精华内容
下载资源
问答
  • 局域网概念

    2016-11-22 18:16:00
    局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。 主要...

    基本简介

    局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。

    主要特点

    广域网(WAN),就是我们通常所说的Internet,它是一个遍及全世界的网络。局域网(LAN),相对于广域网(WAN)而言,主要是指在小范围内的计算机互联网络。这个“小范围”可以是一个家庭,一所学校,一家公司,或者是一个政府部门。BT中常常提到的公网、外网,即广域网(WAN);BT中常常提到私网、内网,即局域网(LAN)。

    广域网上的每一台电脑(或其他网络设备)都有一个或多个广域网IP地址(或者说公网、外网IP地址),广域网IP地址一般要到ISP处交费之后才能申请到,广域网IP地址不能重复;局域网(LAN)上的每一台电脑(或其他网络设备)都有一个或多个局域网IP地址(或者说私网、内网IP地址),局域网IP地址是局域网内部分配的,不同局域网的IP地址可以重复,不会相互影响。

    广域网(WAN、公网、外网)与局域网(LAN、私网、内网)电脑交换数据要通过路由器或网关的NAT(网络地址转换)进行。一般说来,局域网(LAN、私网、内网)内电脑发起的对外连接请求,路由器或网关都不会加以阻拦,但来自广域网对局域网内电脑连接的请求,路由器或网关在绝大多数情况下都会进行拦截。无线局域网WLAN(Wireless Local Area Network)计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多,实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,限制了用户联网。

    WLAN就是解决有线网络以上问题而出现的。WLAN利用电磁波在空气中发送和接受数据,而无需线缆介质。WLAN的数据传输速率现在已经能够达到最高450Mbps,传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便的解决以有线方式不易实现的网络联通问题。

    基本术语

    局域网通常是分布在一个有限地理范围内的网络系统,一般所涉及的地理范围只有几公里。局域网专用性非常强,具有比较稳定和规范的拓扑结构。常见的局域网拓朴结构如下:

    星形结构

    这种结构的网络是各工作站以星形方式连接起来的,网中的每一个节点设备都以中防节为中心,通过连接线与中心 节点相连,如果一个工作站需要传输数据,它首先必须通过中心节点。由于在这种结构的网络系统中,中心节点是控制中心,任意两个节点间的通信最多只需两步,所以,能够传输速度快,并且网络构形简单、建网容易、便于控制和管理。但这种网络系统,网络可靠性低,网络共享能力差,并且一旦中心节点出现故障则导致全网瘫痪。

    树形结构

    树形结构网络是天然的分级结构,又被称为分级的集中式网络。其特点是网络成本低,结构比较简单。在网络中,任意两个节点之间不产生回路,每个链路都支持双向传输,并且,网络中节点扩充方便、灵活,寻查链路路径比较简单。但在这种结构网络系统中,除叶节点及其相连的链路外,任何一个工作站或链路产生故障会影响整个网络系统的正常运行。

    总线形结构

    总线形结构网络是将各个节点设备和一根总线相连。网络中所有的节点工作站都是通过总线进行信息传输的。作为总线的通信连线可以是同轴电缆双绞线,也可以是扁平电缆。在总线结构中,作为数据通信必经的总线的负载能量是有限度的,这是由通信媒体本身的物理性能决定的。

    所以,总线结构网络中工作站节点的个数是有限制的,如果工作站节点的个数超出总线负载能量,就需要延长总线的长度,并加入相当数量的附加转接部件,使总线负载达到容量要求。总线形结构网络简单、灵活,可扩充性能好。所以,进行节点设备的插入与拆卸非常方便。另外,总线结构网络可靠性高、网络节点间响应速度快、共享资源能力强、设备投入量少、成本低、安装使用方便,当某个工作站节点出现故障时,对整个网络系统影响小。因此,总线结构网络是最普遍使用的一种网络。但是由于所有的工作站通信均通过一条共用的总线,所以,实时性较差。

    环形结构

    环形结构是网络中各节点通过一条首尾相连的通信链路连接起来的一个闭合环形结构网。环形结构网络的结构也比较简单,系统中各工作站地位相等。系统中通信设备和线路比较节省。在网中信息设有固定方向单向流动,两个工作站节点之间仅有一条通路,系统中无信道选择问题;某个结点的故障将导致物理瘫痪。环网中,由于环路是封闭的,所以不便于搁充,系统响应延时长,且信息传输效率相对较低。

    其他资料

    局域网协议设置

    局域网中的一些协议,在安装操作系统时会自动安装。如在安装Windows2000或Windows95/98时,系统会自动安装NetBEUI通信协议。在安装NetWare时,系统会自动安装IPX/SPX通信协议。其中三种协议中,NetBEUI和IPX/SPX在安装后不需要进行设置就可以直接使用,但TCP/IP要经过必要的设置。所以下文主要以Windows2000环境下的TCP/IP协议为主,介绍其安装、设置和测试方法,其他操作系统中协议的有关操作与Windows2000基本相同,甚至更为简单。

    TCP/IP通信协议的安装

    在Windows2000中,如果未安装有TCP/IP通信协议,可选择“开始/设置/控制面板/网络和拨号连接”,右键单击“本地连接”选择“属性”将出现“本地连接属性”对话框,单击对话框中的“安装”按钮,选取其中的TCP/IP协议,然后单击“添加”按钮。系统会询问你是否要进行“DHCP服务器”的设置?如果你局域网内的IP地址是固定的(一般是这样),可选择“否”。随后,系统开始从安装盘中复制所需的文件。

    TCP/IP协议安装

    TCP/IP通信协议的设置

    在“网络”对话框中选

    择已安装的TCP/IP协议,打开其“属性”,将出现“Internet协议(TCP/IP)属性”的对话框。在指定的位置输入已分配好的“IP地址”和“子网掩码”,不知道可以去询问网络管理员。建议在安装系统前记下此号码,毕竟求人不如求己嘛。如果该用户还要访问其它Widnows2000网络的资源,还可以在“默认网关”处输入网关的地址。

