2[1].以太网宽带接入教材.doc

中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 1 目录目录 目录目录 1 第一章第一章 计算机网络基础知识计算机网络基础知识 4 第一节 计算机网络 4 第二节 计算机网络的发展过程 4 第三节 计算机网络的组成 5 一 计算机网络主要由网络硬件和软件系统组成 5 二 计算机网络包括资源子网和通信子网两大部分 5 第四节 常见网络拓扑结构 6 第五节 计算机网络的分类 8 一 局域网 8 二 广域网 10 第六节 衡量网络性能的标准 11 第七节 计算机网络的功能与应用 12 一 计算机网络的主要功能 12 二 计算机网络应用的主要领域 13 第八节 网络安全与管理技术 14 一 网络威胁与对策 14 二 常用网络安全技术 16 三 网络防病毒技术 16 第二章第二章 计算机网络体系结构计算机网络体系结构 19 第一节 分层体系结构与网络协议 19 一 分层体系结构 19 二 网络协议 19 第二节 OSI 参考模型 20 一 OSI 参考模型 20 二 数据封装与解封 21 三 物理层 23 四 数据链路层 24 五 网络层 25 六 传输层 26 七 会话层 表示层和应用层 26 第三节 TCP IP 参考模型 27 一 TCP IP 协议栈 28 二 应用层 29 三 传输层 30 四 网络层 32 第四节 OSI 与 TCP IP 体系结构的比较 34 第五节 IP 地址与子网规划 35 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 2 一 IP 地址介绍 35 二 IP 地址的分类 37 三 特殊的 IP 地址 38 四 子网规划 40 五 IPV6 地址 43 第三章第三章 网络互连设备网络互连设备 46 第一节 网络传输介质 46 一 双绞线 46 二 光纤 47 第二节 物理层互连设备 48 一 中继器 48 二 集线器 48 第三节 数据链路层设备 49 一 网桥 49 二 交换机 50 第四节 网络层互连设备 51 一 路由器 51 二 路由器的分类 53 第五节 应用层互连设备 54 一 网关 54 二 防火墙 55 第四章第四章 交换机的配置与应用交换机的配置与应用 58 第一节 以太网交换机基础 58 一 以太网 58 二 交换机的基本原理 59 第二节 配置以太网交换机 65 第三节 VLAN 技术 68 一 VLAN 技术 68 二 VLAN 的分类 69 三 端口技术 72 四 VLAN 的基本配置 73 五 配置命令 74 第五章第五章 路由器的配置与应用路由器的配置与应用 77 第一节 路由器基础 77 一 路由器的工作原理 77 二 路由及路由表 79 第二节 路由器的基本配置 81 一 配置路由器 81 二 命令行概述 82 三 基本操作命令 85 第三节 动态路由协议基本原理 89 一 动态路由协议基本原理 89 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 3 二 路由信息协议 RIP 89 三 开放最短路由优先协议 OSPF 90 第四节 静态路由及配置 93 一 静态路由 93 二 静态路由配置 93 三 缺省路由 94 四 路由自环 95 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 4 第一章第一章 计算机网络基础知识计算机网络基础知识 第一节第一节 计算机网络计算机网络 网络 network 是一个复杂的人和物的互联系统 我们周围存在着很多网络 例如电 话网 电报网等 即使我们身体内部也存在许许多多的网络系统 例如神经系统 消化系 统等等 在计算机网络出现的前期 计算机都是独立的设备 每台计算机独立工作 互不联系 计算机与通信技术的结合 对计算机系统的组织方式产生了深远的影响 使计算机之间的 相互访问成为可能 不同种类的计算机通过同种类型的通信协议 Protocol 相互通信 产 生了计算机网络 computer network 计算机网络 就是把分布在不同地理区域的计算机以及专门的外部设备利用通信线路 互联成一个规模大 功能强的网络系统 从而使众多的计算机可以方便地相互传递信息 共享信息资源 注 我们给出如此广泛的定义是因为 IT 业迅速发展 各种网络互联终端 设备层出不穷 像计算机 打印机 WAP Wireless Application Protocol 手机 PDA PersonalDigital Assistant 网络电话等各种支持网络互联的设备 第二节第二节 计算机网络的发展过程计算机网络的发展过程 计算机网络起始于六十年代 当时网络的概念主要是基于主机 host 架构的低速串 行 serial 联接 提供应用程序执行 远程打印和数据服务功能 IBM 的 SNA System Network Architecture 系统网络架构 架构与非 IBM 公司的 X 25 公用数据网络是这种网 络的典型例子 这时候 由美国国防部资助 建立了一个名为 ARPANET 即为阿帕网 的基于分组交换 packet switching 的网络 这个阿帕网就是今天的 Internet 最早的雏形 七十年代 出现了以个人电脑为主的商业计算模式 最初 个人电脑是独立的设备 由于认识到商业计算的复杂性 要求大量终端设备的协同操作 局域网 