計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用（第4版） -課件 史秀峰 第4-6章 局域網(wǎng)技術(shù)-交換與路由技術(shù) - 副本

計(jì)算機(jī)技術(shù)與應(yīng)用（第4版）第4章局域網(wǎng)技術(shù)4.1局域網(wǎng)概述局域網(wǎng)的主要特點(diǎn)局域網(wǎng)通常被限制在中等規(guī)模的地理區(qū)域內(nèi)，采用具有較快的數(shù)據(jù)傳輸速率和較低誤碼率的物理通信信道。具體來說，局域網(wǎng)具有以下主要特點(diǎn)。（1）覆蓋的地理范圍小，覆蓋范圍一般在幾米到數(shù)十千米之間，如一個(gè)房間、一幢大樓、一個(gè)工廠、一所學(xué)校、一個(gè)社區(qū)。（2）數(shù)據(jù)傳輸速率較快。局域網(wǎng)具有較快的數(shù)據(jù)傳輸速率，一般不小于10Mbit/s，以目前的技術(shù)來看，速率可達(dá)10000Mbit/s。（3）傳輸時(shí)延短、誤碼率低。局域網(wǎng)數(shù)據(jù)傳輸質(zhì)量高，由于傳輸距離較短，可使用高質(zhì)量的傳輸介質(zhì)，因此傳輸?shù)臅r(shí)延短，大約在1ms之內(nèi)；局域網(wǎng)誤碼率一般是10-9～10-12，可靠性高。（4）專用網(wǎng)絡(luò)，便于管理。局域網(wǎng)小范圍分布和高速傳輸?shù)奶攸c(diǎn)，使它適用于一個(gè)部門或一個(gè)單位。因此，局域網(wǎng)的所有權(quán)可以歸某個(gè)單位所有，為單位內(nèi)部使用，不需要國家通信部門參與管理。（5）便于安裝和維護(hù)，可靠性高。局域網(wǎng)的安裝比較簡單，擴(kuò)充也很容易，在大量采用的星型局域網(wǎng)中，可以隨時(shí)增加站點(diǎn)，而且在某些站點(diǎn)出現(xiàn)故障時(shí)，整個(gè)網(wǎng)絡(luò)可以正常工作。局域網(wǎng)可以構(gòu)成分布處理系統(tǒng)，故障站點(diǎn)的計(jì)算任務(wù)可以移至其他站點(diǎn)進(jìn)行處理。（6）影響局域網(wǎng)特性的主要技術(shù)因素是傳輸介質(zhì)、拓?fù)浣Y(jié)構(gòu)和介質(zhì)訪問控制方法。（7）如果采用寬帶局域網(wǎng)，則可以實(shí)現(xiàn)對(duì)數(shù)據(jù)、語音和圖像的綜合傳輸；在基帶網(wǎng)上，采用一定的技術(shù)，也有可能實(shí)現(xiàn)語音和靜態(tài)圖像的綜合傳輸，可以為辦公自動(dòng)化提供數(shù)據(jù)傳輸上的支持。（8）協(xié)議簡單、結(jié)構(gòu)靈活、建網(wǎng)成本低、周期短。因?yàn)榫钟蚓W(wǎng)協(xié)議模型只包含OSI參考模型低三層（通信子網(wǎng)）的內(nèi)容，其介質(zhì)訪問控制比較復(fù)雜，所以局域網(wǎng)的數(shù)據(jù)鏈路層分為LLC子層和MAC子層。局域網(wǎng)地理范圍小，通信線路短，網(wǎng)絡(luò)設(shè)備相對(duì)較少，因此可以節(jié)省網(wǎng)絡(luò)建設(shè)成本，縮短建網(wǎng)周期。4.1局域網(wǎng)概述局域網(wǎng)拓?fù)浣Y(jié)構(gòu)從應(yīng)用的角度來看，在中小型局域網(wǎng)中常用到的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有總線型拓?fù)浣Y(jié)構(gòu)、星型拓?fù)浣Y(jié)構(gòu)和環(huán)型拓?fù)浣Y(jié)構(gòu)3種，如圖所示?？偩€型星型環(huán)型4.2介質(zhì)訪問控制方法局域網(wǎng)中的計(jì)算機(jī)都連接在一個(gè)公共信道上，即所有節(jié)點(diǎn)共享介質(zhì)。這個(gè)特點(diǎn)使得網(wǎng)絡(luò)節(jié)點(diǎn)如何有序訪問共享介質(zhì)或如何為每個(gè)節(jié)點(diǎn)分配信道，成為影響局域網(wǎng)性能的重要因素。介質(zhì)訪問控制方法是在局域網(wǎng)中對(duì)數(shù)據(jù)傳輸介質(zhì)進(jìn)行訪問和管理的方法，如圖所示。其主要內(nèi)容有兩個(gè)方面：一是確定網(wǎng)絡(luò)上每個(gè)節(jié)點(diǎn)能夠?qū)⑿畔l(fā)送到介質(zhì)上去的特定時(shí)刻；二是解決如何對(duì)共享介質(zhì)訪問和利用加以控制。介質(zhì)訪問控制在實(shí)現(xiàn)方式上可以分為兩類：靜態(tài)分配信道方法和動(dòng)態(tài)分配信道方法。4.2介質(zhì)訪問控制方法信道分配方法1．靜態(tài)分配信道方法靜態(tài)分配信道方法是傳統(tǒng)的分配信道方法，它采用頻分多路復(fù)用或時(shí)分多路復(fù)用的方法將單個(gè)信道劃分后靜態(tài)地分配給多個(gè)用戶。當(dāng)用戶站點(diǎn)數(shù)較多，或者使用信道的站點(diǎn)數(shù)在不斷變化，或者通信量的變化具有突發(fā)性時(shí)，靜態(tài)頻分多路復(fù)用方法的性能較差，因此傳統(tǒng)的靜態(tài)分配信道方法不完全適合計(jì)算機(jī)網(wǎng)絡(luò)。2．動(dòng)態(tài)分配信道方法動(dòng)態(tài)分配信道方法就是動(dòng)態(tài)地為每個(gè)用戶站點(diǎn)分配信道使用權(quán)。動(dòng)態(tài)分配信道方法通常有3種：輪轉(zhuǎn)、預(yù)約和爭用。（1）輪轉(zhuǎn)：是指使每個(gè)用戶站點(diǎn)輪流獲得發(fā)送的機(jī)會(huì)。這種技術(shù)適合交互式終端對(duì)主機(jī)的通信。（2）預(yù)約：是指將傳輸介質(zhì)上的時(shí)間分隔成時(shí)間片，網(wǎng)上用戶站點(diǎn)若要發(fā)送，必須事先預(yù)約能占用的時(shí)間片。這種技術(shù)適合數(shù)據(jù)流的通信。（3）爭用：是指所有用戶站點(diǎn)都能爭用介質(zhì)的技術(shù)。它實(shí)現(xiàn)起來簡單，對(duì)輕負(fù)載或中等負(fù)載的系統(tǒng)比較有效，適合突發(fā)式通信。爭用方法屬于隨機(jī)訪問技術(shù)，而輪轉(zhuǎn)和預(yù)約方法屬于控制訪問技術(shù)。4.2介質(zhì)訪問控制方法以太網(wǎng)介質(zhì)訪問控制方法以太網(wǎng)的介質(zhì)訪問控制方法就是帶沖突檢測的載波監(jiān)聽多路訪問技術(shù)（CSMA/CD）。它的控制規(guī)則是各用戶之間采用競爭方法搶占傳輸介質(zhì)以取得發(fā)送信息的權(quán)利。CSMA/CD的工作原理可以概述為“先聽后發(fā)，邊聽邊發(fā)，沖突停發(fā)，隨機(jī)重發(fā)”，它不僅體現(xiàn)在以太網(wǎng)中數(shù)據(jù)的發(fā)送過程中，還體現(xiàn)在數(shù)據(jù)的接收過程中。CS—載波監(jiān)聽：每個(gè)節(jié)點(diǎn)監(jiān)視網(wǎng)絡(luò)狀況，確定是否有其他節(jié)點(diǎn)在發(fā)送數(shù)據(jù)。MA—多路訪問：網(wǎng)絡(luò)中的多個(gè)節(jié)點(diǎn)可能試圖同時(shí)發(fā)送數(shù)據(jù)。CD—沖突檢測：每個(gè)節(jié)點(diǎn)通過比較自己發(fā)送的信息是否受損來檢測信號(hào)的沖突。沖突檢測/載波監(jiān)聽介質(zhì)訪問控制的工作過程如下。（1）發(fā)送信息的站點(diǎn)先“監(jiān)聽”信道，看是否有信號(hào)在傳輸，如果發(fā)現(xiàn)信道正忙，就繼續(xù)監(jiān)聽。（2）如果信道空閑，就立即發(fā)送數(shù)據(jù)。注意此時(shí)可能有兩個(gè)站點(diǎn)或更多站點(diǎn)同時(shí)監(jiān)聽并發(fā)現(xiàn)信道空閑，而在信道空閑后有可能同時(shí)發(fā)送數(shù)據(jù)。（3）發(fā)送信息的站點(diǎn)在發(fā)送過程中同時(shí)監(jiān)聽信道，檢測是否有沖突發(fā)生。發(fā)生沖突的結(jié)果是雙方的數(shù)據(jù)都受損。發(fā)送端通過接收信道上的數(shù)據(jù)并與發(fā)送的數(shù)據(jù)進(jìn)行比較，就可以判斷是否發(fā)生了沖突。（4）當(dāng)發(fā)送端檢測到?jīng)_突后，就立即停止數(shù)據(jù)的傳輸，并向信道發(fā)送長度為4字節(jié)的“干擾”信號(hào)，以確保其他站點(diǎn)也發(fā)現(xiàn)該沖突。之后等待一段時(shí)間再嘗試發(fā)送。4.3局域網(wǎng)的組成組成一個(gè)局域網(wǎng)有三大要素：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)硬件系統(tǒng)及網(wǎng)絡(luò)軟件系統(tǒng)。在三大要素中，通常優(yōu)先選擇網(wǎng)絡(luò)軟件系統(tǒng)，根據(jù)網(wǎng)絡(luò)軟件系統(tǒng)選擇所支持的網(wǎng)絡(luò)結(jié)構(gòu)，并由此確定網(wǎng)絡(luò)硬件系統(tǒng)。局域網(wǎng)的硬件系統(tǒng)通常組建星型局域網(wǎng)需要的網(wǎng)絡(luò)硬件主要包括服務(wù)器、網(wǎng)絡(luò)工作站、網(wǎng)絡(luò)適配器（網(wǎng)卡）、交換機(jī)及傳輸介質(zhì)。