史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-06-07, 11:38 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 TCP/IP基礎

本文載自網路力量
作者主題:TCP/IP基礎
逆風飛揚


TCP/IP傳輸協定體系結構簡介

1、TCP/IP傳輸協定棧

四層模型
TCP/IP這個傳輸協定遵守一個四層的模型概念:套用層、傳輸層、互聯層和網路接頭層。

網路接頭層
模型的基層是網路接頭層。負責資料畫格的發送和接收,畫格是獨立的網路信息傳輸單元。網路接頭層將畫格放在網上,或從網上把畫格取下來。

互聯層
互聯傳輸協定將資料包封裝成internet資料報,並執行必要的路由算法。
這裡有四個互聯傳輸協定:
網際傳輸協定IP:負責在主機和網路之間尋址和路由資料包。
位址解析傳輸協定ARP:獲得同一物理網路中的硬體主機位址。
網際控制消息傳輸協定ICMP:發送消息,並報告有關資料包的傳送錯誤。
互聯組管理傳輸協定IGMP:被IP主機拿來向本機多路廣播路由器報告主機組成員。

傳輸層
傳輸傳輸協定在電腦之間提供通信會話。傳輸傳輸協定的選項根據資料傳輸方式而定。
兩個傳輸傳輸協定:
傳輸控制傳輸協定TCP:為應用程式提供可靠的通信連接。適合於一次傳輸大批資料的情況。並適用於要求得到回應的應用程式。
用戶資料報傳輸協定UDP:提供了無連接通信,且不對傳送包進行可靠的保證。適合於一次傳輸小量資料,可靠性則由套用層來負責。

套用層
應用程式通過這一層訪問網路。

網路接頭技術
IP使用網路設備接頭規範NDIS向網路接頭層提交鄭IP支持廣域網和本機網接頭技術。

串行線路傳輸協定
TCP/IPG一般通過internet串行線路傳輸協定SLIP或點對點傳輸協定PPP在串行線上進行資料傳送。(是不是我們平時把它稱之為異步通信,對於要拿LINUX提供建立遠端連接的朋友應該多研究一下這方面的知識)?


2、ARP

要在網路上通信,主機就必須知道對方主機的硬體位址(我們不是老遇到網路卡的物理位址嘛)。位址解析就是將主機IP位址映射為硬體位址的程序。位址解析傳輸協定ARP用於獲得在同一物理網路中的主機的硬體位址。

解釋本機IP位址(要瞭解位址解析工作程序的朋友看好了)
主機IP位址解析為硬體位址:
(1)當一台主機要與別的主機通信時,啟始化ARP請求。當該IP斷定IP位址是本機時,源主機在ARP緩衝中搜尋目標主機的硬體位址。
(2)要是找不到映射的話,ARP建立一個請求,源主機IP位址和硬體位址會被包括在請求中,該請求通過廣播,使所有本機主機均能接收並處理。
(3)本機網上的每個主機都收到廣播並尋找相符的IP位址。
(4)當目標主機斷定請求中的IP位址與自己的相符時,直接發送一個ARP答覆,將自己的硬體位址傳給源主機。以源主機的IP位址和硬體位址更新它的ARP緩衝。源主機收到回答後便建立起了通信。

解析遠端IP位址
不同網路中的主機互相通信,ARP廣播的是源主機的預設網關。
目標IP位址是一個遠端網路主機的話,ARP將廣播一個路由器的位址。

(1)通信請求啟始化時,得知目標IP位址為遠端位址。源主機在本機路由表中搜尋,若無,源主機認為是預設網關的IP位址。在ARP緩衝中搜尋符合該網關記錄的IP位址(硬體位址)。

(2)若沒找到該網關的記錄,ARP將廣播請求網關位址而不是目標主機的位址。路由器用自己的硬體位址回應源主機的ARP請求。源主機則將資料包送到路由器以傳送到目標主機的網路,最終達到目標主機。

(3)在路由器上,由IP決定目標IP位址是本機還是遠端。如果是本機,路由器用ARP(緩衝或廣播)獲得硬體位址。如果是遠端,路由器在其路由表中搜尋該網關,然後運用ARP獲得此網關的硬體位址。資料包被直接發送到下一個目標主機。

(4)目標主機收到請求後,形成ICMP回應。因源主機在遠端網上,將在本機路由表中搜尋源主機網的網關。找到網關後,ARP即獲取它的硬體位址。


(5)如果此網關的硬體位址不在ARP緩衝中,通過ARP廣播獲得。一旦它獲得硬體位址,ICMP回應就送到路由器上,然後傳到源主機。

ARP緩衝
為減少廣播量,ARP在緩衝中儲存位址映射以備用。ARP緩衝儲存有動態項和靜態項。動態項是自動增加和刪除的,靜態項則保留在CACHE中直到電腦重新啟動。

ARP緩衝總是為本機子網保留硬體廣播位址(0xffffffffffffh)作為一個永久項。
此項使主機能夠接受ARP廣播。當檢視緩衝時,該項不會顯示。
每條ARP緩衝記錄的生命週期為10分鐘,2分鐘內未用則刪除。緩衝容量滿時,
刪除最老的記錄。

加入靜態(永久)記錄
通過增加靜態ARP項可減少ARP請求訪問主機的次數。

ARP包的結構
ARP結構的字段如下:
硬體類型--使用的硬體(網路訪問層)類型。
傳輸協定類型--解析程序中的傳輸協定使用以太類型的值。
硬體位址長度--硬體位址的字元長度,對於以太網和令牌環來說,其長度為6字元。
傳輸協定位址長度--傳輸協定位址字元的長度,IP的長度是4字元。
操作號--指定當前執行操作的字段。
發送者的硬體位址--發送者的硬體位址。
發送者的傳輸協定位址--發送者的傳輸協定位址。
目的站硬體位址--目標者的硬體位址。
目的站傳輸協定位址--目標者的傳輸協定位址。


3、ICMP和IGMP

internet控制消息傳輸協定ICMP是用於報告錯誤並代表IP對消息進行控制。
IP運用互聯組管理傳輸協定IGMP來告訴路由器,某一網路上指導組中的可用主機。

ICMP
ICMP源抑制消息:當TCP/IP主機發送資料到另一主機時,如果速度達到路由器或者鏈路的飽和狀態,路由器發出一個ICMP源抑制消息。

ICMP資料包結構
類型:一個8位類型字段,表示ICMP資料包類型。
程式碼:一個8位程式碼域,表示指定類型中的一個功能。如果一個類型中只有一種功能,程式碼域置為0。
檢驗和:資料包中ICMP部分上的一個16位檢驗和。
指定類型的資料隨每個ICMP類型變化的一個附加資料。

IGMP
IGMP信息傳給別的路由器以使每個支持多路廣播的路由器獲知哪個主機組和哪個網路
中。

IGMP包結構
版本:IGMP的版本,值一般為0x1h。
類型:IGMP消息的類型。0x1h類型稱為主機成員請求,在多路廣播路由器上用於指定多級組中的任何成員輪詢一個網路。0x2h類型稱為主機成員報告,在主機上用於發佈指定組中的成員情況或對一個路由器的主機成員請求進行回答未用:未用的域名被發送者置零且被接收者忽略。
檢驗和:IGMP頭的一個16位檢驗和。
組位址:主機用該組位址在一個主機成員請求中存儲IP多路廣播位址。在主機成員請求中,
組位址被全置零,而且硬體級的多路廣播位址被用來標示主機組。

