计算机网络技术基础完整PPT完整全套教学课件

计算机网络的发展计算机网络技术基础1.1计算机网络的发展1.2计算机网络的相关概念2.1数据通信基础2.2传输介质及网络设备3.1协议与标准概述3.2OSI4.1局域网基础4.2以太网技术5.1WLAN技术介绍5.2WLAN原理及组建6.1广域网概述6.2HDLC协议7.1网络安全概述7.2ACL技术8.1互联网应用概述8.2WEB服务9.1企业网需求分析9.2企业网规划设计计算机网络的发展学习目标

计算机网络的发展01OPTION起源计算机网络起始于20世纪60年代，当时网络的概念主要是基于主机架构的低速串行连接，提供应用程序执行、远程打印和数据服务功能。IBM的系统网络架构（SystemNetworkArchitecture，SNA）与非IBM公司的X.25公共数据网络是这种网络的典型例子。当时，由美国国防部资助，建立了一个名为ARPANET（即为阿帕网）的基于分组交换（PacketSwitching）的网络，这个阿帕网就是今天互联网最早的雏形。计算机网络的发展02OPTION局域网诞生20世纪70年代，出现了以个人计算机为主的商业计算模式。最初，个人计算机是独立的设备，由于=有些商业计算的复杂性过高，要求大量终端设备进行协同操作，局域网（LocalAreaNetwork，LAN）就因运而生了。局域网的出现，大大降低了商业用户打印机和磁盘昂贵的费用。计算机网络的发展03OPTION飞速发展20世纪80年代至90年代，远程计算的需求不断地增加，迫使计算机界开发了多种互联网协议（包括TCP/IP协议、IPX/SPX协议），以满足不通计算方式下远程联接的需求。自此以后，互联网开始快速发展，TCP/IP协议得到了广泛的应用，进而成为了互联网的事实协议。学习进步！计算机网络技术基础计算机网络的相关概念计算机网络技术基础计算机网络的组成计算机网络的功能学习目标计算机网络的分类01OPTION概述计算机网络是计算机技术和通信技术相互结合，相互渗透而形成的一门交叉学科。所谓计算机网络，就是把分布在不同地理区域的计算机，利用通信线路和通信设备互连成一个规模大、功能强的系统，使用统一的网络体系和网络协议，从而进行信息传递和资源共享。计算机网络的相关概念计算机网络的组成计算机网络组成一个典型的计算机网络如图1.1所示，它可以分为硬件组成和软件组成两大部分，其中硬件组成可分为计算机系统和数据通信系统，而软件组成则包含网络软件及协议。图1.1计算机网络示意图计算机网络的组成计算机系统计算机系统主要完成数据信息的收集、存储、处理和输出，并提供各种网络资源。根据用途可以分为两类：01OPTION1工作站2服务器计算机网络的组成数据通信系统数据通信系统主要包括网络接口卡，通信介质和通信设备，是用于给计算机系统之间交互信息的通信系统。

①网络接口卡：又称网络适配器，主要负责计算机系统与网络之间的信息传输控制，其主要功能包括线路传输控制、差错控制、代码转换、数据封装与接封装等。

②通信介质：用于将网络中的各种设备连接起来，是传输数据信号的物理通道，包含有线传输介质和无线传输介质。

③通信设备：用于实现网络互联互通，常见网络设备包括集线器、交换机、路由器、调制解调器、防火墙等。02OPTION计算机网络的组成网络软件及协议网络软件及协议是计算机网络系统中不可缺少的重要组成部分，如果说网络的硬件组成相当于计算机网络系统的“骨架”，网络软件及协议相当于计算机网络系统的“血肉”。①网络软件：主要指的是各种网络操作系统，计算机系统使用的网络操作系统主要有计算机使用的Windows，Linux、Unix、Netware等，手机和平板电脑上使用的IOS、安卓、鸿蒙等。通信系统使用的网络系统则包括思科IOS、华为VRP、Juniper的JUNOS等。②网络协议：是为了使计算机网络中的不同设备能进行数据通信而预先制定的一套通信双方相互了解和共同遵守的格式和约定。网络协议是一系列规则和约定的规范性描述，定义了网络设备之间如何进行信息交换。网络协议是计算机网络的基础，只有遵从相应协议的网络设备之间才能够通信（即各种网络互联终端设备的法律）。如果任意一台设备不支持用于网络互联的协议，它就不能与其他设备通信。03OPTION计算机网络的功能计算机网络可以提供四个性能。1324信息传输与集中处理综合信息服务负载均衡资源共享计算机网络的分类根据网络覆盖范围分类按其覆盖范围，计算机网络可划分成局域网和广域网，以及介于局域网和广域网之间的城域网。局域网（LAN）城域网(MAN)广域网(WAN)计算机网络的分类根据网络拓扑分类网络拓扑（NetworkTopology）是指用传输介质（如双绞线、光纤等）互连各种设备（如计算机终端、路由器、交换机等）所呈现的结构化布局，如图1.1所示。图1‑1网络拓扑图

计算机网络的分类按照网络的拓扑形态来划分，计算机网络可分为星形网络、总线形网络、环形网络、树形网络、全网形网络和部分网形网络。图1‑2网络拓扑形态学习进步！计算机网络技术基础

数据通信基础计算机网络技术基础数据通信的基本概念数据通信的主要技术指标学习目标

数据通信的基本概念01OPTION概述信息:客观事物属性和相互联系特性的表征，它反映了客观事物的存在形式和运动形态。有用的才叫信息数据:信息的数字化形式，数字化的信息形式，分为模拟数据和数字数据信号:携带信息的传输介质，比如电信号，光信号，脉冲信号等。信息是以（介质的）某种特性参数的变化来代表信息的。根基信号参量的取值不同信号也可以分为模拟信号和数字信号信道:在发送设备和接收设备之间用于传输信号的介质传输信息的必经之路。分为物理信道和逻辑信道。物理信道:传送信号或者数据的物理通路。物理信道：由传输介质和物理设备组成。网络中两个节点之间的物理通路称为通信链路逻辑信道:在物理信道基础上实现的逻辑连接，通常称为连接。数据通信的基本概念02OPTION通信系统模型

数据通信的基本概念03OPTION数据传输类型数据在计算机中是以离散的二进制数字信号表示，但是在数据通信过程中，它是以数字信号方式还是以模拟信号方式表示，主要取决于选用的通信信道所允许传输的信号类型。如果信源产生的是模拟数据并以模拟信号传输，则称为模拟通信；如果信源产生的是模拟数据但以数字信号形式传输，则称为数字通信；如果信源产生的是数字数据，则既可以采用模拟信号传输，也可采有数字信号传输，一般称为数据通信。数据传输类型如表2-1所示。

