LAN.docx
《LAN.docx》由会员分享,可在线阅读,更多相关《LAN.docx(16页珍藏版)》请在冰豆网上搜索。
LAN
LAN(局域网)
简介
局域网
局域网(LocalAreaNetwork)是在一个局部的地理范围内(如一个学校、工厂和机关内),将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网。
它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个较大范围的信息处理系统。
LAN,是指在某一区域内由多台计算机互联成的计算机组。
“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等,一般是方圆几千米以内。
局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。
局域网严格意义上是封闭型的,可以由办公室内的多至上千台计算机组成。
定义
为了完整地给出LAN的定义,必须使用两种方式:
一种是功能性定义,另一种是技术性定义。
前一种将LAN定义为一组台式计算机和其它设备,在物理地址上彼此相隔不远,以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连在一起的系统。
这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN。
就LAN的技术性定义而言,它定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。
功能性和技术性定义之间的差别是很明显的,功能性定义强调的是外界行为和服务;技术性定义强调的则是构成LAN所需的物质基础和构成的方法。
局域网(LAN)的名字本身就隐含了这种网络地理范围的局域性。
由于较小的地理范围的局限性。
由于较小的地理范围,LAN通常要比广域网(WAN)具有高的多的传输速率,例如,目前LAN的传输速率为10Mb/s,FDDI的传输速率为100Mb/s,而WAN的主干线速率国内目前仅为64kbps或2.048Mbps,最终用户的上线速率通常为14.4kbps。
LAN的拓扑结构目前常用的是总线型和环行。
这是由于有限地理范围决定的。
这两种结构很少在广域网环境下使用。
LAN还有诸如高可靠性、易扩缩和易于管理及安全等多种特性。
拓扑结构
局域网通常是分布在一个有限地理范围内的网络系统,一般所涉及的地理范围只有几公里。
局域网专用性非常强,具有比较稳定和规范的拓扑结构。
常见的局域网拓朴结构如下:
星形结构
局域网
这种结构的网络是各工作站以星形方式连接起来的,网中的每一个节点设备都以中防节为中心,通过连接线与中心节点相连,如果一个工作站需要传输数据,它首先必须通过中心节点。
由于在这种结构的网络系统中,中心节点是控制中心,任意两个节点间的通信最多只需两步,所以,能够传输速度快,并且网络构形简单、建网容易、便于控制和管理。
但这种网络系统,网络可靠性低,网络共享能力差,并且一旦中心节点出现故障则导致全网瘫痪。
树形结构
树形结构网络是天然的分级结构,又被称为分级的集中式网络。
其特点是网络成本低,结构比较简单。
在网络中,任意两个节点之间不产生回路,每个链路都支持双向传输,并且,网络中节点扩充方便、灵活,寻查链路路径比较简单。
但在这种结构网络系统中,除叶节点及其相连的链路外,任何一个工作站或链路产生故障会影响整个网络系统的正常运行。
树形拓补图
总线形结构
总线型
总线形结构网络是将各个节点设备和一根总线相连。
网络中所有的节点工作站都是通过总线进行信息传输的。
作为总线的通信连线可以是同轴电缆、双绞线,也可以是扁平电缆。
在总线结构中,作为数据通信必经的总线的负载能量是有限度的,这是由通信媒体本身的物理性能决定的。
所以,总线结构网络中工作站节点的个数是有限制的,如果工作站节点的个数超出总线负载能量,就需要延长总线的长度,并加入相当数量的附加转接部件,使总线负载达到容量要求。
总线形结构网络简单、灵活,可扩充性能好。
所以,进行节点设备的插入与拆卸非常方便。
另外,总线结构网络可靠性高、网络节点间响应速度快、共享资源能力强、设备投入量少、成本低、安装使用方便,当某个工作站节点出现故障时,对整个网络系统影响小。
因此,总线结构网络是最普遍使用的一种网络。
但是由于所有的工作站通信均通过一条共用的总线,所以,实时性较差。
环形结构
环形结构是网络中各节点通过一条首尾相连的通信链路连接起来的一个闭合环形结构网。
环形结构网络的结构也比较简单,系统中各工作站地位相等。
系统中通信设备和线路比较节省。
在网中信息设有固定方向单向流动,两个工作站节点之间仅有一条通路,系统中无信道选择问题;某个结点的故障将导致物理瘫痪。
环网中,由于环路是封闭的,所以不便于搁充,系统响应延时长,且信息传输效率相对较低。
与广域网区别
