第一章:计算机网络原理
一、计算机网络概论
1.1.概论
1)对于网络的三种观点:广义观点、资源共享观点、用户透明观点;
2)从物理构成上看,计算机包括:硬件、软件、协议三部分:
软件:主要有实现资源共享的软件,方便用户使用的各种工具软件;
协议:由语法、语义和时序三部分构成。其中语法部分规定传输数据的格式;语义部分规定所要完成的功能;时序部分规定执行各种操作的条件、顺序关系等;协议是计算机网络的核心。
1.2计算机网络的分类
1.2.1按范围分类
广域网(WAN):一般范围为十公里以上
城域网(MAN):一般分布在一个城区,城域网可看出一个较小的广域网
局域网(LAN):一般范围几十米到几千米;广域网使用交换技术,局域网使用广播技术。
个域网(PAN):一般是家庭甚至个人随时携带的网络。
1.2.2按网络拓扑结构分类
总线型网络、星型网络、环形网络、树形网络、网格型网络等基本形式。
1.2.3按交换技术分类
可分为:线路交换网络、报文交换网络、分组交换网络等类型。
线路交换网络:在源节点和目的节点之间建立专用的链路进行数据传输;最关键的是有链路的建立和数据传输的过程以及断开链路的过程。典型的例子是电话网络。缺点:线路的利用率低。
报文交换网络:在用户原有的数据上加上源、目标地址、长度、校验码等一些辅助的信息,把用户的数据封装成一个报文来发送给下一个节点。存储转发网络。优点:可以使用多路复用,可以实现数据之间转化、差错控制校验。
分组交换网络:分组称之为包。将整个数据分成较短的固定长度的数据块,在每个块上加上目的地址、源地址等辅助信息组成分组;优点:缓冲区易于管理;包的平均延迟更小;更易标准化;更适合应用;
1.3网络体系结构
1.3.1体系的概念
网络体系结构是指构成计算机网络的各组成部分及计算机网络本身所必须实现的功能的精确定义。是指计算机网络中的层次、各层的协议以及层间的接口的集合。
分层的基本原则:
①各层之间界面清晰自然,易于理解,相互交流尽可能少;
②各层功能的定义独立于实现的方法;
③保持下层对上层的独立性,单向使用下层提供的服务;
1.3.2接口、协议、服务
接口:是指同一系统内部两个相邻层次之间的交往规则;
协议:是指通信双方实现相同功能的相应层之间的交往规则。协议由语法、语义、时序三部分构成。
服务:是指为紧邻的上层提供的功能调用,每层只能调用紧邻下层提供的服务。服务通过服务访问点(SPA)提供。
1.3.3面向连接服务和无连接服务
面向连接服务:是指在通信之前,双方先建立连接,然后才开始传送数据,传送完成后要释放连接;需分配相应的缓冲区;例子:打电话。
无连接服务:是指双方通信前不事先建立连接,例如:写信。
1.3.4有应答服务和无应答服务
有应答服务:是指接受方在收到数据后向发送方给出相应的应答,该应答由传输系统内部自动实现,不是用户实现。例如文件传输。
无应答服务:是指接收方收到数据后不自动给出应答。
1.3.5可靠服务和不可靠服务
可靠服务:是指网络具有检错、纠错、应答机制,能保证数据正确、可靠的传输到目的地;
不可靠服务;不能保证数据正确、可靠的传输到目的地,网络只是尽量正确、可靠,是一种尽力而为的服务。
1.4数据传送单位
服务数据单元SDU:为完成用户所要求的功能能传送的数据,第N层的服务数据单元记为N-SDU;
协议控制信息PCI:控制协议操作的信息。第N层的协议控制信息记为N-PCI;
协议数据单元PDU:协议交换的数据单位,第N层的协议数据单元记为N-PDU。
三者之间的关系为:N-SDU+N-PCI=N-PDU=(N-1)SDU。
1.5 OSI模型
国际标准化组织(ISO)于1978年提出了一个网络体系结构模型,称为开放系统互联参考模型(OSI)。共分为7层,从低到高依次为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
物理层:在链路上透明的传输位。需完成的工作:线路配置、数据传输模式、确定信号形式、对信号进行编码、连接传输介质等;
数据链路层:把不可靠的信道变成可靠的信道。将比特组成帧,在链路上提供点到点的帧传输,并进行差错控制、流量控制等。
网络层:在源节点和目的节点之间进行路由选择、拥塞控制、顺序控制传送包,保证报文的正确性。控制着通信子网的运行,又称通信子网层。
传输层:提供端到端间可靠的、透明的数据传输,保证报文顺序的正确性、数据的完整性。
会话层:建立通信进程的逻辑名字与物理名字之间的联系
表示层:实现数据转换(包括格式转换、压缩、加密等),提供标准的应用接口、公用的通信服务、公共数据表示方法。
应用层:对用户不透明的各种服务,如E-mail。
1.6 TCP/IP模型
美国国防部高级研究计划局(DOD-ARPA)1969年在研究ARPANET时提出的TCP/IP模型,从低到高各层依次分为:网络接口层、互联网层、传输层、应用层。
应用层的主要协议:DNS(域名解析系统),HTTP(超文本传输协议),SMTP(简单邮件传输协议),POP3(邮局协议),FTP(文件传输协议),TELNET(远程登录),SNMP(简单网络管理协议)。
传输层的主要协议:TCP(传输控制协议),UDP(用户数据报协议);
互联网层的主要协议:IP(网络之间互联协议),ICMP(Internet控制报文协议),ARP(地址解析协议),RARP(反向地址解析协议);
二、数据通信基础
2.1数据通信概念
数据通信是指把由一地向另一地或多地进行消息的有效传递;
数据:是运送信息的实体,而信号则是数据的电气的或电磁的表现。无论数据还是信号既可以是数字的也可以是模拟的。模拟的是指连续变化的,数字的是指取值仅允许为有限的几个离散数值。
信道:一般用来表示向某一个方向传送信息的媒体。一条通信电路往往包含一条发送信道和一条接收信道。
通信的三种基本方式:单工通信、半双工通信、全双工通信;
单工通信:只有一个方向的通信而没有反方向的交互。例如:无线电广播、电视广播;
半双工通信:即通信的双方都可以发送信息,但不能同时发送;
全双工通信:即通信的双方可以同时发送和接受信息,通信需要两条信道。
码元:数字信号的计量单位,一个码元指的是一个固定时长的数字信号波形,该时长称为码元宽带。
数字通信系统的传输有效程度可以用码元传输速率和信息传输速率描述。
码元传输速率:单位时间内数字通信系统所传输的码元个数,又称为码元速率、信号速率、波形速率,单位是:波特(Band)。
信息传输速率:单位时间内数字通信系统传输的二进制码元的个数,又称为信息速率、比特率,单位是比特/秒(b/S)。
抖动:是指在噪声因素下,数字信号的有效瞬间相对于应生成理想时间位置的短时偏离。是数字通信系统中数字信号传输的一种不稳定现象。
2.2传输指标
2.2.1带宽
一个特定的信号通常是由许多不同的频率成分组成的,也就是说宽带本来是指某个系你好具有的频带宽度,单位是:赫
带宽代表数字信号的发送速率,所以也称吞吐量(throughput)。吞吐量常用每秒发送的比特数(或字节、帧数)来表示。
2.2.2时延
时延是指一个报文或分组从一个网络的一端传到另一端所需的时间。通常时延由三个部分组成:发送时延、传播时延、处理时延。
发送时延:又称传输时延,是节点在发送数据时报文或分组从节点进入到传输媒体所需要的时间。从报文或分组的第一个比特开始发送算起,到最后一个比特发送完毕所使用的时间。
传播时延:是电磁波在信道中需要传播一定的距离而使用的时间。
处理时延:是数据在交换节点为存储转发而进行一些必要的处理所花费的时间。处理时延主要组成部分是排队时延。处理时延的大小取决于当时的通信量。
总时延=发送时延+传播时延+处理时延
2.2.3时延带宽积
时延带宽积=传播时延X带宽
2.2.4误码率
误码率是指在一定统计时间内,数字信号在传输过程中发生错误的位数与传输的总位数之比,用符号Pe表示
2.2.6基带传输与频带传输
基带传输:是指信号没有经过调制而直接送到信道中去传输的一种方式,采用这种信号传输技术的通信系统称为基带传输通信系统。
频带传输:是指信号经过调制后再送到信道中传输的一种方式,接收端要进行相应的解调才能恢复原来的信号,采用这种信号传输技术的通信系统称为频带传输通信系统,简称频带系统。
2.2.7传输损害
传输损害主要有以下几个方面:衰减、延迟变形、噪声。
衰减:在任何传输介质上信号强度随着传输距离延伸而减弱。有线介质的衰减一般具有对数函数;无线介质衰减跟距离和大气组成所构成的复合函数。可使用放大器和接收器。
延迟变形:是有线介质独有的现象。由于信号中各种成分延迟是的接收到的信号变形的这种效果称为延迟变形。延迟变形对数字信号的影响较大。
噪声:因传输系统造成的各种失真,以及在传输和接受之间的某处插入的不必要的信号产生了噪声,噪声分为热噪声、内调制杂音、串扰、脉冲噪声四种。
2.3数据通信基础
2.3.1数据通信系统模型
数据通信系统基本组成:发送端、接收端以及收发两端之间的信道三部分。
2.3.2数据传输速率
即使信道比较理想,码元的传输速率也不是不受限制的。
1924年奈奎斯特(Nyquist)推导出在理想信道下的最高码元传输速率的公式:理想低通信道的最高码元传输速率=2W 其中W是理想低通信道的带宽,单位是赫兹(Hz),单位是Baud(波特),1波特为每秒传送1个码元。码元传输也称为调制速率。
1948年,香农(shannon)用信息论的理论推导出了带宽受限且具有高斯白噪声干扰的信道的极限数据传输速率。当用此速率传输时,可以做到不产生误差。信道的极限数据传输速率C可表示为:
C=Wlog2(1+S/N) b/s
其中W为信道的带宽,S为信道内所传信号的平均功率,N为信道内部的高斯白噪声功能。该公司为香农公式,表明:信道的带宽或信道中的噪声比越大,则信道的极限传输速率越高。香农公式表明:只要数据传输速率低于信道的极速数据传输,就一定能找到某种方法来实现无差错的传输。(备注:信道比,通常用分贝表示。例如:30分贝,换算成比值的方式为S/N=10的3 次方)
2.3.3同步方式
同步控制的方法包括异步起止方式和同步方式。异步起止方式接受方和发送方个*时钟发生器。但频率必须一直。
同步的实现包括位同步、字符同步、帧同步。只有发送方有时钟发生器。
位同步:是接受器从接受到的信号中正确的恢复原来数据信号的基础。实现位同步的方法:插入导频法和自同步法。
字符同步:以字符为单位,传输
帧同步:字符计数法、带字符填充的首尾界符法、带位填充的首尾标志法、物理编码违例法;
2.4数据调制与编码
编码方案有:曼彻斯特编码、差分曼彻斯特编码、双极性半空占码(AMI)、双极性8零替换码(B8ZS)、三阶高密度双极性码(HDB3)、nB/mB码。
2.4.1曼彻斯特编码
曼彻斯特编码方法是将每一个码元再分成两个相等间隔,码元1是前一个间隔为高电平而后一个间隔为低电平,码元0 正好相反。
好处:可以保证在每一个码元的正中间时间出现一次电平的转换,利于接收方提取位同步信号。
缺点:所占用频带宽度比原始的基带信号增加一倍,效率是50%
2.4.2差分曼彻斯特编码
差分曼彻斯特编码规则是:若码元为1则其前半个码元的电平与上一个码元的后半个码元的电平一致,若码元为0则其前半个码元的电平与上一个码元的后半个码元的电平相反。
2.4.3双极性半空占码(AMI)
AMI编码规律如图,原码序列中的“0”码仍为“0”,原码中的“1”码则交替变为+1和-1。可检出奇数个误码率。
2.4.4nB/mB码
nB/mB码是把n个二进制的码组转变 为m个二进制的码组,m>n,因此实际的码组有2n种,冗余码组有2m—2n。
在告诉光纤传输系统中,应用较为广泛的有4B/5B、5B/6B、8B/10B、64B/66B。5B/6B码是从6位二进制的64种组合中精选出32个码组对信号源进行编码。
2.4.5数字数据调制为模拟信号
模拟信号发送的基数就是载波信号。通过调制振幅、频率、相位三种载波特征之一来对数字数据进行编码。
(1) 幅移键控ASK(Amplitude Shift Keying):利用载波的振幅变化来携带数字数据,而载波的频率、相位都保持不变。
(2) 频移键控FSK(Frequency Shift Keying):利用已调波的频率变化去携带数字数据,而载波的振幅、相位不变。
(3) 相移键控PSK(Phase Shift Keying):利用已调波的相位变化去携带数字数据,而载波的频率和振幅不变。
2.4.6正交振幅调制QAM
正交振幅调制QAM(Quadrature Amplitude Modulation)是一种常用的技术,将幅移键控和相移键控结合在一起,把两个频率相同的模拟信号叠加在一起,一个对应正弦函数,一个对应余弦函数。M进制的正交振幅调制:S(t)=Csin(wt)+Dcos(wt)
采样定理:如果一个带限的模拟信号发f(t)的最高频率分量为fm,当满足采样频率fs>=2fm(fs=1/T)时,所获得的样值序列fs(t)就可以完全代表原模拟信号f(t)。
2.4.7模拟数据调制为模拟信号
模拟数据调制为模拟信号有三种不同的调制技术:调幅AM(Amplitude Modulation)、调频FM(Frequency Modulation)与调相(Phase Modulation),其中最常用的是调幅和调频。
2.4.8扩频通信
为了提高通信系统抗干扰性,需要从调制和编码多方面入手,扩频通信就是方法之一。
扩频通信是指系统占用的频带宽度远大于要传输的原始信号的带宽(或信息比特率),与原始信号带宽无关。通常规定:如果信息带宽为B,扩频信号带宽为fss,则扩频信号带宽与信息带宽之比fss/B称为扩频因子。
当fss/B=1~2,即射频信号带宽略大于信息带宽是,称为窄带通信。
当fss/B>=50,即射频信号带宽大于信息带宽时,称为宽度通信。
当s/B>=100即射频信号带宽远大于信息带宽时,称为扩频通信。
2.4.9多路复用技术
多路复用技术:系统将来自若干信息源的信息进行合并,然后将这一合成的信息群经单一的线路和传输设备进行传输,在接收方,则设有能将信息群分离成各个单独信息的设备。
多路复用的形式有时分多路复用TDM(Time-Division Multipleing)、频分多路复用FDM(Frequency-Division Multiplexing)、波分多路复用WDM(Wavelength-Division Multiplexing)(光纤技术的应用使得数据的传输速率空前提高,目前一根光纤的传输速率可达到2.5Gb/s)。统计时分多路复用STDM(Statistic TDM)是一种改进的时分复用方法,明显提高信道的利用率。按需动态的进行传输。
2.4.10线路交换方式
线路交换的特点:建立一条专用的通信线路;主呼终端和被呼终端进行双向数据传输;通信结束后释放通信线路。
2.4.11报文交换
发送方待发送的整个数据块称为报文(Message)。报文交换不需要建立连接。报文交换采用的是存储转发技术,动态分配线路 ,使得线路能够共享,提高了资源的利用率。
2.4.12分组交换
分组交换技术严格限制数据块大小的限,把大报文切成更小的数据单位,加上一些必要的控制信息组成的首部后,构成分组(packet)。
根据内部机制的不同,分组交换技术又分为数据包(datagram)和虚电路(virtualcircuit)。
数据报方式:每个分组的首部都带有 完整的目的 地址,交换机根据转发表转发分组。
虚电路:在数据发送之前,在源主机和目的主机之间建立一条虚连接。
2.4.13信元交换
信元交换是异步传输模式ATM(Asynchronous Transfer Mode)采用交换方式,在很大程度上就是按照虚电路方式进行分组转发。在ATM网络中与众不同的是,分组长度固定不变,称为信元(cell)。信元长度为53字节,5个字节的首部,48字节的有效载荷。
2.4.14广播
广播:指同时向网上所有主机发送报文,是一种特殊的交换方式。广播型的网络用一个传输介质将所有主机连接起来,比如总线型网络和以微波、卫星方式传播的网络。
2.4.15传输介质
双绞线,屏蔽双绞线STP(Shielded Twisted Pair);非屏蔽双绞线UTP(Unshielded Twister Pair)
同轴电缆:由导体铜质芯线、绝缘层、网状编织的外导体屏蔽层及保护塑外层所组成;50Ω同轴电缆主要在数据通信中传送基带数字信号;75Ω同轴电缆主要用于模拟传输系统,是有线电视系统中的标准传输电缆。
光纤:是能导光的玻璃纤维,分为:多模光纤(利用全反射,适于距离比较近的传输)和单模光纤(光纤的直径小于光的波长,使光沿直线传播,传播的距离更远);
陆地微波:指频率在0.3G-300GHz,主要完成远距离远程通信服务和楼宇间建立距离的点对点通信。
卫星微波:利用人造地球卫星作为中继站,转发微波信号。
无线电:能很容易产生,可以传播很远,容易穿过建筑物,可以被电离层反射,被广泛用于通信。
红外线:不能穿透坚实的物体,防窃听的安全性比无线电系统好。
2.4.16 检错与纠错
差错控制的原理:在被传送的k位信息后加r位冗余位,被传送的数据共k+r位,而r位冗余位是用某种明确定义的算法直接从k位信息导出的,接受方对收到的信息应用同一算法,将结果与发送方给的结果进行比较,若不相当则数据出现差错,这种策略为检错。如果接收方知道有差错发生,而且知道是怎样的差错,这种策略称为纠错。
二维奇偶校验:基于一维的奇偶校验,除了把额外的1个比特附加到7个比特编码上来平衡自己中1的个数外,还对数据中每一字节的每一比特位置进行类似的计算,产生一个额外的奇偶校验字节。
循环冗余校验:(Cyclic Redundancy Check,CRC)是一种通过多项式除法检测错误的方法。将每个比特串看作一个多项式,采用模2运算。
检错重发:(Automatic Repeat request,ARQ),常用的检错重发系统有:停发等候重发、返回重发和选择重发三种。
三、网络体系结构
网络协议是计算机网络体系结构的关键要素之一,协议包括:语法、语义和时序;语法是数据与控制信息的结构或格式;语义是需要发出何种控制信息、执行何种动作或返回何种应答;时序是事件实现顺序的详细说明。
3.1应用层
3.1.1应用层功能
应用层是网络体系结构中的最高层,是计算机开放互连环境与本地的操作环境和应用系统直接接口的一个层次。比如:HTTP协议。
3.1.2应用层实现模型
3.2传输层
3.2.1传输层的主要功能
传输层是网络体系结构中最关键的一层,是资源子网和通信子网的界面与桥梁,它是面向应用的高层和面向通信的低三层协议之间的接口。主要功能:连接管理;优化网络层提供的服务质量;提供端到端的透明数据传输;多路复用和分流;
3.2.2.传输层服务质量
传输层向上层提供的服务是利用网络层服务来实现的,不同的通信子网所提供的网络服务质量是不一样的,服务质量只要是指差错率。
3.2.3寻址
传输层要在用户进程之间提供可靠和有效的端-端服务,必须把一个目标用进程和其他的用户进行区分开来,由传输地址来实现。目标用户需要这样的说明:用户标识、传输实体、主机地址和网络号码。传输地址的构成有两种:层次地址、平面地址空间。
3.2.4建立与释放连接
传输服务分为两类:面向连接的传输服务和无连接的传输服务。面向连接传输服务的两个用户(或进程)进行相互通信,一般要经历三个过程:建立连接、数据传输、释放连接。
3.2.5流量控制与缓冲策略
传输服务为保证连接的可靠性,需要对连接进行管理,流量控制是连接管理基本内容之一。缓存是实行流量控制的必要措施。
3.3网络层
网络是通信子网的最高层,是高层与底层协议之间的界面层。网络层用于控制通信子网的操作,是通信子网与资源子网的接口。网络层关系到通信子网的运行控制,决定了资源子网访问通信子网的方式。
3.3.1网络层主要功能
网络层主要功能:网络连接功能;路由选择功能;拥塞控制功能;数据传输功能;其他功能,如:子网接入、网络连接复用、计费等。
3.3.2数据报与虚电路子网
从通信子网内部操作的角度看,通常称连接为虚电路(Virtual Circuit,VC),类似于电话系统建立的物理电路。采用面向连接方法构造的通信子网称为虚电路通信子网。采用无连接方法构造的通信子网称为数据报通信子网。经数据报通信子网传送的是独立选路的分组,称为数据报。
3.4数据链路层
数据链路层是OSI模型的第2层,介于物理层与网络层之间。用于在相邻节点间建立数据链路,传送以帧为单位的数据,使其能够有效、可靠地进行数据交换。通过差错控制、流量控制,将不可靠的物理传输信道变成无差错的可靠的数据链路。
3.4.1数据链路层主要功能
数据链路层主要功能:帧同步、链路管理、差错控制、流量控制、
3.4.2数据链路层成帧方法
数据链路层成帧方法:字符计数法;带字符填充的首尾界符法;带位填充的首尾标志法;物理层编码违例法;
3.4.3数据链路层差错控制方法
数据链路层差错控制方法:一类是前向纠错,采用纠错码;一类是检错重发,采用检错码。
3.4.4基本链路控制规程
通信控制规程又称传输控制规程。是为实现传输控制所制定的一系列规则。数据通信的过程包括5个阶段:线路连接、确定发送关系、数据传输、传输结束、拆线。所有通信控制规程涉及到数据编码、同步方式、差错控制、应答方式、传输控制步骤、通信方式、传输速率。
数据链路层有两个基本链路控制规程:面向字符型链路控制规程和面向比特型链路控制规程。
3.4.5数据链路层协议
数据链路层协议中最具有代表性的是高级数据链路控制协议(HDLC),是面向比特的数据链路控制规程。具有透明传输、可靠性高、传输效率高、灵活性强等特点。HDLC协议规定了数据传输的操作模式、数据帧格式、帧类型等。
HDLC协议定义了三种站类型、两种链路结构和三种数据响应模式。
三种类型的通信站:主站、从站、复合站;
两种链路结构:不平衡链路结构和平衡链路结构;
三种响应方式:正常响应方式、异步响应方式、异步平衡方式;
3.5物理层
物理层是OSI参考模型的最底层,向下直接与物理介质连接。它是建立在通信媒体基础上,实现设备之间的物理接口。
3.5.1物理层主要功能
物理层不是指物理设备或传输介质,而是有关物理设备通过物理传输介质进行互连的描述和规定。物理层的作用就是在一条物流传输介质上,实现数据链路实体之间各种数据比特流的透明传输。物理层的主要功能:物理连接的建立、维持和释放;物理服务数据单元的传输;物理层管理;
3.5.2物理层协议
物理层协议:规定了与建立、维持与拆除物理信道有关的一些特性。这些特性分别是:机械特性、电气特性、功能特性、规程特性。
四、网络设备与网络软件
4.1网卡
4.1.1网卡的概念
网络接口卡(Network Interface Card,NIC)又称网络适配器(Network Interface Adapter),简称网卡。
4.1.2网卡的组成
网卡的组成:主要由PCB线路板、主芯片、数据汞、金手指(总线插槽接口)、BOOTROM、EEPROM、晶振、RJ-45接口、指示灯、固定片等等。
4.1.3网卡的功能
网卡完成物理层和数据链路层的大部分功能,包括网卡与网络电缆的物理连接、介质访问控制(如CSMA/CD)、数据帧的拆装、帧的发送与接收、错误校验、数据信号的编/解码(如曼彻斯特代码的转换)、数据的串、并行转换等功能。
4.2交换机
交换机也叫多端口网桥,工作在数据链路层,能够识别帧的内容。
4.2.1交换机的内部结构
交换机拥有一条很高带宽的背部总线和内部交换矩阵。可同一时刻进行多个端口之间的数据传输。
4.2.2交换机的功能
交换机三个主要功能:学习、转发/过滤、消除回路。
4.2.3交换机的工作原理
交换机是依赖于一张MAC地址与端口映射表(称为CAM表)来进行工作的。交换机是一种基于MAC地址识别,能完成封装转发数据帧功能的网络设备。
4.2.4第二层交换与第三层交换
第二层交换:是以硬件的方式执行网桥的功能。
第三层交换:是将路由功能集成到交换机中,在交换机内部实现了路由,提高了网络的整体性能。三层交换技术是二层交换技术加上三层转发技术。
4.2.5交换机的类型
根据覆盖范围划分:局域网交换机和广域网交换机
根据传输介质和传输速度划分:以太网交换机、快速以太网交换机、千兆以太网交换机、10千兆以太网交换机、ATM交换机、FDDI交换机、令牌环交换机。
根据应用网络层次划分:企业级交换机、校园网交换机、部门级交换机、工作组交换机、桌机型交换机。
根据端口结构划分:固定端×××换机和模块化交换机。
根据工作协议层次划分:第二层交换机、第三层交换机和第四次交换机。
根据是否支持网管功能划分:网管型交换机和非网管型交换机。
4.2.6交换机堆叠与级联
堆叠和级联:是多台交换机或集线器连接在一起的两种方式。主要目的是增加端口密度。
级联:可以通过一根双绞线在任何网络设备厂家的交换之间,集线器之间,或交换机与集线器之间完成。
堆叠:只能在自己厂家的设备之间,且设备必须具有堆叠功能才能实现。
4.3路由器
4.3.1路由器有关概念
路由器是属于网络层的互联设备,用于连接多个逻辑上分开的网络,所谓逻辑网络就是拥有独立网络地址的网络。
4.3.2路由器的构成
4.3.3路由器功能
路由器主要功能:网络互连、路由选择、分组转发、拆分和包装数据包、拥塞控制、网络管理。
4.3.4路由器工作原理
