什么是局域網(wǎng)

局部區(qū)域網(wǎng)絡(luò)(localareanetwork)一般簡稱為“局域網(wǎng)”，縮寫為LAN。局域網(wǎng)是

構(gòu)造復(fù)雜程度最低口勺計算機網(wǎng)絡(luò)。局域網(wǎng)僅是在同一地點上經(jīng)網(wǎng)絡(luò)連在一起的一組計算機。

局域網(wǎng)一般挨得很近，它是目前應(yīng)用最廣泛H勺一類網(wǎng)絡(luò)。一般將具有如下特性的網(wǎng)稱為局域

網(wǎng)。

1)網(wǎng)絡(luò)所覆蓋的地理范圍比較小。一般不超過幾十公里，甚至只在一幢建筑或一種房

間內(nèi)。

2)信息的傳播速率比較高，其范圍自1Mbps到10Mbps，近來已到達1

00Mbpso而廣域網(wǎng)運行時的傳播率一般為2400bps、9600bps或者38.4kbps

、56.64kbps。專用線路也只能至U達1.544Mbps。

3)網(wǎng)絡(luò)經(jīng)營權(quán)和管理權(quán)屬于某個單位。

什么是廣域網(wǎng)

廣域網(wǎng)(wideareanetwork,WAN)它是影響廣泛II勺復(fù)雜網(wǎng)絡(luò)系統(tǒng)。

WAN由兩個以上的LAN構(gòu)成，這些LAN間的連接可以穿越30miIe*

以上的距離。大型的WAN可以由各大洲的許多LAN和MAN構(gòu)成。最廣為人知的

WAN就是Internet,它由全球成千上萬的LAN和WAN構(gòu)成。

有時LAN、MAN和WAN間的邊界非常不明顯，很難確定LAN在何處終止、

MAN或WAN在何處開始。不過可以通過四種網(wǎng)絡(luò)特性■通信介質(zhì)、協(xié)議、拓撲以及私

有網(wǎng)和公共網(wǎng)間的邊界點來確定網(wǎng)絡(luò)口勺類型。通信介質(zhì)是指用來連接計算機和網(wǎng)絡(luò)的電纜、

光纖電纜、無線電波或微波。一股LAN結(jié)束在通信介質(zhì)變化的地方，如從基于電線口勺電

纜轉(zhuǎn)變?yōu)楣饫w。電線電纜的LAN一般通過光纖電纜與其他口勺LAN連接。

什么是網(wǎng)橋

網(wǎng)橋這種設(shè)備看上去有點像中繼器。它具有單個的輸入端口和輸出端口。它與中繼器的

不一樣之處就在于它可以解析它收發(fā)H勺數(shù)據(jù)。網(wǎng)橋?qū)儆?。SI模型口勺數(shù)據(jù)鏈路層；數(shù)據(jù)鏈

路層可以進行流控制、糾錯處理以及地址分派。網(wǎng)橋可以解析它所接受的幀，并能指導(dǎo)怎樣

把數(shù)據(jù)傳送到目H勺地.尤其是它可以讀取目的地址信息（MAC）,并決定與否向網(wǎng)絡(luò)H勺

其他段轉(zhuǎn)發(fā)（重發(fā)）數(shù)據(jù)包，并月.，假如數(shù)據(jù)包的目的地址與源地址位于同一段，就可以把

它過濾掉。當(dāng)節(jié)點通過網(wǎng)橋傳播數(shù)據(jù)時，網(wǎng)橋就會根據(jù)已知口勺MAC地址和它們在網(wǎng)絡(luò)中

的位置建立過漉數(shù)據(jù)庫（也就是人們熟知的轉(zhuǎn)刊登）。網(wǎng)橋運用過濾數(shù)據(jù)庫來決定是轉(zhuǎn)發(fā)數(shù)

據(jù)包還是把它過濾掉.

什么是網(wǎng)關(guān)

網(wǎng)關(guān)不能完全歸為一種網(wǎng)絡(luò)硬件。用概括性的術(shù)語來講，它們應(yīng)當(dāng)是可以連接不一樣網(wǎng)

絡(luò)的軟件和硬件的結(jié)合產(chǎn)品。尤其地，它們可以使用不一樣的格式、通信協(xié)議或構(gòu)造連接起

兩個系統(tǒng)。和本章前面討論的不一樣樣，網(wǎng)關(guān)實際上通過重新封裝信息以使它們能被另一種

系統(tǒng)讀取。為了完畢這項任務(wù)，網(wǎng)關(guān)必須能運行在OSI模型H勺幾種層上。網(wǎng)關(guān)必須同應(yīng)

用通信，建立和管理會話，傳播已經(jīng)編碼的數(shù)據(jù)，并解析邏輯和物理地址數(shù)據(jù)。

網(wǎng)關(guān)可以設(shè)在服務(wù)器、微機或大型機上。由于網(wǎng)關(guān)具有強大的功能并且大多數(shù)時候都和

應(yīng)用有關(guān)，它們比路由器的價格要貴某些。此外，由于網(wǎng)關(guān)的傳播更復(fù)雜，它們傳播數(shù)據(jù)U勺

速度要比網(wǎng)橋或路由器低某些。正是由于網(wǎng)關(guān)較慢，它們有導(dǎo)致網(wǎng)絡(luò)堵塞日勺也許。然而，在

某些場所，只有網(wǎng)關(guān)能勝任工作。在你的網(wǎng)絡(luò)生涯中，你很也許會在電子郵件系統(tǒng)環(huán)境中聽

到有關(guān)網(wǎng)關(guān)的討論。常見的網(wǎng)關(guān)，包括電子郵件網(wǎng)關(guān)，描述如下：

電子郵件網(wǎng)關(guān)：通過這種網(wǎng)關(guān)可以從一種類型H勺系統(tǒng)向另一種類型H勺系統(tǒng)傳播數(shù)據(jù)。例

如,電子郵件網(wǎng)關(guān)可以容許使用Eudora電子郵仁的人與使用GroupWise電子

郵件的人互相通信。

IBM主機網(wǎng)關(guān)：通過這種網(wǎng)關(guān)，可以在一臺個人計算機與IBM大型機之間建立

和管理通信。

因特網(wǎng)網(wǎng)關(guān)：這種網(wǎng)關(guān)容許并管理局域網(wǎng)和因特網(wǎng)間的接入。因特網(wǎng)網(wǎng)關(guān)可以限制某

些局域網(wǎng)顧客訪問因特網(wǎng)。反之亦然。

局域網(wǎng)網(wǎng)關(guān)：通過這種網(wǎng)關(guān)，運行不一樣協(xié)議或運行于0SI模型不一樣層上的局域

網(wǎng)網(wǎng)段間可以互相通信。珞由器甚至只用一臺服務(wù)器都可以充當(dāng)局域網(wǎng)網(wǎng)關(guān)。局域網(wǎng)網(wǎng)關(guān)也

包括遠程訪問服務(wù)器。它容許遠程顧客通過撥號方式接入局域網(wǎng)。

網(wǎng)絡(luò)類型

每一種網(wǎng)絡(luò)都規(guī)定布線、網(wǎng)絡(luò)設(shè)備、文獻服務(wù)器、工作站、軟件和培訓(xùn)，這些要素以多

種不一樣的方式進行綜合便可以創(chuàng)立與詳細單位的需要和資源相適應(yīng)日勺網(wǎng)絡(luò)。有些網(wǎng)絡(luò)口勺啟

動成木很低，不過維護和升級時代價很高：而另有某些網(wǎng)絡(luò)雖然建立時耗資較大，不過易于

維護、升級途徑簡樸。

辨別網(wǎng)絡(luò)類型R勺很明顯的一點就是網(wǎng)絡(luò)的拓撲構(gòu)造。拓撲構(gòu)造是指網(wǎng)絡(luò)的物理布局以及

其邏輯特性。物理布局就像是描述辦公室、建筑物或校園中怎樣布線的示意圖，一般稱為電

纜線路。網(wǎng)絡(luò)口勺邏輯是指信號沿電纜從一點向另一點進行傳播的措施。

網(wǎng)絡(luò)的布局可以分散開，電纜在網(wǎng)絡(luò)U勺各個站鋪開；或者可以是集中的，每個站都與在

工作站間分派包的中央設(shè)備有物理日勺連接。集中布局像是星星，工作站是星星日勺點；分散布

局有些像一隊登山者，每個登山者位于山H勺不一樣位置上，但都由一條很長的繩子連接著。

拓撲構(gòu)造的I邏輯方面包括包在網(wǎng)絡(luò)中傳遞的途徑。

有二種重要H勺拓撲構(gòu)造：總線拓撲、環(huán)形拓撲和星形拓撲。一種單位需要按照工作目H勺

選擇網(wǎng)絡(luò)類型，而拓撲構(gòu)造必須與所選日勺網(wǎng)絡(luò)類型相匹配。例如，有些企業(yè)使用網(wǎng)絡(luò)的程度

