《局域网协议设置》word版.doc

局域网协议设置局域网协议设置简介局域网中的一些协议，在安装操作系统时会自动安装。如在安装Windows2000或Windows95/98时，系统会自动安装NetBEUI通信协议。在安装NetWare时，系统会自动安装IPX/SPX通信协议。其中三种协议中，NetBEUI和IPX/SPX在安装后不需要进行设置就可以直接使用，但TCP/IP要经过必要的设置。所以下文主要以Windows2000环境下的TCP/IP协议为主，介绍其安装、设置和测试方法，其他操作系统中协议的有关操作与Windows2000基本相同，甚至更为简单。TCP/IP通信协议的安装在Windows2000中，如果未安装有TCP/IP通信协议，可选择开始/设置/控制面板/网络和拨号连接，右键单击本地连接选择属性将出现本地连接属性对话框，单击对话框中的安装按钮，选取其中的TCP/IP协议，然后单击添加按钮。系统会询问你是否要进行DHCP服务器的设置?如果你局域网内的IP地址是固定的(一般是这样)，可选择否。随后，系统开始从安装盘中复制所需的文件。TCP/IP协议安装TCP/IP通信协议的设置在网络对话框中选局域网择已安装的TCP/IP协议，打开其属性，将出现Internet协议(TCP/IP)属性的对话框。在指定的位置输入已分配好的IP地址和子网掩码，不知道可以去询问网络管理员。建议在安装系统前记下此号码，毕竟求人不如求己嘛。如果该用户还要访问其它Widnows2000网络的资源，还可以在默认网关处输入网关的地址。TCP/IP通信协议的测试当TCP/IP协议安装并设置结束后，为了保证其能够正常工作，在使用前一定要进行测试。我建议大家使用系统自带的工具程序：PING命令，该工具可以检查任何一个用户是否与同一网段的其他用户连通，是否与其他网段的用户连接正常，同时还能检查出自己的IP地址是否与其他用户的IP地址发生冲突。假如服务器的IP地址为190.201.2.1，如要测试你的机器是否与服务器接通时，只需切换到DOS提示符下，并键入命令PING 190.201.2.1即可。如果出现类似于Replyfrom 190.201.2.1的回应，说明TCP/IP协议工作正常；如果显示类似于Requesttimedout的信息，说明双方的TCP/IP协议的设置可能有错，或网络的其它连接(如网卡、HUB或连线等)有问题，还需进一步检查。编辑本段局域网安全简介目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。当前，局域网安全的解决办法有以下几种：网络分段网络分段通常被认局域网为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。目前，海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符(包括用户名、密码等重要信息)，都将被明文发送，这就给黑客提供了机会。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。VLAN的划分为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机(包括海关内部普遍采用的DECMultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS)，也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN(Switch PortAnalyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪英雄有用武之地。编辑本段无线局域网安全技术简介通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点联接起来时，架设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。WLAN就是解决有线网络以上问题而出现的，WLAN为WirelessLAN的简称，即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。与有线网络相比，WLAN最主要的优势在于不需要布线，可局域网以不受布线条件的限制，因此非常适合移动办公用户的需要，具有广阔市场前景。目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去，甚至开始进入家庭以及教育机构等领域。无线局域网与传统有线局域网相比优势不言而喻，它可实现移动办公、架设与维护更容易等。Frost&Sullivan公司预测无线局域网络市场在2005年底将达到50亿美元。在如此巨大的应用与市场面前，无线局域网络安全问题就显得尤为重要。人们不禁要问：通过电波进行数据传输的无线局域网的安全性有保障吗?对于无线局域网的用户提出这样的疑问可以说不无根据，因为无线局域网采用公共的电磁波作为载体，而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体，因此在一个无线局域网接入点(AccessPoint)的服务区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号。这样，非授权的客户端也能接收到数据信号。也就是说，由于采用电磁波来传输信号，非授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络，从无线局域网应用的第一天开始便引入了相应的安全措施。实际上，无线局域网比大多数有线局域网的安全性更高。无线局域网技术早在第二次世界大战期间便出现了，它源自于军方应用。一直以来，安全性问题在无线局域网设备开发及解决方案设计时，都得到了充分的重视。目前，无线局域网络产品主要采用的是IEEE(美国电气和电子工程师协会)802.11 b国际标准，大多应用DSSS(DirectSequenceSpreadSpectrum，直接序列扩频)通信技术进行数据传输，该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。802.11标准主要应用三项安全技术来保障无线局域网数据传输的安全。第一项为SSID(ServiceSetIdentifier)技术。该技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络；第二项为MAC(MediaAccessControl)技术。应用这项技术，可在无线局域网的每一个接入点(AccessPoint)下设置一个许可接入的用户的MAC地址清单，MAC地址不在清单中的用户，接入点(AccessPoint)将拒绝其接入请求；第三项为WEP(WiredEquivalentPrivacy)加密技术。因为无线局域网络是通过电波进行数据传输的，存在电波泄露导致数据被截听的风险。WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。下面我们从无线局域网安全技术的发展历程来对无线局域网中采用的主要安全技术及发展方向进行介绍。早期基本的无线局域网安全技术MAC过滤无线网卡物理地址(MAC)过滤：每个无线工作站网卡都由惟一的物理地址标示，该物理地址编码方式类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。如果企业当中的AP数量太多，为了实现整个企业当中所有AP统一的无线网卡MAC地址认证，现在的AP也支持无线网卡MAC地址的集中Radius认证。服务区标识符(SSID)匹配：无线工作站必须出示正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝他通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。