《网络技术课程设计报告创新楼404宿舍网络设计方案.doc》由会员分享,可在线阅读,更多相关《网络技术课程设计报告创新楼404宿舍网络设计方案.doc(46页珍藏版)》请在三一办公上搜索。
1、福建信息职业技术学院实务(论文)论文题目: 宿舍网络设计 系 别:软件系 专 业:网络技术 班 级: 学 号:学生姓名: 指导教师: 目录1、项目背景31.1 工程项目名称与概况31.2 宿舍物理布局31.3 接入设备32、关键技术分析32.1网络通信协议42.1.1 高层网络协议42.1.2 低层传输协议52.2 网络规划82.3 DNS92.4 DHCP102.5 无线组网技术122.6 网络安全142.7 关键设备172.7.1、路由器172.7.2、交换机182.7.3、服务器223、常见宿舍网络模型比较233.1广域网接入:233.1.1 IPS LAN宽带接入233.1.2 ADS
2、L接入243.1.3 有线通接入243.2局域网接入243.2.1 纯有线模式243.2.2 纯无线模式243.2.3有线+无线混合模式244、设计内容244.1 需求分析254.1.1宿舍网出口254.1.2无线接入254.1.3带宽管理254.2设计原则254.2.1、标准化及规范化254.2.2、先进性与成熟性254.2.3、安全性与可靠性254.2.4、可管理性及可维护性264.2.5、灵活性及可扩充性264.2.6、实用性264.2.7、优化性能价格比264.3系统实现264.3.1网络拓扑图264.3.2联网技术284.3.3网络的基本组成284.3.4网络子网规划294.3.5设
3、备选择与配置304.3.6网络实施394.3.7安全措施394.3.8网络故障434.3.9项目预算44 创新楼404宿舍网络设计方案1、项目背景1.1 工程项目名称与概况 工程名称:xxx职业技术学院创新楼宿舍网络工程。 建设地点: 工程概况:xxx职业技术学院创新楼宿舍网络的建设是为了满足学生宿舍的教学和管理的需要而进行的,为学生连接因特网和教学、管理向网络化过渡提供坚实的基础。 要求工期:2010年12月29日至2010年12月31日。1.2 宿舍物理布局工程项目设计主要涉及到创新楼404宿舍内部的网络结构敷设,其整体为一个套间结构;内部由1个大厅、东、西各1个卧室以及1个洗手间组成;其
4、中,东、西卧室每间8个学生床位,里面没有配置电脑放置空间。平面图见图1-1创新楼404宿舍。1.3 接入设备工程项目中,创新楼宿舍目前共有台式电脑3台,笔记本电脑7台;其中台式电脑只能使用有线网卡接入,笔记本电脑需要有线网卡及无线网卡两种接入模式。2、关键技术分析2.1网络通信协议为了对操作平台和应用软件有最好的支持,得到最优的性能价格比,以及和Internet实现连接,我们选择了以TCP/IP为中心的、开放的、标准的网络通信协议。 宿舍结构如下图: 图1-1 创新楼404宿舍2.1.1 高层网络协议TCP/IP协议TCP/IP组成:TCP/IP由四个层次组成:网络接口层、网间网层、传输层、应
5、用层。TCP/IP原理:TCP/IP通讯协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为: 应用层:应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。 传输层:在此层中,它提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收。 互连网络层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP)。 网络接口层
6、:对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、Serial Line等)来传送数据。TCP/IP功能:IP协议(Internet Protocol)又称互联网协议,是支持网间互连的数据报协议,它与TCP协议(传输控制协议)一起构成了TCP/IP协议族的核心。它提供网间连接的完善功能, 包括IP数据报规定互连网络范围内的IP地址格式。 Internet 上,为了实现连接到互联网上的结点之间的通信,必须为每个结点(入网的计算机)分配一个地址,并且应当保证这个地址是全网唯一的,这便是IP地址。 2.1.2 低层传输协议IEEE802.3和IEEE802.11标准IEEE802.
