1、与世界相连06章节导读 某银行在全国各省都设有分行。那么,某银行在全国各省都设有分行。那么,在数量众多的银行中,通过什么方式才能实在数量众多的银行中,通过什么方式才能实现分行和总行的数据通信呢?随着网络的发现分行和总行的数据通信呢?随着网络的发展,网络间互连的需求越来越强烈,广域网展,网络间互连的需求越来越强烈,广域网是进行网络互连的媒介。在使用互联网服务是进行网络互连的媒介。在使用互联网服务时,时,DNS服务和服务和WWW服务为我们带来了很服务为我们带来了很大的便利。本章我们就针对广域网技术的相大的便利。本章我们就针对广域网技术的相关基础理论以及关基础理论以及DNS和和WWW技术进行学习。技
2、术进行学习。04030201掌握广域网的定义学习目标掌握各种广域网的接入技术及特点理解DNS域名系统和WWW服务的概念和原理掌握DNS服务和WWW服务的安装和配置任务6.1 认识广域网5 6.1.1 广域网概述广域网(Wide Area Network,WAN)又称外网、公网,是连接不同地区局域网或城域网计算机通信的远程网,通常跨接很大的物理范围,所覆盖的范围从几十公里到几千公里。它能连接多个地区、城市和国家,或横跨几个洲,并能提供远距离通信,形成国际性的远程网络。广域网并不等同于互联网。广域网的发送介质主要是电话线或光缆,由互联网服务提供商(Internet Service Provider
3、,ISP)为企业间做连线。这些线是ISP预先埋在马路下的线路,因为工程浩大,维修不易,而且带宽是可以被保证的,所以在成本上比较高昂。而一般所指的互联网是属于一种公共型的广域网。公共型的广域网成本较低,可提供一种较便宜的上网方式。但跟广域网相比较,互联网的缺点是没办法管理带宽。走公共型网上系统,任何一段的带宽都无法被保证。6 6.1.2 广域网接入技术ISDN接入1)ISDN简介综合业务数字网(Integrated Service Digital Network,ISDN)俗称一线通,起源于1967年。国际电报电话咨询委员会(Consultiue Committee For Internatio
4、nal Telegraph Anel Telephone,CCITT)对ISDN是这样定义的:ISDN是以综合数字电话网(Integrated Digital Network,IDN)为基础发展演变而成的通信网,能够提供端到端的数字连接,用来支持包括语音在内的多种电信业务;用户能够通过有限的一组标准化的多用途用户网络接口接入网内,利用一条ISDN用户线路,就可以在上网的同时拨打电话、收发传真,就像两条电话线一样。实际上,ISDN理论上可以提供8个终端同时通信,但因为目前的设备限制,所以暂提供两个终端同时通信。1 17 6.1.2 广域网接入技术2)ISDN的组成ISDN包括网络终端、终端设备、
5、终端适配器,如图6-1所示。8 6.1.2 广域网接入技术网络终端分为网络终端1(NTI)和网络终端2(NT2),终端设备分为终端设备1(TE1)和终端设备2(TE2),其特点见表6-1。类类 型型特特 点点网络终端网络终端1(NT1)用户端网络设备,工作在物理层,可支持连接8台ISDN终端设备网络终端网络终端2(NT2)位于用户端执行交换和集中功能的一种智能化设备,可提供OSI/RM的第二、第三层服务,适合于大型用户终端数量的场合终端设备终端设备2(TE1)与ISDN网络兼容的数字用户设备,可直接连接NT1或NT2,通过两对数字线路连接到ISDN网络终端设备终端设备(TE2)与ISDN网络不
6、兼容的设备终端适配器终端适配器(TA)将从TE2中所接受到的非ISDN格式的信息转换为符合ISDN标准的信息9 6.1.2 广域网接入技术3)ISDN的信道类型为了实现灵活性,ISDN标准定义了载体信道(B信道)数据信道(D信道)和混合信道(H信道)3种信道类型。每种信道都有一个不同的数据传输速率,本节重点讨论B信道和D信道。(1)B信道。B信道的传输速率为64 Kb/s,它是基本的用户信道,以端到端的方式传输数据。只要所要求的数据传输速率不超过64 Kb/s,就可以用全双工的方式传送任何数字信息。例如,B信道可以用来传输数字数据、数字化语音或其他低速率的信息。(2)D信道。根据用户的需要不同
