计算机网络原理,安全概述
什么是计算机网络?在计算机网络发展过程的不同阶段中,人们对计算机网络提出不同的定义。不同的定义反映了人们对网络的不同认识水平。从资源共享的观点来讲,计算机网络是按照网络协议,以共享资源(硬件、软件、信息)为主要目的,将物理上分散且独立自主的计算机通过数据传输设备和通信控制处理器互联。
计算机之间可以用同轴电览、双绞线、电话线、DDN(Data
Digital Network)、ISDN(Integrated
Service Digital Network)和光纤等有线介质,也可以使用微波、卫星无线媒体把它们连接起来。联入计算机网络的每部计算机本身都是独立的系统,可以独立运行,也可通过计算机网络共享网络服务器或其他计算机的软、硬件资源。
一、计算机网络类型和网络体系结构
(一)
计算机网络分类
计算机网络类型按网络涉辖范围,可分成:①局域网(Local Area Network,LAN);②
城域网(Metropolitan Area Network,MAN);③广域网(Wide Area Network,WAN)。
局域网的地理范围一般在10km之内,在一个单位或团体组建的范围内,例如一个学校的校园网。
广域网涉辖范围可以是很大,从几十公里到几万公里,即采用远程通讯技术把局域网连接起来。例如一个城市、国家或洲际网络。
城域网是介于局域网和广域网之间,一般覆盖一个城市或地区。例如一个城市的信息网络(信息港)。
(二)
计算机网络体系结构
计算机网络由多个结点(工作站)互联而成。在这些结点之间要做到数据有条不紊地进
行交换,需要有控制网络数据交换的协议(Protocol)。国际标准化组织ISO(International Organization for Standardization)成立于1947年,下设的分委员会于1979年提出了开放系统互联(Open
System Interconnection,OSI)模型。这是一种定义连接异种计算机的标准主体体系。
计算机网络的功能非常复杂,通常网络协议都按结构化层次方式进行组织。OSI模型分为7层,由高层至低层分别是:
第七层
应用层
第六层
表示层
第五层
会话层
第四层
传输层
第三层
网络层
第二层
数据链路层
第一层
物理层(硬件接口)
二、局域网技术
自20世纪70年代中期以后,计算机硬件的价格不断下降,微型计算机(PC)得到了广
泛应用,计算机局部网络技术也飞速发展起来。局域网通常被分成三种,即:
• 局域网
• 高速局域网(High Speed Local Network,HSLN)。
• 专门小交换机(Private Branch Exhange,PBX)。
PBX原来是为一个单位电话通讯而设置的小交换机。使用计算机程序控制的PBX不仅可以传送语音信息,而且可以传送数据。局域网和近年来发展的高速局域网应用较为广泛。
(一)
局域网基本组成
1.服务器(Server)
服务器是局域网的核心。根据它在网络中所起的作用可分为文件
服务器、打印服务器和通讯服务器等。文件服务器提供大容量磁盘空间、软件、数据库供网络用户共享。打印服务器接收和完成客户机打印请求。通讯服务器主要处理网络与网络之间的通讯及远程客户机的通讯请求。
2.客户机(Clients) 客户机也称为用户工作站,一般是微机。每一客户机都可运行自己的程序,主要任务是共享网络服务器上的资源。
3.网络设备 主要是一些决定局域网的拓扑结构、通讯协议以及电缆类型的硬件设备,例如路由器、集线器、网络接口卡等。
4.通讯介质 局域网中的通讯介质主要有同轴电缆、双绞线和光纤等。同轴电缆有粗电缆和细电缆两种,在局域网中每段粗、细电缆标准传输距离分别为500m和185m,超过规定标准传输距离的局域网,需加中继器才能正常运行,而且最多允许使用4个中继器。双绞线有UTP(无屏蔽双绞线)和STP(屏蔽双绞线)两种。无屏蔽双绞线的长度一般不超过100m。传输数据速率可达到100Mbps。光纤技术依赖于光波的特性,不受电子或电磁干扰的影响。而且光传递允许几乎无限的带宽,可达200Gbps。
5.网络操作系统(NOS)和协议(Protocols) 计算机局域网像一台独立计算机一样必须有操作系统来对整个网络的资源和运行进行管理,如应有Unix、Novell或Windows NT等。计算机局域网络协议是一组规则和标准,使网络中的计算机能进行互相通讯,如Netbeui、TCP/IP等。
(二)
局域网拓扑
局域网技术目前发展最迅速,并在社会各领域中得到广泛的应用。主要用于一个单位、一所大学、一幢大楼内资源共享和信息服务。局域网在网络拓扑上主要采用总线型、环型与星型结构。
1.总线型拓扑结构 局域网最主要的拓扑结构之一。总线型局域网的介质访问控制方法采用的是“共享介质”方式,所有的结点通过相应的网络接口卡(Network Interface Card,NIC)连接到以同轴电缆或双绞线为公共传输介质的总线上(图1-1)。由于总线作为公共传输介质为多个结点共享,因此会出现“冲突”(collision),造成传输失败。所以若局域网的每个网段的结点数超过30个,网络速度会下降。
总线型拓扑结构具有结构简单、实现容易、易于扩展等优点,在局域网建设中采用较多。其缺点是不易管理,故障诊断和隔离比较困难。
2.环型拓扑结构 是局域网最基本的拓扑结构之一。每个结点通过网络接口卡连入网内,各结点到结点首尾相接,最后闭合成环路(图1-2)。信息沿环单向逐步传送。
环型拓扑结构具有安装容易、故障诊断定位比较准确等优点。由于环型网是单向传输和点到点连接,非常适合以光纤作为传输介质,例如FDDI网。环型拓扑结构的缺点是可靠性较差,在单环上出现的任何故障会导致全网瘫痪。
3.星型拓扑结构 由中心结点和一些与之相连的从结点组成(图1-3)。目前较为流行的是在中心结点配置集线器(HUB),每个结点通过网络接口卡和电缆连接到HUB。
星型拓扑结构具有维护管理容易、重新配置灵活等优点;缺点是安装工作量大,依赖中心结点,如中心集线器故障,则要影响全网。
在局域网的实际应用中,一般采用总线型拓扑和星型拓扑的组合和扩展方式。目前比较流行的智能大楼布线技术中,是在每个楼层安置集线器,连接结点,并连接到总线型的主干上。
(三)
高速局域网
传统的共享介质局域网主要有Ethernet、Token Bus和Token Ring三类,而目前应用
最广泛的是Ethernet。在过去20多年里,计算机的处理速度提高了百万倍,而网络传输速率只提高了几千倍。随着局域网规模的不断增大,网络通讯量进一步增加,局域网的带宽与性能已不能适应用户的需求。
高速局域网是保持传统的局域网体系结构与介质控制方法不变,设法提高局域网的传输速度。例如快速以太网(Fast Ethernet)在保留传统的10Mbps速率Ethernet所有特征的基础上,把Ethernet每比特发送时间由100ns降低到10ns,从而成为100
Mbps的Fast Ethernet。近年来,每比特发送时间降低到1ns,千兆位以太网(Gigabit Ethernet)也已问世。
(四)
交换局域网
交换局域网的核心部件是它的局域网交换机。典型的交换局域网是交换式以太网
(Switch Ethernet),其核心部件是以太网交换机(Ethernet Switch)。Ethernet Swich可以有多个端口,每个端口可与一个结点连接,也可与一个共享式HUB连接。交换局域网每个端口提供10Mbps或100Mbps的带宽,可以通过Ethernet Switch支持交换机端口之间的多个结点开放连接,实现多个结点之间数据的并发传输,因此增加了局域网带宽,改善了局域网的性能。
(五)
ATM网络
异步传输模式(Asynchronous Transfer Mode,ATM)从本质上看,是一种分组交换技术。它把数字、语音、图像等所有的数字信息分解为长度固定的信元(Cell),每个信元长度为53
bytes,为高速交换信息提供了有利条件。伴随着ATM技术的日趋成熟和标准化,在网络建设中采用ATM技术的也越来越多。ATM比较适合于高速传输声音、图像、视频等多媒体数据。国内有许多学校的校园网采用155 Mbps ATM,也有少数大学已采用622
Mbps ATM作为校园网络主干。
三、网络互联
网络互联是指处于同一地域或不同地域的同类型或不同类型网络之间的互联。随着信息
网络和信息技术的发展,各个单位建立的局域网纷纷进行互联,并通过公共信息网络设施联入地区、国家信息网络和Internet,进行信息交换和信息资源共享。
局域网受到最多结点数、最远覆盖范围等因素的限制,而局域网的互联就可以突破这些限制。局域网互联有多种方式,从距离上区分主要是局域网之间的连接、局域网同远程局域网之间的连接。例如某校图书馆局域网联入校园网,校园网通过中国教育和科研计算机网及Internet同远程的局域网连接。传输介质有同轴粗缆或细缆、各类屏蔽双绞线STP和非屏蔽双绞线UTP、单模或多模光缆、DDN、ISDN、卫星、微波等。局域网的互联结构也要遵循ISO/OSI开放系统互连参考模型。
网络互联按不同层次可分为物理层、数据链路层、网络层和高层,与之对应的设备分别是中继器(Repeater)、网桥(Bridge)、路由器(Router)和网关(Gateway)。
(一)
中继器和集线器
1.中继器 中继器是网络的物理层的一种连接器,用于放大在传输介质中已衰减的
电信号。通常一种传输介质的传输距离都有一定的限度。在局域网中每段10BASE-T粗电缆标准传输距离为500m,10BASE-2细电缆则是185m,超过规定的标准传输距离的局域网,需加中继器才能正常运行,但最多允许使用4个中继器,即可连接5个网段。中继器对信号有放大作用,但没有通信隔离功能,所以不能解决局域网信息拥挤等问题。
2.集线器 集线器(HUB)是一种特殊的中继器,它可作为多个网络段的中转设备而将
各个网络段连接起来。集线器一般分无源(Passive)集线器、有源(Active)集线器和智能(Intelligent)集线器。无源集线器只是把传输介质连接在一起。有源集线器还具有信号放大作用。智能集线器除具有有源集线器的全部功能外,还有网络管理等智能性功能。现在集线器被广泛地用于总线型网络和星型网络相结合的局域网络中。
(二)
网桥
网桥的操作在网络数据链路层进行。网桥可以将大范围的网络分成几个相互独立的网
段,使得某一网段的传输效率提高,而各网段之间还可以通过网桥进行通信和访问。通过网桥连接局域网,可以提高各子网的性能和安全性。网桥从应用上可分为:①本地网桥,用于连接两个或两个以上的局域网;②远程网桥,用于连接远程局域网。网桥一般用于同类局域网的互联。
(三)
路由器
路由器是在网络层上实现多个网络互联的设备。在由路由器互联的网络中,只要求每个
网络的网络层以上高层协议相同(例如TCP/IP),数据链路层和物理层协议可以是不同的。路由器比网桥更复杂、管理功能更强,但更具灵活性,经常被用于多个局域网、局域网与广域网以及不同类型网络的互联。例如在校园网同CERNET(中国教育和科研计算机网)连接中,一般都要采用路由器。目前,存在不同标准的路由器协议,如IGRP、RID、OSPF等。
(四)
网关
网关是通过硬件和软件来实现不同网络协议之间的转换功能,也就是协议转换器。它工作在网络传输层或更高层,主要用于不同体系结构的网络或局域网同大型计算机的连接。局域网通过网关可以使网上用户能省去同大型计算机连接的接口设备和电缆,却能共享大型计算机的资源。
第二节 Internet简介及国内主要网络介绍
一、Internet简介
(一)
什么是Internet?