    TCP/IP通信协议的测试

    当TCP/IP协议安装并设置结束后,为了保证其能够正常工作,在使用前一定要进行测试。我建议大家使用系统自带的工具程序:PING命令,该工具可以检查任何一个用户是否与同一网段的其他用户连通,是否与其他网段的用户连接正常,同时还能检查出自己的IP地址是否与其他用户的IP地址发生冲突。

    假如服务器的IP地址为190.201.2.1,如要测试你的机器是否与服务器接通时,只需切换到DOS提示符下,并键入命令“PING190.201.2.1”即可。如果出现类似于“Replyfrom190.201.2.1……”的回应,说明TCP/IP协议工作正常;如果显示类似于“Requesttimedout”的信息,说明双方的TCP/IP协议的设置可能有错,或网络的其它连接(如网卡、HUB或连线等)有问题,还需进一步检查。

    定义

    为了完整地给出LAN的定义,必须使用两种方式:一种是功能性定义,另一种是技术性定义。前一种将LAN定义为一组台式计算机和其它设备,在物理地址上彼此相隔不远,以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连在一起的系统。这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN。

    就LAN的技术性定义而言,它定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。

    功能性和技术性定义之间的差别是很明显的,功能性定义强调的是外界行为和服务;技术性定义强调的则是构成LAN所需的物质基础和构成的方法。

    局域网(LAN)的名字本身就隐含了这种网络地理范围的局域性。由于较小的地理范围的局限性,LAN通常要比广域网(WAN)具有高的多的传输速率,例如,目前LAN的传输速率为10Mb/s,FDDI的传输速率为100Mb/s,而WAN的主干线速率国内目前仅为64kbps或2.048Mbps,最终用户的上线速率通常为14.4kbps。

    LAN的拓扑结构目前常用的是总线型和环行。这是由于有限地理范围决定的。这两种结构很少在广域网环境下使用。

    LAN还有诸如高可靠性、易扩缩和易于管理及安全等多种特性。

    WLAN的优点

    安装便捷

    一般在网络建设当中,施工周期最长、对周边环境影响最大的就是网络布线的施工了。在施工过程时,往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了这部分繁杂的网络布线的工作量,一般只要在安放一个或多个接入点(AccessPoint)设备就可建立覆盖整个建筑或地区的局域网络。

    使用灵活

    在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦WLAN建成后,在无线网的信号覆盖区

    域内任何一个位置都可以接入网络,进行通讯。

    经济节约

    由于有线网络中缺少灵活性,这就要求网络的规划者尽可能地考虑未来的发展的需要,这就往往导致需要预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划时的预期,又要花费较多费用进行网络改造。而WLAN可以避免或减少以上情况的发生。

    易于扩展

    WLAN有多种配置方式,能够根据实际需要灵活选择。这样,WLAN能够胜任只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。

    由于WLAN具有多方面的优点,其发展十分迅速。在最近几年里,WLAN已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应用。

    据权威调研机构CahnersIn-StatGroup预计,全球无线局域网市场将在2000年至2004年保持快速增长趋势,每年平均增长率高达25%。无线局域网市场的网卡、接入点设备及其他相关设备的总销售额也将在2000年轻松突破10亿美元大关,在2004年达到21.97亿美元

    局域网安全

    目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。

    当前,局域网安全的解决办法有以下几种:

    网络分段

    网络分段通常被认

    为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DEC MultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。

    以交换式集线器代替共享式集线器

    对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。

    因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。

    VLAN的划分

    为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。

    目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。

    在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。

    VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普遍采用的DECMultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。

    无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch PortAnalyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。

    局域网常见故障及排除方法

    1.网络不通

    这是最常见的问题,解决问题的基本原则是先软后硬。

    (1)先从软件方面去考虑,检查是否正确安装了TCP/IP协议,是否为局域网中的每台计

    算机都指定了正确的IP地址。

    (2)使用Ping命令,看其他的计算机是否能够Ping通。如果不通,则证明网络连接有问

    题;如果能够Ping通但是有时候丢失数据包,则证明网络传输有阻塞,或者说是网络设备接

    触不大好,需要检查网络设备。

    (3)当整个网络都不通时,可能是交换机或集线器的问题,要看交换机或集线器是否在

    正常工作。

    (4)如果只有一台电脑网络不通,即打开这台电脑的“网络邻居”时只能看到本地计算

    机,而看不到其他计算机,可能是网卡和交换机的连接有问题,则要首先看一下RJ-45水晶

    头是不是接触不良。然后再用测线仪,测试一下线路是否断裂。最后要检查一下交换机上的

    端口是否正常工作。

    2.连接故障

    (1)检查RJ45接口是否制作好,RJ45是10BASE-T网络标准中的接口形式,现在被广

    泛使用,其内部有8个线槽,线槽含义遵循EIA/TIA568国际标准,在10BASE-T网络中1、

    2线为发送线,3、6线为接收线。在双机进行连接的时候,其中的1、3、2、6线需要对调。

    否则也会造成网络的不通。

    (2)检查HUB或者交换机的接头是否有问题,如果某个接口有问题,可以换一个接口来

    测试。

    3.网卡故障

    (1)网卡的问题不太明显,所以在测试的时候最好是先测试网线,再测试网卡,如果有

    条件的话,可以使用测线仪或者万用表进行测试。

    (2)查看网卡是否正确安装驱动程序,如果没有安装驱动程序,或者驱动程序有问题,

    则需要重新安装驱动程序。

    (3)硬件冲突。需要查看与什么硬件冲突,然后修改对应的中断号和I/O地址来避免冲

    突,有些网卡还需要在CMOS中进行设置。

    4.病毒故障

    互联网上有许多能够攻击局域网的病毒,如红色代码、蓝色代码、尼姆达等。某些病毒

    除了使计算机运行变慢,还可以阻塞网络,造成网络塞车。对付这些新病毒,大多数病毒厂

    商,例如瑞星,KV3000等都在其主页上设有对付的办法。在这里一定要注意,不要按照平

    常的杀毒办法杀毒,必须对杀毒软件进行定时的升级。

    无法访问

    一、测试网络

    1、首先点击win7系统中的“开始”—“运行”,然后在运行对话框中键入“cmd”命令后按回车;