7、,D信道的数据传输速率可以是16 Kb/s或者是64 Kb/s。ISDN可将控制信息单独划分为一个信道,即D信道,主要用于传输控制信息,也可用于低速率的数据传输和告警及遥感传输等。10 6.1.2 广域网接入技术4)ISDN数字用户接口类型ISDN数字用户接口目前可分为基本速率接口(Basic Rate Interface,BRI)和主速率接口(Prinuary Rate Interface,PRI)两种类型适用于不同的用户需求。每个类型都包括一个 D信道和若干个B信道。(1)基本速率接口。基本速率接口规范了包含两个B信道和一个速率为I6 Kb/s的信道的数字管道,即2B+D。两个B信道的速率
8、都是64 Kb/s,总共是14 Kb/s。另外,BRI服务本身需要48 Kb/s的开销。因此,BRI需要一个速率为192 Kb/s的数字管道。注意:两个B信道和一个D信道是一个BRI接口所能支持的最大信道数。然而,这3个信道并不一定要分开使用,一个BRI接口所有192 Kb/s的数字管道可以全部用来传送一个信号。(2)主速率接口。主速率接口提供的信道情况要根据不同国家或地区采用的PCM基群格式而定。11 6.1.2 广域网接入技术xDSL接入1)xDSL简介数字用户环路(Digital Subscriber Line,DSL)是以铜质电话线为传输介质的点到点传输技术。DSL利用软件与电子技术的
9、结合,使用在电话系统中没有被利用的高频信号传输数据,弥补铜线传输的一些缺陷。xDSL是各种类型DSL的总称,主要包括HDSL、SDSL、VDSL、ADSL和RADSL等。它们的主要区别体现在信号传输速度和有效距离的不同,以及上行速率和下行速率对称性不同这两个方面。采用xDSL技术需要在原有语音线路上叠加传输,并在电信局和用户端分别进行合成与分解,为此需要配置相应的局端设备。不过,传输距离越长,信号衰减就越大,也就越不适合高速传输。因此,xDSL只能工作在用户环路上,传输距离有限。2 212 6.1.2 广域网接入技术2)xDSL的特点xDSL的主要特点如下:(1)xDSL支持工业标准,支持任意
10、数据格式或字节流数据业务,且可以同时打电话;(2)xDSL是一种Modem,也进行调制与解调;(3)xDSL有对称与非对称之分,可满足不同的用户需求。3)xDSL的分类xDSL分为对称的DSL和非对称的DSL。对称的DSL有HDSL、SDSL、IDSL,非对称的DSL有ADSL、RADSL、VDSL。(1)HDSL接入。高速数字用户线路(High-bit-rate Digital Subscriber Line,HDSL)是高速对称4线DSL。它采用2对或3对铜线提供全双工的数据传输,其中在2对电话线进行全双工通信时,发送和接收的数据传输速率最高为1.544 Mb/s,传输距离最大为3.6 k
11、m(2.25英里);在3对电话线上进行全双工通信时,可提供2.048 Mb/s的速率。13 6.1.2 广域网接入技术(2)SDSL接入。单线对数字用户线路(Single-pair Digital Subscriber Line,SDSL)是HDSL的单对线版本,也被称为S-HDSL。S-HDSL是高速对称二线DSL,可以提供双向高速可变比特率连接,数据传输速率范围从160 Kb/s到2.048 Mb/s。它支持多种速率,用户可以根据数据流量选择最经济合适的速率,最高可达2.048 Mb/s。(3)IDSL接入。IDSL是ISDN数字用户线,这种技术在用户端使用ISDN终端适配器及ISDN接口
12、卡,可以提供128 Kb/s速率的服务。(4)ADSL接入。ADSL简介。ADSL(Asymmetrical Digital Subscriber Line)为非对称数字用户环路,是一种能够通过普通电话线提供宽带数据业务的技术,是目前极具发展前景的一种接入技术。14 6.1.2 广域网接入技术ADSL在两个方向上的速率是不相同的,它使用单对电话线,为网络用户提供很高的数据传输速率。ADSL设备的安装。ADSL设备的安装包括局端线路的调整和用户端设备的安装两个方面。局端线路的调整是指将用户原有的电话线路接入ADSL局端设备,用户端设备的安装是指ADSL调制解调器的安装。ADSL的接入结构及软件设
13、置。ADSL设备安装好后需进行如下设置:将电话外线接到滤波器上。滤波器的作用是分离语音和数字信号。用一根ADSL电缆(两芯电话线)连接滤波器和ADSL调制解调器。用一根两头接有RJ-45水晶头的UTP直通双绞线连接ADSL调制解调器和计算机上的网卡。设置好TCP/IP协议中的IP地址、DNS和网关等参数。使用ADSL接入lnternet的结构如图6-2(单机接入)和图6-3(局城网接入)所示。15 6.1.2 广域网接入技术16 6.1.2 广域网接入技术 ADSL的特点。ADSL不但具有HDSL的所有优点,而且还具有下面几个方面的特点:只使用一对电话线,可减轻分散的住宅居民用户的压力,也可以
