我的书签
添加书签
移除书签第5章 网络基础知识
计算机网络是由多台计算机组成的系统,与传统的单机系统、多机系统相比有很大的区别。计算机网络的结构、功能、组成以及实现技术更复杂,维护起来难度更大。本章将简要介绍计算机网络的体系结构、网络应用、和网络互连设备、网络构建与网络安全方面的基本内容,涉及到与网络有关的软硬件和应用知识。
5.1 网络概述
由于对信息共享和信息传递应用的迫切需求,计算机应用日益渗透到各行各业。计算机已不仅仅是一种计算的工具,而是更多地应用于信息的收集、处理和传输。计算机参与社会信息化的进程,促进了信息产业的发展。而应用需求又推动了计算机技术的不断更新,越来越多的领域急需计算机在一定范围内“联合起来”,进行群体工作。在此环境下,计算机网络应运而生了。计算机网络是计算机技术与通信技术相结合的产物,它实现了远程通信、远程信息处理和资源共享。经过几十年的发展,计算机网络已由早期的“终端—计算机网”、“计算机—计算机网”成为现代具有统一网络体系结构的计算机网络。
5.1.1 计算机网络的概念
1.计算机网络的发展
计算机网络是计算机技术与通信技术日益发展和密切结合的产物,它的发展过程大致可以划分为如下4个阶段。
1)具有通信功能的单机系统
该系统又称终端—计算机网络,是早期计算机网络的主要形式。它将一台计算机经通信线路与若干终端直接相连。美国于20世纪50年代建立的半自动地面防空系统SAGE就属于这一类网络。它把远距离的雷达和其他测量控制设备的信息通过通信线路送到一台旋风型计算机上进行处理和控制,首次实现了计算机技术与通信技术的结合。
2)具有通信功能的多机系统
对终端—计算机网进行改进:在主计算机的外围增加了一台计算机,专门用于处理终端的通信信息及控制通信线路,并能对用户的作业进行某些预处理操作,这台计算机称为“前端处理机”或“通信控制处理机”。在终端设备较集中的地方设置一台集中器,终端通过低速线路先汇集到集中器上,然后再用高速线路将集中器连到主机上。这就形成了多机系统。
3)以共享资源为目的的计算机网络
具有通信功能的多机系统是计算机—计算机网络,它是由若干台计算机互联的系统,即利用通信线路将多台计算机连接起来,在计算机之间进行通信。该网络有两种结构形式:一种形式是主计算机通过通信线路直接互连的结构,其中主计算机同时承担数据处理和通信工作;另一种形式是通过通信控制处理机间接地把各主计算机连接的结构,其中通信处理机和主计算机分工,前者负责网络上各主计算机间的通信处理和控制,后者是网络资源的拥有者,负责数据处理,它们共同组成资源共享的计算机网络。20世纪70年代,美国国防部高级研究计划局所研制的ARPANET是计算机—计算机网络的典型代表。最初该网仅由4台计算机连接而成,到1975年,已连接100多台不同型号的大型计算机。ARPANET成为第一个完善地实现分布式资源共享的网络,为计算机网络的发展奠定了基础。
在这期间,国际标准化组织(ISO)提出了开放系统互连参考模型OSI/RM(Open System Interconnection Refernce Model)。该模型定义了异种机联网所应遵循的框架结构。OSI/RM很快得到了国际上的认可,并为许多厂商所接受。由此使计算机网络的发展进入了新的阶段。
4)以局域网及因特网为支撑环境的分布式计算机系统
局域网是继远程网之后发展起来的,它继承了远程网的分组交换技术和计算机的I/O总线结构技术。局域网的发展也促使计算机网络的模式发生了变革,即由早期的以大型机为中心的集中式模式转变为由微机构成的分布式计算机模式。
计算机网络的定义随网络技术的更新可从不同的角度给予描述。目前人们已公认的有关计算机网络的定义是利用通信设备和线路将地理位置分散的、功能独立的自主计算机系统或由计算机控制的外部设备连接起来,在网络操作系统的控制下,按照约定的通信协议进行信息交换,实现资源共享的系统。
定义中涉及的“资源”应该包括硬件资源(CPU、大容量的磁盘、光盘以及打印机等)和软件资源(语言编译器、文本编辑器、各种软件工具和应用程序等)。
2.计算机网络的功能
计算机网络提供的主要功能有如下。
(1)数据通信。通信或数据传输是计算机网络主要功能之一,用以在计算机系统之间传送各种信息。利用该功能,地理位置分散的生产单位和业务部门可通过计算机网络连接在一起进行集中控制和管理。也可以通过计算机网络传送电子邮件,发布新闻消息及进行电子数据交换,极大地方便了用户,提高了工作效率。
(2)资源共享。资源共享是计算机网络最有吸引力的功能。通过资源共享,可使网络中分散在异地的各种资源互通有无,分工协作,从而大大提高系统资源的利用率。资源共享包括软件资源共享和硬件资源共享。
(3)负载均衡。在计算机网络中可进行数据的集中处理或分布式处理,一方面可以通过计算机网络将不同地点的主机或外设采集到的数据信息送往一台指定的计算机,在此计算机上对数据进行集中和综合处理,通过网络在各计算机之间传送原始数据和计算结果;另一方面,当网络中某台计算机任务过重时,可将任务分派给其他空闲的多台计算机,使多台计算机相互协作,均衡负载,共同完成任务。
(4)高可靠性。指在计算机网络中的各台计算机可以通过网络彼此互为后备机,一旦某台计算机出现故障,故障机的任务就可由其他计算机代为处理,从而提高系统的可靠性。避免了单机无后备使用的情况下,计算机出现故障而导致系统瘫痪的现象,从而大大提高了系统的可靠性。
借助于计算机网络,在各种功能软件的支持下,人类可以进行高速的异地电子信息交换,并获得了多种服务,如新闻浏览和信息检索、传送电子邮件、多媒体电信服务、远程教育、网上营销、网上娱乐和远程医疗诊断等。
计算机网络按照数据通信和数据处理的功能,可分为两层:内层通信子网和外层资源子网,如图5-1所示。通信子网(图中虚线内)的节点计算机和高速通信线路组成独立的数据系统,承担全网的数据传输、交换、加工和变换等通信处理工作,即将一台计算机的输出信息传送给另一台计算机。资源子网(图中点划线内虚线外)包括计算机、终端、通信子网接口设备、外部设备(如打印机、磁带机和绘图机等)及各种软件资源等,它负责全网的数据处理和向网络用户提供网络资源及网络服务。
图5-1 通信子网和资源子网关系图
H—主计算机;T—终端;TIP—集线器
通信子网和资源子网的划分,完全符合国际标准化组织所制定的开放式系统互连参考模型(OSI)的思想。其中,通信子网对应于OSI中的低三层(物理层、数据链路层、网络层),而资源子网对应于OSI中的高三层(会话层、表示层、应用层)。这种划分将通信子网的任务从主机中抽取出来,由通信子网中的设备专门解决数据传输和通信控制问题。而资源子网中的计算机可集中精力处理数据,从而提高主机效率和网络的整体性能。
5.1.2 计算机网络的分类
计算机网络的分类方式很多,按照不同的分类原则,可以得到各种不同类型的计算机网络。例如,按通信距离可分为广域网、局域网和城域网;按信息交换方式可分为电路交换网、分组交换网和综合交换网;按网络拓扑结构可分为星型网、树型网、环型网和总线网;按通信介质可分为双绞线网、同轴电缆网、光纤网和卫星网等;按传输带宽可分为基带网和宽带网;按使用范围可分为公用网和专用网;按速率可分为高速网、中速网和低速网;按通信传播方式可分为广播式和点到点式。
这里主要介绍根据计算机网络的覆盖范围和通信终端之间相隔的距离不同将其分为局域网、城域网和广域网三类的情况,各类网络的特征参数如表5-1所示。
表5-1 各类网络的特征参数
1.局域网
局域网(Local Area Network, LAN)是指传输距离有限,传输速度较高,以共享网络资源为目的的网络系统。由于局域网投资规模较小,网络实现简单,故新技术易于推广。局域网技术与广域网相比发展迅速。局域网的特点如下:
(1)分布范围有限。加入局域网中的计算机通常处在几千米的距离之内。通常它分布在一个学校、一个企业单位,为本单位使用。一般称为“园区网”或“校园网”。
(2)有较高的通信带宽,数据传输率高。一般为1Mb/s以上,最高已达1000Mb/s。
(3)数据传输可靠,误码率低。误码率一般为10-4~10-6。
(4)通常采用同轴电缆或双绞线作为传输介质。跨楼寓时使用光纤。
(5)拓扑结构简单简洁,大多采用总线、星型和环型等,系统容易配置和管理。网上的计算机一般采用多路控制访问技术或令牌技术访问信道。
(6)网络的控制一般趋向于分布式,从而减少了对某个节点的依赖性,避免并减小了一个节点故障对整个网络的影响。
(7)通常网络归单一组织所拥有和使用。不受任何公共网络管理机构的规定约束,容易进行设备的更新和新技术的引用,以不断增强网络功能。
2.城域网
城域网(Metropolitan Area Network, MAN)是规模介于局域网和广域网之间的一种较大范围的高速网络,一般覆盖临近的多个单位和城市,从而为接入网络的企业、机关、公司及社会单位提供文字、声音和图像的集成服务。城域网规范由IEEE802.6协议定义。
3.广域网
广域网(Wide Area Network, WAN)又称远程网,它是指覆盖范围广、传输速率相对较低、以数据通信为主要目的的数据通信网。广域网最根本的特点如下。
(1)分布范围广。加入广域网中的计算机通常处在从数公里到数千公里的地方。因此,网络所涉及的范围可为市、地区、省、国家乃至世界。
(2)数据传输率低。一般为几十兆位每秒以下。
(3)数据传输可靠性随着传输介质的不同而不同,若用光纤,误码率一般在10-6~10-11之间。
(4)广域网常常借用传统的公共传输网来实现,因为单独建造一个广域网极其昂贵。
(5)拓扑结构较为复杂,大多采用“分布式网络”,即所有计算机都与交换节点相连,从而实现网络中任何两台计算机都可以进行通信。
广域网的布局不规则,使得网络的通信控制比较复杂。尤其是使用公共传输网,要求连接到网上的任何用户都必须严格遵守各种标准和规程。设备的更新和新技术的引用难度较大。广域网可将一个集团公司、团体或一个行业的各处部门和子公司连接起来。这种网络一般要求兼容多种网络系统(异构网络)。
5.1.3 网络的拓扑结构
网络拓扑结构是指网络中通信线路和节点的几何排序,用以表示整个网络的结构外貌,反映各节点之间的结构关系。它影响着整个网络的设计、功能、可靠性和通信费用等重要方面,是计算机网络十分重要的要素。常用的网络拓扑结构有总线型、星型、环型、树型和分布式结构等。
1.总线型结构
总线型拓扑结构如图5-2(a)所示,其特点为总线型拓扑结构中只有一条双向通路,便于进行广播式传送信息;总线型拓扑结构属于分布式控制,无须中央处理器,故结构比较简单;节点的增、删和位置的变动较容易,变动中不影响网络的正常运行,系统扩充性能好;节点的接口通常采用无源线路,系统可靠性高;设备少,价格低,安装使用方便;由于电气信号通路多,干扰较大,因此对信号的质量要求高。负载重时,线路的利用率较低。网上的信息延迟时间不确定,故障隔离和检测困难。
2.星型结构
星型结构中,使用中央交换单元以放射状连接到网中的各个节点,如图5-2(b)所示。中央单元采用电路交换方式以建立所希望通信的两节点间专用的路径。通常用双绞线将节点与中央单元进行连接。其特点为维护管理容易,重新配置灵活;故障隔离和检测容易;网络延迟时间短;各节点与中央交换单元直接连通,各节点之间通信必须经过中央单元转换;网络共享能力差;线路利用率低,中央单元负荷重。
3.环型结构
环型结构的信息传输线路构成一个封闭的环型,各节点通过中继器连入网内,各中继器间首尾相接,如图5-2(c)所示。信息单向沿环路逐点传送。其特点为环型网中信息的流动方向是固定的,两个节点仅有一条通路,路径控制简单;有旁路设备,节点一旦发生故障,系统自动旁路,可靠性高;信息要串行穿过多个节点,在网中节点过多时传输效率低,系统响应速度慢;由于环路封闭,扩充较难。
4.树型结构
树型结构是总线型结构的扩充形式,传输介质是不封闭的分支电缆,如图5-2(d)所示。它主要用于多个网络组成的分级结构中。其特点同总线型网。
5.分布式结构
分布式结构无严格的布点规定和形状,各节点之间有多条线路相连,如图5-2(e)所示。其特点为分布式网有较高的可靠性,当一条线路有故障时,不会影响整个系统工作;资源共享方便,网络响应时间短;由于节点与多个节点连接,故节点的路由选择和流量控制难度大,管理软件复杂;硬件成本高。
图5-2 常用的网络拓扑结构
广域网与局域网所使用的网络拓扑结构有所不同,广域网多用分布式或树型结构,而局域网常使用总线型、环型、星型或树型结构。
5.2 ISO/OSI网络体系结构
计算机网络是相当复杂的系统,相互通信的两个计算机系统必须高度协调才能正常工作。为了设计这样复杂的计算机网络,人们提出了将网络分层的方法。分层可将庞大而复杂的问题转化为若干较小的局部问题进行处理,从而使问题简单化。
国际标准化组织在1977年成立了一个分委员会专门研究网络通信的体系结构问题,并提出了开放系统互连参考模型,它是一个定义异种计算机连接标准的框架结构。OSI为连接分布式应用处理的“开放”系统提供了基础。所谓“开放”,是指任何两个系统只要遵守参考模型和有关标准,都能够进行互连。OSI采用了层次化结构的构造技术。
ISO分委员会的任务是定义一组层次和每一层所完成的功能和服务。层次的划分应当从逻辑上将功能分组,层次应该足够多,应使每一层小到易于管理的程度,但也不能太多,否则汇集各层的处理开销太大。
1.ISO/OSI参考模型
IOS/OSI的参考模型共有7层,如图5-3所示。由低层至高层分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
图5-3 OSI参考模型
OSI参考模型具有以下特性。
(1)是一种将异构系统互连的分层结构。
(2)提供了控制互连系统交互规则的标准框架。
(3)定义了一种抽象结构,而并非具体实现的描述。
(4)不同系统上相同层的实体称为同等层实体。
(5)同等层实体之间的通信由该层的协议管理。
(6)相邻层间的接口定义了原语操作和低层向高层提供的服务。
(7)所提供的公共服务是面向连接的或无连接的数据服务。
(8)直接的数据传送仅在最低层实现。
(9)每层完成所定义的功能,修改本层的功能并不影响其他层。
OSI参考模型各层的功能简述如下。
OSI/RM中的1~3层主要负责通信功能,一般称为通信子网层。上三层(即5~7层)属于资源子网的功能范畴,称为资源子网层。传输层起着衔接上下三层的作用。各层说明如下。
(1)物理层(Physical Layer)。提供为建立、维护和拆除物理链路所需的机械、电气、功能和规程的特性;提供有关在传输介质上传输非结构的位流及物理链路故障检测指示。
用户要传递信息就要利用一些物理媒体,如双绞线、同轴电缆等,但具体的物理媒体并不在OSI的7层之内,有人把物理媒体当作第0层,物理层的任务就是为它的上一层提供一个物理连接,以及它们的机械、电气、功能和过程特性。如规定使用电缆和接头的类型,传送信号的电压等。在这一层,数据还没有被组织,仅作为原始的位流或电气电压处理,单位是位。
(2)数据链路层(Data Link Layer)。数据链路层负责在两个相邻节点间的线路上无差错地传送以帧为单位的数据,并进行流量控制。每一帧包括一定数量的数据和一些必要的控制信息。和物理层相似,数据链路层要负责建立、维持和释放数据链路的连接。在传送数据时,如果接收点检测到所传数据中有差错,就要通知发方重发这一帧。
(3)网络层(Network Layer)。为传输层实体提供端到端的交换网络数据传送功能,使得传输层摆脱路由选择、交换方式和拥挤控制等网络传输细节;可以为传输层实体建立、维持和拆除一条或多条通信路径;对网络传输中发生的不可恢复的差错予以报告。
在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路,也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换节点,确保数据及时传送。网络层将数据链路层提供的帧组成数据包,包中封装有网络层包头,其中含有逻辑地址信息——源站点和目的站点地址的网络地址。
(4)传输层(Transport Layer)。为会话层实体提供透明、可靠的数据传输服务,保证端到端的数据完整性;选择网络层能提供最适宜的服务;提供建立、维护和拆除传输连接功能。传输层根据通信子网的特性,最佳地利用网络资源,为两个端系统(也就是源站和目的站)的会话层之间提供建立、维护和取消传输连接的功能,并以可靠和经济的方式传输数据。在这一层,信息的传送单位是报文。
(5)会话层(Session Layer)。为彼此合作的表示层实体提供建立、维护和结束会话连接的功能;完成通信进程的逻辑名字与物理名字间的对应;提供会话管理服务。
这一层也可以称为会晤层或对话层,在会话层及以上的高层次中,数据传送的单位不再另外命名,统称为报文。会话层不参与具体的传输,它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。
