第8章 局域计算机网(1)

（第一节）局域计算机网简介

打开电脑，输入你想知道的内容，很快，相关信息就会出现在电脑屏幕上，不管是在中国的哪个角落还是远在天边的他国的某个角落，只要你愿意打开电脑，你都会得到想了解某个角落的相关信息。所有的这一切，都要归功于现代的高科技，归功于计算机网络的贡献。

一、局域网

局域网是局域计算机网（LAN，LocalAreaNetwork）的简称，它是在有限的地域范围内构成的计算机网络，是把分散在一定范围内的计算机、终端、带大容量存储器的外围设备、控制器、显示器以及用于连接其它网而使用的网间连接器等相互连接起来，进行高速数据通信的手段。

局域网在各个领域上得到广泛的使用。为了在计算机之间进行信息交流、共享数据资源和某些昂贵的硬件（如高速打印机等）资源，将多台计算机连成一个网络系统，实现分布处理又能互相通信。

顾名思义，局域网的名字本身就隐含了这种网络地理范围的局域性。由于地域范围小，一般不需租用电话线路而直接建立专用通信线路，因此数据传输速率高于广域网。

局域网络典型的例子是，由一台或多台服务器和若干个工作站组成。早期的计算机网络服务器是一台大型计算机，现代的微机局域网络则使用一台高性能的微机作为服务器，工作站可以使用各档次的微机。工作站一方面为用户提供本地服务，相当于单机使用；另一方面可通过工作站向网络系统请示服务和访问资源，实现资源共享。

目前LAN得到了普及，其主要用途是：(1)共享打印机、绘图机等费用很高的外部设备；(2)通过公共数据库共享各类信息；(3)向用户提供诸如电子邮件之类的高级服务。

总线型和环行——LAN目前常用的拓扑结构。这是由于有限地理范围决定的。这两种结构很少在广域网环境下使用。在一座办公大楼、一栋大厦、一个校园或一个企业内实现这种互连的网络方法有：Ethernet网（以太网），也称为8023LAN；令牌环网，也称为8025LAN；令牌总线网，也称为802.4LAN以及光纤分布数据接口（FDDI）等。

二、计算机局域网的保密

在我国的计算机网络发展过程中，特别是局域网技术的发展是最为迅速的，许多大专院校、科研院所以及银行、公安、邮电、铁路、石油等部门都建立了自己的局域网，但在实际运作中，由于一些网络是没有保密措施的“裸网”，用户不敢在网上处理涉密信息，使网络的作用得不到充分发挥。因此，开发和运用有效的局域网保密措施，树起坚实的保密防护网，无论现在还是将来都具有十分突出的现实意义。

信息(储存于计算机内及其外部设备上的程序及数据)和实体组成了计算机局域网，信息泄露是局域网的主要保密隐患之一。所谓信息泄露，就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息，特别是秘密信息和敏感信息，从而造成泄密事件。局域网在保密防护方面有三点脆弱性：一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时，其价值往往不大，一旦网络将大量关联信息聚集在一起时，其价值就相当可观了。三是设防的困难性。尽管可以层层设防，但对一个熟悉网络技术的人来说，下些功夫就可能突破这些关卡，给保密工作带来极大的困难。

从某种意义上说，保密性决定了网络的生命。根据近几年的实践和保密技术发展的要求，计算机局域网的保密防范应从以下四个方面入手：

（1）网络操作系统提供的保密措施要得到充分的利用。某些用户对网络的认识不足，基本不用或很少使用网络操作系统提供的保密措施，从而留下隐患。其实，一般的网络操作系统都有相应的保密措施，以美国Novell公司的网络操作系统NetWare为例，它提供的四级保密措施：第一级是入网保密。用户入网时，必须按用户名进行登录注册。使用网络信息资源的用户，必须准确申报自己的用户名，否则将被网络拒之门外。第二级是设置目录和文件访问权限。访问权限是对用户访问目录和文件的合法范围的规定，以控制用户只能操作什么样的目录和文件。准确地划分网络信息的涉密等级、范围和涉密人员，需要网络管理员和保密人员协同工作。第三级是文件和目录的属性保密。属性直接控制对文件或目录的访问特性。属性的访问控制高于文件、目录的有效访问权限，可以禁止有效访问权限所允许的操作。NetWare提供的主要属性控制有：防止对目录和文件的删除；不允许查看目录和文件；禁止对文件进行拷贝；禁止对文件的写操作；控制对文件是否共享；防止文件修改时被破坏；标记被修改过的文件等。第四级是文件服务器的安全保密。即控制台键盘可以加口令封锁，防止非法闯入者以超级用户身份浏览网络信息。