7、3是载波侦听多路访问局域网的标准。它描述物理层和数据链路层的MAC子层的实现方法,在多种物理媒体上以多种速率采用CSMA/CD访问方式,对于快速以太网该标准说明的实现方法有所扩展。早期的IEEE 802.3描述的物理媒体类型包括:10Base2、10Base5、10BaseF、10BaseT和10Broad36等;快速以太网的物理媒体类型包括:100 BaseT、100BaseT4和100BaseX等。IEEE802.3I: 原始IEEE 802.3规范的物理更改,它要求通过双绞线网络介质,使用以太网类型的信令。标准设定信令速度为10兆比特每秒,使用一个通过双绞线电缆传输的基带信令图,该双绞线
8、电缆采用星形或延伸的星形拓扑。 IEEE802.3u: (100Base-T)是100兆比特每秒以太网的标准。100Base-T技术中可采用3类传输介质,即100Base-T4、100Base-TX和100Base-FX,它采用4B/5B编码方式。IEEE802.3z: IEEE 802.3z千兆以太网标准在1998年6月通过,它规定的三种收发信机包括三种介质: 1000BASE-LX 应用于已安装的单模光纤基础上,1000BASE-SX应用于已安装的多模光纤基础上, 1000BASE-CX应用于已安装的在设备室内连接的平衡屏蔽铜缆基础上。IEEE802.3/LLC大都在Apple Talk
9、Phase2、NetBIOS和一些IPX(Net Ware)的实现中普通应用。IEEE802.3帧格式(1997)在1995-1996年间,IEEE802.3x任务组为支持全双工操作对已有标准作了补充。其中一部分工作就是开发了流量控制算法。帧格式方面的最大变化是:MAC控制协议使用DIX以太网风格的类型域来唯一区分MAC控制帧与其他协议的帧。这是IEEE802委员会第一次使用这种帧格式。只要该任务组把MAC控制协议对类型域的使用合法化,他们就能把任何IEEE802.3帧对类型域的使用合法化。IEEE802.3x在1997年成为IEEE通过的协议。这使原来“以太网使用类型域而IEEE802.3使
10、用长度域”的差别消失。IEEE802.3经过IEEE802.3x标准的补充,支持这个域作为类型域和长度域两种解释。两者都是“IEEE802.3格式”,类型域和长度域的不同解释正如本节前部所述。作为类型域用法标准化的一部分,IEEE承担了为类型域设定惟一值的则任(Xerox从1980年已开始对类型域赋值)。千兆以太网使用了这种混合的帧格式。以太网帧:该帧包含6个域:前导码(preamble)包含8个字节(octet);目的地址(DA)包含6个字节;源地址(SA)包含6个字节;类型域包含2个字节;数据域包含46-1500字节;帧效验序列(FCS)包含4个字节。IEEE802.11标准是第一代无线局
11、域网标准之一。该标准定义了物理层和媒体访问控制(MAC)协议的规范,允许无线局域网及无线设备制造商在一定范围内建立互操作网络设备。定义了两种无线网络的拓扑结构,一种为基础设施网络,另一种是特殊网络。802.11物理层的无线媒体(WM)决定了它与现有的有线局域网的MAC不同,它具有独特的媒体访问控制机制,以CSMA/CA的方式共享无线媒体。802.11 - 初期的规格采直接序列展频(扩频)技术(Direct Sequence Spread Spectrum,DSSS)或跳频展频(扩频)技术(Frequency Hopping Spread Spectrum,FHSS),制定了在RF射频频段2.4
12、GHz上的运用,并且提供了1Mbps、2Mbps和许多基础讯号传输方式与服务的传输速率规格。 802.11a - 802.11的衍生版,于5.8GHz频段提供了最高54 Mbps的速率规格,并运用orthogonal frequency division multiplexing encoding scheme以取代802.11的FHSS 或 DSSS。 802.11b (即所谓的高速无线网路或Wi-Fi标准),1999年再度发表IEEE802.11b高速无线网路标准,在2.4GHz频段上运用DSSS技术,且由于这个衍生标准的产生,将原来无线网路的传输速度提升至11 Mbps并可与以太网路(E