Internet并不是一个单一的计算机网络,而是一个“网间网”,即它是一个将许多较
小的计算机网络彼此互连在一起的巨型网络,通常的译法为“因特网”“国际互联网”等。
Internet网络上用于传送数据的协议叫做TCP/IP。因此,Internet经常被定义为“一组使用TCP/IP作为其共同协议的网络”。
(二)
Internet发展历程
·60年代末,美国国防部高级研究计划署(DOD Advanced Research Project Agency)建立了著名的ARPANET。它是由四个节点组成的分组交换网。ARPANET是最早出现的计算机网络之一;
·70年代,ARPANET从一个实验性网络变成一个可运行网络。在ARPANET不断增长的同时,ARPA开发研制了卫星通信网与无线分组通信网,并想将他们联入ARPANET,由此导致网络互连协议TCP/IP的出现。对该网的基本要求之一是:即使它的基本结构中的很大一部分消失,它也能继续工作。美国国防部需要一个能经受住核弹袭击的网络;
· 80年代初,TCP/IP协议成为军用标准,83年1月1日国防部通信局正式将TCP/IP作为ARPANET的网络协议,与此同时,在当时流行的BSDUNIX内核集成了TCP/IP,推动了TCP/IP协议的进一步研究和应用。同年,ARPANET分为独立的两部分,一部分仍叫作APPANET,用于研究工作,另一部分是MILNET,用于军方非机密通信。APPANET的一个副产品是网络互联的概念———将独立的网络联接成为一个整体。在ARPANET的TCP/IP协议之后,这种互联开始实现,于是形成了一个“由网络组成的网络”。在网络工业范围内,互联网络的技术术语称为网间连接(Internetworking)。这个网际络称为Internet。
·80年代中后期,美国国家科学基金会(National Science Foundation NSF)围绕其六个超级计算机中心建立了NSFNET并与ARPANET相连。NSFNET代替ARPANET成为Internet的新主干;
·90年代,Internet以惊人的速度发展,成为全球连接范围最广、用户最多的互连网络。
(三)Internet的现状和展望
1999年底的统计资料显示,Internet已成为通达世界所有国家和绝大部分地区的国际性网络。与之相连的大小网络络约3万个,在网上运行的主机约有3000万台,而且正以每小时100台的速度激增,网上用户已达2亿多,随着越来越多的人意识到了Internet对于他们的重要性,网上用户的数量也在日益膨胀。据有关专家估计,到2000年底,Internet用户将会高达3亿。
Internet中一些最大的网络是:美国科学基金会NSFNET,澳大利亚的AARNET,美国国家航空宇航局科学网(SNI)以及瑞士的科学与研究网SWITCH。
美国政府提出NII(National
Information Infrastructure)国家信息基础结构,也称“信息高速公路”,有可能取代Internet,因为它能将网络性能提高很多倍。它将提供“一个通信网络、计算机、数据库和消费者电子设备组成的无缝连接网”以使用户可以方便地获得巨大数量的信息。具体如何实现还不十分清楚,但是可以预料的是NII将运行得足够快(每秒55至150M)以便在同一个网络上提供充分集成的数字服务,例如声音、图像和数据等。即是说您将能够通过连入您家中的同一根电线打电话、收看电视和有线电视及其他数据(如e-mail)。目前的Internet与NII不同,这主要是由于Internet与能够提供全动感视频图像的网络相比,速度太慢而且很不方便,但是它也许能影响NII的发展。
二、我国几大网络概况
1994年,美国不但提出了NII计划,随后又提出了GII的战略。英国、法国、德国、
俄罗斯、日本等各国政府积极相应,拉开了信息基础设施建设的帷幕。
近年来,我国政府十分重视信息基础设施的建设。覆盖全国的数据通信网络,如中国公用数据网(CHINADDN)和中国公用分组交换数据网(CHINAPAC),为我国信息事业的发展创造了条件。众多的各种类型的信息网不断涌现和发展,并先后连通Internet。
Inernet在我国的发展历史可以粗略地划分为两个阶段:第一阶段为1987~1993年,我国一些科研部门通过Internet建立电子邮件系统,并在小范围内为国内少数重点高校和科研机构提供电子邮件服务;第二阶段是从1994年开始,通过TCP/IP连接从而开通了Internet全功能服务。几个全国性网络如CASNET、CERNET、CHINANET和CHINAGBNET相继启动,Internet在我国迅速发展。据中国互联网信息中心截止至1999年6月的统计,我国Internet用户已达到400多万。
(一)
中国国家计算机与网络设施
中国国家计算机与网络设施(The National Computing and Networking
Facility of China,NCFC)是由世界银行贷款“重点学科项目”中的一个信息基础设施项目,由国家计委、国家科委、中国科学院、国家自然科学基金会、国家教委等部门联合配套投资和支持。项目由中国科学院主持,与清华大学、北京大学合作共同完成。NCFC网络分为两层,底层为中国科学院网络(CASNET)、清华大学校园网(TUNET)和北京大学校园网(PUNET),采用光缆互联而组成;高层是NCFC主干网,连接国内其他科研与教育单位的院校网及连接Internet。
NCFC于1990年开始实施,1992年中国科学院网(CASNET,也称中国科技网)、清华大学校园网和北京大学校园网相继开通。1994年NCFC联入Internet,并向NCFC的各成员提供E-mail、FTP、WWW等Internet全功能服务。同时中国科学院计算机网络信息中心设立了中国最高级域名cn服务器,负责运行和管理绝大部分二级域名。
在NCFC建设的基础上,中国科学院提出了百所联网项目,把CASNET扩展到24个城市12个分院123个直属研究所,并联入Internet,成为我国覆盖范围大、设施先进的全国性科技网。中国科技网主页(图1-4)地址是http://www.cstnet.net.cn。
图1-4 中国科技网主页
(二)
中国教育和科研计算机网
20世纪80年代中期以来,世界上几乎所有发达国家都已相继建成了国家级的教育和科
研计算机网络,并互连成覆盖全球的国际性学术计算机网络Internet。这种全球计算机信息网络的产生加快了信息传递速度,为广大教师、学生以及科研人员提供了一个全新的网络计算机环境,从根本上改变并促进了他们之间的信息交流、资源共享、科学计算和科研合作,成为这些国家教育和科研工作最理想的基础设施,从而促进了这些国家教育和科研事业的迅速发展。
1994年,由国家计委投资、国家教委主持的中国教育和科研计算机网(China Education
and Research
Network,CERNET)开始启动。其重要意义在于:有利于中国教育科研事业的发展。建立中国教育和科研计算机网能够使中国大部分高等院校的教师、研究生和科研人员在全国和全世界计算机网络环境下学习和开展科研工作,极大地提高教学质量和科研水平,成为中国高等学校进入世界科学技术尖端领域快捷方便的入口和科学研究的重要基础设施,培养出面向现代化、面向世界、面向未来的高层次人才。在中国教育和科研计算机网的建设中,积累了经验,培养了高层次的网络建设人才,为将要建设的中国的信息高速公路作好各种技术及人员准备。
CERNET是一个包括全国主干网、地区网和校园网在内的三级层次结构的网络。网络中心建在清华大学,地区网络中心分别设在北京、上海、南京、西安、广州、武汉、成都、沈阳等8个大城市的十所大学里。选择这些地区网络中心作为主干网节点考虑了中国高校及大学生分布情况、通讯基础设施建设的具体情况和地理位置等因素。地区网络中心的所在大学和覆盖省市如下:
华北 清华大学(北京)
北京大学(北京,天津,河北)
北京邮电大学(北京,山西,内蒙古)
西北 西安交通大学(陕西,甘肃,宁夏,青海,新疆)
西南 电子科技大学(四川,重庆,贵州,云南,西藏)
华南 华南理工大学(广东,广西,海南)
华中 华中理工大学(湖北,湖南,河南)
华东(北)东南大学(江苏、安徽、山东)
华东(南)上海交通大学(上海,浙江,江西,福建)
东北 东北大学(辽宁,吉林,黑龙江)
这些地区网络中心作为主干网节点负责地区网的运行管理和信息资源服务,负责管辖范围内单位和用户入网、技术支持与培训,是广大校园网与CERNET联系的纽带与桥梁。CERNET采用多环拓扑结构,以保证任何两个主干结点之间都有多条线路。所有主干网结点之间都采用DDN,最高传输速率可达2.04
Mbps,采用X.25作为后备线路,现还在建设卫星后备线路。目前开通了5条国际联网信道,传输速率都在64 kbps以上。到美国的两条线路传输速率分别为128 kbps和2.048 Mpbs,到加拿大线路传输率分别是2
Mbps,到欧洲线路的传输率是128 kbps和到德国线路的传输是64
kbs。另外,还开通了到香港的HARNET,传输率为2 Mbps。
CERNET逐步为用户提供丰富的网络应用资源,包括:国内外通达的电子邮件服务;提供查询网络用户信息的网络目录服务;文件访问和共享服务;图书和期刊目录公共查询服务;具有丰富分学科信息资源的电子新闻服务;远程高速信息服务和计算机服务;远程计算机教育;教育和科研管理信息服务等等。目前全国已有400多所高等院校(其中高等医药院校30余所)实现了和CERNET的连接。CERNET每天的访问量达10万人次以上,最高超过20万人次。CERNET潜在的服务对象包括全国1 000余所高等院校300万名教师、研究生和在校学生,4万所中学的550万名师生和16万所小学的1.2亿名师生。CERNET主页(图1-5)地址是http://www.cernet.edu.cn。
1-5 中国教育和科研计算机网主页
(三)中国公用计算机互联网
中国公用计算机互联网(CHINANET)由中国邮电部投资建设,于1994年启动。它采全国主干网、地区网和市网的三层网络结构。北京结点和上海结点作为首期工程分别通过Sprint公司联入Internet,为社会公众用户提供Internet各种服务。随之广东、浙江和辽宁等省也相继开通本地的CHINANET,向社会公众用户提供Internet服务。
CHINANET在北京和上海都有相当带宽的出口专线,其主干网涉及全国8个地区覆盖31个省市,是我国骨干网之一。具有入网方便、接入方式灵活等特点。中、小城市的医学院校和医疗单位如果连接CERNET有困难,可以考虑通过CHINANET或CHINAGBN联入Internet。中国公用计算机互联网主页(上海)(图1-7)地址是http://www.sta.net.cn中国公用计算机互联网主页(北京)地址是http://www.bta.net.cn。
上海教育和科研计算机网(http://www.shnet.edu.cn)、上海科技网(hhtp://www.stn.sh.cn)、上海公共信息网(http://www.online.sh.cn)和上海经济信息网(http://www.sh.cei.gov.cn)等五大计算机网络组成。五大网络的交互中心设在市政府信息中心。1996年12月27日,上海信息交互网络正式开通,结束了5个网络互防要到美国转一圈的历史。这是中国第一个地区交互网,促进了信息网络的应用发展。近年来,中国公众多媒体通讯网(上海),也称上海热线(图1-8),是全国访问量最高的网络之一。
三、Internet使用规范
1997年12月11日经国务院批准,由公安部于1997年12月30日发布并施行(计算机信息网络国际联网安全保护管理办法),其中有关网络安全及使用规范的规定有如下相关条目:
第四条
任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第五条
第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
(一)
煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)
煽动颠覆国家政权,推翻社会主义制度的;
(三)
煽动分裂国家、破坏国家统一的;
(四)
煽动民族仇恨、民族歧视,破坏民族团结的;
(五)
捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)
宣扬封建迷信、淫秽、色情、暴力、凶恶、恐怖,教唆犯罪的;
(七)
公然侮辱他人或者捏造事实诽谤他人的;
(八)
损害国家机关信誉的;
(九)
其他违反宪法和法律、行政法规的。
第六条
第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动;
(一)
未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)
未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)
未经允许,对计算机网络中存储、处理或者传输的数据和应用程序进行删
除、修改或者增加的;
(四)
故意制作、传播计算机病毒破坏性程序的;
(五)
其他危害计算机信息网络安全的;
第七条
用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,
利用国际联网侵犯用户的通信自由和通信秘密。
做为网络用户必须严格遵守国家的法律规定,同时,还应遵守国际惯例和规则,规范自己的行为。
第三节 TCP/IP协议
一、
TCP/IP协议
TCP/IP是用于计算机网络上计算机间互联共享资源的一组协议。由ARPANET研究中心
开发。TCP/IP是一组协议族(Internet
protocol suite),而TCP、IP是该协议族中最重要的最普遍使用的两个协议,所以用TCP/IP来泛指该组协议。
TCP(Transmission Control Protocol)对发送的信息进行数据分解,保证可靠性传送并按序组合;IP(Internet
