笔记-信息技术知识-2.4 计算机网络技术
2.4 计算机网络技术
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统、网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
2.4.1 网络技术标准、协议与应用
1. OSI七层协议
国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的开放系统互连参考模型(Open System Interconnect 简称OSI),其目的是为异种计算机互连提供一个共同的基础和标准框架,并为保持相关标准的一致性和兼容性提供共同的参考。
OSI采用了分层的结构化技术,从下到上共分七层:
(1)物理层
该层包括物理连网媒介,如电缆连线连接器。该层的协议产生并检测电压以便发送和接收携带数据的信号。具体标准有 RS232、V.35、RJ-45、FDDI。
(2)数据链路层
它控制网络层与物理层之间的通信。它的主要功能是将从网络层接收到的数据分割成特定的可被物理层传输的帧。常见的协议有IEEE802.3/.2、HDLC、PPP、ATM。
(3)网络层
其主要功能是将网络地址(IP地址)翻译成对应的物理地址(网卡地址),并决定如何将数据从发送方路由到接收方。具体协议有IP、ICMP、IGMP、IPX、ARP等。
(4)传输层
主要负责确保数据可靠、顺序、无错地从A点传输到B点。如提供建立、维护和拆除传送连接的功能;选择网络层提供最合适的服务;在系统之间提供可靠的透明的数据传送,提供端到端的错误恢复和流量控制。具体协议有TCP、UDP、SPX。
(5)会话层
负责在网络中的两节点之间建立和维持通信,以及提供交互会话的管理功能,如3种数据流方向的控制,即一路交互、两路交替和两路同时会话模式。常见的协议有RPC、SQL、NFS。
(6)表示层
如同应用程序和网络之间的翻译官,在表示层,数据将按照网络能理解的方案进行格式化;这种格式化也因所使用网络的类型不同而不同。表示层管理数据的解密加密、数据转换、格式化和文本压缩。常见的协议有JPEG、ASCI、GIF、DES、MPEG。
(7)应用层
负责对软件提供接口以使程序能使用网络服务,如事务处理程序、文件传送协议和网络管理等。常见的协议有HTTP、Telnet、FTP、SMTP、NFS。
2. 网络协议和标准
IEEE802 规范定义了网卡如何访问传输介质(如光缆、双绞线、无线等),以及如何在传输介质上传输数据的方法,还定义了传输信息的网络设备之间连接建立、维护和拆除的途径。遵循 IEEE802 标准的产品包括网卡、桥接器、路由器以及其他一些用来建立局域网络的组件。
IEEE802 规范包括:
- 802.1(802协议概论)
- 802.2(逻辑链路控制层LLC协议)
- 802.3(以太网的CSMA/CD载波监听多路访问/冲突检测协议)
- 802.4(令牌总线TokenBus协议)
- 802.5(令牌环(TokenRing)协议)
- 802.6(城域网MAN协议)
- 802.7(FDDI宽带技术协议)
- 802.8(光纤技术协议)
- 802.9(局域网上的语音/数据集成规范)
- 802.10(局域网安全互操作标准)、802.11(无线局域网WLAN标准协议)。
以太网规范 IEEE802.3 是重要的局域网协议,内容包括:
(1)IEEE802.3 标准以太网10Mb/s传输介质为细同轴电缆。
(2)IEEE802.3u 快速以太网100Mb/s双绞线。
(3)IEEE802.3z 千兆以太网1000Mb/s光纤或双绞线。
FDDI/光纤分布式数据接口是于80年代中期发展起来的一项局域网技术,它提供的高速数据通信能力要高于当时的以太网(10Mbps)和令牌网(4或16Mbps)的能力。
广域网协议包括:
- PPP点对点协议
- ISDN综合业务数字网
- xDSL(DSL数字用户线路的统称:HDSL、SDSL、MVL、ADSL)DDN数字专线
- x.25
- FR帧中继
- ATM异步传输模式
3. Internet技术及应用