4、IP

IP是一個無連接的傳輸協定,主要就是負責在主機間尋址並為資料包設定路由,在交換資料前它並不建立會話。因為它不保證正確傳遞,另一方面,資料在被收到時,IP不需要收到驗證,所以它是不可靠的。
有一些字段,在當資料從傳輸層傳下來時,會被附加在資料包中,我們來看一下這些字段:
源IP位址:用IP位址確定資料報發送者。
目標IP位址:用IP位址確定資料報目標。
傳輸協定:告知目的機的IP是否將包傳給TCP或UDP。
檢查和:一個簡單的數學計算,用來證實收到的包的完整性。
TTL生存有效時間:指定一個資料報被丟棄之前,在網路上能停留多少時間(以秒計)。它避免了包在網路中無休止循環。路由器會根據資料在路由器中駐留的時間來遞減TTL。其中資料報通過一次路由器,TTL至少減少一秒。
根據我們前面提到關於ARP的知識,如果IP位址目標為近端網址時,IP將資料包直接傳給那個主機;如果目標位址為遠端位址的話,IP在本機的路由表中搜尋遠端主機的路由(看來好像我們平時撥114一樣)。如果找到一個路由,IP用它傳送資料包。如果沒找到呢,就會將資料包發送到源主機的預設網關,也稱之為路由器。(很多時候一直在搞網關和路由器的定義,其實我覺得在學的時候不一定死摳概念,現在硬體和軟體結合的產品越來越多了,一時很分清的,只要我們運用的時候可以解決實際問題嘛。)這樣當路由器收到一個包後,該包向上傳給IP:

(1)如果交通阻塞(聽起來蠻可怕的),包在路由器中停滯,TTL至少減1或更多。要是它降到0的話,包就會被拋棄。
(2)如果對於下一網路來說包太大的話,IP會將它分割成若干個小包。
(3)如果包被分解,IP為每個新包製造一個新頭,其中包括:一個標誌,用來顯示其它小包在其後;一個小包ID,用來確定所有小包是一起的;一個小包偏移,用來告訴接收主機怎麼重新組合它們。
(4)IP計算一個新的檢驗和。
(5)IP獲取一個路由的目標硬體位址。
(6)IP轉發包。
在下一主機,包被發送到TCP或UDP。每個路由器都要重複該程序。直到包到達最終目的地。當包到達最終目的地後,IP將小包組裝成原來的包。


5、TCP

TCP是一種可靠的面向連接的傳送服務。它在傳送資料時是分段進行的,主機交換資料必須建立一個會話。它用比特流通信,即資料被作為無結構的字元流。
通過每個TCP傳輸的字段指定順序號,以獲得可靠性。如果一個分段被分解成幾個小段,接收主機會知道是否所有小段都已收到。通過發送回應,用以驗證別的主機收到了資料。對於發送的每一個小段,接收主機必須在一個指定的時間返回一個驗證。如果發送者未收到驗證,資料會被重新發送;如果收到的資料包損壞,接收主機會捨棄它,因為驗證未被發送,發送者會重新發送分段。

連接阜
SOCKETS實用程序使用一個傳輸協定連接阜號來標明自己套用的唯一性。連接阜可以使用0到65536之間的任何數字。在服務請求時,操作系統動態地為客戶端的應用程式分配連接阜號。

套接字
套接字在要領上與文件句柄類似,因為其功能是作為網路通信的終結點。一個應用程式通過定義三部分來產生一個套接字:主機IP位址、服務類型(面向連接的服務是TCP,無連接服務是UDP)、應用程式所用的連接阜。

TCP連接阜
TCP連接阜為信息的傳送提供定地點,連接阜號小於256的定義為常用連接阜。

TCP的三次握手
TCP對話通過三次握手來啟始化。三次握手的目的是使資料段的發送和接收同步;告訴其它主機其一次可接收的資料量,並建立虛連接。
我們來看看這三次握手的簡單程序:

(1)啟始化主機通過一個同步標誌置位的資料段發出會話請求。
(2)接收主機通過發回具有以下項目的資料段表示回復:同步標誌置位、即將發送的資料段
的起始字元的順序號、回應並帶有將收到的下一個資料段的字元順序號。
(3)請求主機再回送一個資料段,並帶有驗證順序號和驗證號。

TCP滑動視窗
TCP滑動視窗用來暫存兩台主機間要傳送的資料,有點類似CACHE。
每個TCP/IP主機有兩個滑動視窗:一個用於接收資料,另一個用於發送資料。

6、UDP

用戶資料報傳輸協定UDP提供了無連接的資料報服務。它適用於無須回應並且通常一次只傳送少量資料的應用軟體。

UDP連接阜
連接阜作為多路復用的消息貯列使用。
15NETSTAT網路狀態
53DOMAIN域名伺服器
69TFTP平凡文件傳送傳輸協定
137NETBIOS-NSNETBIOS指令服務
138NETBIOS-DGMNETBIOS資料報服務
161SNMPSNMP網路監視器


IP位址分配

1、IP位址

IP位址標識著網路中一個系統的位置。我們知道每個IP位址都是由兩部分組成的:網路號和主機號。其中網路號標識一個物理的網路,同一個網路上所有主機需要同一個網路號,該號在網際網路中是唯一的;而主機號確定網路中的一個工作端、伺服器、路由器其它TCP/IP主機。對於同一個網路號來說,主機號是唯一的。每個TCP/IP主機由一個邏輯IP位址確定。

網路號和主機號
IP位址有兩種表示形式:二進製表示(1和0太多了就搞不清)和點分十進製表示。每個IP位址的長度為4字元,由四個8位域組成,我們通常稱之為八位體。八位體由句點.分開,表示為一個0-255之間的十進制數。一個IP位址的4個域分別標明了網路號和主機號。

2、位址類型

為適應不同大小的網路,internet定義了5種IP位址類型。可以通過IP位址的前八位來確定位址的類型:
類型IP形式網路號主機號
A類w.x.y.zwx.y.z
B類w.x.y.zw.xy.z
C類w.x.y.zw.x.yz
我們來看一下這5類位址:
A類位址:可以擁有很大數量的主機,最高位為0,緊跟的7位表示網路號,余24位表示
主機號,總共允許有126個網路。
B類位址:被分配到中等規模和大規模的網路中,最高兩位總被置於二進制的10,允許有
16384個網路。
C類位址:被用於區域網路。高三位被置為二進制的110,允許大約200萬個網路。
D類位址:被用於多路廣播組用戶,高四位總被置為1110,餘下的位用於標明客戶端機所屬
的組。
E類位址是一種僅供試驗的位址。

3、位址分配指南

在分配網路號和主機號時應遵守以下幾條準則:
(1)網路號不能為127。大家知道該標識號被保留作回路及診斷功能,還記得平時ping
127.0.0.1?
(2)不能將網路號和主機號的各位均置1。如果每一位都是1的話,該位址會被解釋為網內
廣播而不是一個主機號。(TCP/IP是一個可廣播的傳輸協定嘛)
(3)相應於上面一條,各位均不能置0,否則該位址被解釋為「就是本網路」。
(4)對於本網路來說,主機號應該是唯一。(否則會出現IP位址已分配或有衝突之類的錯誤)

分配網路號
對於每個網路以及廣域連接,必須有唯一的網路號,主機號用於區分同一物理網路中的不
同主機。如果網路由路由器連接,則每個廣域連接都需要唯一的網路號。

分配主機號
主機號用於區分同一網路中不同的主機,並且主機號應該是唯一的。所有的主機包括路由
器間的接頭,都應該有唯一的網路號。路由器的主機號,要配置成工作站的預設網關位址。

有效的主機號
A類:w.0.0.1--w.255.255.254
B類:w.x.0.1--w.x.255.254
C類:w.x.y.1--w.x.y.254


4、子網遮閉和IP位址

TCP/IP上的每台主機都需要用一個子網遮閉號。它是一個4字元的位址,用來封裝或「遮閉」IP位址的一部分,以區分網路號和主機號。當網路還沒有劃分為子網時,可以使用預設的子網遮閉;當網路被劃分為若干個子網時,就要使用自定義的子網遮閉了。

