需求的前提下,找出可行的解决方案并论证其可行性。3初步设计(1)调研中的问题、困难和解决方案(2)网络拓扑图(3)数据流图(4)设计方案所需要的预算费用4详细设计当初步设计方案确定并且得到用户的反馈后,即可以进入详细设计环节。该环节最主要的任务即是确定用户的解决方案,并把所有的所需要的应用软件和硬件设备记录下来,列成清单。5设计的实施当网络的详细设计方案得到审批通过后,将进入设计的实施环节。即将纸面的设计方案付诸于现实。该环节涉及到了无线局域网的安装、配置、测试以及建成该网络系统的所有软硬件设备。6
165、文档整理文档中的大部分信息是在整个设计过程中收集积累起来的,它们不仅可以作为用户手册、教学和培训指导,还可以作为故障定位的参考资料。第9章网络服务系统的安装配置本章要点:9.1基本概念9.2DNS服务器9.3DHCP服务器9.4WWW服务器9.5FTP服务器9.6E-mail服务器9.1基本概念图9-1某企业的网络服务系统环境9.2DNS服务器9.2.1DNS服务器的基本介绍1基本概念DNS(DomainNameSystem,域名系统),它为Internet上的主机分配域名地址和IP地址。当用户使用域名地址来访问这台主机的时候,该系统就会自动把该域名地址转为相应的IP地址2DNS的工作过程(1
166、)指定的DNS域名DNS域名表示为计算机完全合格的域名(FQDN),如。(2)指定的查询类型查询类型它可根据类型指定资源记录,或作为查询操作的专门类型,比如查询类型用于通过该名称搜索地址资源记录。(3)DNS域名的指定类别 一般DNS服务器始终应指定为Internet类别。DNS的查询过程包括两个部分:(1)首选名称查询从客户机开始并传送至解析程序进行解析。(2)其次不能就地解析查询时,根据需要查询DNS服务器来解析名称。9.2.2DNS服务器的安装配置为服务器设置固定的IP地址安装DNS服务器创建正向查找区域创建反向查找区域创建地址资源记录DNS服务器选项的配置DNS服务器的测试1为服务器设
167、置固定的IP地址(1)【开始】【控制面板】【网络连接】【本地连接】,弹出“本地连接状态”对话框。(2)点击【属性(P)】,弹出“本地连接属性”对话框,如图9-3所示。(3)双击“Internet协议(TCP/IP)”选项,弹出“TCP/IP协议属性”对话框。(4)在“IP地址(I):”框中输入DNS服务器的IP地址“192.168.0.192”,点击【确定】。2安装DNS服务器(1)【开始】【控制面板】【添加/删除程序】,弹出“添加或删除程序”对话框。(2)点击左边的“添加/删除Windows组件(A)”选项。弹出“Windows组件向导”对话框,选中“网络服务”双击,打开“网络服务”对话框后
168、在“域名系统(DNS)”选项前打勾,点击【确定】。(3)点击【下一步】,在框内输入安装路径,即开始安装DNS服务。图9-7DNS管理单元3创建正向查找区域(1)【开始】【控制面板】【管理工具】,单击“DNS”图标进入DNS管理单元。(2)单击左侧目录树中的“SCTFSERVER”服务器,右键弹出下拉菜单,选中【新建区域(Z)】。(3)在弹出“新建区域向导”对话框,点击【下一步】。(4)选中【主要区域(P)】,点击【下一步】。(5)选中“正向查找区域(P)”选项,点击【下一步】(6)在“区域名称(Z)”框中填入所申请到的区域的名称“”,单击【下一步】(7)选中“不允许动态更新(D)”选项,(动态
169、更新允许DNS客户在发生更改的任何时刻,使用DNS服务器注册且动态地更新其资源记录)点击【下一步】。弹出“正在完成新建区域向导”对话框。(8)点击【完成】图9-17创建完的DNS正向查找区域4创建反向查找区域(1)在图9-18的DNS管理单元左窗口的目录中,点击选中“反向查找区域”,单击右键,在弹出的菜单中选择“新建区域(Z)”进入“DNS新建区域向导”对话框。与创建正向查找区域同样的操作,在“区域类型“对话框中选中“主要区域(P)”,点击【下一步】,在“正向或反向查找区域”对话框中选中“反正查找区域(F),点击【下一步】,弹出“反向查找区域名称”对话框。(2)在“网络ID(E):”框中填入网
170、络ID“192.168.0”,点击【下一步】,弹出“区域文件”对话框。(3)点击【下一步】,显示“动态更新”对话框。(4)选中“不允许动态更新(D)”,点击【下一步】,显示完成新建区域向导对话框。5创建地址资源记录主机地址资源记录 主机地址资源记录将DNS域名映射到IP地址。邮件交换器(MX)资源记录邮件交换器资源记录为邮件交换器主机提供邮件路由。别名(CNAME)资源记录另名资源记录将别名映射到标准DNS域名。图9-22创建地址资源记录图9-25成功创建主机记录6DNS服务器选项的配置图9-26DNS服务器“属性”配置7DNS服务器的测试(1)使用DNS管理单元测试(2)使用命令行程序测试D
171、NS服务器9.3DHCP服务器9.3.1DHCP服务器的基本介绍1基本概念DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)分为两个部份:即服务器端和客户端,其中所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。2DHCP的工作过程当没有任何IP数据设定的DHCP客户端第一次登录网络的时候,它会向网络发出一个DHCPDISCOVER封包,该封包的来源地址为0.0.0.0,而目的地址则为255.255.255.255。当DHCP服务器监听到客户端发出的DHCPDISCOVE