13、thernet)相媲。 IEEE 802.11g在2003年7月被通过。其载波的频率为2.4GHz(跟802.11b相同),原始传送速度为54Mbit/s,净传输速度约为24.7Mbit/s(跟802.11a相同)。802.11g的设备向下与802.11b兼容。其后有些无线路由器厂商因应市场需要而在IEEE 802.11g的标准上另行开发新标准,并将理论传输速度提升至108Mbit/s 或125Mbit/s。 IEEE 802.11i是IEEE为了弥补802.11脆弱的安全加密功能(WEP,Wired Equivalent Privacy)而制定的修正案,于2004年7月完成。其中定义了基于A
14、ES的全新加密协议CCMP(CTR with CBC-MAC Protocol),以及向前兼容RC4的加密协议TKIP(Temporal Key Integrity Protocol)。 IEEE 802.11n,是2004年1月时IEEE宣布组成一个新的单位来发展的新的802.11标准,在市面上零售的相关产品版本为草拟版本2.0。传输速度理论值为300Mbit/s,因此需要在物理层产生更高速度的传输率,此项新标准应该要比802.11b快上50倍,而比802.11g快上10倍左右。802.11n也将会比目前的无线网络传送到更远的距离在802.11n有两个提议在互相竞争:WWiSE (World
15、-Wide Spectrum Efficiency) 以Broadcom为首的一些厂商支持。TGn Sync 由Intel与Philips所支持。802.11n增加了对于MIMO的标准,使用多个发射和接收天线来允许更高的数据传输率,并使用Alamouti coding coding schemes 来增加传输范围。 IEEE 802.11k阐述了无线局域网中频谱测量所能提供的服务,并以协议方式规定了测量的类型及接收发送的格式。此协议制定了几种有测量价值的频谱资源信息,并建立了一种请求报告机制,使测量的需求和结果在不同终端之间进行通信。协议制定小组的工作目标是要使终端设备能够通过对测量信息的量读
16、做出相应的传输调整,为此,协议制定小组定义了测量类型。这些测量报告使在IEEE 802.11规范下的无线网络终端可以收集临近AP的信息(信标报告)和临近终端链路性质信息(帧报告,隐藏终端报告和终端统计报告)。测量终端还可以提供信道干扰水平(噪声柱状报告)和信道使用情况(信道负荷报告和媒介感知柱状图)。2.2 网络规划子网划分概念Internet组织机构定义了五种IP地址,有A、B、C三类地址。A类网络有126个,每个A类网络可能有16777214台主机,它们处于同一广播域。而在同一广播域中有这么多结点是不可能的,网络会因为广播通信而饱和,结果造成16777214个地址大部分没有分配出去。可以把
17、基于类的IP网络进一步分成更小的网络,每个子网由路由器界定并分配一个新的子网网络地址,子网地址是借用基于类的网络地址的主机部分创建的。划分子网后,通过使用掩码,把子网隐藏起来,使得从外部看网络没有变化,这就是子网掩码。RFC 950定义了子网掩码的使用,子网掩码是一个32位的2进制数,其对应网络地址的所有位都置为1,对应于主机地址的所有位都置为0。由此可知,A类网络的默认子网掩码是255.0.0.0,B类网络的默认子网掩码是255.255.0.0,C类网络的默认子网掩码255.255.255.0。子网掩码常用点分十进制表示,我们还可以用网络前缀法表示子网掩码,即“/”。138.96.0.0/1
18、6表示B类网络138.96.0.0的子网掩码为255.255.0.0。2.3 DNSDNS 是域名系统(Domain Name System) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,域名虽然便于人们记忆,但机器之间只能
