局域網(Local Area Network,LAN)是指在某一區域內由多臺計算機互聯成的計算機組。一般是方圓幾千米以內。局域網可以實現文件管理、應用軟件共享、打印機共享、工作組內的日程安排、電子郵件和FAX通信服務等功能。局域網是封閉型的,可以由辦公室內的兩臺計算機組成,也可以由一個公司內的上百臺計算機組成。
概念簡介
局域網的覆蓋范圍一般是方圓幾千米之內,其具備的安裝便捷、成本節約、擴展方便等特點使其在各類辦公室內運用廣泛。局域網可以實現文件管理、應用軟件共享、打印機共享等功能,在使用過程當中,通過維護局域網網絡安全,能夠有效地保護資料安全,保證局域網網絡能夠正常穩定的運行。
為了完整地給出LAN的定義,必須使用兩種方式:一種是功能性定義,另一種是技術性定義。前一種將LAN定義為一組臺式計算機和其他設備,在物理地址上彼此相隔不遠,以允許用戶相互通信和共享諸如打印機和存儲設備之類的計算資源的方式互連在一起的系統。這種定義適用于辦公環境下的LAN、工廠和研究機構中使用的LAN。局域網絡計算機技術發展至今已融入社會生活的方方面面,與人們的日常生活工作密不可分。
就LAN的技術性定義而言,它定義為由特定類型的傳輸媒體(如電纜、光纜和無線媒體)和網卡(亦稱為網卡)互連在一起的計算機,并受網絡操作系統監控的網絡系統。
功能性和技術性定義之間的差別是很明顯的,功能性定義強調的是外界行為和服務;技術性定義強調的則是構成LAN所需的物質基礎和構成的方法。
局域網(LAN)的名字本身就隱含了這種網絡地理范圍的局域性。由于較小的地理范圍的局限性,LAN通常要比廣域網(WAN)具有高得多的傳輸速率。例如,LAN的傳輸速率為10Mb/s,FDDI的傳輸速率為100Mb/s,而WAN的主干線速率國內僅為64kbps或2.048Mbps,最終用戶的上限速率通常為14.4kbps。
LAN的拓撲結構常用的是總線型和環行,這是由于有限地理范圍決定的,這兩種結構很少在廣域網環境下使用。
LAN還有諸如高可靠性、易擴縮和易于管理及安全等多種特性。
局域網自然就是局部地區形成的一個區域網絡,其特點就是分布地區范圍有限,可大可小,大到一棟建筑樓與相鄰建筑之間的連接,小到可以是辦公室之間的聯系。局域網自身相對其他網絡傳輸速度更快,性能更穩定,框架簡易,并且是封閉性,這也是很多機構選擇的原因所在。局域網自身的組成大體由計算機設備、網絡連接設備、網絡傳輸介質3大部分構成,其中,計算機設備又包括服務器與工作站,網絡連接設備則包含了網卡、集線器、交換機,網絡傳輸介質簡單來說就是網線,由同軸電纜、雙絞線及光纜3大原件構成。?
局域網是一種私有網絡,一般在一座建筑物內或建筑物附近,比如家庭、辦公室或工廠。局域網絡被廣泛用來連接個人計算機和消費類電子設備,使它們能夠共享資源和交換信息。當局域網被用于公司時,它們就稱為企業網絡。
局域網將一定區域內的各種計算機、外部設備和數據庫連接起來形成計算機通信網,通過專用數據線路與其他地方的局域網或數據庫連接,形成更大范圍的信息處理系統。局域網通過網絡傳輸介質將網絡服務器、網絡工作站、打印機等網絡互聯設備連接起來,實現系統管理文件,共享應用軟件、辦公設備,發送工作日程安排等通信服務。局域網為封閉型網絡,在一定程度上能夠防止信息泄露和外部網絡病毒攻擊,具有較高的安全性,但是 一旦發生黑客攻擊等事件,極有可能導致局域網整體出現癱瘓,網絡內的所有工作無法進行,甚至泄露大量公司機密,對公司事業發展造成重創。2017年國家發布《中華人民共和國網絡安全法》,6月1日正式施行,從法律角度對網絡安全和信息安全做出了明確規定,對網絡運營者、使用者都提出了相應的要求,以提高網絡使用的安全性。
無線局域網
無線局域網,簡稱WLAN,是在幾千米范圍內的公司樓群或是商場內的計算機互相連接所組建的計算機網絡,一個無線局域網能支持幾臺到幾千臺計算機的使用。現如今無線局域網的應用已經越來越多。現在的校園、商場、公司以及高鐵都在應用。無線局域網的應用為我們的生活和工作都帶來很大的幫助,不僅能夠快速傳輸人們所需要的信息,還能讓人們在到達聯網中的聯系更加快捷方便。
無線局域網近來受到非常大的歡迎,尤其是家庭、舊辦公樓、食堂和其他一些安裝電纜太麻煩的場地。在這些系統中,每臺計算機都有一個無線調制解調器和一個天線,用來與其他計算機通信。在大多數情況下,每臺計算機與安裝在天花板上的一個設備通信。這個設備,成為接入點、無線路由器或者基站,它主要負責中繼無線計算機之間的數據包,還負責中繼無線計算機和Internet之間的數據包。
無線局域網的一個標準稱為IEEE 802.11,俗稱WIFI,已經非常廣泛地使用。?
