局域网广域网网络安全.docx

局域网广域网网络安全.docx

《局域网广域网网络安全.docx》由会员分享，可在线阅读，更多相关《局域网广域网网络安全.docx（115页珍藏版）》请在冰豆网上搜索。

局域网广域网网络安全

局域网与城域网，网络安全，广域通信网

合订本

适用班级：

网络工程师

主讲：

马良玉

网址：

E-Mail:

bitpx@

第1章局域网与城域网

1.1局域网概述

（1）局域网的定义：

局域网为在较小区域内互联各种通信设备的一种通信网络。

（2）局域网的最大特点：

为一个单位所拥有，且地理范围和站点数目均有限；

（3）局域网的拓扑结构：

星形、总线型、树形、环形（图）

（4）局域网的传输媒体

双绞线：

分为屏蔽双绞线（STP）和非屏蔽双绞线（UTP）

50欧同轴电缆：

又称为基带同轴电缆

75欧同轴电缆：

又称为宽带同轴电缆

光纤：

分为单模光纤和多模光纤。

单模光纤与多模光纤相比具有高速度、长距离、细芯线、高成本等特点。

无线电波：

省略。

1.2局域网体系结构

（1）OSI参考模型和IEEE802参考模型的对应关系：

（2）802项目本身的结构关系：

（3）逻辑链路控制子层（LogicalLinkControl，即LLC）

LLC协议实际上是基于HDLC（Hight-levelDataLinkControl）协议的

●LLCPDU与MACPDU的关系

LLC层从收到上层传下来的数据包后，将数据包作为LLC的信息，前面加上LLC首部后下传到MAC层，MAC层将收到的LLC帧封装在MAC的首、尾部的中间。

即：

●LLC的帧格式：

根据控制字段的不同，分为信息帧（I帧），管理帧（S帧）和无编号帧（U帧）三种

信息帧用于传送用户的数据，N（S）中存放本帧的编号，而N（R）中存放希望收到的下一帧的编号，即确认该编号之前的帧都已收到。

管理帧用来管理和控制链路操作。

其中，管理类型共有2位，有四种不同的编码，它们分别表示：

00-接收准备好，例如1000000000000011，由主站发出的该管理帧表示已收到从站发来的编号为2的帧，希望从站发来编号为3的帧。

01-拒绝，它将要求发送方对从编号N（R）开始的信息帧重新发送。

1001000000000011表示的含义是：

10-接收未就绪，表示编号小于N（R）的帧已被收到，但目前正处于忙碌状态，尚未准备好接收编号为N（R）的信息帧，这可用来对通信流量进行控制。

1010000000000011表示的含义是：

11-选择拒绝，它要求发送方重发编号为N（R）的单个信息帧。

1011000000000011的含义是：

无编号帧因其帧控制字段中不含编号N（S）或N（R）而得名，它用于提供各种附加的链路控制命令和相应的功能。

●LLC提供的服务有三种：

a）无确认无连接的服务：

这实际上是数据报类型的服务

b）连接方式的服务：

实际上它是虚电路类型的服务，过程有建立连接、数据传送和结束连接。

c）有确认无连接的服务：

（4）媒体访问控制子层（MediaAccessControl，即MAC）

Mac层需要解决的是确定媒体访问的控制方法。

“由谁控制”（控制权）：

集中式控制和分布式控制

“怎么控制”（控制方式）：

同步控制和异步控制。

同步控制是静态地将信道分成N份分配给N个站点，以达到每个站点都有传输通道，又互不干扰的目的。

异步控制则是动态地分配信道，网络带宽是根据站点的请求来分配的。

异步控制可分为三种方式：

轮询:

所有的站按照一定的逻辑顺序传递发送权限，每个工作站轮流得到发送权限。

预约:

将信道的使用时间划分成时间槽，若某工作站需要发送数据，须提前预约所需要占用的时间槽。

适用于需要长时间连续传输数据的通信方式。

竞争:

各个工作站通过竞争获取发送权限

MAC方式

总线拓扑

环拓扑

交换LAN（星型）

时间片轮转

令牌总线【IEEE802.4】

询问（IEEE802.11）

令牌环（IEEE802.5

FDDI）

请求/优先级（IEEE802.12）

预约

DQDB（IEEE802.6）

竞争

CSMA/CD（IEEE802.3）

CSMA（IEEE802.11）

CSMA/CD（IEEE802.3）

（5）网卡

网卡又称为网络适配器（Adapter）或是网络接口卡（NIC）

网卡的重要功能：

进行串\并转换

对数据进行缓存

在计算机的操作系统安装设备驱动程序

实现以太网协议

1.3IEEE802.3标准与以太网

以太网是目前应用最为广泛的一种局域网技术。

1980年由DEC、Inter和Xerox三家公司合作提出了10Mbps的以太网规范DIXEthernetV1。

1981年，DIXEthernetV2.0公布并成为世界上第一个局域网产品的规范。

人们常把IEEE802.3局域网称为以太网，但从严格意义来说，它们并不是等同的。

IEEE802.3是在DIXEthernetV2.0的基础上制定的，他们之间仅有一小点的不同。

以太网采用无连接无确认的工作方式。

1.3.1以太网的媒体访问控制方法

1.3.1.1载波监听多路访问（CSMA）

传统以太网采用曼彻斯特编码，通过检测媒体的电平是否出现跳变来确定媒体上是否有数据帧。

CSMA有三种类型：

1.非坚持CSMA：

a）若媒体空闲就传输；否则转到b）

b）若媒体忙，等待一段随机的重传延迟时间，重复a）

2.坚持CSMA

a）若媒体空闲就传输；否则转到b）

b）若媒体忙则继续监听，直到检测到信道空闲然后立即传输

c）如果有冲突，则等待一段随机的时间后重复a）

3.p-坚持CSMA

a）若媒体空闲就传输，以概率p传输，以概率（1-p）延迟一个时间单位，该时间单位通常等于最大的传播延迟的两倍

b）若媒体忙则继续监听，直到检测到信道空闲然后重复a）

c）若传输延迟了一个时间单位，则重复b）

传统局域网采用的媒体访问控制方法是1-坚持CSMA

1.3.1.2冲突检测

冲突检测的过程:

冲突槽时间的计算:

Slot=2s/v+2tphy+2ntr

其中，s为网中相距最远连个站点之间的距离，v为信号的传播速度，tphy为主机物理层的时延，tr为中继器的时延，n为经过的中继器个数

最小帧长的计算:

L=Slot*R其中R为传输速率

【例题】

以太网控制策略中有三种监听算法，其中一种是“一旦介质空闲就发送数据，如果介质忙，继续监听，直到介质空闲后立即发送数据”，这种算法称为

（1）监听算法。

这种算法的主要特点是

（2）。

CSMA/CD协议具有冲突检测功能，网络中的站点一旦检测到冲突，就会立即停止发送，并发阻塞码，其他站点都会（3）。

如果基带总线的段长为d=1000m，中间没有中继器，数据速率为R=10Mbps，信号传播速率为v=200m/us，为了保证在发送期间能够检测到冲突，则该网络上的最小帧长应为（4）bit;对于具有同样参数的宽带总线网络，最小帧长应为（5）bit.

