区域网路--中文百科全书

基本简介

区域网路（Local Area Network，LAN）是指在某一区域内由多台电脑互联成的电脑组。一般是方圆几千米以内。区域网路可以实现档案管理、套用软体共享、印表机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。区域网路是封闭型的，可以由办公室内的两台电脑组成，也可以由一个公司内的上千台电脑组成。

主要特点

广域网（WAN），就是我们通常所说的Internet，它是一个遍及全世界的网路。区域网路（LAN），相对于广域网（WAN）而言，主要是指在小範围内的电脑网际网路络。这个“小範围”可以是一个家庭，一所学校，一家公司，或者是一个政府部门。BT中常常提到的公网、外网，即广域网（WAN）；BT中常常提到私网、区域网路，即区域网路（LAN）。

广域网上的每一台电脑（或其他网路设备）都有一个或多个广域网IP地址（或者说公网、外网IP地址），广域网IP地址一般要到ISP处交费之后才能申请到，广域网IP地址不能重复；区域网路（LAN）上的每一台电脑（或其他网路设备）都有一个或多个区域网路IP地址（或者说私网、区域网路IP地址），区域网路IP地址是区域网路内部分配的，不同区域网路的IP地址可以重复，不会相互影响。

广域网（WAN、公网、外网）与区域网路（LAN、私网、区域网路）电脑交换资料要通过路由器或网关的NAT（网路地址转换）进行。一般说来，区域网路（LAN、私网、区域网路）内电脑发起的对外连线请求，路由器或网关都不会加以阻拦，但来自广域网对区域网路内电脑连线的请求，路由器或网关在绝大多数情况下都会进行拦截。无线区域网路WLAN（Wireless Local Area Network）电脑区域网路是把分布在数公裏範围内的不同物理位置的电脑设备连在一起，在网路软体的支持下可以相互通讯和资源共享的网路系统。通常电脑组网的传输媒介主要依赖铜缆或光缆，构成有线区域网路。但有线网路在某些场合要受到布线的限製：布线、改线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点联结起来时，敷设专用通讯线路布线施工难度之大，费用、耗时之多，实是令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞，限製了使用者联网。

WLAN就是解决有线网路以上问题而出现的。WLAN利用电磁波在空气中传送和接受资料，而无需线缆介质。WLAN的资料传输速率现在已经能够达到最高450Mbps，传输距离可远至20km以上。无线联网方式是对有线联网方式的一种补充和扩展，使网上的电脑具有可移动性，能快速、方便的解决以有线方式不易实现的网路联通问题。

基本术语

区域网路通常是分布在一个有限地理範围内的网路系统，一般所涉及的地理範围只有几公裏。区域网路专用性非常强，具有比较稳定和规範的拓扑结构。常见的区域网路拓朴结构如下：

星形结构

这种结构的网路是各工作站以星形方式连线起来的，网中的每一个节点设备都以中防节为中心，通过连线线与中心节点相连，如果一个工作站需要传输资料，它首先必须通过中心节点。由于在这种结构的网路系统中，中心节点是控製中心，任意两个节点间的通信最多只需两步，所以，能够传输速度快，并且网路构形简单、建网容易、便于控製和管理。但这种网路系统，网路可靠性低，网路共享能力差，并且一旦中心节点出现故障则导致全网瘫痪。

树形结构

树形结构网路是天然的分级结构，又被称为分级的集中式网路。其特点是网路成本低，结构比较简单。在网路中，任意两个节点之间不产生回路，每个链路都支持双向传输，并且，网路中节点扩充方便、灵活，寻查链路路径比较简单。但在这种结构网路系统中，除叶节点及其相连的链路外，任何一个工作站或链路产生故障会影响整个网路系统的正常运行。

汇流排形结构

汇流排形结构网路是将各个节点设备和一根汇流排相连。网路中所有的节点工作站都是通过汇流排进行信息传输的。作为汇流排的通信连线可以是同轴电缆、双绞线，也可以是扁平电缆。在汇流排结构中，作为资料通信必经的汇流排的负载能量是有限度的，这是由通信媒体本身的物理性能决定的。

所以，汇流排结构网路中工作站节点的个数是有限製的，如果工作站节点的个数超出汇流排负载能量，就需要延长汇流排的长度，并加入相当数量的附加转接部件，使汇流排负载达到容量要求。汇流排形结构网路简单、灵活，可扩充性能好。所以，进行节点设备的插入与拆卸非常方便。另外，汇流排结构网路可靠性高、网路节点间回响速度快、共享资源能力强、设备投入量少、成本低、安装使用方便，当某个工作站节点出现故障时，对整个网路系统影响小。因此，汇流排结构网路是最普遍使用的一种网路。但是由于所有的工作站通信均通过一条共用的汇流排，所以，即时性较差。

