网络工程师基础.docx
《网络工程师基础.docx》由会员分享,可在线阅读,更多相关《网络工程师基础.docx(89页珍藏版)》请在冰豆网上搜索。
网络工程师基础
什么是局域网
局部区域网络(localareanetwork)通常简称为"局域网",缩写为LAN。
局域网是结构复杂程度最低的计算机网络。
局域网仅是在同一地点上经网络连在一起的一组计算机。
局域网通常挨得很近,它是目前应用最广泛的一类网络。
通常将具有如下特征的网称为局域网。
1)网络所覆盖的地理围比较小。
通常不超过几十公里,甚至只在一幢建筑或一个房间。
2)信息的传输速率比较高,其围自1Mbps到10Mbps,近来已达到100Mbps。
而广域网运行时的传输率一般为2400bps、9600bps或者38.4kbps、56.64kbps。
专用线路也只能达到1.544Mbps。
3)网络的经营权和管理权属于某个单位。
什么是广域网
广域网(wideareanetwork,WAN)它是影响广泛的复杂网络系统。
WAN由两个以上的LAN构成,这些LAN间的连接可以穿越30mile*以上的距离。
大型的WAN可以由各的许多LAN和MAN组成。
最广为人知的WAN就是Internet,它由全球成千上万的LAN和WAN组成。
有时LAN、MAN和WAN间的边界非常不明显,很难确定LAN在何处终止、MAN或WAN在何处开始。
但是可以通过四种网络特性-通信介质、协议、拓扑以及私有网和公共网间的边界点来确定网络的类型。
通信介质是指用来连接计算机和网络的电缆、光纤电缆、无线电波或微波。
通常LAN结束在通信介质改变的地方,如从基于电线的电缆转变为光纤。
电线电缆的LAN通常通过光纤电缆与其他的LAN连接。
什么是网桥
网桥这种设备看上去有点像中继器。
它具有单个的输入端口和输出端口。
它与中继器的不同之处就在于它能够解析它收发的数据。
网桥属于OSI模型的数据链路层;数据链路层能够进行流控制、纠错处理以及地址分配。
网桥能够解析它所接受的帧,并能指导如何把数据传送到目的地。
特别是它能够读取目标地址信息(MAC),并决定是否向网络的其他段转发(重发)数据包,而且,如果数据包的目标地址与源地址位于同一段,就可以把它过滤掉。
当节点通过网桥传输数据时,网桥就会根据已知的MAC地址和它们在网络中的位置建立过滤数据库(也就是人们熟知的转发表)。
网桥利用过滤数据库来决定是转发数据包还是把它过滤掉.
什么是网关
网关不能完全归为一种网络硬件。
用概括性的术语来讲,它们应该是能够连接不同网络的软件和硬件的结合产品。
特别地,它们可以使用不同的格式、通信协议或结构连接起两个系统。
和本章前面讨论的不一样,网关实际上通过重新封装信息以使它们能被另一个系统读取。
为了完成这项任务,网关必须能运行在OSI模型的几个层上。
网关必须同应用通信,建立和管理会话,传输已经编码的数据,并解析逻辑和物理地址数据。
网关可以设在服务器、微机或大型机上。
由于网关具有强大的功能并且大多数时候都和应用有关,它们比路由器的价格要贵一些。
另外,由于网关的传输更复杂,它们传输数据的速度要比网桥或路由器低一些。
正是由于网关较慢,它们有造成网络堵塞的可能。
然而,在某些场合,只有网关能胜任工作。
在你的网络生涯中,你很可能会在电子系统环境中听到关于网关的讨论。
常见的网关,包括电子网关,描述如下:
电子网关:
通过这种网关可以从一种类型的系统向另一种类型的系统传输数据。
例如,电子网关可以允许使用Eudora电子的人与使用GroupWise电子的人相互通信。
IBM主机网关:
通过这种网关,可以在一台个人计算机与IBM大型机之间建立和管理通信。
因特网网关:
这种网关允许并管理局域网和因特网间的接入。
因特网网关可以限制某些局域网用户访问因特网。
反之亦然。
局域网网关:
通过这种网关,运行不同协议或运行于OSI模型不同层上的局域网网段间可以相互通信。
路由器甚至只用一台服务器都可以充当局域网网关。
局域网网关也包括远程访问服务器。
它允许远程用户通过拨号方式接入局域网。
网络类型
每一种网络都要求布线、网络设备、文件服务器、工作站、软件和培训,这些要素以多种不同的方式进行综合便可以创建与具体单位的需要和资源相适应的网络。
有些网络的启动成本很低,但是维护和升级的代价很高;而另有一些网络虽然建立时耗资较大,但是易于维护、升级路径简单。
区分网络类型的很明显的一点就是网络的拓扑结构。
