精华内容
下载资源
问答
  • 局域网LAN

    千次阅读 2017-04-14 20:29:52
    局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。 主要...

    局域网概念

    基本简介

    局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。

    主要特点

    广域网(WAN),就是我们通常所说的Internet,它是一个遍及全世界的网络。局域网(LAN),相对于广域网(WAN)而言,主要是指在小范围内的计算机互联网络。这个“小范围”可以是一个家庭,一所学校,一家公司,或者是一个政府部门。BT中常常提到的公网、外网,即广域网(WAN);BT中常常提到私网、内网,即局域网(LAN)。

    广域网上的每一台电脑(或其他网络设备)都有一个或多个广域网IP地址(或者说公网、外网IP地址),广域网IP地址一般要到ISP处交费之后才能申请到,广域网IP地址不能重复;局域网(LAN)上的每一台电脑(或其他网络设备)都有一个或多个局域网IP地址(或者说私网、内网IP地址),局域网IP地址是局域网内部分配的,不同局域网的IP地址可以重复,不会相互影响。

    广域网(WAN、公网、外网)与局域网(LAN、私网、内网)电脑交换数据要通过路由器或网关的NAT(网络地址转换)进行。一般说来,局域网(LAN、私网、内网)内电脑发起的对外连接请求,路由器或网关都不会加以阻拦,但来自广域网对局域网内电脑连接的请求,路由器或网关在绝大多数情况下都会进行拦截。无线局域网WLAN(Wireless Local Area Network)计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多,实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,限制了用户联网。

    WLAN就是解决有线网络以上问题而出现的。WLAN利用电磁波在空气中发送和接受数据,而无需线缆介质。WLAN的数据传输速率现在已经能够达到最高450Mbps,传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便的解决以有线方式不易实现的网络联通问题。

    基本术语

    局域网通常是分布在一个有限地理范围内的网络系统,一般所涉及的地理范围只有几公里。局域网专用性非常强,具有比较稳定和规范的拓扑结构。常见的局域网拓朴结构如下:

    星形结构

    这种结构的网络是各工作站以星形方式连接起来的,网中的每一个节点设备都以中防节为中心,通过连接线与中心 节点相连,如果一个工作站需要传输数据,它首先必须通过中心节点。由于在这种结构的网络系统中,中心节点是控制中心,任意两个节点间的通信最多只需两步,所以,能够传输速度快,并且网络构形简单、建网容易、便于控制和管理。但这种网络系统,网络可靠性低,网络共享能力差,并且一旦中心节点出现故障则导致全网瘫痪。

    树形结构

    树形结构网络是天然的分级结构,又被称为分级的集中式网络。其特点是网络成本低,结构比较简单。在网络中,任意两个节点之间不产生回路,每个链路都支持双向传输,并且,网络中节点扩充方便、灵活,寻查链路路径比较简单。但在这种结构网络系统中,除叶节点及其相连的链路外,任何一个工作站或链路产生故障会影响整个网络系统的正常运行。

    总线形结构

    总线形结构网络是将各个节点设备和一根总线相连。网络中所有的节点工作站都是通过总线进行信息传输的。作为总线的通信连线可以是同轴电缆双绞线,也可以是扁平电缆。在总线结构中,作为数据通信必经的总线的负载能量是有限度的,这是由通信媒体本身的物理性能决定的。

    所以,总线结构网络中工作站节点的个数是有限制的,如果工作站节点的个数超出总线负载能量,就需要延长总线的长度,并加入相当数量的附加转接部件,使总线负载达到容量要求。总线形结构网络简单、灵活,可扩充性能好。所以,进行节点设备的插入与拆卸非常方便。另外,总线结构网络可靠性高、网络节点间响应速度快、共享资源能力强、设备投入量少、成本低、安装使用方便,当某个工作站节点出现故障时,对整个网络系统影响小。因此,总线结构网络是最普遍使用的一种网络。但是由于所有的工作站通信均通过一条共用的总线,所以,实时性较差。

    环形结构

    环形结构是网络中各节点通过一条首尾相连的通信链路连接起来的一个闭合环形结构网。环形结构网络的结构也比较简单,系统中各工作站地位相等。系统中通信设备和线路比较节省。在网中信息设有固定方向单向流动,两个工作站节点之间仅有一条通路,系统中无信道选择问题;某个结点的故障将导致物理瘫痪。环网中,由于环路是封闭的,所以不便于搁充,系统响应延时长,且信息传输效率相对较低。

    其他资料

    局域网协议设置

    局域网中的一些协议,在安装操作系统时会自动安装。如在安装Windows2000或Windows95/98时,系统会自动安装NetBEUI通信协议。在安装NetWare时,系统会自动安装IPX/SPX通信协议。其中三种协议中,NetBEUI和IPX/SPX在安装后不需要进行设置就可以直接使用,但TCP/IP要经过必要的设置。所以下文主要以Windows2000环境下的TCP/IP协议为主,介绍其安装、设置和测试方法,其他操作系统中协议的有关操作与Windows2000基本相同,甚至更为简单。

    TCP/IP通信协议的安装

    在Windows2000中,如果未安装有TCP/IP通信协议,可选择“开始/设置/控制面板/网络和拨号连接”,右键单击“本地连接”选择“属性”将出现“本地连接属性”对话框,单击对话框中的“安装”按钮,选取其中的TCP/IP协议,然后单击“添加”按钮。系统会询问你是否要进行“DHCP服务器”的设置?如果你局域网内的IP地址是固定的(一般是这样),可选择“否”。随后,系统开始从安装盘中复制所需的文件。

    TCP/IP协议安装

    TCP/IP通信协议的设置

    在“网络”对话框中选

    择已安装的TCP/IP协议,打开其“属性”,将出现“Internet协议(TCP/IP)属性”的对话框。在指定的位置输入已分配好的“IP地址”和“子网掩码”,不知道可以去询问网络管理员。建议在安装系统前记下此号码,毕竟求人不如求己嘛。如果该用户还要访问其它Widnows2000网络的资源,还可以在“默认网关”处输入网关的地址。

    TCP/IP通信协议的测试

    当TCP/IP协议安装并设置结束后,为了保证其能够正常工作,在使用前一定要进行测试。我建议大家使用系统自带的工具程序:PING命令,该工具可以检查任何一个用户是否与同一网段的其他用户连通,是否与其他网段的用户连接正常,同时还能检查出自己的IP地址是否与其他用户的IP地址发生冲突。

    假如服务器的IP地址为190.201.2.1,如要测试你的机器是否与服务器接通时,只需切换到DOS提示符下,并键入命令“PING190.201.2.1”即可。如果出现类似于“Replyfrom190.201.2.1……”的回应,说明TCP/IP协议工作正常;如果显示类似于“Requesttimedout”的信息,说明双方的TCP/IP协议的设置可能有错,或网络的其它连接(如网卡、HUB或连线等)有问题,还需进一步检查。

    定义

    为了完整地给出LAN的定义,必须使用两种方式:一种是功能性定义,另一种是技术性定义。前一种将LAN定义为一组台式计算机和其它设备,在物理地址上彼此相隔不远,以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连在一起的系统。这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN。

    就LAN的技术性定义而言,它定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。

    功能性和技术性定义之间的差别是很明显的,功能性定义强调的是外界行为和服务;技术性定义强调的则是构成LAN所需的物质基础和构成的方法。

    局域网(LAN)的名字本身就隐含了这种网络地理范围的局域性。由于较小的地理范围的局限性,LAN通常要比广域网(WAN)具有高的多的传输速率,例如,目前LAN的传输速率为10Mb/s,FDDI的传输速率为100Mb/s,而WAN的主干线速率国内目前仅为64kbps或2.048Mbps,最终用户的上线速率通常为14.4kbps。

    LAN的拓扑结构目前常用的是总线型和环行。这是由于有限地理范围决定的。这两种结构很少在广域网环境下使用。

    LAN还有诸如高可靠性、易扩缩和易于管理及安全等多种特性。

    WLAN的优点

    安装便捷

    一般在网络建设当中,施工周期最长、对周边环境影响最大的就是网络布线的施工了。在施工过程时,往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了这部分繁杂的网络布线的工作量,一般只要在安放一个或多个接入点(AccessPoint)设备就可建立覆盖整个建筑或地区的局域网络。

    使用灵活

    在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦WLAN建成后,在无线网的信号覆盖区

    域内任何一个位置都可以接入网络,进行通讯。

    经济节约

    由于有线网络中缺少灵活性,这就要求网络的规划者尽可能地考虑未来的发展的需要,这就往往导致需要预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划时的预期,又要花费较多费用进行网络改造。而WLAN可以避免或减少以上情况的发生。

    易于扩展

    WLAN有多种配置方式,能够根据实际需要灵活选择。这样,WLAN能够胜任只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。

    由于WLAN具有多方面的优点,其发展十分迅速。在最近几年里,WLAN已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应用。

    据权威调研机构CahnersIn-StatGroup预计,全球无线局域网市场将在2000年至2004年保持快速增长趋势,每年平均增长率高达25%。无线局域网市场的网卡、接入点设备及其他相关设备的总销售额也将在2000年轻松突破10亿美元大关,在2004年达到21.97亿美元

    局域网安全

    目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。

    当前,局域网安全的解决办法有以下几种:

    网络分段

    网络分段通常被认

    为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DEC MultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。

    以交换式集线器代替共享式集线器

    对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。

    因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。

    VLAN的划分

    为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。

    目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。

    在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。

    VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普遍采用的DECMultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。

    无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch PortAnalyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。

    局域网常见故障及排除方法

    1.网络不通

    这是最常见的问题,解决问题的基本原则是先软后硬。

    (1)先从软件方面去考虑,检查是否正确安装了TCP/IP协议,是否为局域网中的每台计

    算机都指定了正确的IP地址。

    (2)使用Ping命令,看其他的计算机是否能够Ping通。如果不通,则证明网络连接有问

    题;如果能够Ping通但是有时候丢失数据包,则证明网络传输有阻塞,或者说是网络设备接

    触不大好,需要检查网络设备。

    (3)当整个网络都不通时,可能是交换机或集线器的问题,要看交换机或集线器是否在

    正常工作。

    (4)如果只有一台电脑网络不通,即打开这台电脑的“网络邻居”时只能看到本地计算

    机,而看不到其他计算机,可能是网卡和交换机的连接有问题,则要首先看一下RJ-45水晶

    头是不是接触不良。然后再用测线仪,测试一下线路是否断裂。最后要检查一下交换机上的

    端口是否正常工作。

    2.连接故障

    (1)检查RJ45接口是否制作好,RJ45是10BASE-T网络标准中的接口形式,现在被广

    泛使用,其内部有8个线槽,线槽含义遵循EIA/TIA568国际标准,在10BASE-T网络中1、

    2线为发送线,3、6线为接收线。在双机进行连接的时候,其中的1、3、2、6线需要对调。

    否则也会造成网络的不通。

    (2)检查HUB或者交换机的接头是否有问题,如果某个接口有问题,可以换一个接口来

    测试。

    3.网卡故障

    (1)网卡的问题不太明显,所以在测试的时候最好是先测试网线,再测试网卡,如果有

    条件的话,可以使用测线仪或者万用表进行测试。

    (2)查看网卡是否正确安装驱动程序,如果没有安装驱动程序,或者驱动程序有问题,

    则需要重新安装驱动程序。

    (3)硬件冲突。需要查看与什么硬件冲突,然后修改对应的中断号和I/O地址来避免冲

    突,有些网卡还需要在CMOS中进行设置。

    4.病毒故障

    互联网上有许多能够攻击局域网的病毒,如红色代码、蓝色代码、尼姆达等。某些病毒

    除了使计算机运行变慢,还可以阻塞网络,造成网络塞车。对付这些新病毒,大多数病毒厂

    商,例如瑞星,KV3000等都在其主页上设有对付的办法。在这里一定要注意,不要按照平

    常的杀毒办法杀毒,必须对杀毒软件进行定时的升级。

    无法访问

    一、测试网络

    1、首先点击win7系统中的“开始”—“运行”,然后在运行对话框中键入“cmd”命令后按回车;

