神马文学网网络知识
来源:百度文库 编辑:神马文学网 时间:2024/05/02 14:22:23
壹. 网络体系结构
一.计算机网络的分类
1. 按照网络的分布范围分类
a. 局域网LAN(Local Area Network)
局域网是将小区域内的各种通信设备互连在一起的网络,其分布范围局限在一个办公室、一幢大楼或一个校园内,用于连接个人计算机、工作站和各类外围设备以实现资源共享和信息交换。它的特点是分布距离近(通常在1000m到2000m范围内),传输速度高(一般为1Mbps到20Mbps),连接费用低,数据传输可靠,误码率低等。
b. 广域网WAN(Wide Area Network)
广域网也称远程网,它的联网设备分布范围广,一般从数公里到数百至数千公里。因此网络所涉及的范围可以是市、地区、省、国家,乃至世界范围。由于它的这一特点使得单独建造一个广域网是极其昂贵和不现实的,所以,常常借用传统的公共传输(电报、电话)网来实现。此外,由于传输距离远,又依靠传统的公共传输网,所以错误率较高。
c. 城域网MAN(Metropolitan Area Network)
城域网的分布范围介于局域网和广域网之间,其目的是在一个较大的地理区域内提供数据、声音和图像的传输。
2.网络的交换方式分类
a. 电路交换网
电路交换方式是在用户开始通信前,先申请建立一条从发送端到接收端的物理信道,并且在双方通信期间始终占用该信道。此方式类似于传统的电话交换方式。
b. 报文交换网
报文交换方式是把要发送的数据及目的地址包含在一个完整的报文内,报文的长度不受限制。报文交换采用存储-转发原理,每个中间节点要为途径的报文选择适当的路径,使其能最终到达目的端。此方式类似于古代的邮政通信,邮件由途中的驿站逐个存储转发一样。
c. 分组交换网
分组交换方式是在通信前,发送端先把要发送的数据划分为一个个等长的单位(即分组),这些分组逐个由各中间节点采用存储-转发方式进行传输,最终到达目的端。由于分组长度有限,可以比报文更加方便的在中间节点机的内存中进行存储处理,其转发速度大大提高。
除了以上二种分类方法外,还可按采用的传输媒体分为双绞线网、同轴电缆网、光纤网、无线网;按网络传输技术可分为广播式网络和点到点式网络;按所采用的拓扑结构将计算机网络分为星形网、总线网、环形网、树形网和网形网;按信道的带宽分为窄带网和宽带网;按不同的用途分为科研网、教育网、商业网、企业网等。
二.计算机网络的拓扑结构
网络拓扑结构是指抛开网络电缆的物理连接来讨论网络系统的连接形式,是指网络电缆构成的几何形状,它能从逻辑上表示出网络服务器、工作站的网络配置和互相之间的连接。
网络拓扑结构按形状可分为:星型、环型、总线型、树型及总线/星型及网状拓扑结构。
1.星型拓扑结构:
星型布局是以中央结点为中心与各结点连接而组成的,各结点与中央结点通过点与点方式连接,中央结点执行集中式通信控制策略,因此中央结点相当复杂,负担也重。以星型拓扑结构组网,其中任何两个站点要进行通信都要经过中央结点控制。中央结点主要功能有:
*为需要通信的设备建立物理连接;
*为两台设备通信过程中维持这一通路;
*在完成通信或不成功时,拆除通道。
在文件服务器/工作站(File Servers/Workstation )局域网模式中,中心点为文件服务器,存放共享资源。由于这种拓扑结构,中心点与多台工作站相连,为便于集中连线,目前多采用集线器(HUB)。
星型拓扑结构优点:网络结构简单,便于管理、集中控制, 组网容易,网络延迟时间短,误码率低。缺点:网络共享能力较差,通信线路利用率不高,中央节点负担过重,容易成为网络的瓶颈,一旦出现故障则全网瘫痪。
2.环型拓扑结构
环形网中各结点通过环路接口连在一条首尾相连的闭合环形通信线路中,环路上任何结点均可以请求发送信息。请求一旦被批准,便可以向环路发送信息。环形网中的数据可以是单向也可是双向传输。由于环线公用,一个结点发出的信息必须穿越环中所有的环路接口,信息流中目的地址与环上某结点地址相符时,信息被该结点的环路接口所接收,而后信息继续流向下一环路接口,一直流回到发送该信息的环路接口结点为止。
环形网的优点:信息在网络中沿固定方向流动,两个结点间仅有唯一的通路,大大简化了路径选择的控制;某个结点发生故障时,可以自动旁路,可靠性较高。缺点:由于信息是串行穿过多个结点环路接口,当结点过多时,影响传输效率,使网络响应时间变长;由于环路封闭故扩充不方便。
3.总线拓扑结构
用一条称为总线的中央主电缆,将相互之间以线性方式连接的工站连接起来的布局方式,称为总线形拓扑。
在总线结构中,所有网上微机都通过相应的硬件接口直接连在总线上, 任何一个结点的信息都可以沿着总线向两个方向传输扩散,并且能被总线中任何一个结点所接收。由于其信息向四周传播,类似于广播电台,故总线网络也被称为广播式网络。
总线有一定的负载能力,因此,总线长度有一定限制,一条总线也只能连接一定数量的结点。
总线布局的特点:结构简单灵活,非常便于扩充;可靠性高,网络响应速度快;设备量少、价格低、安装使用方便;共享资源能力强,非常便于广播式工作,即一个结点发送所有结点都可接收。
在总线两端连接的器件称为端结器(末端阻抗匹配器、或终止器)。主要与总线进行阻抗匹配,最大限度吸收传送端部的能量,避免信号反射回总线产生不必要的干扰。
总线形网络结构是目前使用最广泛的结构,也是最传统的一种主流网络结构,适合于信息管理系统、办公自动化系统领域的应用。
4.树型拓扑结构
树形结构是总线型结构的扩展,它是在总线网上加上分支形成的,其传输介质可有多条分支,但不形成闭合回路,树形网是一种分层网,其结构可以对称,联系固定,具有一定容错能力,一般一个分支和结点的故障不影响另一分支结点的工作,任何一个结点送出的信息都可以传遍整个传输介质,也是广播式网络。一般树形网上的链路相对具有一定的专用性,无须对原网做任何改动就可以扩充工作站。
5.总线/星型拓扑结构
用一条或多条总线把多组设备连接起来,相连的每组设备呈星型分布。采用这种拓扑结构,用户很容易配置和重新配置网络设备。总线采用同轴电缆,星型配置可采用双绞线。
6.网状拓扑结构
将多个子网或多个局域网连接起来构成网际拓扑结构。在一个子网中,集线器、中继器将多个设备连接起来,而桥接器、路由器及网关则将子网连接起来。根据组网硬件不同,主要有三种网际拓扑:
a.网状网:
在一个大的区域内,用无线电通信连路连接一个大型网络时,网状网是最好的拓扑结构。通过路由器与路由器相连,可让网络选择一条最快的路径传送数据。
b.主干网:
通过桥接器与路由器把不同的子网或LAN连接起来形成单个总线或环型拓扑结构,这种网通常采用光纤做主干线。
c.星状相连网:
利用一些叫做超级集线器的设备将网络连接起来,由于星型结构的特点,网络中任一处的故障都可容易查找并修复。
应该指出,在实际组网中,为了符合不同的要求,拓扑结构不一定是单一的,往往都是几种结构的混用。
三.OSI参考模型
1, 物理层(physical layer)
(1)主要作用:实现相邻节点之间比特数据流的透明传送,尽可能屏蔽具体传输介质和物理设备的差异.利用物理传输介质为数据链路层提供物理连接(物理信道),为数据链路层提供比特流服务.
物理层是所有网络的基础,主要关心的问题有:
用多少伏特电压表示"1",多少伏特电压表示"0"; 一个比特持续多少微秒;
是单工,半双工还是全双工;
最初的连接如何建立和完成,通信后连接如何终止
网络接插件有多少针以及各针的用途.
信道的最大带宽;
传输介质(例如,是有导线的还是无导线的等);
传输方式:是基带传输还是频带传输,或者二者均可;
多路复用技术(FDM,TDM和WDM波分多路复用Wave-length Division Multiplexing);
等等.
(2)物理层的主要功能:
物理连接的建立,维持和拆除.
实体之间信息的按比特传输.
实现四大特性的匹配(机械特性,电气特性,功能特性,规程特性)
(3)物理层标准
物理层标准主要任务就是要规定DCE设备和DTE设备的接口,包括接口的机械特性,电气特性,功能特性和规程特性.
DTE 是数据终端设备.数据电路端接设备DCE .DCE的作用就是在DTE和传输线路之间提供信号变换和编码的功能,并且负责建立,保持和释放数据链路的连接.DTE通过DCE与通信传输线路相连,如图所示.是美国电子工业协会EIA制定的著名物理层标准.
物理或机械特性:规定了DTE和DCE之间的连接器形式,包括连接器形状,几何尺寸,引线数目和排列方式等.
电气特性:规定了DTE和DCE之间多条信号线的连接方式,发送器和接收器的电气参数及其他有关电路的特征.电气特性决定了传送速率和传输距离.
功能特性:对接口各信号线的功能给出了确切的定义,说明某些连线上出现的某一电平的电压表示的意义.
规程特性:规定了DTE和DCE之间各接口信号线实现数据传输的操作过程(顺序).
物理层标准举例
EIA RS-232C/V.24接口标准
RS是Recommended Standard的缩写,即推荐标准.RS-232-C接口标准与国际电报电话咨询委员会CCITT的V.24标准兼容,是一种非常实用的异步串行通信接口.
RS-232-C 建议使用25针的D型连接器DB-25,但是在微型计算机的RS-232C串行端口上,大多使用9针连接器DB-9,如下图所示.
(4)常见物理层设备与组件
物理传输中存在的主要问题
第一大问题:
●信号衰减
●信号衰减限制了信号的传输距离
●信号衰减还常常会同时伴随着信号的变形
●采用信号放大和整形的方法来解决信号衰减及其变形问题.
第二大问题:
●噪声干扰
●噪声可能导致信号传输错误,即接收端难以从混杂了较大噪声的信号中提取出正确的数据.
●减少噪声的措施,如抵消与屏蔽,良好的端接和接地技术等
常见物理组件
RJ-45插座
RJ-45头
DB-25 到 DB-9 的转换器
常见物理层设备
中继器(repeater)和集线器(hub)
功能:连接相同的LAN网段;对从入口输入的物理信号进行放大和整形,然后再从出口输出(转发).
中继器具有典型的单进单出结构.
集线器是多端口中继器.集线器常见的端口规格有4口,8口,16口和24口等.如下图所示:
2,数据链路层(Data link layer)
(1)主要任务是负责相邻节点之间的可靠传输,通过加强物理层传输原始比特的功能,使之网络层表现为一条无错线路,数据链路层的传输单元为帧.
主要关心:
成帧与拆帧.以帧(frame)为单位(产生帧,识别帧的边界);
差错控制;
(流量控制(防止高速的发送方的数据将低速的接收方"淹没").
广播式网络在数据链路层还要处理:如何控制对共享信道的访问等等.
(2)主要设备:交换机 网桥
3, 网络层(Network layer)
(1)网络层的任务就是要选择合适的路由,使发送站传输层所传下来的数据能够正确无误地按地址送到目的站.网络层的传输单元被称为分组(或称包).
执行路径选择算法,使分组在通信子网中有一条最佳路径;
拥塞控制.防止子网中同时出现过多的分组而相互阻塞通路,形成瓶颈;
记帐功能;
异种网络互联.
(2)主要设备:路由器: 三层交换机
4, 传输层(Transport layer)(核心层)
主要任务:负责端到端节点间数据传输和控制功能 .
传输层是OSI中承上启下层,下三层面向网络通信,确保信息准确传输;上三层面向用户主机,为用户提供各种服务.
传输层不涉及中间转发节点,即与使用的网络无关.
主要功能:弥补网络层服务质量的不足,为会话层提供端-端的可靠数据传输服务.包括两端主机之间的流量控制.
5, 会话层( Session layer)
主要目的是组织和同步在两个通信的会话用户之间的对话,并管理数据的交换.
会话层的功能是在两个节点间建立,维护和释放面向用户的连接.会话连接的建立是在传输连接的基础上进行的.
6, 表示层(Presentation layer)
主要用于处理在两个通信系统中交换信息的表示方式.它包括数据格式变换,数据加密与解密,数据压缩与恢复等功能.
7, 应用层(Application layer)
应用层是OSI的最高层,它为OSI模型以外的应用程序提供服务.
应用层中包含大量的,人们普遍需要的协议.如网络虚拟终端(VT,Virtual Terminal,文件 传输,电子邮件,目录服务,远程数据库访问等.
常用设备:网关
网关是一种充当转换重任的计算机系统或设备.在使用不同的通信协议,数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器.与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求.同时,网关也可以提供过滤和安全功能.大多数网关运行在OSI 7层协议的顶层--应用层.
四.TCP/IP参考模型
1,TCP/IP分为四层
●TCP/IP模型是Internet事实上标准.
●统一的网络地址分配方案,使得整个TCP/IP设备在网络中都具有唯一的IP地址.
●标准化的高层协议,可以提供多种可靠的用户服务.
● TCP/IP独立于特定的网络硬件,可以运行在局域网,广域网,更适用于互联网.
2, OSI参考模型与TCP/IP参考模型
应该指出,TCP/IP是OSI模型之前的产物,所以两者间不存在严格的对应关系.
3,互联网层(Internet layer)(网际层)
(1)互联网层涉及协议:
互联网络协议,即IP协议(Internet Protocol),规定互联网层数据分组格式.
因特网控制消息协议(ICMP):提供网络控制和消息传递功能.