LAN Local Area Network 产生了 局域网的出现 大大降低了商业用户打印机和磁盘昂贵的费用 八十年代至九十年代 远程计算的需求不断地增加 迫使计算机界开发出多种广域网 络协议 包括 TCP IP 协议 IPX SPX 协议 满足不同计算方式下远程联接的需求 互联 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 5 网快速发展起来 TCP IP 协议得到了广泛应用 成为互联网的事实协议 第三节第三节 计算机网络的组成计算机网络的组成 计算机网络由计算机系统 包括计算机和终端 通信链路和连接设备及通信协议组成 所以我们可以从两个方面来看计算机网络的组成 一 计算机网络主要由网络硬件和软件系统组成 一 计算机网络主要由网络硬件和软件系统组成 1 网络硬件系统包括 计算机 网络服务器 网络工作站 通信线路 通信设备 其它设备 外部设备 防火墙 1 网络服务器 被网络用户访问的计算机系统 包括供网络用户使用的各种资源 并负责对这些资源的管理 协调网络用户对这些资源的访问 2 网络工作站 能使用户在网络环境上进行工作的计算机 常被称为客户机 3 通信线路 同轴细缆 双绞线 光纤 微波等 4 通信设备 集线器 Hub 中继器 repeater 交换机 Switch 路由器 Router 网络接口卡 NIC 简称网卡 调制解调器 Modem 网关 gateway 5 外部设备 可被网络用户共享的常用硬件资源 通常指一些大型的 昂贵的外部 设备 如大型激光打印机 绘图设备 大容量存储系统等 6 防火墙 是在内联网和互联网之间构筑的一道屏障 用以保护内联网中的信息 资源等不受来自互联网中非法用户的侵犯 2 网络软件系统包括 网络系统软件和应用软件 1 网络系统软件 控制及管理网络运行和网络资源使用 如协议软件 通信软件 为用户提供了访问网络和操作网络的入机接口 如 Windows 2000 server 网络操作系统 2 网络应用软件 指为某一个应用目的而开发的网络软件 如 IE Outlook Express 二 计算机网络包括资源子网和通信子网两大部分二 计算机网络包括资源子网和通信子网两大部分 通常从逻辑上将网络划分两大部分 资源子网和通信子网 也可以说计算机网络是由 资源子网和通信子网组成的 1 通信子网 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 6 通信子网是网络中面向数据传输或者数据通信的部分资源集合 主要支持用户数据的 传输 子网包括传输线路 网络设备和网络控制中心等软硬件设施 邮电通信部门提供的 网络一般都作为通信子网 企业网 校园网中除了服务器和计算机外的所有网络外设和网 络线路构成的网络也可称为通信子网 通信子网与具体应用无关 2 资源子网 资源子网是网络中面向数据处理的资源集合 主要支持用户的应用 资源子网由用户 的主机资源组成 包括接入网络的用户的主机以及面向应用的外设 如 终端 软件和可 共享的数据 如 公共数据库 等 第四节第四节 常见网络拓扑结构常见网络拓扑结构 拓扑 topology 结构定义了组织网络设备的方法 在总线型拓扑结构中 网络中的所有设备都连接到一个线性的网络介质上 这个线性 的网络介质称为总线 当一个节点在总线拓扑网络上传送数据时 数据会向所有节点传送 每一个设备检查经过它的数据 如果数据不是发给它的 则该设备丢弃数据 如果数据是 发向它的 则接收数据并将数据交给上层协议处理 典型的总线拓扑具有简单的线路布局 该布局使用较短的网络介质 相应地 所需要的线缆花费也较低 缺点是很难进行故障诊 断和故障隔离 一旦总线出现故障 就会导致整个网络故障 而且 局域网任一个设备向 所有设备发送数据 消耗了大量带宽 大大影响了网络性能 图 1 1 总线型结构 星型拓扑结构有一个中心控制点 当使用星型拓扑时 连接到局域网上的设备间的通 信是通过与集线器或交换机的点到点的连线进行的 星型拓扑易于设计和安装 网络介质 直接从中心的集线器或交换机处连接到工作站所在区域 星型拓扑易于维护 网络介质的 布局使得网络易于修改 并且更容易对发生的问题进行诊断 在局域网构建中 大量采用 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 7 了星型拓扑结构 当然 星型拓扑也有缺点 一旦中心控制点设备出现了问题 容易发生 单点故障 每一段网络介质只能连接一个设备 导致网络介质数量增多 局域网安装成本 相应提升 图 1 2 星型结构 环形拓扑结构各结点通过通信线路组成闭合回路 环中数据只能单向传输 优点 结 构简单 容易实现 适合使用光纤 传输距离远 传输延迟确定 缺点 环网中的每个结 点均成为网络可靠性的瓶颈 任意结点出现故障都会造成网络瘫痪 另外故障诊断也较困 难 最著名的环形拓扑结构网络是令牌环网 Token Ring 图 1 3 环型结构 树型拓扑结构是一种层次结构 结点按层次连结 信息交换主要在上下结点之间进行 相邻结点或同层结点之间一般不进行数据交换 优点 连结简单 维护方便 适用于汇集 信息的应用要求 缺点 资源共享能力较低 可靠性不高 任何一个工作站或链路的故障 都会影响整个网络的运行 网状拓扑结构又称作无规则结构 结点之间的联结是任意的 没有规律 优点 系统 可靠性高 比较容易扩展 但是结构复杂 每一结点都与多点进行连结 因此必须采用路 