拓扑结构是指网络的物理布局以及其逻辑特征。
物理布局就像是描述办公室、建筑物或校园中如何布线的示意图,通常称为电缆线路。
网络的逻辑是指信号沿电缆从一点向另一点进行传输的方法。
网络的布局可以分散开,电缆在网络的各个站铺开;或者可以是集中的,每个站都与在工作站间分派包的中央设备有物理的连接。
集中布局像是星星,工作站是星星的点;分散布局有些像一队登山者,每个登山者位于山的不同位置上,但都由一条很长的绳子连接着。
拓扑结构的逻辑方面包括包在网络中传递的路径。
有三种主要的拓扑结构:
总线拓扑、环形拓扑和星形拓扑。
一个单位需要按照工作目的选择网络类型,而拓扑结构必须与所选的网络类型相匹配。
例如,有些公司使用网络的程度比其他公司要高。
公司使用的软件应用程序的类型和数量影响了传输的包的数量和频率,也就是我们常说的网络信息流通量(networktraffic)。
如果网络用户主要访问字处理软件,那么网络信息流通量相对就比较低,大多数工作都在工作站进行而不是在网络上进行。
客户机/服务器结构的应用程序根据其软件设计,会产生中等到高的网络信息流通量。
如果网络上要经常交换如MicrosoftSQLServer或Oracle数据库文件等数据库信息的话,也会产生中等到高的网络信息流通量。
而对于科学程序和网上出版而言,由于数据文件非常巨大,所以信息流量很高。
同时,图形密集的应用程序如不断变化图形的多媒体和桌面网上会议都会产生很高的网络信息流通量。
网络上主机与服务器的影响力与使用的软件应用程序的类型密切相关。
例如,如果经常访问数据库服务器来产生财务报表和销售图表,那么它引起的网络信息流通量肯定要比偶然访问包含商务通信或信件模板的文件服务器要高得多。
当需要确定使用何种拓扑结构时,应该考虑是否有其他网络与这个网络连接。
计算机不超过4台的小型商业公司的网络拓扑肯定与一个通过WAN与其他工地连接的工业厂区所需要的拓扑结构不同。
小公司除了与外部的Internet相连外,也许不会与其他网络连接。
而工业厂区将包含多个互连的网络,其中也许有控制工厂机器的网络、用于商业系统的网络、用于科研的网络和与其他工地相连的扩展的WAN。
有些网络拓扑结构会提供比其他拓扑结构性能更好的网络互连性。
高流量的网络需要高速的数据传输能力。
网络速度极大影响着用户的生产率,高速对于在远距离或WAN上传输图像、图形和其他大型文件来说尤其重要。
保护数据只能由授权的用户来访问,也就是安全性问题,是影响网络设计的另一个重要方面。
安全的网络使用网络设备、密码、控制软件和其他技术来限制对信息和资源的访问,还经常使用加密方法,对包加密并仅允许授权的计算机来对其解密。
安全性高的网络使用光纤电缆,使得数据给未授权用户截取的危险降到最低。
另一种安全措施是将网络设备和服务器放在受限制的地点,如计算机房和布线室。
网络拓扑结构直接影响着网络的潜在发展。
安装网络后,也许要添加更多的用户,这些用户可能在同一间办公室,可能在其他办公室,或者在其他楼层。
而且极有可能为了长距离的信息访问,需要将LAN与WAN连接。
网络协议
一个LAN可以由一系列的子网组成,而一个WAN,例如Internet,可以由一系列的自治网络组成。
LAN可以只使用以太网,而WAN却可能包括以太网、令牌环网、X.25和其他一些网络。
通过网际协议(IP),可以把一个包发送到LAN的不同子网和WAN的不同网络上,唯一的条件就是这些网络所使用的传输选项要保证能够和TCP/IP兼容,这些选项包括:
o以太网。
o令牌环网。
oX.25。
oFDDI。
oISDN。
o帧中继。
o(带有转换的)ATM。
o网络传输头
(例如,以太网)
IP的基本功能是提供数据传输、包编址、包寻径、分段和简单的包错误检测。
通过IP编址约定,可以成功地将数据传输和路由到正确的网络或者子网。
每个网络结点具有一个32位的IP地址,它和48位的MAC地址一起协作,完成网络通信。
该地址不但标识了一个既定的网络,而且还指明了是该网络上的哪个结点。
什么是路由器
路由器是一种多端口设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。
路由器属于OSI模型的第三层。
第2章曾经讲过,网络层指导从一个网段到另一个网段的数据传输,也能指导从一种网络向另一种网络的数据传输。
过去,由于过多的注意第三层或更高层的数据,如协议或逻辑地址,路由器曾经比交换机和网桥的速度慢。