    2、在打开的命令提示符窗口中,输入“ipconfig /all”,按下回车键,显示其网络配置,检查IP地址,子网掩码,默认网关,DNS服务器地址是否正确。

    3、在命令提示符窗口,输入“ping 127.0.0.1”命令后执行,观察网卡能否转发数据,当连续出现“Reply from 127.0.0.1:bytes=32 time《1msTTL=128”,则说明网络网卡配置正确,如果连续出现“Request timed out”,则说明网络配置错误或网络有故障。

    二、检查DNS解析的操作步骤

    1、如果能ping通,但是却无法登陆互联网,则可使用nslookup命令测试DNS解析是否正确;

    2、在命令提示符窗口中输入“nslookup www.cfan.com”,并按回车,当出现“Timed out”的提示时,则表示重试一定时间和一定次数之后,服务器没有响应请求,当出现“No response from server”的提示时,则表示服务器上没有运行DNS名称服务器;

    3、如果经上述检测,电脑都正常通过,则网络正常,否则就可能是网络有不同程度的问题,可按照出现问题的位置进行解决即可。[1]

    无线局域网安全技术

    通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联接起来时,架设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。WLAN就是解决有线网络以上问题而出现的,WLAN为WirelessLAN的简称,即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。与有线网络相比,WLAN最主要的优势在于不需要布线,可

    以不受布线条件的限制,因此非常适合移动办公用户的需要,具有广阔市场前景。目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去,甚至开始进入家庭以及教育机构等领域。无线局域网与传统有线局域网相比优势不言而喻,它可实现移动办公、架设与维护更容易等。Frost&Sullivan公司预测无线局域网络市场在2005年底将达到50亿美元。在如此巨大的应用与市场面前,无线局域网络安全问题就显得尤为重要。人们不禁要问:通过电波进行数据传输的无线局域网的安全性有保障吗?

    对于无线局域网的用户提出这样的疑问可以说不无根据,因为无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(AccessPoint)的服务区域中,任何一个无线客户端都可以接收到此接入点的电磁波信号。这样,非授权的客户端也能接收到数据信号。也就是说,由于采用电磁波来传输信号,非授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,从无线局域网应用的第一天开始便引入了相应的安全措施。

    实际上,无线局域网比大多数有线局域网的安全性更高。无线局域网技术早在第二次世界大战期间便出现了,它源自于军方应用。一直以来,安全性问题在无线局域网设备开发及解决方案设计时,都得到了充分的重视。目前,无线局域网络产品主要采用的是IEEE(美国电气和电子工程师协会)802.11b国际标准,大多应用DSSS(DirectSequenceSpreadSpectrum,直接序列扩频)通信技术进行数据传输,该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。802.11标准主要应用三项安全技术来保障无线局域网数据传输的安全。第一项为SSID(ServiceSetIdentifier)技术。该技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络;第二项为MAC(MediaAccessControl)技术。应用这项技术,可在无线局域网的每一个接入点(AccessPoint)下设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点(AccessPoint)将拒绝其接入请求;第三项为WEP(WiredEquivalentPrivacy)加密技术。因为无线局域网络是通过电波进行数据传输的,存在电波泄露导致数据被截听的风险。WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。

    下面我们从无线局域网安全技术的发展历程来对无线局域网中采用的主要安全技术及发展方向进行介绍。

    早期基本的无线局域网安全技术

    MAC过滤

    无线网卡物理地址(MAC)过滤:

    每个无线工作站网卡都由惟一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。

    如果企业当中的AP数量太多,为了实现整个企业当中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中Radius认证。

    服务区标识符(SSID)匹配:

    无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝他通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。

    在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。

    有线等效保密(WEP):

    有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。

    WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个ChallengePacket给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。40位WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的钥匙,提供更高等级的安全加密。

    802.11i(WPA)之前的安全解决方案

    802.11技术

    端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP):

    该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。

    802.1x要求

    无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。现主流的PC机操作系统WinXP以及Win2000都已经有802.1x的客户端功能。现在,安全功能比较全的AP在支持IEEE802.1x和Radius的集中认证时支持的可扩展认证协议类型有:EAP-MD5&TLS、TTLS和PEAP。

    无线客户端二层隔离技术:

    在电信运营商的公众热点场合,为确保不同无线工作站之间的数据流隔离,无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离,确保用户的安全。

    VPN-Over-Wireless技术:

    目前已广泛应用于广域网络及远程接入等领域的VPN(VirtualPrivateNetworking)安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案之一。

    2003年快速发展的WPA(Wi-Fi保护访问)技术

    在IEEE802.11i标准最终确定前,WPA(Wi-FiProtectedAccess)技术将成为代替WEP的无线安全标准协议,为IEEE802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。

    新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。TKIP与当前Wi-Fi产品向后兼容,而且可以通过软件进行升级。从2003年的下半年开始,Wi-Fi组织已经开始对支持WPA的无线局域网设备进行认证。

    高级的无线局域网安全标准—IEEE802.11i

    为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11工作组目前正在开发作为新的安全标准的IEEE802.11i,并且致力于从长远角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i标准草案中主要包含加密技术:TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard),以及认证协议IEEE802.1x。预计完整的IEEE802.11i的标准将在2004年的上半年得到正式批准,IEEE802.11i将为无线局域网的安全提供可信的标准支持。

    无线局域网安全技术的发展方向

    无线局域网总的发展方向是速度会越来越快(目前已见的是11Mbps的IEEE802.11b,54Mbps的IEEE802.11g与IEEE802.11a标准),安全性会越来越高。当然无线局域网的各项技术均处在快速的发展过程当中,但54Mbps的无线局域网规范IEEE802.11g及IEEE802.1X将是近期整个无线局域网业的热点。

    作为一名网管员来说,对无线局域网的安全防护应考虑以下防范点和措施:

    安全防范点:1.未经授权用户的接入2.网上邻居的攻击3.非法用户截取无线链路中的数据4.非法AP的接入5.内部未经授权的跨部门使用

    相应措施:1.使用各种先进的身份认证措施,防止未经授权用户的接入由于无线信号是在空气中传播的,信号可能会传播到不希望到达的地方,在信号覆盖范围内,非法用户无需任何物理连接就可以获取无线网络的数据,因此,必须从多方面防止非法终端接入以及数据的泄漏问题。

    2.利用MAC阻止未经授权的接入每块无线网卡都拥有唯一的一个MAC地址,为AP设置基于MAC地址的AccessControl(访问控制表),确保只有经过注册的设备才能进入网络。使用802.1x端口认证技术进行身份认证使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。

    3.使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译基本的WEP加密WEP是IEEE802.11b无线局域网的标准网络安全协议。在传输信息时,WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即设置WEP密钥。

    4.利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入在无线AP接入有线集线器的时候,可能会遇到非法AP的攻击,非法安装的AP会危害无线网络的宝贵资源,因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但AP需要确认无线用户的合法性,无线终端设备也必须验证AP是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP,则需要通过定期的站点审查来防止非法AP的接入。在入侵者使用网络之前,通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测。

    5.利用ESSID、MAC限制防止未经授权的跨部门使用。

    利用ESSID进行部门分组,可以有效地避免任意漫游带来的安全问题;MAC地址限制更能控制连接到各部门AP的终端,避免未经授权的用户使用网络资源。

    保障整个网络安全是非常重要的,无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。而无线网络相对来说比较安全,无线网段即或不能提供比有线网段更多的保护,也至少和它相同。需要注意的是,无线局域网并不是要替代有线局域网,而是有线局域网的替补。使用无线局域网的最终目标不是消除有线设备,而是尽量减少线缆和断线时间,让有线与无线网络很好地配合工作。

    参考

    一、发展中的IEEE802.1x无线局域网安全标准

    一开始,IEEE802.11提供了一些基本的安全机制,这使得无线网日益增强的自由较少潜在威胁。在802.11规范中通过有线同等保密(WiredEquivalentPrivacyWEP)算法提供了附加的安全性。这一安全机制的一个主要限制是:没有规定一个分配密钥的管理协议。因此,脆弱的安全机制使它不足以阻挡任何人,更何况是黑客的攻击。为了补救WEP在安全性上的不足,需要通过IEEE802.1x协议。802.1x是一个基于端口的标准草案。网络接入控制提供以太网的网络接入的鉴权。这种基于端口的网络接入控制使用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。如果认证过程失败,端口接入将被阻止。尽管此标准是为有线以太网设计,它也可用于802.11无线局域网。

    对无线网络来说,802.1x支持远程拨号用户签名服务(RemoteAuthenticationDial-InServiceRADIUS),接入点将采用对客户证书认证的RADIUS服务器作为网络接入的认证者。802.1x还支持集中式的Kerberos用户签名、验证和记账,并且实现了更强的协议。通信被允许通过一个逻辑"非控制端口"或信道来验证证书的有效性而通过一个逻辑"控制端口"来获得接入网络的密钥。新标准为每个用户和每个会话准备不同的密匙,并且密匙支持128bit的长度。密钥管理协议因而得以添加到802.11的安全性中。这种802.1x方式已被广泛采用而RADIUS鉴权的使用也在增加。如果需要的话,RADIUS服务器可以查询一个本地认证数据库。或者,请求也可以被传送给其他服务器进行有效性验证。当RADIUS决定机器可以进入网络时,将向接入点发送消息,接入点则允许数据业务流入网络。

    二、WindowsXP中针对以太网或无线局域网上服务器的安全性改进

    无线路由

    SecureWireless/EthernetLAN(安全无线/以太局域网)为您增强了开发安全有线与无线局域网(LAN)网的能力。这种特性是通过允许在以太网或无线局域网上部署服务器实现的。借助SecureWireless/EthernetLAN,在用户进行登录前,计算机将无法访问网络。然而,如果一台设备具备“机器身份验证”功能,那么它将能够在通过验证并接受IAS/RADIUS服务器授权后获得局域网的访问权限。WindowsXP中的SecureWireless/EthernetLAN在基于IEEE802.11规范的有线与无线局域网上实现了安全性。这一过程是通过对自动注册或智能卡所部署的公共证书的使用加以支持的。它允许在公共场所(如购物中心或机场)对有线以太网和无线IEEE802.11网络实施访问控制。这种IEEE802.1XNetworkAccessControl(IEEE802.1X网络访问控制)安全特性还支持ExtensibleAuthenticationProtocol(扩展身份验证协议,EAP)运行环境中的计算机身份验证功能。IEEE802.1X允许管理员为获得有线局域网和无线IEEE802.11局域网访问许可的服务器分配权限。因为,如果一台服务器被放置在网络中,管理员肯定希望确保其只能访问那些已在其中通过身份验证的网络。例如,对会议室的访问权限将只被提供给特定服务器,而来自其它服务器的访问请求将被遭到拒绝。

    展开全文
  • 企业局域网的组建步骤方法

    千次阅读 2019-04-17 10:53:13
    什么是局域网?所谓的局域网(Local Area Network,简称LAN),用于将有限范围内(例如一个实验室、一层办公楼或者校园)的各种计算机、终端与外部设备互联成网。企业局域网怎么建立?首先来了解下不同规模企业网络...