局域網(wǎng)的軟件系統(tǒng)如果計(jì)算機(jī)只有硬件而沒有軟件，則既不能啟動(dòng)，也無法運(yùn)行，更無法完成任何工作。同樣，沒有網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)，也無法實(shí)現(xiàn)計(jì)算機(jī)之間的通信，網(wǎng)絡(luò)設(shè)備也只能是一堆擺設(shè)。計(jì)算機(jī)在網(wǎng)絡(luò)中的地位主要是由網(wǎng)絡(luò)操作系統(tǒng)來決定的。組建局域網(wǎng)的基礎(chǔ)是網(wǎng)絡(luò)硬件，網(wǎng)絡(luò)的使用和維護(hù)要依賴網(wǎng)絡(luò)軟件。在局域網(wǎng)上使用的網(wǎng)絡(luò)軟件主要有網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)庫管理系統(tǒng)和網(wǎng)絡(luò)應(yīng)用軟件。4.4局域網(wǎng)的工作模式不同的網(wǎng)絡(luò)模式，其工作特點(diǎn)和所提供的服務(wù)是不同的。因此，用戶應(yīng)當(dāng)根據(jù)所運(yùn)行的應(yīng)用程序的需要，選擇合適的網(wǎng)絡(luò)模式。局域網(wǎng)有以下4種網(wǎng)絡(luò)模式。●集中式處理的主機(jī)—終端機(jī)網(wǎng)絡(luò)模式?！駥?duì)等網(wǎng)網(wǎng)絡(luò)模式?！窨蛻魴C(jī)/服務(wù)器網(wǎng)絡(luò)模式。●瀏覽器/服務(wù)器網(wǎng)絡(luò)模式。在以上網(wǎng)絡(luò)模式中，主機(jī)—終端機(jī)網(wǎng)絡(luò)模式主要應(yīng)用于銀行等具有特殊要求的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在局域網(wǎng)中并不多見。4.4局域網(wǎng)的工作模式對(duì)等網(wǎng)的特點(diǎn)（1）主機(jī)地位相等。當(dāng)要使用網(wǎng)絡(luò)中的某種資源時(shí)，對(duì)等網(wǎng)中的每臺(tái)計(jì)算機(jī)都可作為客戶機(jī)；當(dāng)需要為網(wǎng)絡(luò)中的其他用戶提供某種資源時(shí)，對(duì)等網(wǎng)中的每臺(tái)計(jì)算機(jī)都可作為服務(wù)器。所以，對(duì)等網(wǎng)中的計(jì)算機(jī)既可作為服務(wù)器，也可作為客戶機(jī)。實(shí)際上，網(wǎng)絡(luò)上所有的打印機(jī)、光驅(qū)、硬盤、調(diào)制解調(diào)器等諸多設(shè)備都能進(jìn)行共享。（2）管理方便。對(duì)等網(wǎng)中的每臺(tái)計(jì)算機(jī)都有絕對(duì)的自主權(quán)，自行管理自己的資源和賬戶，用戶自行決定資源是否共享，其管理方式是分散的。但也因其安全性較差，復(fù)雜的網(wǎng)絡(luò)管理功能（如安全的遠(yuǎn)程訪問等）無法實(shí)現(xiàn)。（3）成本低廉。對(duì)等網(wǎng)不需要專用服務(wù)器，也不需要功能強(qiáng)大的交換設(shè)備，系統(tǒng)配置簡單，維護(hù)費(fèi)用低。若用戶對(duì)小型局域網(wǎng)的網(wǎng)絡(luò)功能和服務(wù)要求不高，對(duì)等網(wǎng)就可以滿足用戶的需要，如辦公室、家庭和游戲廳等。4.4局域網(wǎng)的工作模式客戶機(jī)/服務(wù)器網(wǎng)絡(luò)模式的特點(diǎn)（1）分工明確。在客戶機(jī)/服務(wù)器網(wǎng)絡(luò)模式中，計(jì)算機(jī)分工明確。服務(wù)器負(fù)責(zé)網(wǎng)絡(luò)資源的管理和提供網(wǎng)絡(luò)服務(wù)，客戶機(jī)向服務(wù)器請(qǐng)求服務(wù)和訪問共享資源。明確分工便于將重要的數(shù)據(jù)集中，使訪問變得更加方便和安全，并且可以提供強(qiáng)大的網(wǎng)絡(luò)服務(wù)。這是對(duì)等網(wǎng)無法做到的。（2）集中式管理。在這種網(wǎng)絡(luò)模式中，服務(wù)器承擔(dān)集中式網(wǎng)絡(luò)的管理工作。從用戶身份的驗(yàn)證到資源訪問控制都是在服務(wù)器上進(jìn)行的，網(wǎng)絡(luò)管理更加方便和專業(yè)?？蛻魴C(jī)不需要進(jìn)行網(wǎng)絡(luò)管理工作，只要關(guān)注網(wǎng)絡(luò)的使用即可。（3）可擴(kuò)充性好?？蛻魴C(jī)/服務(wù)器網(wǎng)絡(luò)模式的可擴(kuò)充性優(yōu)于對(duì)等網(wǎng)網(wǎng)絡(luò)模式的可擴(kuò)充性。在對(duì)等網(wǎng)中，添加一臺(tái)主機(jī)后，由于對(duì)資源控制的需要，可能在網(wǎng)絡(luò)中的每臺(tái)主機(jī)上都進(jìn)行一定的配置；在客戶機(jī)/服務(wù)器網(wǎng)絡(luò)模式中，當(dāng)需要增加主機(jī)時(shí)，不需要重新設(shè)計(jì)，直接增加計(jì)算機(jī)即可。4.4局域網(wǎng)的工作模式瀏覽器/服務(wù)器網(wǎng)絡(luò)模式的缺點(diǎn)（1）個(gè)性化特點(diǎn)明顯降低，無法實(shí)現(xiàn)具有個(gè)性化的功能要求。完全基于服務(wù)器，脫離服務(wù)器就無法正常運(yùn)行。（2）以鼠標(biāo)為最基本的操作工具，無法滿足快速操作的要求。用戶必須使用輔助的插件，才可以用鍵盤進(jìn)行快速操作。（3）頁面動(dòng)態(tài)刷新，響應(yīng)速度明顯降低。瀏覽器/服務(wù)器網(wǎng)絡(luò)模式對(duì)服務(wù)器要求過高，數(shù)據(jù)傳輸速度慢。（4）功能弱化，難以實(shí)現(xiàn)傳統(tǒng)模式下的特殊功能要求。例如，通過瀏覽器進(jìn)行大量的數(shù)據(jù)輸入或進(jìn)行報(bào)表的應(yīng)答、專用性打印輸出等都比較困難和不便。（5）面臨的安全威脅較大。用戶都是不可知的，需要加強(qiáng)防護(hù)。4.5典型局域網(wǎng)1.傳統(tǒng)以太網(wǎng)以太網(wǎng)在已有的各種局域網(wǎng)標(biāo)準(zhǔn)中是應(yīng)用最廣泛、最成熟的一種局域網(wǎng)技術(shù)，由美國的施樂公司于1975年研制成功。采用CSMA/CD（沖突檢測/載波監(jiān)聽）介質(zhì)訪問控制方法，使用的典型拓?fù)浣Y(jié)構(gòu)是總線型，傳輸速率理論值為10Mbit/s，實(shí)際的傳輸速率為2Mbit/s～3Mbit/s，不適用于大型或忙碌的網(wǎng)絡(luò)。常見的以太網(wǎng)有4種類型：10Base5、10Base2、10Base-T和10Base-F，其傳輸介質(zhì)分別為粗纜、細(xì)纜、雙絞線和光纖。2.快速以太網(wǎng)快速以太網(wǎng)與傳統(tǒng)以太網(wǎng)類似，執(zhí)行的是以太網(wǎng)的擴(kuò)展標(biāo)準(zhǔn)，保留著傳統(tǒng)以太網(wǎng)的所有特征：相同的數(shù)據(jù)格式、介質(zhì)訪問控制方法與組網(wǎng)方法，將數(shù)據(jù)發(fā)送時(shí)間由100ns縮短為10ns，傳輸速率可達(dá)100Mbit/s。在快速以太網(wǎng)標(biāo)準(zhǔn)中，應(yīng)用最廣泛的是100Base-TX，規(guī)定使用兩對(duì)五類非屏蔽雙絞線作為傳輸介質(zhì)，一對(duì)用于發(fā)送數(shù)據(jù)，另一對(duì)用于接收數(shù)據(jù)，每段最大長度為100m。4.5典型局域網(wǎng)3.千兆位以太網(wǎng)1998年2月，IEEE802委員會(huì)正式批準(zhǔn)了千兆位以太網(wǎng)標(biāo)準(zhǔn)，它與以太網(wǎng)、快速以太網(wǎng)相似，采用同樣的CSMA/CD介質(zhì)訪問控制方法和幀格式，傳輸速率可達(dá)1Gbit/s，并向下兼容已有的傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)，能夠?qū)?0Mbit/s、100Mbit/s和1000Mbit/s三種不同的傳輸速率完美地組成一個(gè)網(wǎng)絡(luò)，是原有以太網(wǎng)最自然的升級(jí)途徑。千兆位以太網(wǎng)主要有以下5個(gè)標(biāo)準(zhǔn)。（1）1000Base-SX（2）1000Base-LX（3）1000Base-CX（4）1000Base-T（5）1000Base-TX目前，千兆位以太網(wǎng)已經(jīng)發(fā)展成為主流網(wǎng)絡(luò)技術(shù)，大到成千上萬人的大型企業(yè)，小到幾十人的中小型企業(yè)，在建設(shè)企業(yè)局域網(wǎng)時(shí)都會(huì)把千兆位以太網(wǎng)技術(shù)作為首選的高速網(wǎng)絡(luò)技術(shù)。4.5典型局域網(wǎng)4.萬兆位以太網(wǎng)萬兆位以太網(wǎng)標(biāo)準(zhǔn)在2002年6月由IEEE802.3委員會(huì)制定完成。萬兆位以太網(wǎng)仍然保持以太網(wǎng)的幀格式，這就使用戶在將以太網(wǎng)升級(jí)后，仍能和低速的以太網(wǎng)通信。由于傳輸速率太高，萬兆位以太網(wǎng)不再使用銅線而只使用光纖作為傳輸介質(zhì)，它使用長距離（超過40km）的光收發(fā)器與單模光纖接口，以便能工作在廣域網(wǎng)和城域網(wǎng)的范圍。