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 8 由算法和流量控制方法 图 1 4 网状结构 局域网 LAN 有总线 bus 型 星型 star 等多种拓扑结构 广域网 WAN 常见的网络拓扑结构有星型 树型 全网状 Full meshed 半网状 等等 第五节第五节 计算机网络的分类计算机网络的分类 由于连接介质的不同 通信协议的不同 计算机网络的种类划分方法名目繁多 但一 般来讲 计算机网络可以按照它覆盖的地理范围 划分成局域网和广域网 以及介于局域 网和广域网之间的城域网 MAN Metropolitan Area Network 本小节重点介绍局域网和 广域网 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 9 一 局域网一 局域网 图 1 5 现代局域网模型 局域网 LAN Local Area Network 是将小区域内的各种通信设备互连在一起所形成 的网络 覆盖范围一般局限在房间 大楼或园区内 局域网一般指分布于几公里范围内的 网络 局域网的特点是 距离短 延迟小 数据速率高 传输可靠 IEEE 802 X 标准是当今居于主导地位 LAN 标准 目前我国常见的局域网类型包括 以太网 Ethernet 异步传输模式 ATM Asynchronous Transfer Mode 等 它们在拓朴结构 传输介质 传输速率 数据 格式等多方面都有许多不同 其中应用最广泛的当属以太网 一种总线结构的 LAN 是目前发展最迅速 也最经济的局域网 LAN 的设计目标主要面对有限的地理区域 它允许同时访问高带宽的介质 LAN 通 过局部管理控制网络的私有权利 提供全时的局部服务 其连接物理设备一般在相对较近 的环境中 局域网络建设时常用网络设备有 1 线缆 cable 局域网的距离扩展通常需要通过线缆来实现 不同的局域网有不 同连接线缆 如光纤 fiber 双绞线 twisted pair 同轴电缆等 2 网卡 NIC Network Interface Card 插在计算机主板插槽中 负责将用户要传递 的数据转换为网络上其它设备能够识别的格式 通过网络介质传输 它的主要技术参数为 带宽 总线方式 电气接口方式等 3 集线器 Hub 是单一总线共享式设备 提供很多网络接口 负责将网络中多个 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 10 计算机连在一起 所谓共享是指集线器所有端口共用一条数据总线 同一时刻只能有一个 用户传输数据 因此平均每用户 端口 传递的数据量 速率等受活动用户 端口 总数 量的限制 4 交换机 Switch 也称交换式集线器 Switched Hub 它同样具备许多接口 提 供多个网络节点互连 但它的性能却较共享集线器 Shared Hub 大为提高 相当于拥有 多条总线 使各端口设备能独立地作数据传递而不受其它设备影响 表现在用户面前即是 各端口有独立 固定的带宽 此外 交换机还具备集线器欠缺的功能 如数据过滤 网络 分段 广播控制等 5 路由器 Router 路由器是一种用于网络互连的计算机设备 它工作在 OSI 参 考模型的第三层 网络层 为不同的网络之间报文寻径并存储转发 通常路由器还会支持 两种以上的网络协议以支持异种网络互联 一般的路由器还会运行一些动态路由协议以实 现动态寻径 二 广域网二 广域网 WAN 定义 在大范围区域内提供数据通信服务 主要用于互连局域网 WAN 连接地理范围较大 常常是一个国家或是一个洲 中国公用分组交换网 CHINAPAC 中国公用数字数据网 CHINADDN 以及建议中的国家教育和科研网 CERnet CHINANET 等都属于广域网 WAN 的目的是为了让分布较远的各局域网互连 所以它的结构又分为末端系统 end system 两端的用户集合 和通信系统 中间链路 两部分 通信系统是广域网的关键 它主要有以下几种 1 公共电话网 即 PSTN Public Switched Telephone Network 这种系统使用电路 交换技术 必须给每一个通话分配一个专用的语音通道 消息是以模拟的形式在 PSTN 上 传送的 传输介质是普通电话线 它的特点是费用低 易于建立 且分布广泛 2 综合业务数字网 即 ISDN Integrated Service Digital Network 是一种拨号连接 方式 ISDN BRI 提供的是 2B D 的数据通道 每个 B 通道速率为 64Kbps 其速率最高可 达到 128kbps ISDN PRI 有两种标准 欧洲标准 30B D 和北美标准 23B D ISDN 为数字传输方式 具有连接迅速 传输可靠等特点 并支持对方号码识别 ISDN 话 费较普通电话略高 但它的双通道使其能同时支持两路独立的应用 是一项对个人或小型 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 11 办公室较适合的网络接入方式 3 专线 即 Leased Line 在中国称为 DDN 是一种点到点的连接方式 速度一般 选择 64kbps 2 048Mbps 专线的好处是数据传递有较好的保障 带宽恒定 但价格昂贵 而且点到点的结构不够灵活 4 X 25 网 是一种出现较早且依然应用广泛的广域网方式 速度为 9600bps 2Mbps 有冗余纠错功能 可靠性高 