【正文】 是總線型和環(huán)行。這兩種結(jié)構(gòu)很少在廣域網(wǎng)環(huán)境下使用。 LAN 的發(fā)展史 在計(jì)算機(jī)應(yīng)用的初期 ， 人們使用的都是大中型計(jì)算機(jī) ,通常簡稱為主機(jī)。 后來 ,隨著電子技術(shù)的發(fā)展 ,通過終端連到了主機(jī)上 ,從而人們不必進(jìn)入機(jī)房 ,只需從辦公室的終端上便可提交請求。這時(shí)用戶已經(jīng)能夠以 專 科生畢業(yè)設(shè)計(jì)（論文） 4 交互操作方式向中心機(jī)提交請求。 1981 年出現(xiàn)的 IBM PC 機(jī)的處理能力和存儲(chǔ)能力已經(jīng)可同早幾年的大型機(jī)相媲美。于是出現(xiàn) 了資源共享的方式 :磁盤服務(wù)器和共享打印機(jī)。第一個(gè)磁盤服務(wù)器是在 CP/M 操作系統(tǒng)下運(yùn)行的。計(jì)算機(jī)中的軟件將公享的硬盤驅(qū)動(dòng)器分成稱為 卷 的區(qū)域，每個(gè)用戶一個(gè)。硬盤通常還包括公用卷 ,使用戶共享信息。文件服務(wù)器無論在使用戶共享文件方面 ,還是幫助用戶跟蹤 他們的文件方面都優(yōu)于磁盤服務(wù)器。 除硬盤驅(qū)動(dòng)器為 PC 用戶共享外，第二個(gè)供 PC 用戶共享的設(shè)備是打印機(jī)。 利用 LAN 打印服務(wù)器 ,用戶僅可使用與一定文件服務(wù)器相連的打印機(jī) ,或使用與網(wǎng)絡(luò)上任何用戶工作站相連的打印機(jī)。用戶也可將幾個(gè)文件發(fā)送到同一個(gè)打印機(jī)。 其它類型的服務(wù)器也已出現(xiàn) ,如通訊服務(wù)器、數(shù)據(jù)庫服務(wù)器等，將在以后的專題中介紹。 LAN 的基本組成 要構(gòu)成 LAN,必須有其基本組成部件。幾乎沒有一種網(wǎng)絡(luò)只由大型機(jī)或小型機(jī)構(gòu)成。 計(jì)算機(jī)互連在一起 ,當(dāng)然也不可能沒有傳輸媒體，這種媒體可以是同軸電纜、雙絞線、光纜或輻射性媒體 。 第四個(gè)構(gòu)件是將計(jì)算機(jī)與傳輸媒體相連的各種連接設(shè)備 ,如 DB15 插頭座、RJ45 插頭座等。 圖 有了 LAN 硬件環(huán)境 ,還需要控制和管理 LAN 正常運(yùn)行的 軟件 ,即謂 NOS 是在每個(gè) PC 機(jī)原有操作系統(tǒng)上增加網(wǎng)絡(luò)所需的功能。在 LAN 情況下 ,字處理程序的一個(gè)拷貝通常保存在文件服務(wù)器中 ,并由 LAN 上的任何一個(gè)用戶共享。 LAN 的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是指用傳輸媒體互連各 種設(shè)備的物理布局。 如果一個(gè)網(wǎng)絡(luò)只連接幾臺(tái)設(shè)備 ,最簡單的方法是將它們都直接相連在一起，這 專 科生畢業(yè)設(shè)計(jì)（論文） 6 種連接稱為點(diǎn)對點(diǎn)連接。圖中有 6 個(gè)設(shè)備，在全互連情況下 ,需要 15 條傳輸線路。即使屬于這種環(huán)境 , 在 LAN 技術(shù)中也不使用。 圖 目前大多數(shù) LAN 使用的拓?fù)浣Y(jié)構(gòu)有 3 種 : ① 星行拓?fù)浣Y(jié)構(gòu) ； ② 環(huán)行拓?fù)浣Y(jié)構(gòu) ； ③ 總線型拓?fù)浣Y(jié)構(gòu) 。其中 ,圖 為電話網(wǎng)的星型結(jié)構(gòu) ,圖 為目前使用最普遍的以太網(wǎng)星型結(jié)構(gòu) ,處于 中心位置的網(wǎng)絡(luò)設(shè)備稱為集線器 ,英文名為 Hub。由于這一特點(diǎn) ,也帶來了易于維護(hù)和安全等優(yōu)點(diǎn)。