電腦網(wǎng)絡(luò)基礎(chǔ)知識：無線局域網(wǎng)、防火墻、交換機(jī)、路由器

電腦網(wǎng)絡(luò)基礎(chǔ)知識：無線局域網(wǎng)、防火墻、交換機(jī)、路由器無線局域網(wǎng)計算機(jī)局域網(wǎng)是把分布在數(shù)公里范圍內(nèi)的不同物理位置的計算機(jī)設(shè)備連在一起，在網(wǎng)絡(luò)軟件的支持下可以相互通訊和資源共享的網(wǎng)絡(luò)系統(tǒng)。通常計算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場合要受到布線的限制：布線、改線工程量大；線路容易損壞；網(wǎng)中的各節(jié)點不可移動。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點聯(lián)結(jié)起來時，敷設(shè)專用通訊線路布線施工難度之大，費用、耗時之多，實是令人生畏。這些問題都對正在迅速擴(kuò)大的聯(lián)網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞，限制了用戶聯(lián)網(wǎng)。WLAN就是解決有線網(wǎng)絡(luò)以上問題而出現(xiàn)的。WLAN利用電磁波在空氣中發(fā)送和接受數(shù)據(jù)，而無需線纜介質(zhì)。WLAN的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達(dá)到11Mbps，傳輸距離可遠(yuǎn)至20km以上。無線聯(lián)網(wǎng)方式是對有線聯(lián)網(wǎng)方式的一種補(bǔ)充和擴(kuò)展，使網(wǎng)上的計算機(jī)具有可移動性，能快速、方便的解決以有線方式不易實現(xiàn)的網(wǎng)絡(luò)聯(lián)通問題。與有線網(wǎng)絡(luò)相比，WLAN具有以下優(yōu)點：安裝便捷：一般在網(wǎng)絡(luò)建設(shè)當(dāng)中，施工周期最長、對周邊環(huán)境影響最大的就是網(wǎng)絡(luò)布線的施工了。在施工過程時，往往需要破墻掘地、穿線架管。而WLAN最大的優(yōu)勢就是免去或減少了這部分繁雜的網(wǎng)絡(luò)布線的工作量，一般只要在安放一個或多個接入點(AccessPoint)設(shè)備就可建立覆蓋整個建筑或地區(qū)的局域網(wǎng)絡(luò)。使用靈活：在有線網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)信息點位置的限制。而一旦WLAN建成后，在無線網(wǎng)的信號覆蓋區(qū)域內(nèi)任何一個位置都可以接入網(wǎng)絡(luò)，進(jìn)行通訊。經(jīng)濟(jì)節(jié)約：由于有線網(wǎng)絡(luò)中缺少靈活性，這就要求網(wǎng)絡(luò)的規(guī)劃者盡可能地考慮未來的發(fā)展的需要，這就往往導(dǎo)致需要預(yù)設(shè)大量利用率較低的信息點。而一旦網(wǎng)絡(luò)的發(fā)展超出了設(shè)計規(guī)劃時的預(yù)期，又要花費較多費用進(jìn)行網(wǎng)絡(luò)改造。而WLAN可以避免或減少以上情況的發(fā)生。易于擴(kuò)展：WLAN又多種配置方式，能夠根據(jù)實際需要靈活選擇。這樣，WLAN能夠勝任只有幾個用戶的小型局域網(wǎng)到上千用戶的大型網(wǎng)絡(luò)，并且能夠提供像"漫游(Roaming)"等有線網(wǎng)絡(luò)無法提供的特性。由于WLAN具有多方面的優(yōu)點，其發(fā)展十分迅速。在最近幾年里，WLAN已經(jīng)在醫(yī)院、商店、工廠和學(xué)校等不適合網(wǎng)絡(luò)布線的場合得到了廣泛的應(yīng)用。據(jù)權(quán)威調(diào)研機(jī)構(gòu)CahnersIn-StatGroup預(yù)計，全球無線局域網(wǎng)市場將在2000年至2004年保持快速增長趨勢，每年平均增長率高達(dá)25%。無線局域網(wǎng)市場的網(wǎng)卡、接入點設(shè)備及其他相關(guān)設(shè)備的總銷售額也將在2000年輕松突破10億美元大關(guān)，在2004年達(dá)到21.97億美元。網(wǎng)卡網(wǎng)絡(luò)接口卡(NIC-NetworkInterfaceCard)又稱網(wǎng)絡(luò)適配器(NIA-NetworkInterfaceAdapter)，簡稱網(wǎng)卡。用于實現(xiàn)聯(lián)網(wǎng)計算機(jī)和網(wǎng)絡(luò)電纜之間的物理連接，為計算機(jī)之間相互通信提供一條物理通道，并通過這條通道進(jìn)行高速數(shù)據(jù)傳輸。在局域網(wǎng)中，每一臺聯(lián)網(wǎng)計算機(jī)都需要安裝一塊或多塊網(wǎng)卡，通過介質(zhì)連接器將計算機(jī)接入網(wǎng)絡(luò)電纜系統(tǒng)。網(wǎng)卡完成物理層和數(shù)據(jù)鏈路層的大部分功能，包括網(wǎng)卡與網(wǎng)絡(luò)電纜的物理連接、介質(zhì)訪問控制(如：CSMA/CD)、數(shù)據(jù)幀的拆裝、幀的發(fā)送與接收、錯誤校驗、數(shù)據(jù)信號的編/解碼(如：曼徹斯特代碼的轉(zhuǎn)換)、數(shù)據(jù)的串、并行轉(zhuǎn)換等功能。