局域网
局域网(local area netword;LAN)一种覆盖一座或几座大楼、一个校园或者一个厂区等地理区域的小范围的计算机网络(功能定义);
就LAN的技术定为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。
与广域网区别
广域网(WAN),就是我们通常所说的Internet,它是一个遍及全世界的网络。局域网(LAN),相对于广域网(WAN)而言,主要是指在小范围内的计算机互联网络。这个“小范围”可以是一个家庭,一所学校,一家公司,或者是一个政府部门。BT中常常提到的公网、外网,即广域网(WAN);BT中常常提到私网、内网,即局域网(LAN)。
广域网上的每一台电脑(或其他网络设备)都有一个或多个广域网IP地址(或者说公网、外网IP地址),广域网IP地址一般要到ISP处交费之后才能申请到,广域网IP地址不能重复;局域网(LAN)上的每一台电脑(或其他网络设备)都有一个或多个局域网IP地址(或者说私网、内网IP地址),局域网IP地址是局域网内部分配的,不同局域网的IP地址可以重复,不会相互影响。
广域网(WAN、公网、外网)与局域网(LAN、私网、内网)电脑交换数据要通过路由器或网关的NAT(网络地址转换)进行。一般说来,局域网(LAN、私网、内网)内电脑发起的对外连接请求,路由器或网关都不会加以阻拦,但来自广域网对局域网内电脑连接的请求,路由器或网关在绝大多数情况下都会进行拦截。无线局域网WLAN(Wireless Local Area Network)
计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多,实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,限制了用户联网。
WLAN就是解决有线网络以上问题而出现的。WLAN利用电磁波在空气中发送和接受数据,而无需线缆介质。WLAN的数据传输速率现在已经能够达到最高450Mbps,传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便的解决以有线方式不易实现的网络联通问题。
局域网安全
简介
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
当前,局域网安全的解决办法有以下几种:
网络分段
网络分段通常被认
为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DEC MultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普遍采用的DECMultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch PortAnalyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。
局域网常见故障及排除方法
1.网络不通
这是最常见的问题,解决问题的基本原则是先软后硬。
(1)先从软件方面去考虑,检查是否正确安装了TCP/IP协议,是否为局域网中的每台计
算机都指定了正确的IP地址。
(2)使用Ping命令,看其他的计算机是否能够Ping通。如果不通,则证明网络[1]连接有问
题;如果能够Ping通但是有时候丢失数据包,则证明网络传输有阻塞,或者说是网络设备接
触不大好,需要检查网络设备。
(3)当整个网络都不通时,可能是交换机或集线器的问题,要看交换机或集线器是否在
正常工作。
(4)如果只有一台电脑网络不通,即打开这台电脑的“网络邻居”时只能看到本地计算
机,而看不到其他计算机,可能是网卡和交换机的连接有问题,则要首先看一下RJ-45水晶
头是不是接触不良。然后再用测线仪,测试一下线路是否断裂。最后要检查一下交换机上的
端口是否正常工作。
2.连接故障
(1)检查RJ45接口是否制作好,RJ45是10BASE-T网络标准中的接口形式,现在被广
泛使用,其内部有8个线槽,线槽含义遵循EIA/TIA568国际标准,在10BASE-T网络中1、
2线为发送线,3、6线为接收线。在双机进行连接的时候,其中的1、3、2、6线需要对调。
否则也会造成网络的不通。
(2)检查HUB或者交换机的接头是否有问题,如果某个接口有问题,可以换一个接口来
测试。
3.网卡故障
(1)网卡的问题不太明显,所以在测试的时候最好是先测试网线,再测试网卡,如果有
条件的话,可以使用测线仪或者万用表进行测试。
(2)查看网卡是否正确安装驱动程序,如果没有安装驱动程序,或者驱动程序有问题,
则需要重新安装驱动程序。
(3)硬件冲突。需要查看与什么硬件冲突,然后修改对应的中断号和I/O地址来避免冲
突,有些网卡还需要在CMOS中进行设置。
4.病毒故障
互联网上有许多能够攻击局域网的病毒,如红色代码、蓝色代码、尼姆达等。某些病毒
除了使计算机运行变慢,还可以阻塞网络,造成网络塞车。对付这些新病毒,大多数病毒厂
商,例如瑞星,KV3000等都在其主页上设有对付的办法。在这里一定要注意,不要按照平
常的杀毒办法杀毒,必须对杀毒软件进行定时的升级。