数据通信的主要技术指标每秒能传输的二进制信息位数即数据传输速率，也叫比特率，单位：位/秒，记做bit/s。数据传输速率的计算公式为：S=(log_2⁡N)/T(bit/s)。式中T为一个数字脉冲信号的宽度（全宽码）或重复周期（归零码），单位为秒；N为一个码元所取的离散值个数。通常，对于二进制编码传输，N=2；对于八进制编码传输，N=8；对于十六进制编码传输，N=16。例如，对于二进制编码传输，N=2时，S=1/T，表示数据传输速率等于码元脉冲的重复频率。

数据传输速率

数据通信的主要技术指标单位时间里通过信道传输的码元个数即信号传输速率，也叫码元速率、调制速率或波特率，单位：波特，记作Baud。信号传输速率的计算公式为：B=1/T(Baud),式中T为信号码元的宽度，单位为秒。比特率与波特率的关系为：S=Blog_2⁡N或B=S/log_2⁡N。通常，对于二进制编码传输，S=B；对于八进制编码传输，S=3B；对于十六进制编码传输，S=4B。

信号传输速率

数据通信的主要技术指标信道容量与数据传输速率的区别是，前者表示信道的最大数据传输速率，是信道传输数据能力的极限，而后者是实际的数据传输速率。二者之间的关系像公路上的最大限速与汽车实际速度的关系一样。通信信道的最大传输速率和信道带宽之间存在着明确的关系，所以人们可以用“带宽”去表示“速率”。例如，人们常把网络的“高数据传输速率”用网络的“高带宽”去表述。因此，“带宽”与“速率”在网络技术的讨论中几乎成了同义词。

信道容量

数据通信的主要技术指标网络的延迟又称时延，定义了网络把数据从一个网络节点传送到另一个网络节点所需要的时间。例如，一个横贯大陆的网络可能有24ms的延迟，即将一个比特从一端传到另一端将话费24ms的时间。网络延迟的主要由传播延迟（propagationdelay）、交换延迟（switchingdelay）、介质访问延迟（accessdelay）和队列延迟（queuingdelay）等组成。总之，网络中产生延迟的因素很多，既受网络设备的影响，也受传输介质、网络协议标准的影响；既受硬件制约，也受软件制约。由于物理规律的限制，延迟是不可能完全消除的。

延迟

数据通信的主要技术指标误码率是二进制数据位传输时出错的概率，是衡量数据通信系统在正常工作时的传输可靠性的指标。在计算机网络中，一般要求误码率低于10^(-6)，误码率的计算公式为：P_e=N_e/N，式中N_e为出错的位数；N为传输的数据总位数。

误码率学习进步！计算机网络安全技术

传输介质及网络设备计算机网络技术基础传输介质网络设备学习目标

传输介质01OPTION概述通信介质是网络中信息传输的载体，其性能特点对传输速率、传输距离、传输可靠性、可连接的网络节点数目等都有很大的影响，必须根据不同的通信要求，合理地选择通信介质。网络的通信介质，可以分为有线介质和无线介质两大类型

传输介质01OPTION有线介质介质-同轴电缆以太网标准电缆类别最长有效传输距离10BASE5粗同轴电缆500米10BASE2细同轴电缆185米

传输介质01OPTION有线介质介质-双绞线最常用的传输媒体。分类：屏蔽双绞线STP(ShieldedTwistedPair)无屏蔽双绞线UTP(UnshieldedTwistedPair)

传输介质01OPTION有线介质介质-双绞线铜线聚氯乙烯套层绝缘层(a)无屏蔽双绞线铜线聚氯乙烯套层屏蔽层绝缘层(b)屏蔽双绞线3类线5类线(c)不同的绞合度的双绞线双绞线的示意图

传输介质01OPTION有线介质介质-双绞线以太网标准线缆类别最长有效传输距离10BASE-T两对3/4/5类双绞线100米100BASE-TX两对5类双绞线100米1000BASE-T四对5e类双绞线100米

传输介质01OPTION有线介质介质-光纤以太网标准线缆类别最长有效传输距离10BASE-F单模/多模光纤2000米100BASE-FX单模/多模光纤2000米1000BASE-LX单模/多模光纤316米1000BASE-SX多模光纤316米

传输介质01OPTION无线介质无线电波大气中的电离层是具有离子和自由电子的导电层。无线电波通信就是利用地面的无线电波通过电离层的一次或多次反射，而到达接收端的一种远距离通信方式。无线电波广泛用于室内通信和室外通信。由于无线电波传播距离很远，并很容易穿过建筑物，而且可以全方向传播，使得无线电波的发射和接收装置不必要求精确对准。例如常见的、Wi-Fi、蓝牙、GPS等都使用无线电波进行通信。

传输介质01OPTION无线介质红外线红外线通信在发送端设有红外线发送器，接收端要有红外线接收器。红外线的频率在300G～200000GHz。使用红外线进行通信具有以下优点：收发信机体积小、重量轻、价格低，红外线的频率范围比较灵活，不受各个国家和地区输出的限制。缺点是距离较短且不允许有障碍物。例如遥控器一般都使用红外线进行传输。

传输介质01OPTION无线介质微波微波是一种具有极高频率（通常为300M～300GHz）、波长很短的电磁披。在微波频段，由于频率很高，电波的绕射能力弱，所以微波的信号传输一般限定在视线距离内的直线传播。微波具有传播较稳定，受外界干扰小等优点。但在传播过程中，难免受到影响而引起反射、折射、散射和吸收现象，产生传播衰减和传播失真。例如无线广播电视、军事雷达、卫星系统一般都使用微波进行通信。

传输介质01OPTION无线介质激光激光通信是利用激光束调制成光脉冲来传输数据。激光通信只能传输数字信号，不能传输模拟信号。激光通信必须配置一对激光收发器，而且要安装在可视范围内。激光的频率比微波高，可以获得较高带宽，激光具有高度的方向性，因而难以窃听和被干扰。缺点在于激光源会发出少量射线污染环境，所以只有通过特许后才能安装。

网络设备调制解调器调制解调器是Modulator（调制器）与Demodulator（解调器）的简称，中文称为调制解调器，根据Modem的谐音，亲昵地称之为“猫”，是一种能够实现通信所需的调制和解调功能的电子设备。一般由调制器和解调器组成。在发送端，将计算机串行口产生的数字信号调制成可以通过电话线传输的模拟信号；在接收端，调制解调器把输入计算机的模拟信号转换成相应的数字信号，送入计算机接口。