广域网(WAN),就是我们通常所说的Internet,它是一个遍及全世界的网络。
局域网(LAN),相对于广域网(WAN)而言,主要是指在小范围内的计算机互联网络。
这个“小范围”可以是一个家庭,一所学校,一家公司,或者是一个政府部门。
BT中常常提到的公网、外网,即广域网(WAN);BT中常常提到私网、内网,即局域网(LAN)。
广域网上的每一台电脑(或其他网络设备)都有一个或多个广域网IP地址(或者说公网、外网IP地址),广域网IP地址一般要到ISP处交费之后才能申请到,广域网IP地址不能重复;局域网(LAN)上的每一台电脑(或其他网络设备)都有一个或多个局域网IP地址(或者说私网、内网IP地址),局域网IP地址是局域网内部分配的,不同局域网的IP地址可以重复,不会相互影响。
广域网(WAN、公网、外网)与局域网(LAN、私网、内网)电脑交换数据要通过路由器或网关的NAT(网络地址转换)进行。
一般说来,局域网(LAN、私网、内网)内电脑发起的对外连接请求,路由器或网关都不会加以阻拦,但来自广域网对局域网内电脑连接的请求,路由器或网关在绝大多数情况下都会进行拦截。
无线局域网WLAN(WirelessLocalAreaNetwork)
局域网
计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。
通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。
但有线网络在某些场合要受到布线的限制:
布线、改线工程量大;线路容易损坏;网中的各节点不可移动。
特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多,实是令人生畏。
这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,限制了用户联网。
WLAN就是解决有线网络以上问题而出现的。
WLAN利用电磁波在空气中发送和接受数据,而无需线缆介质。
WLAN的数据传输速率现在已经能够达到最高450Mbps,传输距离可远至20km以上。
无线联网方式是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便的解决以有线方式不易实现的网络联通问题。
WLAN的优点
安装便捷
一般在网络建设当中,施工周期最长、对周边环境影响最大的就是网络布线的施工了。
在施工过程时,往往需要破墙掘地、穿线架管。
而WLAN最大的优势就是免去或减少了这部分繁杂的网络布线的工作量,一般只要在安放一个或多个接入点(AccessPoint)设备就可建立覆盖整个建筑或地区的局域网络。
使用灵活
在有线网络中,网络设备的安放位置受网络信息点位置的限制。
而一旦WLAN建成后,在无线网的信号覆盖区
局域网
域内任何一个位置都可以接入网络,进行通讯。
经济节约
由于有线网络中缺少灵活性,这就要求网络的规划者尽可能地考虑未来的发展的需要,这就往往导致需要预设大量利用率较低的信息点。
而一旦网络的发展超出了设计规划时的预期,又要花费较多费用进行网络改造。
而WLAN可以避免或减少以上情况的发生。
易于扩展
WLAN又多种配置方式,能够根据实际需要灵活选择。
这样,WLAN能够胜任只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。
由于WLAN具有多方面的优点,其发展十分迅速。
在最近几年里,WLAN已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应用。
据权威调研机构CahnersIn-StatGroup预计,全球无线局域网市场将在2000年至2004年保持快速增长趋势,每年平均增长率高达25%。
无线局域网市场的网卡、接入点设备及其他相关设备的总销售额也将在2000年轻松突破10亿美元大关,在2004年达到21.97亿美元。
局域网协议设置
简介
局域网中的一些协议,在安装操作系统时会自动安装。
如在安装Windows2000或Windows95/98时,系统会自动安装NetBEUI通信协议。
在安装NetWare时,系统会自动安装IPX/SPX通信协议。
其中三种协议中,NetBEUI和IPX/SPX在安装后不需要进行设置就可以直接使用,但TCP/IP要经过必要的设置。
所以下文主要以Windows2000环境下的TCP/IP协议为主,介绍其安装、设置和测试方法,其他操作系统中协议的有关操作与Windows2000基本相同,甚至更为简单。
TCP/IP通信协议的安装
在Windows2000中,如果未安装有TCP/IP通信协议,可选择“开始/设置/控制面板/网络和拨号连接”,右键单击“本地连接”选择“属性”将出现“本地连接属性”对话框,单击对话框中的“安装”按钮,选取其中的TCP/IP协议,然后单击“添加”按钮。
系统会询问你是否要进行“DHCP服务器”的设置?