Protocol)则负责数据包的寻址。
在Internet内部,信息不是一个恒定的流,从主机传送到主机,而是把数据分解成数据包。例如您传送一个很长的信息给在另一地区的朋友,TCP负责把这个信息分成很多个数据包,每一个数据包用一序号和接收地址来标定,还插入一些纠错信息;而 IP则将数据包传过网络,把它们传送给远程主机。在另一端,TCP接收到数据包并核查错误,若有错误发生,TCP要求重发这个特定的数据包,只有所有的数据包都被正确地接收,TCP将用序号来重构原始信息。换名话说,IP的工作是把原始数据(数据包)从一地传送到另一地;TCP的工作是管理这种流动并确保其数据是正确的。
把数据分解成数据包有很多的好处。首先,它允许Internet让很多不同的用户在同一时间用同一通讯线路。因为这些数据包不必一起输送,所以通讯线路可以载着所有类型的数据包按它们自己的路径从一地到另一地。就如同一条高速公路上,各类汽车(即使它们开向不同的地方)都在公共道路上行驶。当数据包传输时,它们沿规定的路由从主机到主机,一直到它们到达最终目的地。这意味着Internet很具灵活性。如果一个特定的连接中断了,控制数据流动的计算机通常可以找到另一条路由。事实上,在单一数据传输中,多个数据包完全可能沿不同的路由传输。当条件改变时,网络可获得当时最好的连接。如当网络的某一部分过载,数据包可以改变路线去走那些比较空闲的线路。用数据包传输的另一个好处是,当某处出错,只须重新传送单个数据包,而不是整个信息。这样会大大加快Internet的传输总速度。这种灵活性产生很高的可靠性。Internet运行非常好,虽然所有数据包都必须通过很多计算机,但它可以用几秒钟就把一个文件从一主机传输到另一主机,尽管它们相距很远。
什么是TCP/IP?TCP/IP是把计算机和通讯设备组织成网络的协议大家庭。两个最重要的协议是TCP、IP。IP传输数据从一地到另一地:而TCP保证它们正确地工作。
Internet依靠上千个网络和百万计的计算机,而 TCP/IP是把它们合在一起的粘结剂。
TCP/IP模型由以下四层组成:
1)
应用层
位于TCP/IP协议的最高层,它提供一些常用的应用程序如电子邮件、文件传输等。
2)
传输层
提供应用程序间(即端到端)的通信,其功能是利用网际层传输格式化的信息流,提
供无连接和面向连接的服务。它对发送的信息进行数据报分解,保证可靠性传送并按序组合。
3)
网际层
负责相邻计算机之间的通信,网际层作为通信子网的最高层,提供无连接的数据报传
输机制。其功能包括三个方面。第一,处理来自传输层的分组发送请求:收到请求后,将分装入IP数据报,填充报头,选择去住目的的路径,将数据报发往适当的网络接口。第二,处理输入数据报:首次检查其合法,进行寻址转发,若该数据报是发往本机的,则去掉报头,将剩下的部分(传输层分组)交给适当的传输协议。第三,处理ICMP报文,处理路径、流控、拥塞等问题。
4)
网络接口层
负责接收IP数据报并通过网络发送出去,或者从网络上接收物理帧,分离IP数据报,
交给IP层。
二、
IP地址与子网掩码
(一)
IP地址
TCP/IP中的地址是实现异种网互联的一个关键技术,它有效地隐藏了物理地址间的差
异,在不同网络之间实现了一种统一、有效的地址模式。
我们知道,在任何一种物理网络中,各站点都有一个机器可识别的地址,该地址叫作物理地址(physical address),物理地址有两个特点:首先,物理地址的长度、格式等是物理网络技术的一部分,物理网络技术不同,物理地址也不同;其次,假如地址分配不采取像以太网一样的统一管理模式,则同一类型不同网络的站点可能拥有相同的物理地址。
由于网际互联技术是将不同物理网络技术统一起来的高层软件技术,因此在统一的过程中,首先要解决的就是地址的统一问题。
TCP/IP对物理地址的统一是通过上层软件完成,确切地说,是在网际层中完成的。IP协议提供一种在互联网络中通用的地址格式,并在统一管理下进行地址分配,保证一个地址对应网络中的一台主机,这样物理地址的差异被网际层所屏蔽。网际层所用到的地址就是我们经常所说的IP地址。
IP地址是一种层次型地址,携带关于对象位置的信息。它所要处理的对象比广域网要庞杂得多,无结构的地址是不能担此重任的。国际互联网络(Internet)在概念上分三个层次。
IP地址正是对上述结构的反映,Internet是由许多网络组成,每一网络中有许多主机,因此必须分别为网络主机加以标识,对示区别。这种地址模式明显地携带位置信息,给出一主机的IP地址,就可以知道它位于哪个网络。
IP地址的长度为32位。为了便于阅读,IP地址被分成四个8位二进制组,由句点分隔四个八位二进制组,每个八位组用十进制数0-255表示,这种格式称为点分十进制(dotted decimal notation)。例如某台主机的IP地址OxA66F5010(十六进制),用点分十进制表示为166.111.80.16。
IP地址由两部分构成,一部分是网络标识(netid),另一部分是主机标识(hostid),网络标识中的某些信息还代表网络的种类。Internet的网络地址分为五类,A、B、C、D和E,目前常用的为前三类。每类网络中IP地址的结构即网络标识长度和标识长度都有所不同。
A类地址:网络标识仅占用第一个8位组,包含的网络是从1.0.0.0到126.0.0.0,共有126个A类地址(000和127保留),而每个网络中允许有160万个节点。用于少量的,主机数介于216-224大型网络。
B类地址:网络标识占用前两个8位组,包含的网络是从128.0.0.0到191.255.0.0,共有16384个 B类网络,每个网络最多可以包含65534台主机,用于主机数介于28-216之间的中型网络。
C类地址:网络标识占用前三个8位组,包含的网络是从192.0.0.0到223.255.255.0总共近210万个C类网络,每个网络最多可以包含254台主机。用于主机数少于254的大量的小型网络。
D类地址:第一个8位组224-239。用于多目的地址。多目的地址(multicast address)就是多点传送地址,用于支持多目的传输技术。
E类地址:第一个8位组为240-247。InterNIC保留E类地址作为扩展。
(二)
子网掩码(Subnet mask)
从IP地址的结构中可知,IP地址由网络地址和主机地址两部分组成。这样IP地址
中具有相同网络地址的主要应该位于同一网络内,同样同一网络内的所有主机的IP地址中网络地址部分应该相同。不论是在A、B或C类网络中,具有相同网络地址的所有主机构成了一个网络。
通常一个网络本身并不只是一个大的局域网、它可能是由许多小的局域网组成。因此,为了维持原有局域网的划分便于网络的管理,允许将A、B或 C类网络进一步划分成若干个相对独立的子网。A、B或C类网络通过IP地址中的网络地址部分来区分。在划分子网时,将网络地址部分进行扩展,占用主机地址的部分数据位。在子网中,为识别其网络地址与主机地址,引出一个新的概念:子网掩码(subnet mask)或网络屏蔽字(netmask)。
子网掩码的长度也是32位,其表示方法与IP地址的表示方法一致。其特点是,它的32位二进制可以分为两部分,第一部分全部为“1”,而第二部分则全部为“0”。子网掩码的作用在于,利用它来区分IP地址中的网络地址与主机地址。其操作过程为,将32位的IP地址与子网掩码进行二进制的逻辑与操作,得到的便是网络地址。便如,IP地址为166.111.80.16子网掩码为255.255.128.0,则该IP地址所属的网络地址为166.111.0.0,而166.111.129.32子网掩码为255.255.128.0,则该IP地址所属的网络地址为166.111.128.0原本为一个B类网络的两中主机被划分为两个子网。A、B以及C类网络的定义中可知,它们具有缺省的子网掩码。A类地址的子网掩码为255.0.0.0,B类地址的子网掩码为255.255.0.0,而C类地址的子网掩码为255.255.255.0。
这样,我们便可以利用子网掩码来进行子网的划分。例如,某单位拥有一个B类网络地址166.111.0.0,其缺省的子网掩码为255.255.0.0。如果需要将其划分成为256个子网,则应该将子网掩码设置为255.255.255.0。于是,就产生了从166.111.0.0到166.111.255.0总共256个子网地址,而每个子网最多只能包含254台主机。此时,便可以为每个部门分配一个子网地址。
由于在IP地址的A、B、C类地址定义中,强行限制了网络的规模,因引,通过提供子网掩码机制,来增加一定的灵活性。通过子网划发将一个大的网络划分成为若干小的网段,除了能够提供管理上的便利之外,还可以降低网络上不必要的通信流量。例如,如果将一个B类网络中的所有主机组成一个大型的局域网,由于局域网大多是广播式的,网络中任何一个主机都可以接收到网络内部所有的通信数据。一方面,安全性非常差;另一方面,网络上的通信流量很容易达到饱和,这是因为多数的局域网都是共享传输介质的,即某一时刻网络上只能有一个主要发送。此外,对网络进行子网的划分还有助于保持网络原有的拓扑结构。
子网掩码通常是用来进行子网的划分,它还有另外一个用途,即进行网络的合并,这一点对于新申请IP地址的单位很有用处。由于IP地址资源的匮乏,如今A、B类地址已分配完,即使具有较大的网络规模,所能够申请到的也只是若干个 C类地址(通常会是连续的)。当用户需要将这几个连续的C类地址合并为一个的网络时,就需要用到子网掩码。例如,某单位申请到连续4个C类网络合并成为一个网络,可以将子网掩码设置为255.255.252.0。
使用4位子网标识的B类地址的子网掩码是:255.255.240.0,使用8位网标识的B类地址的子网掩码是:255.255.255.0,无子网的C类地址的子网掩码也是:255.255.255.0。
使用子网掩码时应注意以下几点。
1.
1.子网掩码一定要填写正确,否则计算机不能正常工作;
2.
2.有些软件,问的是子网比特位数(Subnet Bits),它对应的子网掩码换算关系如下:
如表1-1
子网比特位数与其对应的子网掩码换算关系(C类)
|
子网比特位数 |
子网掩码 |
子网数 |
主机数 |
|
0 1 2 3 4 5 6 7 8 |
255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252 255.255.255.254 255.255.255.255 |
1 2 4 8 16 32 64 128 256 |
254 126 62 30 14 6 2 0 0 |
(三)IP地址的申请组织及获取方法
IP地址必须由国际组织统一分配。IP组织分A、B、C、D、E五类,A类为最高级IP地址。
·分配最高级IP地址的国际组织———NIC
Network
Information Center国际网络信息中心负责:分配A类IP地址、授权分配B类IP地址的组织——自治区系统、有权重新刷新IP地址。
·分配B类IP地址的国际组织InterNIC、APNIC和ENIC
目前全世界有三个自治区系统组织:ENIC负责欧洲地区的分配工作,InterNIC负责北美地区,APNIC负责亚太地区,设在日本东京大学。我国属APNI,被分配B类地址。
·分配C类地址:由各国和地区的网管中心负责分配。
三、域名系统(Domain Name System DNS)
IP地址是一种数字型网络标识和主机标识。数字型标识对计算机网络系统来说是最有
效的。但对使用网络的人有些抽象。不便记忆,这种数字型表示法有点像一个人的身份证号码而不是名字,而日常生活中我们更习惯于使用名字,因名字更容易使用和记忆。由于这种原因,网络设计人员设计了Internet的域名系统(DNS)。域名系统让Internet的用户用域名www.smmu
edu.cn,而不是用IP地址202.121.224.5来表示主机。
DNS是一种采用客户机/服务器形式的运行机制,服务器包含了与DNS数据库分配有关
的信息。客户机通过向服务器发出请求获得目的地的IP地址。
DNS数据库的结构同一棵倒过来的树类似,它的根位于结构的最顶部。紧接在根的下面是一些主域,每个域都进一步划分为不同的子域。表2-2为大家总结了由InterNIC分配的一些主域名前缀。并对每种前缀适宜的单位类型进行了说明。
表2-2
域名前缀
|
前缀 |
单位类型 |
|
.com .edu .gov .mil .net .org .int |
商业机构 教育机构 政府部门 军事部门 网络服务商 非盈利性组织 国际组织 |
大家应注意到表中列出的都是一些最早定义的、最常见的顶级域名。除了以单位类别划分的域名外,顶级域名亦可根据双字母的国家代码名定义。这种双字母国家代码是由国际标准化组织(ISO)3166号标准文件规定的。例如,.au代表顶级澳大利亚域名,而.cn则代表顶级的中国大陆域名。
通过观察图1-11,我们注意到每个节点都代表数据库的一个部分,而那些可一个接一个进行嵌套的域从本质上说是不限制数量的。与文件系统的目录结构相似,每个域都可以相对或绝对于它在域内的位置表示。如相对自己的父域表示一个域,则需要使用相对地址。而在另一方面,如果用一系列标记标识一个域相对于数据库根部的位置,则要用到绝对地址。为简化域名的使用,每家单位都要向InterNIC注册自己的名称。经注册以后,就已获得一个包含了单位名称以及自己所在域的完整域名。例如,仍以International Pretzel的完整注册域名便是ipretzel.com。一家单位拥有自己的注册域名后,就可以为这个名字加上合适的前缀标识特定的主要或者一台主机内驻留的应用程序服务,例如,www.ipretzel.com和ftp.ipretzel.com代表这家公司运行的万维网(www)服务器和文件传输协议(FTP)服务器。当然,它们也有可能代表一台通用服务器内驻留的两种服务。