    2、在打开的命令提示符窗口中,输入“ipconfig /all”,按下回车键,显示其网络配置,检查IP地址,子网掩码,默认网关,DNS服务器地址是否正确。

    3、在命令提示符窗口,输入“ping 127.0.0.1”命令后执行,观察网卡能否转发数据,当连续出现“Reply from 127.0.0.1:bytes=32 time《1msTTL=128”,则说明网络网卡配置正确,如果连续出现“Request timed out”,则说明网络配置错误或网络有故障。

    二、检查DNS解析的操作步骤

    1、如果能ping通,但是却无法登陆互联网,则可使用nslookup命令测试DNS解析是否正确;

    2、在命令提示符窗口中输入“nslookup www.cfan.com”,并按回车,当出现“Timed out”的提示时,则表示重试一定时间和一定次数之后,服务器没有响应请求,当出现“No response from server”的提示时,则表示服务器上没有运行DNS名称服务器;

    3、如果经上述检测,电脑都正常通过,则网络正常,否则就可能是网络有不同程度的问题,可按照出现问题的位置进行解决即可。[1]

    无线局域网安全技术

    通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联接起来时,架设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。WLAN就是解决有线网络以上问题而出现的,WLAN为WirelessLAN的简称,即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。与有线网络相比,WLAN最主要的优势在于不需要布线,可

    以不受布线条件的限制,因此非常适合移动办公用户的需要,具有广阔市场前景。目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去,甚至开始进入家庭以及教育机构等领域。无线局域网与传统有线局域网相比优势不言而喻,它可实现移动办公、架设与维护更容易等。Frost&Sullivan公司预测无线局域网络市场在2005年底将达到50亿美元。在如此巨大的应用与市场面前,无线局域网络安全问题就显得尤为重要。人们不禁要问:通过电波进行数据传输的无线局域网的安全性有保障吗?

    对于无线局域网的用户提出这样的疑问可以说不无根据,因为无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(AccessPoint)的服务区域中,任何一个无线客户端都可以接收到此接入点的电磁波信号。这样,非授权的客户端也能接收到数据信号。也就是说,由于采用电磁波来传输信号,非授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,从无线局域网应用的第一天开始便引入了相应的安全措施。

    实际上,无线局域网比大多数有线局域网的安全性更高。无线局域网技术早在第二次世界大战期间便出现了,它源自于军方应用。一直以来,安全性问题在无线局域网设备开发及解决方案设计时,都得到了充分的重视。目前,无线局域网络产品主要采用的是IEEE(美国电气和电子工程师协会)802.11b国际标准,大多应用DSSS(DirectSequenceSpreadSpectrum,直接序列扩频)通信技术进行数据传输,该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。802.11标准主要应用三项安全技术来保障无线局域网数据传输的安全。第一项为SSID(ServiceSetIdentifier)技术。该技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络;第二项为MAC(MediaAccessControl)技术。应用这项技术,可在无线局域网的每一个接入点(AccessPoint)下设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点(AccessPoint)将拒绝其接入请求;第三项为WEP(WiredEquivalentPrivacy)加密技术。因为无线局域网络是通过电波进行数据传输的,存在电波泄露导致数据被截听的风险。WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。

    下面我们从无线局域网安全技术的发展历程来对无线局域网中采用的主要安全技术及发展方向进行介绍。

    早期基本的无线局域网安全技术

    MAC过滤

    无线网卡物理地址(MAC)过滤:

    每个无线工作站网卡都由惟一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。

    如果企业当中的AP数量太多,为了实现整个企业当中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中Radius认证。

    服务区标识符(SSID)匹配:

    无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝他通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。

    在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。

    有线等效保密(WEP):

    有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。

    WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个ChallengePacket给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。40位WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的钥匙,提供更高等级的安全加密。

    802.11i(WPA)之前的安全解决方案

    802.11技术

    端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP):

    该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。

    802.1x要求

    无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。现主流的PC机操作系统WinXP以及Win2000都已经有802.1x的客户端功能。现在,安全功能比较全的AP在支持IEEE802.1x和Radius的集中认证时支持的可扩展认证协议类型有:EAP-MD5&TLS、TTLS和PEAP。

    无线客户端二层隔离技术:

    在电信运营商的公众热点场合,为确保不同无线工作站之间的数据流隔离,无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离,确保用户的安全。

    VPN-Over-Wireless技术:

    目前已广泛应用于广域网络及远程接入等领域的VPN(VirtualPrivateNetworking)安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案之一。

    2003年快速发展的WPA(Wi-Fi保护访问)技术

    在IEEE802.11i标准最终确定前,WPA(Wi-FiProtectedAccess)技术将成为代替WEP的无线安全标准协议,为IEEE802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。

    新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。TKIP与当前Wi-Fi产品向后兼容,而且可以通过软件进行升级。从2003年的下半年开始,Wi-Fi组织已经开始对支持WPA的无线局域网设备进行认证。

    高级的无线局域网安全标准—IEEE802.11i

    为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11工作组目前正在开发作为新的安全标准的IEEE802.11i,并且致力于从长远角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i标准草案中主要包含加密技术:TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard),以及认证协议IEEE802.1x。预计完整的IEEE802.11i的标准将在2004年的上半年得到正式批准,IEEE802.11i将为无线局域网的安全提供可信的标准支持。

    无线局域网安全技术的发展方向

    无线局域网总的发展方向是速度会越来越快(目前已见的是11Mbps的IEEE802.11b,54Mbps的IEEE802.11g与IEEE802.11a标准),安全性会越来越高。当然无线局域网的各项技术均处在快速的发展过程当中,但54Mbps的无线局域网规范IEEE802.11g及IEEE802.1X将是近期整个无线局域网业的热点。

