1、第7章 无线局域网与Internet互连,吉林大学通信工程学院姜 宏,第一节 局域网与上层协议的关系 从网络体系的观点讲,局域网实现链路层与物理层的功能,它是为上层协议提供高速通信接口的“物理网”;从网络用户的角度讲,用户并不直接使用该物理网,而是使用网络操作系统或某一网络应用程序。网络操作系统则调用其下的传送层及网络层功能实现网络通信。 下图绘出了局域网与其上层协议的关系。图中列举了不同网络操作系统以及 TCP/IP网路应用程序与局域网的关系。对不同的网络操作系统,其使用的传送层及网络层协议是不同的。例如TCP/IP应用程序使用的传送层协议为TCP,网络层协议为IP;Netware系统分别使
2、用SPX和IPX。,第二节 因特网概述 一、因特网的现状 1因特网的规模 因特网的规模是全球性的,与因特网互联的国家和地区遍及全世界,几乎所有的国家,连接的计算机几个亿。通过因特网,用户在自己办公室或家中可使用计算机与其他用户通信,并可获得因特网中的各种信息资源。 2因特网目前提供的服务 基本服务包括:电子邮件(电子邮件)、文件传送(FTP)、远程终端仿真 (远程登录)。还有许多其它的服务项目:,例如公告板服务,目录、图书索引服务,商用电子数据服务,多媒体信息查询与传送服务等。在这些服务中利用最多的是电子邮件及文件传送服务。 3因特网的组织管理机构 1992年1月因特网学会(Internet协
3、会)正式成立。 因特网学会下属机构很多,其中IAB(Internet架构委员会),是负责因特网网络体系的技术委员会,由它制定因特网技术上的发展方向。IAB有若干个分支机构,例如 IANA(因特网赋值数代理权)与IETF(Internet工程工作小组)等。,二、因特网使用的协议 任何一个计算机网络,为了保证网络内主机之间、节点之间能够正确地交换信息,这些主机或节点必须遵守一定的规则。这些规则通常称做协议,而各种协议的集合叫做协议集。因特网使用的协议集通常称做TCP/IP(传输控制协议/Internet协议)。 支撑因特网的物理网可分为两类: 一类是诸如以太网、FDDI(光纤分布式数据接口)等的局
4、域网; 另一类是诸如公共电话网、公共分组交换网、综合业务服务网等的广域网。对不同的物理网配以相应的网络接口协议,可使上层的网间协议运行在不同的物理网上。,三、因特网的构成 如图, 局域网、广域网和路由器是构成因特网的要素。,四、IP地址 就像电话机的电话号码一样,在因特网上的主机(Host)也有一个世界唯一的网络地址,该地址被称做主机的IP地址。IP地址由4个字节(32比特)构成,IP地址分成了五类,即A类到E类。IP地址由三个字段组成,即:类别字段(又称为类别比特),用来区分IP地址的类型;网络号码字段 (网-id ) ,用于标识主机所在的网络;主机号码字段(主机-id ) ,用于区分网络内
5、部不同的主机。 目前使用的大量IP地址仅A至C类三种。D类地址是一种组播地址,保留给因特网体系结构委员会IAB(Internet架构委员会)使用。E类地址保留。,IP地址主要有三类:A类、B类、C类。一个 A类网络中可容纳224 - 2台主机,一个B类地址可容纳216- 2台主机,而一个C类地址可容纳28- 2台主机。,A 类 B 类 C 类,根据IP第一个字节区分,各类IP地址的范围如下:1-126 A类地址 126128-191 B类地址 64192-223 C类地址 32224-239 D类地址 16240-254 E类地址 15,网络屏蔽码:X.X.X.X-用来划分网段 根据网络屏蔽码
6、和IP地址,可将IP网络分成三种: A类子网:网络屏蔽码:255.0.0.0-屏蔽第一字节,即具有256256256个IP地址资源。 B类子网:网络屏蔽码:255.255.0.0-屏蔽前两字节,即具有256256个IP地址资源。 C类子网:网络屏蔽码:255.255.255.0-屏蔽前三字节,即具有256个IP地址。 资源划分网段的意义:同一网段内的用户可以直接通讯,抑制不同网段间的广播风暴。,在使用IP地址时,还要注意下列地址是保留作为特殊用途的,一般不使用。 网络号码全为0,这表示“本网络”或“我不知道号码的这个网络”。 网络号码全为1。 全0的主机号码,表示主机所在网络的网络地址。 例如