局域網的組建
組建目標
無線局域網可以傳輸音頻、視頻、文字。現在很多公司和校園都在用無線局域網。不僅能夠提高辦公的效率,還能快速傳遞信息。無線局域網的組建、維護管理都非常簡單,而且很少被干擾。而且還能夠節省網絡費用的開支。無線局域網的組建目標主要有兩個標準:第一,靈活性和獨立性較強。無線局域網的部件的和相關設備的擺放不受任何空間限制。用戶在連接到無線局域網以后。可以用自己是手機或筆記本等設備與系統網絡進行連接,也不會影響到無線局域網的正常使用。第二,擴展性和先進性好。無線局域網的組建結構是非常簡單。它會隨著現在科技信息技術的發展而進行更新,提升性能和升級系統,從而使得信息傳輸更加快速。
無線局域網應用
在日常生活中的應用
無線局域網的實現協議眾多,當前最廣泛使用的當屬Wi-Fi,只需要一個路由器,即可以達到讓所有具有無線功能的設備組成一個無線局域網,非常方便靈活。目前大多數無線局域網是基于IEEE802.11標準,在這個標準下的無線局域網大多使用的是2.4GHz 或5GHz的射頻。家庭一般只需要一個路由器就可以組建小型的無線局域網絡,中等規模的企業通過多個路由器以及交換機,就能組建覆蓋整個企業的中型無線局域網絡,而大型企業則是需要通過一些中心化的無線控制器來組建強大的覆蓋面廣的大型無線局域網絡。?
在不同行業中的應用
無線局域網在醫院中的應用對于醫療工作有很大的幫助,醫生在查房時,需要隨時查看患者的病例,然后會看患者當時的病情在下醫囑。在使用無線網絡以后,醫生查房時可以攜帶能夠連接無線網絡的平板電腦,隨時查看患者的病例,并記錄患者當時的病情。無線局域網不僅能為醫生和病人提供上網服務,在醫院的病人家屬和訪客都能享受到無線網絡的快捷和便利。利用無線網絡的定位服務在醫院的應用也非常有幫助,醫生能夠及時定位到患者的位置。當患者出現緊急狀況時能夠得到及時搶治療。另外,利用無線定位還可以隨時知道藥品的具體位置,相關人員在管理藥品的庫存時更加精確和方便。
金融行業網點眾多,建議采用電話 AC+瘦AP的組網架構,以便于WLAN網絡統一管理。前期布網可考慮與運營商進行合作,以減少建設投資。AP的布放需要結合實際環境,如面積、樓層等做具體的適應性調整,部署范圍應覆蓋電子銀行服務區、營業大廳、客戶等候區、VIP客戶接待區、理財專區等所有客戶有權到達的區域,同時將無線控制器AC部署在核心機房,無線控制器通過N*GE鏈路旁掛或者在線部署在運營商匯聚交換機或者核心設備 上。?