172、R广播后,它会从那些还没有租出的地址中选择最前面的空置IP,连同其它TCP/IP设定,响应客户端DHCPOFFER封包。在DHCPOFFER封包中同时还会带有其MAC地址信息,并且有一个XID编号来辨别该封包。DHCP服务器响应的DHCPOFFER封包则会根据这些资料传递给提出要求的DHCP客户端。根据服务器端的设定,DHCPOFFER封包还会包含一个租约期限的信息。 如果客户端收到网络上多台DHCP服务器的响应只会挑选其中一个DHCPOFFER,通常是最先抵达的那,并且向网络发送一个DHCPREQUEST广播封包,告诉所有DHCP服务器它将指定接受哪一台服务器提供的IP地址。1DHCP服务器
173、的安装(1)【开始】【控制面板】【添加/删除程序】,弹出“添加或删除程序”对话框,如图9-5所示。(2)点击左边的“添加/删除Windows组件(A)”选项。弹出“Windows组件向导”对话框,如图9-6所示,选中“网络服务”双击,打开“网络服务”对话框。(3)选中“动态主机配置协议(DHCP)”选项,点击【确定】开始安装,安装完成后,点击【完成】,即完成了DHCP服务器的安装。9.3.2DHCP服务器的安装配置2添加DHCP服务器(1)【开始】【控制面板】【管理工具】,双击“DHCP”图标,进入DHCP管理单元。(2)选中左边的目录树中的“DHCP”选项,右键显示下拉菜单,选择“添加服务器
174、(A)”选项,弹出“添加服务器”对话框(3)在“添加服务器”对话框中填入服务器的IP地址,如“127.0.0.1”或是“192.168.0.191”,点击【确定】完成DHCP服务器的添加。图9-36DHCP管理单元图9-38添加服务器3新建作用域(1)在DHCP控制单元中,选中左边窗口目录树中的DHCP服务器“SCTFSERVER”,右键显示示下拉菜单,选择“新建作用域(P)”选项,弹出“新建作用域向导界面”。(2)点击【下一步(N)】,弹出“作用域名”对话框。(3)在“名称(A)”框中填入该公司的IP地址,在“描述(D)”框中填入申请到的IP地址的范围,点击【下一步(N)】,弹出“IP地址范
175、围”对话框。(4)作用域即为网络上IP地址的连续范围,一般为接受DHCP的单个物理子网。在“IP地址范围”对话框中,“起始IP地址(S)”框中输入申请到的IP地址范围的起始地址:“192.168.0.20”,在“结束IP地址范围(E)”框中输入申请到的IP地址范围的结束地址:“192.168.0.210”。使用的子网掩码一般用默认的“255.255.255.0”,点击【下一步(N)】,弹出“添加排除”对话框。(5)排除范围指一些特定的IP地址序列,排除于DHCP服务之外,服务器不会将这些IP地址分配给网络上的DHCP客户机。在“排除地址”界面的“起始IP地址(S)”和“结束IP地址”框中选中所
176、要排除的一些特定IP地址段的起始IP地址与结束IP地址,并点击【添加(D)】,这些IP地址常被用于静态地分配给一些相关的服务器。点击【下一步(N)】,弹出“租约期限”对话框。(6)租约即DHCP客户机可使用的被分配的IP地址的期限,这是由DHCP服务器指定的,在租约期过期之前,客户端应该向服务器更新指派给它的地址租约。因此这个租约的期限不仅决定何时期满,还决定客户端需要向进行更新的频率。在“限制为:”栏中对租约期限进行设置,点击【下一步(N)】,弹出“配置DHCP选项”对话框。(7)选择“否,我想稍后配置这些选项(O)”选项,点击【下一步(N)】,弹出“正在完成新建作用域向导”对话框。(8)在
177、DHCP管理单元界面左侧的目录树中,选中新建的作用域,点击右键显示下拉菜单,选中“激活(A)”,新建的作用域将被激活。这时,DHCP服务器可以开始为客户机分配IP地址。图9-46正在完成新建作用域向导图9-49新建作用域已激活4配置作用域选项(1)选中DHCP管理单元左侧目录树中的已被激活的作用域,右边将显示该作用域的相关信息。双击右侧信息中的“作用域选项”图标,打开该作用域的“作用域选项”对话框。DHCP服务器在向其客户端提供租约时可以指派的其他客户端配置参数。如:默认网关、DNS服务器的IP地址等。(2)在“作用域选项”对话框的“常规”选项卡中,在“可用选项”栏中选中“003路由器”一项,
178、在“IP地址(P)”栏中填入该路由器的IP地址:“192.168.0.1”,点击【添加(D)】,设置其路由器的IP地址。(3)选中“006DNS服务器”选项,在“IP地址(P)”栏中填入该DNS服务器的IP地址:“192.168.0.192”,点击【添加(D)】,设置其DNS服务器的IP地址。5新建保留(1)选中DHCP管理单元左侧目录中的“保留”,右键显示下拉菜单,选中“新建保留(R)”选项,显示出“新建保留”对话框。图9-53DHCP作用域地址保留(2)在“新建保留”对话框中填入“保留名称(R):”、“IP地址(P):”、“MAC地址(M):”、“描述(E):”等信息,点击【添加(A)】。
179、6DHCP服务器的测试(1)【开始】【设置】【控制面板】【网络连接】【本地网络】【属性】,打开“本地网络属性”对话框后,双击“TCP/IP协议”选项,得到“TCP/IP协议属性”对话框。(2)选择“自动获得IP地址(O)”、“自动获得DNS服务器地址(B)”。点击【确定】。(3)用命令行来查看DHCP客户机配置的结果。输入命令“ipconfig/all”,即可查看到该客户机的配置信息和地址租约。(4)在命令行的窗口中输入“ipconfig/release”命令,即可释放已获得的IP地址租约。(5)在命令行的窗口中输入“ipconfig/renew”命令,重新从DHCP服务器获得新的IP地址租约
180、。图9-58DHCP客户机查看配置信息与IP地址租约9.4WWW服务器9.4.1WWW服务器的基本介绍1基本概念WWW服务器可以使Internet用户访问全世界范围内的Web服务器上的文本、图片、音像、视频等数据信息,WWW已成为当今最流行的Internet的信息浏览工具。2Web服务器的工作过程(1)Web浏览器向某Web服务器发出Web页面请求。(2)Web服务器找到符合请求条件的Web页面,将其传送给Web浏览器。(3)Web浏览器将接收到的Web页面显示出来。9.4.2WWW服务器的安装配置1WWW服务器的安装(1)【开始】【控制面板】【添加/删除程序】,弹出“添加或删除程序”对话框。