比其他企業(yè)要高。企業(yè)使用的軟件應(yīng)用程序的類型和數(shù)量影響了傳播的包的數(shù)量和頻率，

也就是我們常說的網(wǎng)絡(luò)信息流通量(networktraffic)。假如網(wǎng)絡(luò)顧客重要訪問字處理軟

件，那么網(wǎng)絡(luò)信息流通最用對就比較低，大多數(shù)工作都在工作站進行而不是在網(wǎng)絡(luò)上讓行。

客戶機/服務(wù)器構(gòu)造的應(yīng)川程序根據(jù)其軟件設(shè)計，會產(chǎn)生中等到高"勺網(wǎng)絡(luò)信息流通量。假如

網(wǎng)絡(luò)上要常?；Q如MicrosoftSQLServer或0racIe數(shù)據(jù)庫文獻等數(shù)據(jù)庫信息

的話，也會產(chǎn)生中等到高I向網(wǎng)絡(luò)信息流通量。而對于科學(xué)程序和網(wǎng)上出版而言，由于數(shù)據(jù)文

獻非常巨大，因此信息流量很高。同步，圖形密集日勺應(yīng)用程序如不停變化圖形的多媒體和桌

面網(wǎng)上會議都會產(chǎn)生很高於J網(wǎng)絡(luò)信息流通量。

網(wǎng)絡(luò)上主機與服務(wù)器的影響力與使用的軟件應(yīng)用程序的類型親密有關(guān)。例如，假如常常

訪問數(shù)據(jù)庫服務(wù)器來產(chǎn)生財務(wù)報表和銷售圖表，那么它引起口勺網(wǎng)絡(luò)信息流通品?肯定要匕偶

爾訪問包括商務(wù)通信或信件模板的文獻服務(wù)器要高得多。

當(dāng)需要確定使用何種拓撲構(gòu)造時，應(yīng)當(dāng)考慮與否有其他網(wǎng)絡(luò)與這個網(wǎng)絡(luò)連接。計算機不

超過4臺的小型商業(yè)企業(yè)口勺網(wǎng)絡(luò)拓撲肯定與一種通過WAN與其他工地連接的工業(yè)廠區(qū)

所需要的拓撲構(gòu)造不一樣，小企業(yè)除了與外部的internet相連外，也許不會與其他網(wǎng)絡(luò)連

接。而工業(yè)廠區(qū)將包括多種互連H勺網(wǎng)絡(luò)，其中也許有控制工廠機器的網(wǎng)絡(luò)、用于商業(yè)系統(tǒng)H勺

網(wǎng)絡(luò)、用于科研的網(wǎng)絡(luò)和與其他工地相連的擴展的WAN<,有些網(wǎng)絡(luò)拓撲構(gòu)造會提供比其

他拓撲構(gòu)造性能更好啊網(wǎng)絡(luò)互連性。高流量B、J網(wǎng)絡(luò)需要高速的數(shù)據(jù)傳播能力。網(wǎng)絡(luò)速度極大

影響著顧客的生產(chǎn)率，高速對于在遠距離或WAN上傳播圖像、圖形和其他大型文獻來說

尤其重要。

保護數(shù)據(jù)只能由授權(quán)的顧客來訪問，也就是安全性問題，是影響網(wǎng)絡(luò)設(shè)計的另一種重

要方面。安全的網(wǎng)絡(luò)使用網(wǎng)絡(luò)設(shè)備、密碼、控制軟件和其他技術(shù)來限制對信息和資源日勺方問,

還常常使用加密措施，對包加密并僅容許授權(quán)的計算機來對其解密。安全性高的網(wǎng)絡(luò)使用

光纖電纜，使得數(shù)據(jù)給未授權(quán)顧客截取H勺危險降到最低。另?種安全措施是將網(wǎng)絡(luò)設(shè)備和服

務(wù)器放在受限制口勺地點，如計算機房和布線室。

網(wǎng)絡(luò)拓撲構(gòu)造直接影響著網(wǎng)絡(luò)U勺潛在發(fā)展。安裝網(wǎng)絡(luò)后，也許要添加更多的顧客，這些

顧客也許在同一間辦公室，也許在其他辦公室，或者在其他樓層。并且極有也許為了長距離

的信息訪問，需要將LAN與WAN連接。

網(wǎng)絡(luò)協(xié)議

一種LAN可以由一系列的子網(wǎng)構(gòu)成，而一種WAN,例如Internet,可

以由一系列的自治網(wǎng)絡(luò)構(gòu)成。LAN可以只使用以太網(wǎng)，而WAN卻也許包括以太網(wǎng)、令

牌環(huán)網(wǎng)、X.25和其他某些網(wǎng)絡(luò)。通過網(wǎng)際協(xié)議（IP）,可以把一種包發(fā)送到LANI^

不一樣子網(wǎng)和WAN日勺不一樣網(wǎng)絡(luò)上，唯一的條件就是這些網(wǎng)絡(luò)所使用日勺傳播選項要保證

可以和TCP/IP兼容，這些選項包括：

0以太網(wǎng)。

o令牌環(huán)網(wǎng)。

oX.25o

oFDDIo

oISDNo

0幀中繼。

o（帶有轉(zhuǎn)換的）ATM。

0網(wǎng)絡(luò)傳播頭

（例如，以太網(wǎng)）

IP的基本功能是提供數(shù)據(jù)傳播、包編址、包尋徑、分段和簡樸的包錯誤檢測。通過I

P編址約定，可以成功地將數(shù)據(jù)傳播和路由到對的的區(qū)絡(luò)或者子網(wǎng)。每個網(wǎng)絡(luò)結(jié)點具有一

種32位的IP地址，它和48位的MAC地址一起協(xié)作，完畢網(wǎng)絡(luò)通信。該地址不僅

標(biāo)識了一種既定口勺網(wǎng)絡(luò)，并且還指明了是該網(wǎng)絡(luò)上的哪個結(jié)點。

什么是路由器

路由器是一種多端口設(shè)備，它可以連接不一樣傳播速率并運行于多種環(huán)境的局域網(wǎng)和

廣域網(wǎng)，也可以采用不一樣的協(xié)議。路由器屬于0SI模型的第三層。第2章曾經(jīng)在過，

網(wǎng)絡(luò)層指導(dǎo)從一種網(wǎng)段到另一種網(wǎng)段日勺數(shù)據(jù)傳播，也能指導(dǎo)從一種網(wǎng)絡(luò)向另一種網(wǎng)絡(luò)時數(shù)

據(jù)傳播。過去，由于過多的注意第三層或更高層的數(shù)據(jù)，如協(xié)議或邏輯地址，路由器曾經(jīng)比

互換機和網(wǎng)橋H勺速度慢。因此，不像網(wǎng)橋和第二層互換機，路由器是依賴于協(xié)議的。在它們

使用某種協(xié)議轉(zhuǎn)發(fā)數(shù)據(jù)前，它們必須要被設(shè)計或配置成能識別該協(xié)議。

老式的獨立式局域網(wǎng)路由器正慢慢地被支持路由功能的第三層互換機所替代。但路由器

這個概念還是非常重要的。本節(jié)口勺剩余部分講述的都是有關(guān)第三層互換機口勺應(yīng)用。獨力.式路

由器仍然是使川廣域網(wǎng)技術(shù)連接遠程顧客的一種選擇。

重要內(nèi)容：l.internet體系構(gòu)造

2.internet連接的措施

3.internet地址

4.internet域名系統(tǒng)

5.internet地址是日勺獷展

一、Internet體系構(gòu)造

1.自治系統(tǒng):原始的Internet關(guān)鍵體系是在Internet權(quán)有一種主:干網(wǎng)的那個時期開發(fā)

Wo不過這種體系構(gòu)造存在如下某些問題：

這種體系不能適應(yīng)互賽網(wǎng)獷展到任意數(shù)量的網(wǎng)點；

許多網(wǎng)點由多種局域網(wǎng)構(gòu)成，且用多種多路由器互連，由于一種關(guān)鍵路由器在每個網(wǎng)

點上與一種網(wǎng)絡(luò)相連，關(guān)健路由器就只懂得那個網(wǎng)點中的一種網(wǎng)絡(luò)的狀況；

一種大型口勺互聯(lián)網(wǎng)是獨立日勺組織管理的網(wǎng)絡(luò)的I互連集合，路由選擇體系構(gòu)造必須為每

個組織提供獨立的控制路由選擇和訪問網(wǎng)絡(luò)的措施，因此必須用一種單一的協(xié)議機制來構(gòu)