(6)表示层(Presentation Layer)。为应用层进程提供能解释所交换信息含义的一组服务,即将欲交换的数据从适合于某一用户的抽象语法转换为适合于OSI系统内部使用的传送语法。提供格式化的表示和转换数据服务。数据的压缩、解压缩、加密和解密等工作都由表示层负责。
(7)应用层(Application Layer)。提供OSI用户服务,即确定进程之间通信的性质,以满足用户需要以及提供网络与用户应用软件之间的接口服务。例如,事务处理程序、电子邮件和网络管理程序等。
2.参考模型的信息流向
如图5-4所示,设A系统的用户要向B系统的用户传送数据。A系统用户的数据先送入应用层。该层给它附加控制信息AH(头标)后,送入表示层。表示层对数据进行必要的变换并加头标PH后送入会话层。会话层也加头标SH送入传输层。传输层将长报文分段后并加头标TH送至网络层。网络层将信息变成报文分组,并加组号NH送数据链路层。数据链路层将信息加上头标和尾标(DH及DT)变成帧,经物理层按位发送到对方(B系统)。B系统接收到信息后,按照与A系统相反的动作,层层剥去控制信息,最后把原数据传送给B系统的用户可见,两系统中只有物理层是实通信,而其余各层均为虚通信。因此,图5-4中只有两物理层间有物理连接,其余各层间均无连线。
图5-4 ISO/OSI RM内信息流动
5.3 网络互连硬件
构建一个实际的网络,需要网络的传输介质、网络互联设备作为支持。本节主要介绍构建网络的传输介质和互联设备。
5.3.1 网络的设备
网络互连的目的是使一个网络的用户能访问其他网络的资源,使不同网络上的用户能够互相通信和交换信息,实现更大范围的资源共享。在网络互连时,一般不能简单地直接相连,而是通过一个中间设备来实现。按照ISO/OSI的分层原则,这个中间设备要实现不同网络之间的协议转换功能,根据它们工作的协议层不同进行分类。网络互连设备可以有中继器(实现物理层协议转换,在电缆间转发二进制信号)、网桥(实现物理层和数据链路层协议转换)、路由器(实现网络层和以下各层协议转换)、网关(提供从最低层到传输层或以上各层的协议转换)和交换机等。
1.网络传输介质互联设备
网络线路与用户节点具体衔接时,需要网络传输介质的互联设备。如T型头(细同轴电缆连接器)、收发器、RJ-45(屏蔽或非屏蔽双绞线连接器)、RS232接口(目前计算机与线路接口的常用方式)、DB-15接口(连接网络接口卡的AUI接口)、VB35同步接口(连接远程的高速同步接口)、网络接口单元和调制解调器(数字信号与模拟信号转换器)等。
2.物理层的互连设备
物理层的互连设备有中继器(Repeater)和集线器(Hub)。
1)中继器
它是在物理层上实现局域网网段互连的,用于扩展局域网网段的长度。由于中继器只在两个局域网网段间实现电气信号的恢复与整形,因此它仅用于连接相同的局域段。
理论上说,可以用中继器把网络延长到任意长的传输距离,但是,局域网中接入的中继器的数量将受时延和衰耗的影响,因而必须加以限制。例如,在以太网中最多使用4个中继器。以太网设计连线时指定两个最远用户之间的距离,包括用于局域网的连接电缆,不得超过500m。即便使用了中继器,典型的Ethernet局域网应用要求从头到尾整个路径不超过1500m。中继器的主要优点是安装简便、使用方便、价格便宜。
2)集线器
可以看成是一种特殊的多路中继器,也具有信号放大功能。使用双绞线的以太网多用Hub扩大网络,同时也便于网络的维护。以集线器为中心的网络优点是当网络系统中某条线路或某节点出现故障时,不会影响网上其他节点的正常工作。集线器可分为无源(passive)集线器、有源(active)集线器和智能(intelligent)集线器。
无源集线器只负责把多段介质连接在一起,不对信号作任何处理,每一种介质段只允许扩展到最大有效距离的一半;有源集线器类似于无源集线器,但它具有对传输信号进行再生和放大从而扩展介质长度的功能;智能集线器除具有有源集线器的功能外,还可将网络的部分功能集成到集线器中,如网络管理、选择网络传输线路等。
3.数据链路层的互连设备
数据链路层的互连设备有网桥(Bridge)和交换机(Switch)。
1)网桥
用于连接两个局域网网段,工作于数据链路层。网桥要分析帧地址字段,以决定是否把收到的帧转发到另一个网络段上。确切地说,网桥工作于MAC子层,只要两个网络MAC子层以上的协议相同,都可以用网桥互连。
网桥检查帧的源地址和目的地址,如果目的地址和源地址不在同一个网络段上,就把帧转发到另一个网络段上;若两个地址在同一个网络段上,则不转发,所以网桥能起到过滤帧的作用。网桥的帧过滤特性很有用,当一个网络由于负载很重而性能下降时,可以用网桥把它分成两个网络段并使得段间的通信量保持最小。例如,把分布在两层楼上的网络分成每层一个网络段,段中间用网桥相连,这样的配置可以最大限度地缓解网络通信繁忙的程度,提高通信效率。同时,由于网桥的隔离作用,一个网络段上的故障不会影响到另一个网络段,从而提高了网络的可靠性。
2)交换机
交换机是一个具有简化、低价、高性能和高端口密集特点的交换产品,它是按每一个包中的MAC地址相对简单地决策信息转发,而这种转发决策一般不考虑包中隐藏的更深的其他信息。交换机转发数据的延迟很小,操作接近单个局域网性能,远远超过了普通桥接的转发性能。交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。
交换机的工作过程为:当交换机从某一节点收到一个以太网帧后,将立即在其内存中的地址表(端口号—MAC地址)进行查找,以确认该目的MAC的网卡连接在哪一个节点上,然后将该帧转发至该节点。如果在地址表中没有找到该MAC地址,也就是说,该目的MAC地址是首次出现,交换机就将数据包广播到所有节点。拥有该MAC地址的网卡在接收到该广播帧后,将立即做出应答,从而使交换机将其节点的“MAC地址”添加到MAC地址表中。
交换机的三种交换技术:端口交换(用于将以太模块的端口在背板的多个网段之间进行分配、平衡)、帧交换(处理方式:直通交换——提供线速处理能力,交换机只读出网络帧的前14个字节,便将网络帧传送到相应的端口上;存储转发——通过对网络帧的读取进行验错和控制;碎片丢弃——检查数据包的长度是否够64个字节,如果小于64字节,说明是假包,则丢弃该包,否则发送该包)和信元交换(采用长度固定的信元交换)。
4.网络层互联设备
路由器(Router)是网络层互联设备,用于连接多个逻辑上分开的网络。逻辑网络是指一个单独的网络或一个子网,当数据从一个子网传输到另一个子网时,可通过路由器来完成。
路由器具有很强的异种网互连能力,互连的网络最低两层协议可以互不相同,通过驱动软件接口到第三层上而得到统一。对于互连网络的第三层协议,如果相同,可使用单协议路由器进行互连;如果不同,则应使用多协议路由器。多协议路由器同时支持多种不同的网络层协议,并可以设置为允许或禁止某些特定的协议。所谓支持多种协议,是指支持多种协议的路由,而不是指不同类协议的相互转换。
通常把网络层地址信息叫做网络逻辑地址,把数据链路层地址信息叫做物理地址。路由器最主要的功能是选择路径。在路由器的存储器中维护着一个路径表,记录各个网络的逻辑地址,用于识别其他网络。在互连网络中,当路由器收到从一个网络向另一个网络发送的信息包时,将丢弃信息包的外层,解读信息包中的数据,获得目的网络的逻辑地址,使用复杂的程序来决定信息经由哪条路径发送最合适,然后重新打包并转发出去。路由器的功能还包括过滤、存储转发、流量管理和介质转换等。一些增强功能的路由器还可有加密、数据压缩、优先和容错管理等功能。由于路由器工作于网络层,它处理的信息量比网桥要多,因而处理速度比网桥慢。
5.应用层互联设备
网关(Gateway)是应用层的互联设备。在一个计算机网络中,当连接不同类型而协议差别又较大的网络时,则要选用网关设备。网关的功能体现在OSI模型的最高层,它将协议进行转换,将数据重新分组,以便在两个不同类型的网络系统之间进行通信。由于协议转换是一件复杂的事,一般来说,网关只进行一对一转换,或是少数几种特定应用协议的转换,网关很难实现通用的协议转换。
5.3.2 网络的传输介质
传输介质是信号传输的媒体,常用的介质分为有线介质和无线介质。有线介质有双绞线、同轴电缆和光纤等;无线介质有微波、红外线和微波等。
1.有线介质
1)双绞线(Twisted—Pair)
双绞线是现在最普通的传输介质,它分为屏蔽双绞线(STP)和非屏蔽双绞线(UTP)。非屏蔽双绞线有线缆外皮作为屏蔽层,适用于网络流量不大的场合中。屏蔽式双绞线具有一个金属甲套,对电磁干扰具有较强的抵抗能力,适用于网络流量较大的高速网络协议应用。双绞线又可分为3类、4类和5类、6类和7类双绞线,现在常用的是5类UTP,其频率带宽为100MHz。6类、7类双绞线分别可工作于200MHz和600MHz的频率带宽之上,且采用特殊设计的RJ45插头。
双绞线最多应用于10Base-T和100Base-T的以太网中,具体规定有:一段双绞线的最大长度为100m,只能连接一台计算机;双绞线的每端需要一个RJ45插件;各段双绞线通过集线器互联,利用双绞线最多可连接64个站点到中继器。
2)同轴电缆(Coaxial)
同轴电缆也像双绞线那样由一对导体组成。同轴电缆又分为基带同轴电缆(阻抗为50Ω)和宽带同轴电缆(阻抗为75Ω)。基带同轴电缆用来直接传输数字信号,它又分为粗同轴电缆和细同轴电缆,其中粗同轴电缆适用于较大局域网的网络干线,布线距离较长,可靠性较好,但是网络安装、维护等方面比较困难,造价较高;而细同轴电缆安装较容易,而且造价较低,但因受网络布线结构的限制,其日常维护不甚方便。宽带同轴电缆用于频分多路复用(FDM)的模拟信号发送,还用于不使用频分多路复用的高速数字信号发送和模拟信号发送。闭路电视所使用的CATV电缆就是宽带同轴电缆。
3)光纤(Fiber Optic)
光导纤维简称光纤,它重量轻,体积小。用光纤传输电信号时,在发送端先要将其转换成光信号,而在接收端又要由光检波器还原成电信号。光纤是软而细的、利用内部全反射原理来传导光束的传输介质。按光源采用不同的发光管分为发光二极管和注入型激光二极管。多模光纤(Multimode Fiber)使用的材料是发光二极管,价格较便宜,但定向性较差;单模光纤(Single Mode Fiber)使用的材料是注入型二极管,定向性好,损耗少,效率高,传播距离长,但价格昂贵。
2.无线介质
无线传输介质都不需要架设或铺埋电缆或光纤,而是通过大气传输,目前有三种技术:微波、红外线和激光。
1)微波
微波通信是在对流层视线距离范围内利用无线电波进行传输的一种通信方式,频率范围为2~40GHz。微波通信是沿直线传播的,由于地球表面是曲面,微波在地面的传播距离有限,直接传播的距离与天线的高度有关,天线越高距离越远,但超过一定距离后就要用中继站来接力,两微波站的通信距离一般为30~50km,长途通信时必须建立多个中继站。中继站的功能是变频和放大,进行功率补偿。微波通信分为模拟微波通信和数字微波通信两种。模拟微波通信主要采用调频制,数字微波通信大都采用相移键控(PSK)。微波通信的传输质量比较稳定,影响质量的主要因素是雨雪天气对微波产生的吸收损耗,不利地形或环境对微波所造成的衰减现象。
2)红外线和激光
红外通信和激光通信也像微波通信一样,有很强的方向性,都是沿直线传播的。这三种技术都需要在发送方和接收方之间有一条视线(Line-of-sight)通路,有时统称这三者为视线媒体。所不同的是,红外通信和激光通信把要传输的信号分别转换为红外光信号和激光信号,直接在空间传播。由于这三种视线媒体都不需要铺设电缆,对于不论是在地下或用电线杆很难在建筑物之间架设电缆,特别是要穿越的空间属于公共场所的局域网特别有用。但这三种技术对环境气候较为敏感,例如雨、雾和雷电。相对来说,微波一般对雨和雾的敏感度较低。
3)卫星通信
卫星通信是以人造卫星为微波中继站,它是微波通信的特殊形式。卫星接收来自地面发送站发出的电磁波信号后,再以广播方式用不同的频率发回地面,被地面工作站接收。卫星通信可以克服地面微波通信距离的限制。一个同步卫星可以覆盖地球的1/3以上表面,三个这样的卫星就可以覆盖地球上全部通信区域,这样地球上的各个地面站之间都可互相通信了。由于卫星信道频带宽,也可采用频分多路复用技术分为若干个子信道,有些用于由地面站向卫星发送(称为上行信道),有些用于由卫星向地面转发(称为下行信道)。卫星通信的优点是容量大、距离远,缺点是传播延迟时间长。
5.3.3 组建网络
在一个局域网中,其基本组成部件为服务器、客户端、网络设备、通信介质和网络软件等。
(1)服务器(Server)。局域网的核心,根据它在网络中的作用,还可进一步分为文件服务器、打印服务器和通信服务器。
(2)客户端(Client)。客户端又称为用户工作站,是用户与网络应用接口设备。
(3)网络设备。主要指一些硬件设备,如网卡、收发器、中继器、集中器、网桥和路由器等。网卡是一种必不可少的网络设备,常用的网卡有Ethernet(以太网)网卡、ARCNET网卡、ESIA总线网网卡和Token-Ring网卡等。
(4)通信介质。数据的传输媒体。不同的通信介质有着不同的传输特性。
(5)网络软件。网络软件主要包括底层协议软件、网络操作系统(NOS)等。底层协议软件是由一组标准规则及软件构成,以使实体间或网络之间能够互相进行通信。网络操作系统主要对整个网络的资源和运行进行管理,并为用户提供应用接口。
【例5.1】 为了将两个相邻办公室的多台计算机连接成一个局域网,以方便传输文件、共享资源,最简单的连接方式如图5-5所示。
图5-5 简单网络连接方式
采用集线器将两个办公室的多台计算机连接成一个局域网,如果感觉速度较慢,可将Hub换成交换机(Switch),构成树型或总线和星型结合的拓扑结构;传输介质采用五类以上的非屏蔽双绞线,使用RJ45连接Hub与计算机;网卡采用10/100M自适应的以太网卡;协议使用TCP/IP或NETBIEU或其他协议。该网络安装和维护简单易行且费用低廉,计算机和Hub之间的最大UTP电缆长度为100m,两个计算机之间(即端—端)最多允许有4个Hub和5个电缆段,即最大网络长度为500m。
【例5.2】某校园/大型企业为本单位建设高速信息网络,网络主干中心为千兆以太网的光纤局域网,连接各学院、系、图书馆等信息网,并接入Internet。实现各级各类网络的互连互通,为学校的各级单位、教师、学生提供方便、快捷的信息与教学服务,从而有效地为科研、教学服务,提高学校的整体水平。网络的构建如图5-6所示。
图5-6 校园网的构建
【例.3】某家庭想连接Internet,决定申请一条ADSL线路,通过拨号来连接Internet,原因如下。
(1)ADSL具有很高的传输速率,其下行为2~8Mb/s,上行为64~640kb/s,为普通拨号Modem的百倍以上,也是宽带上网中速度较高的一种。
(2)ADSL上网和打电话互不干扰,ADSL数据信号和电话音频信号以频分复用原理调制于各自频段互不干扰,上网的同时可以使用电话,避免了拨号上网的烦恼。
(3)ADSL独享带宽,安全可靠,其他宽带方式虽然在速度方面有快过它的,但有的是属于共享带宽方式。例如cable modem下行可达到20Mb/s,但它是一种粗糙的总线型广播网络,成千上万用户争抢20Mb/s的带宽,而非独享,更为严重的是,它属于总线型的网络,先天的广播特性造成了信息传输的不安全性。ADSL利用中国电信深入千家万户的电话网络,先天形成星型结构的网络拓扑构造,骨干网络采用中国电信遍布全城、全国的光纤传输,独享2~8Mb/s带宽,信息传递快速可靠安全。
(4)ADSL费用低廉,虽然电话线同时传递电话语音和数据,但数据并不通过电话交换机,因此不用拨号,一直在线,属于专线上网方式。这意味着使用ADSL上网不需要缴纳拨号上网的电话费用。另一方面,不需要对原有电话线路进行改造,用户端不需要购买价格昂贵的设备,只需一个现在相当普及的ADSL Modem即可,相对来说投资较少。
(5)ADSL能提供真正的视频点播(VOD)、网上游戏、交互电视和网上购物等宽带多媒体服务,远程LAN接入,远地办公室,在家工作等高速数据应用,远程医疗,远程教学,远地可视会议,体育比赛现场实时传送等。
ADSL连接Internet的方式有两种:专线接入和虚拟拨号接入。采用虚拟拨号方式的用户采用类似Modem和ISDN的拨号程序,在使用习惯上与原来的方式没什么不同。采用专线接入的用户只要开机即可接入Internet。
使用ADSL上网所需的硬设有一块网卡和ADSL Modem。当然,家用计算机是必须的。连接方式如图5-7所示。
图5-7 ADSL单用户接入方式
如果不是家庭,而是公司或企业,即局域网通过ADSL接入Internet,其接入方法有如下两种。
(1)直接通过ADSL连上网的那台主机设置成代理服务器,然后本地局域网上的客户端通过该代理服务器访问外部信息资源。这种方法的好处是需要申请一个账号或一个IP地址,本地客户端可采用保留IP地址。