181、(2)双击“应用程序服务器”选项,进入“应用程序服务器”对话框,选中“Internet信息服务(IIS)”选项,点击【确定】。2默认网站属性配置(1)【开始】【控制面板】【管理工具】,单击“Internet信息服务(IIS)管理器”图标进入IIS管理器。(2)在IIS管理器窗口中的左侧目录树中,点击【SCTFSERVER(本地计算机)】【网站】【默认网站】,选中【默认网站】,右键单击显示下拉菜单,选择“属性(R)”选项,弹出“默认网站属性”对话框,选中“主目录”选项卡。(3)在“本地路径(C):”框中输入用于存放网页文件的文件夹,这里设置为:“E:Web”,每一个网站都对应服务器上的一个目录,
182、因此建立Web站点时要对每一个站点指定一个目录。(4)选择“文档”选项卡,来设置默认的网站文档。比如设置“index.html”,则浏览器访问网站时能自动打开“index.html”网页;这里设置为“index.html”,点击【添加(D)】。9.5FTP服务器9.5.1FTP服务器的基本介绍1基本概念FTP即文件传输协议,FTP服务被广泛应用于web网站内容更新服务、软件下载服务以及不同类型计算机间的文件传输。2FTP服务的功能(1)Web网站更新(2)软件下载(3)不同类型计算机间的文件传输(4)数据的存储和备份9.5.2FTP服务器的安装配置1FTP服务器的安装(1)双击“ServUSe
183、tup.exe”,即开始Serv-UFTPServer服务器的安装。(2)双击“Setup.exe”即开始运行Serv-U的汉化包安装程序。2修改管理员密码进入Serv-U的管理程序,在初次运行的情况下,没有设置管理员的密码,进入程序后,在管理界面的右侧窗口右击右键显示下拉菜单,选择“设置/更改密码(P)”,打开“设置或更改管理员密码”对话框。在该对话框中可以对管理员的密码进行修改和设置。修改后点击【确定】。3新建域Serv-UFTP服务器中所建立的每个虚拟服务器,都称为一个域,它们是由IP地址和端口号惟一识别的。(1)在Serv-U的管理界面左侧的目录树中选中“域”图标,在菜单栏中选中“域”
184、菜单选项,在显示的下拉菜单中选中“新建域(N)”。这时界面上将弹出“添加新建域-第一步”对话框。(2)在“IP地址”框中输入FTP服务器的IP地址,这里为“192.168.0.111”,点击【下一步(N)】,进入“添加新建域-第二步”。(3)在“域名”框中输入该服务器的域名,即它的描述名称,这里为“”,点击【下一步(N)】,进入“添加新建域-第三步”。(4)在“域端口号”中输入该服务器的端口号。默认的端口号为“21”,也可以设置自己想要的端口号。当然存在一些情况这个21端口,不能使用,这时也该使用别的端口,这里设置该服务器的端口号为“8021”,点击【下一步(N)】,进入“添加新建域-第四步”
185、。(5)在“域类型”对话框中选择域存储的地方。“.INI文件存储”一般是应用于较小的域,对于用户数大于500的较大的域,应该选择注册表以提供更高的功能。点击【下一步(N)】,完成FTP服务器的创建。4用户的添加与管理(1)在Serv-U的管理界面的左侧目录树中选择【域】【】【用户】,在菜单栏选中“用户(U)”选项,在弹出的下拉菜单中选中“新建用户(N)”,将弹出“添加新建用户-第一步”对话框。(2)在“用户名称”框中输入所要添加的用户的用户名,这里设置为“user”,如果是匿名用户,则输入用户名“anonymous”,点击【下一步(N)】,进入“添加新用户-第二步”对话框。(3)在“密码”框中
186、输入该用户名访问FTP时所使用的密码,这里为“123456”,当输入的用户名为“anonymous”时,系统自动判定添加的为匿名用户,将不进入这一步。点击【下一步(N)】,进入“添加新用户-第三步”对话框。(4)在“主目录”输该用户访访问FTP时的主目录,或者点击框右面的图标,进行主目录的选择,这里为“D:共享文件夹”,点击【下一步(N)】,进入“添加新用户-第四步”对话框。(5)选择“是否锁定用户主目录?”后,点击【完成】,完成了添加新用户的操作。图9-97新用户已添加完5服务器设置选项在Serv-U的管理界面的左侧目录树中选择【】【设置】即可打开服务器设置选项对话框。(1)最大上传速度,最
187、大下载速度(2)最大用户数量(3)检查匿名密码(4)删除部分已上传文件(5)禁用反超时调度(6)拦截“FTP_bounce”攻击和FXP。6域设置选项 在Serv-U的管理界面的左侧目录树中选择【】【域】【】【设置】,则显示“域设置”界面。(1)域常规选项(2)域虚拟路径选项(3)IP访问选项(4)域消息选项(5)域记录选项(6)域上传/下载率选项(7)域高级选项7用户设置在Serv-U的管理界面的左侧目录树中选择【】【域】【】【用户】,选中一个用户,如“user”即可打开用户设置对话框。(1)用户帐号选项(2)用户常规选项(3)用户目录访问选项(4)用户IP访问选项(5)用户上传/下载率选项
188、(6)用户配额选项8组选项在Serv-U的管理界面的左侧目录树中选择【】【域】【】【组】,选中其中一个组,如“group”则显示组设置对话框。对于组设置的目录访问选项卡与IP访问选项卡的设置与用户设置中的目录访问选项卡和IP访问选项卡的设置是一样的,只是使用的范围不同,对于组的设置,将作用在该组的所有用户上。9用户活动信息的查看在Serv-U的管理界面的左侧目录树中选择【】【域】【】【活动】,即打开“用户活动信息”对话框。10使用浏览器测试FTP服务器在浏览器的地址栏中输入服务器的IP地址,如“ftp:192.168.0.111”,如果该服务器的端口号不是21,则还需要加上端口号来访问该FTP