网络设备网卡网络接口卡（NetworkInterfaceCard，NIC）简称网卡，又叫做网络适配器，是连接计算机和网络硬件的设备，它一般插在计算机的主板扩展槽中，它的标准是由IEEE来定义的。每块网卡都有一个唯一的网络节点地址，也就是我们常说的MAC地址。它是网卡生产厂家在生产时烧入ROM中的，且保证唯一。

网络设备集线器集线器（Hub）是带有多个端口的中继器（转发器），主要功能是对接收到的信号进行再生整形放大，以扩大网络的传输距离，同时也把所有节点集中在以它为中心的节点上。它工作于OSI参考模型的最底层，即“物理层”。集线器与网卡、网线等传输介质一样，属于局域网中的基础设备，采用CSMA/CD访问方式。早期集线器应用很广泛，它不仅使用于局域网、企业网、校园网，还可以使用于广域网。

网络设备中继器中继器是连接网络线路的一种装置，常用于两个网络结点之间物理信号的双向转发工作。中继器是最简单的网络设备，主要完成物理层的功能，负责在两个节点的物理层上按位传递信息，完成信号的复制、调整和放大功能，以此来延长网络的长度。

网络设备交换机分类：按网络构成方式：接入层交换机、汇聚层交换机和核心层交换机按照TCP/IP模型划分：二层交换机和三层交换机按照交换机的外观划分：盒式交换机和框式交换机框式交换机盒式交换机定义：距离终端用户最近的设备，用于终端用户接入网络、对数据帧进行交换等。

网络设备路由器分类：按网络构成方式：接入层路由器、汇聚层路由器和核心层路由器按照外观划分：盒式路由器和框式路由器框式路由器盒式路由器定义：路由器：网络层设备，可以在因特网中进行数据报文转发。路由器根据所收到的报文的目的地址选择一条合适的路径，将报文传送到下一个路由器或目的地，路径中最后的路由器负责将报文送交目的主机。学习进步！计算机网络安全技术协议与标准概述计算机网络技术基础协议与标准概述学习目标

协议与标准概述01OPTION什么是协议？举例来说，在拍电报时，必须首先规定好报文的传输格式，什么表示启动，什么表示结束，出了错误怎么办，怎样表示发报人的名字和地址，这些预先定义好的格式及约定就是协议。网络协议是为了使计算机网络中的不同设备能进行数据通信而预先制定的一套通信双方相互了解和共同遵守的格式和约定。网络协议是一系列规则和约定的规范性描述，定义了网络设备之间如何进行信息交换。网络协议是计算机网络的基础，只有遵从相应协议的网络设备之间才能够通信（即各种网络互联终端设备的“法律”）。如果一台设备不支持用于网络互联的协议，它就不能与其他设备通信。

协议与标准概述丰富的协议类型网络协议多种多样，主要有传输控制协议/因特网协议（TransferControlProtocol/InternetProtocol，TCP/IP）协议、Novell网络的网际分组交换/顺序分组交换（InternetworkPacketeXchange/SequencedPpacketeXchange，IPX/SPX）协议、IBM网络的系统网络架构（SystemNetworkArchitecture，SNA）协议等。目前最为流行的是TCP/IP协议栈，它已经成为Internet的标准协议。应用层主机到主机层英特网层网络接入层TCP/IP标准模型

协议与标准概述02OPTION何为标准?标准（standard）是广泛使用的或者由官方规定的一套规则和程序。标准描述了协议的规定，设定了保障网络通信的最简性能集。通信标准一般可分为两大类，即事实标准和法定标准。事实标准指的是未经组织团体承认，但已在应用中被广泛使用和接收的标准，而法定标准则指那些由官方认可的团体制定的标准。3.1

协议与标准概述03OPTION知名的标准机构（5）国际电信联盟（3）美国国家标准局（4）电子工业联盟/电信工业联盟（6）因特网架构委员会（1）国际标准化组织（2）电子电气工程师协会（7）因特网工程特别任务组学习进步！计算机网络技术基础OSI/RM计算机网络安全技术OSI/RM概述OSI/RM层次结构及功能学习目标

OSI/RM概述01OPTION概述从20世纪60年代计算机网络问世以来，国际上各大厂商为了在数据通信网络领域占据主导地位，顺应信息化潮流，纷纷推出了各自的网络架构体系和标准，如IBM公司的SNA协议，NovellIPX/SPX协议，苹果公司的AppleTalk协议，DEC公司的DECnet协议，以及广泛流行的TCP/IP。同时，各大厂商针对自己的协议生产出了不同的硬件和软件。各个厂商的共同努力无疑促进了网络技术的快速发展和网络设备种类的迅速增长。

但多种协议的并存也使网络变得越来越复杂；而且，厂商之间的网络设备大部分不能兼容，很难进行通信。

OSI/RM概述OSI/RM模型的诞生为了解决网络之间的兼容性问题，帮助各个厂商生产出可兼容的网络设备，ISO于1984年提出了OSI/RM，该模型具有以下几个特点。① 每层的对应实体之间都通过各自的协议进行通信。② 所有参与通信的计算机系统都有相同的层次结构。③ 不同网络系统的相应层次具有相同的功能。④ 同一网络系统的各个层次之间通过接口联系。⑤ 相邻的层次之间，下层为上层提供服务。

OSI/RM层次结构及功能分层结构OSI/RM采用了分层结构技术，把一个网络系统从下到上分成了7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，如图3-1所示。一般来说，OSI/RM的第一层到第三层为底层，底层负责网络数据传输，网络设备往往位于底层，以硬件和软件相结合的方式来实现。OSI/RM的第五层到第七层为高层，高层负责主机之间的数据传输，以软件方式来实现。01OPTION图3-1OSI/RM的层次结构

OSI/RM层次结构及功能OSI层次功能OSI/RM的每一层都有不同的功能，每一层的功能都以协议形式正规描述，协议定义了某层同远端一个对等层通信所使用的一套规则和约定，各层的主要功能如图3-2所示。。02OPTION图3-2OSI/RM各层的主要功能学习进步！计算机网络安全技术

局域网基础计算机网络技术基础局域网简介局域网和IEEE802标准学习目标常见的几种局域网

局域网简介01OPTION概述局域网（LocalAreaNetwork,简称LAN），即计算机局部区域网，它是在一个局部的地理范围内（通常网络连接的范围以几千米为限），将各种计算机、外围设备、数据库等通信设备互相连接起来组成的计算机通信网。特点：有限的地理位置（一般在10m到10km之内）。通常多个站共享一个传输介质（同轴电缆、双绞线、光纤）。具有较高的数据传输速率，高速局域网可达100Mbit/s以上。具有较低的时延。具有较低的误码率，一般在千万分之一到百万亿分之一之间。有限的站数。