造一種由許多網(wǎng)點構(gòu)成的互聯(lián)網(wǎng)，同步，各個網(wǎng)點又是一種自治系統(tǒng)。

二、Internet連接的措施

1.將計算機連接到一種局域網(wǎng)，這個局域網(wǎng)的服務(wù)器是Internet的一種主機。

條件:必須連接到一種與Internet連接的網(wǎng)絡(luò)，需要網(wǎng)絡(luò)適配卡和ODI或NDIS驅(qū)動

程序，還需要在當(dāng)?shù)赜嬎銠C上運行TCP/IP,假如是Windows系統(tǒng)還需要Winsock支持。

2.運用串行接口協(xié)議(SLIP)或點到點協(xié)議(PPP),通過撥號方式進入一種Internet

的主機

條件:需要一種調(diào)制解調(diào)器Modem.TCP/IP軟件和SLIP或PPP軟件，假如是Wind

ows系統(tǒng)還需要Winsock支持。

3.通過撥號進入一種提供Internet服務(wù)的聯(lián)機服務(wù)系統(tǒng)。

條件:需要一種調(diào)制解調(diào)器Modem,原則的通信軟件和一種聯(lián)機服務(wù)帳號。

4.顧客選擇連接措施的考慮原因:聯(lián)網(wǎng)日勺目的和需求;顧客內(nèi)部配置日勺網(wǎng)絡(luò)基礎(chǔ)設(shè)施;顧

客支付Internet聯(lián)網(wǎng)費用的能力;對Internet安全服務(wù)口勺需求。

三、Internet地址

在TCP/IP協(xié)議中，規(guī)定分派給每臺主機一種32位數(shù)作為該主機IP地址。每個IP地

址由兩個部分構(gòu)成，即網(wǎng)絡(luò)標(biāo)識netid和主機標(biāo)識hostido

IP地址的層次構(gòu)造具有兩個重要特性:第一，每臺主機分派了一種惟一H勺地址;第二，

網(wǎng)絡(luò)標(biāo)識號的分派必須全球統(tǒng)一，但主機標(biāo)識號可由當(dāng)?shù)胤峙?，不需要全球一致?/p>

1.A類:至126.255.255,254也許的網(wǎng)絡(luò)數(shù)有126個，主機部分有167721

6臺(224-2)

2.B類:至54也許日勺網(wǎng)絡(luò)數(shù)有16384個，主機有65536

臺

3.C類C至54也許的網(wǎng)絡(luò)數(shù)有2097152個，主機有256

臺

4.D類:用于廣播傳送至多種目的地址用224-239

5.E類:用于保留地址240-255

RFC1918將10.0.0.至.055.192.

168.0.0至55的地址作為預(yù)留地址，用作內(nèi)部地址，不能直接連接到公

共因特網(wǎng)上。

四、Internet地址映射

將一臺計算機的IP地址映射到物理地址的過程稱地址解析。

常用的地址解析算法有如下三種：

1.查表法:將地址映射關(guān)系放在內(nèi)存中U勺某些表里，當(dāng)解析地址時，通過查表得到解析

的成果。用于廣域網(wǎng)。

2.相近形式計算法:通過簡樸的布爾和算術(shù)運算得出映射地址。用于可配置網(wǎng)絡(luò)。

3.消息互換法:計算機通過網(wǎng)絡(luò)互換信息得到映射地址。用于靜態(tài)編址。

TCP/IP協(xié)議組包括一種地址解析協(xié)議(ARP)。ARP協(xié)議定義了兩類基本消息，一類消

息是祈求消息，另一類是應(yīng)答消息。

五、Internet地址空間的擴展

1.IPV6仍然支持無連接傳送;容許發(fā)送方選擇數(shù)據(jù)農(nóng)大小;規(guī)定發(fā)送方指明數(shù)據(jù)報在抵

達目的站前的最大跳數(shù)。更大R勺地址空間;靈活H勺報頭格式;增強的選項;支持資源分派;支持

協(xié)議擴展。

2.IPV6U勺數(shù)據(jù)報格式:IPV6數(shù)據(jù)有一種固定的基本報頭40字節(jié)其后可以容許多種擴

展報頭，也可以沒有擴展報頭，擴展報頭后是數(shù)據(jù)。

IPV4日勺數(shù)據(jù)報格式:包括數(shù)據(jù)報報頭和數(shù)據(jù)區(qū)的部分。報頭:版本號、IHL、服務(wù)級別、

數(shù)據(jù)單元長度、標(biāo)識、標(biāo)識、分段偏移、生命期、顧客協(xié)議、報頭檢查和、源地址、目H勺地

址、任選項+填充、數(shù)據(jù),

3?該基本報頭包括版本號、數(shù)據(jù)流標(biāo)識、PAYLOAD長度、下一種報頭、跳數(shù)極限、源

地址、目的地址。

4.IPV4與IPV6比較:取消了報頭長度字段，數(shù)據(jù)報長度字段被PAYLOAD長度字段替

代;源地址和目的地址字段大小增長為每個字段占16個八位組，128位;分段信息從基本報

頭的固定字段移動擴展報頭;生存時間字段改為跳數(shù)極限字段;服務(wù)類型字段改為數(shù)據(jù)流標(biāo)

號字段;協(xié)議字段改為指明下一種報頭類型字段。

5.IPV6有三個基當(dāng)?shù)刂奉愋停瑔尾サ刂?unicast)即目MJ地址指明一臺計算機或路由

器，數(shù)據(jù)報選擇一條最短的途徑抵達目的站;群集地址(cluster)即目的站是共享一種網(wǎng)絡(luò)

地址的計算機口勺集合，數(shù)據(jù)報選擇一條最短途徑抵達該組，然后傳遞給該組近來的一種組

員；組播地址(multicast)即目的站是一組計算機，它們可以在不一樣地方，數(shù)據(jù)報通過硬

件組播或廣播傳遞給該組的每一組員。

6?對任何地址若開始80位是全零，接著16位是全1或全零，則它II勺低32位就是一

種IPV4地址。

第10章企業(yè)網(wǎng)與Intranet

重要內(nèi)容:1.企業(yè)網(wǎng)絡(luò)計算的構(gòu)成和管理

2.企業(yè)網(wǎng)絡(luò)開放系統(tǒng)集成技術(shù)

3.intranet定義和要素

4.intranet應(yīng)用和建立

一、企業(yè)網(wǎng)絡(luò)計算的行景和挑戰(zhàn)

企業(yè)網(wǎng)是連接企業(yè)內(nèi)部各部門并和企業(yè)外界相連，為企業(yè)口勺通信、辦公自動化、經(jīng)營管

理、生產(chǎn)銷售以及自動控制服務(wù)的重要信息基礎(chǔ)設(shè)施。Intranet是基于TCP/IP協(xié)議，使

用環(huán)球網(wǎng)工具，采用防止外界侵入的安全措施，為企業(yè)內(nèi)部服務(wù)，并有連接Intranet功

能的企業(yè)內(nèi)部網(wǎng)絡(luò)。

1.驅(qū)動企業(yè)網(wǎng)絡(luò)計算的原因:顧客需求，這是基本動力;先進和實用H勺信息技術(shù);迅速變

化中的市場。

2,可采用兩種模型:一種是可伸縮II勺模型，即企業(yè)網(wǎng)絡(luò)計算網(wǎng)司樣的軟件可運行在企業(yè)

內(nèi)部的不一樣平臺上;另一種是集成的模型，即企業(yè)內(nèi)部不一樣平臺上歐I軟件的集成。

二、企業(yè)網(wǎng)絡(luò)計算的構(gòu)成和特性

L企業(yè)網(wǎng)絡(luò)計算的構(gòu)成:客戶機/服務(wù)器計算;分布式數(shù)據(jù)庫;數(shù)據(jù)倉庫;網(wǎng)絡(luò)和通信;網(wǎng)

絡(luò)和系統(tǒng)的管理;多種網(wǎng)絡(luò)應(yīng)用。

2.企業(yè)網(wǎng)絡(luò)計算的特性:支持客戶機/服務(wù)器計算械;支持管理海最數(shù)據(jù)口勺能力和設(shè)施；

分布數(shù)據(jù)管理口勺設(shè)施;國際化和當(dāng)?shù)鼗?功能強的通信設(shè)施;系統(tǒng)的靈活性;分布資源管理;開

發(fā)工具和開發(fā)手段的提供。

三、開放系統(tǒng)

開放系統(tǒng):是對一種不停發(fā)展的、廠家中立的、用于對整個系統(tǒng)進行有效配置、操作和

替代的J接口、服務(wù)、協(xié)議和格式的規(guī)范描述日勺實現(xiàn)，它的應(yīng)用和構(gòu)成部件可以用不一樣廠家

的其他相似實現(xiàn)替代。

1.開放系統(tǒng)的兩個特點:開放系統(tǒng)所采用口勺規(guī)范是廠家中立H勺，或者是與廠家無關(guān)的；

開放系統(tǒng)容許不一樣廠家的產(chǎn)品替代，這種替代包括整個系統(tǒng)其構(gòu)成部件。

2,專用系統(tǒng):它所采用的規(guī)范是專用，而不是廠家中立的;專用系統(tǒng)不容許由不一樣廠

家的產(chǎn)品替代;它的構(gòu)成部件容許具有許可證日勺廠家產(chǎn)品替代。

3.驅(qū)動開放系統(tǒng)發(fā)展的原因:功能、可用性、兔雜性、價格。

四、企業(yè)網(wǎng)絡(luò)開放系統(tǒng)集成技術(shù)

1.FRAMW0RK是應(yīng)用程序的開發(fā)和運行環(huán)境，它實際上是蹭件和操作系統(tǒng)的組合。

比較有名的產(chǎn)品有CICS、Windows.UNIX。

2.COSE專門制定了自己依J開放系統(tǒng)環(huán)境規(guī)范，重要技術(shù)包括用于窗口管理的Motif.