路由器的主要工作是对数据包进行存储转发。简单地说:路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳传输路径,并将该数据报有效地传送到目的站点。由此可见,选择最佳路径策略或选择最佳路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据-路由表(routing table),供路由选择时使用。上述过程描述了路由器的主要而且关键的工作过程,但没有说明其他附加性能。例如:访问控制、网络地址转换、排队优先级等。
4.4网关
4.4.1网关的概念
网关又叫协议转换器,是一种复杂的网络连接设备,可以支持不同协议之间的转换,实现不同协议网络之间的互连。网关具有对不兼容的高层协议进行转换的能力,为了实现异构设备之间的通信,网关需要对不同的链路层、专用会话层、表示层和应用层协议进行翻译和转换。
4.4.2网关的分类
网关主要分为三类:协议网关、应用网关、安全网关。
协议网关:协议网关通常在使用不同协议的网络区域间做协议转换;
应用网关:应用网关在使用不同数据格式间翻译数据的系统;
安全网关:安全网关是各种技术的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。
4.5无线接入点
无线接入点(AP,access point)是一个包含单纯性无线接入点(无线AP)和无线路由器(含无线网关、无线网桥)等设备的统称。
4.6调制解调器
调制解调器(即modem),是计算机与电话线之间进行信号转换的装置,通过调制解调器和电话线就可以实现计算机之间的通信。主要有两种调制解调器:内置式和外置式。
4.7网络软件
网络软件包括通信支撑平台软件、网络服务支撑平台软件、网络应用支撑平台软件、网络应用系统、网络管理系统以及用于特殊网络站点的软件等。从网络体系结构模型不难看出,通信软件和各层网络协议软件是这些网络软件的基础和主体。
通信软件
网络协议软件
网络应用软件
五、局域网
5.1局域网概述
5.1.1局域网定义
局域网为计算机局部区域网络(LAN),定义为:局域网是一种为单一机构所拥有的专用计算机网络,其通信被限制在中等规模的地理范围,具有较高数据速率和较低的误码率,能有效实现多种设备之间互联、信息交换和资源共享。
局域网特征如下:
范围小:通常在2.5km以内;
高数据率:10Mbps以上,现在已达到10Gbps;
低误码率
单一部门所有
支持实时应用
5.1.2局域网拓扑结构
局域网的拓扑结构只要是指通信子网的物理拓扑结构。通过网络中节点与通信线路之间的集合关系表示网络结构概况,反映出网络中各个实体间的结构关系。
局域网的物理拓扑结构一般分为4种类型:总线型拓扑结构、环型拓扑结构、星型拓扑结构、全链接的网状型拓扑结构。
5.1.3以太网
Bob Metcalfe 被称为以太网之父。
Ethernet的核心技术是共享总线的介质访问控制方法CSMA/CD(带冲突检测的载波侦听多路访问),用于解决多个节点共享总线的发送权问题。
以太网比较常用的传输介质包括同轴电缆、双绞线和光纤三种。以IEEE802.3委员会习惯用类似于“10Base-T”的方式命名。(10 :表示速率,单位是Mbps;Base:表示传输机制,Base代表基带,Broad代表宽度;T:传输介质,T表示双绞线,F表示光纤、数字代表铜览的最大段长)。
按照标准,10Mbps以太网采用中继器时,连接最大长度是2500m,最多经过4个中继器,因此规定对于10Mbps以太网规定一帧的最小发送时间必须为51.2us。51.2us也就是512位数据在10Mbps以太网速率下的传播时间,常称为512位时。这个时间定义为以太网时隙。512位=64字节,因此以太网帧的最小长度为64字节。
提高传统以太网带宽的途径:(1)交换以太网:这种系统的核心是使用交换机代替集线器。交换机的特点是,其每个端口都分配到全部10Mbps的以太网带宽。(2)全双工以太网:全双工技术可以提供双倍于半双工操作的带宽,即每个方向都支持10Mbps,这样就可以得到20Mbps的以太网带宽。当然这还与网络流量的对称度有关。(3)高速服务器连接,众多的工作站在访问服务器时可能会在服务器的连接处出现瓶颈,通过高速服务器连接可以解决这个问题。
以太网帧的格式包含的字段有:前导码、目的地址、源地址、数据类型、发送的数据、帧校验序列。除了数据字段是变长的,其他字段的长度是固定的。
5.2访问控制方式
对于单个信道的多路访问控制,可以采用传统的FDM技术实现。如果网络中有N个用户,则可以将信道按频率划分成N个逻辑子信道,每个用户分配一个频段。由于每个用户都有各自的频段,所有相互之间不会产生干扰。
5.2.1随机访问介质访问控制
CSMA协议:由于在局域网中,一个站点可以检测到其他站点在干什么,从而可以相应的调整自己的动作,这样的协议可以大大提高信道的利用率。对于站点在发送数据前进行载波侦听,然后再采取相应动作的协议,人们称其为载波侦听多路访问(Carrier Sense Multiple Access,CSMA)协议。CSMA协议有多种类型,如:1-坚持CSMA、非坚持CSMA、P-坚持CSMA。
5.3局域网协议
5.3.1体系结构与协议
局域网参考模型只对应OSI/RM的数据链路层和物理层,它将数据链路层划分为LLC子层和MAC层。
物理层:负责体现机械、电气和规程方面的特性,以建立、维持和拆除物理链路,它提供在物理层实体间发送和接收数据流的能力。
MAC子层:对LLC子层提供媒体介质访问控制的功能服务,而且可以提供多个可供选择的介质体访问控制方法。
LLC子层:规定了无确认无连接、有确认无连接和面向连接3种类型的链路服务。
5.3.2 IEEE802.2协议
LLC是一种IEEE802.2局域网协议,规定了局域网参考模型中LLC子层的实现。IEEE802.2LLC应用于IEEE802.3(以太网)和IEEE802.5(令牌环),以实现如下功能:
(1) 端到端的差错控制功能,端到端的流量控制功能;
(2) 完成无连接服务功能、完成面向连接服务功能;
(3) 能进行多路复用,一般来讲,一条单一的物理链路将一个站点与一个LAN相连,应能在该链路上提供具有多个逻辑端点的数据传送。
5.3.3三种网络的比较
以太网是当前使用的最广泛的网络,使用者遍布全世界并积累了丰富的运行经验:其协议简单:网站可以在网络运行时安装,不必停止网络的运行。它使用无源电缆:轻载荷时延迟很小。以太网的特点:最短有效帧为64字节;传输少量信息时开销大;以太网的传输时间不确定,这时对有实用性要求的工作是不适合的;不存在优先级;电缆限于2.5KM,因为来回的电缆长度决定了时隙宽度,因此也决定了网络性能。当速率增加时,效率将降低,因为帧的传输时间虽然减少但竞争间隔并没有相应的减少(无论数据传输率为多少,时隙宽度均为2T)。在重载荷时,以太网冲突成为主要问题,可能会严重地影响吞吐量。
5.4高速局域网
5.4.1 100M以太网
快速以太网(Fast Ethernet)即802.3u标准,包括两种技术规范:100Base-T和100VG-AnyLAN。
5.4.2千兆以太网
千兆以太网是在以太网技术的改进和提高的基础上,再次将100Mbps的快速以太网的数据传输速率提高了10倍,使其达到了每秒千兆位的网络系统。
千兆以太网物理层包括编码/译码,收发器和网络介质3部分,并且其中不同的收发器对应于不同的传输介质类型。
5.4无线局域网
无线局域网只要运用射频(Radio Frequency,RF)的技术取代原来局域网系统必不可少的传输介质来完成数据信号的传送任务。
5.4.1无线局域网的基本模型
无线局域网的最小构成模块是基本服务集(Basic Service Set,BSS),它由一些运行相同MAC协议和争用同一共享介质的站点组成。基本服务集可以是单独的,也可以通过AP连到骨干分布系统。MAC协议可以是完全分布式的,也可以由处于接入点的*协调功能来完成。通常把BSS称为一个单元(Cell)。
5.4.2介质访问存取控制技术
IEEE802.11工作组考虑了两种MAC算法:一种是分布式访问控制协议,像CSMA/CD一样,利用载波监听机制;另一种是*访问控制协议。由*决策者进行访问的协调。
5.4.3物理介质规范
红外线(Infrared)。数据率为1Mbps或2Mbps,波长在850nm~950nm之间。
扩展频谱,主要分为直接序列扩展频谱(Direct Sequence Spread Spectrun DSSS)及频率跳动扩展频谱(Frequency-Hopping Spread Spectrum ,FHSS)两种方式。
5.6虚拟局域网
VLAN是指在局域网交换机里采用网络管理软件所构建的可跨越不同网段、不同网络、不同位置的端到端的逻辑网络。
5.6.1 VLAN的功能
主要功能:
(1) 提高管理效率:减少网络中站点的移动、增加、和改变所带来的工作量,可以大大简化网络配置和调试工作。
(2) 控制广播数据:VLAN内成员共享广播域,VLAN间的广播被隔离,提高了网络的传输效率。
(3) 增强网络的安全性:广播可以将数据传向每一个站点。通过VLAN可以划分一个个互相独立的区域。
(4) 实现虚拟工作组:按应用或功能组件虚拟工作组。
六、广域网与接入网
6.1广域网的概念
广域网(WAN,Wide Area Network)是将跨地区的各种局域网、计算机、终端等互联在一起的计算机通信网络。常见的广域网:公用电话网、公用分组交换网、公用数字数据网、宽带综合业务数字网、帧中继网和大量专用网。
6.2虚电路与数据报实现方法
广域网可以提供面向连接和无连接两种服务模式。对应于两种服务模式,广域网有两种组网方式:虚电路(Virtual cilcuit)方式和数据报(Datagram)方式。
虚电路:在传输方式中,当源端系统与目的端系统通信时,前者必须与后者建立一条数据通路。为此,源端发出虚呼叫分组,并按一定路由算法到达目的端。
数据报:源节点与目的节点通信时不必事先与目的节点建立数据通路。通信子网接受源节点送来的数据,经编址、打包后,各自独立的源节点和目的节点之间寻径传输。通信子网不负责差错控制,报文到达目的节点的顺序与源节点的发送顺序也不一定相同,有些数据报甚至还可能在途中丢失。
6.3拥塞控制
6.3.1拥塞概念
当网络中存在过多的数据报时,网络的性能就会下降。这种现象称为拥塞。拥塞是一种持续过载的网络状态。
6.3.2拥塞控制原理
拥塞发生的根本原因在于用户提供给网络的负载大于网络资源容量和处理能力。其典型表现就是数据包时延增加、丢弃概率增大、上层应用系统性能显著下降等。网络产生拥塞的直接原因主要有以下几个方面:(1)带宽容量相对不足(2)队列容量相对不足(3)路由器的处理能力弱(4)网络流量分布不均衡
6.3.2拥塞控制方法
拥塞控制链路的方法:假定网络传输流的端设备对丢包和标记做出响应,并调整自身的吞吐量。
拥塞控制的终端方法:使用最广泛的基于终端的拥塞控制方法是TCP协议的拥塞控制算法。TCP是目前在互联网中使用最广泛的传输协议。
6.4公用网
广域网与局域网在构建方面的主要差别是广域网必须借助公共通信网络(公用网)。目前提供公用网的主要是电信部门。
6.4.1 ISDN/BISDN网络
综合业务数字网ISDN(Integrated Service Digital Network),将分组交换能力、电路交换能力及无交换能力都包含在内,具有业务综合、端到端的数字连接、标准接口特性。
6.4.2DDN网络
数字数据网(DDN,Digital Data Network)是一种利用数字信道提供数据通信的传输网,它主要提供点到点及点到多点的数字专线或专网。传输介质主要有:光纤、数字微波、卫星通信等。
6.4.3SDH网络
SDH是光同步数字传输网(Synchronous Digital Hierarchy)的简称,不仅适用于光纤也使用与微波和卫星传输的通用技术*。
6.4.4 WDM网络
WDM波分复用(Wavelength Division Multiplexing)技术可以充分利用光纤的低损耗带宽,在一根光纤中的不同波长上异步、高速传输各种格式的信号,是挖掘光纤巨大带宽资源的最佳技术。
6.4.5MSTP网络
MSTP(Multi-Service Transport Platform,基于SDH的多业务传送平台)是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。
6.4.6 Ad hoc网络
Ad hoc网络是一种特殊的无线移动通信网络,是由一组带有无线收发装置的移动终端组成的一个多跳的临时性自治系统。
“Ad Hoc”一词来源于拉丁语,意思是“特别的,临时的”,Ad Hoc网络的应用可以归纳为以下几类:(1)军事应用(2)传感器网络(3)紧急场合(4)偏远野外(5)临时场合(6)动态场合(7)个人通信(8)商业应用(9)其他场合
6.5接入网
接入网(AN Access Network)除了包含用户线传输系统、复用设备外,包括数字交叉连接设备和用户/网络接口设备。
各种数字化接入网技术:(1)拨号接入(2)ISDN接入(3)xDSL接入(4)Cable Modem接入(5)局域网接入(6)无线接入(7)光网络接入
七、网络互连
7.1网络互连概念
网络互连(internetworking)是指利用各种网络互连设备将同一类型的网络或不同类型及其产品相互连接起来组成地理覆盖范围更大、功能更强的网络。
7.2网络互连方法
网络互连的方法主要包括:局域网-局域网互连(LAN-LAN);局域网-广域网(LAN-WAN);广域网-广域网互连(WAN-WAN)。
7.2.1 LAN-LAN
LAN-LAN网络的互连设备是中继器、集线器和网桥,也可以是路由器。
中继器:又叫转发器,用来延长网络距离的互连设备中最简单的设备,使用在物理层,要求物理层协议是相同的。
集线器:(Hub或Concentrator)是基于星形拓扑的接线点。基本功能是信息分发,把一个端口接受的所有信息分发出去。
网桥:也叫桥接器,是连接两个局域网的一种存储/转发设备,将一个较大的LAN分割为多个网段,或将两个以后的LAN互连为一个逻辑LAN。工作在数据链路层,根据MAC帧的目的地址对收到的帧进行转发。(网桥的功能:连接两个采用不同数据链路层协议;同传输介质与不同传输速率的网以接收、存储、地址过滤与转发方式,实现互连的网络之间的通信。
路由器:对网络进行物理分段的方式与交换机和网桥相同,可以生产逻辑网段。路由器不对广播进行转发。路由器可以形成更多的广播或逻辑网段,从而提高网络的性能。路由器是通过转发数据报来实现网络互连的。
7.3路由器选择算法
路径选择算法都应满足一些基本要求,包括:
正确性:路径选择算法应能使数据包迅速、正确的传送;
简单性:算法尽量简单,易实现,开销小。
健壮性:算法能适应网络拓扑结构及流量的变化,在外部条件发生变化时仍能正确的完成要求的功能。
可靠性:不管运行多长时间,均应保持正确。
公平性:各节点具有均等的发送信息的机会。
7.3.1 静态路由选择算法
从路由选择算法能否随网络的通信量或拓扑结构自适应地进行调整,可以将路由选择算法分为非自适应路由选择算法和自适用路由选择算法。非自适应路由选择算法也叫静态路由选择算法。非自适应路由选择算法分为以下几类:固定路由算法;分散通信量法;洪泛法;随机走动法;
7.3.2自适应路由选择算法
自适应路由选择算法包括:孤立自适应路由选择算法;分布式路由选择算法。
分布式路由选择算法最基本的算法有两个:距离向量路由选择算法;链路状态路由选择算法。
在链路状态路径选择算法中 ,每个节点的工作可以分为如下四个部分:(1)发现临时节点,并知道其地址(2)测量到各临节点的延迟(3)将所测量的信息告诉其他节点(4)重新计算路由
7.3.3广播路由选择算法
将数据同时发送给所有其它节点的方式称为广播。
广播路由选择算法:独立发送方法;扩散方法;生成树方法;逆向转发方法;
组播路由选择算法:为了实现组播,每个节点都需要知道自己属于那个组,同时需要计算一棵覆盖整个子网的生成树。在转发过程中,对生成树进行修剪,去掉那些不能到达小组成员的线路,最终得到一个只包含小组成员的生成树。
八、Internet协议
Internet协议的主要协议及其层次关系如图:
8.1网络层协议
8.1.1 IPv4协议
(1)IP地址
IP地址的划分经过三个阶段:分类的IP地址;子网的划分:构成超网。
IP地址由32位二进制组成,它与硬件没有关系,是逻辑地址。由网络号和主机号两个字段组成。
特殊IP地址:IP定义了一套特殊地址格式,称为保留地址。这些特殊地址包括:网络地址、主机地址。直接广播地址。有限广播地址,本机地址。
在IP地址中增加一个“subnet-id”字段,使两级的IP地址变成为三级的IP地址。这种做法叫作划分子网(subnetting)。
使用变长子网掩码VLSM(Variable Length Subnet Mask)可进一步提高IP地址资源的利用率。
在VLSM的基础上进一步研究出无分类编制方法,正式名字是无分类域间路由选择CIDR(Classless Inter-Domain Routing)
专用地址:(私有地址)
10.0.0.0到10.255.255.255(或记为10/8);
172.16.0.0到172.31.255.255(或记为172.16/12);
192.168.0.0到192.168.255.255(或记为192.168/16);
(2)IPv4数据报格式
(4) IP数据报的封装与分片
IP数据报处于网络层,需要下层协议给它提供服务,把它封装在数据链路层的协议数据单元——帧的数据域中。
IP数据报的长度一定不能超过数据链路层的最大传送单元MTU,即下层帧的数据域的大小。通常以太网的MTU为1500B,PPP的MTU为296B。
8.1.2Internet路由协议
路由器上的路由表是根据路由协议生成的。路由协议的核心就是路由算法。
(1) 路由信息协议RIP
RIP是一种分布式的基于距离向量的路由选择协议。该协议定义距离就是经过的路由器的数目,距离最短的路由就是最好的路由。它运行一条路径最多只能包含15个路由器。
(2) 开放最短路径优先协议(OSPF)
OSPF协议是分布式的链路状态路由协议。链路在这里代表路由器和哪些路由器是相邻的,即通过一个网络是可以连通的;链路状态说明了该通路的连通状态以及距离、时延、带宽等参数。只有链路状态发生变化时,才使用洪泛法发送路由信息。每个路由器都存有全网的链路状态信息,也就是说每个路由器都知道整个网络的连通情况和拓扑结构。这样每个路由器都可以根据链路状态数据库的信息来构造自己的路由表。
除了Hello问候分组外,OSPF协议还有4种分组:链路状态更新分组、链路状态确认分组、数据库描述分组和链路状态请求分组。通过这4种分组达到全网链路数据库的同步。
OSPF协议格式如图:
8.1.3外部网关协议(BGP)
BGP是不同自治系统的路由器之间交换路由信息的协议。
BGP-4共使用4种报文:
打开(Open)报文,用来与相邻的另一个BGP发言人建立关系;
更新(Update)报文,用来发送某一路由的信息,以及列出要撤销的多条路由;
保活(Keepalive)报文,用来确认打开报文和周期性地证实临站关系。
通知(Notification)报文,用来发送检测到的差错。
8.1.4组播协议PIM与MOSPD
IP组播路由协议根据网络中组播成员的分布可以分为两种基本类型:第一种被称作密集模式的组播路由协议;第二种被称为稀疏模式的组播路由协议。
8.1.5地址解析协议(ARP)与反向地址解析协议(RARP)
网络中的一个机器既有逻辑地址也有物理地址。逻辑地址是为了管理方便而设置的,逻辑地址是网络层的协议数据单元使用的地址,物理地址是数据链路层的协议数据单元MAC帧使用的地址。
(1) ARP协议——地址解析协议
ARP协议的数据格式如图:
(2) RARP协议——反向地址解析协议
RARP协议往往用于无盘工作站环境。因为主机没有外存,本地不能存放IP地址,所有需要一个RARP服务器来存放IP地址和硬件地址的对应关系。
8.1.6 Internet控制报文协议ICMP
ICMP协议允许路由器报告差错情况和提供有关异常情况的报告。
ICMP报文有ICMP差错报文和ICMP询问报文两种。
8.1.7 IPv6协议
(1)IPv6协议的特点:
更大的地址空间。IPv6将地址从IPv4的32bit增大到128bit
扩展的地址层次结构
灵活的首部格式
增强安全性
对Qos支持
(2)IPv6地址
IPv6将128bit地址空间分为两大部分。第一次部分是可变长度的类型前缀,它定义了地址的目的。第二部分是地址的其余部分,其长度是可变的。
(3) IPv6数据报的目的地址的类型
单播(unicast):单播就是传统的点对点通信
多播(multicast):多播是一点对多点的通信
任播(anycast):这是IPv6增加的一种类型。
8.1.8 IPv6地址自动配置
IPv6中地址自动配置有两种方式:有状态地址自动配置和无状态自动配置。
8.1.9 IPv4向IPv6 过渡
目前IPv4和IPv6过渡技术主要有3种方案:隧道技术、双协议栈技术和地址协议转换(NAT-PT)。
NAT-PT(网络地址转换-协议转换)包括两个组成部分:网络地址转换协议和协议转换。其中地址转化是指通过使用NAT网关将一种IP网络的地址转换为另一种IP网络的地址,它允许内部网络使用一组在公网中从不使用的保留地址。
8.1.10 Qos支持
服务质量Qos是服务性能的总效果。此效果决定了一个用户对服务的满意程度。因此在最简单的意义上,有服务质量的服务就是能够满足用户的应用需求的服务。
在Internet上为用户提供高质量的Qos必须解决一下几个问题:Qos的分类与定义;准入控制和协商;资源预约;资源调度与管理。
服务质量可用若干基本的性能指标来描述,包括可用性、差错率、响应时间、吞吐量、分组丢失率、连接建立时间、故障检测和改正时间等。
主要的Qos技术有:集成服务(Integrated Services,Intserv)/资源预留协议(RSVP),区分业务(Differentiated Services,DiffServ),多协议标记交换(Multi-Protocol Label Switching,MPLS)流量工程(Traffic Engineering),Qos路由(Qos Routing,QoSR)等。
8.2传输层协议TCP与UDP
8.2.1TCP协议特点
TCP是面向连接的协议,提供可靠的、全双工的、面向字节流的,端到端的服务。
TCP的连接是一对端点的连接,为了清晰的表明这条连接的源地址和目的地址,给每一个端点分配一个套接字(socket)或插口。虽然每台主机对端口号独立编号,但是IP地址是唯一的。
8.2.2 TCP建立与释放连接机制
(1)TCP连接建立机制
TCP使用三次握手来建立连接,大大增强了可靠性。如防止已失效的连接请报文段到达被请求方,产生错误造成资源的浪费。
(2)TCP定时管理机制
重传机制是保证TCP可靠性的重要措施。TCP每发送一个报文段,就对这个报文段设置一次计时器。超时重传时间设置的长短,恰当与否关系到网络的工作效率。如果设置的太短,会引起很多报文段的重传,增大网络的负荷;如果设置的太长,则会增大网络的空闲时间,降低网络的传输效率。
(4) TCP拥塞控制策略
传输层的主要任务是保证端到端可靠的传输。
TCP的拥塞控制主要有以下四种方法:慢开始、拥塞避免、快重传和快恢复。
8.2.3 UDP协议的特点
UDP只在IP的数据报服务制上增加了很少一点的功能,即端口的功能和差错检测的功能。虽然UDP用户数据报只能提供不可靠的交付,UDP的特殊优点:
发送数据之前不需要建立连接
UDP的主机不需要维持复杂的连接状态表
UDP用户数据报只有8个字节的首部开销
网络出现的拥塞不会使源主机的发送速率降低,这对某些实时应用是很重要的。
UDP协议字数据报字节构成:
8.3应用层协议
应用层的具体内容就是规定应用进程在通信时所遵循的协议。
8.3.1域名系统DNS
域名系统DNS的功能是把Internet中的主机域名解析为对应的IP地址。域名系统DNS是一个联机分布式数据库系统。
(1)域名服务器
域名服务器可以把域名服务器分为根域名服务器、*域名服务器、权限域名服务器和本地域名服务器四种不同类型。
根域名服务器(root name server)是最高层次的域名服务器,每一个根域名服务器都要存有所有*域名服务器的IP地址和域名。
*域名服务器(TLD server)负责管理在本*域名服务上注册的所有二级域名。
权限域名服务器(anthoritative name server)一个服务器所管辖的范围称为区,每个区都设置有服务器,这个服务器叫权限服务器。负责将管辖区内的主机域名转换为该主机的IP地址。在其上保存所管辖区内的所有主机域名到IP地址的映射。
本地域名服务器(local name server):也称为默认域名服务器,本地域名服务器离用户近,一般不超过几个路由器的距离,当所要查询的主机也属于同一个本地ISP时,该本地域名服务器立即就能将所查询的主机名转换为它的IP地址,而不需要再去询问其他的域名服务器。