預設值
我們來看看預設的子網遮閉值,它用於一個還沒有劃分子網的網路。即使是在一個單段網路上,每台主機也都需要這樣的預設值。
它的形式依賴於網路的位址類型。在它的4個字元裡,所有對應網路號的位都被置為1,於是每個八位體的十進制值都是255;所有對就主機號的位都置為0。例如:C類網位址192.168.0.1和相應的預設遮閉值255.255.255.0。

確定資料包的目的位址
我們說把遮閉值和IP位址值做「與」的操作其實是一個內部程序,它用來確定一個資料包是傳給本機還是遠端網路上的主機。其相應的操作程序是這樣的:當TCP/IP啟始化時,主機的IP位址和子網遮閉值相「與」。在資料包被發送之前,再把目的位址也和遮閉值作「與」,這樣如果發現源IP位址和目的IP位址相匹配,IP傳輸協定就知道資料包屬於本機網上的某台主機;否則資料包將被送到路由器上。
註:我們知道「與」操作是將IP位址中的每一位與子網遮閉中相應的位按邏輯與作比較。

建立子網

1、子網簡介


一個網路實際上可能會有多個物理網段,我們把這些網段稱之為子網,其使用的IP位址是由某個網路號派生而得到的。
將一個網路劃分成若干個子網,需要使用不同的網路號或子網號。當然了,劃分子網有它的優點,通過劃分子網,每個服務機構可以將複雜的物理網段連接成一個網路,並且可以:
(1)混合使用多種技術,比如以太網和令牌環網。(最流行的兩種接頭都支持了哦)

(2)克服當前技術的限制,比如突破每段主機的最大數量限制。
(3)通過重定向傳輸以及減少廣播等傳輸方式以減輕網路的擁擠。

實現子網劃分
在動手劃分子網之前,我們一定要先分析一下自己的需求以及將來的規劃。一般情況下我們遵循這樣的準則:
(1)確定網路中的物理段數量。(就是子網個數嘛)
(2)確定每個子網需要的主機數。注意一個主機至少一個IP位址。
(3)關於此需求,定義:整個網路的子網遮閉、每個子網唯一的子網號和每個子網的主機號
範圍。

子網遮閉位
在定義一個子網遮閉之前,確定一下將來需要的子網數量及每子網的主機數是必不可少的一步。因為當更多的位用於子網遮閉時,就有更多的可用子網了,但每個子網中的主機數將減少。(這和定義IP位址的概念正好相反)

2、定義子網遮閉
將網路劃分成若干個子網時,必須要定義好子網遮閉。我們來看看定義的步驟:
(1)確定物理網段也就是子網的個數,並將這個數字轉換成二進制數。比如B類位址,分6
個子網就是110。
(2)計算物理網段數(子網數)的二進制位數,這裡是110,所以需要3位。
(3)以高位順序(從左到右)將這個反碼轉換成相應的十進制值,因為需要3位,就將主機號
前3位作為子網號,這裡是11100000,所以遮閉就是255.255.254.0。

3、定義子網號
子網號與子網遮閉的位數相同。
(1)列出子網號按高到低的順序使用的位數。例如子網遮閉使用了3位,二進制值是
11100000。
(2)將最低的一位1轉換成十進制,用這個值來定義子網的增量。這個例子中是1110,所
以增量是32。
(3)用這個增量迭加從0開始的子網號,直到下一個值為256。這個例子中就是w.x.32.1-
w.x.63.254、w.x.64.1-w.x.127.254等。

4、定義子網中的主機號
從上面的例子看出,一旦定義了子網號,就已經確定了每個子網的主機號了。我們在做每次增量後得出的值表明了子網中主機號範圍的起始值。
確定每個子網中的主機數目
(1)計算主機號可用的位數。例如在B類網中用3位定義了網路號,那麼餘下的13位定義
了主機號。
(2)將這個餘下的位數也就是主機號轉換為十進制,再減去1。例如13位值1111111111111
轉換為十進制的話就是8191,所以這個網路中每個子網的主機數就是8190了。

實現IP路由

1、IP路由簡介

路由就是選項一條資料包傳輸路徑的程序。當TCP/IP主機發送IP資料包時,便出現了路由,且當到達IP路由器還會再次出現。路由器是從一個物理網向另一個物理網發送資料包的裝置,路由器通常被稱為網關。對於發送的主機和路由器而言,必須決定向哪裡轉發資料包。在決定路由時,IP層查詢位於記憶體中的路由表。
(1)當一個主機試圖與另一個主機通信時,IP首先決定目的主機是一個本機網還是遠端網。
(2)如果目的主機是遠端網,IP將查詢路由表來為遠端主機或遠端網選項一個路由。
(3)若未找到明確的路由,IP用預設的網關位址將一個資料傳送給另一個路由器。
(4)在該路由器中,路由表再次為遠端主機或網路查詢路由,若還未找到路由,該資料包將
發送到該路由器的預設網關位址。
每發現一條路由,資料包被轉送下一級路由器,稱為一次「跳步」,並最終發送至目的主機。若未發現任何一個路由,源主機將收到一個出錯信息。


TCP/IP完整的一套基礎介紹(1)




因為自己對TCP/IP也不是十分的熟悉,所以只能說這裡講一些TCP/IP的基礎知識,IP網路的發展是人所共睹的,所以瞭解TCP/IP也是網管必備的知識了,這個基礎我想還是講些實際有用的東西,因為相關的教程也實在是多,但是有很多東西我們未必要瞭解,所以我想把一些實際有用的東西寫給大家,希望能對你有用.相關的教程可參閱〞自學TCP/IP〞

以上算是序言.

TCP/IP應該是個傳輸協定集,根據OS的七層理論,TCP/IP分為四層.分別是套用,傳輸,Interne和網路界面.

我們一般說TCP在傳輸層,而IP在Internet層.

TCP/IP的應用程式包括我們平時經常用到的Ping,Telnet,Ftp,Finger等等

配置TCP/IP包括IP位址,子網掩碼和預設網關

正確檢測TCP/IP的四個步驟:PIng127.0.0.1(迴環位址)如果通表示TCP/IP已經裝入,Ping自己表明客戶端機正常(主要是網路卡),Ping網關表示區域網路正常,Ping路由外位址表示完全正常,當然你也可以直接進行第四步,一般來說沒這麼麻煩的,但理論是基礎:-)

IP位址是四段八位的二進制陣列成的,IP分為A,B,C,D,E五類位址

A類高端為0,從1.x.y.z~126.x.y.z.B類高端為10,從128.x.y.z~191.x.y.zC類高端為110,從192.x.y.z~223.x.y.zD類高端為1110是保留的IP位址E類高端為1111,是科研用的IP位址

其中255是廣播位址,127是內部回送函數

以上算是開頭,以後一點點增加,實在是現在還有很多事情等著去做,不好意思了:-)


TCP/IP完整的一套基礎介紹(2)


以下內容是子網的設定


若公司不上Internet,那一定不會煩惱IPAddress的問題,因為可以任意使用所有的IPAddress,不管是AClass或是BClass,這個時候不會想到要用SubNet,但若是上Internet那IPAddress便彌足珍貴了,目前全球一陣Internet熱,IPAddress已經愈來愈少了,而所申請的IPAddress目前也趨保守,而且只有經申請的IPAddress能在Internet使用,但對某些公司只能申請到一個CCLass的IPAddress,但又有多個點需要使用,那這時便需要使用到Subnet,這篇短文說明Subnet的原理及如何規劃。

SubnetMask的介紹
設定任何網路上的任何設備不管是主機、PC、Router等皆需要設定IPAddress,而跟隨著IPAddress的是所謂的NetMask,這個NetMask主要的目的是由IPAddress中也能獲得NetworkNumber,也就是說IPAddress和NetMask作AND而得到NetworkNumber,如下所示