19、互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。 DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。因为,你在上网时输入的网址,是通过域名解析系统解析找到了相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。DNS工作原理:DNS分为Client和Server,Client扮演发问的角色,也就是问Server一个Domain Name,而Server必须要回答
20、此Domain Name的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有,则会往该DNS上所设的的DNS询问,依此得到答案之后,将收到的答案存起来,并回答客户。DNS服务器会根据不同的授权区(Zone),记录所属该网域下的各名称资料,这个资料包括网域下的次网域名称及主机名称。在每一个名称服务器中都有一个快取缓存区(Cache),这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录在快取缓存区中,这样当下一次还有另外一个客户端到次服务器上去查询相同的名称时,服务器就不用在到别台主机上去寻找,而直接可以从缓存区中找到该笔名称记录资料,传回给客户端,加速
21、客户端对名称查询的速度。例如:当DNS客户端向指定的DNS服务器查询网际网路上的某一台主机名称 DNS服务器会在该资料库中找寻用户所指定的名称 如果没有,该服务器会先在自己的快取缓存区中查询有无该笔纪录,如果找到该笔名称记录后,会从DNS服务器直接将所对应到的IP地址传回给客户端 ,如果名称服务器在资料记录查不到且快取缓存区中也没有时,服务器首先会才会向别的名称服务器查询所要的名称。例如:DNS客户端向指定的DNS服务器查询网际网路上某台主机名称,当DNS服务器在该资料记录找不到用户所指定的名称时,会转向该服务器的快取缓存区找寻是否有该资料 ,当快取缓存区也找不到时,会向最接近的名称服务器去要
22、求帮忙找寻该名称的IP地址 ,在另一台服务器上也有相同的动作的查询,当查询到后会回复原本要求查询的服务器,该DNS服务器在接收到另一台DNS服务器查询的结果后,先将所查询到的主机名称及对应IP地址记录到快取缓存区中 ,最后在将所查询到的结果回复给客户端 。2.4 DHCP动态主机分配协议(DHCP)是一个简化主机IP地址分配管理的TCP/IP 标准协议。用户可以利用DHCP服务器管理动态的IP地址分配及其他相关的环境配置工作。DHCP主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。TCP/IP 网络上的每台计算机都必须有唯一的
23、IP 地址。IP 地址(以及与之相关的子网掩码)标识主机及其连接的子网。在将计算机移动到不同的子网时,必须更改 IP 地址。DHCP 允许您通过本地网络上的 DHCP 服务器 IP 地址数据库为客户端动态指派 IP 地址。对于基于 TCP/IP 的网络,DHCP 降低了重新配置计算机的难度,减少了涉及的管理工作量。DHCP请求IP地址的过程: 发现阶段,即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCPDISCOVER包,只有DHCP服务器才会响应。 提供阶段,即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCPDISCOVER报文后,从IP地址池中选择
24、一个尚未分配的IP地址分配给客户端,向该客户端发送包含租借的IP地址和其他配置信息的DHCPOFFER包。 选择阶段,即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发送DHCPOFFER包,客户端从中随机挑选,然后以广播形式向各DHCP服务器回应DHCPREQUEST包,宣告使用它挑中的DHCP服务器提供的地址,并正式请求该DHCP服务器分配地址。其它所有发送DHCPOFFER包的DHCP服务器接收到该数据包后,将释放已经OFFER(预分配)给客户端的IP地址。如果发送给DHCP客户端的DHCPOFFER包中包含无效的配置参数,客户端会向服务器发送DHCPCLINE包拒