但由此带来的副效应是速度慢 延迟大 5 帧中继 即 Frame Relay 是在 X 25 基础上发展起来的较新技术 速度一般选择 为 64kbps 2 048Mbps 帧中继的特点是灵活 弹性 可实现一点对多点的连接 并且在 数据量大时可超越约定速率 CIR Commited Information Rate 传送数据 允许用户在传 输数据时有一定的突发量 是一种较好的商业用户连接选择 6 异步传输模式 即 ATM Asynchronous Transfer Mode 是一种信元交换网络 最大特点的速率高 延迟小 传输质量有保障 ATM 大多采用光纤作为连接介质 速率 可高达上千兆 但成本也很高 ATM 也可以称作广域网协议 WAN 通常采用两种交换模式运行 即电路交换 circuit switching 和分组交换 packet switching 技术 1 电路方式是基于电话网电路交换的原理 当用户要求发送数据时 交换机就在主 叫用户和被叫用户之间接通一条物理的数据传输通路 特点是时延小 透明 传输 即传 输通路对用户数据不进行任何修正或解释 信息传输的吞吐量大 缺点是所占带宽固定 网络资源利用率低 传统的 PSTN ISDN 网络基于电路交换模式 2 分组方式是一种存储转发的交换方式 它是将需要传输的信息划分为一定长度 ATM 或可变长度的包 分组 以分组为单位进行存储转发的 每个分组信息都载有 接收地址和发送地址的标识 分组方式在线路上采用动态复用的技术来传送各个分组 带 宽可以复用 网络资源利用率高 缺点是实时性不好 广域网在超过局域网的地理范围内运行 它通过各种类型的串行连接以便在更大的地 理区域内实现接入 通常 企业网往往通过广域网线路接入到当地 ISP 广域网可以提供 全部时间和部分时间的连接 允许通过串行接口在不同的速率工作 广域网常用设备有 1 路由器 Router 广域网通信过程根据地址来寻找到达目的地的路径 这个过 程在广域网中称为路由 Routing 路由器负责在各段广域网和局域网间根据地址信息建 立路由 将数据送到最终目的地 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 12 2 调制解调器 Modem 作为末端系统和通信系统之间信号转换的设备 是广域 网中必不可少的设备之一 Modem 分为同步和异步两种 分别用来与路由器的同步和异步 串口相连接 同步可用于专线 帧中继 X 25 等 异步用于 PSTN 的连接 第六节第六节 衡量网络性能的标准衡量网络性能的标准 带宽 bandwidth 和延迟 delay 是衡量网络性能的两个主要指标 1 带宽 描述在一定时间范围内数据从网络的一个节点传送到任意节点的容量 通 常用 bit s 表示 LAN 和 WAN 都使用带宽 bandwidth 来描述网络上数据在一定时刻从 一个节点传送到任意节点的信息量 带宽分为两类 模拟带宽和数字带宽 本书所述的带宽指数字带宽 带宽的单位是位 每秒 bps bit per second 代表每秒钟一个网段发送的数据位数 带宽是一个比较模糊的 概念 我们可以这样理解 假定您正在一条 8 车道的高速公路上驱车回家 当您驶离高速 公路后 道路可能会变窄 变为 4 车道 当到您家门口时 变为了 2 车道 带宽就像道路 高速公路就像广域网线路的带宽 其他道路就像局域网的带宽 道路上的汽车就像物理链 路上承载的数据信息 如果高速公路上车辆过多 会堵车 同样地 如果网络中数据流量 过大 也会发生拥塞现象 目前常见的网络带宽有以太网技术的 10M 100M 1000Mbps 等 Modem 拨号上网带宽为 56kbps ISDN BRI 带宽最高为 128Kbps E1 PRI 带宽为 2Mbps E3 带宽为 34Mbps OC 3 带宽为 155Mbps OC 12 带宽为 622Mbps OC 48 带宽 为 2 5Gbps OC 192 带宽为 10Gbps 2 网络的时延 delay 又称延迟 定义了网络把一位数据从一个网络节点传送到 另一个网络节点所需要的时间 网络延迟主要由传导延迟 propagation delay 交换延迟 switching delay 介质访问延迟 access delay 和队列延迟 queuing delay 组成 总之 网络中产生延迟的因素很多 可能是网络设备的问题 也可能是传输介质 网络协议标准 的问题 可能是硬件 也可能是软件的问题 第七节第七节 计算机网络的功能与应用计算机网络的功能与应用 一 计算机网络的主要功能一 计算机网络的主要功能 一般来说 计算机网络的主要功能有 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 13 1 资源共享 网络的出现使资源共享变得很简单 交流的双方可以跨越空间的障碍 随时随地传递 信息 2 信息传输与集中处理 数据时通过网络传递到服务器 server 中 由服务器集中处理后再回到终端 3 负载均衡与分布处理 举个典型的例子 一个大型 ICP Internet 内容提供商 为了支持更多的用户访问他的 网站 在全世界多个地方放置了相同内容的 WWW World Wide Web 服务器 通过一定 技术使不同地域的用户看到放置在离他最近的服务器上的相同页面 这样来实现各服务器 的负载均衡 同时用户也节省了访问时间 4 综合信息服务 网络的一大发展趋势是多维化 