地址解释协议(ARP):提供IP地址和网卡MAC地址转换功能.
反向地址转换协议(RARP):mac IP
(2)互联网层主要功能:
①处理来自传输层发送请求;
②处理接收的IP分组.根据目的IP地址转发该IP分组,或者当目的主机就是本主机时,将IP分组上交给其传输层.
③处理互联的路径,流量控制和拥塞问题.
因为IP分组独立地传送到目标主机,所以一个报文的不同分组可能经过不同的路径.
4,传输层(Transport layer):
(1)功能:使源端和目的端主机对等实体进行会话.
(2)使用的协议:传输控制协议TCP(Transmission Control Protocol)和用户数据报协议UDP(User Data Protocol).
TCP是一个面向连接的协议,使从源机器发出的字节流无差错地发往目的机器.
UDP是一个无连接协议.它不检查所收到的分组的次序,也不对这些分组进行排序,而是交给应用层完成.
5,应用层(Application layer)
它包含所有高层协议.例如,虚拟终端协议TELNET(远程登录),文件传输协议FTP,电子邮件协议SMTP(简单邮件传输协议),域名系统服务DNS,网络新闻传输协议NNTP,超文本传输协议HTTP等.
TIPS:
网络体系结构是一种分层结构
分层的目的是把复杂的网络互联问题划分为若干个较小的,单一的问题,在不同层上予以解决
协议是通信双方对等层的会话规则
上层通过下层的服务来与对方的对等层会话
层和协议就构成了网络体系结构
OSI/RM是一种"官方"的国际标准
TCP/IP是一种"事实上"的国际标准
贰.局域网和城域网
一.CSMA/CD
1. CSMA/CD(带冲突检测的载波监听多路访问控制)
CSMA/CD是一种常用争用的方法来决定对媒体访问权的协议,这种争用协议只适用于逻辑上属于总线拓扑结构的网络。在总线网络中,每个站点都能独立地决定帧的发送,若两个或多个站同时发送帧,就会产生冲突,导致所发送的帧都出错。因此,一个用户发送信息成功与否,在很大程度上取决于监测总线是否空闲的算法,以及当两个不同节点同时发送的分组发生冲突后所使用的中断传输的方法。总线争用技术可分为载波监听多路访问CSMA和具有冲突检测的载波监听多路访问CSMA/CD两大类。
2. 载波监听多路访问CSMA
载波监听多路访问CSMA的技术,也称做无听后说LBT(Listem Before Talk)。要传输数据的站点首先对媒体上有无载波进行监听,以确定是否有别的站点在传输数据。如果媒体空闲,该站点便可传输数据;否则,该站点将避让一段时间后再做尝试。这就需要有一种退避算法来决定避让的时间,常用的退避算法有非坚持、1-坚持、P-坚持三种。
a、非坚持算法
算法规则为:
⑴如果媒本是空闲的,则可以立即发送。
⑵如果媒体是忙的,则等待一个由概率分布决定的随机重发延迟后,再重复前一步骤。
采用随机的重发延迟时间可以减少冲突发生的可能性。非坚持算法的缺点是:即使有几个着眼点为都有数据要发送,但由于大家都在延迟等待过程中,致使媒体仍可能处于空闲状态,使用率降低。
b、1-坚持算法
算法规则:
⑴如果媒体空闲的,则可以立即发送。
⑵如果媒体是忙的,则继续监听,直至检测到媒体是空闲,立即发送。
⑶如果有冲突(在一段时间内未收到肯定的回复),则等待一随机量的时间,重复步骤⑴~⑵。
这种算法的优点是:只要媒体空闲,站点就立即可发送,避免了媒体利用率的损失;其缺点是:假若有两个或两个以上的站点有数据要发送,冲突就不可避免。
c、P-坚持算法
算法规则:
⑴监听总线,如果媒体是空闲的,则以P的概率发送,而以(1-P)的概率延迟一个时间单位。一个时间单位通常等于最大传播时延的2倍。
⑵延迟一个时间单位后,再重复步骤⑴。
⑶如果媒体是忙的,继续监听直至媒体空闲并重复步骤⑴。
P-坚持算法是一种既能像非坚持算法那样减少冲突,又能像1-坚持算法那样减少媒体空闲时间的折中方案。问题在于如何选择P的有值,这要考虑到避免重负载下系统处于的不稳定状态。假如媒体是忙时,有N个站有数据等待发送,一旦当前的发送完成时,将要试图传输的站的总期望数为NP。如果选择P过大,使NP>1,表明有多个站点试图发送,冲突就不可避免。最坏的情况是,随着冲突概率的不断增大,而使吞吐量降低到零。所以必须选择适当P值使NP<1。当然P值选得过小,则媒体利用率又会大大降低。
3. 具有冲突检测的载波监听多路访问CSMA/CD
在CSMA中,由于信道传播时延的存在,即使总线上两个站点没有监听到载波信号而发送帧时,仍可能会发生冲突。由于CSMA算法没有冲突检测功能,即使冲突已发和,仍然将已破坏的帧发送完,使总线的利用率降低。
一种CSMA的改进方案是使发送站点传输过程中仍继续监听媒体,以检测是否存在冲突。如果发生冲突,信道上可以检测到超过发送站点本身发送的载波信号的幅度,由此判断出冲突的存在。一于检测到冲突,就立即停止发送,并向总线上发一串阻塞信号,用以通知总线上其它各有关站点。这样,通道容量就不致因白白传送已受损的帧而浪费,可以提高总线的利用率。这种方案称做载波监听多路访问/冲突检测协议,简写为CSMA/CD,这种协议已广泛应用于局域网中。
CSMA/CD的代价是用于检测冲突所花费的时间。对于基带总线而言,最坏情况下用于检测一个冲突的时间等于任意两个站之间传播时延的两倍。从一个站点开始发送数据到另一个站点开始接收数据,也即载波信号从一端传播到另一端所需的时间,称为信号传播时延。信号传播时延(μs)=两站点的距离(m)/信号传播速度(m/μs)。假定A、B两个站点位于总线两端,两站点之间的最大传播时延为tp。当A站点发送数据后,经过接近于最大传播时延tp时,B站点正好也发送数据,此时冲突便发生。发生冲突后,B 站点立即可检测到该冲突,而A站点需再经过一份最大传播时延tp后,才能检测出冲突。也即最坏情况下,对于基带CSMA/CD来说,检测出一个冲突的时间等于任意两个站之间最大传播时延的两倍(2tp)。
数据帧从一个站点开始发送,到该数据帧发送完毕所需的时间和为数据传输时延;同理,数据传输时延也表示一个接收站点开始接收数据帧,到该数据帧接收完毕所需的时间。数据传输时延(s)=数据帧长度(bit)/数据传输速率(bps)。若不考虑中继器引入的延迟,数据帧从一个站点开始发送,到该数据帧被另一个站点全部接收所需的总时间,等于数据传输时延与信号传播时延之和。
由于单向传输的原因,对于宽带总线而言,冲突检测时间等于任意两个站之间最大传播时延的4倍。所以,
对于宽带CSMA/CD来说,要求数据帧的传输时延至少4倍于传播时延。
在CSMA/CD算法中,一旦检测到冲突并发完阻塞信号后,为了降低再次冲突的概率,需要等待一个随机时间,然后再使用CSMA方法试图传输。为了保证这种退避操作维持稳定采用了一种称为二进制指数退避和算法,其规则如下:
(1)对每个数据帧,当第一次发生冲突时,设置一个参量L=2;
(2)退避间隔取1到L个时间片中的一个随机数,1个小时片等于两站之间的最大传播时延的两倍;
(3)当数据帧再次发生冲突,由将参量L加倍;
(4)设置一个最大重传次数,超过该次数,则不再重传,并报告出错。
二进制指数退避算法是按后进先出LIFO(List In First Out)的次序控制的,即未发生冲突或很少发生冲突的数据帧,具有优先发送的概率;而发生过多次冲突的数据帧,发送成功的概率就更少。
IEEE 802.3就是采用二进制指数退避和1-坚持算法的CSMA/CD媒体访问控制方法。这种方法在低负荷时,如媒体空闲时,要发送数据帧的站点能立即发送;在重负荷时,仍能保证系统的稳定性。由于在媒体上传播的信号会衰减,为确保能检测出冲突信号,CSMA/CD总线网限制一段无分支电缆的最大长度为500米。
二.IEEE802.x标准
IEEE 802 Standards IEEE 802标准 电气和电子工程师协会(IEEE)802委员会或802工程定义了局域网(LAN)标准。标准中的大部分是在80年代由委员会制订的,当时个人计算机联网刚刚兴起。
1. IEEE802.1为IEEE的一个工作组(Working Group)。此工作组负责IEEE802.1标准的制定。
IEEE802.1标准提供了一个对整个IEEE802系列协议的概述,描述了IEEE802标准和开放系统基本参照模型(即ISO的OSI7层模型)之间的联系,解释这些标准如何和高层协议交互,定义了标准化的媒体接入控制层(MAC)地址格式,并且提供一个标准用于鉴别各种不同的协议。
2. 802.2逻辑链路控制定义了IEEE逻辑链路控制(LLC)协议,这些协议确保数据在一条通信链路上可靠地传输。OSI协议栈中的数据链路层被分成了介质访问控制(MAC)子层和LLC子层。在桥接器中,这两层作为一个模块化交换机制服务,如图I-5所示。一幅到达以太网并指定发送到令牌环网的帧被剥去该帧的以太网头部并用令牌环网头部重新封装这幅帧。LLC协议是由高级数据链路控制(HDLC)协议派生而来的,并且两者在操作上类似。注意,LLC提供了服务访问点(SAP)地址,而MAC子层提供了一个设备的物理网络地址。SAP指定了运行于一台计算机或网络设备上的一个或多个应用进程地址。
LLC提供了以下服务:面向连接的服务在这个服务中,一个会话是和一个目的站建立的,并且当数据传输结束时,就关闭这个会话。每个节点都自动地参与数据传输,但是这样的会话要求一个建立时间以及会话双方由于监控带来的额外开销。
应答式面向连接服务这种服务类似于上面的服务,在这种服务中,分组传输是需要应答的。
非应答式无连接服务在这种服务中不用建立会话,分组只是发往目的地。高层协议负责请求重发丢失的分组。由于LAN的高可靠性,这种服务因此成为LAN上的通常服务。
3. 802.3CSMA/CD网络IEEE802.3标准(ISO8802-3)定义了在各种介质上带有冲突检测的载波监听多路访问(CSMA/CD)是如何操作的。这个标准还在同轴电缆、双绞线以及光纤介质上定义了联网方法。最初的传输速率是10Mbps,但最新的应用已经在数据级(data-grade)双绞线电缆上达到100Mbps的传输率。参见“以太网”。
4. 802.4令牌总线网令牌总线标准定义了制造业中使用的一种宽带联网方案。它是由制造自动化协议(MAP)派生而来的。网络采用了在一个广播总线网上令牌传递的方法。令牌从一个站点传到网上的下一个站点,并且只有拥有令牌的站才能发送数据。令牌是以基于节点地址的逻辑顺序传递的,这个顺序可能与节点的物理地址相关,如同令牌环网中那样。在LAN环境中,这个标准的应用不是很广。
5. 802.5令牌环网这个标准也叫ANSI802.1-1985,它为令牌环局域网定义了访问协议、电缆布线以及接口。IBM 使得这个标准非常流行。它采用了令牌传递访问方法,且在物理上是以星形拓扑结构布线的,但组成的却是一个逻辑环。节点通过电缆连至一个中心访问单元(集线器),中心访问单元能中继从一个站点到下一个站点的信号。为扩展网络,访问单元(集线器)也用电缆连接在一起。因此也就扩大逻辑环。光纤分布式数据接口(FDDI)是基于802.5令牌环协议的,它是由Accredited标准委员会(ASC)X3T9开发的。FDDI与802.2逻辑链路控制层兼容,因此也就与其它802联网标准兼容。
6. 802.6城域网(MAN)IEEE802.6MAN定义了一个高速协议,协议规定网上的每个站点都使用一种叫分布式队列双总线(DQDB)的访问方法共享一条双光纤总线。双总线提供了容错特性,当总线发生故障时,它能保持连接的正常工作。MAN标准是为一个大约50公里的城域范围内提供数据、声音和视频服务而设计的,MAN标准规定的数据传输率是1.5Mbps、45Mbps和155Mbps.DQDB是交换式多兆位数据服务(SMDS)的基本访问协议,SMDS是许多公共电信局提供的一种在城域范围内建立专用网的方法。DQDB是一个信元中继网,交换固定长度为53个字节的信元;因此,它与宽带ISDN(B-ISDN)和异步传输模式(ATM)兼容。信元的交换发生802.2的逻辑链路控制层。
MAN服务有无连接服务,面向连接服务和实时视频服务。总线上有许多定长槽,这些槽是放置那些在总线上传递的数据的。任何一个想传输的站点只需简单地把数据放在一个或多个槽中。但是,为了适应时间敏感的同步数据,固定间隔的定长槽必须保留以担保数据按时按序到达。
7. 802.7宽带技术咨询组这个委员会向其它分委员会提供有关宽带联网技术的技术咨询。
8. 802.8光纤技术咨询组当用光纤来代替现有的基于铜缆的网络时,该组会向其它分委员会提供有关光纤网方面的技术咨询。在本书写作时,推荐的标准仍在开发之中。
9. 802.9综合数据声音网 IEEE802.9工作组的工作是把声音、数据和视频信号集成到802局域网(LAN)和综合业务数字网(ISDN)上传输。规范中定义的节点包括电话、计算机和视频编码/解码器(codecs)。该规范已经被称为综合的声音和数据规范,或IVD.这项服务在使用铜质双绞线的两个站点之间的通道连接中提供能携带数据和声音信息的多路复用流。标准中定义了几种不同类型的通道,包括全双工64Kbps无交换、电路交换或分组交换通道。
10. 802.10网络安全技术咨询组这个组的主要工作是定义在多个网络上进行互操作时的标准安全模型,在这个模型中加入鉴别和加密方法。在本书写作时,这个标准仍在发展之中。