在一个应用程序里输入了目的地地址后,就需要进行一种翻译过程,将那个名字转换为由32个二进制位构成IP地址。为完成这种翻译过程,每个 TCP/IP网络都应有一台服务器,它能地本网络内的主机名进行跟踪与维护。如一名网络用户输入的是一个英文名称,而不是十进制的IP地址,那么应用程序的名称解析器(扮演了一个客户机的角色)就会向网络获取,并已保存在高速缓存里,服务器就会返回与那个名称对应的IP地址。如指定的名称既不在名称服务器内也未在高速率存内保存,则服务器会向位于另一个网络的“更高级”DNS服务器发出一个名称解析请求。事实上,在图1-11里,每台DNS服务器有指向位于那棵倒立树结构上一级的另一台服务器。这种请求转发机制则可能重复多次,并可能在全球范围内传送,直到最后终于找到并返回与用户指定英文名称对应的IP地址。
采用了DNS分级式数据库结构以后,一个主要的优点就是可以支持近似重复的名称。例如,International Pretzel大学可将自己的WWW服务器设为www.ipretzel.edu;它实际并未与前面提到的同名商业公司重名。
IP定址和寻址机制允许数据包在网络之间传递,这一切都依赖于由32个二进制位构成的地址。通常用四个十进制数字表示这32个位,每个数字最多占据8位,最大为255。由于大多数人都喜欢使用英语形式的地址,所以因特网工程任务组(IETF)又设计了一种域名系统,用它作为将英语助记符或名称翻译成IP地址。
二、Internet网络安全
(一)
网络安全的一般概念
随着网络的发展,网络安全问题已成为网络管理员和用户关心的头等大事,也是决定
Internet命运的重要因素。最近有许多骇人听闻的消息,如:两名少年闯入美国五角大楼
信息系统,美国纽约时报信息系统遭到黑客攻击等,实际上已经出现不少个体网络由于自身安全受到威胁,而不得不被迫暂时退出Internet的事件。
然而从根本意义上进,绝对安全的计算机是根本不存在的,绝对安全的网络也是不可能的。只有存放在一个人无知晓的密室里,而又不插电的计算机才可以称之为安全。计算机只要投入使用,就或多或少存在着安全问题,只是程度不同而已。因此,在探讨网络安全的时候,实际上指的是一定程度的网络安全。而到底需要多大的安全性,却要完全依据实际需要及自身能力而定。网络安全性越高,同时也意味着网络运行使用不方便。网络的安全性与网络的使用便利性是一对矛盾的概念。
目前威胁网络安全的主要有“黑客”的攻击和带有极强破坏性的病毒的传播等,所谓“胃客”是英文Hacker的译音,是指在Internet上有一批熟悉网络技术的人,(其中不乏网络天才),经常利用网络上现存的一些漏洞,设法进入他人的计算机系统,有些人只是为了好奇,而有些人是存在不良动机侵入他人系统,他们偷窥机密信息,或将其计算机系统捣毁,这部分人就被称其为“黑客”。黑客是目前影响网络安全的最重要威胁。
(二)
网络安全防范的主要技术
与网络安全防范的有关技术主要有:
·防火墙技术
网络安全一个使用广泛的技术就是防火墙技术(Firewall),即在Internet和内部网
络(Internal network)之间设一个防火墙。目前在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。
防火墙实际上是一个或一组系统。防火墙的主要功能是就是防止外部网络未授权访问。如果某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(seurity policy),即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合拒之门外,以在一定程度上保证网络的安全。
·加密技术
网络安全的另一个非常重要手段就是加密技术(cryptography)。它的思想核心就是,既然网络本身并不安全可靠,那么所有重要信息全部通过加密处理。
1)
单匙技术
即无论加密还是解密都是用同一把钥匙(secret key),这是比较传统的一种加密方法。
发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。这种方法快捷简便,即使传输信息的网络不安全,被别人截走信息,加密后的信息也不易泄露。
2)
双匙技术
即有两个相关互补的钥匙,一个称为公用钥匙(public key),另一个称为私人钥匙
(secret key)。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者,没有人(包括发信者)能够将其解密。
(三)
网络安全管理
妥善的系统管理可将网络的不安全性降至最低。目前发现的大多问题,都归因于一些
编程漏洞及管理不善,如果每个网络及系统管理员都能注意到以下几点,即可在现有条件下,将网络安全风险降至最低;
·口令管理
口令的有效管理是非常基本的,也是非常重要的。
① ①首先绝对杜绝不设口令的帐号存在。
② ②缩短口令更换周期,使用户经常更换口令。
③ ③采用新版本口令管理软件。新的口令管理软件在用户设定一些容易被猜中的口令时
,会自动拒绝接受,并提示用户重新选择口令。例如用户不能使用自己的名字、生日日期等做口令,也不有选用英语单词做口令,等等。
·用户帐号管理
在为用户建立帐号时,应注意保证每个用户的标识码是唯一的,应避免使用公用帐号,对于过期帐号要及时封闭,用户也不能随意将自己的帐号外借他人。
·谨慎从网络上下载软件
当你从任何地方获得可执行软件时(EXE或COM)应特别谨慎,小心其攻击性极强的计算机病毒。
网络安全解决方案
物理安全
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
环境安全
对系统所在网络环境合理选择的安全保护,如防水灾、火灾、地震等自然灾害。
设备安全
加强设备的安全保护,防止发生设备被盗、被毁。
媒介安全
加强场地基础设施的建设,防止信息通过辐射、线路截获而造成泄露。
系统安全
操作系统安全
目前大多数操作系统都存在一些安全漏洞、后门,而这些因素往往又是被入侵者攻击所利用。因此,对操作系统必须进行安全配置、打上最新的补丁,还要利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安全漏洞,分析系统的安全性,提出补救措施。管理人员应用时必须加强身份认证机制及认证强度。
应用系统安全
应用系统一般都是针对某些应用而开发的,但由于它的通用性,其所提供的服务并非都是每个具体用户所必需的,因此,对应用系统的安全性,也应该进行安全配置,尽量做到只开放必须使用的服务,而关闭不经常用的协议及协议端口号。还有就是对应用系统的使用要加强用户登录身份认证。确保用户使用的合法性,严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。并充分利用应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
网络安全
网络结构安全
网络结构布局的合理与否,也影响着网络的安全性。对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统。
加强访问控制
1)如果银行系统有上Internet公网的需求,则从安全性考滤,银行业务系统网络必须与Internet公网物理隔离。解决方法可以是两个网络之间完全断开或者通过物理安全隔离卡来实现。
2)网结构合理分布后,在内部局网内可以通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制。
3)内部局域网与外单位网络、内部局域网与不信任域网络之间可以通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制。
4)根据企业具体应用,也可以配备应用层的访问控制软件系统,针对局域网具体的应用进行更细致的访问控制。
5)对于远程拔号访问用户的安全性访问,可以利用防火墙的一次性口令认证机制,对远程拔号用户进行身份认证,实远程用户的安全访问。
安全检测
由于防火墙等安全控制系统都属于静态防护安全体系,但对于一些允许通过防火墙的访问而导致的攻击行为、内部网的攻击行业,防火墙是无能为力的。因此,还必须配备入侵检测系统,该系统可以安装在局域网络的共享网络设备上,它的功能是实时分析进出网络数据流,对网络违规事件跟踪、实时报警、阻断连接并做日志。它既可以对付内部人员的攻击,也可以对付来自外部网络的攻击行为。
网络安全评估
黑客攻击成功的案例中,大多数都是利用网络或系统存在的安全漏洞,实现攻击的。网络安全性扫描分析系统通过实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,根据扫描结果配置或修改网络系统,达到增强网络安全性的目的。操作系统安全扫描系统是从操作系统的角度,以管理员的身份对独立的系统主机的安全性进行评估分析,找出用户系统配置、用户配置的安全弱点,建议补救措施。
应用安全
安全认证
银行系统在解决网络安全问题肯定要配备加密系统,由于要加密就涉及到密钥,则密钥的产生、颁发与管理就存在安全性。我们都知道密钥的发放一般都是通过发放证书来实现。那么,证书的发送方与接收方如何确认对方证书的真实性,因此,就引入了通过第三方来发放证书,即构建一个权威认证机构(CA认证中心)。银行系统可以联合各专业银行一同构建一个银行系统的CA系统。实现本系统内证书的发交与业务的安全交易。随着网络经济的发展,慢慢可以升级为和其它系统CA的交叉认证。
病毒防护
提起病毒的危害,我想很多人都会为之震惊。CIH、爱虫等真让IT界恐慌一时,病毒侵害小的引起死机影响工作、大的可能引起系统瘫痪(彻底摧毁数据)。病毒的防护必须通过防病毒系统来实现,银行系统中业务网络操作系统一般都采用UNIX操作系统,而办公网络都为Windows系统,因此,防范病毒的入侵,就应该根据具体的系统类型,配置相应的、最新的防病毒系统。从单机到网络实现全网的病毒安全防护体系,病毒无论从外部网络还是从内部网络中的某台主机进入网络系统,通过防病毒软件的实时检测功能,将会把病毒扼杀在发起处,防止病毒的扩散。
信息安全
加密传输
要保护数据在传输过程中不被泄露,保证用户数据的机密性,必须对数据进行加密。加密后,数据在传输过程中便是以密文传输,既使被入侵者截获,由于是密文形式,也读不懂;即使加密后的数据存在被破译的可能性,但现行密码算法的密钥都在64位以上,解密工作并不容易,需要花费相当的资金、时间。等到破译,也许这种信息已经没有什么价值了。数据加密的方法有从链路层加密、网络层加密及应用层加密。链路层加密机主要根据企业采用链路协议(Frame Relay、X。25、DDN、PSTN),采用相应类型的加密机;网络层加密由于是在网层上,因此它对链路层是透明的,与链路是何种协议无关;应用层加密主要适用于具有的加密需求,针对具体的应用进行开发。不同企业可以根据自身网络特点及应用需求选择合适的加密方法。对于银行系统,由于系统庞大,采用电信网络链路协议有Frame Relay、X.25、DDN、PSTN等多种链路,如果采用链路加密,采必须采用多种类型的加密机,这样对一个系统来说,就会给产品维护、升级等带来一定的困难;对于应用层加密,在网上银行应用比较广泛,网上银行针对公网用户,其数据在公网上传输不可能使用链路层或网络层加密设备,只能通过应用层加密来实现,应用层加密可以采用SET协议或者SSL协议,通过B/S 结构完成网上交易的加密及解密。因此,对银行普通业务系统,我们建议采用网络层加密设备,来保护数据在网络上传输的安全性。而对网上银行、网上交易等业务系统可以采用应用层加密机制来加密,以保护数据在网上传输的机密性。
信息鉴别
保护数据的完整性、真实性、可靠性也是网络系统安全防护的一个重要方面。数据在传输过程中存在着被非法窃取、篡改的安全威胁,为此,为了保证数据的完整性,就必须采用信息鉴别技术。VPN设备便能实现这样的功能,其实现过程:原始数据包到达VPN设备时首先对数据进行加密并用HASH函数对数据进行HASH运算产生信息摘要与加密后的数据一同发出去,数据包到达目的方的VPN加密设备后,先对加密的密钥对对数据包进行解密,然后用HASH函数对解密后的数据进行HASH运算,也产生信息摘要,把这个信息摘要与收到的信息摘要进行对比,由于进行HASH运算后产生的信息摘要可以被认为具有唯一性,所以,如果这两个信息摘要完全相同,则说明解密的数据是完整的原始数据,否则说明数据在传输过程中已经被修改过,失去的完整性。
数据源身份认证也是信息鉴别的一种手段,它可以确认信息的来源的可靠性。数据源身份认证的实现是通过数字签名技术。数字签名基本原理是发送方利用自已的私钥对信息进行加密(签名)后发送给对方,对方收到信息后用发送方的公钥进行解密,如果通顺利解成明文这说明信息来源是可信的,否则证明信息来源是不可靠的。同时采用数字签名技术达到防抵赖目的。
对于银行系统,由于其行业的特殊性,在网上传输信息都是重要信息。因此,结合传输加密技术,我们可以选择VPN设备,实现保护数据的机密性、完整性、真实性、可靠性。
信息存储
对银行系统主要是数据库的安全,由于各地银行系统都是采用客户/服务器模式,数据都集中存在一个大型数据库系统中,因此数据库的安全尤其重要。保护数据库最安全、最有效的方法就是采用备份与恢复系统。备份系统可以保存相当完整的数据库信息,在运行数据库主机发生意外事故时,通过恢复系统把备份的数据库系统在最短时间内恢复正常工作状态,保证银行业务系统提供服务的及时性、连续性。
应用开发
银行系统由于职能的特殊性,可能会存在其特殊的应用,而要保护其应用的安全性,并不是市场上的那些通用产品都能满足,必须通过详细了解,分析,进行有针对性地开发,量体裁衣,才能切实让用户用得放心。
管理安全
我们知道网络安全实现并不完全取决于技术手段,管理安全是网络安全真正得以维系的重要保证。管理安全银行系统安全制度的制定、国家法律、法规的宣传以及提高企业人员的整体网络安全意识。
安全服务
网络安全是动态的、整体的,并不是简单的安全产品集成就解决问题。随着时间推移,新的安全风险又将随着产生。因此,一个完整的安全解决方案还必须包括长期的、与项目相关的信息安全服务。安全服务包括:全方位的安全咨询、培训;静态的网络安全风险评估;特别事件应急响应。
安全目标
保护网络系统的可有性
保护网络资源的合法使用性
防范入侵者的恶意攻击与破坏
