一、高职校园网项目背景
(一)项目分析
|
项目名称 |
任务 |
线上 |
线下 |
参考学时 |
|
|---|---|---|---|---|---|
|
项目一 构建高职校园网 |
任务一 网络线缆施工与测试 |
2 |
2 |
4 |
6 |
|
任务二 网络拓扑图设计与评估 |
|
2 |
2 |
||
|
项目二 构建住宅小区网络 |
任务一 交换机配置与管理 |
|
2 |
2 |
8 |
|
任务二 虚拟局域网VLAN配置与管理 |
2 |
|
2 |
||
|
任务三 端口聚合配置与管理 |
2 |
|
2 |
||
|
任务四 快速生成树协议配置与管理 |
2 |
|
2 |
||
|
项目三 构建企业办公网络 |
任务一 路由器配置与管理 |
2 |
|
2 |
12 |
|
任务二 三层交换机配置与管理 |
2 |
|
2 |
||
|
任务三 应用三层交换机实现VLAN互访 |
2 |
|
2 |
||
|
任务四 静态路由配置与管理 |
2 |
|
2 |
||
|
任务五 RIP路由协议配置与管理 |
2 |
|
2 |
||
|
任务六 OSPF路由协议配置与管理 |
2 |
|
2 |
||
|
项目四 实施接入广域网 |
任务一 广域网协议配置与测试 |
2 |
|
2 |
6 |
|
任务二 网络认证配置与管理 |
2 |
|
2 |
||
|
任务三 NAT技术配置与管理 |
2 |
|
2 |
||
|
项目五 构建企业安全网络 |
任务一 保护企业办公网安全 |
|
|
2 |
6 |
|
任务二 保护企业园区网安全 |
2 |
|
2 |
||
|
任务三 防火墙配置与管理 |
2 |
|
2 |
||
|
项目六 构建校园无线网络 |
任务一 建立开放式的无线接入服务 |
1 |
|
1 |
2 |
|
任务二 建立WPA加密方式的无线网络 |
1 |
|
1 |
||
|
项目七 构建集团园区网络 |
任务 构建集团园区网络 |
2 |
2 |
4 |
4 |
|
扩展项目 |
1 配置思科交换机 |
|
2 |
2 |
28 |
|
2 配置思科VLAN |
|
2 |
2 |
||
|
3 配置思科VTP协议 |
|
2 |
2 |
||
|
4 配置思科STP生成树协议 |
|
2 |
2 |
||
|
5 配置思科路由器 |
|
2 |
2 |
||
|
6 配置思科VLAN路由 |
|
2 |
2 |
||
|
7 配置思科静态路由 |
|
2 |
2 |
||
|
8 配置思科动态路由RIP协议 |
|
2 |
2 |
||
|
9 配置思科动态路由OSPF协议 |
|
2 |
2 |
||
|
10 配置思科动态路由EIGRP协议 |
|
2 |
2 |
||
|
11 配置思科PPP认证 |
|
2 |
2 |
||
|
12 配置思科NAT认证 |
|
2 |
2 |
||
|
13 配置思科ACL 技术 |
|
2 |
2 |
||
|
14 配置思科WLAN工单 |
|
2 |
2 |
||
|
15 配置思科DHCP |
|
|
|
||
(二)课程思路
根据课程的培养目标、生源情况和学生认知能力,围绕核心培养目标,创设情境教学环境,采用适应学生认知水平的教学方法,激发学生求知欲。教学活动从以“教”为中心转向以“学”为中心,学生成为教学活动的主体,学习活动成为教学活动的中心。学生和学习小组通过自主式学习、角色式学习、协作式学习进行具体生产活动的策划、组织与实施。教师的作用从以课堂讲授为主转向以教学设计与组织、创设情境、提出问题、指导、监控、评估学生的学习活动为主。
在以学生为行动主体的“选定项目、制订计划、活动探究、作品制作、成果交流和活动评价”完整教学活动中充分发挥学生的主动性、积极性。每个步骤采用不同的教学方法。
通过完成基于真实生产过程的典型工作任务,培养学生的综合职业能力。为避免学生自主学习自由度过大可能造成的偏离教学目标过大的现象发生,教师依然是教学过程的重要指导者,对学生工作任务的完成进行过程控制、过程管理,对学生的学习效果进行过程评价。
在每个项目课程中,大体可分解为“你听我讲”“ 我做你看”“你练我导”“你做我评”四个过程。通过教师的“讲、做、导、评”,学生的“听、看、练、做”,体现了以学生为主体、教师为主导,调动了学生学习的积极性、主动性,培养了学生的自主学习能力。
1.“你听我讲”
利用多媒体设计介绍项目案例,启发思考。以项目三中任务“应用RIP动态路由协议”为例。项目背景假设校园网通过一台三层交换机连到校园网出口路由器,路由器再和校园外的另一台路由器连接,做适当配置,利用RIP动态路由协议实现校园网内部主机与校园网外部主机的相互通信,说明动态路由协议和RIP动态路由协议的重要性,引发学生兴趣。将学习者引入教育实践的情景中,通过师生之间、学生之间的多向互动、平等对话和积极研究等形式,提高学习者面对复杂教育情境的决策能力和行动能力。同时,通过设置问题情境,讲解所要学习内容的意义,激发学生参与学习工作过程的积极性。在教学过程中,注意由浅入深有意识地留下一些问题让学生在课上或课下自主学习,让学生带着问题去学习,然后检查学生自主学习的情况,针对问题加以引导,最后归纳总结,逐步提高学生自主学习的能力。
根据高职高专人才培养目标,在教学中着重“怎么做”,而不去纠缠“为什么”,着眼点是应用,而不是系统地讲解理论,用动画形式生动地介绍基础知识的工作原理、路由环路问题和路由环路问题的解决方法等。对于重点RIP动态路由协议的基本配置,用真实设备配置讲解,并且总结归纳语法。需要注意的是,不要强求学生记忆语法格式,而是要求他们掌握配置方法,掌握同类产品的配置方法。
2.“我做你看”
教师现场演示生产过程,讲解工作内容要求及操作程序,告诉学生“怎么做”,学生通过观察、提问等方式理解教师的示范过程。
3.“你练我导”
我们根据市场调研自编了教材和实习实训指导书,所以引用引导文教学法。组织学生通过阅读这些材料,理解教师示范的步骤操作,明确学习目标,清楚了解应该完成什么工作。然后采用角色扮演法和小组学习法,模仿企业团队开发方式,3-6人一组。在小组中选取项目经理(组长),由项目经理在小组中分配工作任务角色,包括线缆连接、交换机的配置、路由器的配置、计算机的配置、测试等工作。项目开发过程要撰写相关开发文档。以学生为行动主体的训练使学生从文献的检索、阅读、思维能力、组织能力、团结协作能力、写作能力、决策能力、评估反馈能力等多方面能力得到提高。教师要在项目训练过程中监督生产过程,检查练习结果,纠正错误并归纳总结。