    作为一名网管员来说,对无线局域网的安全防护应考虑以下防范点和措施:

    安全防范点:1.未经授权用户的接入2.网上邻居的攻击3.非法用户截取无线链路中的数据4.非法AP的接入5.内部未经授权的跨部门使用

    相应措施:1.使用各种先进的身份认证措施,防止未经授权用户的接入由于无线信号是在空气中传播的,信号可能会传播到不希望到达的地方,在信号覆盖范围内,非法用户无需任何物理连接就可以获取无线网络的数据,因此,必须从多方面防止非法终端接入以及数据的泄漏问题。

    2.利用MAC阻止未经授权的接入每块无线网卡都拥有唯一的一个MAC地址,为AP设置基于MAC地址的AccessControl(访问控制表),确保只有经过注册的设备才能进入网络。使用802.1x端口认证技术进行身份认证使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。

    3.使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译基本的WEP加密WEP是IEEE802.11b无线局域网的标准网络安全协议。在传输信息时,WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即设置WEP密钥。

    4.利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入在无线AP接入有线集线器的时候,可能会遇到非法AP的攻击,非法安装的AP会危害无线网络的宝贵资源,因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但AP需要确认无线用户的合法性,无线终端设备也必须验证AP是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP,则需要通过定期的站点审查来防止非法AP的接入。在入侵者使用网络之前,通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测。

    5.利用ESSID、MAC限制防止未经授权的跨部门使用。

    利用ESSID进行部门分组,可以有效地避免任意漫游带来的安全问题;MAC地址限制更能控制连接到各部门AP的终端,避免未经授权的用户使用网络资源。

    保障整个网络安全是非常重要的,无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。而无线网络相对来说比较安全,无线网段即或不能提供比有线网段更多的保护,也至少和它相同。需要注意的是,无线局域网并不是要替代有线局域网,而是有线局域网的替补。使用无线局域网的最终目标不是消除有线设备,而是尽量减少线缆和断线时间,让有线与无线网络很好地配合工作。

    参考

    一、发展中的IEEE802.1x无线局域网安全标准

    一开始,IEEE802.11提供了一些基本的安全机制,这使得无线网日益增强的自由较少潜在威胁。在802.11规范中通过有线同等保密(WiredEquivalentPrivacyWEP)算法提供了附加的安全性。这一安全机制的一个主要限制是:没有规定一个分配密钥的管理协议。因此,脆弱的安全机制使它不足以阻挡任何人,更何况是黑客的攻击。为了补救WEP在安全性上的不足,需要通过IEEE802.1x协议。802.1x是一个基于端口的标准草案。网络接入控制提供以太网的网络接入的鉴权。这种基于端口的网络接入控制使用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。如果认证过程失败,端口接入将被阻止。尽管此标准是为有线以太网设计,它也可用于802.11无线局域网。

    对无线网络来说,802.1x支持远程拨号用户签名服务(RemoteAuthenticationDial-InServiceRADIUS),接入点将采用对客户证书认证的RADIUS服务器作为网络接入的认证者。802.1x还支持集中式的Kerberos用户签名、验证和记账,并且实现了更强的协议。通信被允许通过一个逻辑"非控制端口"或信道来验证证书的有效性而通过一个逻辑"控制端口"来获得接入网络的密钥。新标准为每个用户和每个会话准备不同的密匙,并且密匙支持128bit的长度。密钥管理协议因而得以添加到802.11的安全性中。这种802.1x方式已被广泛采用而RADIUS鉴权的使用也在增加。如果需要的话,RADIUS服务器可以查询一个本地认证数据库。或者,请求也可以被传送给其他服务器进行有效性验证。当RADIUS决定机器可以进入网络时,将向接入点发送消息,接入点则允许数据业务流入网络。

    二、WindowsXP中针对以太网或无线局域网上服务器的安全性改进

    无线路由

    SecureWireless/EthernetLAN(安全无线/以太局域网)为您增强了开发安全有线与无线局域网(LAN)网的能力。这种特性是通过允许在以太网或无线局域网上部署服务器实现的。借助SecureWireless/EthernetLAN,在用户进行登录前,计算机将无法访问网络。然而,如果一台设备具备“机器身份验证”功能,那么它将能够在通过验证并接受IAS/RADIUS服务器授权后获得局域网的访问权限。WindowsXP中的SecureWireless/EthernetLAN在基于IEEE802.11规范的有线与无线局域网上实现了安全性。这一过程是通过对自动注册或智能卡所部署的公共证书的使用加以支持的。它允许在公共场所(如购物中心或机场)对有线以太网和无线IEEE802.11网络实施访问控制。这种IEEE802.1XNetworkAccessControl(IEEE802.1X网络访问控制)安全特性还支持ExtensibleAuthenticationProtocol(扩展身份验证协议,EAP)运行环境中的计算机身份验证功能。IEEE802.1X允许管理员为获得有线局域网和无线IEEE802.11局域网访问许可的服务器分配权限。因为,如果一台服务器被放置在网络中,管理员肯定希望确保其只能访问那些已在其中通过身份验证的网络。例如,对会议室的访问权限将只被提供给特定服务器,而来自其它服务器的访问请求将被遭到拒绝。

    转载于:https://www.cnblogs.com/166lyj/p/6090366.html

    展开全文
  • 无线局域网概念介绍

    千次阅读 2012-10-10 09:34:35
    无线局域网的英文简称是WLAN(Wirel Local Area Network),国内目前使用最多是802.11a/b/g。 频道(Channel) 802.11g可兼容802.11b,二者都使用了2.4G微波频段,最多可以使用14个频道(Channel)。各国的规定的2.4G...