即在一套系统上提供集成的信息服务 包括来政治 经济等各方面资源 甚至同时还提供多媒体信息 如图像 语音 动画等 在多维化发展 的趋势下 许多网络应用的新形式不断涌现 如 电子邮件 E mail 视频点播 VOD Video On Demand 电子商务 E commerce 和视频会议 Video conference 等 图 1 6 计算机网络的功能 二 计算机网络应用的主要领域二 计算机网络应用的主要领域 5 网络通信 通过 Internet 收发 E mail 已经相当普遍 它为人们的快速联系提供极 大地方便 通过 IP 电话进行长途通话可以大大降低通话费用 随着高速和宽带网络技术的 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 14 发展 将给传统的电信业务带来很大的变化 6 信息检索 随着 Internet 的迅速发展 网上的信息越来越多 用户可以通过计算 机轻松访问这些信息 7 电子商务 电子商务通常是指是在全球各地广泛的商业贸易活动中 在因特网开 放的网络环境下 基于浏览器 服务器应用方式 买卖双方不谋面地进行各种商贸活动 实 现消费者的网上购物 商户之间的网上交易和在线电子支付以及各种商务活动 交易活动 金融活动和相关的综合服务活动的一种新型的商业运营模式 8 科学计算 或称为数值计算 早期的计算机主要用于科学计算 目前 科学计 算仍然是计算机应用的一个重要领域 如高能物理 工程设计 地震预测 气象预报 航 天技术等 由于计算机具有高运算速度和精度以及逻辑判断能力 因此出现了计算力学 计算物理 计算化学 生物控制论等新的学科 9 过程检测与控制 利用计算机对工业生产过程中的某些信号自动进行检测 并把 检测到的数据存入计算机 再根据需要对这些数据进行处理 这样的系统称为计算机检测 系统 特别是仪器仪表引进计算机技术后所构成的智能化仪器仪表 将工业自动化推向了 一个更高的水平 10 信息管理 数据处理 信息管理是目前计算机应用最广泛的一个领域 利用计 算机来加工 管理与操作任何形式的数据资料 如企业管理 物资管理 报表统计 帐目 计算 信息情报检索等 近年来 国内许多机构纷纷建设自己的管理信息系统 MIS 生 产企业也开始采用制造资源规划软件 MRP 商业流通领域则逐步使用电子信息交换系 统 EDI 即所谓无纸贸易 11 计算机辅助系统 1 计算机辅助设计 CAD 2 计算机辅助制造 CAM 3 计算机辅助测试 CAT 4 计算机辅助教学 CAI 第八节第八节 网络安全与管理技术网络安全与管理技术 网络安全历来都是人们讨论的主要话题之一 网络安全不但要求防治网络病毒 还要 提高网络系统抵抗外来非法黑客入侵的能力 以及提高对远程数据传输的保密性 避免在 传输途中遭受非法窃取 下面从威胁 对策 缺陷 攻击的角度来分析网络系统的安全 从攻击者的角度考虑问题 并了解他们的可能手段 在采取对策时会更有效 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 15 一 网络威胁与对策一 网络威胁与对策 构成网络基础结构的主要组件有路由器 防火墙和交换机 它们担当网关守卫的角色 保护用户的服务器和应用程序不受攻击与入侵 常见的网络缺陷包括脆弱的默认安装设置 对外开放的访问控制及缺少最新安全补丁的系统 网络主要的威胁与对策有以下几种 信息收集 通常 攻击者最初是扫描网络设备端口 识别出开放端口后 利用标题抓取与 枚举的方法检测设备类型 并确定操作系统和应用程序的版本 掌握这些信息后 攻击者 可以攻击已知的缺陷 这些缺陷可能没有更新安全补丁 阻止信息收集的对策是配置路由 器 限制它们对足迹请求的响应 配置承载网络软件 如软件防火墙 的操作系统 通过 禁用不使用的协议和不必要的端口 可以阻止信息收集 1 探查 探查或者窃听是指监视网络上数据 如明文密码或者配置信息 传输信息 的行为 利用简单的数据包探测器 攻击者可以很轻松地读取所有的明文传输信息 同时 攻击者可以破解用较简单的散列算法加密的数据包 并解密用户认为是安全的有用数据包 探查数据包需要在服务器 客户端通信的通道中安装数据包探测器 网络管理技术就是监督 组织和控制网络通信服务以及信息处理所必需的各种技术手段和措施的总称 其目标是确 保计算机网络的持续正常运行 并在计算机网络运行出现异常时能及时响应和排除故障 阻止探查的对策是使用强有力的物理安全措施并适当对网络进行分段 这是阻止传输 信息在本地被收集的第一步 通信完全加密 包括对凭据的身份验证 这可以防止攻击者 使用探查到的数据包 SSL Security Socket Layer 加密套接字协议层 与 IPSec Internet 协议安全性 就是这种加密解决方案的措施 2 欺骗 欺骗是一种隐藏某人在网上真实身份的方式 为创建一个欺骗身份 攻击 者要使用一个伪造的源地址 该地址不代表数据包的真实地址 可以使用欺骗来隐藏最初 的攻击源 或者绕开存在的网络访问控制列表 ACL 它根据源地址规则限制主机访问 虽然不可能根据精心制作的欺骗数据包追踪到原始的发送者 但是组合筛选规则可以防止 欺骗数据包起源于用户的网络 使用户可以拦截明显的欺骗数据包 防止欺骗的对策是筛 选看上去是来自周边内部 IP 地址的传入数据包 和筛选看上去是源于无效本地 IP 地址的 外出数据包 3 会话劫持 也称为中间人攻击 当攻击者拦截在用户和用户期望的接收者之间发 送的消息时 就会发生中间人攻击 