有線局域網
有線局域網使用了各種不同的傳輸技術。它們大多使用銅線作為傳輸介質,但也有一些使用光纖。局域網的大小受到限制,這意味著最壞情況下的傳輸時間也是有界限的,并且事先可以知道。了解這些界限有助于網絡協議的設計。通常情況下,有線局域網的運行速度在100Mbps到1Gbps之間,延遲很低(微秒或者納秒級),而且很少發生錯誤。較新的局域網可以工作在高達10Gbps的速率。和無線網絡相比,有線局域網在性能的所有方面都超過了它們。
許多有線局域網的拓撲結構是以點到點鏈路為基礎的。俗稱以太網的IEEE 802.3是迄今為止最常見的一種有線局域網。在交換式以太網中每臺計算機按照以太網協議規定的方式運行,通過一條點到點鏈路連接到一個盒子,這個盒子稱為交換機,這就是交換式以太網名字的由來。
特點及分類
局域網一般為一個部門或單位所有,建網、維護以及擴展等較容易,系統靈活性高。其主要特點是:
局域網的類型很多,若按網絡使用的傳輸介質分類,可分為有線網和無線網;若按網絡拓撲分類,可分為總線型、星型、環型、樹型、混合型等;若按傳輸介質所使用的訪問控制方法分類,又可分為以太網、令牌環網、FDDI網和無線局域網等。其中,以太網是當前應用最普遍的局域網技術。
協議簡介
局域網中的一些協議,在安裝操作系統時會自動安裝。如在安裝Windows 2000或Windows 95/98時,系統會自動安裝NetBEUI通信協議。在安裝NetWare時,系統會自動安裝IPX/SPX通信協議。其中三種協議中,NetBEUI和IPX/SPX在安裝后不需要進行設置就可以直接使用,但TCP/IP要經過必要的設置。所以下文主要以Windows 2000環境下的TCP/IP協議為主,介紹其安裝、設置和測試方法,其他操作系統中協議的有關操作與Windows 2000基本相同,甚至更為簡單。
在Windows 2000中,如果未安裝有TCP/IP通信協議,可選擇“開始/設置/控制面板/網絡和撥號連接”,右鍵單擊“本地連接”選擇“屬性”將出現“本地連接屬性”對話框,單擊對話框中的“安裝”按鈕,選取其中的TCP/IP協議,然后單擊“添加”按鈕。系統會詢問你是否要進行“DHCP服務器”的設置?如果你局域網內的IP地址是固定的(一般是這樣),可選擇“否”。隨后,系統開始從安裝盤中復制所需的文件。
在“網絡”對話框中選擇已安裝的TCP/IP協議,打開其“屬性”,將出現“Internet協議(TCP/IP)屬性”的對話框。在指定的位置輸入已分配好的“IP地址”和“子網掩碼”,不知道可以去詢問網絡管理員。建議在安裝系統前記下此號碼,畢竟求人不如求己嘛。如果該用戶還要訪問其它Windows 2000網絡的資源,還可以在“默認網關”處輸入網關的地址。
當TCP/IP協議安裝并設置結束后,為了保證其能夠正常工作,在使用前一定要進行測試。我建議大家使用系統自帶的工具程序:ping命令,該工具可以檢查任何一個用戶是否與同一網段的其他用戶連通,是否與其他網段的用戶連接正常,同時還能檢查出自己的IP地址是否與其他用戶的IP地址發生沖突。
假如服務器的IP地址為190.201.2.1,如要測試你的機器是否與服務器接通時,只需切換到DOS提示符下,并鍵入命令“PING190.201.2.1”即可。如果出現類似于“Reply from 190.201.2.1……”的回應,說明TCP/IP協議工作正常;如果顯示類似于“Request timed out”的信息,說明雙方的TCP/IP協議的設置可能有錯,或網絡的其它連接(如網卡、HUB或連線等)有問題,還需進一步檢查。
拓撲結構
局域網通常是分布在一個有限地理范圍內的網絡系統,一般所涉及的地理范圍只有幾公里。局域網專用性非常強,具有比較穩定和規范的拓撲結構。常見的局域網拓樸結構如下:
星形簡介
這種結構的網絡是各工作站以星形方式連接起來的,網中的每一個節點設備都以中防節為中心,通過連結線與中心節點相連,如果一個工作站需要傳輸數據,它首先必須通過中心節點。由于在這種結構的網絡系統中,中心節點是控制中心,任意兩個節點間的通信最多只需兩步,所以,能夠傳輸速度快,并且網絡構形簡單、建網容易、便于控制和管理。但這種網絡系統,網絡可靠性低,網絡共享能力差,并且一旦中心節點出現故障則導致全網癱瘓。
樹形簡介
樹形結構網絡是天然的分級結構,又被稱為分級的集中式網絡。其特點是網絡成本低,結構比較簡單。在網絡中,任意兩個節點之間不產生回路,每個鏈路都支持雙向傳輸,并且,網絡中節點擴充方便、靈活,尋查鏈路路徑比較簡單。
