第四章 信息系统的运行、维护和支持(下)CISA.doc

第四章 信息系统的运行、维护和支持（下）D3. 网络服务 企业环境中常用的网络应用服务 文件共享 E-mail服务 打印服务 远程访问服务 终端仿真软件 目录服务 网络管理 动态主机配置协议(DHCP) 域名解析服务（DNS）D4.网络标准和协议 网络应具有的特性 互操作性 可用性 灵活性 可维护性 网络标准化组织 国际标准化组织ISO 美国电子和电气工程师协IEEE 国际电信同盟-远程通讯分部ITU-TOSI计算机网络体系结构 定义和描述一组用于计算机及其通信设施之间互连的标准和规范的集合，遵循这组规范可以很方便地实现计算机设备之间的通信。 OSI所遵循的标准是开放的 只要遵循OSI标准开发的系统就是开放的系统（可以和任意地方、任意系统进行通信，只要该系统也遵循相同的标准） 彼此开放的系统相互间进行信息交换就形成了开放系统互连。OSI的层次：七层体系结构： (1) 物理层（PH），确定物理设备接口，提供点点的比特流传输的物理链路； (2) 数据链路层（DL），利用差错处理技术，提供高可靠传输的数据链路 (3) 网络层（N），利用路由技术，实现用户数据的端端传输 (4) 传输层（T），屏蔽子网差异，用户要求和网络服务之间的差异； (5) 会话层（S），提供控制会话和数据传输的手段； (6) 表示层（P），解决异种系统之间的信息表示问题，屏蔽不同系统在数据表示方面的差异； (7) 应用层（A ），利用下层的服务，满足具体的应用要求。数据链层中检测和纠正错误的技术 前向差错控制 后向差错控制(反馈重传) 差错控制的方法 奇偶校验 块总计校验 循环冗余校验 D5. OSI结构(图见p300)D6. OSI模型在网络体系结构中的应用 因特网上使用的通信协议-TCP/IP协议与OSI相比，简化了高层的协议，简化了会话层和表示层，将其融合到了应用层，使得通信的层次减少，提高了通信的效率。局域网 分散在有限地理范围内（如一栋大楼，一个部门）的多台计算机通过传输媒体连接起来的通信网络，通过功能完善的网络软件，实现计算机之间的相互通信和共享资源。 美国电气和电子工程协会（IEEE）于1980年2月成立局域网标准化委员会（简称802委员会）专门对局域网的标准进行研究。 适合于小区域内的基于包交换技术的网络，其特征是速度快、容错性好。 局域网工作在OSI参考模型的物理层和数据链层。 局域网数据包发送方式 单播(Unicast) 单个包从发送方传送给一个接收方 多播(Multicast) 单个包从发送方传送给多个指定接收方 广播(Broadcast) - 单个包从发送方传送给网络内的所有节点LAN设计基础 评估用于物理传输数据的介质 评估连接网络物理介质的方式 从性能和安全的观点，理解局域网的组成结构和传输方式，以优化网络内设备的性能。 LAN特性传输介质 双绞线、同轴电缆和光纤；在特殊环境下，也可考虑使用微波、红外线和激光等无线传输媒体 传输技术使用传输媒体进行通信的技术，常用的有基带传输和宽带传输网络拓扑 指组网时的电缆铺设形式，常见的有总线形、星形和环形。局域网的网络拓扑描述对应网络中数据收发的方式访问控制方法 网络设备访问传输媒体的控制方法，常用的有竞争、令牌传递和令牌环等LAN介质访问技术 以太网的基础是IEEE 802.3标准以太网共享介质访问控制协议，也称为CSMA/CD（带有冲突检测的载波侦听多路访问。当因碰撞而导致网络效率下降时，就需要给网络分段。 另一种与环型网相关的LAN介质访问技术是令牌环介质访问方法。采用这种方法的 设备对网络的访问是基于一种特殊的、环绕网络传递的帧，称为令牌。局域网的拓扑结构LAN传输介质 双绞线 非屏蔽双绞线(UTP ) 屏蔽双绞线(STP ) 同轴电缆 基带同轴电缆：50，基带数字信号传输 宽带同轴电缆：75，宽带模拟信号传输光导纤维 单模光纤：采用注入型激光二级管作为光源产生激光，激光的定向性强，在给定的波长 上，只能以单一的模式进行传输，其传输距离可达100km。 