IPAddress192.10.10.611000000.00001010.00001010.00000110
NetMask255.255.255.011111111.11111111.11111111.00000000
AND-------------------------------------------------------------------
etworkNumber192.10.10.011000000.00001010.00001010.00000000


NetMask有所謂的預設值,如下所示

ClassIPAddress範圍NetMask
A1.0.0.0-126.255.255.255255.0.0.0
B128.0.0.0-191.255.255.255255.255.0.0
C192.0.0.0-223.255.255.255255.255.255.0

在預設的NetMask都只有255的值,在談到SubnetMask時這個值便不一定是255了。
在完整一組CClass中如203.67.10.0-203.67.10.255NetMask255.255.255.0,203.67.10.0稱之NetworkNumber(將IPAddress和Netmask作AND),而203.67.10.255是Broadcast的IPAddress,所以這?兩者皆不能使用,實際只能使用203.67.10.1--203.67.10.254等254個IPAddress,這是以255.255.255.0作NetMask的結果,而所謂SubnetMsk尚可將整組CClass分成陣列NetworkNumber,這要在NEtMask作手腳,若是要將整組CCLass分成2個NetworkNumber那NetMask設定為255.255.255.192,若是要將整組CCLass分成8組NetworkNumber則NetMask要為255.255.255.224,這是怎麼來的,由以上知道NetworkNumber是由IPAddress和NetMask作AND而來的,而且將NetMask以二進位表示法知道是1的會保留,而為0的去掉

192.10.10.193--11000000.00001010.00001010.10000001
255.255.255.0--11111111.11111111.11111111.00000000
--------------------------------------------------------------
192.10.10.0--11000000.00001010.00001010.00000000


以上是以255.255.255.0為NetMask的結果,NetworkNumber是192.10.10.0,若是使用255.255.255.224作NetMask結果便有所不同


192.10.10.193--11000000.00001010.00001010.10000000
255.255.255.224--11111111.11111111.11111111.11100000
--------------------------------------------------------------
192.10.10.192--11000000.00001010.00001010.10000000


此時NetworkNumber變成了192.10.10.192,這便是Subnet。
那要如何決定所使用的NetMask,255.255.255.224以二進位表示法為11111111.11111111.11111111.11100000,變化是在最後一組,11100000便是224,以三個Bit可表示2的3次方便是8個NetworkNumber

NetMask二進位表示法可分幾個Network

255.255.255.011111111.11111111.11111111.000000001
255.255.255.12811111111.11111111.11111111.100000002
255.255.255.19211111111.11111111.11111111.110000004
255.255.255.22411111111.11111111.11111111.111000008
255.255.255.24011111111.11111111.11111111.1111000016
255.255.255.24811111111.11111111.11111111.1111100032
255.255.255.25211111111.11111111.11111111.1111110064

以下使用255.255.255.224將CClass203.67.10.0分成8組NetworkNumber,各個NetworkNumber及其BroadcastIPAddress及可使用之IPAddress

序號NetworkNumberBroadcast可使用之IPAddress

1203.67.10.0203.67.10.31203.67.10.1-203.67.10.30
2203.67.10.32203.67.10.63203.67.10.33-203.67.10.62
3203.67.10.64203.67.10.95203.67.10.65-203.67.10.94
4203.67.10.96203.67.10.127203.67.10.97-203.67.10.126
5203.67.10.128203.67.10.159203.67.10.129-203.67.10.158
6203.67.10.160203.67.10.191203.67.10.161-203.67.10.190
7203.67.10.192203.67.10.223203.67.10.193-203.67.10.222
8203.67.10.224203.67.10.255203.67.10.225-203.67.10.254

可驗證所使用的IPAddress是否如上表所示

203.67.10.115--11001011.01000011.00001010.01110011
255.255.255.224--11111111.11111111.11111111.11100000
--------------------------------------------------------------
203.67.10.96--11001011.01000011.00001010.01100000

203.67.10.55--11001011.01000011.00001010.00110111
255.255.255.224--11111111.11111111.11111111.11100000
--------------------------------------------------------------
203.67.10.32--11001011.01000011.00001010.00100000

其他的NetMask所分成的NetworkNumber可自行以上述方法自行推演出來。

Subnet的套用
使用Subnet是要解決只有一組CClass但需要數個NetworkNumber的問題,並不是解決IPAddress不夠用的問題,因為使用Subnet反而能使用的IPAddress會變少,Subnet通常是使用在總公司在台北,但分公司在台中,兩者之間使用Router連線,同時也上Internet,但只申請到一組CCLassIPAddress,過Router又需不同的Network,所以此時就必須使用到Subnet,當然二辦公司間可以RemoteBridge連接,那便沒有使用Subnet的問題,這點在此不討論,所以在以上情況下的網路連線架構及IPAddress的使用


TCP/IP完整的一套基礎介紹(3)


TCP/IP(傳輸控制傳輸協定/網間傳輸協定)是一種網路通信傳輸協定,它規範了網路上的所有通信設備,尤其是一個主機與另一個主機之間的資料往來格式以及傳送方式。TCP/IP是INTERNET的基礎傳輸協定,也是一種電腦資料打包和尋址的標準方法。在資料傳送中,可以形象地理解為有兩個信封,TCP和IP就像是信封,要傳遞的信息被劃分成若干段,每一段塞入一個TCP信封,並在該信封面上記錄有分段號的信息,再將TCP信封塞入IP大信封,發送上網。在接受端,一個TCP軟體包收集信封,抽出資料,按發送前的順序還原,並加以校驗,若發現差錯,TCP將會要求重發。因此,TCP/IP在INTERNET中幾乎可以無差錯地傳送資料。


在任何一個物理網路中,各站點都有一個機器可識別的位址,該位址叫做物理位址.物理位址有兩個


特點:


物理位址的長度,格式等是物理網路技術的一部分,物理網路不同,物理位址也不同.
同一類型不同網路上的站點可能擁有相同的物理位址.
以上兩點決定了,不能用物理網路進行網間網通訊.

在網路術語中,傳輸協定中,傳輸協定是為了在兩台電腦之間交換資料而預先規定的標準。TCP/IP並不是一個而是許多傳輸協定,這就是為什麼你經常聽到它代表一個傳輸協定集的原因,而TCP和IP只是其中兩個基本傳輸協定而已。

你裝在電腦-的TCP/IP軟體提供了一個包括TCP、IP以及TCP/IP傳輸協定集中其它傳輸協定的工具平台。特別是它包括一些高層次的應用程式和FTP(文件傳輸傳輸協定),它允許用戶在指令行上進行網路文件傳輸。

TCP/IP是美國政府資助的進階研究計劃署(ARPA)在二十世紀七十年代的一個研究成果,用來使全球的研究網路聯在一起形成一個虛擬網路,也就是國際網際網路。原始的

Internet通過將已有的網路如ARPAnet轉換到TCP/IP上來而形成,而這個Internet最終成為如今的國際網際網路的骨幹網。

如今TCP/IP如此重要的原因,在於它允許獨立的網格加入到Internet或組織在一起形成私有的內部網(Intranet)。構成內部網的每個網路通過一種-做路由器或IP路由器的設備在物理上聯接在一起。路由器是一台用來從一個網路到另一個網路傳輸資料包的電腦。在一個使用TCP/IP的內部網中,信息通過使用一種獨立的叫做IP包(IPpacket)或IP資料報(IPdatagrams)的資料單元進--傳輸。TCP/IP軟體使得每台聯到網路上的電腦同其它電腦「看」起來一模一樣,事實上它隱藏了路由器和基本的網路體系結構並使其各方面看起來都像一個大網。如同聯入以太網時需要驗證一個48位的以太網位址一樣,聯入一個內部網也需要驗證一個32位的IP位址。我們將它用帶點的十進制數表示,如128.10.2.3。給定一個遠端電腦的IP位址,在某個內部網或Internet上的本機電腦就可以像處在同一個物理網路中的兩台電腦那樣向遠端電腦發送資料。