25、绝接受已经分配的配置信息。 确认阶段,即DHCP服务器确认所提供IP地址的阶段。当DHCP服务器收到DHCP客户端回答的DHCPREQUEST包后,便向客户端发送包含它所提供的IP地址及其他配置信息的DHCPACK确认包。然后,DHCP客户端将接收并使用IP地址及其他TCP/IP配置参数。 DHCP客户端续租IP地址的过程: DHCP服务器分配给客户端的动态IP地址通常有一定的租借期限,期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址,需要更新IP租约。实际使用中,在IP地址租约期限达到一半时,DHCP客户端会自动向DHCP服务器发送DHCPREQUEST包,以完成IP租约的
26、更新。如果此IP地址有效,则DHCP服务器回应DHCPACK包,通知DHCP客户端已经获得新IP租约。 如果DHCP客户端续租地址时发送的DHCPREQUEST包中的IP地址与DHCP服务器当前分配给它的IP地址(仍在租期内)不一致,DHCP服务器将发送DHCPNAK消息给DHCP客户端。 DHCP客户端释放IP地址的过程: DHCP客户端已从DHCP服务器获得地址,并在租期内正常使用,如果该DHCP客户端不想再使用该地址,则需主动向DHCP服务器发送DHCPRELEASE包,以释放该地址,同时将其IP地址设为0.0.0.0。2.5 无线组网技术目前使用较广泛的无线通信技术是蓝牙(Blueto
27、oth),无线局域网802.11(Wi-Fi)和红外数据传输(IrDA)。所谓蓝牙(Bluetooth)技术,实际上是一种短距离无线通信技术,利用“蓝牙”技术,能够有效地简化掌上电脑、笔记本电脑和移动电话手机等移动通信终端设备之间的通信,也能够成功地简化以上这些设备与Internet之间的通信,从而使这些现代通信设备与因特网之间的数据传输变得更加迅速高效,为无线通信拓宽道路。说得通俗一点,就是蓝牙技术使得现代一些轻易携带的移动通信设备和电脑设备,不必借助电缆就能联网,并且能够实现无线上因特网,其实际应用范围还可以拓展到各种家电产品、消费电子产品和汽车等信息家电,组成一个巨大的无线通信网络。要从
28、电脑上直接下载 MP3 要有蓝牙适配器,价格不贵,类似于U盘,插到电脑上,然后打开你手机上的蓝牙功能就可以实现无线传输了。 蓝牙名字的由来: 名字来源于10世纪丹麦国王Harald Blatand英译为Harold Bluetooth。在行业协会筹备阶段,需要一个极具有表现力的名字来命名这项高新技术。行业组织人员,在经过一夜关于欧洲历史和未来无限技术发展的讨论后,有些人认为用Blatand国王的名字命名再合适不过了。Blatand国王将现在的挪威,瑞典和丹麦统一起来;就如同这项即将面世的技术,技术将被定义为允许不同工业领域之间的协调工作,例如计算,手机和汽车行业之间的工作。名字于是就这么定下来
29、了。 蓝牙技术介绍 :“蓝牙”(Bluetooth)原是十世纪统一了丹麦的国王的名字,现取其“统一”的含义,用来命名意在统一无线局域网通讯标准的蓝牙技术。蓝牙技术是爱立信、IBM等5家公司在1998年联合推出的一项无线网络技术。随后成立的蓝牙技术特殊兴趣组织(SIG)来负责该技术的开发和技术协议的制定,如今全世界已有1800多家公司加盟该组织,最近微软公司也正式加盟并成为SIG组织的领导成员之一。 蓝牙是无线数据和语音传输的开放式标准,它将各种通信设备、计算机及其终端设备、各种数字数据系统、甚至家用电器采用无线方式联接起来。它的传输距离为10cm10m,如果增加功率或是加上某些外设便可达到10