（1）A.1-坚持型B.p-坚持型C.非坚持型D.0-坚持型

（2）A.介质利用率低，但冲突概率低B.介质利用率高，但冲突概率也高

C.介质利用率低，且无法避免冲突D.介质利用率高，且可以有效避免冲突

（3）A.处于待发送状态B.继续竞争发送权C.接收到阻塞信号D.继续发送数据

（4）A.50B.100C.150D.200

（5）A.50B.100C.150D.200

1.3.1.3二进制指数退避算法

当冲突发生后，以太网将使用二进制指数退避算法来进行冲突退避。

其算法描述如下：

a）冲突发生后，发送站点停止发送数据，并退避等待一个随机时间。

b）定义参数k，k等于重传次数，且k不超过10，即k=min[重传次数，10]。

c）从整数集合[0,1,…,（2k-1）]中随机地取出一个数，记为n，重传所需的退避时间就是n倍的冲突槽时间。

d）若重传次数达到16次，则丢弃该帧。

二进制指数退避算法可以动态适应试图发送的站点数的变动。

采用二进制指数退避的1-坚持方式的好处在于它在不同的负载时信道利用率都比较合理。

【例题】（2005年下半年试题）

以太网中如果发生介质访问冲突，按照二进制指数退避算法决定下依次重发的时间，使用二进制指数退避算法的理由是

（1）

（1）A.这种算法简单B.这种算法执行速度快C.这种算法考虑了网络负载对冲突的影响D.这种算法与网络的规模大小无关

1.3.2以太网的帧格式

以太网的地址长度为6B（48bit）。

以太网上的所有主机都有一个唯一的以太网地址。

以太网地址被烧制在网卡的ROM中，通常的表示格式为BB:

BB:

BB:

BB:

BB:

BB。

所有位为1的以太网地址是广播地址，即目的地址为广播地址的帧将被以太网上的所有站点接收。

数据帧的发送数据帧的接收

1.3.3传统以太网（10Mbps）

1.3.3.1IEEE802.310Mbps物理层媒体选项

名称

传输介质

编码技术

跨距

拓扑

每段站点数

最大分段数

10Base2

细同轴电缆

基带

（曼彻斯特码）

185

总线型

30

5

10Base5

粗同轴电缆

基带

（曼彻斯特码）

500

总线型

100

5

10BaseT

非屏蔽双绞线

基带

（曼彻斯特码）

100

星形

1024

5

10BaseF

62.5/125光纤

曼彻斯特码/on-off

500

星形

33

2

1.3.3.2以太网的5-4-3规则

在10Mbps以太网中一个网络最多只能分5个网段，这5个网段由4个中继器连接，最多只能有三个网段配备主机。

1.3.4快速以太网

1.3.4.1快速以太网标准

快速以太网的MAC子层仍使用CSMA/CD媒体访问控制协议，只是重新定义了物理层标准。

100BaseT媒体选项

名称

传输介质

信号技术

最大段长

网络跨度

100BaseTx

2对5类UTP或2对STP

4B5B、MLT-3

100

200

100BaseFx

1对光纤

4B5B、NRZI

100

400

100BaseT2

2对3类UTP

8B6T、NRZ

100

200

100BaseT4

4对3类UTP

PAM5

100

200

2）快速以太网的跨距

快速以太网的传输速率比传统以太网快了10倍，而最小帧长（512bit，即64字节）保持不变，因此快速以太网的跨距只有传统（10Mbps）以太网的十分之一。

【例题】（2004年上半年试题）

局域网中使用的传输介质有双绞线\同轴电缆和光纤等.10BaseT采用3类UTP,规定从收发器到集线器的距离不超过

（1）m。

100BaseTX把数据速率提高了10倍，同时网络的覆盖范围

（2）。

假设tPHY表示工作站的物理层时延，C表示光速，S表示网段长度，tR表示中继器的时延，在10Base5最大配置的情况下，冲突时槽等于（3）。

光纤分为单模光纤和多模光纤，与多模光纤相比，单模光纤的主要特点是（4），为了充分利用其容量，可以使用（5）技术同时传输多路信号

（1）A.100B.185C.300D.1000

（2）A.保持不变B.缩小了C.扩大了D.没有限制

（3）A．S/0.7C+2tPHY+8tRB.2S/0.7C+2tPHY+8tR

C.2S/0.7C+tPHY+8tRD.2S/0.7C+2tPHY+4tR

（4）A.高速度、短距离、高成本、宽芯线B.高速度、长距离、低成本、宽芯线

C.高速度、短距离、低成本、细芯线D.高速度、长距离、高成本、细芯线

（5）A.TDMB.FDMC.WDMD.ATDM

1.3.5千兆以太网

1.3.5.1千兆以太网标准

千兆以太网主要有1000BaseLx、1000BaseCX、1000BaseSx、1000BaseT四种。

1000BaseX物理媒体选项

编码方案

名称

传输介质

工作方式

最大段长

8B/10B

1000BaseLx

62.5um、50um多模光纤

半双工

316m

全双工

550m

10um单模光纤

全双工

5Km

1000BaseSx

62.5um多模光纤

半双工

275m

全双工

275m

50um多模光纤

半双工

316m

全双工

550m

1000BaseCx

短程铜线

25m

4D/PAM5

1000BaseT

4对5类UTP

100m

千兆以太网允许半双工和全双工两种方式工作

在全双工的方式下不受CSMA/CD的限制，而在半双工的方式下需要用到帧扩展和帧突发的技术。

1.3.5.2帧扩展

如果MAC帧长不足512字节（4096bit），填充特殊字符在帧的后面。

1.3.5.3帧突发

当很多短帧要发送，第一个短帧采用帧扩展进行填充，随后的一些短帧可接着发送，形成一串分组的突发，直到达到1500字节或稍多一些（1518）为止。

1.3.6全双工以太网

全双工以太网和传统以太网的区别在于：

端口与端口之间有两对线可以同时发送和接收数据帧，不会发生帧冲突，不再需要进行冲突检测。

全双工以太网的三个要求：

●物理媒体本身必须能够无干扰地同时发送和接收数据

●在一个全双工以太网只能包含一个点到点的连接，即只能有两个站点（注意是点到点，而不是端到端）

●网络结构必须能够使用并且能被配置为全双工工作模式

1.3.7万兆以太网

●使用光纤进行通信，只支持全双工数据传输

●两种物理层：

一种是与传统以太网连接，速率为10Gbps的局域网物理层，一种是与SONET连接，速率为9.58464Gbps的广域网物理层。

●万兆以太网物理层支持采用8B/10B、64B/66B两种信号编码方式

【例题】（2005年下半年试题）

IEEE802.3ae10Gbps以太网标准支持的工

作模式是

（1）.

（1）A.全双工B.半双工C.单工D.全双工和半双工

1.4令牌环网与IEEE802.5标准

1.4.1令牌环的组成

令牌环中的环并不是真正的广播介质，而是单个的点到点的连接组合在一起形成了一个环。

令牌环的每一站通过电缆与干线耦合器相连。

干线耦合器有两种状态：

收听状态和发送状态。

干线耦合器处于收听状态时，其任务是：

转发从环路输入的比特流（比特流在经过中继器转发时会进行整形和放大）

不停地监视两种特殊的比特组合：

本站地址和令牌。

1.4.2令牌环的工作原理

为了维持环网有效地工作，必须限定下列条件：

令牌代表发送的权利，当环空闲时，令牌在环上循环传送；一个等待发送的站点必须接收到令牌时才可以发出数据帧；在数据帧经过时，目标站可以拷贝一份；数据帧沿着环循环一周，由原发送站回收；