Internet又称互联网、网间网,是一个囊括全球数十亿电脑和移动终端的巨大的计算机网络体系,它把全球数百万计算机网络和大型主机连接起来进行交互。Internet是一个不受政府管理和控制的、包括成千上万相互协作的组织和网络的集合体。
Internet有如下特点:
- TCP/IP协议是Internet的核心
- Internet实现了与公用电话交换网的互连
- Internet是一个用户自己的网络
- 由众多的计算机网络互联组成,是一个世界性的网络
- 采用分组交换技术
- 由众多的路由器连接而成
- 是一个信息资源网
如何解决庞大数量的终端之间互联互通呢?Internet采用了TCP/IP和标志技术。
(1)TCP/IP技术 ▲
TCP/IP 是Internet的核心,利用 TCP/IP 协议可以方便地实现多个网络的无缝连接。通常所谓某台主机在Internet上,就是指该主机具有一个Internet地址(即IP地址),并运行TCP/IP 协议,可以向Internet上的所有其他主机发送IP分组。
TCP/IP 的层次模型分为4层,其最高层相当于OSI的5~7层,该层中包括了所有的高层协议,如常见的文件传输协议FTP、电子邮件协议SMTP、域名系统DNS、网络管理协议SNMP、访问WWW的超文本传输协议HTTP等。
TCP/IP的次高层相当于OSI的传输层,该层负责在源主机和目的主机之间提供端-端的数据传输服务。这一层上主要定义了两个协议:面向连接的传输控制协议TCP和无连接的用户数据报协议UDP。
TCP/IP的第2层相当于OSI的网络层,该层负责将分组独立地从信源传送到信宿,主要解决路由选择、阻塞控制及网际互联问题。这一层上定义了互联网协议IP、地址转换协议ARP、反向地址转换协议队RP和互联网控制报文协议ICMP等协议。
TCP/IP的最底层为网络接口层,该层负责将IP分组封装成适合在物理网络上传输的帧格式并发送出去,或将从物理网络接收到的帧卸装并取出IP分组递交给高层。这一层与物理网络的具体实现有关,自身并无专用的协议。事实上,任何能传输IP分组的协议都可以运行。虽然该层一般不需要专门的TCP/IP协议,各物理网络可使用自己的数据链路层协议和物理层协议,但使用串行线路进行连接时仍需要运行SLIP或PPP协议。
(2)标识技术
① 主机IP地址
为了确保通信时能相互识别,在Internet上的每台主机都必须有一个唯一的标识,即主机的IP地址。IP协议就是根据IP地址实现信息传递的。
IP地址分为IPv4和IPv6两个版本。IPv4由32位(即4字节)二进制数组成,将每个字节作为一段并以十进制数来表示,每段间用“.”分隔。例如,202.96.209.5就是一个合法的IP地址。IP地址由网络标识和主机标识两部分组成。常用的IP地址有A、B、C三类,每类均规定了网络标识和主机标识在32位中所占的位数。
A类地址一般分配给具有大量主机的网络使用,B类地址通常分配给规模中等的网络使用,C类地址通常分配给小型局域网使用。为了确保唯一性,IP地址由世界各大地区的权威机构InterNIC(InternetNetworkInformationCenter)管理和分配。
在IP地址的某个网络标识中,可以包含大量的主机(如A类地址的主机标识域为24位、B类地址的主机标识域为16位),而在实际应用中不可能将这么多的主机连接到单一的网络中,这将给网络寻址和管理带来不便。为解决这个问题,可以在网络中引入“子网”的概念。将主机标识域进一步划分为子网标识和子网主机标识,通过灵活定义子网标识域的位数,可以控制每个子网的规模。将一个大型网络划分为若干个既相对独立又相互联系的子网后,网络内部各子网便可独立寻址和管理,各子网间通过跨子网的路由器连接,这样也提高了网络的安全性。利用子网掩码可以判断两台主机是否在同一子网中。子网掩码与IP地址一样也是32位二进制数,不同的是它的子网主机标识部分为全“.”。若两台主机的IP地址分别与它们的子网掩码相“与”后的结果相同,则说明这两台主机在同一子网中。
IPv6也被称作下一代互联网协议,它是由IETF小组(Internet Engineering Task Force,Internet工程任务组)设计的用来替代现行的IPv4(现行的IP)协议的一种新的IP协议。