原則API接口和用于數(shù)據(jù)庫管理的SQLo

3.信息系統(tǒng)與網(wǎng)絡(luò)計算重要實現(xiàn)網(wǎng)絡(luò)范圍數(shù)據(jù)管理、通信和網(wǎng)絡(luò)管理，重要技術(shù)有:在

數(shù)據(jù)管理方面有用于數(shù)據(jù)庫間通信H勺RDA,即遠程數(shù)據(jù)訪問;通信服務(wù)DCE分布式計算環(huán)

境，RPC遠程過程調(diào)用，OSI開放系統(tǒng)互連;管理服務(wù)，DME分布管理環(huán)境，SNMP簡樸網(wǎng)

絡(luò)管理協(xié)議。

五、開放系統(tǒng)環(huán)境應(yīng)用可移植框架

六、IntranetH勺定義和要素

1.Intranet是基于InternetTCP/IP協(xié)議，使用的環(huán)球網(wǎng)工具、采用防止外界侵

入的安全措施、為企業(yè)內(nèi)部服務(wù)，并有連接Internet的功能的企業(yè)內(nèi)部網(wǎng)絡(luò)。

2.IntranetH勺構(gòu)成:網(wǎng)絡(luò)、電子郵件、內(nèi)部環(huán)球網(wǎng)、郵件地址清單、新聞組Newsgro

ups、閑談Chat、FTP、Telnet.Gopher。

重要內(nèi)容:1.密碼學(xué)、鑒別

2.訪問控制、計算機病毒

3.網(wǎng)絡(luò)安全技術(shù)

4.安全服務(wù)與安全機制

5.信息系統(tǒng)安全體系構(gòu)造框架

6.信息系統(tǒng)安全評估唯則

一、密碼學(xué)

1.密碼學(xué)是以研究數(shù)據(jù)保密為目II勺，對存儲或者傳播的信息采用秘密的互換以防止第

三者對信息日勺竊取的技術(shù)，

2.對稱密鑰密碼系統(tǒng)(私鑰密碼系統(tǒng)):在老式密碼體制中加密和解密采用的是同一密

鑰。常見的算法有:DES、IDEA

3.加密模式分類：

(1)序列密碼:通過有限狀態(tài)機產(chǎn)生性能優(yōu)良的偽隨機序列，使用該序列加密信息流逐

位加密得到密文。

(2)分組密碼:在相信復(fù)雜函數(shù)可以通過簡樸函數(shù)迭代若干圈得到的原則，運用簡樸圈

函數(shù)及對合等運算，充足運用非線性運算。

4.非對稱密鑰密碼系統(tǒng)（公鑰密碼系統(tǒng)）:現(xiàn)代密碼體制中加密和解密采用不一樣的密

鑰。

實現(xiàn)的過程:每個通信雙方有兩個密鑰，K和K',在進行保密通信時一般將加密密鑰K

公開（稱為公鑰），而保留解密密鑰K'（稱為私鑰），常見的算法有:RSA

二、鑒別

鑒別是指可靠地驗證某個通信參與方的身份與否與他所聲稱的身份一致日勺過程，一般

通過某種更雜口勺身份認證協(xié)議來實現(xiàn)。

1.口令技術(shù)

身份認證標(biāo)識:PIN保護記憶卡和挑戰(zhàn)響應(yīng)卡

分類:共享密鑰認證、公鑰認證和零知識認證

（1）共享密鑰認證的思想是從通過口令認證顧客發(fā)展來了。

(2)公開密鑰算法時出現(xiàn)為

2.會話密鑰:是指在一次會話過程中使用口勺密鑰，一般都是由機器隨機生成的J,會話密

鑰在實際使用時往往是在一定期間內(nèi)均有效，并不真正限制在一次會話過程中。

簽名:運用私鑰對明文信息進行的變換稱為簽名

封裝:運用公鑰對明文信息進行的變換稱為封裝

3.Kerberos鑒別:是一種使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心

的身份認證系統(tǒng)?？蛻舴叫枰蚍?wù)器方遞交自己的憑據(jù)來證明自己的身份，該憑據(jù)是由K

DC專門為客戶和服務(wù)器方在某一階段內(nèi)通信而生成口勺。憑據(jù)中包括客戶和服務(wù)器方的身份

信息和在下一階段雙方使用的臨時加密密鑰，尚有證明客戶方擁有會話密鑰的身份認證者

信息。身份認證信息的作用是防止襲擊者在未來將同樣時憑據(jù)再次使用。時間標(biāo)識是檢測重

放襲擊。

4.數(shù)字簽名：

加密過程為C=EB(DA(m))顧客A先用自己的保密算法(解密算法DA)對數(shù)據(jù)進行加

密DA(m),再用B日勺公開算法(加密算法EB)進行一次加密EB(DA(m))。

解密的過程為m=EA(DB(C))顧客B先用自己日勺保密算法(解密算DB)對密文C

進行解密DB(C),再用A的公開算法(加密算法EA)進行一次解密EA(DB(C))。只有A

才能產(chǎn)生密文C,B是無法依托或修改口勺，因此A是不得抵賴於jDA(m)被稱為簽名。

三、訪問控制

訪問控制是指確定可予以哪些主體訪問的權(quán)力、確定以及實行訪問權(quán)限的過程。被訪問

的數(shù)據(jù)統(tǒng)稱為客體。

1.訪問矩陣是表達安全政策日勺最常用時訪問控制安全模型。訪問者對訪問對象日勺權(quán)限就

寄存在矩陣中對應(yīng)的交叉點上。

2.訪問控制表(ACL)每個訪問者存儲有訪問權(quán)力表，該表包括了他可以訪問艮I特定對

象和操作權(quán)限。引用監(jiān)視幫根據(jù)驗證訪問表提供H勺權(quán)力表和訪問者口勺身份來決定與否授予訪

問者對應(yīng)的操作權(quán)限。

3,粗粒度訪問控制:可以控制到主機對象U勺訪問控制

細粒度訪問控制:可以控制到文獻甚至記錄的訪問控制

4.防火墻作用：防止不但愿、未經(jīng)授權(quán)日勺通信進出被保護H勺內(nèi)部網(wǎng)絡(luò)，通過邊界控制強

化內(nèi)部網(wǎng)絡(luò)日勺安全政策。

防火墻的分類:IP過濾、線過濾和應(yīng)用層代理

路由器過濾方式防火墻、雙穴信關(guān)方式防火墻、主機過濾式防火墻、子網(wǎng)過濾方式防火

墻

5.過濾路由器的長處:構(gòu)造簡樸，使用硬件來減少成本;對上層協(xié)議和應(yīng)用透明，無需

要修改已經(jīng)有H勺應(yīng)用。缺諂:在認證和控制方面粒度太粗，無法做到顧客級別的身份認證，

只有針對主機IP地址，存在著假冒IP襲擊口勺隱患；訪問控制也只有控制到IP地址端口一級,

不能細化到文獻等詳細對象;從系統(tǒng)管理角度來看人工承擔(dān)很重。

6.代理服務(wù)器的長處:是其顧客級身份認證、H志記錄和帳號管理。缺陷:要想提供全面

的安全保證，就要對每一項服務(wù)都建立對應(yīng)H勺應(yīng)用層網(wǎng)關(guān)，這就極大限制了新應(yīng)用的采納。

7、VPN:虛擬專用網(wǎng)，是將物理分布在不一樣地點的網(wǎng)絡(luò)通過公共骨干網(wǎng)，尤其是int

ernet聯(lián)接而成的邏輯上li勺虛擬子網(wǎng)。

8、VPN的模式:直接模式VPN使用IP和編址來建立對VPN上傳播數(shù)據(jù)H勺直接控制。

對數(shù)據(jù)加密，采用基于顧客身份的鑒別，而不是基于IP地址。隧道模式VPN是使用IP幀

作為隧道的發(fā)送分組。

9、IPSEC是由IETF制定的用于VPNH勺協(xié)議。由三個部分構(gòu)成:封裝安全負載ESP

重要用來處理對IP數(shù)據(jù)包的加密并對鑒別提供某種程序H勺支持。，鑒別報頭(AP)只波及到

鑒別不波及到加密，internet密鑰互換IKE重要是對密鑰互換進行管理。

四、計算機病毒

1.計算機病毒分類:操作系統(tǒng)型、外殼型、入侵型、源碼型

2.計算機病毒破壞過程:最初病毒程序寄生在介質(zhì)上的某個程序中，處在靜止?fàn)顟B(tài)，一

旦程序被引導(dǎo)或調(diào)用，它就被激活，變成有傳染能力日勺動態(tài)病毒，當(dāng)傳染條件滿足時，病毒

就侵入內(nèi)存，伴隨作業(yè)進程的發(fā)展，它逐漸向其他作業(yè)模塊擴散，并傳染給其他軟件。在破

壞條件滿足時，它就由體現(xiàn)模塊或破壞模塊把病毒以特定H勺方針體現(xiàn)出來。

五、網(wǎng)絡(luò)安全技術(shù)