然后 攻击者更改用户的消息并将它发送给原来的接 收者 接收者接收到消息而且认为是用户发送的 并对之采取行动 当接收者给用户发回 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 16 消息 攻击者拦截它 更改它 再发送给用户 用户和用户的接收者不会知道他们的会话 已经被攻击 防止会话劫持的对策是使用加密的会话协商 和使用加密的通信通道 及时 获取有关平台补丁的信息 修补 TCP IP 缺陷 例如 可预测的数据包序列 4 拒绝服务 拒绝服务 DoS Denial of Service 的攻击行为被称为 DoS 攻击 其 目的是使计算机或网络无法提供正常的服务 最常见的 DoS 攻击有计算机网络带宽攻击和 连通性攻击 带宽攻击指以极大的通信量冲击网络 使得所有可用网络资源都被消耗殆尽 最后导致合法的用户请求无法通过 连通性攻击指用大量的连接请求冲击计算机 使得所 有可用的操作系统资源都被消耗殆尽 最终计算机无法再处理合法用户的请求 防止拒绝服务的对策是使用最新的服务包 通过应用适当的注册表设置强化 TCP IP 堆 栈 以增大 TCP 连接队列的大小 缩短建立连接的周期 并利用动态储备机制来确保连 接队列永远不会耗尽 使用网络入侵检测系统 IDS 因为这可以自动检测与回应联机请 求溢满攻击 SYN Floods 二 常用网络安全技术二 常用网络安全技术 1 身份验证 身份是对网络用户 主机 应用 服务以及资源的准确而肯定的识别 可用来进行识别的标准技术包括诸如 RADIUS TACACS 和 Kerberos 之类的认证协议以 及一次性密码工具 诸如数字证书 智能卡以及目录服务等新的技术也逐渐在身份解决方 案中扮演着越来越重要的角色 2 边界安全 这一部分提供了对关键的网络应用 数据和服务的访问控制 以便只 允许合法的用户和信息通过网络 带访问控制列表 ACL 状态防火墙的路由器和交换机 以及专用的防火墙设备都提供了这样的控制 病毒扫描工具和内容过滤器等辅助性工具也 可以对网络的边界进行控制 3 数据私密性 当信息必须被保护以防止被窃听的时候 能够按照需要提供可靠的 机密通信是至关重要的 有时候 使用诸如通用路由选择封装 GRE 和第二层隧道协议 L2TP 之类的隧道技术和数据分离就可以提供有效的数据私密性 然而 额外的私密性 需求经常要使用数字加密技术和 IPSec 协议 在实现 VPN 的时候 这种附加的保护就特别 重要 4 安全监控 为了确保网络是安全的 定期测试和监控安全准备措施的状态是非常 重要的 网络漏洞扫描工具能够有效地识别出易受攻击的区域 而入侵检测系统 IDS 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 17 能够在安全事件发生的时候对其进行监控和响应 通过使用这些安全监控解决方案 企业 或组织能够获得对网络数据流和网络安全情况从未有过的深入了解 5 策略管理 随着网络在规模和复杂程度上的增长 对集中的策略管理工具的需求 也日益增长 一些用来分析 解释 配置以及监控安全策略状态的 基于浏览器用户界面 的复杂工具增强了网络安全解决方案的可用性和有效性 三 网络防病毒技术三 网络防病毒技术 技术的先进性是网络防病毒产品品质的保证 对付变幻莫测的病毒的最好方法就是不 断发展反病毒技术 下面简要分析网络防病毒产品目前所采用的几种重要技术 1 数字免疫系统 数字免疫系统 Digital Immune System 是赛门铁克与 IBM 公司 共同合作研究开发的一项网络防病毒技术 采用该技术的网络防病毒产品能够应付网络病 毒的爆发和极端恶意事件的发生 数字免疫系统主要包括封闭循环自动化网络防病毒技术 和启发式侦测技术 Heuristic Technology 前者是一个后端基础设施 可以为企业级用户 提供高级别的病毒保护 在网络系统的管理中 不管系统管理员介入与否 数字免疫系统 都能够根据系统管理员的要求 自动进行病毒侦测和分析 后者则可以自动监视可疑行为 为网络防病毒产品对付未知病毒提供依据 数字免疫系统还可以将病毒解决方案广泛发送 到被感染的计算机上 或者发送到整个企业网络系统中 从而提高网络系统的运行效率 另外 数字免疫系统的超流量控制 还可以减少过多用户同时提交被感染文件时 所引起 的带宽变窄问题 使整个网络监测变得更加简单和方便 2 监控病毒源技术 密切关注 侦测和监控网络系统外部病毒的动向 将所有病毒 源堵截在网络入口处 是当前网络防病毒技术的一个重点 人们普遍认为 网络防毒必须 从各个不同的层面堵截病毒的来源 趋势科技公司针对网络防病毒提出的可以远程中央控 管的趋势病毒监控系统 TVCS Trend Virus Control System 不仅可以完成跨网段区域的 操作 而且在传输过程中还能保障文件的安全 该套系统共包括针对 Internet 代理服务器 的 InterScan 用于 Mail Server 的 ScanMail 针对文件服务器的 Server Protect 以及用于终 端用户的 PC cillin 等全方位解决方案 这些防毒技术整合在一起 便构成了一道网关防毒 网 3 主动内核技术 主动内核技术 Active Kernel 是将已经开发的各种网络防病毒 技术从源程序级嵌入到操作系统或网络系统的内核中 实现网络防病毒系统与操作系统的 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 