环形结构

环形结构是网路中各节点通过一条首尾相连的通信链路连线起来的一个闭合环形结构网。环形结构网路的结构也比较简单，系统中各工作站地位相等。系统中通信设备和线路比较节省。在网中信息设有固定方向单向流动，两个工作站节点之间仅有一条通路，系统中无信道选择问题；某个结点的故障将导致物理瘫痪。环网中，由于环路是封闭的，所以不便于搁充，系统回响延时长，且信息传输效率相对较低。

其他资料

区域网路协定设定

区域网路中的一些协定，在安装作业系统时会自动安装。如在安装Windows2000或Windows95/98时，系统会自动安装NetBEUI通信协定。在安装NetWare时，系统会自动安装IPX/SPX通信协定。其中三种协定中，NetBEUI和IPX/SPX在安装后不需要进行设定就可以直接使用，但TCP/IP要经过必要的设定。所以下文主要以Windows2000环境下的TCP/IP协定为主，介绍其安装、设定和测试方法，其他作业系统中协定的有关操作与Windows2000基本相同，甚至更为简单。

TCP/IP通信协定的安装

在Windows2000中，如果未安装有TCP/IP通信协定，可选择“开始/设定/控制台/网路和拨号连线”，右键单击“在地连线”选择“属性”将出现“在地连线属性”对话框，单击对话框中的“安装”按钮，选取其中的TCP/IP协定，然后单击“增加”按钮。系统会询问你是否要进行“DHCP伺服器”的设定？如果你区域网路内的IP地址是固定的（一般是这样），可选择“否”。随后，系统开始从安装盘中复製所需的档案。

TCP/IP协定安装

TCP/IP通信协定的设定

在“网路”对话框中选

择已安装的TCP/IP协定，开启其“属性”，将出现“Internet协定（TCP/IP）属性”的对话框。在指定的位置输入已分配好的“IP地址”和“子网掩码”，不知道可以去询问网路管理员。建议在安装系统前记下此号码，毕竟求人不如求己嘛。如果该使用者还要访问其它Widnows2000网路的资源，还可以在“默认网关”处输入网关的地址。

TCP/IP通信协定的测试

当TCP/IP协定安装并设定结束后，为了保证其能够正常工作，在使用前一定要进行测试。我建议大家使用系统自带的工具程式：PING命令，该工具可以检查任何一个使用者是否与同一网段的其他使用者连通，是否与其他网段的使用者连线正常，同时还能检查出自己的IP地址是否与其他使用者的IP地址发生沖突。

假如伺服器的IP地址为190.201.2.1，如要测试你的机器是否与伺服器接通时，只需切换到DOS提示符下，并键入命令“PING190.201.2.1”即可。如果出现类似于“Replyfrom190.201.2.1……”的回应，说明TCP/IP协定工作正常；如果显示类似于“Requesttimedout”的信息，说明双方的TCP/IP协定的设定可能有错，或网路的其它连线（如网卡、HUB或连线等）有问题，还需进一步检查。

定义

为了完整地给出LAN的定义，必须使用两种方式：一种是功能性定义，另一种是技术性定义。前一种将LAN定义为一组台式电脑和其它设备，在物理地址上彼此相隔不远，以允许使用者相互通信和共享诸如印表机和存储设备之类的计算资源的方式互连在一起的系统。这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN。

就LAN的技术性定义而言，它定义为由特定类型的传输媒体（如电缆、光缆和无线媒体）和网路适配器（亦称为网卡）互连在一起的电脑，并受网路作业系统监控的网路系统。

功能性和技术性定义之间的差别是很明显的，功能性定义强调的是外界行为和服务；技术性定义强调的则是构成LAN所需的物质基础和构成的方法。

区域网路（LAN）的名字本身就隐含了这种网路地理範围的局域性。由于较小的地理範围的局限性，LAN通常要比广域网（WAN）具有高的多的传输速率，例如，目前LAN的传输速率为10Mb/s，FDDI的传输速率为100Mb/s，而WAN的主干线速率国内目前仅为64kbps或2.048Mbps，最终使用者的上线速率通常为14.4kbps。

LAN的拓扑结构目前常用的是汇流排型和环行。这是由于有限地理範围决定的。这两种结构很少在广域网环境下使用。

LAN还有诸如高可靠性、易扩缩和易于管理及安全等多种特徵。

WLAN的优点

安装便捷

一般在网路建设当中，施工周期最长、对周边环境影响最大的就是网路布线的施工了。在施工过程时，往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了这部分繁杂的网路布线的工作量，一般只要在安放一个或多个接入点（AccessPoint）设备就可建立覆盖整个建筑或地区的区域网路络。