多模光纤：采用发光二极管作为光源产生莹光（可见光），定向性较差，在给定波长上， 通过反射，以多种模式进行传输，多模光纤的传输距离一般在2km以内。无线网 微波微波在空间只能直线传输，长距离通信时需要在地面上架设微波塔，或者在人造同步地球卫星上安装中继器，作为微波传输中继站，来延伸信号传输的距离。 红外线和激光通信的收发设备必须处于视线范围之内，均具有很强的方向性，因此防窃取能力较强，但对环境因素较为敏感。局域网主要类型以太网（Ethernet） 以CSMA/CD方式工作的典型网络 虚拟局域网 简称VLAN，跨接不同物理LAN网段的节点连接成逻辑LAN网段，处于不同物理网段的用户 通过软件设置处于同一局域网中，形成逻辑的工作组。在同一逻辑工作组中的节点可以 互发广播报文LAN设备 转发器（Repeater） 又被称为中继器或放大器，执行物理层协议，实现电气信号的“再生” 集线器(HUB) 以太网集线器（HUB）是一种典型（特殊）的转发器，使用HUB可以有效地提高总线网的可靠性 网桥 又称桥接器或信桥，提供了一种对LAN的扩展，最早是为把那些具有相同物理层和媒体访问子层的局域网互连起来而设计的，后来也用于具有不同MAC协议的局域网的互连以太网交换机 也称为交换式集线器，是简化（典型）的网桥，一般用于互连相同类型的LAN 以太网交换机采用存储转发(Store-Forward)技术或直通(Cut-Through)技术来实现信息帧的转发路由器 路由器在网络层一级工作，互连两个或多个独立的相同类型或不同类型的网络 用于局域网与广域网的互连，局域网与局域网的互连路由器的特点第三层及第四交换机 交换技术的发展导致了工作在OSI模型第三层和第四层的交换机的出现。 第三层交换机既可完成第二层交换机的端口交换功能，又可完成部分路由器的路由功能。 第四层交换机可根据TCP/UDP端口号来区分数据包的应用类型，从而实现应用层的访问控制和服务质量保证。 通过任务分配、负载均衡和包过滤/安全控制，可以优化网络/服务器界面，提高服务器的可靠性和可扩充性，并提供详细的流量统计信息和记帐信息， 在网络应用层水平上解决网络拥塞、网络安全和网络管理等问题，使网络更具“智能”性和可管理性。桥式路由器(Brouters) 同时执行网桥和路由器功能的设备。 网关(Gateways) 是用于协议转换的设备。 实例 通过网关软件可以实现从浏览器直接进行对FTP服务的访问 网关软件使不同应用软件的用户进行邮件交换进行局域网技术选型时的考虑因素p307城域网(MAN) 单个、独立、明确的城市地区网络，由一个服务提供商或电信运营商来拥有和运行城域网的范围一般在2-150公里为用户提供安全的分布式宽带接入 特征： 公用多业务网 包交换和电路交换通信服务 不是面向连接的服务、 与IEEE的局域网规范一致，支持802.2协议广域网 广域网（Wide Area Network-WAN）是指覆盖范围广阔（通常可以覆盖一个城市，一个省，一个国家）的一类通信子网，有时也称为远程网 特点 主要提供面向通信的服务，支持用户使用计算机进行远距离的信息交换；覆盖范围广，通信的距离远，需要考虑的因素增多，如媒体的成本、线路的冗余、媒体带宽的利用和差错处理等； 由电信部门或公司负责组建、管理和维护，并向全社会提供面向通信的有偿服务、流量统计和计费问题广域网信息传输技术p308报文交换 包交换 电路交换（PSTN、ISDN、DDN） 虚电路 （SVC、PVCFrameRelay） 广域网拨号服务广域网设备 广域网交换机ATM、FrameRelay、ISDN 路由器 调制解调器 访问服务器 通信服务单元/数字服务单元CSU/DSU，连接 DTE和DCE 多路复用器（TDM、FDM）广域网技术 PPP 点对点传输协议 X.25 分组交换数据网络（PSDN）遵循CCITT X.25系列建议，因此也被称为X.25网络，X.25网络曾经是使用比较广泛的广域通信子网。 