18 无缝连接 例如 将实时防毒 文件动态解压缩 病毒陷阱 宏病毒分析器等功能 组合 起来嵌入到操作系统或网络系统中 并作为操作系统本身的一个 补丁 与其浑然一体 这种技术可以保证网络防病毒模块从系统的底层内核与操作系统和应用环境密切协调 确 保防毒操作不会伤及到操作系统内核 同时确保杀灭病毒的功效 这样 即使用户是一个 全球性的大型异构网络 只要用户的服务器安装了内置主动内核技术的操作系统 采用该 技术的安全防毒软件 如 Kill 防毒软件 就能自动探测到网络中的每一台计算机是否已经 安装了主动内核 以及是否都已升级到了最新版本 如果有一台计算机没有做到 防毒系 统就会补上这个漏洞 还有 用户所使用的计算机系统若处于主动内核保护之下 已知病 毒的入侵就会被拒之门外 做到了防患于未然 Kill 网络防病毒软件采用的就是主动内核 技术 该技术对用户是完全透明的 用户平时使用计算机时甚至感觉不到它的存在 Kill 网络防病毒软件 通过全方位的网络管理 支持远程服务器 软件自动分发 多种报警机 制和完整的病毒报告 可帮助管理员实施网络防病毒工作 4 分布式处理技术 集中式管理 分布式杀毒 技术 将安装在网络系统中的每台 计算机上的杀毒软件构筑成协调一致的立体防护体系 网络管理员只需通过控制台 就可 实时掌握全网各结点的病毒监测状况 也可远程指挥每台计算机杀毒软件的工作方式 瑞 星网络杀毒软件采用的就是分布式处理技术 该技术实际上是一种杀毒软件的网络远程化 管理技术 采用 分布处理 集中控制 技术的网络杀毒软件 可以克服网络杀毒软件不 能全网统一杀毒的缺陷 杜绝了因部分计算机未能及时杀毒而留下的隐患 5 安全网管技术 许多网络防病毒软件还采用了网管技术 允许网络管理员从一个 单独的工作站上管理整个网络的所有病毒防护程序 并可对整个网络中工作站或服务器上 的防毒软件进行集中安装 卸载 设置 扫描及更新 6 计算机病毒在形式上越来越狡猾 造成的危害也日益严重 这就要求网络防病毒 产品在技术上更先进 在功能上更全面 并具有更高的查杀效率 在当今这个信息化社会 中 一方面 硬件平台 操作系统平台 应用软件等 IT 系统已变得越来越复杂和难以统一 管理 另一方面 现代社会生活对网络的高度依赖 使保障网络的通畅 可靠就显得尤其 重要 这些都使得网络管理技术成为网络技术中人们公认的关键技术 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 19 第二章 计算机网络体系结构 第一节 分层体系结构与网络协议 一 分层体系结构一 分层体系结构 计算机网络系统是独立的计算机通过已有通信系统连接形成的 其功能是实现计算机 的远程访问和资源共享 因此 计算机网络的问题主要是解决异地独立工作的计算机之间 如何实现正确 可靠的通信 计算机网络分层体系结构模型正是为解决计算机网络的这一 关键问题而设计的 计算机网络体系结构的分层思想主要遵循以下几点原则 1 功能分工的原则 即每一层的划分都应有它自己明确的与其他层不同的基本功能 2 隔离稳定的原则 即层与层的结构要相对独立和相互隔离 从而使某一层内容或 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 20 结构的变化对其他层的影响小 各层的功能 结构相对稳定 3 分支扩张的原则 即公共部分与可分支部分划分在不同层 这样有利于分支部分 的灵活扩充和公共部分的相对稳定 减少结构上的重复 4 方便实现的原则 即方便标准化的技术实现 二 网络协议二 网络协议 协议 protocol 是什么 拿电报来做比较 在拍电报时 必须首先规定好报文的传输 格式 多少位的码长 什么样的码字表示启动 什么样的码字又表示结束 出了错误怎么 办 怎样表示发报人的名字和地址等 这种预先定好的格式及约定就是协议 网络协议是为了使计算机网络中的不同设备能进行数据通信而预先制定一整套通信双 方相互了解和共同遵守的格式和约定 网络协议是一系列规则和约定的规范性描述 定义 了网络设备之间如何进行信息交换 网络协议是计算机网络的基础 只有遵从相应协议的 网络设备之间才能够通信 就像保障我们国家稳定健康运行的法律法规一样 如果任何人 违反了法律法规的约束 必然会导致法律的制裁 网络协议就是约束各种网络互连终端设 备的法律 如果任何一台设备不支持用于网络互连的协议 它就不能与其他设备通信 图 2 1 通信协议 网络协议多种多样 主要有 TCP IP Transfer Control Protocol Internet Protocol 协议 Novell IPX SPX Internetwork Packet eXchange Sequenced Packet eXchange 协议 IBM SNA Syetem Network Architecture 等等 目前最为流行的是 TCP IP 协议栈 它已经成为 Internet 的标准协议 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 21 第二节第二节 OSI 参考模型参考模型 一 一 OSI 参考模型参考模型 图 2 2 OSI 参考模型 OSI 参考模型依层次结构来划分 第一层 物理层 Physical layer 第二层 数据链 路层 data link layer 第三层 网络层 network layer 第四层 传输层 