1.鏈路層負責(zé)建立點到點的)通信，網(wǎng)絡(luò)層負責(zé)尋徑、傳播層負責(zé)?建立端到端H勺通信信

道。

2.物理層可以在通信線路上采用某些技術(shù)使得搭線偷聽變得不也許或者輕易被檢測出。

數(shù)據(jù)鏈路層，可以采用通信保密機進行加密和解密。

3.IP層安全性

在IP加密傳播信道技術(shù)方面：IETF已經(jīng)指定了一種IP安全性工作小組IPSEC來制定

IP安全協(xié)議IPSP和對應(yīng)日勺internet密鑰管理協(xié)議IKMP的原則。

(l)IPSEC采用了兩種機制:認證頭部AH,提前誰和數(shù)據(jù)完整性;安全內(nèi)容封裝ESP,

實現(xiàn)通信保密。1995年8月internet工程領(lǐng)導(dǎo)小組IESG同意了有關(guān)IPSP的RFC作為

internet原則系列艮I推薦原則。同步還規(guī)定了用安全散列算法SHA來替代MD5和用三元

DES替代DES0

4.傳播層安全性

(1)傳播層網(wǎng)關(guān)在兩個通信節(jié)點之間代為傳遞TCP連接并進行控制，這個層次一般稱

作傳播層安全。最常見的傳播層安全技術(shù)有SSL、SOCKS和安全RPC等。

(2)在internet編程中，一般使用廣義H勺進程信IPC機制來同不一樣層次的安全協(xié)議

打交道。比較流行的兩個IPC編程界面是BSDSockets和傳播層界面TLL

(3)安全套接層協(xié)議SSL

在可靠R勺傳播服務(wù)TCP/IP基礎(chǔ)上建立，SSL版本3,SSLv3于1995年12月制定。

SSL采用公鑰方式進行身份認證，不過大量數(shù)據(jù)傳播仍然使用對稱密鑰方式。通過雙方協(xié)商

SSL可以支持多種身份認證、加密和檢查算法。

SSL協(xié)商協(xié)議:用來互換版本號、加密算法、身份認證并互換密鑰SSLv3提供對Deff

ie-Hellman密鑰互換算法、基于RSA的密鑰互換機制和另一種實目前Frotezzachip±

的密鑰互換機制打勺支持。

SSL記錄層協(xié)議:它波及應(yīng)用程序提供的信息艮|分段、壓縮數(shù)據(jù)認證和加密SSLv3提

供對數(shù)據(jù)認證用H勺MD5和SHA以及數(shù)據(jù)加密用的R4主DES等支持，用來對數(shù)據(jù)進行認

證和加密的密鑰可以有通過SSL的握手協(xié)議來協(xié)商。

SSL協(xié)商層U勺工作過程:當(dāng)客戶方與服務(wù)方進行通信之前，客戶方發(fā)出問候;服務(wù)方收

到問候后，發(fā)回一種問候。問候互換完畢后，就確定了雙方采用的SSL協(xié)議的版本號、會

話標(biāo)志、加密算法集和壓縮算法。

SSL記錄層H勺工作過程:接受上層的I數(shù)據(jù)，將它們分段;然后用協(xié)商層約定的I壓縮措施

進行壓縮，壓縮后的記錄取約定的流加密或塊加密方式進行加密，再由傳播層發(fā)送出去。

5.應(yīng)用層安全性

6.應(yīng)用安全技術(shù)

(1)處理應(yīng)用安全的方案需要結(jié)合通用的internet安全技術(shù)和專門針對的技術(shù)。

前者重要是指防火墻技術(shù)，后者包括根據(jù)技術(shù)日勺特點改善協(xié)議或者運用代理服務(wù)器、

插入件、中間件等技術(shù)來實現(xiàn)日勺安全技術(shù)。

(2)目前三個版本：0.9、1.0、1.1。0.9是最早的I版本，它只定義了

最基本的簡樸祈求和簡樸回答；1.0較完善，也是目前使用廣泛的一種版本；1.1增長

了大量時報頭域，并對L0中沒有嚴格定義的部分作了深入的闡明。

(3)1.1提供了一種基于口令基本認證措施，目前所有的WEB服務(wù)器都可以通過”

基自身份認證”支持訪問控制。在身份認證上，針對基本認證措施以明文傳播口令這一最大

弱點，補充了摘要認證措施，不再傳遞口令明文，而是將口令通過散列函數(shù)變換后傳遞它

的J摘要。

(4)針對協(xié)議的改善尚有安全協(xié)議So最新版本的S1.3它建立在1.1

基礎(chǔ)上，提供了數(shù)據(jù)加密、身份認證、數(shù)據(jù)完整、防止否認等能力。

(5)DEC-Web

WAND服務(wù)器是支持DCEI向?qū)Ｓ肳eb服務(wù)器，它可以和三種客戶進行通信:第一是

設(shè)置當(dāng)?shù)匕踩鞸LPI向一般瀏覽器。第二種是支持SSL瀏覽器，這種瀏覽器向一種安全

網(wǎng)關(guān)以SSL協(xié)議發(fā)送祈求，SDG再將祈求轉(zhuǎn)換成安全RPC調(diào)用發(fā)給WAND,收到成果后,

將其轉(zhuǎn)換成SSL回答，發(fā)回到瀏覽器。第三種是完全沒有任何安全機制日勺一般瀏覽器，W

ANS也接受它直接的祈求，但此時通信得不到任何保護。

六、安全服務(wù)與安全與機制

1.ISO7498-2從體系構(gòu)造H勺觀點描述了5種可選的安全服務(wù)、8項特定的安全機制以

及5種普遍性的安全機制。

2.5種可選口勺安全服務(wù):鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性和防止否認。

3.8種安全機制:加密機制、數(shù)據(jù)完整性機制、訪問控制機制、數(shù)據(jù)完整性機制、認證

機制、通信業(yè)務(wù)填充機制、路由控制機制、公證機制，它們可以在OSI參照模型H勺合適層

次上實行。

4.5種普遍性口勺安全機制:可信功能、安全標(biāo)號、事件檢測、安全審計跟蹤、安全恢復(fù)。

5.信息系統(tǒng)安全評估準(zhǔn)則

(1)可信計算機系統(tǒng)評估準(zhǔn)則TCSEC:是由美國國家計算機安全中心于1983年制定I。

又稱桔皮書。

(2)信息技術(shù)安全評估準(zhǔn)則ITSEC:由歐洲四國于1989年聯(lián)合提出的，俗稱白皮書。

(3)通用安全評估準(zhǔn)則CC:由美國國標(biāo)技術(shù)研究所NIST和國家安全局NSA.歐洲四國

以及加拿大等6國7方聯(lián)合提出依J。

(4)”?算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則:我國國家質(zhì)量技術(shù)監(jiān)督局于1999年公布

的國標(biāo)。

6.可信計算機系統(tǒng)評估準(zhǔn)則

TCSEC共分為4類7級:D,Cl,C2,Bl,B2,B3ZAl

D級，安全保護欠缺級，并不是沒有安全保護功能，只是太弱。

C1級，自主安全保護級,

C2級，受控存取保護級,

B1級，構(gòu)造化保護級

B3級，安全域級

A1,驗證設(shè)計級。

七、評估增長的安全操作代價

為了確定網(wǎng)絡(luò)的安全方略及處理方案:首先，應(yīng)當(dāng)評估風(fēng)險，即確定侵入破壞的機會和

危害的潛在代價;另一方面，應(yīng)當(dāng)評估增長的安全操作代價。

安全操作代價重要有如卜幾點:

(1)顧客H勺以便程度

(2)管理的復(fù)雜性

(3)對既有系統(tǒng)的影響

(4)對不一樣平臺的支持

重要內(nèi)容:1.網(wǎng)絡(luò)操作系統(tǒng)的功能

2,流行II勺網(wǎng)絡(luò)操作系統(tǒng)

一、網(wǎng)絡(luò)操作系統(tǒng)的功能

1.網(wǎng)絡(luò)操作系統(tǒng)NOS,是使網(wǎng)絡(luò)上各計算機能以便而有效地共享網(wǎng)絡(luò)資源，為網(wǎng)絡(luò)顧

客提供所需要日勺多種服務(wù)的軟件和有關(guān)規(guī)程的集合。

2,局域網(wǎng)NOS有兩個基本規(guī)定:(1)容許在局域網(wǎng)上的資源被共享;(2)要使既有的PC

操作系統(tǒng)仍能繼續(xù)運行，而不需要作任何變化。NOS有兩個構(gòu)成，重要是控制服務(wù)器的操

作、管理存儲在服務(wù)器上II勺文獻。第二個構(gòu)成，運行在客戶系統(tǒng)的軟件，使客戶能訪問網(wǎng)絡(luò)

及網(wǎng)上資源。

3.在NetWare中:第一部分是PC和網(wǎng)絡(luò)接II卡聯(lián)絡(luò)的機制，采用IPX/SPX互連網(wǎng)分

組互換/次序分組互換接口協(xié)議來進行通信;第二部分稱為解釋器或重定向器(redirector)。

二、NetWare系列

1.NetWare有兩部分構(gòu)成:NetWare的外層(shell)和NetWare關(guān)鍵構(gòu)成。

2.NetWare的外層(shell)在NetWare4中稱為DOSRequester。它有兩個有關(guān)H勺

功能:將應(yīng)用和桌面操作系統(tǒng)連接，決定未來自應(yīng)用的命令傳送到當(dāng)?shù)夭僮飨到y(tǒng);和網(wǎng)絡(luò)接

U卡NIC通信，使命令和數(shù)據(jù)包裝成能在諸如以太網(wǎng)、標(biāo)識環(huán)網(wǎng)等原則網(wǎng)絡(luò)上接受和發(fā)送。