我们知道,Internet的主机都有一个唯一的IP地址,IP地址用一个32位二进制的数表示一个主机号码,但32位地址资源有限,已经不能满足用户的需求了,因此Internet研究组织发布新的主机标识方法,即IPv6。在RFC1884中(RFC是RequestforCommentsdocument的缩写。RFC实际上就是Internet有关服务的一些标准说明文档),规定的标准语法建议把IPv6地址的128位(16个字节)写成8个16位的无符号整数,每个整数用4个十六进制位表示,这些数之间用英文冒号(:)分开,例如:3ffe:3201:1401:1280:c8ff:fe4d:db39。
IPv6具有以下显著优点:
- 提供更大的地址空间,能够实现plugandplay和灵活的重新编址。
- 更简单的头信息,能够使路由器提供更有效率的路由转发。
- 与mobileip和ipsec保持兼容的移动性和安全性。
- 提供丰富的从IPv4到IPv6的转换和互操作的方法,ipsec在IPv6中是强制性的。
② 域名系统和统一资源定位器
32位二进制数的IP地址对计算机来说十分有效,但用户使用和记忆都很不方便。为此,Internet引进了字符形式的IP地址,即域名。域名采用层次结构的基于“域”的命名方案,每一层由一个子域名组成,子域名间用“.”分隔,其格式为:机器名.网络名.机构名.最高域名。
Internet上的域名由域名系统DNS(Domain NamSystem)统一管理。DNS是一个分布式数据库系统,由域名空间、域名服务器和地址转换请求程序3部分组成。有了DNS,凡域名空间中有定义的域名都可以有效地转换为对应的IP地址,同样,IP地址也可通过DNS转换成域名。
WWW上的每一个网页都有一个独立的地址,这些地址称为统一资源定位器(URL),只要知道某网页的URL,便可直接打开该网页。
③ 用户E-mail地址
用户E-mail地址的格式为:用户名@主机域名。其中用户名是用户在邮件服务器上的信箱名,通常为用户的注册名、姓名或其他代号,主机域名则是邮件服务器的域名。用户名和主机域名之间用“@”分隔。例如,tmchang@online-sh.cn 即表示域名为 “online-s11.cn” 的邮件服务。由于主机域名在Internet上的唯一性,所以只要E-mail地址中的用户名在该邮件服务器中是唯一的,则这个E-mail地址在整个Internet上也是唯一的。
Internet技术在生产和生活中有着广泛的应用,如:
- 电子商务:B2B、B2C、C2C。
- 电子政务:政府信息化应用。
- 互联网金融:P2P。
- 网络教育:e-Learning.
- 网络传媒:网媒、综合门户、富媒体等。
- 产业应用:在线行业应用。
- 个人应用:地区门户、论坛、搜索引擎、SNS等。
- 主题应用:各细分主题网站,比如旅游等。
随着移动终端(手机、平板电脑、穿戴设备)的不断普及,Internet又衍生出了移动互联网这一丰富应用的分支。
2.4.2 网络分类、组网和接入技术
1. 网络分类
(1)根据计算机网络覆盖的地理范围分类
按照计算机网络所覆盖的地理范围的大小进行分类,计算机网络可分为:局域网、城域网和广域网。了解一个计算机网络所覆盖的地理范围的大小,可以使人们能一目了然地了解该网络的规模和主要技术。局域网(LAN)的覆盖范围一般在方圆几十米到几千米。典型的是一个办公室、一个办公楼、一个园区范围内的网络。当网络的覆盖范围达到一个城市的大小时,被称为城域网。网络覆盖到多个城市甚至全球的时候,就属于广域网的范畴了。我国著名的公共广域网是ChinaNet、ChinaPAC、ChinaFrame、ChinaDDN等。大型企业、院校、政府机关通过租用公共广域网的线路,可以构成自己的广域网。
(2)根据链路传输控制技术分类
链路传输控制技术是指如何分配网络传输线路、网络交换设备资源,以便避免网络通信链路资源冲突,同时为所有网络终端和服务器进行数据传输。