14、扩展至企业集团用户。具有普通电话信道。即使ADSL设备出现故障,也不影响普通电话业务。下行速率大,可以满足将来广播电视、视频点播及多媒体接入业务的需要。线路具有良好的抗干扰性能。ADSL的应用。ADSL通常用于高速数据接入、视频点播、网络互连业务、家庭办公、远程教学、远程医疗等方面。17 6.1.2 广域网接入技术(5)RADSL接入。速率自适应数字用户环路(Rate Adaptive Digital Subscriber Line,RADSL)是ADSL的一种扩充,它允许服务提供者调整xDSL连接的带宽,以适应实际需要,并且解决线长和质量问题。RADSL的下行传输速率可以达到12 Mb/s,
15、而上行传输速率可以达到1 Mb/s。(6)VDSL接入。甚高速数字用户环路(Very High-bit-rate Digial Subcriber Line,VDSL),是一种极高速非对称的数据传输技术。它是在ADSL基础上发展起来的xDSL技术,可以将传输速率提高到2552 Mb/s,应用前景更广。18 6.1.2 广域网接入技术DDN接入1)DDN接入简介数字数据网(Digital Data Network,DDN)是以数字交叉连接为核心技术,集合数据通信、数字通信、光纤通信等技术,利用数字信道传输数据信号的一种数据接入业务网络。它的传输媒介有光缆、数字微波卫星信道及用户端可用的普通电缆和
16、双绞线。2)DDN的特点(1)DDN接入为半永久性电路连接方式,采用同步时分复用技术,不具备交换功能。(2)DDN接入为用户提供点到点的数字专用线路,可利用光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线作为传输介质。(3)网络对用户透明,支持任何协议,不受约束。只要通信双方自行约定了通信协议,就能在DDN上进行数据通信。(4)DDN接入适合于频繁的大数据量通信,速率可达155 Mb/s。3 319 6.1.2 广域网接入技术3)DDN的组成DDN以硬件为主,对应OSI模型的低3层,主要由以下4部分组成:(1)本地传输系统:由用户设备和用户环路组成。(2)DDN节点:DDN节点的功能主
17、要由复用和交叉连接组成。(3)局间传输及同步系统:由局间传输和同步时钟组成。(4)网络管理系统:包括用户接入管理、网络资源的调度和路由管理、网络状态的监控、网络故障的诊断、报警与处理,网络运行数据的收集与统计,计费信息的收集与报告等。20 6.1.2 广域网接入技术Cable Modem接入1)Cable Modem接入简介电缆调制解调器(Cable Modem,CM)是一种允许用户通过有线电视网进行高速数据接入(如接入Internet)的设备。它具备有线电视同轴电缆的带宽优势,可利用一条电视信道高速传送数据。2)Cable Modem的特点Cable Modem接入的特点主要有以下几点:(1
18、)速度快。下行速率可高达36 Mb/s,上行速率也可高达10 Mb/s。(2)Cable Modem只占用有线电视系统可用频谱中的一小部分,因而上网时不影响收看电视和使用电话。(3)接入Internet的过程可在一瞬间完成,不需要拨号和登录过程。计算机可以每天24小时停留在网上,用户可以随意发送和接收数据。不发送或接收数据时不占用任何网络和系统资源。4 421 6.1.2 广域网接入技术3)Cable Modem的作用Cable Modem不仅具有调制解调功能,以及射频信号接收调谐、加密解密和协议适配等功能,它还可作为桥接器、路由器、网络控制器或集线器来使用。4)Cable Modem接发数据
19、的原理有线电视网属于共享资源,因而Cable Modem在进行发送和接收数据时,除了要对数据进行调制和解调外,还需要对数据进行加密和解密。通过Internet发送数据时,本地Cable Modem会对数据进行加密,使黑客难以盗取数据;电视网服务器端的Cable Modem端接系统(Cable Modem Termination Systems,CMTS)对数据解密,然后送给Internet。接收数据时则相反,有线电视网服务器端的CMTS对数据进行加密后发送给有线网,然后本地计算机上的Cable Modem再对数据进行解密。22 6.1.2 广域网接入技术5)Cable Modem的接入方式Ca