如果环的比特长度小于帧长，则发送站发完一帧后就可以发出令牌，否则要等到被发送的帧的前沿返回给站后，才可以发出令牌。

最后一条限制是为了维持任何时候环上只有一个帧在发送，这样可以简化故障的处理。

为了改善令牌环的可靠性和可维护性，引入了线路中心（见右图）。

当站点下线或是出现故障的时候，可通过释放旁路中继器将站点旁路。

以保证了环网的正常运行。

1.4.3令牌环的特点

令牌环能实现广播功能

令牌环可实现自动应答

令牌环可通过优先级调度算法来调整结点访问介质的优先级

令牌环在重载时可以高效率地工作。

1.4.4令牌环的帧格式

802.5标准提供了多种数据速率和多种传输媒体。

802.5LAN采用差分曼彻斯特编码，4Mbps的802.5LAN的最大帧长为4550字节，而16Mbps的最达帧长为18200字节。

SD=JK0JK000,其中J为高电平，K为低电平，SD表示令牌帧或是数据帧的开始

AC=PPPTMRRR，PPP三位表示令牌优先级，RRR表示预约优先级。

T是令牌标志位，T=0表示本帧为令牌帧，T=1表示本帧为

数据帧或控制帧。

M为监控位，从源站发出时M=0，经过监控站时将M置为1，当该帧再次回到监控站时，监控站将它视为无主帧进行回收。

FC=FFZZZZZZ为帧控制段，用于表示帧的类型，FF=00表示该帧为MAC帧，FF=01时表示该帧为LLC帧。

FSC为校验字段，其校验范围为从FC字段到LLC字段。

ED=JK1JK1IE，其中I=0表示此帧是最后一帧，I=1表示此帧是传送的多个数据帧的中间某一帧，E=0表示没有出错（从源站发送出来是为0），E=1表示该帧有错误（传输过程中任意站检测到有错，可立即将E置为1）。

FS=ACrrACrr为帧状态字段，源站发送时将AC置为00，目标站收到该帧时发现有错时置AC为10，若正确接收了，则置AC为11。

1.4.5令牌环的维护

根据令牌环的特点可知，一旦令牌丢失，环网便不能再运行；双重环也会打乱环网的运行。

所以令牌环中需要有一个站点作为监控站点完成令牌的维护功能。

监控站的主要功能：

保证环的最小延时;保证令牌帧不丢失;清除无主帧;清除错误帧

【例题】2002年试题

在IEEE802.5令牌环网中，时延是由

（1）决定的。

要保证环网的正常运行，整个环网的时延必须大于

（2）。

设有一个令牌环网，长度为400m，环上有28个站，数据速率为4Mbps，信号传播速度为200m/us，每个站点引入1位时延，则环网的最大和最小时延分别是（3）位和（4）位。

（1）A．站点时延和信号传播时延B．令牌帧长短和数据帧长短C．电缆长度和站点个数D．数据速率和信号传播速度

（2）A．数据帧长B．令牌帧长C．信号传播时延D．站点个数

（3）A．1B．8C．20D．24（4）A．9B．28C．36D．48

1.4.6FDDI的概述

光纤分布式数据接口FDDI（FiberDistributedDataInterface）是一种采用令牌传递访问控制协议、环形拓扑结构和光纤介质的100Mb/s高速局域网。

因此，FDDI可以看作是一种高速令牌环网。

    FDDI的环形链路采用双环结构，主环进行正常的数据传输，次环为备用环，一旦主环链路发生故障，则备用环的相应链路就代行其工作，这样就使得FDDI具有较强的容错能力。

a）正常情况   b）链路出故障c）站点出故障

 FDDI采用光纤介质和环形结构，这使得网络覆盖区域可达100km，可连接500多个节点，节点间的最大距离为2km。

FDDI和TokenRing一样都采用令牌访问控制协议，即只有获得令牌的节点才有权发送数据。

但FDDI有两点与TokenRing不同：

一是FDDI规定发送节点在获得令牌后，将令牌取下，独立地发送数据帧，而TokenRing则是将数据插在“忙”令牌后发送；二是FDDI采用多令牌机制，允许发送节点在发送完数据帧后，立即产生一个新令牌帧发送到环上，以提高介质的利用率。

 环网上的监测功能将分布于环上的各个节点之中。

任何一个节点一旦发现异常情况（例如，丢失令牌等），都有权要求环网重新初始化。

这时，环网就会自动进入恢复过程。

FDDI采用一种新的编码技术（称为4B/5B编码）,在这种编码技术中,每次对4位数据进行编码,每4位数据编码成5位符号,用光的存在和不存在表示5位符号中每一位是1还是0,这种编码技术使得效率提高到80%。