ModemMODEM就是調(diào)制解調(diào)器。是調(diào)制器和解調(diào)器的合稱。網(wǎng)友們通常戲稱為"貓"。它是撥號上網(wǎng)的必備設(shè)備。通過Modem將計算機(jī)的數(shù)字信息變成音頻信息才得以在電話線上傳播。Modem一般分內(nèi)置和外置兩種。內(nèi)置式插入計算機(jī)內(nèi)不占用桌面空間，使用電腦內(nèi)部的電源，價格一般比外置式便宜。外置式安裝簡易，無需打開機(jī)箱，也無需占用電腦中的擴(kuò)展槽。它有幾個指示燈，能夠隨時報告Modem正在進(jìn)行的工作。防火墻1.什么是防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。2.使用Firewall的益處保護(hù)脆弱的服務(wù)通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險。例如，F(xiàn)irewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。控制對系統(tǒng)的訪問Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時禁止訪問另外的主機(jī)。例如，F(xiàn)irewall允許外部訪問特定的MailServer和WebServer。集中的安全管理Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法，而不需要在每臺機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。增強(qiáng)的保密性使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Figer和DNS。記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。策略執(zhí)行Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時，網(wǎng)絡(luò)安全取決于每臺主機(jī)的用戶。3.防火墻的種類防火墻總體上分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。數(shù)據(jù)包過濾數(shù)據(jù)包過濾(PacketFiltering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表(AccessControlTable)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費用。數(shù)據(jù)包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)(ApplicationLevelGateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計，形成報告。實際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)，這有利于實施非法訪問和攻擊。代理服務(wù)代理服務(wù)(ProxyService)也稱鏈路級網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的"鏈接"，由兩個終止代理服務(wù)器上的"鏈接"來實現(xiàn)，外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。4.設(shè)置防火墻的要素網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。服務(wù)訪問策略服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問策略必須網(wǎng)絡(luò)并不擁擠，尚有很大的可利用空間時，使用HUB更能夠充分利用網(wǎng)絡(luò)的現(xiàn)有資源。交換機(jī)的三種交換方式1.直通式(CutThrough)直通方式的以太網(wǎng)交換機(jī)可以理解為在各端口間是縱橫交叉的線路矩陣電話交換機(jī)。它在輸入端口檢測到一個數(shù)據(jù)包時，檢查該包的包頭，獲取包的目的地址，啟動內(nèi)部的動態(tài)查找表轉(zhuǎn)換成相應(yīng)的輸出端口，在輸入與輸出交叉處接通，把數(shù)據(jù)包直通到相應(yīng)的端口，實現(xiàn)交換功能。由于不需要存儲，延遲非常小、交換非常快，這是它的優(yōu)點。它的缺點是，因為數(shù)據(jù)包內(nèi)容并沒有被以太網(wǎng)交換機(jī)保存下來，所以無法檢查所傳送的數(shù)據(jù)包是否有誤，不能提供錯誤檢測能力。由于沒有緩存，不能將具有不同速率的輸入/輸出端口直接接通，而且容易丟包。2.存儲轉(zhuǎn)發(fā)(Store&Forward)存儲轉(zhuǎn)發(fā)方式是計算機(jī)網(wǎng)絡(luò)領(lǐng)域應(yīng)用最為廣泛的方式。它把輸入端口的數(shù)據(jù)包先存儲起來，然后進(jìn)行CRC(循環(huán)冗余碼校驗)檢查，在對錯誤包處理后才取出數(shù)據(jù)包的目的地址，通過查找表轉(zhuǎn)換成輸出端口送出包。