3.NetWare初次將容錯引入NOS,稱為系統(tǒng)容錯(SFTsystemfaulttolerant)

/NetWare構(gòu)造中NetWare支持傳播層協(xié)議自主性日勺兩個重要構(gòu)成，為開放數(shù)據(jù)鏈

路層接口ODI和Streams模塊。ODI為多種傳播層協(xié)議提供了一種原則的接口，其功能

是使多種傳播層協(xié)議可以共享同一種網(wǎng)絡(luò)卡而不發(fā)生沖突。Streams模塊在高層提供「一

種接口，首先為其底層那些需要向NetWare傳送數(shù)據(jù)祈求打勺協(xié)議提供一種通用接口，另首

先還要向上為NetWare自身提供一種接口。

5.NetWare工作站運用shell和IPX/SPX通信協(xié)議與文獻服務(wù)器通信。

NETX.COM通過向IPX發(fā)送命令，將DOS的文獻祈求發(fā)送到文獻服務(wù)器在，或從文

獻服務(wù)器上傳回重定向。

NET.COM程序?qū)⒐ぷ髡镜钠砬髠魉徒oDOS和NetWare。

IPX.COM向文獻服務(wù)器發(fā)送網(wǎng)絡(luò)信息，它是工作站與服務(wù)器通信的規(guī)程。

三、WindowsNT

l.WindowsNT服務(wù)器被優(yōu)化成一種文獻、打印機和應(yīng)用程序服務(wù)器在，同步又能處

理從小型的工作組到企業(yè)網(wǎng)絡(luò)范圍內(nèi)的多種事務(wù)。

2.WindowsNTServer長處:服務(wù)器性能，在完全版本中支持達4個CPU,OEM已

經(jīng)實現(xiàn)了對稱多處理環(huán)境中支持達32個CPU;256個RAS入站接入;磁盤容錯支持，RAI

D級的數(shù)據(jù)保護;HS服務(wù);管理向?qū)?蘋果機客戶的支持;其他網(wǎng)絡(luò)服務(wù)(DHCP、DNS、WI

NS);WindowsNT目錄服務(wù)。

3.Micros。代網(wǎng)絡(luò)包括:WindowsNT、Windows95.WindowsforWorkgroup、L

ANmanager

4.WindowsNT網(wǎng)絡(luò)構(gòu)造:包括I/O管理器組件、NDIS兼容網(wǎng)卡驅(qū)動程序、NDIS4.

0,傳播協(xié)議、傳播驅(qū)動程序接口TDI、文獻系統(tǒng)驅(qū)動程序。

第7章網(wǎng)絡(luò)管理

重要內(nèi)容:1.局域網(wǎng)管理技術(shù)

2.網(wǎng)絡(luò)管理功能和協(xié)議

3.網(wǎng)絡(luò)管理系統(tǒng)

4.網(wǎng)絡(luò)平常管理和維護

一、局域網(wǎng)管理技術(shù)

網(wǎng)絡(luò)管理是對計算機網(wǎng)絡(luò)的配置、運行狀態(tài)和計費等進行的管理。它提供了監(jiān)控、協(xié)調(diào)

和測試多種網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)運行善日勺手段，還可提供安全管理和計費等功能。

1.網(wǎng)絡(luò)管理包括三個方面：

(1)理解網(wǎng)絡(luò):識別網(wǎng)絡(luò)對象的硬件狀況、差異局域網(wǎng)的拓撲構(gòu)造、確定網(wǎng)絡(luò)的互連、確

定顧客負載和定位。

(2)網(wǎng)絡(luò)運行:配置網(wǎng)絡(luò)，選擇網(wǎng)絡(luò)協(xié)議是配置網(wǎng)絡(luò)的重要構(gòu)成部分;配置網(wǎng)絡(luò)服務(wù)器；

網(wǎng)絡(luò)安全控制。

(3)網(wǎng)絡(luò)維護:重要包括故障檢測與排除，發(fā)現(xiàn)故障、追蹤故障、排除故障、記錄故障H勺

處理措施;網(wǎng)絡(luò)檢查;網(wǎng)絡(luò)升級，重要包括顧客許可證U勺升級，服務(wù)器操作系統(tǒng)升級，服務(wù)器

的硬件升級。

2.局域網(wǎng)管理工具

NetWare管理工具:SYSCON工具

WindowsNT管理工具:服務(wù)管理器，性能監(jiān)視器

二、網(wǎng)絡(luò)管理功能

1.網(wǎng)絡(luò)管理H勺五大功能

配置管理:配置管理口勺自動獲取，在網(wǎng)絡(luò)設(shè)備中自動配置信息中，根據(jù)獲取手段大體可

以提成三類，第一類網(wǎng)絡(luò)管理協(xié)議原則的MIB中定義的配置信息;第二類不在網(wǎng)絡(luò)管理協(xié)議

原則中有定義，但對設(shè)備運行比較重要日勺配置信息;第三類就是用于管理日勺某些輔助信息；

自動備份及有關(guān)技術(shù);配置一致性檢查;顧客操作記錄功能。

性能管理:過濃、歸并網(wǎng)絡(luò)事件，有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障，給出排錯提議與排錯工

具，形成整套的故障發(fā)現(xiàn)、告警與處理機制。

故障管理:采集、分析網(wǎng)絡(luò)對象的性能數(shù)據(jù)、監(jiān)測網(wǎng)絡(luò)對象IJ勺性能，對網(wǎng)絡(luò)線路質(zhì)量進

行分析。

安全管理:結(jié)合使用顧客認證、訪問控制、數(shù)據(jù)傳播、存儲的I保密與完整性機制，以保

障網(wǎng)絡(luò)管理系統(tǒng)自身的安全。安全管理分三個部分，首先是網(wǎng)絡(luò)管理自身的安全，其是被管

理網(wǎng)絡(luò)對象的安全。計費管理：

二、網(wǎng)絡(luò)管理協(xié)議

1.IAB最初制定有關(guān)internet管理的發(fā)展方略，其實采用SGMP作為臨時的管理處理

方案。后來演變?yōu)镾NMP,簡樸網(wǎng)絡(luò)管理協(xié)議。

2.SNMP簡樸網(wǎng)絡(luò)管理協(xié)議在OSI的第三層網(wǎng)絡(luò)層提供的管理服務(wù)

長處:與SNMP有關(guān)的管理信息構(gòu)造(SMI)和管理信息庫(MIB)非常簡樸，從而可以迅

速、簡便地實現(xiàn)；SNMP是建立在SGMP基礎(chǔ)上，而對于SGMP從們積累了大協(xié)KJ操

作經(jīng)驗。

SNMP是按照簡樸和易于實現(xiàn)H勺原則設(shè)計的。

3.CMIS/CMIP公共管理信息服務(wù)和公共管理信息協(xié)議:是在OSI應(yīng)用層上提供的網(wǎng)絡(luò)

協(xié)議簇，CMIS/CMIP提供支持一種完整的網(wǎng)絡(luò)管理方案所需要的功能。

CMIS提供J'應(yīng)用程序使用的CMIP接口，同步還包括兩個ISO應(yīng)用協(xié)議:聯(lián)絡(luò)控制服

務(wù)元素ACSE和遠程操作服務(wù)元素ROSE,其中ACSE在應(yīng)用程序之間建立和關(guān)閉聯(lián)絡(luò)，

而ROSE則處理應(yīng)用之間的祈求/響應(yīng)交互。

4.CMOT公共管理信息服務(wù)與協(xié)議是在TCP/IP協(xié)以上實現(xiàn)H'、JCMIS服務(wù)，這是一種

過渡性的處理方案。CMOT沒有直接使用參照模型中表達層實現(xiàn)，而是規(guī)定在表達層中使

用此外一種協(xié)議，輕量表達協(xié)議(LPP),該協(xié)議提供了目前最一般的兩種傳播層協(xié)議TCP

與UDPU勺接口。

5.LMMP局域網(wǎng)個人管理協(xié)議，在IEEE802邏輯鏈路控制LLC上H勺公共管理信息服務(wù)

與協(xié)議CMOL,它不依賴于任何特定的I網(wǎng)絡(luò)層協(xié)議進行網(wǎng)絡(luò)傳播。

三、簡樸網(wǎng)絡(luò)管理協(xié)議SNMP

1.SNMP概述：

設(shè)計時圍繞四個概念和目的進行設(shè)計:保持管理代理的軟件成本盡量低;最大程度地保

持遠程管理日勺功能，以便充足運用因特網(wǎng)資源;體系構(gòu)造必須有擴充H勺余地;保持SNMP獨

立性，不依賴于詳細的計算機、網(wǎng)關(guān)和網(wǎng)絡(luò)傳播協(xié)議。

提供了四類管理操作:get操作用來提取特定日勺網(wǎng)絡(luò)管理信息;get-next操作通過遍歷

活動來提供強大U勺管理信息提取能力;set操作用來對管理信息進行控制;trap用來匯報重

要臥J事件。

2.SNMP管理控制框架與實現(xiàn)

