“网络组建与管理”教案

发布时间：2020-03-02 12:32:57 来源：范文大全收藏本文下载本文手机版

《网络组建与管理》教案

一、计算机网络基础知识

 教学目的

通过本讲内容的学习，首先掌握计算机网络的产生和发展历程，使读者对计算机网络首先有一个宏观认识。在此基础上，重点学习计算机网络的概念、组成、功能、拓扑结构等基本知识，使读者对计算机网络有一个较为全面的认识。通过本讲的学习，将为后续内容的学习打下坚实的基础。  知识点

· 计算机网络的概念

· 计算机网络的产生和发展过程 · 计算机网络的结构

· 计算机网络的现状和发展趋势 · 计算机网络的主要应用  教学过程

1.1 计算机网络的产生和发展过程 1.1.1 面向终端的第一代计算机网络

因为早期的计算机是为成批处理信息而设计的，所以当远程终端与计算机相连时，必须在计算机上安装一个叫做线路控制器（line controller）的设备，同时在线路的两端还必须各安装一台调制解调器，如图1.1所示。在

图1.1 使用线路控制器的计算机网络

随着远程终端数量的不断增加，为了节约通信费用，可在远程终端密集的地方安装一个集中器（concentrator）。集中器和前端机的功能有相似之处，也是一种通信处理机，它的一端用多条低速线路与各终端相连，另一端则用一条高速率的线路与计算机相连，如图1.2所示。

图1.2 使用集中器的计算机网络

线路控制器、前端机和集中器的使用，标志着第一代计算机网络的问世。很显然，第一代计算机网络的结构和工作方式都非常简单，但是其中的许多网络至今仍在使用着。 1.1.2 分组交换的出现和应用

在计算机网络中为了克服电路交换带来的不足，在20世纪60年代底产生了分组交换（packet switching）技术。分组交换主要解决了两个主要问题：一是解决了电路交换中两个通信节点之间长期占用通信线路，使通信节点按需要分配和使用通信线路；二是在发送一个大数据块时，先将其划分成为小的数据块，并为每一个数据块进行编号，将编号后的小数据块称为分组。每一个分组单独选择线路进行传输，在接收端再根据编号将小的数据块组合成大数据块。分组交换为现代计算机网络奠定了数据交换的基础。有关电路交换和分组交换的详细内容在本讲随后的内容中单独进行介绍。

1.1.3 网络互联标准的制定及影响早期计算机之间的组网是有条件的，在同一网络中只能存在同一厂家生产的计算机，其他厂家生产的计算机无法接入。例如，系统网络体系结构（System Network Architecture，SNA）就是IBM公司针对本公司生产的计算机开发的网络体系结构，另外还有DEC公司的数字网络体系结构（Digital Network Architecture，DNA）、UNIVAC公司的分布式计算机体系结构（Distributed Computer Architecture，DCA）等。需要说明的是，虽然这些早期的网络体系结构存在着一定局限性，但为后来通用标准的制定提供了理论基础。尤其是这些网络体系都采用了分层结构，利用分层来细化网络的协议及功能实现，为通用标准的制定提供了参考。

· OSI参考模型 · TCP/IP体系结构 · 局域网技术 1.1.4 计算机网络的高速化和综合化进入20世纪90年代后，随着数字通信的出现和应用，计算机网络开始向着综合化和高速化等方面发展。综合化是指采用交换的数据传送方式将多种业务综合到一个网络中完成。例如人们一直在使用一种与计算机网络很不相同的电话网传送语音信息，但是，现在已经可以将多种业务，如语音、数据、图像等信息以二进制代码的数字形式综合到一个网络之中进行传送。网络的高速化在近年来显得尤为突出。仅以太网来说，在短短的十几年中就从当初的10Mbit/s，发展到100Mbit/s、1000Mbit/s，现在速率达到10Gbit/s的万兆以太网也得到的广泛应用。网络向综合化和高速化发展关键有两个原因：技术发展和应用需求。

今天，计算机网络已经具有计算、数据存储、数据传输等超强的功能，通过计算机网络，人们可以传输语音、视频或进行不同语种之间的在线同步翻译，可以协作完成大型的工程设计和科学计算，可以登录数字图书馆查阅文献资料等。与此同时，像网格计算、网络并行计算、多媒体网络等技术的投入应用，计算机网络、有线电视网络、公共电话交换网络逐渐走向融合（我国称之为“三网合一”），有线网络和无线网络各取特长并相互补充，这些技术、政策和应用的出现使计算机网络的高速化和综合化等特征更加明显。

1.2 计算机网络的概念 1.2.1 什么是计算机网络综合各方面的因素，我们对计算机网络的定义为：将分布不同地理位置的多台具有独立功能的计算机通过外围设置和通信线路互联起来、在功能完善的管理软件的支持下实现相互资源共享的系统。此定义强调了计算机网络应具备的3个主要特征：

（1）建设计算机网络的主要目的是实现不同计算机之间资源的共享；

（2）组建网络的计算机是分布在不同地理位置的具有独立处理能力的“自治计算机”；（3）同一网络中的计算机必须使用相同的通信协议。 1.2.2 计算机网络的组成

一个完整的计算机网络包括以下的三个组成部分：（1）计算机。（2）外围设施。（3）通信协议。

由于网络体系结构具有层次性，所以通信协议也是分层的。通信协议并分成多个层次，每个层次内部又被分成不同的子层。不同层次负责不同的操作。网络协议由以下三个要素组成：

（1）语法。（2）语义。

（3）同步（定时）。 1.3 计算机网络的分类 1.3.1 按连接范围分类

根据网络连接范围的大小，可以将计算机网络分为局域网、域城网和广域网3种。 · 局域网 · 城域网 ·

广域网

1.3.2 按使用范围分类

根据使用范围的不同，可以将计算机网络分为公用网和专用网两类。

1．公用网 2．专用网

1.3.3 按网络传输方式分类 1.广播式网络 2.点对点式网络

1.3.4 从网络的交换功能分类

常用的交换方式有三种：电路交换、报文交换和分组交换。

1．电路交换

电路交换（circuit switching）就是两个需要通信的节点在开始通信前由交换机为之建立一个专用的通信线路。两个通信节点在开始通信后一直到通信结束之前都占用这条通信线路，数据在通信过程中始终在这条通信线中传输，只有当通信结束后才会释放该通信线路。我们最常使用的电话系统采用的就是这种电路交换方式。

2．报文交换

报文交换（meage switching）指在通信过程中不需要在信源和信宿之间建立一条专用线路，当信源发送数据时，将信宿的目标地址添加到原始数据（报文）上，然后这个经过处理的数据传向网络中的下一个中间节点，中间节点会储存所有的数据再转发到另一个中间节点，另一个中间节点重复这个储存转发的过程，直到中间节点与信宿建立联系后数据才会被传输到信宿，这种存储-转发（store and forward）的传输方式就是报文交换方式。 3．分组交换

分组交换（packet switching）就是数据在传输之前被分成多个很小的有一定长度的数据单元，这种数据单元称为分组，每个分组上都有信源和信宿的地址，并且会按照数据单元在原数据中的位置进行编号。

1.4 计算机网络结构 1.4.1 网络拓扑的概念

拓扑学是几何学的一个应用分支，它是从图论演变过来的。设计网络图时首先需要学会用不同的图标代表不同的设备（如服务器、工作站、交换机、路由器等），然后再用一定的连线将这些设备连接起来，即用不同的连线代表不同的网络连线（即传输介质，如细缆、双绞线、光纤、微波、红外线等）。 1.4.2 局域网的结构

目前，局域网中常见的标准拓扑结构有总线型（Bus）、星型（Star）和环型（Ring）三种类型。 1.4.3 广域网的结构

随着网络技术的发展，原来相对独立的计算机网络、公共电话交换网（PSTN）、有线电视网络（CATV）开始走向融合，广域网的组成结构已不再是由单纯的计算机和局域网组成，而是多种网络的有机结合。同时，随着无线射频通信技术的发展，无线局域网和无线城域网技术已相当成熟，成为广域网结构中的一个重要组成分支。为此，从接入端来看，今天的广域网中同时包括了局域网、PSTN、CATV、无线局域网和无线城域网等类型，形成了不同类型的接入网。

1.4.4 计算机网络的组成

计算机网络的两大基本功能是数据处理和数据通信，其中数据处理由计算机和终端完成，而数据通信则由通信控制设备和通信线路完成。从计算机网络的逻辑组成来看，典型的计算机网络可以分为两部分：通信子网和资源子网。

 案例分析

案例1：结合本讲图1.7，分析目前局域网常见的拓扑结构，以及每一种拓扑结合的功能特点。

案例2：结合本讲图1.8，联系当前电信等网络的应用，分析广域网的组成。案例3：结合本讲图1.9，介绍通信子网、资源子网和终端的概念及功能划分。

 重点、难点及解决方法

重点与难点：

· 计算机网络的概念

· 计算机网络发展过程中的特点 · 局域网和广域网拓扑结构 · 通信子网与资源子网的概念

解决方法：

联系实际应用，从目前计算机网络的具体应用来讲解各种概念。

 讨论课题

联系我国计算机网络的发展过程，分析我国计算机网络当前的应用现状、未来的发展及存在的主要问题（主要是多个网络之间的互联互通问题）。

 小结

对于网络初学者来说，在正式步入计算机网络这一大门之前，首先应对网络的概念、发展、应用等基本内容有一个较为全部的了解，同时也应对计算机网络的结构有一个整体的认识。通过本讲的学习，使读者对计算机网络能够形成一个清晰的思路，为后续内容的学习打下较为坚实的基础。需要说明的是：在本讲中，虽然以技术讲解为主线，但考虑到与实践的有机联系和结合，在适当地方加入了对一些非技术内容的介绍。

二、计算机网络体系结构

 教学目的

在计算机网络课程的学习过程中，网络体系结构和通信协议是计算机网络中两个基本的概念，也是要求读者需要掌握的基础知识。本讲首先介绍了网络体系结构的相关概念及功能，然后分别介绍OSI七层模型、TCP/IP参考模型和IEEE 802局域网体系的分层特点和各层的主要功能。

 知识点

· 熟悉网络体系结构的功能及相关概念 · 掌握OSI七层模型的分层特点 · 掌握TCP/IP体系的分层特点

· 掌握IEEE 802局域网体系的分层特点

 教学过程

2.1 网络体系结构的概念

计算机网络体系结构（简称为网络体系结构）描述了计算机网络功能实体的划分原则及其相互之间协同工作的方法和规则。具体来讲，网络体系结构描述了计算机通信过程中使用的机制和协议的基本设计原则，这些原则用以确保网络中实际使用的协议和算法的一致性和连续性，并为产品的开发和使用提供统一的标准。

一个完整的网络体系结构应该包含以下的内容：（1）如何为网络实体或组件命名；

（2）如何协调处理命名、寻址、路由、分配等功能之间的关系；（3）如何确定网络实体或组件状态变化的时间和方式；（4）如何维护网络实体或组件的状态、处理其状态的变化；

（5）如何对网络功能进行合理的划分，并以模块化的方式予以实现；（6）网络资源的分配原则及其在实体或组件上的实现机制；（7）如何保证网络安全；（8）如何实现网络管理；

（9）如何满足不同的应用需求。 2.2 OSI七层模型

早期的计算机网络是使用不同的技术规范和实现方法而组成的独立的系统，不同系统之间一般是不能兼容的。为解决网络之间不兼容和彼此无法进行通信的问题，国际标准化组织（International Organization for Standardization，ISO）于1984年发布了开放系统互联（Open System Interconnect，OSI）模型，该参考模型为厂商提供了系列标准，确保由世界上多家公司所生产的不同类型的网络产品之间能够具有更好的兼容性和互操作性。

2.2.1 OSI的分层特点

OSI参考模型是一种概念模型，它由7层组成，从下到上依次是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，OSI的每一层规定一种网络功能。

计算机通信涉及到各种设备，通信语言和通信介质都需要仔细定义。OSI参考模型力求定义网络的一些普遍的物理规则，其中包括：

（1）网络设备之间如何交互，如果使用不同的通信协议，双方如何进行通信。（2）网络设备感知何时发送或不发送数据的具体方法。（3）保证网络传输被正确的接收者正确地接收的方法。（4）如何设计网络的拓扑结构。

（5）如何确保网络设备保持在一定的速率下通信。（6）在网络介质上数据位流的表示。 OSI使用分层，具有以下的几个特点：（1）将复杂的网络操作分成几个（7个）简单的部分。

（2）使开发人员将主要精力集中在各功能模块的开发上。例如网卡的制造，制造商只需要根据第二层（数据链路层）的标准来设计网卡的各项性能，而不需要再涉及其他层的功能实现。

（3）为不同厂商生产的设备提供了统一标准，使这些设备在互联时的兼容性得到了保障。

2.2.2 OSI参考模型各层功能介绍 OSI参考模型常被用来描述网络环境，各设备生产商根据这个模型的标准来设计制造自己的产品。

1．物理层 2.数据链路层 3．网络层 4．传输层 5．会话层 6.表示层 7．应用层

2.2.3 OSI参考模型与网络互联设备 1.物理层与集线器

2．数据链路层与交换机（网桥） 3.网络层与路由器

2.2.4 数据的封装与解封 1．数据是如何进行封装的 2.数据是如何进行解封的 2.3 TCP/IP参考模型

2.3.1 TCP/IP的分层特点

TCP/IP即传输控制协议/网间协议，是一个工业标准的协议集，它是由美国国防部创建、最早应用于美国军方的ARPAnet中，目前广泛应用于以Internet为代表的互联网络中的一个通信协议。因为美国国防部需要一个可以在任何条件下甚至是战争中都可以存在的网络，这就决定了该网络具有很好的兼容性，并可以使用铜缆、光纤、微波以及通信卫星等多种链路。同时，在TCP/IP网络中所有的数据都以分组的形式传输。与OSI参考模型不同，TCP/IP模型由应用层、传输层、网际层和网络接口层四部分组成。