7、:129.9.0.0/255.255.0.0用于表示该网络的网络地址。 全1的主机号码,表示广播地址,即该信息包对该网络上所有的主机进行广播。 例如:129.9.255.255/255.255.0.0用于表示对该网络上所有的主机广播消息。,全0的IP地址,即0.0.0.0。 网络号码为127.X.X.X,这里X.X.X为任何数。这样的网络号码用作本地软件回送测试(环后面的测试)之用。比如砰声127.0.0.1就表示砰声自己主机上的网卡。 A类IP地址的网络号码数不多。目前几乎没有多余的可供分配。现在能够申请到的IP地址只有B类和C类两种。 当某个单位向IAB申请到IP地址时,实际上只是拿到了一
8、个网络号码网-id。具体的各个主机号码主机-id则由该单位自行分配,只要做到在该单位管辖的范围内无重复的主机号码即可。,五、主机名与域名 32比特的IP地址对路由器、主机等机器来讲非常方便。但不易于人的阅读与识别。为此,专门为因特网上的主机设置了便于人使用的主机名字,该名字由英文字母组成。主机名与主机的IP地址有一一对应关系。 当与一台主机通信时,可指定其IP地址,也可指定其主机名。这样,就要求因特网上存在这样一种机制,该机制能够解决主机名字与IP地址的对应关系。目前,因特网使用DNS(域名系统,RFC1034,RFCl035)来完成这一工作。DNS采用树状结构对名字进行管理。,因特网正是使用
9、这种分布在各个域的名字服务器来完成对因特网上所有主机的分布式管理。通常,采用以下格式表示因特网中的一台主机或一个域: . .其中,句点的右侧表示该句点左侧主机(或域)的父域。加入Internet的组织除了应设置、管理自己的名字服务器之外,还应向其父域的名字服务器登录其名字与地址。,第三节 CERNET与校园网 做为因特网上的网络实例,本节介绍中国教育科研计算机网(CERNET),主要讨论校园网的设计与构筑方法。 一、CERNET简介 1994年3月由国家教委组织立项,开始了中国教育科研计算机网络(CERNET)项目的实施。 目前,CERNET已与因特网互连,并联接全国大部分高等院校,成为了我国
10、信息网络建设的重要示范工程。 CERNET由国家骨干网、地区网、校园网三级网络构成。,骨干网租用邮电部门的公网线路,目前使用的是DDN(数字数据网)线路。骨干网上设有八个节点,采用网格状拓扑结构,如图9.5所示。 地区网呈星型拓扑结构,各校园网可经公网或专用链路接入邻近的地区网节点。 CERNET不对校园网的网络结构做任何规定,各院校可视各自的情况设计自己的校园网。根据学校规模的不同,校园网的结构可以是多种多样。 为了与因特网互连,要求CERNET及接入CERNET的校园网支持因特网的标准协议,即支持TCP/IP协议。,二、校园网的构成 校园网,顾名思义,指一个学校的计算机网络,其覆盖范围一般
11、是整个校园。一个校园网通常由校园骨干网、部门子网以及相应的互连设备构成。 如图9.6所示,校园骨干网把本校各部门子网连接起来,它可采用FDDI局域网(纤维分布式的数据接口)、 ATM局域网、交换式局域网及一般的局域网实现。目前使用最多的是FDDI,这是一种光纤环网,它的数据传输速率为100 Mbps,采用令牌传递多址接入技术。 图9.6(a)所示的骨干网采用FDDI;图9.6(b)中的骨干网采用了ATM局域网,它由两台ATM交换机相连接构成。,ATM交换机之间、ATM交换机与集线器或ATM主机之间可采用光纤、双绞线等传输媒体,依使用的传输媒体、传输方式不同,可支持45Mbps、52Mbps等至