（2）必须加强保密防护数据库的信息。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性，现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密需采取另外的方法。

（3）利用现代先进的密码技术，加大保密力度。借助现代密码技术对数据进行加密，将重要秘密信息由明文变为密文。

（4）利用防火墙技术，防止局域网遭受与外部网连通后秘密信息的外泄。局域网最安全的保密方法莫过于不与外部联网（国家规定涉及国家秘密的局域网不得与外部联网），但除了一些重点单位和要害部门，局域网与广域网的连接是大势所趋。防火墙是建立在局域网与外部网络之间的电子系统，用于实现访问控制，即阻止外部入侵者进入局域网内部，而允许局域网内部用户访问外部网络。局域网实体的保密。

三、局域网的泄渠道

负责信息的收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络部件组成了局域网实体。它的泄密渠道主要有四个：

(1)电磁泄露。工作中的计算机其设备辐射出电磁波，任何人都可以借助仪器设备在一定范围内收到它，尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。另外，网络端口、传输线路等都有可能因屏蔽不严或未加屏蔽而造成电磁泄露。实验表明，未加控制的电脑设施开始工作后，用普通电脑加上截收装置，可以抄收其一千米内的内容。

(2)非法终端。非法用户通常会在现有终端上并接到另一个终端，或趁合法用户从网上断开时乘机接入，使信息传到非法终端。

(3)搭线窃取。局域网与外界连通后，通过未受保护的外部线路，可以从外界访问到系统内部的数据，而内部通讯线路也有被搭线窃取信息的可能。

(4)介质的剩磁效应。抹不掉的痕迹——存储介质中的信息被擦除后有时仍会留下可读信息的痕迹。另外，在大多数的信息系统中，删除文件仅仅是删掉文件名，而原文还原封不动地保留在存储介质中，一旦被利用，就会泄密。

对局域网实体的泄漏渠道，可采取的相应保密措施。一般有以下三种：一是防电磁泄露措施。如选用低辐射设备。显示器是计算机保密的薄弱环节，而窃取显示的内容已是一项“成熟”的技术，因此，选用低辐射显示器十分必要。此外，还可以采用距离防护、噪声干扰、屏蔽等措施，把电磁泄露抑制到最低限度。二是定期对实体进行检查。特别是对文件服务器、光缆(或电缆)、终端及其他外设进行保密检查，防止非法侵入。三是加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施，对废弃的磁盘要有专人销毁等。

（第二节）ＬＡＮ的结构

ＬＡＮ的结构的“三巨头”：以太网（Ethernet）、令牌环（TokenRing）、令牌总线（TokenBus）以及作为这三种网的骨干网光纤分布数据接口（FDDI）。它们所遵循的标准都是由IEEE（IEEE为电气与电子工程师学会的缩写）制订，以802开头。目前共有11个与局域网有关的标准，它们分别是：

IEEE8021——通用网络概念及网桥等

IEEE8022——逻辑链路控制等

IEEE8023——以太网CSMA/CD访问方法及物理层规定

IEEE8024——令牌总线（ARCnet）结构及访问方法，物理层规定

IEEE8025——令牌环TokenRing访问方法及物理层规定等

IEEE8026——城域网的访问方法及物理层规定

IEEE8027——宽带局域网

IEEE8028——光纤局域网（FDDI）

IEEE8029——ISDN局域网

IEEE80210——网络的安全

IEEE80211——无线局域网

以上ＬＡＮ技术具有各自敷缆规则与工作站的连接方法，硬件需求以及各种其它部件的连接规定。

要说明的是组成ＬＡＮ必须遵循的规则。首先指出：网络拓扑结构有两种类型，一个是指相互连接的工作站的物理布局，另一个是网络的工作方式。前者是人们可以看到的连接结构，后者是逻辑、操作结构，因而是不可见的，并称之为逻辑拓扑结构。ＬＡＮ的网络拓扑结构广泛采用的主要有总线型和环型。ＬＡＮ使用的星型结构主要是指用双绞线构成的网络。这种使用集线器（Hub）构成的星型网，实质上仍然是总线型网络。