因此,不像网桥和第二层交换机,路由器是依赖于协议的。
在它们使用某种协议转发数据前,它们必须要被设计或配置成能识别该协议。
传统的独立式局域网路由器正慢慢地被支持路由功能的第三层交换机所替代。
但路由器这个概念还是非常重要的。
本节的剩余部分讲述的都是关于第三层交换机的应用。
独立式路由器仍然是使用广域网技术连接远程用户的一种选择。
主要容:
1、internet体系结构
2、internet连接的方法
3、internet地址
4、internet域名系统
5、internet地址是的扩展
一、Internet体系结构
1、自治系统:
原始的Internet核心体系是在Internet权有一个主干网的那个时期开发的。
但是这种体系结构存在以下一些问题:
这种体系不能适应互联网扩展到任意数量的网点;
许多网点由多个局域网组成,且用多个多路由器互连,由于一个核心路由器在每个网点上与一个网络相连,核心路由器就只知道那个网点中的一个网络的情况;
一个大型的互联网是独立的组织管理的网络的互连集合,路由选择体系结构必须为每个组织提供独立的控制路由选择和访问网络的方法,因此必须用一个单一的协议机制来构造一个由许多网点构成的互联网,同时,各个网点又是一个自治系统。
二、Internet连接的方法
1、将计算机连接到一个局域网,这个局域网的服务器是Internet的一个主机。
条件:
必须连接到一个与Internet连接的网络,需要网络适配卡和ODI或NDIS驱动程序,还需要在本地计算机上运行TCP/IP,如果是Windows系统还需要Winsock支持。
2、利用串行接口协议(SLIP)或点到点协议(PPP),通过拨号方式进入一个Internet的主机
条件:
需要一个调制解调器Modem、TCP/IP软件和SLIP或PPP软件,如果是Windows系统还需要Winsock支持。
3、通过拨号进入一个提供Internet服务的联机服务系统。
条件:
需要一个调制解调器Modem、标准的通信软件和一个联机服务。
4、用户选择连接方法的考虑因素:
联网的目标和需求;用户部配置的网络基础设施;用户支付Internet联网费用的能力;对Internet安全服务的需求。
三、Internet地址
在TCP/IP协议中,规定分配给每台主机一个32位数作为该主机IP地址。
每个IP地址由两个部分组成,即网络标识netid和主机标识hostid。
IP地址的层次结构具有两个重要特性:
第一,每台主机分配了一个惟一的地址;第二,网络标识号的分配必须全球统一,但主机标识号可由本地分配,不需要全球一致。
1、A类:
1.0.0.1至126.255.255.254可能的网络数有126个,主机部分有1677216台(224-2)
2、B类:
128.0.0.1至191.255.255.254可能的网络数有16384个,主机有65536台
3、C类:
192.0.0.1至223.255.255.254可能的网络数有2097152个,主机有256台
4、D类:
用于广播传送至多个目的地址用224-239
5、E类:
用于保留地址240-255
RFC1918将10.0.0.至10.255.255.255、127.16.0.0至172.31.255.255、192.168.0.0至192.168.255.255的地址作为预留地址,用作部地址,不能直接连接到公共因特网上。
四、Internet地址映射
将一台计算机的IP地址映射到物理地址的过程称地址解析。
常用的地址解析算法有以下三种:
1、查表法:
将地址映射关系放在存中的一些表里,当解析地址时,通过查表得到解析的结果。
用于广域网。
2、相近形式计算法:
通过简单的布尔和算术运算得出映射地址。
用于可配置网络。
3、消息交换法:
计算机通过网络交换信息得到映射地址。
用于静态编址。
TCP/IP协议组包含一个地址解析协议(ARP)。
ARP协议定义了两类基本消息,一类消息是请求消息,另一类是应答消息。
五、Internet地址空间的扩展
1、IPV6仍然支持无连接传送;允许发送方选择数据报大小;要求发送方指明数据报在到达目的站前的最大跳数。
更大的地址空间;灵活的报头格式;增强的选项;支持资源分配;支持协议扩展。
2、IPV6的数据报格式:
IPV6数据有一个固定的基本报头40字节其后可以允许多个扩展报头,也可以没有扩展报头,扩展报头后是数据。
IPV4的数据报格式:
包括数据报报头和数据区的部分。
报头:
版本号、IHL、服务级别、数据单元长度、标识、标记、分段偏移、生命期、用户协议、报头检查和、源地址、目的地址、任选项+填充、数据。
3、该基本报头包含版本号、数据流标记、PAYLOAD长度、下一个报头、跳数极限、源地址、目的地址。
4、IPV4与IPV6比较:
取消了报头长度字段,数据报长度字段被PAYLOAD长度字段代替;源地址和目的地址字段大小增加为每个字段占16个八位组,128位;分段信息从基本报头的固定字段移动扩展报头;生存时间字段改为跳数极限字段;服务类型字段改为数据流标号字段;协议字段改为指明下一个报头类型字段。
5、IPV6有三个基本地址类型,单播地址(unicast)即目的地址指明一台计算机或路由器,数据报选择一条最短的路径到达目的站;群集地址(cluster)即目的站是共享一个网络地址的计算机的集合,数据报选择一条最短路径到达该组,然后传递给该组最近的一个成员;组播地址(multicast)即目的站是一组计算机,它们可以在不同地方,数据报通过硬件组播或广播传递给该组的每一成员。
6、对任何地址若开始80位是全零,接着16位是全1或全零,则它的低32位就是一个IPV4地址。
第10章企业网与Intranet
主要容:
1、企业网络计算的组成和管理
2、企业网络开放系统集成技术
3、intranet定义和要素
4、intranet应用和建立
一、企业网络计算的背景和挑战
企业网是连接企业部各部门并和企业外界相连,为企业的通信、办公自动化、经营管理、生产销售以及自动控制服务的重要信息基础设施。
Intranet是基于TCP/IP协议,使用环球网WWW工具,采用防止外界侵入的安全措施,为企业部服务,并有连接Intranet功能的企业部网络。
1、驱动企业网络计算的因素:
用户需求,这是基本动力;先进和实用的信息技术;迅速变化中的巿场。
2、可采用两种模型:
一种是可伸缩的模型,即企业网络计算的同样的软件可运行在企业部的不同平台上;另一种是集成的模型,即企业部不同平台上的软件的集成。
二、企业网络计算的组成和特性
1、企业网络计算的组成:
客户机/服务器计算;分布式数据库;数据仓库;网络和通信;网络和系统的管理;各种网络应用。
2、企业网络计算的特性:
支持客户机/服务器计算械;支持管理海量数据的能力和设施;分布数据管理的设施;国际化和本地化;功能强的通信设施;系统的灵活性;分布资源管理;开发工具和开发手段的提供。
三、开放系统
开放系统:
是对一个不断发展的、厂家中立的、用于对整个系统进行有效配置、操作和替换的接口、服务、协议和格式的规描述的实现,它的应用和组成部件可以用不同厂家的其他相同实现替代。
1、开放系统的两个特点:
开放系统所采用的规是厂家中立的,或者是与厂家无关的;开放系统允许不同厂家的产品替换,这种替换包括整个系统其组成部件。
2、专用系统:
它所采用的规是专用,而不是厂家中立的;专用系统不允许由不同厂家的产品替换;它的组成部件允许具有许可证的厂家产品替换。
3、驱动开放系统发展的因素:
功能、可用性、复杂性、价格。
四、企业网络开放系统集成技术
1、FRAMWORK是应用程序的开发和运行环境,它实际上是蹭件和操作系统的组合。
比较有名的产品有CICS、Windows、UNIX。
2、COSE专门制定了自己的开放系统环境规,主要技术包括用于窗口管理的Motif、标准API接口和用于数据库管理的SQL。
3、信息系统与网络计算主要实现网络围数据管理、通信和网络管理,主要技术有:
在数据管理方面有用于数据库间通信的RDA,即远程数据访问;通信服务DCE分布式计算环境,RPC远程过程调用,OSI开放系统互连;管理服务,DME分布管理环境,SNMP简单网络管理协议。
五、开放系统环境应用可移植框架
六、Intranet的定义和要素
1、Intranet是基于InternetTCP/IP协议,使用的环球网WWW工具、采用防止外界侵入的安全措施、为企业部服务,并有连接Internet的功能的企业部网络。
2、Intranet的组成:
网络、电子、部环球网、地址清单、新闻组Newsgroups、闲谈Chat、FTP、Telnet、Gopher。
主要容:
1、密码学、鉴别
2、访问控制、计算机病毒
3、网络安全技术
4、安全服务与安全机制
5、信息系统安全体系结构框架
6、信息系统安全评估准则
一、密码学
1、密码学是以研究数据为目的,对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。