另外，萬兆位以太網(wǎng)只能在全雙工通信方式下工作，因此不會(huì)出現(xiàn)沖突問題，也不使用CSMA/CD協(xié)議。這就使得萬兆位以太網(wǎng)的傳輸距離不再受沖突檢測的限制。5.ATM網(wǎng)ATM即異步傳輸模式，是高速分組交換技術(shù)，其基本數(shù)據(jù)傳輸單元是信元。在ATM交換方式中，文本、語音、視頻等所有數(shù)據(jù)被分解成長度固定的信元，信元由一個(gè)5字節(jié)的元頭和一個(gè)48字節(jié)的用戶數(shù)據(jù)組成，長度為53字節(jié)。ATM數(shù)據(jù)傳輸就是在高頻通道中建立虛擬通道和虛擬路徑，并利用高速交換機(jī)使固定長度的信元執(zhí)行非同步的信元交換，其速率可達(dá)155Mbit/s。ATM網(wǎng)具有以下優(yōu)點(diǎn)。（1）ATM網(wǎng)的網(wǎng)絡(luò)用戶可以獨(dú)享全部頻寬，即使網(wǎng)絡(luò)中增加計(jì)算機(jī)的數(shù)量，傳輸速率也不會(huì)降低。（2）由于ATM數(shù)據(jù)被分成固定長度的信元，因此能夠比傳統(tǒng)的數(shù)據(jù)包交換更容易達(dá)到較高的傳輸速率。（3）能夠同時(shí)滿足數(shù)據(jù)及語音、影像等多媒體數(shù)據(jù)的傳輸需求。（4）可以同時(shí)應(yīng)用于廣域網(wǎng)和局域網(wǎng)中，無須選擇路由，大大提高了廣域網(wǎng)的傳輸速率。必須使用光纖作為傳輸介質(zhì)，主要應(yīng)用于主干網(wǎng)。4.6無線局域網(wǎng)無線局域網(wǎng)的用途無線局域網(wǎng)節(jié)點(diǎn)之間的連接不需要電纜，在組建、使用和擴(kuò)充時(shí)十分方便、靈活。它的主要用途有以下4個(gè)方面。1．?dāng)U充有線局域網(wǎng)通過無線訪問點(diǎn)可以把無線局域網(wǎng)聯(lián)入有線局域網(wǎng)，特別是需要把局域網(wǎng)的范圍擴(kuò)大到一些電纜布線不便的場所，這種連接方式尤為必要。2．連接建筑物之間的局域網(wǎng)被連接的局域網(wǎng)可以是有線的，也可以是無線的。當(dāng)兩個(gè)建筑物被河流、高速公路等隔開的情況下，使用無線網(wǎng)絡(luò)連接兩個(gè)建筑物之間的局域網(wǎng)是一種明智的選擇。3．實(shí)現(xiàn)漫游訪問漫游訪問是指為帶無線網(wǎng)卡的筆記本電腦等移動(dòng)設(shè)備提供與有線局域網(wǎng)的連接。移動(dòng)節(jié)點(diǎn)可以通過不同的訪問點(diǎn)接入有線局域網(wǎng)。4．構(gòu)建臨時(shí)網(wǎng)使用無線網(wǎng)絡(luò)來實(shí)現(xiàn)一個(gè)臨時(shí)需要的對(duì)等網(wǎng)顯然比較方便，如學(xué)術(shù)會(huì)議論文交流、交易會(huì)產(chǎn)品信息互通。把用戶的計(jì)算機(jī)連接到一個(gè)臨時(shí)的網(wǎng)絡(luò)上，會(huì)議結(jié)束后網(wǎng)絡(luò)自然就撤除了。4.7交換式局域網(wǎng)交換式局域網(wǎng)的核心設(shè)備是以太網(wǎng)交換機(jī)。盡管交換機(jī)和集線器在外形上非常相似，但它們?cè)诠ぷ髟砩嫌兄镜膮^(qū)別。交換機(jī)的每個(gè)端口都能獨(dú)享帶寬，所有端口都能夠同時(shí)進(jìn)行并發(fā)通信，并且能夠在全雙工模式下提供雙倍的傳輸速率。而集線器構(gòu)建的網(wǎng)絡(luò)為共享式網(wǎng)絡(luò)，在同一時(shí)刻，只有一個(gè)接收數(shù)據(jù)端口和一個(gè)發(fā)送數(shù)據(jù)端口進(jìn)行通信，所有的端口分享固有的帶寬。例如，對(duì)于普通100Mbit/s的共享式以太網(wǎng)，若共有N個(gè)用戶，則每個(gè)用戶占有的平均帶寬只有總帶寬（100Mbit/s）的1/N。在使用以太網(wǎng)交換機(jī)時(shí)，雖然每個(gè)端口到主機(jī)的數(shù)據(jù)傳輸速率還是100Mbit/s，但用戶在通信時(shí)是獨(dú)占而不是和其他網(wǎng)絡(luò)用戶共享帶寬，這也是交換機(jī)的最大優(yōu)點(diǎn)，如圖所示。第5章網(wǎng)絡(luò)管理與安全5.1網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)對(duì)人們的意義越來越重要。網(wǎng)絡(luò)環(huán)境已經(jīng)成為一個(gè)現(xiàn)代化辦公場所的基礎(chǔ)，成為維持業(yè)務(wù)正常運(yùn)轉(zhuǎn)的基本條件。在人們對(duì)網(wǎng)絡(luò)的依賴程度不斷增加的同時(shí)，網(wǎng)絡(luò)本身的功能及結(jié)構(gòu)也變得越來越復(fù)雜，網(wǎng)絡(luò)中資源的種類和數(shù)量也在急劇增加。如何管好、用好網(wǎng)絡(luò)，使網(wǎng)絡(luò)保持在一個(gè)穩(wěn)定的工作狀態(tài)，盡量發(fā)揮其最大作用，成為網(wǎng)絡(luò)管理員的一項(xiàng)基本工作。網(wǎng)絡(luò)系統(tǒng)的管理涉及網(wǎng)絡(luò)軟/硬件系統(tǒng)管理、輔助設(shè)施管理和用戶管理等多個(gè)方面，工作復(fù)雜且十分重要。只有對(duì)網(wǎng)絡(luò)進(jìn)行有效的管理和維護(hù)，才能保持網(wǎng)絡(luò)正常運(yùn)行，為用戶提供更好的網(wǎng)絡(luò)服務(wù)。按照國際標(biāo)準(zhǔn)化組織的定義，網(wǎng)絡(luò)管理是指規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動(dòng)，以使網(wǎng)絡(luò)的性能達(dá)到最優(yōu)。網(wǎng)絡(luò)管理的目的在于提供對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行規(guī)劃、設(shè)計(jì)、操作運(yùn)行、管理、監(jiān)視、分析、控制、評(píng)估和擴(kuò)展的手段，從而合理地組織和利用系統(tǒng)資源，提供安全、可靠、有效和友好的服務(wù)。通俗地講，網(wǎng)絡(luò)管理就是通過某些方式對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)、監(jiān)督和控制，使網(wǎng)絡(luò)能正常高效地運(yùn)行，并且當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，能夠及時(shí)報(bào)告并進(jìn)行處理。5.1網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理中心與網(wǎng)絡(luò)管理功能1.網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心通常由一組功能不同的控制設(shè)備組成，它們指揮和控制網(wǎng)絡(luò)中心的其他設(shè)備，一起完成網(wǎng)絡(luò)管理的任務(wù)。網(wǎng)絡(luò)管理中心向網(wǎng)絡(luò)中心的各種設(shè)備發(fā)出控制命令，這些設(shè)備執(zhí)行命令并返回結(jié)果。除此之外，網(wǎng)絡(luò)管理中心還可以直接收集其他設(shè)備定期或隨時(shí)發(fā)來的各種統(tǒng)計(jì)信息和報(bào)警報(bào)告，對(duì)其進(jìn)行分析，并確定進(jìn)一步的控制操作。網(wǎng)絡(luò)管理中心的配置通常與網(wǎng)絡(luò)管理方式及網(wǎng)絡(luò)規(guī)模密切相關(guān)。網(wǎng)絡(luò)管理方式主要有集中式管理和分布式管理兩類，前者適合網(wǎng)絡(luò)管理中心或直接使某臺(tái)設(shè)備兼含網(wǎng)管功能時(shí)使用；當(dāng)網(wǎng)絡(luò)規(guī)模較大、網(wǎng)絡(luò)設(shè)備分布較廣時(shí)，由于管理信息量增多，因此通常采用分布式管理方式，并用一組網(wǎng)絡(luò)管理中心協(xié)同進(jìn)行管理。每個(gè)網(wǎng)絡(luò)管理中心負(fù)責(zé)實(shí)施一定區(qū)域和一定層次的網(wǎng)絡(luò)管理任務(wù)。當(dāng)網(wǎng)絡(luò)中需要設(shè)置網(wǎng)絡(luò)管理中心時(shí)，其核心設(shè)備是一臺(tái)或幾臺(tái)網(wǎng)管服務(wù)器，網(wǎng)管服務(wù)器配置了海量存儲(chǔ)設(shè)備，保存必要的系統(tǒng)軟件映像、數(shù)據(jù)庫信息和實(shí)用開發(fā)軟件等。網(wǎng)管服務(wù)器通過與其他網(wǎng)絡(luò)設(shè)備進(jìn)行通信，自動(dòng)執(zhí)行網(wǎng)絡(luò)的管理和控制，同時(shí)向操作人員顯示網(wǎng)絡(luò)運(yùn)行狀態(tài)，進(jìn)行報(bào)警信息和統(tǒng)計(jì)信息的顯示和打印等。鑒于網(wǎng)絡(luò)管理中心所處的重要地位，其中的設(shè)備通常采用雙機(jī)切換工作方式，以確保網(wǎng)絡(luò)管理的高可靠性。5.1網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理功能一個(gè)功能完善的網(wǎng)絡(luò)管理系統(tǒng)對(duì)于網(wǎng)絡(luò)來說有著極為重要的意義。