20、ble Modem有两种接入方式,第一种是多用户共享Cable Modem的HFC+Cable Modem+HUB以太网入户方式。用户通过下连集线器支持多台PC上网,PC的IP地址通过DHCP服务器动态获得。第二种是同轴电缆入户。用户独享Cable Modem的双向网络方式,用户可通过计算机以太网卡或USB口连接到Cable Modem,PC的IP地址可通过DHCP服务器动态获得。23 6.1.2 广域网接入技术光纤接入5 51)光纤接入的优点光纤接入的优点 光纤接入是指局端与用户之间完全以光纤作为传输媒体,采用的具体接入技术可以不同。光纤接入是指局端与用户之间完全以光纤作为传输媒体,采用的具
21、体接入技术可以不同。与其他接入技术相比,光纤接入网的优点如下:与其他接入技术相比,光纤接入网的优点如下:(1)能满足用户对各种业务的需求;能满足用户对各种业务的需求;(2)可以克服铜线电缆无法克服的一些限制因素;可以克服铜线电缆无法克服的一些限制因素;(3)性能不断提高,价格不断下降;性能不断提高,价格不断下降;(4)提供数据业务,有完善的监控和管理系统,能适应将来宽带综合业务数字网的需要。提供数据业务,有完善的监控和管理系统,能适应将来宽带综合业务数字网的需要。24 6.1.2 广域网接入技术2)光纤接入的分类及其特点光纤接入的分类及其特点 光纤光纤接入可以分为有源光接入和无源光接入。通过有
22、源光接入设备将局端设备接入可以分为有源光接入和无源光接入。通过有源光接入设备将局端设备(Control Equopment,CE)和远端设备和远端设备(Remote Equipment,RE)相连的网络称为有源光网络相连的网络称为有源光网络(Actiue Optical Network,AON),其骨干部分采用的传输技术是同步数字系列,其骨干部分采用的传输技术是同步数字系列(Synchronous Digital Hierarchy,SDH)和准同步数字系列和准同步数字系列(Plesiochronous Digital Hierarchy,PDH)技术,其中以技术,其中以SDH技术为主。远端设
23、备主要完成业务的收集、接口适配、复用和传输功能,局端设备主要技术为主。远端设备主要完成业务的收集、接口适配、复用和传输功能,局端设备主要完成接口适配、复用和传输功能及提供网管接口。在实际接入网建设中,有源光网络的拓扑完成接口适配、复用和传输功能及提供网管接口。在实际接入网建设中,有源光网络的拓扑结构通常是星状或环状。结构通常是星状或环状。以以无源光接入的一种纯介质网络称为无源光网络无源光接入的一种纯介质网络称为无源光网络(Passive Optical Network,PON)。25 6.1.2 广域网接入技术有源光网络和无源光网络的特点见表有源光网络和无源光网络的特点见表6-2。分分 类类特
24、特 点点有源光网络有源光网络(1)传输容量大,一般提供155 Mb/s或622 Mb/s的接口;(2)传输距离远,在不加中继设备的情况下,传输距离可达7080 km;(3)用户信息隔离度好;(4)技术成熟无源光网络无源光网络(1)运行、维护成本较低;(2)业务透明性较好,带宽高;(3)端设备和光纤由用户共享;(4)标准化程度好26 6.1.2 广域网接入技术3)光纤的三种接入方式光纤的三种接入方式光纤接入有光纤接入有FTTB(Fiber To The Buiding,光纤到大楼,光纤到大楼)、FTTC(Fiber To The Curb,光纤到路,光纤到路边边)、FTTH(Fiber To T
25、he Customer,光纤到用户,光纤到用户)3种形式。种形式。(1)FTTB:光网络单元:光网络单元(Optical Network Unit,ONU)设置在大楼内的配线箱处,用于为大中设置在大楼内的配线箱处,用于为大中型企事业单位及商业用户服务,可提供高速数据、电子商务、可视图文等宽带业务。型企事业单位及商业用户服务,可提供高速数据、电子商务、可视图文等宽带业务。(2)FTTC:为住宅用户提供服务。光网络单元设置在路边,从:为住宅用户提供服务。光网络单元设置在路边,从ONU出来的电信号再传送给出来的电信号再传送给各个用户。一般用同轴电缆传送视频业务,用双绞线传送电话业务。各个用户。一般用
