【正文】 輸媒體，這種媒體可以是同軸電纜、雙絞線、光纜或輻射性媒體。第四個(gè)構(gòu)件是將計(jì)算機(jī)與傳輸媒體相連的各種連接設(shè)備,如DB15插頭座、RJ45插頭座等。有了LAN硬件環(huán)境,還需要控制和管理LAN正常運(yùn)行的軟件,即謂NOS是在每個(gè)PC機(jī)原有操作系統(tǒng)上增加網(wǎng)絡(luò)所需的功能。在LAN情況下,字處理程序的一個(gè)拷貝通常保存在文件服務(wù)器中,并由LAN上的任何一個(gè)用戶共享。 LAN的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是指用傳輸媒體互連各種設(shè)備的物理布局。如果一個(gè)網(wǎng)絡(luò)只連接幾臺(tái)設(shè)備,最簡(jiǎn)單的方法是將它們都直接相連在一起，這種連接稱為點(diǎn)對(duì)點(diǎn)連接。圖中有6個(gè)設(shè)備，在全互連情況下,需要15條傳輸線路。即使屬于這種環(huán)境, 在LAN技術(shù)中也不使用。目前大多數(shù)LAN使用的拓?fù)浣Y(jié)構(gòu)有3種:① 星行拓?fù)浣Y(jié)構(gòu)；　?、?環(huán)行拓?fù)浣Y(jié)構(gòu)；　　③ 總線型拓?fù)浣Y(jié)構(gòu)。其中,處于 中心位置的網(wǎng)絡(luò)設(shè)備稱為集線器,英文名為Hub。由于這一特點(diǎn),也帶來(lái)了易于維護(hù)和安全等優(yōu)點(diǎn)。對(duì)此中心系統(tǒng)通常采用雙機(jī)熱備份,以提高系統(tǒng)的可靠性。這種結(jié)構(gòu)中的傳輸媒體從一個(gè)端用戶到另一個(gè)端用戶,直到將所有端用戶連成環(huán)型,。 環(huán)形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)環(huán)行結(jié)構(gòu)的特點(diǎn)是,每個(gè)端用戶都與兩個(gè)相臨的端用戶相連,因而存在著點(diǎn)到點(diǎn)鏈路,但總是以單向方式操作。,用戶N是用戶N+1的上游端用戶,N+1是N的下游端用戶。 總線拓?fù)浣Y(jié)構(gòu)總線結(jié)構(gòu)是使用同一媒體或電纜連接所有端用戶的一種方式,也就是說(shuō)，連接端用戶的物理媒體由所有設(shè)備共享。在點(diǎn)到點(diǎn)鏈路配置時(shí),這是相當(dāng)簡(jiǎn)單的。在一點(diǎn)到多點(diǎn)方式中,對(duì)線路的訪問(wèn)依靠控制端的探詢來(lái)確定。對(duì)此，研究了一種在總線共享型網(wǎng)絡(luò)使用的媒體訪問(wèn)方法:帶有碰撞檢測(cè)的載波偵聽(tīng)多路訪問(wèn),英文縮寫(xiě)成CSMA/CD。缺點(diǎn)是一次僅能一個(gè)端用戶發(fā)送數(shù)據(jù)，其它端用戶必須等待到獲得發(fā)送權(quán)。盡管有上述一些缺點(diǎn),但由于布線要求簡(jiǎn)單,擴(kuò)充容易,端用戶失效、增刪不影響全網(wǎng)工作,所以是LAN技術(shù)中使用最普遍的一種。例如象前面已談到的當(dāng)你在LAN上使用字處理程序時(shí),你的PC機(jī)操作系統(tǒng)的行為像在沒(méi)有構(gòu)成LAN時(shí)一樣，這正是LAN操作系統(tǒng)軟件管理了你對(duì)字處理程序的訪問(wèn)。NOS與運(yùn)行在工作站上的單用戶操作系統(tǒng)或多用戶操作系統(tǒng)由于提供的服務(wù)類型不同而有差別。如共享數(shù)據(jù)文件、軟件應(yīng)用以及共享硬盤(pán)、打印機(jī)、調(diào)制解調(diào)器、掃描儀和傳真機(jī)等。