典型的网络链路传输控制技术有:总线争用技术、令牌技术、FDDI技术、ATM技术、帧中继技术和ISDN技术。对应上述技术的网络分别是以太网、令牌网、FDDI网、ATM网、帧中继网和ISDN网。
- 总线争用技术是以太网的标志。总线争用顾名思义,即需要使用网络通信的计算机需要抢占通信线路。如果争用线路失败,就需要等待下一次的争用,直到占得通信链路。这种技术的实现简单,介质使用效率非常高。进入21世纪以来,使用总线争用技术的以太网成为了计算机网络中占主导地位的网络。
- 令牌环网和FDDI网一度是以太网的挑战者。它们分配网络传输线路和网络交换设备资源的方法是在网络中下发一个令牌报文包,轮流交给网络中的计算机。需要通信的计算机只有得到令牌的时候才能发送数据。令牌环网和FDDI网的思路是需要通信的计算机轮流使用网络资源,避免冲突。但是,令牌技术相对以太网技术过于复杂,在千兆以太网出现后,令牌环网和FDDI网不再具有竞争力,淡出了网络技术。
- ATM是 Asynchronous Transter Mode 的缩写,称为异步传输模式。ATM采用光纤作为传输介质,传输以53个字节为单位的超小数据单元(称为信元)。ATM网络的最大吸引力之一是具有特别的灵活性,用户只要通过ATM交换机建立交换虚电路,就可以提供突发性、宽频带传输的支持,适应包括多媒体在内的各种数据传输,传输速度高达622Mbps。
- ISDN是综合业务数据网的缩写,建设的宗旨是在传统的电话线路上传输数字数据信号。ISDN通过时分多路复用技术,可以在一条电话线上同时传输多路信号。ISDN可以提供从144kbps到30Mbps的传输带宽,但是由于其仍然属于电话技术的线路交换,租用价格较高,并没有成为计算机网络的主要通信网络。
(3)根据网络拓扑结构分类
网络拓扑结构分为物理拓扑和逻辑拓扑。物理拓扑结构描述网络中由网络终端、网络设备组成的网络结点之间的几何关系,反映出网络设备之间以及网络终端是如何连接的。网络按照拓朴结构划分有:总线型结构、环型结构、星型结构、树型结构和网状结构。
2. 网络交换技术
网络交换是指通过一定的设备,如交换机等,将不同的信号或者信号形式转换为对方可识别的信号类型从而达到通信目的的一种交换形式,常见的有数据交换、线路交换、报文交换和分组交换。
在计算机网络中,按照交换层次的不同,网络交换可以分为物理层交换(如电话网)、链路层交换(二层交换,对MAC地址进行变更)、网络层交换(三层交换,对IP地址进行变更)、传输层交换(四层交换,对端口进行变更,比较少见)和应用层交换(似乎可以理解为Web网关等)。
网络中的数据交换可以分为电路交换、分组交换(数据包交换)、ATM交换、全光交换和标记交换。其中电路交换有预留,且分配一定空间,提供专用的网络资源,提供有保证的服务,应用于电话网;而分组交换无预留,且不分配空间,存在网络资源争用,提供无保证的服务。分组交换可用于数据报网络和虚电路网络。我们常用的Internet就是数据报网络,单位是Bit,而 ATM 则用的是虚电路网络,单位是码元。
3. 网络接入技术
网络接入技术分为光纤接入、同轴接入、铜线接入、无线接入。
(1)光纤接入
光纤是目前传输速率最高的传输介质,在主干网中已大量的采用了光纤。如果将光纤应用到用户环路中,就能满足用户将来各种宽带业务的要求。可以说,光纤接入是宽带接入网的最终形式,但目前要完全抛弃现有的用户网络而全部重新铺设光纤,对于大多数国家和地区来说还是不经济、不现实的。
(2)同轴接入
同轴电缆也是传输带宽比较大的一种传输介质,目前的CATV网就是一种混合光纤铜轴网络,主干部分采用光纤,用同轴电缆经分支器介入各家各户。混合光纤/铜轴(HFC)接入技术的一大优点是可以利用现有的CATV网,从而降低网络接入成本。
(3)铜线接入
铜线接入是指以现有的电话线为传输介质,利用各种先进的调制技术和编码技术、数字信号处理技术来提高铜线的传输速率和传输距离。但是铜线的传输带宽毕竟有限,铜线接入方式的传输速率和传输距离一直是一对难以调和的矛盾,从长远的观点来看,铜线接入方式很难适应将来宽带业务发展的需要。
(4)无线接入