26、同轴电缆传送视频业务,用双绞线传送电话业务。(3)FTTH:光网络单元设置在用户住宅内,为家庭用户提供各种综合宽带业务。:光网络单元设置在用户住宅内,为家庭用户提供各种综合宽带业务。27 6.1.2 广域网接入技术1)无线接入简介无线接入简介 所谓所谓“无线接入无线接入”,是指从交换节点到用户终端之间,部分或全部采用无线手段的一种,是指从交换节点到用户终端之间,部分或全部采用无线手段的一种接入方式。在遇到洪水、地震、台风等自然灾害时,无线接入系统还可作为有线通信网的临接入方式。在遇到洪水、地震、台风等自然灾害时,无线接入系统还可作为有线通信网的临时应急系统,快速提供基本业务服务。时应急系统,快
27、速提供基本业务服务。2)无线接入的分类无线接入的分类 无线接入在结构上大致可分为两种类型,一种是局端设备之间通过无线方式互连,用户无线接入在结构上大致可分为两种类型,一种是局端设备之间通过无线方式互连,用户终端通过用户单元设备与远程局端设备连接,用户单元的作用相当于中继器,如图终端通过用户单元设备与远程局端设备连接,用户单元的作用相当于中继器,如图6-4所示;所示;另一种是用户终端采用无线接入方式直接与局端设备连接,不使用其他设备,如图另一种是用户终端采用无线接入方式直接与局端设备连接,不使用其他设备,如图6-5所示。所示。无线接入6 628 6.1.2 广域网接入技术图图6-4 局端设备接入
28、局端设备接入29 6.1.2 广域网接入技术图图6-5 终端到局端设备接入终端到局端设备接入30 6.1.2 广域网接入技术3)无线接入的特点无线接入的特点无线接入有以下特点。无线接入有以下特点。(1)无线接入不需要专门进行管道线路的铺设,无线接入不需要专门进行管道线路的铺设,为一些光缆或电缆无法铺设的区域提供了业务为一些光缆或电缆无法铺设的区域提供了业务接入的可能,同时缩短了工程项目的工期,节约了管道线路的投资。接入的可能,同时缩短了工程项目的工期,节约了管道线路的投资。(2)随着接入技术的发展,无线接入设备可以同时解决数据及语音等多种业务的接入。随着接入技术的发展,无线接入设备可以同时解决
29、数据及语音等多种业务的接入。(3)可根据区域的业务量的增减灵活调整带宽。可根据区域的业务量的增减灵活调整带宽。(4)可方便地进行业务迁移、扩容,在临时搭建的业务点的应用中优势更加明显。可方便地进行业务迁移、扩容,在临时搭建的业务点的应用中优势更加明显。4)无线接入无线接入技术技术无线接入技术可分为两种:一种为移动接入方式,包括无线接入技术可分为两种:一种为移动接入方式,包括CDPD(Cellular Digital Packet Data,蜂窝数字分组数据蜂窝数字分组数据)、电路交换蜂窝、分组无线传输、电路交换蜂窝、分组无线传输PCS(Personal Conmunication Servic
30、e,个,个人通信业务人通信业务);另一种为固定接入方式,包括微波、扩频微波、卫星、无线光传输和;另一种为固定接入方式,包括微波、扩频微波、卫星、无线光传输和UHF(Ultra High Frequency,特高频,特高频)。31 6.1.2 广域网接入技术(1)移动接入无线数据通信。移动接入无线数据通信比较注重时效性,要求在移动的过程中完移动接入无线数据通信。移动接入无线数据通信比较注重时效性,要求在移动的过程中完成对数据信息的存取。这种类型的数据通信技术包括蜂窝数字分组数据、电路交换蜂窝、通成对数据信息的存取。这种类型的数据通信技术包括蜂窝数字分组数据、电路交换蜂窝、通用分组无线传输技术用分
31、组无线传输技术(GPRS)等,各自的特点见表等,各自的特点见表6-3。类类 型型特特 点点蜂窝数字分组数据蜂窝数字分组数据(1)采用公共随机接入,信道利用率高;(2)传输时效较大;(3)呼叫建立时间短;(4)适合于点多、面广、信息短、量大而频次较密的突发性业务电路交换蜂窝电路交换蜂窝(1)信道利用率低,传输时延小;(2)建立链路时时延较大;(3)适合传输较长的文件通用分组无线传输技通用分组无线传输技术术(1)呼叫建立时间短;(2)支持点到点、点到多点、上下行链路非对称传送,适合于突发性、面向大众的业务32 6.1.2 广域网接入技术(2)固定接入无线数据通信。固定接入无线数据通信系统是用户上网