為防止一次由一個(gè)以上的用戶對(duì)文件進(jìn)行訪問(wèn)，一般網(wǎng)絡(luò)操作系統(tǒng)都具有文件加鎖功能。文件加鎖功能可跟蹤使用中的每個(gè)文件,并確保一次只能一個(gè)用戶對(duì)其進(jìn)行編輯。NOS還負(fù)責(zé)管理LAN用戶和LAN打印機(jī)之間的連接。NOS還對(duì)每個(gè)網(wǎng)絡(luò)設(shè)備之間的通信進(jìn)行管理,這是通過(guò)NOS中的媒體訪問(wèn)法來(lái)實(shí)現(xiàn)的。因此,NOS從根本上說(shuō)是一種管理器,用來(lái)管理連接、資源和通信量的流向。它們所遵循的標(biāo)準(zhǔn)都以802開(kāi)頭,目前共有11個(gè)與局域網(wǎng)有關(guān)的標(biāo)準(zhǔn),它們分別是：　　IEEE —— 通用網(wǎng)絡(luò)概念及網(wǎng)橋等　　IEEE ——邏輯鏈路控制等　　IEEE ——CSMA/CD訪問(wèn)方法及物理層規(guī)定　　IEEE ——ARCnet總線結(jié)構(gòu)及訪問(wèn)方法,物理層規(guī)定　　IEEE ——Token Ring訪問(wèn)方法及物理層規(guī)定等　　IEEE —— 城域網(wǎng)的訪問(wèn)方法及物理層規(guī)定　　IEEE ——寬帶局域網(wǎng)　　IEEE —— 光纖局域網(wǎng)(FDDI)　　IEEE —— ISDN局域網(wǎng)　　IEEE ——網(wǎng)絡(luò)的安全　　IEEE ——無(wú)線局域網(wǎng)上述LAN技術(shù)各有自身的敷纜規(guī)則與工作站的連接方法，硬件需求以及各種其它部件的連接規(guī)定。前者是人們可以看到的連接結(jié)構(gòu)，后者是邏輯、操作結(jié)構(gòu)，因而是不可見(jiàn)的，并稱之為邏輯拓?fù)浣Y(jié)構(gòu)。LAN使用的星型結(jié)構(gòu)主要是指用雙絞線構(gòu)成的網(wǎng)絡(luò)。第3章 構(gòu)建局域網(wǎng)絡(luò)的策略 構(gòu)建一個(gè)小型網(wǎng)絡(luò)要構(gòu)建一個(gè)小型網(wǎng)絡(luò)，首先要明確用途與網(wǎng)絡(luò)結(jié)構(gòu)，然后定出網(wǎng)絡(luò)拓?fù)?、指定協(xié)議、分配IP、應(yīng)用軟件等等。直接的接入是最簡(jiǎn)單的方法，只需將總線接至HUB的上聯(lián)口即可，但受到小區(qū)認(rèn)證的限制。服務(wù)器/客戶機(jī)（雙網(wǎng)卡）是比較常見(jiàn)和正規(guī)的接入方式，有比較好的擴(kuò)展性和安全性。路由設(shè)備接入相當(dāng)于使用路由器取代了方案3/4的服務(wù)器確定網(wǎng)絡(luò)結(jié)構(gòu)后，需要選擇共享上網(wǎng)的軟件（直接的接入的無(wú)需考慮，路由設(shè)備只需對(duì)其配置即可），一般這種小型的局域網(wǎng)共享上網(wǎng)可以采用：windows自帶的網(wǎng)絡(luò)共享連接wingate，sygate等第三方代理軟件windows軟路由一般來(lái)說(shuō)windows軟路由最穩(wěn)定；windows自帶的網(wǎng)絡(luò)共享連接設(shè)置簡(jiǎn)單方便，不易與系統(tǒng)產(chǎn)生沖突；第三方代理軟件控制功能比較多，但設(shè)置項(xiàng)較多，與系統(tǒng)的兼容問(wèn)題也比較頭痛。實(shí)現(xiàn)方法：進(jìn)線與集線器相連，PC網(wǎng)卡與集線器相連（直聯(lián)線）即可。此時(shí)每臺(tái)計(jì)算機(jī)均能獨(dú)立與Intelnet相連。