FrameRelay 1984年，CCITT开始了分组交换技术的“改造工程”，并提出了一种新的分组交换技术帧中继技术，对应的标准为CCITT Q.922 帧中继成为一种极为精简的协议，仅仅需要提供组帧、路由选择和高速传输的功能，从而可以获得较高的性能和有效性 ISDN ISDN设计的目标是以数字形式统一处理各种公用网的通信业务，设置能够与各种通信网接续的ISDN终端交换机，并提供标准的用户/网络接口，使得用户可以通过一条用户线接入网络，获得各种电信服务DDN DDN是电信部门向用户提供的一种高速通信业务,利用数字通道提供半永久性的连接电路，提供中高速、高质量的点点、点多点的数字专用电路。 DDN采用时分多路复用技术将支持数字信息高速传输的光纤通道划分为一系列的子信道（例如：2.048Mbps的光纤信道划分为32路64Kbps的子信道，可以分配给32个用户使用） ATM ATM交换机根据输入端口的各个信元(53b)的信元头中的信息将信元“交换”到指定的输出端口。 由于使用按需分配时间片的策略，信道的利用率得到提高； 使用优先级机制，使得具有实时性要求的信息可以尽快传输 可以支持不同的传输速率25Mbps、45Mbps、155Mbps.、625Mbps ATM技术可用于组建各种规模的网络，如LAN、WAN多协议标记交换MPLS 是一种可提供高性价比和多业务能力的交换技术，它解决了传统IP分组交换的局限性，在业界受到了广泛的重视，并在中国网通、中国铁通全国骨干网等网络建设中得到了实践部署。 采用MPLS技术可以提供灵活的流量工程、虚拟专网等业务，同时，MPLS也是能够完成涉及多层网络集成控制与管理的技术。 数字用户环线DSL 利用调制解调技术来实现在现有的双绞电话线上传输高带宽数据，如多媒体和视频。 低成本、高带宽、永远在线VPN 对在公共网上传输的数据包进行加密，从而在远程用户与组织内部网之间形成一条安全的虚拟通道。 通过将数据流动转移到低成本的公用网上，将大幅度减少用户花费在城域和远程网络连接上的费用 简化网络的设计与管理，加速连接新用户和网站，保护现有的网络的投资 VPN类型 远程访问VPNs（Remote-access VPNs） 内部网VPNs (Intranet VPNs) 外部网VPNs (Extranet VPNs) VPN的功能： 加密数据：公网上传输的信息不会泄露 信息认证和身份认证：保证信息的完整性、合法性，鉴别用户身份 提供访问控制：不同的用户有不同的访问权限无线网 指以无线信道做传输介质的计算机局域网 IEEE802.11委员会对无线局域网的业务及应用环境、功能条件等提出了完整的基本要求 从复杂的无线广域网络、无线局域网络和蜂窝电话等系统到简单的无线头戴耳机、麦克风以及其它并不处理和存储信息的简单设备均采用无线技术。 无线设备也包括蓝牙（Bluetooth）设备和红外（IR）设备 传输方式 扩展频谱方式数据基带信号的频谱被扩展到几倍后再由射频调频发射出去。频带利用率低，抗干扰能力强（2.4G和5.8G） 窄带调制方式窄带调制方式占用频带少，频带利用率高，但通信可靠性较差。 红外线方式 GSM、CDMA蜂窝式无线广域网络（WWAN） 采用无线电、卫星以及移动电话技术2G蜂窝（cellular）、蜂窝状数字式分组数据交换网络（CDPD：Cellular Digital Pakect Data）、全球移动通信系统（GSM）和Mobitex。 WWAN也提供了更大的系统灵活性以及控制成本的机会无线局域网络(表见p314) WLAN采用访问点设备来将计算机和其它部件连至网络，比传统的有线局域网络更灵活，也更便于移动。 