但在這種結構網絡系統中,除葉節點及其相連的鏈路外,任何一個工作站或鏈路產生故障會影響整個網絡系統的正常運行。
總線形簡介
總線形結構網絡是將各個節點設備和一根總線相連。網絡中所有的節點工作站都是通過總線進行信息傳輸的。作為總線的通信連線可以是同軸電纜、雙絞線,也可以是扁平電纜。在總線結構中,作為數據通信必經的總線的負載能量是有限度的,這是由通信媒體本身的物理性能決定的。所以,總線結構網絡中工作站節點的個數是有限制的,如果工作站節點的個數超出總線負載能量,就需要延長總線的長度,并加入相當數量的附加轉接部件,使總線負載達到容量要求。總線形結構網絡簡單、靈活,可擴充性能好。所以,進行節點設備的插入與拆卸非常方便。另外,總線結構網絡可靠性高、網絡節點間響應速度快、共享資源能力強、設備投入量少、成本低、安裝使用方便,當某個工作站節點出現故障時,對整個網絡系統影響小。因此,總線結構網絡是最普遍使用的一種網絡。但是由于所有的工作站通信均通過一條共用的總線,所以,實時性較差。
環形簡介
環形結構是網絡中各節點通過一條首尾相連的通信鏈路連接起來的一個閉合環形結構網。環形結構網絡的結構也比較簡單,系統中各工作站地位相等。系統中通信設備和線路比較節省。
在網中信息設有固定方向單向流動,兩個工作站節點之間僅有一條通路,系統中無信道選擇問題;某個結點的故障將導致物理癱瘓。環網中,由于環路是封閉的,所以不便于擴充,系統響應延時長,且信息傳輸效率相對較低。
WAN比較
廣域網(WAN),就是我們通常所說的Internet,它是一個遍及全世界的網絡。局域網(LAN),相對于廣域網(WAN)而言,主要是指在小范圍內的計算機互聯網絡。這個“小范圍”可以是一個家庭,一所學校,一家公司,或者是一個政府部門。BT中常常提到的公網、外網,即廣域網(WAN);BT中常常提到私網、內網,即局域網(LAN)。
廣域網上的每一臺電腦(或其他網絡設備)都有一個或多個廣域網IP地址(或者說公網、廣域網IP地址),廣域網IP地址一般要到ISP處交費之后才能申請到,廣域網IP地址不能重復;局域網(LAN)上的每一臺電腦(或其設備)都有一個或多個局域網IP地址(或者說私網、內網IP地址),局域網IP地址是局域網內部分配的,不同局域網的IP地址可以重復,不會相互影響。
廣域網(WAN、公網、外網)與局域網(LAN、私網、內網)電腦交換數據要通過路由器或網關的NAT(網絡地址轉換)進行。一般說來,局域網(LAN、私網、內網)內電腦發起的對外連接請求,路由器或網關都不會加以阻攔,但來自廣域網對局域網內電腦連接的請求,路由器或網關在絕大多數情況下都會進行攔截。無線局域網WLAN(Wireless Local Area Network)計算機局域網是把分布在數公里范圍內的不同物理位置的計算機設備連在一起,在網絡軟件的支持下可以相互通訊和資源共享的網絡系統。通常計算機組網的傳輸媒介主要依賴銅纜或光纜,構成有線局域網。但有線網絡在某些場合要受到布線的限制:布線、改線工程量大;線路容易損壞;網中的各節點不可移動。特別是當要把相離較遠的節點聯結起來時,鋪設專用通訊線路布線施工難度之大,費用、耗時之多,實是令人生畏。這些問題都對正在迅速擴大的聯網需求。
WLAN就是解決有線網絡以上問題而出現的。WLAN利用電磁波在空氣中發送和接收數據,而無需線纜介質。WLAN的數據傳輸速率已經能夠達到最高1000Mbps,傳輸距離可遠至20km以上。無線聯網方式是對有線聯網方式的一種補充和擴展,使網上的計算機具有可移動性,網絡聯通問題。
WLAN優點
安裝便捷
在網絡建設當中,施工周期最長、對周邊環境影響最大的就是網絡布線的施工了。在施工過程時,往往需要破墻掘地、穿線架管。而WLAN最大的優勢就是免去或減少了這部分繁雜的網絡布線的工作量,一般只要在安放一個或多個接入點(Access Point)設備就可建立覆蓋整個建筑或地區的局域網絡。
使用靈活
在有線網絡中,網絡設備的安放位置受網絡信息點位置的限制。而一旦WLAN建成后,在無線網的信號覆蓋區域內任何一個位置都可以接入網絡,進行通訊。
經濟節約
由于有線網絡中缺少靈活性,這就要求網絡的規劃者盡可能地考慮未來的發展的需要,這就往往導致需要預設大量利用率較低的信息點。而一旦網絡的發展超出了設計規劃時的預期,又要花費較多費用進行網絡改造。而WLAN可以避免或減少以上情況的發生。