缺點(diǎn)：客戶機(jī)對(duì)主機(jī)有依賴，沒(méi)有可擴(kuò)展性。信息網(wǎng)側(cè)重于對(duì)外宣傳、交流、情報(bào)調(diào)研等。整頓后的信息網(wǎng)點(diǎn)目前只集中在個(gè)別公用上網(wǎng)室，并有專人管理和有效維護(hù)。(1)內(nèi)部工作網(wǎng)安全解決方案。將網(wǎng)絡(luò)在網(wǎng)絡(luò)層（ISO/OSI模型中的第三層）上進(jìn)行分段，網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施，同時(shí)也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問(wèn)的目的。應(yīng)用交換機(jī)和VLAN技術(shù)，實(shí)際上是將以太網(wǎng)從本質(zhì)上基于廣播機(jī)制轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊。因此防止了大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。實(shí)現(xiàn)訪問(wèn)控制，通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊之前，操作上加強(qiáng)管理，進(jìn)行備份與恢復(fù)，良好的備份與恢復(fù)機(jī)制可在有意或無(wú)意造成損失時(shí)，盡快地恢復(fù)資料和系統(tǒng)服務(wù)。安裝網(wǎng)絡(luò)防病毒軟件，可使系統(tǒng)免受病毒襲擊，提高網(wǎng)絡(luò)安全運(yùn)行的可靠性。必要時(shí)采用加密通訊。設(shè)立安全監(jiān)控中心，設(shè)立專職網(wǎng)絡(luò)安全管理員，制定安全管理措施、安全運(yùn)行及緊急事件處理措施，專門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全、保密事項(xiàng)的監(jiān)督，隨時(shí)了解網(wǎng)絡(luò)運(yùn)行中出現(xiàn)的非法事件，處理安全保密中的技術(shù)問(wèn)題，定期對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)狀況提出分析報(bào)告和解決方案，為信息系統(tǒng)提供安全管理和監(jiān)控。目前綜合樓和各實(shí)驗(yàn)室均有光纜和辦公樓相連，綜合樓內(nèi)進(jìn)行了系統(tǒng)布線。 (3)內(nèi)部工作網(wǎng)主設(shè)備選擇美國(guó)Cabletron公司的SSR2000交換路由器，使其既能在網(wǎng)絡(luò)層上進(jìn)行網(wǎng)絡(luò)分段，又能進(jìn)行VLAN（虛擬網(wǎng)）設(shè)置。目前內(nèi)部網(wǎng)所需設(shè)備已全部到位并進(jìn)行了試裝，并對(duì)路由器和交換機(jī)進(jìn)行初步VLAN設(shè)置。 想一步到位建立一個(gè)大型的覆蓋所有部門(mén)和區(qū)域的無(wú)線網(wǎng)絡(luò)是比較困難和冒險(xiǎn)的，因此，建立無(wú)線網(wǎng)絡(luò)的最好方法是從小網(wǎng)絡(luò)開(kāi)始，同時(shí)以發(fā)展的眼光對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行規(guī)劃，然后不斷地按照需求對(duì)已有的無(wú)線網(wǎng)絡(luò)進(jìn)行擴(kuò)展。