8.3.2域名解析
域名解析过程的要点:当某个应用进程需要把某个主机的域名解析为对应的IP地址时,将调用解析程序,称为DNS的客户方,并把要解析的主机域名放在DNS请求报文中,然后使用UDP用户数据报将其发往本地域名服务器。本地域名服务器对其进行查询,如果查找成功,就将结果放入DNS回答报文中,同样使用UDP用户数据报返回给请求方。
在域名的解析过程中,本地域名服务器可以采用递归法和迭代法两种方式查询。
8.3.3文件传输协议FTP
FTP的主要功能是减少或消除在不同操作系统下处理文件的不兼容性。
FTP的主要作用是让用户连接上一个远程计算机查看远程计算机有哪些文件,然后把文件从远程计算机上拷贝到本地计算机,或把计算机的文件送到远程计算机。
(1)FTP支持的模式:主动模式(PORT方式)和被动模式(PASV方式)。
(2)FTP使用的端口:21号端口。
8.3.4远程登录协议Telnet
Telnet是Internet的登录和仿真程序,允许用户登录进入远程主机系统。目的是提供一个相对通用的,双向的,面向八位字节的通信机制。一个Telnet连接就是一个用来传输带有Telnet控制信息数据的TCP的连接。
8.3.5 Web应用与HTTP协议
www是一种分布式的超媒体系统,它是超文本(hypertext)系统的扩充。
www基于客户/服务器模式,它改进了传统的客户/服务器计算模型,将原来客户端一侧的应用程序模块与用户界面分开,并将应用程序模块放到服务器上,形成基于web浏览器的用户界面、应用程序和服务程序等三部分。
www使用统一资源定位符(Uniform Resource Locator,URL)来标识分布在整个Internet上的文档。
8.3.6动态主机配置协议DHCP
(1)DHCP的功能:
动态主机配置协议(DHCP)是一种网络管理员能够集中管理和自动分配IP网络地址的通信协议。
(2)DHCP的消息类型
(3)DHCP的工作过程:
8.4代理与NAT
8.4.1应用层代理
代理(即proxy)处于客户机与服务器之间,对于服务器来说,Proxy是客户机,Proxy提出请求,服务器响应;对于客户机来说,Proxy是服务器,它接受客户机的请求,并将服务器上传来的数据转给客户机。
应用层代理工作在TCP/IP模型的应用层之上,只能用于支持代理的应用层协议(如HTTP,FTP)。
8.4.2网络地址转换NAT
因特网IP地址有本地地址和全球地址两种。因特网中的所有路由器对目的地址是专用地址的数据报一律不进行转发,这就需要使用网络地址转换NAT(Network Address Translation),通常由路由器担任IP转换的功能。
NAT有三种类型:静态NAT、动态NAT、端口地址转换PAT。
8.4.3 搜索引擎
搜索引擎是通过互联网上提取的各个网站的信息来建立数据库,检索与用户查询条件匹配的相关记录,然后按一定的排列顺序将结果返回给用户,根据搜索引擎提取数据的方法,可将搜索引擎系统分为三大类:
目录式搜索引擎;机器人搜索引擎;元搜索引擎。
九、网络管理
9.1网络管理基本概念
9.1.1.计算机网络定义
网络管理是指对网络的运行状态进行检测和控制,并能提供有效、可靠、安全、经济地服务。网络管理的两个任务:一是对网络的运行状态进行检测,二是对网络的运行状态进行控制。
(1) 网络管理站
网络管理站(Network Manager)一般位于网络系统的主干或接近主干位置的工作站、微机等,负责发出管理操作的指令,并接收来自代理的信息。
(2) 管理代理
管理代理(Network Agent)则位于被管理的设备内部。通常将主机和网络互连设备等所有被管理的网络设备称为被管设备。
(3) 网络管理协议
用于网络管理站和管理代理之间传递信息,并完成信息交换安全控制的通信规约就称为网络管理协议
(4) 管理信息库
管理信息库(Management Information Base,MIB)是一个信息存储库,是对于通过网络管理协议可以访问信息的精确定义,所有相关的被管对象的网络信息都放在MIB上。
9.1.2网络管理功能
被分为5大系统管理功能域,即配置管理、故障管理、性能管理、计费管理和安全管理。
(1) 配置管理:负责网络的建立、业务的开展以及配置数据的维护;
(2) 故障管理:主要是及时发现和排除网络故障,其目的是保证网络能够提供连续、可靠、优质的服务;
(3) 性能管理:目的是维护网络服务质量(Qos)和网络运营效率。为此性能管理要×××能检测功能、性能分析功能以及性能管理控制功能。
(4) 计费管理:主要目的是正确的计算和收取用户使用网络服务的费用;
(5) 安全管理:采用信息安全措施保护网络中的系统、数据和业务。
9.1.3网络管理标准
(1)ISO
国际标准化组织ISO(International Standardization Organization)成立于1947年,是世界上最庞大的一个国际性标准化专门机构,也是联合国的甲级咨询机构。
(2) ITU-T
国际电信联盟ITU(International Telecommunication Union)成立于1934年,是联合国下属的15个专门机构之一。
(3) IETF
Internet体系结构委员会IAB是1992年从Internet活动委员会改名而来的,他是Internet协议的开发和一般体系结构的权威控制机构。
(4) 其他组织
NMF(Network Management Forum)是由120多个公司组成的非官方标准组织,该组织的成员主要由网络运营公司,计算机厂商、软件厂商、*机构、系统集成商和银行等组成。
9.2管理信息的组织与表示
9.2.1 抽象语法表示ASN.1
简单类型:由单一成分构成的原子类型;
构造类型:由两种以上成分构成的构造类型
标签类型:由已知类型定义的新类型;
其他类型:包括CHOICE和ANY两种类型。
9.2.2管理信息结构SMI
经SNMP协议传输的所有管理信息都被收集到一个或多个管理信息库(MIB)中,被管对象类型按照管理信息结构(SMI)和标识定义。管理信息结构主要包括以下3个方面:对象的标识,即对象的名字;对象的语法,即如何描述对象的信息;对象的编码;
9.3简单网络管理协议
9.3.1 SNMP原理
SNMP是专门设计用来管理网络设备(服务器、工作站、路由器、交换机及HUBS等 )的一种标准协议,它是一种应用层协议。目前SNMP有3种版本 SNMPv1、SNMPv2、SNMPv3。
SNMP规定了5种协议数据单元PDU(也就是SNMP报文),用来在管理进程和代理之间的交换。
(1) GetRequest操作:从代理进程处提取一个或多个参数值;
(2) GetNextRequest操作:从代理进程处提取紧跟当前参数值的下一个参数值;
(3) SetRequest操作:设置代理进程的一个或多个参数值;
(4) GetResponse操作:返回的一个或多个参数值,这个操作时由代理进程发出的,它是前面三种操作的响应操作
(5) Trap操作;代理进程主动发出的报文,通知管理进程有某些事情发生。
9.3.2 SNMP报文格式
SNMP报文共有三个部分组成,即公共SNMP首部、Get/Set首部、Trap首部、变量绑定。
SNMPv2的改进主要有以下3个方面:增加了manager和manager之间的信息交换机制,从而支持分布式管理结构;改进了管理信息结构;增强了管理信息通信协议的能力。
9.4网络管理工具
9.4.1基于Web的管理
一种跨平台、方便、适用的新的网络管理模式,基于Web的网络管理模式可以实现这个目标。它允许网络管理人员通过与万维网同样的形式去监测、管理他们的网络系统,并使用Web浏览器在网络任何节点上方便迅速地配置、控制及访问网络和它的各个部分。
网络管理Web化的基本实现方案有两种。一种是基于代理的解决方案,另一种是嵌入式解决方案。
9.4.2典型网络管理工具
网络管理系统提供了一组进行网络管理工具,网络管理员对网络的管理水平在很大程度上依赖于这组工具的能力。
Ciscoworks for windows HP OpenView IBM Tivoli NetView Sun Net Manager
9.4.3网络管理应用
网络资源状态监视、阀值检测、事件管理、配置应用、拓扑管理、性能管理等。
十、服务质量技术
10.1基本概念与相关技术
10.1.1 Qos概述
在通信和计算机网络中,服务质量简称Qos(Quality of Service)。Qos有广义和侠义之分:侠义Qos指技术指标(传输时延、抖动、丢失率、带宽要求、吞吐量等);广义Qos指资源调配与利用、层与层之间的协商,从而涉及不同层次的Qos。
10.1.2 SLA管理
服务等级协议SLA(Service Level Agreement)是用户与网络服务提供商签订的关于服务质量的协议。SLA分为静态和动态两种。静态SLA在一定的时间范围内是不变的,与网络的状况(如拥塞程度、负荷变化)无关;动态SLA根据网络的状态来协商和调整SLA参数,从而提高网络的资源利用率。
第二章 计算机网络规划与设计
本章涉及到的知识点:
设计基础
网络分析与设计过程
通信规范
逻辑网络设计
物理网络设计
网络测试运行和维护
网络故障分析与处理
一、设计基础
1.1 网络基本元素
计算机网络是有很多种基本元素组合而成。常见的网络基本元素包括计算机平台、应用软件、物理设备和拓扑结构、网络软件和实用软件、互连设备和广域网连接等。
1.1.1 计算机平台
计算机平台是网络中的终端用户节点,是装载并运行操作系统和应用程序并为用户提供功能和服务的设备,不同的计算机平台,其形状、尺寸、性能有所不同。
1.1.2 应用软件
应用软件运行与计算机平台之上,是完成某种特定应用的软件系统,是网络系统中常见的软件之一。
1.1.3 物理设备和拓扑结构
物理设备是指连接网络端点之间的基础设施,如网卡、电缆、接插件、接插板、集线器等,而一个网络,是由各种各样的物理设备连接而成。
网络拓扑结构是指在给定终端位置的情况下网络的结构方式。拓扑结构决定了网络的工作原理及网络信息的传输方式。
常见的网络拓扑结构分为两大类:广域网络拓扑结构和局域网拓扑结构。广域网拓扑有集中式、分散式、分布式、不规则式等结构,局域网拓扑结构有星状结构、环状结构、总线结构、树状结构和网状结构。
1.1.4 网络软件和实用软件
在设计、运行和维护网络的过程中,网络软件和实用软件占有非常重要的地位。网络软件主要是由客户机端的软件和客户机之间或客户机与服务器之间进行通信所需要的协议堆栈支撑软件组成。
实用软件只要是用于实现网络分析、管理、监控、维护、故障发现排除等功能,而专门为网络定制的特殊软件,既包括网络管理软件等。
1.1.5 互联设备
在不同类型的网络间进行通信时,需要使用各种互联设备来实现异构网络间的协议转换、同构网络间的网络范围延伸。网络互联设备包括:网桥、交换机、路由器、网关等。通过这些设备形成网络的框架,并用来提高网络性能。
1.1.6 广域网的连接
广域网连接设计也是网络设计中非常关键的一步,因为大部分的网络费用是用于公共服务和设施的。而广域网的连接是利用这种潜在而且昂贵的资源,因此必须认真考虑网络应用和用户服务需求。
1.2 网络互连设备
1.2.1 中继器
中继器的作用是放大电信号,扩大网络额地理覆盖范围。中继器工作在ISO的最底层—物理层。
1.2.2 集线器
集线器(HUB)是局域网内连接服务器与主机的主要设备,主要在OSI参考模型的物理层,有信号放大作用。
1.2.3网桥
网桥是一种在数据链路层实现互联的设备,在网段之间进行数据帧的接收、存储与转发。数据链路层分为逻辑链路控制子层(LLC)和媒体访问控制子层(MAC)两部分,LLC用于子网间路径选择,MAC用于介质访问以及数据帧的成帧等处理。
1.2.4 以太网交换机
交换机是一种存储转发设备,与原有的桥接器相比较,交换机每一个端口的承载能力相当于桥接器上的一段。交换机工作在ISO的第二层,根据发送帧中的目标MAC地址进行转发,在交换机内部维护着MAC地址表。
1.2.5 路由器
路由器工作在网络层的互联设备,是可以屏蔽网络广播风暴的有效网络设备。
无论是静态路由还是动态路由,最本质的目的都是在维护一种路由表,在数据包到来时,查找路由表,找到最匹配的路由信息而决定数据包的路由。
1.2.6网关
网关的互联是在网络层以上,具体来说,大多数的网关是在应用层实现互联。网关通常由软件实现,运行与服务器或普通计算机上,以实现不同体系结构网络之间或LAN与主机之间的连接。
1.3 网络性能
在进行网络设计时,对网络性能参数的考虑是设计工作的重点内容之一,需要考虑的网络参数包括:响应时间、吞吐量、延迟、带宽、容量等。
1.3.1 响应时间、延迟和等待时间
响应时间是指以计算机或终端向远端资源发出请求时间为起始时间,以该设备接受到数据响应的时间为终点,两个时间之间的差值。
响应时间的组成如下:轮询延迟、链路延迟、等待时间、CPU延迟。
1.3.2利用率
利用率描述设备在使用时所能发挥的最大能力。主要包括:CPU利用率和链路利用率。
CPU利用率:指的是在处理网络发出的请求和做出响应时处理器的繁忙程度。
链路利用率:指的是链路总带宽的有效使用百分比。
1.3.3 网络数据传输率和吞吐量
(1)网络数据传输率
在计算机网络中,数据传输率和带宽是两个不同,但又关联的概念。
带宽:指某个信号具有的频带宽度,其单位是赫兹(Hz)。
数据传输率:信道上可以传输数据的最大速率,在计算机网络中,无论数据信号、模拟信号都用于传递数字数据,因此其单位为比特每秒(bps)。
(2)吞吐量
吞吐量是指在网络用户之间有效地传输数据的能力。
影响吞吐量的因素如下:
协议效率,不同的协议传输数据的效率不同
服务器/工作站CPU类型
网卡(NIC)类型
局域网(LAN)/链路容量
响应时间
1.3.4 可用性、可靠性和可恢复性
可用性:是指网络或网络设备可用于执行预期任务时间所占总量的百分比。
可靠性:是指网络设备或计算机持续执行预定功能的可能性。可靠性经常用平均故障间隔时间(MTBF)来度量。
可恢复性:是指网络从故障中恢复的难易程度和时间。可恢复性即指平均修复时间(MTTR)。平均修复时间用来估算故障发生时,需要花多长时间来修复网络设备或系统。
1.3.5 冗余度、适应性、可伸缩性
冗余设备:是指为避免由于单台设备故障而导致网络停止服务而增加的网络设备。
冗余链路:是指为了防止线路或链路失效,导致网络不连通而增加的多余线路。
冗余度:是另一个在网络设备和系统设计与实施中需要考虑的因素,主要通过在网络设计中增加冗余设备、冗余链路等方式,来避免设备或链路是校队网络产生影响。
适应性:是指在用户改变应用要求时网络的应变能力。
可伸缩性:是指网络技术或设备随着用户需求的增长而扩充的能力。对于许多企业网络设计而言,可伸缩性是最基本的目标。
1.3.6 效率与费用
网络效率:是指用户传输数据流量与网络线路带宽之间的比例。不同的网络传输技术,其网络效率是不同的。网络设计时主要考虑数据链路层的网络效率。
费用:是指建设网络时必须考虑的内容,网络建设费用主要包括:设备购置费、安装调试费用、线路租赁费用、设备运维费用。
1.4 网络设计文档
1.4.1 文档的作用
文档是网络设计工作中的重要环节,覆盖了需求规范、通信规范、逻辑设计、物理设计、网络实施、运营维护等各个阶段。
文档的重要性总结如下:提高网络设计过程中的可见度;提高设计效率;作为设计人员在一定阶段的工作成果和结束标识;记录设计过程中的有关信息,便于协调以后的系统设计、使用和维护;提供有关系统的运行、维护和培训的信息,便于管理人员、开发人员、操作人员、用户之间的协作、交流和了解,使网络设计活动更加科学、更加有效;便于潜在用户了解系统的功能、性能等各项指标,为他们选购或制定符合自己需要的系统提供依据。
从形式上看,文档大致可以分为两类:一类是网络设计过程中填写的各种图表,可称为工作表格;另一类是应编制的技术资料或技术管理资料,可称为文档或文件。
1.4.2 文档的质量
文档的编制必须保证质量,以发挥文档的指导作用,有助于管理人员监督和管理系统开发,有助于用户了解系统开发工作,有助于维护人员进行有效的修改和扩充。高质量的文档应当体现在以下方面:针对性;精确性;清晰性;完整性;灵活性;
1.4.3 文档的管理和维护
在整个网络生存期中,各种文档需作为半成品或是最终成品不断的生成、修改或补充。为了最终得到高质量的产品,达到所提出的质量要求,必须加强对文档的管理。
二、网络分析与设计过程
2.1 网络规范
当设计人员依据用户的特定网络需求进行分析和设计时,必须遵循一定的处理规范。在网络规划过程中,优秀的、正规的设计过程将避免设计者工作过程中产生的失误和错误,同时产生合理有效的设计方案,并保证最终根据网络设计形成满足用户需求的网络工作环境。
以下是由于设计工作不遵循规范而产生的常见问题,这些问题将会导致用户的网络应用满意度降低。
实施结果偏离网络需求;需求变更;延误工期或超支;网络实施和设计不一致;
2.2 网络生命周期
一个网络系统从构思开始,到最后被淘汰的过程被称为网络的生命周期;一般来说网络的生命周期至少包括:网络系统的构思计划、分析设计、实时运行和维护的过程。
2.2.1 网络生命周期的迭代模型
网络生命周期的迭代模型的核心思想是网络应用驱动理论和成本评价机制,当网络系统无法满足用户的需求时,就必须 进入到下一个迭代周期,经过迭代周期后,网络系统将能满足用户的网络需求。
2.2.2 迭代周期的构成
每一个迭代周期,都是一个网络重构的过程,不同的网络设计方法中,对迭代周期的划分方式是不同的;常见的构成方式主要有三种:四阶段周期;五阶段周期;六阶段周期。
(1)四阶段周期
特点是,能够快速适应新的需求,强调网络建设周期中的宏观管理,灵活性强。
4个阶段分别为构思与规划阶段、分析与设计阶段、实施与构建阶段、运行与维护阶段。
四阶段周期的长处在于工作成本较低、灵活性高,适用于网络规模较小、需求较为明确、网络结构简单的网络工程。
(2)五阶段周期
五阶段周期是较为常见的迭代周期规划方式,将一次迭代划分为5个阶段。需求规范;通信规范;逻辑网络设计;物理网络设计;实施阶段。
五阶段周期的主要优势在于所有的计划在较早的阶段完成,该系统的所有负责人对系统的具体情况以及工作进度都非常清楚,更容易协调工作。五阶段周期的缺点是比较死板,不灵活。
五阶段周期由于存在较为严格的需求和通信分析规范,并且在设计过程中充分考虑了网络的逻辑特性和物理特性。因此较为严谨,适用于网络规模较大,需求较为明确,在一次迭代过程中需求变更较小的网络工程。
(3)六阶段周期
6个阶段分别由需求分析、逻辑设计、物理设计、设计优化、实施及测试、监测及性能优化组成。
六阶段周期侧重于网络的测试和优化,侧重于网络需求的不断变更,由于其严格的逻辑设计和物理设计规范,使得该种模式适用于大型网络的建设工作。
2.3 网络开发过程
网络开发过程描述的是在开发一个网络是必须完成的基本任务,而网络生命周期的迭代模型为描绘网络项目的开发提供了特定的理论模型,因此网络开发过程主要是指一次迭代过程。
将大型问题分解为多个小型可解的简单问题,这是解决复杂问题的常用方法,根据五阶段迭代周期的模型,网络开发过程可以被划分为5个阶段,分别是:需求分析;现有的网络体系分析,即通信规范分析;确定网络逻辑结构,即逻辑网络设计;确定网络物理结构,即物理网络设计;安装和维护。
2.3.1 需求分析
需求分析是开发过程中最关键的阶段,所有的工程设计人员都清楚,如果在需求分析阶段没有明确需求,则会导致以后各阶段的工作严重偏移。
2.3.2 现有的网络体系分析
现有网络体系分析工作的目的是描述资源分布,以便于在升级时尽量保护已有投资,通过该工作,可以使网络设计者掌握网络现在所处的状态和情况。
2.3.3 确定网络逻辑结构
网络逻辑结构设计是体现网络设计核心思想的关键阶段,在这一阶段根据需求规范和通信规范,选择一种比较适宜的网络逻辑结构,实施后续的资源分配规划、安全规划等内容。
2.3.4 确定网络物理结构
物理网络设计是对逻辑网络设计的物理实现,通过对设备的具体物理分布、运行环境等的确定,确保网络的物理连接符合逻辑连接的要求。在这一阶段,网络设计者需要确定具体的软硬件、连接设备、布线和服务。
2.3.5 安装和维护
安装阶段:是根据前面各个阶段的工程成果,实施环境准备、设备安装调试的过程。
网络安装完成后,接受用户的反馈意见和监控是网络管理员的任务。网络投入运行后,需要做大量的故障检测和故障恢复以及网络升级和性能优化等维护工作。网络维护又称为网络产品的售后服务。
2.4 网络设计的约束因素
网络设计的约束因素主要来自于政策约束、预算约束、时间约束和应用约束。
时间约束:网络设计的进度安排是需要考虑的另一个问题。项目进度表限定了项目最后得期限和重要的阶段。通常,项目进度是由客户负责管理,但网络设计者必须就该日程表是否可行提出自己的意见。
应用目标检查:在进行下一阶段的任务之前,需要确定是否了解客户的应用目标和所关心的事项。
三、网络需求分析
网络需求分析是网络开发过程的起始部分,应明确客户所需的网络服务和性能。
3.1 需求分析的必要性
需求分析是用来获取网络系统需求和业务需求的方法,该过程是网络开发的基础,也是开发过程中的关键阶段。
需求分析工作为设计师提供了以下的设计依据:能够更好的评价现有的网络体系;能够更可观地做出决策;提供完美的交互功能;提供网络的移植功能;合理使用用户资源。
3.2 收集需求分析的过程
在需求分析过程中,需要考虑以下几个方面的需求:业务需求;用户需求;应用需求;计算机平台需求;网络需求。
3.2.1 建立业务需求
在整个网络开发过程中,业务需求调查是理解业务本质的关键,应尽量保证设计的网络能够满足业务的需求。
(1) 收集用户需求
三种方式收集用户需求:观察和问卷调查;集中访谈;采访关键人物。
(2) 手机用户需求信息包括以下内容:确定主要相关人员;确定关键时间点;确定网络的投资规模;确定业务活动;预测增长率;确定网络的可靠性和可用性。确定web站点和Internet的连接性;确定网络安全性;确定远程访问。
(3) 收集应用需求:应用的类型和地点;使用方法;需求增长;可靠性和可用性需求;网络响应;
(4) 应用类型:应用的种类较多,其中常见的分类方式主要有四种:按功能分类;按共享分类;按响应分类;按网络模型分类。
3.2.2 对资源的存取和访问
用户对网络资源的存取和访问,是可以通过各种指标进行量化的,这些量化的指标通过统计产生,并直接反映了用户的需求。需要考虑的指标包括:每个应用的用户数量;每个用户平均使用每个应用的频率;使用高峰期;平均访问时间长度;每个事物的平均大小;每次传输的平均通信量;影响通信的定向特性。
3.2.3 其他需求
增长率;可靠性和可用性;对数据更新的需求。
3.2.4 计算机平台需求
手机计算机平台需求时网络分析与设计过程中一个不可缺少的步骤,需要调查的计算机平台主要分为5类:个人计算机;工作站;小型机;中型机;大型机。
(1) 个人计算机
需要考虑的因素:微处理器;内存;输入输出;操作系统;网络配置;
(2) 工作站
是一种以个人计算机和分布式网络计算为基础,主要面向专业应用领域,具备强大的数据运算与图形、图像处理能力。
3.2.5 网络需求
需求分析的最后工作是考虑网络管理员的需求,这些需求包括以下内容:局域网功能;网络拓扑结构;性能;网络管理;网络安全;城域网/广域网的选择;
(1) 局域网功能
局域网网段分布;评估局域网网段;局域网负载。
(2) 网络拓扑结构
网络拓扑结构分为广域网拓扑结构和局域网拓扑结构。局域网的特点:覆盖范围小、专用型强,具有较为稳定和规范的拓扑结构。广域网采用点到点方式,其连接主要依靠公用通信设施,网络拓扑结构较为复杂。
(3) 性能
网络需求收集工作中,针对网络的性能需求,可以考虑以下方面的内容:网络容量和响应时间;可用性;备份管理和存档。
(4) 网络管理
网络管理的需求主要从以下方面进行:建设思路及目的;网络管理功能要求;网络管理软件;
(5) 网络安全
网络安全体系是建设网络工程的有效内容之一,不管网络工程规模如何,都应该存在一个可扩展的总体安全体系框架。对于不同的网络工程,允许建设不同的安全体系框架。
3.3 编制需求说明书
需求说明书是网络设计过程中第一个正式的可以传阅的重要文件,其目的在于对收集到的需求信息作清晰的概况整理,这也是用户管理层将正式批阅的第一个文件。
需求说明书,以便于后期设计、实施、维护工作开展。
需求说明书的主要阶段:第一阶段 数据准备,第二阶段:需求说明书的组成(综述;需求分析阶段概述;需求数据总结;按优先级排队的需求清单;申请批准部分;修改需求说明书。)
四、通信规范
4.1 通信规范分析
在网络的分析和设计过程中,通信规范分析处于第二阶段,通信分析网络通信流量和通信模式,发现可能导致网络运行瓶颈的关键技术点。
4.2 通信模式
通信模式基本与应用软件的网络处理模型相同,也分为四种:对等通信模式;客户机-服务器通信模式;浏览器-服务器通信模式;分布式计算通信模式。