對此中心系統(tǒng)通常采用雙機(jī)熱備份 ,以提高系統(tǒng)的可靠性 。這種結(jié)構(gòu)中的傳輸媒體從一個(gè)端用戶到另一個(gè)端用戶 ,直到將所有端用戶連成環(huán)型 ,如圖 所示。 圖 環(huán)形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 環(huán)行結(jié)構(gòu)的特點(diǎn)是 ,每個(gè)端用戶都與兩個(gè)相臨的端用戶相連 ,因而存在著點(diǎn)到點(diǎn)鏈路 ,但總是以單向方式操作。例如圖 中 ,用戶 N 是用戶 N+1 的上游端用戶 ,N+1 是 N 的下游端用戶。 專 科生畢業(yè)設(shè)計(jì)（論文） 8 總線拓?fù)浣Y(jié)構(gòu) 總線結(jié)構(gòu)是使用同一媒體或電纜連接所有端用戶的一種方式 ,也就是說，連接端用戶的物理媒體由所有設(shè)備共享，如圖 所示。在點(diǎn)到點(diǎn)鏈路配置時(shí) ,這是相當(dāng)簡單的。在一點(diǎn)到多點(diǎn)方式中 ,對線路的訪問依靠控制端的探詢來確定。對此，研究了一種在總線共享型網(wǎng)絡(luò)使用的媒體訪問方法 :帶有碰撞檢測的載波偵聽多路訪問 ,英文縮寫成 CSMA/CD。缺點(diǎn)是一次僅能一個(gè)端用戶發(fā)送數(shù)據(jù)，其它端用戶必須等待到獲得發(fā)送權(quán)。盡管有上述一些缺點(diǎn) ,但由于布線要求簡單 ,擴(kuò)充容易 ,端用戶失效、增刪不影響全網(wǎng)工作 ,所以是 LAN 技術(shù)中使用最普遍的一種 。例如象前面已談到的當(dāng)你在 LAN 上使用字處理程序時(shí) ,你的 PC 機(jī)操作系統(tǒng)的行為像在沒有構(gòu)成 LAN 時(shí)一樣，這正是 LAN 操作系統(tǒng)軟件管理了你對字處理程序的訪問。 專 科生畢業(yè)設(shè)計(jì)（論文） 9 NOS 與運(yùn)行在工作站上的單用戶操作系統(tǒng)或多用戶操作系統(tǒng)由于提供的服務(wù)類型不同而有差別。如共享數(shù)據(jù)文件、軟件應(yīng)用以及共享硬盤、打印機(jī)、調(diào)制解調(diào)器、掃描儀和傳真機(jī)等。 為防止一次由一個(gè)以上的用戶對文件進(jìn)行訪問，一般網(wǎng)絡(luò)操作 系統(tǒng)都具有文件加鎖功能。文件加鎖功能可跟蹤使用中的每個(gè)文件 ,并確保一次只能一個(gè)用戶對其進(jìn)行編輯。 NOS 還負(fù)責(zé)管理 LAN 用戶和 LAN 打印機(jī)之間的連接。 NOS 還對每個(gè)網(wǎng)絡(luò)設(shè)備之間的通信進(jìn)行管理 ,這是通過 NOS中的媒體訪問法來實(shí)現(xiàn)的。因此 ,NOS 從根本上說是一種管理器 ,用來管理連接、資源和通信量的流向 。它們所遵循的標(biāo)準(zhǔn)都以 802 開頭 ,目前共有 11 個(gè)與局域網(wǎng)有關(guān)的標(biāo)準(zhǔn) ,它們分別是： IEEE —— 通用網(wǎng)絡(luò)概念及網(wǎng)橋等 IEEE —— 邏輯鏈路控制等 IEEE —— CSMA/CD 訪問方法及物理層規(guī)定 IEEE —— ARC 總線結(jié)構(gòu)及訪問方法 ,物理層規(guī)定 IEEE —— Token Ring 訪問方法及物理層規(guī)定等 IEEE —— 城域網(wǎng)的訪問方法及物理層規(guī)定 IEEE —— 寬帶局域網(wǎng) IEEE —— 光纖局域網(wǎng) (FDDI) IEEE —— ISDN 局域網(wǎng) IEEE —— 網(wǎng)絡(luò)的安全 IEEE —— 無線局域網(wǎng) 專 科生畢業(yè)設(shè)計(jì)（論文） 10 上述 LAN 技術(shù)各有自身的敷纜規(guī)則與工作站的連接方法，硬件需 求以及各種其它部件的連接規(guī)定。