为了得到同步信号,采用两极编码的方法,先按4B/5B编码,然后再按反相的不归零制（NRZI）方式进行编码。

FDDl的时钟方案

FDDI标准规定使用分布式时钟方案,即在每个站点都配有独立的时钟和弹性缓冲器。

进入站点缓冲器的数据时钟是按照输人信号的时钟确定的,而从缓冲器输出的信号时钟则根据站点的时钟确定,这种方案使环路中中继器的数目不受时钟偏移因素的限制。

1.4.7FDDI的组成

①双连接站（DAS）。

DAS连接到双环网络的两个环上，具有两个光收发器，能够在两个环上接收信号并进行放大。

DAS有两个光连接线路接口：

一个是A接口，包含了主环的输入和次环的输出；另一个是B接口，包含了主环的输出和次环的输入。

当其中的一个光收发器失灵或一条物理链路发生故障时，DAS仍可正常工作，具有较高的可靠性。

    ②单连接站（SAS）。

SAS只有一个光收发器，只能连接到一个环路上。

SAS的物理接口称为从口，必须通过集中器与双环网络连接。

    ③集中器（Concentrator）。

集中器本身可以是DAS（连接到双环上），也可以是SAS（连接到另一个集中器上）。

集中器提供的附加口称为主口，用于将SAS连接到双环网络上。

集中器接收来自主环上的数据；然后依次转发到主口所连接的设备上；在最后一个主口收到数据后，再转发到主环上。

当集中器所连接的设备发生故障或主口空闲时，有关链路在其内部被旁路，使环网仍能保持连接。

    ④网络互连设备。

FDDI网络互连设备主要有FDDI网桥（Bridge）和FDDI路由器（Router）。

网桥主要用于FDDI网络与局域网的互连；路由器主要用于FDDI网络与广域网的互连。

然而，很多FDDI互连产品同时兼有网桥和路由器的功能。

1.4.8FDDI的帧格式：

【例题】（2004年上半年试题）

FDDI的基本编码方法是

（1）。

在此基础上采用

（2）编码以获得足够多的同步信息，这样使编码效率提高到（3）。

对于100Mbps的光纤网，这意味着只需要125MHz的器件就可以实现。

为了消除环网中的时钟偏移，FDDI使用了（4）方案，并规定进入站点缓冲器的数据时钟按照输入信号的时钟确定，从缓冲器输出的时钟信号由（5）确定。

（1）A．ManchesterB．差分ManchesterC．NRZD．NRZ-I

（2）A．4B/5BB．5B/6BC．8B6TD．MLT-3

（3）A．25%B．50%C．80%D．100%

（4）A．带锁相环电路的分布式时钟B．带锁相环电路的集中式时钟

C．带弹性缓冲器的分布式时钟D．带弹性缓冲器的集中时时钟

（5）A．本站的时钟B．输入信号的时钟C．信号固有的时钟D．环上固有的时钟

1.5令牌总线网与IEEE802.4标准

令牌总线网的主要特点：

在物理上是一个总线网、逻辑上是一个令牌网。

令牌总线局域网既具有总线网的“接入方便”和“可靠性较高”的优点，又具有令牌环网的“无冲突”和“发送时延有确定的上限值”的优点。

但令牌总线比较复杂，维护环要完成大量的工作。

802.3、802.4、802.5和FDDI的比较

类型

以太网

令牌总线

令牌环

FDDI

拓扑结构

总线星形

总线

环形

双环

访问方法

CSMA/CD

令牌传输

令牌传输

令牌传输

传输介质

同轴电缆、光纤、双绞线

同轴电缆、光纤

屏蔽双绞线、无屏蔽双绞线

光纤

速度

10/100Mbps1/10Gbps

1/5/10Mbps

1/14/16/100Mbps

100Mbps

广播/非广播

广播

广播

广播

广播

数据路径冗余

否

否

否

是

可预测响应时间

否

是

是

是

优先级

否

是

是

是

协议复杂度

简单

复杂

复杂

复杂

部署成本

便宜

贵

中等

贵

使用环境

大多数公司、教育机构

工业环境下的实时控制

航空