11. 802.11无线联网这个委员会正在为无线网定义标准。他们的主要工作是传输介质如扩频无线电、窄带无线电、红外线的标准化以及电线上的传输。该委员会也为网络计算的无线接口制订标准,在这个标准中,用户可借助笔式计算机、个人数字助理(PDA)以及其它便携设备与计算机系统相连。对无线网的访问计划两种方法。在分布式方法中,每个无线工作站自己控制对网络的访问。另一种中点配置方法就是连到有线网上的一台中心Hub控制无线工作站的传输。直到写这本书时,委员会的成员们偏爱分布式方法,不过中点配置方法也作为一个选项包括在标准中。
12. 802.12需求优先(100VG-AnyLAN)这个委员会正用由HP和其他供应商共同提出的需求优先访问方法来制订100Mbps的以太网标准。规定的电缆是4线铜质双绞线,需求优先访问方法是通过一台中心Hub来控制对电缆的访问。优先级方法可有效地支持实时多媒体信息的发送。
三.令牌环媒体访问控制
1.令牌环的结构
令牌环在物理上是一个由一系列环接口和这些接口间的点-点链路构成的闭合环路,各站点通过环接口连到网上。对媒体具有访问权的某个发送站点,通过环接口出径链路将数据帧串行发送到环上;其余各站点一边从各自的环接口人径链路逐位接收数据帧,同时通过环接口出径链路再生、转发出去,使数据帧在环上从一个站点至下一个站点地环行,所寻址的目的站点在数据帧经过时读取其中的信息。最后,数据帧绕环一周返回发送站点,并由其从环上撤除所发的数据帧。
2.令牌环的操作过程
①网络空闲时,只有一个令牌在环路上绕行;
②当一个站点要发送数据时,必须等待并获得一个令牌,将令牌的标志位置为1,随后
便可发送数据;
③环路中的每个站点边发送数据,边检查数据帧中的目的地址,若为本站点地址,便读
取其中所携带的数据;
④数据帧绕环一周返回时,发送站将其从环路上撤消;
⑤发送站完成数据发送后,重新产生-个令牌传至下一个站点,以使其他站点获得发送
数据帧的许可权。
3.环的比特度量
当数据帧的传输时延等于信号在环路上的传播时延时,该数据帧的比特数就是以比特
度量的环路长度。实际操作过程中,环路上的每个接口都会引人延迟,一般环路上每个接口相当于增加1位延迟。环的比特长度=信号传播时延×数据传输速率+接口延迟位数=环路媒体长度×5(μS/km)×数据传输速率+接口延迟位数
4.令牌环的MAC帧的格式
IEEE802.5MAC帧有两个基本格式:令牌帧和数据帧。
5.令牌环的媒体访问控制功能
①帧发送:采用沿环传递令牌的方法来实现对媒体的访问控制,取得令牌的站点具有发送一个数据帧或一系列数据帧的机会。
②令牌发送:发送站完成数据帧发送后,等待数据帧的返回。在等待期间,继续发送填充字符。一旦源地址与本站相符的数据帧返回后,即发送令牌。令牌发送之后,该站仍保持在发送状态,直到该站发送的所有数据帧从环路上撤消为止。
③帧接收:若接收到的帧为信息帧,则将FC、DA、SA、Data及FS字段复制到接收缓冲区中,并随后将其转至适当的子层。
④优先权操作:访问控制字段中的优先权位和预约位配合工作,使环路服务优先权与环上准备发送的PDU最高优先级匹配。
四.令牌总线媒体访问控制
1.令牌总线的结构
令牌总线媒体访问控制是将局域网物理总线上的站点构成一个逻辑环,每一个站点都在一个有序的序列中被指定一个逻辑位置,序列中最后一个站点的后面又跟着第一个站点。在物理结构上它是一个总线结构局域网,但是在逻辑结构上,又成了一种环形结构的局域网。和令牌环一样,站点只有取得令牌,才能发送帧,而令牌在逻辑环上依次循环传递。
2.令牌总线的特点
①由于只有收到令牌帧的站点才能将信息帧送到总线上,所以令牌总线不可能产生冲
突,因此也就没有最短帧长度的要求。
②由于站点接收到令牌的过程是依次顺序进行的,因此对所有站点都有公平的访问权。
③由于每个站点发送帧的最大长度可以加以限制,所以每个站点传输之前必须等待的
时间总量总是"确定"的。
3.令牌总线的主要操作
①环初始化,即生成一个顺序访问的次序。网络开始启动时,或由于某种原因,在运行中所有站点不活动的时间超过规定的时间,都需要进行逻辑环的初始化。初始化的过程是一个争用的过程,争用的结果只有一个站点能取得令牌,其他站点用站插入的算法插入。
②令牌传递算法。逻辑环按递减的站地址次序组成,刚发完帧的站点将令牌传递给后继站,后继站应立即发送数据或令牌帧,原先释放令牌的站监听到总线上的信号,便可确认后继站已获得令牌。
③站插入环算法。必须周期性地给未加入环的站点以机会,将它们插入到逻辑环的适当位置中。如果同时有几个站要插入时,可采用带有响应窗口的争用处理算法。
④站退出环算法。可以通过将其前趋站和后继站连接到一起的办法,使不活动的站退出逻辑环,并修正逻辑环递减的站地址次序。
⑤故障处理。网络可能出现错误,这包括令牌丢失引起断环、重复地址、产生多个令牌等。网络需要对这些故障做出相应的处理。
五.光纤分布数据接口FDDI
1.FDDl的性能
FDDI数据传输速率达100Mbps,采用4B/5B,最大环路长度为200km,最多可有1000个物理连接。若采用双环结构时,站点间距离在2km以内,且每个站点与两个环路都有连接,则最多可连接500个站点,其中每个单环长度限制在100km内。
2.FDDI的数据编码
FDDI采用一种新的编码技术(称为4B/5B编码),在这种编码技术中,每次对4位数据进行编码,每4位数据编码成5位符号,用光的存在和不存在表示5位符号中每一位是1还 是0,这种编码技术使得效率提高到80%。 为了得到同步信号,采用两级编码的方法,先按4B/5B编码,然后再按倒相的不归零制(NRZI)方式进行编码。
3.FDDl的时钟方案
FDDI标准规定使用分布式时钟方案,即在每个站点都配有独立的时钟和弹性缓冲器。进入站点缓冲器的数据时钟是按照输人信号的时钟确定的,而从缓冲器输出的信号时钟则根据站点的时钟确定,这种方案使环路中中继器的数目不受时钟偏移因素的限制。
4.FDDl的物理层分为两个子层
(1)物理媒体依赖(PMD),它在FDDI网络的节点之间提供点-点的数字基带通信;
(2)物理层协议(PHY),它提供PMD与数据链路层之间的连接。
5.FDDl的数据链路层分为多个子层
①可选的混合型环控制(HRC):在共享的FDDI媒体上提供分组数据和电路交换数据的多路访问;
②媒体访问控制(MAC):提供对于媒体的公平和确定性访问、识别地址、产生和验证帧校验序列;
③可选的逻辑链路控制(LLC):提供MAC与网络层之间所要求的分组数据适应服务的公共协议;
④可选的电路交换多路器(CS-MUS)。
六.ATM局域网技术
ATM意即异步传输模式(asynchronous transfer mode)。ATM技术是八十年代后期由ITU-T针对电信网支持宽带多媒体业务而提出的。经过近十年的研究,到九十年代中期ATM技术已基本成熟,由ITU-T和ATM论坛制定的相关的国际标准也基本齐全,并有多个电信设备厂商和计算机网络设备厂商推出了商用化的ATM设备。此后,ATM网络的建设也得到了长足的发展,全世界许多网络(公用网或专用网)都已安装并使用了ATM网路设备...
ATM的传输介质常常是光纤,但是100m以内的同轴电缆或5类双绞线也是可以的。光纤可达数千米远。每个链路处于计算机和一个ATM交换机之间或两个ATM交换机之间。换句话说,ATM链路是点到点的(和LAN不一样,它在一条电缆上有许多发送方和接收方)。通过让信元从一条线路进入交换机并且从多条线路输出,可以获得广播效果。每条点到点链路是单向的。对于全双工操作需要两条链路,每个方向的流量占用一条。
ATM的物理层包括两个子层,即物理介质子层(PM)和传输会聚(TC)子层。其中物理介质子层提供比特传输能力,对比特定时和线路编码等方面作出了规定,并针对所采用的物理介质(如光纤、同轴电缆、双绞线等)定义其相应的特性;传输会聚子层的主要功能是实现比特流和信元流之间的转换。
1. IP技术对ATM技术的影响
IP技术是互联网的核心,在互联网中对于高层协议而言,通过统一的IP协议层(第三层)屏蔽了各种低层协议和物理网络技术(如X.25、DDN、以太网、令牌环、帧中继、ATM、SDH、WDM)的差异,实现了 "IP over everything"的目标。IP技术成功的关键是其概念、方法与思想,例如其层次结构的包容性与开放性,以及简单、实用、有效的原则。目前互联网的另一个目标是实现"everything on IP",其中的 "everything"是指所有业务,包括数据、图像和话音等,这些业务既有实时的,也有非实时的。要实现这样的目标,对于目前的IP技术来说是有相当大困难的,需要新技术来帮助解决。
目前电信界有一种观点认为:随着IP技术和互联网的发展,未来的电信网将由IP技术一统天下,而ATM技术将退出历史舞台。其实只要仔细分析和研究IP技术和ATM技术各自的特点,就不难发现这种观点是片面的。对于网络(电信网或计算机网)建设而言,它的发展是不会随着新技术的出现而发生突变(革命)的,而只能是逐步演进。现有电信网已形成的资源十分庞大,不可能一夜消失。而且现有的IP网络虽然通过采用新技术(例如:IP over SDH或IP over WDM),在一定程度解决了传送带宽的瓶颈问题,但仍然还是传统的路由器加专线的组网方式,存在逐跳寻址与转发等问题,不能保证服务质量(QoS)和信息安全。ATM技术所具有的端到端QoS保证、完善的流量控制和拥塞控制、灵活的动态带宽分配与管理、支持多业务,以及技术综合能力等方面的优势,目前仍是IP技术所不及的。
有一点是肯定的,世上没有一种万能的技术。由于IP与ATM都是基于分组(包)交换的技术,而且都有各自的优势,因此,在电信网与互联网融合与演变的过程中都将发挥作用。目前IP技术的优势在于提供统一的数据应用平台,而ATM技术的优势在于提供统一的网络平台。
2.ATM技术的特点、 应用范围和发展趋势
(一)ATM技术的特点
ATM作为电信网的一种新技术,不仅适用于高速信息传送和对服务质量(QoS)的支持,还具备了综合多种业务的能力,以及动态带宽分配与连接管理能力和对已有技术的兼容性。
1.对服务质量(QoS)的支持
(1)ATM采用固定短长度的信元传送信息。信息交换是在第二层完成的而且协议简单简化了网络节点中信息存贮管理与处理的复杂性,加快了信息交换的速率减少了信元在节点缓冲区中的排队时延和时延抖动,有利于信息传送的时间透明性,特别适合在核心网中用于信息传送。
(2)ATM采用面向连接的通信方式通信之前要建立虚通道(VP)和虚通路(VC),避免了复杂的信元顺序控制工作加上用户接入时的流量控制和合理的QoS与网络资源管理控制,以及各种差错控制技术,可以使信元丢失率降低到各种业务可以接受的程度,满足各类业务的语义透明性。
(3)在ATM方式下,辅之以必要的网络管理功能和信令处理与连接控制功能,可以设置多种优先级(连接优先级,信元优先级等)管理功能,满足各种使用要求。
2.ATM的综合能力 ATM以信元的方式传送信息,与业务的特性、比特率无关,只要将各类业务的信息在入网时转化为统一格式的信元,就可以在网络中进行传输与交换,因此,高灵活性使之具有各种综合能力。
3.灵活的动态带宽分配与连接管理能力
(1)ATM具有统计复用的特点网络资源可以按需分配,网络资源的利用率高。
(2)在ATM方式下,网络具有支持多方连接的能力其中包括支持广播(broadcast)型连接和多播(multicast)型连接的能力。
4.ATM对已有技术的兼容性 ATM作为一项独立的技术充分考虑了与已有技术的融合,ATM的兼容性表现在两方面:
(1)对现有广域网技术(包括分组交换及电路交换技术)的兼容:ATM可以兼容帧中继(FR)业务、专线数据业务(DDN),并且支持PSTN和N-ISDN业务。
(二)ATM的应用领域
根据ATM技术的特点和电信网技术的发展,就ATM技术本身而言,要对它的应用领域进行重新定位。由于ATM终端和信令复杂,端到端ATM连接(信元到桌面)的想法已基本落空,其原因是在用户驻地网支持话音业务它不如PSTN,支持数据业务它不如千兆以太网。然而,在核心网和边缘接入网中ATM技术仍然大有作为,在这里ATM作为多业务平台的优势可以得到充分发挥。此外,ATM与IP的结合将增加ATM的竞争能力。因此,ATM的应用领域主要有以下几个方面:
1.支持现有电信网逐步从传统的电路交换技术向分组(包)交换技术演变。
(1)支持现有电话网(如PSTN/ISDN)的演变,并作为其中继汇接网;
(2)支持并作为第三代移动通信网(要支持移动IP)的核心交换与传送网;
(3)支持现有数据网(FR/DDN)的演变,作为数据网的核心,并提供租用电路,利用ATM实现校园网或企业网间的互连。
2.为Internet骨干传送网互连核心路由器,支持IP网的持续发展。
3.与IP技术结合,取长补短,共同作为未来信息网的核心技术。由于IP与ATM技术, 有各自的优势,在传统电信网与互联网融合与演变的过程中都将发挥各自的重要作用,如果把这两项技术结合起来,利用ATM网络为IP用户提供高速直达数据链路,既可以使ATM网络运营部门充分利用ATM网络资源,发展ATM网络上的IP用户业务,又可以解决Internet网络发展中遇到的瓶颈问题,推动IP业务的进一步发展,使这两项技术的潜力充分发挥出来,获得巨大的经济效益。
(三)ATM技术的发展趋势
1.ATM支持话音技术的研究 在未来的电信网中,从用户数的角度考虑,传统的电话用户仍将占主导地位,因此,ATM必须考虑如何支持话音的问题。ITU-T在1997年9月年通过了支持话音业务和短分组业务适配的第二类ATM适配层协议AAL2I.363.2建议 在1999年2月通过了面向话音业务的建议I.366.