transport layer 第五层 会话层 session layer 第六层 表示层 presentation layer 第七层 应用层 application layer 通常 我们把 OSI 参考模型第一层到第三层称为底层 lower layer 又叫介质层 Media Layer 这些层负责数据在网络中的传送 网络互连设备往往位于下三层 底层 通常以硬件和软件相结合的方式来实现 OSI 参考模型的第五层到第七层称为高层 upper layer 又叫主机层 host layer 高 层用于保障数据的正确传输 通常以软件方式来实现 七层 OSI 参考模型具有以下优点 1 简化了相关的网络操作 2 提供即插即用的兼容性和不同厂商之间的标准接口 3 使各个厂商能够设计出互操作的网络设备 加快数据通信网络发展 4 防止一个区域网络的变化影响另一个区域的网络 因此 每一个区域的网络都能单 独快速升级 5 把复杂的网络问题分解为小的简单问题 易于学习和操作 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 22 二 数据封装与解封二 数据封装与解封 图 2 3 对等层通信 每一个对等层数据的名字为协议数据单元 即 PDU Protocol Data Unit 相应地 应 用层数据称为应用层协议数据单元 APDU Application Protocol Data Unit 表示层数据 称为表示层协议数据单元 PPDU Presentation Protocol Data Unit 会话层数据称为会话 层协议数据单元 SPDU Session Protocol Data Unit 通常 我们把传输层数据称为段 segment 网络层数据称为数据包 packet 数据链路层为帧 frame 物理层数据称 为比特流 bit 在 OSI 参考模型中 终端主机的每一层并不能直接与对端相对应层直接通信 而是通 过下一层为其提供的服务来间接与对端对等层交换数据 下一层通过服务访问点 SAP Service Access Point 为上一层提供服务 例如 一个终端设备的传输层和另一个 终端设备的对等传输层利用数据段进行通信 传输层的段成为网络层数据包的一部分 网 络层数据包又成为数据链路层帧的一部分 最后转换成比特流传送到对端物理层 又依次 到达对端数据链路层 网络层 传输层 实现了对等层之间的通信 为了保证对等层之间能够准确无误地传递数据 对等层间应运行相同的网络协议 例 如 应用层协议 E mail 应用程序不会和对端应用层 Telnet 应用程序通信 但可以和对端 E mail 应用程序通信 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 23 图 2 4 数据的封装与解封 封装 encapsulation 是指网络节点 node 将要传送的数据用特定的协议头打包 来 传送数据 有时候 我们也可能在数据尾部加上报文 这时候 也称为封装 OSI 七层模 型的每一层都对数据进行封装 以保证数据能够正确无误的到达目的地 被终端主机理解 执行 以上图为例 让我们来看一下数据从主机到服务器的发送过程 首先 主机的应用层信息转化为能够在网络中传播的数据 能够被对端应用程序识别 第二 数据在表示层加上表示层报头 协商数据格式 是否加密 转化成对端能够理解的 数据格式 然后 数据在会话层又加上会话层报头 以此类推 传输层加上传输层报头 这时数据称为段 segment 网络层加上网络层报头 称为数据包 packet 数据链层加 上数据链路层报头称为帧 frame 在物理层数据转换为比特流 传送到交换机 传统交 换机只有物理层和数据链路层 物理层 在数据链路层组装为帧 交换机查询数据链路层 报文 发现下一步数据帧应该发向路由器 于是交换机在物理层以比特流形式转发帧报文 将数据发向路由器 同理 路由器也逐层解封装 剥去数据链路层帧头部 依据网络层数 据包头信息查找到服务器 然后封装数据发向服务器 服务器从物理层到应用层 依次解 封装 剥去各层封装报头 提取出发送主机发来的数据 完成数据的发送和接收过程 中国通信服务安徽公司接入网络设备培训教材 以太网宽带接入 24 三 物理层三 物理层 图 2 5 物理层 物理层的功能是在终端设备间传输比特流 是 OSI 参考模型的基础 为了达到数据传 输的目的 物理层定义了电压 接口 电缆标准 传输距离等 目前 大家常用的数据信号传输介质主要有同轴电缆 coaxical cable 双绞线 twisted pair 光纤 fibre 无线电波 wireless radio 等 本部分重点介绍双绞线和光 纤 双绞线是一种最为常用的电缆线 由一对直径约 1mm 的绝缘铜线缠绕而成 这样可 以有效抗干扰 双绞线分为两类 屏蔽双绞线 shielded twisted pair STP 和未屏蔽双绞 线 unshielded twisted pair UTP 屏蔽双绞线 STP 具有很强的抗电磁干扰和无线电干 扰能力 STP 易于安装 很好地隔离外部各种干扰 但是 STP 价格相对昂贵 未屏蔽双 绞线 UTP 同样易于安装 价格便宜 但是抗干扰能力相对 STP 较弱 相应地 传输距 离较短 光纤是另外一种网络连接介质 不受电磁信号的干扰 光纤由玻璃纤维和屏蔽层组成 传输速率很高 传输距离很长 但是光纤比其他网络连接电缆更贵 光纤连接器是光的连 接接