4.“你做我评”
最后,每个小组选举一人利用多媒体进行公开的项目报告,总结在本次项目实训中遇到的问题是怎么解决的,以及本次实训的得失。教师按照项目评价表进行评分。必要时,可邀请企业专家共同评测,分析得失、制定解决方案以及预测未来发展趋势,并通过网络教学平台、电子邮件、博客等多种渠道开展交流。
(三)实施校园网
唐山工业职业技术学院是国家优秀骨干(示范)高职院校、中国特色高水平专业群建设单位、国家优质高职院校、国家高技能人才培养基地、国家创新创业教育改革示范校、全国数字校园实验校和全国国防教育特色校。此次曹妃甸新校区网络的建设本着先进、安全、可靠、高效和可扩展的原则进行建设。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证本校网络建设的领先地位,网络主干设备选用高带宽的、千兆位及万兆位线速路由交换技术。图1-1为校园网网络中心示意图。
1.项目概述
网络建设采用“万兆核心,万兆汇聚,千兆接入”的三层架构,即核心到楼层汇聚为万兆,楼层汇聚到接入层为千兆,同时接入层提供高密度千兆接入,网络设备分布在核心层、汇聚层、接入层和数据中心等。
采用“双核心、双链路”的备份容错互连,构建强壮的网络架构。核心层由两台高性能万兆核心路由交换机,通过万兆链路聚合互连,为学院的教学、科研服务提供强劲的数据转发。汇聚层设备采用万兆汇聚交换机,通过万兆双链路上联至两台核心设备,充分保障新大楼各系统的稳定。同时,通过双千兆链路下联接入层交换机,实现用户的高速接入以及安全控制。
数据中心的服务器区通过两台万兆交换机冗余备份设计,为学院核心业务提供高速、稳定、不间断的数据服务,保障各种服务的正常运行。同时支持多种安全防护机制,全面提升网络系统的抗攻击能力,为学院提供无侵扰的信息环境,保障业务的顺利开展。结合数据中心部署的网络管理系统,确保IT人员能够及时地发现各种网络事件,并进行快速响应和处理,为学院各项业务提供强有力的支持。
2.项目规划
网络设备(表1-2)。
|
序号 |
建筑名称 |
设备类型 |
设备型号 |
数量 |
安装位置 |
|
|---|---|---|---|---|---|---|
|
1 |
行政楼 |
出口交换机 |
CISCO 3750G |
1 |
行政楼三楼机房 |
|
|
2 |
防火墙 |
RG-WALL 1600-X8500 |
2 |
行政楼三楼机房 |
||
|
3 |
路由器 |
RG-RSR50E-40 |
2 |
行政楼三楼机房 |
||
|
4 |
流量控制 |
ACE 2000D |
2 |
行政楼三楼机房 |
||
|
5 |
核心交换机 |
N18010 |
2 |
行政楼三楼机房 |
||
|
6 |
服务器 |
C640 G2 |
2 |
行政楼三楼机房 |
||
|
7 |
城市热点认证计费系统 |
Dr.COM 2166/ E-portal |
1 |
行政楼三楼机房 |
||
|
8 |
日志系统 |
RG-eLog |
1 |
行政楼三楼机房 |
||
|
9 |
行政楼汇聚交换机 |
RG-S5750-24SFP/8GT-E |
1 |
行政楼三楼机房 |
||
|
10 |
接入交换机 |
RG-S2952G-E |
12 |
各个弱电间 |
||
|
11 |
VPN网关 |
利旧 |
1 |
三楼中心机房 |
||
|
12 |
内网防火墙 |
RG-WALL 1600-XI |
1 |
|||
|
13 |
内容加速系统 |
RG-PowerCache X5 |
1 |
|||
|
14 |
WEB安全防护 |
利旧 |
1 |
|||
|
15 |
运维审计系统 |
利旧 |
1 |
|||
|
16 |
1号教学楼(其他楼宇类似略) |
汇聚交换机 |
利旧RG-S8610 |
2台 |
一楼管理间 |
|
|
17 |
接入交换机 |
RG-S2952G-E等 |
12台 |
各个弱电间 |
||
3.IP地址划分
IP地址划分全部采用私网地址172.16.0.0作为学校的内网地址,IP地址大概规划如下:
11-52段分配给图书行政楼和1-7号楼;53-55段分配给图书行政楼电子阅览室;56-85段分配给一号楼的计算机机房;86-115段分配给二号楼的计算机机房;116分配给食堂一卡通,200-220段分配给监控设备管理和互联;228分配给设备互联地址使用,229分配给老师办公室;230-250段用于设备的互联地址;172.17.0.0 B类的私网地址中,148-198段分配给宿舍楼和生活区。
4.VLAN划分(表1-3)
|
序号 |
建筑名称 |
VLAN ID |
备注 |
|---|---|---|---|
|
1 |
图书行政楼 |
11-14 |
图书行政楼终端的业务vlan |
|
2 |
电子阅览室 |
53、54、55 |
电子阅览室的终端业务vlan |
|
3 |
1#教学楼 |
24-28 |
1#教学楼的终端业务vlan |
|
6 |
2#教学楼 |
22-23 |
2#教学楼的终端业务vlan |
|
7 |
3#汽车系 |
29-34 |
3#汽车系终端的业务vlan |
|
8 |
4#自动化系 |
35-40 |
4#自动化系终端的业务vlan |
|
9 |
5#机械工程系 |
41-44 |
5#机械工程系终端的业务vlan |
|
10 |
6#建筑工程系 |
45-48 |
6#建筑工程系终端的业务vlan |
|
11 |
7#管理工程系 |
49-52 |
7#管理工程系终端的业务vlan |
|
12 |
生活区 |
148-198 |
生活区建筑比较多,终端数量也比较多 |
|
13 |
计算机教室1# |
计算机教室1# |
1#教学楼计算机教室 |
|
14 |
计算机教室2# |
计算机教室2# |
2#教学楼计算机教室 |
5.网络实施
(1)物理连接。
项目中所有网络设备的连接按照如下原则进行规划:
A.核心交换机与汇聚交换机采用双万兆光链路连接。
B.汇聚交换机与接入层交换机采用双千兆光链路连接。
C.同一弱电井内的接入层交换机采用堆叠方式连接,使用两个千兆端口级联,根据实际情况进行链路聚合,保证带宽的同时增加链路的可靠性。
(2)设备配置。