前者是人們可以看到的連接結(jié)構(gòu)，后者是邏輯、操作結(jié)構(gòu)，因而是不可見的，并稱之為邏輯拓?fù)浣Y(jié)構(gòu)。 LAN 使用的星型結(jié)構(gòu)主要是指用雙絞線構(gòu)成的網(wǎng)絡(luò)。 專 科生畢業(yè)設(shè)計(jì)（論文） 11 第 3章 構(gòu)建局域網(wǎng)絡(luò)的策略 構(gòu)建一個(gè)小型網(wǎng)絡(luò) 要構(gòu)建一個(gè)小型網(wǎng)絡(luò)，首先要明確用途與網(wǎng)絡(luò)結(jié)構(gòu)，然后定出網(wǎng)絡(luò)拓?fù)洹⒅付▍f(xié)議、分配 IP、應(yīng)用軟件等等 。 直接的接入是最簡單的方法，只需將總線接至 HUB 的上聯(lián)口即可，但受到小區(qū)認(rèn)證的限制。服務(wù)器 /客戶機(jī)（雙網(wǎng)卡）是比較常見和正規(guī)的接入方式，有比較好的擴(kuò)展性和安全性。路由設(shè)備接入相當(dāng)于使用路由器取代了方案 3/4 的服務(wù)器 確定網(wǎng)絡(luò)結(jié)構(gòu)后，需要選擇共享上網(wǎng)的軟件（直接的接入的無需考慮，路由設(shè)備只需對其配置即可），一般這種小型的局域網(wǎng)共享上網(wǎng)可以采用： windows 自帶的網(wǎng)絡(luò)共享連接 wingate， sygate 等第三方代理軟件 windows 軟路由 一般來說 windows 軟路由最穩(wěn)定； windows 自帶的網(wǎng)絡(luò)共享連接設(shè)置簡單方便，不易與系統(tǒng)產(chǎn)生沖突；第三方代理軟件控制功能比較多，但設(shè)置項(xiàng)較多，與系統(tǒng)的兼容問題也比較頭痛。 實(shí)現(xiàn)方法：進(jìn)線與集線器相連， PC 網(wǎng)卡與集線器相連（直聯(lián)線）即可。此時(shí)每臺(tái)計(jì)算機(jī)均能獨(dú)立與 Intel 相連。 缺點(diǎn)：客戶機(jī)對主機(jī)有依賴，沒有可擴(kuò)展性 。信息網(wǎng)側(cè)重于對外宣傳、交流、情報(bào)調(diào)研等。整頓后的信息網(wǎng)點(diǎn)目前只集中在個(gè)別公用上網(wǎng)室，并有專人管理和有效維護(hù)。 (1)內(nèi)部工作網(wǎng)安全解決方案。將網(wǎng)絡(luò)在網(wǎng)絡(luò)層 專 科生畢業(yè)設(shè)計(jì)（論文） 13 （ ISO/OSI 模型中的第三層）上進(jìn)行分段，網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施，同時(shí)也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。應(yīng)用交換機(jī)和 VLAN 技術(shù)，實(shí)際上是將以太 網(wǎng)從本質(zhì)上基于廣播機(jī)制轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊。因此防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。 實(shí)現(xiàn)訪問控制，通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊之前，操作上加強(qiáng)管理，進(jìn)行備份與恢復(fù)，良好的備份與恢復(fù)機(jī)制可在有意或無意造成損失時(shí)，盡快地恢復(fù)資料和系統(tǒng)服務(wù)。安裝網(wǎng)絡(luò)防病毒軟件，可使系統(tǒng)免受病毒襲擊，提高網(wǎng)絡(luò)安全運(yùn)行的可靠性。