局域网广域网网络安全.docx

1、局域网广域网网络安全局域网与城域网，网络安全，广域通信网合订本适用班级：网络工程师主讲：马良玉网址：E-Mail:bitpx第1章 局域网与城域网1.1 局域网概述（1）局域网的定义：局域网为在较小区域内互联各种通信设备的一种通信网络。（2）局域网的最大特点：为一个单位所拥有，且地理范围和站点数目均有限；（3）局域网的拓扑结构： 星形、总线型、树形、环形（图） (4)局域网的传输媒体 双绞线：分为屏蔽双绞线（STP）和非屏蔽双绞线（UTP）50欧同轴电缆：又称为基带同轴电缆75欧同轴电缆：又称为宽带同轴电缆光纤：分为单模光纤和多模光纤。单模光纤与多模光纤相比具有高速度、长距离、细芯线、高成本等

2、特点。无线电波：省略。1.2 局域网体系结构（1）OSI参考模型和IEEE802参考模型的对应关系：（2）802项目本身的结构关系：（3）逻辑链路控制子层（Logical Link Control，即LLC）LLC协议实际上是基于HDLC（Hight-level Data Link Control）协议的 LLC PDU与MAC PDU的关系LLC层从收到上层传下来的数据包后，将数据包作为LLC的信息，前面加上LLC首部后下传到MAC层，MAC层将收到的LLC帧封装在MAC的首、尾部的中间。即： LLC的帧格式：根据控制字段的不同，分为信息帧（I帧），管理帧（S帧）和无编号帧（U帧）三种信息帧

3、用于传送用户的数据，N(S)中存放本帧的编号，而N（R）中存放希望收到的下一帧的编号，即确认该编号之前的帧都已收到。管理帧用来管理和控制链路操作。其中，管理类型共有2位，有四种不同的编码，它们分别表示：00-接收准备好，例如1000 0000 0000 0011，由主站发出的该管理帧表示已收到从站发来的编号为2的帧，希望从站发来编号为3的帧。01-拒绝，它将要求发送方对从编号N（R）开始的信息帧重新发送。1001 0000 0000 0011表示的含义是：10-接收未就绪，表示编号小于N（R）的帧已被收到，但目前正处于忙碌状态，尚未准备好接收编号为N（R）的信息帧，这可用来对通信流量进行控制。

4、1010 0000 0000 0011表示的含义是：11-选择拒绝，它要求发送方重发编号为N（R）的单个信息帧。1011 0000 0000 0011的含义是：无编号帧因其帧控制字段中不含编号N（S）或N（R）而得名，它用于提供各种附加的链路控制命令和相应的功能。 LLC提供的服务有三种：a) 无确认无连接的服务：这实际上是数据报类型的服务b) 连接方式的服务：实际上它是虚电路类型的服务，过程有建立连接、数据传送和结束连接。c) 有确认无连接的服务：（4）媒体访问控制子层（Media Access Control，即MAC）Mac层需要解决的是确定媒体访问的控制方法。“由谁控制”（控制权）：集

5、中式控制和分布式控制“怎么控制”（控制方式）：同步控制和异步控制。同步控制是静态地将信道分成N份分配给N个站点，以达到每个站点都有传输通道，又互不干扰的目的。异步控制则是动态地分配信道，网络带宽是根据站点的请求来分配的。异步控制可分为三种方式：轮询:所有的站按照一定的逻辑顺序传递发送权限，每个工作站轮流得到发送权限。预约:将信道的使用时间划分成时间槽，若某工作站需要发送数据，须提前预约所需要占用的时间槽。适用于需要长时间连续传输数据的通信方式。竞争:各个工作站通过竞争获取发送权限MAC方式总线拓扑环拓扑交换LAN（星型）时间片轮转令牌总线【IEEE 802.4】询问（IEEE 802.11）令

6、牌环（IEEE 802.5FDDI）请求/优先级（IEEE 802.12）预约DQDB(IEEE 802.6)竞争CSMA/CD(IEEE 802.3)CSMA(IEEE 802.11)CSMA/CD(IEEE 802.3)（5）网卡 网卡又称为网络适配器（Adapter）或是网络接口卡（NIC） 网卡的重要功能：进行串并转换对数据进行缓存在计算机的操作系统安装设备驱动程序实现以太网协议1.3 IEEE 802.3标准与以太网以太网是目前应用最为广泛的一种局域网技术。1980年由DEC、Inter和Xerox三家公司合作提出了10Mbps的以太网规范DIX Ethernet V1。1981年，