    什么是局域网?所谓的局域网(Local Area Network,简称LAN),用于将有限范围内(例如一个实验室、一层办公楼或者校园)的各种计算机、终端与外部设备互联成网。企业局域网怎么建立?首先来了解下不同规模企业网络组建方式。

      10人以下企业网络组建

     

      10人以下,规模比较小的公司一般对网络应用需求较低,由于人数少,基本也不存在划分VLAN(虚拟局域网)的需求,所以,选择一个多口的交换机就足够了。

     

     

      10人-100人规模的企业,需要路由功能和子网划分

     

      满足这类需求,一般比较合适的是路由器+交换机的配置。路由器提供内网和外网的链接和VLAN(虚拟局域网)的划分,以及各种防火墙和路由功能的配置。而交换机一头连到路由器上,作为一个子网,另一头链接子网中的各台终端。划分几个子网,则从路由连出几台交换机即可。组建结构如下图:

     

     

    企业局域网的组建步骤和方法


     

      现在比较流行的公司局域网一般选择树形拓扑结构进行组建(星型拓扑的延伸)。树形拓扑结构有以下优点:1、易于故障的诊断;2、易于网络的升级。

     

     

      路由器和交换机的区别


     

    企业局域网的组建步骤和方法


     

     

      1、交换机主要是实现大家通过一根网线上网,但是大家上网是分别拨号的,各自使用自己的宽带,大家各自上网没有影响,哪怕其他人在下载,对自己上网也没有影响,并且所有使用同一台交换机的电脑都是在同一个局域网内。

     

     

      2、路由器比交换机多了一个虚拟拨号功能,通过同一台路由器上网的电脑是共用一个宽带账号,大家之间上网是相互影响的,比如一台电脑在下载,那么同一个路由器上的其他电脑会很明显的感觉到网速很慢。同一台路由器上的电脑也是在一个局域网内的。

     

     

      再举例说明:路由器和交换机之间的区别

     

     

      我们知道路由器一般有5个端口,其中一个为WAN端口,与宽带线相连接的,其他四个端口是用来连接上网电脑的,也就是说一个路由器最多可支持4台电脑共享上网,要实现更多电脑共享一根宽带线怎么办?那么,这个时候我们就需要用到交换机了。交换机与路由器不同,交换机一般拥有至少8个以上端口,我们只需要将路由器中1-4个端口中的其中一根端口的网线与交换机任意端口连接,交换机其他端口就又可以连接很多电脑实现上网了。这么一来,一根网线通过路由器结合交换机的连接,就可以远远实现大于4个人共享上网了,交换机在这里的作用相当于增加网线端口,可以理解为分流,一个变N个端口。

     

     

      交换机可以代替路由器吗?

     

     

      路由器可以当交换机用,但普通交换机不可能当路由器用。交换机可以将多台电脑连接起来,与交换机互连的电脑本身则具备了互相通信的功能,组建成了一个内部局域网,可以实现公司内部通讯,无法访问外网(也就是互联网)。如果需要访问互联网,还需要有网络支持,也就是交换机一端需要连接到路由器,路由器即可实现交换功能;还可以拨号,实现宽带连接,并将宽带资源分配个交换机使用,这样就实现了多台电脑共享上网。

     

     

      温馨提醒:路由器当交换机用,一定要把路由器的IP地址改掉,否则IP地址冲突大家都上不了网,还要关掉DHCP功能,否则影响电脑自动获取IP。不建议公司把路由器当交换机用,因为,即便路由器间不互相冲突能正常上网,但绝对会影响网速。进而影响工作效率,因此对于中小企业来说,一台路由器和一台交换机是必须具备的网络设备

     

     

      一台路由器能带多少台机?

     

     

      就无线路由器来说,一个无线路由器号称可以带机200台。一条网线,如果只用来看网页也许带几十台电脑都没问题,但是如果有几台电脑不限速下载,那网络就接近瘫痪。就实际接线而言,通常普通路由器有5个端口,WAN端口用来接网线,剩余4个端口,每个端口只能接一台电脑。如果要实现很多台电脑上网的话,就要用到交换机。对企业路由器来说,企业在选择一款适用的路由器时,必然要考虑路由的端口数。市场上的选择很多,可以从几个端口到数百个端口,用户必须根据自己的实际需求及将来的需求扩展等多方面来考虑。一般而言,对于中小企业来说,几十个端口一般都能满足企业的需求;真正重要的是对大型企业端口数的选择,一般都要根据网段的数目先做个统计,并对企业网络今后可能的发展做个预测;然后再做选择,从几十到几百个端口,可以根据需求进行合理选择。

     

     

      一台交换机能带几台机?

     

     

      交换机设备的端口数量是交换机最直观的衡量因素,通常此参数是针对固定端口交换机而言,常见的标准交换机固定端口数有8、12、16、24、48等几种。而非标准的端口数主要有:4端口,5端口、10端口、12端口、20端口、22端口和32端口等。一般来说端口数决定了接机数,固定端口交换机虽然相对来说价格便宜一些,但由于它只能提供有限的端口和固定类型的接口,因此,无论从可连接的用户数量上,还是所从可使用的传输介质上来讲都具有一定的局限性,但这种交换机在工作组中应用较多,一般适用于小型网络、桌面交换环境。

     

     

      交换机哪种比较好?

     

     

    企业局域网的组建步骤和方法

     


     

      对于100人至500人的企业,重视内网的速率

     

     

      满足这类需求的,一般采用三层交换机+二层交换机的方案。三层交换机作为网络的核心,提供网络的配置、划分和各个VLAN间的数据交换,而每个VLAN由二层交换机组建。网络主干设备的选择,建议网络主干设备或核心层设备选择具备第3层交换功能的高性能主干交换机。如果要求局域网主干具备高可靠性和可用性,还应该考虑核心交换机的冗余与热备份方案设计。汇聚层或接入层的网络设备类型,通常选择普通交换机即可,交换机的性能和数量由入网计算机的数量和网络拓扑结构决定。

     

     

      二、带宽需求

     

     

      一般而言百兆位以太网应该可以满足公司数据流量,如果具有前瞻性选择那么就需要千兆以太网。

     

     

      企业宽带接入方式有哪些?大中小企业宽带接入方案

     

     

    企业局域网的组建步骤和方法

     

     

      以ADSL接入为例,组网如下:

     

     

    企业局域网的组建步骤和方法


     

      总结:企业无论是通过局域网、专线还是无线接入技术方式访问Internet,都存在如何接入广域网的问题。目前,发展宽带网络建设的障碍不在主干网。因为各类广域网的主干网基本都是采用光纤传输技术,一般都属于高速传输系统。从中心局到用户的传输线路往往传输速度很低,这也就是我们经常说到的网络接入基础设施的建设是制约宽带网络建设的真正“瓶颈”,也就是“一公里问题”。因此,有必要了解和掌握目前主要的网络接入技术,合理选择网络各种网络接入方案,组建科学、合理、实用、经济的局域网络通信系统。

     

     

      三、综合布线设计

     

     

      企业组网布线不仅要从企业本身的实际需求出发,根据企业的成本预算规划与设计网络;同时需要有网络设备和服务器等设备的支持,如何对机房、办公地点进行合理的网络布局与布线,对于网管员是至关重要。局域网布线设计的依据是网络的分布结构。目前公司的网路分布图应该根据装修图纸自行设计,一般的原则最好是路由器和交换机集中放在一个相对中心的位置,而且需要具有通风能降温的设备。布线前首先应该了解办公室办公桌的摆设位置,什么地方可以开槽埋线,什么地方不可以埋线?同时要了解公司的网络需求,什么地方要上网?什么地方有电话?机柜应该放哪里?经理办公室的信息点应该打在哪?心里一定要有数。

     

     

      布线的原则应该有以下几点考虑

     

     

      1、实用性:适应企业现在和将来发展的需要,具有数据通信、图像通信和语音通信的功能。

     

     

      2、灵活性:布线系统中任一信息点能够很方便地与多种类型设备(如电话、计算机、打印机以及传真等)进行连接。

     

     

      3、可扩展性:布线系统具有较强的可扩展性,在将来需要时可以很容易地将所扩充的设备连接到系统中来,实现各种网络服务与应用。

     

     

      4、经济性:综合布线系统是一种既具有良好的初期投资特性,即在今后若干年中不增加新的投资情况下仍能保持办公室的先进性,又是具有极高的性能价格比的高科技产品。通常情况下,综合布线系统的使用寿命为15年。

     

     

      网线的选择

     

     

      布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时,最好使用专门的通道,而且不要与电源线,空调线等具有辐射的线路混合布线。同时可以选择超五类屏蔽双绞线,以使网络性能得到最大的提升。

     

     

      网络布局规划与设计

     

     

      网络设备的放置,最好放在节点的中央位置,不但节约综合布线的成本,同时提高网络的整体性能,提高网络传输质量。目前的网络设备大都采用机架式的结构,如交换机、路由器、硬件防火墙等。而它们都放置在按国际标准设计的机柜中,这样做不但可以使设备占用最小的空间,同时便于与其它网络设备的连接和管理,此外机房内也会显得整洁、美观。

     

     

      企业的网络布局要考虑到设备,一般来说,网络设备如交换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的;服务器机柜的宽度为19英寸,机柜内按U的高度有可拆卸的滑动拖架,用户可以根据自己服务器的标高灵活调节高度,以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后,它的所有I/O线全部从机柜的后方引出,同时统一安置在机柜的线槽中,并且贴有网线标号,便于发生网络故障时有效管理。

     

     