正因如此，存儲轉(zhuǎn)發(fā)方式在數(shù)據(jù)處理時延時大，這是它的不足，但是它可以對進(jìn)入交換機(jī)的數(shù)據(jù)包進(jìn)行錯誤檢測，有效地改善網(wǎng)絡(luò)性能。尤其重要的是它可以支持不同速度的端口間的轉(zhuǎn)換，保持高速端口與低速端口間的協(xié)同工作。3.碎片隔離(FragmentFree)這是介于前兩者之間的一種解決方案。它檢查數(shù)據(jù)包的長度是否夠64個字節(jié)，如果小于64字節(jié)，說明是假包，則丟棄該包;如果大于64字節(jié)，則發(fā)送該包。這種方式也不提供數(shù)據(jù)校驗。它的數(shù)據(jù)處理速度比存儲轉(zhuǎn)發(fā)方式快，但比直通式慢。交換機(jī)分類從廣義上來看，交換機(jī)分為兩種:廣域網(wǎng)交換機(jī)和局域網(wǎng)交換機(jī)。廣域網(wǎng)交換機(jī)主要應(yīng)用于電信領(lǐng)域，提供通信用的基礎(chǔ)平臺。而局域網(wǎng)交換機(jī)則應(yīng)用于局域網(wǎng)絡(luò)，用于連接終端設(shè)備，如PC機(jī)及網(wǎng)絡(luò)打印機(jī)等。從傳輸介質(zhì)和傳輸速度上可分為以太網(wǎng)交換機(jī)、快速以太網(wǎng)交換機(jī)、千兆以太網(wǎng)交換機(jī)、FDDI交換機(jī)、ATM交換機(jī)和令牌環(huán)交換機(jī)等。從規(guī)模應(yīng)用上又可分為企業(yè)級交換機(jī)、部門級交換機(jī)和工作組交換機(jī)等。各廠商劃分的尺度并不是完全一致的，一般來講，企業(yè)級交換機(jī)都是機(jī)架式，部門級交換機(jī)可以是機(jī)架式(插槽數(shù)較少)，也可以是固定配置式，而工作組級交換機(jī)為固定配置式(功能較為簡單)。另一方面，從應(yīng)用的規(guī)模來看，作為骨干交換機(jī)時，支持500個信息點以上大型企業(yè)應(yīng)用的交換機(jī)為企業(yè)級交換機(jī)，支持300個信息點以下中型企業(yè)的交換機(jī)為部門級交換機(jī)，而支持100個信息點以內(nèi)的交換機(jī)為工作組級交換機(jī)。交換機(jī)功能交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯誤校驗、幀序列以及流控。目前交換機(jī)還具備了一些新的功能，如對VLAN(虛擬局域網(wǎng))的支持、對鏈路匯聚的支持，甚至有的還具有防火墻的功能。交換機(jī)除了能夠連接同種類型的網(wǎng)絡(luò)之外，還可以在不同類型的網(wǎng)絡(luò)(如以太網(wǎng)和快速以太網(wǎng))之間起到互連作用。如今許多交換機(jī)都能夠提供支持快速以太網(wǎng)或FDDI等的高速連接端口，用于連接網(wǎng)絡(luò)中的其它交換機(jī)或者為帶寬占用量大的關(guān)鍵服務(wù)器提供附加帶寬。一般來說，交換機(jī)的每個端口都用來連接一個獨立的網(wǎng)段，但是有時為了提供更快的接入速度，我們可以把一些重要的網(wǎng)絡(luò)計算機(jī)直接連接到交換機(jī)的端口上。這樣，網(wǎng)絡(luò)的關(guān)鍵服務(wù)器和重要用戶就擁有更快的接入速度，支持更大的信息流量。路由器路由器是什么？是什么把網(wǎng)絡(luò)相互連接起來？是路由器。路由器是互聯(lián)網(wǎng)絡(luò)的樞紐、"交通警察"。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已經(jīng)成為實現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。所謂路由就是指通過相互連接的網(wǎng)絡(luò)把信息從源地點移動到目標(biāo)地點的活動。一般來說，在路由過程中，信息至少會經(jīng)過一個或多個中間節(jié)點。通常，人們會把路由和交換進(jìn)行對比，這主要是因為在普通用戶看來兩者所實現(xiàn)的功能是完全一樣的。其實，路由和交換之間的主要區(qū)別就是交換發(fā)生在OSI參考模型的第二層（數(shù)據(jù)鏈路層），而路由發(fā)生在第三層，即網(wǎng)絡(luò)層。這一區(qū)別決定了路由和交換在移動信息的過程中需要使用不同的控制信息，所以兩者實現(xiàn)各自功能的方式是不同的。早在40多年之間就已經(jīng)出現(xiàn)了對路由技術(shù)的討論，但是直到80年代路由技術(shù)才逐漸進(jìn)入商業(yè)化的應(yīng)用。路由技術(shù)之所以在問世之初沒有被廣泛使用主要是因為80年代之前的網(wǎng)絡(luò)結(jié)構(gòu)都非常簡單，路由技術(shù)沒有用武之地。直到最近十幾年，大規(guī)模的互聯(lián)網(wǎng)絡(luò)才逐漸流行起來，為路由技術(shù)的發(fā)展提供了良好的基礎(chǔ)和平臺。路由器是互聯(lián)網(wǎng)的主要節(jié)點設(shè)備。路由器通過路由決定數(shù)據(jù)的轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)策略稱為路由選擇（routing），這也是路由器名稱的由來（router，轉(zhuǎn)發(fā)者）。作為不同網(wǎng)絡(luò)之間互