保护信息通过网上传输的机密性、完整性及不可抵赖性
防范病毒的侵害
实现网络的安全管理
第五章 典型应用实例
我们举一个比较典型的银行网络应用系统。如下图示:整个网络纵向覆盖全国各省市、区县;而横向也与许多单位连接。我们针对这样的网络来举例说明如何解决其网络安全问题。
访问控制
银行有连接Internet公网的应用需求,出于安全,把银行系统中业务网及内部有涉密信息的办公网与有上Internet公网需求的子网完全物理隔离。使它们是两组完全互相独立的网络,防止因上公网而造成的安全问题危及到需保护的网络。
对内部办公系统中不同部门或不同安全级别的用户组利用交换机划分虚拟子网技术划分不同子网,对局域网内部做到较简单的访问控制。
在各级银行内部网主交换机与本系统纵向网互连的边界路器之间安装防火墙系统,防火墙可以做到隔离不同网络,并防范外部网络非法访问及恶意攻击。
对远程拔号访问内部网用户可以充分利用防火墙系统的一次性口令认证机制来对访问用进行安全的身份检查,只有通过认证才可进行访问,而且由于采用一次性口令机制,所以,这样防护措施安全强度相当高。
在各级银行内部网主交换机与电话局、水电局、证券、保险等外单互连的边界路器之间安装防火墙系统,防火墙做到隔离不同网络,并防范外部网络非法访问及恶意攻击。
信息传输
为了保护数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,由于网络层加密设备可以实现网关到网关的加密与解密,因此,在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。
而针对银行系统网上银行、网上交易业务,可以在应用层采用SET或SSL协议进行应用层加密,并通过数字签名等技术保证网上交易数据的机密性、完整性及不可抵赖性。
安全检测
防火墙的安全保护是属于静态安全防护,其功能及作用范围也是有限的,不可能做到全面的防护。入侵检测技术是防火墙的有利补充。因此,在总行、各省市、区县行中存放有业务数据库或者是存放有涉密信息的网络,配备一套入侵检测系统,通过实时监测进出网络的数据流,一旦发现不安全的访问行为,并依据策略采取相应的处理手段(阻断、报警等)。做到既防范外网的攻击,又能防范内部网发起的攻击。
安全评估
为了减少因系统存在的安全漏洞而造成的受黑客的攻击,利用现有的网络安全分析系统,分析网络系统结构、配置等是否存在安全漏洞,并根据所得结果采取相应的解决办法。同时利用操作系统安全扫描系统,以管理员的身份对使用的各种操作系统进行安全性扫描,依据结果,增加安全补丁及填补安全漏洞。
病毒防护
银行系统中业务网操作系统都是UNIX操作系统,而办公网都是用的WINDOWS操作系统。为了防止病毒的侵害,根据不同的操作系统类型,配备相应的防病毒系统,比如支持UNIX操作系统的防病毒软件、支持WINDOWS
NT或WINDOWS 95/98的防病毒软件。通过这些软件所具有的实时检测功能,达到防范病毒侵害的目的。
备份恢复
银行业务系统都采用Client/Server模式,数据库中都存放着许多网点的业务数据,为了保证银行业务的连续性和安全性,为各级有数据库的网络系统配备一套备份与灾难恢复系统,该系统能实现数据库的远程存储备份,而且一旦数据库服务器发生故障,利用灾难恢复系统可以实现快速恢复。
认证中心
根据网络的系统结构,构建一个与整个网络的系统结构相对应的安全认证中心(CA系统)。由根CA中心、区域CA中心、RA三级结点构成的层次结构。
根CA中心建立在国家信息中心,区域CA中心建立在省、市节点,而RA系统则建立在地市、区县节点,面向大众服务。
在该CA体系中,RA中心作用只是接受持卡人的证书申请并进行资格审核,将审核通过的证书申请信息发送给CA,由于国家中心CA签发证书。但根据具体情况的需要,各级用户可以采用向其相应所在区域CA中心申请获得证书,但证书的生成及发放必须由国家中心CA来处理。通过CA签发的数字证书,使通过网络进行交易的各方都有合法的身份,在交易的各个环节,交易的各方都可验证对方数字证书的有效性,从而解决相互信任问题。同时保证各种交易中信息的保密性、数据的完整性、交易的不可否认性等。
安全管理
安全管理必须结合企业自身的特点及需求来详细制定,本实例仅列出部分安全管理内容,仅供参考。
访问控制使用证件的发放与回收;
信息处理系统使用的媒介发放与回收;
处理保密信息;
硬件和软件的维护;
系统软件的设计、实现和修改;
重要程序和数据的删除和销毁等;
职务的任期期限
职责分离
建立安全管理机构
制定安全管理制度
安全事件处罚
安全培训中心
远程管理路由器,注意“安全”
让管理账号更复杂
要想对营销点的宽带路由器进行管理,首先必须拥有路由器的管理员账号。但默认情况下,路由器的初始账号和密码都比较简单,特别是启用了路由器的远程控制功能后,公网中的其他用户就有机会访问到路由器。如果不对路由器的初始账号进行修改,使它变得更为复杂,让不怀好意者难以猜测和破解,那么路由器就可能被他人利用。
为了堵住这一漏洞,必须让路由器的管理账号和密码更复杂。下面小胖以营销点的无线路由器“TL-WR541G”为例,介绍如何增强路由器远程管理的安全,此方法同样对有线路由器有效。
在营销点局域网内的客户机上运行IE浏览器,在地址栏中输入“http://192.168.1.1/”后并回车(“192.168.1.1”为宽带路由器的默认地址),然后输入路由器管理员账号和密码,登录宽带路由器管理界面。
依次展开“系统工具→修改登录口令”,进入“修改登录口令”管理页面,即可对账号进行修改。
提示:新的管理员账号和密码一定要足够复杂才行,以免被攻击者轻易破解。
安全启用远程控制
小胖已经为宽带路由器设置了复杂的访问账号,但这只是为远程安全管理路由器打下了好的基础。然而,很多路由器默认是没有启用“远程控制”功能的,因此还要手工启用,而且在启用过程中还有很多增强安全的技巧和方法。
在宽带路由器管理界面中,依次点击“安全设置→远端Web管理”,进入“远端Web管理”设置界面。接下来小胖就可启用远程控制功能。
默认情况下,路由器使用“80”端口来提供远程管理功能,但这非常不安全,容易被“不坏好意”者猜到。因此,可修改端口号,使用一个不常用的端口来提供远程管理功能,在“Web管理端口”栏中修改远程管理使用的端口号(如“1648”)。现在,攻击者就很难猜到端口号了。
接下来,在“远端Web管理IP地址”栏中,输入可对路由器进行远程控制的公网计算机的IP地址。
最明智的办法是允许某个使用特定IP地址的机器远程登录路由器,小胖将该参数设置为他在总部使用的IP地址(如“202.102.201.99”)。现在只有他能在公司总部的机器上远程登录路由器,而其他公网机器则不行。
开启防火墙
通过以上设置,路由器远程管理的安全性大大增强了,但面对网络中无时无刻都在涌现的病毒和黑客攻击,小胖还是有点不放心,他打算利用路由器内置的“防火墙”为路由器的远程控制安全加上“双保险”。
在宽带路由器管理界面中,依次点击“安全设置→防火墙设置”,在右侧的设置框中选中“开启防火墙”选项,点击“保存”按钮后启用路由器的防火墙功能。
接着点击“高级安全设置”,进入“高级安全设置”页面(见图)。这里提供了一些更具体的安全防御功能,如防御DoS攻击、ICMP-FLOOD攻击过滤和TCP-SYN-FLOOD攻击过滤等。小胖要做的就是启用这些功能,进一步增强路由器的防御能力。
网络的日常维护和常见故障排除
在网络正常运行的情况下,对网络基础设施的管理主要包括:确保网络传输的正常;掌握网吧主干设备的配置及配置参数变更情况,备份各个设备的配置文件,这里的设备主要是指交换机和宽带路由。负责网络布线配线架的管理,确保配线的合理有序;掌握内部网络连接情况,以便发现问题迅速定位;掌握与外部网络的连接配置,监督网络通信情况,发现问题后与有关机构及时联系;时实监控整个网吧内部网络的运转和通信流量情况。
维护网络运行环境的核心任务之一是网吧操作系统的管理。这里指的是服务器的操作系统。为确保服务器操作系统工作正常,应该能够利用操作系统提供的和从网上下载的管理软件,时实监控系统的运转情况,优化系统性能,及时发现故障征兆并进行处理。必要的话,要对关键的服务器操作系统建立热备份,以免发生致命故障使网络陷入瘫痪状态。
网络应用系统的管理主要是针对为网吧提供服务的功能服务器的管理。这些服务器主要包括:代理服务器、游戏服务器、文件服务器。要熟悉服务器的硬件和软件配置,并对软件配置进行备份。要对游戏软件、音频和视频文件进行时常的更新,以满足用户的要求。
网络安全管理应该说是网络管理中难度比较高,而且很令管理员头疼的。因为用户可能会访问各类网站,并且安全意识比较淡薄,所以感染到病毒是再所难免的。一旦有一台机器感染,那么就会起连锁反应,致使整个网络陷入瘫痪。所以,一定要防患于未然,为服务器设置好防火墙,对系统进行安全漏洞扫描,安装杀毒软件,并且要使病毒库是最新的,还要定期的进行病毒扫描。
计算机系统中最重要的应当是数据,数据一旦丢失,那损失将会是巨大的。所以,网吧的文件资料存储备份管理就是要避免这样的事情发生。网吧的记费数据和重要的网络配置文件都需要进行备份,这就需要在服务器的存储系统中做镜像,来对数据加以保护进行容灾处理。
对于常见故障,例如,机器的死机和重新启动,无非是CPU温度过高;机器有病毒;操作系统有问题或是电源的问题。这些故障都是比较明显,并且好判断好解决的。然而,很多故障都是隐蔽的。这个故障就是如此,我们来一起看一看它的分析过程。网管员接到通知说,网吧里有台机器,上网奇慢,并且时断时续,有的时候还打不开网页。他接到通知便马上来处理。他先ping网吧的文件服务器,发现返回的时间很慢,一般达到几百毫秒,有时候甚至出现超时,看来这是一个典型的网络干扰问题。他检查了网络配置和网卡,发现都没有问题。那问题一定出在网线或网络接口上。不过网线是早上新做的应该没问题的,于是,便测了一下交换机接口,没有发现丢包之类的异常现象,看来应该是网线的问题了,用仪器测试结果也表明了是网线的问题。他疑惑了,水晶头和线都是新的,怎么会这样呢,他检查了以下水晶头,发现水晶头上的铜片有氧化发黑的现象,看来故障应该就出现在这里。用小刀清除掉氧化层后,将双绞线重新接到交换机上,故障已经解决了。不过新的水晶头怎么会被氧化呢。后来发现放这批水晶头的阁子下面有一个电饭包,噢,原来是做饭的蒸汽使水晶头的铜片氧化了。这件事也给我们提了个醒,不能忽视环境对网络设备和器件的影响。
网吧网速变慢的故障分析。在众多的网络故障中,最另人头疼的是网络是通的,但网速很慢。遇到这种问题,往往会让人束手无策,以下是引起此故障常见的原因及排除方法。
网线问题。双绞线是由四对线严格而合理地紧密绕和在一起的,以减少背景噪音的影响。而不按正确标准制作的网线,存在很大的隐患,有的开始一段时间使用正常,但过一段时间后性能下降网速变慢。
回路问题。一般当网络规模较小,涉及的节点数不多结构不复杂时,这种情况很少发生。但在一些比较复杂的网络中,容易构成回路,数据包会不断发送和校验数据,从而影响整体网速,并且查找比较困难。为避免这种情况的发生,要求布线时一定要养成良好的习惯。
广播风暴。作为发现未知设备的主要手段,广播在网络中有着非常重要的作用。然而,随着网络中计算机数量的增多,广播包的数量会急剧增加。当广播包的数量达到30%时,网络传输效率会明显下降。当网卡或网络设备损坏后,会不停的发送广播包,从而导致广播风暴,使网络通信陷于瘫痪。
端口瓶颈。实际上路由器的广域网端口和局域网端口,服务器网卡都可能成为网络瓶颈。网络管理员可以在网络使用高峰时段,利用网管软件查看路由器、交换机、服务器端口的数据流量,来确定网络瓶颈的位置,并设法增加其带宽。
蠕虫病毒。蠕虫病毒对网络速率的影响越来越严重。这种病毒导致被感染的用户只要一连上网就不停的往外发邮件,病毒选择用户电脑中的随机文档附加在用户通讯簿的随机地址上进行邮件发送。垃圾邮件排着队往外发送,有的被成批的退回堆在服务器上。造成个别骨干互联网出现明显拥塞,局域网近于瘫痪。因此,网吧管理员要时常注意各种新病毒通告,了解各种病毒特征;及时升级所用的杀毒软件,安装系统补丁程序;同时卸载不必要的服务,关闭不必要的端口,以提高系统的安全性和可靠性。
网吧的网络管理和软硬件故障分析都需要扎实的网络技术知识积累和丰富的故障排除经验,所以需要网吧管理员不断的学习来充实自己,以应对可能出现的种种问题。
交换机故障的10种类型判断总结
电路板损坏:电路板上的元器件受损或基板不良,造成电路板不能正常工作。
硬件工注不合适:硬件工注是为减少电路板的种类,而在电路板上设置的一组或几组开关,用以定义该电路板的工作状态或在系统中所处位置,如硬件工注设置得不正确,必会导致该电路板工作不正常。
电路板块类型不合适:硬件更新后,同一名称的电路板块可能有多种不同的型号。在一般情况下,新型号电路板的功能会兼容旧型号电路板的功能。但旧型号的电路板的功能,就不一定能兼容新型号电路板的功能了。
机架、模块的问题:机架、模块用于承载电路板。按其在系统中的位置被分为处理机系统的机架、模块,交换系统的机架、模块和维护管理系统的机架、模块等。这些机架、模块也会出故障。
设备供电的问题:整流器提供的-48V直流电被分配到每一个机架及相关的设备上,机架内的电源分配系统负责向模块供电,而每一模块上的电源电路板,都能根据模块内各电路板所需的电压进行调整,然后配送到每一块电路板上。但在这一过程中,任意环节出现问题,都有可能造成供电的故障。
连接电缆和配线架跳线的问题:连接电缆和配线架的跳线是用来连接模块、机架和设备用的。如果这些连接电缆内的缆芯或跳线发生了短路、断路或虚接,就会形成通信系统的故障。
程序BUG:软件程序设计存在着缺陷。
系统数据错误:系统数据,包括软件工注,用于对整个系统进行定义。如系统数据出现错误,也会造成系统全方位的故障,对整个交换局产生影响。
局数据错误:局数据是根据交换局的具体情况而定义的。当局数据出现错误时,也会对整个交换局产生影响。
用户数据错误:用户数据对每一个用户的情况进行定义,如果用户数据被错误设置,会对某个用户产生影响。
XP系统网络不能互访七大解决之道