对等通信模式指相似计算机节点间的通信,在这种模式中,参与的网络节点都是平等角色,既是服务的提供者,也是服务的享受者。
客户机-服务器通信模式(Client/Server,C/S)是指在网络中存在一个服务器和多个客户机,由服务器负载进行应用计算、客户机进行用户交互的通信模式,也是目前最为广泛的一种通信方式。
浏览器-服务器通信模式是三层模式与四层模式的典型代表,其表现是通过客户端的浏览器,应用服务器负责业务逻辑,数据库服务器完成数据存储、计算、处理和检索。
分布式计算通信模式是指多个计算节点协同工作来完成一项共同任务的应用,在解决分布式应用,提高性能价格比,提供共享资源的实用性、容错性以及可伸缩性方面有着巨大的发展潜力。
4.3 通信边界
通信边界当前主要以三种形式存在:一种是局域网络中的通信边界,一种是广域网络中的通信边界;另一种是虚拟专用网络的通信边界。
4.3.1 局域网通信边界
局域网的通信边界主要是网络中的冲突域和广播域,在局域网建设中,主要是通过划分冲突域和广播域来限制通信量。
4.3.2 广域网通信边界
传统的广域网是由通信线路所形成的点对点网络,在这些单纯的点对点网络中,由于点对点线路的通信都是独立并且有通信服务质量保障,所以并不存在通信边界问题。广域网的通信边界,主要由路由的自治系统、路由协议中的域和各局域网构成。
路由的自治系统(Autonomous System,AS)是一个或多个互联的网络,其最重要的特点就是自治系统有权自主地决定本系统内应采用何种内部路由协议,一个自治系统内的所有网络一般都属于一个行政单位来管辖。
4.3.3 虚拟专用网络通信边界
***(Virtual Private Network,虚拟专用网)的含义有两个,一是***是建立在现有物理网络之上,与物理网络具体的网络结构无关。用户一般无须关心物理网络和设备;二是***用户使用***时看到的一个可预先设定的动态的网格。
4.4 通信流量分布的简单规则
在通信规范分析中,最终的目标是产生通信量,其中必要的工作是分析网络中信息流量的分布问题。
对于部分较为简单的网络,可以不需要进行复杂的通信流量分布分析,仅采用一些简单的方法,例如80/20规则、20/80规则等。
4.5 通信流量分析的步骤
对于复杂的网络,需要进行复杂的通信流量分析,通信流量分析从对本地网段上和通过网络骨干某个特定部分的通信量进行估算开始,可采用如下步骤:
把网络分成易管理的网段
确定个人用户和网段应用的通信流量
确定本地和远程网段上的通信流量
对每个网段重复以上步骤
分析基于各网段信息的广域网和网络骨干的通信流量。
4.6 网络基准
基准法是通过测量一个网络的容量和效率来衡量网络性能要求的方法。通过网络的测试数据,可以发现网络中存在的问题,也可以把握网络发展趋势对网络性能带来的影响。
4.6.1 测试工具
传统的测试工具是局域网分析器。例如,网盟公司的探测器(Sniffer)、HP公司的局域网顾问(LAN Advisor),另外互联网上存在大量的类似Sniffer软件。
设计与建模工具包
仿真与测试工具包
4.6.2 网络基准化
网络基准化是对网络活动和行为的测试,通过对网络行为进行提前的预测,实现周期性测量 ,并形成一系列的参数指标。
4.6.3 基准的解释
Sniffer设备将根据收集到的数据帧,形成一系列记录网络行为的基准参数指标,这些参数指标构成了基准集合,常用的基准指标包括如下内容:全局统计数据;所有站点信息;帧大小;协议类型;报警日志;全局历史记录;输出基准报表;
4.7 编写通信规范说明书
需求说明书是需求 收集阶段的产物,而通信规范说明书也是通信分析阶段的主要产物。
通信规范说明书包含了估测的或实测的网络通信容量以及大量的统计表格,记录准确归纳和分析现存网络得到的结果,并根据该结果和需求说明书提出网络设计建议方案。
通信规范说明书记录了网络当前的状态,包括网络的配置、网络互连设备水平以及共享资源的利用率。通信规范说明书由下面主要内容组成。
执行情况概述;分析阶段概述;分析数据总结;分析数据总结;设计目标建设;申请批准部分;修改说明书。
五、逻辑网络设计
5.1 逻辑设计过程概述
网络的逻辑结构设计,来自于用户需求中描述的网络行为、性能等要求,逻辑设计要根据网络用户的分类、分布,选择特定的网络结构,该网络结构大致描述了设备的互联及分布,但是不对具体的物理位置和运行环境进行确定。
逻辑设计过程主要由以下4个步骤组成:
确定逻辑设计目标;网络服务评价;技术选项评价;进行技术决策。
5.1.1 逻辑网络设计目标
逻辑网络的设计目标主要来自于需求分析说明书中的内容,尤其是网络需求部分,这部分内容直接体现了网络管理部门和人员对网络设计的要求。一般情况下,逻辑网络设计的目标包括以下一些内容:
合适的应用运行环境:逻辑网络设计必须为应用系统提供环境,并可以保障用户能够顺利访问应用系统;
成熟而稳定的技术选型:在逻辑网络设计阶段,应该选择较为成熟稳定的技术,越是大型的项目,越要考虑技术的成熟度,以避免错误投入;
合理的网络结构:合理的网络结构不仅可以减少一次性投资,而且可以避免网络建设中出现各种复杂问题;
合适的运营成本:逻辑网络设计不仅仅决定了一次性投资,技术选型、网络结构也直接决定了运营维护等周期性投资;
逻辑网络的可扩充性能:网络设计必须具有较好的可扩充性,以便于满足用户增长、应用增长的需要,保证不会因为这些增长而导致网络重构;
逻辑网络的易用性:网络对于用户是透明的,网络设计必须保证用户操作的单纯性,过多的技术型限制会导致用户对网络的满意度降低。
逻辑网络的可管理性:对于网络管理员来说,网络必须提供高效的管理手段和途径,否则不仅会影响管理工作本身,也会直接影响用户。
逻辑网络的安全性:网络安全应提倡适度安全,对于大多数网络来说,既要保证用户的各种安全需求,也不能给用户带来太多限制;但是对于特殊的网络,也必须采用较为严密的网络安全措施。
5.1.2 需要关注的问题
(1)设计要素
设计要素(用户需求;设计限制;现有网络;设计目标)
设计工作的要素只要包括:用户需求;设计限制;现有网络;设计目标。
(2)设计面临的冲突
最低的安装成本
最低的运行成本
最高的运行性能
最大的适应性
最短的故障时间
最大的可靠性
最大的安全性
(3) 成本与性能
成本与性能是最为常见的冲突目标,一般来说,网段设计方案的性能越高,也就意味着更高的成本,包括建设成本和运行成本。
5.1.3 主要网络服务
网络设计人员应在依据网段提供的服务要求来选择特定的网络技术,不同的网络,其服务的要求不同,对于大多数网络来说,都存在着两个主要的网络服务——网络管理和网络安全。
(1) 网络管理服务
网络管理可以根据网络的特殊需要,将其划分为几个不同的大类,其中的重点内容是网络故障诊断、网络的配置及重配置和网络监视。
(2) 网络安全服务
网络安全系统是网络逻辑设计的固有部分,网络设计者可以采用以下步骤来进行安全设计:(1)明确需要安全保护的系统;(2)确定潜在的网络弱电和漏洞;(3)尽量简化安全;(4)安全制度;
5.1.4 技术评价
根据用户的需求设计逻辑网络,选择正确的网络技术比较关键,在进行选择时应考虑如下因素:(1)通信带宽;(2)技术成熟性;(3)连接服务类型;(4)可扩充性;(5)高投资产出;
5.1.5 具体工作内容
逻辑网络设计工作主要包括如下的内容:
网络结构的设计;
物理层技术选择;
局域网技术选择与应用;
广域网技术选择与应用;
地址设计与命名模型;
路由选择协议;
网络管理;
网络安全;
逻辑网络设计文档;
5.2 网络结构设计
网络结构是对网络进行逻辑抽象,描述网络中主要连接设备和网络计算机节点分布而形成的网络主体框架,网络结构与网络拓扑的最大区别在于:网络拓扑结构中,只有点和县,不会出现任何的设备和计算机节点;网络结构主要是描述连接设备和计算机节点的连接关系。
5.2.1 局域网结构
传统意义上的局域网只具备二层通信功能,现代意义上的局域网络不仅具有二层通信功能,同时具有三层甚至多层通信的功能。
(1) 核心局域网结构
单核心局域网结构主要由一台核心二层或三层交换设备构建局域网络的核心,通过多台接入交换机接入计算机节点,该网络一般通过与核心交换互联的路由设备接入广域网中。
(2) 双核心局域网结构
双核心结构主要由两台核心交换设备构建局域网核心,该网络一般也是通过与核心交换机互连的路由设备接入广域网,并且路由器与两台核心交换机设备之间都存在物理链路。
(3) 环型局域网结构
环型局域网结构由多台核心三层设备连接成双RPR动态性分组环,构建整个局域网的核心,该网络通过与环上交换设备互连的路由设备接入广域网络。
(4) 层次局域网结构
层次结构主要定义了根据功能要求不同将局域网络划分层次构建的方式,从功能上定义为核心层、汇聚层、接入层。层次局域网一般通过与核心层设备互连的路由设备进入广域网。
5.2.2 广域网结构
(1)单核心广域网
单核心结构主要由一台核心路由设备互连各局域网络
(3) 双核心广域网结构
双核心结构主要由两台核心路由设备构建框架,并互连各局域网。
(4) 半冗余广域网结构
半冗余结构主要定义了由多台核心路由设备连接各局域网并构建广域网络的方式,在半冗余结构中,任意核心路由器存在至少两条以上链接至其他路由设备;
(5) 对等子域广域网结构
对等子域结构是指通过将广域网的路由器划分为两个独立的子域,每个子域内路由器采用半冗余方式互连。
5.2.3 层次化网络设计模型
(1)核心层设计要点
核心层是互联网络的高速骨干,由于其重要性,因此在设计中应采用冗余组件设计,使其具备高可靠性,能快速适应变化。
在设计核心层设备功能时,应尽量避免使用数据包过滤、策略路由等降低数据包转发处理的特性,以优化核心层获得低延迟和良好的可管理性。
(3) 汇聚层设计要点
汇聚层是核心层和接入层的分界点,应尽量将处于安全性原因对资源访问的控制、出于性能原因对通过核心层流量的控制等,都在汇聚层实施。
(4) 接入层设计要点
接入层为用户提供了在本地网段访问应用系统的能力,接入层要解决相邻用户之间的互访需要,并且为这些访问提供足够的带宽。
接入层还应适当负责一些用户管理里功能,包括地址认证、用户认证、计费管理等内容。
接入层还负责一些信息的用户信息收集工作,例如用户的IP地址、MAC地址、访问日志等信息。
5.2.4 层次化设计的原则
层次化网络设计应该遵循一些简单的原则,保证设计出来的网络更加具有层次的特性:
5.2.5 网络冗余设计
网络冗余设计允许通过设置双重网络元素来满足网络的可用性需求,冗余避免了网络的单点失效,其目标是重复设置网络组件,以避免单个组件的失效而导致应用失效。
在网络冗余设计中,对于通信线路常见的设计目标主要有两个:一个是备用路径,另一个是负载分担;
(1) 备用路径
设计备用路径时,主要考虑以下因素:备用路径的带宽;切换时间;非对称;自动切换;测试;
(2) 负载分担
负载分担是通过冗余的形式来提高网络的性能,是对备用路径方式的扩充。负责分担是通过并行链路提供流量分担来提高性能,其主要的实现方法是利用两个或多个网络接口和路径来同时传递流量。
关于负载分担,设计时主要考虑以下因素:
(1) 网络中存在备用路径、备用链路时,就可以考虑加入负载分担设计。
(2) 对于主路径、备用路径都相同的情况,可以实施负载分担的特例——负载均衡,也就是多条路径上的流量是均衡的。
(3) 对于主路径、备用路径不相同的情况,可以采用策略路由机制,让一部分应用的流量分摊到备用路径上。
(4) 在路由算法的设计上,大多数设备制造厂商实现的路由算法,都能够在相同带宽的路径上实现负载均衡,甚至于部分特殊的路由算法,例如IGRP和增强IERP中,可以根据主路径和备用路径的带宽比例实现负载分担。
5.3 物理层技术选择
物理层技术选择内容包括缆线类型、选用网卡等
5.3.1 技术选择原则
物理层技术的选择依据主要来自于需求分析说明书和通信规范说明书,这些说明书中已经明确了带宽等通信参数的要求。
以下是对满足说明书要求的技术进行选择时的一些通用原则:(1)可扩展性与可伸缩性;(2)可靠性、可用性和可恢复性;(3)安全性;(4)节约与成本;
5.3.2 物理介质和网卡的考虑
(1)物理介质
物理介质包括有线介质和无线介质
(2)网卡
网卡是在介质确定后的物理层元素之一,因为网卡必须与网络的物理介质、拓扑结构和MAC层协议相匹配。
5.4 局域网技术选择与应用
5.4.1 生成树协议
在局域网络中,交换设备间借助于生成树协议(Spanning-Tree Protocol,STP)来完成动态“修剪”第二层交换机,而形成统一的树形结构,避免数据链路层环路的存在,其标准为IEEE802.1D。
对于采用交换机实现局域网段物理划分的网络来说,生成树协议是实现交换机设备间透明桥接的关键协议,设计人员将交换机的物理连接设计成有冗余和可扩展的结构,而协议运行的机构将禁用某些端口和连接,使得网络设备之间形成逻辑的树型结构。
交换机之间通过发送桥接协议数据单元(BPDU)来建立和维护生成树,协议在交换机启动时就参与STP的收敛过程,当设备的端口、连接发生变化时,也会发送维护数据单位。
(1) STP收敛过程
交换机遵循下面4个步骤将网络结构收敛到一棵树:
从交换机中选择一个作为根网桥;
在每台交换机上选择一个端口,被称为根端口,该端口提供到根网桥的最低开销路径;
在每个局域网段互联的多个交换机,选择一个作为指定网桥,并从该交换机上选取指定端口;
决定哪台交换机的端口添加到生成树的结构中,所有被选择的端口都应该是根端口或者指定端口;
参与STP的交换机的端口状态:
阻塞——只接受BPDU;
监听——创建生成树;
学习——创建交换(桥接)表;
传输——发送和接受用户数据;
(2) 选择根网桥
根网桥是具有最小桥ID的交换机,桥ID有两个部分,优先权字段和交换机MAC地址,大多数厂商都带有自己的统一默认优先权,这样当这些交换机互连时,最小的MAC地址交换机就成了根网桥。
(3) 根保护
根保护可以防止低速交换机抢占根网桥。在交换机上配置根保护的端口不能作为根端口。根保护功能需要在所有不应该成为根网桥的交换机的各有端口上开启,避免这些端口可能成为根端口。
(4) STP更新时间
一般情况下,STP协议更新的时间为30s——2倍的默认传送时延计时;
一些特殊的情况会导致更新时间长达50s——最大计时与2倍的默认传送时延之和;
(默认传送时延计时为15s,默认最大计时为20s)
5.4.2 扩展生成树协议
(1)快速生成树协议
快速生成树协议(Rapid Spanning-Tree Protocol,PSTP)的标准为IEEE 802.1w,是对IEEE802.D的补充,通过对交换机端口的配置改变而实现STP的快速收敛。
RSTP的核心思想是预先对生成树的拓扑结构以及可能发生的变化进行设定,一旦网络中连接关系发生变化,整个网络的生成树会依据预先设定的拓扑收敛,这样减少了STP重新配置和恢复服务所需的时间,同时也保持了STP即插即用的特点。
(2)基于VLAN的扩展协议
IEEE使用多生成树标准(MST)增强了原始的生成树算法,即IEEE802.ls,该协议提高了RSTP的扩展性,将一组基于VLAN的生成树聚合成不同的实例,可以提供多条数据转发路径,实现负载均衡。
5.4.3 虚拟局域网
虚拟局域网(VLAN)基本上可以看作是一个广播域,是根据逻辑位置而非物理位置划分的一组客户工作站的集合,这些工作站不在同一物理网络中,但可以像在一个普通局域网上那样进行通信和信息交换。围绕VLAN的主要设计内容包括:VLAN划分方法;VLAN划分方案;VLAN的跨设备互连;VLAN间路由;
(1) VLAN划分方法
基于设备端口;基于MAC地址;基于网络地址;基于IP组播;基于策略;
(2) VLAN划分方案
管理VLAN:是由网络管理人员专用的网络,管理VLAN中节点主要包括以下内容:大型网络设备一般提供网络管理方式;大型服务器也提供特殊的远程管理网络端口;各种设备向网管服务器提交SNMP协议数据的网络端口;网关平台服务器和网管工作站。
服务器VLAN:服务器是向局域网提供服务的关键,大多数情况下,局域网内部的服务器都位于局域网的核心部分,针对服务器建立一个特定的VLAN,可以加强服务器之间的访问,同时提高了服务器的运行安全性。
用户的部门VLAN:在网络使用中,相同的部门用户,其所需要的应用服务基本是一致的,因此可以针对用户计算机的部门分布情况,划分不同的VLAN,针对不同部门的VLAN,制定不同的访问控制策略,已提高整个网络的安全性。
(3) VLAN的跨设备互连
一般来说,在基于端口方式下,网络端口可以处于以下几种状态:静态访问端口;动态访问端口;VLAN互连端口;
(4) VLAN间路由
VLAN间是无法在数据链路层连通的,只能借助于网络层协议连通。实现VLAN间路由需要借助路由器。
5.4.4 无线局域网
在园区网络中,无线局域网可以满足移动用户对内部网络和因特网的接入需求。一个无限局域网络是由AP组成,该设备利用射频和无线用户通信,一个AP能够覆盖的区域称为无线单元。
设计无线局域网需要考虑以下三个部分的内容:定位AP实现最大覆盖率;无线局域网中的虚拟局域网设计;冗余无线接入点;网络SSID。
5.4.5 线路冗余和负载分担
局域网交换机之间设计冗余链路是较为常见的做法,对于这些冗余链路则存在着备份和负载分担两种应用方式。
5.4.6 交换机设备应用
交换机作为局域网的核心设备,除了常规的数据帧的存储和转发功能之外,还可以满足局域网络用户的一些特殊需求,主要包括链路聚合、冗余网关、以太网供电、多业务模块等。
(1) 链路聚合
链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道已一个单个的更高带宽的逻辑链路出现。
(2) 冗余网关
对于由多个VLAN构成的局域网来说,每个VLAN的网关设备多是由核心交换机来承担,一旦核心交换机出现故障,则多个VLAN的网关都将出现问题,这些VLAN之间的通信将处于中断状态。为了避免这种情况的发生,大多数核心交换机都会提供冗余网关协议,使得网络中至少两台交换机成为各个VLAN的网关,避免网关的单点故障效应。
常见的冗余网关协议包括通用的虚拟路由器冗余协议(Virtual Router Redundancy Protocol,VRRP)和由Cisco公司提供的热备份路由器协议(Hot Standby Router Protocol,HSRP)与网关负载均衡协议(Gateway Load Balancing Protocol,GLBP)。
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器组中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。
热备份路由协议(HSRP)是Cisco公司独有的技术,为IP网络提供了容错和增强的路由选择功能,通过使用同一个虚拟IP地址和虚拟MAC地址,LAN网段上的两台或者多台路由器可以作为一台“虚拟”路由器而对外提供服务。HSRP中的路由器组中存在多种角色,一个HSRP路由器组中最少需要两台路由器,一个是活跃路由器,一个是备份路由器。
GLBP协议是Cisco公司提出的一种冗余网关协议,与VRRP和HSRP类似,但是可以实现负载均衡。
GLBP实现负载均衡的方式是通过多个路由器使用一个虚拟的IP地址和多个虚拟的MAC地址来实现负载均衡,主机的默认网关配置相同的IP地址,在虚拟路由器组里所有的路由器参与数据转发。
(3) 以太网供电
以太网供电(Powder over Ethernet,POE)技术是通过以太网线路为IP电话、WLAN接入点、网络摄像头等小型网络设备直接提供电源的技术。
(4) 多业务模块
多业务模块功能,是指交换机生产厂商提供统一的业务模块接口,并提供特殊的业务功能开发包,由各业务功能设备提供商将产品封装成统一的交换机业务模块,是的业务服务器可以直接从交换机框架上获取供电、网络数据,经业务处理后再发送至交换机框架上。
5.4.7 服务器冗余和负载均衡
实现服务器的冗余和负载均衡有多种方式:使用负载服务器均衡器;使用网络地址转换;使用DNS服务器;高可用性技术(双机热备高可用(HA,High Availability)系统,又称为高可用性集群);
5.5 广域网技术选择与应用
5.5.1 城域网远程接入技术
(1)传统的PSTN接入技术
PSTN接入技术是较为经典的远程连接技术,通过在客户计算机和远程的拨号服务器之间分别安装调制解调器,实现数字信号在模拟语音信道上的调制,通过公用电话网(PSTN)完成数据传输。
常见的速率:33.6Kbps或者56Kbps;主要使用两种协议:分别为PPP和SLIP协议。设计PPP协议需要考虑口令认证机制,PPP协议支持两种类型的认证机制,分别为口令认证协议(PAP)和应答握手认证协议(CHAP)。
(2)综合业务数据网
综合业务数据网(ISDN)是由地区电话服务提供商提供的数字数据传输业务,支持在电话线上传输文本、图像、视频、音乐、语音和其他的媒体数据,ISDN上使用PPP协议,以实现数据封装、链路控制、口令认证、协议加载等功能。
ISDN提供B信道用于承载用户信息和D信道承载控制信息信道。同时ISDN提供两种用户接口,分别为基本速率接口和集群速率接口。
(3)电缆调制解调器远程接入
电缆调制解调器运行在有线电视(CATV)使用的铜轴电缆上,可以提供比传统电话线更高的传输速率。典型的电缆网络系统提供25-50Mbps的下行带宽和2-3Mbps的上行带宽,同时电缆调制解调器不需要拨号就能实现远程站点访问。
(4)数字用户线路远程接入
数字用户线路(Digital Subscriber Line,DSL)允许用户在传统的电话线上提供高速的数据传输,用户计算机借助于DSL调制解调器连接到电话线上,通过DSL连接访问互联网或者企业网。
DSL技术存在多种类型,以下是常见的技术类型:
ADSL:非对称DSL,用户的上下行流量不对称,一般具有三个信道,分别为1.544-9Mbps、16-640Kbps的双工信道、64Kbps的语音信道。
SDSL:对称DSL,用户的上下行流量对等,最高可达到1.544Mbps。
ISDN DSL:介于ISDL和DSL之间,可以提供最远距离4600-5500m的128Kbps双向对称传输。
HDSL:高比特率DSL,是在两个线上提供1.544Mbps或在三个线对上提供2.048Mbps对称通信的技术。
VDSL:甚高比特率DSL,一种快速非对称DSL业务,可以在一对电话线上提供数据和语音业务。
5.5.2 广域网互联技术
(1)数字数据网络
数字数据网络(Digital Data Network,DDN)是一种利用数字信道提供数据信号传输网,是一个半永久性连接电路的公共数字数据传输网络,为用户提供了一个高质量、高宽度的数字传输通道。
DDN采用同步时分复用,对各层协议透明,支持任何传输规程,不具备交换功能,以点对点方式实现半永久性的电路连接,传输时延小。采用数字信道传输数据信号,具有传输质量高、速度快、带宽利用率高等优点。
(2)SDH
SDH(Synchronous Digital Hierarchy,同步数字体系)是一种将复接、线路传输及交换功能融为一体,并由统一网管系统操作的综合信息传送网络。SDH可实现网络有效管理、实时业务监控、动态网络维护、不同厂商设备间的互通等多项功能,能大大提高网络资源利用率、降低管理及维护费用、实现灵活可靠和高效的网络运行与维护。
(3)MSTP
基于SDH的多业务传送平台(MSTP)是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。基于SDH的多业务传送节点除应具有标准SDH传送节点所具有的功能外,还具有以下主要功能特征:
具有TDM业务、ATM业务或以外网业务的接入功能;
具有TDM业务、ATM业务或以外网业务的传送功能包括点到点的透明传送功能。
具有ATM业务或以太网业务映射到SDH虚容器的指配功能。
(4)传统***技术
虚拟专用网(***)通过公共网络实现远程用户或远程局域网之间的互联,主要采用隧道技术,让报文通过如Internet或其他商用网络等公共网络进行传输。
传统的***技术主要基于实现数据安全传输的协议来完成,只要包括两个层次的数据安全传输协议,分别为二层协议和三层协议。
(5)MPLS ***技术
MPLS是多协议标签交换的简称,它用短而定长的标签来封装分组。MPLS 从各种链路层(如PPP、ATM、帧中继、以太网)得到链路层服务,又为网络层提供面向连接的服务。
MPLS技术主要是为了提高路由器转发速度而提出的,其核心思想是利用标签交换取代复杂的路由运算和路由交换。
5.5.3 广域网性能优化
广域网连接的可靠性和可伸缩性将决定企业内部网络是否有效地满足用户的需求,通过广域网络优化,可以分析企业通信网络的所有组成部分,并确定如何进行优化,已提高总体性能并降低综合费用。
对于广域网性能的优化,可以从以下方面进行考虑:广域网网络瓶颈;利用路由器实现广域网预留带宽;拨号线路的应用;压缩;链路聚合;数据优先排序;协议带宽预留;对话公平;
5.6 地址设计和命名模型
5.6.1 分配网络层地址的原则