(2)采用专线方式,为局域网上的每台计算机向电话局申请一个IP地址。这种方法的好处是无须设置一台专用的代理服务网关,缺陷是目前对一条ADSL线路只能提供最多8个IP地址给局域网。
通过代理服务器将公司或企业接入Internet方式如图5-8所示。
图5-8 公司或企业的ADSL接入方式
连接时需要注意的问题如下。
(1)接口方式。有以太网、USB和PCI三种。USB、PCI适用于家庭用户,性价比好,小巧、方便、实用;外置以太网口的产品只适用于企业和办公室的局域网,它可以带多台机器进行上网。有的以太网接口的ADSL Modem同时具有桥接和路由功能。
(2)分离器。使上网和打电话互不干扰。
(3)支持的协议。ADSL Modem上网拨号方式有三种,即专线方式(静态IP)、PPPoA和PPPoE。普通用户多采用PPPoE(Point-to-Point Protocol over Ethernet)或PPPoA(Point-to-Point Protocol over ATM)虚拟拨号的方式上网。
5.4 网络的协议与标准
计算机网络的硬件设备是承载计算机通信的实体,但它们是怎样有序地完成计算机之间通信任务的呢?也就是说,要共享计算机网络的资源,以及进行网络中的交换信息,就需要实现不同系统中实体的通信。两个实体要想成功地通信,它们必须具有相同的语言,在计算机网络中称为协议(或规程)。所谓协议,指的是网络中的计算机与计算机进行通信时,为了能够实现数据的正常发送与接收,必须要遵循的一些事先约定好的规则(标准或约定),在这些规程中明确规定了通信时的数据格式、数据传送时序以及相应的控制信息和应答信号等内容。下面主要介绍网络的标准、局域网协议与广域网协议。
5.4.1 网络的标准
在网络的标准化方面,有许多标准化机构在工作,如国际标准化组织、国际电信联盟、电子工业协会、电气和电子工程师协会、因特网活动委员会等。
1.电信标准
1865年成立国际电信联盟(International Telecommunication Union, ITU),1947年ITU成为联合国的一个组织,它由如下三部分组成。
● ITU-R:无线通信部门。ITU-R的主要工作是确保无线电频率和卫星轨道被所有国家平等、有效和经济地利用,召开世界性和地区性大会来制定无线电法规和地区性协议,起草并通过有关技术、业务和系统的建议。
● ITU-T:电信标准部门。下设许多研究组,研究组下设专题,从事网络管理、网络维护、业务运营、网络和终端的端对端传输特性、网络总体方面、多媒体业务和系统等方面的研究。例如,Q42/SG Ⅶ专门研究OSI参考模型。
● ITU-D:开发部门。主要宗旨是促进第三世界国家的电信发展。
1953年~1993年,ITU-T被称为CCITT(国际电报电话咨询委员会)。CCITT建议自1993年起都打上了ITU-T标记。已经公布并使用的最重要的标准如下。
(1)V系列。ITU-T提出的V系列标准主要是针对调制解调器的标准。例如,V.90是56kb/s调制解调器的标准。
(2)X系列。ITU-T提出的X系列标准是应用于广域网的,该系列标准分为如下两组。
● X.1—X.39标准。应用于终端形式、接口、服务设施和设备。最著名的标准是X.25,它规定了数据包装和传送的协议。
● X.40—X.199标准。管理网络结构、传输、发信号等。
2.国际标准
1946年成立的国际标准化组织负责制定各种国际标准,ISO有89个成员国家,85个其他成员。ISO的任务是促进全球范围内的标准化及其有关活动,以利于国际间产品与服务的交流,以及在知识、科学、技术和经济活动中发展国际间的相互合作。例如,ISO开发了开放式系统互连网络结构模型,模型定义了用于网络结构的7个数据处理层。
其他标准化组织如下。
● ANSI:美国国家标准研究所,ISO的美国代表。ANSI设计了ASCII代码组,它是一种广泛使用的数据通信标准代码。
● NIST:美国国家标准和技术研究所,美国商业部的标准化机构。
● IEEE:电气和电子工程师协会(Institute of Electrical and Electronics Engineers)。IEEE设置了电子工业标准,分成一些标准委员会(或工作组),每个工作组负责标准的一个领域,工作组802设置了网络上的设备如何彼此通信的标准,即IEEE 802标准委员会划分成的工作组有802.1工作组,协调低档与高档OSI模型;802.2工作组,涉及逻辑数据链路标准;802.3工作组,有关CSMA/CD标准在以太网的应用;802.4工作组,令牌总线标准在LAN中的应用;802.5工作组,设置有关令牌环网络的标准。
● EIA:电子工业协会(Electronic Industries Association)。最为人熟悉的EIA标准之一是RS-232C接口,这一通信接口允许数据在设备之间交换。
值得注意的是,ITU-T和ISO之间有很好的合作和协调。
3.Internet标准
Internet标准的特点是自发而非政府干预的,管理松散,每个分网络均由各自分别管理,目前已组成了一个民间性质的协会ISOC(Internet Society)进行必要的协调与管理,有一个网络信息中心(NIC)来管理IP地址,保证注册地址的唯一性,并为用户提供一些文件,介绍可用的服务。ISOC设有Internet总体管理机构结构(IAB)。
1969年,在ARPANET时代就开始发布请求评注(Request For Comments, RFC),至今已超过3000个。
5.4.2 局域网协议
IEEE局域网标准委员会对局域网的定义为:“局域网络中的通信被限制在中等规模的地理范围内,如一所学校;能够使用具有中等或较高数据速率的物理信道,且具有较低的误码率;局域网络是专用的,由单一组织机构所使用。”局域网技术由于具有规模小、组网灵活和结构规整的特点,因此极易形成标准。事实上,局域网技术也是在所有计算机网络技术中标准化程序最高的一部分。国际电子电气工程师协议早在20世纪70年代就制定了三个局域网标准:IEEE 802.3(CSMA/CD,以太网)、IEEE 802.4(Token Bus,令牌总线)和IEEE 802.5(Token Ring,令牌环)。由于它已被市场广泛接受,因此IEEE 802系列标准已被ISO采纳为国际标准。而且,随着网络技术的发展,又出现了IEEE 802.7(FDDI)、IEEE 802.3u(快速以太网)、IEEE 802.12(100VG-AnyLAN)和IEEE 802.3z(千兆以太网)等新一代网络标准。
一个局域网的基本组成主要有网络服务器、网络工作站、网络适配器和传输介质。这些设备在特定网络软件支持下完成特定的网络功能。决定局域网特性的主要技术有三个方面:用以传输数据的传输介质;用以连接各种设备的拓扑结构;用以共享资源的介质访问控制方法。它们在很大程度上决定了传输数据的类型、网络的响应时间、吞吐量和利用率,以及网络应用等各种网络特性。不同的局域网协议最重要的区别是介质访问控制方法,它对网络特性具有十分重要的影响。
1.LAN模型
ISO/OSI的7层参考模型本身不是一个标准,在制定具体网络协议和标准时,要依OSI/RM参考模型作为“参照基准”,并说明与该“参照基准”的对应关系。在IEEE 802局域网(LAN)标准中,只定义了物理层和数据链路层两层,并根据LAN的特点,把数据链路层分成逻辑链路控制(Logical Link Control, LLC)子层和介质访问控制(Medium Access Control, MAC)子层。还加强了数据链路层的功能,把网络层中的寻址、排序、流控和差错控制等功能放在LLC子层来实现。图5-9为LAN协议的层次以及与OSI/RM参考模型的对应关系。
图5-9 LAN层次与OSI/RM的对应关系
1)物理层
和OSI物理层的功能一样,主要处理在物理链路上发送、传递和接收非结构化的比特流,包括对带宽的频道分配和对基带的信号调制、建立、维持、撤销物理链路,处理机械的、电气的和过程的特性。其特点是可以采用一些特殊的通信媒体,在信息组成的格式上可以有多种。
2)MAC
主要功能是控制对传输介质的访问,MAC与网络的具体拓扑方式以及传输介质的类型有关,主要是介质的访问控制和对信道资源的分配。MAC层还实现帧的寻址和识别,完成帧检测序列产生和检验等功能。
3)LLC
可提供两种控制类型,即面向连接服务和非连接服务。其中,面向连接服务能够提供可靠的信道。逻辑链路控制层提供的主要功能是数据帧的封装和拆除,为高层提供网络服务的逻辑接口,能够实现差错控制和流量控制。
在计算机网络体系结构中,最具代表性和权威的是ISO的OSI/RM和IEEE的802协议。OSI是设计和实现网络协议标准的最重要的参考模型和依据,而IEEE 802则制定了一系列具体的局域网标准,并不断地增加新的标准,它们之间的关系如图5-10所示。
图5-10 IEEE 802标准系列间的关系
2.以太网(IEEE 802.3标准)
以太网技术可以说是局域网技术中历史最悠久和最常用的一种。它采用的“存取方法”是带冲突检测的载波监听多路访问协议(Carrier-Sense Multiple Access with Collision Detection, CSMA/CD)技术。
目前以太网主要包括三种类型:IEEE 802.3中定义的标准局域网,速度为10Mb/s,传输介质为细同轴电缆;IEEE 802.3u中定义的快速以太网,速度为100Mb/s,传输介质为双绞线;IEEE 802.3z中定义的千兆以太网,速度为1000Mb/s,传输介质为光纤或双绞线。
1)介质访问技术
IEEE 802.3所使用的介质访问协议CSMA/CD是让整个网络上的主机都以竞争的方式来抢夺传送数据的权力。工作过程为:首先侦听信道,如果信道空闲,则发送;如果信道忙,则继续侦听,直到信道空闲时立即发送。开始发送后再进行一段时间的检测,方法是边发送边接收,并将收、发信息相比较,若结果不同,表明发送的信息遇到碰撞,于是立即停止发送,并向总线上发出一串阻塞信号,通知信道上各站冲突已发生。已发出信息的各站收到阻塞信号后,等待一段随机时间,等待时间最短的站将重新获得信道,可重新发送。
在CSMA/CD中,当检测到冲突并发出阻塞信号后,为了降低再次冲突概率,需要等待一个退避时间。退避算法有许多种,常用的一种通用退避算法称为二进制指数退避算法。
2)IEEE 802.3——10Mb/s以太网
IEEE 802.3——10Mb/s以太网定义过10Base5、10Base2、10Base-T和10Base-F等几种(需要注明的是,其中10Base-T与10Base-F的最后一项就是以线缆类型进行命名的,其中T代表双绞线,F代表光纤)。10Base 5标准是最早的媒体规范,它使用阻抗为50Ω的同轴粗缆。但由于同轴粗缆的缆线直径大,所以比较笨重,不易铺设。10Base 2标准是为建立一个比10Base 5更廉价的局域网,它使用阻抗为50Ω的同轴细缆,唯一的差别就是它使得每两个节点间的距离限制从500m降为185m。10Base-T标准是一个使用非屏蔽双绞线为传输介质的标准,所要用到的非屏蔽双绞线只需3类线标准即可满足要求,是一个成功的标准。10Base-F标准充分利用了新兴媒体光纤的距离长、传输性能好的优点,大大改进了以太网技术。
3)IEEE 802.3u——100Mb/s快速以太网
随着计算机技术的不断发展,10Mb/s的网络传输速度实在无法满足日益增大的需求。IEEE 802.3u充分考虑到了向下兼容性:它采用了非屏蔽双绞线(或屏蔽双绞线、光纤)作为传输媒介,采用与IEEE 802.3一样的介质访问控制层——CSMA/CD。IEEE 802.3u常称为快速以太网。根据实现的介质不同,快速以太网可以分为100BaseTX、100BaseFX和100BaseT4三种。
100BaseTX用两对5类非屏蔽双绞线,或者1类、2类屏蔽双绞线作为传输媒介,来实现传输速度为100Mb/s的网络,最多支持两个中继器。100BaseFX是2束多模光纤上的标准,在没有中继设备的网络中最大传输距离为400m。100BaseT4利用10Mb/s的网络中使用的3类线有两对是空着没有利用的特点,使用4对3类非屏蔽双绞线上提供传输速度为100Mb/s网络。
4)IEEE 802.3z——1000Mb/s千兆以太网
IEEE 802.3z对介质访问控制层规范进行了重新定义,以维持适当的网络传输距离,介质访问控制方法仍采用CSMA/CD协议,并且重新制定了物理层标准,使之能提供1000Mb/s的原始带宽。因此,它仍是一种共享介质的局域网,发送到网上的信号是广播式的,接收站根据地址接收信号。网络接口硬件能监听线路上是否已存在信号,以避免冲突,或在没有冲突时重发数据。
在物理层,千兆以太网支持如下三种传输介质。
(1)光纤系统。支持多模光纤和单模光纤系统,多模光纤的工作距离为500m,单模光纤的工作距离为2000m。
(2)宽带同轴电缆系统。其传输距离为25m。
(3)5类UTP电缆。其传输距离为100m,链路操作模式为半双工。
千兆位以太网采用以交换机为中心的星型拓扑结构,主要用于交换机与交换机之间或者交换机与企业超级服务器之间的高速网络连接。
3.令牌环网(IEEE 802.5)
令牌环是环型网中最普遍采用的介质访问控制,它适用于环型网络结构的分布式介质访问控制,其流行性仅次于以太网。令牌环网的传输介质虽然没有明确定义,但主要基于屏蔽双绞线和非屏蔽双绞线两种,拓扑结构可以有多种,如环型(最典型)、星型(采用得最多)和总线型(一种变形)。编码方法为差分曼彻斯特编码。
IEEE 802.5的介质访问使用的是令牌环控制技术,工作过程为:首先,令牌环网在网络中传递一个很小的帧,称为“令牌”,只有拥有令牌环的工作站才有权力发送信息。令牌在网络上依次顺序传递。当工作站要发送数据时,等待捕获一个空令牌,然后将要发送的信息附加到后边,发往下一站,如此直到目标站。然后将令牌释放。如果工作站要发送数据时,经过的令牌不是空的,则等待令牌释放。
当信息帧绕环通过各站时,各站都要将帧的目的地址与本站地址相比较,如果地址符合,说明是发送给本站的,则将帧复制到本站的接收缓冲器中,同时将帧送回到环上,使帧继续沿环传送;如果地址不符合,则简单地将信息帧重新送到环上即可。
4.FDDI
FDDI(Fiber Distributed Data Interface,光纤分布式数据接口)类似令牌环网的协议,它用光纤作为传输介质,数据传速可达到100Mb/s,环路长度可扩展到200km,连接的站点数可以达到1000个。FDDI采用一种新的编码技术,称为4B/5B编码,即每次对4位数据进行编码。每4位数据编码成5位符号,用光信号的存在或不存在来代表5位符号中的每一位是1还是0。
光纤中传送的是光信号,有光脉冲表示1,无光脉冲表示0。这种简单编码的缺点是没有同步功能。在同轴电缆或双绞线作为传输介质的局域网中,通常采用曼彻斯特编码方式。它利用中间的跳变作为同步信号。这样对每一位数据单元产生两次瞬变,使带宽的利用率降低。5位编码的32种组合中,实际只使用了24种,其中的16种用来做数据,其余8种用来做控制符号(如帧的起始和结束符号等)。4B/5B编码中,5位码中的“1”码至少为2位,按NRZI编码原理,信号中就至少有两次跳变,因此接收端可得到足够的同步信息。
FDDI采用双环体系结构,两环上的信息反方向流动。双环中的一环称为主环,另一环称为次环。在正常情况下,主环传输数据,次环处于空闲状态。双环设计的目的是提供高可靠性和稳定性。FDDI定义的传输介质有单模光纤和多模光纤两种。
5.4.3 广域网协议
广域网通常是指覆盖范围大,传输速率低,以数据通信为主要目的的数据通信网。随着信息技术的迅速发展,很多国家的数据通信业务的增长率已大大提高,特别是国际互联网的普及促进了数据通信网技术的发展。
在地域分布很远、很分散,以至于无法用直接连接来接入局域网的场合,广域网(WAN)通过专用的或交换式的连接把计算机连接起来。这种广域连接可以是通过公众网建立的,也可以是通过服务于某个专门部门的专用网建立起来。相对来说,广域网显得比较错综复杂,目前主要用于广域传输的协议比较多,如PPP(点对点协议)、DDN、ISDN(综合业务数字网)、FR(帧中继)和ATM(异步传输模式)等。
1.点对点协议(PPP)
点对点协议主要用于“拨号上网”这种广域连接模式。它的优点在于简单、具备用户验证能力、可以解决IP分配等。它主要通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。
家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。目前,宽带接入正在成为取代拨号上网的趋势,在宽带接入技术日新月异的今天,PPP也衍生出新的应用。典型的应用是在ADSL(Asymmetrical Digital Subscriber Line,非对称数据用户线)接入方式当中,PPP与其他的协议共同派生出了符合宽带接入要求的新的协议,如PPPoE和PPPoA。