无线用户环路是指利用无线技术为固定用户或移动用户提供电信业务,因此无线接入可分为固定无线接入和移动无线接入,采用的无线技术有微波、卫星等。无线接入的优点有:初期投入小,能迅速提供业务,不需要铺设线路,因而可以省去铺线的大量费用和时间;比较灵活,可以随时按照需要进行变更、扩容,抗灾难性比较强。
4. 光网络技术
光网络技术通常可分为光传输技术、光节点技术和光接入技术,它们之间有交叉和融合。
全光网(AON)是指信息从源节点到目的节点完全在光域进行,即全部采用光波技术完成信息的传输和交换的宽带网络。它包括光传输、光放大、光再生、光选路、光交换、光存储、光信息处理等先进的全光技术。全光网络以光结点取代电结点,并用光纤将光结点互连在一起,实现信息完全在光域的传送和交换,是未来信息网的核心。全光网络最突出的优点是它的开放性。全光网络本质上是完全透明的,即对不同速率、协议、调制频率和制式的信号兼容,并允许几代设备(PHD/SDH/ATM)共存于同一个光纤基础设施。全光网的结构非常灵活,因此可以随时增加一些新结点,包括增加一些无源分路/合路器和短光纤,而不必安装另外的交换结点或者光缆。全光网络与光电混合网络的显著不同之处在于它具有最少量的电光和光电转换,没有一个结点为其他结点传输和处理信息服务。
5. 无线网络技术
无线网络是指以无线电波作为信息传输媒介。无线网络既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。
(1)无线通信网络根据应用领域可分为:无线个域网(WPAN)、无线局域网(WLAN)、无线城域网(WMAN)、蜂房移动通信网(WWAN)。
(2)从无线网络的应用角度看,还可以划分出无线传感器网络、无线Mesh网络、无线穿戴网络、无线体域网等,这些网络一般是基于已有的无线网络技术,针对具体的应用而构建的无线网络。
在无线通信领域,通常叫第几代(Generation,简称G)通信技术,现在主流应用的是第四代(4G)。第一代(1G)为模拟制式手机,第二代(2G)为GSM、CDMA等数字手机;从第三代(3G)开始,手机就能处理图像、音乐、视频流等多种媒体,提供包括网页浏览、电话会议、电子商务等多种信息服务。3G的主流制式为CDMA2000、WCDMA、TD-SCDMA,其理论下载速率可达到2.6Mbps(兆比特/每秒)。4G包括TD-LTE和FDD-LTE两种制式,是集3G与WLAN于一体,并能够快速传输数据、高质量、音频、视频和图像等,理论下载速率达到100Mbps,比通常家用宽带ADSL快25倍,并且可以在DSL和有线电视调制解调器没有覆盖的地方部署,能够满足几乎所有用户对于无线服务的要求。5G正在研发中,计划到2020年推出成熟的标准,理论上可在28GHz超高频段以1Gbps的速度传送数据,且最长传送距离可达2公里。
2.4.3 网络服务器和网络存储技术
1. 网络服务器
网络服务器是指在网络环境下运行相应的应用软件,为网上用户提供共享信息资源和各种服务的一种高性能计算机,英文名称叫作Server。
服务器既然是一种高性能的计算机,它的构成肯定就与我们平常所用的计算机(PC)有很多相似之处,诸如有CPU(中央处理器)、内存、硬盘、各种总线等等,只不过它是能够提供各种共享服务(网络、Web应用、数据库、文件、打印等)以及其他方面的高性能应用,它的高性能主要体现在高速度的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等方面,是网络的中枢和信息化的核心。由于服务器是针对具体的网络应用特别制定的,因而服务器又与普通PC在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在很大的区别。而最大的差异就是在多用户多任务环境下的可靠性上。用PC机当作服务器的用户一定都曾经历过突然的停机、意外的网络中断、不时的丢失存储数据等事件,这都是因为PC机的设计制造从来没有保证过多用户多任务环境下的可靠性,而一旦发生严重故障,其所带来的经济损失将是难以预料的。但一台服务器所面对的是整个网络的用户,需要7×24小时不间断工作,所以它必须具有极高的稳定性,另一方面,为了实现高速以满足众多用户的需求,服务器通过采用对称多处理器(SMP)安装、插入大量的高速内存来保证工作。它的主板可以同时安装几个甚至几十、上百个CPU(服务器所用CPU也不是普通的CPU,是厂商专门为服务器开发生产的)。内存方面当然也不一样,无论在内存容量,还是性能、技术等方面都有根本的不同。另外,服务器为了保证足够的安全性,还采用了大量普通电脑没有的技术,如冗余技术、系统备份、在线诊断技术、故障预报警技术、内存纠错技术、热插拔技术和远程诊断技术等,使绝大多数故障能够在不停机的情况下得到及时的修复,具有极强的可管理性(manage ability)。