分配规划、管理和记录网络层地址是网络管理工作的重点内容。好的网络层地址分配规划,不仅可以让管理员对地址实施便捷的管理,也为路由协议的收敛等提供好的基础。
(1) 使用结构化网络层编址模型;(2)通过中心授权机构管理地址,(在设计阶段,必须明确如下内容:是否需要公有地址和私有地址;只需要访问专用网络的主机分布;需要访问公网的主机分布;私有地址和公有地址如何翻译;私有地址和公有地址的边界);(3)编制的分布授权;(4)为终端系统使用动态编制;(5)私有地址(私有地址可以用于企业内部的地址,这些地址互相之间可以访问。私有地址预留地址段:10.0.0.1-10.255.255.255、172.16.0.0-172.31.255.255、192.168.0.0-192.168.255.255);
5.6.2 使用层次化模型分配地址
层次化编址是一种对地址进行结构化设计的模型,使得地址的左半部分的号码可以体现大块的网络或节点群,而右半部分可以体现半个网络或节点。层次化编址的主要优点在于可以实现层次化的路由选择,有利于网络互连设备之间分发网络拓扑结构。
(1) 层次化编制的优势:易于排查故障;易于管理和性能优化;加快路由选择协议收敛;需要更少的网络资源;可扩展和稳定性强;层次化编制允许对网络号进行汇总,这使得路由器在通告路由表时对路由规则条目相应进行汇总;另外该编址方式易于实现可变长度子网掩码(VLSM),为子网的划分添加了灵活度,优化可用地址空间。
(2) 层次化路由的含义是指对网络拓扑结构和配置的了解是局部的,一台路由器不需要知道所有的路由信息,只需要了解其管辖的路由信息。
(3) 无类路由器选择协议: 无类路由选择协议支持任意的前缀长度。设计人员在进行选择时,应尽量采用无类路由选择协议,包括RIP V2、OSPF、GBP、IS-IS等。
(4) 路由汇聚:无类路由选择协议可以将多个子网或网络汇聚成一条路由,从而减少路由选择协议的开销。设计路由汇聚的IP规则:可以汇聚的多个网络IP地址的最左边的二进制必须相同;路由器必须依据32位的IP地址和最长可达32位长的前缀长度确定路由选择。;路由协议必须承载32位地址的前缀长度。
(5) 可变长度子网掩码:使用无类路由选择协议,意味着在单一网络中可以有大小不同的子网,子网大小的变化就是通常所说的可变长度子网掩码(VLSM)。VLSM依据显示提供的前缀长度信息使用地址,不同的地方可以具有不同的前缀长度提供了实用IP地址空间的效率和灵活性。
5.6.3 域名解析
DNS用于完成难于记忆的IP地址与域名之间的转换。主要有两项功能:正向解析(forward domain)与逆向解析(reverse domain)。正向解析是将域名转换成IP地址,逆向解析是将IP地址转换成域名。
DNS的域名服务器进程按功能可以分四类,分别为主服务器(Primary/Master DNS Server)、次服务器(Second/Slave DNS Server)、缓存服务器(Cache)和解析服务器(Resolver)。主服务器负责维护某个域的域名解析数据库,并向其他主机提供域名查询;次服务器利用区域传送,从主服务器复制网络区域内的域名解析数据,当主服务器不能正常工作时,次服务器就可以向外界提供查询;缓存服务器的功能是缓存域名解析的结果,减轻域名服务器的负荷;解析服务器是一个客户端软件,执行本机的域名查询。每台DNS服务器主机上都由两种或三种服务器进程共同提供DNS服务。
5.7 路由选择协议
路由选择协议使路由器能够自动学习如何达到网络,并与其它路由器交换路由信息,达到全网路由选择的目的。
5.7.1 路由协议选择原则
(1)路由协议类型选择
路由选择协议分为两大类:距离向量协议和链路状态协议,
当满足下列条件是,可以选择使用距离向量路由选择协议:
网络使用一种简单的、扁平的结构,不需要层次化设计;
网络使用的是简单的中心辐射状结构;
管理人员缺乏对路由协议的了解。路由操作能力差;
收敛时间对网络的影响较小;
当满足下列条件时,可以选择使用链路状态路由选择协议:
网络采用层次化设计,尤其是大型网络;
管理员对链路状态路由协议理解较深;
快速收敛对网络的影响较大。
(2)路由选择协议度量
当网络中存在多条路径时,路由协议适用度量值来决定使用那条路径。不同的路由选择协议的度量值不同的,传统的协议以路由器的跳数作为度量值,第一代的协议还将参考延迟、带宽、可靠性及其他因素。
(3)路由选择协议顺序
路由器上可能会存在不同的路由协议,针对一个网络目标,这些路由协议都会选举出具有最小度量值的路径,一旦多个路由协议都选举了最优路径,则具有最小权值的路由协议的路径生效。
(4)层次化与非层次化路由选择协议
路由协议从层次化角度可以分为支持和不支持两种;在非层次化协议中,所有路由器角色都是一样的;层次化协议中,不同路由器的角色不同,需要处理的路由信息量也不同。
(5)内部与外部路由选择协议
路由协议根据自治区域的划分以及作用,可分为内部网关协议和外部网关协议,对于内部网关协议,为常见的是RIP、OSPF、IGRP,对于外部网关协议,多选择BGP协议。
(6)分类与无类路由选择协议
前文已涉及
(7)静态路由选择协议
静态路由指手工配置并且不依赖于路由选择协议进行更新的路由,静态路由经常用于连接一个末梢网络,也就是只能通过一条路径到达的网络部分,静态路由的常见使用方法就是默认路由。
静态路由一般情况下要比其他动态路由协议级别高,静态路由信息是可以导入到动态路由选择协议形成的路由表项中,形成路由信息的互补关系。
5.7.2 内部网关协议—OSPF
OSPF协议使典型的、应用最广的内部网关协议,该协议为层次化、无类路由选择协议。
(1) OSPF RouterID
原则上采用网络设备的loopback0或loopback1的接口地址作为设备的Router ID。Router ID应统一规划,作为路由域内的该设备的唯一地址标识以及管理地址。
(2) OSPF时间参数
Hello包间隔时间为1秒
相邻路由器间失效时间为3秒
LSA更新报文时间为1秒
临接路由器重传LSA的间隔为5秒
OSPF的SPF计算间隔为5秒
采用MD5对报文(接口、区域)验证
(3) OSPF COST
COST为OSPF协议的度量值,可以根据链接的带宽设定不同链路的COST值。
(4) OSPF DR与BDR
OSPF DR与BDR选择应遵循:
OSPF接口上所有网络类型均配置为广播;
OSPF区域支持报文验证;
ABR与ASBR应至顶向下通过第5类LSA发布缺省路由:
在核心路由器上建议配置OSPF路由过滤,包含对引入和发布的路由都需要过滤;
禁止loopback接口发送OSPF报文;
禁止采用OSPF虚连接的方式连接区域;
5.7.3 外部网关协议—BGP
BGP是典型的外部网关协议,也是应用最广的外部网关协议。
(1) BGP对等体
对不同对等体组应定义易于记忆、无歧义的组名;
建议不要将BGP对等体和EBGP对等体加入同一个组中;
不允许同不直接相连网络上的EBGP对等体(组)建立连接;
(2) BGP时间参数
BGP Keepalive 报文的发送时间间隔为5秒;
保持定时器为15秒;
IBGP对等体(组)发送路由更新报文的时间间隔为1秒;
EBGP对等体(组)发送路由更新报文的时间间隔为企业网内部为5秒,企业外部为30秒。
(3) BGP本地优先级
BGP要求配置本地优先级属性,本地优先级的值为100
(4) BGP MED
由多个AS构成的层次模型中,下级AS上级互连MED值为1,同级间AS互连MED值为0(MED值小的优先级高)
(5) BGP联盟
一个IBGP域内只能存在一个联盟并且联盟ID号与AS号保持一致;
(6) BGP同步
建议关闭BGP与IGP的同步
(7) BGP路由过滤
只在做MPLS-***时候BGP与IGP进行交互,原则上只允许在PE设备上交互。
(8) BGP路由过滤
在BGP接受路由信息时需要做基于IP前缀的路由过滤。
(9) 静态路由
为避免路由环路的生成,对已部署动态路由的连接关系,不允许在动态路由部署的连接关系上重复部署静态路由。
5.8 网络管理
网络管理并不是单存的技术工作,而是行政管理工作与技术管理共同组成的复杂体。在进行网络设计时,为加强网络管理工作的有效性,应将网络的管理手段分为两大类,分别为行政管理和技术管理。技术管理又依据管理技术的层次性划分为TMS(传输管理系统)、NMS(网络管理系统)、RMS(资源管理系统)和AMS(应用管理系统)。
5.8.1 行政管理手段
通常情况下网络管理中心是企业网络管理、维护的核心部门,在网络管理中心和建立完善的行政管理制度是保证网络平台稳定运行的关键。
(1) 机构设置
典型的网络管理中心由办公室、网络运行室、网络信息室三个机构构成。
(2) 岗位职责
1、 主任职责:负责处理信息网络中心重大事项
2、 副主任职责:主持网管中心的日常工作,协助主任处理信息网络中心的重大事项
3、 网络管理员职责:负责网络平台的系统管理与维护,确保网络安全、高效、稳定地运行
4、 网络信息员职责:负责企业内外门户的建设与维护,面向各类用户提供信息服务、信息处理与统计等。
(3) 管理制度
为配合网管中心工作人员实施网络管理,同时通过制度化保证管理的力度与效果,网管中心还必须制定各项管理制度,其中主要内容包括:
5.8.2 传输管理系统(TMS)
传输管理系统(TMS)是网络平台传输线路管理的主要管理工具。在一个大型网络中,大量的传输线路构成了网络的基础,而TMS就是对这些传输线路进行管理的系统,这些系统含有对光纤资源、SDH电路等物理或逻辑线路状态、参数等的实时管理与监控。
5.8.3 网络管理系统(NMS)
NMS是较为经典的网络管理方式,网络管理功能被划分为配置管理、安全管理、故障管理、费用管理和性能管理五大部分。目前基于网管协议SNMP-|、SNMP-||和SNMP-|||的网络管理产品主要有HP的OpenView 、Sun的SNM、IBM的NetView、Cisco的CiscoWorks等
大多数网络平台对网络管理系统产品都有如下功能:
5.8.4 资源管理系统(RMS)
资源管理系统是建立一个完整的网络视图,包括传输网络、信令网络、数据网络,同时能体现各个网络之间的关联关系。其主要功能包括:网络规划、网络设计、网络资源管理、网络资源调度、工程施工、网络维护、网络质量管理。
5.8.5 应用管理系统(AMS)
AMS目前的概念较为模糊,与资源管理系统有一定的重合,AMS更加注重对用户服务的管理,通过对运行与服务器上的用户服务进程实施监控,来实现应用资源的管理。
应用管理系统的主要监控对象的两部分内容:一部分是向网络用户提供各种Internet、Intranet上的服务,例如WWW、FTP、Telnet、SMTP等;一部分是网络平台上运行的各类专业应用系统,例如财务系统、OA系统、生产系统、销售系统等。
5.8.6 网络安全
网络安全体系设计是逻辑设计工作的重要内容之一,安全架构模型如下进行网络安全体系设计介绍:
5.9.1 机房及物理线路安全
1、机房安全
机房、UPS电源、监控等场地设施和周围环境及消防安全,应符合国家相关标准,并满足网络平台的运行要求。
机房的安全措施应符合GB/T 9361-1988、GB/T 2887-1989的要求。
2、物理线路安全
计算机通信线路安全、骨干线路冗余防护、骨干线路和主要设备的防雷击措施
5.9.2 网络安全
1、安全域划分
网络平台安全域通常可以划分为:核心局域网安全域、部门网络安全域、分支机构网络安全域、异地灾备中心安全域、通信线路运营商广域网全域等,另外,核心局域网安全域又可以划分为中心服务器子区、数据存储子区、托服务器子区、核心网络设备子区、线路设备子区等多个子区域;
2、边界安全策略
网络的边界安全访问总体策略为:允许高安全级别的安全域访问低安全级别的安全域,限制低安全级别的安全域访问高安全级别的安全域,不同安全域内部分区进行安全防护,到安全可控。
核心网络与互联网的边界的安全措施设计应符合以下要求:
1) 应部署逻辑隔离措施,主要是防火墙隔离;
2) 允许互联网用户访问网络DMZ区域的互联网门户网站等相关服务器的对外开放服务器;
3) 对于特殊的应用,允许互联网移动办公公务员通过安全认证网关访问位于DMZ的业务应用;
4) 禁止互联网用户访问内部网络应用系统;
5) 关闭网络病毒相关端口,无特殊需求,禁止开放;
6) 应对进出网络的数据流进行监控、分析和审计
7) 应阻止来自互联网的各种***
核心网络与部门、分支结构网络的边界
核心网络与部门、分支机构网络的边界安全措施设计应符合以下要求:
1) 中小型网络,不需要再该边界添加任何隔离设备;
2) 大型网络,可根据需要添加逻辑隔离设备(如防火墙或启用了过滤规则的路由器等)。
3) 应对进出核心局域网的数据流进行监控
4) 关闭网络病毒相关端口,无特殊需求,禁止开放;
5) 允许核心网络访问部门或分支网络系统;
6) 禁止核心网络的普通用户直接访问基础数据库服务子区域;
7) 允许部门和分支网络用户在受控前提下,访问核心网络中的服务器资源。
核心网络与异地容灾中心的边界应符合以下要求:
1) 如果采用数据级容灾,则不需要进行逻辑隔离,但是必须保护线路的物理安全;
2) 如果采用应用级容灾,则可以添加逻辑隔离设备,只允许开放远程数据存储和备份需要的相关服务。
3、防火墙安全配置
在不同的安全域之间或安全域内部不同安全级别的子区域之间可根据需求部署防火墙,防火墙的安全配置与路由交换设备基本相同,但是需要添加一项内容——防火墙产品应有国家相关安全部门的证书。
4、网闸安全配置
网络中如存在安全级别较高的区域,则可以通过网闸设备进行隔离,网闸隔离尤其适用于工作性质较为特殊的单位,内部网络中含有一定的敏感信息,以通过网闸在受控的情况下与外部进行连接。
5、 ***检测安全配置
***检测应符合以下要求:
中大型网络平台应部署基于网络的***检测系统(NIDS);
网络***检测系统应对核心局域网、DMZ区域进行检测;
如需要对大型网络的部门、分支机构网络进行***检测,应采用分布式方式部署***检测系统;
***检测产品应有国家相关安全部门的证书;
监控配置更改,改动***检测系统配置时,进行监控;
定期备份配置和日志;
***检测系统配置加长口令;
如采用分布式部署方式,各级***检测系统宜采用分级管理方式进行管理。
6、 抗DDoS***安全配置
抗DDoS***应符合以下要求:
网络平台应针对其对外提供服务的区域,例如DMZ区域部署抗DDoS设备;
抗DDoS***一般不部署核心网络,而是 部署于网络边界;
对于大型网络,可以采用独立的抗DDoS***设备,中小型网络可以采用带有抗DDoS***模块的防火墙或路由器产品。
7、 虚拟专网(***)
***组网方式:支持IPSec ***和SSL ***;
支持多种认证方式:用户+口令、证书、USB+证书+口令
5.9.2 系统安全
1、身份认证
登录系统需要身份认证;
定义认证尝试允许次数;
身份认证的用户名和口令应加密传输;
对登录用户的来源进行控制和监控;
定期审计身份认证日志;
2、账户管理
建立账户管理制度,负责系统帐户的登记、分配、权限管理、注销等,定期检查系统账户分配情况及正确性;
为不同用户分配不同的用户名或用户标识符,确保唯一性;
用户名或用户标识符在系统内部全局唯一,在用户名或用户标识符被删除后,用户名或用户标识符不可再被创建;
记录用户的系统登录情况,定期审计和分析用户账户使用情况。
3、主机系统配置管理
使用正版的操作系统软件;
不同用户配备不同的使用权限;
系统的目录与文件 不能被远程用户“写/执行”共享;
限制服务器对外提供服务资源;
运行时必须开启系统日志与审计功能;
不同用户使用空间专用,且有磁盘空间限制。
4、漏洞与补丁发现系统
定期采用专业化的工具进行系统漏洞扫描;
部署补丁管理软件对系统漏洞进行集中管理和控制,自动更新补丁程序;
5、内核加固
用户身份认知,实现系统管理员、安全管理员与审计管理员的三权分立;
区分用户的文件强制访问权限控制;
区分进程的文件强制访问权限控制;
文件强制访问权限控制;
区分进程的进程强制访问权限控制;
文件完整性保护;
服务完整性保护;
服务强制访问控制;
系统日志的安全保护。
6、病毒防护
防病毒软件的部署由点及面;
在中小型网络平台中,采用扁平化方式部署;
大型网络平台中,应部署两级防病毒管理中心,采用三级体系架构方式;
两级防病毒管理中心指在网络中心建立一级系统中心,在分支机构网络中建立二级系统中心;
三级系统架构指防病毒系统整体架构应具有管理控制中心、管理控制台、杀病毒客户端的三层结构。
7、桌面安全管理
桌面系统资源管理;
终端拓扑管理;
终端设备安全策略与接入管理;
设备行为与策略监控;
非法外联监控
8、 系统备份与恢复
重要的系统必须实现确定的恢复功能;
定期对全系统的完整运行现场进行备份;
9、 系统监控与审计
对审计数据进行分析,包括分类、排序和趋势分析等;
对特定异常事件进行审计分析,提高实时报警功能;
支持集中审计和事件关联分析;
提供自动响应机制。
10、 访问控制
启用访问控制功能;
根据管理用户的角色分配权限,仅授予管理用户所需的最小权限
操作系统和数据特权用户权限分离
限制默认账户的访问权限;
删除多余的、过期账户;
根据安全策略控制用户对有敏感标记重要信息资源的操作。
5.9.3 应用安全
1、数据库安全
(1)数据库访问控制
用数据库目录表、存取控制表、能力表等确定主体对客体的访问权限。
允许用户或用户组的身份规定并控制对客体的共享,阻止非授权用户读取信息。
访问控制应与身份认证和审计结合,通过确认用户身份的真实性和记录用户的各种成功或不成功的访问,使用户对自己的行为承担明确的责任。
应限制授权传播,要求对不可传播的授权进行明确定义提供支持。系统自动检查并限制授权的传播;
将系统的常规管理、安全管理、审计管理分别由系统管理员、安全管理员、审计管理员分别管理,三者之间形成互相制约的关系。
数据库安全级别必须高于C2安全级别;
必须对数据库进行备份。
(2) 数据库中的身份认证:
用户进入数据库系统首先要进行操作系统身份认证;
用户远程直接登录数据库管理系统或服务器时应进行认证;
本地登录用户,可使用用户在操作系统中的标识信息或重新进行用户标识;
数据库管理系统用户标识使用用户名和用户标识(UID),且具有唯一性;
分布式数据库系统中,全局应用的用户标识信息和认证信息应放在全局数据字典中;
数据库用户的标识和认证信息受操作系统和数据库系统双重保护;
(3) 数据库的安全审计
(4) 数据库的容灾
2、邮件服务安全
3、Web服务安全
(1)网页防篡改(防止非授权人员随意篡改web页面,对网页进行实时监控、保护。)
(2)Web日志审计(记录和收集用户登录、浏览页面及其他相关操作的过程。)
(3)Web业务隔离(提供面向对外部和面向内部的服务业务的独立性,防止出现问题时造成整体服务中断。)
4、应用系统的安全要求
(1)应用软件的基本要求(必须是正版软件;未经认证的环境、工具需提交源代码;需现场编译后方可使用;对于新开发的软件,需保留人工工作半年;提供数据有效性检验功能;提供自动保护功能;)
(2)身份识别与认证(采用数字证书的用户身份认证;应用系统登录采用用户身份、口令验证、加入验证码;具有登录失败处理功能;具有超时处理功能;采用一次性口令密码;不允许超级用户的方式连接数据库、中间件服务器等)。
(3)数据库的机密性和完整性保护(基于数字证书的安全认证平台;通信过程中,对于敏感信息如账号、密码、证件号等字段进行加密;)
(4)应用安全审计(身份认证审核;数据、文件的删除和修改等行为监控;对用户实施操作监控;对审计数据进行报表进行分析功能;可基于特定异常事件进行审计分析;支持将日志时间以某种通用格式输出,作为集中审计的输入。)
(5)访问控制(提供访问控制功能;访问控制覆盖的范围包括与资源访问相关的主体、客体;授权主体配置访问控制策略,严格限制默认账户的访问权限;授予不同账户各自承担任务所需的最小权限;对重要信息资源设置敏感标记功能;控制用户对敏感信息资源的操作)
5.9.4 数据容灾与恢复
1、总体要求
数据容灾机制保证企业网络核心业务数据在灾难发生后的及时恢复,数据容灾机制符合以下总体要求:
有运行维护人员执行定期的数据备份任务;
有专门的运维人员定期检查数据备份情况;
应制定数据恢复预案,并由相关部门备案;
备份的数据必须有效且能进行恢复;
2、容灾系统建设
(1)建设地址的选择(与核心网络中心距离大于十公里以上;网络基础设施较完善,能够提供足够带宽;能够提供双回路电力保障;不能在地质灾害和天气灾害多发地区;不能在重要设施密集地区;不能在交通要道附近;远离标志性建筑)
(2)基础建设的要求(备用基础设施包括支持灾难备份系统的机房、数据备份中心的存储设施和备份运行系统的服务器等)
(3)网络线路的备份(备用网络系统包括备用网络通信设备和备用数据通信线路)
(4)建设方式(可采用单位自建、多方共建、通过互惠协议获取、租用其他机构的系统等)
3、数据备份与恢复
提供本地数据备份与恢复功能,完全数据备份应每天一次;
重要数据定期从运行的系统中备份到本地的存储介质中;
应制定合理的备份策略;
对数据备份策略的实施情况进行定期检查;
采用异地备份方式;
数据恢复时,应填写数据恢复申请表,制定数据恢复计划报领导审批,然后进行数据恢复操作;
业务数据恢复前进行检查,确定数据恢复范围,检查恢复数据的有效性;
对数据恢复工具进行严格控制,尽可能的防止误操作;
5.9.5 安全运维服务体系
1 信息安全风险评估工作
(1) 风险评估的对象(网络结构;网络系统及设备;应用系统;管理制度;人员意识与技能;安全产品和技术应用状况;安全事件处理能力);
(2) 评估方法(安全管理审计;工具扫描;网络架构评估;应用系统评估;主机设备和平台安全配置检查;***测试和分析)
(3) 评估要求(安全风险评估师网络安全服务的重要环节,每年应进行一次信息安全风险评估。)
2 应急服务
(1) 应急响应(设计应急响应中心;制定合理的应急响应预案;制定详细合理的应急响应计划;)
(2) 应急预案的制定(建立应急处理工作小组,负责预案的落实和实施;应急预案要在相关部门或上级部门进行备案;应急预案必须切实有效,可操作性强;在制定和实施中明确各个部门的职责,确定应急事件的风险优先次序;全面分析系统运行、信息内容和网络的管理与控制等方面的安全威胁;完善应急预案所需的备用资源;建立应急预案流程;重大事件要上报有关部门;应急预案应经常进行培训和演练)
(3) 应急预案的内容(标题;事件描述;涉及范围;处理概述;处理流程;流程说明;演练计划;参与人员)
(4) 应急预案的流程
(5) 应急响应步骤(保护或恢复计算机、网络服务的正常工作,进行应急准备;追查***者,识别事件;抑制缩小事件的影响范围;解决、恢复以及跟踪问题;检查所有服务是否全部恢复;漏洞是否全部解决;故障原因是否处理;生成紧急响应报告;录入专家信息知识库;)
3 安全监控与管理服务
(1) 部署要求(是通过统一集中的安全管理机制来总体配置,调控整个网络多层面、分布式的安全系统,提高安全预警能力,加强安全应急事件的处理能力;以分布式的体系架构来实现监测和管理功能;每一级设置独立的数据库;上级管理节点能对下级管理节点进行配置和监测数据同步;管理功能集成于一个管理平台;可监测和管理网络、应用系统和运行环境。)
(2) 监控功能要求(能够采集网络设备、安全设备、服务器和应用系统等的运行状态、性能、故障和事件信息;应能对安全事件进行过滤、关联分析和告警;应能对网络、主机、数据库、中间件、安全设备、应用系统等IT资产进行集中统一管理;安全事件处理和风险分析功能;可以统计分析所有事件、风险、通知、资产和其他资源,能够创建报表。)
(3) 管理功能要求(运行值班管理;事件告警管理;运行维护管理;设备辅助信息管理;事件统计与运行考核管理;告警事件处理知识管理)
4 其他安全服务
(1)定期安全巡检;(2)安全加固服务;(3)安全信息通告服务;(4)安全培训;
5.9.6 安全管理体系
1、安全管理框架
2、建立安全组织机构
信息安全领导小组应明确指定专人负责信息安全工作。信息安全管理机构是负责信息安全的职能部门。
3、人员安全管理
应该政治过硬,业务素质高,遵纪守法,格尽职守;
应具有相关专业技术背景、工作经历和一定的信息安全资质;
违反国家法规的人不得从事信息安全管理工作;
第三方人员管理:
第三方人员包括:软件开发商、硬件提供商、系统集成商、设备维护商、服务提供商和临时工。
对第三方人员的访问应进行监控和审计;给第三方人员的权限应该严格控制和检查,对第三方人员的依赖程度应该能够控制并有补救措施。
4、外部技术支持
外部技术支持包括聘请外部信息安全顾问,委托具有资质的单位负责安全管理等。
5、安全管理规章制度
资产安全管理;运行维护管理;
6、变更管理和控制
确保变更实施过程受到控制;变更内容审核和审批;建立变更过程日志;形成变更结果报告。
7、安全系统建设管理
安全方案设计
安全产品采购和使用:
确保安全产品采购和使用符合国家相关规定;确保密码产品采购和使用符合国家密码主管部门的要求;每一个网络平台,其同一类别的安全产品原则上应采用同一品牌的产品。