必要時(shí)采用加密通訊。設(shè)立安全監(jiān)控中心，設(shè)立專職網(wǎng)絡(luò)安全管理員，制定安全管理措施、安全運(yùn)行及緊急事件處理措施，專門負(fù)責(zé)網(wǎng)絡(luò)安全、保密事項(xiàng)的監(jiān)督，隨時(shí)了解網(wǎng)絡(luò)運(yùn)行中出現(xiàn)的非法 事件，處理安全保密中的技術(shù)問題，定期對網(wǎng)絡(luò)的風(fēng)險(xiǎn)狀況提出分析報(bào)告和解決方案，為信息系統(tǒng)提供安全管理和監(jiān)控。目前綜合樓和各實(shí)驗(yàn)室均有光纜和辦公樓相連，綜合樓內(nèi)進(jìn)行了系統(tǒng)布線。 (3)內(nèi)部工作網(wǎng)主設(shè)備選擇美國 Cabletron 公司的 SSR2020 交換路由器，使其既能在網(wǎng)絡(luò)層上進(jìn)行網(wǎng)絡(luò)分段，又能進(jìn)行 VLAN（虛擬網(wǎng)）設(shè)置。目前內(nèi)部網(wǎng)所需設(shè)備已全部到位并進(jìn)行了試裝，并對路由器和交換機(jī)進(jìn)行初步 VLAN 設(shè)置 。 想一步到位建立一個(gè)大型的覆蓋所有部門和區(qū)域的無線網(wǎng)絡(luò)是比較困難和冒險(xiǎn)的，因此，建立無線網(wǎng)絡(luò)的最好方法是從小網(wǎng)絡(luò)開始，同時(shí)以發(fā)展的眼光對無線網(wǎng)絡(luò)進(jìn)行規(guī)劃，然后不斷地按照需求對已有的無線網(wǎng)絡(luò)進(jìn)行擴(kuò)展。下面就讓我們按照五個(gè)步驟開始吧： 第一步：為第一個(gè)無線網(wǎng)絡(luò)做規(guī)劃 首先我們要確定，在哪些場所開始建立無線局域網(wǎng)。 當(dāng)你決定了在哪些場所先建立無線網(wǎng)絡(luò)以后，跟著就要確定，先給哪些人員配備無線網(wǎng)絡(luò)設(shè)備，也就是要決定最初一批能連接上無線網(wǎng)絡(luò)的人都有誰。 在籌劃你的第一個(gè)無線網(wǎng)絡(luò)項(xiàng)目的時(shí)候，有一個(gè)很重要的環(huán)節(jié)，就是用科學(xué)的方法來評估無線網(wǎng)絡(luò)帶來的好處和回報(bào)。 在規(guī)劃無線網(wǎng)絡(luò)項(xiàng)目的過程中，你還要預(yù)先設(shè)計(jì)好無線網(wǎng)絡(luò)覆蓋區(qū)域圖，也就是說要計(jì)劃好到底哪些地域和場所需要被無線網(wǎng)絡(luò)所覆蓋，比如會(huì)議室、辦公區(qū)、餐廳、經(jīng)營區(qū)等等。 當(dāng)然．最初建立的無線網(wǎng)絡(luò)的規(guī)模和覆蓋面積越大，就越有利于測試無線網(wǎng)絡(luò)的可用性和效率，但是這樣也需要更多的資源支持。 第二步：考慮安全問題 就像傳統(tǒng)的有線網(wǎng)絡(luò)一樣，只要遵循正確的步驟，小心謹(jǐn)慎，就可以有效地保護(hù)無線網(wǎng)絡(luò)的安 全。 你必須注意的是，無論使用什么安全技術(shù)和產(chǎn)品，進(jìn)行正確的設(shè)置都是至關(guān)重要的。當(dāng)然你必須建立一個(gè)專門解決安全問題的小組，才能有效地實(shí)施網(wǎng)絡(luò)安全政策和解決運(yùn)行過程中的安全問題。 首先要選擇購買和安裝無線網(wǎng)絡(luò)接入設(shè)備，這些設(shè)備就像蜂窩電話網(wǎng)絡(luò)中的基站一樣，是我們建設(shè)無線網(wǎng)絡(luò)的基礎(chǔ)。特別是當(dāng)你考慮未來建立國際無線網(wǎng)絡(luò)的時(shí)候，更要確保你選擇的產(chǎn)品在全球范圍都有銷售和技術(shù)支持。 