局域网和IEEE802标准02OPTION局域网与OSI参考模型

局域网和IEEE802标准02OPTIONIEEE802协议IEEE802.1描述局域网体系结构以及网络互连。IEEE802.2定义了逻辑链路控制(LLC)子层的功能与服务。IEEE802.3描述CSMA/CD总线式介质访问控制协议及相应物理层规范。IEEE802.4描述令牌总线(TokenBus)式介质访问控制协议及相应物理层规范。IEEE802.5描述令牌环(TokenRing式介质访问控制协议及相应物理层规范。IEEE802.6描述市域网(MAN)的介质访问控制协议及相应物理层规范。IEEE802.7描述宽带技术进展。IEEE802.8描述光纤技术进展。IEEE802.9描述语音和数据综合局域网技术。IEEE802.10描述局域网安全与解密问题。IEEE802.11描述无线局域网技术。IEEE802.12描述用于高速局域网的介质访问方法和相应的物理层规范。

常见的几种局域网01OPTION以太网以太网由Xerox（施乐）公司最早开发，在Xerox、DEC和Intel公司的推动下形成了DIX（Digital/lntel/Xerox）标准。1985年，IEEE802委员会吸收以太网为IEEE802.3标准，并对其进行了修改。以太网最初被设计为使多台计算机通过一根共享的同轴电缆进行通信的局域网技术，随后又逐渐扩展到包括双绞线的多种共享介质上。

常见的几种局域网02OPTION令牌环令牌环（TokenRing）最早由IBM公司设计开发，最终被IEEE接纳，形成了IEEE802.5标准。令牌环网在物理上采用了星型拓扑结构。所有工作站通过IBM数据连接器(IBMdataconnector)和IBM第一类屏蔽双绞线（Type-1ShieldedTwistedPair）连接到令牌环集线器(Hub)上。但在逻辑上，所有工作站形成一个环形拓扑结构。

常见的几种局域网03OPTIONFDDI由于FDDI在早期局域网环境中具有带宽和可靠性优势，其主要应用于核心机房、办公室或建筑物群的主干网、校园网主干等。如下图描述了FDDI网络的结构。但是，随着以太网带宽的不断提高，可靠性的不断提升，以及成本的不断下降，FDDI的优势己不复存在。FDDI的应用日渐减少，主要存在于一些早期建设的网络中。

常见的几种局域网04OPTION无线局域网传统局域网技术都要求用户通过特定的电缆和接头接入网络，无法满足日益增长的灵活性、移动性接入需求。无线局域网(WirelessLocalAreaNetwork，WLAN)使计算机与计算机、计算机与网络之间可以在一个特定范围内进行快速的无线通信，因而在与便携式设备的互相促进中获得快速发展，得到了广泛应用。学习进步！计算机网络安全技术以太网技术计算机网络技术基础以太网简史以太网分类学习目标

以太网简史以太网发展

以太网分类以太网由Xerox公司PARC研究中心于1973年5月22日首次提出。以太网类型：10M以太网（标准以太网）100M以太网（快速以太网）1000M以太网（千兆以太网）

10G以太网（万兆以太网）……

以太网分类标准以太网10Base－2使用直径为0.2英寸、阻抗为50Ω细同轴电缆，也称细缆以太网，最大网段长度为185m，基带传输方法，拓扑结构为总线型；10Base－2组网主要硬件设备有：细同轴电缆、带有BNC插口的以太网卡、中继器、T型连接器、终结器等。10Base－T使用双绞线电缆，最大网段长度为100m，拓扑结构为星型。10Base－T组网主要硬件设备有：3类或5类非屏蔽双绞线、带有RJ-45插口的以太网卡、集线器、交换机、RJ-45插头等。10Base－5使用双绞线电缆，最大网段长度为500m，传输速度为1Mbps。技术标准标准以太网常见线缆类型传输距离10BASE-5粗同轴电缆500m10BASE-2细同轴电缆200m10BASE-T双绞线100m

以太网分类快速以太网100BASE-TX:采用两对屏蔽双绞线或高质量的5类非屏蔽双绞线；100BASE-FX:采用两根光纤，一根用于发送，一根用于接收。技术标准标准以太网常见线缆类型传输距离100Base—TXEIA/TIA5类（UTP）非屏蔽双绞线2对100m100Base—FX多模光纤（MMF）线缆550m-2km单模光纤（SMF）线缆大于2km

以太网分类千兆以太网1000BASE-T:IEEE802.3ab，5类非屏蔽双绞线1000BASE-X:IEEE802.3z，多模光纤、单模光纤和150欧平衡屏蔽式双绞线。1000BASE-CX:由于最大长度25米，现在应用已经很少。1000BASE-SX:短波850nm，激光范围（770～860nm）只用于多模光纤。1000BASE-LX:长波1310nm，激光范围（1270～1355nm）主要用于单模光纤，但也可以用于多模光纤。

以太网分类万兆以太网串行的10GBase-S/L/E-R/W：10GBase-S：短距；850nm；多模。10GBase-L：长距；1310nm；单模。10GBase-E：超长距；1550nm；单模。W=WANPHY广域网物理层,9.95328Gb/s码率,采用SONETSTS-192c及SDHVC-4-64C封装，可以使用DWDM或SDH/SONET光／传输网作传送，使10G以太网无缝接入SDH。R=LANPHY局域网物理层,10.3125Gb/s码率。4路并行WDM(波分复用)的10GBase-LX4：10GBase-LX4：1310nm；多模。10GBase-LX4：1310nm；单模。学习进步！计算机网络安全技术WLAN技术介绍计算机网络技术基础WLAN技术标准WLAN频段学习目标