有线等效保密(WEP)：有线等效保密(WEP)协议是由802.11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。WEP加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，只有正确无误，才能获准存取网络的资源。40位WEP具有很好的互操作性，所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的钥匙，提供更高等级的安全加密。802.11 i(WPA)之前的安全解决方案802.11技术端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)：该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。802.1x要求局域网无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。现主流的PC机操作系统WinXP以及Win2000都已经有802.1x的客户端功能。现在，安全功能比较全的AP在支持IEEE802.1x和Radius的集中认证时支持的可扩展认证协议类型有：EAP-MD5&TLS、TTLS和PEAP。无线客户端二层隔离技术：在电信运营商的公众热点场合，为确保不同无线工作站之间的数据流隔离，无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离，确保用户的安全。VPN-Over-Wireless技术：目前已广泛应用于广域网络及远程接入等领域的VPN(VirtualPrivateNetworking)安全技术也可用于无线局域网。与IEEE 802.11b标准所采用的安全技术不同，VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户，将现有的VPN安全技术与IEEE 802.11b安全技术结合起来，是目前较为理想的无线局域网络的安全解决方案之一。2003年快速发展的WPA(Wi-Fi保护访问)技术在IEEE 802.11i标准最终确定前，WPA(Wi-FiProtectedAccess)技术将成为代替WEP的无线安全标准协议，为IEEE 802.11无线局域网提供更强大的安全性能。WPA是IEEE 802.11i的一个子集，其核心就是IEEE802.1x和TKIP。新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了密钥细分(每发一个包重新生成一个新的密钥)、消息完整性检查(MIC)、具有序列功能的初始向量和密钥生成和定期更新功能等4种算法，极大地提高了加密安全强度。TKIP与当前Wi-Fi产品向后兼容，而且可以通过软件进行升级。从2003年的下半年开始，Wi-Fi组织已经开始对支持WPA的无线局域网设备进行认证。高级的无线局域网安全标准-IEEE 802.11i为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容，IEEE 802.11工作组目前正在开发作为新的安全标准的IEEE 802.11i，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草案中主要包含加密技术：TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)，以及认证协议IEEE802.1x。预计完整的IEEE 802.11i的标准将在2004年的上半年得到正式批准，IEEE 802.11i将为无线局域网的安全提供可信的标准支持。无线局域网安全技术的发展方向无线局域网总的发展方向是速度会越来越快(目前已见的是11Mbps的IEEE 802.11b，54Mbps的IEEE 802.11g与IEEE 802.11a标准)，安全性会越来越高。当然无线局域网的各项技术均处在快速的发展过程当中，但54Mbps的无线局域网规范IEEE 802.11g及IEEE802.1X将是近期整个无线局域网业的热点。作为一名网管员来说，对无线局域网的安全防护应考虑以下防范点和措施：安全防范点：1.未经授权用户的接入2.网上邻居的攻击3.非法用户截取无线链路中的数据4.非法AP的接入5.内部未经授权的跨部门使用相应措施：1.使用各种先进的身份认证措施，防止未经授权用户的接入由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。2.利用MAC阻止未经授权的接入每块无线网卡都拥有唯一的一个MAC地址，为AP设置基于MAC地址的AccessControl(访问控制表)，确保只有经过注册的设备才能进入网络。使用802.1x端口认证技术进行身份认证使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。3.使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译基本的WEP加密WEP是IEEE 802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即设置WEP密钥。4.利用对AP的合法性验证以及定期进行站点审查，防止非法AP的接入在无线AP接入有线集线器的时候，可能会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP，则需要通过定期的站点审查来防止非法AP的接入。在入侵者使用网络之前，通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测。5.利用ESSID、MAC限制防止未经授权的跨部门使用利用ESSID进行部门分组，可以有效地避免任意漫游带来的安全问题；MAC地址限制更能控制连接到各部门AP的终端，避免未经授权的用户使用网络资源。保障整个网络安全是非常重要的，无论是否有无线网段，大多数的局域网都必须要有一定级别的安全措施。而无线网络相对来说比较安全，无线网段即或不能提供比有线网段更多的保护，也至少和它相同。需要注意的是，无线局域网并不是要替代有线局域网，而是有线局域网的替补。使用无线局域网的最终目标不是消除有线设备，而是尽量减少线缆和断线时间，让有线与无线网络很好地配合工作。参考一、发展中的IEEE802.1x无线局域网安全标准一开始，IEEE 802.11提供了一些基本的安全机制，这使得无线网日益增强的自由较少潜在威胁。在802.11规范中通过有线同等保密(WiredEquivalentPrivacyWEP)算法提供了附加的安全性。这一安全机制的一个主要限制是：没有规定一个分配密钥的管理协议。因此，脆弱的安全机制使它不足以阻挡任何人，更何况是黑客的攻击。为了补救WEP在安全性上的不足，需要通过IEEE802.1x协议。802.1x是一个基于端口的标准草案。网络接入控制提供以太网的网络接入的鉴权。这种基于端口的网络接入控制使用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。如果认证过程失败，端口接入将被阻止。尽管此标准是为有线以太网设计，它也可用于802.11无线局域网。对无线网络来说，802.1x支持远程拨号用户签名服务(RemoteAuthenticationDial-InServiceRADIUS)，接入点将采用对客户证书认证的RADIUS服务器作为网络接入的认证者。802.1x还支持集中式的Kerberos用户签名、验证和记账，并且实现了更强的协议。通信被允许通过一个逻辑非控制端口或信道来验证证书的有效性而通过一个逻辑控制端口来获得接入网