易于擴展
WLAN有多種配置方式,能夠根據實際需要靈活選擇。這樣,WLAN能夠勝任只有幾個用戶的小型局域網到上千用戶的大型網絡,并且能夠提供像“漫游(Roaming)”等有線網絡無法提供的特性。
由于WLAN具有多方面的優點年里,WLAN已經在醫院、商店、工廠和學校等不適合網絡布線的場合得到了廣泛的應用。
據調研機構Cahners In-Stat Group預計,全球無線局域網市場將在2000年至2004年保持快速增長趨勢,每年平均增長率高達25%。無線局域網市場的網卡、接入點設備及其他相關設備的總銷售額也將在2000年輕松突破10億美元大關,在2004年達到21.97億美元。
故障排查
網絡不通
連接故障
網卡故障
病毒故障
互聯網上有許多能夠攻擊局域網的病毒,如紅色代碼、藍色代碼、尼姆達等。某些病毒除了使計算機運行變慢,還可以阻塞網絡,造成網絡塞車。對付這些新病毒,大多數病毒廠商,例如瑞星,KV3000等都在其主頁上設有對付的辦法。在這里一定要注意,不要按照平常的殺毒辦法殺毒,必須對殺毒軟件進行定時的升級。
突然掉線
局域網大家都應該明白,就是在一定區域內的電腦組成的,好比在一個公司內,所有的電腦形成一個局域網。有時我們會遇到公司里的所有電腦都掉線的情況,這個時候該怎么辦呢?
解決方案1:關閉局域網內所有交換機5分鐘后。重新接通電源,觀察網絡是否恢復正常!(原因:可能是交換機長時間沒有重啟其內存已用光,導致交換數據速度緩慢,或受網絡風暴影響導致阻塞)(另一種可能是交換機的某一個或幾個接口模塊損壞,或交換機故障引發的網絡內暴,解決方法是更換交換機)
解決方案2:找個機器裝個CommView,IP地址設置為你的路由器IP(拔掉路由器,使其脫離網絡)然后你看看內網機器都向外面發送了什么包,看看哪個機器發包最多,朝什么IP發的?如果發現某機器向外發送大量目的IP是連續的包,且速度很快的話,請修理該機器!(可能是原因是:局域網中的某一臺或者多臺機器感染了蠕蟲病毒,在瘋狂發包,導致路由器NAT連接很快占滿)
解決方案3:如果上述二種原因被排除或不能解決其問題,可能是你的路由器性能低劣,處理能力有限造成的。你可以制作ROUTE OS之類的軟件路由器,或者購買3000~5000元左右的硬路由,并更換以觀察情況。
解決方案4:局域網內某臺/某幾臺計算機網卡接口損壞,而不停的向網絡中發送大量的*數據包造成網絡阻塞。(集成網卡容易出現此問題,尤其是網絡中機器較多時此問題也是比較難于排查的,可以試著斷開某臺交換機,進行逐一排查)在確認了是哪臺交換機內的機器有問題后。逐臺打開這些機器,進入桌面,退出所有管理軟件,打開網絡連接,在不做任何事的情況下,看誰在大量發包或收包。
解決方案5:(此情況比較特殊:局域網中有人使用非法軟件惡意攻擊網吧 或 ARP病毒攻擊網絡)在技術員制作母盤時應各面屏蔽非法攻擊網吧的一些軟件并在可能的情況下對網關MAC進行靜態ARP綁定,有很多硬路由器有專門的防掉線的功能了,可定時廣播正常的ARP包,如果你是軟件路由的話也可以用MAX提供的一個防ARP攻擊的軟件,原理和ARP木馬差不多,廣播ARP包。
網絡安全
局域網基本上都采用以廣播為技術基礎的以太網,任何兩個節點之間的通信數據包,不僅為這兩個節點的以太網控制器所接收,也同時為處在同一以太網上的任何一個節點的網卡所截取。因此,黑客只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息,這就是以太網所固有的安全隱患。事實上,Interne如SATAN、ISS、NETCAT等等,都把以太網偵聽作為其最基本的手段。
當前,局域網安全的解決辦法有以下幾種:
網絡分段
網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽,網絡分段可分為物理分段和邏輯分段兩種方式。海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例如:在海關系統中普遍使用的DECMultiSwitch900的入侵檢測功能,其實就是一種基于MAC地址的訪問控制,也就是上述的基于數據鏈路層的物理分段。
以交換式集線器代替共享式集線器