7、DIX Ethernet V2.0公布并成为世界上第一个局域网产品的规范。人们常把IEEE 802.3局域网称为以太网，但从严格意义来说，它们并不是等同的。IEEE802.3是在DIX Ethernet V2.0的基础上制定的，他们之间仅有一小点的不同。以太网采用无连接无确认的工作方式。 1.3.1 以太网的媒体访问控制方法1.3.1.1 载波监听多路访问（CSMA） 传统以太网采用曼彻斯特编码，通过检测媒体的电平是否出现跳变来确定媒体上是否有数据帧。CSMA有三种类型：1. 非坚持CSMA：a)若媒体空闲就传输；否则转到b)b)若媒体忙，等待一段随机的重传延迟时间，重复a)2. 坚持CSMA

8、a) 若媒体空闲就传输；否则转到b)b) 若媒体忙则继续监听，直到检测到信道空闲然后立即传输c) 如果有冲突，则等待一段随机的时间后重复a)3. p-坚持CSMA a) 若媒体空闲就传输，以概率p传输，以概率（1-p）延迟一个时间单位，该时间单位通常等于最大的传播延迟的两倍b) 若媒体忙则继续监听，直到检测到信道空闲然后重复a)c) 若传输延迟了一个时间单位，则重复b)传统局域网采用的媒体访问控制方法是1-坚持CSMA1.3.1.2 冲突检测 冲突检测的过程: 冲突槽时间的计算:Slot=2s/v+2tphy+2ntr其中，s为网中相距最远连个站点之间的距离，v为信号的传播速度，tphy为主机

9、物理层的时延，tr为中继器的时延，n为经过的中继器个数 最小帧长的计算:L=Slot*R 其中R为传输速率【例题】 以太网控制策略中有三种监听算法，其中一种是“一旦介质空闲就发送数据，如果介质忙，继续监听，直到介质空闲后立即发送数据”，这种算法称为 (1) 监听算法。这种算法的主要特点是 (2) 。CSMA/CD协议具有冲突检测功能，网络中的站点一旦检测到冲突，就会立即停止发送，并发阻塞码，其他站点都会 (3) 。如果基带总线的段长为d=1000m，中间没有中继器，数据速率为R=10Mbps，信号传播速率为v=200m/us，为了保证在发送期间能够检测到冲突，则该网络上的最小帧长应为 (4)

10、bit;对于具有同样参数的宽带总线网络，最小帧长应为 (5) bit.(1) A.1-坚持型 B.p-坚持型 C.非坚持型 D.0-坚持型(2) A.介质利用率低，但冲突概率低 B.介质利用率高，但冲突概率也高C.介质利用率低，且无法避免冲突 D.介质利用率高，且可以有效避免冲突(3) A.处于待发送状态 B.继续竞争发送权 C.接收到阻塞信号 D.继续发送数据(4) A.50 B.100 C.150 D.200(5) A.50 B.100 C.150 D.2001.3.1.3 二进制指数退避算法 当冲突发生后，以太网将使用二进制指数退避算法来进行冲突退避。其算法描述如下：a) 冲突发生后，发

11、送站点停止发送数据，并退避等待一个随机时间。b) 定义参数k，k等于重传次数，且k不超过10，即k=min重传次数，10。c) 从整数集合0,1,(2k-1)中随机地取出一个数，记为n，重传所需的退避时间就是n倍的冲突槽时间。d) 若重传次数达到16次，则丢弃该帧。二进制指数退避算法可以动态适应试图发送的站点数的变动。采用二进制指数退避的1-坚持方式的好处在于它在不同的负载时信道利用率都比较合理。【例题】（2005年下半年试题）以太网中如果发生介质访问冲突，按照二进制指数退避算法决定下依次重发的时间，使用二进制指数退避算法的理由是 (1) （1）A.这种算法简单 B.这种算法执行速度快 C.这

12、种算法考虑了网络负载对冲突的影响 D.这种算法与网络的规模大小无关1.3.2 以太网的帧格式以太网的地址长度为6B（48bit）。以太网上的所有主机都有一个唯一的以太网地址。以太网地址被烧制在网卡的ROM中，通常的表示格式为BB:BB:BB:BB:BB:BB。所有位为1的以太网地址是广播地址，即目的地址为广播地址的帧将被以太网上的所有站点接收。数据帧的发送 数据帧的接收1.3.3 传统以太网（10Mbps）1.3.3.1 IEEE 802.3 10Mbps 物理层媒体选项名称传输介质编码技术跨距拓扑每段站点数最大分段数10Base2细同轴电缆基带（曼彻斯特码）185总线型30510Base5粗