2.3.2 TCP/IP各层的功能介绍 1．应用层 2．传输层 3．网际层 4．网络接口层

2.3.3 TCP/IP与OSI之间的关系

OSI参考模型与TCP/IP模型之间的相似点：（1）都使用分层结构。

（2）都有应用层，但服务的范围不同。（3）都有传输层，其实现功能相似。

（4）都有网络层（在TCP/IP模型中为网际层），其实现功能相似。（5）使用的是分组（包）交换，而不是具有物理链路的电路交换技术。 OSI参考模型与TCP/IP模型之间的不同：（1） TCP/IP模型将OSI参考模型中的表示层和会话层都包括到了应用层。

（2） TCP/IP模型将OSI参考模型中的数据链路层和物理层都包括到了同一层，即网络接口层。

（3） TCP/IP模型虽然分层较少，但并不简单；而OSI参考模型虽然分层较多，但容易开发和排除故障。

（4） TCP/IP模型是伴随着互联网的发展而得以发展和完善的，因为目前TCP/IP模型中的协议被互联网广泛应用，但TCP/IP模型并不是网络设计的标准模型；虽然OSI参考模型是目前网络设计所遵循的标准模型，但是真正的网络系统并没有真正建立在OSI参考模型上。

2.4 局域网体系结构 2.4.1 IEEE 802体系结构

IEEE（电气与电子工程师协会）开发了802系列规范，在该系列规范中将数据链路层分成了两个层：逻辑链路控制（LLC）层和介质访问控制（MAC）层。

IEEE 802规范目前主要包括以下的内容： ·802.1：802协议概论。

·802.2：LLC（逻辑链路控制）层协议。

·802.3：以太网的CSMA/CD（载波监听多路访问/冲突检测）协议。 ·802.4：令牌总线（Token Bus）协议。 ·802.5：令牌环（Token Ring）协议。

·802.6：城域网（Metropolitan Area Network，MAN）协议。 ·802.7：宽带技术协议。 ·802.8：光纤技术协议。

·802.9：局域网上的语音/数据集成规范。 ·802.10：局域网安全互操作标准。

·802.11：无线局域网（Wirele LAN）标准协议。

·802.12：100VG-AnyLAN标准协议，支持802.3或802.5帧格式。

·802.15：一种使用蓝牙技术的无线通信规范标准，应用于无线个人区域网（WPAN）。 ·802.16：无线城域网（Wirele MAN）标准协议。 2.4.2 局域网体系结构与OSI之间的关系 2.4.3 局域网中各层的功能介绍 MAC子层的主要功能如下：

（1）将上层传下来的数据封装成帧进行发送（接收时将帧进行解封，并将解封后的数据发送给上层）

（2）实现和维护MAC协议

（3）数据流（bit流）的差错控制

（4）寻址（这里的寻址为物理寻址，与网络层的逻辑寻址不同）

数据链路层中与接入介质无关的问题全部放在逻辑链路控制子层（LLC）中，其主要功能如下：

（1）建立和释放数据链路层的逻辑连接（2）提供与高层（网络层）的接口

（3）帧的差错控制（与MAC子层的差错控制不同）（4）给帧加上序号以便接收方识别

 案例分析案例1：以下图为例，详细描述数据的封装和解封装过程。

图2.7 数据的封装过程

 重点、难点及解决方法

重点与难点：

· 掌握体系结构在计算机网络学习和研究中的重要性 · 掌握OSI七层模型的特点及各层的功能特点 · 掌握TCP/IP体系结构的特点及各层的功能特点 · 了解OSI七层模型与TCP/IP体系结构之间的联系 · 掌握IEEE 802体系结构的特点

解决方法：

联系目前网络实际应用，尤其是本书后续内容的学习，掌握体系结构在计算机网络中的功能及应用特点。

 讨论课题

（1）为什么说在现代计算机网络中，OSI是一个理论模型，而TCP/IP是一个应用模型？

（2）试说明，为什么局域网IEEE 802体系结构要划分为二层，并将数据链路层划分为两个子层？

 小结

网络通信协议和网络体系结构是计算机网络中非常重要的两个概念。计算机网络由多个互联的节点组成，为了实现不同节点之间的开放通信，每一个节点都必须遵循事先的通信规则和约定，这将些规则、约定和标准称为通信协议。一个功能完美的计算机网络需要一系列通信协议的支持。为了解决网络通信的复杂性，出现了多种层次模型，网络层次模型和各层的协议构成了计算机网络体系结构。联系目前计算机网络的应用实际，本讲在介绍了网络通信协议和网络体系结构的基础上，重点介绍了OSI参考模型、TCP/IP体系结构和IEEE 802局域网体系的层次划分和功能定义，为后续内容的学习奠定基础。

三、计算机网络通信协议

 教学目的

通过本讲内容的学习，使读者对网络分层的概念、各层次的功能划分、上下层之间的通信有了较为全面的了解。在此基础上，结合目前计算机网络的应用现状和发展趋势，本讲联系TCP/IP体系结构的分层特点，重点掌握该体系结构中主要通信协议的功能和应用。

 知识点

· 熟悉计算机网络通信协议的概念

· 熟悉TCP/IP体系结构中通信协议的工作特点

· 掌握ARP、DHCP、IP、TCP、UDP等主要通信协议的功能 · 掌握协议与端口号之间的关系

 教学过程

3.1 计算机网络通信协议概述

计算机网络是由多个节点组成的集合，如果要实现同一集合中不同节点之间的有序通信，就需要制定统一的网络体系结构，并使参与通信的每一个节点使用相同的通信协议。

3.2 TCP/IP体系结构中的协议特点

3.2.1 TCP/IP体系结构中各协议之间的关系

TCP/IP是由一些相互交互的模块组成的分层协议，其中每个模块提供特定的功能，功能的实现由相关的子协议完成。图3.1列出了TCP/IP体系结构中包括的一些主要协议以及与TCP/IP体系结构的对应关系。

图3.1 TCP/IP模型中的主要协议

3.2.2 TCP/IP体系结构中数据的封装和解封装过程 1．重要概念 2．操作过程 3.3 网际层协议

3.3.1 网际协议（IP）

在TCP/IP协议栈中，IP主要负责逻辑寻址。通过相应管理机制，可以使不同的设备之间利用IP地址进行通信。IP数据包由IP头和数据组成。IP头的结构如图3.4所示。

图3.4 IP头格式

3.3.2 网际控制报文协议（ICMP） 1.ICMP的格式 2.ICMP应用举例

3.ICMP超时的原因分析 3.3.3 地址解析协议（ARP）

ARP（Addre Resolution Protocol，地址解析协议）用来将IP地址映射到MAC地址，以便设备能在多路访问介质上通信。

3.3.4 反向地址解析协议（RARP）

反向ARP（Reverse Addre Resolution Protocol，RARP）是ARP的逆过程，RARP就是用于那些不知道自己IP地址的无盘工作站或者无配置的路由器。使用RARP时，站点广播一个包含自己MAC地址的RARP请求，网络上所有的主机都会接收到该请求，但只有被授权的RARP服务器才能处理这个请求。

3.3.5 动态主机配置协议（DHCP）

DHCP是将IP地址和一些TCP/IP配置分配给网络中的计算机的一项服务和协议。它克服了手动配置TCP/IP客户端及维护IP地址的局限性。

DHCP是Bootstrap Protocol（引导协议）的扩展。BOOTP的主要限制是在于管理员必须手动为每个客户端在服务器上输入配置信息，DHCP对BOOTP进行了改进，它专门设计了一个地址池，从地址池中动态地为客户机分配IP地址和TCP/IP配置。

3.4 传输层协议 3.4.1 端口号

1．端口号的功能及应用特点 2．常有端口号介绍

3.4.2 用户数据报协议（UDP） 3.4.3 传输控制协议（TCP） 1.TCP的功能 2.TCP头格式

3． TCP的面向连接特点 3.5 应用层协议

3.5.1 超文本传输协议（HTTP） HTTP（Hypertext Transfer Protocol，超文本传输协议）是一个应用层的面向对象的协议，它适用于分布式超媒体信息系统。

3.5.2 文件传输协议（FTP）

FTP（File Transfer Protocol，文件传输协议）是一个用于简化IP网络上系统之间文件传送的协议。采用FTP协议可使用户高效地从Internet上的FTP服务器下载大信息量的数据文件，以达到资源共享和传递信息的目的。

3.5.3 简单文件传输协议（TFTP） TFTP（Trivial File Transfer Protocol，简单文件传输协议）是基于UDP的应用。TFTP在设计时是用于小文件传输的，它对内存和处理器的要求很低，速度快。但是TFTP不具备FTP的许多功能，它只能从文件服务器上获得或写入文件，而不能列出目录，也不能进行认证，所以它没有建立连接的过程及错误恢复的功能，适用范围也不像FTP那么广泛。 3.5.4 简单网络管理协议（SNMP）

SNMP（Simple Network Management Protocol，简单网络管理协议）允许第三方的管理系统集中采集来自许多网络设备的数据，为网络管理系统提供了底层网络管理的框架。利用SNMP，一个管理工作站可以远程管理所有支持这种协议的网络设备，包括监视网络状态、修改网络设备配置、接收网络事件警告等。

3.5.5 域名系统（DNS）

DNS（Domain Name System，域名系统）是一台域名解析服务器。在互联网中我们通常用一些域名（例如www.daodoc.com等）来代替难记的IP地址（例如202.106.168.10

4、198.133.219.

25、202.119.230.10等）以定位计算机和服务。DNS服务器中包含了域名和相应的IP地址的映射。因此DNS的作用是：把域名转换成为网络可以识别的IP地址。

 案例分析

案例1：根据ARP、RARP的工作原理，分别ARP欺骗的实现过程和防范方法。

案例2：通过对DHCP工作原理的学习，熟悉DHCP在网络IP地址及其参数分配中的应用特点，以及存在的主要问题。

案例3：掌握TCP的三次握手的原理，了解可能存在的问题。

 重点、难点及解决方法

· 熟悉计算机网络中的协议及其工作特点

· 掌握ARP、RARP、DHCP、DNS、TCP、UDP等主机功能的工作原理 · 熟悉常用协议的工作特点及存在的主要问题和解决的办法

 讨论课题

（1）结合ARP协议的工作原理，分析ARP欺骗的主要实现过程和防洪方法（2）结合DHCP协议的工作原理，分析网络中IP地址的分配方法和特点（3）结合DNS的工作原理，分析DNS中可能存在的问题

 小结

本讲结合网络应用实际，介绍了TCP/IP中主要协议的功能和应用特点，其中重点集中在对网际层协议（IP、ARP、RARP、DHCP等）和传输层协议（TCP和UDP）的介绍上，而对应用层协议进行了简要介绍。这样做的目的主要是强调读者对基础协议的理解和掌握，便于将来可以从整体上分析网络的通信过程，并能够解决可能出现的问题和故障。

四、IP地址划分与管理

 教学目的

如果要实现不同主机之间的通信，就必须给每一台主机分配一个全网唯一的地址，即需要对网络中的主机进行编址。计算机网络中存在多种编址方案，其中在TCP/IP网络中采用IP编址。目前广泛使用的IP地址采用32位编址，并用不同的位分别代表所在的网络和对应的主机。本讲首先介绍计算机网络中常见的编址方法及相互间的关系，然后详细介绍IP地址的编址特点以及子网、掩码、子网掩码等概念，以培养读者规划和管理IP网络的能力。

 知识点

· 熟悉计算机网络中的编址方法 · 掌握IP编址的特点

· 掌握掩码、子网、子网掩码等常用概念 · 掌握IP地址的划分和管理方法 · 培养规划和管理IP网络的能力

 教学过程

4.1 计算机网络中的编址 4.1.1 TCP/IP中的地址关系

在TCP/IP网络中存在3种地址，分别为物理地址（MAC地址）、逻辑地址（IP地址）和端口地址，如图4.1所示。

4.1.2 物理地址

这里所讲的物理地址其实是属于数据链路层的地址（物理层是无法设置地址的），是标识通信节点时使用的最底层地址，该地址由所在的局域网或广域网定义，包含在数据链路层的帧中。

4.1.3 逻辑地址

物理地址仅适用于在同一局域网或广域网内部计算机之间的通信。如果要实现在数据链路层使用不同编址方式的计算机之间的通信，仅使用物理地址是无法完成这一操作的，而需要使用逻辑地址。逻辑地址是一种通用的编址系统，用来唯一的标识每一个节点（主机），而与这一节点具体使用什么类型的物理网络无关。TCP/IP网络中使用的逻辑地址是IP地址，与物理层地址一样，IP地址也支持单播、组播和广播3种方式。其中A类、B类和C类地址都是单播地址，而D类地址为组播地址，广播地址为全1的地址。

4.1.4 端口地址

有了物理地址和逻辑地址，就可以将数据从一台主机通过互联网发送到另一台主机。但是数据到达目的主机后并未完成整个通信过程，而必须将数据上交给对应的应用进程（应用程序）。在实际应用中，用户并不关心主机之间的通信，而关心的是运行在主机上的应用程序之间的通信，例如从一台计算机上利用Telnet远程登录到另一台计算机，或在一台计算机上使用FTP软件从另一台计算机上下载文件等。端口地址也称为端口号，其功能就是建立应用进程与逻辑地址之间的关系。

4.2 IP地址的标识

4.2.1 IP地址与接口地址结论：

· 连接到同一网络中的每一台设备至少需要一个唯一的IP地址。 · 连接到同一网络中的任何两台设备不能使用相同的IP地址。

· IP地址与网络接口相关联。如果一台设备分别连接到两个以上的网络，那么该设备必须拥有两个以上的IP地址，并分别与设备上连接不同网络的接口关联。 8.2.2 网络地址与主机地址

每一个利用TCP/IP通信的主机都需要一个唯一的IP地址，IP地址都被分成网络地址和主机地址两部分，这种寻址策略有些类似街道（网络地址）和门牌号（主机地址）。 4.3 IP地址的分类 4.3.1 IPv4的地址空间

20世纪70年代初，当Internet工程师们设计IP地址时认为32位逻辑地址已经足够用了，因为在当时的条件下32位的地址空间已经足够大，能够提供232（4294967296，40多亿）个独立的地址，这个逻辑地址的分配和管理策略就是IPv4。同时，针对网络规模的大小，为有效地利用和管理这些地址，还采用了分组的方法，有的分组较大，有的分组有小。这种管理上的分组也称为地址类。