SNMP定義了管理進程和管理代理之間的關(guān)系，這個關(guān)系稱為共同體。位于網(wǎng)絡(luò)管理工

作站和各網(wǎng)絡(luò)元素上運用SNMP互相通信對網(wǎng)絡(luò)進行管理的軟件統(tǒng)稱為SNMP應(yīng)用實體。

SNMP的應(yīng)用實體對?internet管理信息庫MIB中的管理對象進行操作。SNMP的報

文總是源自每個應(yīng)用實體，報文中包括訪應(yīng)用實體所在的共同H勺名字。這種報文稱為“有身

份標(biāo)志時報文，共同體名字是在管理進程和管理代理之間互換管理信息報文時使用。

管理信息報文包括:共同體名，數(shù)據(jù)。

SNMP的實現(xiàn)方式:SNMP在其MIB中采用廣樹狀命名措施對每個管理對象實例命名。

SNMP中多種管理信息大多以表格形式存在，一種表格對應(yīng)一種對象類，每個元素對應(yīng)于

該類的一種對象實例。

3.SNMP協(xié)議是一種異步的祈求/響應(yīng)協(xié)議，是一種非面向連接H勺協(xié)議，是一種對稱H勺

協(xié)議，沒有主從關(guān)系。SKMP的T設(shè)計是基于無連接的）顧客數(shù)據(jù)報協(xié)議UDP。四種基本協(xié)議

的I交互過程，都是祈求管理進程給管理代理，響應(yīng)則都是由管理代剪發(fā)給管理進程代U只有

Trap是無響應(yīng)的，有管理代理單向發(fā)給管理進程。

SNMP協(xié)議實體之間的協(xié)議數(shù)據(jù)單元PDU只有兩種不一樣"勺構(gòu)造和模式，一種PDU

格式在大部分操作中使用，而另一種則在Trap操作中作為trap的協(xié)議數(shù)據(jù)單元。

4.Trap操作，是一種捕捉事件并匯報的）操作，實際上幾乎所有網(wǎng)絡(luò)管理系統(tǒng)和管理協(xié)

議都具有這種機制。

四、網(wǎng)絡(luò)管理系統(tǒng)

1.HP-OpenView

不能處理由于某一網(wǎng)絡(luò)對象故障而誤導(dǎo)致的其他對象的故障，不具有理解所有網(wǎng)絡(luò)對

象在網(wǎng)絡(luò)中互相關(guān)系的能力。也不能把服務(wù)的故障與設(shè)各的故障辨別開來。性能的輪與狀態(tài)

的輪詢是截然分開的，這樣導(dǎo)致一種網(wǎng)絡(luò)對象響應(yīng)性能輪詢失敗但不觸發(fā)一種報警。

2.IBM-NetView

不能對故障事件進行歸并，它不能找出有關(guān)故障卡片的內(nèi)在關(guān)系，因此對一種失效設(shè)

備,雖然是一種重要H勺路由器，將導(dǎo)致大量的I故障卡片和一系列類似H勺告警。不具有在掌握

整個網(wǎng)絡(luò)構(gòu)造狀況下管理分散對象H勺能力。性能輪詢與狀態(tài)輪詢也是徹底分開H勺，這將導(dǎo)致

故障響應(yīng)的延遲。

3.SUN-SunNetManager

是第一種重要的基于UNIX的網(wǎng)絡(luò)管理系統(tǒng)。

4.CabletronSPECTRUM

是一種可擴展口勺、智能曰勺網(wǎng)絡(luò)管理系統(tǒng)，它使用了面向?qū)ο蟮拇胧┖涂蛻舴?wù)器體系構(gòu)

造。SPECTRUM構(gòu)筑在一種人工智能的引擎之上，IMT(InductiveModelingTechnolo

gy)。它是所有四種網(wǎng)絡(luò)管理軟件中惟一具有處理網(wǎng)絡(luò)對象有關(guān)性能力的系統(tǒng)。

SPECTRUM服務(wù)器提供了兩種類型的輪詢：自動輪詢和手動輪詢。

SPECTRUM提供了多種形式日勺告警手段，包括彈th窗口，發(fā)出報警聲響等。

SPECTRUM能自動的發(fā)現(xiàn)拓撲構(gòu)造，但相對比較慢。

五、網(wǎng)絡(luò)平常管理和維護

1.VLAN的管理

2.WAN接入的管理

3.網(wǎng)絡(luò)故障診斷和排除

物理故障：

邏輯故障：

路由器故障：

主機故障：

4.網(wǎng)絡(luò)管理工具

連通性測試程序Ping:

路由跟蹤程序Tracepute:在Windows中是tracert

MIB變軟瀏覽器:

重要內(nèi)容：i.局域網(wǎng)a連

2.網(wǎng)絡(luò)互連原理

3,無連接網(wǎng)絡(luò)互連、多種路由選擇算法和協(xié)議

4.關(guān)鍵路由器體系構(gòu)造體系

一、局域網(wǎng)互連

1.網(wǎng)絡(luò)互連的目日勺:是將多種網(wǎng)絡(luò)互相連接，以實目前更大范闈內(nèi)的信息互換資源共享

和協(xié)同工作。

2.局域網(wǎng)互連方式:從距離上分有當(dāng)?shù)鼐钟蚓W(wǎng)互連和遠程局域網(wǎng)互連即LAN-LAM和

LAN-WAN-LAN;從互連所采用的介質(zhì)辨別，有同軸細纜或粗纜(coaxialcable)、各類非屏

蔽雙絞線UTP(UnshieldedTwistedpair)和屏蔽雙絞線STP(shieldedTwistedpair)、

單模或多模光纖等(opticalfiber)連接方式。

3.局域網(wǎng)互連劃分：

物理層(中繼器repeater):使用中繼器在不一樣電纜段之間復(fù)制位信號，工作在OSI

物理層，互連同類型網(wǎng)段，只起到放大信號的作用，驅(qū)動長距離通信。又稱集線器(hub),

可分為一般型，可疊加組合型和高檔智能型。

網(wǎng)橋(bridge):使用網(wǎng)橋在局域網(wǎng)之間存儲、轉(zhuǎn)發(fā)幀，工作在OSI數(shù)據(jù)鏈路層，更精確

地說應(yīng)當(dāng)位于MAC層，它互連兼容地址的局域網(wǎng)，運用向MAC和MAC地址，以及存儲、

轉(zhuǎn)發(fā)功能進行局域網(wǎng)間II勺信息互換。從應(yīng)用上分當(dāng)?shù)鼐W(wǎng)橋和遠程網(wǎng)橋、主干網(wǎng)橋;從幀轉(zhuǎn)發(fā)

功能分派分透明網(wǎng)橋和源地址途徑選擇網(wǎng)橋。透明網(wǎng)橋TBB、J基本功能有學(xué)習(xí)及過濾、幀轉(zhuǎn)

發(fā)和分枝樹算法功能。

(1)網(wǎng)橋作信息幀轉(zhuǎn)發(fā)時要運用地址轉(zhuǎn)刊登，按表中學(xué)習(xí)到的MAC地址和網(wǎng)橋?qū)?yīng)關(guān)

系，將包精確轉(zhuǎn)發(fā)到該網(wǎng)橋。但如網(wǎng)橋未學(xué)習(xí)到MAC地址時，便將幀發(fā)向除接受口之外口勺

所有接口，這在網(wǎng)橋剛啟動工作時會導(dǎo)致大量的廣播幀，稱為廣播風(fēng)暴(broadcast

storm)o

(2)擴展樹協(xié)議是為了克服由于網(wǎng)橋不具網(wǎng)絡(luò)層功能，在常任冗余途徑的網(wǎng)橋中出現(xiàn)信

息回路導(dǎo)致網(wǎng)橋癱瘓的問題。IEE802.1定義了分枝樹枕'議STP,將整個網(wǎng)絡(luò)路由定義為無

回路的樹形構(gòu)造。

(3)源地址途徑選擇網(wǎng)橋SRB重要用于標(biāo)識環(huán)IEEE802.5標(biāo)識環(huán)局域網(wǎng)。互連不一樣

型局域網(wǎng)時使用封裝網(wǎng)橋(encapsulationbridging)和轉(zhuǎn)換橋接方式(translation

bridging)和源地址途徑選擇透明網(wǎng)橋SRT。

路由器(router):使用路由器在不一樣網(wǎng)絡(luò)間存儲、轉(zhuǎn)發(fā)分組，工作在OSI網(wǎng)絡(luò)層，它

需要處理網(wǎng)絡(luò)層的數(shù)據(jù)分組或網(wǎng)絡(luò)地址，決定數(shù)據(jù)分組的轉(zhuǎn)發(fā)，它要決定網(wǎng)橋中信息通信