30、0m的传输距离。它采用2.4GHz ISM频段和调频、跳频技术,使用权向纠错编码、ARQ、TDD和基带协议。TDMA每时隙为0.625s,基带符合速率为1Mb/s。蓝牙支持64kb/s实时语音传输和数据传输,语音编码为CVSD,发射功率分别为1mW、2.5mW和100mW,并使用全球统一的48比特的设备识别码。由于蓝牙采用无线接口来代替有线电缆连接,具有很强的移植性,并且适用于多种场合,加上该技术功耗低、对人体危害小,而且应用简单、容易实现,所以易于推广。Wi-FiWirelessFidelity,无线保真技术与蓝牙技术一样,同属于在办公室和家庭中使用的短距离无线技术。该技术使用的使2.4GH
31、z附近的频段,该频段目前尚属没用许可的无线频段。其目前可使用的标准有两个,分别是IEEE802.11a和IEEE802.11b。该技术由于有着自身的优点,因此受到厂商的青睐。Wi-Fi(wireless fidelity(无线保真)的缩写)实质上是一种商业认证,具有Wi-Fi认证的产品符合IEEE 802.11b无线网络规范,它是当前应用最为广泛的WLAN标准,采用波段是2.4GHz。IEEE 802.11b无线网络规范是IEEE 802.11网络规范的变种,最高带宽为11 Mbps,在信号较弱或有干扰的情况下,带宽可调整为5.5Mbps、2Mbps和1Mbps,带宽的自动调整,有效的保障了网
32、络的稳定性和可靠性。Wi-Fi标识 自从实行IEEE 802.11b以来,无线网络取得了长足的进步,因此基于此技术的产品也逐渐多了起来,解决各厂商产品之间的兼容性问题就显得非常必要。因为IEEE并不负责测试IEEE 802.11b无线产品的兼容性,所以这项工作就由厂商自发组成的非赢利性组织:Wi-Fi联盟来担任。这个联盟包括了最主要的无线局域网设备生产商,如Intel、Broadcom,以及大家熟悉的中国厂商华硕、BenQ等。凡是通过WiFi联盟兼容性测试的产品,都被准予打上“Wi-Fi CERTIFIED”标记。因此,我们在选购IEEE 802.11b无线产品时,最好选购有Wi-Fi标记的产
33、品,以保证产品之间的兼容性。WiFi(WirelessFidelity,无线相容性认证)的正式名称是“IEEE802.11b”,与蓝牙一样,同属于在办公室和家庭中使用的短距离无线技术。虽然在数据安全性方面,该技术比蓝牙技术要差一些,但是在电波的覆盖范围方面则要略胜一筹。WiFi的覆盖范围则可达300英尺左右(约合90米),办公室自不用说,就是在小一点的整栋大楼中也可使用。红外线IrDA,简称IR,是一种无线通讯方式,可以进行无线数据的传输。自1974年发明以来,得到很普遍的应用,如红外线鼠标,红外线打印机,红外线键盘等等。在红外通讯技术发展早期,存在好几个红外通讯标准,不同标准之间的红外设备不
34、能进行红外通讯。为了使各种红外设备能够互联互通,1993年,由二十多个大厂商发起成立了红外数据协会(IrDA),统一了红外通讯的标准,这就是目前被广泛使用的IrDA红外数据通讯协议及规范。 外线的特征:红外传输是一种点对点的传输方式,无线,不能离的太远,要对准方向,且中间不能有障碍物也就是不能穿墙而过,几乎无法控制信息传输的进度;IrDA已经是一套标准,IR收/发的组件也是标准化产品。 2.6 网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。
35、从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全应具有以下五个方面的特征: 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:对信息
36、的传播及内容具有控制能力。 可审查性:出现的安全问题时提供依据与手段各国的网络安全体系严管互联网的不仅是美国政府,随着涉及网络的犯罪行为日益增多和多样化,各国政府对于网络监管都不遗余力,依法对互联网进行监管成为国际通行做法。1997年8月,德国政府开始实施信息与通讯服务法,明确规定了互联网内容提供方、互联网服务提供方和网络搜索服务提供方的法律责任。法律着重限制包含猥亵、色情、恶意言论、谣言、种族主义的言论,尤其禁止与纳粹相关的思想言论与图片在互联网上传播。德国政府还在2009年出台了一部反儿童色情法案阻碍网页登录法。根据此法案,联邦刑警局将建立封锁网站列表并每日更新,互联网服务供应商将根据这一