4.3.2 标准IP地址的分类特点 1． A类地址 2． B类地址 3． C类地址 4． D类地址 5． E类地址

4.4 标准IP地址划分存在的问题及弥补方案 4.4.1 标准IP地址划分存在的主要问题 1．路由器的效率问题 2． IP地址的浪费问题

4.4.2 对标准IP地址划分中存在问题的弥补方案 1．子网划分

2．无类别域间路由 3．网络地址转换 4.5 掩码

4.5.1 子网掩码

掩码由32位0和1组成，与IP地址的组成相似，既可以用二进制表示，也可以用点分十进制表示。与IP地址的表示不同的是，在实际应用中表示掩码的1是连续的，而不是由0和1混合组成（从表4.1中就可以看出）。掩码包含了两个域（即组成部分）：网络域和主机域，这些域分别代表网络ID和主机ID。

子网掩码的应用打破了缺省掩码的限制，使用户可以根据实际需要自己定义和管理网络地址。因为子网掩码确定了子网域的界限，所以当我们给子网域分配了一些特定的位数（连续的二进制位数1）后，剩余的位数就是新的主机域了。

4.5.2 子网掩码的确定方法 4.6 IP寻址基础 4.6.1 IP寻址方式

我们知道当某台主机发送IP数据包给与其处于同一本地IP子网的另一台主机时，它只要直接把IP数据包送到本地网络上，然后对方就能收到。

当处于不同IP子网间的主机需要通信时，主机会先把IP数据包发送给一个称为“缺省网关（default gateway）”的路由器上，然后由这台路由器把IP数据包送到目的地。“缺省网关”是TCP/IP的一个配置参数，它是处于本地网络上的某个路由器接口的IP地址或某台计算机中其中一块网卡的IP地址。

4.6.2 代理ARP 4.7 IP地址的几种特殊情况 4.7.1 全0地址和全1地址 4.7.2 公有地址和私有地址公有地址（Public addre，也称为全局地址）由因特网地址授权委员会（IANA）负责分配，使用这些公有地址可以直接访问因特网。私有地址（Private addre，也称为专用地址）属于非注册地址，专门为组织机构内部使用。

4.7.3 回路地址

127.x.x.x分配给回路地址，它是一个保留的IP地址。回路地址用于网络软件测试和本地进程之间的通信。TCP/IP协议规定，当分组中的网络ID为127时，该分组不能出现在任何网络上，主要和路由器不能为该地址广播任何寻址信息。

4.8 子网划分方法 4.8.1 子网划分的概念

前面我们介绍了每类IP地址都有自己的缺省子网掩码，但是这些缺省子网掩码并不能让我们有效的利用IP地址。如果我们在缺省子网掩码后面再添加几位连续的“1”，使掩码中的全“1”位变得更长。

4.8.2为什么要进行子网划分

Internet的发展之快是当初的设计者所未曾预想到的。当前IP地址（IPv4）已经面临即将耗尽的挑战。如果不对IP地址进行子网划分，我们很可能会浪费许多IP地址。 4.8.3 子网规划的运算

首先我们给出进行子网规划时所运用到的公式：

计算创建的子网数量：划分子网后，新创建的子网数量=2N（N是缺省掩码被扩展的位数）。新建的子网中包含子网0和子网1。

计算每个子网能容纳的主机数：2N-2（N是主机地址的可用位数）。

4.8.4 VLSM（可变长度子网掩码）

VLSM可以为同一个主类网络提供包含多个子网掩码的能力。VLSM可以帮助优化可用的地址空间。

 案例分析

案例1：给出一个IP地址，根据IP地址的划分特点，列出其子网掩码。案例2：根据单位需要，给出一个IP地址段，划分所需要的子网。

 重点、难点及解决方法 · 物理寻址、逻辑寻址 · IP地址的组成

· 全0、全1等特点IP地址的功能 · 子网的划分方法

 讨论课题

（1）结合身边网络实际，理解IP地址的功能。

（2）结合身边网络建设情况，理解私有IP地址与公网IP地址的区别。（3）根据需要，划分子网。  小结

IP地址的划分和管理是计算机网络的建设者和管理者必须掌握的一门技术。本讲首先以TCP/IP网络为例，介绍了物理地址、逻辑地址和端口地址的概念及相互之间的关系，随后详细介绍了IP地址的分类特点以及子网的划分方法。通过对本讲内容的学习，使读者对TCP/IP网络有了更进一步认识的同时，提高了读者使用、规划和管理TC/IP网络的能力。

五、网络传输介质

 教学目的

网络传输介质分为有导向和无导向2类，其中有导向传输介质主要用于有线网络的组建，在工程应用中将这类传输介质称为“网线”；而无导向传输介质主要用于无线网络的通信。传输介质是连接计算机、交换机、路由器等网络设备的介质，是信号传输的媒体。在网络建设中，网线的选择、制作和测试是一项非常重要的工作。通过本讲的学习，将较为系统地掌握网络传输介质的种类、特征及制作方法。

 知识点

· 熟悉计算机网络中常用传输介质的分类和应用特点 · 掌握双绞线的通信特点及制作和测试方法 · 了解同轴电缆的通信特点

· 掌握光纤的通信特点及跳线的选择和制作方法 · 了解无线通信的特点及应用

 教学过程

5.1 传输介质

5.1.1 传输介质的分类

根据对所传输的数据流是否可实现控制的不同，计算机网络中的传输介质可以分为有导向和无导向2类。由有导向传输介质组成的系统称为有线传输系统，将使用无导向传输介质的系统称为无线传输系统。其中，有导向传输介质为信号的传输提供物理路径，信号沿着固定的方向传输，主要包括双绞线、同轴电缆和光纤。而无导向传输利用天线实现数据信号在空气、真空和水中的传播。除计算机网络外，无导向传输技术通常用于无线电广播、地址微波以及卫星通信系统。另外，红外线也在近距离的数据通信中被应用。

5.1.2 传输介质的主要参数

数据通信的特点以及通信质量取决于传输介质的物理性质和传输信号电气特性。对于有线传输介质，传输信号时受到的主要限制取决于介质自身的物理特性和外界的干扰。

1．带宽 2．干扰 3．衰减 5.2 双绞线

5.2.1 双绞线的组成和结构

在局域网的星型网络拓扑中，双绞线是必不可少的布线材料。双绞线电缆中封装着一对或一对以上的双绞线，为了降低信号的干扰程度，每一对双绞线一般由两根绝缘铜导线相互扭绕而成，每根铜导线的绝缘层颜色各不相同，以示区别。 5.2.2 屏蔽双绞线和非屏蔽双绞线的区别

屏蔽双绞线电缆的外面由一层金属材料包裹，以减小辐射，防止信息被窃听，同时具有较高的数据传输速率（5类STP在100m内可达到155Mbit/s，而5类UTP只能达到100Mbit/s）。但屏蔽双绞线电缆的价格相对较高，安装时要比非屏蔽双绞线困难，必须使用特殊的连接器，技术要求也比非屏蔽双绞线电缆高。与屏蔽双绞线相比，非屏蔽双绞线电缆外面只需一层绝缘胶皮，因而重量轻、易弯曲、易安装，组网灵活，非常适用于结构化布线，所以在无特殊要求的计算机网络布线中，常使用非屏蔽双绞线电缆。

5.2.3 双绞线的标准制定

在北美，标准主要由以下三个组织颁布：

·ANSI（American National Standard Institute，美国国家标准化组织）； ·TIA（Telecommunication Industry Aociation，电信工业联合会）； ·EIA（Engineering Institute Aociation，工程技术协会）。

通常情况下，其中的一个组织颁布一个标准，再由另外两个组织进行修正。

5.2.4 双绞线的类别和特性

因为在双绞线中，非屏蔽双绞（UTP）的使用率最高，所以如果没有特殊说明，在应用中所指的双绞线一般是指UTP。

1.3类双绞线 2.4类双绞线 3.5类双绞线 4.超5类双绞线 5.6类双绞线 6.7类双绞线

5.2.5 双绞线连网时的特点

双绞线一般用于星型网络的布线，每条双绞线通过两端安装的RJ-45连接器（俗称水晶头）与网卡和集线器（或交换机）相连，最大网线长度为100m（不包括千兆位以太网中的应用）。如果要加大网络的范围，在两段双绞线电缆间可安装中继器（一般用Hub或交换机级联实现），但最多可安装4个中继器，使网络的最大范围达到500m。这种连接方法，也称之为级联。

5.2.6 双绞线与RJ-45接头的连接方法

双绞线是网络布线中最常用的网线，可分屏蔽双绞线（STP）和非屏蔽双绞线（UTP）两种。如果是室外使用，屏蔽双绞线要好些。如无特点要求，在室内一般用非屏蔽双绞线就可以。

5.2.7 直通线和交叉线

双绞线的每一端连接一个节点（用RJ-45水晶头），因此每一根双绞线只能连接两个节点，而且每根10Base-T网线的最大长度为100m。10Base-T网络的拓扑结构是星型的，可以使用集线器、交换机、路由器将各个工作站连接起来。

5.2.8 网络设备的RJ-45接口类型

5.2.9 双绞线直接连接两台计算机时的线对分布在进行两台计算机之间的连接时，有时需要使用双绞线（如被连接的网卡只提供有RJ-45接口时）。如果要用双绞线直接连接两块网卡，则必须要进行错线。其方法与集线器之间互连时相同。

5.2.10 双绞线的制作方法 5.2.11 测试导通性网线制作完成后，在使用前一般需要测试一下网线是否能正常通信。对于双机互连的交叉线来说，只需要使用简单的双绞线测通仪就可以了。当然，有条件的用户也可以使用一些专业测试工具，如Fluke测试仪等。

5.3 同轴电缆

5.3.1 同轴电缆的结构

同轴电缆（Coaxial Cable）是由一根空心的圆柱网状铜导体和一根位于中心轴线位置的铜导线组成的，铜导线、空心圆柱导体和外界之间分别用绝缘材料隔开。 5.3.2 基带同轴电缆

基带同轴电缆中传输的是未经调制的基带信号，包括数据信号和模拟信号。其中，用于计算机网络中的基带同轴电缆的特征阻抗为50Ω，主要的型号有RG-8（或RG-11）和RG-58，其中RG-8称为粗同轴电缆（简称为粗缆），RG-58称为细同轴电缆（简称为细缆）；用于有线电视模拟信号传输中的基带同轴电缆的特征阻抗为75Ω，其型号为RG-59。 5.3.3 细缆的连接方式

不管是细缆还是粗缆，在计算机网络中主要用于设备与设备之间的远距离连接，或局域网中少量计算机之间的连接（一般不超过30台）。 5.3.4 粗缆的连接方式

粗缆网络的拓扑结构与细缆相同，都是总线型。但在安装时，粗缆不需要剪断，而是通过一种特制的插入式分接头（vampire tap），利用接头上的引针穿透电缆的绝缘层，直接与位于中心轴上的导体相连。与细缆一样，粗缆网络的总线两端也要安装终端电阻器，削减信号的反弹。

5.3.5 宽带同轴电缆

75Ω同轴电缆既可以用于基带信号的传输，也可以用于宽带信号的传输。其实，从技术上讲，传输介质对所传输的信号是透明的，使用何种传输介质传输哪一类型的信号一般与用户的需求、网络连接条件及历史等因素有关。75Ω同轴电缆也称为宽带同轴电缆，可以采用频分复用技术在这种类型的电缆上传输信号。在使用同轴电缆的计算机网络中，宽带系统是指采用了频分复用和模拟传输技术的同轴电缆网络。

5.4 光纤

5.4.1 光纤的工作原理

光纤通信的主要组成部件有光发送机、光接收机和光纤，在进行长距离数据传输时还需要中继器。通信中，由光发送机产生光束，将表示数字代码的电信号转变成光信号，并将光信号导入光纤，光信号在光纤中传播，在另一端由光接收机负责接收光纤上传出的光信号，并进一步将其还原成为发送前的电信号。

5.4.2 光缆

需要说明的是，在实际应用中多使用光缆而不是光纤，因为光纤只能单向传输信号，所以在通信网络中连接两个设备时至少需要2根光纤，一根用于发送数据，另一根用于接收数据。而工程布线中直接使用的是光缆，一根光缆中同时具有多个偶数对的光纤。 5.2.3单模光纤和多模光纤

多模光纤与单模光纤的主要区别如下所示：

· 单模光纤采用激光二极管（LD）作为光源，而多模光纤采用发光二极管（LED）为光源；

· 多模光纤的芯线粗，传输速率低、距离短，整体的传输性能差，但成本低，一般用于建筑物内或地理位置相邻的环境中；

· 单模光纤的纤芯相应较细，传输频带宽、容量大、传输距离长，但需激光源，成本较高，通常在建筑物之间或地域分散的环境中使用。

单模光纤是当前计算机网络中研究和应用的重点。 5.4.4 光纤通信的特点

因光纤的数据传输速率高（可达Gbit/s），传输距离远（无中继传输距离达几十至上百公里）等特点，所以它在远距离的网络布线中得到了广泛应用。局域网布线中一般使用62.5μm /125μm、50μm/125μm、100μm/140μm规格的多模光纤和8.3μm/125μm规格的单模光纤。

与铜质电缆相比较，光纤通信明显具有其他传输介质无法比拟的优点。 5.4.5 光纤在计算机网络中的应用

因光纤的数据传输速率高（可达几千Mbit/s），传输距离远（无中继传输距离达几十至上百公里）等特点，所以它在远距离的网络布线中得到了广泛应用。目前光缆主要用于集线器到服务器的连接以及集线器到集线器的连接，但随着千兆位局域网应用的不断普及和光纤产品及设备价格的不断趋于大众化，光纤将很快被人们接受。尤其是随着多媒体网络的日益成熟，光纤到桌面也将成为网络发展的一个趋势。