WLAN技术介绍01OPTION概述无线局域网(WirelessLocalAreaNetwork，WLAN)是计算机网络技术和无线通信技术相结合的产物，它利用无线通信技术在一定的局部范围内建立网络，提供传统有线局域网(LocalAreaNetwork，LAN)的功能，通过无线通信技术将该范围内的计算机等设备互相连接起来，实现这些计算机设备相互通信以及资源共享等。WLAN技术标准01OPTION技术标准WLAN对应的技术标准IEEE802.11是由电气与电子工程师协会（InstituteofElectricalandElectronicsEngineers，IEEE）802标准化委员会下的第11标准工作组制定的系列标准。从1990年IEEE802标准化委员会成立了IEEE802.11标准工作组以来，已经发布了很多版本，其中既有正式的版本，又有对现有的标准的修订案。本节内容主要介绍802.11a/b/g/n标准，如表5-1所示。标准版本IEEE802.11IEEE802.11bIEEE802.11gIEEE802.11aIEEE802.11n发布时间1997年6月1999年9月2003年6月1999年9月2009年9月工作频段2.4GHz2.4GHz2.4GHz5GHz2.5GHz/5GHz合法频宽83.5MHz83.5MHz83.5MHz325MHz83.5MHz&325MHz频率范围2.4-2.4835GHz2.4-2.4835GHz2.4-2.4835GHz5.150-5.350GHz5.725-5.850GHz（中国）2.4-2.4835GHz5.150-5.350GHz5.725-5.850GHz非重叠信道33313(中国5个)2.4G3个5G13个调制技术FHSS/DSSSCCK/DSSSCCK/OFDMOFDMMIMOOFDM速率Mbit/s1,21,2,5.5,111,2,5.5,11,6,9,12,18,24,36,48,546,9,12,18,24,36,48,54支持速率由调制编码策略MCS(ModulationandCodingScheme)决定。理论支持最大速率为600表5-1WLAN技术标准WLAN频段01OPTION2.4GHz频段IEEE802.11b/g/n工作在2.4GHz的频段，该频段被划分为14个交叠的、错列的无线载波信道，每个信道的带宽为22MHz（IEEE802.11n2.4GHz频段每个信道带宽为20MHz），中心频率间隔为5MHz，如图5-1所示。中心频率和信道号之间的关系如式所示。信道中心频率=2047+5×n_ch(MHz)其中，n_ch=1,2,⋯,13。图5-12.4GHz频段示意图WLAN频段01OPTION2.4GHz频段在不同的国家，2.4GHz频段使用的信道号不一定相同。表5-2给出了几个国家信道使用的情况。其中美国和加拿大，仅允许使用信道1到11；中国、欧洲、澳大利亚允许使用信道1到13；日本可以使用14个信道，但第14个信道仅在IEEE802.11b中使用。表5-22.4GHz频段信道分配表信道中心频率(MHz)频率范围（MHz）中国、欧洲、澳大利亚美国、加拿大日本124122401～2423是是是224172406～2428是是是324222411～2433是是是424272416～2438是是是524322421～2443是是是624372426～2448是是是724422431～2453是是是824472436～2458是是是924522441～2463是是是1024572446～2468是是是1124622451～2473是是是1224672456～2478是否是1324722461～2483是否是1424842473～2495否否802.11bonlyWLAN频段02OPTION5GHz频段IEEE802.11a/n/ac工作在5GHz的频段，可使用无许可证的国家信息基础设施（UnlicensedNationalInformationInfrastructure,UNII）的UNII-1（5.15GHz～5.25GHz）、UNII-2（5.25GHz～5.35GHz）、UNII-3（5.725GHz～5.825GHz）和UNII-2e（5.470GHz～5.725GHz）频段，如图5-2所示。WLAN5G频段的每个信道的带宽为5MHz，其中心频率和信道号之间的关系如式所示。信道中心频率=5000+5×n_ch(MHz)

其中，n_ch=0,1,2,⋯,200，共有201个信道。图5-25GHz频段示意图WLAN频段02OPTION5GHz频段WLAN传输数据的物理信道需要20MHz的带宽，其相邻两个物理信道中心频率间隔为20MHz。对于UNII中低频段来说（UNII-1和UNII-2），共计有200MHz带宽，有8个对应的载波，其中心频率对应的信道号分别为：36、40、44、48、52、56、60、64。对于UNII高频段来说（UNII-3），共计有100MHz带宽，有4个对应的载波，其中心频率对应的信道号分别为：149、153、157、161。具体信道配置如表5-3所示。WLAN频段02OPTION5GHz频段表5-35GHz频段信道分配表信道编号Nch中心频率MHz频率范围（MHz）美国中国3651805170～5190是否4052005190～5210是否4452205210～5230是否4852405230～5250是否5252605250～5270是否5652805270～5290是否6053005290～5310是否6453205310～5330是否10055005490～5510是已公示10455205510～5530是已公示10855405530～5550是已公示11255605550～5570是已公示11655805570～5570是已公示12056005590～5610是已公示12456205610～5630是已公示12856405630～5650是已公5670是已公5690是已公5710是已公5730是5775是5795是是16158055795～5815是是16558255815～5835是是WLAN频段03OPTION信道绑定信道绑定将两个或者多个20MHz的信道捆绑成一个传输信道，使得信道的带宽成倍增加，传输速率也成倍增长。比如可以将两个相邻的20MHz的信道捆绑成一个40MHz的传输信道，将4个相邻的20MHz信道捆绑成一个80MHz的传输信道。对于WLAN2.4GHz频段来说，由于其不重叠的频点少，无法实现两个相互不干扰的40MHz信道的划分，因此在实际应用中，不建议将2.4GHz频段的20MHz信道捆绑成40MHz信道。对于WLAN5GHz频段来说，由于其不重叠的频点较多，因此可以将20MHz的信道捆绑成40MHz或者80MHz的信道。在中国大陆，WLAN5GHz频段使用的频点只有5个，分别为149、153、157、161、165。将两个连续信道进行信道捆绑时，其中一个作为主信道，另一个作为次信道，所有的控制帧和管理帧在主信道上传输，而数据帧在主信道和次信道捆绑的40MHz信道上传输。学习进步！计算机网络技术基础WLAN原理及组建计算机网络技术基础WLAN工作原理WLAN网络组建学习目标CAPWAP隧道建立WLAN安全WLAN中的VLAN

WLAN工作原理01OPTIONWLAN组成原理WLAN网络的组成主要包括4个部分，分别为分布式系统（DistributionSystem,DS）、接入点（AccessPoint,AP）、无线介质（WirelessMedium,WM）和站点（Station,STA），如图5-3所示。其中，DS主要是将多个接入点直接相互连起来，从而实现接入点之间可以进行数据通信。接入点主要的功能是向下提供无线网络服务，向上和分布式系统连接，为无线网络和分布式系统之间提供桥接。这里的无线介质主要是指大气，主要完成站点和接入点提供传输介质。站点主要是可以接入无线网络终端设备，包括可移动的手机、笔记本电脑等，也包括使用无线网卡连接到无线网络的固定的台式电脑等。图5-3WLAN的组成

WLAN工作原理02OPTIONWLAN的基本元素基本服务集（BasicServiceSet,BSS）是由一组相互通信的站点构成，是802.11网络的基本组件。BSS覆盖的范围称为基本服务区（Basicservicearea,BSA）,在此区域内，站点之间可以相互通信。每个BSS都有一个基本服务集标识（BasicServiceSetIdentifier,BSSID），是无线访问节点（WirelessAccessPoint,WAP）的MAC地址，是BSS的二层标识符。