189、服务器,格式为:“ftp:192.168.0.111:8021”。弹出如图9-116所示的登录身份对话框。可以选择使用匿名方式登录FTP服务器,也可以通过输入正确的用户名和密码来登录对话框。9.6E-mail服务器9.6.1E-mail服务器的基本介绍1基本概念E-mail(electronicmail,电子邮件)是种用电子手段提供信息交换的通信方式。通过网络的电子邮件系统,用户可以像、声音等各种方式。正是由于电子邮件的使用简易、传递迅速、收费低廉,易于保存等优势,使得它在全球被广泛地应用。电子邮件用电子手段传送信件、单据、资料等信息,它综合了电话通信和邮政信件的特点,它传送信息的速度和电话一
190、样快,同时又如同信件一样使收信者在接收端收到文字记录。2E-mail的工作过程(1)客户使用客户端软件创建新的邮件。(2)客户端软件使用SMTP协议将该邮件发送到发送方的邮件服务器。(3)发送方的邮件服务器将邮件使用SMTP协议发送到接收方的邮件服务器。(4)接收方的邮件服务器将收到的邮件存储在接收方用户的邮箱中。(5)接收方的客户通过POP/IMAP4协议使用客户端软件对邮件进行读取。9.6.2E-mail服务器的安装配置1E-mail服务器的安装在Windows2003操作系统下,安装Winmail邮件服务器,它支持基于Web方式的访问和管理,因此在安装Winmail前应该先确保已安装好I
191、IS。(1)双击Winmail邮件服务器软件的安装程序,出现是否继续安装的询问对话框,点击【是(Y)】,进入Winmail邮件服务器软件的安装向导界面“欢迎使用”对话框,点击【下一步(N)】,进入“使用许可协议”对话框。(2)选择“我接受该协议(A)”点击【下一步(N)】,进入“信息”对话框,显示安装的说明信息。(3)点击【下一步(N)】,进入“用户信息”对话框。(4)在“用户名称(U)”框中输入用户的名称,在“公司(O)”中输入所在公司的信息,点击【下一步(N)】,进入“选择目标文件夹”对话框。(5)在框中填入将该邮件服务器软件安装的目标文件夹,也可以点击输入框右边的【浏览(r)】按钮选择目
192、标文件夹。点击【下一步(N)】,进入“选择组件”对话框。(6)一般选择完全安装,也可根据自己的需要进行组件的选择,点击【下一步(N)】,进入“选择开始菜文件夹”对话框。(7)输入开始菜单文件夹,也可以点击输入框右边的【浏览(r)】按钮选择。点击【下一步(N)】,进入“选择附加任务”对话框。(8)在“服务器类型”选项中,可以选择“注册为服务”或是“单独运行”,同进还可以选择是否使用已存在的配置文件以及创建快捷的方式是“在桌面创建快捷方式”还是“在快速启动栏创建快捷方式”。点击【下一步(N)】,进入“密码设置”对话框。(9)在框中分别输入管理工具的登录密码和系统邮箱的密码。点击【下一步(N)】,进
193、入“安装完成”对话框。(10)可以选择“现在就启动WinmailMailServer”要求在安装成功后马上运行Winmail邮件服务器软件,点击【完成(F)】完成Winmail邮件服务器软件的安装。2创建新用户在快速设置向导中,进行新用户的创建。在“要新建的邮箱地址”栏中输新建的邮箱地址,这里设为“”;在“密码”和“密码确认”栏中输入两遍同样的密码,这里设置密码为“123456”;选中“允许通过Webmail注册新用户”,点击【设置】,在下面的“设置结果”框中将显示设置的结果。3软件管理邮件服务器(1)运行WinMailMailServer管理端工具,打开连接服务器选项框。在该对话框中可以选择
194、连接本地主机或是远程主机,输入登录用户的用户名和密码,用户名是系统安装时自动创建的用于管理的用户名,而密码也是在系统安装时的管理密码,点击【确定】。(2)选中WinMailMailServer管理界面左侧目录树中的【系统信息】图标,该图标下将展开所有WinMailMailServer的管理工具【系统设置】、【域名设置】、【用户和组】、【系统状态】、【系统日志】和【帮助】。4使用浏览器访问和管理WinMailMailServer 在IIS管理器中创建一个描述为Webmail的网站,主机头为“”,主目录为“C:ProgramFilesMagicWinmailserverWebmailwww”。(1
195、)进入IIS管理服务器,在管理界面的左侧目录树中选中【SCTFSERVER(本地计算机)】【网站】,点击右键显示下拉菜单,选中“新建(N)”“网站(W)”,弹出“网站创建向导”对话框。(2)在“描述(D)”框中输入该网站的描述“Webmail”,点击【下一步(N)】,进入“IP地址和端口设置”对话框。(3)填入网站的IP地址和端口信息后,点击【下一步(N)】,进入“网站主目录”对话框。(4)输入网站主目录的路径,或是点击框右侧的【浏览(R).】按钮进行路径选择。点击【下一步(N)】,通过“网站创建向导”对话框的提示,逐步完成新网站的创建。(5)创建完成后,在“Webmail属性”对话框的文档选
196、项卡中,添加“index.html”为默认内容文档。(6)在“添加/编辑应用程序扩展名映射”对话框中增加PHPWeb应用服务的扩展。在“可执行文件(X):”填入“C:WINDOWSphp4php.exe”,在“扩展名(E):”框中填入“.php”。(7)在DNS服务器中增加名字为的主机地址资源记录以及设置其对应的IP地址为192.168.0.193,方法与前文相同。(8)在用户终端的浏览器的地址栏中输入“”即可进入该邮件服务器的服务器的登录界面,输入正确的用户名和密码即可以登录到该邮件服务器。图9-140使用浏览器登录到邮件服务器第10章网络安全技术本章要点:10.1基本概念10.2数据备份1