5.4.6 光纤跳线

光纤跳线是指与桌面计算机或设备直接相连接的光纤，以方便设备的连接和管理。与光纤的分类一样，光纤跳线也分为单模和多模两种，分别与单模和多模光纤连接。

5.4.7 光纤连接器对于普通用户来说，虽然光纤的端接和跳线的制作都非常困难，但光纤网络的连接却较为容易。只要连接设备（集线器、交换机或网卡）具有光纤连接接口，就可使用一段已制作好的光纤跳线进行连接，连接方法和双绞线与网卡及集线器的连接相同。

1.FC型光纤连接器 2.SC型光纤连接器 3.ST型光纤连接器 4.MT-RJ型光纤连接器 5.4.8 光纤链路

目前，光纤主要应用于网络主干的连接，主要用于连接交换机与交换机，或服务器与交换机。在实际应用中，由于所连接设备接口类型的不同，光纤的接口类型与可以不同。 1.SC型连接器 2.ST型连接器

5.4.9 光纤的熔接方法

光纤接头与接头之间的连接一般有熔接、活动连接、机械连接等多种方法，目前在工程中多使用熔接法。根据对比测试，在几类连接方法中采用熔接法的接点损耗小，可靠性高。 5.5 网络传输介质的选择

5.5.1 有线与无线之间的选择

选择传输介质的主要依据主要有信号传输距离、带宽以及通信的安全性。综合各方面的因素，在选择传输介质时，可以遵循以下的原则：

（1）如果从安全性和可靠性考虑，建议采用有线介质；（2）如果从网络建设的方便性考虑，建议采用无线介质；

（3）如果从提供的带宽考虑，既可以选择有线，也可以选择无线。

5.5.2 铜缆与光缆之间的选择 1．同轴电缆 2．双绞线 3．光缆

 案例分析

案例1：结合实际应用，尤其是家用有线电视网络、电话网络、Internet接入网络的应用特点，分析同轴电缆、双绞线、光纤的应用功能及特点。

案例2：联系无线城市、无线校园的建设，同时结合当前正在发挥的3G通信技术，试分析有线通信和无线通信的现状和未来的发展趋势。

案例3：根据双绞线的组成，试分析双绞线中各导线的功能，并介绍双绞线的组成结构。案例4：联系双绞线的通信特点，分析光纤通信的原理和应用特点。

 重点、难点及解决方法重点与难点：

· 有导向传输介质与无导向传输介质的特点 · 双绞线的组成及通信原理 · 光纤通信的原理及应用特点解决方法：

通过具体实现，理解不同介质的通信特点，尤其对双绞线和光纤的通信原理与特点进行详细的分析。

 讨论课题

（1）基带同轴电缆与带宽同轴电缆的应用（2）双绞线的组成及应用特点（3）光纤通信的原理与应用特点（4）无线通信的现状及未来发展

 小结

本讲根据局域网用户的具体需要，详细分析了双绞线、同轴电缆、光纤等多种传输介质的特点，同时重点介绍了双绞线的制作和光纤的熔接方法。本讲最后利用一定的篇幅，分别介绍了有线网络和无线网络的特点，以及有线网络中同轴电缆、双绞线和光缆的应用特点，为读者在选择不同的组网类型和不同的传输介质时，提供了参考依据。

六、网络接入和互联设备

 教学目的通过本讲的学习，使读者掌握网络接入和互联设备是组成计算机网络的基础。随着网络模型的不断扩大，网络接入和互联设备的类型越来越多，功能也越来越强。根据目前网络应用情况，网络接入和互联设备主要有网卡、交换机、路由器和防火墙。同时，在家庭用户的网络接入中也使用无线路由器和ADSL等网络接入设备。

 知识点

· 熟悉网卡、交换机、路由器、防火墙等设备的应用特点 · 掌握交换机、路由器和防火墙等设备的工作原理 · 熟悉常用网络设备的连接方式 · 熟悉网络设备的选择方法

 教学过程

6.1 网卡

网卡（NIC）是计算机网络中最重要的连接设备，计算机主要通过网卡接入网络。网卡的工作是双重的，一方面它负责接收网络上传过来的数据，并将数据通过计算机主板上的总线传送给本地计算机；另一方面它将本地计算机上的数据封装成数据帧，进而转换成比特流后送入网络。 6.1.1 网卡的组成及作用

网卡在网络中起着重要的作用，它是用来进行数据转换、发送数据、接收数据、对数据传输过程进行控制的设备。

1．网卡的组成 2．网卡的作用

6.1.2 网卡的分类、物理参数及其特点

根据应用的不同，网卡可分为以太网网卡、令牌网网卡、FDDI网卡、ATM网卡等不同的类型。由于近年来以太网技术发展十分迅速，所以在实际应用中以太网网卡占具了主导地址，约占90%以上的份额，而且随着以太网技术的发展，此份额还在逐年上升。

1．服务器专用网卡和工作站网卡

根据工作对象的不同，网卡一般分为服务器专用网卡和普通工作站网卡两类。（1）服务器专用网卡（2）普通工作站网卡

2．笔记本电脑专用网卡PCMCIA 3．无线局域网网卡 6.1.3 网卡技术参数

物理参数主要考虑网卡与传输介质之间的物理连接，是可以通过外观来识别的。而技术参数则是决定网卡工作性能的关键，一般无法直接在网卡上识别，而必须借助相关的软件。 1． IRQ值

2． I/O端口地址 3．网卡的内存

随着计算机处理能力的增强及应用范围的扩大，许多外部设备开始自带独立的内存，以提高与CPU之间的数据传输速率，增强设备的处理能力。网卡也带有自己的内存，而且随着网卡性能的提高，其自带内存容量也在逐步增大。

（1）网卡上自带内存的特点（2）直接内存访问 6.2 中继器与集线器

中继器和集线器属于同一类型的设备，都属于OSI参考模型的物理层。所以，中继器和集线器只负责比特流的转发，不对比特流作任何的差错处理。常指的中继器是一个仅具有两个端口的设备，而集线器则是一个多端口的中继器。

6.2.1 中继器的功能和特点中继器又称为转发器，其功能是简单地放大或刷新通过的数据流，以扩大数据的传输距离，主要用于连接同类型的网络和延伸同类型网络的距离。中继器在物理层内实现透明的二进制比特流的复制，并补偿信号衰减，仅将比特流从一个物理网段复制到另一个物理网段，而完全不用关注封装在帧中的任何地址或路由信息。

6.2.2 集线器的功能和特点

集线器（Hub）是对网络进行集中管理的最小单元，像树的主干一样，它是各分枝的汇集点。Hub是一个共享设备，其实质是一个中继器。集线器和中继器的区别仅在于集线器能够提供更多的端口服务，所以集线器是中继器的一种，是一种多端口的中继器。

1．集线器的功能

2．集线器的分类及特点

结合技术和应用两个方面，可对Hub可进行如下的分类。（1）按照连接速率来划分（2）按照配置形式来划分（3）按照管理方式的不同来划分（4）按照端口数目来划分

6.3 网桥与交换机

6.3.1 网桥的功能和特点在由集线器连接的网络中，从一台集线器的某一端口上接收到的数据帧会被广播到网络中所有集线器的所有端口，使冲突域急剧扩大，导致网络传输效率无法提高。这种情况在网桥上就不会发生，网桥有一种过滤机制，它可以决定是否将数据帧转发到其他端口。

6.3.2 网桥的工作过程

透明网桥处理数据帧的过程可以分为以下几个步骤：学习、泛洪、过滤、转发和老化。 6.3.3 交换机的学习过程

像网桥一样，交换机的工作也包括学习、泛洪、过滤、转发和老化等几个过程。为 1．交换机与网桥在功能上的联系 2．交换机的MAC地址表建立过程 6.3.4 交换机的数据转发和过滤过程 6.3.5 多层交换技术

传统的交换机工作于OSI参考模型的数据链路层，所以将这类交换机也称为第二层交换机。第二层交换是基于硬件的桥接。在交换机中，数据帧的转发是由ASIC（Application Specific Integrated Circuit）专业化硬件处理的，因此交换机的转发速度要比网桥快得多。 1．第三层交换 2．第四层交换 6.4 路由器和网关

6.4.1 路由器的基本功能路由（routing）是指在源设备和目标设备之间的多条可能的路径中发现一条最佳路径来进行数据传输。路由的传递依赖于路由器的路由表，路由表的构建是由路由器中运行的路由协议（routing protocol）完成的。

1．路由（routing） 2．转发（forwarding）

6.4.2 路由器的分类及其特点近年来，随着网络技术的发展和应用需求的不断出现，路由器的发展非常速度。一方面，通过硬件性能的提升，路由器的处理能力越来越强；另一方面，各类网络应用的不断出现也在促使路由协议和相关服务（如QoS等）得到不断完善。

1．按照处理能力来划分 2．按照结构来划分

3．按照所处网络位置来划分 4．按照功能来划分 5．按照性能来划分

6.4.3 路由器的应用特点

路由器主要工作在OSI七层网络模型中的第三层（网络层），当路由器收到一个数据包（包括广播包在内）时，它会将该数据包第二层的信息去掉，查看第三层信息（IP地址）。然后，根据路由表确定数据包的路由，并且用访问控制列表（Acce Control List，ACL）对数据包进行过滤，如果通过，路由器就对数据包进行第二层信息的封装（重写第二层的帧头信息），最后将该数据包转发。如果在路由表中查不到数据包的目的地址，则路由器将向源地址的站点返回一个信息，并把这个数据包丢掉。

6.4.4 网关在前面介绍路由器时已经提到了网关的概念。有时，人们对路由器和网关并不进行区分，而把网络层及其以上进行协议转换的互联设备统称为网关（gateway）。在OSI参考模型中，可以将路由器定位为主要工作于网络层的设备，它所提供的服务类型较多，如网络地址转换NAT、访问控制列表ACL、服务质量请求QoS等。而网关的主要功能是对互不兼容的高层协议进行转换。所以，网关是用于高层协议转换的网间连接器，它是最复杂的网络互联设备，它用于连接网络层及其以上执行不同协议的子网，组成异构型的互联网。

6.4.5无线路由器

无线路由器（Wirele Router）从名称来看，是指带有无线覆盖功能的路由器，主要用于家庭用户上网和无线覆盖。目前市面上主流的无线路由器一般都支持专线xDSL、Cable、动态xDSL和PPTP四种接入方式，并提供一些常用的网络管理功能，如DHCP服务、网络地址转换（NAT）、防火墙、MAC地址过滤等。

6.5 ADSL Modem ADSL（Asymmetric Digital Subscriber Line，非对称数字用户线路）是xDSL家族的一种技术和应用。DSL（Digital Subscriber Line，数字用户线路）是以铜缆（主要有普通RJ-11电话线和RJ-45双绞线）作为传输介质的传输技术，可使高速率的视频、音频和数据信号借助普通电话线传送，使得家庭、小型办公用户利用固定电话线就可以数字方式实现宽带接入Internet的功能。

6.5.1 ADSL技术概述

理论上，普通电话线的有效带宽约为2MHz，而平常的语音通信仅占用了0~4kHz的频段，电话线的带宽未得到充分利用。为此，可以采用频分复用技术，使电话线在0~4kHz的频段内传输语音，而在4kHz以上的频段传送数据。为了使ADSL数据信号的工作频段和传统语音业务（有线电话）的工作频带互不重叠，且使ADSL数据流不通过用于语音通信的程控交换机，实现在一条电话线上同时传输语音和数据信号，所以目前ADSL的工作频带被设置为25~1104kHz。

6.5.2 ADSL的技术标准

ADSL的技术标准有两种：一种是全速率的ADSL标准，即G.dmt。该标准支持640kbit/s~8Mbit/s的高速上行和下行速率；另一种是简化的ADSL技术标准，即G.lite。该标准最高上行速率为512kbit/s，最高下行速率降为1.5Mbit/s，另外在用户侧还取消了POTS（电话服务）信号分离器。

6.5.3 ADSL的接入方式

ADSL宽带数据接入技术目前有ATM和IP两种方式。其中，ATM方式的接入思想主要是基于ATM应用的发展，但由于ATM网络目前主要应用于电信的主干网络，连接用户的本地网应用很少，所以基于ATM方式的ADSL宽带接入应用很少。

1．固定IP方式 2．动态IP方式 6.5.4 ADSL的安装

ADSL的安装包括局端线路和用户端设备两部分。在电信局端，由电信服务提供商（ISP）将原有的电话线串入ADSL局端设备，此操作由电信服务提供商完成。

6.6 Cable Modem 6.6.1 Cable Modem技术概述数据网络传输技术发展非常迅速，作为信息高速公路的最终用户接入网方式也在发生着变化，本讲前面介绍的ADSL还是其中之一。而本节介绍的有线电视光纤同轴电缆混合网（HFC）以其宽带、高速的优势也成为用户接入网的一种方式，并被广泛应用。传统的有线电视HFC网是单向的模拟广播网，用于广播电视信号的分配传输。 6.6.2 Cable Modem的通信特点

Cable Modem是一种可以通过有线电视网络进行高速数据接入的装置。Cable Modem一般有两种类型的接口，一类用来接室内墙上的有线电视端口，另一种与计算机相联。

6.6.3 Cable Modem的连接方式 6.7 网络硬件规划及设备选择 6.7.1 网络硬件规划中的分层思想

分层思想在计算机网络中具有十分重要的地位。现在广泛使用的OSI参考模型和TCP/IP体系结构全部采用分层的设计思想，以便于系统功能的分类实现和管理。由于以太网技术的快速发展，目前计算机网络几乎全部采用了以太网技术，同时以太网也开始应用到城域网和广域网中。

现在大量的以太网主要采用了分层的概念和设计思想。随着可管理的二层交换机和三层交换机的广泛应用，不同类型设备在网络中的功能划分将越来越清晰，分层的概念已成为组建网络时遵循的一个规律和原则。根据应用功能的不同，可以将同一网络中的交换机设备划分为三层：接入层、汇聚层和核心层，如图6.28所示。