國際標(biāo)準(zhǔn)化組織在網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中定義了網(wǎng)絡(luò)管理具有以下5個(gè)方面的功能。（1）配置管理。（2）故障管理。（3）性能管理。（4）記賬管理。（5）安全管理。5.1網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理協(xié)議國際上的網(wǎng)絡(luò)管理協(xié)議有很多，除專門的標(biāo)準(zhǔn)化組織制定的一些協(xié)議外，網(wǎng)絡(luò)發(fā)展比較早的機(jī)構(gòu)和廠家，如IBM公司、Internet組織和DEC公司，也制定了一些應(yīng)用在各自網(wǎng)絡(luò)上的管理協(xié)議。其中，最著名和應(yīng)用最廣泛的是Internet組織的簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）。1．SNMP的特點(diǎn)SNMP是一系列協(xié)議組和規(guī)范，提供了一種從各種網(wǎng)絡(luò)設(shè)備中收集網(wǎng)絡(luò)管理信息的方法。它的基本功能包括網(wǎng)絡(luò)性能監(jiān)測、網(wǎng)絡(luò)差錯(cuò)的檢測與分析、配置網(wǎng)絡(luò)設(shè)備等。利用SNMP，網(wǎng)絡(luò)管理人員能夠方便地管理網(wǎng)絡(luò)的性能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)故障。SNMP是基于TCP/IP開發(fā)的，但它的性能監(jiān)測和控制活動(dòng)是獨(dú)立于TCP/IP的，而且SNMP僅需要TCP/IP提供無連接的數(shù)據(jù)報(bào)傳輸服務(wù)。所以，SNMP很容易應(yīng)用到其他網(wǎng)絡(luò)中。2．SNMP的基本組成SNMP采用管理者—代理的管理模型，代理響應(yīng)SNMP服務(wù)器的請(qǐng)求，收集服務(wù)器、網(wǎng)卡、集線器、交換機(jī)、路由器等被管理對(duì)象的各種數(shù)據(jù)，并將這些數(shù)據(jù)傳輸?shù)絊NMP服務(wù)器的MIB數(shù)據(jù)庫中。SNMP的管理模型包括三個(gè)基本組成部分：管理代理、管理進(jìn)程和管理信息庫。5.1網(wǎng)絡(luò)管理網(wǎng)絡(luò)故障的解決步驟在排除故障時(shí)，有序的方法有助于解決所遇到的任何困難。如圖所示是一般網(wǎng)絡(luò)故障排除流程。3．故障排除常用方法網(wǎng)絡(luò)故障的現(xiàn)象有很多，即使同一個(gè)故障，其表面現(xiàn)象也可能不一樣。所以，在解決問題時(shí)，要善于抓住問題的本質(zhì)，用最快的速度排除故障。兩種常用的故障排除方法：（1）分段故障排除法。（2）替換法。5.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全概述計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用已經(jīng)對(duì)經(jīng)濟(jì)、文化、教育與科學(xué)的發(fā)展產(chǎn)生了重要的影響，同時(shí)也不可避免地帶來了一些新的社會(huì)、道德、政治與法律問題。從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義上說，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。ISO74982文獻(xiàn)中對(duì)網(wǎng)絡(luò)安全的定義：“安全就是最大限度地減少數(shù)據(jù)和資源被攻擊的可能性?！盜nternet的最大特點(diǎn)就是開放性，對(duì)于安全來說，這是它致命的弱點(diǎn)。正如一句話所說：Internet的美妙之處在于你和每個(gè)人都能互相連接，Internet的可怕之處在于每個(gè)人都能和你互相連接。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于如何防范外部非法攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護(hù)重要的信息數(shù)據(jù)，提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和解決的一個(gè)重要問題。5.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全關(guān)注的范圍網(wǎng)絡(luò)安全是網(wǎng)絡(luò)必須面對(duì)的一個(gè)實(shí)際問題，同時(shí)網(wǎng)絡(luò)安全又是一個(gè)綜合性的技術(shù)。網(wǎng)絡(luò)安全關(guān)注的范圍如下。（1）保護(hù)網(wǎng)絡(luò)物理線路不會(huì)輕易遭受攻擊。物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和鏈路免受自然災(zāi)害、人為破壞和搭線攻擊，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷窺、破壞活動(dòng)的發(fā)生。（2）有效識(shí)別合法的和非法的用戶。驗(yàn)證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作。（3）實(shí)現(xiàn)有效的訪問控制。訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其目的是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪問控制策略包括入網(wǎng)訪問控制策略、操作權(quán)限控制策略和防火墻控制策略等方面的內(nèi)容。（4）保證內(nèi)部的隱蔽性。通過NAT或ASPF技術(shù)保護(hù)網(wǎng)絡(luò)的隱蔽性。（5）有效的防偽手段，重要的數(shù)據(jù)重點(diǎn)保護(hù)。采用IPSec技術(shù)對(duì)傳輸數(shù)據(jù)加密。（6）對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾?。部署網(wǎng)管軟件對(duì)全網(wǎng)設(shè)備進(jìn)行監(jiān)控。（7）病毒防范。加強(qiáng)對(duì)網(wǎng)絡(luò)中病毒的實(shí)時(shí)防御。（8）提高安全防范意識(shí)。制定信息安全管理制度，賞罰分明，提高全員安全防范意識(shí)。5.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全的目標(biāo)網(wǎng)絡(luò)安全到底要保護(hù)什么？唯一的答案：用戶業(yè)務(wù)的安全。離開用戶的業(yè)務(wù)談安全是沒有意義的。網(wǎng)絡(luò)安全的目標(biāo)應(yīng)當(dāng)滿足以下幾點(diǎn)。（1）身份真實(shí)性：能對(duì)通信實(shí)體身份的真實(shí)性進(jìn)行鑒別。（2）信息機(jī)密性：保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。（3）信息完整性：保證數(shù)據(jù)的一致性，能夠防止數(shù)據(jù)被非授權(quán)的人或?qū)嶓w建立、修改和破壞。（4）服務(wù)可用性：保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^。（5）不可否認(rèn)性：建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為。（6）系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。（7）系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應(yīng)當(dāng)操作簡單，維護(hù)方便。（8）可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。網(wǎng)絡(luò)安全的目標(biāo)是通過技術(shù)手段保證信息的安全。5.3網(wǎng)絡(luò)安全機(jī)制網(wǎng)絡(luò)安全機(jī)制是一種用于解決和處理某種安全問題的方法，它的引入提供了一種有效解決網(wǎng)絡(luò)安全威脅的途徑。隨著TCP/IP在互聯(lián)網(wǎng)上的廣泛采用，信息技術(shù)與網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展，隨之而來的是安全風(fēng)險(xiǎn)問題的急劇增加。為了保護(hù)國家公眾信息網(wǎng)、企業(yè)內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)信息及數(shù)據(jù)的安全，要大力發(fā)展基于信息網(wǎng)絡(luò)的安全技術(shù)。國際標(biāo)準(zhǔn)化組織（ISO）在開放系統(tǒng)互連參考模型（OSI/RM）的基礎(chǔ)上，于1989年制定了在OSI環(huán)境下解決網(wǎng)絡(luò)安全的規(guī)則：安全體系結(jié)構(gòu)。