2 用于中继的AAL2业务特定会聚子层SSCS,并于1999年12月通过了支持AAL2交换的信令协议建议Q.2630.1(AAL2信令协议-能力集1),基本完成了ATM支持话音业务的标准化工作。采用AAL2协议来支持话音业务不论是效率方面,还是时延性能方面,都要优于IP电话。AAL2技术的应用主要有以下几个方面:
(1)以低时延的性能支持话音和其他实时业务传送,用于PSTN或其它网络的中继传输;
(2)用于第三代移动通信系统(IMT-2000),在BS和MSC之间以AAL2协议支持低速话音和数据信息的传送;
(3)用AAL2交换机代替ATM交换机(ATM层仅提供PVC交叉连接功能),提供端到端的ATM话音和数据业务。
2.简化ATM技术的研究 ATM技术的缺点之一就是网络的复杂性,为了推动ATM技术的应用,就必须对ATM技术进行简化和优化,以达到简化网络,降低网络成本的目的。目前,ITU-T和ATM论坛正在进行这方面的工作,例如目前ITU-T正在制定的ATM轻型信令(light signaling)标准就是为了简化原有复杂的信令标准,以降低网络的复杂性。另外,在流量控制、网络管理等方面也都有需要进行相应的研究工作。
3.ATM与IP技术的结合
目前,IP与ATM结合技术主要分为两大类:重叠技术和集成技术。采用重叠技术时,ATM端点使用ATM地址和IP地址(或MAC地址)两者来标识,网络中设置服务器完成ATM地址和IP地址(或MAC地址)的地址映射功能,在发端用户得到收端用户的ATM地址之后,建立ATM SVC连接并在其上传送IP数据包。这方面的典型技术有:LANE、IPOA、MPOA等,重叠技术的优点是采用标准的ATM论坛或ITU-T的信令标准,与标准的ATM网络及业务兼容;缺点是传送IP包的效率较低。采用集成技术时,ATM层被看作IP层的对等层,ATM端点只需使用IP地址来标识,在建立连接时使用非标准的ATM信令协议。采用集成技术时,不需要地址解析协议,但增加了ATM交换机的复杂性,使ATM交换机看起来更像一个多协议的路由器。这方面的典型技术有:IP交换、多协议标签交换(MPLS)等,集成技术的优点是传送IP包的效率比较高,不需要地址解析协议;缺点是与标准的ATM技术融合较为困难。通过近两年对各种IP与ATM结合技术的研究已得出结论,即重叠技术(例如:LANE、IPOA、MPOA等)更适用于专用网或规模小的网络;而集成技术(例如:IP交换、MPLS等)则更适用于规模大的公用网。ITU-T已于2000年3月通过了在公用ATM网络上传送IP信息的建议Y.1310(公用ATM网络传送IP),该建议明确了在采用ATM技术的公共网络(包括业务提供网络和承载网络)上传送IP信息的推荐技术解决方案是多协议标签交换(MPLS),并且明确公用ATM网络支持的IP目标业务是差别服务(Differserv)、 集成服务(Intserv)和IP虚拟专用网(IP VPN)。
3. ATM局域网技术
为了把ATM技术引入到局域网上来,ATM论坛和Internet工程任务组(IETF)作了不懈的努力,推出了几个具有重要实际意义的ATM局域网协议。其中以ATM论坛的局域网仿真和ATM多协议技术(MPOA)最具代表性。
A. 局域网仿真
——局域网仿真是在ATM 网络环境下仿真传统局域网业务的网络方案。由于在局域网仿真中,ATM网络只是以网络数据链路层的角色出现,并且是基于MAC子层的仿真技术,所以现有的网络层协议(如IP,IPX等)不需要任何更改就可以运行于局域网仿真环境。
——在局域网仿真中有两种网络信息:一种是仿真客户与仿真服务器、配置服务器之间的控制信息;另一种是仿真客户之间,以及仿真客户与广播未名服务器间的数据信息。如图3所示,当仿真客户1希望与仿真客户2通信时,仿真客户1必须首先知道仿真客户2的ATM地址。如果仿真客户1的缓器中存有仿真客户2的ATM地址,那么仿真客户1就利用该地址与仿真客户2建立直接的ATM虚电路连接来实现通信(如e);否则,仿真客户1向局域网仿真服务器发送一个地址解析请示分组(如a),局域网仿真服务器利用该分组携带的仿真客户2的MAC地址在缓存器中检索,如果检索成功,局域网仿真服务器把仿真客户2的ATM地址反馈给仿真客户1,否则,把该MAC地址送到广播未名服务器(如b),利用广播未名服务器的广播功能,向整个网络广播该MAC地址,仿真客户2接收到该广播信息,把地址反馈给局域网仿真服务器,局域网仿真服务器再送给仿真客户1。在局域网仿真服务器未反馈回仿真客户2地址这段时间里,仿真客户1把数据分组分发给广播未名服务器,由服务器以广播形式送给仿真客户2(如c,d)。
——从上述的通信规程可以看到,由于局域网仿真建立于数据链路层的MAC子层上,所以可以透明地支持传统网络层的各种协议,兼容性很好;网络实现简单,能够实现不同厂家设备的无缝连接。但是局域网仿真也存在许多缺陷:
——①网络是基于客户机/服务器结构的,由于受服务器的限制,网络客数不可能很大,这样就限制了网络的规模;
——②由于不能支持备份服务器,所以服务器的可靠性决定了网络的可靠性,一旦服务器发生故障,那么整个网络就不能工作了;
——③局域网仿真在实现子网间通信时,仍然需要路由器的参与,这样路由器有限的路由、分组转发功能就成了网络的瓶颈。
B. ATM多协议规程技术
——为了解决局域网仿真在子网间通信能力低的缺点,ATM论坛又推出了它的ATM多协议规程(MPOA:Multi-Protocol Over ATM)技术。MPOA技术的基本目标是把局域网仿真技术与Internet工程任务组的下一节点解释协议(NHRP)技术捆绑起来,这样做的目的是保留局域网仿真在子网内通信高效率的优点,同时引入下一节点解释协议在不同子网间有效通信的优势,使整个宽带网络的通信完全抛开传统路由器的干预,通信效率大幅度提高。
——由于MPOA支持数据链路层和网络层的互连,所以能够透明支持传统网络协议,实现大规模的互连网络;不同子网间的通信可以跨过传统路由器的干预,建立直接连接来提高网络效率;减少了参与路由连接过程中的物理设备,所以降低了网络路由的复杂性,提高了效率。但是MPOA技术在实现子网间的最优路由时,可能会带来ATM层和网络层路由和寻址的协调性问题;网络在建立最优路由时的判别标准,以及最优路由连接的维护仍然需要研究;而且网络仍然需要地址解析服务器的存在,子网间的路由信息数据库就必须保证同步,这样就在建立连接时引入了不必要的时延,使得网络设计和操作的复杂性没有得到彻底简化。
七. 无线局域网技术
1. 随着网络的飞速发展,笔记本电脑的普及,人们对移动办公的要求越来越高。传统的有线局域网要受到布线的限制,如果建筑物中没有预留的线路,布线以及调试的工程量将非常大,而且线路容易损坏,给维护和扩容等带来不便,网络中的各节点的搬迁和移动也非常麻烦。因此高效快捷、组网灵活的无线局域网应运而生。
2、 无线局域网介绍
无线局域网WLAN(wireless local area network)是计算机网络与无线通信技术相结合的产物。它以无线多址信道作为传输媒介,利用电磁波完成数据交互,实现传统有线局域网的功能。无线局域网具有以下特点:
(1) 安装便捷
无线局域网免去了大量的布线工作,只需要安装一个或多个无线访问点(access point,AP)就可覆盖整个建筑的局域网络,而且便于管理、维护。
(2) 高移动性
在无线局域网中,各节点可随意移动,不受地理位置的限制。目前,AP可覆盖10~100 m。在无线信号覆盖的范围内,均可以接入网络,而且WLAN能够在不同运营商、不同国家的网络间漫游。
(3) 易扩展性
无线局域网有多种配置方式,每个AP可支持100多个用户的接入,只需在现有无线局域网基础上增加AP,就可以将几个用户的小型网络扩展为几千用户的大型网络。
3、 无线局域网技术
3.1 蓝牙技术
蓝牙(Bluetooth)技术是一种短距的无线通讯技术,工作在2.4 GHz ISM频段,其面向移动设备间的小范围连接,通过统一的短距离无线链路,在各种数字设备间实现灵活、安全、低成本、小功耗的话音以及数据通信。主要技术特点如下:
(1) 蓝牙的指定范围是10m,在加入额外的功率放大器后,可以将距离扩展到100m。辅助的基带硬件可以支持4个或者更多的语音信道。
(2) 提供低价、大容量的语音和数据网络,最高数据传输速率为723.2kb/s。
(3) 使用快速跳频(1 600跳/s)避免干扰,在干扰下,使用短数据帧来尽可能增大容量。
(4) 支持单点和多点连接,可采用无线方式将若干蓝牙设备连成一个微波网,多个微波网又可互连称特殊分散网,形成灵活的多重微波网的拓扑结构,从而实现各类设备之间的快速通信。
(5) 任一蓝牙设备,都可根据IEEE 802标准得到一个唯一的48 bit的地址码,保证完成通信过程中设备的鉴权和通信的保密安全。
(6) 采用TDD方案来实现全双工传输,蓝牙的一个基带帧包括两个分组,首先是发送分组,然后是接收分组。蓝牙系统既支持电路交换也支持分组交换,支持实时同步定向联接和非实时的异步不定向联接。
3.2 HomeRF
HomeRF技术是由HRFWG(home RF working group)工作组开发的,该工作组1998年成立,主要由Intel、IBM、Companq、3com、Philips、Microsoft、Motorola等几家大公司组成,旨在制定PC和用户电子设备之间无线数字通信的开放性工业标准,为家庭用户建立具有互操作性的音频和数据通信网,HomeRF采用了IEEE 802.11标准的CSMA/CA模式,以竞争的方式来获取信道的控制权,在一个时间点上只能有一个接入点在网络中传输数据,提供了对“流业务”的真正意义上的支持,规定了高级别的优先权并采用了带有优先权的重发机制,确保了实时性“流业务”所需的带宽(2~11 Mb/s)和低干扰、低误码。
HomeRF是针对现有无线通信标准的综合和改进,当进行数据通信时,采用IEEE 802.11规范中的TCP/IP传输协议;进行语音通信时,则采用数字增强型无绳通信标准。因此,接收端必须捕获传输信号的数据头和几个数据包,判断是音频还是数据包,进而切换到相应的模式。
HomeRF采用对等网的结构,每一个节点相对独立,不受中央节点的控制。因此,任何一个节点离开网络都不会影响其它节点的正常工作。
3.3 HiperLAN
HiperLAN(high performance radio LAN)是由欧洲电信标准化协会(ETSI)的宽带无线电接入网络(BRAN)小组制定的无线局域网标准,已推出HiperLAN1和HiperLAN2两个版本。HiperLAN1由于数据传输速率较低,没有流行推广。HiperLAN2在欧洲得到了比较广泛的支持,是目前比较完善的WLAN协议标准,它具有如下特点:
(1) 高速的数据传输速率
HiperLAN工作在5 GHz频段,采用了正交频分复用(OFDM)的调制,数据是通过MT和AP之间事先建立的信令链接进行传输的,可达到54 Mb/s的传输速率。
(2) 自动频率分配
AP在工作的过程中同时监听环境干扰信息和邻近的AP,进而根据无线信道是否被其它AP占用和环境干扰最小化的原则选择最合适的信道,自动频率分配是HiperLAN2的最大特色。
(3) 安全性支持
HiperLAN2网络支持鉴权和加密。通过鉴权,使得只有合法的用户可以接入网络,而且只能接入通过鉴权的有效网络。
(4) 移动性支持
在HiperLAN2中,MT必须通过“最近”的AP,或者说信噪比最高的AP来传输数据。因此当MT移动时,必须随时检测附近的AP,一旦发现其它AP有比当前AP更好的传输性能,就请求切换。切换之后,所有已经建立的链接将转移到新的AP之上,在切换过程中,通信不会中断。
(5) 网络与应用的独立性
HiperLAN的协议栈具有很大的灵活性,可以适应多种固定网络类型。因此HiperLAN2网络既可以作为交换式以太网的无线接入子网,也可以作为第三代蜂窝网络的接入网,并且这种接入对于网络层以上的用户部分来说是完全透明的。
3.4 IEEE 802.11x
(1) IEEE 802.11
1990年IEEE 802标准化委员会成立IEEE 802.11无线局域网标准工作组,主要研究工作在2.4 GHz开放频段的无线设备和网络发展的全球标准。1997年6月,提出IEEE 802.11(别名:Wi-Fi,wireless fidelity,无线保真)标准,标准中物理层定义了数据传输的信号特征和调制。在物理层中,定义了两个RF传输方法和一个红外线传输方法,RF传输方法采用扩频调制技术来满足绝大多数国家工作规范。
在该标准中RF传输标准是跳频扩频(FHSS)和直接序列扩频(DSSS),工作在2.400 0~2.483 5 GHz频段。直接序列扩频采用BPSK和DQPSK调制技术,支持1 Mb/s和2 Mb/s数据速率,使用11位Barker序列,处理增益10.4 dB。跳频扩频采用2~4电平GFSK调制技术,支持1 Mb/s数据速率,共有22组跳频图案,包括79信道,在美国规定最低跳频速率为2.5跳/s。红外线传输方法工作在850~950 nm段,峰值功率为2 W,使用4或16电平pulse-positioning调制技术,支持数据速率为1 Mb/s和2 Mb/s。
(2) IEEE 802.11b
1999年9月IEEE 802.11b被正式批准,它是在IEEE 802.11的基础上的进一步扩展,采用直接序列扩频(DSSS)技术和补偿编码键控(CCK)调制方式,其物理层分为PLCP和PMD子层。PLCP是专为写入MAC子层而准备的一个通用接口,并且提供载波监听和无干扰信道的评估;PMD子层则承担无线编码的任务。IEEE 802.11b实行动态传输速率,允许数据速率根据噪音状况在1 Mb/s、2 Mb/s、5.5 Mb/s、11 Mb/s等多种速率下自行调整。
(3) IEEE 802.11a
IEEE 802.11a也是IEEE 802.11标准的补充,采用正交频分复用(OFDM)的独特扩频技术和QFSK调制方式,大大提高了传输速率和整体信号质量。IEEE 802.11a和IEEE 802.11b都采用CSMA/CA协议,但物理层有很大的不同,802.11b工作在2.400 0~2.483 5 GHz频段,而802.11a工作在5.15~8.825 GHz频段,数据传输速率可达到54 Mb/s。
(4) IEE 802.11g
2001年11月,IEEE 802实验性地批准一种新技术802.11g。它是一种混合标准,有两种调制方式:802.11b中采用的CCK和802.11a中采用的OFDM。因此,它既可以在2.4 GHz频段提供11 Mb/s数据传输速率,也可以在5 GHz频段提供54 Mb/s数据传输速率。
(5) IEEE 802.11i
IEEE 802.11i对WLAN的MAC层进行了修改与整合,定义了严格的加密格式和鉴权机制,以改善WLAN的安全性。主要包括两项内容:Wi-Fi保护访问(WPA)和强健安全网络(RSN),并于2004年初开始实行。
(6) IEEE 802.11e/f/h
IEEE 802.11e标准对WLAN MAC层协议提出改进,以支持多媒体传输,以支持所有WLAN无线广播接口的服务质量保证QOS机制。IEEE 802.11f,定义访问节点之间的通讯,支持IEEE 802.11的接入点互操作协议(IAPP)。IEEE 802.11h用于802.11a的频谱管理技术。