下面就讓我們按照五個(gè)步驟開(kāi)始吧： 第一步：為第一個(gè)無(wú)線網(wǎng)絡(luò)做規(guī)劃 首先我們要確定，在哪些場(chǎng)所開(kāi)始建立無(wú)線局域網(wǎng)。 當(dāng)你決定了在哪些場(chǎng)所先建立無(wú)線網(wǎng)絡(luò)以后，跟著就要確定，先給哪些人員配備無(wú)線網(wǎng)絡(luò)設(shè)備，也就是要決定最初一批能連接上無(wú)線網(wǎng)絡(luò)的人都有誰(shuí)。 在籌劃你的第一個(gè)無(wú)線網(wǎng)絡(luò)項(xiàng)目的時(shí)候，有一個(gè)很重要的環(huán)節(jié)，就是用科學(xué)的方法來(lái)評(píng)估無(wú)線網(wǎng)絡(luò)帶來(lái)的好處和回報(bào)。 在規(guī)劃無(wú)線網(wǎng)絡(luò)項(xiàng)目的過(guò)程中，你還要預(yù)先設(shè)計(jì)好無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域圖，也就是說(shuō)要計(jì)劃好到底哪些地域和場(chǎng)所需要被無(wú)線網(wǎng)絡(luò)所覆蓋，比如會(huì)議室、辦公區(qū)、餐廳、經(jīng)營(yíng)區(qū)等等。 當(dāng)然．最初建立的無(wú)線網(wǎng)絡(luò)的規(guī)模和覆蓋面積越大，就越有利于測(cè)試無(wú)線網(wǎng)絡(luò)的可用性和效率，但是這樣也需要更多的資源支持。 第二步：考慮安全問(wèn)題 就像傳統(tǒng)的有線網(wǎng)絡(luò)一樣，只要遵循正確的步驟，小心謹(jǐn)慎，就可以有效地保護(hù)無(wú)線網(wǎng)絡(luò)的安全。 你必須注意的是，無(wú)論使用什么安全技術(shù)和產(chǎn)品，進(jìn)行正確的設(shè)置都是至關(guān)重要的。當(dāng)然你必須建立一個(gè)專門(mén)解決安全問(wèn)題的小組，才能有效地實(shí)施網(wǎng)絡(luò)安全政策和解決運(yùn)行過(guò)程中的安全問(wèn)題。 首先要選擇購(gòu)買(mǎi)和安裝無(wú)線網(wǎng)絡(luò)接入設(shè)備，這些設(shè)備就像蜂窩電話網(wǎng)絡(luò)中的基站一樣，是我們建設(shè)無(wú)線網(wǎng)絡(luò)的基礎(chǔ)。特別是當(dāng)你考慮未來(lái)建立國(guó)際無(wú)線網(wǎng)絡(luò)的時(shí)候，更要確保你選擇的產(chǎn)品在全球范圍都有銷售和技術(shù)支持。 ，但如果你有特殊的需要，也可以考慮。 當(dāng)無(wú)線接入設(shè)備安裝到位以后，實(shí)際上我們的無(wú)線網(wǎng)絡(luò)基礎(chǔ)已經(jīng)建立完成了，接下來(lái)就是要為無(wú)線網(wǎng)絡(luò)的用戶購(gòu)買(mǎi)和設(shè)置必需的無(wú)線設(shè)備。如果采購(gòu)基于迅馳的筆記本電腦，就省去了另外配置無(wú)線網(wǎng)卡的麻煩，尤其是設(shè)定網(wǎng)卡參數(shù)以及確保與原有筆記本匹配和兼容這類令人頭痛的事。當(dāng)然，在安裝好設(shè)備后，你還需要為使用者安裝好必要的驅(qū)動(dòng)程序，進(jìn)行測(cè)試以及必要的使用培訓(xùn)。 現(xiàn)在萬(wàn)事俱備，擁有無(wú)線網(wǎng)卡或無(wú)線功能筆記本電腦的用戶，就可以開(kāi)始享受無(wú)線網(wǎng)絡(luò)的方便了。還記得我們的投資回報(bào)(ROI)模型嗎?在這個(gè)時(shí)候，你就可以開(kāi)始征詢用戶的意見(jiàn)，聽(tīng)取他們的反饋。 