由WIN XP构成的网络所有设置和由WIN 2000构成的完全一样,但还是出现了根本不能访问的情况,笔者认为这主要是因为XP的安全设置和2000不一样所导致。针对这个问题笔者在网上查了一些资料,并将各种网上提供的常见解决方法做了相应测试,现在整理介绍给大家,希望能对遇到此问题的网友有所帮助,并请高手继续指点。部分内容摘自网络,请原谅不一一注明出处。
首先,这里不考虑物理联接和其它问题,只谈及策略问题。此外,请安装相应的协议并正确的设置IP地址,同时尽量把计算机设置在一个工作组内且具有相同网段的IP地址。
其次,网上对于出现的问题描述较多,这里不再累述。当共享和访问出现问题时请考虑以下的步骤:
1.检查guest账户是否开启
XP默认情况下不开启guest账户,因此些为了其他人能浏览你的计算机,请启用guest账户。同时,为了安全请为guest设置密码或相应的权限。当然,也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。
2.检查是否拒绝Guest用户从网络访问本机
当你开启了guest账户却还是根本不能访问时,请检查设置是否为拒绝guest从网络访问计算机,因为XP默认是不允许guest从网络登录的,所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制,点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略,删除里面的“GUEST”账号。这样其他用户就能够用Guest账号通过网络访问使用Windows XP系统的计算机了。
3.改网络访问模式
XP默认是把从网络登录的所有用户都按来宾账户处理的,因此即使管理员从网络登录也只具有来宾的权限,若遇到不能访问的情况,请尝试更改网络的访问模式。打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。
这样即使不开启guest,你也可以通过输入本地的账户和密码来登录你要访问的计算机,本地的账户和密码为你要访问的计算机内已经的账户和密码。若访问网络时需要账户和密码,可以通过输入你要访问的计算机内已经的账户和密码来登录。
若不对访问模式进行更改,也许你连输入用户名和密码都办不到,//computername/guest为灰色不可用。即使密码为空,在不开启guest的情况下,你也不可能点确定登录。改成经典模式,最低限度可以达到像2000里没有开启guest账户情况时一样,可以输入用户名和密码来登录你要进入的计算机。也许你还会遇到一种特殊的情况,请看接下来的。
4.一个值得注意的问题
我们可能还会遇到另外一个问题,即当用户的口令为空时,即使你做了上述的所有的更改还是不能进行登录,访问还是会被拒绝。这是因为,在系统“安全选项”中有“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows
XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中,找到“使用空白密码的本地账户只允许进行控制台登录”项,停用就可以,否则即使开了guest并改成经典模式还是不能登录。经过以上的更改基本就可以访问了,你可以尝试选择一种适合你的方法。下面在再补充点其它可能会遇到的问题。
5.网络邻居不能看到计算机
可能经常不能在网络邻居中看到你要访问的计算机,除非你知道计算机的名字或者IP地址,通过搜索或者直接输入//computername或//IP。请按下面的操作解决:启动“计算机浏览器”服务。“计算机浏览器服务”在网络上维护一个计算机更新列表,并将此列表提供给指定为浏览器的计算机。如果停止了此服务,则既不更新也不维护该列表。
137/UDP--NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。
138/UDP--NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它用于网络登录和浏览。
139/TCP--NetBIOS会话服务,NetBIOS会话服务是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它用于服务器消息块(SMB)、文件共享和打印。请设置防火墙开启相应的端口。一般只要在防火墙中允许文件夹和打印机共享服务就可以了。
6.关于共享模式
对共享XP默认只给予来宾权限或选择允许用户更改“我的文件”。Windows 2000操作系统中用户在设置文件夹的共享属性时操作非常简便,只需用鼠标右击该文件夹并选择属性,就可以看到共享设置标签。而在Windows XP系统设置文件夹共享时则比较复杂,用户无法通过上述操作看到共享设置标签。具体的修改方法如下:打开“我的电脑”中的“工具”,选择“文件夹属性”,调出“查看”标签,在“高级设置”部分滚动至最底部将“简单文件共享(推荐)”前面的选择取消,另外如果选项栏里还有“Mickey Mouse”项也将其选择取消。这样修改后用户就可以象使用Windows 2000一样对文件夹属性进行方便修改了。
7.关于用网络邻居访问不响应或者反应慢的问题
在WinXP和Win2000中浏览网上邻居时系统默认会延迟30秒,Windows将使用这段时间去搜寻远程计算机是否有指定的计划任务(甚至有可能到Internet中搜寻)。如果搜寻时网络时没有反应便会陷入无限制的等待,那么10多分钟的延迟甚至报错就不足为奇了。下面是具体的解决方法。
A.关掉WinXP的计划任务服务(Task
Scheduler)
可以到“控制面板/管理工具/服务”中打开“Task Scheduler”的属性对话框,单击“停止”按钮停止该项服务,再将启动类型设为“手动”,这样下次启动时便不会自动启动该项服务了。
B.删除注册表中的两个子键
到注册表中找到主键“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace”
删除下面的两个子健:{2227A280-3AEA-1069-A2DE-08002B30309D}和{D6277990-4C6A-11CF-87-00AA0060F5BF}。
其中,第一个子健决定网上邻居是否要搜索网上的打印机(甚至要到Internet中去搜寻),如果网络中没有共享的打印机便可删除此键。第二个子健则决定是否需要查找指定的计划任务,这是网上邻居很慢的罪魁祸首,必须将此子健删除。
总结
不能访问主要是由于XP默认不开启guest,而且即使开了guest,XP默认是不允许guest从网络访问计算机的。还有就是那个值得注意的问题。相信一些不考虑安全的地方或是电脑公司给人做系统密码都是空的,但这样是不允许登录的。只要试过以上的方法,相信是不会再有问题的。
网络管理中的常见问题和解决方法
网络管理是使网络可靠、安全、高效运行的保障。现代网络管理集中了通信技术和信息处理技术发展的各方面成果,它们在网络的不同管理功能中发挥作用,共同实现网络的管理任务。
网络管理有很多技巧和窍门,下面介绍一些网络管理中的常见问题和解决方法,希望能起到抛砖引玉的作用。
★配置交换机
将交换机端口配置为100M全双工,服务器安装一块Intel-l00M网卡,安装之后一切正常,但在大流量数据传输时,速度变得极慢,最后发现原来这款网卡不支持全双工。将交换机端口改为半双工以后,故障消失了。这说明交换机端口与网卡的速率和双工方式必须一致。目前有许多自适应的网卡和交换机,按照原理,应该能够自动适应速率和双工方式,但实际上,由于品牌不一致,往往不能正确实现全双工。这时就需要修改配置,强制设定双工方式才能解决。
★网络与硬盘
做过网管的老师都知道,基于文件访问和打印的网络的瓶颈既不是交换机,也不是网卡,更不是服务器的CPU或内存,整个网络的瓶颈是服务器硬盘的速度。所以配置好你的服务器硬盘对于网络的性能会起到决定性的作用。主要有以下几个因素需要考虑:
1. 硬盘接口有IDE、EIDE、SCSI等,服务器应选用适合并发数据请求的SCSI接口。目前较为流行的SCSI接口有Fast wide(20Mbps数据传输率),Ultra wide(40Mbps),Ultra2 wide(80Mbps)。
2. 硬盘的转速越快,读写数据的速度也越快,服务器应选用7200/10000rpm的硬盘。
3. 硬盘阵列卡能较大幅度地提升硬盘的读写性能和安全性,当然造价也会高一些。
4. 在同一SCSI通道,不要将低速SCSI设备(如CD-ROM)与硬盘共用,否则性能会有较大下降。
★网段与流量
某局域网内有两台文件读写极为频繁的工作站,当服务器只安装一块网卡,形成单独网段时,这个网段上的所有设备反应都很慢。当服务器安装了两块网卡,形成两个网段以后,将这两台文件读写极为频繁的工作站分别接在不同的网段上,网络中所有设备的反应速度都有了显著改善。这是因为增加的网段分担了原来较为集中的数据流量,从而提高了网络的反应速度。
★WAN与接地
不小心将路由器的电源插头插在了市电的插座上,结果64K DDN专线就是无法接通。电信局来人检查线路都很正常,最后检查路由器电源的接地电压,发现不对,换回到UPS的插座上,一切恢复正常。
路由器的电源插头接地端坏掉,造成数据包经常丢失,进行Ping操作时,时通时断,更换电源线后一切正常。WAN的连接因为涉及远程线路,所以对于接地要求较为严格,这样才能保证较强的抗干扰性,达到规定的连接速率,不然会出现奇怪的故障。
关于网络拥挤问题及对应处理办法
网络拥挤现象的基本症状是网络的某一部分或整个网络性能低劣。在高峰期,可能这只是暂现象。在其他情况下,这种现象可能逐渐漫延持续几周或几个月的时间,直到最后使网络性能降低到无法容忍的水平。
引起网络拥挤现象的原因有多种。需要用网络监视器来确定整个网络正在使用的带宽情况、高峰使用次数,以及正在传输的分组类型。协议分析器可以提供更多的有关整个网络中整个网络段的信息量的最大极限和有关在网络中的瓶颈的信息。
出现网络拥挤现象时可以进行以下方面的检查:
1)拥挤是近来才出现的还是一直存在的问题?网络拥挤只能通过更新网络主干来解决(如添加集线器或交换机创建子网等);
2)检查从某个IP地址发送数据包的最大数。发生故障的网卡可能正在“抖动”,而且正在发送许多不必要的数据包;
3)查看一下网络上是否已安装上任何新的应用程序。一个客户机/服务器应用程序可能正产生许多数据包信息;
4)用户数是否已大大增加,网络很可能需要扩大以便处理组织日益增长的需求;
5)网络中有那些传输哪些协议,网络上正在使用的协议有多少,为了使信息量控制到最少,可以删除一些不常用的协议,在不影响通信的情况下,协议越少越好;
6)NETBEUI是否在整个网络上运行,NETBEUI是一个强广播(BROADCAST-INTENSIVE)协议。试着用WINS服务器来减少NETBEUI广播,也可以通过TCP/IP或IPX来取代NETBEUI,并完全消除NETBEUI。
局域网速度变慢的故障分析
在众多的网络故障中,最令人头痛的是网络是通的,但网速变慢。初次面对这类“软”故障时,往往有的人会束手无策,本文为大家介绍引起此类“软”故障常见的原因及排除方法,提高大家对实际问题的处理能力。
★网线问题
我们知道,双绞线是由4对线严格而合理地紧密度绞和在一起,减少串扰和背景噪音的影响。同时,在T568A标准和T568B标准中仅使用了双绞线的1、2和3、6四条线。其中,1、2用于发送,3、6用于接收,而且1、2必须来自一个绕对,3、6必须来自一个绕对。只有这样,才能最大限度的避免串扰,保证数据传输。本人在实践中发现不按正确标准(T586A、T586B)制作的网线,存在很大的隐患。有的开始一段时间使用正常,但过一段时间后,性能下降,网速变慢。因此,我们现在要求一律按T586A、T586B标准来压制网线。
★回路问题
一般当网络较小涉及的节点数不是很多、结构不是很复杂时,这种现象很少发生。但在一些比较复杂的网络中,由于一些原因经常有多余的备用线路,则会构成回路,数据包会不断发送和校验数据,从而影响整体网速,并且查找比较困难。为避免这种情况发生,要求我们在铺设网线时一定要养成良好的习惯,网线打上明显的标签,有备用线路的地方要做好记载。
★广播风暴
作为发现未知设备的主要手段,广播在网络中起着非常重要的作用。然而,随着网络计算机数量的增多,广播包的数量会急剧增加。当广播包的数量达到30%时,网络传输效率将会明显下降。当网卡或网络设备损坏后,会不停地发送广播包,从而导致广播风暴,使网络通信陷于瘫痪。因此,当网络设备硬件有故障时也会引起网速变慢。当怀疑有此类故障时,首先可采用置换法替换集线器或交换机来排除集线设备故障。然后关掉集线器的电源后用ping命令对所涉及计算机逐一测试,找到有故障网卡的计算机,更换新的网卡可恢复网速正常。
★端口瓶颈
实际上路由器的广域网端口和局域网端口、交换机端口、集线器端口和服务器网卡等都有可能成为网络瓶颈。我们可在网络使用高峰时段,利用网管软件查看路由器、交换机、服务器端口的数据流量(用netstat命令也可统计各个端口的数据流量),确认网络数据流通瓶颈的位置,设法增加其带宽。如更换服务器网卡为100M或1000M、安装多个网卡、通过改变路由器上配置来增加带宽等方法都可以有效地缓解网络瓶颈,最大限度地提高数据传输速度。
★蠕虫病毒
蠕虫病毒对网络速度的影响越来越严重。这种病毒导致被感染的用户只要一连上网就不停地往外发邮件,病毒选择用户个人电脑中的随机文档附加在用户机子上的通讯簿的随机地址进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送,有的又成批成批地被退回来堆在服务器上。造成个别骨干互联网出现明显拥塞,个别局域网近于瘫痪。因此,我们应时常注意各种新病毒通告,了解各种病毒特征;及时升级所用杀毒软件。计算机也要及时升级、安装系统补丁程序;同时卸载不必要的服务,关闭不必要的端口,以提高系统的安全性和可靠性。
网管维护局域网技巧大汇总
网管是一个局域网的维护者,但是局域网中故障各种各样是不是很头痛呢?今天我总结了一下局域网中经常用的小技巧,希望对广大网管朋友有帮助!