TCP/IP提供了一個方案用來解決屬於同一個內部網而分屬不同物理網的兩台電腦之間怎樣交換資料的問題。這個方案包括許多部分,而TCP/IP傳輸協定集的每個成員則用來解決問題的某一部分。如TCP/IP傳輸協定集中最基本的傳輸協定-IP傳輸協定用來在內部網中交換資料並且執行一項重要的功能:路由選項--選項資料報從A主機到B主機將要經過的路徑以及利用合適的路由器完成不同網路之間的跨越(hop)。

TCP是一個更高層次的它允許執行在在不同主機上的應用程式相互交換資料流。TCP將資料流分成小段叫做TCP資料段(TCPsegments),並利用IP傳輸協定進行傳輸。在大多數情況下,每個TCP資料段裝在一個IP資料報中進行發送。但如需要的話,TCP將把資料段分成多個資料報,而IP資料報則與同一網路不同主機間傳輸位流和字元流的物理資料畫格相容。由於IP並不能保證接收的資料報的順序相一致,TCP會在收信端裝配TCP資料段並形成一個不間斷的資料流。FTP和Telnet就是兩個非常流行的依靠TCP的TCP/IP應用程式。

另一個重要的TCP/IP傳輸協定集的成員是用戶資料報傳輸協定(UDP),它同TCP相似但比TCP原始許多。TCP是一個可靠的傳輸協定,因為它有錯誤檢查和握手驗證來保證資料完整的到達目的地。UDP是一個「不可靠」的傳輸協定,因為它不能保證資料報的接收順序同發送順序相同,甚至不能保證它們是否全部到達。如果有可靠性要求,則應用程式避免使用它。同許多TCP/IP工具同時提供的SNMP(簡單網路管理傳輸協定)就是一個使用UDP傳輸協定的套用例子。

其它TCP/IP傳輸協定在TCP/IP網路中工作在幕後,但同樣也發揮著重要作用。例如位址轉換傳輸協定(ARP)將IP位址轉換為物理網路位址如以太網位址。而與其對應的反向位址轉換傳輸協定(RARP)做相反的工作,即將物理網路位址轉換為IP位址。網際控制報文傳輸協定(ICMP)則是一個支持性傳輸協定,它利用IP完成IP資料報在傳輸時的控制信息和錯誤信息的傳輸。例如,如果一個路由器不能向前發送一個IP資料報,它就會利用ICMP來告訴發送者這裡出現了問題。


TCP/IP完整的一套基礎介紹(4)


網路設計者在解決網路體系結構時經常使用ISO/OSI(國際標準化組織/開放系統互連)七層模型,該模型每一層代表一定層次的網路功能。最下面是物理層,它代表著進行資料轉輸的物理介質,換句話說,即網路電纜。其上是資料鏈路層,它通過網路接頭卡提供服務。最上層是套用層,這裡執行著使用網路服務的應用程式。

TCP/IP是同ISO/OSI模型等價的。當一個資料單元從網路應用程式下流到網路接頭卡,它通過了一列的TCP/IP模組。這其中的每一步,資料單元都會同網路另一端對等TCP/IP模組所需的信息一起打成包。這樣當資料最終傳到網路卡時,它成了一個標準的以太畫格(假設物理網路是以太網)。而接收端的TCP/IP軟體通過剝去以太網畫格並將資料向上傳輸過TCP/IP棧來為處於接收狀態的應用程式重新恢復原始資料(一種最好的瞭解TCP/IP工作實質的方法,是使用探測程序來觀察網路中的到處流動的畫格中被不同TCP/IP模組所加上的信息)。

為了勾勒TCP/IP在現實網路世界中所扮演的角色,請考慮當使用HTTP(超文本傳輸傳輸協定)的Web瀏覽器從連接在Internet上的Web伺服器上獲取一頁HTML資料時所發生的情況。為形成同Web伺服器的虛鏈路,瀏覽器使用一種被抽像地稱為套接頭(socket)的高層軟體。為了獲取Web頁,它通過向套接頭向套接頭寫入HTTPGET指令來向Web伺服器發出該指令。接下來套接頭軟體使用TCP傳輸協定向Web伺服器發出包含GET指令的字元流和位流,TCP將資料分段並將各獨立段傳到IP模組,該模組將資料段轉換成資料報並發送給Web伺服器。

如果瀏覽器和伺服器運--在不同物理網路的電腦上(一般情況如此),資料報從一個網路傳到另一個網路,直到抵達伺服器所在的那個網。最終,資料被傳輸到目的位址並被重新裝配,這樣Web伺服器通過讀自己的套接頭來獲得資料主幹,並進而檢視連續的資料流。對瀏覽器和伺服器來說,資料在這一端寫入套接頭而在另一端出現如同魔術一般,但這只是底下發生的各種複雜的交互,它創造了資料經過網路無縫傳輸的假象。

這就是TCP/IP所做的:將許多小網聯成一個大網。並在這個大網也就是Internet上提供應用程式所需要的相互通信的服務。

評論:

對於TCP/IP有許多可談的,但這裡僅講三個關鍵點:

·TCP/IP是一族用來把不同的物理網路聯在一起構成網際網的傳輸協定。TCP/IP聯接獨立的網路形成一個虛擬的網,在網內用來驗證各種獨立的不是物理網路位址,而是IP位址。

·TCP/IP使用多層體系結構,該結構清晰定義了每個傳輸協定的責任。TCP和UDP向網路應用程式提供了高層的資料傳輸服務,並都需要IP來傳輸資料包。IP有責任為資料包到達目的地選項合適的路由。

·在Internet主機上,兩個執行著的應用程式之間傳送要通過主機的TCP/IP堆棧上下移動。在發送端TCP/IP模組加在資料上的信息將在接收端對應的TCP/IP模組上濾掉,並將最終恢復原始資料。

如果你有興趣學習更多的TCP/IP知識,這裡有兩個較高層次的信息源RFC(RequestforComment)1180--叫做「TCP/IPTutorial」的我的文件,你可以從許多普及的RFC的Internet節點上下載。另一個是InternetworkingwithTCP/IP的第一磁碟區:Principles,Protocols,andArchitectures,作者DouglasE.Comer(1995,Prentice-Hall)。作為該系三部曲中的第一部分,許多人把看成是一本TCP/IP聖經。(原文刊載於Vol.15No.20)


TCP/IP完整的一套基礎介紹(5)


二、傳輸層的安全性

在Internet套用編程序中,通常使用廣義的工作間通信(IPC)機制來與不同層次的安全傳輸協定打交道。比較流行的兩個IPC編程界面是BSDSockets和傳輸層界面(TLI),在Unix系統V指令裡可以找到。

在Internet中提供安全服務的首先一個想法便是強化它的IPC界面,如BSDSockets等,具體做法包括雙端實體的認證,資料加密密鑰的交換等。Netscape通信公司遵循了這個思路,制定了建立在可靠的傳輸服務(如TCP/IP所提供)基礎上的安全套接層傳輸協定(SSL)。SSL版本3(SSLv3)於1995年12月制定。它主要包含以下兩個傳輸協定:

SSL記錄傳輸協定它涉及應用程式提供的信息的分段、壓縮、資料認證和加密。SSLv3提供對資料認證用的MD5和SHA以及資料加密用的R4和DES等的支持,用來對資料進行認證和加密的密鑰可以通過SSL的握手傳輸協定來協商。
SSL握手傳輸協定用來交換版本號、加密算法、(相互)身份認證並交換密鑰。SSLv3提供對Deffie-Hellman密鑰交換算法、關於RSA的密鑰交換機制和另一種實現在Fortezzachip上的密鑰交換機制的支持。
Netscape通信公司已經向公眾推出了SSL的參考實現(稱為SSLref)。另一免費的SSL實現叫做SSLeay。SSLref和SSLeay均可給任何TCP/IP套用提供SSL功能。Internet號碼分配當局(IANA)已經為具備SSL功能的套用分配了固定連接阜號,例如,帶SSL的HTTP(https)被分配的連接阜號為443,帶SSL的SMTP(ssmtp)被分配的連接阜號為465,帶SSL的NNTP(snntp)被分配的連接阜號為563。