WLAN包括802.11、HiperLAN、HomeRF以及其它几种类型。中国制定的WAPI 中国的无线安全标准WAPI无线局域网鉴别权和保密 基础结构. 2003年5月12日适时发布了强制执行的无线局域网 (WLAN)国家标准GB15629.11和GB15629.1102。把国家对密码算法和无线电频率的要求纳入了进来，是 基于Wi-Fi标准之上的符合中国安全规范的WLAN标准。WAPI是全新的高可靠性安全认证与保密体制，更可靠 的链路层以下安全系统。其认证机制是完整的无线用户和无线接入点的双向认 证，身份凭证为基于公钥密码体系的公钥数字证书； 采用192/224/256位的椭圆曲线签名算法；集中式或分布集中式认证管理，灵活多样的证书管理与分发体制， 可扩展或升级的全嵌入式认证与算法模块，支持带安全的越区切换，支持SNMP网络管理。Ad Hoc网络(对等网络) 在有限的范围内动态地连接远程设备，如蜂窝电话、便携式电脑和PDA等，实现多个移动终端的临时互联，它为局域网内的移动通信网络提供了一种灵活的互联方式。 Ad Hoc无线网络组网灵活、快捷，不受有线网络的影响，可广泛应用于军事通信、发生地震或水灾后的营救等无法或不便预先敷设网络设施的场合。无线通讯面临的威胁 所有在有线网络中存在的风险在无线网络中都存在。 恶意团体通过无线连接可以获得对代理计算机或语音（IP电话）网络的访问，这有可能绕过各种防火墙保护措施。 未加密的敏感信息（或加密手段低劣的密文信息）在无线设备间传输时可以被截取或解密。 拒绝服务（DoS）攻击可以在无线连接或设备中实施。 恶意团体可以窃取合法用户的身份并在内外网络中冒充其身份。 敏感数据在同步失效期间可能出错。恶意团体可以部署非授权的设备（如客户端设备和访问点）以秘密地访问敏感信息。 手持设备易于失窃并暴露敏感信息。 数据可以从配置不适当的设备中提取而不被察觉。 病毒或其它恶意代码可以损坏无线设备中的数据并将其引进有线网络。 恶意团体可以通过无线网络连接到代理机器，以实施攻击并隐瞒其行为。 来自内部或外部的闯入者可能获得对网络的管理权限，从而破坏或终止网络。 恶意团体可以利用第三方提供的不可信无线网络服务来获得对网络资源的访问。无线网应用协议WAP WAP是一个总的术语，用来描述那些将互联网内容带入无线移动设备的多层协议及相关技术。 WAP协议大部分都基于互联网协议，其开发目的是要将互联网技术延伸至无线网络、载体和设备。 WAP得到了所有操作系统的支持，尤其是那些专门用于手持设备和某些移动电话的操作系统，包括PalmOS、EPOC、Pocket Windows、FLEXOS、OS/9 和JavaOS。 尽管WAP支持HTML和XML语言，但还是专门设计了WML语言 （XML 的一种应用），以便适应手持设备的小屏幕和无键盘单手导航需求。Internet（表见p309） 世界上最大的计算机网络，更确切地说是网络的网络（或者互连的网络），几乎覆盖了整个世界 因特网的协议集称为TCP/IP协议集，协议集的取名表示了TCP和IP协议在整个协议集中的重要性Internet的组成 主干网：由代表国家或者行业的有限个中心结点通过专线连接形成；覆盖到国家一级；连接各个国家的因特网互连中心，如中国互联网信息中心（CNNIC） 次级网（区域网）：若干个作为中心结点的代理的次中心结点组成；如教育网各地区网络中心，电信网各省互联网中心等。 园区网（校园网、企业网）：直接面向用户的网络。网络地址 IP地址，由32位二进制（4个字节）组成，通常用4个十进制来表示，如：99 地址类别 A类第1位为“0”，允许有126个A类网络，每个网络大约允许有1670万台主机,(55) B类第1，2位为“10”，允许有16383个网络，每个网络大约允许有65533台主机,(55) C类1，2，3位为“110”，允许有2,097,151个网络，每个网络大约允许有254台主机。