197、0.3加密技术10.4防火墙10.5防病毒10.6入侵检测10.1.1信息安全威胁1窃听信息在传输过程中被直接或是间接地窃听网络上的特定数据包,通过对其的分析得到所需的重要信息。数据包仍然能够到到目的结点,其数据并没有丢失。2截获信息在传输过程中被非法截获,并且目的结点并没有收到该信息,即信息在中途丢失了。10.1基本概念3伪造没有任何信息从源信息结点发出,但攻击者伪造出信息并冒充源信息结点发出信息,目的结点将收到这个伪造信息。4篡改信息在传输过程中被截获,攻击者修改其截获的特定数据包,从而破坏了数据的数据的完整性,然后再将篡改后的数据包发送到目的结点。在目的结点的接收者看来,数据似乎是完整没
198、有丢失的,但其实已经被恶意篡改过。重点提示:重点提示:网络安全是指利用各种网络监控和管理技术,对网络系统的硬、软件和系统中的数据资源进行保护,从而保证网络系统连续、安全且可靠的运行。网络中存在的信息安全威胁有窃听、截获、伪造和篡改。图10-1信息安全威胁10.1.2网络攻击1服务攻击服务攻击即指对网络中的某些服务器进行攻击,使其“拒绝服务”而造成网络无法正常工作。2非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的,它不针对于某具体的应用服务,因此非服务攻击是一种更有效的攻击手段。10.1.3网络安全的基本要素(1)机密性(2)完整性(3)可用性(4)可鉴别性(5)不可抵赖性10.1
199、.4计算机系统安全等级1D类D类的安全级别最低,保护措施最少且没有安全功能。2C类C类是自定义保护级,该级的安全特点是系统的对象可自主定义访问权限。C类分为两个级别:C1级与C2级。(1)C1级C1级是自主安全保护级,它能够实现用户与数据的分离。数据的保护是以用户组为单位的,并实现对数据进行自主存取控实现制。(2)C2级C2级是受控访问级,该级可以通过登录规程、审计安全性相关事件来隔离资源。3B类B类是强制式安全保护类,它的特点在于由系统强制实现安全保护,因此用户不能分配权限,只能通过管理员对用户进行权限的分配。(1)B1级B1级是标记安全保护级。该级对系统数据进行标记,并对标记的主客体实行强
200、制存取控制。(2)B2级B2级是结构化安全保护级。该级建立形式化的安全策略模型,同时对系统内的所有主体和客体,都实现强制访问和自主访问控制。(3)B3级B3级是安全级,它能够实现访问监控器的要求,访问监控器是指监控器的主体和客体之间授权访问关系的部件。该级还支持安全管理员职能、扩充审计机制、当发生与安全相关的事件时将发出信号、同时可以提供系统恢复过程。4A类A类是可验证的保护级。它只有一个等级即A1级。A1级的功能与B3几乎是相同的,但是A1级的特点在于它的系统拥有正式的分析和数学方法,它可以完全证明一个系统的安全策略和安全规格的完整性与一致性。同时,A1级还规定了将完全计算机系统运送到现场安
201、装所遵守的程序。10.1.4网络安全模型1基本模型在网络信息传输中,为了保证信息传输的安全性,一般需要一个值得信任的第三方,负责向源结点和目的结点进行秘密信息分发,同时在双方发生争执时,也要起到仲裁的作用。在基本的安全模型中,通信的双方在进行信息传输前,先建立起一条逻辑通道,并提供安全的机制和服务,来实现在开放网络环境中信息的安全传输。(1)从源结点发出的信息,使用如信息加密等加密技术对其进行安全的转,从而实现该信息的保密性,同时也可以在该信息中附加一些特征的信息,作为源结点的身份验证。(2)源结点与目的结点应该共享如加密密钥这样的保密信息,这些信息除了发送双方和可信任的第三方以外,对其他用户
202、都是保密的。图10-2网络安全基本模型2P2DR模型(1)安全策略(Policy)安全策略是模型中的防护、检测和响应等部分实施的依据,一个安全策略体系的建立包括策略的制定、评估与执行。(2)防护(Protection)防护技术包括:防火墙、操作系统身份认证、数据加密、访问控制、授权、虚拟专用网技术和数据备份等,它对系统可能出现的安全问题采取预防措施。(3)检测(Detection)检测功能使用漏洞评估、入侵检测等系统检测技术,当攻击者穿透防护系统时,发挥功用。(4)响应(Response)响应包括紧急响应和恢复处理,而恢复又包括系统恢复和信息恢复,响应系统在检测出入侵时,开始事件处理的工作。图
203、10-3P2DR模型重点提示:重点提示:网络安全的基本要素包括:保密性、完整性、可用性、可鉴别性和不可抵赖性。美国国防部和国家标准局将计算机系统安全等级分为A、B、C、D这4类,共有7级。网络基本安全模型要求通信的双方在进行信息传输前,先建立起一条逻辑通道,并提供安全的机制和服务并且有一个可供信任的第三方进行扮演仲裁者和秘密信息发布者的角色。10.2数据备份10.2.1数据备份模型1物理备份物理备份是将磁盘块的数据从拷贝到备份介质上的备份过程,它忽略了文件和结构,它也被称为“基于块的备份”和“基于设备的备份”。2逻辑备份逻辑备份顺序地读取每个文件的物理块,并连续地将文件写在备份介质上,实现每个
204、文件的恢复,因此,逻辑备份也被称为“基于文件的备份”。10.2.2冷备份与热备分1冷备份冷备份是指“不在线”的备份,当进行冷备份操作时,将不允许来自用户与应用对数据的更新。2热备份热备份是指“在线”的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。重点提示:重点提示:数据备份是为了尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。数据备份模型分为:物理备份和逻辑备份。10.2.3数据备分的设备1磁盘阵列2磁带机3磁带库4光盘塔5光盘库6光盘镜像服务器10.2.4数据备份的策略1完全备份完全备份即是将用户指定的数据甚至是整个