它擴(kuò)充了基本參考模型，加入了安全問題的各個(gè)方面，為開放系統(tǒng)的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系結(jié)構(gòu)同樣包含7層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。5.3網(wǎng)絡(luò)安全機(jī)制加密技術(shù)加密是保護(hù)數(shù)據(jù)免遭攻擊的一種主要方法，不但可以維護(hù)數(shù)據(jù)的隱秘性，而且可以協(xié)助辨識(shí)、保護(hù)數(shù)據(jù)的完整性。因此，加密是最重要的，也是應(yīng)用最廣泛的一種保護(hù)數(shù)據(jù)的方法。在加密處理過程中，需要保密的信息叫作明文，經(jīng)加密處理后的信息叫作密文。加密是將明文轉(zhuǎn)換為密文的過程，該過程的逆過程叫作解密，即將密文轉(zhuǎn)換為明文的過程。在計(jì)算機(jī)網(wǎng)絡(luò)中，加密可分為通信加密（傳輸過程中的數(shù)據(jù)加密）和文件加密（存儲(chǔ)數(shù)據(jù)的加密）。而通信加密又可分為節(jié)點(diǎn)加密、鏈路加密和端－端加密三種方式。目前，在網(wǎng)絡(luò)環(huán)境下經(jīng)常使用的加密算法有對(duì)稱性算法、非對(duì)稱性算法和單向函數(shù)法。對(duì)稱性算法是指加密和解密使用同一個(gè)密鑰；非對(duì)稱性算法是指加密和解密分別使用不同的密鑰；單向函數(shù)法是指數(shù)據(jù)經(jīng)由該函數(shù)轉(zhuǎn)換后，所得結(jié)果與原數(shù)據(jù)不同，并且從該結(jié)果數(shù)據(jù)難以推算還原至原來的數(shù)據(jù)。單向函數(shù)法雖然只能進(jìn)行單向的轉(zhuǎn)換，但在安全防護(hù)上有特殊的用途。5.3網(wǎng)絡(luò)安全機(jī)制安全認(rèn)證技術(shù)網(wǎng)絡(luò)安全認(rèn)證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分。認(rèn)證指的是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效的一個(gè)過程，其基本思想是通過驗(yàn)證被認(rèn)證對(duì)象的屬性來達(dá)到確認(rèn)被認(rèn)證對(duì)象是否真實(shí)有效的目的。被認(rèn)證對(duì)象的屬性可以是口令、數(shù)字簽字，也可以是頭像、指紋、聲音、視網(wǎng)膜這樣的生理特征。認(rèn)證常常被用于通信雙方相互確認(rèn)身份，以保證通信的安全，一般可分為兩種：身份認(rèn)證技術(shù)和消息認(rèn)證技術(shù)。1．身份認(rèn)證技術(shù)身份認(rèn)證是證實(shí)實(shí)體身份的過程，是保證系統(tǒng)安全的重要措施之一。當(dāng)服務(wù)器提供服務(wù)時(shí)，需要確認(rèn)訪問者的身份，訪問者有時(shí)也需要確認(rèn)服務(wù)提供者的身份。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)虛擬的數(shù)字世界。在這個(gè)數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。2．消息認(rèn)證技術(shù)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)網(wǎng)絡(luò)傳輸過程中信息的保密性提出了更高的要求，這些要求主要包括以下幾點(diǎn)。（1）對(duì)敏感的文件進(jìn)行加密，即使別人截取文件也無法得到其內(nèi)容。（2）保證數(shù)據(jù)的完整性，防止截獲人在文件中加入其他信息。（3）對(duì)數(shù)據(jù)和信息的來源進(jìn)行驗(yàn)證，以確保發(fā)信人的身份。消息認(rèn)證實(shí)際上是針對(duì)消息本身生成一個(gè)冗余的信息—MAC（消息認(rèn)證碼），消息認(rèn)證碼是利用密鑰針對(duì)要認(rèn)證的消息生成新的數(shù)據(jù)塊并對(duì)數(shù)據(jù)塊加密生成的。它對(duì)于要保護(hù)的信息來說是唯一的，因?yàn)榭梢杂行У乇Ｗo(hù)消息的完整性，以及實(shí)際發(fā)送端消息的不可抵賴和不能偽造。隨著密碼技術(shù)與計(jì)算機(jī)計(jì)算能力的提高，消息認(rèn)證的實(shí)現(xiàn)方式也在不斷改進(jìn)和更新，多種實(shí)現(xiàn)方式會(huì)為更安全的消息認(rèn)證碼提供保障。5.4防火墻技術(shù)防火墻的概念目前，保護(hù)網(wǎng)絡(luò)安全最主要的手段之一是構(gòu)筑防火墻。防火墻是一種隔離控制技術(shù)，它在某個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全的外部網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，用來保護(hù)內(nèi)部的網(wǎng)絡(luò)不受來自外界的侵害，阻止對(duì)信息資源的非法訪問，也可以用來阻止保密信息從企業(yè)的網(wǎng)絡(luò)上被非法傳出，如圖所示。防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度，它允許網(wǎng)絡(luò)管理人員“同意”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時(shí)將網(wǎng)絡(luò)管理人員“不同意”的人和數(shù)據(jù)拒之門外，阻止網(wǎng)絡(luò)中的黑客訪問其網(wǎng)絡(luò)，防止他們更改、復(fù)制或毀壞重要信息。5.4防火墻技術(shù)防火墻的作用防火墻是網(wǎng)絡(luò)安全的第一道防線。防火墻利用隔離控制技術(shù)，將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相對(duì)分開。這種技術(shù)的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境下構(gòu)造一種相對(duì)安全的內(nèi)部網(wǎng)絡(luò)環(huán)境。因此，在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，先要了解防火墻具備的基本功能，這是選擇防火墻的依據(jù)和前提。一般而言，防火墻應(yīng)該具有下述基本功能。（1）過濾信息并保護(hù)網(wǎng)絡(luò)上的服務(wù)。通過過濾一些先天就不安全的服務(wù)，能夠極大地增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性，降低內(nèi)部網(wǎng)絡(luò)中主機(jī)被攻擊的危險(xiǎn)性。（2）控制對(duì)網(wǎng)絡(luò)中系統(tǒng)的訪問。防火墻具有控制訪問網(wǎng)絡(luò)中系統(tǒng)的功能。例如，來自外部網(wǎng)絡(luò)的請(qǐng)求可以到達(dá)內(nèi)部網(wǎng)絡(luò)的指定機(jī)器，而無法到達(dá)內(nèi)部網(wǎng)絡(luò)的其他機(jī)器，保證了內(nèi)部網(wǎng)絡(luò)的安全。（3）集中和簡化安全管理。使用防火墻可以使網(wǎng)絡(luò)管理無須針對(duì)內(nèi)部網(wǎng)絡(luò)的每臺(tái)主機(jī)專門配置安全策略，只要針對(duì)防火墻做合理的配置，就可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的保護(hù)。當(dāng)安全策略需要調(diào)整時(shí)，修改防火墻即可，實(shí)現(xiàn)了對(duì)內(nèi)部網(wǎng)絡(luò)的集中和簡化安全管理。（4）方便監(jiān)視網(wǎng)絡(luò)的安全性。對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)而言，重要的問題并不是網(wǎng)絡(luò)是否受到攻擊，而是何時(shí)會(huì)受到攻擊。防火墻可以在受到攻擊時(shí)通過E-mail、短信等方式及時(shí)通知網(wǎng)絡(luò)管理員做出響應(yīng)和處理。（5）增強(qiáng)網(wǎng)絡(luò)的保密性。保密性是指保證信息不會(huì)被泄露與擴(kuò)散。保密性在一些網(wǎng)絡(luò)中是首先要考慮的問題，因此通常被認(rèn)為是無害的信息，實(shí)際上包含著對(duì)攻擊者有用的線索。（6）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控和審計(jì)。例如，防火墻會(huì)將內(nèi)、外網(wǎng)絡(luò)之間的數(shù)據(jù)訪問加以記錄，并提供關(guān)于網(wǎng)絡(luò)使用的有價(jià)值的統(tǒng)計(jì)信息，供網(wǎng)絡(luò)管理員分析。（7）強(qiáng)化網(wǎng)絡(luò)安全策略。防火墻提供了實(shí)現(xiàn)和加強(qiáng)網(wǎng)絡(luò)安全策略的手段。實(shí)際上，防火墻向用戶提供了對(duì)服務(wù)的訪問控制方式，起到了強(qiáng)化網(wǎng)絡(luò)對(duì)用戶訪問控制策略的作用。5.4防火墻技術(shù)防火墻的部署安裝防火墻的基本原則：只要有惡意入侵的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部網(wǎng)絡(luò)的連接處，都應(yīng)該安裝防火墻。