学校网络采用标准的三层架构,即:核心层、汇聚层、接入层。核心层采用两台锐捷高端的核心交换机N18010进行虚拟化,既保证了核心的冗余,又提高了整体转发的性能和可靠性。汇聚层交换机数量多达16台,采用锐捷的中高端交换机S5750,汇聚层交换机采用锐捷全千兆的S2928和S2952进行接入层终端的接入。
A.校园网接入层实施。
明确按照工程方案要求配置设备的端口地址、管理地址、VLAN划分等基础配置。在接入层交换机启用STP技术。应用链路聚合技术,不但实现链路带宽的增大,防止拥塞,而且还可以实现负载均衡。
采用风暴控制技术、ARP检测技术和系统防护措施保障骨干区域数据流设备的安全,使用端口安全技术保障接入终端安全。使用访问控制技术实现数据流量的限制。
B.校园网汇聚层实施。
在核心交换机N18010和汇聚交换机上分别配置OSPF协议实现整网络由信息的学习。参与OSPF协议计算的设备只包括核心交换机、路由器和汇聚交换机,汇聚交换机数量有16台。在网络出口路由器使用安全访问控制技术。
C.企业网边缘设计。
配置NAT技术保障,内部用户可以正常访问互联网,并且应用NAT技术将内网的资源发布到互联网,比如WEB服务器、FTP服务器。在网络出口路由器配置安全访问控制技术。
6.网络安全和优化应用
(1)流控设备部署。
RG-ACE流量控制引擎是专门为大型网络出口设计的流控设备,可识别超过1000种网络应用协议,能对单IP进行应用和流量控制,本次项目中,ACE设备采用串联的方式进行部署,下联核心交换机N18010,上联出口路由器,学校中所有访问Internet的流量必须通过ACE设备,通过ACE设备可以灵活对上网用户的上网行为、带宽速率等进行控制。
(2)认证系统。
Dr.COM宽带网络管理计费系统由硬件和软件组成,硬件为Dr.COM 2166 B-RAS,软件包括管理员、操作员、统计员、数据库自动刷新程序、数据库和客户端。硬件是网关型的设备,安装在网络的出口,负责用户的认证、授权和计费,数据采集、实时控制和执行各种网络和计费策略,并将数据传送到后台进行处理,软件是对硬件进行参数设置和状态监控,为用户提供营运平台和数据分析。
认证系统部署方式如图1-2所示:
(3)日志系统。
RG-eLog系统主要用于任何存在锐捷设备的网络中,可以记录出口的设备日志,也可以配合应用控制引擎RG-ACE记录用URL访问日志。与此同时,RG-eLog能够对出口流量进行统计和分析,以提供出口带宽在应用、用户、目的各个维度上的分布,同时提供历史趋势。结合锐捷认证系统,在认证网络中可以实现实名日志。
二、主流网络设备技术背景
(一)OSI参考模型和网络协议
OSI即开放系统互连,它是ISO在网络通信方面所定义的开放系统互连模型,1978年,ISO(国际化标准组织)定义了这样一个开放协议标准。有了这个开放的模型,各网络设备厂商就可以遵照共同的标准来开发网络产品,最终实现彼此兼容。整个OSI模型共分7层,从下往上分别是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,如图1-3所示。
当接收数据时,数据是自下而上传输;当发送数据时,数据是自上而下传输。下面简要介绍这几个层次。
1.物理层
这是整个OSI参考模型的最底层,它的任务就是提供网络的物理连接。所以,物理层是建立在物理介质上(而不是逻辑上的协议和会话)的,它提供的是机械和电气接口。主要包括电缆、物理端口和附属设备,如双绞线、同轴电缆、接线设备(如网卡等)、RJ-45接口、串口和并口等,这些在网络中都是工作在物理层的。
物理层提供的服务包括:物理连接、物理服务数据单元顺序化(接收物理实体收到的比特顺序,与发送物理实体所发送的比特顺序相同)和数据电路标识。
2.数据链路层
数据链路层建立在物理传输能力的基础上,以帧为单位传输数据,它的主要任务就是进行数据封装和数据链接的建立。封装的数据信息中,地址段含有发送节点和接收节点的地址,控制段用来表示数据连接帧的类型,数据段包含实际要传输的数据,差错控制段用来检测传输中帧出现的错误。
数据链路层可使用的协议有SLIP、PPP、X25和帧中继等。常见的集线器和低档的交换机网络设备都是工作在这个层次上,Modem之类的拨号设备也是。工作在这个层次上的交换机俗称“第二层交换机”。
具体来讲,数据链路层的功能包括:数据链路连接的建立与释放、构成数据链路数据单元、数据链路连接的分裂、定界与同步、顺序和流量控制和差错的检测和恢复等方面。
3.网络层
网络层属于OSI中的较高层次了,从它的名字可以看出,它解决的是网络与网络之间,即网际的通信问题,而不是同一网段内部的问题。网络层的主要功能是提供路由,即选择到达目标主机的最佳路径,并沿该路径传送数据包。除此之外,网络层还要具备能够消除网络拥挤、具有流量控制和拥挤控制的能力。网络边界中的路由器就工作在这个层次上,现在较高档的交换机也可直接工作在这个层次上,因此它们也提供了路由功能,俗称“第三层交换机”。
网络层的功能包括:建立和拆除网络连接、路径选择和中继、网络连接多路复用、分段和组块、服务选择、传输和流量控制。
4.传输层
传输层解决的是数据在网络之间的传输质量问题,它属于较高层次。传输层用于提高网络层服务质量,提供可靠的端到端的数据传输,如常说的QoS就是这一层的主要服务。这一层主要涉及的是网络传输协议,它提供的是一套网络数据传输标准,如TCP协议。
传输层的功能包括:映像传输地址到网络地址、多路复用与分割、传输连接的建立与释放、分段与重新组装、组块与分块。
根据传输层所提供服务的主要性质,传输层服务可分为以下三大类:
A类:网络连接具有可接受的差错率和可接受的故障通知率,A类服务是可靠的网络服务,一般指虚电路服务。
B类:网络连接具有可接受的差错率和不可接受的故障通知率,B类服务介于A类与C类之间,在广域网和互联网多是提供B类服务。
C类:网络连接具有不可接受的差错率,C类的服务质量最差,提供数据报服务或无线电分组交换网均属此类。
5.会话层
会话层利用传输层来提供会话服务,会话可能是一个用户通过网络登录到一个主机,或一个正在建立的用于传输文件的会话。
会话层的功能主要有:会话连接到传输连接的映射、数据传送、会话连接的恢复和释放、会话管理、令牌管理和活动管理。
6.表示层
表示层用于数据管理的表示方式,如用于文本文件的ASCII和EBCDIC,用于数字的1S或2S补码表示形式。如果通信双方用不同的数据表示方法,他们就不能互相理解。表示层就是用于屏蔽这种不同之处。