37、列表,封锁相关的儿童色情网页。该法案已经获得德国联邦议院和联邦参议院的批准。为将互联网对未成年人的伤害降到最低程度,日本政府在青少年网络环境整备法中,对网络运营商、监护人应承担的责任都做出了明确规定。该法律要求,手机网络运营商在向未满18岁的未成年人提供服务时,必须在手机中安装过滤有害网站的软件;电脑厂商在向未成年人用户出售产品时,必须为其日后安装过滤软件提供便利;在客户提出要求时,运营商也有义务为顾客提供过滤服务;监护人则有义务掌握未成年人的上网情况,并通过安装过滤软件等手段对未成年人上网进行管理等。韩国是世界上最早设立互联网审查机构的国家。早在1995年,韩国国会就修改通过了新的电气通信事
38、业法,将“危险通信信息”作为管制对象,并根据该法令组建了信息通信伦理委员会。该委员会主要业务包括接受不良信息网上举报、对网络进行监察、为网络纠纷进行仲裁、关闭国内非法或不健康网站、屏蔽国外不良网站等内容。2008年,韩国政府新成立了“广播通信审议委员会”,接手了上述职责。2001年,韩国先后颁布了不当互联网站点鉴定标准和互联网内容过滤法令,在法律框架上确定了信息内容过滤的合法性。互联网内容过滤法令禁止互联网服务商接入所有被韩国政府列入“黑名单”的网站,要求为保护未成年人,必须在网吧、公共图书馆和学校等场所安装过滤软件,并引入内容分级管理制度。同年,信息通信伦理委员会经过审查鉴定,出台了一份包含
39、11.9万个网站地址的“黑名单”,要求互联网服务商加以屏蔽。此外,为健全网络管理法规,韩国政府近年来还陆续通过了促进信息化基本法、信息通信基本保护法、促进信息通信网络使用及保护信息法等法案。这些法律规定,在网络上散布淫秽色情信息、侮辱诽谤并损害他人名誉、反复发送可诱发恐怖或不安情绪的信息、网络赌博、被认定为“对青少年有害内容”但却未遵照有关规定履行年龄认证并作出明显标识的,经由广播通信审议委员会审议,可要求互联网服务商或网站“网管”进行删除或限制,情节严重者可受到两年以下有期徒刑或罚金的惩处。对泄密和其他违反国家保安法的行为,以及教唆犯罪等触犯刑法的行为,则将根据相关法律另行制裁。此外,韩国还
40、开通了名为“违法和有害信息报告中心”的投诉渠道来监督互联网上不良信息的传播,任何人都可以通过热线电话以及网络在线进行举报。为规范网络行为、减少不良信息,韩国政府还逐步推动“网络实名制”的实施。2005年10月,在广泛征求社会各界意见后,韩国政府发布了实名制相关规定。根据规定,网民在网络留言、建立和访问博客时,必须先登记真实姓名和身份证号,通过认证方可使用。2006年底,韩国国会通过了促进信息通信网络使用及保护信息法修正案,规定主要门户网站和公共机关网站在网民进行留言、发布照片、视频等操作前,必须首先对留言者的真实姓名、身份证号码等信息进行记录和验证,否则将对网站处以最高3000万韩元的罚款。由
41、此,韩国成为世界上首个强行实施网络实名制的国家。2007年6月,韩国日访问量超过30万人的35家主要网站开始陆续实施实名制,而从2009年4月开始,实施实名制的范围扩大到日访问量超过10万人的153个网站。对于网络监管,动力不仅来自政府层面,现在整个西方社会都认识到了互联网犯罪的威胁,如果网络管理不当,会给个人、家庭和整个社会带来危害,因此对网络安全齐抓共管,形成了全民动员严管互联网的态势。除了内政部外,在联邦政府层面,德国家庭部设立了青少年有害媒介联邦检验局;在州政府层面设立了青少年媒介保护委员会,其下还设立了青少年保护网络有限公司。它们共同对德国媒体、网络实施监管,判断其传播的信息是否违反
42、相关法律法规。其中,青少年保护网络有限公司是德国网络色情内容监管方面最活跃的机构,处理了德国超过八成的网络色情信息传播事件。该公司要求各服务提供商遵守相关青少年保护规定,敦促网站删除不符合要求的内容。如果要求没得到回应,公司将通报国家相关机构。与此同时,公司还通过广泛的国际合作,尽最大可能对提供有害内容的国外服务提供商施加影响。除了国家方面的管制,政府要求网站必须主动配合青少年保护工作。在德国,含有色情内容的网站都必须应用“成人认证系统”,通过输入个人信用卡信息、身份证等不同方法来确认访问者的年龄,否则将被视为违法。针对互联网犯罪受害者多为青少年的特点,国营的澳大利亚通讯公司专门推出了介绍网络