图6.28 交换机的分层模型

6.7.2 接入层设备的特点及选择

具体来说，接入层的最基本功能可以归纳为以下两点：（1）可以实现共享带宽或直接交换。（2）提供最基本的第二层网络服务，

6.7.3 汇聚层设备的特点及选择

。具体来说，汇聚层交换机具备以下特点：（1）完成对接入层数据流的汇总。

（2）提供第三层的交换机，所以汇聚层的交换机一般是具有三层交换功能的交换机，即第三层交换机。

（3）提供完善的接入功能。（4）提供完善的管理功能。

6.7.4 核心层设备的特点及选择

具体来说，核心层交换机具体以下特点：

（1）提供强大的三层路由功能，能够为汇聚层设备之间的数据交换提供保障。（2）具有强大的数据处理能力。

（3）从结构上看，核心层交换机一般为模块化交换机，用户可根据实际需要配置相应的模块，以实现与不同设备之间的连接。

（4）核心层交换机一般需要提供冗余电源，以保证电源供给的可靠性。（5）一般需要两台以上的核心层交换机，这些交换机之间相互冗余，以保证网络连接的可靠性。

6.7.5 局域网接入设备的特点及选择

目前，在局域网出口处主要使用的设备有防火墙、路由器、IDS/IPS等设备。在选择这些设备时，必须从网络管理的整体性考虑功能的选择及配置，主要表现为：

1．防火墙是必备的设备 2．路由设备是必备的选择 3． IDS/IPS 6.7.6 网络设备与传输介质之间配合

从连接方式来讲，网络设备之间如何连接，与传输介质的选择没有直接的联系。但是，从工程应用和实践来看，网络设备与传输介质之间应该进行有机的搭配，具体如下：

（1）用户计算机与接入交换机之间一般使用双绞线。

（2）服务器与交换机之间既可以采用光纤连接，也可以采用双绞线连接。（3）交换机之间一般采用光纤进行连接。

 案例分析

案例1：根据目前计算机接入网络时的实际情况，分析网卡的工作原理及主要配置方法。案例2：根据本讲所介绍的内容，尤其是交换机的工作原理，结合实际应用，分析比较交换机与集线器的应用特点。

案例3：联系家里ADSL上网的情况，试分析ADSL上网的网络接入特点以及ADSL上网方式的性能特点。

案例4：结合目前Cable Modem在数据通信领域中的应用，试分析家庭用户利用Cable Modem接入Internet时所需要的硬件以及相关的配置方法。

 重点、难点及解决方法

重点与难点：

· 网卡的工作原理

· 集线器与交换机之间的区别 · 交换机的工作原理

· 路由器与网关之间的联系与区别 · Cable Modem的工作原理及应用特点 · ADSL拨号上网的接入方式及性能解决方法：

联系实际应用，查阅相关设备的说明文档，在条件许可的情况下分析不同网络设备的工作原理及应用特点。

 讨论课题

（1）交换机是如何工作中？在掌握交换机工作原理的基础上，如何更好的利用交换机来加强网络的管理和应用。

（2）ADSL和Cable Modem的工作原理及应用区别。试分析，用于家庭和SOHO办公用户来说，如何选择和使用带宽接入方式。

 小结

网络接入和互联设备是计算机网络的重要组成之一。从物理结构来看，现代计算机网络就是通过数量众多、功能各异的网络设备互联而成。从管理角度来分析，如果计算机之间只是在物理层进行互联，那么这些互联的计算机之间将无法构成在通信意义上所讲的网络，因为这样的计算机之间很难或无法进行通信，那么单纯物理层的“互连”并没有实际意义。要实现通信网络中计算机之间的互联，就必须提供高层的智能设备来实现计算机之间的通信管理，这些智能设备就是网络互联和接入设备。本讲立足实际应用，详细介绍了目前计算机网络中广泛使用的网络接入和互联设备的工作原理、设备性能和配置方法。在本书随后的内容中将陆续介绍主要设备的安装和配置方法。

七、交换机的配置与管理

 教学目的

交换机主要工作在OSI参考模型的数据链路层，它以帧（Frame）作为数据转发的基本单位，是一种透明的网桥。交换机是现代计算机网络中必备的设备，掌握交换机的选择、配置和管理方法是从事计算机网络建设和管理的技术人员应具备的一项技术。由于目前交换机的品牌繁多，而且不同品牌（甚至相同品牌的不同型号）交换机的配置命令一般都不相同。另外，绝大多数交换机同时提供了Web和命令行两种管理方式，其中，命令行管理方式的功能一般要比Web方式强。为使读者的知识结构更加合理，提供学生的动手能力，本讲首在在简要介绍相关的原理后，再配以实例具体介绍相关的操作过程和方法。结合实际应用，在具体操作中主要以Cisco主流交换机为例，以命令行方式进行介绍。

 知识点

· 熟悉交换机的配置方法

· 掌握交换机基本参数的功能和配置方法

· 掌握VLAN的功能及在二层和三层交换机上的实现及测试方法 · 掌握交换机的基本管理方法

 教学过程

7.1 交换机的基本操作和配置 7.1.1 交换机的应用特点

从外型上看，交换机与集线器非常相似，但两者在工作原理上完全不同，其中集线器工作于OSI参考模型的物理层，各端口共享总线。利用集线器连接的网络从物理拓扑上看属于星型网络，但在工作原理上属于总线型网络。

在交换机中有一个交换表（switching table）或MAC地址表，如图7.1所示。在交换表中包含有接入该交换机每个端口的设备（计算机或下连交换机）的MAC地址。交换表中的MAC地址是从各个端口学习而来的，或在这些端口上静态设置的。例如，在如图7.1中，MAC地址为00-e0-fc-0c-1f-11的计算机1要将数据发送给MAC地址为00-e0-fc-0c-1f-22的计算机2，当交换机接收到由计算机1发送过来的数据帧时，便会查看该数据帧中目标设备的MAC地址信息，然后在交换表中进行查找，当发现该MAC地址信息后，便会根据映射关系将数据帧通过对应的端口发送给计算机2，其他端口对该数据帧不进行任何操作。具体操作过程如下：

（1）交换机从E1端口接收到由计算机1发送过来的数据帧；

（2）交换机查看该数据帧的地址信息，发现该数据帧的目标MAC地址为00-e0-fc-0c-1f-22（计算机2的MAC地址）；（3）交换机在交换表中发现已经有00-e0-fc-0c-1f-22的地址信息，而且该MAC地址与端口E2建立了映射关系；

（4）交换机将该数据帧直接转发给E2端口，并且保证该数据帧没有转发给交换机的其他端口（如E

3、E4等）。

图7.1 交换机中的交换表

7.1.2 交换机的配置方法

7.1.3 交换机的配置过程 1．登录交换机

通过一个终端仿真程序来实现，一般使用Windows操作系统自带的“超级终端”程序。 2．由“用户模式”进入“特权模式”

在“用户模式”下只能查看交换机的一些基本参数，如果要对交换机进行配置操作，必须由“用户模式”进入“特权模式”：

Switch>enable (进入“特权模式”) Paword:

（输入密码）

Switch#

(已进入“特权模式”) 3．进入“全局配置模式”

在“全局配置模式”下可以对设备的主要参数进行配置，配置方法如下： Switch#configure terminal (进入“全局配置”模式) Switch（config）#

(已进入“全局配置”模式) 4．配置交换机的名称

交换机的名称主要用于在网络中标识不同的交换机，以方便对交换机的管理。同时，当网络中使用了网络软件时，必须对交换机配置名称，这样才能对交换机进行管理。

Switch（config）# hostname Switch-A

(使用hostname命令将交换机的名称更改为“Switch-A”) Switch-A(config)#

（显示交换机的名称已更改为“Swithc-A”） 5．配置交换机的管理地址

不管是二层还是三层交换机都能够配置管理地址。配置管理地址的目的是对交换机进行远程管理。

Switch-A（config）#interface vlan 1

（进入交换机管理VLAN 1的端口“配置模式”） Switch-A(config-if)#

（显示已进入端口“配置模式”）

Switch-A(config-if)#ip addre 192.168.1.1 255.255.255.0

（将交换机管理VLAN1的端口地址配置为192.168.1.1，子网掩码为255.255.255.0）

Switch-A(config-if)#no shutdown

（开启交换机的管理VLAN 1端口）

Switch-A(config-if)#end （退出端口配置模式，也可以使用exit命令逐层退出） Switch-A#

（当前状态为“特权模式”）

6．配置交换机的密码

配置密码的目的是加强对交换机的安全管理。当配置了密码后，当管理员在对交换机进行配置之前必须输入正确的用户名和密码，否则交换机拒绝用户对其进行配置。（1）配置开机密码（Console Paword）

Switch-A (config)# line console 0 Switch-A (config)# login

Switch-A (config-line)# paword cisco

（设置开机的密码为cisco）（2）配置远程登录（Telnet）密码

Switch-A (config)# line vty 0

4Switch-A (config-line)# login

Switch-A (config-line)# paword cisco

（3）配置特权模式（Enable Paword）密码

Switch-A (config)# enable paword cisco （设置明文密码为cisco）或

Switch-A (config)# enable secret cisco

（设置加密密码为cisco） 7．保存配置

在交换机上的配置参数需要保存在交换机上存储器中，否则如果因为断电等原因重新启动交换机后，未保存的参数将会全部丢失。

Switch-A#write memory 或

Switch-A#Copy running-config starup-config 7.1.4 验证配置结果

7.2端口VLAN的设置和应用

VLAN（Virtual Local Area Network，虚拟局域网）是一种通过将局域网内的设备逻辑地划分成为一个个网段并进行管理的技术。VLAN扩大了交换机的应用和管理功能VLAN，是交换机的重要功能之一。

7.2.1 端口VLAN概述

VLAN的最大特点是不受物理位置的限制，可以根据用户需要进行灵活的划分。VLAN虽然是虚拟的，但却具备了一个物理网段所具备的特征。为此，通过虚拟方法来达到物理效果是VLAN在应用中最有价格的功能之一。

7.2.2 配置方法和过程

对于端口VLAN的配置，可以通过以下几个步骤来完成。

1．实验前的测试 2．创建VLAN 3．将交换机端口分配到VLAN 4．保存设置

在进行了交换机的配置后，为了防止断电等原因造成的配置参数丢失，可以通过以下命令进行保存。

Router-A#write memory 或

Router-A#Copy running-config starup-config 7.2.3 验证配置结果

7.3 多交换机之间VLAN的设置和应用 7.3.1 多交换机之间的VLAN通信

7.3.2 多交换机之间端口VLAN的配置方法和过程如图7.9所示，假设该交换机提供了12个fastethernet快速以太网端口（分别为fastethernet 0/1~fastethernet 0/12，简写为f 0/1~f 0/12）。在该操作中我们分别创建VLAN 10和VLAN 20两个VLAN，其中将Switch-A和Switch-B上的端口f 0/2~f 0/6分配给VLAN 10，而将Swithc-A和Switch-B上的端口f 0/7~f 0/12划分给VLAN 20。其中，Switch-A和Switch-B上的端口f0/1用于两台交换机之间的级联，之间使用1条交叉双绞线。具体配置过程如下：

图7.9 PC与交换机之间的连接及VLAN划分

7.3.3 验证配置结果

7.4 通过三层交换机实现VLAN之间的通信 7.4.1 VLAN之间的通信原理

实现VLAN之间的通信，在配置过程中需要同时用到二层和三层设备，在二层上创建VLAN，并将端口添加到指定的VLAN中。在三层设备上创建VLAN后，设置VLAN的IP地址，该IP地址即为该VLAN中所有主机的网关地址。

7.4.2 利用三层交换机实现不同VLAN间通信的配置方法

如图7.10所示，假设三台交换机分别提供了12个fastethernet快速以太网端口（分别为fastethernet 0/1~fastethernet 0/12，简写为f 0/1~f 0/12）。在该操作中我们分别创建VLAN 10和VLAN 20两个VLAN，其中将Switch-A和Switch-B上的端口f 0/2~f 0/6分配给VLAN 10，而将Swithc-A和Switch-B上的端口f 0/7~f 0/12分配给VLAN 20。其中，Switch-A和Switch-B上的端口f0/1用于上联三层交换机Switch-C的f0/1和f0/2端口，交换机之间的级联全部采用交叉双绞线。具体配置方法和过程如下：

图7.10 交换机之间的连接及VLAN的划分方式

7.4.3验证配置结果

7.5 生成树协议的配置和应用 7.5.1 生成树协议概述

在交换机之间同时提供两条链路将会导致网络产生环路，环路会导致网络产生广播风暴、出现多帧复用以及交换表（MAC地址表）处于不稳定状态。环路的出现，轻则使整个网络的性能下降，重则将耗尽整个网络资源，最终造成网络瘫痪。生成树协议（Spanning Tree Protocol，STP）将会有效解决交换机之间的环路现象。

STP的工作过程为：（1）选定根网桥。（2）选定根端口（3）选定指定端口。（4）删除桥接环。 7.5.2 生成树协议的配置

如图7.11所示，在本方案中我们可将交换机Switch-A和Switch-B的f 0/1和f 0/2端口分别用交叉线（有些交换机也可使用直通线）连接起来，其中一条链路为冗余链路。由于某些品牌的交换机系统默认是自动启用了生成树协议，而有些交换机则没有启用。为此，在具体实验中，在分别为两台交换机配置了生成树协议后再将两台交换机连接起来，如果先连接两台交换机而未启用生成树协议，则会因环路产生的广播风暴导致交换机工作的不正常。

图7.11 交换机之间的冗余链路

7.5.3 验证配置结果

 案例分析

案例1：利用本讲介绍的方法，如何配置交换机的基本参数。如管理地址、口令、密码。以及不同操作模式之间的切换方式。

案例2：如何根据实际应用，在交换机上创建和配置VLAN。并分析端口VLAN的配置和使用方法。

案例3：根据企业网络的应用需求，试分析不同VLAN之间的通信方法。并以三层交换机为例，掌握利用三层交换机实现VLAN之间通信的配置方法。

 重点、难点及解决方法重点与难点：

· 交换机的工作原理

· 基于端口的VLAN的工作原理 · 基于端口的VLAN的创建方法 · VLAN之间的通信方法 · 交换机的基本配置方法解决方法：

根据本讲介绍的方法，组成一个能够完成相关实验的环境，通过具体操作，掌握具体的配置方法。

 讨论课题（1） VLAN的现代计算机网络管理中的应用特点，以及VLAN的配置和管理方法。（2） VLAN之间的通信特点以及实现方法

（3）如何在企业网络中利用VLAN技术管理好网络

 小结

交换机是计算机网络中最基本的网络互联设备。随着技术的发展，交换机不但取代了早期的集线器，增加了网络的整体性能。同时，交换机的功能也在随着应用的发挥不断完善。本讲的内容涉及到的仅是对交换机最基本功能的认识和配置，也是计算机网络中要求读者对交换机必须掌握的内容。在此基础上，读者可以参阅相关的技术资源，扩展对交换机功能的认识，并根据实际需要，配置和优势交换机的功能。