32、浏览及传输大固定接入无线数据通信。固定接入无线数据通信系统是用户上网浏览及传输大量数据时的必然选择。与移动接入方式相比,固定接入成本较低。这种类型的数据量数据时的必然选择。与移动接入方式相比,固定接入成本较低。这种类型的数据通信技术包括微波、扩频微波、卫星、无线光传输和通信技术包括微波、扩频微波、卫星、无线光传输和UHF(特高频特高频),其特点见表,其特点见表6-4。广域网的接入技术有很多,根据负荷、预算和需要覆盖的地理范围等的不同,采用广域网的接入技术有很多,根据负荷、预算和需要覆盖的地理范围等的不同,采用的接入技术也不一样,如个人用户和小型局域网可以通过的接入技术也不一样,如个人用户和小型
33、局域网可以通过ISDN或或ADSL技术等方式技术等方式接入广域网;大、中型集团用户可以利用公共传输系统采用接入广域网;大、中型集团用户可以利用公共传输系统采用DDN数据专线方式互相数据专线方式互相连接或通过光纤接入等方式接入广域网;在地形复杂的山区、海岛或用户稀少、分连接或通过光纤接入等方式接入广域网;在地形复杂的山区、海岛或用户稀少、分散的农村地区,则可采用无线接入方式。散的农村地区,则可采用无线接入方式。33 6.1.2 广域网接入技术类类 型型特特 点点微波微波(1)用于宽带固定无线接入;(2)开通快,维护简单;(3)用户较密时成本低扩频微波扩频微波(1)高速率;(2)可实现点到点、点到
34、多点的通信及联网;(3)可传送图形、文字、话音、动态图像等信息;(4)信号弱,隐蔽保密性好,误码率低;(5)可实现局域网互连或远程接入卫星卫星(1)受气候影响较大;(2)安全性低无线光传输无线光传输(1)以红外光或激光为传输媒介;(2)适合于不便安装有线电路且申请无线频率困难的区域UHF(特高频特高频)(1)本身并不具备安全性能;(2)速率在128 Kb/s10 Mb/s34 6.1.3 虚拟专用网络 虚拟专用网络虚拟专用网络(Virtual Private Network,VPN)指的是在公用网络上建立专用网指的是在公用网络上建立专用网络的技术。之所以称为虚拟网,主要是因为整个络的技术。之所
35、以称为虚拟网,主要是因为整个VPN网络任意两个结点之间的连接网络任意两个结点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台上,如络平台上,如Internet、ATM(Asynchronous Transfer Mode,异步传输模式,异步传输模式)、Frame Relay(帧中继帧中继)等逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网等逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展,如图络或公共网络的封装、加密和身份
36、验证链接的专用网络的扩展,如图6-6所示,主所示,主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN简介1 135 6.1.3 虚拟专用网络 在传统的企业网络配置中,要进行异地局域网之间的互联,方法是租用在传统的企业网络配置中,要进行异地局域网之间的互联,方法是租用DDN(Digital Data Network,数字数据网,数字数据网)专线或帧中继,这样的通信方案必然导致专线或帧中继,这样的通信方案必然导致高昂的网络通信高昂的网络通信/维护费用。而移动用户维护费用。而移动用户(移动办公人员移动办公人
37、员)与远端个人用户一般通过拨与远端个人用户一般通过拨号线路号线路(Internet)进入企业的局域网,这样必然带来安全上的隐患。进入企业的局域网,这样必然带来安全上的隐患。VPN则完全克服则完全克服了这些缺点。了这些缺点。图6-6 VPN虚拟专用网络36 6.1.3 虚拟专用网络1)成本低成本低2)传输数据安全可靠传输数据安全可靠3)保证服务质量保证服务质量4)连接方便灵活连接方便灵活5)管理方便管理方便VPN的特点2 237 6.1.3 虚拟专用网络1)按按VPN的协议分类的协议分类VPN的隧道协议主要有的隧道协议主要有PPTP、L2TP和和IPSec三种,其中三种,其中PPTP和和L2TP
38、协议工作在协议工作在OSI参考模型的第二层,又称为二层隧道协议;参考模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常是第三层隧道协议,也是最常见的协议。见的协议。L2TP和和IPSec的配合使用是目前性能最好、应用最广泛的一种隧道协议。的配合使用是目前性能最好、应用最广泛的一种隧道协议。2)按按VPN的应用分类的应用分类(1)Access VPN(远程接入远程接入VPN):客户机到网关,使用公网作为骨干网在设备之间:客户机到网关,使用公网作为骨干网在设备之间传输传输VPN的数据流量。的数据流量。(2)Intranet VPN(内联网内联网VPN):网关到网关,通过公司的网