雖然 標(biāo)準(zhǔn)的設(shè)備現(xiàn)在比較少，但如果你有特殊的需要，也可以考慮。 當(dāng)無線接入設(shè)備安裝到位以后，實(shí)際上我們的無線網(wǎng)絡(luò)基礎(chǔ)已經(jīng)建立完成了，接下來就是要為無線網(wǎng)絡(luò)的用戶購買和設(shè)置必需的無線設(shè)備。如果采購基于迅馳的筆記本電腦，就省去了另外配置無線網(wǎng)卡的麻煩，尤其是設(shè)定網(wǎng)卡參數(shù)以及確保與原有筆記本匹配和兼容這類令人頭痛的事。當(dāng)然，在安裝好設(shè)備后，你還需要為使用者安裝好必要的驅(qū)動(dòng)程序，進(jìn)行測試以及必要的使用培訓(xùn)。 現(xiàn)在萬事俱備，擁有無線網(wǎng)卡或無線功能筆記本電腦的用戶，就可以開始享受無線網(wǎng)絡(luò)的方便了。還記得我們的投資回報(bào) (ROI)模型嗎 ?在這個(gè)時(shí)候，你就可以開始征詢用戶的意見，聽取他們的反饋。 第五步；重復(fù)上述過程，對無線網(wǎng)絡(luò)進(jìn)行擴(kuò)展 首先，要盡量收集第一批無線網(wǎng)絡(luò)使用者的反饋意見，據(jù)此進(jìn)行投資回報(bào)(ROI)分析，決定改進(jìn)的方法，比 如也許需要在一些地方增加接入設(shè)備，也許需要改進(jìn)技術(shù)支持方式和流程等。 需要注意的是，無線連接可以在家中，或者具備無線連接的公共場所使用，這些都可以增加企業(yè)部署無線網(wǎng)絡(luò)的價(jià)值。 專 科生畢業(yè)設(shè)計(jì)（論文） 17 第 4章 局域網(wǎng)絡(luò)的安全 規(guī)劃 局域網(wǎng)的安全策略 Inter 是目前世界上最為開放的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。和現(xiàn)實(shí)生活世界一樣，在電腦空間當(dāng)中也仍然存在著各種各樣的網(wǎng)絡(luò)犯罪問題，如用非法的手段竊取秘密數(shù)據(jù)，破壞系統(tǒng)，惡意欺騙等。 在這篇文章里我們談一談網(wǎng)絡(luò)攻擊的機(jī)制，同時(shí)也著重講述一下局域網(wǎng)系統(tǒng)避免遭受攻擊的方法。 這里我們使用網(wǎng)絡(luò)協(xié)議分層模式來分析局域網(wǎng)的安全。而我們通常聽到或見到的攻擊往往發(fā)生在應(yīng)用層，這些攻擊主要是針對 Web 服務(wù)器、瀏覽器和他們訪問到的信息，比較常見的還有攻擊開放的文件系統(tǒng)部分 。但下面兩個(gè)方法從實(shí)踐上來說被認(rèn)為是非常有用的防范手段。過濾器可以禁止特定的地址或地址范圍傳出或進(jìn)入，也可以禁止令人懷疑的地址模式。測試失敗的任何通信數(shù)據(jù)將被拒絕。 路由包過濾 TCP/IP 地址由機(jī)器地址和標(biāo)識(shí)程序處理消息的端口數(shù)字組成。包過濾與防火墻相比處理的簡單一些，它僅是觀察 TCP/IP 地址 ，而不是端口數(shù)字或消息內(nèi)容。 包過濾器通常使用的是自頂向下的操作原則，下面是它使用的一個(gè)典型規(guī)則： 允許所有傳出通信數(shù)據(jù)的通過； 拒絕建立新的傳入連接； 其它的數(shù)據(jù)可以全部被接受； 通過這樣的使用規(guī)則，系統(tǒng)的安全性提高了許多。它阻止使用 TCP 的通信數(shù)據(jù)進(jìn)入，從而杜絕了對共享驅(qū)動(dòng)器和文件的未授權(quán)訪問。實(shí)際上現(xiàn)在所有的 FTP 軟件都支持 PASV模式，這是為解決上面的問題而專門設(shè)計(jì)的。 過濾器通常的應(yīng)用是配置在連接你的計(jì)算機(jī)和 Inter 的路由器上，如圖 所示。 專 科