使用灵活

在有线网路中，网路设备的安放位置受网路信息点位置的限製。而一旦WLAN建成后，在无线网的信号覆盖区

域内任何一个位置都可以接入网络，进行通讯。

经济节约

由于有线网路中缺少弹性，这就要求网路的规划者尽可能地考虑未来的发展的需要，这就往往导致需要预设大量利用率较低的信息点。而一旦网路的发展超出了设计规划时的预期，又要花费较多费用进行网路改造。而WLAN可以避免或减少以上情况的发生。

易于扩展

WLAN有多种配置方式，能够根据实际需要灵活选择。这样，WLAN能够胜任只有几个使用者的小型区域网路到上千使用者的大型网路，并且能够提供像“漫游（Roaming）”等有线网路无法提供的特徵。

由于WLAN具有多方面的优点，其发展十分迅速。在最近几年裏，WLAN已经在医院、商店、工厂和学校等不适合网路布线的场合得到了广泛的套用。

据权威调研机构CahnersIn-StatGroup预计，全球无线区域网路市场将在2000年至2004年保持快速成长趋势，每年平均成长率高达25%。无线区域网路市场的网卡、接入点设备及其他相关设备的总销售额也将在2000年轻松突破10亿美元大关，在2004年达到21.97亿美元。

区域网路安全

目前的区域网路基本上都採用以广播为技术基础的乙太网，任何两个节点之间的通信封包，不仅为这两个节点的网卡所接收，也同时为处在同一乙太网上的任何一个节点的网卡所截取。因此，黑客只要接入乙太网上的任一节点进行侦听，就可以捕获发生在这个乙太网上的所有封包，对其进行解包分析，从而窃取关键信息，这就是乙太网所固有的安全隐患。事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把乙太网侦听作为其最基本的手段。

当前，区域网路安全的解决办法有以下几种：

网路分段

网路分段通常被认

为是控製网路广播风暴的一种基本手段，但其实也是保证网路安全的一项重要措施。其目的就是将非法使用者与敏感的网路资源相互隔离，从而防止可能的非法侦听，网路分段可分为物理分段和逻辑分段两种方式。目前，海关的区域网路大多採用以交换机为中心、路由器为边界的网路格局，应重点挖掘中心交换机的访问控製功能和三层交换功能，综合套用物理分段与逻辑分段两种方法，来实现对区域网路的安全控製。例如：在海关系统中普遍使用的DEC　MultiSwitch900的入侵检测功能，其实就是一种基于MAC地址的访问控製，也就是上述的基于资料链路层的物理分段。

以交换式集线器代替共享式集线器

对区域网路的中心交换机进行网路分段后，乙太网侦听的危险仍然存在。这是因为网路最终使用者的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当使用者与主机进行资料通信时，两台机器之间的封包（称为单播包Unicast　Packet）还是会被同一台集线器上的其他使用者所侦听。一种很危险的情况是：使用者TELNET到一台主机上，由于TELNET程式本身缺乏加密功能，使用者所键入的每一个字元（包括使用者名称、密码等重要信息），都将被明文传送，这就给黑客提供了机会。

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控製单播包而无法控製广播包（Broadcast　Packet）和多播包（Multicast　Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

VLAN的划分

为了克服乙太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟区域网路）技术，将乙太网通信变为点到点通信，防止大部分基于网路侦听的入侵。

目前的VLAN技术主要有三种：基于交换机连线埠的VLAN、基于节点MAC地址的VLAN和基于套用协定的VLAN。基于连线埠的VLAN虽然稍欠灵活，但却比较成熟，在实际套用中效果显着，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协定的VLAN，理论上非常理想，但实际套用却尚不成熟。

在集中式网路环境下，我们通常将中心的所有主机系统集中到一个VLAN裏，在这个VLAN裏不允许有任何使用者节点，从而较好地保护敏感的主机资源。在分散式网路环境下，我们可以按机构或部门的设定来划分VLAN。各部门内部的所有伺服器和使用者节点都在各自的VLAN内，互不侵扰。

VLAN内部的连线採用交换实现，而VLAN与VLAN之间的连线则採用路由实现。目前，大多数的交换机（包括海关内部普遍採用的DECMultiSwitch　900）都支持RIP和OSPF这两种国际标準的路由协定。如果有特殊需要，必须使用其他路由协定（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多乙太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。

无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控製广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协定分析技术带来了麻烦。因此，如果区域网路记忆体在这样的入侵监控设备或协定分析设备，就必须选用特殊的带有SPAN（Switch　PortAnalyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换连线埠的封包对应到指定的连线埠上，提供给接在这一连线埠上的入侵监控设备或协定分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协定分析仪“英雄有用武之地”。