WLAN工作原理02OPTIONWLAN的基本元素服务集标识（ServiceSetIdentifier,SSID）是802.11无线网络的逻辑名字，即WIFI名称。在使用笔记本电脑等无线站点搜索可接入网络时，显示出的网络名称就是SSID，当然也可以将网络的SSID也可以隐藏起来。采用SSID技术可以将一个无线局域网分为几个逻辑子网络，每个子网可以设置不同的身份认证方式供不同的客户使用。如图5-4所示，一个AP可以支持多个SSID，该网络有两个SSID，分别是Guest和Employee。这两个SSID有不同的BSSID一一对应，并且可以根据需求设置成不同的访问权限。图5-4多SSID

WLAN工作原理03OPTIONWLAN拓扑结构BSS根据接入点功能差异，可分为独立基本服务集（IndependentBSS,IBSS）、基础结构模式基本服务集（InfrastructureBSS）、扩展服务集（ExtendedServiceSet，ESS）等组网方式。独立基本服务集（如图5-5所示）中的站点之间可以直接通信，一般来说，IBSS主要用于临时组建的网络，当任务完成后，该网络就会瓦解。由于该网络通信采用竞争的方式，因此规模不能太大。其BSSID是一个由46位的随机码产生本地管理的MAC地址。图5-5独立基本服务集

WLAN工作原理03OPTIONWLAN拓扑结构基础结构模式基本服务集（如图5-6所示）中，一个BSS包含一个AP和若干个STA。该架构中的站点间通信不能跟IBSS中的站点一样可以直接互相通信，其站点必须通过AP才能将数据发给目标站点。其BSSID就是AP的MAC地址。图5-5独立基本服务集

WLAN工作原理03OPTIONWLAN拓扑结构扩展服务集就是利用骨干网络将多个BSS串联起来，以扩大无线覆盖范围，位于同一个ESS的接入点将会使用相同的SSID，如图5-7所示。每个ESS都有一个扩展服务集标识（ESSIdentifier,ESSID），实质上就是ESS中的BSS共用的SSID。为了减少干扰，同一个ESS中相邻的AP之间要使用不同的信道。为了实现用户从一个BSA到另一个BSA间的无缝漫游，两个BSA覆盖区域需要部分重叠。图5-7ESS示意图WLAN网络组建01OPTIONWLAN组网方式在无线局域网中，FatAP是一个独立的接入点，可以提供无线信号、用户安全管理和接入访问策略等。其安装方便，一般家庭或者小型企业会采用这种组网模式。如图5-8所示，是FatAP在家庭或SOHO网络中的应用。家庭中使用的无线路由器就是一个FatAP，通过ADSLModem或者光猫连接到internet。无线路由器和FatAP的区别在于，无线路由器不仅提供无线服务外，还提供了WAN口和LAN口的有线接口功能。图5-8FatAP组网WLAN网络组建FATAP如图5-9所示，是FatAP在小型企业网络中的应用。FatAP通过交换机连接到企业核心网。如果企业核心网中部署了网管系统，也可以对所有的AP进行远程管理。该网络架构仅适合AP数量不多的情况。对于大型的企业，随着AP数量的增多，每个FatAP需要单独配置，从而导致管理员工作量的大量提升。而且FatAP组网无法实现漫游，导致用户从一个FatAP的覆盖区走到另一个FatAP的覆盖区，会重新连接信号强的FatAP，因此，在企业的组网中，一般都采用AC+FitAP的组网方式。图5-9FatAP组网WLAN网络组建FitAPFitAP本身不能单独组网，也不能进行数据配置，需要一台专门的无线控制器AC设备进行集中控制管理配置，如图5-10所示。在AP数量众多的时候，使用AC+FitAP的架构进行无线网覆盖，只需控制器来管理配置，会减少大量的工作。其中，AC主要完成安全、控制和管理功能，包括移动管理、身份认证、射频资源管理和数据包的转发等等。FitAP主要无线射频接入功能，包括无线射频接入、报文的加解密、数据传输等。图5-10FitAP组网WLAN网络组建敏捷分布Wi-Fi方案组网在在敏捷分布Wi-Fi方案组网中，AC对多个中心AP进行集中管理，每个中心AP对多个RU进行集中管理和控制，如图5-11所示。其中，和FitAP组网中AP功能不同，中心AP不负责空口802.11报文的收发，该功能由RU模块来完成。中心AP主要负责RU进行集中管理和协同工作功能，包括STA上线、配置下发、RU之间的STA漫游。在该组网模式下，RU和中心AP之间采用二层组网，中心AP和AC之间可以采用二层或者三层组网。图5-11敏捷分布Wi-Fi组网WLAN网络组建02OPTION数据转发模式根据AC和AP连接网络的不同，可分为二层组网和三层组网。二层组网是指AC和AP之间直接连接或者采用二层网络连接时，AC和AP在同一个二层网络。该组网方式适用简单的网络架构，不适用于大型网络架构。三层组网是指AC和AP采用三层网络连接时，AC和FitAP的IP地址不在同一网段。该组网方式适用大型网络架构。根据AC在网络中的位置的不同，可分为直联式组网和旁挂式组网。WLAN网络组建02OPTION数据转发方式直连式组网中，FitAP通过AC和上行网络相连，如图5-12(a)和图5-13(a)所示。旁挂式组网中，AC旁挂在FitAP与上行连接的网络中，如图5-12(b)和图5-13(b)所示。图5-12直接转发示意图图5-13隧道转发示意图CAPWAP隧道建立01OPTIONCAPWAP基本原理FitAP不能独立组网，需要和AC共同来组建WLAN网络，因此FitAP和AC需要有对应的传输协议。为了解决各厂商AP和AC产品之间的兼容问题，互联网工程任务组（InternetEngineeringTaskForce，IETF）成立了无线接入点控制与配置协议（ControlAndProvisioningofWirelessAccessPoints,CAPWAP）工作组，来研究AP和AC的隧道协议。CAPWAP实现AC对其所关联的AP集中管理和控制，AP对AC的自动发现、AP和AC的状态机运行、维护、AC对AP进行管理、业务配置下发、STA数据封装CAPWAP隧道进行转发等功能。CAPWAP隧道建立01OPTIONCAPWAP基本原理CAPWAP有数据业务通道和控制通道，分别承载数据业务流和管理流。两个通道使用不同的UDP端口，业务通道使用5247端口，控制通道使用5246端口。CAPWAP传输的控制报文来说，除了“发现请求”和“发现相应”进行明文传输外（报文格式如表5-4），不需要采用数据包传输层安全性协议（DatagramTransportLayerSecurity，DTLS）加密外，其他的控制报文都需要进行DTLS加密传输（报文格式如表5-5）。对于数据报文可以根据要求选择DTLS明文传输（报文格式如表5-6）或者加密传输（报文格式如表5-7）。IP首部UDP首部CAPWAP首部控制首部信息元素IP首部UDP首部CAPWAPDTLS首部DTLS首部CAPWAP首部控制首部信息元素DTLS尾部IP首部UDP首部CAPWAP首部数据包IP首部UDP首部CAPWAPDTLS首部DTLS首部CAPWAP首部数据包DTLS尾部表5-4控制报文明文格式表5-5控制报文加密格式表5-6数据报文明格式表5-7数据报文加密格式CAPWAP隧道建立02OPTIONCAPWAP隧道的建立CAPWAP隧道的建立包括数据隧道和控制隧道：控制隧道：AP和AC之间的控制报文需要通过CAPWAP隧道，并使用DTLS进行加密。数据隧道：当采用隧道转发时，业务数据需要通过AP和AC之间的CAPWAP隧道集中到AC上转发。AC通过CAPWAP隧道才能实现对AP的集中管理和控制，而CAPWA隧道建立前，AP首先要获得IP地址，其获取IP地址主要包括静态方式和DHCP方式，如图5-14所示。静态方式采用在AP上手动配IP地址；DHCP方式是AP通过DHCP服务器获得IP地址。图5-14DHCP过程CAPWAP隧道建立02OPTIONCAPWAP隧道的建立当AP获得IP地址后，CAPWAP建立过程如图5-15所示。图5-15CAPWAP建立过程CAPWAP隧道建立①