八、路由器的配置与管理

 教学目的

与交换机不同，路由器主要工作在OSI参考模型的网络层，它以分组（packet）作为数据交换的基本单位，属于通信子网的最高层设备。路由器是局域网到广域网的接入以及局域网之间互联时所需要的设备，掌握路由器的选择、配置和管理方法是计算机网络建设者和管理人员应具备的一项重要技术。与交换机一样，目前路由器的品牌较多，而且不同品牌的配置命令一般都不相同。考虑到实际应用的现状，本讲仍然以Cisco设备为主进行介绍。如果读者使用的是其他品牌的设备，可在掌握本讲内容并参考具体设备操作说明的基础上完成相应的配置。

 知识点

· 熟悉路由器的配置方法

· 掌握路由器基本参数的配置和应用

· 掌握静态路由、直连路由和动态路由等基本概念 · 掌握在路由器和三层交换机上静态路由的配置方法

· 掌握在路由器和三层交换机上RIP和OSPF路由协议的配置方法

 教学过程

8.1 路由器的硬件连接

8.1.1 与局域网之间的连接

局域网接口主要用于路由器与局域网核心交换机之间的连接，如图8.1所示。因为局域网类型存在多样性，所以局域网的接口类型也是多种多样的，路由器也要提供相对应的接口。因为局域网连接设备主要有网卡、集线器和交换机，而这些设备提供的接口主要有AUI、BNC和RJ-45接口，同时在不同的局域网中还有FDDI、ATM、光纤接口等，所以路由器也需要提供这些网络接口。

1． AUI接口

或Intranet外部接口路由器RJ-45接口RJ-45接口核心交换机

图8.1 路由器与核心交换机之间通过RJ-45局域网接口进行连接

2．RJ-45接口 3．SC接口

8.1.2 与广域网之间的连接

如图8.1所示，路由器不仅能够实现与局域网之间的连接，更重要的是还要实现与外网（Internet或Intranet）的连接，因为路由器常用于局域网与局域网、局域网与广域网以及广域网与广域网之间的互联。所以，路由器除提供相应的局域网接口外，还需要提供丰富的广域网接口。同时因为广域网的规模大、网络结构比较复杂，所以决定了路由器用于连接广域网的接口类型比较多。下面介绍几种常见的广域网接口。

1．RJ-45接口 2．AUI接口

3．高速同步串口 4．异步串口 5．ISDN BRI接口

8.1.3 路由器配置接口

路由器的配置接口一般有两个，分别是Console口和AUX口，其中Console口通常用来进行路由器的基本配置，它需要通过专用连线与计算机连用，而AUX口用于路由器的远程配置连接。

1．Console接口 2．AUX接口

8.1.4 模块化路由器

1．为什么要使用模块化路由器

主要原因是在同一台路由器上同时提供这么多的接口会增加其成本，然而当用户选择一台路由器后其接口类型基本上是不会改变的，除非路由器所连接网络的类型会发生改变；另外，随着网络接入技术的发展，有些接口类型将会被淘汰，而有些接口类型会出现，对于路由器来说应该能够根据用户的实际需要随时的改变接口类型；还有，目前至少有几十种广域网接入方式，但是不同的国家、不同的地区、甚至是不同的城市所提供的接入方式可能不尽相同，不同的接入方式决定了不同的接口类型。因此，在同一台路由器上同时提供多种接口是不现实的。

2．模块化路由器的应用特点那么，如何才能解决以上的问题呢？这就需要模块化路由器。什么是模块化路由器呢？模块化路由器主要是指该路由器的接口类型以及部分扩展功能是可以根据用户的实际需求来配置的路由器，这些路由器在出厂时一般只提供最基本的路由功能，用户可以根据所要连接的网络类型来选择相应的模块，不同的模块可以提供不同的连接和管理功能。例如，绝大多数模块化路由器可以允许用户选择网络接口类型，有些模块化路由器可以提供VPN等功能模块，有些模块化路由器还提供防火墙的功能，等等。目前的多数路由器都是模块化路由器，如Cisco 2600、Cisco 3700等。

8.2 路由器的基本操作和配置 8.2.1 路由器基本操作方法路由器是构建网络的关键设备，它可以在源网络和目标网络之间提供一条高效的数据传输路径，将数据从一个网络发送到另一个网络。在学习了交换机相关配置的基础上，使读者掌握路由器的基本配置方法，包括名称、远程管理IP地址、登录和配置密码等。 8.2.2 路由器基本参数的配置方法

如图8.12所示，使用直连双绞线将PC与路由器的F0/1（即FastEthernet0/1，第一个模块上的第一个快速以太网端口）相连；另外，使用路由器自带的控制线连接路由器Console端口和PC的COM端口（COM1或COM3）；在PC上安装Windows 2000或Windows XP操作系统。具体操作过程如下：

图8.12 PC与路由器之间的连接方式

（1）登录路由器。

（2）由“用户模式”进入“特权模式”。

Router>enable (进入“特权模式”) Paword:

（输入密码）

Router#

(已进入“特权模式”) 以上配置与交换机相同。（3）进入“全局配置模式”。

Router#configure terminal (进入“全局配置”模式) Router（config）#

(已进入“全局配置”模式) 以上配置与交换机相同。（4）配置路由器的名称。

Router（config）# hostname Router-A (使用hostname命令将路由器的名称更改为“Router-A”) Router-A(config)#

（显示路由器的名称已更改为“Router-A”）以上配置与交换机相同。 (5)配置路由器的管理地址。

Router（config）#interface fastethernet 0/1

（进入路由器fastethernet 0/1端口的配置模式）

Router-A(config-if)#

（显示已进入端口“配置模式”）

Router-A(config-if)#ip addre 192.168.1.1 255.255.255.0 （将路由器fastethernet 0/1端口地址配置为192.168.1.1，子网掩码为255.255.255.0）

Router-A(config-if)#no shutdown

（开启路由器的fastethernet 0/1端口） Router-A(config-if)#end （退出端口配置模式，也可以使用exit命令逐层退出） Router-A#

（当前状态为“特权模式”）（5）配置路由器的密码。

步骤1：配置开机密码（Console Paword）

Router-A (config)# line console 0 Router-A (config)# login

Router-A (config-line)# paword cisco （设置开机的密码为cisco）步骤2：配置远程登录（Telnet）密码

Router-A (config)# line vty 0 4

Router-A (config-line)# login

Router-A (config-line)# paword cisco

步骤3：配置特权模式（Enable Paword）密码

Router-A (config)# enable paword cisco （设置明文密码为cisco）或

Router-A (config)# enable secret cisco

（设置加密密码为cisco）以上配置与交换机相同。

（6）保存配置。在路由器上的配置参数需要保存在储器中，否则如果因为断电等原因重新启动系统后，未保存的参数将会全部丢失。

Router-A#write memory 或

Router-A#Copy running-config starup-config 以上配置与交换机相同。

8.2.3 验证配置结果

Router-A#sh conf

（查看当前路由器的配置情况） Using 1999 out of 29688 bytes version 12.2

（显示当前的IOS的版本号） service timestamps debug uptime service timestamps log uptime no service paword-encryption

hostname cisco （显示路由器的名称为cisco）

enable secret 5 $1$STtk$DK1/4N.XoszSE0Kp6J18Q0

（表示密码是加密的） enable paword cisco

interface FastEthernet0/0 （FastEthernet0/0端口未配置IP地址） no ip addre

interface FastEthernet0/1

（FastEthernet0/1端口配置了IP地址） ip addre 192.168.1.1 255.255.255.0 duplex auto

（表示FastEthernet0/1端口根据对端端口的工作方式来确定工作在半双工或全双工模式下）

speed auto

（表示FastEthernet0/1端口根据对端端口的工作方式来确定其工作速率） line con 0 paword cisco login line aux 0 line vty 0 4 paword cisco login end 也可以使用“show ip interface”或“show interface vlan 1”查看路由器的管理IP地址。

Router-A#sh ip inter

（查看路由器的管理IP地址）

FastEthernet0/1 is up, line protocol is up （FastEthernet0/1端口工作正常）

Internet addre is 192.168.1.1/24

（FastEthernet0/1端口的IP地址，24表示是24位掩码，即子网掩码为255.255.255.0）

Broadcast addre is 255.255.255.255

（FastEthernet0/1端口的广播地址） Addre determined by non-volatile memory MTU is 1500 bytes （后面的显示省略） 8.3 动态路由、静态路由、直连路由和默认路由 8.3.1 静态路由

静态路由是网络管理员根据网络的情况手动在路由器上设定的路由，它不会随着网络拓扑的变化而动态地修改，静态路由一经设定就存在于路由表中。在网络结构发生变化后，网络管理员必须手工地修改路由表。

8.3.2 动态路由

动态路由协议随网络拓扑的变化而动态的修改它的路由表。通过动态路由协议的相应修改，路由器可以保持路由信息的一致性，因此动态路由能够实时地适应网络结构的变化。 8.3.3 直连路由

如果根据路由信息获取方式的不同，可以将路由分为直连路由和非直连路由。其中，路由器接口所连接的子网的路由方式称为直连路由，而通过路由协议从别的路由器学到的路由称为非直连路由。非直连路由又分为静态路由和动态路由两类。

8.3.4 默认路由

在了解默认路由的概念，还需要对网关和默认网关的概念进行必要的介绍，因为这些概念的应用上存在一定的联系。

1．网关的概念 2．默认网关的概念

8.4 静态路由的配置和应用 8.4.1 静态路由的配置命令 1．路由表产生的3种方式

路由器是根据路由表进行路由选择和数据转发的。路由表的产生一般分为3种方式：（1）直连路由。当给路由器的端口配置一个IP地址后，路由器将自动产生本端口IP所在网段的路由信息。

（2）静态路由。在网络拓扑结构相对简单且固定的网络中，网络管理人员通过手工方式配置本路由器未知网段的路由信息，从而实现不同网段之间的互联。

（3）由动态路由协议产生的路由。在规模较大且网络拓扑结构相对复杂的网络中，通过路由器上运行的动态路由协议（如RIP、OSPF等）所产生的路由信息。动态路由信息通过路由器之间的相互学习而得。

2．静态路由的配置命令静态路由的配置命令为：

ip route [网络号] [子网掩码] [转发路由器的IP地址/本地端口] 其中：

· [网络号]和[子网掩码]。为目标网络的IP地址和子网掩码，使用点分十进制表示。 · [转发路由器的IP地址/本地端口]。指定该条路由的下一跳IP地址（用点分十进制表示）或发送端口的名称。在具体配置时，具体使用“转发路由器的IP地址”还是“本地端口”，需要根据实际情况来定。对于支持网络地址（IP地址）到数据链路层地址（MAC地址）解析的端口，或点到点的直连端口，一般使用“本地端口”即可。目前大多数路由器同时支持以上两种方式。

删除静态路由时，可使用以下命令： no ip route [网络号] [子网掩码] 3．静态路由的配置步骤

在配置静态路由时，一般可通过以下几个步骤进行：

（1）为每条链路分配IP地址

（2）为每个路由器标识非直连的链路地址

（3）为每个路由器写出非直连网络的路由语句。需要注意的是，在路由器中写出直连网络（或链路）的地址是没有意义的。

8.4.2 静态路由的配置方法

如图8.15所示，两台路由器Router-A和Router-B之间使用串行电缆进行互联，连接端口都为Serial 0，地址分别为192.168.0.1和192.168.0.2，子网掩码为255.255.255.0。路由器Router-A的另一个端口Ethernet0直接与计算机（也可以与交换机）相连，IP地址为172.16.1.1，Router-A连接的网络为172.16.1.0/24，PC1的IP地址设置为172.16.1.254；路由器Router-B的Ethernet 0的IP地址为10.10.1.1，连接的网络为10.10.1.0/24，PC2的IP地址为10.10.1.254。具体配置过程如下：

图8.15 路由器之间的连接和配置方式

8.4.3 默认路由的配置

默认路由实际上就是静态路由的一个“变种”，它的命令格式和静态路由相似。为路由器配置默认路由后，当路由器在路由表里没有找到去往特定目标网络的路由项目时，它自动将该目标网络的所有数据发送到默认路由指定的下一跳路由器。默认路由的命令格式为：

ip route 0.0.0.0 0.0.0.0 {addre | interface} [distance] [tag tag][permanent] 其中：

· 0.0.0.0 0.0.0.0表示所要到达的目的网络，前面的0.0.0.0 代表所有的网络，后面的0.0.0.0 代表相应的子网掩码；

· addre表示下一个跳的IP地址，即相邻路由器的端口IP地址； · interface表示本地网络接口，通过这个接口可到达目的网络； · distance表示管理距离（可选），默认为0； · tag tag表示tag值（可选），在策略路由中，作为路由标记； · permanent表示此路由在路由表中永久存在。 8.4.4 验证配置结果

验证路由器Router-A的静态路由配置。

Router-A#show ip route

Codes: Cstatic, IRIP, MBGP

DEIGRP external, OOSPF inter area

N1OSPF NSSA external type 2

E1OSPF external type 2, EIS-IS, L1IS-IS level-2, iacandidate default, UODR

P - periodic downloaded static route

Gateway of last resort is not set

172.16.0.0/24 is subnetted, 1 subnets （表示172.16.0.0/24是一个子网段）

172.16.1.0 is directly connected, Ethernet0 （表示到PC1的直连网络）

10.0.0.0/24 is subnetted, 1 subnets

10.10.1.0 [1/0] via 192.168.0.2

（到10.10.0.0/24网络的静态路由） C

192.168.0.0/24 is directly connected, Serial0 8.5 RIP路由协议的配置和应用 8.5.1 RIP路由协议概述

RIP有RIP Version 1和RIP Version 2两个版本，分别缩写为RIP v1和RIP v2。其中，RIP v1在1988年被标准化在RFC 1058文档中，RIP v2在RFC 1388文档中被描述。RIP v2主要增加了对VLSM（Variable Length Subnet Masks，可变长子网屏蔽）的支持，其他方面并没有太大的改进。目前，在配置RIP路由协议时，一般都使用RIP v2。