安全服务商选择:
确保安全服务商的选择符合国家的有关规定;安全服务商应具备国家相关部门颁发的安全服务资质证书;签订与安全相关的协议,明确约定相关责任;与选定的安全服务商签订与安全相关的保密协议,明确保密义务。
5.10 编写逻辑设计文档
逻辑设计文档是所有网络设计文档中技术要求最详细的文档之一,该文档是需求、通信分析到实际的物理网络建设方案的一个过渡阶段文档,也是指导实际网络建设的一个关键性文档。
逻辑设计文档对网络设计的特点及配置情况进行了描述,它由下列主要元素组成:主管人员评价;逻辑网络设计讨论;新的逻辑设计图表;总成本估测;审批部分;修改逻辑网络设计方案。
六、物理网络设计
物理网络设计的输入是需求说明说、通信规范说明说和物理网络设计说明书。物流网络设计的任务是为所设计的物理网络设计特定的物理环境平台,主要包括结构化布线系统设计、机房环境设计、设备选型、网络实施,这些内容要有相应的物理设计文档。
6.1 结构化布线设计
6.1.1基本概念
结构化布线系统是一个能够支持任何用户选择的语音、数据、图形图像应用的电信布线系统。
结构化布线系统具有以下特点:实用性、灵活性、开放性、模块化、扩展性、经济性。
6.1.2系统构成
结构化布线系统分为六个子系统:工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统。
(1)工作区子系统(由终端设备连接到信息插座的连线组成);
(2)水平布线子系统(作用是将干线子系统线路延伸到用户工作区,水平布线系统处于同一楼层,并端接在信息插座或区域布线的中转点上,水平布线系统一端接于信息插座上,另一端接在干线接线间或设备机房的管理配线架上。)
(3)管理子系统(由交连、互联和配线架和信息插座式配线架以及相关跳线组成。)
(4)干线子系统(是建筑内网络系统的中枢,实现各楼层的水平子系统之间的互联;提供建筑物的干线电缆的路由;通常由垂直大多数铜缆或光纤组成。)
(5)设备间子系统(由设备间中的跳线电缆、适配器组成,实现*主配线架与各种不同设备的互联。)
(6)建筑群子系统(将一个建筑物中的电缆延伸到另外一些建筑物中的通信设备和装置。支持提供楼群之间通信设施所需的硬件。)
6.1.3设计要点
(1)工作区子系统设计要点(布线通常不是永久性的;信息插座类型选择应根据网络系统的规模和终端设备的种类、数量而定;以方便、安全、不易损坏为目标;)
(2)水平布线设计要点(传输媒体中间不宜有转折点,两端应直接从配线架连接到工作区插座。)
(3)管理子系统设计要点(对于楼层较少的建筑,可以此案用悬挂式配线柜;对于大多数建筑,每一层配备一个配线间;主干子系统将根据其分布式结构独立地连接到每一个配线间;)
(4)主干子系统设计要点(对于旧建筑,主要采用楼层牵引管的方式铺设;对于新式建筑,利用建筑物的线井进行铺设。)
(5)设备间子系统设计要点(设备间子系统是一幢建筑物中集中存放的各种设备;设备间的选址要考虑到连接方便的要求;兼顾对电磁干扰的要求;要配备不间断电源;)
(6)建筑群子系统设计要点(建筑群子系统只要由连接楼栋的线缆构成,尽量使用地下管道铺设方式;安装时至少预留1-2个备用管孔;同一管道内铺设其他电缆,应设立明显的共用标志。)
6.1.4 布线距离
在进行结构化布线系统设计时,需要注意线缆长度对布线设计的影响。EIA/TLA-568标准提出的常用的布线距离的最大值。
注:高速以太网对双绞线的距离限制,建筑群、干线子系统的双绞线主要用于电话、报警信号等。网络信号基本使用光纤。
6.1.5 线缆铺设准则
铺设线缆要注意以下方面:考虑线缆的冗余;遵循国家和*在建筑方面的政策方针;聘请经验丰富的布线铺设承包商来完成铺设工作;让数据线垂直通过电力线;避免近距离铺设铜质电缆和电力线;
机房设计规范:
机房设计参照GB 50174-1993《电子计算机机房设计规范》
1 中心机房位置选择:
(1)中心机房的物理位置宜设于第1-8层;(2)水源充足、电力稳定、交通通讯方便、自然环境清洁、远离危险源、远离强振源和强噪声源;(3)无法避强电磁场时,可采取有效的电磁屏蔽措施
6.2 中心机房组成
6.2.1机房组成
(1) 中心机房组成:主机房、基本工作间、第一类辅助房间、第二类辅助房间等组成。
(2) 中心机房的使用面积应根据网络与计算机设备的外形尺寸布置确定。
主机房面积可按下列方法确定:
(1) 当系统设备已选型时,可按下式计算:
(2) 当系统设备尚未选型时,可按下式计算:
6.2.2设备布置
(1) 网络与计算机设备分区布置,一般分为服务器区、存储器区、网络设备区、安全设备区、通信区、监控区等。
(2) 需要经常操作的设备,放于便于操作的位置;
(3) 产生尘埃的设备远离敏感设备;
(4) 两相对机柜正面距离不小于1.5米,侧面距离离墙不小于0.5米,走道不小于1.2米;
6.2.3环境条件
(1) 机房温度:18℃—22℃,湿度45%—65%;
(2) 噪声小于68dB,电磁频率为0.15-1000MHZ时,不应大于126dB,磁场干扰环境场强不应大于800A/m,机房地板表面垂直及水平向的振动加速度值不应大于500mm/s2。
(3) 机房装饰不起尘、易清洁、铺设活动地板。
(4) 主机房远离噪声源,或有效的控制噪声干扰。
(5) 空调系统的气流组织,根据设备对空调的要求、冷却方式、设备布置密度、设备发热量等来多方面综合考虑。
(6) 空调设备选择应符合运行可靠、经济和节能的原则。
6.2.4 电气技术
1、供配电:按照国家标准《供配电系统设计规范》,供配电系统应考虑计算机系统有扩散、升级等可能性,预留备用容量。配有专用电力变压器供电,能够实现不间断供电系统,计算机电源设备应靠近主机房设备,远离机房的信号线。
2、照明:主机房的平均照明度200、300、500lx取值;机房照度标准取值应符合:间歇运行的机房取低值、持续运行的机房取中值、连续运行得机房取高值。
3、静电防护:地址铺设导静电地板。
4、接地:接电装置的设置应满足人身的安全及电子计算机正常运行和系统设备的安全要求。
6.2.5 给水排水:与机房无关的给排水管道不得穿过机房;给排水管道管道采用难燃烧材料保温。
6.2.6 消防与安全:主机房、基本工作间应设洁净气体灭火系统;机房应设火灾自动报警系统;报警系统和自动灭火系统与空调、通风系统联锁;
6.2.7 机房区域划分
机房应根据功能和设备类别实现区域划分,实现模块化一体管理。
1、 机房服务功能划分:中心服务器区、数据存储区、托管服务器区、托管服务器区、核心网络区、线路设备区、安全系统去以及设备配线区。
2、 机房配套设施划分:强电配电区、不间断电源保障区(UPS)、其他区域包括新风空调区、消防设施区域。
6.2.8 机柜使用规范
(1)服务器设备部署:每个服务器机柜安装服务器数目以4-5台,配线架间隔2U,托盘间隔6U;
(2)网络机柜设备部署:若设备大小为6-10U,则不宜超过2台;若大小为4U,不宜超过4台;若大小为1U,不宜超过8台;
(3)电口配线柜设备部署:电口配线柜应独立设置;
6.2.9 标签牌使用规范
(1)机柜标签:用于标识机柜功能区域和机柜编号。
(2)设备标签:用于标识机柜内设备,如型号、名称、管理地址等;
(3)线缆标签:用于标识机房内线路,如:线路类别、机柜号、设备号、端口号等。
6.2.10 设计图纸:需要独立成图的内容如下:(1)室内装饰效果图;(2)区域划分及隔断设计图;(3)空调设计图;(4)机房新风设计图;(5)机房强电系统设计图;(6)机房弱电系统设计图;(7)机房照明系统设计图;(8)机房静电及防雷设计图;(9)机房给排水设计图;(10)机房防水设计图;(11)机房消防设计图;(12)机房防雷设计图;(13)机房安防设计图;(14)机房监控设计图。
6.3 设备选型
根据通信规范说明书和物理网络说明书选择设备的品牌和型号的工作。在进行设备选型时应该考虑:
(1) 产品技术指标:是决定设备选型的关键,必须满足通信规范分析中产生的技术指标,必须满足物理网络设计中形成的逻辑功能。
(2) 成本因素:成本因素包括:购置成本、安装成本、使用成本
(3) 原有设备的兼容性:在产品选型过程中,与原有设备的兼容性是设计人员必须要考虑的内容。
(4) 产品的延续性:主要体现在厂商对某种型号的产品是否继续研发、继续生产、继续保证备品配件供应、继续提供技术服务。
(5) 设备可管理性:是一个非关键因素,但也是必须考虑的内容。
(6) 厂商的技术支持:对于部分网络集成商,不能提供有效合理的技术支持,就必须考虑厂商的技术支持。
(7) 产品的备品备件库:形成常备空闲的设备及其配件,能够在故障时及时更换设备及其配件。
(8) 综合满意度分析:针对不同的角度制定特定的满意度评估标准。
6.4 物理网络设计文档
物理网络设计文档的作用是说明在什么样的特定物理位置实现物理网络设计方案中的相应内容,及怎样有逻辑、有步骤地实现每一步的设计。
物理网络设计文档的要求:主管人员评价;物理网络设计图表;注释和说明;软硬件清单;最终费用估计;审批部分。
七、网络测试运行和维护
7.1 网络测试概述
7.1.1、网络测试现状
网络运行质量好坏直接关系到网络运行及用户体验,在网络建设之初及网络运行过程中有必要进行网络测试。网络测试能获得第一手网络运行数据,为合理规划、建设网络、有效管理、维护网络奠定基础。
7.1.2、网络测试方法
(1)主动测试:利用测试工具有目的地往网络内注入测试流量,根据流量的传送情况来分析网络技术参数;缺点是:存在安全隐患
(2)被动测试:利用特定工具收集网络中活动的元素(包括路由器、交换机、服务器等设备)的特定信息,以这些信息作为参考,通过量化分析,对网络性能、功能进行测量的方法。优点:不存在安全隐患。缺点是不够灵活,局限性大。
(3)网络测试工具:主要有线缆测试(检测线缆质量,判断线缆通断情况)、网络协议分析仪(多用于网络的被动测试,分析捕获网络上的数据报和数据帧)、网络测试仪(是专用的软硬件结合的测试,具有特殊的测试板卡和测试软件,多用于主动测试,对网络设备、网络系统及网络应用进行综合测试,多用于大型网络的测试)。
7.2 线路与设备测试
7.2.1 线路测试
网络线路测试是基础测试,跳线、插座、模块等网络部件被测试。
7.2.2 网络设备测试
对网络设备如交换机、路由器、防火墙等进行性能测试,目的是了解设备完成各项功能时的性能情况。性能测试参数包括吞吐量、时延、帧丢失率、背靠背数据帧处理能力、地址缓冲容量、地址学习速率、协议的一致性等。
7.3 网络系统测试
网络系统测试主要是网络是否为应用系统提供了稳定、高效的网络平台。对于常规的以太网进行系统测试,主要包括系统连通性、链路传输速率、吞吐率、传输时延及链路健康状况测试等基本功能。
7.3.1 系统连通性
所有联网的终端都必须按使用要求全部连通
(1)系统连接测试方法
注:测试路径覆盖所有的子网和VLAN。
(2)抽样规则:以不低于接入层设备总是10%的比例进行抽样测试。每台抽样设备至少选择一个端口。
(3)合格标准:单项合格判据,测试关键点的连通率达100%;综合合格判据,所有测试点的连通率都达到100%。
7.3.2 链路传输速率
是指设备间通过网络传输数字信息的速率。
(1)链路传输速率测试方法:
(2)抽样规则
对于核心的骨干链路,应全部测试;对于汇聚成到核心层的上联链路应全部测试;对于接入层到汇聚层的上联链路,不低于10%的比例进行抽样测试。
7.3.3 吞吐率
吞吐率是指空载网络在没有丢包的情况下,被测网络链路所能达到的最大数据包转发率。
(1)网络吞吐率测试方法:
(2)抽样测试
对于核心的骨干链路,应全部测试;对于汇聚成到核心层的上联链路应全部测试;对于接入层到汇聚层的上联链路,不低于10%的比例进行抽样测试。
7.3.4 传输时延
传输时延是指数据包从发送端口(地址)到目的端口(地址)所需经历的时间。传输时延与传输距离、经过的设备和信道的利用率有关。考虑的发送端测试工具和接受端测试工具实现精确时钟同步的复杂性,传输时延一般通过环回的方式进行测量。
(1)传输时延测试方法:
(2)抽样规则
对于核心的骨干链路,应全部测试;对于汇聚成到核心层的上联链路应全部测试;对于接入层到汇聚层的上联链路,不低于10%的比例进行抽样测试。
7.3.5 丢包率
丢包率是指网络在70%流量负荷情况下,由于网络性能问题造成部分数据包无法被转发的比例。
(1)丢包率测试方法
(2)抽样规则
对于核心的骨干链路,应全部测试;对于汇聚成到核心层的上联链路应全部测试;对于接入层到汇聚层的上联链路,不低于10%的比例进行抽样测试。
7.3.6 以太网链路层健康状况指标
(1)链路利用率:指网络链路上实际传送的数据吞吐率与该链路所能支持的最大物理带宽之比,也可理解为网络从事传输数据时间与网络运行时间之比。
(2)错误率及各类错误:是指网络中所产生的各类错误帧占总数帧的比率。
(3)广播帧和组播帧
(4)冲突(碰撞)率:处于同一网段的两个站点如果同时发送以太网数据帧,就会产生冲突。冲突帧指在数据帧到达目的站点之前与其他数据帧相碰撞,而造成其内容被破坏的帧。
7.4 网络应用测试
网络系统应用的性能测试是为确保网络在实际运行状况下,各种基本应用服务能够达到用户可以接受的性能和服务质量。
网络系统的基本应用服务只要包括DHCP服务、DNS服务、Web服务、E-mail服务和文件服务。
7.4.1 应用服务标准
(1)DHCP服务性能指标:DHCP服务器响应时间不大于0.5s;
(2)DNS服务性能指标:DNS服务器响应时间不大于0.5s
(3)web访问服务性能指标:HTTP第一响应时间:内部网络站点访问时间应不大于1s;HTTP接受率:内部网站点访问速率应不小于10000Byte/s。
(4)Email服务性能指标:主要指SMTP服务器和POP3服务器。
(5)文件服务性能指标
7.4.2 应用服务性能测试方法
7.5 测试报告
测试完成后最终应提供一份完整的测试报告,测试报告应对这次测试中的测试对象、测试工具、测试环境、测试内容、测试结果进行详细论述。
测试报告包含以下信息:测试目的;测试结论;测试结果总结;测试内容和方法;测试配置;
八、网络故障分析与处理
网络环境越复杂,发生故障的可能性就越大,引发故障的原因越难确定。
8.1 网络故障分析与处理
在排除网络故障时,使用非系统化的 进行故障排除,可能会浪费大量的时间和资源;使用系统化的方法更有效。系统化的方法如下图:定义特定的故障现象,根据特定现象推断出可能发生故障的所有潜在的问题,直到故障现象不再出现。
8.2 网络故障排除工具
网络故障排除工具分为三类:设备或系统诊断命令、网络管理工具以及专用故障排除工具。
1、设备或系统诊断命令
主要命令有:show、debug、ping、trace命令。
(1)show(是一个功能非常强大的监测及故障排除工具。)
监测路由的工作情况;监测正常的网络运行状况;分离存在问题的接口、节点、介质或者应用程序;确定网络是否存在拥塞现象;确定服务器、客户机以及其他邻接设备的工作状态。
(2)debug命令(查看大量有用信息,包括网络接口的通信过程、网络节点产生的错误信息等。)
(3)ping命令(检查主机及网络的连通性。)
(4)trace命令(显示出发出的分组向目的地址传送时所走得路线。当数据包超过生命周期时,将产生错误信息。)
2、网络管理工具
网络管理工具,含有监测及故障排除功能,有利于对网络互联环境的管理和故障及时排除。
(1)Cisco View 提供动态监视和故障排除功能;
(2)网络性能监视器(Internetwork Performance Monitor)是网络工程师能够利用实时和历史报告主动对网络响应进行故障诊断和排除
(3)TrafficDirector RMON是一个远程监测工具。
(4)VLANDirector 针对VLAN的管理工具,能够VLAN进行精确描绘。
3、专用故障排除工具
欧姆表、数字万用表、电缆测试器;
时域反射计、断接盒、智能测试盘、BERT/BLERT;
网络测试器;网络分析仪;
8.3 网络故障分层诊断
1、物理层及其诊断
物理层为最基础层,建立在通信媒体的基础上,实现系统遇通信媒体的物理接口,为数据传输进行透明传输,主要表现物理连接方式是否正确、线缆是否正常、接口是否正常等。
2、数据链路层及其诊断
主要任务使网络层无需了解物理层特性而获得可靠的传输。数据链路层就是对数据进行打包、解包、差错检查和一定的校正能力。
3、网络层及其诊断
提供建立、保持和释放网络层连接的手段,包括路由选择、流量控制、传输确认、中断、差错及故障恢复等。
4、应用层及其诊断
提供最终用户服务,如文件传输、电子信息、电子邮件、虚拟终端等。
第三章 网络资源设备一、网络服务器
按照服务器的处理器架构(即服务器CPU所采用的指令系统)可把服务器划分为RISC架构服务器和IA架构服务器。IA架构服务器包括CISC架构服务器和VLIW服务器两种。
1.1 RISC架构服务器
RISC(Reduced Instruction Set Computing,精简指令集)的指令系统相对简单,只要求硬件执行很有限且最常用的那部分指令,大部分复杂的操作则使用成熟的编译技术,由简单指令合成。目前中高档服务器特别是高档服务器普遍采用RISC指令系统的CPU,如:SUN公司、HP、Fujutsu、IBM等。
1.2 IA架构服务器
IA架构服务器采用开放系统结构,主要的技术领导者与:INTEL、IBM、Dell等。国内的主要有:联想、浪潮和曙光等。
1、 CISC架构
CISC(Complex Instruction Set Computing,复杂指令系统计算)指令集方式。CISC架构的服务器主要以IA-32架构的服务器。为中低档服务器采用。
2、 VLIW架构
VLIW(Very Long Instruction Word,超长指令集架构)架构采用了先进的EPIC(Explicitly Parallel Instruction Computing,清晰并行指令)设计,业界把这种架构叫作“IA-64架构”。
1.3 性能要求及配置要点
1、性能要求
网络服务器时整个网络的核心,选择服务器的注意事项:(1)性能要稳定;(2)以够用为准则; (3)应考虑扩展性;(4)要便于操作管理;(5)满足特殊要求;(6)配件搭配合理;(7)理性看待价格;(8)售后服务要好。
2、配置要点
目前最基本的服务器有:数据库服务器、文件服务器、Web服务器、邮件服务器、多媒体服务器、终端服务器等。
(1) 数据库服务器
构建数据库服务器可以将企业内部数据合理进行存储和组织,使企业信息的检索和查询执行更为有效;主要的数据库产品:IBM DB2、Oracle、微软SQL Server、Mysql和Sybase。
(2) 文件服务器
文件服务器时用力提供网络用户访问文件、目录的并发控制和安全保密措施的局域网服务器。对网速要求较高、对磁盘的容量有较大要求、对内存的大小有较高的要求。
(3) Web服务器
如果Web站点是静态的,对Web服务器硬件要求从高到低依次是:网络系统、内存、磁盘系统、CPU;
如果Web服务器主要进行密集计算(例如动态产生Web页面),则对服务器硬件需求依次为:内存、CPU、磁盘子系统和网络系统。
(4) 邮件服务器
邮件服务器对实时性要求不高,但需要支持一定数量的并发连接,对网络子系统和内存有一定的要求。
邮件服务器对于硬件要求程度依次为:内存、磁盘、网络系统、处理器。
(5) 终端服务器
终端服务器是实现集中化应用程序访问的一种服务器,使用终端服务的客户可以在远程一图形界面的方式访问服务器,并且可以调用服务器中的应用程序、组件、服务等,和操作本机系统一样。
终端服务器对于硬件要求的优先程度依次为处理器、内存、磁盘和网络系统。
1.4 服务器相关技术
1、64位计算
64位计算与32位计算的最大区别在意“寻址能力”和“数据处理能力”,64位计算平台基于64位长的“寄存器”,提供比32位更大的数据带宽和寻址能力。
2、双核和多核处理器
多核技术也成为芯片上多处理器技术(CMP)。多内核是脱胎于摩尔定律,允许芯片每个时钟周期执行多个任务。
3、PCI-E技术
PCI-E是PCI Express采用设备间的点对点串行连接。允许每个设备有自己的专用连接,是独占的,不需要向整个总线请求带宽。
4、ECC内存技术
ECC(Error Checking and Correcting,错误检查和纠正)不是内存类型,只是一种内存技术。ECC纠错技术需要额外的空间来存储校正码,其占用的位数跟数据的长度并非成线性关系。
5、刀片服务器
是一种HAHD(High Avaiablity High Density,高可用高密度)的低成本服务器平台。每一个刀片就是一块系统主板,可通过本地硬盘启动自己的操作系统。
6、SMP技术
SMP(Symmetrical MultiProcessing,对称处理器)应用十分广泛的并行技术。多个处理器运行操作系统的单一复本,并共享内存和一台计算机的其他资源。
7、集群技术
集群(Cluster)是一组相互独立的计算机,利用高速通信网络组成一个单一的计算机系统,并以单一系统的模式加以管理。其出发点是提供高可靠性、可扩充性、抗灾难性。一个集群包含多台拥有共享数据存储空间的服务器,各服务器通过内部局域网能够相互通信。(1)服务器镜像技术;(2)应用程序错误接管集群技术;(3)容错集群技术。
8、模块化结构
模块化服务器主要包括计算模块、I/O模块和海量存储器模块,这些模块协同工作,构成一个模块化服务器系统。
9、硬件分区
硬件分区,是将一台服务器的硬件分割成多个分区的体系结构,将服务器配置的处理器、内存和I/O控制器等硬件资源分配给多个分区,让各分区运行不同操作系统。
10、ISC
ISC(Intel Server Control,Inter服务器控制器)是一种网络监控技术,只适用于Intel架构的服务器。
11、EMP
EMP(Emergency Management Port,应急管理端口)是服务器主板上带有的一个用于远程管理服务器的接口。
12、I2O
I2O(Intelligent Input/output,智能输入/输出)
13、热插拔(Hot Swap),就是允许用户在不关闭系统,不切断电源的情况下取出和更换损坏的硬盘、电源、板卡等,从而提高了系统对灾难的基石恢复能力、扩展性和灵活性等。
二、网络存储系统
2.1 SCSI接口卡与控制卡
1 接口类型
硬盘接口是硬盘与主机系统间的连接部件,作用是在硬盘缓存和主机内存之间传输数据,每种接口协议拥有不同的技术规范,具备不同的传输速度,其存取效能的差异较大。
存储系统中目前普遍应用的硬盘接口是SATA、SCSI、SAS和FC。
2 SCSI接口
SCSI(Small Computer System Interface,小型计算机系统接口)是一种专门为小型计算机系统设计的存储单元接口模式,通常用于服务器承担关键业务的较大的存储负载,价格昂贵。
3SCSI控制卡
SCSI卡是一种提供一个或以上(一个接口通过电缆可连接15个SCSI设备)的SCSI接口内置板卡。可插在服务器主板上的PCI插槽上。SCSI控制器接口通常有50针、68针、80针,常用的是50针和68针。
2.2 独立磁盘冗余阵列(RAID)
1、磁盘阵列分为全软阵列(Software Raid)、半软半硬阵列和全硬阵列(Hardware Raid)三种,全软阵列就是指RAID的所有功能都是由操作系统遇CPU来完成,没有第三方的控制处理芯片,既业界称其为RAID协处理器(RAID Co-Processor)与I/O处理芯片。
2、RAID的基本工作模式
RAID从0到6 七种基本的RAID级别。还有一些基本RAID级别级别的组合形式。
(1)RAID 0
RAID 0又称为Stripe(条带化)或Striping,代表了所有RAID级别中最高的存储性能。原理是把连续的数据分散到多个磁盘上存取。
(2)RAID 1
RAID 1 又称Mirror或Mirrororing(镜像),它的宗旨是最大限度的保证用户数据的可用性和可修复性。RAID 1的操作方式是把用户写入硬盘的数据百分之百的自动复制到另外一块硬盘上。
(3)RAID 3
RAID 3是把数据分成多个“块”,按照一定的容错算法,存放在N+1个硬盘上,实际数据占用的有效空间为N个硬盘空间的总和。第N+1个硬盘上存储的数据是校验容错信息。当N+1个硬盘中其中一个硬盘出现问题是,从其他N个硬盘中的数据也可以恢复原始数据,仅适用N个硬盘也能继续工作。更换新硬盘后,系统可以重新恢复完整的校验容错信息。
(4)RAID 5
RAID5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。
(5)RAID 0+1
RAID 0+1是RAID0和RAID1的组合形式,称为RAID10,RAID10是存储性能和数据安全兼顾的方法。
3、RAID级别的选择
RAID级别的选择有三个主要因素:可用性(数据冗余)、性能和成本。如果不要求可用性,选择RAID 0以获得性能最佳,如果可用性和性能是重要的而成本不是一个主要因素,则根据硬盘数量选择RAID1.