表示层的功能主要有:数据语法转换、语法表示、表示连接管理、数据加密和数据压缩。
7.应用层
这是OSI参考模型的最高层,它解决的也是最高层次,即程序应用过程中的问题,它直接面对用户的具体应用。应用层包含用户应用程序执行通信任务所需要的协议和功能,如电子邮件和文件传输等,在这一层中,TCP/IP协议中的FTP、SMTP、POP等协议得到了充分应用。
8.网络协议
目前网络协议有许多种,但是最基本的协议是TCP/IP协议,许多协议都是它的子协议。TCP/IP协议包括两个子协议:一个是TCP协议(Transmission Control Protocol,传输控制协议),另一个是IP协议(Internet Protocol,互联网协议),它起源于20世纪60年代末。
在TCP/IP协议中,TCP协议和IP协议各有分工。TCP协议是IP协议的高层协议,TCP在IP之上提供了一个可靠的连接方式的协议。TCP协议能保证数据包的传输以及正确的传输顺序,并且它可以确认包头和包内数据的准确性。如果在传输期间出现丢包或错包的情况,TCP负责重新传输出错的包,这样的可靠性使得TCP/IP协议在会话式传输中得到充分应用。IP协议为TCP/IP协议集中的其他所有协议提供“包传输”功能,IP协议为计算机上的数据提供一个最有效的无连接传输系统,也就是说IP包不能保证到达目的地,接收方也不能保证按顺序收到IP包,它仅能确认IP包头的完整性。最终确认包是否到达目的地,还要依靠TCP协议,因为TCP协议是有连接服务的。
(二)网络传输介质互联设备
1.双绞线
双绞线是由两条相互绝缘的导线按照一定的规则互相缠绕(一般以逆时针缠绕)在一起而制成的一种通用配线,属于信息通信网络传输介质,图1-4为双绞线示意图。双绞线过去主要是用来传输模拟信号的,但现在同样适用于数字信号的传输。
双绞线按电气性能划分的话,通常分为三类、四类、五类、超五类、六类、七类双绞线等类型,数字越大、版本越新、技术越先进、带宽也越宽,当然价格也越贵。目前,在一般局域网中常见的是五类、超五类或者六类非屏蔽双绞线。
双绞线作为一种价格低廉、性能优良的传输介质,在综合布线系统中被广泛应用于水平布线。双绞线价格低廉、连接可靠、维护简单,可提供高达1000Mbps的传输带宽,不仅可用于数据传输,而且还可以用于语音和多媒体传输。目前的超五类和六类非屏蔽双绞线可以轻松提供155Mbps的通信带宽,并拥有升级至千兆的带宽潜力,因此,成为当今水平布线的首选线缆。
在选择网线时需要注意一点的就是线序问题,我们常见的网线也主要分两种,一种是直通线,另一种是交叉线。一般来说,直通线用于交换机连接路由器,交换机连接PC机;而交叉线则用于交换机连接交换机、路由器连接路由器、PC机连接PC机以及路由器连接PC机。不过现在生产网络设备的厂商研发了一种叫作线序自适应的功能,或者叫智能MDI/MDIX技术。通过这个功能可以自动检测连接到自己接口上的网线类型,能够自动进行调节。于是我们不需要知道电缆另一端为MDI还是MDIX设备,两种电缆(普通、交叉)都可连接交换机、集线器或NIC设备,消除由于电缆配错引起的连接错误,简化10/100M网络安装维护,降低开销。
2.光 纤
光纤是光导纤维的简写,是一种利用光在玻璃或塑料制成的纤维中的全反射原理而达成的光传导工具。前香港中文大学校长高锟和George A. Hockham首先提出光纤可以用于通信传输的设想,高锟因此获得2009年诺贝尔物理学奖。如图1-5所示为光纤外形。
光纤中心是光传播的玻璃芯,芯外面包围着一层折射率比芯低的玻璃封套,以使光纤保持在芯内。再外面的是一层薄的塑料外套,用来保护封套。如图1-6所示。
光纤分为单模光纤和多模光纤。单模光纤是指在工作波长中只能传输一个传播模式的光纤,通常简称为单模光纤。目前,在有线电视和光通信中,单模光纤是应用最广泛的光纤。单模光纤只有单一的传播路径,一般用于长距离传输,中心纤芯很细(芯径一般为9 或10μm),只能传一种模式的光。因此,其模间色散很小,适用于远程通信。单模光纤多用于传输距离长、传输速率相对较高的线路中,如长途干线传输、城域网建设等。按照国际电信联盟的定义,单模光纤分为:
G.652光纤──非色散位移单模光纤,或简称标准单模光纤。
G.653光纤──色散位移单模光纤。
G.654光纤──截止波长单模光纤。
G.655光纤──非零色散单模光纤。
G.656光纤──宽带光传输用的非零色散位移单模光纤。
G.657光纤──接入网用抗弯损耗单模光纤。
多模光纤一般纤芯较粗(50或62.5μm),由于光纤的几何尺寸(主要是纤芯直径d1)远远大于光波波长(约1微米),光纤中会存在着几十种乃至几百种传播模式。同时因为其模间色散较大,限制了传输频率,而且随距离的增加会更加严重。根据以上特点,多模光纤多用于传输速率相对较低、传输距离相对较短的网络中,如局域网等,这类网络通常具有节点多、接头多、弯路多,而且连接器、耦合器的数量多,单位光纤长度使用的有源设备多等特点,使用多模光纤可以降低网络成本。依照应用,多模光纤主要分为3类:OM1、OM2和OM3光纤。单模光纤和多模光纤的区别如图1-7所示。
3.常见网络介质型号
下面列出了一些常见的网络介质型号,大家可以参考学习,如表1-4所示。
|
传输速率 |
网络标准 |
物理接口标准 |
传输介质 |
传输距离 |
备注 |
|---|---|---|---|---|---|
|
10Mbps |
802.3 |
10Base2 |
细同轴电缆 |
185 |
已退出市场 |
|
10Base5 |
粗同轴电缆 |
500 |
已退出市场 |
||
|
802.3i |
10Base-T |
3类双绞线 |
100 |
|
|
|
802.3j |
10 Base-F |
光纤 |
2000 |
|
|
|
100Mbps |
802.3u |
100Base-T4 |
3类双绞线 |
100 |
使用4个线对 |
|
100Base-TX |
5类双绞线 |
100 |
用12、36线对 |
||
|
100Base-FX |
光纤 |
2000 |
|
||
|
1GMbps |
802.3ab |
1000Base-T |
5类以上双绞线 |
100 |
每对线缆既接收又发送 |
|
TIA/EIA-854 |
1000Base-TX |
6类以上双绞线 |
100 |
2对发送,2对接收 |
|
|
802.3z |