Discovery状态该过程主要是AP发现可关联AC的过程。也就是Discovery阶段，如图5-16所示。AP发现AC有静态方式和动态方式两种方式。AP根据此IP地址与AC协商，AP接收到响应消息后开始与AC建立CAPWAP隧道，这个阶段可以选择CAPWAP隧道是否采用DTLS传输UDP报文，如图5-17所示。图5-16discovery状态图5-17DTLS握手CAPWAP隧道建立②Join状态该状态是AP与AC建立控制通道的交互过程，如图5-18所示，在此交互过程中，AP会向AC发送JoinRequest报文请求，AC收到该报文后，会进行黑白名单校验等处理后，会返回JoinResponse报文，该报文包含了AC要求AP的版本信息和升级方式。如果AP当前的版本和AC要求的版本不匹配，则进入ImageData状态进行版本升级，如果AP的版本符合要求，进入Configuration状态。图5-18join状态CAPWAP隧道建立③ImageData状态该状态用于AP版本的升级，如图5-19所示，AP根据AC返回的JoinResponse报文中的版本信息来判断是否需要升级，如果不一致，则开始更新版本。再重复前面三个步骤。如果版本信息符合AC要求，则跳过该步骤，进入Configuration状态。图5-19imagedata状态CAPWAP隧道建立④Configuration状态该状态用于AP现有的配置和AC设定的配置进行匹配检查，如图5-20所示，AP发送的configurationstatusrequest报文，该报文包括了AP当前的配置，当AC收到该报文后，检查AP当前配置是否与AC要求相符，并将匹配信息通过configurationstatusresponse通知AP，AP根据该信息调整自身配置。图5-20configuration状态CAPWAP隧道建立⑤

datacheck状态该状态是AP用户和AC确认配置信息是否修改成功，如图5-21所示。AP发送changestateeventrequest报文信息，该报文中包含了radio，result，code等信息，当AC接收到changestateeventrequest后，给AP发送changestateeventresponse报文进行回应，AP收到该报文后，至此完成datacheck后，已经完成管理隧道建立的过程，则进入Run状态。图5-21datacheck状态CAPWAP隧道建立⑥run状态该状态是检查CAPWAP通道是否正常工作。AP进入Run状态后，AP与AC开始转发用户数据，同时也需要定期检查CAPWAP通道是否正常工作。为了检测AP和AC之间的控制隧道是否时连通状态，AP会通过UDP的5246端口发送EchoRequest报文给AC，AC会发送EchoResponse报文进行响应，如图5-22(a)所示。为了检测AP和AC之间的数据隧道是否时连通状态，AP会通过UDP的5247端口发送Keepalive报文给AC，AC会发送Keepalive报文进行响应，如图5-22(b)所示。图5-22run状态（a）图5-22run状态（b）WLAN安全01OPTIONWLAN的安全机制LAN的安全机制中包括认证和加密技术，包括无线链路建立时的链路认证方式，无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。AP和用户只能通过认证后才能接入网络，从而防止非法的AP和用户接入，并对现有的网络造成危害。加密是为了保护用户的数据安全，防止泄密。802.11的加密认证技术主要包括有线等效保密（WiredEquivalentPrivacy,WEP）、Wi-Fi保护接入（Wi-FiProtectedAccess，WPA）、无线局域网鉴别与保密基础结构（WLANAuthenticationandPrivacyInfrastructure，WAPI）、Portal等相关技术。WLAN安全01OPTIONWLAN的安全机制常见技术如下：①WEPWEP是802.11b标准定义的安全协议，采用比较简单的RC4算法来给数据加密，没有达到预期加密的效果。可支持开放式系统和共享密钥两种加密方式。②WAPIWAPI是中国提出的无线安全强制性的国家标准。采用了基于公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，因此WAPI比WEP和WPA更安全，WAPI协议由无线局域网鉴别基础结构（WLANAuthenticationInfrastructure，WAI）和无线局域网保密基础结构（WLANPrivacyInfrastructure，WPI）两部分组成，WAI主要用于无线局域网中身份鉴别和密钥管理，WPI用于无线局域网中传输数据的加密、鉴别等保护的安全方案。③PortalPortal认证通常也称为Web认证，用户上网时，需要在Portal认证网站（门户网站）输入用户名和密码，认证通过后才可以使用网络资源。④MACMAC认证是一种基于接口MAC地址的认证方法，当开启MAC认证的接口首次检测到用户的MAC地址后，就启动认证操作，该认证过程不需要用户手动输入用户名或者密码。WLAN中的VLAN01OPTIONVLAN在无线的分类根据WLAN中协议中VLAN功能不同，主要分为管理VLAN、业务VLAN、用户VLAN和授权VLAN。1管理VLAN24业务VLAN授权VLAN3用户VLAN学习进步！计算机网络技术基础广域网概述计算机网络技术基础广域网的基本概念广域网的接入方式学习目标

广域网的基本概念什么是广域网广域网是连接不同地区局域网的网络，通常所覆盖的范围从几十公里到几千公里。它能连接多个地区、城市和国家，或横跨几个洲提供远距离通信，形成国际性的远程网络。数据中心企业分支企业总部居民小区LANWANLANISP01OPTION