43、安全的网站,其内容包括如何指导家长监督孩子们使用网络和通讯工具,像Facebook、Tw itter、M SN和聊天室等,以及如何指导高年级的孩子处理好玩与学的关系,寓教于乐,实现玩耍和学习两不误。2.7 关键设备2.7.1、路由器 路由器:连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。网络层是 TCP/IP的协议中又称IP层,路由器它最高也就到第三层IP层。路由器(Router)是用于连接多个逻
44、辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时,可通过路由器来完成。因此,路由器具有判断网络地址和选择路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网,路由器只接受源 站或其他路由器的信息,属网络层的一种互联设备。它不关心各子网使用的硬件设备,但要求运行与网络层协议相一致的软件。路由器分本地路由器和远程路由器,本地路由器是用来连接网络传输介质的,如光纤、同轴电缆、双绞线;远程路由器是用来连接远程传输介质,并要求相应的设备,如电话线要配调制解调器,无线要通过无线接收机、发射机。 其工作原理如下:
45、 (1)工作站A将工作站B的地址12.0.0.5连同数据信息以数据帧的形式发送给路由器1。 (2)路由器1收到工作站A的数据帧后,先从报头中取出地址12.0.0.5,并根据路径表计算出发往工作站B的最佳路径:R1-R2-R5-B;并将数据帧发往路由器2。 (3)路由器2重复路由器1的工作,并将数据帧转发给路由器5。 (4)路由器5同样取出目的地址,发现12.0.0.5就在该路由器所连接的网段上,于是将该数据帧直接交给工作站B。 (5)工作站B收到工作站A的数据帧,一次通信过程宣告结束。 事实上,路由器除了上述的路由选择这一主要功能外,还具有网络流量控制功能。有的路由器仅支持单一协议,但大部分路
46、由器可以支持多种协议的传输,即多协议路由器。由于每一种协议都有自己的规则,要在一个路由器中完成多种协议的算法,势必会 降低路由器的性能。因此,我们以为,支持多协议的路由器性能相对较低。用户购买路由器时,需要根据自己的实际情况,选择自己需要的网络协议的路由器。 2.7.2、交换机 交换机(英文:Switch,意为“开关”)是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。交换机工作在OSI的第二层(数据链路层)。1993年,局域网交换设备出现,1994年,国内掀起了交换网络技术的热潮
47、。其实,交换技术是一个具有简化、低价、高性能和高端口密集特点的交换产品,体现了桥接技术的复杂交换技术在OSI参考模型的第二层操作。与桥接器一样,交换机按每一个包中的MAC地址相对简单地决策信息转发。而这种转发决策一般不考虑包中隐藏的更深的其他信息。与桥接器不同的是交换机转发延迟很小,操作接近单个局域网性能,远远超过了普通桥接互联网络之间的转发性能。交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。现在已有以太网、快速以太网、FDDI和ATM技术的交换产品。 类似传统的桥接器,交换机提供了许多网络互联功能。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中;交换机使用现有的电缆、中继器、集线器和工作站的网卡,不必作高层的硬件升级;交换机对工作站是透明的,这样管理开销低廉,简化了网络节点的增加、移动和网络变化的操作。 利用专门设计的集成电路可使交换机以线路速率在所有的端口并行转发信息,提供了比传统桥接器高得多的操作性能。如理论上单个以太网端口对含有64个八进制数的数据包,可提供14880bps的传输速率。这意味着一台具有12个端口、支持6道并行数据流的“线路速率”以太网