1000Base-SX |
62.5μm多模光纤/短波850nm/带宽160MHz·KM |
220 |
|
|
|
1000Base-SX |
62.5μm多模光纤/短波850nm/带宽200MHz·KM |
275 |
|
||
|
1000Base-SX |
50μm多模光纤/短波850nm/带宽400MHz·KM |
500 |
|
||
|
1000Base-SX |
50μm多模光纤/短波850nm/带宽500MHz·KM |
550 |
|
||
|
1000Base-LX |
多模光纤/长波1300 nm |
550 |
|
||
|
1000Base-LX |
单模光纤 |
5000 |
|
||
|
1000Base-CX |
150Ω 平衡屏蔽双绞线(STP) |
25 |
适用于机房中短距离连接 |
||
|
10GMbps |
802.3ae |
10Gbase-SR |
62.5μm多模光纤/850nm |
26 |
|
|
10Gbase-SR |
50μm多模光纤/850nm |
65 |
|
||
|
10Gbase-LR |
9μm单模光纤/1310 nm |
10000 |
|
||
|
10Gbase-ER |
9μm单模光纤/1550 nm |
40000 |
|
||
|
10GBASE-LX4 |
9μm单模光纤/1310 nm |
10000 |
WDM波分复用 |
||
|
10Gbase-SW |
62.5μm多模光纤/850nm |
26 |
物理层为WAN |
||
|
10Gbase-SW |
50μm多模光纤/850nm |
65 |
物理层为WAN |
||
|
10Gbase-LW |
9μm单模光纤/1310 nm |
10000 |
物理层为WAN |
||
|
10Gbase-EW |
9μm单模光纤/1550 nm |
40000 |
物理层为WAN |
||
|
802.3ak |
10GBase-CX4 |
同轴铜缆 |
15 |
|
|
|
802.3an |
10GBase-T |
6类双绞线 |
55 |
使用4个线对 |
|
|
6A类以上双绞线 |
100 |
使用4个线对 |
(三)物理层互联设备
物理层位于OSI参考模型的最底层,它直接面向实际承担数据传输的物理媒体。物理层的传输单位为“比特”。物理层是指在物理媒体之上为数据链路层提供一个原始比特流的物理连接。物理层协议规定了与建立、维持及断开物理信道所需的机械的、电气的、功能性的和规程性的特性,其作用是确保比特流在物理信道上传输。该层包括物理联网媒介,除了电缆连线、连接器外,还有一个很常见的设备──集线器。
集线器的英文名称就是我们通常见到的“HUB”,英文“HUB”是“中心”的意思,集线器的主要功能是对接收到的信号进行再生、整形、放大,以扩大网络的传输距离。集线器是中继器的一种,其区别仅在于集线器能够提供更多的端口服务,所以集线器又叫多口中继器。集线器主要以优化网络布线结构、简化网络管理为目标而设计。集线器是对网络进行集中管理的最小单元,像树的主干一样,它是各分枝的汇集点。常见到的集线器如图1-8所示,其外部结构比较简单。集线器的功能是负责在两个节点的物理层上按比特传递信息,完成信号的整形、放大和复制功能,以此来延长网络的长度。
以集线器为节点中心的优点是:当网络系统中某条线路或某节点出现故障时,不会影响网上其他节点的正常工作,这就是集线器刚推出时与传统的总线网络的最大的区别和优点,因为它提供了多通道通信,大大提高了网络通信速度。
然而,随着网络技术的发展,集线器的缺点越来越突出,后来出现了一种技术更先进的数据交换设备。交换机逐渐取代了部分集线器的高端应用。集线器的主要不足体现在如下几个方面:
1.用户带宽共享,带宽受限
集线器的每个端口并没有独立的带宽,而是所有端口共享总的背板带宽,用户端口带宽较窄,且随着集线器所接用户的增多,用户的平均带宽不断减少,不能满足当今许多对网络带宽有严格要求的网络应用,如多媒体、流媒体应用等环境。
2.广播方式,易造成网络风暴
集线器是一个共享设备,它的主要功能只是一个信号放大和中转的设备,不具备自动寻址能力,即不具备交换作用,所有传到集线器的数据均被广播到与之相连的各个端口,容易形成网络风暴,造成网络堵塞。
3.非双工传输,网络通信效率低
集线器的每一个端口同一时刻只能进行一个方向的数据通信,而不能像交换机那样进行双向双工传输,网络执行效率低,不能满足较大型网络的通信需求。
正因如此,尽管集线器技术也在不断改进,但实质上就是加入了一些交换机技术,目前集线器与交换机的区别越来越模糊了。随着交换机价格的不断下降,集线器仅有的价格优势已不再明显,集线器的市场越来越小,处于淘汰的边缘。尽管如此,集线器对于家庭或者小型企业来说,在性价比上还是有一点优势的,尤其是仅有几台计算机的小型网络中。
(四)数据链路层互联设备
1.网络适配器
网络适配器又称网卡或网络接口卡,英文名为“Network Interface Card”,如图1-9所示。网络适配器的内核是链路层控制器,该控制器通常是实现了许多链路层服务的单个特定目的的芯片,这些服务包括成帧、链路接入、流量控制、差错检测等。网络适配器是使计算机联网的设备,平常所说的网卡就是将PC机和LAN连接的网络适配器。网卡插在计算机主板插槽中,负责将用户要传递的数据转换为网络上其他设备能够识别的格式,通过网络介质传输。
网卡虽然有很多种,不过有一点是一致的,那就是每块网卡都有一个世界上唯一的ID号,也叫作MAC(Media Access Control)地址。MAC地址被烧录于网卡的ROM中,就像是我们每个人的遗传基因密码DNA一样,即使在全世界范围内也绝对不会重复。MAC地址用于在网络中标识电脑的身份,实现网络中不同电脑之间的通信和信息交换。
目前,以太网网卡有10M、100M、10M/100M及千兆网卡。对于大数据量的网络来说,服务器应该采用千兆以太网网卡,这种网卡多用于服务器与交换机之间的连接,以提高整体系统的响应速率。而10M、100M和10M/100M网卡则属于购买率高且常用的网络设备,这三种产品的价格相差不大。所谓10M/100M自适应是指网卡可以与远端网络设备(集线器或交换机)自动协商,确定当前的可用速率是10M还是100M。
网卡的主要作用是:首先它是主机与介质的桥梁设备,其次它实现了主机与介质之间的电信号匹配,最后它提供了数据缓冲能力和控制数据传送的能力。