      在网络布局中,每个机柜留一定空间,便于以后网络设备、服务器设备的扩充,综合布线柜里有可能除了网络布线外,还有能布置电话线,所以要在机柜里留下一定空间。而对于机柜来讲,必须提供充足的线缆通道,保证网线能从机柜顶部、底部进出。此外减少线缆的空间占用,保证设备安装、调整、维护过程中,不受到布线的干扰,并保证散热气流不会受到线缆的阻挡;同时,在故障情况下,能对设备布线进行快速定位。

     

     

      总结:合理完善的企业组网布线不仅对日后服务器维护的有着深远意义,同时在企业的成本方面,可以通过有效的组网布线减少日后升级扩展等大范围的改动布局架构以及便于网管员更加有效的维护设备和系统。此外,企业合理组网布线对于设备机房在散热方面更有优势,体现了倡导的绿色环保,简化IT的理念。

     

     

      四、网络设备的选择

     

     

      中小企业如何选购网络设备

     

     

      中小企业使用的主要网络设备大多不外乎路由器、交换机,首先,简述一下路由器交换机的区别。从技术角度来说,交换机是工作在网络的数据链路层,主要功能是数据包的转发;其工作原理用一句话概括,就是根据数据帧中的源地址和目标地址,建立映射,建立路径并完成发送。而路由器相对要复杂一些。它是工作在网络层,其主要功能是连接不同的网络(例如局域网和广域网),实现网间互联,并通过IP寻址技术,寻找最佳路径并完成传递。至于我们常说的三层交换机,就是具有一定“路由”功能的交换机。简而言之,交换机快一些,路由器慢一些;交换机配置简单些,路由器配置复杂些;交换机功能比较少,路由器功能较多;交换机是基于MAC的,路由器是基于IP的。交换机的核心是“交换”,顾名思义,同等级的网络之间才能有交换的资格,而路由器重在“路由”。

     

     

      根据实际需求,选择网络设备

     

     

      首先确定你的公司是否有连接不同网络的需求,例如是否需要连接外部网络和局域网?是否有复杂的网络配置要求?如果有,那么路由器是最佳的选择之一,

     

     

      路由器有线好还是无线好?

     

     

      从地理位置和受外部环境因素影响,有线路由器要比无线路由器更加稳定、信号更强。有线路由器一般采用的是RJ45双绞线来连接终端设备,而无线路由器采用的是无线信号连接终端,之所以说无线路由器没有有线路由器稳定的原因在于无线路由器受外部因素的影响过大。比如空间、周围环境都会导致无线信号减弱,而有线路由器最大缺点是不能超过定义的长度,而无线路由器在空旷地带一般可以达到300米的辐射范围,但缺点存在蹭网的危险;当然,如果仅仅是简单的小型内部局域网的组建,一个交换机就足够了。

     


     

    企业局域网的组建步骤和方法

     


     

      企业级路由器和家用路由器的区别

     

     

      有些公司在部署无线网络时选用的是家用路由器,导致公司内部的无线网络非常不稳定,影响工作效率,大大降低。实际上,这种做法是非常不正确的,因为家用路由器往往都是根据家庭使用环境设计的。

    如果应用在企业中,稳定性和安全性都难以保证,所以企业如果要想进行无线覆盖,一定要选择专业的企业级路由器。相比于家用路由器,企业级路由器在这方面性能更优越,能够满足更多人高速上网。企业级路由器大多采用高主频网络专用处理器,数据处理能力强,具有更远的传输距离,更大的覆盖面积,可以大幅度提高网络的传输速度和吞吐能力,运行也十分稳定,更好地满足企业多人高速上网需求。

     

     

      家用路由器由于各种协议较少,所以一般都不支持内/外部攻击防御,防止病毒、木马和黑客的侵扰等功能,很难为企业提供多种安全保护。企业路由器与家用路由器相比,企业级路由器在工业设计上更加专业精致,能够支持长时间的不停使用,更加适合企业的应用环境。所以,对于企业来讲,在进行无线覆盖部署时,一定要选择专业的企业级路由器,如果为了节约成本而选择家用路由器,肯定会对网络的安全和稳定性造成影响,这样只会为企业带来更大的损失。

    展开全文
  • 局域网和城域网(一)1.局域网体系标准2.数据链路LLCMAC3.交换式以太网4.高速以太网5.虚拟局域网VLAN 1.局域网体系标准 考点1: 局域网:单一机构所拥有的专用计算机网络,中等规模地理范围,实现多种设备...

    1.局域网体系和标准

    考点1:

    局域网:单一机构所拥有的专用计算机网络,中等规模地理范围,实现多种设备互联,信息交换和资源共享

    考点2:LAN/MAN的IEEE802标准,重点掌握:802.3,802.11,802.16

    802.3:研究以太网介质访问控制协议CSMA/CD及物理层技术规范

    802.11:研究无线局域网(WLAN)的介质访问控制协议及物理层技术规范

    802.16:宽带无线接入工作组,开发2-66Hz的无线接入系统空中接口

    2.数据链路LLC和MAC

    考点3:

    介质访问控制MAC子层:负责介质访问控制机制的实现,即处理局域网中各站点对共享通信介质的争用问题,不同类型的局域网通常使用不同的介质访问控制协议,另外MAC 子层还涉及局域网中的物理寻址。局域网体系结构中的MAC子层和LLC子层共同完成类似于OSI参考模型中数据链路层的功能,将数据组成帧进行传输,并对数据帧进行顺序控制、差错控制和流量控制,使不可靠的链路变为可靠的链路

    考点4:

    逻辑链路控制LLC子层:负责屏蔽掉MAC子层的不同实现,将其变成统一的LLC界面,从而向网络层提供一致的服务

    考点5:

    CSMA/CD协议(载波监听多路访问):站在发送数据之前,先监听信道上是否有别的站发送的载波信号。若有,说明信道正忙,否则说明信道是空闲的,然后根据预定的策略决定:

    (1)若信道空闲,是否立即发送
    (2)若信道忙,是否继续监听

    监听算法:
    (1)非坚持型:有礼貌,等一会下楼
    (2)1坚持性:霸道点,一直要下楼
    (3)P坚持性:和事佬,概率等下楼

    监听算法信道空闲时信道忙时特点
    非坚持型监听算法立即发送等待N,再监听减少冲突,信道利用率降低
    1-坚持型监听算法立即发送继续监听提高信道利用率,增大了冲突
    P-检测型监听算法以概率P发送继续监听有效平衡,但复杂

    考点6:

    最小帧长计算:为了检测到冲突。
    公式:L=2R×d/v

    其中,R为网络数据速率,d为最大段长,v为信号传播速度

    二进制后退指数算法:后退时延的取值范围与重发次数n形成二进制指数关系

    (1)考虑网络负载变化

    (2)后退次数和负载大小有关

    (3)重发次数最大为16,然后上报高层协议

    3.交换式以太网

    考点7:

    以太网:是一种计算机局域网技术

    交换式以太网:是以交换式集线器(switching hub)或交换机(switch)为中心构成,是一种星型拓扑结构的网络

    4.高速以太网

    考点8:

    快速以太网(100Mbps):IEEE802.3u标准,基于10Base-T和10Base-F

    千兆以太网(1000Mbps):作为主干网提供无阻塞的数据传送服务,由IEEE 802.3-2005标准定义

    万兆以太网(10Gbps):802.3ae标准,速率可达万兆(10Gbps),只支持光纤,只支持全双工,不再采用CSMA/CD,可用于城域网

    5.虚拟局域网VLAN

    考点9:

    虚拟局域网VLAN概念:根据管理功能,组织机构或应用类型,对交换局域网进行分段而形成的逻辑网络

    可用于基站之间或者专线用户之间的业务隔离;每个基站或者每个业务属于一个独立的局域网

    VLAV划分的优点:

    (1)控制网络流量

    (2)提高网络的安全性

    (3)灵活的网络管理

    考点10:

    VLAV划分方式:

    静态分配:

    (1)基于端口

    动态分配:

    (2)基于MAC地址

    (3)基于协议

    (4)基于子网

    (5)基于策略

    不同VLAN之间通信:需要路由器或三层交换机

    考点11:

    VLAN标准802.1q:在原来的以太帧增加了4B的控制信息,其中包含12位VLAN标识符VID。可用4094个VLAN

    考点12:

    交换机端口之间的连接:接入链路连接Access(通过单个VLAN)和中继链路连接Trunk(通过多个VLAN)

    展开全文
  • 局域网网络监控透明文件加密全攻略关键词:局域网,网络监控,全攻略,监控软件,监控原理,网络监控软件,上网行为管理,内网管理,透明文件加密,反复制,信息安全,流量监控,网桥模式,QQ聊天记录监控,驱动,WINPCAP缺点 第...

    局域网网络监控透明文件加密全攻略

    关键词:局域网,网络监控,全攻略,监控软件,监控原理,网络监控软件,上网行为管理,内网管理,透明文件加密,反复制,信息安全,流量监控,网桥模式,QQ聊天记录监控,驱动,WINPCAP缺点

     

    第一章 什么叫局域网监控

    1、什么叫局域网(简称为LAN):

    为了完整地给出LAN定义,必须使用两种方式:一种是功能性定义,另一种是技术性定义

    1)功能性定义:将LAN定义为一组台式计算机和其它设备,在物理地址上彼此相隔不远,以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连在一起的系统。这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN

    2)技术性定义:它定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。

    功能性和技术性定义之间的差别是很明显的,功能性定义强调的是外界行为和服务;技术性定义强调的则是构成LAN所需的物质基础和构成的方法。

    2、局域网监控网络监控的有效范围:

    就是定义在以监控点为基点半径没有跨越路由范围的LAN;通俗点说,就是以监控引擎电脑为中心出发没有穿过路由范围的局域网范围;这是因为局域网监控是需要捕获ISO模型中的第2层数据包(MAC层帧)以解析网络传输包协议以及确认监视对象为需求,而穿过路由后就无法捕获了;

    因此我们能简单地理解INTERNET用户之间是不能互相监视的,不然大家就互相看来看去了;当然更通俗一些的解释,比如我们能做的只是监控自己本单位范围的电脑;

     

    第二章 为什么需要网络监控

      计算机网络的普及应用已渗透到社会各个层面,给社会带来便利的同时也随之带来的安全和管理问题。互联网络是一把双刃剑;就如一个企业而言有些员工利用工作时间看新闻、玩游戏、干私活、聊天、泄密公司资料、炒股票、下电影、听歌曲、浏览色情站点、甚至在公司网上边拿老板工资边找工作等等。不仅仅消耗公司资源,更是因为影响公司效率、泄露公司机密、甚至丢失客户资源令人痛心。而利用局域网网络监控软件这非常有效的管理辅助手段并和企业的内部管理机制结合达到更加事半功倍的效果,已经成为大家的共识。