    无线局域网的英文简称是WLAN(Wirel Local Area Network),国内目前使用最多是802.11a/b/g。

    频道(Channel)
    802.11g可兼容802.11b,二者都使用了2.4G微波频段,最多可以使用14个频道(Channel)。各国的规定的2.4G频率范围略有不同,在中国802.11b/g可以使用1-11频道,在同一区域可以有3个互不干扰的频道。家用微波炉也在这一频率范围会对信号有影响。蓝牙也在2.4G内,但蓝牙功率很小因此不会有大的影响。802.11a使用了5G无线频段,在同一区域可以有12个频道,一些高端的迅驰网卡支持802.11a。

    带宽(bandwith)
    802.11b: 11M,5.5M,2M,1M
    802.11g: 54M,48M,36M,24M,18M,12M,9M,6M
    802.11a: 54M,20M,6M

    AP(Acess Point)
    无线接入点,是一种网络设备,无线网卡与AP相连,通过AP与其它网卡交换信号,AP通常还有RJ-45以太网口用以与有线网相连。简单地说AP就象一个Hub。

    Infrastructure
    基础架构通讯方式,无线网卡通过AP进行无线通讯。

    Ad-Hoc
    一种无线网络通讯方式,各个网卡不经过AP直接进行点对点的通讯,当使用人比较少又没有AP但仍然想通过无线方式交互信息时可以用Ad-hoc方式应急。

    SSID(System Set ID)
    SSID用来区分不同的网络,最多可以有32个字符,如我们用的wep.net.sjtu。网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。

    WEP(Wired Equivalent Privacy)有线等效保密
    为了保证数据能通过无线网络安全传输而制定的一个加密标准,使用了共享秘钥RC4加密算法,密钥长度最初为40位(5个字符),后来增加到128位(13个字符),有些设备可以支持152位加密。使用静态(Static)WEP加密可以设置4个WEP Key,使用动态(Dynamic)WEP加密时,WEP Key会随时间变化而变化。

    开放式与共享式验证(open or shared Authentication)
    无线设备之间认证的模式,通常使用静态WEP加密时使用共享方式,使用802.1x动态WEP加密时使用开放认证方式。

    WPA(Wi-Fi Protected Access)
    Wi-Fi联盟制定的过渡性无线网络安全标准,相当于802.11i的精简版,使用了TKIP(Temporal Key Integrity Protocal)数据加密技术,虽然仍使用RC4加密算法,但使用了动态会话密钥。TKIP引入了4个新算法:48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules)、每包密钥构建(Per-Packet Key Construction)、Michael消息完整性代码(Message Integrity Code,MIC)以及密钥重获/分发。WPA极大提高了无线网络数据传输的安全性但还没有一劳永逸地解决解决无线网络的安全性问题,因此厂商采纳的积极性似乎不高。目前Windows XP SP1可以支持WPA。

    802.1x认证
    静态WEP秘钥难于管理,改变秘钥时要通知所有人,如果有一个地方泄漏了秘钥就无安全性可言,而且静态WEP加密有严重的安全漏洞,通过无线侦听在收到一定数量的数据后就可以破解得到WEP秘钥。802.1x最初用于有线以态网的认证接入,防止非法用户使用网络,后来人们发现802.1x用以无线网可以较好地解决无线网络的安全接入。802.1x 的EAP-TLS通过数字证书实现了用户与网络之间的双向认证,即可以防止非法用户使用网络,也可以防止用户连入非法的AP。802.1x使用动态WEP加密防止WEP Key被破解。为解决数字证书的发放难题人们对TLS认证进行了改进产生了TTLS和PEAP,可以用传统的用户名口令方式认证入网。我校无线网络的802.1x可以同时支持EAP-TLS,TTLS和PEAP。

    WAPI(WLAN Authentication and Privacy Infrastructure)无线局域网认证与保密基础架构
    中国提出的一个无线网络通讯的安全标准,国标代号GB15629.11。

    Wi-Fi
    是Wi-Fi联盟(Wi-Fi Alliance)的标记,参看http://www.wi-fi.org。Wi-Fi联盟是1999年成立的非盈利性的国际组织,致力于基于802.11的无线网络产品的互通性认证。目前拥有200家会员单位。


    本文转自:http://wlan.sjtu.edu.cn/Article_Print.asp?ArticleID=56


    展开全文
  • 局域网概念

    千次阅读 2016-12-28 21:57:13
    介质访问控制的概念介质访问控制(MAC)是所有共享介质类型的局域网的共性问题 共享介质:连接多台计算机的同轴电缆,双绞线与光纤等 多路访问:多个主机需要通过一条共享介质发送和接受数据 冲突:如果两个或多...

    博文目录

    一、介质访问控制
    - 1.介质访问控制的概念
    - 2.介质访问控制方法
    二、Ethernet(以太网)基本工作原理
    - 1. Ethernet数据发送过程分析和CSMA/CD的工作原理
    - 2.Ethernet帧结构
    - 3.Ethernet物理地址的唯一性
    - 4.Ethernet物理层的标准命名方法
    三、交换式局域网
    - 1.局域网交换机的工作原理
    - 2.端口/MAC映射表的建立和维护
    - 3.交换机的带宽计算
    四、虚拟局域网(VLAN)
    五、Ethernet组网设备和方法
    - 1. 10Base-5,10Base2和中继器
    - 2. 集线器
    - 3. 交换机
    六、局域网互连和网桥
    - 1. 网桥的基本概念
    - 2. 网桥的工作流程
    - 3. 生成树协议
    七、网桥与中继器、集线器、交换器的比较

    一、介质访问控制

    1.介质访问控制的概念

    介质访问控制(MAC)是所有共享介质类型的局域网的共性问题
    共享介质:连接多台计算机的同轴电缆,双绞线与光纤等
    多路访问:多个主机需要通过一条共享介质发送和接受数据
    冲突:如果两个或多个主机同时在一条共享介质发送数据,造成接受主机无法正确接受发送主机的数据

    2.介质访问控制方法

    为解决冲突,所以出现了介质访问控制方法,而常见的三种介质访问控制方法,对应着三种不同类型的局域网:
    1. 冲突检测的载波监听多路访问(CSMA/CD)控制方法 —— 总线型Ethernet(以太网)
    2. Token Bus(令牌控制)—— 令牌总线型局域网
    3. Token Ring (令牌控制) —— 令牌环状局域网