2.以太网交换机
以太网交换机是一种具有简化、低价、高性能和高端口密集特点的网络产品,如图1-10所示。二层交换机属于数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中, 该地址表称为MAC地址表。
(1)交换机的工作原理。
MAC地址表记录了端口下包含连接主机的MAC地址。MAC地址表是交换机上电后自动建立的,保存在RAM中,并且自动维护。交换机的工作原理如下:
A.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。
B.交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。
C.如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发,这一过程称为泛洪(flood)。
D.广播帧和组播帧向所有的端口转发。
(2)交换机的三种转发方式。
交换机数据包转发方式有以下三种:
A.直通式(Cut Through)处理过程。
在输入端口检测到一个数据包后,只检查其包头,取出目的地址,通过内部的地址表确定相应的输出端口,然后把数据包转发到输出端口.这样就完成了交换。因为它只检查数据包的包头(通常只检查14个字节),直通方式的以太网交换机可以理解为是在各端口间是纵横交叉的线路矩阵电话交换机。它在输入端口检测到一个数据包时,检查该包的包头,获取包的目的地址,启动内部的动态查找表转换成相应的输出端口,在输入与输出交叉处接通,把数据包直通到相应的端口,实现交换功能。由于不需要存储,延迟非常小,交换非常快,这是它的优点。它的缺点是,因为数据包内容并没有被以太网交换机保存下来,所以无法检查所传送的数据包是否有误,不能提供错误检测能力。由于没有缓存,不能将具有不同速率的输入/输出端口直接接通,而且容易丢包。
B.存储转发式(Store and Forward)处理过程。
存储转发是计算机网络领域使用得最为广泛的技术之一,在这种工作方式下.交换机的控制器先缓存输入到端口的数据包,然后进行CRC校验,滤掉不正确的帧,确认包正确后,取出目的地址,通过内部的地址表确定相应的输出端口,然后把数据包转发到输出端口。存储转发方式在数据处理时延时大,这是它的不足,但是它可以对进入交换机的数据包进行错误检测,有效地改善网络性能。尤其重要的是,它可以支持不同速度的端口间的转换,保持高速端口与低速端口间的协同工作。
C.无碎片直通式(Fragment Free Through)过程。
它是介于直通式和存储转发式之间的一种解决方案,它检查数据包的长度是否够64 Bytes(512bit),如果小于64 Bytes,说明该包是碎片(即在信息发送过程中由于冲突而产生的残缺不全的帧),则丢弃该包,如果大于64 Bytes,则发送该包。该方式的数据处理速度比存储转发方式快,但比直通式慢。
(3)交换机互连方式。
交换机的互联方式主要有两种:级联方式和堆叠方式。
A.级联。
级联方式是指交换机之间利用以太网接口连接起来。它的作用是扩展网络范围。缺点是容易造成单链路带宽瓶颈,网络延时比较大。
B.堆叠。
堆叠方式是指交换机之间通过堆叠线缆将交换机的背板连接起来。堆叠方式可以大大提高交换机端口密度和性能。在堆叠距离上,交换机支持本地堆叠和远程堆叠,本地堆叠和远程堆叠是两个相对的概念,由于早期交换机堆叠一般采用专用的堆叠线缆,这种线缆长度较短,一般只有几米,所以参与堆叠的交换机只能安装在同一机柜或相邻机柜中,相对距离很近,称之为本地堆叠。随着堆叠技术的发展,堆叠不但可以使用专用的堆叠线缆,还可以使用普通的数据电缆和光纤,极大地扩展了堆叠设备之间的距离,从几米延长到了几十米、几公里甚至几十公里,实现了跨机房、跨楼宇、跨地域的远距离堆叠,这种堆叠设备之间距离相对较远的堆叠方式称之为远程堆叠。堆叠方式还有延时小、方便统一管理的优点。如今,不同交换机品牌都有自己的堆叠方式,如图1-11和图1-12分别为锐捷交换机菊花链式堆叠和主从式堆叠。
(4)交换机的特点。
交换机的每一个端口所连接的网段都是一个独立的冲突域。交换机所连接的设备仍然在同一个广播域内,也就是说,交换机不隔绝广播(唯一的例外是在配有VLAN的环境中)。交换机依据帧头的信息进行转发,因此说,交换机是工作在数据链路层的网络设备(此处所述交换机仅指传统的二层交换设备)。
(五)网络层互联设备
选择将数据包发往某个目标网段或主机的路径就是路由的过程。而路由器(Router)是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。 路由器是互联网络的枢纽。目前路由器已经广泛应用于各行各业,各种不同档次的路由器产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换之间的主要区别就是交换发生在OSI参考模型第二层(数据链路层),而路由发生在第三层,即网络层。这一区别决定了路由和交换在移动信息的过程中需使用不同的控制信息,所以两者实现各自功能的方式是不同的。
1.路由器的作用
路由器的作用是实现不同IP网段主机或者不同通信协议网段主机间的相互访问。同时选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。而且路由器不转发广播数据包,可以起到隔离广播域的作用。
2.路由器转发数据过程
路由器转发数据是通过查找路由表完成的,如图1-13所示,具体工作如下:
(1)路由器从接口收到数据包,读取数据包里的目的IP地址。
(2)根据目的IP地址信息查找路由表进行匹配。
(3)匹配成功后,按照路由表中转发信息进行转发。
(4)匹配失败,将数据包丢弃,并向源发送方返回错误信息报文。
3.路由表的产生方式
路由表的产生主要有三种方式:直连路由、静态路由和动态路由。
(1)直连路由:路由器会自动生成本路由器激活端口所在网段的路由条目。
(2)静态路由:在简单拓扑结构的网络里,网络管理员手动输入路由条目。
(3)动态路由:动态路由协议学习到的路由,在大型网络环境下,依靠路由协议比如OSPF、RIP路由协议学习。
4.路由器接口
路由器作为网络之间的互联设备,因其连接的网络多种多样,所以其接口类型也很多。以锐捷路由器为例,它支持多种接口类型,主要包含:E1、ISDN、VOIP、V35、异步接口类型。