13、同轴电缆基带（曼彻斯特码）500总线型100510BaseT非屏蔽双绞线基带（曼彻斯特码）100星形1024510BaseF62.5/125光纤曼彻斯特码/on-off500星形3321.3.3.2以太网的5-4-3规则在10Mbps以太网中一个网络最多只能分5个网段，这5个网段由4个中继器连接，最多只能有三个网段配备主机。1.3.4 快速以太网1.3.4.1 快速以太网标准快速以太网的MAC子层仍使用CSMA/CD媒体访问控制协议，只是重新定义了物理层标准。100BaseT媒体选项名称传输介质信号技术最大段长网络跨度100BaseTx2对5类UTP或2对STP4B5B、MLT-3100200

14、100BaseFx1对光纤4B5B、NRZI100400100BaseT22对3类UTP8B6T、NRZ100200100BaseT44对3类UTPPAM51002002) 快速以太网的跨距快速以太网的传输速率比传统以太网快了10倍，而最小帧长（512bit，即64字节）保持不变，因此快速以太网的跨距只有传统（10Mbps）以太网的十分之一。【例题】（2004年上半年试题）局域网中使用的传输介质有双绞线同轴电缆和光纤等.10BaseT采用3类UTP,规定从收发器到集线器的距离不超过 (1) m。100BaseTX把数据速率提高了10倍，同时网络的覆盖范围 （2） 。假设tPHY表示工作站的物理

15、层时延，C表示光速，S表示网段长度，tR表示中继器的时延，在10Base5最大配置的情况下，冲突时槽等于（3） 。光纤分为单模光纤和多模光纤，与多模光纤相比，单模光纤的主要特点是 （4） ，为了充分利用其容量，可以使用（5）技术同时传输多路信号(1) A.100 B.185 C.300 D.1000(2) A.保持不变 B.缩小了 C.扩大了 D.没有限制(3)AS/0.7C+2tPHY+8tR B. 2S/0.7C+2tPHY+8tR C. 2S/0.7C+tPHY+8tR D. 2S/0.7C+2tPHY+4tR (4) A.高速度、短距离、高成本、宽芯线 B.高速度、长距离、低成本、宽芯

16、线 C.高速度、短距离、低成本、细芯线 D.高速度、长距离、高成本、细芯线 (5) A.TDM B.FDM C.WDM D.ATDM1.3.5 千兆以太网 1.3.5.1 千兆以太网标准 千兆以太网主要有1000BaseLx、1000BaseCX、1000BaseSx、1000BaseT四种。1000BaseX物理媒体选项编码方案名称传输介质工作方式最大段长8B/10B1000BaseLx62.5um、50um多模光纤半双工316m全双工550m10um单模光纤全双工5Km1000BaseSx62.5um多模光纤半双工275m全双工275m50um多模光纤半双工316m全双工550m1000B

17、aseCx短程铜线25m4D/PAM51000BaseT4对5类UTP100m千兆以太网允许半双工和全双工两种方式工作在全双工的方式下不受CSMA/CD的限制，而在半双工的方式下需要用到帧扩展和帧突发的技术。1.3.5.2 帧扩展如果MAC帧长不足512字节（4096bit），填充特殊字符在帧的后面。1.3.5.3帧突发当很多短帧要发送，第一个短帧采用帧扩展进行填充，随后的一些短帧可接着发送，形成一串分组的突发，直到达到1500字节或稍多一些（1518）为止。1.3.6 全双工以太网 全双工以太网和传统以太网的区别在于：端口与端口之间有两对线可以同时发送和接收数据帧，不会发生帧冲突，不再需要进

18、行冲突检测。全双工以太网的三个要求： 物理媒体本身必须能够无干扰地同时发送和接收数据 在一个全双工以太网只能包含一个点到点的连接，即只能有两个站点（注意是点到点，而不是端到端） 网络结构必须能够使用并且能被配置为全双工工作模式1.3.7 万兆以太网 使用光纤进行通信，只支持全双工数据传输 两种物理层：一种是与传统以太网连接，速率为10Gbps的局域网物理层，一种是与SONET连接，速率为9.58464Gbps的广域网物理层。 万兆以太网物理层支持采用8B/10B、64B/66B两种信号编码方式 【例题】（2005年下半年试题）IEEE 802.3ae 10Gbps以太网标准支持的工作模式是 （