4、 无线局域网的安全性
由于无线局域网采用公共的电磁波作为载体,更容易受到非法用户入侵和数据窃听。无线局域网必须考虑的安全因素有三个:信息保密、身份验证和访问控制。为了保障无线局域网的安全,主要有以下几种技术:
(1) 物理地址(MAC)过滤
每个无线工作站的无线网卡都有唯一的物理地址,类似以太网物理地址。可以在AP中建立允许访问的MAC地址列表,如果AP数量太多,还可以实现所有AP统一的无线网卡MAC地址列表,现在的AP也支持无线网卡MAC地址的集中Radius认证。这种方法要求MAC地址列表必需随时更新,可扩展性差。
(2) 服务集标识符(SSID)匹配
对AP设置不同的SSID,无线工作站必须出示正确的SSID才能访问AP,这样就可以允许不同的用户群组接入,并区别限制对资源的访问。
(3) 有线等效保密(WEP)
有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。WEP加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。40位WEP具有很好的互操作性,所有通过Wi-Fi 组织认证的产品都可以实现WEP互操作。现在的WEP也一般支持128位的钥匙,能够提供更高等级的安全加密。
(4) 虚拟专用网络(VPN)
VPN(virtual private networking)是指在一个公共的IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它主要采用DES、3DES以及AES等技术来保障数据传输的安全。
(5) Wi-Fi保护访问(WPA)
WPA(wi-fi protected access)技术是在2003年正式提出并推行的的一项无线局域网安全技术,将成为代替WEP的无线。 WPA是IEEE 802.11i的一个子集,其核心就是IEEE 802.1x和TKIP(temporal key integrity protocol) 。新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进,在现有的WEP加密引擎中增加了密钥细分(每发一个包重新生成一个新的密钥)、消息完整性检查(MIC)、具有序列功能的初始向量、密钥生成和定期更新功能等4种算法,极大地提高了加密安全强度。另外WPA增加了为无线客户端和无线AP提供认证的IEEE 802.1x的RADIUS机制。
叁.网络互连与INTERNET技术
网络互连是为了将两个或者两个以上具有独立自治能力、同构或异构的计算机网络连接起来,实现数据流通,扩大资源共享的范围,或者容纳更多的用户。它具体体现为:局域网与局域网(LAN/LAN)的互连、局域网与广域网(LAN/WAN)的互连或局域网经广域网的互连。
一.网络互连设备
(一)路由器
路由器在网络层一级工作,互连两个或多个独立的相同类型或不同类型的网络:局域网与广域网的互连,局域网与局域网的互连。为了提高路由器的响应速度,部分路由器上也提供了三层交换的功能。三层交换类似于交换器,只是交换的对象是分组,而不是帧。
1.路由器的作用及其与网桥的异同
路由器的主要功能就是进行路由选择。当一个网络中的主机要给另一个网络中的主机发送分组时,它首先把分组送给同一网络中用于网间连接的路由器,路由器根据目的地址信息,选择合适的路由,把该分组传递到目的网络用于网间连接的路由器中,然后通过目的网络中内部使用的路由协议,该分组最后被递交给目的主机。
路由器和网桥的概念类似,都是接收协议数据单元PDU,检查头部字段,并依据头部信信息和内容的一张表来进行转发。但实际上,网桥只检查数据链路帧的帧头,并不查看和修改帧携带的网络层分组头部;而路由器则检查网络层分组头部,并根据其中的地址信息作出决定,当它把分组下传到数据链路层时,它不知道也不关心它是通过以太网还是令牌环网进行传送。
2. 路由器的功能及其体系结构
路由器的功能
1、改进网络分段(每个网段的结点数是有限的)。相同类型的局域网互连,划分子网段,三层交换,避免“广播风暴”。
2、不同局域网之间的路由能力,实现三层的数据报文的转换。
3、连接WAN的路由能力。
路由器通过软件实现其功能,速度较慢,数据报文延迟较大,高性能的路由器比较昂贵。
路由器的体系结构
路由器执行OSI网络层及其下层的协议转换,可用于连接两个或者多个仅在低三层有差异的网络。
3.路由器的特点
寻址能力 通过路由器互连的网络具有公共的网络地址,并且,网间协议对全网地址作出规定,以使路由器可以区分各个结点所在的通信子网。
路由选择 路由器具备相对灵活的路由选择功能,以最快的速度将分组传送通过网络。目前,路由器使用的路由协议主要由Internet(因特网)工程任务组(IETF)定义,包括开放式最短路径优先协议(OSPF:RFC 1247)、边界网关协议(BGP:RFC 1163)和内部网关路由协议(IGRP)等。
分段/合段 路由器可对分组进行分段/合段,使得互连能力不受通信子网分组长度的影响。
存储-转发 路由器严格地执行“存储-转发”的原则,即先接收和存储分组,在完成必要的分组分析和格式转换之后,转发分组至特定的子网。
分组过滤 路由器通常分析整个分组,因此可以过滤掉网络中的错误信息,减少出错分组的无谓传输。
4. 二层交换与三层交换的比较
二层/三层交换(L2/L3交换)
一般的以太网交换机,实现OSI二层交换帧不作任何修改,仅仅查一下交换表,进行转发。
路由器/三层交换机(具有路由功能的交换机),工作在网络层,类似于以太网交换机,只是交换的对象是分组,而不是帧。通过IP地址来确定是哪个子网的结点,帧可能会发生变化,经路由器后变成新的帧。
三层交换机充分利用路由器的三层功能,既保留了二层交换机灵活的虚拟局域网(VLAN)划分和高交换速度的优点,又解决了二层网络无法处理的“广播风暴”问题,它与传统路由器的最大区别是通过硬件完成第三层报文的高速路由和交换,并且在引入路由器计费和访问控制功能的情况下仍然能保持线速。随着交换技术的发展,现在许多厂商的交换机已能支持第四层交换。
(二)网关
1.转发器、网桥和路由器主要用于下三层有差异的子网的互连,互连后的网络仍然属于通信子网的范畴。采用网桥或者路由器连接两个或者两个以上的网络时,都要求互相通信的用户结点具有相同的高层通信协议。如果两个网络完全遵循不同的体系结构,则无论是网桥还是路由器都无法保证不同网络的用户之间的有效通信,这时,必须引入新的技术或者互连部件。
执行网络层以上高层协议的转换,或者实现不同体系结构的网络协议转换的互连部件称为网关(Gate- way),有时也被称为信关。网关通常采用软件的方法予以实现,并且与特定的应用服务一一对应。
网关软件的设计通常依赖于不同的用户,应考虑的主要因素包括地址映射,以及针对具体的应用,实现服务元素和参数的映射等。
2.网关应用实例
实例1:随着Internet技术的广泛应用,越来越多的用户开始使用万维网进行信息浏览(即WWW服务,遵循HTTP协议(超文本传输协议)),同时,FTP(文件传输协议)服务也被人们广泛使用。通过网关软件可以实现从浏览器直接进行对FTP服务的访问。
实例2:随着Internet技术的广泛应用,越来越多的用户开始使用电子邮件(SMTP,简单邮件传输协议)进行信息交换,而OSI也定义了与之类似的服务:电文处理系统(MHS)。网关软件实现使用不同应用软件的用户进行邮件交换。
二.Internet技术
因特网(Internet)是目前世界上最大的计算机网络,更确切地说是网络的网络(或者互连的网络),几乎覆盖了整个世界。该网络组建的最初目的是为研究部门和大学服务,便于研究人员及其学者探讨学术方面的问题,因此有科研教育网(或国际学术网)之称。进入20世纪90年代,因特网向社会开放,利用该网络开展商贸活动成为热门话题。大量的人力和财力的投入,使得因特网得到迅速的发展。
1.因特网的组成与管理
因特网实际上是一个网连网,是多个网络互连而形成的逻辑网络。由于网络互连的最主要的互连部件是路由器,因此,也有人称因特网是用传输媒体连接路由器形成的网络。
从物理上看:因特网是基于多个通信子网的网络。
Internet的管理是由一些组织进行,主要有:
(1)因特网协会(Internet Society—ISOC):民间组织,志愿者组成,负责技术管理和指导工作;
(2)因特网组织委员会(Internet Architecture Board—IAB) :志愿者组成,制定标准和分配资源(如IP地址);
(3)因特网工程任务组(Internet Engineering Task Force—IETF):志愿者组成,讨论因特网的运作和技术问题;
2.因特网的构成
从逻辑上看,为了便于管理,因特网采用了层次网络的结构,即采用主干网、次级网和园区网的逐级覆盖的结构。
(1)主干网:由代表国家或者行业的有限个中心结点通过专线连接形成;覆盖到国家一级;连接各个国家的因特网互连中心,如中国互联网信息中心(CNNIC)。
(2)次级网(区域网):若干个作为中心结点的代理的次中心结点组成;如教育网各地区网络中心,电信网各省互联网中心等。
(3)园区网(校园网、企业网):直接面向用户的网络。
3.internet协议之IP
**IP协议
(1)、IP协议提供的服务 --- 不可靠的、 无连接的、尽力的数据报投递服务。
(2)、IP协议是因特网中的基础协议,由IP协议控制传输的协议单元称为IP数据报。IP协议屏蔽下层各种物理网络的差异,向上层(主要是TCP层或UDP层)提供统一的IP数据报。
IP数据报的投递利用了物理网络的传输能力,网络接口模块负责将IP数据报封装到具体网络的帧(LAN)或者分组(X25网络)中的信息字段。
**IP数据报封装
IP协议屏蔽下层各种物理网络的差异,向上层(主要是TCP层或UDP层)提供统一的IP数据报。相反,上层的数据经IP协议形成IP数据报。IP数据报的投递利用了物理网络的传输能力,网络接口模块负责将IP数据报封装到具体网络的帧(LAN)或者分组(X25网络)中的信息字段。
对于各种物理网络技术,对帧的大小有不同的规定,即网络的最大传输单元(MTU—Maximun Transfer Unit ),如以太网为1500字节。不同的物理网络,MTU不同。当数据报长度>MTU时,需对数据报分段。对应每个物理网络的封装,都有一个RFC文档与之对应。
例:RFC894 IP over Ethernet networks
RFC1188 IP over FDDI networks
RFC1932 IP over ATM
**IP路由
IP数据报的传输可能需要跨越多个子网,子网之间的数据报传输由路由器实现。IP路由算法描述如下:
IP模块根据IP数据报中的收方IP地址确定是否为本网投递;
(1)本网投递:(收发方的IP地址具有相同的IP网络标识Netid)
(2)跨网投递:(收发方的IP地址具有不同的IP网络标识Netid)
**新型IP协议(IPv6)
(1)IPv4的局限性
随着网络的扩展和网络应用服务的增多,IPv4内在的弊端逐渐明显。
1.32位的IP地址空间将无法满足因特网迅速增长的要求。
2.不定长的数据报头域处理影响了路由器的性能提高。
3.单调的服务类型处理。
4.缺乏安全性要求的考虑。
5.负载的分段/组装功能影响了路由器处理的效率。
(2)新型IP协议的主要特点
IPv6是因特网的新一代通信协议,在容纳IPv4的所有功能的基础上,增加了一些更为优秀的功能,其主要特点如下:
1.扩展地址和路由的能力 2.简化了IP报头的格式
3.支持扩展选项的能力 4.支持对数据的确认和加密
5.支持对数据的确认和加密 6.支持自动配置
7.支持源路由 8.定义服务质量的能力
9.IPv4的平滑过渡和升级
4.TCP协议
IP协议提供不可靠、无连接和尽力投递的服务,构成了因特网数据传输的基础;TCP协议(传输控制协议--Transmission Control Protocol)在IP协议提供的服务基础上,TCP协议软件增加了确认-重发、滑动窗口和复用/解复用等机制,提供面向连接的、可靠的、流投递服务。
**TCP协议的特性
TCP协议在IP协议软件提供的服务的基础上,支持面向连接的、可靠的、面向流的投递服务。
**TCP端口和连接
TCP模块以IP模块为传输基础,同时又可面向多种应用程序提供传输服务。为了能够区分出对应的应用程序,引入了TCP端口的概念。
TCP端口与一个16位的整数值相对应,该整数值也被称为TCP端口号。需要服务的应用进程与某个端口号进行联接(Binding),这样TCP模块就可以通过该TCP端口与应用进程通信。
由于IP地址只对应到因特网中的某台主机,而TCP端口号可对应到主机上的某个应用进程,因此,TCP模块采用IP地址和端口号的对偶来标识TCP连接的端点。一条TCP连接实质上对应了一对TCP端点。
**TCP/UDP应用程序端口号分配
端口号实质上也是操作系统标识应用程序的一种方法,其取值可由用户定义或者系统分配。TCP端口号采用了动态和静态相结合的分配方法,对于一些常用的应用服务(尤其是TCP/IP协议集提供的应用服务),使用固定的端口号;例如:电子邮件(SMTP)的端口号为25,文件传输(FTP)的端口号为21等。
对于其它的应用服务,尤其是用户自行开发的应用服务,端口号采用动态分配方法,由用户指定操作系统分配。
TCP/IP约定:0—1023为保留端口号,标准应用服务使用;1024以上是自由端口号,用户应用服务使用。
Unix系统中的/etc/services 文件,Windows 98系统中/windows/setvices文件:列出了系统提供的服务以及各服务的端口号等信息。
**TCP窗口机制
TCP的特点之一是提供体积可变的滑动窗口机制,支持端到端的流量控制。TCP的窗口以字节为单位进行调整,以适应接收方的处理能力。处理过程如下:
(1)TCP连接阶段,双方协商窗口尺寸,同时接收方预留数据缓存区;
(2)发送方根据协商的结果,发送符合窗口尺寸的数据字节流,并等待对方的确认;
(3)发送方根据确认信息,改变窗口的尺寸,增加或者减少发送未得到确认的字节流中的字节数。调整过程包括:如果出现发送拥塞,发送窗口缩小为原来的一半,同时将超时重传的时间间隔扩大一倍。
TCP的窗口机制和确认保证了数据传输的可靠性和流量控制。
5.UDP协议
UDP(用户数据报协议--User Datagram Protocol)是TCP/IP协议集中等同于TCP的通信协议。
(1)UDP与TCP的差异:UDP直接利用IP协议进行UDP数据报的传输,因此UDP提供的是无连接、不可靠的数据报投递服务。
(2)UDP的使用场合:UDP常用于数据量较少的数据传输,例如:域名系统中域名地址/IP地址的映射请求和应答(Named),Ping 、BOOTP、TFTP等应用。
(3)使用UDP协议的好处:在少量数据的传输时,使用UDP协议传输信息流,可以减少TCP连接的过程,提高工作效率。
(4)UDP协议的不足:当使用UDP协议传输信息流时,用户应用程序必须负责解决数据报排序,差错确认等问题。