2.网络存储技术
网络存储技术(NetworkStorageTechnologies)是基于数据存储的一种通用网络术语。网络存储结构大致分为3种:
- 直连式存储(DAS:Direct Attached Storage)
- 网络存储设备(NAS:Network Attached Storage)
- 存储网络(SAN:Storage Area Network)
2.4.4 综合布线和机房工程
机房是系统集成工程中服务器和网络设备的“家”,通常分为以下3类:
(1)智能建筑弱电总控机房,工作包括布线、监控、消防、计算机机房、楼宇自控等。
(2)电信间、弱电间和竖井。
(3)数据中心机房,包括企业自用数据中心、运营商托管或互联网数据中心,大型的数据中心,可达数万台服务器。
机房布线设计需要重点考虑以下几点:
(1)考虑机房环境的节能、环保、安全。
(2)适应冷热通道布置设备。
(3)列头柜的设置。
(4)敞开布线与线缆防火。
(5)长跳线短链路与性能测试。
(6)网络构架与外部网络,多运营商之间的网络互通。
(7)高端产品应用的特殊情况。
(8)机房与布线系统接地。
2.4.5 网络规划、设计与实施
网络工程是一项复杂的系统工程,涉及技术问题、管理问题等,必须遵守一定的系统分析和设计方法。网络总体设计就是根据网络规划中提出的各种技术规范和系统性能要求,以及网络需求分析的要求,制订出一个总体计划和方案。网络设计工作包括如下几个方面。
1. 网络拓扑结构设计
网络的拓扑结构主要是指园区网络的物理拓扑结构,因为如今的局域网技术首选的是交换以太网技术。采用以太网交换机,从物理连接看拓扑结构可以是星型、扩展星型或树型等结构,从逻辑连接看拓扑结构只能是总线结构。对于大中型网络考虑链路传输的可靠性,可采用冗余结构。确立网络的物理拓扑结构是整个网络方案规划的基础,物理拓扑结构的选择往往和地理环境分布、传输介质与距离、网络传输可靠性等因素紧密相关。选择拓扑结构时,应该考虑的主要因素有:地理环境、传输介质与距离以及可靠性。
2. 主干网络(核心层)设计
主干网技术的选择,要根据以上需求分析中用户方网络规模大小、网上传输信息的种类和用户方可投入的资金等因素来考虑。一般而言,主干网用来连接建筑群和服务器群,可能会容纳网络上50%~80%的信息流,是网络大动脉。连接建筑群的主干网一般以光缆做传输介质,典型的主干网技术主要有100Mbps-FX以太网、1000Mbps以太网、ATM等。
3. 汇聚层和接入层设计
汇聚层的存在与否,取决于网络规模的大小。当建筑楼内信息点较多(比如大于22个点)超出一台交换机的端口密度,而不得不增加交换机扩充端口时,就需要有汇聚交换机。交换机间如果采用级联方式,则将一组固定端口交换机上联到一台背板带宽和性能较好的汇聚交换机上,再由汇聚交换机上联到主干网的核心交换机。如果采用多台交换机堆叠方式扩充端口密度,其中一台交换机上联,则网络中就只有接入层。
4. 广域网连接与远程访问设计
根据网络规模的大小、网络用户的数量,来选择对外连接通道的带宽。如果网络用户没有www、E-mail等具有Internet功能的服务器,用户可以采用ISDN或ADSL等技术连接外网。如果用户有WWW、E-mail等具有Internet功能的服务器,用户可采用DDN(或E1)专线连接、ATM交换及永久虚电路连接外网。如果用户与网络接入运营商在同一个城市,也可以采用光纤10Mbps/100Mbps的速率连接Intermet。
5. 无线网络设计