(1)E1接口及应用。
E1接口(如图1-14所示)在路由器这一端的表现形式主要是DB9接口,而在另一端DCE设备(比如光纤转换器、接口转换器、协议转换器、光端机等)一端的接口表现形式有两种:G.703非平衡的75ohm,平衡的120ohm。它将整个2M用作一条链路,如DDN 2M;它将2M用作若干个64k及其组合,如128K,256K等,如CE1;它用作语音交换机的数字中继,这也是E1最本来的用法,一条E1可以传30路话音。PRI就是其中最常用的一种接入方式。
(2)V35接口类型及应用。
V35接口(如图1-15所示)在路由器一端为DB50接口,外接网络端为34针接口。V35电缆用于同步方式传输数据,在接口上封装x.25、帧中继、ppp、slip、lapb等链路层协议,支持IP、IPX网络层协议。V35电缆传输(同步方式下)的公认最高速率是2mbps,传输距离与传输速率有关,在V35接口上速率与接口的关系是:2400bps-1250m;4800bps-625m;9600bps-312m; 19200bps-156m;38400bps-78m;56000bps-60m;64000bps-50m;2048000bps-30m。V35接口的使用既广泛又很单一,在所有的低速同步线路(64K-128K)的线路上都使用它。
(3)异步接口类型及应用。
异步接口线路(如图1-16所示)都遵循EIA指定的标准,最传统和典型的异步接口是RS-232。目前在路由器上应用的接口类型有RS-232、DB-25、DB-9、RJ-45等。
(4)ISDN接口及应用。
ISDN设备(如图1-17所示)包括交换机和网络终端设备。网络终端设备(NT)有ISDN小交换机、ISDN适配器、ISDN路由器、数字电话机等,一个数字电话机占用一个B信道。它安装于用户处,分为NT1和NT2两种,它使数字信号在普通电话线上转送和接收。
我国电话局提供的ISDN基群速率接口(PRI)为30B+D。ISDN的PRI提供30个B信道和1个64Kbps的D信道,总速率可达2.048Mbps。B信道速率为64Kbps,用于传输用户数据,D信道主要传输控制信令。我国ISDN使用拨号方式建立与ISP的连接,它可作为DDN或帧中继线路的备用。由于采用与电话网络不同的交换设备,ISDN用户与电信局间的连接采用数字信号,因而ISDN的信道建立时间很短、线路通信质量较好、误码率和重传率低。
ISDN主要在ADSL普及之前做单纯的上网线路;作为广域网络主线路的备份线路,由于这种线路在不使用的时候产生的费用很少,备份主线路时速度快、稳定性高,因此很容易被用户所接受;ISDN可作为普通电话使用,虽然它是一种数字电子线路,但其传输的网络介质同样是公共电话网,所以在用户不上网时,可以把它作为普通电话使用。
(5)VOIP接口及应用。
从呼叫方到接收方,传统语音(如图1-18所示)完全通过PSTN网络相互连接,VOIP语音则与此不同,IP语音位于公用电话网与提供传输服务的IP网络的接口处,用户拨打VOIP电话时,经程控电话交换机转接到IP语音网关,再由IP语音网关将用户话路数据转发到IP网络,通过IP网络达到被呼叫用户电话所属的IP网关,再由该网关将数据转到被叫用户电话所在的PSTN网络上,最终达到被叫用户的电话,因此可利用IP网络共享带宽,充分利用资源的优势。
VOIP的语音接口共有两种型号:FXO、FXS。FXO是一种不给它所连接的设备进行供电的接口,因此多用来接ISP的中继线路。FXS是可以给它所连接的线路进行信号和供电的传输的接口,因此可以直接连接到传真机或者电话机上。在所有存在IP网络的地方,只要在路由器上安装了相应的语音模块,都可以使用VOIP。
5.三层交换机
在第三层网络设备中,除了路由器还有一个很重要的设备──三层交换机,在逻辑上,三层交换和路由是等同的,如图1-19所示。三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这个目的服务的,能够做到一次路由、多次转发。对于数据包转发等规律性的过程由硬件高速实现,而路由信息更新、路由表维护、路由计算、路由确定等功能由软件实现。三层交换技术就是二层交换技术加三层转发技术。传统交换技术是在OSI网络标准模型第二层──数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发,既可实现网络路由功能,又可根据不同网络状况做到最优网络性能。
在典型园域网中,一般会将三层交换机用在网络的核心层和汇聚层,用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。不过,三层交换机出现的最重要的目的是加快大型局域网内部的数据交换,所具备的路由功能也多是围绕这一目的而展开的,所以它的路由功能没有同一档次的专业路由器强,毕竟在安全、协议支持等方面还有许多欠缺,并不能完全取代路由器的工作。
(六)应用层互联设备
1.防火墙
所谓防火墙,指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件,该计算机流入和流出的所有网络通信均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
(1)防火墙的作用。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
一方面阻止来自因特网的对受保护网络的未授权或未验证的访问,另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。
防火墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定的人访问因特网。
(2)防火墙的特点。
A.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时才可以全面、有效地保护企业网内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如图1-20所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
B.只有符合安全策略的数据流才能通过防火墙。
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