利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE既保护了用户方的以太网资源,又完成了ADSL的接入要求,是目前ADSL接入方式中应用最广泛的技术标准。同样,在ATM网络上运行PPP来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同,作用相同。不同的是,它是在ATM网络上,而PPPoE是在以太网网络上运行,所以要分别适应ATM标准和以太网标准。
2.数字用户线(xDSL)
xDSL是各种数字用户线的统称,根据各种宽带通信业务需要,目前还有DSL技术和产品,如ADSL(Asymmetric DSL,不对称数字用户线)、SDSL(Single pair DSL,单对线数字用户环路)、IDSL(ISDN DSL,ISDN用的数字用户线)、RADSL(Rate adaptive DSL,速率自适应非对称型数字用户线)和VDSL(Very high Bit rate DSL,甚高速数字用户线)等。
ADSL是研制最早,发展较快的一种。它是在一对铜双绞线上为用户提供上、下行非对称的传输速率(即带宽)。ADSL接入服务能做到较高的性能价格比,ADSL接入技术较其他接入技术具有其独特的技术优势:它的速率可达到上行1兆/下行8兆,速度非常快。另外,使用ADSL上网不需要占用电话线路,在电话和上网互不干扰的同时,大大节省了普通上网方式的话费支出;独享带宽安全可靠;安装快捷方便;价格实惠。它把线路按频段分成语音、上行和下行三个信道,故语音和数据可共用1对线。ADSL特别适合于像VOD业务及Internet和多媒体业务的应用。ADSL一般采用CAP和DMT两种线路编码调制技术。传输距离与线径、速率有关,一般在3km以上。因此,ADSL是一种很有发展前途的数字接入技术。ADSL技术作为一种宽带接入方式,可以为用户提供中国电信宽带网的所有应用业务。采用各种拨号方式上网的用户将逐步过渡到ADSL宽带接入方式。ADSL在宽带接入中已经扮演着越来越重要的角色。
对于个人用户,在现有电话线上安装ADSL,只需在用户端安装一台ADSL Modem和一只分离器,用户线路不用任何改动,极其方便。数据线路为:PC—ADSL Modem—分离器—入户接线盒—电话线—DSL接入复用器—ATM/IP网络;语音线路为:话机—分离器—入户接线盒—电话线—DSL接入复用器—交换机。
对于企业用户,在现有电话线上安装ADSL和分离器,连接HUB或Switch。数据线路为:PC—以太网(HUB或Switch)—ADSL路由器—分离器—入户接线盒—电话线—DSL接入复用器—ATM/IP网络;语音线路为:话机—分离器—入户接线盒—电话线—DSL接入复用器—交换机。
3.数字专线
数字数据网(Digital Data Network, DDN)是采用数字传输信道传输数据信号的通信网,可提供点对点、点对多点透明传输的数据专线出租电路,为用户传输数据、图像和声音等信息。数字数据网是以光纤为中继干线网络,组成DDN的基本单位是节点,节点间通过光纤连接,构成网状的拓扑结构。
DDN专线就是市内或长途的数据电路,电信部门将它们出租给用户做资料传输使用后,它们就变成用户的专线,直接进入电信的DDN网络,因为这种电路是采用固定连接的方式,不需经过交换机房,所以称之为固定DDN专线。DDN专线不仅需要铺设专用线路(在DDN的客户端需要一个称为DDN Modem的CSU/DSU设备以及一个路由器)从用户端进入主干网络,而且需要付电信月租费、网络使用费和电路租用费等。其优势是网络传输速率高、时延小、质量好、网络透明度高、可支持任何规程、安全可靠。
4.帧中继
帧中继(Frame Relay, FR)是在用户网络接口之间提供用户信息流的双向传送,并保持顺序不变的一种承载业务。用户信息以帧为单位进行传输,并对用户信息流进行统计复用。帧中继是综合业务数字网标准化过程中产生的一种重要技术,它是在数字光纤传输线路逐渐代替原有的模拟线路,用户终端智能化的情况下,由X25分组交换技术发展起来的一种传输技术。
帧中继是一种基于可变帧长的数据传输网络,在传输过程中,网络内部可以采用“帧交换”,即以帧为单位进行传送;也可采用“信元交换”,即以信元(53字节长)为单位进行传送。
帧中继提供一种简单的面向连接的虚电路分组服务,包括交换虚电路连接和永久虚电路连接。帧中继的优点有降低网络互联费用、简化网络功能,提高网络性能、采用国际标准、各厂商产品相互兼容。
5.异步传输模式
异步传输模式(Asynchronous Transfer Mode, ATM)是B-ISDN的关键核心技术,它是一种面向分组的快速分组交换模式,使用了异步时分复用技术,将信息流分割成固定长度的信元。使用统一的信息单位能比较容易地实现各种信息流混合在一起的多媒体通信,并能根据业务类型、速率的需求动态地分配有效容量。ATM能够根据需要改变传送速率,对高速信息传递频次高,而对低速信息传递频次低,按照统计复用的原理进行传输和交换,故ATM完全可以用单一的交换方式,灵活有效地支持频带分布范围极广的各种业务。
在ATM网络中,数据以定长的信元为单位进行传输,信元由信元头和信元体构成,每个信元53个字节,其中信元头5个字节,信元体48个字节。
ATM的参考模型由4层构成,分别是用户层、ATM适配层、ATM层和物理层。图5-11给出了简化后的ATM的参考模型。
图5-11 ATM的参考模型
1)用户层
由用户平面、控制平面和管理平面组成。其各自的功能如下。
(1)用户平面。指用户要求的应用、协议及服务。如通常的数据协议、语音和视频应用等。
(2)控制平面。包含连接建立、维护和拆除等有关功能。
(3)管理平面。负责层次和平面的协调,通过层次管理支持用户平面和管理平面。
2)ATM适配层
负责将用户层的信息转换成ATM网络可用的格式。等用户层把较长的数据分组交给ATM适配层后,ATM适配层按规定的长度将数据分成若干信元体,再传给ATM层。
3)ATM层
基本功能是负责生成信元,它不管信元体的内容,只为信元体生成信元头并附给信元体,以形成标准的信元格式。跨越ATM层到物理层的信息单元只能是53个字节的信元。
4)物理层
负责对信元进行编码,并将其交给物理介质。它汇集了各种被认可的物理线路协议,如SDH(STM-1、STM-4、STM-16)和同步光纤网等。
ATM连接有两种类型,即永久虚电路(PVC)和交换虚电路(SVC)。
● 永久虚电路:其连接由管理员建立和拆除。
● 交换虚电路:通过终端系统和ATM网络以及ATM网络内部的信令协议的操作来建立和拆除。
虽然在这里将ATM技术划在广域网部分来介绍,但ATM却是一种可以将局域网功能、广域网功能、语音、视频和数据集成进一个统一的协议设计。正是它的高度统一性和良好的可扩展性,给计算机网络技术掀开了新的一页。它具有的特点是速度高,支持622Mb/s的传输速率;可扩展性好;较高的传输质量(QoS);ATM提供了端到端解决方案的潜力,这意味着它的应用可以从桌面到局域网,一直延伸到广域网。
ATM技术适用的范围为多媒体和视频应用;适合构架骨干网;无缝地集成广域网和局域网。ATM的主要缺点是成本较高,不适合于小网络。
6.X.25协议
X.25在本地DTE和远程DTE之间提供一个全双工、同步的透明信道,并定义了三个相互独立的控制层:物理层、数据链路层和分组层,它们分别对应于ISO/OSI的物理层、链路层和网络层,如图5-12所示。
图5-12 X.25层次模型
X.25是在公用数据网上,以分组方式进行操作的DTE(数据终端设备)和DCE(数据通信设备)之间的接口。X.25只是对公用分组交换网络的接口规范说明,并不涉及网络内部实现,它是面向连接的,支持交换式虚电路和永久虚电路。
物理层接口指DTE和网络之间的线路连接,X.25指出可采用V.24、V.35、G.703和X.21等接口;链路层逻辑接口采用链路层协议,负责DTE和DCE之间的初始化、校验,并控制物理链路上的数据传输,用户数据以信息帧在DTE和DCE之间传送;分组层逻辑接口描述了呼叫的建立、保持和拆除的过程,以及数据和控制信息在分组中的格式。而默认的数据分组长度是128个字节。
5.4.4 TCP/IP协议簇
TCP/IP作为Internet的核心协议,通过近20多年的发展已日渐成熟,并被广泛应用于局域网和广域网中,目前已成为事实上的国际标准。作为一个最早的、也是迄今为止发展最为成熟的互联网络协议系统,TCP/IP包含许多重要的基本特性,这些特性主要表现在5个方面:逻辑编址、路由选择、域名解析、错误检测和流量控制以及对应用程序的支持等。
(1)逻辑编址。每一块网卡在出厂时就由厂家分配了一个独一无二的永久性的物理地址。在Internet中,为每台连入因特网的计算机分配一个逻辑地址,这个逻辑地址被称为IP地址。一个IP地址可以包括一个网络ID号,用来标识网络;一个子网络ID号,用来标识网络上的一个子网;另外,还有一个主机ID号,用来标识子网络上的一台计算机。这样,通过这个分配给某台计算机的IP地址,就可以很快地找到相应的计算机。
(2)路由选择。在TCP/IP中包含了专门用于定义路由器如何选择网络路径的协议,即IP数据包的路由选择。
(3)域名解析。虽然TCP/IP采用的是32位的IP地址,但考虑用户的记忆方便,专门设计了一种方便的字母式地址结构,称为域名或DNS(域名服务)名字。将域名映射为IP地址的操作,称为域名解析。域名具有较稳定的特点,而IP地址则较易发生变化。
(4)错误检测与流量控制。TCP/IP具有分组交换确保数据信息在网络上可靠传递的特性,这些特性包括检测数据信息的传输错误(保证到达目的地的数据信息没有发生变化),确认已传递的数据信息已被成功地接收,监测网络系统中的信息流量,防止出现网络拥塞。
1.TCP/IP分层模型
协议是对数据在计算机或设备之间传输时的表示方法进行定义和描述的标准。协议规定了进行传输、检测错误以及传送确认信息等内容。TCP/IP是个协议簇,它包含了多种协议。ISO/OSI模型、TCP/IP的分层模型及协议的对比如图5-13所示。
从图5-13可知,TCP/IP分层模型由4个层次构成,即应用层、传输层、网际层和网络接口层,各层的功能简述如下。
(1)应用层。应用层处在分层模型的最高层,用户调用应用程序来访问TCP/IP互联网络,以享受网络上提供的各种服务。应用程序负责发送和接收数据。每个应用程序可以选择所需要的传输服务类型,并把数据按照传输层的要求组织好,再向下层传送,包括独立的报文序列和连续字节流两种类型。
(2)传输层。传输层的基本任务是提供应用程序之间的通信服务。这种通信又叫端到端的通信。传输层既要系统地管理数据信息的流动,还要提供可靠的传输服务,以确保数据准确而有序地到达目的地。为了这个目的,传输层协议软件需要进行协商,让接收方回送确认信息及让发送方重发丢失的分组。在传输层与网际层之间传递的对象是传输层分组。
图5-13 TCP/IP模型与OSI模型的对比
(3)网际层。网际层又称IP层,主要处理机器之间的通信问题。它接收传输层请求,传送某个具有目的地址信息的分组。该层主要完成如下功能。
① 把分组封装到IP数据报(IP Datagram)中,填入数据报的首部(也称为报头),使用路由算法选择把数据报直接送到目标机或把数据报发送给路由器,然后再把数据报交给下面的网络接口层中对应的网络接口模块。
② 处理接收到的数据报,检验其正确性。使用路由算法来决定是在本地进行处理,还是继续向前发送。如果数据报的目标机处于本机所在的网络,该层软件就把数据报的报头剥去,再选择适当的传输层协议软件来处理这个分组。
③ 适时发出ICMP的差错和控制报文,并处理收到的ICMP报文。
(4)网络接口层。网络接口层又称数据链路层,处于TCP/IP协议层之下,负责接收IP数据报,并把数据报通过选定的网络发送出去。该层包含设备驱动程序,也可能是一个复杂的使用自己的数据链路协议的子系统。
2.网络接口层协议
TCP/IP协议不包含具体的物理层和数据链路层,只定义了网络接口层作为物理层与网络层的接口规范。这个物理层可以是广域网,如X.25公用数据网;可以是局域网,如Ethernet、Token-Ring和FDDI等。任何物理网络只要按照这个接口规范开发网络接口驱动程序,都能够与TCP/IP协议集成起来。网络接口层处在TCP/IP协议的最底层,主要负责管理为物理网络准备数据所需的全部服务程序和功能。
3.网际层协议——IP
网际层是整个TCP/IP协议簇的重点。在网际层定义的协议除了IP外,还有ICMP、ARP和RARP等几个重要的协议。
IP所提供的服务通常被认为是无连接的(connectionless)和不可靠的(unreliable)。事实上,在网络性能良好的情况下,IP传送的数据能够完好无损地到达目的地。所谓无连接的传输,是指没有确定目标系统在已做好接收数据准备之前就发送数据。与此相对应的就是面向连接的(connection oriented)传输(如TCP),在该类传输中,源系统与目的系统在应用层数据传送之前需要进行三次握手。至于不可靠的服务,是指目的系统不对成功接收的分组进行确认,IP只是尽可能地使数据传输成功。但是只要需要,上层协议必须实现用于保证分组成功提供的附加服务。
由于IP只提供无连接、不可靠的服务,所以把差错检测和流量控制之类的服务授权给了其他的各层协议,这正是TCP/IP能够高效率工作的一个重要保证。这样,可以根据传送数据的属性来确定所需的传送服务以及客户应该使用的协议。例如,传送大型文件的FTP会话就需要面向连接的、可靠的服务(因为如果稍有损坏,就可能导致整个文件无法使用)。
IP的主要功能包括将上层数据(如TCP、UDP数据)或同层的其他数据(如ICMP数据)封装到IP数据报中;将IP数据报传送到最终目的地;为了使数据能够在链路层上进行传输,对数据进行分段;确定数据报到达其他网络中的目的地的路径。
IP协议软件的工作流程:当发送数据时,源计算机上的IP协议软件必须确定目的地是在同一个网络上,还是在另一个网络上。IP通过执行这两项计算并对结果进行比较,才能确定数据到达的目的地。如果两项计算的结果相同,则数据的目的地确定为本地;否则,目的地应为远程的其他网络。如果目的地在本地,那么IP协议软件就启动直达通信;如果目的地是远程计算机,那么IP必须通过网关(或路由器)进行通信,在大多数情况下,这个网关应当是默认网关。当源IP完成了数据报的准备工作时,它就将数据报传递给网络访问层,网络访问层再将数据报传送给传输介质,最终完成数据帧发往目的计算机的过程。
当数据抵达目的计算机时,网络访问层首先接收该数据。网络访问层要检查数据帧有无错误,并将数据帧送往正确的物理地址。假如数据帧到达目的地时正确无误,网络访问层便从数据帧的其余部分中提取数据有效负载(Payload),然后将它一直传送到帧层次类型域指定的协议。在这种情况下,可以说数据有效负载已经传递给了IP。
有关IP地址的具体情况参见5.5.2节的内容。
4.ARP和RARP
地址解析协议(Address Resolution Protocol, ARP)及反地址解析协议(RARP)是驻留在网际层中的另一个重要协议。ARP的作用是将IP地址转换为物理地址,RARP的作用是将物理地址转换为IP地址。网络中的任何设备,主机、路由器和交换机等均有唯一的物理地址,该地址通过网卡给出,每个网卡出厂后都有不同的编号,这意味着用户所购买的网卡有着唯一的物理地址。另一方面,为了屏蔽底层协议及物理地址上的差异,IP协议又使用了IP地址,因此,在数据传输过程中,必须对IP地址与物理地址进行相互转换。
用ARP进行IP地址到物理地址转换的过程为:当计算机需要与任何其他的计算机进行通信时,首先需要查询ARP高速缓存,如果ARP高速缓存中这个IP地址存在,便使用与它对应的物理地址,直接将数据报发送给所需的物理网卡;如果ARP高速缓存中没有该IP地址,那么ARP便在局域网上以广播方式发送一个ARP请求包。如果局域网上IP地址与某台计算机中的IP地址相一致,那么该计算机便生成一个ARP应答信息,信息中包含对应的物理地址。ARP协议软件将IP地址与物理地址的组合添加到它的高速缓存中,这时即可开始数据通信。
RARP负责物理地址到IP地址的转换。这主要用于无盘工作站上,网络上的无盘工作站在网卡上有自己的物理地址,但无IP地址,因此必须有一个转换过程。为了完成这个转换过程,网络中有一个RARP服务器,网络管理员事先必须把网卡上的IP地址和相应的物理地址存储到IP RARP服务器的数据库中。
5.网际层协议——ICMP