微軟推出了SSL2的改進版本稱為PCT(私人通信技術)。至少從它使用的記錄格式來看,SSL和PCT是十分相似的。它們的主要差別是它們在版本號字段的最顯著位(TheMostSignificantBit)上的取值有所不同:SSL該位取0,PCT該位取1。這樣區分之後,就可以對這兩個傳輸協定都給以支持。

1996年4月,IETF授權一個傳輸層安全(TLS)工作組著手制定一個傳輸層安全傳輸協定(TLSP),以便作為標準提案向IESG正式提交。TLSP將會在許多地方酷似SSL。

前面已介紹Internet層安全機制的主要優點是它的透明性,即安全服務的提供不要求套用層做任何改變。這對傳輸層來說是做不到的。原則上,任何TCP/IP套用,只要套用傳輸層安全傳輸協定,比如說SSL或PCT,就必定要進行若干修改以增加相應的功能,並使用(稍微)不同的IPC界面。於是,傳輸層安全機制的主要缺點就是要對傳輸層IPC界面和應用程式兩端都進行修改。可是,比起Internet層和套用層的安全機制來,這裡的修改還是相當小的。另一個缺點是,關於UDP的通信很難在傳輸層建立起安全機制來。同網路層安全機制相比,傳輸層安全機制的主要優點是它提供關於工作對工作的(而不是主機對主機的)安全服務。這一成就如果再加上套用級的安全服務,就可以再向前跨越一大步了。


TCP/IP完整的一套基礎介紹(6)


三、套用層的安全性
必須牢記(且須仔細品味):網路層(傳輸層)的安全傳輸協定允許為主機(工作)之間的資料通道增加安全屬性內容。本質上,這意味著真正的(或許再加上機密的)資料通道還是建立在主機(或工作)之間,但卻不可能區分在同一通道上傳輸的一個具體文件的安全性要求。比如說,如果一個主機與另一個主機之間建立起一條安全的IP通道,那麼所有在這條通道上傳輸的IP包就都要自動地被加密。同樣,如果一個工作和另一個工作之間通過傳輸層安全傳輸協定建立起了一條安全的資料通道,那麼兩個工作間傳輸的所有消息就都要自動地被加密。

如果確實想要區分一個具體文件的不同的安全性要求,那就必須借助於套用層的安全性。提供套用層的安全服務實際上是最靈活的處理單個文件安全性的手段。例如一個電子郵件系統可能需要對要發出的郵件的個別段落實施資料簽名。較低層的傳輸協定提供的安全功能一般不會知道任何要發出的郵件的段落結構,從而不可能知道該對哪一部分進行簽名。只有套用層是唯一能夠提供這種安全服務的層次。

一般來說,在套用層提供安全服務有幾種可能的做法,第一個想到的做法大概就是對每個套用(及套用傳輸協定)分別進行修改。一些重要的TCP/IP套用已經這樣做了。在RFC1421至1424中,IETF規定了私用強化郵件(PEM)來為關於SMTP的電子郵件系統提供安全服務。由於種種理由,Internet業界採納PEM的步子還是太慢,一個主要的原因是PEM依賴於一個既存的、完全可操作的PKI(公鑰基礎結構)。PEMPKI是按層次組織的,由下述三個層次構成:

頂層為Internet安全政策登記機構(IPRA)
次層為安全政策證書頒發機構(PCA)
底層為證書頒發機構(CA)
建立一個符合PEM規範的PKI也是一個政治性的程序,因為它需要多方在一個共同點上達成信任。不幸的是,歷史表明,政治性的程序總是需要時間的,作為一個中間步驟,PhilZimmermann開發了一個軟體包,叫做PGP(prettyGoodPrivacy)。PGP符合PEM的絕大多數規範,但不必要求PKI的存在。相反,它採用了分佈式的信任模型,即由每個用戶自己決定該信任哪些其他用戶。因此,PGP不是去推廣一個全局的PKI,而是讓用戶自己建立自己的信任之網。這就立刻產生一個問題,就是分佈式的信任模型下,密鑰廢除了怎麼辦。

S-HTTP是Web上使用的超文本傳輸傳輸協定(HTTP)的安全增強版本,由企業集成技術公司設計。S-HTTP提供了文件級的安全機制,因此每個文件都可以被設成私人/簽字狀態。用作加密及簽名的算法可以由參與通信的收發雙方協商。S-HTTP提供了對多種單向散列(Hash)函數的支持,如:MD2,MD5及SHA;對多種單鑰體制的支持,如:DES,三元DES,RC2,RC4,以及CDMF;對數字簽名體制的支持,如:RSA和DSS。

目前還沒有Web安全性的公認標準。這樣的標準只能由WWWConsortium,IETF或其他有關的標準化組織來制定。而正式的標準化程序是漫長的,可能要拖上好幾年,直到所有的標準化組織都充分認識到Web安全的重要性。S-HTTP和SSL是從不同角度提供Web的安全性的。S-HTTP對單個文件作"私人/簽字"之區分,而SSL則把參與通信的相應工作之間的資料通道按"私用"和"已認證"進行監管。Terisa公司的SecureWeb工具軟體包可以用來為任何Web套用提供安全功能。該工具軟體包提供有RSA資料安全公司的加密算法庫,並提供對SSL和S-HTTP的全面支持。

另一個重要的套用是電子商務,尤其是信用卡交易。為使Internet上的信用卡交易安全起見,MasterCard公司(同IBM,Netscape,GTE和Cybercash一道)制定了安全電子付費傳輸協定(SEPP),Visa國際公司和微軟(和其他一些公司一道)制定了安全交易技術(STT)傳輸協定。同時,MasterCard,Visa國際和微軟已經同意聯手推出Internet上的安全信用卡交易服務。他們發佈了相應的安全電子交易(SET)傳輸協定,其中規定了信用卡持卡人用其信用卡通過Internet進行付費的方法。這套機制的後台有一個證書頒發的基礎結構,提供對X.509證書的支持。

上面提到的所有這些加安全功能的套用都會面臨一個主要的問題,就是每個這樣的套用都要單獨進行相應的修改。因此,如果能有一個統一的修改手段,那就好多了。通往這個方向的一個步驟就是赫爾辛基大學的TatuYloenen開發的安全shell(SSH)。SSH允許其用戶安全地登錄到遠端主機上,執行指令,傳輸文件。它實現了一個密鑰交換傳輸協定,以及主機及客戶端認證傳輸協定。SSH有當今流行的多種Unix系統平台上的免費版本,也有由DataFellows公司包裝上市的商品化版本。

把SSH的思路再往前推進一步,就到了認證和密鑰分配系統。本質上,認證和密鑰分配系統提供的是一個套用編程界面(API),它可以用來為任何網路應用程式提供安全服務,例如:認證、資料機密性和完整性、訪問控制以及非否認服務。目前已經有一些實用的認證和密鑰分配系統,如:MIT的Kerberos(V4與V5),IBM的CryptoKnight和NetwrokSecurityProgram,DEC的SPX,Karlsruhe大學的指數安全系統(TESS)等,都是得到廣泛採用的實例。甚至可以見到對有些認證和密鑰分配系統的修改和擴充。例如,SESAME和OSFDCE對KerberosV5作了增加訪問控制服務的擴充,Yaksha對KerberosV5作了增加非否認服務的擴充。

關於認證和密鑰分配系統的一個經常遇到的問題是關於它們在Internet上所受到的冷遇。一個原因是它仍要求對套用本身做出改動。考慮到這一點,對一個認證和密鑰分配系統來說,提供一個標準化的安全API就顯得格外重要。能做到這一點,開發人員就不必再為增加很少的安全功能而對整個應用程式大動手術了。因此,認證系統設計領域內最主要的進展之一就是制定了標準化的安全API,即通用安全服務API(GSS-API)。GSS-API(v1及v2)對於一個非安全專家的編程人員來說可能仍顯得過於技術化了些,但德州Austin大學的研究者們開發的安全網路編程(SNP),把界面做到了比GSS-API更高的層次,使同網路安全性有關的編程更加方便了。


區域網路在網路層有什麼不安全的地方?