2.3 磁带库
1、备份设备类型
在选择备份时,根据备份数据量的大小、备份速度、自动化程度等要求,可以选择不同档次的设备。备份设备主要分为:磁带机、自动加载机、磁带库(入门级、企业级、超大容量)。自动加载机与带库的主要区别在于不是通过机械手抓去磁带,而是通过一个简单的自动传送装置移动磁带。
磁带库(简称带库),主要由库体、磁带驱动器、磁带槽位、磁带交换口、控制面板、机械手和电子控制单元。
虚拟磁带库(VTL,Virtual Tape Library)使用磁盘阵列效仿标准的磁带库的产品,通过光纤连接备份服务器,为数据存储备份提供高速、高效及安全的解放方案。VTL通过冗余和热插拔设计保证了系统的不停顿及备份工作连续运行。
2.4 光盘塔
光盘塔由几台或十几台CD-ROM驱动器并联构成,可通过软件控制某台光驱的读写操作。光盘塔可以同时支持几十个到几百个用户访问信息。光盘库实际是一种可存放几十张或几百张光盘并带有机械臂和一个光盘驱动器的光盘柜。光盘库也叫自动换盘机。
2.5 DAS技术
DAS(Direct Attached Storage,直接附加存储)既直连方式存储。是通过电缆(通常是SCSI接口电缆)直接连接服务器。I/O(输入/输出)请求直接发送到存储服务器。DAS也称SAS(Server-Attached-Storage,服务器附加存储)。可依赖于服务器。本身是硬件的堆叠,不带有任何存储操心系统。
2.6 NAS技术
在NAS(Network Attached Storage,网络附加存储)结构中,存储系统不再通过I/O总线附属于某个特定的服务器或客户机,而是直接通过网络接口与网络相连。
2.7 SAN技术
SAN是通过专用高速网络将一个多多个网络存储设备和服务器连接起来的专用存储系统。未来的信息存储将以SAN存储方式为主。SAN主要采用数据块的方式进行数据和信息的存储。主要使用以太网和光纤通道。
光纤通道是一种存储区域网络技术,实现主机互联,企业间共享存储系统的需求。无限带宽技术(Infiniband)是一种高带宽、低延迟的下一代互连技术,构成新的网络环境,实现IB SAN的存储系统。
(1)FC SAN技术
光纤通道技术已经确立称为SAN互连的精髓,可以为存储网络用户提供高速、高可靠性以及稳定安全性的传输。
(2)IP SAN技术
1、IP SAN存储技术,顾名思义,在传统IP以太网上架构一个SAN存储网络把服务器与存储设备连接起来的存储技术。
2、IP SAN技术的特点:节约大量成本、加快实施速度、优化可靠性以及增强扩展能力等。
3、ISCSI 是实现IP SAN最重要的技术。
(3)IB SAN技术
1、IB SAN 概述:InfiniBand是一种交换结构I/O技术,其设计思路四通过一套中心机构In覅你Band交换机在远程存储器、网络以及服务器等设备之间建立一个单一的连接链路,并由中心InfiiBand交换机来指挥流量。
在InfiniBand体系结构下,可以实现不同形式的存储系统,包括SAN和NAS。基于InFiniBand I/O路径的SAN存储系统有两种实现途径:其一是SAN存储设备内部通过InfiniBand I/O路径进行数据通信,InfiniBand I/O路径取缔PCI或高速串性总线,但与服务器/主机系统的连接还是通过FC I/O路径;其二是SAN存储设备和主机系统利用InfiniBand I/O路径取代FC I/O路径,实现彻底地基于InfiniBand I/O路径的存储体系结构。
2.8 备份系统及备份软件
1、数据备份结构
常见的数据备份系统主要有:Host-Base、LAN-Base和基于SAN结构的LAN-Free、Server-Free等多种结构。
三 其他资源设备
3.1 网络传真机
网络传真机(efax)也称电子传真机,是一种基于现有电话交换网(PSTN)和因特网的存储转发设备。
1、网络传真机的分类:(软件网络传真机、硬件网络传真机)
2、传真机选择标准:(稳定性、实用性、兼容性、可扩展性、易用性、可集成性)
3.2 网络打印机
网络打印机是指通过打印服务器将打印机接入局域网或者Internet的独特设备。
3.3 网络视频会议系统
视频会议系统是一种支持远距离通信,使处于不同地域的人进行实时信息交流、开展协同工作的应用系统。
目前在网络上运行的视频会议按技术不同可分为两类:一是基于单播网络和H.323协议族的视频会议;二是基于组播网络和开放软件的视频会议。
3.4 网络电话系统
网络电话系统是一种利用VoIP(Voice over Internet Protocol)技术,透过因特网实时传输音频信息及实现双边对话的网络应用系统。网络电话系统一般包括语音网络、网守、网络电话机等。
关键设备:在总部部署网关和网守设备各一台,各分部部署一台网关。语音网关提供了E1中继接口和模拟接口,同事提供简单的路由功能和网络接口;方便地将各分部的电话通过IP网络连接起来。网守是负责实现地址解析、接入控制、带宽管理、区域管理等核心控制功能。
功能:实现N各分部VOIP通话,各分部内部也能实现各自的VOIP通话。
第四章 网络安全
本章需要掌握的知识点:4.1恶意代码、4.2******及其预防、4.3防火墙应用配置、4.4 ISA Server应用配置、4.5 IDS与IPS、4.6访问控制技术、4.7 ***技术、4.8 企业网络安全隔离、4.9 公钥基础结构、4.10 文件加密和电子签章、4.11 网络安全应用协议、4.12 桌面安全解决方案、4.13 系统安全、4.14 安全审计、4.15 安全管理制度。
4.1 恶意代码
4.1.1 恶意代码的定义与分类
1、恶意代码的定义
恶意代码:未经用户授权便于干扰或破坏计算机系统/网络的程序或代码被称之为恶意软件(Malware)或恶意代码。
恶意代码的特性:具有恶意的目的;自身是计算程序;通过执行发生作用。
2、恶意代码分类
恶意代码包含的种类很多,主要类型有:计算机病毒、网络蠕虫、特洛伊***、后门、DDoS程序、僵尸程序、Rootkit、******工具、间谍软件、广告软件、垃圾邮件、弹出窗体程序等。
(1)计算机病毒:是一段可以通过自我传播的破坏性程序或代码,需用户的干预来触发执行,通常其使用系统的正常功能进行传播。
(2)网络蠕虫:是一段可以通过网络进行自我传播的破坏性程序或代码,不需客户干预来触发执行。通过系统漏洞进行传播,可直接获得对方系统的控制权而自动执行蠕虫代码或程序。
(3)特洛伊***:是一个程序,表面是有用的或善意的目的,实际上掩盖一些隐藏的恶意功能。通常由被控制端和控制端组成,对用户的个人隐私和机密数据造成极大威胁。
(4)后门:是一个允许***者绕过系统中常规安全控制机制的程序,按照***者自己的意图提供通道。重点是为***者提供进入目标计算机的通道。
(5)DDoS程序:分布式拒绝服务(Distributed Denial of Server,DDoS)是指借助于客户端/服务器技术,将多个计算机联合起来作为***平台,对一个或多个目标发动DDoS***,从而成倍地提高拒绝服务***的威力。
(6)僵尸程序(bot):是秘密运行在被控制计算机中、可以接受指定命令和执行指定功能的程序。僵尸程序和命令控制服务器、控制者一起组成的可通信、可控制的网络被称为僵尸网络(Botnet)。
(7)Rootkit:通过修改现有操作系统软件,使***者获得访问权并隐藏在计算机中。
(8)******工具:是指可以用来协助***者***计算机系统的一系列工具的集合。包括:各种扫描器、Exploit和密码嗅探工具。
(9)间谍软件:是一种能够在用户不知情的情况下,在计算机上安装后门、收集用户信息的软件。
(10)广告软件:是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。
(11)垃圾邮件(spam):凡是未经用户许可就强行发送到用户邮箱中的任何电子邮件都是垃圾邮件。
(12)弹出窗体(popups):通常存在于广告或其他商业服务,它出人意料地弹出到你的屏幕上。
4.1.2 常见的恶意代码命名规则
恶意代码的一般命名格式为:
<恶意代码前缀>.<恶意代码名称>.<恶意代码后缀>
4.1.3 典型的恶意代码
1、计算机病毒
计算机病毒是目前恶意代码中数量及种类最多的程序之一。计算机病毒与其他恶意代码最大区别是计算机病毒可以传播。
(1)计算机病毒的特点:传播性、程序性、破坏性、非授权性、隐蔽性、潜伏性、可触发性、不可预见性。
(2)计算机病毒的生命周期:潜伏阶段、传播阶段、触发阶段、发作阶段。
(3)计算机病毒的传播途径:通过软盘、光盘传播;通过移动存储设备传播;通过网络传播;
(4)计算机病毒的多种状态;静态病毒和动态病毒。静态病毒是指存在于辅助存储介质上的计算机病毒;动态病毒是指进入了计算机内存的计算机病毒。
(5)Windows 环境下的几类常见计算机病毒;Windows PE病毒;脚本病毒;宏病毒;
2、网络蠕虫
网络蠕虫由于不需要用户干预来触发,其传播速度要远远大于网络病毒。
(1)计算机病毒与蠕虫的区别:
(2)基本功能模块:目标搜索或生成模块;***模块;传输模块
(3)扩展功能模块:主机驻留模块;隐藏模块;破坏模块;通信模块;控制模块。
3、特洛伊***
是指附着在应用程序中或者单独存在的一些恶意程序,可利用网络远程控制另一端的安装有服务端程序的主机。***是一种远程管理工具,类似于远端管理软件。***一般远程管理软件的区别在于***具有隐蔽性和非授权性的特性。***程序一般利用TCP/IP协议,采用C/S结构。
4、后门
后门是指那些绕过安全性控制而获取对程序或系统访问权的程序。后门就是就在计算机系统中,供特殊使用者通过某种特殊方式控制计算机系统的途径。
5、网页***
实际上是经过***精心制作的HTML网页文件,用户一旦访问了该网页就会中***。
6、Rootkit程序:所采用的大部分技术和技巧都用于在计算机上隐藏代码和数据。其他特性是用于远程访问和窃听。
7、Exploit与ShellCode
Exploit是一个小程序,可以触发一个软件漏洞并为***者所利用。包含两个部分:用来触发并利用对方系统漏洞的代码和另一段被称为ShellCode的代码。Exploit分为本地和远程。本地Exploit多用来提升权限。远程Exploit多用于发动拒绝服务***或者获得目标主机的控制权。
ShellCode是用来执行shell的字节码。
8、******程序
******程序由于可能对电脑用户的电脑安全造成威胁,因此被各大杀毒软件厂商纳入病毒查杀范围。
9、流氓软件
流氓软件也称灰色软件,是一种介于正常软件和恶意代码之间的软件。通常是由合法公司发布,主要用于商业目的。不会对系统造成破坏但会影响客户使用。流氓软件特点:强制安装、难以卸载、浏览器劫持、广告弹出、恶意手机客户信息、恶意卸载、恶意捆绑、其他侵犯用户知情权和选择权的恶意行为。
4.1.4 典型反病毒技术和常用反病毒软件
1、典型反病毒技术介绍
目前典型的反病毒技术有:特征码技术、虚拟机技术、启发扫描技术、行为监控技术、主动防御技术和病毒疫苗等。
(1)特征值查毒法:特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。核心是从病毒体中提取病毒特征值构成病毒特征库。
(2)检验和技术:计算正常文件的内容和正常的系统扇区的校验和,将该校验和写入数据库中保持。
(3)启发式扫描技术:主要是分析文件中的指令序列,根据统计知识,判断该文件可能感染或者可能没有感染,从而可能找到未知的病毒。
(4)虚拟机:该技术称为软件模拟法,是一种软件分析器,用软件方法来模拟和分析程序的运行。
(5)行为监控技术:是指通过审核应用程序的操作来判断是否有恶意(病毒)倾向并向用户发出警告。
(6)主动防御技术:是指以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。
4.2 ******及其预防
4.2.1 ***和******
***(Hacker)有褒贬二重的含义。褒义方面讲:***特指一些特别优秀的程序员或技术专家。他们有一条准则是:永不破坏任何系统。贬义方面讲:***是一些蓄意破坏计算机和电话系统的人。
1、信息的收集
(1)网络监测:一类快速检测网络中电脑漏洞的工具。包括嗅探应用软件,能够在电脑内部或通过网络来捕捉传输过程中的密码等数据信息。
(2)社会工程:运用操纵技巧来获取信息。
(3)公共资源和垃圾:从公开的广告资料甚至是垃圾中收集信息。
(4)后门工具:这是一些工具包。用来掩盖计算机安全已受到威胁的事实。
2、******方式
***主要的***方式:(1)拒绝服务***;(2)缓冲区溢出***;(3)漏洞***;(4)欺骗***。
4.2.2 拒绝服务***与防御
拒绝服务***DOS(Denial of Service)是由人为或非人为发起的行动,使主机硬件、软件或者两者同时失去工作能力,使系统不可访问并因此拒绝合法的用户服务要求。要对服务器实施拒绝服务***,有两种思路:(1)服务器的缓冲区慢,不接收新的请求;(2)使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。这也是Dos***实施的基本思想。
1、传统拒绝服务***分类:内部用户长期占用资源的***;外部***可以通过占用网络连接进行***;
2、分布式拒绝服务***DDoS
分布式拒绝服务DDoS(Distributed Denial of Service)***是对传统DOS***的发展,***者侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务***。分布式拒绝服务***的隐蔽性更强。
3、拒绝服务***的防御方法
(1)加强对数据包的特征识别;(2)设置防火墙监视本地主机端口的使用情况;(3)对通信数据量尽心统计也可获得有关***系统的位置和数量信息。(4)尽可能的修正已经发现的问题和系统漏洞。
4.2.3 缓冲区溢出***与防御
缓冲区溢出***是一种通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转而执行其他预设指令,以达到***目的的***方法。
1、缓冲区溢出***原理
缓冲区是计算机内存中的一个连续块,保存了给定类型的数据。缓冲区溢出***的基本原理是向缓冲区中放入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的程序或数据,然后让计算机转去运行这种预设的程序,达到执行非法操作、实现***的目的。
2、缓冲区溢出实例
通常,一个程序在内存中分为程序段、数据段和堆栈三部分。程序段里放着程序的机器码和只读数据;数据段放程序中的静态数据;动态数据则通过堆栈来存放。
3、缓冲区溢出***的防御
缓冲区溢出***的防范是和整个系统的安全分不开。
(1)系统管理上的防范策略;(2)软件开发过程中的防范策略。
4.2.4 程序漏洞***与防御
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使***者能够在未授权的情况下访问或破坏系统。
1、Web程序漏洞***与防御
(1)CGI漏洞***:CGI既公共网关接口,在Web服务器上定义了Web客户请求与应答的一种方式,是外部扩展应用程序与WWW服务器交互的一个标准接口。导致CGI漏洞***的情况:配置错误、边界条件错误、访问验证错误、来源验证错误、输入验证错误、异常情况处理失败、策略错误。
(2)SQL注入***:用户可以提交一段数据库查询代码,根据程序返回的结果获得某些他想得知的数据,这就是所谓的SQL注入。SQL注入***的过程包括:发现SQL注入位置、判断后台数据库类型、确定XP_CMDSHELL可执行情况、发现Web虚拟目录、上次ASP***、得到管理员权限。
2、TCP/IP漏洞
这种***主要利用TCP/IP协议实现中的处理程序错误实施拒绝服务***,即故意错误地设定数据包头的一些重要字段,是用Raw Socket将这些错误的IP数据包发送出去。这些***包括Ping of Death***、Teardrop***、Winnuke***以及Land***等。
(1)Ping of Death***
根据TCP/IP协议的规范,一个包的长度最大为65536字节。尽管一个包的长度最大不能超过5536字节,但是一个包分成多个片段的叠加去能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death***,该***会造成主机死机。
(2)Teardrop***:就是利用IP包的分段/重组输在系统实现中的一个错误,既在组装IP包时只检查了每段数据是否过长,而没有检查包中有效数据的长度是否过小。
(3)Winnuke***:针对Windows系统上一般都开放的139端口,这个端口由NetBIOS使用。只要往该端口发送1字节TCP OOB数据,就可以使Windows系统出现“蓝屏”错误,而且网络功能全部瘫痪。
(4)Land***:是一个十分有效的***工具、对当前流行的大部分操作系统及一部分路由都具有相当的***能力。
4.2.5 欺骗***与防御
1、ARP欺骗
(1)ARP欺骗原理
ARP原理:某机器A要向主机C发送报文,会查询本地的ARP缓存表,找到C的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播一个ARP请求报文(携带主机A的IP地址Ia-物理地址),请求IP地址为为Ic的主机C回答物理地址Pc。网上所有主机包括C都收到ARP请求,但只有主机C识别自己的IP地址,给A发回一个ARP响应报文,A收到C的应答后,就会更新本地ARP缓存。本地高速缓存的这个ARP表示本地网络流通的基础,而且这个缓存是动态的。
(2)ARP欺骗的防范措辞
1、在winxp下输入命令 arp-s gate-way-ip gate-way-mac 固化arp表,阻止arp欺骗
2、使用ARP服务器,确保ARP服务器不被黑;
3、采用双向绑定的方法解决并且防止ARP欺骗;
4、ARP防护软件——ARP Guard。
2、DNS欺骗
DNS欺骗是一种比较常见的***手段。
(1) DNS欺骗原理:首先是冒充域名服务器,然后把查询的IP地址设为***者的IP地址,用户上网就是只能看到***者的主页,而不是用户想要看到的网站主页。
(2) DNS欺骗的检测:根据检测手段的不同,将其分为被动监听检测、虚假报文探测和交叉检查查询三种。
被动监听检测:通过旁路监听的方式,捕获所有DNS请求和应答数据包,并为其建立一个请求应答映射表。
虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS欺骗***者。
交叉检查查询:在客户端收到DNS应答之后,向DNS服务器反向查询应答包中返回的IP地址对应的DNS名字,如果二者一致说明没有受到***,否则说明被欺骗。
(3) IP欺骗:通过编程的方法可以随意改变发出的包的IP地址。预防IP欺骗***可以删除UNIX中所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使得RPC机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文。
4.2.6 端口扫描
端口扫描时***者搜集信息的几种常见手法之一,也最容易使***者暴露自己的身份和意图。
端口扫描有如下目的:判断目标主机上开放了哪些服务;判断目标主机的操作系统。
(1) 端口扫描原理:端口是专门为计算机通信而设计的,不是硬件,不同于计算机中的“插槽”,是一个“软插槽”。一个计算机中有上万个端口。
(2) 扫描原理分类:全TCP连接:这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接;半打开式扫描(SYN扫描):扫描主机自动向目标计算机的指定端口发送SYN数据段;FIN扫描:依靠发送FIN来判断目标计算机的指定端口是否活动;第三方扫描:利用第三方主机来代替***者进行扫描。
4.2.7、强化TCP/IP堆栈以抵御拒绝服务***
1、同步包风暴(SYN Flooding):是当前最流行的DoS与DDoS的方式之一。
2、ICMP***:ICMP协议是TCP/IP协议集中的一个子协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。
3、SNMP***:SNMP是TCP/IP网络中标准的管理协议,允许网络中的各种设备和软件,包括交换机、路由器、防火墙、集线器,甚至操作系统,服务产品和部件等,能与管理软件通信,汇报其当前的行为和状态。SNMP还能被用于控制这些设备和产品,重定向通信流。
4.2.8、系统漏洞扫描
系统漏洞扫描是对重要计算机信息系统进行检查,发现其中可能被***利用的漏洞。
1、 基于网络的漏洞扫描:通过网络来扫描远程计算机中的漏洞。
2、 基于主机的漏洞扫描:通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
优点:扫描漏洞多;集中化管理;网络流量负载小。
4.3 防火墙应用配置
4.3.1 防火墙技术概述
1、防火墙的定义
防火墙是设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。
防火墙一般安放在被保护网络的边界,必须做到以下几点:(1)所有进出被保护网络的通信都必须通过防火墙;(2)所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权;(3)防火墙本身是不可侵入的。
2、防火墙的分类及技术
(1)按防火墙的软硬件形式分类:防火墙可以分为硬件防火墙(预装有软件的硬件设备)、软件防火墙(能够安装在操作系统和硬件平台上的防火墙软件包)和嵌入式防火墙(内嵌与路由器或交换机的防火墙)。
(2)按防火墙采用的技术分类:包过滤型防火墙(工作在OSI网络参考模型的网络层和传输层,根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过);应用层网关防火墙(在OSI/RM应用层上建立协议过滤和转发功能);代理服务型防火墙(是针对数据包过滤和应用层网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。)
4.3.2、防火墙体系结构
防火墙体系结构主要有三种形式:双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。
堡垒主机:指可能直接面对外部用户***的主机系统,在防火墙体系结构中,特指那些处于内部网络的边缘,并且暴露于外部网络用户面前的主机系统。
双重宿主主机:指通过不同网络接口接入多个网络的主机系统
周边网络:指在内部网络、外部网络之间增加的一个网络,一般来说,对外提供服务的各种服务器都可以放在这个网络里。
1、 双重宿主主机体系结构:是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。
2、 被屏蔽主机体系结构:指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内部、外部网络的隔离和对内网的保护。
3、 被屏蔽子网体系结构:将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络——周边网络(DMZ区),并且将容易受到***的堡垒主机都置于这个周边网络中。
4、 其他体系结构:合并内部和外部路由器;合并堡垒主机和外部路由器;合并堡垒主机和内部路由器;多台内部路由器;多台外部路由器;多个周边网络。
4.3.3 分布式防火墙技术
1、分布式防火墙技术产生的背景
传统的边缘防火墙只对企业网络的周边提供保护。边缘防火墙对从外部网络进入企业内部局域网的流量进行过滤和审查,并不能确保企业内部网络之间的安全访问。60%的***和越权访问来自内部。
2、分布式防火墙的结构
分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,按功能划分为:
网络防火墙(Network Firewall):是用于内部网与外部网之间,以及内部网各子网之间的防护。
主机防火墙(Host Firewall):用于对网络中的服务器和桌面机进行防护,达到应用层的安全防护,比起网络层更加彻底。
中心管理系统(Central Management System):是分布式防火墙管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。
3、分布式防火墙的主要特点:主机驻留、嵌入操作系统内核、安全策略的统一管理与部署。
4、分布式防火墙的主要优势:增强了系统安全性、提高了系统性能、系统的扩展性、实施主机策略、应用更为广泛,支持***通信。
4.3.4、防火墙应用规则
硬件防火墙在网络中的应用主要有:(1)控制因特网用户对内部网络的访问;(2)控制局域网内部不同部门网络之间的访问;(3)控制对服务器中心的网络访问。
1、企业网络体系结构
(1)在企业网络体系结构中,通常有三个区域:(1)边界网络:通过路由器直接面向Internet,以基本网络通信筛选的形式提供初始层面的保护。(2)外围网络:通常称为DMZ或边缘网络,将用户连接到Web服务器或其他服务器。(3)内部网络:连接各个内部服务器(企业OA服务器、数据库服务器、ERP服务器和PDM服务器)和内部用户。
(2)企业组织中的防火墙及其功能:常常有两个不同的防火墙——外围防火墙和内部防火墙。外围防火墙主要提供对不受信任的外部用户的限制;内部防火墙主要防止外部用户访问内部网络并且限制内部用户可以执行的操作。
(3)选择防火墙时要考虑的因素:(1)预算方面的考虑;(2)现有设备的考察;(3)可用性的考虑;(4)可扩展性的考虑;(5)所需功能的考虑。
2、控制因特网用户对内部网络的访问
控制因特网用户对内部网络的访问是防火墙的一种最基本、最广泛的应用。
(1)网络结构中划分不同的安全级别:(1)内部网络:包括全部的企业内部网络设备及用户主机;(2)外部网络:包括外部因特网用户主机和设备。这个区域为防火墙的非可信网络区域;(3)DMZ区域:是从企业内部网络中划分出来的一个逻辑区域,其中包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器和外部DNS服务器等,都是为因特网公众用户提供某种信息服务。
(2)设置安全策略:根据用户需求,对不同的安全区域设置不同的安全策略。对于大部分内部网络,一般情况下禁止所有来自因特网用户的访问;对于DMZ区,在一定程度上,没有内部网络限制那么严格,如Web服务器通常允许任何人进行正常的访问。必要时可在防火墙中配置NAT对外屏蔽内部网络结构。
3、控制内部网络不通部门之间的访问:一种方法是通过配置VLAN实现逻辑隔离;另一种有效的方法是采用防火墙进行隔离。通过防火墙隔离后,尽管同属于一个内部局域网,但其他用户的访问需要经过防火墙的过滤,符合条件的用户才能访问。在防火墙中可以设置ACL(访问控制列表)允许那些用户可以访问。
4、控制对服务器中心的网络访问:一个服务器中心需要对第三方(合作伙伴、因特网用户)开放,归属于不同的用户,其安全策略各不相同。需分别设置DMZ。可以有两种实施方案:(1)为每个企业用户的服务器或服务器群单独配置一个独立的防火墙;(2)采用虚拟防火墙方式,利用可网管交换机的VLAN(虚拟局域网)功能,为每一台连接在交换机上的企业用户服务器群配置成一个单独的VLAN子网,通过高性能防火墙针对每个VLAN子网配置过滤策略和安全规则,相当于将一个高性能防火墙划分为多个虚拟防火墙。