19、1） .(1) A.全双工 B.半双工 C.单工 D.全双工和半双工1.4 令牌环网与IEEE802.5标准1.4.1 令牌环的组成令牌环中的环并不是真正的广播介质，而是单个的点到点的连接组合在一起形成了一个环。令牌环的每一站通过电缆与干线耦合器相连。干线耦合器有两种状态：收听状态和发送状态。干线耦合器处于收听状态时，其任务是：转发从环路输入的比特流（比特流在经过中继器转发时会进行整形和放大）不停地监视两种特殊的比特组合：本站地址和令牌。1.4.2 令牌环的工作原理为了维持环网有效地工作，必须限定下列条件：令牌代表发送的权利，当环空闲时，令牌在环上循环传送；一个等待发送的站点必须接收到令牌时才

20、可以发出数据帧；在数据帧经过时，目标站可以拷贝一份；数据帧沿着环循环一周，由原发送站回收；如果环的比特长度小于帧长，则发送站发完一帧后就可以发出令牌，否则要等到被发送的帧的前沿返回给站后，才可以发出令牌。最后一条限制是为了维持任何时候环上只有一个帧在发送，这样可以简化故障的处理。为了改善令牌环的可靠性和可维护性，引入了线路中心（见右图）。 当站点下线或是出现故障的时候，可通过释放旁路中继器将站点旁路。以保证了环网的正常运行。1.4.3 令牌环的特点令牌环能实现广播功能令牌环可实现自动应答令牌环可通过优先级调度算法来调整结点访问介质的优先级令牌环在重载时可以高效率地工作。1.4.4 令牌环的帧格

21、式802.5标准提供了多种数据速率和多种传输媒体。802.5 LAN采用差分曼彻斯特编码，4Mbps的802.5LAN的最大帧长为4550字节，而16Mbps的最达帧长为18200字节。SD=JK0JK000,其中J为高电平，K为低电平，SD表示令牌帧或是数据帧的开始AC=PPPTMRRR，PPP三位表示令牌优先级，RRR表示预约优先级。T是令牌标志位，T=0表示本帧为令牌帧，T=1表示本帧为数据帧或控制帧。M为监控位，从源站发出时M=0，经过监控站时将M置为1，当该帧再次回到监控站时，监控站将它视为无主帧进行回收。FC=FFZZZZZZ为帧控制段，用于表示帧的类型，FF=00表示该帧为MAC

22、帧，FF=01时表示该帧为LLC帧。FSC为校验字段，其校验范围为从FC字段到LLC字段。ED=JK1JK1IE，其中I=0表示此帧是最后一帧，I=1表示此帧是传送的多个数据帧的中间某一帧，E=0表示没有出错（从源站发送出来是为0），E=1表示该帧有错误（传输过程中任意站检测到有错，可立即将E置为1）。FS=ACrrACrr为帧状态字段，源站发送时将AC置为00，目标站收到该帧时发现有错时置AC为10，若正确接收了，则置AC为11。1.4.5 令牌环的维护根据令牌环的特点可知，一旦令牌丢失，环网便不能再运行；双重环也会打乱环网的运行。所以令牌环中需要有一个站点作为监控站点完成令牌的维护功能。监

23、控站的主要功能：保证环的最小延时;保证令牌帧不丢失;清除无主帧;清除错误帧【例题】2002年试题在IEEE802.5令牌环网中，时延是由（1）决定的。要保证环网的正常运行，整个环网的时延必须大于（2）。设有一个令牌环网，长度为400m，环上有28个站，数据速率为4Mbps，信号传播速度为200m/us，每个站点引入1位时延，则环网的最大和最小时延分别是（3）位和（4）位。（1）A站点时延和信号传播时延 B令牌帧长短和数据帧长短 C电缆长度和站点个数 D数据速率和信号传播速度（2）A数据帧长 B令牌帧长 C信号传播时延 D站点个数（3）A1 B8 C20 D24 （4）A9 B28 C36 D4

24、81.4.6 FDDI的概述光纤分布式数据接口FDDI (Fiber Distributed Data Interface)是一种采用令牌传递访问控制协议、环形拓扑结构和光纤介质的100Mb/s高速局域网。因此，FDDI可以看作是一种高速令牌环网。FDDI的环形链路采用双环结构，主环进行正常的数据传输，次环为备用环，一旦主环链路发生故障，则备用环的相应链路就代行其工作，这样就使得FDDI具有较强的容错能力。 a)正常情况 b)链路出故障 c)站点出故障FDDI采用光纤介质和环形结构，这使得网络覆盖区域可达100 km，可连接500多个节点，节点间的最大距离为2 km。FDDI和Token Ri