39、络架构连接来自同公司:网关到网关,通过公司的网络架构连接来自同公司的资源。的资源。(3)Extranet VPN(外联网外联网VPN):与合作伙伴企业网构成:与合作伙伴企业网构成Extranet,将一个公司与另,将一个公司与另一个公司的资源进行连接。一个公司的资源进行连接。VPN的分类3 338 6.1.3 虚拟专用网络3)按所用的设备类型进行分类按所用的设备类型进行分类网络设备提供商针对不同客户的需求,开发出不同的网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,网络设备,主要为交换机、路由器和防火墙。主要为交换机、路由器和防火墙。(1)路由器式路由器式VPN:部署较容易,只要在
40、路由器上添加:部署较容易,只要在路由器上添加VPN服务即可。服务即可。(2)交换机式交换机式VPN:主要应用于连接用户较少的:主要应用于连接用户较少的VPN网络。网络。(3)防火墙式防火墙式VPN:最常见的一种:最常见的一种VPN实现方式,许多厂商都提供这实现方式,许多厂商都提供这种配置类型。种配置类型。39 6.1.3 虚拟专用网络1)隧道技术隧道技术 实现实现VPN的关键是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的。的关键是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的。IP隧道的建立可以在链路层和网络层;第二层隧道主要是隧道的建立可以在链路层和网络层;第二层隧道主要是PP
41、P连接,如连接,如PPTP、L2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIP,如如IPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。2)隧道协议隧道协议 隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现VPN功能。功能。创建隧道时,隧道的客户机和服务器必须使用同样的隧道协议。创建隧道时,隧道的客户机和服务器必须使用同样的隧道协议。(1)PPTP(Point to Poi
42、nt Tunneling Protocol,点到点隧道协议,点到点隧道协议)(2)L2TP协议:协议:PPTP与与L2F(第二层转发第二层转发)的综合,它是由思科公司所推出的一的综合,它是由思科公司所推出的一种技术。种技术。(3)IPSec协议:一个标准的第三层安全协议,它在隧道外面再封装,保证了传协议:一个标准的第三层安全协议,它在隧道外面再封装,保证了传输过程的安全。输过程的安全。IPSec的主要特征在于它可以对所有的主要特征在于它可以对所有IP级的通信进行加密。级的通信进行加密。VPN的实现技术4 4任务6.2 了解DNS域名系统41 6.2.1 域名系统DNS是Domain Name
43、System(域名系统)的缩写,指在Internet中使用的分配名字和地址的机制。IP地址为Internet提供了统一的编址方式,直接使用IP地址就可以访问Internet中的主机。一般来说,用户很难记住IP地址。例如,用点分十进制表示某个主机的IP地址为217.86.17.220,这样一串数字很难记住。但是如果告诉你陕西工业职业技术学院www服务器地址的字符表示为,那么就容易理解方便记忆。域名的概念应运而生。DNS的产生1 142 6.2.1 域名系统1)域名系统的结构城名采用分层方法命名,每一层都有一个子域名。域名由一串用小数点分隔的子域名组成。域名的一般格式为计算机名.组织机构名.网络名
44、.最高层域名,各部分间用小数点隔开。为了方便管理及确保网络上每台主机的域名绝对不会重复,整个DNS结构被设计为4层,分别是根域、顶层域、第二层域和主机。域名的构成2 243 6.2.1 域名系统(1)根域。这是DNS的最上层。当下层任何一台DNS服务器无法解析某个DNS名称时,便可以向根域的DNS寻求协助。理论上,只要所查找的主机按规定进行了注册,那么无论它位于何处,从根域的DNS服务器往下层查找,一定可以解析出它的IP地址。(2)顶层域。域名系统将整个Internet划分为多个顶层域,并为每个顶层域规定了通用的顶层域名,见表6-5。顶层域名顶层域名域名类型域名类型com商业组织edu教育机构