12、2.4Gbps等传输速率。 部门子网一般由以太网、令牌环网等局域网或由这些局域网的互连构成。部门子网可采用以下方式与骨干网连接:桥接器;路由器;交换机(开关)。 桥接器在链路层完成不同局域网之间的互通,如以太网与FDDI的互通等;路由器在网络层完成子网之间的互通;交换机主要在链路层完成局域网间互通,它可看做是多端口、高速桥接器。在具体构筑校园网时,可根据实际网络的配置、规划情况选用不同的设备。,三、校园网接入因特网 因特网是一个阶层网络,网上有许多网络管理中心(NOC),校园网处在因特网的最下层。校园网如果要加入因特网,最好从距自己最近的NOC加入。CERNET从北京租用国际线路加入亚太地区的
13、NOC。 1.校园网接入因特网的物理连接方法 可采用以下线路接入NOC: 租用专线接入,如租用电话线、X.25、DDN专线入网;拨号接入,如直接用电话线、X.25、DDN拨号入网;专用网接入,如使用无线局域网和无线分组交换网入网。,2互连方式的选择 一般来讲,校园网可采取三种方式与因特网连接:开放式连接;部分限制连接;经防火墙主机连接。 开放式连接:如图9.7(a)所示,这种方式下,挂在校园网上的主机可以访问因特网也可被因特网访问。 部分限制连接:如图9.7(b)所示,这种方式下,限制校园网上的一部分主机与因特网的通信,而这些主机在校内范围内的通信不受限制。 经防火墙主机连接:如图9.7(c)
14、所示,防火墙主机分别与校园网及因特网相连。只有在该主机上登录的校园网与因特网的用户才可通过该主机相互访问,并使用该主机限定的应用。,四、校园网的安全防护 校园网连入因特网后应考虑的安全防护措施。 来自网络上的威胁有以下几种; 非法侵入,指未经许可的用户非法进入网络,并读取、改写文件。这种非法侵入通常采用的手段是窃取合法用户的口令从而进入网络; 盗听、篡改网上数据,指采用硬件设备从网络缆线、配线架上盗听网上的数据,并把经过篡改的数据再送上网络, 防碍系统正常运行,指向网上或某一网上设备发送大量某种信息,使网络处于高负荷运转,或向路由器发送错误信息,使路由器无法正常工作。,1防止非法侵入 对校园网
15、内可直接被因特网访问的主机进行限制。 对保密性要求高的主机进行访问控制,例如,使用路由器的IP地址过滤功能,对数据分组的传送进行控制;使用路由器的端口号(港口数)过滤功能对网络上运行的应用软件进行控制。 , 经由防火墙主机入网。 充分利用Unix操作系统的口令管理及系统运行记录等功能,对企图非法侵入的活动进行监视。 不运行不必要的应用服务程序,以减少非法侵入的可能性。,2防止窃听、篡改数据 对保密性要求高的数据进行加密处理; 加强机房安全措施,对路由器、配线架等网上设备严格管理; 网络布线要规范,减少缆线被直接窃听的可能性。 3路由信息的安全保护 加强对路由器的访问控制,应对路由器进行设置使其
16、仅接受来自特定路由器的信息; 必要时采取静态路由控制方法。,吉林大学校园网是多层次的树型结构。2001年在长春市内各个方位的前卫南区、前卫北区、南岭校区、新民校区、朝阳校区、南湖校区局域网络,通过光纤线路互连在一起,形成校园网主干。这些主干线路,将各校区成千上万的计算机联系在一起,使吉林大学校园网具备了城域网的规模。 目前双千兆骨干网络覆盖了九大校区,连接了全部办公楼、绝大部分学生宿舍楼和教职工住宅。其中,主要大楼千兆连接到校区主节点,其它楼宇百兆上连。学生宿舍楼和教职工住宅楼已经具备了入网的条件. 校园网通过1G光纤连接到位于吉林大学内的中国教育科研计算机网吉林省主节点,后者目前与教育网东北
17、节点以2.5G互连。,第四节 WLAN 的接入安全机制,1、服务区标识符(SSID) 2、MAC地址过滤 3、有效等效保密(WEP)算法,第五节 WLAN 路由器的无线设置1无线参数初步设置图1是TP-LINK WR245无线路由器的管理界面。这款无线宽带路由器除多了一项无线设置外,其他设置项都跟同档次的有线路由产品一样,设置方法也都类似,所以这里只介绍无线设置部分。,图1 路由器管理界面,首次上网设置可以使用“设置向导”,其中的参数设置与有线路由器相比多了“无线设置”一项,如图2所示。其中“无线功能”可决定其AP的功能是否启用。“SSID号”也可写为“ESSID”,是AP的标识字符,有时也翻