2、对称密钥密码系统(私钥密码系统):
在传统密码体制中加密和解密采用的是同一密钥。
常见的算法有:
DES、IDEA
3、加密模式分类:
(1)序列密码:
通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流逐位加密得到密文。
(2)分组密码:
在相信复杂函数可以通过简单函数迭代若干圈得到的原则,利用简单圈函数及对合等运算,充分利用非线性运算。
4、非对称密钥密码系统(公钥密码系统):
现代密码体制中加密和解密采用不同的密钥。
实现的过程:
每个通信双方有两个密钥,K和K',在进行通信时通常将加密密钥K公开(称为公钥),而保留解密密钥K'(称为私钥),常见的算法有:
RSA
二、鉴别
鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程,一般通过某种复杂的身份认证协议来实现。
1、口令技术
身份认证标记:
PIN保护记忆卡和挑战响应卡
分类:
共享密钥认证、公钥认证和零知识认证
(1)共享密钥认证的思想是从通过口令认证用户发展来了。
(2)公开密钥算法的出现为
2、会话密钥:
是指在一次会话过程中使用的密钥,一般都是由机器随机生成的,会话密钥在实际使用时往往是在一定时间都有效,并不真正限制在一次会话过程中。
签名:
利用私钥对明文信息进行的变换称为签名
封装:
利用公钥对明文信息进行的变换称为封装
3、Kerberos鉴别:
是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。
客户方需要向服务器方递交自己的凭据来证明自己的身份,该凭据是由KDC专门为客户和服务器方在某一阶段通信而生成的。
凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥,还有证明客户方拥有会话密钥的身份认证者信息。
身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。
时间标记是检测重放攻击。
4、数字签名:
加密过程为C=EB(DA(m))用户A先用自己的算法(解密算法DA)对数据进行加密DA(m),再用B的公开算法(加密算法EB)进行一次加密EB(DA(m))。
解密的过程为m=EA(DB(C))用户B先用自己的算法(解密算DB)对密文C进行解密DB(C),再用A的公开算法(加密算法EA)进行一次解密EA(DB(C))。
只有A才能产生密文C,B是无法依靠或修改的,所以A是不得抵赖的DA(m)被称为签名。
三、访问控制
访问控制是指确定可给予哪些主体访问的权力、确定以及实施访问权限的过程。
被访问的数据统称为客体。
1、访问矩阵是表示安全政策的最常用的访问控制安全模型。
访问者对访问对象的权限就存放在矩阵中对应的交叉点上。
2、访问控制表(ACL)每个访问者存储有访问权力表,该表包括了他能够访问的特定对象和操作权限。
引用监视器根据验证访问表提供的权力表和访问者的身份来决定是否授予访问者相应的操作权限。
3、粗粒度访问控制:
能够控制到主机对象的访问控制
细粒度访问控制:
能够控制到文件甚至记录的访问控制
4、防火墙作用:
防止不希望、XX的通信进出被保护的部网络,通过边界控制强化部网络的安全政策。
防火墙的分类:
IP过滤、线过滤和应用层代理
路由器过滤方式防火墙、双穴信关方式防火墙、主机过滤式防火墙、子网过滤方式防火墙
5、过滤路由器的优点:
结构简单,使用硬件来降低成本;对上层协议和应用透明,无需要修改已经有的应用。
缺点:
在认证和控制方面粒度太粗,无法做到用户级别的身份认证,只有针对主机IP地址,存在着假冒IP攻击的隐患;访问控制也只有控制到IP地址端口一级,不能细化到文件等具体对象;从系统管理角度来看人工负担很重。
6、代理服务器的优点:
是其用户级身份认证、日志记录和管理。
缺点:
要想提供全面的安全保证,就要对每一项服务都建立对应的应用层网关,这就极大限制了新应用的采纳。
7、VPN:
虚拟专用网,是将物理分布在不同地点的网络通过公共骨干网,尤其是internet联接而成的逻辑上的虚拟子网。
8、VPN的模式:
直接模式VPN使用IP和编址来建立对VPN上传输数据的直接控制。
对数据加密,采用基于用户身份的鉴别,而不是基于IP地址。
隧道模式VPN是使用IP帧作为隧道的发送分组。
9、IPSEC
升级会员 