如果你局域网内的IP地址是固定的(一般是这样),可选择“否”。
随后,系统开始从安装盘中复制所需的文件。
TCP/IP协议安装
TCP/IP通信协议的设置
在“网络”对话框中选
局域网
择已安装的TCP/IP协议,打开其“属性”,将出现“Internet协议(TCP/IP)属性”的对话框。
在指定的位置输入已分配好的“IP地址”和“子网掩码”,不知道可以去询问网络管理员。
建议在安装系统前记下此号码,毕竟求人不如求己嘛。
如果该用户还要访问其它Widnows2000网络的资源,还可以在“默认网关”处输入网关的地址。
TCP/IP通信协议的测试
当TCP/IP协议安装并设置结束后,为了保证其能够正常工作,在使用前一定要进行测试。
我建议大家使用系统自带的工具程序:
PING命令,该工具可以检查任何一个用户是否与同一网段的其他用户连通,是否与其他网段的用户连接正常,同时还能检查出自己的IP地址是否与其他用户的IP地址发生冲突。
假如服务器的IP地址为190.201.2.1,如要测试你的机器是否与服务器接通时,只需切换到DOS提示符下,并键入命令“PING190.201.2.1”即可。
如果出现类似于“Replyfrom190.201.2.1……”的回应,说明TCP/IP协议工作正常;如果显示类似于“Requesttimedout”的信息,说明双方的TCP/IP协议的设置可能有错,或网络的其它连接(如网卡、HUB或连线等)有问题,还需进一步检查。
局域网安全
简介
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。
因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。
事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
当前,局域网安全的解决办法有以下几种:
网络分段
网络分段通常被认
局域网
为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。
例如:
在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。
这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。
这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。
一种很危险的情况是:
用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。
所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:
基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。
基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。
基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。
在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。
各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
目前,大多数的交换机(包括海关内部普遍采用的DECMultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。
如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。
当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。
因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch PortAnalyzer)功能的交换机。
这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。
笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。
局域网常见故障及排除方法
1.网络不通
这是最常见的问题,解决问题的基本原则是先软后硬。
(1)先从软件方面去考虑,检查是否正确安装了TCP/IP协议,是否为局域网中的每台计
算机都指定了正确的IP地址。
(2)使用Ping命令,看其他的计算机是否能够Ping通。
如果不通,则证明网络[1]连接有问
题;如果能够Ping通但是有时候丢失数据包,则证明网络传输有阻塞,或者说是网络设备接
触不大好,需要检查网络设备。
(3)当整个网络都不通时,可能是交换机或集线器的问题,要看交换机或集线器是否在
正常工作。
(4)如果只有一台电脑网络不通,即打开这台电脑的“网络邻居”时只能看到本地计算
机,而看不到其他计算机,可能是网卡和交换机的连接有问题,则要首先看一下RJ-45水晶
头是不是接触不良。
然后再用测线仪,测试一下线路是否断裂。
最后要检查一下交换机上的
端口是否正常工作。
2.连接故障
(1)检查RJ45接口是否制作好,RJ45是10BASE-T网络标准中的接口形式,现在被广
泛使用,其内部有8个线槽,线槽含义遵循EIA/TIA568国际标准,在10BASE-T网络中1、
2线为发送线,3、6线为接收线。
在双机进行连接的时候,其中的1、3、2、6线需要对调。
否则也会造成网络的不通。
(2)检查HUB或者交换机的接头是否有问题,如果某个接口有问题,可以换一个接口来
测试。
3.网卡故障
(1)网卡的问题不太明显,所以在测试的时候最好是先测试网线,再测试网卡,如果有
条件的话,可以使用测线仪或者万用表进行测试。
(2)查看网卡是否正确安装驱动程序,如果没有安装驱动程序,或者驱动程序有问题,
则需要重新安装驱动程序。
(3)硬件冲突。
需要查看与什么硬件冲突,然后修改对应的中断号和I/O地址来避免冲
突,有些网卡还需要在CMOS中进行设置。
4.病毒故障
互联网上有许多能够攻击局域网的病毒,如红色代码、蓝色代码、尼姆达等。