205、系统的数据进行完全的备份。2增量备份增量备份是针对完全备份,在进行增量备份,只有那些在上次完全或者增量备份后被修改了的文件才会被备份。3差异备份差异备份是将最近一次完全备份后产生的所有数据更新进行备份。差异备份将完全恢复时所涉及到的备份文件数量限制为2个。表10-1三种备份策略的比较空间使用备份速度恢复速度完全备份最多最慢最快增量备份最少最快最慢差异备份少于完全备份快于完全备份快于增量备份重点提示:重点提示:数据备份的策略是用来解决何时备份、备份何种数据以及用何种方式恢复故障的问题。它可以分为:完全备份、增量备份和差异备份。其中完全备份使用的空间最多,备份速度最慢,恢复程度最快;增量备份使用空
206、间最小,备份速度最快,恢复速率最慢;差异备份摒除了前两种备份方式的缺点,吸收了它们的优点。10.3加密技术10.3.1加密与解密1基本流程A发送消息“Passwordiswelcome”这样的报文给B,但不希望有第三个人知道这个报文的内容,因此他使用一定的加密算法,将该报文转换为别人无法识别的密文,这个密文即使在传输的过程中被截获,一般人也无法解密。当B收到该密文后,使用共同协商的解密算法与密钥,则将该密文转化为原来的报文内容。图10-4加密与解密的流程密钥位数尝试个数密钥位数尝试个数401125612864表10-2密钥位数与尝试密钥的个数2密钥加密与解密的操作过程都是在一组密钥的控下进行的
207、,这个密钥可以作为加密算法中可变参数,它的改变可以改变明文与密文之间的数学函数关系。10.3.2对称密钥技术1工作原理对称密钥技术即是指加密技术的加密密钥与解密密钥是相同的,或者是有些不同,但同其中一个可以很容易地推导出另一个。图10-5对称密钥技术2常用对称密钥技术常用的对称密钥算法有DES算法与IDES算法。(1)DES算法DES算法是一种迭代的分组密码,它的输入与输出都是64,包括一个56位的密钥和附加的8位奇偶校验位。(2)IDEA算法IDEA算法的明文与密文都是64位的,密钥的长度为128位,它是比DEA算法更有效的算法。10.3.3非对称密钥技术1工作原理不可能从任何一个密钥推导出
208、另一个密钥。同时加密密钥为公钥是可以公开的,而解密密钥为私钥是保密的。在此,非对称密钥技术也被称为公钥加密加技术。图10-6非对称密钥技术2常用非对称密钥技术常用的非对称密钥算法包括RSA算法、DSA算法、PKCS算法与PGP算法。其中最常见的技术即为RSA算法,它的理论基础是数论中大素数分解,它的保密性随着密钥的长度的增加而增强。但是,现在使用这种算法来加密大量的数据,其实现的速度太慢了,因此该算法现在广泛应用于密钥的分发。重点提示:重点提示:加密的基本思想即是将明文转变为密文,而解密则是将密文转变为明文,这样保证了信息传输的保密性。密钥是加重密算法中的可变参数,密钥的位数长度决定了加密算法
209、的安全性。传统的密码体制包括对称密码体制和非对称密码体制。10.4防火墙10.4.1防火墙的基本概念(1)所有的从外部到内部的通信都必须经过它。(2)只有有内部访问策略授权的通信才能被允许通过。(3)系统本身具有很强的高可靠性。图10-7防火墙的安装位置10.4.2防火墙的基本类型1包过滤路由器图10-8包过滤路由器的工作原理2应用网关图10-9应用网关的工作原理3应用代理图10-10应用代理的工作原理4状态检测状态检测能通过状态检测技术,动态地维护各个连接的协议状态。重点提示:重点提示:防火墙在网络之间通过执行控制策略来保护网络系统,防火墙包括硬件和软件两部分。防火墙根据其实现技术可以分为:
210、包过滤路由器、应用网关、应用代理和状态检测4类。10.4.3防火墙的结构1包过滤型结构包过滤型结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路器来实现的。包过滤型结构对进出内部网络的所有信息进行分析,按照一定的安全策略对这些信息进行分析与限制。2双宿网关结构连接了两个网络的多宿主机称为双宿主机。多宿主机是具有多个网络接口卡的主机,每个接口都可以和一个网络连接,因为它能在不同的网络之间进行数据交换换,因此也称为网关。双宿网关结构即是一台装有两块网卡的主机作为防火墙,将外部网络与同部网络实现物理上的隔开。图10-11双宿网关结构3屏蔽主机结构屏蔽主机结构将所有的外部主机强制与一个堡垒主机相
211、连,从而不允许它们直接与内部网络的主机相连,因此屏撇主机结构是由包过滤路由器和堡垒主机组成的。4屏蔽子网结构屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。在该系统中,从外部包过滤由器开始的部分是由网络系统所属的单位组建的,属于内部网络,也称为“DMZ网络”。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网;内部包过滤路由器和内部堡垒主机则用于对内部网络进行进一步的保护。图10-12包过滤路由器的数据包转发过程图10-13屏蔽子网结构示意图10.4.4防火墙的安装与配置1防火墙的网络接口(1)内网内网一般包括企业的内部网络或是内部网络的一部分。(2)外网外网指的是非企业内部的网络或是Int
212、ernet,内网与外网之间进行通信,要通过防火墙来实现访问限制。(3)DMZ(非军事化区)DMZ是一个隔离的网络,可以在这个网络中放置Web服务器或是E-mail服务器等,外网的用户可以访问DMZ。2防火墙的安装与初始配置给防火墙加电令它启动。将防火墙的Console口连接到计算机的串口上,并通过Windows操作系统的超级终端,进入防火墙的特权模式。配置Ethernet的参数。配置内外网卡的IP地址、指定外部地址范围和要进行转换的内部地址。设置指向内网与外肉的缺省路由。配置静态IP地址映射。设置需要控制的地址、所作用的端口和连接协议等控制选项并设置允许telnet远程登录防火墙的IP地址。保