广域网的基本概念早期广域网技术介绍02OPTION早期广域网与局域网的区别在于数据链路层和物理层的差异性，在TCP/IP参考模型中，其他各层无差异。TCP/IP参考模型应用层传输层网络层数据链路层物理层PPP HDLC FrameRelay ATMLAN技术WAN技术RS-232 V.24 V.35 G.703IEEE802.3/4/5/11IP ICMP ARPTCP UDPHTTP FTPTelnet DNS SNMP

广域网的接入方式DDN专线接入DDN（即数字数据网）由光纤、数字微波或卫星等数字传输介质和复用设备组成，面向企业网用户提供高质量、透明的数据专线接入，实现企业网内部的保密性通信，特别适合于金融、保险行业。

广域网的接入方式有线电视的电缆调制解调器接入CableModem(即电缆调制解调器)接入是在有线电视的混合光纤同轴电缆网（HybridFiberCoax，HFC）上提供的接入方式。HFC把铜缆和光缆搭配起来，同时提供两种物理媒质所具有的优秀特性。HFC可以提供比传统电话线接入更高的传输速率，其成本比xPON、光纤专线接入更低，是DSL接入的有力竞争对手。CableModem

广域网的接入方式DSL接入DSL（数字用户线路）接入方式是指通过DSL调制解调器实现传统电话网的高速数据接入业务。DSL技术常见的类型有ADSL、VDSL、HDSL等，其中，ADSL使用得最为广泛。当然，随着运营商“光进铜退”工程的推进，DSL接入方式跟CableModem接入方式也在被逐渐淘汰的过程中。

广域网的接入方式PON接入PON（即无源光网络）接入是新一代光纤接入技术，一般包括局端的光线路终端OLT、无源光分配网络ODN和用户端的光网络单元ONU。目前使用较多的PON接入有EPON和GPON，而xPON则同时支持这两种标准，兼容这两种PON技术。PON接入技术是目前最流行的广域网接入技术。

广域网的接入方式光纤专线接入光纤专线接入是指用户端通过光纤直接接入运营商城域网接入层或汇聚层的接入方式。该业务一般面向政府机构和企业用户，包括同步数字序列SDH、多业务传输平台MSTP、IPRAN、MPLS-VPN等多种业务。学习进步！计算机网络安全技术HDLC协议计算机网络技术基础HDLC协议概述HDLC帧格式学习目标HDLC的基本概念

HDLC协议概述RTARTBHDLCS1/0/0S1/0/0特点：全双工通信，不必等待确认可连续发送数据，有较高的数据链路传输效率。采用CRC校验，对信息帧进行顺序编号，可防止漏收或重收，传输可靠性高。传输控制功能与处理功能分离，具有较大的灵活性和较完善的控制功能。协议不依赖于任何一种字符编码集，数据报文可透明传输。用于透明传输的“0比特插入法”，易于硬件实现。High-levelDataLinkControl，高级数据链路控制，简称HDLC，是一种面向比特的链路层协议。

HDLC帧格式HDLC有三种类型的帧：信息帧、监控帧、无编号帧。FlagInformationControlAddressFCSFlag11MMP/FMMMUS10SSP/FP/FI0N(S)P/F01234567N(R)

HDLC基本概念站的类型主站负责控制整个链路的操作由主站发出的帧为命令从站在主站的控制下进行操作由从站发出的帧为响应组合站组合了主站和从站两种特性

HDLC基本概念链路结构平衡型一个主站和若干个从站组成非平衡型俩个组合站组成从站从站从站主站命令响应组合站组合站响应命令响应命令

HDLC基本概念操作方式正常响应（NormalResponseMode）仅当从站被主站探询之后，才能传输信息帧和有关帧异步响应（AsynchronousResponseMode）从站可不经主站探询就传输信息帧和有关帧异步平衡（AsynchronousBalancedMode）链路两端的组合站具有同等能力任何一方可在任何时间发送命令帧和响应帧从站主站NRM从站主站ARM组合站组合站ABM学习进步！计算机网络安全技术

网络安全概述计算机网络技术基础网络安全的重要性网络安全的主要威胁因素学习目标

网络安全的重要性01OPTION网络攻击的出现随着网络的快速普及，网络以其开放、共享的特性对社会的影响也越来越大。网络上各种新业务的兴起，如电子商务、电子政务、电子货币、网络银行，以及各种专业用网的建设，使得各种机密信息的安全问题越来越重要。计算机犯罪事件逐年攀升，已成为普遍的国际性问题。随着我国信息化进程脚步的加快，利用计算机及网络发起的信息安全事件频繁出现，我们必须采取有力的措施来保护计算机网络的安全。近年来，计算机病毒、木马、蠕虫和黑客攻击等日益流行，对国家政治、经济和社会造成危害，并对Internet及国家关键信息系统构成严重威胁。绝大多数的安全威胁是利用系统或软件中存在的安全漏洞来达到破坏系统、窃取机密信息等目的，由此引发的安全事件也层出不穷。如2017年“WannaCry”勒索病毒造成全球许多电脑遭受攻击，2019年拼多多平台优惠券漏洞被黑客利用，进行不正当牟利等，2020年“蔓灵花”组织对我国进行大规模钓鱼攻击等。网络安全的主要威胁因素01OPTION信息系统自身安全的脆弱性信息系统脆弱性是指，信息系统的硬件资源、通信资源、软件及信息资源等，因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效，从而使系统处于异常状态，甚至崩溃瘫痪等的根源和起因。可以从三个层面分别进行分析。硬件组件层面网络和通信协议层面软件组件层面010203网络安全的主要威胁因素02OPTION操作系统和应用程序漏洞操作系统是用户和硬件设备的中间层，操作系统一般都自带一些应用程序或者安装一些其他厂商的软件工具。应用软件在程序实现时的错误，往往就会给系统带来漏洞。漏洞是指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现，就可以被攻击者用来在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全的行为。网络安全的主要威胁因素03OPTION信息系统面临的安全威胁网络安全的基本目标是实现信息的机密性、完整性、可用性和可控性，对信息系统的几个个基本目标造成的伤害称为网络威胁，威胁的具体体现称为网络攻击。网络的威胁有以下4个方面：信息泄露完整性破坏拒绝服务未授权访问学习进步！计算机网络技术基础ACL技术计算机网络技术基础ACL技术概述ACL原理学习目标

ACL技术01OPTION安全问题暴露随着网络的飞速发展，网络安全和网络服务质量（QualityofService，QoS）问题日益突出，主要体现在以下3个方面。①园区重要服务器资源被随意访问，园区机密信息容易泄露，造成安全隐患。②Internet病毒肆意侵略园区内网，内网环境的安全性堪忧。③网络带宽被各类业务随意挤占，服务质量要求最高的语音、视频业务的带宽得不到保障，造成用户体验差。ACL技术概述概述访问控制列表（AccessControlList，ACL）是由一系列permit或deny