Internet控制信息协议(Internet Control Message Protocol, ICMP)是网际层的另一个比较重要的协议。由于IP是一种尽力传送的通信协议,即传送的数据报可能丢失、重复、延迟或乱序,因此IP需要一种避免差错并在发生差错时报告的机制。ICMP就是一个专门用于发送差错报文的协议。ICMP定义了5种差错报文(源抑制、超时、目的不可达、重定向和要求分段)和4种信息报文(回应请求、回应应答、地址屏蔽码请求和地址屏蔽码应答)。IP在需要发送一个差错报文时要使用ICMP,而ICMP也是利用IP来传送报文的。ICMP是让IP更加稳固、有效的一种协议,它使得IP传送机制变得更加可靠。而且利用ICMP还可以用于测试因特网,以得到一些有用的网络维护和排错的信息。例如,著名的ping工具就是利用ICMP报文进行目标是否可达测试。
6.传输层协议——TCP
TCP(Transmission Control Protocol,传输控制协议),是整个TCP/IP协议族中最重要的协议之一。它在IP提供的不可靠数据服务的基础上,为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。
TCP是如何实现可靠性的呢?最主要和最重要的是TCP采用了一个叫重发(retransmission)的技术。具体来说,在TCP传输过程中,发送方启动一个定时器,然后将数据包发出,当接收方收到了这个信息就给发送方一个确认(acknowledgement)信息。而如果发送方在定时器到点之前没收到这个确认信息,就重新发送这个数据包。
利用TCP在源主机想和目的主机之间建立和关闭连接操作时,均需要通过三次握手来确认建立和关闭是否成功。三次握手方式如图5-14所示,它通过“序号/确认号”使得系统正常工作,从而使它们的序号达成同步。TCP建立连接的三次握手过程如下。
图5-14 TCP建立连接的“三次握手”过程
(1)源主机发送一个SYN(同步)标志位为1的TCP数据包,表示想与目标主机进行通信,并发送一个同步序列号(如SEQ=200)进行同步。
(2)目标主机愿意进行通信,则响应一个确认(ACK位置1)。并以下一个序列号为参考进行确认(如201)。
(3)源主机以确认来响应目标主机的TCP包。这个确认中包括它想要接收的下一个序列号(该帧可以含有发送的数据)。至此连接建立完成。
同样,关闭连接也进行三次握手。
7.传输层协议——UDP
用户数据报协议(User Datagram Protocol, UDP)是一种不可靠的、无连接的协议,可以保证应用程序进程间的通信。与同样处在传输层的面向连接的TCP相比较,UDP是一种无连接的协议,它的错误检测功能要弱得多。可以这样说,TCP有助于提供可靠性;而UDP则有助于提高传输的高速率性。例如,必须支持交互式会话的应用程序(如FTP等)往往使用TCP;而自己进行错误检测或不需要错误检测的应用程序(如DNS、SNMP等)则往往使用UDP。
UDP协议软件的主要作用就是将UDP消息展示给应用层,它并不负责重新发送丢失的或出错的数据消息,不对接收到的无序IP数据报重新排序,不消除重复的IP数据报,不对已收到数据报进行确认,也不负责建立或终止连接。而这些问题是由使用UDP进行通信的应用程序负责处理的问题。
TCP虽然提供了一个可靠的数据传输服务,但它是以牺牲通信量来实现的。也就是说,为完成同样一个任务,TCP会需要更多的时间和通信量。这在网络不可靠的时候,通过牺牲一些时间换来达到网络的可靠,但当网络十分可靠的情况下,它又通过浪费带宽来保证可靠性,这时UDP则以十分小的通信量浪费占据优势。
8.应用层协议
随着计算机网络的广泛应用,人们也已经有了许多基本的、相同的应用需求。为了让不同平台的计算机能够通过计算机网络获得一些基本的、相同的服务,也就应运而生了一系列应用级的标准,实现这些应用标准的专用协议被称为应用级协议,相对于OSI参考模型来说,它们处于较高的层次结构,所以也称为高层协议。应用层的协议有NFS、Telnet、SMTP、DNS、SNMP和FTP等,详细情况在Internet服务中介绍。
5.5 Internet及应用
Internet是世界上规模最大,覆盖面最广且最具影响力的计算机互联网络,它是将分布在世界各地的计算机采用开放系统协议连接在一起,用来进行数据传输、信息交换和资源共享。在现阶段,Internet作为未来信息高速公路的雏形,无论在科学研究、教育、金融,还是在商业、军事等部门,其影响都越来越大。
5.5.1 Internet概述
从用户的角度来看,整个Internet在逻辑上是统一的、独立的,在物理上则由不同的网络互连而成。从技术角度看,Internet本身不是某一种具体的物理网络技术,它是能够互相传递信息的众多网络的一个统称,或者说它是一个网间网,只要人们进入了这个互联网,就是在使用Internet。正是由于Internet的这种特性,使得广大Internet用户不必关心网络的连接,而只关心网络提供的丰富资源。
连入Internet的计算机网络种类繁多,形式各异,且分布在世界各地,因此,需要通过路由器(IP网关)并借助各种通信线路或公共通信网络把它们连接起来。由于实现了与公用电话网的互连,个人用户入网十分方便,只要有电话和Modem即可,这也是Internet迅速普及的原因之一。Internet由美国的ARPANET网络发展而来,因此,它沿用了ARPANET使用的TCP/IP协议,由于该协议非常有效且使用方便,许多操作系统都支持它,无论是服务器还是个人计算机都可安装使用。
对于全球性最大的互联网络,总的来说无确定的负责人,它是由各自独立管理的网络互联构成的,而这些网络都各自拥有自己的管理体系和政策法规。因此,没有集中的负责掌管整个Internet的机构。尽管如此,某些政府部门在制定Internet有关政策时实际上起着主导作用。Internet目前的最高国际组织是Internet学会(Internet Society),该学会是一个志愿者组织,也是一个非盈利性的专业化组织,其主要目标是促进Internet的改革与发展。该学会下分Internet体系结构研究会(IAB)和其他几个研究会,IAB下又有工程组(IETF)、许可证管理局(ICRS)、技术研究组(IRTF)和编号管理局(IANA)等。IAB的主要任务是为支持Internet的科研与开发提供服务。
在Internet中,分布着一些覆盖范围很广的大网络,这种网络称为“Internet主干网”,它们一般属于国家级的广域网。例如,我国的CHINANET和CERNET等就是中国的Internet主干网。主干网一般只延伸到一些大城市或重要地方,在那里设立主干网节点。每一个主干网节点可以通过路由器将广域网与局域网联接起来,一个节点还可以通过另外的路由器与其他局域网再互连,由此形成一种网状结构。
5.5.2 Internet地址
无论是在网上检索信息还是发送电子邮件,都必须知道对方的Internet地址,它能唯一确定Internet上每一台计算机、每个用户的位置。也就是说,Internet上每一台计算机、每个用户都有唯一的地址来标识它是谁和在何处,以方便于几千万个用户、几百万台计算机和成千上万的组织。Internet地址格式主要有两种书写形式:域名格式和IP地址格式。
1.域名
域名(Domain Name)通常是用户所在的主机名字或地址。域名格式是由若干部分组成,每个部分又称子域名,它们之间用“.”分开,每个部分最少由两个字母或数字组成。域名通常按分层结构来构造,每个子域名都有其特定的含义。通常情况,一个完整、通用的层次型主机域名由如下4部分组成:
计算机主机名.本地名.组名.最高层域名
从右到左,子域名分别表示不同的国家或地区的名称(只有美国可以省略表示国家的顶级域名)、组织类型、组织名称、分组织名称和计算机名称等。域名地址的最后一部分子域名称为高层域名(或顶级域名),它大致上可以分成两类:一类是组织性顶级域名;另一类是地理性顶级域名。
例如:www.dzkjdx.edu.cn cn是地理性顶级域名,表示“中国”。
www.263.net net是组织性顶级域名,表示“网络技术组织机构”。
如果一个主机所在的网络级别较高,它可能拥有的域名仅三部分:本地名.组名.最高层域名。现在,Internet地址管理机构(Internet PCA Registration Authority, IPRA)和(Internet Assigned Number Authority, IANA)负责Internet最高层域名的登记和管理。
2.IP地址
Internet地址是按名字来描述的,这种地址表示方式易于理解和记忆。实际上,Internet中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议,故每个主机必须用IP地址来标识。
每个IP地址都由4个小于256的数字组成,数字之间用“.”分开。Internet的IP地址共有32位,4个字节。它表示时有两种格式:二进制格式和十进制格式。二进制格式是计算机所认识的格式,十进制格式是由二进制格式“翻译”过去的,主要是为了便于使用和掌握。例如,十进制IP地址129.102.4.11的表示方法与二进制的表示方法10000001 01100110 00000100 00001011相同,显然表示成带点的十进制格式则方便得多。
域名和IP地址是一一对应的,域名易于记忆,便于使用,因此得到比较普遍的使用。当用户和Internet上的某台计算机交换信息时,只需要使用域名,网络则会自动地将其转换成IP地址,找到该台计算机。
Internet中的地址可分为5类:A类、B类、C类、D类和E类。各类的地址分配方案如图5-15所示。在IP地址中,全0代表的是网络,全1代表的是广播。
图5-1 各类地址分配方案
A类网络地址占有1个字节(8位),定义最高位为0来标识此类地址,余下7位为真正的网络地址,支持1~126个网络。后面的3个字节(24位)为主机地址,共提供224-2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。
B类网络地址占有2个字节,使用最高两位为10来标识此类地址,其余14位为真正的网络地址,主机地址占后面的2个字节(16位),所以B类全部的地址有(214-2)×(216-2)=16382×65534个。B类网络地址第一个字节的十进制值为128~191。
C类网络地址占有3个字节,它是最通用的Internet地址。使用最高三位为110来标识此类地址,其余21位为真正的网络地址,因此C类地址支持221-2个网络。主机地址占最后1个字节,每个网络可多达28-2个主机。C类网络地址第一个字节的十进制值为192~223。
D类地址是相当新的。它的识别头是1110,用于组播,例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。
E类地址为实验保留,其识别头是1111。E类网络地址第一个字节的十进制值为240~255。
网络软件和路由器使用子网掩码(Subnet Mask)来识别报文是仅存放在网络内部还是被路由转发到其他地方。在一个字段内,1的出现表明一个字段包含所有或部分网络地址,0表明主机地址位置。例如,最常用的C类地址使用前三个8位来识别网络,最后一个8位识别主机。因此,子网掩码是255.255.255.0。
子网地址掩码是相对特别的IP地址而言的,如果脱离了IP地址就毫无意义。它的出现一般是跟着一个特定的IP地址,用来为计算这个IP地址中的网络号部分和主机号部分提供依据。换句话说,就是在写一个IP地址后,再指明哪些是网络号部分,哪些是主机号部分。子网掩码的格式与IP地址相同,所有对应网络号的部分用1填上,所有对应主机号的部分用0填上。
A类、B类、C类IP地址类默认的子网掩码如表5-2所示。
表5-2 带点十进制符号表示的默认子网掩码
如果需要将网络进行子网划分,此时子网掩码可能不同于以上默认的子网掩码。例如,138.96.58.0是一个8位子网化的B类网络ID。基于B类的主机ID的8位被用来表示子网化的网络,对于网络138.96.39.0,其子网掩码应为255.255.255.0。
例如,一个B类地址172.16.3.4,为了直观地告诉大家前16位是网络号,后16位是主机号,就可以附上子网掩码255.255.0.0(11111111 11111111 00000000 00000000)。
假定某单位申请的B类地址为179.143.XXX.XXX。如果希望把它划分为14(至少占二进制的4位)个虚拟的网络,则需要占4位主机位,子网使用掩码为255.255.240.0~255.255.255.0来建立子网。每个LAN可有212-2个主机,且各子网可具有相同的主机地址。
假设一个组织有几个相对大的子网,每个子网包括了25台左右的计算机;而又有一些相对较小的子网,每个子网大概只有几台计算机。这种情况下,可以将一个C类地址分成6个子网(每个子网可以包含30台计算机),这样解决了很大的问题。但是出现了一个新的情况,那就是大的子网基本上完全利用了IP地址范围,但是小的子网却造成了许多IP地址的浪费。为了解决这个新的难题,避免任何的IP浪费,就出现了允许应用不同大小的子网掩码来对IP地址空间进行子网划分的解决方案。这种新的方案就叫作可变长子网掩码(VLSM)。
VLSM用一个十分直观的方法来表示,那就是在IP地址后面加上“/网络号及子网络号编址位数”。例如,193.168.125.0/27就表示前27位表示网络号。
例如,给定135.41.0.0/16的基于类的网络ID,所需的配置是为将来使用保留一半的地址,其余的生成15个子网,达到2000台主机。
由于要为将来使用保留一半的地址,完成了135.41.0.0的基于类的网络ID的1-位子网化,生成两个子网135.41.0.0/17和135.41.128.0/17,子网135.41.128.0/17被选作为将来使用所保留的地址部分;135.41.0.0/17被继续生成子网。
为达到划分2000台主机的15个子网的要求,需要将135.41.128.0/17的子网化的网络ID的4-位子网化。这就产生了16个子网(135.41.128.0/21,135.41.136.0/21,…,135.41.240.0/21,135.41.248.0/21),允许每个子网有2046台主机。最初的15个子网化的网络ID(135.41.128.0/21~135.41.240.0/21)被选定为网络ID,从而实现了要求。
现在的IP协议的版本号为4,所以也称之为IPv4,为了方便网络管理员阅读和理解,使用了4个十进制数中间加小数点“.”来表示。但随着因特网的膨胀,IPv4不论从地址空间上,还是协议的可用性上都无法满足因特网的新要求。这样出现一个新的IP协议IPv6,它使用了8个十六进制数中间加小数点“:”来表示。IPv6将原来的32位地址扩展成为128位地址,彻底解决了地址缺乏的问题。
3.NAT技术
因特网面临IP地址短缺的问题。解决这个问题有所谓长期的或短期的两种解决方案。长期的解决方案就是使用具有更大地址空间的IPv6协议,网络地址翻译(Network Address Translators, NAT)是许多短期的解决方案中的一种。
NAT技术最初提出的建议是在子网内部使用局部地址,而在子网外部使用少量的全局地址,通过路由器进行内部和外部地址的转换。NAT的实现主要有两种形式。
第一种应用是动态地址翻译(Dynamic Address Translation)。为此,首先引入存根域的概念,所谓存根域(Stub Domain),就是内部网络的抽象,这样的网络只处理源和目标都在子网内部的通信。任何时候存根域内只有一部分主机要与外界通信,甚至还有许多主机可能从不与外界通信,所以整个存根域只需共享少量的全局IP地址。存根域有一个边界路由器,由它来处理域内与外部的通信。假定:
● m:需要翻译的内部地址数。
● n:可用的全局地址数(NAT地址)。
当m∶n翻译满足条件(m≥1 and m≥n)时,可以把一个大的地址空间映像到一个小的地址空间。所有NAT地址放在一个缓冲区中,并在存根域的边界路由器中建立一个局部地址和全局地址的动态映像表,如图5-16所示。这个图显示的是把所有B类网络138.201中的IP地址翻译成C类网络178.201.112中的IP地址。这种NAT地址重用有如下特点。
(1)只要缓冲区中存在尚未使用的C类地址,任何从内向外的连接请求都可以得到响应,并且在边界路由器的动态NAT表中为之建立一个映像表项。
(2)如果内部主机的映像存在,就可以利用它建立连接。
(3)从外部访问内部主机是有条件的,即动态NAT表中必须存在该主机的映像。
动态地址翻译的好处是节约了全局适用的IP地址,而且不需要改变子网内部的任何配置,只需在边界路由器中设置一个动态地址变换表就可以工作了。
图5-16 动态网络地址翻译