25、ng一样都采用令牌访问控制协议，即只有获得令牌的节点才有权发送数据。但FDDI有两点与Token Ring不同：一是FDDI规定发送节点在获得令牌后，将令牌取下，独立地发送数据帧，而Token Ring则是将数据插在“忙”令牌后发送；二是FDDI采用多令牌机制，允许发送节点在发送完数据帧后，立即产生一个新令牌帧发送到环上，以提高介质的利用率。环网上的监测功能将分布于环上的各个节点之中。任何一个节点一旦发现异常情况(例如，丢失令牌等)，都有权要求环网重新初始化。这时，环网就会自动进入恢复过程。FDDI采用一种新的编码技术(称为4B/5B编码),在这种编码技术中,每次对4位数据进行编码,每4位数据

26、编码成5位符号,用光的存在和不存在表示5位符号中每一位是1还 是0,这种编码技术使得效率提高到80%。为了得到同步信号,采用两极编码的方法,先按4B/5B编码,然后再按反相的不归零制(NRZI)方式进行编码。FDDl的时钟方案FDDI标准规定使用分布式时钟方案,即在每个站点都配有独立的时钟和弹性缓冲器。进入站点缓冲器的数据时钟是按照输人信号的时钟确定的,而从缓冲器输出的信号时钟则根据站点的时钟确定,这种方案使环路中中继器的数目不受时钟偏移因素的限制。1.4.7 FDDI的组成双连接站(DAS)。DAS连接到双环网络的两个环上，具有两个光收发器，能够在两个环上接收信号并进行放大。DAS有两个光连

27、接线路接口：一个是A接口，包含了主环的输入和次环的输出；另一个是B接口，包含了主环的输出和次环的输入。当其中的一个光收发器失灵或一条物理链路发生故障时，DAS仍可正常工作，具有较高的可靠性。单连接站(SAS)。SAS只有一个光收发器，只能连接到一个环路上。SAS的物理接口称为从口，必须通过集中器与双环网络连接。集中器(Concentrator)。集中器本身可以是DAS(连接到双环上)，也可以是SAS(连接到另一个集中器上)。集中器提供的附加口称为主口，用于将SAS连接到双环网络上。集中器接收来自主环上的数据；然后依次转发到主口所连接的设备上；在最后一个主口收到数据后，再转发到主环上。当集中器所

28、连接的设备发生故障或主口空闲时，有关链路在其内部被旁路，使环网仍能保持连接。网络互连设备。FDDI网络互连设备主要有FDDI网桥(Bridge)和FDDI路由器(Router)。网桥主要用于FDDI网络与局域网的互连；路由器主要用于FDDI网络与广域网的互连。然而，很多FDDI互连产品同时兼有网桥和路由器的功能。1.4.8 FDDI的帧格式： 【例题】（2004年上半年试题）FDDI的基本编码方法是（1）。在此基础上采用（2）编码以获得足够多的同步信息，这样使编码效率提高到（3）。对于100Mbps的光纤网，这意味着只需要125MHz的器件就可以实现。为了消除环网中的时钟偏移，FDDI使用了（

29、4）方案，并规定进入站点缓冲器的数据时钟按照输入信号的时钟确定，从缓冲器输出的时钟信号由（5）确定。（1）AManchester B差分Manchester CNRZ DNRZ-I（2）A4B/5B B5B/6B C8B6T DMLT-3（3）A25% B50% C80% D100%（4）A带锁相环电路的分布式时钟 B带锁相环电路的集中式时钟 C带弹性缓冲器的分布式时钟 D带弹性缓冲器的集中时时钟（5）A本站的时钟 B输入信号的时钟 C信号固有的时钟 D环上固有的时钟1.5 令牌总线网与IEEE802.4标准令牌总线网的主要特点：在物理上是一个总线网、逻辑上是一个令牌网。令牌总线局域网既具有总

30、线网的“接入方便”和“可靠性较高”的优点，又具有令牌环网的“无冲突”和“发送时延有确定的上限值”的优点。但令牌总线比较复杂，维护环要完成大量的工作。802.3、802.4、802.5和FDDI的比较类型以太网令牌总线令牌环FDDI拓扑结构总线星形总线环形双环访问方法CSMA/CD令牌传输令牌传输令牌传输传输介质同轴电缆、光纤、双绞线同轴电缆、光纤屏蔽双绞线、无屏蔽双绞线光纤速度10/100Mbps 1/10Gbps1/5/10Mbps1/14/16/100Mbps100Mbps广播/非广播广播广播广播广播数据路径冗余否否否是可预测响应时间否是是是优先级否是是是协议复杂度简单复杂复杂复杂部署成本便宜贵中等贵使用环境大多数公司、教育机构工业环境下的实时控制航空