    一、为什么要使用局域网网络监控软件

    很多单位很舍得对网络以及电脑设备的投入,但却不舍得对应用软件特别是安全软件投入是不恰当的,如果组建了性能出色的网络环境以及购买了现代化的办公设备,但却成了沉迷、浪费公司人力和财力;甚至是纵容员工上班时间做单位之外的事情就成了问题;反而降低了工作效率,甚至导致更大损失;因此网络监控非常必要; 目前很多单位请了网络管理人员还建设了网站;但是把设备是管好了,可设备带来的方便却降低了工作效率(都用网络干别的事情去了),网络带来的客户因为员工缺乏管理而可能直接成为了竞争对手的客户了;因此仅购买设备是不够的,仅仅建设网站也是不够的,只管理设备也还是不够的,还需要把员工使用网络的内容监视和并把网络行为管理起来;特别是外贸企业、技术含量较高的企业(如软件、工程类)、政府关键部门等等对员工的上网监督管理的意义尤为重要。

    二、局域网网络监控软件主要目标:

      网络监控系统总体目标是能有效防止员工通过网络以各种方式泄密,实现对网络电脑及网络资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事、并能够记录网络往来的内容(比如外贸企业的定单过程),对电脑的各种端口和设备实施全面管理和控制,对用机、上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制;

     1)防止并追查重要资料、机密文件等外泄;

     2)监督、审查、限制、规范网络使用行为;

     3)限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为;

     4)备份重要网络资源文件(比如业务邮件);

     5)监视各种IM比如常用的QQ/MSN聊天记录内容和行为过程;

     6)流量限制以及网站访问统计,用于分析员工使用网络情况;

      。。。。。。

     

      小结:不同人、不同单位、不同时间会产生不同的需求,我们无法一概而论你的所有的需求,只能说提供一些决策建议参考,以及产品实际测试为条件下的决策比对;或许你并不想监控别人但问题是员工不这么遵守你的那些制度或纪律,或员工反过来监控你的邮件或上网;所以应充分理解中国人团队管理或群体管理的特点;美国人可能定个制度更有用一些,而中国人更需要的是人性的管理加上必要的工具;

     

    第三章 局域网监控都监控什么?

    局域网监控一般分为上网监控内网监控,特别提醒:应针对自己实际的环境和需求真实认真地测试,任何的好产品或好软件都不会怕你真实测试比较的;因此测试是最关键;

    一、上网监控

    针对局域网内电脑上互联网,监视内容和上网行为过程并可控制访问过程等;一般应包含以下功能:

    通过局域网内任何一台计算机监视、记录、控制其他计算机的上网行为;自动拦截、管理、备份局域网内所有电脑收发E-mailWebmail发送监视、浏览的网页、聊天行为、游戏行为、流量监视和流量限制、MSN聊天内容监控、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、BT下载禁止以及FTP上下传输内容的软件;用于全程监视和控制管理网络内所有用户上外网过程。能够探测、拦截、收集、禁止和管理整个上网资源,规范网络有效合法使用。防止单位重要资料机密文件等的泄密;监督审查网络使用行为;备份重要网络资源文件;限制邮件、网站、聊天、游戏、股票、下载、流量以及自定义网络应用等行为,并可以做为软网关运行;不需要在被监视和管理电脑上安装任何软件,一机运行整网管理;可以在普通交换机下任何一台安装;不需要任何特别的安装设备或环境要求。不需要HUB(集线器)也不需要镜像交换机;(以下是应具备的基本功能模块,提供用户决策比较参考)

    1、上网行为和内容监视:

    包括:上网浏览监视、邮件收发监视、聊天行为监视、游戏行为监视、FTP监视、流量监视、自定义监视;WEBMAIL监视等;

    1)能实时记录局域网内所有用户浏览过的网页(包括网页标题、网页内容、所属网站、网页大小等),并以网页快照形式供管理者查看;

    2)能实时记录局域网内所有收发的邮件,同时检测并记录其所用的IP地址、收发时间、标题、收件人/发件人、附件、内容及邮件大小等信息;Webmail发送监视;应支持常用的各种WEBMAIL发送监视(比如:yahoo.com.cnyahoo.cn163.com126.comqq.comfoxmail.comhotmail.comsina.comsohu.comtom.com263yeah.netchina.comvip.sina.com2008.sina.comlive.cn 188.com 21cnsogou.comWEB邮箱发送监视);

    3)能实时监控局域网用户对各类聊天工具使用情况,检查出在线用户所使用的聊天工具、上下线时间、MSN聊天记录内容等信息并保存;

    4)能实时记录网内所有用户通过FTP协议上传下载的文件(服务地址以及内容);

    5)能监视所有网络游戏行为,并可以自己定义需要监视的网络游戏;

    6)能监视用户即时流量、历史流量和流量排行;并提供丰富报表和图示分析;

    7)能通过增加控制规则的方法,自定义任何网络应用作为监视并控制;

    8)能针对具体对象(比如一个电脑)或分组(比如部门)访问网站过程进行严格的访问记录统计;

    2、通用、全系列、整网络、自定义、端口级的上网行为控制

    包括:网站浏览控制、邮件收发控制、聊天行为控制、游戏行为控制、自定义行为控制、端口级控制;所有的控制都可针对3层对象(一个网络、一个分组、一个电脑);都可针对指定的时段;都可针对指定的协议TCP/UDP;可通用的自由定义;全系列端口级别管理;

    1)可禁止浏览所有网站、只允许浏览指定网站(白名单)、禁止浏览指定网站(黑名单)

    2)可禁止收发邮件、只允许收发指定邮局(白名单)、禁止收发指定邮局(黑名单)

    3)可禁止所有的聊天行为(比如QQ/TMMSNICQYAHOO、新浪UCPOPOE话通/DoshowKDTAOL、贸易通等),并可以自行增加聊天行为控制列表;

    4)可禁止所有的网络游戏(比如联众、中国游戏中心、QQ游戏等);并可自行增加网络游戏行为控制列表

    5)可禁止下载行为或限制下载流量,比如BT软件、KUGOO等;

    6)可通过模糊控制方法限制通过网站模式下载指定格式的文件(比如电影文件);

    7)可采用网页限制模糊控制方法,禁止所有WEBMAIL收发;

    8)可进行严格完美的UDP/TCP整个网络段的全系列端口级别的控制,并支持黑名单和白名单功能;阻断UDP应用将立即起效并无任何副作用;

    3、上网内容过滤功能

    包括:对不需要监视的对象、内容、行为进行过滤(忽略监视),可针对3种对象(整个网络、分组、电脑);

    1)全部监视/不监视、或只监视部分应用;根据不同管理需要,可设置为某些对象监视、某些对象不监视(比如管理员和老板没有必要被监视),某些用户应用监视、某些应用不监视;由于网页监视很多广告垃圾而且比较消耗硬盘空间等资源,因此根据需要可过滤掉一些没有必要监视的网站(比如SINA的新闻);

    2)网站过滤白名单和黑名单功能;可设置只监视具体的一些网站,也可以忽略监视某些网站;

    4IPMAC绑定

    包括:禁止MAC地址修改、禁止所有IP地址修改、禁止部分IP地址修改;有效防止非法用户访问网络资源;防止ARP攻击;

    1)绑定IP地址后,被绑定的电脑将不允许修改IP地址,一旦修改将被禁止访问网络;

    2)绑定MAC地址后,被绑定电脑将不允许修改MAC地址,也就禁止私下更换网卡或搬外部电脑来上网;

    5、用户管理

    包括:分组增加删除、用户名修改、监视对象设置、手工增加和自动扫描、支持NETBIOSARP两种模式对所有VLAN网段扫描;

    1)自动搜索局域网内的电脑,并自动解析出机器名,默认以MAC地址区分用户;允许手工扫描和增加;

    2)允许建立分组并允许刷新分组,方便管理以及权限控制;所有分组将按照目前管理员设置的分组而不会受被监视电脑变更修改而改变分组设置;

    3)允许用户名修改,采用昵称方式方便识别和管理,分组权限移动后自然继承新分组权限;默认情况下用户是以MAC网卡地址为区分;可以根据管理之需要设置被监视的对象为哪些,也可以根据需要把相同权限的用户归在一个分组,更为方便的方式来设置管理权限;修改昵称后,无论对方修改为什么名字、什么IP地址,都能明确识别;

    6、流量监视与限制

    包括:针对具体的对象,能够详细准确监视其发生的流量;并能够限制其占据的流量带宽;用于限制恶性下载合理分配网络资源;

    7BT类下载禁止

    包括:采用ACL规则可实现完美的BT下载禁止,针对BT动态端口特点采用智能策略识别方法完美实现;

    8、透明软网关模式

    包含:监控机能够做为一个高性能的透明的软网关,给网内电脑共享上网;本身应提供了一个性能优异的透明软网关,用户能够通过引擎实现共享网络的目的,并结合网络监控软件本身强大的管理功能,实现限制、规范、监视和控制网络的目的;

    9、平台、跨网段、多出口、多网卡、千兆、无线环境监控

    包含:运行环境是WINDIWS,但被监控电脑可以是Unix Linux等任何其他操作系统;能够跨越无限多个VLANIP网段);支持多个不同的INTERNET出口和多个网卡;支持千M环境和无线网络环境中实施监控;

    10、上网数据备份和配置管理

    包含:允许定义数据保存或删除过时的数据;数据、配置和日志的查看、打印、备份恢复功能;简单容易的数据备份方式和海量存储模式;支持监视内容和配置文件的的海量模式备份、恢复;支持增量自动备份;

    11、网络行为审计功能

    包含:FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、协议包分析;

    12、其他功能应具备的功能

    1)采用C/S管理模式,支持分级权限管理。支持服务器和客户端程序分开,支持多客户连接,允许对不同控制台赋予不同的监控权限。如果是有固定外部IP并端口影射,应可以远程管理和查看;

    2)不需要在被监视和管理电脑上安装任何软件,一机运行,整网管理;同一个局域网只需任意一台电脑安装一套网络监控软件,就可以监视和管理整个网络;

    3)可以在普通交换机下任何一台安装,不需要任何特别的安装设备或环境要求。不需要HUB(集线器)不需要镜像交换机;不再需要老板或网管特权就可以安装使用;

    4)正式版安装以后,同一网段内其他机器上的试用版不能正常运行,用于保护正式用户的权利;

    5)采用连接密码管理禁止非法用户连接,采用控制台密码管理禁止非法用户查看;支持在线升级软件功能;

    6)引擎作为系统服务运行在后台(如IIS一样),不需要登陆和用户干预上电就可监控;引擎程序在操作系统核心层运行,这样能够穿越网络火墙的限制,并采用容错技术和系统进程,因此才能非常稳健和性能卓越;并提供自动在线升级功能;

     

      小结:以上功能上网行为监控软件的基本要求,随着技术的提高应增加更多的功能更好的性能,但这些应是起码要具备的了;无论是国家的技术标准还是单位的功能需求都应包含以上这些功能了;提供给你选择产品时比较参考;

     

    二、内网监控

    针对局域网内电脑本身的内容监视和行为管理,开机到关机的整个过程监视,和是否上INTERNET不存在必然的联系,一般包含以上功能:

    用于监视计算机开机后的所有操作情况,能够全程管理和控制内网电脑的全部过程;支持强大的远程桌面屏幕监视和录象、打印监视、文件操作监视、USB等硬件监视和禁止、ARP火墙、消息发布、日志报警、禁止聊天工具文件传输、软件资源监视和禁止、文件自动备份功能、窗口和消息监视、MSN/MSN shell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO/贸易通/google talk/淘宝旺旺/TM/QQ聊天记录监控等功能;需要在被监视电脑安装工作站软件;主要功能有:

    1、实时操作日志  

    1)实时详细地记录所有工作站的操作日志。包括工作站上窗口标题的变换、程序的启动关闭、浏览的网址、收发的邮件标题、创建删除文件等。

    2)窗口标题变化时实时截图屏幕,并实时上传到服务器。

    2、屏幕快照、屏幕追踪、屏幕回放 

    1)屏幕快照抓取员工计算机当前的工作屏幕;

    2)屏幕追踪能定时连续不断地追踪员工计算机的工作屏幕;屏幕截取的最短时间间隔为1秒;并能保存后回放

    3)窗口切换,同时系统定时截取屏幕数据,可供日后查询取证。采用先进数据压缩技术存储屏幕图像数据。

    3、应用程序使用记录、使用限制、使用统计

    1)详细记录各个应用程序的开启关闭的时间,运行时间,活动时间等信息;

    2)提供应用程序白名单和黑名单功能,方便地限制员工可以运行哪些程序,不能运行哪些程序;

    3)以图表的方式列出一定时间内员工使用应用程序的分析报告,精确地反应出员工工作态度。

    4、窗口变化记录

    1)详细记录员工计算机窗口变化情况,真实反应出工作情况,支持程序窗口标题限制;

    2)窗口变化时,自动记录屏幕数据,可以在屏幕回放时,清楚地了解员工对计算机的使用情况。

    5、文件及目录操作记录

    1)详细记录文件创建、重命名、删除的情况;(2)详细记录文件夹(目录)创建、重命名、删除等情况。

    6、打印机操作记录

    1)记录员工的打印机使用情况,包括打印的文档名、页数、打印时间等。

    7、硬件使用限制

    1)限制使用USB设备、USB存储设备、、光驱、软驱、打印机等硬件。支持移动磁盘、光盘刻录文件操作的监视;支持USB数码相机监视以及USB只读限制等;

    2)减少计算机受外界病毒的侵入, 防止企业机密信息外泄。

    8、软硬件清单资产管理、变化记录

    1)远程列出员工计算机的软件和硬件清单;

    2)可以方便企业的计算机软件和硬件资产管理;

    3)可以方便企业了解员工计算机内安装软件的情况。

    9QQ/MSN等常用IM聊天记录监视

      能够详细记录被监视电脑的YAHOO/贸易通/新浪UC/ICQ/AOL/E话通/SKYPE/MSN SHELL/GOOLE TALK/淘宝旺旺/TM/QQ聊天记录;能够导出、备份、保存、打印、查询;

    10、报警提示功能(移动磁盘拔插、工作站电脑修改IPMAC等);

    11Arp防火墙功能(可以在控制台设置客户机绑定指定的ARP信息);

    12、消息发送(可以从控制台给工作站发送消息);

    13、操作员审计(记录控制台操作员操作)

    14、禁止聊天工具传输文件

    15、工作站文件自动备份功能(自动备份工作站指定格式的文件到服务器)

     

      小结:以上功能是一个内网监控软件都应起码包含的基本功能,可提供用户决策比较参考,再此提示一定要实际环境全功能测试比较,测试才是最关键的;

     

      总结:以上描述了完整的网络监控软件应包含上网监视和控制+内网监视和控制,并提供了基本的决策参考比较时应包含的基本的功能模块分类;以实际环境实际测试为准;一个完整的网络监控产品和方案应包含内网监控和外网监控两个部分;

     

    第四章 局域网监控原理

    一、局域网抓包技术:

    1UNIX系统提供了标准的API支持

      1Packet socket

      2BPF(主要的流行手段)

      ABSD抓包法

    . BPF是一个核心态的组件,也是一个过滤器

    .  Network Tap接收所有的数据包

    .  Kernel Buffer,保存过滤器送过来的数据包

    .  User buffer,用户态上的数据包缓冲区

      BLibpcap(一个抓包工具库)支持BPF

    .  Libpcap是用户态的一个抓包工具

    .  Libpcap几乎是系统无关的

      CBPF是一种比较理想的抓包方案

    . 在核心态,所以效率比较高,.但是,只有少数OS支持(主要是一些BSD操作系统)

    2Windows平台上通过驱动程序来获取数据包

      1)驱动程序

      模式一、在核心层驱动,和WINDOWS操作系统核心结合紧密,效率非常高性能最好;因为网络火墙都在网络上层运行(也就是说在火墙核心层驱动上面运行),因此核心层驱动将不受网络火墙干扰;

      模式二、在网络层驱动, 虽然自己写的驱动容易控制管理但性能根本无法与核心层驱动比较;并受防火墙限制和干扰;

      2WinPcap驱动标准接口(目前国产网络监控软件90%采用)

      WINPCAP是目前免费的接口程序,支持100M通讯;但缺点也是同样明显的,可控制性很差导致很多功能都无法实现,只能监听模式无法网关模式导致流量限制、BT限制、UDP阻断方面等等天生的弱点;另外由于WINPCAP版本互相不兼容可能导致无法监控,无法识别千兆网卡或无法读到网卡列表;只能同时监控单网卡等;

     

    二、免费接口WINPCAP的缺点:

      网络监控软件目前市场上不少看花了眼,但其实90%产品是由于没有足够开发能力无法独立开发引擎驱动,这些低端产品都是采用国外免费的WINPCAP作为驱动程序,只是开发上层一些界面应用而已因此大同小异,他们共同的特点是必须要采用老式的10M共享式HUB或把交换机又变为HUB的镜像;这是由WINPCAP根本原理性缺陷决定的;所以原理上决定只能采用旁听模式也必然性能低下、功能缺乏;

    WINPCAP驱动是工作在协议高层所以必须接受火墙的管理因此首先效率很低、性能提高也就成了奢望;网络监控最核心的关键部分就是引擎驱动部分,所有的应用、功能、性能、安装方式等等都取决于此;

      WINPCAP的主要缺陷如下:

      1)免费开放的国外代码,因此安全性欠缺;原理上是采用旁听模式,所以无法阻断UDP应用,无法流量限制,并容易数据丢包;阻断规则有可能引起网络中断或无效;

      2)原理上决定不适合超过100个电脑的网络环境,如采用老式共享式HUB速度限制在10M带宽损失严重;如采用交换机镜像是共享100M方式,由于一些交换机本身的缺陷,采用镜像后会导致交换机阻塞现象的可能,因此网络带宽会大约损失40%

      3)由于是免费接口只提供总线抓包功能,所以不支持集群环境也不支持任何内网监控功能;

      4)由于是高层协议借口同时未提供适合监控的加密压缩数据库;所以不支持即时大规模数据存储,不适合大用户网络;不包含千M、无线网;如需支持多VLANVPN应采用镜像技术,需额外投资支持双向镜像技术的交换机并正确设置和维护;

      5)由于提供的接口都是通用的有限代码,缺乏良好的可控性,所以很多功能无法实现;

     

    小结:因此,通过以上分析我们知道了目前抓包的基本方法,以及市场上大部分产品因为没有足够能力开发引擎而只能采用免费的有很大缺陷的WINPCAP驱动接口来实现的事实;也明白了核心层驱动的优势,正因为如此卡巴7开始就采用了该技术了,以提供更好的功能性能;

     

    三、上网监控部分4种常见工作模式:

      网络监控或网络管理类软件其实都是围绕以下4种方式运行:

    1、网关模式:原理是把本机作为其他电脑的网关(设置被监视电脑的默认网关指向本机),分别可以作为单网卡方式和双网卡甚至多网卡方式,原始的PROXY模式目前基本淘汰了一般不再有人采用,目前常用的是NAT存储转发的方式;简单说有点像个路由器工作的方式;因此控制力极强,但由于存储转发的方式,性能多少有点损失;不过效率已经比较好了;缺陷是假如网关死了,全网就瘫痪了;

    2网桥模式原理是双网卡做成透明桥,而桥是工作在第2层的,所以可以简单理解为桥为一条网线,因此性能是最好的几乎没有损失;WINPCAP本身并不支持该模式;该模式可以说是最理想的了,即使桥坏了,只要简单做个跳线就可以了,因为桥是透明的可以看成网线,即使桥坏了就可以理解为网线坏了换一条而已;支持多VLAN、无线、千MM、以及VPN、多出口等等几乎所有的网络情况,原因很简单,因为透明桥嘛等于理解为那是网线而已;

    3、旁路模式:原理是使用ARP技术建立虚拟网关,只能适合于小型的网络,并环境中不能有限制旁路模式;路由或火墙的限制或被监视电脑安装了ARP火墙都会导致无法旁路成功,因为你一边在禁止旁路一边却正在旁路,所以自相矛盾;同时如网内同时多个旁路将会导致混乱而中断网络;但只要条件该方式是最简单的部署以及最方便的安装设置;

    4、旁听模式:原理是旁路监听,就如两个人电话边上有一个并机在听,因此效率就非常低了, 该模式需要采用共享式HUB或交换机镜像;可是如采用老式的共享式HUB将影响网络出口性能;如采用镜像模式,一方面需要投资支持双向的镜像交换机设备,另一方面需要专业的人设置镜像交换机,但有些交换机在阻断过程会导致交换机阻塞或降低网络性能;而根本的问题是很功能就失去了;旁听模式原理性缺陷导致UDP阻断无法完美实现,也会严重损失网络带宽,同时无法实现比如流量限制等很多功能;一般来说,至少损失40%以上的网络性能;而WINPCAP就是采用该模式工作的,正因为如此无论是性能功能就根本上决定了天生的缺陷;

     

    小结:以上我们谈到了局域网监控常见的抓包技术,以及核心层驱动的优势和潮流,以及WINPCAP的原理性根本缺陷;同时我们也说明了4个网络工作模式原理,而我们也明白了网桥模式是最理想的方式;每个网络环境可以权衡自己合适的工作模式,比如5用户就没有必要弄太复杂了,而500个电脑的网络当然就应选择网桥模式了;最适合自己的就是最好的,再次强调:真实测试才是硬道理;

     

    第五章 引擎驱动是核心根源

      我们刚才用了大量的篇幅来阐述驱动的原理,以及不同工作模式的原理和优势,之所谓这么罗嗦是因为引擎驱动是核心根源,说最通俗的话就是一个拖拉机的引擎无论如何包装都是无法变成宝马,而一只鸡蛋怎么也不会孵化出一只凤凰;非常清晰简单的道理;

      一、免费国外引擎驱动接口WINPCAP缺点:

      网络监控软件目前市场上不少看花了眼,但其实90%同类软件由于没有足够开发能力无法独立开发引擎驱动,这些低端软件都是采用国外免费的WINPCAP作为驱动程序,只是开发上层一些界面应用而已因此大同小异,他们共同的特点是必须要采用老式的10共享式HUB或把交换机又变为HUB的镜像;这是由WINPCAP根本原理性缺陷决定的;所以原理上决定只能采用旁听模式也必然性能低下、功能缺乏;WINPCAP驱动是工作在协议高层所以必须接受火墙的管理因此首先效率很低、性能提高也就成了奢望;网络监控最核心的关键部分就是引擎驱动部分,所有的应用、功能、性能、安装方式等等都取决于此;

      WINPCAP的主要缺陷如下:

      1)免费开放的国外代码,因此安全性欠缺;原理上是采用旁听模式,所以无法阻断UDP应用,无法流量限制,并容易数据丢包;阻断规则有可能引起网络中断或无效;

      2)原理上决定不适合超过100个电脑的网络环境,如采用老式共享式HUB速度限制在10M带宽损失严重;如采用交换机镜像是共享100M方式,由于一些交换机本身的缺陷,采用镜像后会导致交换机阻塞现象的可能,因此网络带宽会大约损失40%

      3)由于是免费接口只提供总线抓包功能,所以不支持集群环境也不支持任何内网监控功能;

      4)由于是高层协议借口同时未提供适合监控的加密压缩数据库;所以不支持即时大规模数据存储,不适合大用户网络;不包含千M、无线网;如需支持多VLANVPN应采用镜像技术,需额外投资支持双向镜像技术的交换机并正确设置和维护;

      5)由于提供的接口都是通用的有限代码,缺乏良好的可控性,所以很多功能无法实现;

      二、核心层引擎驱动接口优势:

      1)目前没有免费的公开的该类接口驱动程序,基本都是各个厂家单独开发,比如卡巴斯基的,比如ANYVIEW(网络警)的,比如ACTIVEALL的等等;而这些公司因为有足够的开发能力,所以才能做出这样的引擎驱动接口;而这些接口程序没有一个是需要HUB或镜像交换机也不会要求你安装什么WINPCAP(你可以在你的控制面版的“添加/删除程序“中检查是否被强制安装了);

      2)由于是完全自主开发引擎驱动,并工作在非常低层,因此一般都会包含上网监控和内网监控所有功能结构体系的引擎驱动;驱动工作在ISO2层下NDIS底层,直接和网卡硬件交往,C++代码编译后嵌入到WINDOWS核心驱动;

      3)由于自主开发并工作在超底层(在协议层之下),所以不接受火墙管理,提供更高的效率、性能、更多的功能支持;如和其他同类软件安装到同一个电脑其他软件将无法数据(因为核心层驱动工作在在更低层先捕获了);

      4)而由于工作在更低层,因此就需要采用定制压缩数据库,确保存储海量数据和RAID存储、即时数据、并加密确保数据安全;这样就更安全更快速的响应方式了;

      5)由于工作在核心层,所以克服了高层工作方式的WINPCAP所有缺点,支持UDP阻断、流量控制、支持集群环境、支持超过一万台的超级网络环境;支持无线、VPN、多VLAN、多网段、千M网络、多出口环境等;不需要HUB和镜像交换机等额外硬件;

     

      小结:我们明白了引擎驱动才是最核心的技术,也是真正的技术主流;谁也不想刚购买就被淘汰或去使用淘汰的技术,谁也不想由于引擎驱动的根本原因而很多功能都无法用;而WINPCAP是免费的那还花了很多的钱去购买本来就免费的东西;我们也了解了核心层驱动的好处以及对将来更新更多功能的期待;

     

    第六章 上网行为监控实战部署

      本例以ANYVIEW(网络警)网络监控软件为实例:本章为ANYVIEW标准版部分;

      部署环境:500用户、多VLANVPN;(采用网桥模式)

    1、  安装引擎前准备

    1)下载软件:http://www.amoisoft.com/download.htm

    2)查看安装包里包含的基本说明

    3)准备一张网卡,一条网线,一个干净系统的电脑(考虑到电脑比较多,弄了个2G内存双核电脑、XP

    2、  部署网桥

    1)安装好新增加的网卡,然后电脑启动

    2)本地连接打开,同时选择两个网卡,点鼠标右键->桥接

    3)多出来一个微型桥,设置这个桥如下:

       属性->输入固定本桥IP地址,默认网关设置外部DNS(一句话让本机能上网)

    3、  连机测试

    按照如下方式把桥连接到实际网络:

    路由或火墙à网桥电脑à3层核心交换机à其他交换机或电脑

     

    正常情况下,整个网络应继续能访问网络,如不能上网检查网线是否接对,网桥是否正确;注意哦,这个时候和网络监控软件都还无关哦(因为都还没有安装嘛),应该你原来的所有的一切都一样(上面和下面都不需要多余的改动的)

    4、  安装软件

    如以上已经正常了,那就开始安装软件啦,这个大家都会,首先安装ANYVIEW(网络警)4.exe,选择最大的磁盘分区,然后就开始一直下一步了,所有提示选择允许总是允许就OK了;

     建议不要安装到C盘,一是因为监控软件数据很多的C盘可能不够,另外是维护的考虑,回头对纯系统做GHOST,维护就简单了;

    5、  设置软件

    1)进入控制台界面,设置工作模式为网桥模式

    2)进入设置,你会看到有两个127.0.0.1的网卡(一个是外网卡,一个是内网卡),因为你做了桥接了,所以就只能显示给你127.0.0.1这样的地址了,这里选择其中一个(不是这个就是另外那个了),如设置正确,你就可以看到多个在线用户的流量和实时日志了;那么你回头要做的事情就是找厂家打开全用户测试了;

    6、  实际测试

    如以上都完成,那么你就可以开始设置规则测试了,ANYVIEW视图部分的所有的功能都将可以用了,以下讲内网监控:INTRAVIEW部分的部署;

      7、其他说明:

    假如你安装的是卡巴7以上这样的核心驱动杀病毒软件,你需要重新启动一下引擎电脑才会看到流量的;另外WIN2000是不带网桥功能的其他都可;还有就是你要先做网桥才可以安装软件;还有就是因为本例是多VLAN环境,所以需要把用户模式设置为IP模式而不是默认的MAC模式哦(因为多VLAN3层交换机一个子接口的MAC对应了一堆的不同的IP哦)

    第七章 内网行为监控实战部署

      本例以ANYVIEW(网络警)网络监控软件为实例:本章为INTRAVIEW标准版部分

      如以上已经完成,那么剩余的就很简单了,具体步骤如下:

    1、  准备工作

    1)准备软件:方法1把安装包里的工作站.exe复制U盘,等下到每个电脑运行一下;方法2就是建立一个共享目录,等下每个电脑可以访问到这个目录就可以安装了;

    2)本机如运行了火墙(XP本身火墙不需要额外设置),那么你要设置你引擎本机的火墙,规则如下:允许11901-11905端口通讯,允许引擎的ARSERVER.exe等;

     

    道理很简单,因为等下工作站要和引擎服务器通讯,不然工作站无法把数据送上来;

    2、  记下你引擎本机桥的IP地址

    因为你等下安装工作站的时候,需要输入这个IP地址,告诉工作站应把数据送到哪个哪个引擎服务器地址,你现在也明白了为什么刚才要设置引擎固定的IP地址了;

    3、  开始部署工作站

    现在开始安装工作站了,到每个电脑运行一下工作站.exe,输入引擎的IP地址,所有的提示选择允许、总是允许、同样规则执行、不再提示、增加到信任模块,就可以了

    4、  运行测试

    现在回到你的引擎服务管理电脑,你在控制台就可以自动看到屏幕、聊天记录、硬件资产管理等INTRAVIEW内网监控的功能了;其他功能测试不再展开说明;

     

    第八章 软件方式和硬件方式的比较

      网络监控包含了两部分,一个是上网监控,一个是内网监控;无论是哪个方式,都需要大量的数据存储,而很多数据是实时;比如上网监控到的邮件,内网监控到桌面屏幕;而硬件怎么保存?(除非本身那就是一个普通的电脑+软件,那就太郁闷了);网络监控和应用是有关系的,比如QQ更新了,那我不刷新规则硬件就成废铁了;类似这些问题想清楚了,那么你就知道为什么路由或火墙这样的硬件公司自己不会去生产所谓网络监控硬件了;

      1、功能:软件可实现的功能相对硬件更灵活,更具体,更容易操作。

     众所周知,软件是由模块组成,这样在软件的功能上就赋予了其很大的可扩展空间。您可以选择自己需要的功能模块并以此进行商务商洽,花最少的钱以达到你期望的效果。 而硬件呢,它的功能是固定的,它在功能的扩展方面有其自身的局限性,在新的需求不断增加时,就很可能要通过设备的更换才能满足企业持续管理的需求。

      2、购买成本:这个不用多说,硬件的购买成本正常都比软件要高。更有甚者,有的监控硬件设备还要配套的周边硬件支持,花费就高了。这一点,软件的优势比较明显,一套软件,最多再加一张网卡、两条网线,就可以实现有效的监控管理了。 而事实上那就是人家卖了一台很贵的电脑给你了;

      3.维护:硬件不管从前期产品试用,还是后期产品保养,维护起来相对专业且维护成本也较高。这个大家都有实际体验,就好像您电脑的主板坏了,您就必须送到当地电子城去或相应售后维修点维修,可能您好几天都无法办公,严重打乱了您的工作计划。同理监控硬件设备一旦出现较大或无法确认的问题,维护人员也束手无策或者就根本不敢擅自维护,就必须要送厂家维修或通知厂家人员上门维修,这样成本又高(不论是服务费用还是运输费用),最重要的是耽误时间、影响工作。 软件就不存在这个问题。它可以无条件的前期试用,在购买后可以不断的升级,功能、稳定性都是越来越强大,越来越完善。而且目前大多数软件都有免费升级年限,即使超过免费升级年限,升级费用和硬件的维护费用比较起来,也是很低的。

      4、技术难度:硬件需要专门的管理人员去维护,去使用,但是软件的操作都是非常人性化的,不管您是网络管理人员,还是公司高层管理人员,可以说只要您会使用电脑,您就会操作我们的软件,上手容易,方便老板直接管理查看;

      5、稳定性:硬件购买初期有可能比软件稳定(这个也是感觉而已,具体情况有待验证),但是一款正规、已禁受市场考验的软件其本身也是非常稳定的。而且随着时间推移,因机器本身的损耗、硬件个体的差异,硬件的稳定性可能会受影响,而对比软件,随着技术瓶颈的突破,更彰显出勃勃生机。

      6、消费者心理:或许贵公司花了钱买硬件产品,可以感觉是一个实实在在摸得着看得见的东西,相比软件不是有形实体,所以不论软件报价多少,都会觉得贵。但反而言之,软件购买的除了软件本身,更重要的是配套的服务。从另一层面来看,ERP、财务管理软件的价格远比监控软件要高,但仍是众多企业趋之若鹜。原因就是这类软件满足了企业日常经营管理的需求。所以单纯地从有形、无形来比较软硬件并不合适,最重要的谁能满足您企业的监控管理的需求,谁能让您支出最少却最大地发挥它的管理、协同效应,推动企业发展。

      7、产品测试:你如要获得硬件测试是比较难的,而软件测试是比较容易的;等你花了几万去购买一个人家本来只要3000元的电脑;购买后发现却很多功能不能用,或过段时间就成废铁的时候,呵呵,就非常郁闷了;

     

    小结:以上只是提供参考,是否对你有用全看自己的需求;还是那句话:测试是硬道理;

     

    第九章 透明文件加密需求、功能以及部署

     1、为什么需要透明文件加密

      每个单位都有很重要的数据文件;比如对企业来说财务报表、用户名单、进货渠道、设计图纸、投标文件等等;那么这些资料你允许别人随意拿走吗?