1、有故障时首先检查网卡
在局域网中,网络不通的现象是常有发生,一旦遇到类似这样的问题时,我们首先应该认真检查各连入网络的机器中,网卡设置是否正常。检查时,我们可以用鼠标依次打开“控制面板/系统/设备管理/网络适配器”设置窗口,在该窗口中检查一下有无中断号及I/O地址冲突(最好将各台机器的中断设为相同,以便于对比),直到网络适配器的属性中出现“该设备运转正常”,并且在“网上邻居”中至少能找到自己,说明网卡的配置没有问题。
2、确认网线和网络设备工作正常
当我们检查网卡没有问题时,此时我们可以通过网上邻居来看看网络中的其他计算机,如果还不能看到网络中的其他机器,这种情况说明可能是由于网络连线中断的问题。网络连线故障通常包括网络线内部断裂、双绞线、RJ-45水晶头接触不良,或者是网络连接设备本身质量有问题,或是连接有问题。这时,我们可以使用测线仪来检测一下线路是否断裂,然后用替代的方法来测试一下网络设备的质量是否有问题。在网线和网卡本身都没有问题的情况下,我们再看一看是不是软件设置方面的原因,例如如果中断号不正确也有可能导致故障出现。
3、检查驱动程序是否完好
对硬件进行了检查和确认后,再检查驱动程序本身是否损坏,如果没有损坏,看看安装是否正确。如果这些可以判断正常,设备也没有冲突,就是不能连入网络,这时候可以将网络适配器在系统配置中删除,然后重新启动计算机,系统就会检测到新硬件的存在,然后自动寻找驱动程序再进行安装,笔者在安装Windows 98对等网过程中曾多次运用此方法解决了“上不了网”的问题。
4、正确对网卡进行设置
在确定网络介质没有问题,但还是不能接通的情况下,再返回网卡设置中。看看是否有设备资源冲突,有许多时候冲突也不是都有提示的。可能发生的设备资源冲突有:NE2000兼容网卡和COM2有冲突,都使用IRQ3,(Realtek RT8029)PCI Ethernet 网卡和显示卡都“喜欢”IRQ10。为了解决这种设备的冲突,我们可以按照如下操作步骤来进行设置:首先在设置窗口中将COM2屏蔽,并强行将网卡中断设为3;如果遇到PCI接口的网卡和显卡发生冲突时,我们可以采用不分配IRQ给显示卡的办法来解决,就是将CMOS中的 Assign IRQ for VGA 一项设置为“Disable”。
5、禁用网卡的PnP功能
有的网卡虽然支持PnP功能,但安装好后发现并不能好好地工作,甚至不能工作。为此,我们可以采用屏蔽网卡的PnP功能的方法来解决这一故障。要想禁用网卡的PnP功能,就必须运行网卡的设置程序(一般在驱动程序包中)。在启动设置程序后,进入设置菜单。禁用网卡的PnP功能,并将可以设置的IRQ一项修改为一个固定的值。保存该设置并退出设置程序,这样如果没有其他的设备占用该IRQ,可以保证不会出现IRQ冲突。另外,如果要安装Windows 95/98操作系统,必须保证操作系统不会将对应的中断类型作为具有PnP功能的IRQ进行处理,所以要在“CMOS”中将该中断的类型由“PCI/ISA PnP”修改为“Legacy
ISA”。使用该方法可以解决大多数PnP网卡的设备冲突,但不一定对所有的PCI网卡都有效,因为有些网卡的设置程序根本就不提供禁用PnP功能选项。
常用的网络维护软件
网络维护软件--BMC?PATROL?Dashboard和Visualis
产品特点:PATROL?Dashboard采用Web界面,可直观地显示网络当前各部分的状况,并定期提供报告,包括瓶颈所在地点;过载的网络设备以及空闲的网络设备;预测网络拥塞或饱和状况;准确完成来自系统内各种端口以及设备信息数据的统计、报告,并最终完成对网络中问题的通知与计划。PATROL?Visualis是网络流量分析工具,直观展示网络动态拓扑图,监测流量的变化情况,显示流量的方向,定位故障源和目的地。
应用领域:金融、电信、政府、交通等的网络维护。
公司网址:www.bmc.com
网络维护软件--CA?Unicenter
产品特点:Unicenter具有多种独特的优势和特性,包括:管理内容的全面性,覆盖IT系统管理的方方面面;以业务解决方案为主导的方案包;每一个Unicenter模块都内置了通用服务组件,每一个模块在自己成为一个完整的解决方案的同时,也可以通过UCS与其他模块、包括第三方产品实现无缝的集成,从而减少部署框架体系时所需的人力物力;增强的体系架构;Unicenter还增加了可定制的门户功能,以增强产品的可视化和个性化。
应用领域:不同领域各种类型的企业的网络维护。
公司网址:www.ca.com.cn
网络维护软件--HP?OpenView?Network?Node?Manager
产品特点:支持自动搜索网络,帮助客户了解自己的环境;对第三层和第二层环境进行问题根本原因分析,这种内置的功能还可以动态地根据网络中的变动进行调整;提供故障诊断工具,帮助快速解决复杂问题;收集主要网络信息,帮助用户发现问题并主动进行管理。
应用领域:通信、金融、保险、证券、政府、交通以及中小企业的网络维护。
公司网址:www.software.hp.com.cn(中文)
www.managementsoftware.hp.com(英文)
网络维护软件--IBM?Tivoli?软件
产品特点:网络维护软件--IBM?Tivoli?软件?配置和操作解决方案能够实现电子商务基础架构的自主控制,比如IBM?Tivoli配置管理器提供了用于部署软件以及跟踪跨企业软硬件配置的集成化解决方案;?应用工作量调度程序能够自主监视及控制通过企业整个IT基础设施的工作流;?远程控制可以使?IT?部门快速、安全、可靠地控制其管理的重要资源。
公司网址:www.tivoli.com
网络维护软件--NAI Sniffer Portable
产品特点:Sniffer?Portable通过提供可以快速识别并解决网络性能问题的便携式分析解决方案来帮助网络技术人员解决所有LAN和WAN拓扑结构中的问题。它使用450多种协议解码和强大的Expert分析功能,可以分析网络通信并定位造成宕机或响应迟缓的原因。
应用领域:可用于网络维护各种规模的网络。
网络扩容:交换机的堆叠与级联
当单一交换机所能够提供的端口数量不足以满足网络计算机的需求时,必须要有两个以上的交换机提供相应数量的端口,这也就要涉及到交换机之间连接的问题。从根本上来讲,交换机之间的连接不外乎两种方式,一是堆叠,一是级联。
1. GBIC和SFP
(1)GBIC
Cisco GBIC(GigaStack
Gigabit Interface Converter)是一个通用的、低成本的千兆位以太网堆叠模块,可提供Cisco交换机间的高速连接,既可建立高密度端口的堆叠,又可实现与服务器或千兆位主干的连接,为快速以太网向千兆以太网的过渡,提供了廉价的、高性能的选择方案。此外,借助于光纤,还可实现与远程高速主干网络的连接。GBIC模块分为两大类,一是普通级联使用的GBIC模块,二是堆叠专用的GBIC模块。
● 级联GBIC模块
级联使用的GBIC模块分为4种,一是1000Base-T
GBIC模块(如图1所示),适用于超五类或六类双绞线,最长传输距离为100米;二是1000Base-SX GBIC模块(如图2所示),适用于多模多纤(MMF),最长传输距离为500米;三是1000Base-LX/LH GBIC模块,适用于单模光纤(SMF),最长传输距离为10千米;四是1000Base-ZX GBIC,适用于长波单模光纤,最长传输距离为70千米~100千米。
图1 1000Base-T GBIC模块
图2 1000Base-SX GBIC模块
GBIC模块安装于千兆以太网模块的GBIC插槽中,用于提供与其他交换机和服务器的千兆位连接。如图3所示为安装在Cisco
Catalyst 4006千兆以太网模块中的GBIC。
图3 安装在GBIC插槽中的GBIC模块
● 堆叠GBIC模块
堆叠GBIC模块用于实现交换机之间的廉价千兆连接。如图4所示为适用于Cisco
Catalyst 2950/3550的GigaStack GBIC堆叠模块。需要注意的是,GigaStack GBIC专门用于交换机之间的千兆位堆叠,GigaStack GBIC之间的连接采用专门的堆叠电缆。
图4 Cisco GigaStack GBIC堆叠模块和电缆
(2)SFP
SFP(Small Form-factor Pluggables)可以简单的理解为GBIC的升级版本。SFP模块(如图5所示)体积比GBIC模块减少一半,可以在相同面板上配置多出一倍以上的端口数量。由于SFP模块在功能上与GBIC基本一致,因此,也被有些交换机厂商称为小型化GBIC(Mini-GBIC)。
图5 SFP模块
2. 交换机的堆叠
提供堆叠接口的交换机之间可以通过专用的堆叠线连接起来。通常,堆叠的带宽是交换机端口速率的几十倍,例如,一台100Mbps交换机,堆叠后两台交换机之间的带宽可以达到几百兆甚至上千兆。多台交换机的堆叠是靠一个提供背板总线带宽的多口堆叠母模块与单口的堆叠子模块相联实现的,并插入不同的交换机实现交换机的堆叠。
但是,并不是所有的交换机都支持堆叠的,这取决于交换机的品牌、甚至是型号是否支持堆叠。
堆叠不仅通常需要使用专门的堆叠电缆,而且甚至需要专门的堆叠模块,如Cisco GigaStack GBIC。另外,同一叠堆中的交换机必须是同一品牌,否则,根本没有办法堆叠。因此,如果准备使用堆叠的方式扩充端口,就必须事先做好购置计划。
交换机的堆叠是扩展端口最快捷、最便利的方式。堆叠的优点实在多多,主要包括以下几个方面:
● 高密度端口
不同品牌的交换机支持堆叠的层数有所不同,一般情况下,最少可堆叠2层,而最多可堆叠至8层,因此,可在一个狭小的空间内为密集的计算机网络提供上百个端口。
● 便于管理
一个叠堆的若干台交换机可视为一台交换机进行管理,只需赋予其1个IP地址,即可通过该IP地址对所有的交换机进行管理,从而大大减少了管理的强度和难度,极大地节约了管理成本。
让你的电脑免遭网络病毒的危害
1.定期备份
是否为花上几百块钱购买一套备份系统,如Zip驱动器或CD刻写机而犹豫不决?别犹豫了。你的数据价值远不止这些,每次登录至因特网,你就把数据置于危险境地。
2.安装防病毒软件
在全球范围内,防病毒软件包将近有二十多种。在美国,两家最知名的公司Norton或McAfee.com随便一家都能提供足够的保护。不过,不要一次运行一种以上的防病毒软件程序。这些程序会造成“文件挂勾”(file hooking),也就是说它们会停止运行,检查使你的计算机引起变化的任何进程。如果同时运行防病毒程序,就好比让几个保安互相冲撞、把对方打倒在地。
3.至少每周一次更新防病毒软件