213、存配置。3防火墙的访问模式(1)非特权模式(2)特权模式(3)配置模式(4)监视模式10.5防病毒10.5.1计算机病毒1计算机病毒的概念计算机病毒是指计算机程序中的一段可执行程序代理,它可以破坏计算机的功能甚至破坏数据从而影响计算机的能力。计算机病毒通过对其他程序的修改,可以感染这些程序,使其成为病毒程序的复制,使之很快蔓延开来,很难根除。2计算机病毒的特征(1)非授权可执行性(2)隐蔽性(3)传染性(4)潜伏性(5)破坏性(6)可触发性3计算机病毒分类(1)按破坏性分类(2)按传染方式分类(3)按连接方式分类10.5.2网络病毒1网络病毒的特征(1)传播方式多样,传播速度快。(2)影响面广
214、(3)破坏性强(4)难以控制(5)病毒变种多样(6)病毒智能化、隐蔽化(7)出现混合病毒2蠕虫与木马(1)蠕虫蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等。与普通病毒相比,而蠕虫不使用驻留文件即可在系统之间进行自我复制,它的传染目标是互联网内的所有计算机。(2)木马“木马”程序是目前比较流行的病毒文件,但是它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。10.5.3网络版防病毒系统1系统中心系统中心实时记录计算机的病毒
215、监控、检测和清除的信息,实现对整个防护系统的自动控制。2服务器端服务器端为网络服务器操作系统应用而设计。3客户端客户端对当前工作站上病毒监控、检测和清除,并在需要时向系统中心发送病毒监测报告。4管理控制台管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。10.6入侵检测10.6.1入侵检测技术的基本概念1入侵检测技术入侵检测技术即是对入侵行为进行检测的技术。2入侵检测技术的分类入侵检测技术分为异常检测和误用检测两种。10.6.2入侵检测系统1入侵检测系统的功能(1)监控和分析系统、用户的行为。(2)评估系统文件与数据文件的完整性。(3)检
216、查系统漏洞。(4)对系统的异常行为进行分析和识别,及时向网络管理人员报警。(5)跟踪管理操作系统,识别无授仅用户活动。2入侵检测系统的结构(1)事件发生器(2)事件分析器(3)响应单元(4)事件数据库3入侵检测系统的分类(1)基于主机的入侵检测(2)基于网络的入侵检测系统图10-15基于主机的入侵检测系统图10-16基于网络的入侵检测技术10.6.3入侵防护系统1入侵防护系统的基本概念入侵防护系统(IntrusionPreventionSystem,IPS)是将防火墙技术和入侵检测技术进行整合的系统,该系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
217、2入侵防护系统的基本结构入侵防护系统是要包括:嗅探器、检测分析组件、策略执行组件、状态开关、日志系统和控制台6个部分。3入侵防护系统的基本分类(1)基于主机的入侵防护系统(Host-basedIntrusionPreventionSystem,HIPS)(2)基于网络的入侵防护系统(Network-basedIntrusionPreventionSystem,NIPS)(3)应用入侵防护系统(ApplicationIntrusionPreventionSystem,AIPS)第11章网络管理本章要点:11.1基本概念11.2网络管理模型11.3ICMP协议11.4故障处理与漏洞扫描11.1.2
218、网络管理的功能1配置管理配置管理监控网络及其所有设备的配置信息,其中包括MIB中定义的配置信息、网络管理标准中未定义但对设备重要的用于管理的辅助信息等的自动获取、自动配置与备份,路由器端口和信息设置的一致性检查以及用户操作日志等。2故障管理故障管理将那些可能导致网络出现中断或瘫痪的因素指出来,并找出必须给予修复的错误。主要任务包括故障监控、报警、故障信息管理、排错支持工具以及检索及分析故障信息。3性能管理性能管理负责测量和监控网络运行的状态,如果某些参数的当前值超过了管理员预先设定好的阈值应及时通知。4安全管理安全管理负责保障网络正常工作,它设定若干的规则用于防止网络遭受有意或无意的破坏,同时
219、防止对于敏感资源的未经授权访问。5计费管理计费管理负责测量与收集所有网络资源的使用情况。它的主要功能包括计费数据采集、数据管理与数据维护、计费政策制定、政策比较与决定比较、数据分析与费用计算以及数据查询。11.2网络管理模型11.2.1OSI管理模型图11-2OSI管理模型11.2.2CMIP管理模型CMIP(通用管理信息协议,CommonManagementInformationProtocol)是与通用管理信息服务CMIS同时使用的一种ISO协议,支持网络管理应用程序和管理代理之间的信息交换服务。CMIS定义了一个网络管理信息服务系统。CMIP提供的一个接口支持ISO和用户定义管理协议。C
220、MIP使用面向对象的模型来组织所有的管理信息,它将每个被管理的设备看成一个个对象,每个被管理的对象又包含若干硬、软件元素。图11-3MIB树的上层结构示意图重点提示:重点提示:CMIP采用面向对象的模型来组织所有和管理信息,每个管理的设置都定义为对象,每个对象包含若干元素,每个元素包含若干属性和特征,形成对象包含关系的树型结构。CMIP还规定了管理站与代理之间的通信机制。11.2.3SNMP管理模型1SNMP管理模型的基本概念SNMP由一系列协议组和规范组成,它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP的体系结构分为SNMP管理者、SNMP代理和MIB,其管理模型是一个管理/