首先，安裝防火墻的位置應(yīng)該是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置了虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻；最后，通過公網(wǎng)連接的總機(jī)構(gòu)與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時(shí)將總機(jī)構(gòu)與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)（VPN）。防火墻的局域性防火墻技術(shù)是內(nèi)部網(wǎng)絡(luò)最重要的安全技術(shù)之一，可使內(nèi)部網(wǎng)絡(luò)在很大程度上免受攻擊，但不能認(rèn)為配置了防火墻之后所有的網(wǎng)絡(luò)安全問題就都迎刃而解了。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，防火墻也暴露了其明顯的局限性，許多危險(xiǎn)是防火墻無能為力的。防火墻主要存在以下局限性。（1）防火墻把外部網(wǎng)絡(luò)當(dāng)成不可信網(wǎng)絡(luò)，主要預(yù)防來自外部網(wǎng)絡(luò)的攻擊，而把內(nèi)部網(wǎng)絡(luò)當(dāng)成可信網(wǎng)絡(luò)。然而事實(shí)證明，50%以上的黑客入侵來自內(nèi)部網(wǎng)絡(luò)，但是防火墻對(duì)此卻無能為力。這時(shí)可以把內(nèi)部網(wǎng)絡(luò)分成多個(gè)子網(wǎng)，用內(nèi)部路由器安裝防火墻的方法以保護(hù)一些內(nèi)部關(guān)鍵區(qū)域。采用這種方法，其維護(hù)成本和設(shè)備成本都會(huì)很高，同時(shí)也容易產(chǎn)生一些安全盲點(diǎn)，但比不對(duì)內(nèi)部進(jìn)行安全防范要好。（2）經(jīng)常需要有特殊的、較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持，對(duì)網(wǎng)絡(luò)安全功能的加強(qiáng)往往以網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價(jià)。（3）防火墻系統(tǒng)防范的對(duì)象是來自網(wǎng)絡(luò)外部的攻擊，而不能防范不經(jīng)由防火墻的攻擊。例如，通過SLIP或PPP的撥號(hào)攻擊，繞過了防火墻系統(tǒng)而直接撥號(hào)進(jìn)入內(nèi)部網(wǎng)絡(luò)，防火墻系統(tǒng)對(duì)這樣的攻擊很難防范。（4）防火墻只讓來自外部網(wǎng)絡(luò)的一些規(guī)則允許的服務(wù)通過，這樣反而會(huì)抑制一些正常的信息通信，從某種意義上講，大大削弱了Internet應(yīng)用的功能，特別是電子商務(wù)發(fā)展較快的今天，防火墻的應(yīng)用很容易導(dǎo)致錯(cuò)失商機(jī)。第6章交換與路由技術(shù)6.1路由器和多層交換機(jī)概述路由器（Router）是一種典型的網(wǎng)絡(luò)層設(shè)備，負(fù)責(zé)在網(wǎng)絡(luò)層之間傳輸數(shù)據(jù)分組，并確定網(wǎng)絡(luò)上數(shù)據(jù)傳送的最佳路徑，完成網(wǎng)絡(luò)層之間中繼的任務(wù)。一般來說，異種網(wǎng)絡(luò)互聯(lián)與多個(gè)子網(wǎng)互聯(lián)都需要用路由器來完成。因此，路由器不僅具有尋址和轉(zhuǎn)發(fā)的功能，可實(shí)現(xiàn)數(shù)據(jù)分組從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)的傳輸，還可以對(duì)網(wǎng)絡(luò)、地址、協(xié)議、端口號(hào)、數(shù)據(jù)包進(jìn)行過濾和篩選，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的安全保護(hù)。如圖所示是幾款模塊化的路由器和模塊接口卡，用戶可以根據(jù)需求選擇模塊的類型和數(shù)量。交換機(jī)（Switch）是一種具有簡化、低價(jià)、高性能和多端口密集特點(diǎn)的交換產(chǎn)品。根據(jù)OSI參考模型，通?？煞譃槎咏粨Q機(jī)和三層交換機(jī)。通常所說的交換機(jī)就是指二層交換機(jī)（又稱為LAN交換機(jī)），屬于數(shù)據(jù)鏈路層設(shè)備，是二層交換技術(shù)在局域網(wǎng)中的典型應(yīng)用。二層交換技術(shù)可以識(shí)別數(shù)據(jù)幀中的MAC地址信息，根據(jù)MAC地址轉(zhuǎn)發(fā)數(shù)據(jù)幀，并將這些MAC地址與對(duì)應(yīng)的端口記錄在自己內(nèi)部的一個(gè)MAC地址表中。數(shù)據(jù)幀的發(fā)送與接收正是圍繞這張MAC地址表展開的，從而建立了一條臨時(shí)的交換路徑，使數(shù)據(jù)幀由源地址發(fā)送到目的地址。隨著網(wǎng)絡(luò)間互訪的不斷增加，單純地使用路由器來實(shí)現(xiàn)不同網(wǎng)絡(luò)間的訪問，不但端口數(shù)量有限，而且路由速度較慢，從而限制了網(wǎng)絡(luò)的規(guī)模和訪問速度?；谶@種情況，三層交換機(jī)出現(xiàn)了。三層交換機(jī)是為IP設(shè)計(jì)的，既可以工作在OSI參考模型的第三層，替代或完成部分傳統(tǒng)路由器的功能，又具有幾乎與第二層交換機(jī)等同的速度，接口類型簡單，并且價(jià)格相對(duì)便宜，非常適用于大型骨干網(wǎng)內(nèi)的數(shù)據(jù)路由與交換。三層交換機(jī)與二層交換機(jī)工作方式類似，除使用二層MAC地址進(jìn)行交換外，還使用OSI參考模型的第三層（網(wǎng)絡(luò)層）實(shí)現(xiàn)了不同子網(wǎng)間數(shù)據(jù)包的IP高速路由轉(zhuǎn)發(fā)。簡單地說，三層交換技術(shù)就是二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。因此，三層交換技術(shù)解決了局域網(wǎng)中網(wǎng)段劃分之后網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。6.1路由器和多層交換機(jī)概述網(wǎng)絡(luò)設(shè)備的配置方法1．帶外管理—利用控制臺(tái)（Console）端口配置新購進(jìn)的網(wǎng)絡(luò)設(shè)備（本章多指思科多層交換機(jī)和路由器）一般都有出廠默認(rèn)設(shè)置，如果用戶想知道其網(wǎng)絡(luò)接口是否啟用和參數(shù)如何，可用一根配置線（反轉(zhuǎn)線）將計(jì)算機(jī)的串行口（COM）和網(wǎng)絡(luò)設(shè)備的控制臺(tái)（Console）端口相連，通過使用Windows自帶的“超級(jí)終端”軟件或第三方工具軟件SecureCRT，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行后續(xù)配置和管理。如圖所示為一款三層交換機(jī)及其硬件連接線。6.1路由器和多層交換機(jī)概述網(wǎng)絡(luò)設(shè)備的配置方法2．帶內(nèi)管理—利用telnet命令遠(yuǎn)程登錄配置用一根直連網(wǎng)線將計(jì)算機(jī)的網(wǎng)卡接口（RJ-45）和網(wǎng)絡(luò)設(shè)備的LAN端口相連，若網(wǎng)絡(luò)設(shè)備的管理IP地址為，計(jì)算機(jī)的IP地址為，在計(jì)算機(jī)中打開“命令提示符”窗口，在命令行輸入命令“telnet”并執(zhí)行，再輸入遠(yuǎn)程登錄密碼，就可以進(jìn)入網(wǎng)絡(luò)設(shè)備的各命令配置模式，如圖所示。6.1路由器和多層交換機(jī)概述思科網(wǎng)絡(luò)設(shè)備常見的命令模式6.1路由器和多層交換機(jī)概述命令模式的切換網(wǎng)絡(luò)設(shè)備的命令模式有用戶模式、特權(quán)模式、全局配置模式、其他子配置模式。在進(jìn)入某模式時(shí)，需要逐步進(jìn)入，命令模式的切換及說明如表所示。6.2虛擬局域網(wǎng)隨著各大機(jī)關(guān)、學(xué)校和企事業(yè)單位交換式局域網(wǎng)的大量普及，網(wǎng)絡(luò)的規(guī)模越來越大，從小型的辦公網(wǎng)到大型的園區(qū)網(wǎng)，網(wǎng)絡(luò)管理也變得越來越復(fù)雜。首先，在采用共享介質(zhì)的交換式局域網(wǎng)中，所有節(jié)點(diǎn)都處于同一個(gè)廣播域，即一個(gè)節(jié)點(diǎn)向網(wǎng)絡(luò)中某些節(jié)點(diǎn)的廣播會(huì)被網(wǎng)絡(luò)中的其他節(jié)點(diǎn)接收，這樣大量的廣播報(bào)文不僅是對(duì)帶寬資源和主機(jī)處理能力的浪費(fèi)，還會(huì)因過量的廣播產(chǎn)生“廣播風(fēng)暴”，網(wǎng)絡(luò)信息安全等問題也變得日益突出。其次，當(dāng)用戶由于某些原因在不同網(wǎng)絡(luò)中移動(dòng)時(shí)，還要重新進(jìn)行網(wǎng)絡(luò)連接和網(wǎng)絡(luò)布線。解決此問題可以使用虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）技術(shù)。