你可以要求赛门铁克的Norton AntiVirus自动访问该公司网站,下载最新版本。McAfee.com每次更新版本会通知你,频率高达每周三次。它还能让你选择,立即下载最新版本,还是等以后下载,但要记住:防病毒软件的最新版本才有效。因为每月在网上发布的隐形程序(stealth program)多达300到500种,包括病毒、蠕虫和特洛伊木马。
让防病毒软件自动运行。不要取消监视下载的每部分数据的功能。恢复每次启动计算机运行扫描的功能,然后至少每周进行一次手动扫描。此外,如果听到了病毒爆发的新闻,就要天天更新软件。
4.小心Word文档
.doc的附件可能包含“宏”,即一系列指令,而病毒可能会利用宏感染你的计算机。你应要求发送者以Word的.rtf(多文本格式)保存文件,这种格式就没法利用宏,或者要求对方拷贝文本并直接粘贴到另一封电子邮件。你不妨考虑索性关闭Word的宏功能。另外,在打开Excel的附件(.xls)之前,也有三思而行,因为它可能含有宏。
5.提防附件
如果没法确定嵌在里面的文件类型或为什么要发给自己,你就要提防附件。即使知道发送者是谁,也千万不要打开这类文件。病毒会悄无声息地感染计算机,潜伏几周甚至几个月。
关闭Windows的Scripting
Host(脚本宿主)。大多数人不需要它。Windows操作系统的这一附属功能使“爱虫”病毒等小程序得以作乱。在Windows 98机器上,禁用脚本宿主功能很简单。点击“开始”按钮,选择“设置”→“控制面板”,双击“添加/删除程序”,选择“Windows安装程序”标签。双击“附件”,将鼠标下滑到“Windows Scripting Host”,然后取消旁边选择框内的对勾。你偶尔会遇到这种现象:网页无法运行你机器上的脚本,结果发出错误信息,但不管怎样,你恐怕不希望奇怪的Web服务器运行自己计算机上的程序。关闭脚本宿主功能的另一个好处是:屏蔽了嵌在电子邮件消息正文里面而危害性又特别大的一些病毒。这是明智之举,因为即便你根本未打开附件,有些电子邮件病毒也会感染你的计算机。
另外,如果你订阅了防病毒软件生产商网站提供的电子邮件病毒通知服务,哪怕你只运行一种防病毒程序。知道外面有什么病毒有助于你避而远之。
如果你享用“始终接通的”宽带连接方式,如DSL或线缆调制解调器,就装一个“防火墙”。这种防火墙——可能包括简单的软件程序如McAfee.com的Personal Firewall,或名为路由器的辅助计算机——使网络“看不到”你的连接。要是没有防火墙,黑客就会潜入你的机器,破坏或窃取文件,或利用你的计算机联同其它成千上万台计算机,向一些网站发动所谓拒绝服务攻击。
影响中小企业网络性能的因素分析
目前,几乎任何稍微大一点的企业和学校都会建立一个局域网供使用,网络已经无处不在了。作为局域网络的网管人员,对于网络速度是非常在乎的,如何有效的利用带宽,避免不必要的速度损失,从而达到对整个网络的优化,就是一个非常重要的问题。
本文试图讨论关于影响企业网络性能的一些因素,希望能够对读者有所帮助。
一、设计的成败
设计决定了整个网络的速度。一个好的网络整体规划设计不但能够满足性能的要求,而且使用了最少的投入,同时还应该便于支持日后对于网络的扩大处理。网络设计是一个非常大的课题,从交换机和路由器的选择和配置,到综合排线,都有许多的学问。笔者的个人建议是,请一名非常经验非常丰富的设计人员或者雇用网络排线公司是一个企业公司最初建网的最好选择。笔者早期的切身经验是,同样的设备,存在两种不同的连线法,按照理论是二者是等价的,但是无论怎么事,就是连不上网,后来一位高手只是稍微改动了一根线的位置,就连通了。好多时候,经验远比书本上的知识重要。
通常,好的设计满足一下几个要求:
功能性:这个网络必须能够工作。它要使得用户能够满足工作上的需要,必须以合理的速度和可靠性为用户提供"用户到用户"和"用户到应用"的连接。
可扩展性:这个网络应该能够增长。最初的设计应能在不对全局做较大改动的情况下使网络增长。
适应性:这个网络在设计时应该具有长远的目光,考虑到未来技术的发展。并且,不应该包含限制新技术在网络中开展的因素。
易管理性:应该支持网络监控和管理,以保证运行中的持续稳定。
二、服务、服务器与QoS
企业网的稳定与否往往决定于一些关键性的服务器和服务是否稳定运行。通常,在一个现代的企业中,都会使用一些MIS、ERP系统对企业进行管理。在一些大型企业中,甚至实现了完全基于计算机信息系统的管理和运作。所以,为了保证整个企业能够顺利的运作,网管就必须不惜一切代价保证这些信息系统的稳定运行。
一般的企业管理信息系统大都使用B/S(如SAP)和C/S(J2EE和.NET)构架。无论何种构架,一台高档的服务器是不可少的。现代的技术如J2EE等虽然稳定可靠,但服务器的负载是早期的数倍。通过使用双或四Xeon处理器,SCSI接口的硬盘,RAID阵列或者增大内存都能够大大提高服务器的性能。同时,为服务器买一块名牌网卡或者升级至千兆以太网而不是2、30元的“地摊货”也是很好的方法。当然,鉴于Oracle、BEA、IBM等对于Linux最近都增加了支持力度,所有的产品都有移植到Linux平台,而Linux在服务方面的特性确实要好一些,所以用户不妨考虑Linux平台。如果公司的规模非常大,那么使用IBM、HP等大厂的服务器和完整解决方案远胜于一台你认为很好的普通服务器。
QoS是最近交换机和软件厂商等倡导的一项技术,QoS能够保证企业关键性的服务稳定,通过在交换机中保留一定的带宽给关键服务数据包,关键服务的性能能够得到保证。但是,QoS的开启意味着20%以上的普通网络通讯速度流失,所以对于企业网和网上业务密集的网络,开启QoS,否则,关掉它。
三、路由、交换
交换机和路由的配置也是非常重要的网络性能因素。
先说交换机的配置,通常对于最常见的提高性能的方法是设置VLAN。VLAN是把物理上通过同等方式的连接虚拟成为多个不同的子网。VLAN最大的功能就是防止广播风暴。一般来说,如果一个网络的广播包占到所有的通讯包的30%以上,网络性能就显著下降。现在,几乎所有的交换机都提供了VLAN的支持。虽然VLAN设置有一点点的麻烦,但是因为其对于性能的显著提高,建议网管能够配置VLAN。把互访频率比较高的电脑设置在同一个VLAN中,把无关性大的电脑隔开,性能的提高将是明显的。另外,打开网卡和交换机的全双工支持,也能带来性能的提高。同时,不同的交换机网络(Cisco和3COM等),都有自己的交换机专利技术能够提高速度。
路由器的功能是连接两个不同的网络,对于中小企业通常是连接在最上层交换机上作为Internet和局域网的网桥,路由器是一个异常复杂与高级的机器。当然,路由器非常贵,如果中小企业对于Internet性能要求不高,可以简单的通过安装建立一台Windows Internet Access Server作为连接Internet服务器,或者依靠便宜好用的Linux机器作为软路由,更或者在一台连接Internet和局域网的电脑上安装一个代理服务器软件(Microsoft Proxy Server/Unix Squid)。但是,路由器功能是非常强大的,而且具有非常好的速度。所以,在可以的情况下,一个企业应该尽量选择购买路由器,并且购买速度足够满足企业要求的路由器。路由协议一般就是连接ISP的PPP,配置上没有太多的可改进之处,一部分路由器支持ACL访问控制,通过合理的配置能够屏蔽一部分的流量,增加了网络带宽。
四、瓶颈、流量
网管必须经常嗅探网上包的情况,了解究竟什么东西在网上传输。如果企业中有员工在使用例如网上视频点播或者BitTorrent等P2P软件的时候,对于网络带宽,尤其是局域网出口带宽,会带来巨大的影响。笔者所在的学校,这一年来上网人数没有增加太多,但是访问公网的速度大大变慢了,就是因为这一类点对点的连结大大增多了。如果企业业务非常在乎与Internet的信息交换,那么网管就必须提醒用户或者干脆在防火墙上屏蔽掉BitTorrent之类的软件保证正常的企业信息通道畅通。
通过向Internet服务提供商购买更多的带宽线路,或者提供高一级的高速交换机,可以解决大部分的瓶颈问题。但是,笔者认为,关键是要利用现有的带宽。比如对于视频点播,如果使用基于Cisco交换技术的IPTV的软件,就能够很好的解决内部的视频网络瓶颈。
五、安全再安全
外界的网络对于内部的DoS攻击,端口扫描对于企业网络的影响非常大。所以,安装一个防火墙或者购买一个硬件防火墙,总是能够解决许多的网络问题。尤其是现在的黑客工具繁多,而且很好用,还有杂志宣传如何使用,所以网络所受到的潜在危险是巨大的(悲哀啊)。而且,网管必须对局域网中的电脑进行扫描,看看是不是被黑客开了后门,市场看看Log日志,对于异常要警觉。当然,最重要的是必须时刻关注最新的软件升级信息,订阅安全邮件列表。
其次,内贼难防。所以对于交换机和路由机的密码,必须高度保密,对于网络的拓扑结构,也要尽量保密。关掉路由和交换机的http管理服务。对于重要的数据服务单元,如SQL Server、MySQL服务器,可以把它同局域网断开,仅和需要的主机连接成一个单独的子网,或者,安装防火墙软件,只允许固定的IP地址访问。
总之,对于突然的网络流量剧变,必须引起安全性方面的高度注意。
802.1x
该协议能够对于连接入网络的电脑进行身份认证,避免有人偷连网络,大部分交换机支持该协议,建议推广使用。
六、细节
连线:连接局域网中的每台计算机都是用双绞线来实现的,但是并不是用双绞线把两台计算机简单地相互连接起来,就能实现通信目的,我们必须按照一定的连线规则来进行连线。双绞线的连接距离不能超过100米,我们如果需要连接超过100米的两台计算机时,必须使用转换设备。在连接转换设备和交换机时,我们还必须进行跳线。这是因为以太网中,一般是使用两对双绞线,排列在1、2、3、6的位置,如果使用的不是两对线,而是将原配对使用的线分开使用,就会形成串扰,对网络性能有较大影响。10M网络环境这种情况不明显,100M的网络环境下如果流量大或者距离长,网络就会无法联通。 当然,不要使用劣质的水晶头和线。
严格执行接地要求: 由于在局域网中传输的都是一些弱信号,如果操作稍有不当或者没有按照网络设备的具体操作要求来办的话,就可能在联网中出现干扰信息,严重的能导致整个网络不通。特别是一些网络转接设备,由于涉及到远程线路,它对接地的要求非常严格,否则该网络设备将达不到规定的连接速率,从而在联网的过程中产生各种莫名其妙的故障现象。
爱护设备:把交换机组和服务器放在一个灰尘少的房间中,当然如果有中心机房当然最好。经常去看看,扫扫灰。对于散热风扇,最好能够双个备份。对于网线,至少要能够有个头绪,万一接错也能查出来。这些都能够帮助网络正常运作。