在介绍OSI参考模型中，LAN（包括Ethernet，令牌环等）已将数据链路层分割为两个子层：逻辑链路控制LLC（LogicLinkControl）和媒体访问控制MAC（MediumAccessControl），从而使LAN体系结构能适应多种传输媒体，换言之，在LLC不变的条件下，只需改变MAC（媒体访问控制）便可适应不同的媒体和访问方法。

根据以上介绍的OSI参考模型各层功能来看，在LAN情况下，由于必须有收发功能，而且还有与传输媒体相连的问题，所以物理层、数据链路层是必不可少的。但对于第3层（网络层）是否在LAN情况下也需要呢？从第3层的功能来看，因为在LAN情况下不存在路由选择功能，只需在链路层传送到对方即可。网络层的其它功能，如寻址、排序、流量控制和差错控制均可由数据链路层承担，因此答案是否定的。但如果从所连接的设备来看，答案又是肯定的，因为工作站本身是与媒体直接相连的多个工作站中的一个，这样一种功能刚好是3层的任务。虽然作为一种计算机网络应能提供第1层到第3层的功能，但LAN的特性却允许在OSI的最低两层实现1-3层的服务。

综上所述，LAN的体系结构与OSI参考模型的关系。除数据链路层分割为两个子层外，物理层确定了两个接口：

一个是媒体相关接口（MDI），该接口随媒体而改变，但不影响LLC和MAC的工作。另外一个是连接单元接口（AUI），也就是在粗缆Ethernet情况下的收发器电缆。这种接口在标准中定为选项，因为在细缆和10Base-T情况下，AUI已不复存在。

一、什么是LAN

用两种方式才能完整地给LAN定义：第一种是功能性定义，第二种是技术性定义。前一种将LAN定义为一组台式计算机和其它设备，在物理地址上彼此相隔不远，以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连在一起的系统。这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN。

第二种定义是定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机，并受网络操作系统监控的网络系统。

功能性明显差别于技术性定义，功能性定义强调的是外界行为和服务；技术性定义强调的则是构成LAN所需的物质基础和构成的方法。

顾名思义，局域网(LAN)隐含了这种网络地理范围的区域性。由于较小的地理范围的局限性。由于较小的地理范围，LAN通常要比广域网(WAN)具有高的多的传输速率，例如，目前LAN的传输速率为10Mb/s，FDDI的传输速率为100Mb/s，而WAN的主干线速率国内目前仅为64kbps或2048Mbps，最终用户的上线速率通常为144kbps。

有限地理范围决定了LAN的拓扑结构，其目前常用的是总线型和环行。这两种结构很少在广域网环境下使用。

LAN还有诸如高可靠性、易扩缩和易于管理及安全等多种特性。

二、LAN的简史

人们最早应用计算机是很大型的，通常简称为主机。需要使用计算机的人必须向计算机操作人员提交请求，而且在获准上机后，必须等待数小时或几天才能得到结果。后来，随着电子技术的发展，通过终端连到了主机上，从而人们不必进入机房，只需从办公室的终端上便可提交请求。再后来又出现了中小型计算机，操作系统也随之出现。这时用户已经能够以交互操作方式向中心机提交请求。然而，计算机的普及使用只是在70年代出现了个人计算机(PC)后才得以实现的。

1981年，IBMPC机的出现，其处理能力和存储能力已经可同早几年的大型机相媲美。随着PC的大量投入市场，人们发现，每台PC配置一台磁盘驱动器和打印机，当时在费用上实在难以承受。于是出现了资源共享的方式：磁盘服务器和共享打印机。这是一种硬件和软件的组合，它可使几个PC用户很方便地对公共硬盘驱动器进行共享式访问。第一个磁盘服务器是在CP/M操作系统下运行的。

用户在早期的LAN中，对硬盘驱动器的共享访问，是经过连到共享驱动器的计算机实现的。计算机中的软件将共享的硬盘驱动器分成称为“卷”的区域，每个用户一个。在用户看来，用户分得的“卷”犹如他自己的专用盘驱动器。硬盘通常还包括公用卷，使用户共享信息。

在如今的LAN中，文件服务器取代了磁盘服务器。文件服务器无论在使用户共享文件方面，还是帮助用户跟踪他们的文件方面都优于磁盘服务器。有些LAN能支持多个文件服务器，每个服务器又有多个硬盘驱动器与之相连，从而使LAN很容易扩充。

PC用户除共享硬盘驱动器外，还可以共享打印机。目前，每种LAN都能有这种能力，而且在多数情况下，打印服务器已成了整个LAN软件包的一部分，而不是一台独立的计算机。