6.2虛擬局域網(wǎng)VLAN概述從實(shí)現(xiàn)的機(jī)制或策略看，VLAN分為靜態(tài)VLAN和動(dòng)態(tài)VLAN兩種。靜態(tài)VLAN主要是根據(jù)交換機(jī)的端口來劃分的。動(dòng)態(tài)VLAN的劃分方法有很多種，常用的有根據(jù)MAC地址劃分VLAN和根據(jù)網(wǎng)絡(luò)層協(xié)議劃分VLAN。（1）基于端口的VLAN劃分。這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分為一個(gè)邏輯組（VLAN），這是最簡單、最常用和最有效的劃分VLAN的方法。想使用該方法，網(wǎng)絡(luò)管理員只需對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新劃分，不用考慮該端口所連接的設(shè)備。美中不足的是，基于端口劃分VLAN，當(dāng)VLAN用戶位置改變時(shí)，往往也需要對(duì)網(wǎng)線進(jìn)行遷移。（2）基于MAC地址的VLAN劃分。MAC地址其實(shí)就是網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的。MAC地址由12位十六進(jìn)制數(shù)表示，前6位為網(wǎng)卡的廠商標(biāo)識(shí)（OUI），后6位為網(wǎng)卡標(biāo)識(shí)（NIC）。這種方法的VLAN劃分就是根據(jù)每個(gè)主機(jī)的MAC地址來劃分的，即對(duì)每個(gè)MAC地址的主機(jī)進(jìn)行配置分組來劃分VLAN。因此，這種根據(jù)MAC地址的劃分方法其實(shí)就是基于用戶的VLAN，最大優(yōu)點(diǎn)是當(dāng)用戶物理位置發(fā)生移動(dòng)時(shí)，VLAN不需要重新配置；缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶，配置就很煩瑣。（3）基于網(wǎng)絡(luò)層協(xié)議的VLAN劃分。這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型（如果支持多協(xié)議）劃分的，目前主要使用IP地址。這種方法的優(yōu)點(diǎn)是即使用戶的物理位置改變了，也不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分，不需要附加的幀標(biāo)簽來識(shí)別，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的（相對(duì)于前面兩種方法）。6.2虛擬局域網(wǎng)交換機(jī)的接口類型一般可分為兩大類：二層接口和三層接口。6.2虛擬局域網(wǎng)不同VLAN間的通信交換機(jī)虛擬接口（SwitchVirtualInterface，SVI）表示一個(gè)由交換端口構(gòu)成的VLAN，也就是一個(gè)SVI接口對(duì)應(yīng)一個(gè)VLAN。實(shí)現(xiàn)不同VLAN之間的通信，需要借助三層交換機(jī)不同的SVI接口IP地址路由通信功能。要為VLAN配置相應(yīng)的SVI接口，其實(shí)SVI就是通常所說的VLAN接口，只不過它是虛擬的，用于連接整個(gè)VLAN，所以也把這種接口稱為邏輯三層接口。在全局配置模式下，輸入“interfacevlan編號(hào)”命令來創(chuàng)建具體VLAN的SVI接口，指定相應(yīng)的IP地址，就可以通過三層設(shè)備的路由功能對(duì)數(shù)據(jù)進(jìn)行路由轉(zhuǎn)發(fā)，實(shí)現(xiàn)VLAN間的通信。6.3端口聚合端口聚合概述端口聚合（也稱為鏈路聚合）是將交換機(jī)的多個(gè)同屬性（如端口的傳輸介質(zhì)類型、雙工模式、速率、所屬VLAN等屬性一致）、低帶寬的交換端口捆綁成一條高帶寬的復(fù)合主干鏈路，實(shí)現(xiàn)主干鏈路均衡負(fù)載，避免單條鏈路出現(xiàn)擁塞現(xiàn)象。端口聚合如同超市設(shè)置多個(gè)收銀臺(tái)以防止收銀臺(tái)過少而出現(xiàn)消費(fèi)者排隊(duì)等候時(shí)間過長的現(xiàn)象。一般來說，兩個(gè)普通交換機(jī)連接的最大帶寬取決于媒介的連接速度（100Base-TX雙絞線為200Mbit/s），而Trunk技術(shù)可以將4個(gè)200Mbit/s的端口捆綁后成為一個(gè)高達(dá)800Mbit/s的連接。這個(gè)技術(shù)的優(yōu)點(diǎn)是以較低的成本通過捆綁多端口提高帶寬，而其增加的開銷只是連接用的普通五類網(wǎng)線和多占用的端口，可以有效地提高子網(wǎng)的上行速度，從而消除網(wǎng)絡(luò)訪問中的瓶頸。另外，如果使用多個(gè)端口組成的多條鏈路，其中的一條鏈路出現(xiàn)故障，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流就可以動(dòng)態(tài)地快速轉(zhuǎn)向其他工作正常的端口組成的鏈路而進(jìn)行傳輸，對(duì)數(shù)據(jù)起到了冗余備份的作用，同時(shí)提高了網(wǎng)絡(luò)的安全性和可靠性。因此，端口聚合技術(shù)可將多物理連接當(dāng)作一個(gè)單一的邏輯連接來處理，允許兩個(gè)交換機(jī)之間通過多個(gè)端口并行連接，就如同一條高帶寬的鏈路來傳輸數(shù)據(jù)，提供了更高的帶寬、更大的吞吐量，增加了冗余、可恢復(fù)性。6.3端口聚合端口聚合的配置配置實(shí)例：如圖所示，分別連接思科交換機(jī)Switch1的Fa0/23和思科交換機(jī)Switch2的Fa0/23、交換機(jī)Switch1的Fa0/24和交換機(jī)Switch2的Fa0/24。為了提高兩個(gè)交換機(jī)端口連接的帶寬，需要分別把交換機(jī)Switch1的Fa0/23、Fa0/24和Switch2的Fa0/23、Fa0/24定義為聚合端口。6.4路由技術(shù)靜態(tài)路由靜態(tài)路由是由網(wǎng)絡(luò)規(guī)劃者根據(jù)網(wǎng)絡(luò)拓?fù)洌褂妹钤诼酚善魃鲜止づ渲玫姆侵边B路由信息。這些靜態(tài)路由信息指導(dǎo)報(bào)文發(fā)送，靜態(tài)路由方式也不需要路由器進(jìn)行計(jì)算，不占用路由器的帶寬，完全依賴網(wǎng)絡(luò)規(guī)劃者的配置。當(dāng)網(wǎng)絡(luò)規(guī)模較大或網(wǎng)絡(luò)拓?fù)浣?jīng)常發(fā)生改變時(shí)，因?yàn)殪o態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變做出及時(shí)反應(yīng)，所以一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。因此，靜態(tài)路由的最大優(yōu)點(diǎn)就是簡單、高效、可靠。動(dòng)態(tài)路由動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間根據(jù)實(shí)時(shí)網(wǎng)絡(luò)拓?fù)渥兓?，相互通信傳遞路由信息，利用收到的路由信息通過路由選擇協(xié)議進(jìn)行計(jì)算，更新路由表的過程。因此，動(dòng)態(tài)路由減少了許多管理任務(wù)。根據(jù)是否在一個(gè)自治域（指一個(gè)具有統(tǒng)一管理機(jī)構(gòu)、統(tǒng)一路由策略的網(wǎng)絡(luò)）內(nèi)部使用，動(dòng)態(tài)路由協(xié)議可分為內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）和外部網(wǎng)關(guān)協(xié)議（EGP）。自治域內(nèi)部采用的路由選擇協(xié)議叫作內(nèi)部網(wǎng)關(guān)協(xié)議，常用的有路由信息協(xié)議（RoutingInformationProtocol，RIP）、開放式最短路徑優(yōu)先（OpenShortestPathFirst，OSPF）協(xié)議。外部網(wǎng)關(guān)協(xié)議主要用于多個(gè)自治域之間的路由選擇，常用的是BGP和BGP-4。其中，內(nèi)部網(wǎng)關(guān)協(xié)議又分為距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議（如OSPF協(xié)議）。6.4路由技術(shù)RIPRIP是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議，是典型的距離矢量路由選擇協(xié)議。網(wǎng)絡(luò)中每臺(tái)路由器啟動(dòng)后，會(huì)把自己直連的網(wǎng)絡(luò)寫到路由表中，同時(shí)每隔30s會(huì)將自己生成的路由表廣播或組播給相鄰路由器，并監(jiān)聽相鄰路由器發(fā)來的路由表，經(jīng)過層層交換、學(xué)習(xí)，每個(gè)路由器最終會(huì)學(xué)習(xí)所有網(wǎng)絡(luò)的信息，并根據(jù)距離矢量算法得到一條到達(dá)每個(gè)目標(biāo)網(wǎng)絡(luò)的最佳路徑。RIP采用距離矢量算法，即路由器根據(jù)它跳過的路由器的最少數(shù)目（距離最短）來作為度量標(biāo)準(zhǔn)確定到達(dá)目的地的最佳路由。RIP允許一條路徑最大跳數(shù)是15，因此，距離為16時(shí)即不可到達(dá)。