RIP路由协议的具体配置方法如下：

（1）在路由器全局配置模式下启动RIP路由协议，命令格式如下： Router（config）# router rip （2）在路由器配置模式下，用Network命令来发布每个路由器的直连网络。由于RIP v1不支持可变长子网掩码（VLSM），所以发布的本地网络只能是主网络，即按照默认的子网掩码进行发布，在这里子网掩码可以不输入。

Router（config-Router）# Network Network 8.5.2 RIP路由协议的配置方法

为了使本操作贴近于实际应用，特别设计了如图8.17所示的网络拓扑结构。其中，路由器Router-A和Router-B之间使用交叉双绞线进行连接，而路由器Router-A与三层交换机Switch-L3之间使用直连双绞线进行连接。互连设备的每个端口分配了具有32位掩码的IP地址（子网掩码为255.255.255.252），以保证连接设备的网段只有两个IP地址。在该实验中还使用了一台三层交换机，它不但像路由器一样可以实现RIP路由协议，而且可以创建VLAN，并实现不同VLAN之间的路由管理。例如，我们可以在Switch-L3上创建一个VLAN 10，并为其分配一个172.16.1.1/24的IP地址，该VLAN的IP地址将作为加入VLAN的所有主机的网关地址。PC1通过FastEthernet 0/2端口与Switch-L3连接。PC2连接到路由器Router-B的FastEthernet 0/1端口上。具体配置过程如下：

图8.17 RIP路由协议实验的拓扑规则

8.5.3 验证配置结果（2）验证设备端口的配置和运行状态。可以在其中一台设备上，使用show ip interface brief命令来验证所配置的端口的运行情况。下面是在路由器Router-B上的显示结果。

Router-B#sh ip interface brief

Interface

IP-Addre

OK? Method Status

Protocol FastEthernet0/0

192.168.0.2

YES manual up

up FastEthernet0/1

10.10.1.1

YES NVRAM up

up 8.6 OSPF路由协议的配置和应用 8.6.1 OSPF路由协议概述路由器学习路由信息，生成并维护路由表的方法包括直连路由（Direct）、静态路由（Static）和动态路由（Dynamic）。其中OSPF是除RIP之外的另一种重要的动态路由协议。按照路由器所执行的算法，动态路由协议可分为距离矢量（Distance Vector）路由协议和链路状态（Link State）路由协议，其中RIP属于距离适量路由协议，而OSPF属于链路状态路由协议。OSPF具有以下特点：

• 可适应大规模的网络； • 路由变化收敛速度快；

• 无路由自环；

• 支持可变长子网掩码(VLSM)； • 支持等值路由； • 支持区域划分；

• 提供路由分级管理； • 支持验证；

• 支持以组播地址发送协议报文。 OSPF路由协议的配置命令为：

（1）在全局配置模式下启动OSPF，将进入OSPF路由协议配置模式，具体命令格式如下所示：

Router(confg)# router ospf proce-id （2）发布OSPF的网络号和指定端口所在区域号的具体命令格式如下所示： Router（config-router）# network addre wildcard area area-id ·addre wildcard：表示运行OSPF端口所在网段地址以及相应的子网掩码的反码。例如，255.255.255.0的反码为0.0.0.255，255.255.255.252的反码为0.0.0.3，等等。

·area-id：表示OSPF路由器接口的区域号。OSPF协议将自治系统进一步划分成不同的区域（Area），一个路由器可以属于不同的区域，它以端口来表示。区域用区域号来标识，用十进制的IP地址来表示。

8.6.2 OSPF路由协议的配置方法

为了使本实验更贴近于实际应用，特别设计了如图8.18所示的网络拓扑结构。其中，路由器Router-A和Router-B之间使用交叉双绞线进行连接，而路由器Router-A与三层交换机Switch-L3之间使用直连双绞线进行连接。互连设置的每个端口分配了具有32位掩码的IP地址（子网掩码为255.255.255.252），以保证连接设备的网段只有两个IP地址。在该实验中使用了一台三层交换机，在三层交换机上实现OSPF路由协议，而且实现VLAN之间的通信。为了扩大知识面，在本实验中我们在Switch-L3上创建一个VLAN 10，将与路由器Router-A相连的端口FastEthernet0/1不直接分配IP地址，而是将其添加到VLAN 10中，通过VLAN虚拟端口实现OSPF的配置。VLAN 10的地址为192.168.1.1，子网掩码为255.255.255.252。另外，在Swtich-L3上创建一个VLAN 20，与PC1连接的FastEthernet 0/2端口添加到VLAN 20中进行管理，VLAN 20的虚拟端口地址为172.16.1.1。PC2连接到路由器Router-B的FastEthernet 0/2端口上。具体配置过程如下：

图8.18 OSPF路由协议实验的拓扑规则

8.6.3 验证配置结果

验证设备端口的配置和运行状态。可以在其中一台设备上，使用show ip interface brief命令来验证所配置的端口的运行情况。下面是在路由器Router-B上的显示结果。

Router-B#sh ip interface brief

Interface

IP-Addre

OK? Method Status

Protocol FastEthernet0/0

192.168.0.2

YES manual up

up FastEthernet0/1

10.10.1.1

YES NVRAM up

 案例分析

案例1：路由器的基本配置方法。可参考交换机的基本配置。案例2：静态路由的基本方法及应用特点案例3：RIP路由的应用特点及配置方法。案例4：OSPF路由的应用特点及配置方法。案例5：路由器与交换机的混合应用

 重点、难点及解决方法重点与难点：

· 路由器工作原理

· 静态路由与动态路由的概念及应用特点 · 静态路由的配置方法 · RIP和OSPF的配置方法解决方法：

结合本讲内容介绍，完成本讲所介绍的实验。在实验的基础上，理解静态路由、动态路由的特点。尤其要掌握RIP和OSPF的配置方法与应用特点。

 讨论课题（1）联系企业和高校网络建设需要，掌握交换机与路由器的应用特点（2）通过实验，分析静态路由与动态路由的应用特点

 小结

随着计算机网络从共享到交换的迁移，VLAN技术作为交换式网络的代表被业界认可并得到快速地得到应用。由于每一个VLAN代表着一个逻辑网络，所以在多VLAN的网络中将存在不同逻辑之间的通信，即需要考虑不同网络之间的路由。同一设备上不同VLAN之间的路由其实质是直连路由，直连路由不需要进行路由信息的配置。在多网段局域网、局域网之间的互联以及局域网接入广域网时，都要用到路由协议。目前，在小型网络中主要使用静态路由协议，而在大中型网络中主要使用动态路由协议。在动态路由协议中，使用最为广泛的是RIP和OSPF，其中RIP是基于距离矢量的动态路由协议，而OSPF是基于链路状态的动态路由协议。本讲的内容，在介绍了路由器的连接端口和路由协议的基础上，分别介绍了静态路由（包括默认路由）、RIP和OSPF路由协议的配置、验证和测试方法。

九、基于域模式网络的组建与管理

 教学目的

对于主要使用Windows操作系统的企业用户来说，通过组建基于Windows 2000 Server或Windows Server 2003/2008域模式的网络，利用控制器的活动目录来管理用户是一种既高效又方便的安全措施。本讲主要以基于Windows Server 2003操作系统为例，详细介绍基于活动目录域控制器网络的组建、使用和管理方法，使用读者掌握活动目录的功能以及利用活动目录管理用户计算机的具体方法。

 知识点

· 熟悉活动目录的概念

· 掌握基于Windows Server 2003活动目录域控制器的安装和配置方法 · 掌握将客户端计算机加入活动目录的方法

· 掌握利用活动目录管理客户端计算机和用户的方法

 教学过程

9.1 目录服务

9.1.1 目录服务的概念

目录服务（Directory Service，DS）是一个代表网络用户及资源的基于对象的数据库，主要用于存放用户的信息及网络配置数据，便于管理人员和应用程序对信息进行添加、修改和查询。目录服务的功能就是让用户很容易地在目录内方便、快速地查找到所需要的数据。

概括地讲，目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。目录服务系统一般由两部分组成：第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的规则；第二部分则是访问和处理数据库时使用的访问协议。

9.1.2 活动目录的概念 Microsoft公司的目录服务，即大家熟知的活动目录（Active Directory，AD）。在Windows 2000 Server操作系统发布之际，呼声最高、影响最大的当属活动目录。活动目录成了Windows 2000 Server网络系统的核心，它存储了当前网络环境中所有资源的信息，包括基本的个人账户信息和各种系统服务。另外，活动目录本身与系统的安全服务紧密地集成在一起，每个用户的安全信息被保存在活动目录中，而用户对系统资源的访问也受活动目录的控制。

9.2 域与活动目录

9.2.1 域目录及信任关系

Windows 2000/2003中的活动目录采用了DNS的结构，不但易于理解，而且便于管理。同时，活动目录以域为基本的数据存储和管理单位，域与域之间存在信任关系。

1．域目录树 2．域的信任关系 3．域目录林 9.2.2 域控制器

活动目录的目录数据存储在域控制器内。根据需要，一个域内可以只有一台域控制器，也可以存在多台域控制器。当一个域内存在多个域控制器时，每一个域控制器的地位是平等的，它们各自存储着一份相同的活动目录。当在一台域控制器内添加了一个用户账户后，这个账户信息首先保存在这台域控制器的活动目录内，然后再被自动复制到域内的其他域控制器的活动目录中，使同一域中所有域控制器内的活动目录数据都保持同步。 9.2.3 全局编录

活动目录的主要功能是让用户方便、快速地找到所需要的对象。虽然域目录树内的所有域共享同一个活动目录，但是活动目录内的数据却是分散地存储在各自的域内，且每一个域内仅存储该域本身的数据。那么，如何让每一个用户、应用程序能够快速地找到位于其他域内的资源呢？这就需要全局编录的支持。

9.3 用户账户管理

9.3.1 用户账户的分类和管理

不同的系统对用户账户的分类不尽相同，但根据访问资源的不同，可以分为本地用户账户和网络用户账户两类。其中在Windows 2000/2003/2008网络环境中，将网络用户账户称为域用户账户。

1．本地用户账户 2．域用户账户 3．用户账户的管理

9.3.2 系统内置的用户账户

在安装好Windows 2000/2003系统后，会自动创建一些内置的账户，最常用到的是系统管理员账户Administrator和客户临时登录账户Guest。 · Administrator（系统管理员账户）。 · Guest（客户）。 9.4 组账户

9.4.1 组的分类

根据是否使用域这一管理模式的不同，可以将组分为本地组和域组。在域组中，根据管理权限的不同，又可以分为安全组和分布式组。

1．本地组和域组 2．安全组与分布式组 9.4.2 组的使用范围 1．通用组 2．全局组 3．本地域组

9.4.3 系统内置的组 1．内置的本地组 2．内置的本地域组 3．内置的全局组 4．内置的特殊组

9.5 组建基于域模式的网络 9.5.1 配置域控制器

组建基于域模式的计算机网络时，必须首先安装和配置至少一台域控制器，然后将计算机添加到该域控制器中，使其接收域控制器的集中管理。本小节首先介绍域控制器的配置方法。

9.5.2 检查已配置的域控制器

在安装和配置完Windows Server 2003域服务器后，需要对域服务器的各项设置及运行情况进行检查。

在Windows Server 2003上安装了活动目录后，域控制器会将自己登记到DNS服务器内，这样其他的计算机就可以通过DNS服务器来查找这个域控制器。所以，当Windows Server 2003升级为域控制器后，首先要检查DNS服务器内是否已经有这些域控制器的数据。 9.5.3 在域控制器上为用户添加账户 9.5.4 将计算机加入域中 9.6 用组来管理用户账户

使用组的目的是对用户账户进行分类管理。具体来说，通过对组的权限设置使不同的组拥有不同的网络资源访问和管理权限，然后将用户账户分别归入不同的组，从而方便了对用户权限的管理。

9.6.1 创建组账户 9.6.2 给组指派权限

可以将域控制器内置组的权限指派给新建的组，例如可以将“Administrators”组指派给“管理员组”，这样位于“管理员组”中的用户将具有域控制器系统管理员的权限。 9.6.3 将用户账户添加到组中

9.7 添加其他的域控制器

对于使用域方式管理的网络来说，域控制器是整个网络管理的核心，域控制器的安全决定了整个网络系统的安全。很显然，一个网络中仅拥有一台域控制器是很不安全的，一般要求创建两台或两台以上的域控制器。本章“9.5.1 配置域控制器”一节介绍了第一台域控制器的安装和配置方法，下面将在第一台域控制器的基础上介绍将另一台运行Windows Server 2003的计算机升级为域控制器的方法。

9.7.1 准备工作 9.7.2 具体操作方法

 案例分析案例1：安装一台Windows Server 2003域控制器，了解系统默认的各类帐号及工作组的应用特点。

案例2：如何利用AD加强对计算机的管理案例3：域控制器的组建方法

案例4：结合实际应用，掌握活动目录的应用特点。

 重点、难点及解决方法重点与难点： · 目录的概念

· 活动目录的概念及应用特点

· Windows Server 2003活动目录域控制器的安装与配置方法解决方法：

组建一个由Windows Server 2003组成的活动目录域控制器网络，掌握其各类应用。

 讨论课题

（2）活动目录在企业网络管理中的应用特点及实现方法（3）利用Windows Server 2003组建企业活动目录系统  小结

Windows服务器操作系统的成功之一是使用了活动目录（Active Directory），通过活动目录管理计算机和用户账户。活动目录是一个采用了树型结构的分布式数据库，提供了强大的对象查询和管理功能，并具有较强的安全性。目前，大量的企业网络采用基于活动目录的域来管理本地网络中的计算机和用户账户。本讲从用户的需求出发，介绍了活动目录域控制器的创建、使用和管理方法。同时，在本书第10讲中，将详细介绍域控制器环境中组策略的配置和使用方法，第10讲的内容是对本讲内容的深化和应用上的扩展。