第五步；重復(fù)上述過(guò)程，對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行擴(kuò)展 首先，要盡量收集第一批無(wú)線網(wǎng)絡(luò)使用者的反饋意見(jiàn)，據(jù)此進(jìn)行投資回報(bào)(ROI)分析，決定改進(jìn)的方法，比如也許需要在一些地方增加接入設(shè)備，也許需要改進(jìn)技術(shù)支持方式和流程等。 需要注意的是，無(wú)線連接可以在家中，或者具備無(wú)線連接的公共場(chǎng)所使用，這些都可以增加企業(yè)部署無(wú)線網(wǎng)絡(luò)的價(jià)值。第4章 局域網(wǎng)絡(luò)的安全規(guī)劃 局域網(wǎng)的安全策略Internet是目前世界上最為開(kāi)放的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。和現(xiàn)實(shí)生活世界一樣，在電腦空間當(dāng)中也仍然存在著各種各樣的網(wǎng)絡(luò)犯罪問(wèn)題，如用非法的手段竊取秘密數(shù)據(jù)，破壞系統(tǒng)，惡意欺騙等。在這篇文章里我們談一談網(wǎng)絡(luò)攻擊的機(jī)制，同時(shí)也著重講述一下局域網(wǎng)系統(tǒng)避免遭受攻擊的方法。這里我們使用網(wǎng)絡(luò)協(xié)議分層模式來(lái)分析局域網(wǎng)的安全。而我們通常聽(tīng)到或見(jiàn)到的攻擊往往發(fā)生在應(yīng)用層，這些攻擊主要是針對(duì)Web服務(wù)器、瀏覽器和他們?cè)L問(wèn)到的信息，比較常見(jiàn)的還有攻擊開(kāi)放的文件系統(tǒng)部分。但下面兩個(gè)方法從實(shí)踐上來(lái)說(shuō)被認(rèn)為是非常有用的防范手段。過(guò)濾器可以禁止特定的地址或地址范圍傳出或進(jìn)入，也可以禁止令人懷疑的地址模式。測(cè)試失敗的任何通信數(shù)據(jù)將被拒絕。 路由包過(guò)濾TCP/IP地址由機(jī)器地址和標(biāo)識(shí)程序處理消息的端口數(shù)字組成。包過(guò)濾與防火墻相比處理的簡(jiǎn)單一些，它僅是觀察TCP/IP地址，而不是端口數(shù)字或消息內(nèi)容。包過(guò)濾器通常使用的是自頂向下的操作原則，下面是它使用的一個(gè)典型規(guī)則： 允許所有傳出通信數(shù)據(jù)的通過(guò)； 拒絕建立新的傳入連接； 其它的數(shù)據(jù)可以全部被接受；通過(guò)這樣的使用規(guī)則，系統(tǒng)的安全性提高了許多。它阻止使用TCP的通信數(shù)據(jù)進(jìn)入，從而杜絕了對(duì)共享驅(qū)動(dòng)器和文件的未授權(quán)訪問(wèn)。實(shí)際上現(xiàn)在所有的FTP軟件都支持PASV模式，這是為解決上面的問(wèn)題而專門(mén)設(shè)計(jì)的。過(guò)濾器通常的應(yīng)用是配置在連接你的計(jì)算機(jī)和Internet的路由器上。 如果你的包過(guò)濾軟件有能力檢查源地址子網(wǎng)，在子網(wǎng)上物理端口傳遞消息到路由器，你就可以制定規(guī)則來(lái)避免虛假的TCP/IP地址。包過(guò)濾通過(guò)拒收帶有不可能源地址的消息來(lái)防御攻擊者的攻擊。如果攻擊者假裝是你內(nèi)部的機(jī)器，用過(guò)濾器就可以阻止攻擊者的攻擊。它們一般不能防御使用UDP協(xié)議的攻擊，因?yàn)檫^(guò)濾器不能拒收開(kāi)放的消息。 防火墻使用防火墻軟件可以在一定程度上控制你的局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。防火墻不但檢查