在多媒体应用中,常用TCP支持数据传输,UDP支持音频/视频传输。
6.因特网报文控制协议
a、因特网报文控制协议(ICMP--Internet Control Protocol)产生的原因: IP协议尽力传递并不表示数据报一定能够投递到目的地,IP协议本身没有内在的机制获取差错信息并进行相应的控制,而基于网络的差错可能性很多,如:通信线路出错、网关或主机出错、信宿主机不可到达、数据报生存期(TTL时间)到、系统拥塞等等。为了能够反映数据报的投递,因特网中增加了ICMP协议。
b、ICMP协议的作用:
主要用于网络设备和结点之间的控制和差错报告报文的传输。
从因特网的角度看,因特网是由收发数据报的主机和中转数据报的路由器组成。鉴于IP网络本身的不可靠性,ICMP的目的仅仅是向源发主机告知网络环境中出现的问题。ICMP主要支持路由器将数据报传输的结果信息反馈回源发主机。
c.ICMP 报文的传输
当路由器发现某份IP数据报因为某种原因无法继续转发和投递时,则形成ICMP报文,并从该IP数据报中截取源发主机的IP地址,形成新的IP数据报,转发给源发主机,以报告差错的发生及其原因。
携带ICMP报文的IP数据报在反馈传输过程中不具有任何优先级,与正常的IP数据报一样进行转发。如果携带ICMP报文的IP数据报在传输过程中出现故障,转发该IP数据报的路由器将不再产生任何新的差错报文。下图示意了ICMP报文的形成和还回。
d.ICMP报文的类型
ICMP协议主要支持IP数据报的传输差错结果,ICMP仍然利用IP协议传递ICMP报文。产生ICMP报文的路由器负责将其封装到新的IP数据报中,并提交因特网返回至原IP数据报的源发主机。ICMP报文分为ICMP报文头部和ICMP报文体部两个部分。
类型字段:表示差错的类型; 代码字段:表示差错的原因;
校验和:表示整个ICMP报文的校验结果。 ICMP数据:差错原因及说明。
ICMP报文类型主要有:
(1)目的地不可达报文 (2)源抑制(用于拥塞控制)
(3)重定向 (4)超时(TTL)报告
(5)参数错 (6)回应请求
(7)回应应答 (8)时戳请求
(9)时戳应答
kafeiba.com*ICMP应用
目前,已经利用ICMP报文开发了许多网络诊断工具软件。
(1)Ping软件:
借助于ICMP回应请求/应答报文测试宿主机的可达性。
(2)跟踪IP数据报发送的路由: 利用路由器对IP数据报中的生存期值作减1处理,一旦生存期值为0 就丢弃该IP数据报,并返回主机不可达的ICMP报文的特点。源发端针对指定的宿结点,形成一系列收方结点无法处理的IP数据报。这些数据报除生存期值递增外,其它内容完全一样。这些数据报根据生存期的取值逐个发往网络,第一个数据报的生存期为1;路由器对生存期值减一后,丢弃该IP数据报,并返回主机不可达ICMP报文;源发端继续发送生存期为2,3,4,…的数据报,由于主机和路由器中对路由信息的缓存能力,IP数据报将沿着原路径向宿结点前进。如果整个路径中包括了N个路由器,则通过返回N个主机不可达报文和一个端口不可达报文的信息,了解IP数据报的整个路由。
(3)测试整个路径的最大MTU:
利用因数据报不允许分段,而转发网络的MTU(最大传输单元)较小时会产生主机不可达报文的特点。这种测试对于源宿端具有频繁的大量数据传输时,具有较高的实用价值。因为数据报长度越小,数据报传输的有效率越低;而传输较大的数据报时,路由器势必进行分段,既损耗了路由器的资源,更可能造成因某个数据分段丢失,而导致宿主机在组装分段数据报时超时,丢弃整个数据报,造成带宽的浪费。测试路径MTU的方法类似路由跟踪。源发端发送一定长度、且不允许分段的IP数据报,并根据路由器返回的主机不可达ICMP报文,逐步缩短测试IP数据报的长度。
三.Internet应用
1.FTP--文件传输协议(File Transfer Protocol)
FTP实现计算机之间的文件传输。使用FTP时,用户无需关心对应计算机的位置,以及使用的文件系统。FTP使用TCP连接和TCP端口;在进行通信时,FTP需要建立两个TCP连接,一个用于控制信息(如命令和响应,TCP端口号缺省值为21),另一个是数据信息(端口号缺省值为20)的传输。
使用FTP命令时,要求用户在两台计算机上都具有自己的(或者可用的)帐号。
1)命令格式: ftp [ -dgintv][host]
[-dgintv]:FTP命令选项
[host]:主机名或者主机对应的IP地址
例:ftp 202.119.2.197
2)FTP工作原理
(1)FTP服务器运行FTPd守护进程,等待用户的FTP请求。
(2)用户运行FTP命令,请求FTP服务器为其服务。
例:FTP 202.119.2.197
(3)FTPd守护进程收到用户的FTP请求后,派生出子进程FTP与用户进程FTP交互,建立文件传输控制连接,使用TCP端口21。
(4)用户输入FTP子命令,服务器接收子命令,如果命令正确,双方各派生一个数据传输进程FTP-DATA,建立数据连接,使用TCP端口20,进行数据传输。
(5)本次子命令的数据传输完,拆除数据连接,结束FTP-DATA进程。
(6)用户继续输入FTP子命令,重复(4)、(5)的过程,直至用户输入quit命令,双方拆除控制连接,结束文件传输,结束FTP进程
2.WWW服务
浏览器与WEB服务器工作过程举例
用户通过“浏览器”访问因特网上的WEB服务器,浏览器和服务器之间的信息交换使用超文本传输协议(HTTP--HyperText Transfer Protocol)。
例:用户访问主页Http://www.sina.com/welcome.htm ,浏览器与服务器的信息交互过程如下:
(1) 浏览器向DNS获取web服务器www.sina.com的IP地址:x.x.x.x
(2) 浏览器与IP地址为x.x.x.x 的服务器进行TCP连接,端口为80;
(3) 浏览器执行HTTP协议,发送GET /welcome.htm 命令,请求读取该文件;
(4) www.sina.com服务器返回/welcome.htm 文件到客户端;
(5) 释放TCP连接;
(6) 浏览器解释/welcome.htm 文件内容,并显示该文件表示的页面。
附:
一.TCP/IP服务
1、TCP/IP应用服务原理
TCP/IP应用服务采用客户机/服务器工作模式,服务器端启动守护进程,等待客户端的请求;服务器对应客户端的请求,派生子进程与客户进程进行数据通信,提供服务。
(1)服务器(HostA)首先要启动应用程序服务进程(守护进程Server),等待客户端的请求。
(2)当服务进程Server接收到客户端HostB的请求时,派生一个子进程(Child1)与HostB进行交互,实现数据通信,同时守护进程Server继续等待客户端的请求。
(3)当服务进程Server接收到客户端HostC的请求时,派生一个子进程(Child2)与HostC进行交互,实现数据通信,同时守护进程Server继续等待客户端的请求。
二 .TCP/IP应用编程接口(API)
为了支持用户开发面向应用的通信程序,大部分系统都提供了一组基于TCP或者UDP的应用程序编程接口(API),该接口通常以一组函数的形式出现,称为套接字(Socket)。TCP/IP应用程序之间的通信通过Socket进行。服务器拥有全局公认的Socket,任何客户端都可以向它发出连接请求和信息请求。客户端向操作系统随机申请一个Socket,系统为之分配一个Socket号。Socket的系统调用库函数主要有:
1、创建套接字
Sockid=Socket(af,type,protocol)
2、建立地址和套接字的联系
bind(sockid, local addr, addrlen)
3、服务器端侦听客户端的请求
listen( Sockid ,quenlen)
4、建立服务器/客户端的连接 (面向连接TCP)
客户端请求连接
Connect(sockid, destaddr, addrlen)
服务器端等待从编号为Sockid的Socket上接收客户连接请求
newsockid=accept(Sockid,Clientaddr, paddrlen)
5、发送/接收数据
面向连接:send(sockid, buff, bufflen)
recv( )
面向无连接:sendto(sockid,buff,…,addrlen)
recvfrom( )
6、释放套接字
close(sockid)
三.TCP/IP应用编程接口(API)的使用方法
/kafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.comLINUX SOCKET编程例子;服务器程序kafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.com**/
#include
#include
#include
#include
#define SERVER_PORT 8888/*服务端口 */
#define MAX_MSG_SIZE 1024/*缓冲区的大小 */
#define BACKLOG 5/*等待服务的最大数*/
int Server_Proc(int sockfd)
/*服务过程;服务器接受一条消息,然后发送一条消息 */
{
int n;/* 接受到的或发送的数据的字节数*/
char msg[MAX_MSG_SIZE];/* 缓冲区*/
n=recv(sockfd,msg,MAX_MSG_SIZE,0);
msg[n]=0;
printf("%sn",msg);/*在屏幕上打印出来 */
strcpy(msg,"hi,I am server!");
n=send(sockfd,msg,sizeof(msg),0);
close(sockfd);
return 1;
}
main()
{
int ser_sockfd,/*服务器SOCKET */
cli_sockfd;/*客户端SOCKET */
int errno;
int addrlen;
void *optval;
socklen_t optlen;
struct sockaddr_in ser_addr,/* 服务器的地址*/
cli_addr;/* 客户端的地址*/
ser_sockfd=socket(AF_INET,SOCK_STREAM,0);/*创建连接的SOCKET */
if(ser_sockfd<0)
{/*创建失败 */
fprintf(stderr,"socker Error:%sn",strerror(errno));
exit(1);
}
/* 初始化服务器地址*/
addrlen=sizeof(struct sockaddr_in);
bzero(&ser_addr,addrlen);
ser_addr.sin_family=AF_INET;
ser_addr.sin_addr.s_addr=htonl(INADDR_ANY);
ser_addr.sin_port=htons(SERVER_PORT);
if(bind(ser_sockfd,(struct sockaddr*)&ser_addr,
sizeof(struct sockaddr_in))<0)
{ /*棒定失败 */
fprintf(stderr,"Bind Error:%sn",strerror(errno));
exit(1);
}
/*侦听客户端请求*/
if(listen(ser_sockfd,BACKLOG)<0)
{
fprintf(stderr,"Listen Error:%sn",strerror(errno));
close(ser_sockfd);
exit(1);
}
while(1)
{/* 等待接收客户连接请求*/
cli_sockfd=accept(ser_sockfd,(struct sockaddr*)&cli_addr,
&addrlen);
if(cli_sockfd<=0)
{
fprintf(stderr,"Accept Error:%sn",strerror(errno));
}
else
{/*开始服务*/
Server_Proc(cli_sockfd);
}
}
close(ser_sockfd);
}
/kafeiba.comkafeiba.comkafeiba.com**LINUX SOCKET编程例子;客户机程序kafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.com/
#include
#include
#include
#include
#define SERVER_PORT 8888/*服务端口 */
#define MAX_MSG_SIZE 1024/*缓冲区的大小 */
int GetServerAddr(char *addrname)
{
printf("Please input server addr:");
scanf("%s",addrname);
return 1;
}
int Client_Proc(int sockfd)
/*客户端过程;服务器接受一条消息,然后发送一条消息 */
{
int n;/* 接受到的或发送的数据的字节数*/
char msg[MAX_MSG_SIZE];/* 缓冲区*/
strcpy(msg,"hi,I am client!");
n=send(sockfd,msg,sizeof(msg),0);
n=recv(sockfd,msg,MAX_MSG_SIZE,0);
msg[n]=0;
printf("%sn",msg);/*在屏幕上打印出来 */
return 1;
}
main()
{
int cli_sockfd;/*客户端SOCKET */
int addrlen;
char seraddr[14];
struct sockaddr_in ser_addr,/* 服务器的地址*/
cli_addr;/* 客户端的地址*/
GetServerAddr(seraddr);
cli_sockfd=socket(AF_INET,SOCK_STREAM,0);/*创建连接的SOCKET */
if(ser_sockfd<0)
{/*创建失败 */
fprintf(stderr,"socker Error:%sn",strerror(errno));
exit(1);
}
/* 初始化客户端地址*/
addrlen=sizeof(struct sockaddr_in);
bzero(&ser_addr,addrlen);
cli_addr.sin_family=AF_INET;
cli_addr.sin_addr.s_addr=htonl(INADDR_ANY);
cli_addr.sin_port=0;
if(bind(cli_sockfd,(struct sockaddr*)&cli_addr,addrlen)<0)
{
/*棒定失败 */
fprintf(stderr,"Bind Error:%sn",strerror(errno));
exit(1);
}
/* 初始化服务器地址*/
addrlen=sizeof(struct sockaddr_in);