    2.1 三种方法的共同之处:

    1. 都遵循IEEE802层次结构模型
    2. 传输介质主要采用了同轴电缆,双绞线和光纤
    3. 采用共享介质的方式都是发送和接受数据帧
    4. 介质访问控制都采用了分布式控制访问方法,局域网没有集中控制的主机

    这里写图片描述

    2.2 三种局域网的不同之处

    (1)CSMA/CD 总线型局域网

    这里写图片描述

    CSMA/CD的特点:
    1. 所有节点连在同一个总线上,且一个时刻只允许一个节点发送数据
    2. 当一个节点以广播方式发送数据,其它节点只能通过收听方式接受数据
    3. CSMA/CD是随机性介质访问控制方法,节点获得数据发送权是随机的
    4. 两个以上节点发送数据会产生冲突
    5. CSMA/CD用得最多,主要在以太网上

    (2)Token Bus

    这里写图片描述

    Token Bus的特点:
    1. 节点持有令牌才能通过总线发送数据
    2. 令牌持有时间(THT)规定了节点获取令牌发送数据占用的最大时间
    3. 一个节点两次获得令牌的间隔时间为:T = N * (THT + Tr + Tc)。N为节点总数,Tr为令牌在两个相邻节点的传播时间,Tc为节点接受,处理帧与令牌的时间
    4. 预先会确定节点获得令牌的顺序

    (3)Token Ring

    这里写图片描述

    Token Ring的特点:
    1. Token Ring的结点通过网卡和点到点线路形成环状结构
    2. Token Ring的令牌存在一个MAC控制帧,标志令牌的忙/闲
    2. 当节点1获得了令牌后,目的地址为节点3。首先令牌标志位变为忙,然后传输数据,从1 —> 2 —> 3后,节点3接受到数据帧后,在数据帧标记已接受到数据的标志。接着令牌从3 —> 4 —> 5 —> 1回到节点1,节点1重新接受数据帧,发现有节点3确认接受的标志,于是回收掉数据帧,再把令牌改为闲,传给下一个节点。
    3. Token Ring适合重负载的应用领域

    二、Ethernet(以太网)基本工作原理

    以太网采用介质访问控制方法是CSMA/CD:CS(载波侦听),MA(多路访问),CD(冲突检测)

    1. Ethernet数据发送过程分析和CSMA/CD的工作原理:

    很多人(节点)在同一个黑屋子(局域网)里举行讨论会,参加会议的人只能听到声音。每一个人讲话前必须先倾听(载波侦听),等到安静时才能说话;安静时,每一个人都有同等机会说话(多路访问);如果同一时刻多个人讲话,大家都无法听清楚发言(冲突);发言人(发送数据的结点)在发言过程中要及时发现是否有冲突(冲突检测);如果发言人发现冲突,这时他要停止讲话,然后重复上述过程,直到讲话成功,如果失败次数太多,他会放弃讲话。

    总结来说,CSMA/CD的发送过程就是:先听后发,边听边发,冲突停止,延迟重发。

    1.2 载波侦听过程

    以太网的物理层规定发送的数据采用曼彻斯特编码方式,因此如果总线上出现了曼彻斯特编码规律,说明总线忙;总线电平不发生跳变,说明总线闲。

    这里写图片描述

    1.2 冲突检测方法

    有一种极端的情况,节点A向节点B发送数据,在数据信号快到达节点B时,B也发送了数据,此时冲突发生了,如果定义D为总线长度,V为电磁波传播速度,t为传播延迟(指发送到目的节点的时间),那么t = D / V。所以发生冲突时,最大的传播延迟为A到B和B到A的传播延迟即2t。

    冲突窗口:如果超过两倍的传播延迟2t内都没有检测到冲突,就肯定该节点发送数据成功,因此2t = 2(D/V)称为冲突窗口。

    最小帧长度Lmin,发送速率S和冲突窗口的关系:
    Lmin / S >= 2D/V
    也就是要求发送的数据帧的时间要大于等于冲突窗口,才能保证发送成功。

    2.Ethernet帧结构

    Ethernet帧结构分为两种标准:Ethernet V2.0(DIX帧结构)和Ethernet V3.0

    这里写图片描述

    1. Ethernet V2.0(DIX帧结构)和Ethernet V3.0的差异主要体现在前导码,类型和长度。
    2. 类型指的是高层网络层使用的协议类型,0x0800表示IPv4,0x8106表示IPv6
    3. 帧校检字段是用的是32位的CRC校检

    3.Ethernet物理地址的唯一性

    Ethernet物理地址是一个48为地址,前三个字节是生产Ethernet网卡的公司标识,最后三个字节由网卡的公司自行分配,这保证了全球任何一个Ethernet物理地址都是唯一的。
    Ethernet物理地址的表示由前三个字节和后三个字节表示:
    02-01-00-2A-10-C3

    4.Ethernet物理层的标准命名方法

    IEEE 802.3 标准定义Ethernet介质访问控制子层与物理层的协议标准
    命名格式:IEEE 802.3 X Type- Y Name
    X表示数据传输速率,单位为Mbps
    Y表示网段的最大长度,单位为100m
    Type表示传输方式是基带还是频带(Base表示基带)
    Name表示局域网的名称

    例如:
    (1)IEEE 802.3 10 Base-5 表示传输速率为10Mbps,基带传输,使用粗同轴电缆,最大长度为500m
    (2)IEEE 802.3 10 Base-2 表示传输速率为10Mbps,基带传输,使用细同轴电缆,最大长度为200m
    (1)IEEE 802.3 10 Base-T 表示传输速率为10Mbps,基带传输,使用双绞线

    三、交换式局域网

    前面讲的是传统的共享型局域网,所有节点共享一个传输介质,会导致冲突。随着节点不断增多,网络效率就会急剧下降,因此出现了交换式局域网。
    交换式局域网是通过集成电路交换芯片在多个端口之间形成虚连接,实现多个端口之间的帧的并发传输