4.3.5、内部防火墙系统应用设计
1、网络上的用户分类:(1)信任用户:(指企业的雇员);(2)部分信任用户(指企业的业务合作伙伴);(3)不信任用户:(外部网络用户)。
2、防火墙的类别选择及考虑事项:
3、内部防火墙规则
内部防火墙监视外围区域和信任的内部区域之间的通信。内部防火墙规则如下:(1)默认情况下,阻止所有数据包;(2)在外围接口上,阻止看起来好像来自内部IP地址的传入数据包,以阻止欺骗;(3)在内部接口上,阻止看起来好像来自外部IP地址的传出数据包,以限制内部***;(4)允许从内部DNS服务器到DNS解析程序Bastion主机的基于UDP的查询和响应;(5)允许从DNS解析程序Bastion主机到内部DNS服务器的基于UDP的查询和响应;(6)允许从内部DNS服务器解析程序Bastion主机的基于TCP的查询,包括对这些查询的响应;(7)允许从DNS解析程序Bastion主机到内部DNS服务器的基于TCP的查询,包括对这些查询的响应。(8)允许DNS广告商Bastion主机和内部DNS服务器主机之间的区域传输;(9)允许从内部SMTP邮件服务器到出站SMTP Bastion主机的传出邮件;(10)允许从入站SMTP Bastion主机到内部SMTP邮件服务器的传入邮件;(11)允许来自***服务器后端的通信到达内部主机并且允许响应返回到***服务器;(12)允许验证通信到达内部网络上的RADIUS服务器并且允许响应返回到***服务器;(13)来自内部客户端的所有出站Web访问将通过代理服务器,并且响应将返回客户端;(14)在外围域和内部域的网段之间支持Windows server 2000/2003域验证通信;(15)至少支持5个网段,在所有加入的网段之间执行数据包的状态检查;(16)支持高可用×××,如状态故障转移;(17)在所有连接的网段之间路由通信,而不使用网络地址转换。
4、内部防火墙的可用性需求:(1)没有冗余组件的单一防火墙;(2)具有冗余组件的单一防火墙,具有容错功能,提高了可用性;(3)容错防火墙集——防火墙冗余对;
5、内部容错防火墙集配置:(1)“主动/被动内部容错防火墙集”:一个设备(也称为活动节点)将处理所有通信,而另一个设备(被动节点)既不转发也不执行筛选,只是保持活动;(2)“主动/主动内部容错防火墙集”:两个或多个节点主动侦听发送到每个节点共享的虚拟IP地址的所有请求,与服务器双机容错方案中的“热备份”。
6、内部防火墙系统设计的其他因素要求:安全性、可伸缩性、整合、标准的支持。
4.3.6、外围防火墙系统应用设计
(外围防火墙系统与内部防火墙系统相似)
4.3.7、防火墙与DOS/DDoS
DoS/DDoS***是一种非常有效的进攻方式,能够利用大量的服务请求来占用过多的服务资源,从而使合法用户无法得到正常服务。常见的DoS/DDoS***可以分为两大类:一类是针对系统或协议漏洞的***,如ping of Death、TearDrop等;另一类***是消耗计算机或网络中匮乏的、有限的资源,如占用大量网络带宽,如:UDP flood、SYN flood和ICMP flood等。
1、防火墙抵御DoS/DDoS***原理:(1)基于状态的资源控制,保护防火墙资源;(2)智能TCP代理有效防范SYN Flood;(3)利用Netflow对Dos***和病毒进行监测。
2、防火墙抵御DoS/DDoS***配置示例
(1)资源控制的配置
当TCP半连接达到最高水位线时,防火墙开始清除超过的半连接,一直清到最低水位线为止。TCP每分钟半连接也是一样的处理机制。
(2)限制主机的最大连接数
(3)适应特殊主机的需求
网络内部存在一些特殊连接需求的主机,连接请求超过一般主机,需对这些特殊的主机执行特殊的流限制。
(4)对服务器资源的保护
通过IP Inspect对目的主机的保护,主要用于对内部主机保护的情况。如果需要保护DMZ区域的服务器资源,采用以下配置:
3、使用防火墙防御SYN Flood***
(1)两种主要类型防火墙的防御原理
应用代理防火墙的防御方法:
包过滤防火墙的防御方法:
(2)防御SYN Flood***的防火墙设置
针对SYN Flood***,防火墙通常有三种防护方式:SYN网关、被动式SYN网关和SYN中继。
4.4 ISA Server应用配置
(无知识考点)
4.5 IDS与IPS
4.5.1、***检测系统概述
1、IDS的定义
***检测系统(Intrusion Detection System,IDS)是一种主动保护自己,使网络和系统免遭非法***的网络安全技术,依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种***企图、***行为或***结果,以保证网络系统资源的机密性、完整性和可用性。
2、IDS的作用:
3、IDS的组成
一个IDS系统通常由探测器(Sensor)、分析器(Analyzer)、响应单元(Response Units)和事件数据库(Event Database)组成。
4、IDS的类型及技术
(1)根据数据来源和系统结构的不同,***检测系统可以分为基于主机、基于网络和混合性***检测系统三类。
基于主机的***检测:在被重点监测的主机上运行一个代理程序,用于监视、检测对于主机的***行为,通知用户并进行响应。
基于网络的***检测:数据源是网络上的数据包,在这种类型的***检测系统中,将一台机器的网卡设置与混杂模式,监听所有本网段内的数据包并进行判断。
混合型式基于主机和基于网络的***检测系统的结合,为前两种方案提供了互补。
(2)根据***检测所采用的技术,分为异常检测和误用检测两类。
异常检测(Abnormal Detection)能够根据异常行为和使用计算机资源的情况监测出***。
4.5.2 ***检测系统实例
(本节无考点)
4.5.3 ***防御系统
1、***防御系统概述
***防御系统(Instrusion Prevention System,IPS)提供主动、实时的防护,其设计旨在对网络流量中的恶意数据包进行检测,对***性的流量进行自动拦截,使它们无法造成损失。
IPS系统根据部署方式可以分为三类:基于主机的***防护(HIPS)、基于网络的***防护(NIPS)和应用***防护(AIP)
从IPS的功能模式来看,必须具备如下技术特征。
2、***防御系统的原理
IPS是通过直接嵌入到网络流量中来实现这一功能,通过一个端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。
3、 IPS的检测技术:(1)基于特征的匹配技术;(2)协议分析技术;(3)抗DDoS/DoS技术;(4)智能化检测技术;(5)蜜罐技术。
4、 IPS存在的问题:(1)单点故障;(2)性能瓶颈;(3)误报率和漏报率;(4)规则库更新。
4.6 访问控制技术
4.6.1 访问控制技术概述
访问控制的目的是为了保护企业在信息系统中存储和处理的信息的安全。
1、访问控制的基本模型
访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素:主体、客体和控制策略。主体:是可以对其他实体施加动作的主动实体;客体:是接受其他实体访问的被动实体;控制策略(KS):是主体对客体的操作行为集合约束条件集。
访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对没有非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计三方面。
2、访问控制的实现技术
(1)访问控制矩阵(Access Control Matrix,ACX)是通过矩阵形式表示访问控制规则和授权用户权限的方法。
(2)访问控制表(Access Control Lists,ACLs)是系统中每一个有权访问这个客体的主体的信息。
(3)能力表(Capabilities Lists)每个主体有一个能力表,是该主体对系统中每一个客体的访问权限信息。使用能力表实现的访问控制系统可以很方便地查询某一个主体的所有访问权限。
(4)授权关系表:对应访问矩阵中每一个非空因素的实现技术——授权关系表(authorization relations)。
3、访问控制表介绍
访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。
(1)ACL的作用:(1)可以限制网络流量、提高网络性能;(2)提供对通信流量的控制手段;(3)是提供网络安全访问的基本手段;(4)可以在路由器端口处决定那种类型的通信流量被转发或被阻塞。
(2)ACL的执行过程:
(3)ACL的分类:标准ACL和扩展ACL。标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
(4)ACL配置
4.6.2 传统访问控制技术
1、自主型访问控制:允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。自主访问控制又称为任意访问控制。
2、强制型访问控制(Mandatory Access Control Model,MAC Model):是一种多级访问控制策略,主要特点是系统对访问主体和受控对象实行强制访问控制。
4.6.3基于角色的访问控制技术
基于角色的访问控制(Role-based Access,RBAC)模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。
4.6.4 基于任务的访问控制模型(Task-based Access Control Model,TBAC Model)是从应用和企业层角度来解决安全问题,以面向任务的观点,从人物的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。
4.7 ***技术
***(Virtual Private Network,虚拟专用网)是指利用公共网络建立私有专用网络。
4.7.1 IPSec
IPSec协议是Internet工程任务组为保证IP及其上层协议的安全而制定的一个开放安全标准,IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证头(Authentication Header,AH)协议、封装安全载荷(Encapsulating Security Payload,ESP)协议、密钥管理(Internet Key Exchange,IKE)协议和用于网络认证及加密的一些算法等。
1、IPSec 协议体系结构
IPSec体系结构的第一个主要的部分是安全结构。IPSec使用两个协议提供数据包的安全:认证头和封装安全载荷。AH协议支持访问控制、数据源认证、无连接的完整性和抗重放***。ESP协议提供访问控制、数据机密性、无连接的完整性、抗重放***和有限的通信流机密性等安全服务。AH协议和ESP协议都是接入控制的手段,建立在加密密钥的分配和这些安全协议相关的通信流量管理的基础上。
对于IPSec数据流处理而言,有两个必要的数据库:安全关联数据库(Securtiy Association Database,SAD)和安全策略数据库(Security Policy Database,SPD)。SAD包含活动的SA参数;SPD指定了用于到达或者源自特定主机或者网络的数据流的策略。对于SPD和SAD,都需要单独的输入和输出数据库。
2、安全关联
安全管理(Security Association,SA)是IPSec的基础,是两个应用IPSec系统(主机、路由器)间的一个单向逻辑连接,是安全策略的具体化和实例化,它提供了保护通信的具体细节。
3、安全策略
IPSec提供的具体服务内容是由系统的安全策略决定的。策略位于安全检查规范的最高一级,是决定系统的安全要素。安全策略定义了系统中哪些行为是允许的,哪些是不允许的。IPSec协议体系中包括一个安全策略数据库,对安全策略应包的一些属性进行了概念性的描述,但并没有规定安全策略的具体字段、如何表达等。
4、AH和ESP
IPSec基本协议包括AH和ESP。
(1) AH协议:提供数据源认证、数据完整性和反重放保证。AH的工作原理是在每一个数据包上添加一个身份验证报头。
(2) ESP协议:提供数据保密、数据源认证、无连接完整性、抗重播服务和有限的数据流保密。
4.7.2 MPLS ***
基于MPLS的***是***的一种解决方案。在MPLS中,网络供应商为每个***提供一个唯一的***标识符(***-ID),称之为路由识别符(Route Distinguisher,RD),这个标识符在服务提供商的网络中是独一无二的。转发表中包括一个独一无二的地址,叫作***-IP地址,是由RD和用户的IP地址连接形成。每一个***用户只能与自己的***网络中的成员进行通信,且只有***的成员才有权进入该***。
4.7.3、VPDN
虚拟专用网(Virtual Private Dialup Network,VPDN)是基于拨号用户的虚拟专用拨号网业务,利用IP网络的承载功能,结合相应的认证和授权机制,可以建立安全的虚拟专用网络。VPDN利用隧道技术,通过在公用网络上建立逻辑隧道、网络层的加密以及采用口令保护、身份验证、权限设置、防火墙等措施,保证数据的完整性,避免被非法窃取。
VPDN的技术核心主要在于隧道技术和安全技术,网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。
***可以分为拨号***和专线***。而拨号***又可分为客户发起的VPDN和NAS发起的VPDN。
4.8、企业网络安全隔离
4.8.1、网络隔离技术概述
网络隔离(Network Isolation)技术的目标是确保把有害的***隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。主要形式有:物理隔离、协议隔离和***隔离等。
4.8.2、划分子网隔离
子网划分是进行网络隔离的常用办法,子网划分不仅仅是为了子网隔离,可能是为了减轻系统的拥堵状况、方便使用多种媒体介质、方便查找网络错误、限制广播信息传播范围等。
4.8.3、VLAN隔离
1、VLAN隔离的概念
VLAN是一种划分相互隔离子网的技术,通过将网内设备逻辑地而不是物理第划分成一个个网络从而实现虚拟工作组。VLAN一方面为了避免当一个网络系统的设备数量增加到一定规模后,大量的广播报文消耗大量的网络带宽,从而影响有效数据的传递;另一方面确保部分安全性比较敏感的部门不被随意访问浏览。
2、VLAN隔离的作用和优点
VLAN隔离技术的缺点:要求管理员必须明确交换机的每一个物理端口上所连接的设备的MAC地址或者IP地址,根据需求划分不同的工作组并对交换机进行配置。
VLAN的优点:(1)增加了网络的连接灵活性;(2)控制网络上的安全;(3)增加网络的安全性;
3、VLAN隔离技术的分类:(1)基于端口的VLAN;(2)基于MAC地址的VLAN;(3)基于第三层的VLAN;(4)基于策略的VLAN。
4.8.4 、逻辑隔离
1、防火墙:是通过提供访问控制服务来实现对内部网络的安全防护的,在Internet上得到广泛的应用。防火墙技术不仅可融入加密传输技术和认证技术,而且可结合安全协议,以提供更高的网络安全。
2、多重安全网关:也称为UTM(统一威胁管理),实现从网络层到应用层的全面检查。多重安全网关的检查分为如下几个层次:(1)FW:网络层的ACL;(2)IPS:防***行为;(3)AV:防病毒***;(4)可扩充功能:自身放DoS***、内容过滤和流量×××等。
3、交换网络:是在两个隔离的网络之间建立一个网络交换区域,负责数据的交换。交换我那个了的两端可以采用多重网关,也可以采用网闸。
4.8.5、物理隔离
1、物理隔离的概念
物理隔离的原理是:每一次数据交换,物理隔离都经历了数据的写入、数据读出两个过程;内网与外网(或内网与专网)永不连接;内网和外网(内网与专网)在同一时刻最多只有一个同物理隔离设备建立非TCP/IP协议的数据连接。
2、物理隔离技术的发展
物理隔离的发展先后经历了5代隔离技术:(1)完全隔离;(2)硬件卡隔离;(3)数据转播隔离;(4)空气开关隔离;(5)安全通道隔离。
4.9 公钥基础结构
4.9.1、公钥密码
1、公钥密码的思想
PKI所依赖的核心思想是公钥密码。公钥算法是基于数学函数而不是基于替换和置换。公钥密码学是非对称的,依赖于一个公开密钥和一个与之在数学上相关但不相同的私钥,且根据密码算法和公开密钥来确定私钥在计算上是不可行。公开密钥用加密和签名认证,私钥则对应地用于解密和签名。
2、公钥加密算法
3、数字签名算法
数字签名是利用一套规则和一个参数集对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性,这里的数据计算通常是密码变换。
4.9.2 PKI组成
1、PKI的概念
公钥基础设施(Public Key Infrastructure,PKI)是一个采用公钥概念和技术来提供安全服务的具有普适性的安全基础设施,是目前网络安全建设的基础与核心。PKI由公开密钥密码技术、数字证书、证书发放机构和关于公开密钥的安全策略等基本成本共同组成的。
PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性和有效性。
4.10 文件加密和电子签章
4.10.1 文件加密技术
文件加密是一种常见的密码学应用。文件加密技术是密码技术、操作系统、文件分析技术的结合。利用以上技术,文件加密主要包括以下内容:(1)文件的内容加密,通常采用二进制加密的方法;(2)文件的属性加密;(3)文件的输入输出和操作工程的加密,即动态文件加密。
4.10.2 EFS概述
加密文件系统(Encrypting File System,EFS),与NTFS紧密集成,给敏感数据提供深层保护。当文件被EFS加密后,只有加密用户和数据恢复代理用户才能解密加密文件,其他用户即使取得该文件的所有权也不能解密。
4.10.3 电子印章的概念
电子签章(electronic signature)也叫电子签名。从法律角度,所谓电子签章,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据;从技术角度,电子签章泛指所有以电子形式存在,依附在电子文件并与其逻辑关联,可用以辨识电子文件签署者身份,保证文件的完整性,并表示签署者同意电子文件所陈述事实的内容。
4.10.4 数字签名
1、可用的数字签名的条件:(1)签名是可信的;(2)签名不可伪造;(3)签名不可重用;(4)签名的文件是不可改变的;(5)签名是不可抵赖的。
4.10.6 数字水印技术
1、数字水印的概念和原理
数字水印是一种有效的数字产品版权和数据安全维护技术,是信息隐藏技术研究领域的一个重要分支,也是电子签章的主要技术之一。它用信号处理的方法在数字化的多媒体数据中嵌入隐藏的标记,这种标记通常是不可见的,只有通过专用的检测器或阅读器才能提取。
2、数字水印的特征和分类
数字水印应具备的特征:(1)不可感知性,或隐蔽性;(2)隐藏位置的安全性;(3)鲁棒性;
数字水印技术可以从不同的角度进行划分:
(1) 按特性划分:分为鲁棒数字水印和脆弱数字水印两类。
(2) 按水印所附载的媒体划分:图像水印、音频水印、视频水印、文本水印以及用于三维网格模型的网络水印等。
(3) 按检测过程划分:可以将数字水影划分为明文水印和盲水印。
(4) 按内容划分:可以将水印划分为有意义水印和无意义水印。
(5) 按用途划分:可以将数字水印划分为票据防伪水印、版权保护水印、篡改提示水印、隐藏标识水印。
4.10.7 密钥管理
1、密钥生产
密钥在概念上被分成两大类:数据加密密钥(DK)和密钥加密密钥(KK)。前者直接对数据进行操作,后者用于保护密钥,使之通过加密而安全传递。
密钥生产需要考虑的因素:(1)增大密钥空间;(2)选择强钥;
(3)密钥的随机性。
2、对称密钥分配
密钥分配需要解决的问题:一是引进自动分配密钥机制,以提高系统的效率;二是尽可能减少系统中驻留的密钥量。
4.11 网络安全应用协议
4.11.1 SSL协议
1、SSL协议概述
SSL协议是网景公司提出的基于Web应用的安全协议。SSL协议指定了一种在应用层协议和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,可以在两个通信应用程序之间提供数据的加密性和可靠性。
SSL协议的基本特性:(1)连接安全;(2)身份认证;(3)可靠性连接。
SSL协议主要包括记录协议、告警协议和握手协议。
2、SSL记录协议
SSL本身是一个分层协议,每一层的消息块都包含有长度、描述和内容。
3、告警协议
告警协议用来为对等实体传递SSL的相关警告,用于标识在什么时候发生了错误或两个主机之间的会话在什么时候终止。
4、握手协议
SSL握手协议是SSL中最复杂的部分。SSL握手协议位于SSL记录协议层上,用于产生会话状态的密码参数,允许服务器和客户机相互验证、协商加密和MAC算法及秘密密钥,用来保护在SSL记录中传送的数据。
4.11.2HTTPS
1、 HTTPS 的概念
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer,基于SSL协议的HTTP)是一个安全通信通道,用于在客户计算机和服务器之间交换信息。它使用安全套接字层进行信息交换,所有的数据在传输过程中都是加密的。
4.12 系统安全
4.12.1 DMZ
DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。
4.12.2 物理安全
1、保证机房环境安全
信息系统中的计算机硬件、网络设备及其运行环境是信息系统的最基本因素,其安全性对信息系统的安全有着十分重要的作用。物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。物理安全包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应和电磁防护等方面的内容。
2、选用可是的传输介质:屏蔽式双绞线的抗干扰能力更强;光纤是超长距离和高容量传输系统最有效的途径。
3、保证供电安全可靠:计算机网络机房供配电系统应该是一个独立的系统,通常由计算机网络设备供电、机房辅助设备供电和其他供电三部分组成。
4.13.3 主机系统安全
主机系统安全主要包括操作系统安全、数据库系统安全、系统访问控制安全、安全审计和主机运行安全。
4.14 安全审计
4.14.1 安全审计的内容
1、安全审计概述
安全审计包括识别、记录、存储、分析与安全相关行为的信息,审计记录用于检查与安全相关的活动和负责人。安全审计是指将系统的各种安全机制和措施与预定的安全目标和策略进行一致性比较,确定各项控制机制是否存在和得到执行,对漏洞的防范是否有效,评价系统安全机制的可依赖程度。
目前已广泛用于评估一个系统的安全性的CC标准对于网络安全审计定义了一套完整的功能,内容包括安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储和安全审计事件选择等。
2、安全审计的功能
安全审计系统就是根据一定的安全策略记录和分析历史操作事件及数据,发现能够改进系统运行性能和系统安全的地方。安全审计的作用包括对潜在的***者起到震慑或警告的作用、检测和制止对安全系统的***、发现计算机的滥用情况、为系统管理员提供系统运行的日志,从而能发现系统***行为和潜在的漏洞及对已经发生的系统***行为提供有效的追究证据。
4.15 安全管理制度
4.15.1 信息安全管理制度的内容
信息安全制度是通过维护信息的机密、完整性和可用性,来识别、评估、管理和保护组织所有的信息资产,制定和实施安全策略、安全标准、安全方针和安全措施的一种*。
安全管理制度主要包括管理制度、制定和发布、评审和修订。
4.15.2 安全风险管理
信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
4.15.3、信息安全策略
信息安全策略是信息安全管理的重要组成部分,在制定信息安全策略时必须遵循三个原则:严格的法律、法规是保障信息系统安全的坚强后盾;先进的网络技术与安全产品是信息安全的根本保证;先进严格的安全管理是确保信息安全策略实施的基础。
1、物理安全策略
物理安全是指物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。
2、网络安全策略;3、系统安全策略;4、数据加密策略;5、信息安全组织管理策略。
第五章 标准化和知识产权
标准化提供统一的行动规范和衡量准则,使得各种工作都能有章可循。无论是从技术层面还是从管理层面来看,标准化在整个IT业乃至社会发展中起着举足轻重的作用。
知识产权是现代社会发展中不可缺少的一种法律制度。
5.1 标准化
5.1.1 标准化的基本概念
1、标准、标准化的定义
标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础,经过有关方面协商一致,由一个公认机构批准,以特定形式发布,作为共同遵守的准则和依据。
标准化是指在经济、技术、科学和管理等社会实践中,对重复性事物和概念通过制定、发布和实施标准达到统一,以获得最佳秩序和社会效益的活动。
5.2 知识产权
5.2.1 知识产权的概念与特点
1、知识产权的概念
知识产权是人们基于自己的智力活动创造的成果和经营管理活动中的经验、知识而依法享有的权力。《×××民法通则》规定,知识产权是指民事权利主体(公民、法人)基于创造性的智力成果。知识产权可分为工业产权和著作权。
(1) 工业产权:包括专利、实用新型、工业品外观设计、商标、服务标记、厂商名称、产地标记或原产地名称、制止不正当竞争等项内容。此外,商业秘密、微生物技术和遗传基因技术等也属于工业产权保护的对象。
(2) 著作权:也称版权,是指作者对其创作的作品享有的人身权和财产权。包括:发言权、署名权、修改权和作品完整权等。财产权包括作品的使用权和获得报酬权,即以复制、表演、播放、展览、发行、摄制电影、电视、录像或者改编、翻译、注释、编辑等方式使用作品的权力,以及许可他人以上述方式使用作品并由此获得报酬的权利。
2、知识产权的特点:(1)无形性;(2)双重性;(3)确认性;(4)独占性;(5)地域性;(6)时间性。
5.2.2 计算机软件著作权的主体与客体
1、计算机软件著作权的主体
计算机软件著作权的主体是指享有著作权的人。主体包括公民、法人和其他组织。
2、计算机软件著作权的客体
计算机软件著作权的客体是指著作权法保护的计算机软件著作权的范围(受保护的对象)。著作权法保护的计算机软件是指计算机程序(源程序和目标程序)及其有关文档(程序设计说明书、流程图和用户手册等)。
5.2.3 计算机软件受著作权法保护的条件
1、独立创作;2、可被感知;3、逻辑合理。
5.2.4 计算机软件著作权的权力
软件作品享有两类权力:一类是软件著作权的人身权(精神权力),另一类是软件著作权的财产权(经济权利)。
5.2.5 计算机软件著作权的行驶
1、软件经济权利的许可使用:(1)独占许可使用;(2)独家许可使用;(3)普通许可使用;(4)法定许可使用和强制许可使用。
2、软件经济权利的转让使用:是指软件著作权人将其享有的软件著作权中的经济权利全部转移给他人。
5.2.6 计算机软件著作权的保护期