NAI公司供稿

不安全的地方

由於區域網路中採用廣播方式,因此,若在某個廣播域中可以偵聽到所有的信息包,黑客就對可以對信息包進行分析,那麼本廣播域的信息傳遞都會暴露在黑客面前。

網路分段

網路分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在於將非法用戶與網路資源相互隔離,從而達到限制用戶非法訪問的目的。

網路分段可分為物理分段和邏輯分段兩種方式:
物理分段通常是指將網路從物理層和資料鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網段,各網段相互之間無法進行直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現對網路的物理分段。邏輯分段則是指將整個系統在網路層(ISO/OSI模型中的第三層)上進行分段。例如,對於TCP/IP網路,可把網路分成若干IP子網,各子網間必須通過路由器、路由交換機、網關或防火牆等設備進行連接,利用這些中間設備(含軟體、硬體)的安全機制來控制各子網間的訪問。在實際套用程序中,通常採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性控制。


VLAN的實現


虛擬網技術主要關於近年發展的區域網路交換技術(ATM和以太網交換)。交換技術將傳統的關於廣播的區域網路技術發展為面向連接的技術。因此,網管系統有能力限制區域網路通訊的範圍而無需通過預先配置很大的路由器。

以太網從本質上關於廣播機制,但套用了交換器和VLAN技術後,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。

由以上執行機制帶來的網路安全的好處是顯而易見的:
信息只到達應該到達的地點。因此、防止了大部分關於網路監聽的入侵手段。
通過虛擬網設置的訪問控制,使在虛擬網外的網路節點不能直接訪問虛擬網內節點。

但是,虛擬網技術也帶來了新的安全問題:
執行虛擬網交換的設備越來越複雜,從而成為被攻擊的對象。關於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設置。關於MAC的VLAN不能防止MAC欺騙攻擊。
採用關於MAC的VLAN劃分將面臨假冒MAC位址的攻擊。因此,VLAN的劃分最好關於交換機連接阜。但這要求整個網路桌面使用交換連接阜或每個交換連接阜所在的網段機器均屬於相同的VLAN。


VLAN之間的劃分原則

VLAN的劃分方式的目的是保證系統的安全性。因此,可以按照系統的安全性來劃分VLAN;可以將總部中的伺服器系統單獨劃作一個VLAN,如資料庫伺服器、電子郵件伺服器等。也可以按照機構的設置來劃分VLAN,如將領導所在的網路單獨作為一個LeaderVLAN(LVLAN),其他司局(或下級機構)分別作為一個VLAN,並且控制LVLAN與其他VLAN之間的單向信息流向,即允許LVLAN檢視其他VLAN的相關資訊,其他VLAN不能訪問LVLAN的信息。VLAN之內的連接採用交換實現,VLAN與VLAN之間採用路由實現。由於路由控制的能力有限,不能實現LVLAN與其他VLAN之間的單向信息流動,需要在LVLAN與其他VLAN之間設置一個Gauntlet防火牆作為安全隔離設備,控制VLAN與VLAN之間的信息交流。


TCP/IP遠端訪問操作:rwho,rlogin,rcp和rsh


作者:Norkai
TCP/IP網路通信軟體包使用遠端訪問的指令,這些指令首先是由UCBerkely為Arpanet開發的。它允許您遠端註冊到另一個系統中,並從一個系統複製文件到另一個系統。您能取得關於一個系統的信息,比如當前誰正在註冊使用。使用一個系統的位址時,這些遠端指令使用域名或IP位址。和TCP/IP遠端訪問指令一樣,域名位址開始好是為在Arpanet上使用而設計。

&nbps;許多TCP/IP指令可以和用在Internet上的網路通信功能相比較。例如,用TCP/IP指令rlogin可以遠端註冊到一個系統,它和telnet相似。rcp指令能遠端複製文件,它執行和ftp相同的功能。TCP/IP指令的不同之處是它們提供給用戶的易用和易控制性。您能很容易地訪問在不同的Unix或Linux系統中的帳號,並且能控制訪問這些帳號但沒有提供密碼的用戶。事實上您能提供給不同的用戶提供關於您的帳號的一種組權限。

一、TCP/IP網路系統資訊:rwho,uptime和ping

這些指令是一些TCP/IP指令,通過它們,您能從網路中的不同系統上取得信息。您能找到誰正在註冊,得到另一個系統中用戶的信息,或查詢一個系統是否正在執行。例如,rwho指令和who指令的功能很相似。它顯示網路中的每個系統的當前註冊的用戶。

$rwho
violetrobert:tty1Sept1010:34
garnetchris:tty2Sept1009:22

指令ruptime可以顯示網路中的每個系統的信息。此信息能顯示出每個系統是如何執行。ruptime顯示系統是否執行,它執行了多久,系統中的用戶數和系統在最後5、10和15分鐘內的系統負荷。

$ruptime
violetup11+04:10,8users,load1.201.10
garnetup11+04:10,20users,load1.501.30

指令ping能檢測出系統是否啟動和執行。ping指令加上您想檢測的系統名做為參數,下面的例子將檢測violet是否啟動並連接在網路中。

$pingviolet
violetisalive
$

如果您想檢測的系統已經關機,將得到一個如下的回應。這種情況下,garnet是關閉並沒有連線到網路中。

$pinggarnet
noanswerfromgarnet
$

二、遠端訪問權限:.rhosts

您能用.rhosts文件控制使用TCP/IP指令對您帳號的訪問。用戶能用標準的編輯器象Vi來新增他們帳號中的.rhosts文件。它必須位於用戶的主目錄。下面的例子中,使用者顯示文件.rhosts文件的內容。

$cat.rhosts
garnetchris
cioletrobert

使用.rhosts文件是一種允許用戶不提供密碼而訪問您的系統的簡單方法。如果需要禁止此用戶訪問,只須簡單地從文件.rhost中刪除系統各和用戶註冊名。如果一個用戶的註冊名和系統名在文件.rhost中,那麼此用戶即呆不提供密碼直接訪問系統。並不是所有的遠端註冊操作都需要這種訪問形式(您能用輸入密碼的方式來替代);但一些遠端指令要求有.rhosts文件,像遠端複製文件或遠端執行Linux指令。如果您想在遠端系統的帳號中招待這些指令,此帳號的.rhosts文件中必須有您的註冊名和系統名。

通過.rhosts對某一系統進行訪問時,也允許您使用TCP/IP指令直接訪問系統中您的其他帳號。您不需要先註冊到這些帳號中。可以把系統中您的其他帳號做為當前註冊帳號的擴展。不管文件牌佻的哪個帳號下,都可以用frcp指令從一個目錄複製到另一個目錄。用指令rsh,可以在您的其他帳號中招待任何Linux指令。

三、遠端註冊:rlogin

您可能在網路中的不同系統上都有自己的帳號,或者可以訪問別人在另一個系統上的帳號。要訪問別的系統中的帳號,首先要註冊到您的系統中,接著通過網路遠端註冊到帳號所在的系統中。用指令rlogin可以遠端註冊支別的系統。指令的參數應是一個系統名。指令將把您連線到另一個系統中並開始註冊的程序.