bzero(&ser_addr,addrlen);
ser_addr.sin_family=AF_INET;
ser_addr.sin_addr.s_addr=inet_addr(seraddr);
ser_addr.sin_port=htons(SERVER_PORT);
if(connect(cli_sockfd,(struct sockaddr*)&ser_addr,&addrlen)!=0)/*请求连接*/
{
/*连接失败 */
fprintf(stderr,"Connect Error:%sn",strerror(errno));
close(cli_sockfd);
exit(1);
}
Client_Proc(cli_sockfd);
close(ser_sockfd);
}
/kafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.comWINDOWS SOCKET编程例子;服务器程序kafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.com**/
#include "windows.h"
#include
#include
#define SERVER_PORT 8888/*服务端口 */
#define MAX_MSG_SIZE 1024/*缓冲区的大小 */
#define BACKLOG 5/*等待服务的最大数*/
int Server_Proc(int sockfd)
/*服务过程;服务器接受一条消息,然后发送一条消息 */
{
int n;/* 接受到的或发送的数据的字节数*/
char msg[MAX_MSG_SIZE];/* 缓冲区*/
n=recv(sockfd,msg,MAX_MSG_SIZE,0);
msg[n]=0;
printf("%sn",msg);/*在屏幕上打印出来 */
strcpy(msg,"hi,I am server!");
n=send(sockfd,msg,sizeof(msg),0);
close(sockfd);
return 1;
}
main()
{
int ser_sockfd,/*服务器SOCKET */
cli_sockfd;/*客户端SOCKET */
int errno;
int addrlen;
void *optval;
socklen_t optlen;
struct sockaddr_in ser_addr,/* 服务器的地址*/
cli_addr;/* 客户端的地址*/
ser_sockfd=socket(AF_INET,SOCK_STREAM,0);/*创建连接的SOCKET */
if(ser_sockfd<0)
{/*创建失败 */
errno=GetLastError();
fprintf(stderr,"socker Error:%sn",strerror(errno));
exit(1);
}
/* 初始化服务器地址*/
addrlen=sizeof(struct sockaddr_in);
bzero(&ser_addr,addrlen);
ser_addr.sin_family=AF_INET;
ser_addr.sin_addr.s_addr=htonl(INADDR_ANY);
ser_addr.sin_port=htons(SERVER_PORT);
if(bind(ser_sockfd,(struct sockaddr*)&ser_addr,
sizeof(struct sockaddr_in))<0)
{ /*棒定失败 */
errno=GetLastError();
fprintf(stderr,"Bind Error:%sn",strerror(errno));
exit(1);
}
if(listen(ser_sockfd,BACKLOG)<0) /*侦听客户端请求*/
{
errno=GetLastError();
fprintf(stderr,"Listen Error:%sn",strerror(errno));
close(ser_sockfd);
exit(1);
}
while(1)
{/*等待接收客户连接请求 */
cli_sockfd=accept(ser_sockfd,(struct sockaddr*)&cli_addr,
&addrlen);
if(cli_sockfd<=0)
{
errno=GetLastError();
fprintf(stderr,"Accept Error:%sn",strerror(errno));
}
else
{/*开始服务*/
Server_Proc(cli_sockfd);
}
}
close(ser_sockfd);
}
/kafeiba.comkafeiba.comkafeiba.com**WINDOWS SOCKET编程例子;客户机程序kafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.comkafeiba.com/
#include
#include
#include
#define SERVER_PORT 8888/*服务端口 */
#define MAX_MSG_SIZE 1024/*缓冲区的大小 */
int GetServerAddr(char *addrname)
{
printf("Please input server addr:");
scanf("%s",addrname);
return 1;
}
int Client_Proc(int sockfd)
/*客户端过程;服务器接受一条消息,然后发送一条消息 */
{
int n;/* 接受到的或发送的数据的字节数*/
char msg[MAX_MSG_SIZE];/* 缓冲区*/
strcpy(msg,"hi,I am client!");
n=send(sockfd,msg,sizeof(msg),0);
n=recv(sockfd,msg,MAX_MSG_SIZE,0);
msg[n]=0;
printf("%sn",msg);/*在屏幕上打印出来 */
return 1;
}
main()
{
int cli_sockfd;/*客户端SOCKET */
int addrlen;
int errno;
char seraddr[14];
struct sockaddr_in ser_addr,/* 服务器的地址*/
cli_addr;/* 客户端的地址*/
GetServerAddr(seraddr);
cli_sockfd=socket(AF_INET,SOCK_STREAM,0);/*创建连接的SOCKET */
if(ser_sockfd<0)
{/*创建失败 */
errno=GetLastError();
fprintf(stderr,"socker Error:%sn",strerror(errno));
exit(1);
}
/* 初始化客户端地址*/
addrlen=sizeof(struct sockaddr_in);
bzero(&ser_addr,addrlen);
cli_addr.sin_family=AF_INET;
cli_addr.sin_addr.s_addr=htonl(INADDR_ANY);
cli_addr.sin_port=0;
if(bind(cli_sockfd,(struct sockaddr*)&cli_addr,addrlen)<0)
{
/*棒定失败 */
errno=GetLastError();
fprintf(stderr,"Bind Error:%sn",strerror(errno));
exit(1);
}
/* 初始化服务器地址*/
addrlen=sizeof(struct sockaddr_in);
bzero(&ser_addr,addrlen);
ser_addr.sin_family=AF_INET;
ser_addr.sin_addr.s_addr=inet_addr(seraddr);
ser_addr.sin_port=htons(SERVER_PORT);
if(connect(cli_sockfd,(struct sockaddr*)&ser_addr,&addrlen)!=0) /*请求连接 */
{
/*连接失败 */
errno=GetLastError();
fprintf(stderr,"Connect Error:%sn",strerror(errno));
close(cli_sockfd);
exit(1);
}
Client_Proc(cli_sockfd);
close(ser_sockfd);
}
肆.网络安全
随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据统计,目前网络攻击手段有数千种之多,使网络安全问题变得极其严峻,据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。
一. 网络常见的攻击类型
1. 后门攻击
BO、SATANZ、Portal of DOOM、Silencer、NetBus、Netspy、GirlFriend、冰河等。
2. 拒绝服务攻击
SYN Flood、UDP Flood、winnuke、Kiss of Death、Wingate DoS、Land、concon、ARP Spool等。
3. 分布式拒绝服务攻击
Tfn2k、trinoo、stachel、mstream等。
4. 扫描攻击
ISS扫描、Nessus扫描、nmap扫描、Superscan扫描、whisker扫描、Webtrends扫描、L3retriever扫描、ipe-syn-scan扫描等。
5. Web-cgi攻击
Test-cgi、handler、count.cgi、phf、PHP、Webgais、Websendmail、Webdist等。
6. Web-IIS攻击:NewDSN等。
7. Web-FrontPage攻击:Fpcount等。
8. Web-ColdFusion攻击:Openfile等。
9. 缓冲区溢出攻击
包括IMAP、Named、Qpop、FTP、mountd、Telnet等服务程序的缓冲区溢出攻击。
10. RPC攻击
包括对sadmind、ttdbserver、nisd、amd等RPC攻击。
11. ICMP攻击
主要包括利用大量ICMP Redirect包修改系统路由表的攻击和使用ICMP协议实施的拒绝服务攻击。
12. SMTP攻击(邮件攻击)
E-mail Debug等,以及利用SMTP协议实现HELO、RCPT TO、VRFY等缓冲区漏洞实施攻击。
13. 前奏攻击:SourceRoute等。
14. 病毒攻击:Happy 99、爱虫病毒、WinimDa等。
15. 口令攻击:telnet口令攻击、FTP口令攻击。
其他:IE5&ACCESS97等。
二. 数据加密技术
电子商务安全规范可分为安全、认证两方面的规范。
1安全规范
当前电子商务的安全规范包括加密算法、报文摘要算法、安全通信协议等方面的规范。
(1)加密算法
基本加密算法有两种:对称密钥加密、非对称密钥加密,用于保证电子商务中数据的保密性、完整性、真实性和非抵赖服务。
①对称密钥加密
对称密钥加密也叫秘密/专用密钥加密(Secret Key Encryption),即发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。最著名的对称密钥加密标准是数据加密标准(DataEncryptionStandard,简称DES)。目前已有一些比DES算法更安全的对称密钥加密算法,如:IDEA算法,RC2、RC4算法,Skipjack算法等。
②非对称密钥加密
非对称密钥加密也叫公开密钥加密(Public Key Encryption),由美国斯坦福大学赫尔曼教授于1977年提出。它主要指每个人都有一对唯一对应的密钥:公开密钥和私有密钥,公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,就只能用另一把密钥来解密。商户可以公开其公钥,而保留其私钥;客户可以用商家的公钥对发送的信息进行加密,安全地传送到商户,然后由商户用自己的私钥进行解密。公开密钥加密技术解决了密钥的发布和管理问题,是目前商业密码的核心。使用公开密钥技术,进行数据通信的双方可以安全地确认对方身份和公开密钥,提供通信的可鉴别性。由此,公开密钥体制的建设是开展电子商务的前提。非对称加密算法主要有RSA、DSA、DiffieHellman、PKCS、PGP等。
(2)报文摘要算法
报文摘要算法(Message Digest Algorithms)即采用单向HASH算法将需要加密的明文进行摘要,而产生的具有固定长度的单向散列(HASH)值。其中,散列函数(HashFunctions)是将一个不同长度的报文转换成一个数字串(即报文摘要)的公式,该函数不需要密钥,公式决定了报文摘要的长度。报文摘要和非对称加密一起,提供数字签名的方法。
报文摘要算法主要有安全散列标准、MD2系列标准。
(3)加密通信协议(SSL)
安全套接层协议(Secure Socket Layer)是一种保护WEB通讯的工业标准,主要目的是提供INTERNET上的安全通信服务,是基于强公钥加密技术以及RSA的专用密钥序列密码,能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL在建立连接过程上采用公开密钥,在会话过程中使用专有密钥。SSL的缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可以此破译SSL的加密数据,破坏和盗窃WEB信息。新的SSL协议被命名为TLS(Transport Layer Security),安全可靠性可有所提高,但仍不能消除原有技术上的基本缺陷。
2认证规范
(1)数字签名
数字签名(Digital Signature)是公开密钥加密技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。其使用方式是:报文的发送方从报文文本中生成一个128位或160位的单向散列值(或报文摘要),并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,普遍用于银行、电子贸易等,以解决伪造、抵赖、冒充、篡改等问题。
(2)数字证书
“数字证书”是一个经证书认证中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥。CA对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方的身份,保证网上支付的安全性。
证书的格式遵循X.509标准。X.509证书包括有关证书拥有的个人或实体的信息及证书颁发机构的可选信息。实体信息包括实体名称、公用密钥、公用密钥运算法和可选的唯一主体id。目前,X.509标准已在编排公共密钥格式方面被广泛接受,已用于许多网络安全应用程序,其中包括IP安全(Ipsec)、安全套接层(SSL)、安全电子交易(SET)、安全多媒体INTERNET邮件扩展(S/MIME)等。