另外一种特殊的NAT应用是m∶1翻译,这种技术也叫做伪装(masquerading),因为用一个路由器的IP地址可以把子网中所有主机的IP地址都隐藏起来。如果子网中有多个主机要同时通信,那么还要对端口号进行翻译,所以这种技术更经常被称为网络地址和端口翻译(Network Address Port Translation, NAPT)。在很多NAPT实现中,专门保留一部分端口号给伪装使用,叫做伪装端口号。图5-17中的NAT路由器中有一个伪装表,通过这个表对端口号进行翻译,从而隐藏了内部网络138.201中的所有主机。可以看出,这种方法有如下特点。
(1)出口分组的源地址被路由器的外部IP地址所代替,出口分组的源端口号被一个未使用的伪装端口号所代替。
(2)如果进来的分组的目标地址是本地路由器的IP地址,而目标端口号是路由器的伪装端口号,则NAT路由器就检查该分组是否为当前的一个伪装会话,并试图通过它的伪装表对IP地址和端口号进行翻译。
伪装技术可以作为一种安全手段使用,借以限制外部对内部主机的访问。另外,还可以用这种技术实现虚拟主机和虚拟路由,以便达到负载均衡和提高可靠性的目的。
图5-17 地址伪装
4.IPv6简介
IPv4(IP version 4)标准是20世纪70年代末期制定完成的。20世纪90年代初期,WWW的应用导致因特网爆炸性发展,随着因特网应用类型日趋复杂,终端形式特别是移动终端的多样化,全球独立IP地址的提供已经开始面临沉重的压力。IPv4将不能满足因特网长期发展的需要,必须立即开始下一代IP网络协议的研究。由此,IETF于1992年成立了IPNG(IP Next Generation)工作组;1994年夏,IPNG工作组提出了下一代IP网络协议(IP version 6, IPv6)的推荐版本;1995年夏,IPNG工作组完成了IPv6的协议文本;1995年—1999年完成了IETF要求的协议审定和测试;1999年成立了IPv6论坛,开始正式分配IPv6地址,IPv6的协议文本成为标准草案。
IPv6具有长达128位的地址空间,可以彻底解决IPv4地址不足的问题。由于IPv4地址是32位二进制,所能表示的IP地址个数为232=4294967296≈40亿个,因而在因特网上约有40亿个IP地址。由32位的IPv4升级至128位的IPv6,因特网中的IP地址从理论上讲会有2128=3.4×1038个,如果整个地球表面(包括陆地和水面)都覆盖着计算机,那么IPv6允许每平方米有7×1023个IP地址,如果地址分配的速率是每秒分配100万个,则需要1019年的时间才能将所有地址分配完毕,可见,在想象得到的将来,IPv6的地址空间是不可能用完的。除此之外,IPv6还采用分级地址模式、高效IP包首部、服务质量、主机地址自动配置、认证和加密等许多技术。
1)IPv6数据包的格式
IPv6数据包有一个40字节的基本首部(base header),其后可允许有0个或多个扩展首部(extension header),再后面是数据。图5-18所示的是IPv6基本首部的格式。每个IPv6数据包都是从基本首部开始。IPv6基本首部的很多字段可以和IPv4首部中的字段直接对应。
图5-18 IPv6基本首部的格式
● 版本号:该字段占4位,说明了IP协议的版本。对IPv6而言,该字段值是0110,也就是十进制数的6。
● 通信类型:该字段占8位,其中优先级字段占4位,使源站能够指明数据包的流类型。首先,IPv6把流分成两大类,即可进行拥塞控制的和不可进行拥塞控制的。每一类又分为8个优先级。优先级的值越大,表明该分组越重要。对于可进行拥塞控制的业务,其优先级为0~7。当发生拥塞时,这类数据包的传输速率可以放慢。对于不可进行拥塞控制的业务,其优先级为8~15。这些都是实时性业务,如音频或视频业务的传输。这种业务的数据包发送速率是恒定的,即使丢掉了一些,也不进行重发。
● 流标号:该字段占20位。所谓流,就是因特网上从一个特定源站到一个特定目的站(单播或多播)的一系列数据包。所有属于同一个流的数据包都具有同样的流标号。源站在建立流时是在224-1个流标号中随机选择一个流标号。流标号0保留作为指出没有采用流标号。源站随机地选择流标号并不会在计算机之间产生冲突,因为路由器在将一个特定的流与一个数据包相关联时,使用的是数据包的源地址和流标号的组合。
从一个源站发出的具有相同非0流标号的所有数据包,都必须具有相同的源地址和目的地址,以及相同的逐跳选项首部(若此首部存在)和路由选择首部(若此首部存在)。这样做的好处是当路由器处理数据包时,只要查一下流标号即可,而不必查看数据包首部中的其他内容。任何一个流标号都不具有特定的意义,源站应将它希望各路由器对其数据包进行的特殊处理写明在数据包的扩展首部中。
● 净负荷长度(payload length):该字段占16位,指明除首部自身的长度外,IPv6数据包所载的字节数。可见,一个IPv6数据包可容纳64K字节长的数据。由于IPv6的首部长度是固定的,因此没有必要像IPv4那样指明数据包的总长度(首部与数据部分之和)。
● 下一个首部(next header):该字段占8位,标识紧接着IPv6首部的扩展首部的类型。这个字段指明在基本首部后面紧接着的一个首部的类型。
● 跳数限制(hop limit):该字段占8位,用来防止数据包在网络中无限期地存在。源站在每个数据包发出时即设定某个跳数限制。每一个路由器在转发数据包时,要先将跳数限制字段中的值减1。当跳数限制的值为0时,就要将此数据包丢弃。这相当于IPv4首部中的生存期字段,但比IPv4中的计算时间间隔要简单些。
● 源站IP地址:该字段占128位,是数据包的发送站的IP地址。
● 目的站IP地址:该字段占128位,是数据包的接收站的IP地址。
2)IPv6的地址表示
一般来讲,一个IPv6数据包的目的地址可以是以下三种基本类型地址之一。
● 单播(unicast):传统的点对点通信。
● 多播(multicast):一点对多点的通信,数据包交付到一组计算机中的每一个。IPv6没有采用广播的术语,而是将广播看作多播的一个特例。
● 任播(anycast):这是IPv6增加的一种类型。任播的目的站是一组计算机,但数据包在交付时只交付给其中的一个,通常是距离最近的一个。
为了使地址的表示简洁些,IPv6使用冒号十六进制记法(colon hexadecimal notation, colon hex),它把每个16位用相应的十六进制表示,各组之间用冒号分隔。例如:
冒号十六进制记法允许0压缩(zero compression),即一连串连续的0可以用一对冒号所取代,例如:
FF05:0:0:0:0:0:0:B3 可以改成: FF05::B3
为了保证0压缩有一个清晰的解释,建议中规定,在任一地址中,只能使用一次0压缩。该技术对已建议的分配策略特别有用,因为会有许多地址包含连续的0串。
另外,冒号十六进制记法可结合有点分十进制记法的后缀。这种结合在IPv4向IPv6的转换阶段特别有用。例如,下面的串是一个合法的冒号十六进制记法:
请注意,在这种记法中,虽然为冒号所分隔的每个值是一个16位的量,但每个点分十进制部分的值则指明一个字节的值。再使用0压缩即可得出:
5.5.3 Internet服务
作为全世界最大的国际性计算机网络的Internet,为全球的科研界、教育界和娱乐界等方方面面提供了极其丰富的信息资源和最先进的信息交流手段。在Internet上,时刻传送着大量的各种各样的信息,从电影、实况转播到最尖端的科学研究等无所不包,当然信息最多的还是科技信息,如计算机软件、科技论文、图书馆/出版社目录、最新科技动态、电子杂志、产品推销和网络新闻等。而这些内容均可由Internet服务来为用户提供。
使用传输控制协议或用户数据报协议时,Internet IP可支持65535种服务,这些服务是通过各个端口到名字实现的逻辑连接。端口分两类:一类是已知端口或称公共端口,端口号为0~1023,这些端口由Internet赋值地址和端口号的组织赋值;另一类是需在IANA注册登记端口号,为1024~65535。
前面介绍Internet网络接口层、网际层协议和传输层协议,本节主要介绍Internet的高层协议,如域名服务、远程登录服务、电子邮件服务、WWW服务和文件传输服务等。
1.域名服务
Internet中的域名地址与IP地址是等价的,它们之间是通过域名服务来完成映射变换的。实际上,DNS是一种分布式地址信息数据库系统,服务器中包含整个数据库的某部分信息,并供客户查询。DNS允许局部控制整个数据库的某些部分,但数据库的每一部分都可通过全网查询得到。
域名系统采用的是客户端/服务器模式,整个系统由解析器和域名服务器组成。解析器是客户方,它负责查询域名服务器、解释从服务器返回来的应答、将信息返回给请求方等工作。域名服务器是服务器方,它通常保存着一部分域名空间的全部信息,这部分域名空间称为区(zone)。一个域名服务器可以管理一个或多个区。域名服务器可以分为主服务器、Caching Only服务器和转发服务器(Forwarding Server)。
域名系统是一个分布式系统,其管理和控制也是分布式的。一个用户A在查找另一用户B时,域名系统的工作过程如下。
(1)解析器向本地域名服务器发出请求查阅用户B的域名。
(2)本地域名服务器向最高层域名服务器发出查询地址的请求。
(3)最高层域名服务器返回给本地域名服务器一个IP地址。
(4)本地域名服务器向组域名服务器发出查询地址的请求。
(5)组域名服务器返回给本地域名服务器一个IP地址。
(6)本地服务器向刚返回的域名服务器发出查询域名地址请求。
(7)IP地址返回给本地域名服务器。
(8)本地域名服务器将该地址返回给解析器。
因此,本地域名服务器为了得到一个IP地址常常需要查询多个域名服务器。于是,在查询地址的同时,本地域名服务器也就得到了许多其他域名服务器的信息,像它们的IP地址、所负责的区域等。本地域名服务器将这些信息连同最终查询到的主机IP地址全部存放在它的Cache中,以便将来参考。当下次解析器再查询与这些域名相关的信息时,就可以直接引用。这样就大大减少了查询时间。
因此,访问主机的时候只需要知道域名,通过DNS服务器将域名变换为IP地址。DNS所用的是UDP端口,端口号为53。
2.远程登录服务
远程登录服务是在Telnet协议的支持下,将用户计算机与远程主机连接起来,在远程计算机上运行程序,将相应的屏幕显示传送到本地机器,并将本地的输入送给远程计算机。由于这种服务基于Telnet协议且使用Telnet命令进行远程登录,故称为Telnet远程登录。
Telnet是基于客户端/服务器模式的服务系统,它由客户端软件、服务器软件以及Telnet通信协议三部分组成。远程计算机又称为Telnet主机或服务器,本地计算机作为Telnet客户端来使用,它起到远程主机的一台虚拟终端(仿真终端)的作用,通过它用户可以与主机上的其他用户一样共同使用该主机提供的服务和资源。
当用户使用Telnet登录远程主机时,该用户必须在这个远程主机上拥有合法的账号和相应的密码,否则远程主机将会拒绝登录。在运行Telnet客户程序后,首先应该建立与远程主机的TCP连接,从技术上讲,就是在一个特定的TCP端口(端口号一般为23)上打开一个套接字,如果远程主机上的服务器软件一直在这个周知的端口上侦听连接请求,则这个连接便会建立起来,此时用户的计算机就成为该远程主机的一个终端,便可以进行联机操作了,即以终端方式为用户提供人机界面。然后将用户输入的信息通过Telnet协议便可以传送给远程主机,主机在周知的TCP端口上侦听到用户的请求并处理后,将处理的结果通过Telnet协议返回给客户程序。最后客户端接收到远程主机发送来的信息,并经过适当的转换显示在用户计算机的屏幕上。
3.电子邮件服务
电子邮件(E-mail)就是利用计算机进行信息交换的电子媒体信件。它是随着计算机网络而出现的,并依靠网络的通信手段实现普通邮件信息的传输。它是最广泛的一种服务。
电子邮件是一种通过计算机网络与其他用户进行联系的快速、简便、高效、价廉的现代化通信手段。要想使用E-mail,首先必须拥有一个电子邮箱,它是由E-mail服务提供者为其用户建立在E-mail服务器磁盘上的专用于存放电子邮件的存储区域,并由E-mail服务器进行管理。用户将使用E-mail客户软件在自己的电子邮箱里收发电子邮件。电子邮件地址的一般格式:用户名@主机名,例如fqzhang@china.com。
E-mail系统基于客户端/服务器模式,整个系统由E-mail客户端软件、E-mail服务器和通信协议三部分组成。E-mail客户端软件也称用户代理(User Agent),是用户用来收发和管理电子邮件的工具;E-mail服务器主要充当“邮局”的角色,它除了为用户提供电子邮箱外,还承担着信件的投递业务,当用户发送一个电子邮件后,E-mail服务器通过网络若干中间节点的“存储—转发”式的传递,最终把信件投递到目的地(收信人的电子邮箱);E-mail服务器主要采用SMTP(简单邮件传输协议),本协议描述了电子邮件的信息格式及其传递处理方法,保证被传送的电子邮件能够正确地寻址和可靠地传输,它是面向文本的网络协议,其缺点是不能用来传送非ASCII码文本和非文字性附件,在日益发展的多媒体环境中以及人们关注的邮件私密性方面,更显出它的局限性。后来的一些协议,包括多用途Internet邮件扩充协议(MIME)及增强私密邮件保护协议(PEM),弥补了SMTP的缺点。而SMTP是用在大型多用户、多任务的操作系统环境中,将它用在PC上收信是十分困难的,所以在TCP/IP网络上的大多数邮件管理程序使用SMTP来发信,且采用POP(Post Office Protocol)(常用的是POP3)来保管用户未能及时取走的邮件。
POP协议有两个版本:POP2和POP3。目前使用的POP3既能与STMP共同使用,也可以单独使用,以传送和接收电子邮件。POP协议是一种简单的纯文本协议,每次传输以整个E-mail为单位,不能提供部分传输。
用户要传送E-mail,首先需在联网的计算机上使用邮件软件编好邮件正文,填好邮件收信人的E-mail地址、发信人电子邮件地址(或自动填上)、邮件的主题等内容,然后使用E-mail的发送命令发出。此时,E-mail发送端与接收端的计算机在工作时并不直接进行通信,而是在发信端计算机送出邮件后,先到达自己所注册的邮件服务器主机,再在网络传输过程中经过多个计算机和路由器的中转,到达目的地的邮件服务器主机,送进收信人的电子邮箱,最后当邮件的接收者上网并启动电子邮件管理程序,它就会自动检查邮件服务器中的电子邮箱,若发现新邮件,便会下载到自己的计算机上,完成接收邮件的任务。
简单邮件传送协议和用于接收邮件的POP3均是利用TCP端口。SMTP所用的端口号是25,POP3所用的端口号是110。
4.WWW(World Wide Web,万维网)服务
万维网是一种交互式图形界面的Internet服务,具有强大的信息连接功能,是目前Internet中最受欢迎的、增长速度最快的一种多媒体信息服务系统。
万维网是基于客户端/服务器模式的信息发送技术和超文本技术的综合,WWW服务器把信息组织为分布的超文本,这些信息节点可以是文本、子目录或信息指针。WWW浏览程序为用户提供基于超文本传输协议(Hyper Text Transfer Protocol, HTTP)的用户界面,WWW服务器的数据文件由超文本标记语言(Hyper Text Markup Language, HTML)描述,HTML利用统一资源定位器(URL)的指标是超媒体链接,并在文本内指向其他网络资源。
超文本传输协议是一个Internet上的应用层协议,是Web服务器和Web浏览器之间进行通信的语言。所有的Web服务器和Web浏览器必须遵循这一协议,才能发送或接收超文本文件。HTTP是客户端/服务器体系结构,提供信息资源的Web节点(即Web服务器),可称作HTTP服务器,Web浏览器则是HTTP服务器的客户。WWW上的信息检索服务系统就是遵循HTTP运行的。在HTTP的帮助下,用户可以只关心要检索的信息,而无须考虑这些信息存储在什么地方。
在Internet上,万维网整个系统由Web服务器、Web浏览器(Browser)和HTTP通信协议三部分组成。Web服务器提供信息资源;Web浏览器将信息显示出来;HTTP是为分布式超媒体信息系统而设计的一种网络协议,主要用于域名服务器和分布式对象管理,它能够传送任意类型数据对象,以满足Web服务器与客户端之间多媒体通信的需要,从而成为Internet中发布多媒体信息的主要协议。
统一资源定位器是在WWW中标识某一特定信息资源所在位置的字符串,是一个具有指针作用的地址标准。在WWW上查询信息,必不可少的一项操作是在浏览器中输入查询目标的地址,这个地址就是URL,也称Web地址,俗称“网址”,一个URL指定一个远程服务器域名和一个Web页。换言之,每个Web页都有唯一的URL。URL也可指向FTP、WAIS和gopher服务器代表的信息。通常,用户只需要了解和使用主页的URL,通过主页再访问其他页。当用户通过URL向WWW提出访问某种信息资源时,WWW的客户服务器程序自动查找资源所在的服务器地址,一旦找到,立即将资源调出供用户浏览。