用rlogin的註冊程序和一般的註冊程序有所不同,用rlogin時用戶不被提示輸入註冊名。rlogin假設您的本機系統中的註冊名和遠端系統中的一致。所以象上面執行rlogin指令時,您將馬上被提示輸入密碼。輸入密碼後,您即可進入遠端系統各的帳號。

用rlogin假設註冊各是相同的,因為大多數的人用rlogin訪問別的系統中的註冊名一般和本機的註冊名是相同的。然而,當遠端系統中的註冊名和本機系統的不同時,選項1-允許您輸入遠端系統帳戶的不同的註冊名。語法如下所示:
$rloginsystem-name-1login-name

在下面的例子中,用戶使用註冊名robert註冊到violet的系統中。

$rloginviolet-1robert
password
$

:一旦註冊到遠端系統中,您能執行任何指令。可以用exit、CTRL-d或logout(TCSH或C-shell)結束連接。

四、遠端複製文件:rcp

您能用指令rcp從遠端系統複製文件到本機系統中。rcp執行文件傳輸的功能,它的操作和cp指令很相似,但它是通過網路連線到另一系統。執行指令rcp時要求遠端系統的。rhosts文件中有您的本機系統名和註冊各。指令rcp用關鍵字rcp開頭,參數為來源文件名和複製的目標檔案名。為了指定文件在遠端系統中,您需要在檔案名前放置一個系統名,兩者之間用冒號分隔,如下所示:
$rcpsystem-name:source-fileslystem-name:copy-file

當複製一個文件到遠端系統中時,複製的目標文件是遠端文件,它要求帶有系統名。而來源文件在您的本機系統中,不要求系統名:
$rcpsource-fileremote-system-name:copy-file

在下面的例子中,用戶從自己的系統中複製文件weather到遠端系統violet並重命名為monday.
$rcpweatherviolet:Monday

從遠端系統中複製一個文件到本機時,來源文件是遠端文件,它要求帶有系統名。而複製的目標文件在您的本機系統中,不要求系統名:
$rcpremote-system-name:source-filecopy-file

在下面的例子中,用戶從遠端系統之間複製整個目錄。rcp指令加上-r選項將從一個系統複製一個目錄和它的子目錄到另一個系統。像cp指令一樣,rcp要求一個源目錄和複製目錄。在遠端系統中的目錄要求系統名和一個以分隔系統名和目錄名的冒號,以及目錄名。當從您的系統複製目錄到一個遠端系統,則在遠端系統中的複製目錄需要遠端系統名。
$rcp-rsource-directoryremote-system-name:copy-directory

在下面的例子中,使用者把目錄letters複製到遠端系統violet中的目錄oldnotes中。
$rcp-rlettersvioletldnotes

當從您的系統複製一個遠端系統中的目錄到本機時,在遠端系統中的源目錄需要遠端系統名。
$rcp-rremote-system-name:source-directorycopy-directory

在下面的例子中,使用者把遠端系統violet中的目錄birthdays複製到本機的目錄party中。
$rcp-rviolet:birthdaysparty

同時,您可以用星號指定名字,或用圓點引用當前目錄。對於Shell的特殊字串,是由您的本機系統進行解釋轉換,而不是遠端系統。為了使遠端系統解釋轉換一個特定字串,您必須通進某種方式引用它。為了複製遠端系統種所有帶副檔名.c的文件到您的系統中,您需要用特殊字串-星號:*.c來指定所有的帶副檔名.c的文件。您必須注意引用星號的方式。下面的例子中,在系統violet中的帶.c副檔名的文件被複製到使用者的系統中。注意,星號是通過一個反斜槓引用。而最後的圓點,表示當前的目錄,並沒被引用。它是由您的本機系統解釋並轉換的。
$rcpviolet:\*.c

下面的例子中,目錄report將從使用者的本機系統複製到遠端系統的當前目錄中。注意圓點被引用,它將被遠端系統解釋轉換。
$rcp-rreportsviolet:\.

五、遠端執行:rsh

您可能需要在遠端系統中執行一個指令。rsh指令將在遠端Linux系統上執行一個指令並把結果顯示到您的系統中。當然,您的系統名和註冊名必須在遠端系統的.rhosts文件中,指令rsh有兩個一般的參數,一個系統名和一個Linux指令。語法如下所示:
$rshremote-sytem-neameLinux-command

在下面的例子中,rsh指令將在遠端系統violet中執行一個ls指令以列出在violet中目錄/home/robert中的文件。
$rshvioletls/home/robert

除非是引用特定字串,否則它將被本李系統解釋轉換,對於控制標準輸出的特殊字串更是如此,像重定向或管道字串。下面的例了中列出遠端系統上的文件,並把它們送到本系統中的標準輸出。重定向操作由本機系統解釋,並把輸出改向到本機系統中的文件myfiles中。
$rshvioletls/home/robert>myfiles

如您引用一個特定字串,它將成為Linux指令的一部分被遠端系統解釋。引用重定向操作符將允許您在遠端系統中執行重定向操作。下面的例子中,引用一個重定向操作符。它變成Linux指令的一部分,包括指令的參數,檔案名myfile。指令ls產生一列檔案名並把它們重定向到遠端系統中的一個文件myfile中。
$rshvioletls/home/robert'>'myfiles

對於管道操作也是如此。下面例子中第一個指令輸出一列文件到本機的列印機中。標準的輸出能過管道輸出到您的在線列印機中。第二個指令中,一列文件將輸出遠端系統的列印機上。管道線被遠端系統解釋。輸送標準輸出到遠端系統的列印機上。
$rshvioletls/home/robert|lpr
$rshvioletls/home/robert'|'lpt
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2003-06-08, 11:33 PM   #2 (permalink)
註冊會員
榮譽勳章

勳章總數
UID - 74900
在線等級: 級別:0 | 在線時長:0小時 | 升級還需:5小時
註冊日期: 2003-06-04
文章: 8
精華: 0
現金: -1 金幣
資產: -1 金幣
預設

太多太長可有得看了…
謝謝大大的分享
young5 目前離線  
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-09, 09:15 PM   #3 (permalink)
註冊會員
 
skydog 的頭像
榮譽勳章

勳章總數
UID - 7349
在線等級: 級別:7 | 在線時長:84小時 | 升級還需:12小時級別:7 | 在線時長:84小時 | 升級還需:12小時
註冊日期: 2002-12-09
VIP期限: 2005-04
住址: 桃園
文章: 724
精華: 0
現金: -3 金幣
資產: -3 金幣
預設

muhahaha~~~真巧,下禮拜期末考剛好要考資網,謝謝大大辛苦的整理...
skydog 目前離線  
送花文章: 0, 收花文章: 2 篇, 收花: 3 次
舊 2003-06-10, 02:14 PM   #4 (permalink)
askquestion
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

謝謝大大的分享,實在太精彩了,我學到了不少的東西!
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-10, 02:54 PM   #5 (permalink)
wty741
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

感謝大大的教學<感恩>
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-11, 09:01 AM   #6 (permalink)
xantia
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

多謝你的無私...真是受益良多..........
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-11, 10:35 PM   #7 (permalink)
cdjiunn
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

惠我良多
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-12, 09:31 AM   #8 (permalink)
foolst
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

惠我良多太精彩了教學
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-14, 07:40 AM   #9 (permalink)
evan91709
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

Thanks
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-14, 06:19 PM   #10 (permalink)
a1006
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

3qq
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-15, 01:37 PM   #11 (permalink)
lucyz19
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

受教了,感恩啊
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-16, 04:58 PM   #12 (permalink)
no1power
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

多謝賜教
獲益良多
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-16, 05:37 PM   #13 (permalink)
plzark
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

很實用喔
謝謝啦
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-17, 12:51 AM   #14 (permalink)
bzbz
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

這個好哦,這學期正在修,感謝你啦!!
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-06-20, 12:58 PM   #15 (permalink)
userpcnob
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

goooooooooooooooooooooooood
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 11:54 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1