    交换机具有以下四个功能:
    1. 建立和维护一个表示MAC地址和交换机端口号的对应关系的映射表
    2. 在发送主机和接受端口之间建立虚连接
    3. 完成帧的过滤和转发
    4. 执行生成树协议,放置出现环路

    1.局域网交换机的工作原理

    这里写图片描述

    端口号/MAC地址映射表记录着主机地址和交换机端口的对应关系,节点A的地址为0201002A10C3,发送帧的目的地址为0E1002000013,交换机查询到目的地址在映射表中对应的端口号,然后发往该端口主机。

    2.端口/MAC映射表的建立和维护

    交换机通过地址学习检查帧的源地址与端口号之间的对应关系,来不断完成端口号转发表的方法。
    例如:
    节点A通过端口1发送帧,这个帧的源地址是0201002A10C3,然后交换机建立起“端口号1——源地址0201002A10C3”的对应关系,随后交换机查询映射表是否已存在该对应关系,如果不存在,则加入该映射关系到映射表中;如果已存在,则更新该映射关系。

    3.交换机的带宽计算

    交换机带宽 = 端口数 * 相应端口速率(全双工模式再*2)
    当然这是一种理想状况下的带宽,实际上还会有丢帧的情况

    假如一台交换机有24个100Mbps的全双工端口和两个1000Mbps全双工端口,那么交换机的带宽为:
    S = 24 * 100 * 2 + 2 * 2 * 1000 = 8800Mbps = 8.8Gbps

    四、虚拟局域网(VLAN)

    VLAN可以根据交换机的端口,MAC地址,IP地址与网络层协议等方式划分,划分后交换机中会都会有相对应的映射表,例如根据端口号来划分的就是VLAN与端口的映射表
    VLAN的工作原理是:通过交换机,根据端口、MAC地址或IP地址从逻辑上划分不同的局域网

    VLAN中传输的帧不再是Ethernet的标准帧机构,而是使用扩展了Ethernet帧结构的IEEE 802.1Q协议,IEEE 802.1Q在Ethernet的帧结构中增加了VLAN标记。

    VLAN数据帧交换过程

    在VLAN组网过程中,将交换机的一个端口设置为中继端口,中继端口用于不同交换机数据帧传输的接口

    这里写图片描述

    上图中,主机A,C,E,G属于VLAN1,B,D,F,H属于VLAN2。
    节点A发送数据帧给主机G数据交换流程:
    1. 主机A发送的是普通的Ethernet帧到交换机A
    2. 交换机把主机A的帧通过802.1Q协议扩展,在VLAN标记中标记VLAN1,表示此帧来自VLAN1
    3. 交换机A通过 VLAN成员/端口映射表 和 本地端口/MAC地址映射表查找目的主机的位置
    4. 交换机A通过中继端口16发送数据帧到交换机B的中继端口1上
    5. 交换机B接收到数据帧,通过VLAN标识识别到是VLAN1,然后通过VLAN成员/端口映射表 和 本地端口/MAC地址映射表查询到目的地址相对应的端口11,接着把数据发往主机G

    五、Ethernet组网设备和方法

    Ethernet的组网可以通过中继器,集线器和交换机

    1. 10Base-5,10Base2和中继器

    物理层10Base-5,协议规定:同轴电缆的最大长度为500m,实际接入的节点数量不超过100个。当我们需要增长长度或者增加节点数时,可以使用中继器来连接两个电缆,中继器能够连接的传输介质为:粗同轴电缆-粗同轴电缆,粗同轴电缆-细同轴电缆,粗同轴电缆-光缆等。

    这里写图片描述

    中继器额工作原理:
    由于信号经过500m的同轴电缆传输后,已经发生了严重的信号衰退和波形畸变,所以为了在超出500m的缆段传输,使用中继器可以将衰退和变形的信号,经过接受,放大和整形,使得可以发送到它连接的另一个缆段

    中继器的特点:
    1. 中继器工作在物理层,只能对信号进行处理,不属于网络互连设备
    2. 中继器的工作不涉及帧的结构,只能做到增强的效果
    3. 中继器连接的几个缆段仍然属于同一个局域网
    4. 在一个局域网使用中继器的数量是有限制的

    2. 集线器

    早期的Ethernet网主要使用同轴电缆,因此使用中继器比较多。随着10Base-T出现,使用双绞线更好,使用10Base-T时,离不开集线器。

    这里写图片描述

    例如图中节点A发送了一个数据帧,那么连接在集线器的所有节点都可以接受到该帧。如果有多个节点同时发送数据帧,会发生冲突

    3. 交换机

    这里写图片描述

    六、局域网互连和网桥

    1. 网桥的基本概念

    网桥是实现多个局域网互联的网络设备,是MAC层的互连设备,它不仅可以实现多个相同类型的(如Ethernet与Ethernet)的同构局域网的互联,也可以实现多个不同类型的(如Ethernet与Token Ring)的异构局域网的互联

    网桥的主要功能:
    1. 端口号/MAC地址转发表的生成和维护(这里的端口指的是网桥中连接的局域网,前面的端口对应的是主机)
    2. 帧的接受过滤和转发

    网桥可分为源路由网桥和透明网桥,其中使用透明网桥互联局域网时,转发表是通过自学算法生成的,透明网桥也是比较常用的。

    这里写图片描述

    2. 网桥的工作流程

    1. 首先判断帧的目的MAC地址是单播地址,多播地址还是广播地址
    2. 如果是单播地址,则在转发表中查找该MAC地址对应的端口,如果找不到,则将该帧从其它端口发送出去
    3. 如果网桥有4个连接端口,帧是从端口1进入网桥的。同时帧的目的MAC地址是多播地址或广播地址,那么网桥就会把帧从除了端口1的其他所有端口发送出去。
    4. 如果发送的帧的目的MAC地址的端口跟源地址的端口相同,说明两个主机属于同一个局域网,网桥不需要转发,丢弃该帧