45、gov政府部门Int国际组织mil军事部门net网络支持中心org各种非盈利性机构国家代码国家代码各个国家和地区44 6.2.1 域名系统这一层的命名方式有争议。在美国以外的国家,大多数依据ISO3116来区分,例如,cn为中国,jp为日本等。但是在美国,虽然它也有us,但却很少用来当成顶层域名,反而是以组织性质来区分。(3)第二层域。第二层域可以说是整个DNS系统中最重要的部分。在这些域名之下都可以开放给所有人申请,名称则由申请者自己定义,例如“”。(4)主机。主机是最后一层,是隶属于第二层域的主机。这一层由各个域的管理员自行建立,不需要通过管理域名的机构。例如,我们可以在“”这个域下再建立
46、”、“”等主机。2)域名系统的组成域名系统由解析器和域名服务器组成。(1)解析器。在域名系统中,解析器为客户方,它与应用程序连接,负责查询域名服务器、解释从域名服务器返回的应答及把信息传送给应用程序等。(2)域名服务器。域名服务器用于保存域名信息,一部分域名信息组成一个区,域名服务器负责存储和管理一个或若干个区。为了提高系统的可靠性,每个区的域名信息至少由两台域名服务器来保存。45 6.2.1 域名系统3)域名系统的工作过程一 台 域 名 服 务 器 不 可 能 存 储Internet中所有计算机的名字和地址。一般来说,服务器上只存储一个公司或组织的计算机的名字和地址。例如,当中国的一个计算机
47、用户需要与美国耶鲁大学的一台名为WWW的计算机通信时,该用户首先必须指出那台计算机的名字。假定该计算机的域名地址为“www.yale.edu”,中国这台计算机的应用程序在与计算机WWW通信之前,首先需要知道WWW的IP地址。为了获得IP地址,该应用程序就需要使用Internet的域名服务器,如图6-7所示。具体的解析步骤如下:图6-7 DNS解析过程46 6.2.2 任务挑战DNS服务的安装与配置某公司有数个业务网站,如面向内部员工访问的内部业务网站,对外推广业务的官方网站,还有专门供内部员工访问的FTP网站。为方便记忆和访问,需要为公司网站创建DNS域名解析服务器来解析域名。创建步骤如下:在
48、Windows Server 2008 R2中,DNS服务可以在安装Active Directory(活动目录)域服务器角色时一起安装。如果未安装Active Directory域服务器角色,则可以通过“服务器管理器”安装DNS服务器角色。1安装DNS服务器角色在Windows Server 2008 R2 中,DNS服务以“角色”的模式提供。要部署标准DNS服务器,管理员需要安装“DNS服务”角色,步骤如下:(1)选择“开始”“服务器管理器”“角色”,如图6-8所示。单击“添加角色”,打开如图6-9所示对话框,显示管理员安装角色注意事项。47 6.2.2 任务挑战DNS服务的安装与配置图6-
49、8 服务器管理器图6-9 添加服务器角色48 6.2.2 任务挑战DNS服务的安装与配置(2)单击“下一步”按钮,在弹出的“选择服务器角色”对话框中单击“角色”列表中选择“DNS服务器”角色选项,如图6-10所示。图6-10 选择DNS服务组件49 6.2.2 任务挑战DNS服务的安装与配置(3)单击“下一步”按钮,显示如图6-11所示的“DNS服务器简介”对话框,简要介绍DNS服务器的功能。图6-11 DNS服务器简介50 6.2.2 任务挑战DNS服务的安装与配置(4)单击“下一步”按钮,显示如图6-12所示的“确认安装选择”对话框。图6-12 确认安装DNS服务51 6.2.2 任务挑战DNS服务的安装与配置(5)单击“安装”按钮,开始安装DNS服务,如图6-13所示。图6-13 DNS服务安装过程52 6.2.2 任务挑战DNS服务的安装与配置(6)安装完成后,在如图6-14所示的“安装结果”对话框中单击“关闭”,完成DNS服务器的安装,如图6-15所示。图6-14 DNS安装结束图6-15 DNS安装成功53 6.2.2 任务挑战DNS服务的安装与配置2.创建正向查找区域(1)打开DNS管理器,右击“正向查找区域”,如图6-16所示,单击“下一步”。54 6.2.2 任务挑战DNS服务的安装与配置(2)在弹出的区域类型中选择“主要区域”,如图6-17所示,然后单击“下一