18、译成“服务集标识符或服务区标识符”,作为接入此无线网络的验证标识(可以想象成在Windows文件共享环境中的工作组名)。无线客户端要加入此无线网络时,必须拥有相同的SSID号,否则就会被“拒之门外”。此项默认为“TP-LINK”,可以改成自已喜欢的任何名称,作为一种最简单的安全保障措施,还需要禁止与SSID广播的配合使用。,图2 路由器无线设置,2无线参数高级设置 一般的无线路由器和AP都会有表1中所列的三种设置项。,表1 一般无线路由器和AP的三种设置项,1) 无线网络基本设置 无线网络基本设置界面如图3所示。,图3 “无线网络基本设置”界面,2) 主机状态无线网络的主机状态在如图4所示的界
19、面中显示。在这个界面中,可以查看到加入此无线网络的主机信息,最主要的是能获得其MAC地址,以便在MAC地址过滤中使用。,图4 无线网络主机状态,3) MAC地址过滤无线网络中MAC地址过滤设置界面如图5、6所示。,图5 无线网络MAC地址过滤设置界面1,图6 无线网络MAC地址过滤设置界面2,在开始设置前,MAC地址过滤功能默认为关闭,先单击“启用过滤”按钮将其启用。通常我们只想让自己的几台客户端主机加入此无线网络,所以在“过滤规则”中选择“仅允许”项,单击下面的“添加新条目”按钮,在图6所示的界面中填写刚才记录的MAC地址,并加上自定义的描述,选择“生效”状态,保存后即弹回图5所示的界面,设
20、置完成。这样,只有在表中的MAC地址无线网卡才能接入本WLAN,比默认配置要安全得多。还有一种获得MAC地址的方法,就是在客户机系统的命令提示符窗口运行“ipconfig /all”,找到无线网卡名称,其下面的一行“Physical Address”信息即为该网卡的MAC地址。,3无线网卡客户端的设置在设置完无线路由器,尤其是对其无线安全设置做了修改之后,还要对客户端无线网卡的参数做相应的修改,才能使客户端加入到此WLAN中。以Win2000为例,在Windows系统的设备管理器中,选择安装无线网卡设备,并打开其“属性”窗口,单击“高级”标签,可以看到与刚才在无线路由器中设置的无线参数相对应的
21、项,如图7所示。,图7 无线网卡属性窗口,“ESSID”对应无线路由器设置中的“SSID”,这项要保持一致才能连入网络。而在无线网卡未手动指定SSID的情况下,无线网卡将自动搜索信号最强的AP并进行连接,当然前提是这个AP已启用了SSID广播功能。“Encryption Level”加密级别对应“密钥类型”,即WEP共享密钥中的加密位数,根据刚才设置的选项选择64位或者128位。“WEP Key #1”“WEP Key #4”是4条WEP共享密钥,根据无线路由器中的设置对应填写,并在“WEP Key to use”中选择使用哪条密钥,如图8所示。如果密钥不符,则会出现无线网卡客户端已连接上此网
22、络,但不能收发数据的情况。,图8 共享密钥,“Operating Mode”,即工作模式。对于无线网卡来说,允许使用两种类型的网络工作模式:Infrastructure模式和Ad-Hoc模式,如图9所示。如果选择了前者,无线网卡将会连接到一个AP上(相当于“客户端”模式,连接到AP这个服务器上);如果选择后者,无线网卡将会直接连接到另一个无线工作站(如另一个无线网卡)上,其实就是点对点的模式。而且在Infrastructure模式中,不需要设置“Channel”,此时的“频段”或叫“信道”是自动检测的。只有在Ad-Hoc模式中才需要设置“Channel”值,此时的工作组中所有的无线工作站都必须有相同的信道号和SSID值。,图9 无线网卡工作模式,