的完整路由。

網(wǎng)關(guān)(gateway):使用協(xié)議轉(zhuǎn)換器提供高層接口，工作在應(yīng)用層。

二、網(wǎng)絡(luò)互連原理

1.網(wǎng)絡(luò)互連的規(guī)定：在網(wǎng)絡(luò)之間提供一條鏈路，至少需要一條物理和鏈路控制的鏈路；

在不一樣網(wǎng)絡(luò)日勺進程間提供途徑選擇和傳遞數(shù)據(jù);提供各顧客使用網(wǎng)絡(luò)的I記錄和保持狀態(tài)信

息;在提供上述服務(wù)時不需要修改原有各網(wǎng)絡(luò)H勺網(wǎng)絡(luò)構(gòu)造。

2.網(wǎng)絡(luò)互連口勺功能分類:基本功能，指的I是網(wǎng)絡(luò)互連必須的功能，雖然對那些類型相似

的網(wǎng)絡(luò)互連也應(yīng)當(dāng)具有的功能，它包括不一樣網(wǎng)絡(luò)之間傳送尋址和途徑選擇等。擴展功能,

指的是當(dāng)多種互連口勺網(wǎng)絡(luò)提供不一樣日勺服務(wù)級別時所需要日勺功能，包括協(xié)議轉(zhuǎn)換、分組H勺分

段組合和重定序及差錯檢刻。3.面向連接運行模式:連到同一子網(wǎng)上的兩個DTE之間可建立

一條邏輯H勺網(wǎng)絡(luò)連接。4.無連接運行模式:對應(yīng)于分組互換網(wǎng)的數(shù)據(jù)報機制，而面向連接運

行對應(yīng)于虛電路機制。

三、無連接網(wǎng)絡(luò)互連

1.IP提供無連接或數(shù)據(jù)報服務(wù)長處:無連接互連網(wǎng)絡(luò)設(shè)備靈活性很好，對?子網(wǎng)規(guī)定低;

無連接網(wǎng)絡(luò)能提供強健的服務(wù);無連接網(wǎng)絡(luò)服務(wù)對于無連接傳播層協(xié)議最為合用。

2,無連接網(wǎng)絡(luò)互連設(shè)計重要問題:路由、數(shù)據(jù)報生命周期，分段和重組，糾錯和流控。

重組:一種重組的I措施是在白的站進行重組，其缺陷是提成小段H勺數(shù)據(jù)通過網(wǎng)絡(luò)膽識的

效率。另一種重組措施是由中間的路由器進行重組，則也會下列問題:路由器需要大容量緩

沖器，還也許發(fā)生緩沖器不夠用的狀況;一種數(shù)據(jù)報的所有分段必須使用同一路由，限制了

動態(tài)路由的使用。

IP數(shù)據(jù)報報頭中，包括下列內(nèi)容:數(shù)據(jù)單元標(biāo)識(ID),數(shù)據(jù)長度，偏移(。仟set),尚有

標(biāo)識(moreflag)。路由器中IP分段的功能:offset=0是整個數(shù)據(jù)時開始，more-flag=0

是整個數(shù)據(jù)報H勺結(jié)束。

(1)建立兩個新的數(shù)據(jù)報，它們口勺頭部就是原先數(shù)據(jù)報口勺頭報

(2)以64位為邊界，把原先的數(shù)據(jù)報提成長度差不多日勺兩部分，把它們分別放入新日勺

數(shù)據(jù)報中。第一部分必須是64位的倍數(shù)。

(3)把第一種新數(shù)據(jù)報的長度設(shè)置為所插入的數(shù)據(jù)，把more-flag設(shè)置成1,offset

變。

(4)把第二個新數(shù)據(jù)報11勺長度設(shè)置為所插入II勺數(shù)據(jù)，把more-flag設(shè)置成0,offset設(shè)

置成第一部分數(shù)據(jù)長度除以8,

生命周期:一種是對來到的第一段設(shè)置一種生命周期，假如在生命周期內(nèi)沒有完畢重級

工作，那么就撤銷已經(jīng)抵達H勺分段;第二種是運用數(shù)據(jù)報的生命周期，它包括在每一段的頭

部中，若重組工作沒有在數(shù)據(jù)報生命周期內(nèi)完畢，則撤銷接受到H勺分段。

四、IP數(shù)據(jù)報U勺路由選擇

1.直接傳送和間接傳送

直接傳送將一種數(shù)據(jù)報從一臺機器通過單個物理網(wǎng)絡(luò)直接傳送至目H勺站點，這是所有

internet通信的J基礎(chǔ)。只有當(dāng)兩臺機器連在同一底層物理傳播系統(tǒng)時，才能采用直接傳送

方式。否則只能用間接傳送方式，發(fā)送方將數(shù)據(jù)發(fā)送給一種路由器再傳送。

2.IP路由選擇表

路由表存儲各個目的拈點以及怎樣抵達目的站點H勺信息。為了盡量使用至少的I信息進行

路由選擇，采用信息隱蔽原則。

路由表的I選擇表的大小僅取決于互聯(lián)網(wǎng)中網(wǎng)絡(luò)的I數(shù)量，與連到網(wǎng)上的主機H勺數(shù)量無關(guān)。

IP路由選擇軟件僅需要維護有關(guān)目的網(wǎng)絡(luò)地址的信息，而與主機地址的信息無關(guān)。

保持路由表盡量小的技術(shù)是把多種表項統(tǒng)一到一種默認的狀況。

3.ICMP差錯與控制報文協(xié)議

(1)為了使互聯(lián)網(wǎng)中的路由器匯報差錯或提供有關(guān)意外於J狀況信息，在TCP/IP中設(shè)計

了一種特殊用口勺報文機制，稱internet控制報文協(xié)議ICMP,它是IP"勺一部分。

(2)ICMP機制:ICMP報文放在一種IP數(shù)據(jù)報的數(shù)據(jù)部分中通過互聯(lián)網(wǎng)。容許路由器

向其他路由器或主機發(fā)送差錯或控制報文。ICMP是一種差錯匯報機制，它為發(fā)生差錯口勺路

由器提供了向初始源站點匯報差錯的措施。

(3)ICMP報文格式:由三個字段構(gòu)成，即一種8位整數(shù)H勺報文類型字段用來標(biāo)識報文、

一種8位代碼字段提供有關(guān)報文類型的深入信息、以及一種16位校驗和字段。

(4)ICMP報文類型:回送祈求/應(yīng)答報文(回送祈求/應(yīng)答、時間戳祈求/應(yīng)答、地址祈求

/應(yīng)答)，差錯匯報(包括主機不可達匯報、超時匯報、參數(shù)出錯匯報)，控制報文(源克制報文、

重定向報文)。

五、路由選擇算法

1.距離矢量路由選擇V-D,

2.鏈路狀態(tài)路由選擇或稱最短途徑優(yōu)先算法(SPF),規(guī)定每個參與的路由器都要具有

完全H勺拓撲構(gòu)造，只需要完畢兩項任務(wù)：負責(zé)檢測所有相鄰路由器狀態(tài);周期地向其他路由

器傳遞鏈路狀態(tài)信息。其長處:每個路由器用相似的原始狀態(tài)數(shù)據(jù)獨立地計算路由，并不依

賴于中間的機器。

六、內(nèi)部網(wǎng)關(guān)協(xié)議

在一種自治系統(tǒng)內(nèi)的兩個路由器彼此互為內(nèi)部路由常，使用內(nèi)部網(wǎng)關(guān)協(xié)議(IGP),自治

系統(tǒng)之間的使用外部網(wǎng)關(guān)協(xié)議(EGP)來通信。

L路由選擇信息協(xié)議(RIP)采用V-D算法，距離矢量路由選擇算法，提成積極和被動兩

類，只有路由器工作在積極模式，主機必須使用被動模式。工作在積極模式的路由器進行監(jiān)

聽，并根據(jù)收到的告知更新其路由。以積極方式運行RIP的路由器每間隔30秒廣播一次報

文。

RIP對點到點連接和a播型網(wǎng)絡(luò)兩者都提供支持。RIP分組是通過UDP和IP傳播的。

RIP進程使用UDP曰勺520端口來進行發(fā)送和接受。

RIP報文格式:報頭32位，命令字為1表達祈求部分的或所有的I路由選擇信息。命令

字為2表達響應(yīng)，包括發(fā)送方路由選擇表內(nèi)的網(wǎng)絡(luò)地址和距離值一對信息。

2.IGRP,運行頻率比較低，每90秒更新;路由更新的每一項都包括一種四種度顯制式,

即延遲、帶寬、可靠性、負載;采用保守式防止環(huán)路的保護措施、選擇多途徑路由以及處理

默認路由器的手段等。

3.開放最短途徑優(yōu)先協(xié)議OSPF

長處:計算迅速，無環(huán)路的收斂性;支持精確的度量值，也能支持多重度量制式;支持通

往一種目的站點打勺多重途徑;能辨別不一樣口勺外部路由。是基于鏈路狀態(tài)路由選擇算法SPF.

OSPF報文報頭格式:24個8位組報頭，共有五種類型的報文類型,類型l)hello;2)

拓撲構(gòu)造的數(shù)據(jù)庫描述;3)鏈路狀態(tài)祈求;4)鏈路狀態(tài)更新;5)鏈路狀態(tài)確認。

Hell。報文H勺兩種功能:檢測鏈路狀態(tài)與否可用;在廣播型與非廣播型網(wǎng)絡(luò)上選擇指定網(wǎng)

絡(luò)路由器及后備。

七、外部網(wǎng)關(guān)協(xié)議

1,兩個互換路由選擇信息的路由器若分別屬于兩個自治系統(tǒng)，則稱為外部鄰站。外部鄰

站使用時向其他自治系統(tǒng)告知可達日勺信息的協(xié)議稱為外部網(wǎng)關(guān)協(xié)議(EGP)

2.EGP有三種功能:它支持鄰站獵取機制，容許一種路由器祈求另?種路由器同意互換

可達信息;路由器持續(xù)地測試其鄰站與否有響應(yīng)正G