    3. 生成树协议

    当Ethernet交换机组网出现环路的时候,环路使得网桥重复转发同一个帧,增加不必要的网络负荷。为了防止这种情况出现,透明网桥和交换机使用了生成树协议。

    生成树协议:一种链路管理协议,能够自动控制局域网系统的拓扑,形成一个无环路的逻辑结构,使得任意两个网桥或交换机之间,任意两个局域网之间只有一条有效的帧传输协议

    这里写图片描述

    由上图可见,每一个网桥都有以下概念:
    优先级,成本,端口,MAC地址(一般选用端口号较小的MAC地址,例如端口0和端口1,就选用端口0的MAC地址)

    下面来对这个环路网桥分析最佳路径:
    1. 首先选择一个根网桥,根网桥一般选择优先级较小的网桥,如果优先级相同,则选择MAC地址较小的网桥,B1的优先级为0,所以选择B1为根网桥
    2. B2和B3都连接了LAN4,这形成了一个回路,B1—B2的成本为4,B1-B3的成本为4,路径成本相同,于是比较优先级,B3的优先级低于B2,于是选择B3,因此B2连接LAN4的链路可以去掉
    3. B1到B4的最佳路径是:LAN1—LAN3,成本为23
    4. B1到B5的最佳路径是:LAN2—LAN4,成本为104
    5. B1到LAN5有两条路径,B1—B2—B4,成本为23,B1—B5,成本呢为104,所以选择第一条路径,所以B5网桥没有使用的必要,可以去掉
    6. B4连接LAN5有两个端口,端口1优先级小于和端口2,所以选择端口1,去掉端口2

    最终的结构如下:

    这里写图片描述

    七、网桥与中继器、集线器、交换器的比较

    这里写图片描述

    展开全文
  • 局域网基本概念和体系结构

    局域网基本概念和体系结构

    展开全文
  • 3.3.1 局域网基本概念和体系结构 局域网(LAN,Local Area Network) 1.概念:是指某一区域内由多台计算机互连成的计算机组,使用广播信道 2.特点 1.覆盖地理范围小,只在一个相对独立的局部范围内联,如一座或集中...
  • 31局域网的基本概念

    2021-01-21 19:15:01
    局域网的基本概念和体系结构:局域网LAN是在一个较小的地理范围内将各种计算机、外部设备和数据库系统等通过双绞线、同轴电缆等连接介质互相连接起来,组成资源和信息共享的计算机互联网络。主要特点有: (1) 为一...
  • 一、 局域网、 二、 局域网 拓扑结构、 三、 局域网 传输介质、 四、 局域网 介质访问控制方法、 五、 局域网 分类、 六、 IEEE 802 标准、 六、 数据链路层 LLC、MAC 子层、
  • 目录思维导图局域网的基本概念局域网拓扑结构局域网传输介质局域网介质访问控制方法局域网的分类IEEE802现有标准MAC子层和LLC子层 思维导图 局域网的基本概念 局域网拓扑结构 局域网传输介质 局域网介质访问控制...
  • 局域网的基本概念与体系结构 1.局域网 2.局域网拓扑结构 3.局域网传输介质 4.局域网介质访问控制方法 5.局域网的分类 6.IEEE 802标准 7.MAC子层和LLC子层 8.总结
  • 局域网的基本概念

    2013-07-29 17:57:58
    20世纪80年代是局域网飞速发展的年代剧T90年代.h丁集线2S(Hub)技术的发展。S域网的发展也上T一个台阶人观7交换式U大网、高速局域网和虚拟局域网.其性能更优,应用更广。1网络协议计算机网络内多个互联的结点名种...
  • 局域网LAN

    千次阅读 2017-04-14 20:29:52
    局域网概念 基本简介 局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程...
  • 局域网交换

    2013-06-12 20:26:49
    二、局域网概念及设备介绍1、局域网概念:全称Local Area Network,简称LAN。是指在某一区域内由多台计算机互联成的计算机组。分析:这里所说的“某一区域”指的是同一办公室、同一建筑、同一公司和同一学校等,一般...
  • 局域网协议

    2017-11-17 21:19:00
    一、局域网概念 LAN是指一个较小的范围内的多台计算机或者其他通信设备,通过双绞线、同轴电缆、等连接介质互相连接起来,以达到资源和信息共享的互联网络。 二、无线局域网 协议标准是IEEE802.11,分为有固定...
  • 虚拟局域网概念VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但...
  • 广域网、局域网、以太网等概念概念框图 概念框图
  • 1.VLAN 虚拟局域网 交换机带来的问题 过大的广播域,带宽的浪费 过大的MAC表,造成转发率低下 存在安全隐患 解决办法–>分割广播域(物理分割&逻辑分割) 所以VLAN是逻辑分割,很好的解决的需要更多交换机...
  • P21 局域网基本概念和体系结构
  • 局域网:特点与要素① 拓扑结构② 传输介质③ 介质访问控制方法④ 局域网的分类⑤ IEEE 802标准⑥ MAC子层和LLC子层二. 以太网① 概述② 提供无连接、不可靠的服务③ 传输介质与拓扑结构的发展④ 10BAST-T以太网⑤ ...
  • 局域网基本概念和体系结构 局域网 局域网(Local Area Network):简称LAN,是指在某一区域内由多台计算机互联成的计算机组,使用广播信道。 特点1:覆盖的地理范围较小,只在一个相对独立的局部范围内联,如一座或...
  • 二、局域网 1、局域网 2、虚拟局域网 一、网络体系结构及协议 1、ISO/OSI参考模型 在OSI参考模型中,将整个通信功能分为7层:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。如下图所示。每一层...
  • 笔记 局域网的基本概念和体系结构

    千次阅读 2020-02-25 17:18:35
    文章目录(一)局域网的特点(二)局域网的四种拓扑结构(三)局域网的传输介质(四)局域网的介质访问控制方法(1)CSMA/CD(2)令牌总线(3)令牌环(五)局域网的分类(1)以太网(2)令牌环网(3)FDDII网(Fiber ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,845
精华内容 1,138
关键字:

局域网概念