使用WWW的浏览程序(例如Internet Explore、Netscape和Mosaic等),网页的超文本链接将引导用户找到所需要的信息资源。
如果已经是Internet的用户,只要在自己的计算机上运行一个客户程序(WWW浏览器),并给出需访问的URL地址,就可以尽情浏览这些来自远方或近邻的各种信息。WWW工作过程为:首先通过局域网或通过电话拨号连入Internet,并在本地计算机上运行WWW浏览器程序,然后根据想要获得的信息来源,在浏览器的指定位置输入WWW地址,并通过浏览器向Internet发出请求信息,此时网络中的IP路由器和服务器将按照地址把信息传递到所要求的WWW服务器中,而WWW服务器不断在一个周知的TCP端口(端口号为80)上侦听用户的连接请求,当服务器接收到请求后,找到所要求的WWW页面,最后服务器将找到的页面通过Internet传送回用户的计算机,浏览器接收传来的超文本文件,转换并显示在计算机屏幕上。
一个URL(Web地址)包括以下几部分:协议、主机域名、端口号(任选)、目录路径(任选)和一个文件名(任选)。其格式为:
其中,scheme指定服务连接的方式(协议),通常有下列几种。
● file:本地计算机上的文件。
● ftp:FTP服务器上的文件。
● gopher:Gopher服务器上的文件。
● http:WWW服务器上的超文本文件。
● New:一个USenet的新闻组。
● telnet:一个Telnet站点。
● wais:一个WAIS服务器。
● mailto:发送邮件给某人。
在地址的冒号之后通常是两个反斜线,表示后面是指定信息资源的位置,其后是一个可选的端口号,地址的最后部分是路径或文件名。如果端口号默认,表示使用与某种服务方式对应的标准端口号。根据查询要求不同,给出的URL中目录路径这一项可有可无。如果在查询中要求包括文件路径,那么在URL中就要具体指出要访问的文件名称。
下面是一些URL的例子:
5.文件传输服务
文件传输协议用来在计算机之间传输文件。由于Internet是一座装满了各种计算机文件的宝库,其中有免费和共享的软件、各种图片、声音、图像和动画文件,还有书籍和参考资料等,如果希望将它们下载到你的计算机上,其中最主要的方法之一是通过文件传输协议来实现,因此它是Internet中广为使用的一种服务。
通常,一个用户需要在FTP服务器中进行注册,即建立用户账号,在拥有合法的登录用户名和密码后,才有可能进行有效的FTP连接和登录。对于Internet中成千上万个FTP服务器来说,这就给提供FTP服务的管理员带来很大的麻烦,即需要为每一个使用FTP的用户提供一个账号,这样做显然是不现实的。实际上,Internet的FTP服务是一种匿名(anonymous)FTP服务,它设置了一个特殊的用户名——anonymous,供公众使用,任何用户都可以使用这个用户名与提供这种匿名FTP服务的主机建立连接,并共享这个主机对公众开放的资源。
匿名FTP的用户名是anonymous,而密码通常是guest或者是使用者的E-mail地址。当用户登录到匿名FTP服务器后,其工作方式与常规FTP相同。通常,出于安全的目的,大多数匿名FTP服务器只允许下载(download)文件,而不允许上传(upload)文件。也就是说,用户只能从匿名FTP服务器复制所需的文件,而不能将文件复制到匿名FTP服务器上。此外,匿名FTP服务器中的文件还加入一些保护性措施,确保这些文件不能被修改和删除,同时也可以防止计算机病毒的侵入。
FTP是基于客户端/服务器模式的服务系统,它由客户端软件、服务器软件和FTP通信协议3部分组成。FTP客户端软件运行在用户计算机上,在用户装入FTP客户端软件后,便可以通过使用FTP内部命令与远程FTP服务器采用FTP通信协议建立连接或文件传送;FTP服务器软件运行在远程主机上,并设置一个名叫anonymous的公共用户账号,向公众开放。
FTP在客户端与服务器的内部建立两条TCP连接:一条是控制连接,主要用于传输命令和参数(端口号为21);另一条是数据连接,主要用于传送文件(端口号为20)。FTP服务器不断在21号端口上侦听用户的连接请求,当用户使用用户名anonymous和密码guest或者用户E-mail地址进行登录时,用户即发出连接请求,这样控制连接便建立起来,此时,用户名和密码将通过控制连接发送给服务器;服务器接收到这个请求后,便进行用户识别,然后向客户回送确认或拒绝的应答信息;用户看到登录成功的信息后,便可以发出文件传输的命令;服务器从控制连接上接收到文件名和传输命令(如get)后,便在20号端口发起数据连接,并在这个连接上将文件名所指明的文件传输给客户。只要用户不使用close或者其他命令关闭连接,便可以继续传输其他文件。
5.6 网络安全
随着网络的发展,网络的安全性显得非常重要。这是由于怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络冒充合法用户非法进入远程主机,获取存储在主机中的机密信息,或者占用网络资源,阻止其他用户使用等。这些问题的产生对网络运营部门和用户的信息安全构成了威胁,影响了计算机网络的进一步推广应用。因此,如何对计算机网络上的各种非法行为进行主动控制和有效防御,是计算机网络安全亟待解决的问题。
5.6.1 网络安全概述
计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续和可靠地运行,使网络服务不中断。网络安全从本质上来讲,就是网络上的信息安全。它涉及的领域相当广泛,这是因为在目前的各种通信网络中存在着各种各样的安全漏洞和威胁。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
网络的安全之所以能受到威胁,主要原因有以下几个方面。
(1)计算机存储和处理是有关国家安全的政治、经济、军事和国防的情况以及一些部门、机构、组织的秘密信息或是个人的敏感信息、隐私,因此便成为某类人攻击的目标。
(2)随着Internet的发展,存取控制、逻辑连接的数目不断地增加,软件规模不断地膨胀,很容易使系统存在缺陷。
(3)在网络中,信息是从一台计算机的存储系统流向另一台计算机的存储系统,在大多数的情况下,信息离开信息源后必须经过多个中间节点才能到达目的地。在整个传输过程中,信息的发送者和接收者只能对发送和接收过程加以控制,而对中间传输过程则无权进行有效地控制。如果信息传输路由中存在不可信或具有攻击者的中间节点,信息的安全性就会受到严重的威胁。信息可能会被修改、破坏或泄露,因此,计算机网络的运行机制存在着严重的安全隐患。
(4)计算机网络的运行机制是协议控制机制,不同的节点之间的信息交换是按照事先定义好的固定机制,通过交换协议数据单元完成的。对于每个节点来说,通信即意味着对一系列从网络上到达的协议数据单元进行响应。根据以上的分析,这些从网上到达的协议数据单元的真实性是无法保证的。同时,由于协议本身固有的安全漏洞或协议实现中产生的安全漏洞也会造成许多安全问题。
在现有的网络环境中,由于存在不同的操作系统、不同厂家的硬件平台,故增加了网络安全的复杂性,其中有技术上和管理上的诸多原因。一个好的安全的网络应该是由主机系统、应用和服务、路由、网络、网络管理及管理制度等诸多因素决定的。系统、各种服务以及应用软件的漏洞随着时间的推延会越来越多地被发现,然后被修补,随着系统的升级会有许多新的漏洞又出现,再进行修补。因此,这是个长期的循环往复的过程。
网络安全涉及的主有内容如下。
(1)运行系统安全。即保证信息处理和传输系统的安全。包括计算机系统机房环境和系统设备的保护,计算机结构设计上的安全性考虑,硬件系统的可靠安全与运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄漏的防护等。
(2)信息系统的安全。包括用户口令鉴别、用户存取权限限制、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密。
(3)信息传播的安全。信息传播后果的安全,包括信息过滤、不良信息的过滤等。它侧重于防止和控制非法、有害的信息传播的后果。
(4)信息内容的安全。即狭义的信息安全。它侧重于信息的保密性、真实性、完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。
信息系统对安全的基本需求如下。
(1)保密性。保护资源免遭非授权用户“读出”。包括传输信息的加密、存储信息加密和防电磁泄露。
(2)完整性。保护资源免遭非授权用户“写入”。包括数据完整性、软件完整性、操作系统完整性、内存及磁盘完整性、信息交换的真实性和有效性。
(3)可用性。保护资源免遭破坏或干扰。防止病毒入侵和系统瘫痪,防止信道拥塞及拒绝服务,防止系统资源被非法抢占。
(4)可控性。对非法入侵提供检测与跟踪并能干预其入侵行为。
(5)可核查性。可追查安全事故的责任人。对违反安全策略的事件提供审计手段,能记录和追踪他们的活动。
网络的安全威胁来自于下列5类。
(1)物理威胁。物理威胁是指计算机硬件和存储介质不受到偷窃、废物搜寻及歼敌活动的威胁。这里的废物搜寻者就像捡破烂者,不过他在废纸篓中搜寻的是机密信息。
(2)网络攻击。计算机网络的使用对数据造成了新的安全威胁。攻击者可通过网络上存在着电子窃听、入侵拨号入网、冒名顶替等方式进行入侵攻击、偷窃与篡改。
(3)身份鉴别。由于身份鉴别通常是用设置口令的手段实现的,入侵者可通过口令圈套、密码破译等方法扰乱身份鉴别。
(4)编程威胁。所谓编程威胁,是指通过病毒进行攻击的一种方法。由于病毒是一种能进行自我复制的代码,在网间不断传播更具有危害性。
(5)系统漏洞。系统漏洞也称为系统陷阱或代码漏洞,这通常源于操作系统设计者有意设置的,目的是为了使用户在失去对系统的访问权时,仍有机会进入系统。入侵者可使用扫描器发现系统陷阱,从而进行攻击。
5.6.2 网络的信息安全
网络安全涉及到许多内容,如系统的软硬件安全,对网内的服务器与PC使用开机热启动密码、带复杂口令的屏幕保护且启动屏保时间不要太长、尽量不要使用文件共享功能(如需要,应设置访问控制权限和密码)、对重要文件设标识与验证置读写口令等。严格控制管理员级账户的使用范围、随时更新系统各种密码、规定可以访问的用户数。网络的信息安全归纳起来主要就是信息的存储安全和传输安全。
1.信息的存储安全
信息的存储安全包括信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、计算机病毒防治、系统安全监控、数据的加密和防止非法的攻击等。
1)用户的标识与验证
用户的标识与验证主要是限制访问系统的人员。它是访问控制的基础,是对用户身份的合法性验证。方法有两种,一是基于人的物理特征的识别,包括签名识别法、指纹识别法和语音识别法;二是基于用户所拥有特殊安全物品的识别,包括智能IC卡识别法、磁条卡识别法。
2)用户存取权限限制
用户存取权限限制主要是限制进入系统的用户所能做的操作。存取控制是对所有的直接存取活动通过授权进行控制以保证计算机系统安全保密机制,是对处理状态下的信息进行保护。一般有两种方法:隔离控制法和限制权限法。
(1)隔离控制法。隔离控制法是在电子数据处理成分的周围建立屏障,以便在该环境中实施存取规则。隔离控制技术的主要实现方式包括物理隔离方式、时间隔离方式、逻辑隔离方式和密码技术隔离方式等。其中,物理隔离方式各过程使用不同的物理目标,是一种有效的方式。传统的多网环境一般通过运行两台计算机实现物理隔离。现在我国已经生产出了拥有自主知识产权的涉密计算机,它采用双硬盘物理隔离技术,通过运行一台计算机,即可在物理隔离的状态下切换信息网和公共信息网,实现一机双网或一机多网的功能。还有另外一种方式就是加装隔离卡,一块隔离卡带一块硬盘、一块网卡,连同本机自带的硬盘网卡,使用不同的网络环境。当然,物理隔离方式对于系统的要求比较高,必须采用两整套互不相关的设备,其人力、物力、财力的投入都是比较大的。但也是很有效的方式,因为两者就如两条平行线,永不交叉,自然也就安全了。
(2)限制权限法。限制权限法是有效地限制进入系统的用户所进行的操作。即对用户进行分类管理,安全密级授权不同的用户分在不同类别;对目录、文件的访问控制进行严格的权限控制,防止越权操作;放置在临时目录或通信缓冲区的文件要加密,用完尽快移走或删除。
3)系统安全监控
系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况,一旦有非法入侵者进入系统,能及时发现并采取相应措施,确定和堵塞安全及保密的漏洞。应当建立完善的审计系统和日志管理系统,利用日志和审计功能对系统进行安全监控。管理员还应当经常作到如下方面。
(1)监控当前正在进行的进程,正在登录的用户情况。
(2)检查文件的所有者、授权、修改日期情况和文件的特定访问控制属性。
(3)检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执行文件的修改情况。
(4)检查用户登录的历史记录和超级用户登录的记录。如发现异常,及时处理。
4)计算机病毒防治
计算机网络服务器必须加装网络病毒自动检测系统,以保护网络系统的安全,防范计算机病毒的侵袭,并且必须定期更新网络病毒检测系统。
由于计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点,所以需要建立计算机病毒防治管理制度。
(1)经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
(2)定期检查敏感文件。对系统的一些敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。
(3)使用高强度的口令。尽量选择难于猜测的口令,对不同的账号选用不同的口令。
(4)经常备份重要数据,要做到每天坚持备份。
(5)选择、安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测、清除工作。
(6)可以在计算机和因特网之间安装使用防火墙,提高系统的安全性。
(7)当计算机不使用时,不要接入因特网,一定要断掉连接。
(8)重要的计算机系统和网络一定要严格与因特网物理隔离。
(9)不要打开陌生人发来的电子邮件,无论它们有多么诱人的标题或者附件。同时也要小心处理来自于熟人的邮件附件。
(10)正确配置系统和使用病毒防治产品。正确配置系统,充分利用系统提供的安全机制,提高系统防范病毒的能力,减少病毒侵害事件。了解所选用防病毒产品的技术特点,正确配置以保护自身系统的安全。
5)数据的加密
数据的加密主要是防止非法窃取或调用,包括文件信息的加密、数据库数据的安全与加密、磁介质加密等。
(1)文件信息的加密。一是文件加密,即对文件的代码或数据本身进行的数据源加密。二是文件名加密,就是利用文件名屏幕显示形式的变换,使得实际注册的文件名与显示的不相符或者根本不显示,造成无法访问文件。
(2)数据库数据的安全与加密。通过对数据库系统的管理和对数据库数据的加密来实现,包括用户身份的识别和确认;访问操作的鉴别和控制;审计和跟踪;数据库外加密;数据库内加密等。
(3)磁介质加密。加密的目的在于防复制。磁介质加密的主要方法包括固化部分程序、激光穿孔加密、掩膜加密和芯片加密、修改磁介质参数表等。
6)计算机网络安全
计算机网络安全主要是指计算机网络抵御来自外界侵袭等应采取的安全措施。它是网络信息安全的最外一层防线。目前主要通过采用安全防火墙系统、安全代理服务器和安全加密网关等来实现。主要包括网络边界的安全和网络内部的安全控制及防范。
(1)网络边界的安全。网络边界主要是指本单位(或部门)的网络与外界网络或Internet互联的出口边界。其安全主要是针对经边界进出访问和传输数据包时要采取的控制和防范措施。政府各部门的计算机网络应当采用统一的国际互联网出口,以便加强管理。计算机网络与Internet或外界其他网络接入口处必须设置安全防火墙系统,该防火墙要具有加密功能或安全加密网关。要定期扫描网络的安全漏洞,及时消除网络安全的隐患。Internet或外界其他网络上的授权用户要通过安全防火墙或安全加密网关远程进入政府网络时,必须配备电子印章认证系统,只有认证系统通过的授权用户才可进入。
计算机网络系统一般不要设置拨号访问服务器和提供远程Modem接入,如确需设置,必须采用如下措施:设置访问控制服务器,对拨号上网的用户身份、电话号码等进行验证;要求拨号用户采用比较安全的口令,并确保不把用户名和口令外传给任何其他人;在拨号访问服务器和网络之间设置安全防火墙,对远程访问进行控制和监测;对拨号上网的电话号码严格保密。