由此可見，RIP的缺點(diǎn)是：一方面，周期性地發(fā)布路由表，帶來不必要的流量；另一方面，路由器不清楚整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，只知道和自己直連的網(wǎng)絡(luò)情況，對(duì)網(wǎng)絡(luò)變化收斂速度慢，并且存在路由環(huán)路的問題，不適用于大型的復(fù)雜網(wǎng)絡(luò)。OSPF協(xié)議的概念OSPF是一種鏈路狀態(tài)的路由協(xié)議，需要每個(gè)路由器向其同一個(gè)管理域的所有其他路由器發(fā)送鏈路狀態(tài)廣播信息。在OSPF的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和其他一些變量。利用OSPF的路由器先收集有關(guān)鏈路狀態(tài)的信息，然后根據(jù)一定的算法計(jì)算到每個(gè)節(jié)點(diǎn)的最短路徑。與RIP不同，OSPF將一個(gè)自治域劃分為區(qū)，相應(yīng)地，有兩種類型的路由選擇方式：當(dāng)源地址和目的地在同一個(gè)區(qū)時(shí)，采用區(qū)內(nèi)路由選擇；當(dāng)源地址和目的地在不同區(qū)時(shí)，采用區(qū)間路由選擇。這就大大減少了網(wǎng)絡(luò)開銷，并增加了網(wǎng)絡(luò)的穩(wěn)定性。當(dāng)一個(gè)區(qū)內(nèi)的路由器出現(xiàn)故障時(shí)，并不影響自治域內(nèi)其他區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護(hù)帶來了方便。由此可見，OSPF協(xié)議是用鏈路狀態(tài)來評(píng)估路由的，可用于規(guī)模較大的網(wǎng)絡(luò)。6.5網(wǎng)絡(luò)信息安全端口安全概述端口安全是一種基于MAC地址的安全機(jī)制。這種機(jī)制通過檢測數(shù)據(jù)幀中的源MAC地址來控制非授權(quán)設(shè)備對(duì)網(wǎng)絡(luò)的訪問，通過檢測數(shù)據(jù)幀中的目的MAC地址來控制對(duì)非授權(quán)設(shè)備的訪問。在網(wǎng)絡(luò)設(shè)備啟動(dòng)了端口安全功能后，若發(fā)現(xiàn)非法報(bào)文，系統(tǒng)就會(huì)觸發(fā)相應(yīng)特性，通過預(yù)先配置的行為方式自動(dòng)進(jìn)行違規(guī)處理，以減少用戶的維護(hù)工作量，提高了系統(tǒng)的安全性和可管理性。端口安全的主要功能是通過定義各種端口安全模式，讓設(shè)備學(xué)習(xí)合法的源MAC地址，來達(dá)到相應(yīng)網(wǎng)絡(luò)管理效果的。它主要有下面兩個(gè)功能。（1）允許特定MAC地址的網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。（2）限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入網(wǎng)絡(luò)。6.5網(wǎng)絡(luò)信息安全端口安全的配置交換機(jī)作為網(wǎng)絡(luò)的接入設(shè)備，通過在交換機(jī)某個(gè)端口上限制接入設(shè)備的MAC地址或IP地址，來控制對(duì)該端口的接入訪問功能，從而進(jìn)行對(duì)接入網(wǎng)絡(luò)用戶的區(qū)分。為了增強(qiáng)網(wǎng)絡(luò)的安全性，還可以將MAC地址和具體的端口IP地址綁定起來作為安全地址，來限制接入用戶的混亂連接。交換機(jī)端口配置了安全功能后，即配置了安全地址，如果該端口收到的源地址不是安全地址的數(shù)據(jù)，即發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上端口指定的MAC地址不同，交換機(jī)相應(yīng)的端口就不轉(zhuǎn)發(fā)該數(shù)據(jù)包，并生成一個(gè)安全違例，讓用戶選擇多種方式來處理該安全違例，如丟棄接收的數(shù)據(jù)包、發(fā)送安全違例通知或關(guān)閉相應(yīng)端口。交換機(jī)的端口安全還表現(xiàn)在可以限制具體端口通過MAC地址的數(shù)量，以防止利用交換機(jī)端口的廣播功能，私自連接設(shè)備擴(kuò)展網(wǎng)絡(luò)，造成網(wǎng)絡(luò)流量過大。如果交換機(jī)的端口上接收的安全地址數(shù)量超過了該端口允許的最大數(shù)量，那么該端口不轉(zhuǎn)發(fā)該數(shù)據(jù)包，并生成一個(gè)安全違例，讓用戶選擇多種方式來處理該安全違例，如丟棄接收的數(shù)據(jù)包、發(fā)送安全違例通知或關(guān)閉相應(yīng)端口。交換機(jī)端口安全配置思路大概分為三步：一是配置端口的安全策略；二是指定授權(quán)訪問的設(shè)備的MAC地址；三是配置端口安全違例后的處理。6.6網(wǎng)絡(luò)地址轉(zhuǎn)換私有地址Internet上有成千上萬臺(tái)主機(jī)，為了區(qū)分這些主機(jī)，人們給每臺(tái)主機(jī)分配了專門的地址，稱為IP地址。通過IP地址可以訪問網(wǎng)絡(luò)上的每一臺(tái)主機(jī)。IP地址分為公有地址和私有地址兩種，只有公有地址才能在Internet上進(jìn)行通信，私有地址不能直接在公網(wǎng)上使用，只能在內(nèi)部私有網(wǎng)絡(luò)中使用。因此，私有（保留）地址是國際組織當(dāng)時(shí)分配IP地址時(shí)保留（不需要經(jīng)過申請(qǐng)注冊(cè)）下來的一部分地址，用于給一個(gè)組織網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)使用。根據(jù)IP網(wǎng)絡(luò)協(xié)議，在A類、B類、C類IP地址中都有一個(gè)網(wǎng)絡(luò)號(hào)是保留的IP地址，不需要申請(qǐng)注冊(cè)，只能在內(nèi)部私有網(wǎng)絡(luò)中使用。具體分布范圍如下：A類：～55B類：～55C類：～55NAT的概念網(wǎng)絡(luò)地址轉(zhuǎn)換，即NAT（NetworkAddressTranslation），是指在一個(gè)組織網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)之間通過私有IP地址進(jìn)行通信，而當(dāng)組織內(nèi)部的計(jì)算機(jī)要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，具有NAT功能的設(shè)備（這里指路由器）負(fù)責(zé)將其私有IP地址轉(zhuǎn)換為公有IP地址，即用該組織申請(qǐng)的合法IP地址進(jìn)行通信。簡單地說，NAT就是一種將私有（保留）地址轉(zhuǎn)換為合法IP地址接入廣域網(wǎng)的技術(shù)。這種技術(shù)不僅解決了IP地址不足的問題，還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)，提高了網(wǎng)絡(luò)的安全性。6.6網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的原理當(dāng)內(nèi)部網(wǎng)絡(luò)有多臺(tái)主機(jī)訪問互聯(lián)網(wǎng)上的多個(gè)目的主機(jī)時(shí)，路由器必須記住內(nèi)部網(wǎng)絡(luò)的哪一臺(tái)主機(jī)訪問互聯(lián)網(wǎng)上的哪一臺(tái)主機(jī)，以防止在地址轉(zhuǎn)換時(shí)將不同的連接混淆，因此路由器會(huì)為NAT的眾多連接建立一個(gè)表，即NAT表。路由器在進(jìn)行地址轉(zhuǎn)換時(shí)，依靠在NAT表中記錄的內(nèi)部私有地址和外部公有地址的映射關(guān)系來作為地址轉(zhuǎn)換的依據(jù)。路由器在做某個(gè)數(shù)據(jù)連接操作時(shí)，只需要查詢NAT表，就可以獲知應(yīng)該如何轉(zhuǎn)換地址，而不會(huì)發(fā)生數(shù)據(jù)連接混淆的情況。NAT表中每個(gè)連接條目都有一個(gè)計(jì)時(shí)器。當(dāng)有數(shù)據(jù)在這兩臺(tái)主機(jī)之間傳遞時(shí)，數(shù)據(jù)包不斷刷新NAT表中的相應(yīng)條目，該條目處于不斷被激活的狀態(tài)，并且不會(huì)被NAT表清除。但是，如果兩臺(tái)主機(jī)長時(shí)間沒有數(shù)據(jù)交互，那么在計(jì)時(shí)器倒數(shù)到零時(shí)，NAT表將把這個(gè)條目清除。在運(yùn)行NAT的路由器中，當(dāng)數(shù)據(jù)包被傳送時(shí)，NAT可以轉(zhuǎn)換數(shù)據(jù)包的IP地址和TCP/UDP數(shù)據(jù)包的端口號(hào)。設(shè)置NAT功能的路由器至少要有一個(gè)Inside（內(nèi)部）端口和一個(gè)Outside（外部）端口。內(nèi)部端口連接內(nèi)部網(wǎng)絡(luò)的用戶，外部端口一般連接到Internet。當(dāng)IP數(shù)據(jù)包離開內(nèi)部網(wǎng)絡(luò)時(shí)，NAT負(fù)責(zé)將內(nèi)部網(wǎng)絡(luò)IP源地址（通常是專用地址）轉(zhuǎn)換為合法的公有IP地址。當(dāng)IP數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí)，NAT