十、用组策略管理网络

 教学目的

计算机网络中的策略是指为实现管理目标所采用的行为过程和资源的分配方案。组策略是Windows网络中一种管理用户工作环境的技术，通过组策略可以确保用户拥有所需要的个性化工作环境，并减轻管理员的管理负担。组策略是活动目录里的重要组成部分，也是活动目录中的重要内容。了解和使用组策略将最大限度地使网络管理员的管理工作变得简单化、条理化。本讲在第9讲的基础上，仍以基于Windows Server 2003的域控制器为基础，介绍域环境中组策略的概念、功能和在网络管理中的应用。

 知识点

· 熟悉组策略的概念、功能和应用特点

· 掌握账户管理策略、用户权限分配策略、安全策略和脚本策略的配置及应用 · 掌握文件夹重定向策略的功能及配置方法

· 掌握通过组策略向域客户端分发和管理软件的方法 · 掌握利用软件限制策略管理用户端软件的实现方法

 教学过程

10.1 组策略概述 10.1.1 组策略的特点

微软的操作系统从Windows 2000开始提供了组策略功能，对于早期的Windows NT 4.0和Windows 98等操作系统仅提供了组策略管理工具。组策略主要具有以下的特点：

一是实现“one-to-many”方式的管理。二是实现对客户端的分类管理。三是实现对客户端的远程管理。四是实现对客户端的安全管理。五是实现标准的用户环境。 10.1.2 组策略的功能

通过组策略，可以进行如下的操作： 1．软件分发 2．软件限制 3．安全设置

4．基于注册表的设置 5． IE维护 6．脱机文件夹

7．漫游配置文件和文件夹重定向 8．计算机和用户脚本

10.2 组策略应用中的一些概念 10.2.1 计算机配置和用户配置

组策略中包含“计算机配置”和“用户配置”两部分。其中，计算机配置用于当启动计算机时，系统就会根据已设置的计算机配置内容来配置计算机的环境。例如，如果针对wldhj.com域配置了组策略，那么该组策略内的计算机配置就会被应用到此域内的所有计算机上。

10.2.2 组策略对象

组策略是通过“组策略对象”（Group Policy Object，GPO）来设定的，只要将GPO链接到指定的站点、域或组织单位（OU），该GPO内的设定策略就会作用于该站点、域或OU内的所有用户和计算机。

10.2.3 组策略的应用时机

其中，如果是计算机配置，域内计算机会在以下情况下启用GPO内的配置： · 启动计算机时。

· 在没有重启计算机的情况下，如果是域控制器则默认每隔5分钟后自动启用，如果是非域控制器则默认90~120分钟内自动启用。

· 不论策略配置值是否发生改变，系统会每隔16小时自动启用一次组策略。

· 如果在修改了组策略配置后需要立即启用，则可以在“命令提示符”下运行以下命令：

gpupdate /target:computer /force 如果是用户配置，域内的用户会在以下情况下启用GPO内的配置： · 用户登录时。

· 在用户未注销、登录的情况下，系统默认在90~120分钟内启用。

· 不论策略配置值是否发生改变，系统会每隔16小时自动启用一次组策略。 · 立即启用。则可以在“命令提示符”下运行以下命令：

gpupdate /target:user /force 10.2.4 组策略的处理规则

域控制器与域内计算机在处理或应用组策略时有一定的规则，为了更好地应用组策略的管理功能，下面介绍一些主要的规则。

一是子容器继承父容器的组策略

二是子容器的组策略配置将覆盖父容器的组策略配置。三是组策略配置值的累加性。四是“计算机配置”优先。除以上的继承和累加规则外，在实际应用中还有一些例外。例如，可以利用“阻止策略继承”使子容器不再继承由父容器传递下来的所有GPO配置。另外，还可以利用“禁止替代”强制子容器必须继承（不准覆盖）父容器GPO内的组策略设定等。组策略的这些功能，读者可参阅相关的技术文档。

10.3 利用组策略来管理用户环境 10.3.1 管理模板策略

10.3.2 账户管理策略的配置和应用 1．密码策略 2．账户锁定策略

10.3.3 用户权限分配策略的配置和应用 10.3.4 安全选项策略的配置和应用 10.3.5 脚本策略的配置和应用

用户可以定义一个在用户登录/注销或系统启动/关机时运行脚本的GPO设置，所有脚本都支持Windows Scripting Host（WSH），因此它们可能包括Java脚本或Visual Basic脚本以及.bat和.cmd文件。具体来说，利用脚本策略可以让域内用户在登录时自动运行“登录脚本”，而当用户注销时自动运行“注销脚本”。另外也可以设置让计算机在开机启动时自动运行的“启动脚本”，当关机时自动运行的“关机脚本”。

1．登录/注销脚本策略 2．启动/关机脚本策略

10.3.6 文件夹重定向策略的配置和应用 10.4 利用组策略在网络中部署软件 10.4.1 软件指派与分发的概念

在通过组策略为域中的用户或计算机部署软件时可以分为“指派”和“发布”两种方式。 1．对部署软件的要求 2．软件指派 3．软件发布

4．自动修复和删除软件 10.4.2 向用户端发布软件 10.4.3 安装已发布的软件

10.4.4 发布关应用非.msi的软件

10.5 利用软件限制策略管理用户端软件

“软件限制策略”是利用组策略的GPO，通过定义一些规划，控制本地计算机、站点、域与组织单位（OU）是否可以运行软件。

10.5.1 软件限制策略的应用规则软件限制策略可以针对本地计算机、站点、域与OU来设置，其中优先级从高到低为“OU策略”→“域策略”→“站点策略”→“本地计算机策略”。

1．软件限制策略的两种安全级别

软件限制策略的安全级别可以分为以下两种：

· 不受限的：即所有登录的用户都可以运行指定的软件，只要用户拥有一定的访问权限（如NTFS权限）即可。

· 不允许的：不论用户对软件文件有哪些访问权限，该软件都不允许运行。系统默认的安全级别是所有软件都为“不受限的”，即只要用户对要运行的软件文件拥有一定的访问权限，就可以运行该软件。

2．哈希规划 3．证书规则 4．路径规则

5． Internet区域规则

10.5.2 软件限制策略的应用实例  案例分析

案例1：通过实验，掌握组策略的应用特点

案例2：利用组策略来管理用户环境，包括帐户管理、用户权限分析等。案例3：利用组策略在网络中部署软件。案例4：利用软件限制策略管理用户端软件。

 重点、难点及解决方法

重点与难点：

· 组策略的概念与功能

· 组策略在Windows网络安全管理中的应用 · 组策略的应用解决方法：

组建实验网络，完成以上的各类实验。  讨论课题

（1）在Windows网络管理中，组策略的功能（2） Windows组策略的配置与应用（3）利用组策略网络Windows网络  小结

对于Windows网络来说，使用基于域环境的组策略可以对用户账户和加入域的计算机的运行环境进行配置，从而实现对用户的管理。从作者多个的工作经验来看，虽然目前市面上都许多网管软件，可以对用户的网络访问权限、网络资源的使用权限等进行管理，但是如果能够很好的规划和使用基于域环境的组策略，完全可以取得各类第三方的管理软件，而且使用效果非常好。

十一、软件补丁的自动分发与管理

 教学目的

软件补丁是指一种插入到程序中并能对运行中的软件错误进行修改的软件编码，它是漏洞被发现时由软件开发商开发和发布的。安装软件补丁是保障网络安全和迅速解决小范围软件错误的有效途径。根据补丁功能的不同，基本上可以分为安全补丁和非安全补丁两大类。其中，安全补丁主要针对系统软件或应用程序中存在的安全漏洞和缺陷，而非安全补丁主要针对与安全因素无关的功能，如程序运行错误等。本讲为微软公司推出的WSUS软件为例，详细介绍企业内部补丁服务器的安装、配置和使用方法。

 知识点

· 熟悉软件补丁概念及功能

· 熟悉微软公司软件补丁的管理特点及管理工具 · 掌握WSUS补丁服务器的安装和配置方法 · 掌握WSUS客户端的配置方法

 教学过程

11.1 补丁管理工具的选择

在选择补丁管理工具方面，用户有多种方式可以选择：一是购买独立的补丁管理工具，如BigFix、PatchLink、St.BernardSoftware、ShavlikTechnologies、HFNetChkPro等公司都提供了独立的补丁管理工具。由于不同的补丁管理工具支持不同的操作系统和应用，因此用户在应用之前需要考虑其兼容性。二是购买包含补丁更新组件的系统管理包，如ECM、Ecora、IBM、LANDeskSoftware等公司都提供管理系统补丁的组件。这些组件能够确保补丁程序与用户系统之间的兼容性，但费用比购买独立的补丁管理工具昂贵。此外，具有开发实力的用户还可以自己开发补丁管理系统。

11.1 微软公司的补丁管理软件

微软提供了三种途径来修补服务器和桌面应用程序存在的漏洞：一是通过服务器管理系统（SMS）控制台，向用户推送软件升级包。目前主要的产品有SUS（Software Update Services，软件更新服务）、WSUS（Windows Server Update Services，Windows更新服务）和SMS（Systems Management Server，系统管理服务器）；二是提供让用户桌面系统自动登陆微软公司网站并自动下载补丁程序的系统升级服务（System Update Services）；三是提供安全漏洞评估的免费在线工具，即微软基线安全分析器（Microsoft Baseline Security Analyzer)，可用于识别微软产品中错误的安全配置问题，生成并存储个人XML安全报告。

11.1.2 WSUS的功能简介 WSUS具有以下的特点：

· 客户端不需要加入Active Directory，也不需要身份验证，只要能通过网络访问WSUS服务器，就可以从WSUS服务器下载相应的补丁并进行升级。

· WSUS服务器的安装、配置都很简单，使用非常方便。

· 使用WSUS进行升级的客户端，不需要安装软件，只要进行简单的配置即可。 · 使用WSUS与使用Windows Update程序从Microsoft公司的站点升级其效果相同，使用方法也相同。

· WSUS是全免费产品，不需要购买。 · WSUS支持的补丁除了Windows 2000及以上版本的操作系统外，还支持Microsoft SQL Server、Exchange Server 2000/ 2003和Office XP/2003等产品的升级补丁。

· WSUS通过BITS 2.0（Background Intelligent Transfer Service，后台智能传送服务）来最大化有效带宽。所以，在安装WSUS服务器时，需要安装“Internet信息服务(IIS)”中的“后台智能传送服务(BITS)服务器扩展”组件。

· WSUS支持统计和报告功能。

· 多语言支持，WSUS提供了包括中文在内的多种语言版本。 11.2 安装WSUS服务器

WSUS软件可以安装在Windows 2000 Server及以上版本的服务器版操作系统上。目前最新的WSUS软件对Windows Server 2003的支持最好，所以建议用户将WSUS安装在Windows Server 2003操作系统上。

11.3 WSUS客户端的配置

WSUS在提供升级补丁的时候，客户端首先向WSUS服务器提供下载补丁的请求，WSUS服务器在接到客户端的请求后再从Microsoft公司的网站上下载补丁，之后WSUS服务器再将该补丁分发给客户端。

11.3.1 WSUS客户端的配置方式

WSUS可以为Windows 2000及以上系统的计算机提供补丁更新。在这些系统从WSUS获取更新以前，必须进行设置。对于加入到Active Directory中的计算机来说，可以通过组策略进行设置。对于没有加入到Active Directory的计算机，可以通过运行gpedit.msc进行添加设置。

如果通过组策略为Active Directory网络中的计算机指定WSUS升级服务器的地址，需要在包括网络中所有计算机的“组织单位”或其上一级“组织单位”配置组策略，或者将需要更新的计算机“移动”到一个新创建的“组织单位”中。指定内部升级服务器的地址，需要在组策略的“计算机配置”→“管理模板”→“Windows组件”→“Windows Update”中进行设置。

如果计算机以工作组模式加入网络（没有加入到Active Directory），或者想覆盖Active Directory中通过组策略指定的WSUS升级服务器的地址或配置，可以在客户端计算机上通过运行gpedit.msc，在打开的组策略编辑窗口中，从“计算机配置”→“管理模板”→“Windows组件”→“Windows Update”中进行设置。下面针对不同的操作系统，介绍以工作组模式将客户端加入到WSUS服务器并接受补丁管理的具体方法。

11.4 WSUS补丁服务器的管理通过以上两个实验，客户端已经能够实现自动发现和安装补丁软件的功能。通过本实验，将使读者掌握WSUS系统管理方面的部分知识。

 案例分析

案例：根据单位需要，选择微软公司的WSUS软件，部署适应本单位补丁管理需要的服务器系统，为客户端提供补丁自动安装和管理服务。

 重点、难点及解决方法

重点与难点：

· 计算机网络安全与补相之间的关系 · 软件的安全漏洞及危害 · 补丁管理系统的配置方法解决方法：

通过实验操作，掌握基于WSUS服务器的组建、配置与使用方法。

 讨论课题

（1）目前计算机网络的不安全因素产生的主要原因（2）如何部署企业补丁服务器（以WSUS为例）

 小结

Windows自动更新是Windows操作系统的一项功能，当适用于用户的计算机的重要更新发布时，它会及时提醒用户下载和安装。使用Windows自动更新可以在第一时间更新用户的操作系统，修复系统漏洞，保护用户的计算机安全。WSUS是微软公司用来对网络中大量的客户端进行自动系统更新的程序，通过使用WSUS管理员可以快速而可靠地对Windows 2000及以上版本的操作系统、Office XP及更高版本、Exchange Server 2000及更高版本以及SQL Server 2000及更高版本的最新关键更新和安全更新进行及时部署，避免了单机更新时造成大量网络带宽浪费的同时，减轻了网络管理人员的工作量，提高了更新操作的效率，在一定程度上保证了计算机的安全运行。