(3)密钥管理机制(PKI)
密钥管理是数据加密技术中的重要一环,密钥管理的目的是确保密钥的安全性(真实性和有效性)。
三. 防火墙技术
尽管近年来各种网络安全技术在不断涌现,但到目前为止防火墙仍是网络系统安全保护中最常用的技术。据公安部计算机信息安全产品质量监督检验中心对2000年所检测的网络安全产品的统计,在数量方面,防火墙产品占第一位,其次为网络安全扫描和入侵检测产品。
防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合,这种安全部件处于被保护网络和其它网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或作出其它操作,防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的隔离,也可用于内部网络不同网段的隔离,后者通常称为Intranet防火墙。
目前的防火墙系统根据其实现的方式大致可分为两种,即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包,根据防火墙的访问控制策略对数据包进行过滤,只准许授权的数据包通行。防火墙管理员在配置防火墙时根据安全控制策略建立包过滤的准则,也可以在建立防火墙之后,根据安全策略的变化对这些准则进行相应的修改、增加或者删除。每条包过滤的准则包括两个部分:执行动作和选择准则,执行动作包括拒绝和准许,分别表示拒绝或者允许数据包通行;选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准则之后,防火墙在接收到一个数据包之后,就根据所建立的准则,决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的安全访问控制策略。
应用层网关位于TCP/IP协议的应用层,实现对用户身份的验证,接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中,应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时,在访问Internet之前首先应登录到代理服务器,代理服务器对该用户进行身份验证检查,决定其是否允许访问Internet,如果验证通过,用户就可以登录到Internet上的远程服务器。同样,从Internet到内部网络的数据流也由代理服务器代为接收,在检查之后再发送到相应的用户。由于代理服务器工作于Internet应用层,因此对不同的Internet服务应有相应的代理服务器,常见的代理服务器有Web、Ftp、Telnet代理等。除代理服务器外,Socks服务器也是一种应用层网关,通过定制客户端软件的方法来提供代理服务。
防火墙通过上述方法,实现内部网络的访问控制及其它安全策略,从而降低内部网络的安全风险,保护内部网络的安全。但防火墙自身的特点,使其无法避免某些安全风险,例如网络内部的攻击,内部网络与Internet的直接连接等。由于防火墙处于被保护网络和外部的交界,网络内部的攻击并不通过防火墙,因而防火墙对这种攻击无能为力;而网络内部和外部的直接连接,如内部用户直接拨号连接到外部网络,也能越过防火墙而使防火墙失效。
四. 网络入侵检测技术
网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。
网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析,及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段,或者直接接收受监控网络旁路过来的数据流。为了更有效地发现网络受攻击的迹象,网络入侵检测部件应能够分析网络上使用的各种网络协议,识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的,这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新,提高入侵检测部件对网络攻击行为的识别能力。
利用网络入侵检测技术可以实现网络安全检测和实时攻击识别,但它只能作为网络安全的一个重要的安全组件,网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案,其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应,但其侧重点还是在于发现,而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面,而网络入侵检测技术除了减小网络系统的安全风险之外,还能对一些非预期的攻击进行识别并做出反应,切断攻击连接或通知防火墙系统修改控制准则,将下一次的类似攻击阻挡于网络外部。因此通过网络安全检测技术和防火墙系统结合,可以实现了一个完整的网络安全解决方案。
附:
一.CA中心的安全应用--数字证书颁发
CA (Certificate Authority)
CA技术是安全认证技术的一种它基于公开密钥体系通过安全证书来实现 安全证书采用国际标准的X.509证书格式主要包括
证书的版本号
发证CA的身份信息
持证用户的身份信息
持证用户的公钥
CA中心所发放的数字安全证书可以应用于公众网络上的商务活动和行政作业活动,包括支付型和非支付型电子商务活动,其应用范围涉及需要身份认证及数据安全的各个行业,包括传统的商业、制造业、流通业的网上交易,以及公共事业、金融服务业、工商税务海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。它主要应用于网上购物、企业与企业的电子贸易、安全电子邮件、网上证券交易、网上银行等方面。
二. 密钥的管理内容
1.一个好的密钥管理系统应该做到:
(1)密钥难以被窃取;
(2)在一定条件下窃取了密钥也没有用,密钥有使用范围和时间的限制;
(3)密钥的分配和更换过程对用户透明,用户不一定要亲自掌管密钥.
a. 管理方式
层次化的密钥管理方式,用于数据加密的工作密钥需要动态产生;工作密钥由上层的加密密钥进行保护,最上层的密钥称为主密钥,是整个密钥管理系统的核心;多层密钥体制大大加强了密码系统的可靠性,因为用得最多的工作密钥常常更换,而高层密钥用的较少,使得破译者的难度增大。
b. 密钥的生成
密钥的生成与所使用的算法有关。如果生成的密钥强度不一致,则称该算法构成的是非线性密钥空间,否则称为是线性密钥空间。
c. 分配、传递
密钥的分配是指产生并使使用者获得一个密钥的过程;密钥的传递分集中传送和分散传送两类。集中传送是指将密钥整体传送,这时需要使用主密钥来保护会话密钥的传递,并通过安全渠道传递主密钥。分散传送是指将密钥分解成多个部分,用秘密分享的方法传递,只要有部分到达就可以恢复,这种方法适用于在不安全的信道中传输。
d. 密钥的保存
密钥既可以作为一个整体保存,也可以分散保存。整体保存的方法有人工记忆、外部记忆装置、密钥恢复、系统内部保存;分散保存的目的是尽量降低由于某个保管人或保管装置的问题而导致密钥的泄漏。
e. 备份、销毁
密钥的备份可以采用和密钥的分散保存一样的方式,以免知道密钥的人太多;密钥的销毁要有管理和仲裁机制,否则密钥会被有意无意的丢失,从而造成对使用行为的否认。
2. 密钥的分配技术
密钥的分配技术解决的是在网络环境中需要进行安全通信的端实体之间建立共享的对称密钥问题。
密钥分配中心方式KDC(Key Distribution Center)
这是当前一种主流方式。每个节点或用户只需保管与KDC之间使用的密钥加密密钥,而KDC为每个用户保管一个互不相同的密钥加密密钥。当两个用户需要通信时,需向KDC申请,KDC将工作密钥(也称会话密钥)用这两个用户的密钥加密密钥分别进行加密后送给这两个用户。在这种方式下,用户不用保存大量的工作密钥,而且可以实现一报一密,但缺点是通信量大,而且需要有较好的鉴别功能,以识别KDC和用户。
KDC方式还可以变形为电话号码本方式,适用于非对称密码体制。通过建立用户的公开密码表,在密钥的连通范围内进行散发,也可以采用目录方式进行动态查询,用户在进行保密通信前,首先产生一个工作密钥并使用对方的公开密钥加密传输,对方获悉这个工作密钥后,使用对称密码体制与其进行保密通信。
此外还有离散对数方法和智能卡方式,基本的思想是利用数学的方法使得别人无法获得密钥。
3. 公开密钥的全局管理机制
公开密钥体制主要针对开放型的大型互联网络的应用环境而设计的,这种网络环境中需要有一个协调的公开密钥管理机制,以保证公开密钥的可靠性。
公开密钥的管理一般基于公证机制,即需要一个通信的A、B双方都信任的第三方N来证明A和B的公开密钥的可靠性,这需要N分别对A和B的公开密钥进行数字签名,形成一个证明这个公开密钥可靠性的证书。在一个大型网络中,这样的公证中心可以有多个,另外这些公证中心若存在信任关系,则用户可以通过一个签名链去设法验证一个公证中心签发的证书。
公开密钥管理的另外一个重要方面是如何撤消过去签发,但是现在已经失效的密钥证书。
4.基于X.509证书的PKI(Public Key Infrastructure)
它是一种行业标准或者行业解决方案,在X.509方案中,默认的加密体制是公钥密码体制。为进行身份认证,X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(亦称作信息“指纹”)。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息“指纹”进行比较,以确定其真实性。
PKI是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。
PKIX(PublicKeyInfrastructureonX.509,简称PKIX)系列标准由IETFPKIX工作小组制定,定义了X.509证书在INTERNET上的使用,证书的生成、发布和获取,各种产生和分发密钥的机制,以及怎样实现这些标准的轮廓结构等。
三.IPsec与VPN简介
IPSec,因特网协议安全,是由IETF(Internet Engineering Task Force)定义的一套在网络层提供IP安全性的协议。
1. 基于Ipsec的VPN,如阿姆瑞特VPN,由两部分组成:
1.Internet密钥交换协议(IKE)
2.IPsec协议(AH/ESP/二者都有)
第一部分,IKE是初始协商阶段,两个VPN端点在这个阶段协商使用哪种方法为下面的IP数据流提供安全。而且,通过定义一套安全联盟(SA),IKE用于管理连接;SA面向每个连接的。SA是单向的,因此每个Ipsec连接至少有2个SA。在IKE(因特网密钥交换)部分对此有更详细的描述。
另一部分是IKE协商后,用加密和认证方法实际传输的IP数据。有几种方法,如IPsec协议ESP, AH或两者结合在一起都可以做到这一点。IPsec协议(ESP/AH)部分对此进行了解释。
2. 建立VPN事件的流程可做如下简要描述:
IKE协商如何保护IKE
IKE协商如何保护Ipsec
Ipsec在VPN中传输数据
Internet密钥交换协议(IKE)
这部分描述IKE,因特网密钥交换协议,及其使用的参数。
加密和认证数据比较直接,唯一需要的是加密和认证算法,及其使用的密钥。因特网密钥交换协议(IKE),用作分配这些对话用密钥的一种方法,而且在VPN端点间,规定了如何保护数据的方法。
3.IKE主要有三项任务:
a.为端点间的认证提供方法
b.建立新的IPsec连接(创建一对SA)
c.管理现有连接
IKE跟踪连接的方法是给每个连接分配一组安全联盟(SA)。SA描述与特殊连接相关的所有参数,包括使用的Ipsec协议(ESP/AH/二者兼有),加密/解密和认证/确认传输数据使用的对话密钥。SA本身是单向的,每个连接需要一个以上的SA。大多数情况下,只使用ESP或AH,每个连接要创建2个SA,一个描述入站数据流,另一个描述出站数据流。同时使用ESP和AH的情况中就要创建4个SA。
4.IKE 协商
协商对话参数过程中包含许多阶段和模式。下面对其进行具体描述。
事件流程如下描述:
IKE阶段1
协商应该如何保护IKE
IKE阶段2
协商应该如何保护Ipsec
源自阶段1的密钥交换生成一些新的加密信息,以提供VPN数据流加密和认证中使用的对话密钥。
IKE和Ipsec连接都有使用期限的限制,使用时间(秒)和数据大小(KB)来描述。使用期限用于防止连接建立的时间过长,从密码学的角度看,这是有必要的。
IPSec的使用期限一般要比IKE的使用期限短。这样通过进行阶段2协商时,对Ipsec连接再次加密。不必进行另外的阶段1协商直至到IKE使用期限。
5.IKE 协议
IKE提议是如何保护数据的建议。发起IPsec连接的VPN网关,作为发起者会发出提议列表,提议表建议了不同的护连接的方法。
协商连接可以是通过VPN来保护数据流的Ipsec连接,或是IKE连接,保护IKE协商本身。
响应的VPN网关,在接收到此提议表后,就会根据自己的安全策略选择最适合的提议,并根据已选择的提议做出响应。如果没有找到可接受的提议,就会做出没有可接受提议的响应,并可能提供原因。提议包括需要的全部参数,如加密和认证数据使用的算法,以及IKE参数中描述的其他参数。
IKE 阶段1 - IKE安全协商
一个IKE协商可分两个阶段。第一阶段(阶段1),通过确认远端网关是否具有匹配的Pre-Shared密钥,来进行2个VPN网关或VPN客户端的相互认证。
可是,因为我们不希望以明文方式公布太多的协商信息,所以我们还是要保护其余的IKE协商信息。可以用前面描述的方法做到这一点,即通过发起者向响应者发送提议列表来完成。一旦这个工作完成,响应者选择并接受其中的一个提议后,将尝试着认证VPN的另一端,以确保它就是要认可的一端,并校验远端网关正是所期望的。
通过Pre-Shared密钥、证书或公开密钥加密能够完成认证。Pre-Shared密钥是目前最常见的认证方法。阿姆瑞特防火墙VPN模式支持Pre-Shared密钥和证书两种方式。
IKE 阶段2 - IPsec安全协商
另一个协商是在阶段2进行的,详细说明了Ipsec的连接参数。
在阶段2,我们将从阶段1的Diffie-Hellman密钥交换中摘取新的密钥信息,并将其作为保护VPN数据流的会话密钥。
如果使用PFS(完善的转发机密),每个阶段2协商中,会进行新的Diffie-Hellman交换。虽然这种操作比较慢,但可确保密钥不依赖于以前用过的任何密钥,不从同样的初始密钥材料中摘取密钥。这就保证了在不太安全的事件中,危及了某些密钥安全时,而不衍生出并发的密钥。
一旦完成阶段2协商,就会建立VPN连接,以备使用。
http://bbs.tech.ccidnet.com/read.php?tid=26876&fpage=1&toread=&page=7