(2)网络内部的安全控制和防范。网络内部安全是指应采取防范措施以控制外界远程用户(或网络)对网络内部数据存取。常用的技术手段包括网络安全监测报警系统、数据加/解密卡和电子印章系统等。具体应采取以下措施:在网络中应采取对信息进行相应级别的数据源加密;对信息所需采用的各种加解密设备采用统一的加密算法和密钥管理,并具有权限分级,以适合不同级别的用户存取,同时密钥必须定期更换;加装网络安全监测报警系统,定期扫描网络的安全漏洞,一旦有非法用户进入网络读取信息或篡改网络系统配置,则自动报警;必须对计算机网络用户读取信息进行身份认证,并由此获得相应身份的读取权限,以适应不同级别的用户读取不同级别的信息;未经或通不过系统认证的用户,将无权读取信息,网络边界安全设备将禁止信息传出网络;信息从网络边界传输出去以前,必须经过相应的数据源加密,否则将无法通过网络边界安全设备。
2.信息的传输安全
信息的传输加密是面向线路的加密措施,有链路加密、节点加密和端—端加密三种。
(1)链路加密。链路加密只对两个节点之间(不含信息源和目的地两个端点本身)的通信信道线路上所传输的信息进行加密保护。它是一种链式连接的加密方式,属于公共加密。其缺点是每个节点要配置加密单元(信道加密机),相邻节点必须使用相同的密钥,节点的数据是明文。
(2)节点加密。节点加密的加、解密都在节点中进行,即每个节点里装有加、解密的保护装置,用于完成一个密钥向另一个密钥的转换。这样,节点中的数据不会出现明文。但由于每个节点要加装安全单元或保护装置,因此需要公共网络提供配合。
(3)端—端加密。端—端加密为系统网络提供从信息源到目的地传送的数据的加密保护。可以是从主机到主机,终端到终端,终端到主机或到处理进程,或从数据的处理进程到处理进程,而不管数据在传送中经过了多少中间节点,数据不被解密。用户或主机都可独自采用这种加密技术而不会影响别的用户或主机,这比较适于在分组交换网中采用。
加密措施是保护信息的最后防线,被公认为是保护信息传输唯一实用的方法。在物理安全不足的地方,加密是保护存储信息的十分有效而经济的方法。对信息进行加密保护是在密钥的控制下,通过密码算法将敏感的机密明文数据变换成不可懂的密文数据,称为加密(Encryption)。对一些重要的口令、数据、电子邮件用加密软件进行加密后,再发送或保存。信息即使被截获,攻击者也要耗费时间、精力去解密,从而为采取补救措施赢得了时间。
信息的传输加密技术是指发送方用加密密钥通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。基本的加密算法有两种:对称密钥加密和非对称密钥加密,用于保证电子商务中数据的保密性、完整性、真实性和非抵赖服务。
对称密钥加密也叫私有密钥加密(Private Key Encryption),即发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。最著名的对称密钥加密标准是数据加密标准。DES是一种使用56个数据位的密钥来操作64位数据块的块加密算法,由IBM公司推出,可同时对大量数据进行快速加密。DES算法曾经过广泛的分析和测试,被认为是一种非常安全的系统。采用这种方法的主要问题是密钥的生成、注入、存储、管理和分发等很复杂,特别是随着用户的增加,密钥的需求量成倍增加。在网络通信中,大量密钥的分配是一个难以解决的问题。对称密钥加密的特点是简单,但用户必须也只能让接收人知道自己使用的密钥,双方必须共同保守密钥,任何一方失误均会导致密钥的泄露。目前已有一些比DES算法更安全的对称密钥加密算法,如IDEA算法,RC2、RC4算法和Skipjack算法等。
非对称密钥加密也叫公开密钥加密(Public Key Encryption),由美国斯坦福大学赫尔曼教授于1977年提出的。它主要指每个人都有一对唯一对应的密钥:公开密钥和私有密钥,公钥对外公开,私钥由个人秘密保存。用其中一把密钥来加密,就只能用另一把密钥来解密。加密密钥对外是公开的,使任何用户都可将传送给此用户的信息用公开密钥加密发送,而用户唯一保存的私人密钥是保密的,也只有它能将密文复原、解密。虽然解密密钥理论上可由加密密钥推算出来,但这种算法设计在实际上是不可能的,或者虽然能够推算出来,但要花费很长的时间而成为不可行的。所以将加密密钥公开也不会危害密钥的安全。公开密钥加密技术解决了密钥的发布和管理问题。使用公开密钥技术,进行数据通信的双方可以安全地确认对方身份和公开密钥,提供通信的可鉴别性。非对称加密算法主要有RSA、DSA、Diffie-Hellman、PKCS和PGP等。
5.6.3 防火墙技术
所谓防火墙(Firewall),是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。它的实现有多种形式,但原理很简单,可以把它想象为一对开关,其中一个用来阻止传输,另一个用来允许传输。防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,对通过受控干线的任何通信行为进行安全处理,如控制、审计、报警和反应等,同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置,自身还要面对各种安全威胁,因此,选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。
在网络层,防火墙被用来处理信息在内外网络边界的流动,它可以确定来自哪些地址的信息可以通过或者禁止哪些目的地址的主机。在传输层,这个连接可以被端到端的加密,也就是进程到进程的加密。在应用层,它可以进行用户级的身份认证、日志记录和账号管理等。因此,防火墙技术简单来说,就是一套身份认证、加密、数字签名和内容检查集成为一体的安全防范措施。所有来自Internet的传输信息和内部网络发出的传输信息都要穿过防火墙,由防火墙进行分析,以确保它们符合站点设定的安全策略,以提供一种内部节点或网络与Internet的安全屏障。
1.防火墙的分类
防火墙技术经历了包过滤、应用代理网关和状态检测三个发展阶段。包过滤型的防火墙通常直接转发报文,它对用户完全透明,速度较快;应用代理网关防火墙是通过服务器建立连接的,可以有更强的身份验证和注册功能;状态检测防火墙是在其核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态检测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
1)包过滤型防火墙
包过滤防火墙一般有一个包检查块(通常称为包过滤器),数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因为内容是应用层数据,而包过滤器处在网络层和数据链路层(即TCP和IP层)之间。通过检查模块,防火墙能够拦截和检查所有出站和进站的数据,它首先打开包,取出包头,根据包头的信息确定该包是否符合包过滤规则,并进行记录。对于不符合规则的包,应进行报警并丢弃该包。
包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,如果一条规则阻止包传输或接收,则此包便不被允许通过,否则该包可以被继续处理。包过滤防火墙的处理速度较快,并且易于配置。
包过滤防火墙的优点是防火墙对每条传入和传出网络的包实行低水平控制;每个IP包的字段都被检查,例如源地址、目的地址、协议和端口等;防火墙可以识别和丢弃带欺骗性源IP地址的包;包过滤防火墙是两个网络之间访问的唯一来源;包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
包过滤防火墙的缺点是不能防范黑客攻击,因为网管不可能区分出可信网络与不可信网络的界限;不支持应用层协议,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙;不能处理新的安全威胁。
2)应用代理网关防火墙
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。其缺点如下。
(1)难于配置。由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理地配置安全策略。由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。
(2)处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行,因为对于内网的每个Web访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器及业务程序等,这就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常Web访问不能及时得到响应。
总之,应用代理防火墙不能支持大规模的并发连接,对速度要求高的行业不能使用这类防火墙。另外,防火墙核心要求预先内置一些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。
3)状态检测技术防火墙
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
Internet上使用的是TCP/IP,TCP的每个可靠连接均需要经过“客户端同步请求”、“服务器应答”和“客户端再应答”三次握手。例如,最常用到的Web浏览、文件下载和收发邮件等都要经过这三次握手。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态检测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。状态检测防火墙在提高安全防范能力的同时也改进了流量处理速度。因为它采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
2.典型防火墙的体系结构
一个防火墙系统通常是由过滤路由器和代理服务器组成。过滤路由器是一个多端口的IP路由器,它能够拦截和检查所有出站和进站的数据。它首先打开IP包,取出包头,根据包头的信息(如IP源地址、IP目标地址)确定该包是否符合包过滤规则(如对包报头进行语法分析,阻止或允许包传输或接收),并进行记录。对于符合规则的包,则应该进行转发,否则应进行报警并丢弃该包。代理服务防火墙使用了与包过滤器不同的方法。代理服务器使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与期望的服务器进行实际连接。与包过滤器所不同的是,使用这种类型的防火墙,内部与外部网络之间不存在直接连接。因此,即使防火墙发生了问题,外部网络也无法获得与被保护网络的连接。代理提供了详细的注册及审计功能,这大大提高了网络的安全性,也为改进现有软件的安全性能提供了可能。它是基于特定协议的,如FTP、HTTP等。为了通过代理支持一个新的协议,必须改进代理服务器以适应新协议。典型防火墙的体系结构包括包过滤路由器、双宿主主机、被屏蔽主机和被屏蔽子网等类型。
1)包过滤路由器
包过滤路由器又称屏蔽路由器,是最简单也是最常用的防火墙。它一般作用在网络层,对进出内部网络的所有信息进行分析,并按照一定的安全策略(过滤规则)对进出内部网络的信息进行限制。包过滤的核心就是安全策略,即包过滤算法的设计。包过滤型防火墙往往可用一台过滤路由器来实现,对所接收的每个数据包作允许拒绝的决定。如图5-19所示。
图5-19 包过滤路由器防火墙
采用包过滤路由器的防火墙优点在于速度快、实现方便。缺点是安全性能差;不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差;没有或只有较少的日志记录能力。
2)双宿主主机
双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)而构成的,每一个接口都连接在物理和逻辑上分离的不同网段,代理服务器软件在双宿主主机上运行,如图5-20所示。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外网络之间的IP数据流被双宿主主机完全切断。主机结构采用主机取代路由器执行安全控制功能,受保护网除了看到堡垒主机外,不能看到其他任何系统。同时,堡垒主机不转发TCP/IP通信报文,网络中的所有服务都必须由此主机的相应代理程序来支持。
图5-20 双宿主主机防火墙
双宿主主机防火墙的优点是堡垒主机运行的系统软件可用于维护系统日志、硬件备份日志和远程日志等,有利于网络管理员的日后检查。其缺点是由于双宿主主机是唯一隔开内部网和外部因特网之间的屏障,若入侵者得到了双宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双宿主主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数。
3)屏蔽主机网关
屏蔽主机网关防火墙是由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤;应用网关的作用是代理服务,即在内部网络与外部网络之间建立两道安全屏障。屏蔽主机网关防火墙的结构如图5-21所示。
图5-21 屏蔽主机网关防火墙
对于这种防火墙系统,堡垒主机配置在内部网络上,而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置,使得外部系统只能访问堡垒主机,去往内部系统上其他主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络,内部系统是否允许直接访问Internet,或者是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置,使得其只接受来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务。
屏蔽主机网关防火墙的优点是安全等级较高。可以提供公开的信息服务的服务器,如Web、FTP等,可以放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性,可以让堡垒主机运行代理服务,使得内部和外部用户在与信息服务器通信之前,必须先访问堡垒主机。如果较低的安全等级已经足够,则将路由器配置为让外部用户直接去访问公共的信息服务器。缺点是配置工作复杂。过滤路由器是否正确配置是这种防火墙安全与否的关键,过滤路由器的路由表应当受到严格的保护,否则如果遭到破坏,则数据包就不会被路由到堡垒主机上。
4)被屏蔽子网
被屏蔽子网防火墙系统是由两个包过滤路由器和一个应用网关(堡垒主机)组成。包过滤路由器分别位于周边网与内部网、周边网与外部网之间,而应用网关居于两个包过滤路由器的中间,形成了一个“非军事区(DMZ)”,建立了一个最安全的防火墙系统。如图5-22所示。
图5-22 被屏蔽子网防火墙
对于进来的信息,外面的这个路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击),并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机(还可能有信息服务器)。里面的这个路由器提供第二层防御,只接受源于堡垒主机的数据包,负责的是管理DMZ到内部网络的访问。对于去往Internet的数据包,里面的路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机(还可能有信息服务器)。外面的路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。
被屏蔽子网防火墙系统的优势如下。
(1)入侵者必须突破三个不同的设备(外部路由器、堡垒主机和内部路由器)才能侵袭内部网络。
(2)由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对。这样,网络管理员就可以保证内部网络是“不可见”的,并且只有在DMZ网络上选定的系统才对Internet开放。
(3)由于内部路由器只向内部网络通告DMZ网络的存在,内部网络上的系统不能直接通往Internet,这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。
(4)包过滤路由器直接将数据引向DMZ网络上所指定的系统,消除了堡垒主机双宿的必要。
(5)内部路由器在作为内部网络和Internet之间最后的防火墙系统时,能够支持比双宿堡垒主机更大的数据包吞吐量。
(6)由于DMZ网络是一个与内部网络不同的网络,NAT可以安装在堡垒主机上,从而避免在内部网络上重新编址或重新划分子网。