    如果你不想被拿走,你可能部署了比如网络监控等方式,但远远不够的,因为人是活的,既然你不想别人拿走,人家要拿的时候就千方百计的方式了;防不胜防;比如,压缩后发个邮件出去,修改名字后你也看不懂这个是什么再QQ传输出去;

    那么你就应加密,比如采用压缩加密方式,或把文件夹加密,可是你会很快发现不现实也无什么用;比如压缩加密好了,你总是要打开的,要是你天天都要用的,你就烦了每天都加密解密;再比如假如你这个是设计的图纸,你的员工设计的,他手里还有一份呢,他抄走呢?再比如,一个大型的设计可能很多人需要参加,那你加密别人就无法参与了,可你解密后别人立即抄走了;也就是说你打开他们就抄走了,你不打开别人就无法工作了;这个时候,你就需要透明文件加密了;

    2、什么叫透明文件加密

      透明文件加密区别于常见的文件密码加密方式;对你想加密的机密文件进行保护时,系统在不改变用户原有工作流程和文件使用习惯的前提下,对需要保护的进程生成的所有文件(无论该文件原来是明文还是密文)进行强制加密保护。简单说:就是对你需要加密的文件自动加密又不改变原来的操作习惯,而能看的人又无法抄走(即使非法复制出去都是乱码的无法看的加密格式的文件);这样,你的员工可以像往常一样工作和参与,但却无法抄走(无论是网络方式、U盘方式、或改名转存方式等等);除非获得授权;

    3、透明加密的基本功能
    (1)强制、自动、透明加密电子文档,防止第一作者泄密; 设置文档阅读权限,防止越权读取;
    (2)自动备份加密文档,防止恶意删除; 全程记录文件操作行为;
    (3)有效控制传输途径:设备限制(USB存储设备、光驱/软件只读或禁用,打印机禁用);禁止截屏、拖拽;禁止内容复制; 三重密钥管理,安全可靠; 灵活离线策略,在方便员工短期外出、在家办公或长期出差的同时,仍防泄密;在线解密申请,授权高管解密后方可文件外发;

    4透明文件加密软件的部署

      一般安装都很简单,在管理端安装一个引擎驱动,用于管理以及建立密钥等;被加密电脑安装工作站,然后就开始根据你管理端设置的规则自动加密了;剩余的只是对管理过程(比如授权、加密规则等)

     

    小结:以上我们探讨了信息安全的重要性,透明加密的适用情况,透明加密的基本功能,以及简单的通常部署说明;详细的原理比较复杂无法简单说明,如有兴趣可参考更多的技术性文件了解;

    第十章 尾记

    我们完整地了解了局域网网络监控的需求、原理、模式、部署、实例;分解为上网监控和内网监控两个部分,涵盖了目前几乎所有的网络监控功能应用,强调并解释了为什么引擎驱动是最关键核心的技术;以及提出了一些给决策比较的参考;同时陈述了为什么需要网络监控软件和透明加密软件,无论是网络管理人员、企业管理人员、都应关心网络安全和信息安全,而远不是控制个流量或组建个网络这么简单;首先应让网络工作运行正常(组网)、然后管理起网络的行为过程(监控),在让业务系统为经营管理服务(应用),最后一定让你的数据安全(加密);

    展开全文
  • 局域网技术(一)

    千次阅读 2015-08-05 12:16:30
    一 ,局域网组网的基本概念  局域网(LAN)是指分布在相对较小距离范围内的计算机网络。  (1)局域网标准:IEEE802标准  IEEE802标准包括局域网参考模型与各层协议,其所描述的局域网参考模型与OSI参考模型的关系。 ...
  • 局域网发现协议

    千次阅读 2018-08-10 14:58:53
    局域网发现的意义 局域网发现设备是通信的第一步,通信需要先知道对方的ip地址,因为一般使用 DHCP 动态分配 ip 地址的局域网内,各个主机的 IP 地址是由 DHCP 服务器来帮你分配 IP 地址的。所以在很多情况下,你要...
  • 以太网和局域网的区别与联系?

    千次阅读 2020-03-23 18:22:54
    一、以太网和局域网不单存在分类的区别,他们两者之间的使用协议也存在区别: 分类的区别:以太网分类归为总线型局域网,而局域网的拓扑结构包括星形、树形、环形总线型,局域网是四者的统称。 使用协议的...
  • 局域网的分类

    千次阅读 2016-12-22 15:38:59
    局域网的分类:以太网、令牌环、FDDI、ATM、WLAN  虽然目前我们所能看到的局域网主要是以双绞线为代表传输介质的以太网,那只不过是我们所看到都基本上是企、事业单位的局域网,在网络发展的早期或在其它各...
  • 计算机网络 之 局域网

    千次阅读 2017-08-15 12:01:46
    局域网有两种定义方式:功能定义技术定义 功能定义:一组计算机他的其他设备在物理地址上彼此相隔不远,已允许用户共享比如打印机存储设备之类的计算机资源的方式互联在一起的系统。这种定义适合于...
  • 公司局域网如何组建 公司局域网搭建方法

    万次阅读 多人点赞 2018-07-17 11:31:23
    公司局域网如何组建 公司局域网搭建方法 本文章由注册用户丽丽小姐上传提供 版权声明我要发布反馈 阅读:91147次 我要评论  汇聚专业的企业网络组建知识,为消费者提供最权威的公司局域网设计方案,是消费者们...
  • 无线局域网被认为是一种不可靠的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护管理。 尽管IT的寒冬还未渡过,但WLAN以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、...
  • 以创建低碳校园为目的,将物联网与局域网相结合,设计一种校园空调远程测控...测试表明,该系统利用室内空闲网口,有效解决了"信号孤岛"问题,系统稳定可靠、数据通信实时好,为校园多分布空调智能化控制提供了解决方案。
  • 近年来各种网络安全问题接踵而至:计算机病毒、操作系统漏洞、黑客攻击等屡见不鲜,如何使信息网络系统不受黑客病毒的入侵,如何保障数据传输的安全性、可靠性,也是建设局域网网络安全过程中所必须考虑的重要...
  • 公司局域网搭建

    千次阅读 多人点赞 2017-01-13 16:48:00
    局域网(Local Area Network,简称LAN),用于将有限范围内(例如一个实验室、一层办公楼或者校园)的各种计算机、终端与外部设备互联成网。公司局域网怎么建立?首先来了解下不同规模企业网络组建方式。 10人以下企业...
  • 局域网知识大全

    千次阅读 2012-10-06 10:46:43
     随着计算机的发展,人们越来越意识到网络的重要,通过网络,人们拉近了彼此之间的距离。本来分散在各处的计算机被网络紧紧的联系在了一起。局域网做为网络的组成部分,发挥了不可忽视的作用。我们可以用Windows ...
  • 计算机网络:局域网协议

    千次阅读 2020-05-24 14:43:12
    在不同类型的网络拓扑结构中,网络设备的连接方式、传输介质的选择、网络的可靠性及可扩展性均存在差异。在组建网络时,通常需要综合网络功能性能需求、环境状况投入成本等因素,以确定所采用的网络拓扑方案。 ...
  • 计算机网络与通信之局域网

    千次阅读 2020-05-30 23:26:56
    1. 局域网概述局域网的发展历程1969年诞生了世界第一个由大型主机构成的ARPANET网络(是广域网)之后,随着PC的普及对数据共享的需求,人们开始研究局域网(LAN),1973年诞生以太网(Ethernet)。 1980年美国DEC...
  • 无线局域网的组建

    千次阅读 2017-11-21 13:56:00
    无线局域网的简介  无线局域网(WLAN),是计算机与无线通信技术相结合的产物,通俗地说,它是一种无线形式的... 无线局域网由无线网卡无线接入点(AP)构成。简单地说,WLAN就是指不需要网线就可以发送接收...
  • 局域网维护

    千次阅读 2007-04-07 09:58:00
    本文从排除故障、优化性能的角度出发,简单归纳了一些局域网维护及优化的经验技巧,其中着重讨论了网卡、网线的正确安装、合理设置等问题。 了解这些,有助于我们更好的去维护电脑、管理网络,从而更好的利用网络...
  • 漫谈局域网交换机

    2008-12-23 09:13:00
    所以说,了解了局域网交换机的内部结构,就等于了解了局域网交换机的技术特点工作原理。目前局域网交换机采用的内部技术结构主要有以下几种。 1.共享内存式结构 该结构依靠于中心局域网交换机引擎所提供的全...
  • 无线局域网基础知识

    千次阅读 2020-11-26 21:22:25
    一、 无线局域网基础知识 2 二、 CSMA/CA 4 三、 IEEE802.11标准 6 四、 帧的类型 7 五、 无线AP 9 六、 无线局域网架构 9 七、 无线LAN的搭载 11 八、 接入认证 11 九、 无线加密 12 十、 漫游 14 十一、 无线LAN...
  • 二、局域网 1、局域网 2、虚拟局域网 一、网络体系结构及协议 1、ISO/OSI参考模型 在OSI参考模型中,将整个通信功能分为7层:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。如下图所示。每一层...
  • 目前虚拟局域网(VLAN)的配置主要由人工完成,工作量大,且缺乏统一的标准评价指标,容易出现人为错误,给保护控制系统的可靠性带来隐患。分析了VLAN优化配置的约束条件,并基于智能变电站通信网络拓扑结构设备...
  • 局域网流量监控V6.5.2

    2010-04-19 20:10:54
    优化代码界面,稳定更强 美化界面(2009-11-17) 增加流量过大断开网络的功能(2009-11-14) 简化安装过程,智能连接,智能检测网络环境(2009-11-7) 优化界面,增加清零功能,解除最快3秒限制,解除10台终端限制,加入赞助...
  • 局域网发现之UDP组播

    万次阅读 2017-02-15 14:55:42
    局域网发现 udp单播、组播、广播

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 28,084
精华内容 11,233
关键字:

局域网的有效性和可靠性