通常分配给结点比较少的网络， 如校园网,(55) D类前4位为“1110”，用于多址投递系统（组播）。目前使用的视频会议等应用系统都采用了组播技术进行传输。信息传递 Internet通过TCP/IP协议，实现网与网、机器与机器之间的互联。DNS域名管理系统 由于IP地址是用数字表示的，没有规律、不易记忆，因此因特网采用了一套有助于记忆的符号名“域名地址”来表示入网的主机 域名采用层次命名结构：域.子域(.子域(.子域），它体现了一种隶属关系。例如： 中国.教育科研网 中国.教育科研网.东南大学主机的域名地址 例：东南大学的WEB服务器名为www，东南大学的域名为，则该服务器的域名地址为 域名服务器（DNS-Domain Name Server）与域名解析(图略)用户访问 通过ISP接入互联网 应用服务程序访问资源Internet相关技术与术语 URL-统一资源定位符，例如：, , telnet:/ CGI-通用网关脚本语言，如：perl，php, asp Cookie- 一小段由服务器送往浏览器的消息，并保存在本地机器上。 Applets-是一段从WEB服务器中下载下来并能在本地机器的浏览器中 执行的程序 Servlets- 一种运行在WEB服务器环境下的服务器应用程序，该程序可 根据客户端的请求执行应用逻辑。 Bookmark-书签 ISP-互联网服务提供商 Network access point-是流量集中点，通常是许多ISP访问互联网的汇聚点 Internet Link-互联网用户和ISP之间的连接。 Telnet-远程终端控制协议 DNS-域名服务 Internet appliance-互联网设备（手持式轻便设备，也称为Net或智能设备） Online service-在线服务 FTP-文件传输协议 SMTP-简单邮件传输协议 SNMP-简单网络管理协议Internet 跨国界数据传输 跨国界数据传输主要通过海底电缆、卫星等设备。 要考虑成本、时延 数据的安全性与完整性 对数据传输及加密的法律法规的限制网络的管理与控制 对组成网络的各种硬软件设施的综合管理，以达到充分利用这些资源的目标，并保证网络向用户提供可靠的通信服务。 作用对各种网络资源进行监测、控制和协调，并在网络出现故障时，可以及时进行报告和处理，尤其是向管理员报警，以便尽快维护。 可用于监视和修改网络的软件应限制为只有网络管理员才能使用。这类软件是与特定网络设备相关的网络操作系统。故障管理 是网络管理最基本的功能，指系统出现异常情况下的管理操作， 其目标是自动监测、记录网络故障并通知用户，以便网络有效地运行。 计费管理 负责记录网络资源的使用情况和使用这些资源的代价 计费管理的目标是衡量网络的利用率，以便一个或一组用户可以按规则利用网络资源安全管理 是指按照本地的指导来控制对网络资源的访问，以保证网络不被侵害（有意识的或无意 识的），并保证重要信息不被未授权的用户访问。 网络安全管理主要包括: 授权管理、访问控制管理、安全检查跟踪和事件处理、密钥管 理网络管理常用工具响应时间报告 指出用户由终端输入一个指令到计算机的答复时间 故障时间报告 追踪通信线路和电路的可用性 在线监控装置 测量通信传输并判断传输是否正确地完成 协议分析 网络活动诊断工具，一般工作在数据链路层 服务台 扩展的服务的范围，将业务流程与服务架构集成，不仅处理事故、问题和询问，同时为其他活动提供接口 这些活动包括客户变更请求，维护合同与软件协议，服务级别管理，配置管理，可用性管理等网管协议SNMP IETF成立两个工作组，从两个方面定义了因特网管理的标准。 管理信息库（MIB）工作组负责定义MIB内的元素及结构； 网络管理协议（SNMP）工作组定义了不同厂商的设备之