對局域網的中心交換機進行網絡分段后,以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩臺機器之間的數據包(稱為單播包UnicastPacket)還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息),都將被明文發送,這就給黑客提供了機會。
因此,應該以路由器交換機代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播Packet)和多播包(MulticastPacket)。所幸的是,廣播包和多播包內的關鍵信息,要遠遠少于單播包。
VLAN劃分
為了克服以太網的廣播問題,除了上述方法外,還可以運用VLAN(虛擬局域網)技術,將以太網通信變為點到點通信,防止大部分基于網絡偵聽的入侵。
VLAN技術主要有三種:基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN。基于端口的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎。基于MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。
在集中式網絡環境下,我們通常將中心的所有主機系統集中到一個VLAN里,在這個VLAN里不允許有任何用戶節點,從而較好地保護敏感的主機資源。在分布式網絡環境下,我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內,互不侵擾。
VLAN內部的連接采用交換實現,而VLAN與VLAN之間的連接則采用路由實現。大多數的交換機(包括海關內部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要,必須使用其他路由協議(如思科公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網口路由器來代替交換機,實現VLAN之間的路由功能。當然,這種情況下,路由轉發的效率會有所下降。
無論是路由器交換機還是VLAN交換機,都是以交換技術為核心,它們在控制廣播、防止黑客上相當有效,但同時也給一些基于廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此,如果局域網內存在這樣的入侵監控設備或協議分析設備,就必須選用特殊的帶有SPAN(Switch PortAnalyzer)功能的交換機。這種交換機允許系統管理員將全部或某些交換端口的數據包映射到指定的端口上,提供給接在這一端口上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中,就選用了思科公司的具備SPAN功能的Catalyst系列交換機,既得到了交換技術的好處,又使原有的Sniffer協議分析儀“英雄有用武之地”。
安全問題
1、局域網內服務器防護能力較弱
局域網相較于其他網絡,其信息的傳播速度較快,傳遞方式也相對簡單,如果局域網中的某一臺計算機受到了病毒的入侵,病毒會通過局域網中的信息傳播散播到所有計算機當中。雖然有一些局域網中會安裝一些殺毒軟件,但是因為軟件補丁更新不到位,或者有一些計算機沒有安裝殺毒軟件,病毒會利用防護軟件的漏洞進行網絡攻擊,從而導致局域網系統運行癱瘓,造成用戶信息泄露、竊取用戶財產等問題。
2、局域網網絡邊界接入存在風險
在局域網網絡邊界所存在的接入風險主要包括路由的破壞、用戶信息的竊聽、未經授權的訪問等網絡設備攻擊,以及某些病毒的傳播等。對于局域網的運行當中,主要是拒絕服務攻擊較多一些,以此造成主機死機、網絡服務暫停等。而在大量的SYN Flood、ACK Flooding、UDP Flood等攻擊后產生的大量垃圾數據包,使得被攻擊方CPU滿負荷運轉或者是內存不足,造成業務服務器的關鍵設備業務中斷或是服務質量下降。
3、局域網用戶的安全意識薄弱
局域網用戶在使用網絡進行數據傳輸時,有時會使用到外部存儲設備,但是用戶沒有對外部設備安全檢測的習慣,而是直接連接網絡進行使用。導致外部數據和病毒一起進入到局域網當中,通過局域網中信息的傳播,使得病毒在局域網中進行擴散,從而造成了局域網病毒入侵的情況。另外,有一些用戶在進行網站瀏覽的過程當中,不小心點擊到一些彈出的窗口或者是下載了病毒偽裝的軟件,也會導致計算機中毒,造成用戶的信息泄露,威脅到整個局域網的安全。
參考資料 >
局域網網絡安全的防范與管理技術 .萬方.萬方.2021-11-03