221、代理模型。每一个支持SNMP的网络设备中都包含一个网管代理,网管代理随时记录网络设备的各种信息,网络管理程序再通过SNMP通信协议收集网管代理所记录的信息。从被管理设备中收集数据有两种方法:轮询方法与基于中断的方法。图11-4SNMP管理模型2SNMP的管理进程和管理代理SNMP定义了管理进程和管理代理之间的关系,这个关系称为共同体。位于网络管理工作站上和各网络元素上并利用SNMP相互通信,并实现对网络进行管理的软件统统称为SNMP应用实体。若干个应用实体和SNMP组合起来即形成了一个共同体,不同的共同体之间可以用名字来区分,但这些名字必须符合Internet的层次结构命名规则,应该无保留意义
222、的字符串组成。管理信息报文中包括以下两部分内容:(1)共同体名与发送方的一些附加信息(2)数据版本特点增强SNMPv1简单、容易实现、应用广泛SNMPv2支持完全集中和分布式两种管理扩充了管理信息结构、增强了管理站间的通信能力,添加了新的协议操作SNMPv3达到商业级的安全要求提供了数据源标识、报文完整性认证、报文机密性、授权和访问控制、远程配置和高层管理3SNMP协议的版本表11-1SNMP各版本的比较4SNMP管理信息管MIB管理信息库MIB也称为MIB-2,它指明了网络元素所维持的变量。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。表11-2mib最初管理信息的类别类别标号
223、包含的信息system(1)主机或路由器的操作系统interface(2)各种网络接口及它们的测定通信量Address translation(3)地址转换ip(4)Internet软件(IP分组统计)icmp(5)ICMP软件(已收到ICMP消息的统计)tcp(6)TCP软件(算法、参数和统计)udp(7)UDP软件(UDP通信量统计)egp(8)EGP软件(外部网关协议通信量统计)4SNMP支持的操作(1)get:用于获取特定对象的值,提取指定的网络管理信息。(2)get-next:通过遍历MIB树获取对象的值,提供扫描MIB树和依次检索数据的方法。(3)set:用于修改对象的值,对管理信
224、息进行控制。(4)trap:用于通报重要事件的发生,代理使用它发送非请求性通知给一个或多个预配置的管理工作站,用于向管理者报告管理对象的状态变化。图11-5管理信息库的树型结构5SNMP的工作(1)GetRequest(2)GetNextRequest(3)SetResponse(4)GetResponse(5)Trap重点提示:重点提示:SNMP的体系结构分为SNMP管理者、SNMP代理和MIB,它是一个管理/代理模型。SNMP现在已有三个版本。MIB-2采用和域名系统DNS相似的树型结构,SNMP所支持的操作包括GetRequest、GetNextRequest、SetResponset、
225、GetResponse和Trap。11.2.4CMIP与SNMP管理模型的比较1网络管理的体系结构2管理信息结构SMI3网管协议4管理功能域与管理功能11.3ICMP协议11.3.1ICMP的基本概念ICMP(InternetControlMessageProtocol,,Internet控制消息协议)是TCP/IP协议集中的一个子协议,它是一个工作于网络层的协议,主要用于在主机与路由器之间传递报告错误、交换受限控制和状态信息等控制信息。11.3.2ICMP的报文格式ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面,所以一个ICMP报文包括IP头部、ICMP头
226、部和ICMP报文。表11-3ICMP报文格式类型代码类型描述类型代码类型描述0回送应答12参数失灵3目标不可到达13时间戳请求4源抑制14时间戳应答5重定向15信息请求(已作废)8回送请求16信息应答(已作废)9路由器请求17地址掩码请求10路由器恳求18地址掩码应答11超时11.3.3ICMP的功能与重要性(1)通告目的不可到达(2)通告网络堵塞(3)帮助查找网络故障(4)通告超时(5)路由重定向(6)检查IP协议错误(7)获取子网掩码 重点提示:重点提示:ICMP是一种工作在网络层的管理协议,它用于在IP主机和路由器之间进行控制消息与差错报告的传递。ICMP的主要功能有:通告目的不可到达、
227、通告网络拥塞、帮助查找网络故障、通告超时、路由重定向、检查IP协议错误以及获取子网掩码。11.4故障处理与漏洞扫描11.4.1常见网络故障1硬件故障(1)设备故障设备故障是指网络设备本身出现问题。(2)设备冲突电脑的设备都是要占用某些系统资源的,如中断请求、I/O地址等(3)设备驱动问题设备有时会出现不兼容的情况,如驱动程序、驱动程序与操作系统、驱动程序与主板BIOS之间不兼容。2软件设置故障(1)协议配置问题(2)服务的安装问题(3)网络标识的设置问题(4)网络应用中的其他故障11.4.2网络故障的检测与处理(1)对故障进行分离和排序(2)收集故障信息(3)分析原因(4)故障测试与分析(5)
228、故障排除(6)记录和总结11.4.3漏洞扫描技术漏洞即是指存在于计算机系统的硬件、软件、协议设计以及系统安全等方面的缺陷和不足,漏洞扫描技术即是检测系统安全脆弱性的一种安全技术。(1)在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在(2)通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。如果模拟攻击成功,则表明目标主机系统确实存在安全漏洞。基于网络系统的漏洞扫描器主要扫描所设定的网络内的服务器、路由器、网桥、交换机、访问服务器和防火墙等安全漏洞。通常使用的漏洞扫描工具,它所完成的功能包括:(1)扫描(2)生成报告(3)分析并提出建议扫描速度能够发现的漏洞数量能否支持所定制的攻击方法能够给出清楚的安全漏洞报告对漏洞库进行更新的周期