无线网络的出现就是为了解决有线网络无法克服的困难。无线网络首先适用于难以布线的地方(比如受保护的建筑物、机场等)或者经常需要变动布线结构的地方(如展览馆等)。学校也是一个很重要的应用领域,一个无线网络系统可以使教师、学生在校园内的任何地方接入网络。另外,因为无线网络支持十几千米的区域,因此对于城市范围的网络接入也能适用,可以设想一个采用无线网络的ISP可以为一个城市的任何角落提供高达10Mbps的互联网接入。
6. 网络通信设备选型
网络通信设备选型包括核心交换机选型、汇聚层/接入层交换机选型、远程接入与访问设备选型。
2.4.6 网络安全及其防范技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。信息安全的基本要素有:
- 机密性:确保信息不暴露给未授权的实体或进程。
- 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
- 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
- 可控性:可以控制授权范围内的信息流向及行为方式。
- 可审查性:对出现的网络安全问题提供调查的依据和手段。
为了达成上述目标,需要做的工作有:制定安全策略、用户验证、加密、访问控制、审计和管理。网络安全分为内部安全和外部安全。外部安全主要指防范来自于互联网的外部网络攻击。
典型的网络攻击步骤一般为:信息收集、试探寻找突破口、实施攻击、消除记录、保留访问权限。攻击者一般在攻破安全防护后,进入主机窃取或破坏核心数据。除了对数据的攻击外,还有一种叫 “拒绝服务” 攻击,即通过控制网络上的其他机器,对目标主机所在网络服务不断进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
国家在信息系统安全方面也出台了相应的安全标准。2001年1月1日起由公安部组织制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》开始实施。该准则将信息系统安全分为5个等级,分别是:
自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
除了标准之外,还需要相应的网络安全工具,包括安全操作系统、应用系统、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的,每一个单独的组件只能完成其中部分功能,而不能完成全部功能。下面对主要的网络和信息安全产品加以说明。
(1)防火墙
防火墙通常被比喻为网络安全的大门,用来鉴别什么样的数据包可以进出企业内部网。在应对黑客入侵方面,可以阻止基于IP包头的攻击和非信任地址的访问。但传统防火墙无法阻止和检测基于数据内容的黑客攻击和病毒入侵,同时也无法控制内部网络之间的违规行为。
(2)扫描器
扫描器可以说是入侵检测的一种,主要用来发现网络服务、网络设备和主机的漏洞,通过定期的检测与比较,发现入侵或违规行为留下的痕迹。当然,扫描器无法发现正在进行的入侵行为,而且它还有可能成为攻击者的工具。
(3)防毒软件
防毒软件是最为人熟悉的安全工具,可以检测、清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面,它可以查杀特洛伊木马和蠕虫等病毒程序,但对于基于网络的攻击行为(如扫描、针对漏洞的攻击)却无能为力。
(4)安全审计系统
安全审计系统通过独立的、对网络行为和主机操作提供全面与忠实的记录,方便用户分析与审查事故原因,很像飞机上的黑匣子。由于数据量和分析量比较大,目前市场上鲜见特别成熟的产品,即使存在冠以审计名义的产品,也更多的是从事入侵检测的工作。
2.4.7网络管理
网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行性能、服务质量等。另外,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。网络管理中一个重要的工作就是备份,需要备份的数据一般包括:
- 工作文档类文件
- E-mail、QQ记录类文件
- 设置类文件
- 系统类文件
- 数据库的备份
- 重要光盘
- 其他重要文件