某些病毒
除了使计算机运行变慢,还可以阻塞网络,造成网络塞车。
对付这些新病毒,大多数病毒厂
商,例如瑞星,KV3000等都在其主页上设有对付的办法。
在这里一定要注意,不要按照平
常的杀毒办法杀毒,必须对杀毒软件进行定时的升级。
无线局域网安全技术
简介
通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。
但有线网络在某些场合要受到布线的限制:
布线、改线工程量大;线路容易损坏;网中的各节点不可移动。
特别是当要把相离较远的节点联接起来时,架设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。
WLAN就是解决有线网络以上问题而出现的,WLAN为WirelessLAN的简称,即无线局域网。
无线局域网是利用无线技术实现快速接入以太网的技术。
与有线网络相比,WLAN最主要的优势在于不需要布线,可
局域网
以不受布线条件的限制,因此非常适合移动办公用户的需要,具有广阔市场前景。
目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去,甚至开始进入家庭以及教育机构等领域。
无线局域网与传统有线局域网相比优势不言而喻,它可实现移动办公、架设与维护更容易等。
Frost&Sullivan公司预测无线局域网络市场在2005年底将达到50亿美元。
在如此巨大的应用与市场面前,无线局域网络安全问题就显得尤为重要。
人们不禁要问:
通过电波进行数据传输的无线局域网的安全性有保障吗?
对于无线局域网的用户提出这样的疑问可以说不无根据,因为无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(AccessPoint)的服务区域中,任何一个无线客户端都可以接收到此接入点的电磁波信号。
这样,非授权的客户端也能接收到数据信号。
也就是说,由于采用电磁波来传输信号,非授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。
所以为了阻止这些非授权用户访问无线局域网络,从无线局域网应用的第一天开始便引入了相应的安全措施。
实际上,无线局域网比大多数有线局域网的安全性更高。
无线局域网技术早在第二次世界大战期间便出现了,它源自于军方应用。
一直以来,安全性问题在无线局域网设备开发及解决方案设计时,都得到了充分的重视。
目前,无线局域网络产品主要采用的是IEEE(美国电气和电子工程师协会)802.11b国际标准,大多应用DSSS(DirectSequenceSpreadSpectrum,直接序列扩频)通信技术进行数据传输,该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。
802.11标准主要应用三项安全技术来保障无线局域网数据传输的安全。
第一项为SSID(ServiceSetIdentifier)技术。
该技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络;第二项为MAC(MediaAccessControl)技术。
应用这项技术,可在无线局域网的每一个接入点(AccessPoint)下设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点(AccessPoint)将拒绝其接入请求;第三项为WEP(WiredEquivalentPrivacy)加密技术。
因为无线局域网络是通过电波进行数据传输的,存在电波泄露导致数据被截听的风险。
WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
下面我们从无线局域网安全技术的发展历程来对无线局域网中采用的主要安全技术及发展方向进行介绍。
早期基本的无线局域网安全技术
MAC过滤
无线网卡物理地址(MAC)过滤:
每个无线工作站网卡都由惟一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。
网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。
如果企业当中的AP数量太多,为了实现整个企业当中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中Radius认证。
服务区标识符(SSID)匹配:
无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝他通过本服务区上网。
因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。
在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
有线等效保密(WEP):
有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。
WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。
WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。
WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个ChallengePacket给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。
40位WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。
现在的WEP一般也支持128位的钥匙,提供更高等级的安全加密。
802.11i(WPA)之前的安全解决方案
802.11技术
端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP):
该技术也是用于无线局域网的一种增强性网络安全解决方案。
当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通
升级会员 