C.防火墙自身应具有非常强的抗攻击免疫力。
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领,防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
目前的防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、山石网科、网御神州、锐捷、联想、方正等,它们都提供不同级别的防火墙产品。
2.IDS/IPS
(1)IDS──入侵检测系统。
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必然流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源和尽可能靠近受保护资源位置。这些位置通常是服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。入侵检测系统的部署方式如图1-21所示。
(2)IPS──入侵防御系统。
IPS(入侵防御系统)是新一代的入侵检测系统(IDS),可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点。IPS能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其他的网络设备,以减轻该事件的风险。
IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理IPS的控制台。如同IDS中一样,IPS中也需要降低假阳性或假阴性,它通常使用更为先进的入侵检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的入侵检测技术,如基于签名的检测和异常检测。
同入侵检测系统(IDS)一样,IPS系统分为基于主机和网络两种类型。
基于主机的IPS依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序,使之能够避免那些还不存在签名的、普通的攻击。
基于网络的IPS综合了标准IDS的功能,IDS是IPS与防火墙的混合体,并可被称为嵌入式 IDS 或网关IDS(GIDS)。基于网络的 IPS设备只能阻止通过该设备的恶意信息流。为了提高IPS设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:
指定的网络领域中,需要高度的安全和保护,或该网络领域中存在极可能发生的内部爆发配置地址时能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。入侵防御系统的部署方式如图1-22所示。
三、任务实施 网络线缆施工与测试
任务目的了解双绞线每根线的作用及与布线有关的标准,具备双绞线制作的能力,具备使用网络线缆测试仪测试线缆的能力。
技术原理每条双绞线中都有8根导线,导线的排列顺序必须遵循一定的规律,否则就会导致链路的连通性故障,或影响网络传输速率。1985年初,计算机工业协会(CCIA)提出对大楼布线系统标准化的倡仪,美国电子工业协会(EIA)和美国电信工业协会(TIA)开始标准化制定工作。1991年7月,ANSI/EIA/TIA568即《商业大楼电信布线标准》问世。1995年底,EIA/TIA的布线标准中规定了双绞线的制作方式有两种国际标准,分别为EIA/TIA568A以及EIA/TIA568B。而双绞线的连接方法也主要有两种,分别为直通线缆以及交叉线缆。简单地说,直通线缆就是水晶头两端都同时采用T568A标准或者T568B的接法,而交叉线缆则是水晶头一端采用T586A的标准制作,而另一端则采用T568B标准制作。T568A和T568B标准描述的线序如图1-23所示。
任务设备RJ45压线钳一把、超5类双绞线若干、测线仪一个、水晶头几个。
任务步骤1用双绞线网线钳把双绞线的一端剪齐,然后把剪齐的一端插入到网线钳,用于剥线的缺口中。顶住网线钳后面的挡位以后,稍微握紧网线钳慢慢旋转一圈,让刀口划开双绞线的保护胶皮并剥除外皮,如图1-24所示。
2剥除外包皮后会看到双绞线的4对芯线,用户可以看到每对芯线的颜色各不相同。将绞在一起的芯线分开,按照橙白、橙、绿白、蓝、蓝白、绿、棕白、棕的颜色一字排列,并用网线钳将线的顶端剪齐,如图1-25所示。
3使RJ-45插头的弹簧卡朝下,然后将正确排列的双绞线插入RJ-45插头中。在插的时候一定要将各条芯线都插到底部。由于RJ-45插头是透明的,因此可以观察到每条芯线插入的位置,如图1-26所示。
4将插入双绞线的RJ-45插头插入网线钳的压线插槽中,用力压下网线钳的手柄,使RJ-45插头的针脚都能接触到双绞线的芯线,如图1-27所示。
5完成双绞线一端的制作工作后,按照相同的方法制作另一端即可。注意双绞线两端的芯线排列顺序要完全一致。
6在完成双绞线的制作后,建议使用网线测试仪对网线进行测试。将双绞线的两端分别插入网线测试仪的RJ-45接口,并接通测试仪电源。如果测试仪上的8个绿色指示灯都顺利闪过,说明制作成功。如果其中某个指示灯未闪烁,则说明插头中存在断路或者接触不良的现象。此时应再次对网线两端的RJ-45插头用力压一次并重新测试,如果依然不能通过测试,只能重新制作。
若连接不正常,显示情况如下:
(1)当有一根导线断路,则主测试仪和远程测试端对应线号的灯都不亮。
(2)当有几条导线断路,则相对应的几条线都不亮,当导线少于2根线联通时,灯全不亮。
(3)当两头网线乱序,则与主测试仪端连通的远程测试端的线号亮。
(4)当导线有2根短路时,则主测试器显示不变,而远程测试端显示短路的两根线灯都亮。若有3根以上(含3根)线短路时,则所有短路的几条线对应的灯都不亮。
(5)如果出现红灯或黄灯,就说明存在接触不良等现象,此时最好先用压线钳压制两端水晶头一次,再测,如果故障依旧存在,就得检查一下芯线的排列顺序是否正确。如果芯线顺序错误,那么就应重新进行制作。
注意事项如果测试的线缆为直通线缆,测试仪上的8个指示灯应该依次闪烁。如果线缆为交叉线缆,其中一侧同样是依次闪烁,而另一侧则会按3、6、1、4、5、2、7、8的顺序闪烁。如果芯线顺序一样,但测试仪仍显示红色灯或黄色灯,则表明其中肯定存在对应芯线接触不好的情况,此时就需要重做水晶头了。
