網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全2

《網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全2》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全鄭萬波網(wǎng)絡(luò)安全2（89頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、LOGO第第 2 講講LOGO網(wǎng)絡(luò)安全 第2講 TCPIP深入理解ISO-OSI RM物理層：信息實際如何傳送？纜線，信號的編碼，網(wǎng)絡(luò)接插件的電、機械接口數(shù)據(jù)鏈路層：每一步該怎么走？成幀，差錯控制、流量控制，物理尋址，媒體訪問控制網(wǎng)絡(luò)層：數(shù)據(jù)如何到達對方？路由、轉(zhuǎn)發(fā)，擁塞控制傳輸層：對方在何處？為會話層提供與下面網(wǎng)絡(luò)無關(guān)的可靠消息傳送機制 會話層：論到哪方傳輸，從何處開始傳輸？負責(zé)建立（或清除）在兩個通信的表示層之間的通信通道，包括交互管理、同步，異常報告。表示層：對方看起來像什么？在兩個應(yīng)用層之間的傳輸過程中負責(zé)數(shù)據(jù)的表示語法應(yīng)用層：做什么？處理應(yīng)用進程之間所發(fā)送和接收的數(shù)據(jù)中包含的信息內(nèi)容

2、。LOGO網(wǎng)絡(luò)安全 第2講 TCPIP深入理解TCPIP協(xié)議體系OSI層次劃分TCP/IP層次劃分應(yīng)用層應(yīng)用層會話層傳輸層會話層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層鏈路層物理層HTTPFTPTELNETDNSSNMPTCPUDPIPEthernet Token Ring FDDI WANS ARPICMPTCP/IP協(xié)議族中協(xié)議示例LOGO網(wǎng)絡(luò)安全 第2講 TCPIP深入理解v 相同點：1.都是基于獨立的協(xié)議棧概念。2.兩者都有功能相似的應(yīng)用層、傳輸層、網(wǎng)絡(luò)層。v 不同點：1.在OSI模型中，嚴格地定義了服務(wù)、接口、協(xié)議；在TCP/IP模型中，并沒有嚴格區(qū)分服務(wù)、接口與協(xié)議。2.OSI模型支持非連接和

3、面向連接的網(wǎng)絡(luò)層通信，但在傳輸層只支持面向連接的通信；TCP/IP模型只支持非連接的網(wǎng)絡(luò)層通信，但在傳輸層有支持非連接和面向連接的兩種協(xié)議可供用戶選擇。3.TCP/IP模型中不區(qū)分、甚至不提起物理層和數(shù)據(jù)鏈路層。LOGO6/19/2003Internet安全協(xié)議及標(biāo)準(zhǔn)Page:5TCP/IP工作方式LOGO6v某公司進行網(wǎng)絡(luò)改造后，發(fā)現(xiàn)有一臺客戶某公司進行網(wǎng)絡(luò)改造后，發(fā)現(xiàn)有一臺客戶端在調(diào)整辦公室后無法訪問服務(wù)器。端在調(diào)整辦公室后無法訪問服務(wù)器。v故障解決思路與步驟故障解決思路與步驟 由出錯情況可知，由于其他客戶端可以訪問服由出錯情況可知，由于其他客戶端可以訪問服務(wù)器，只有一個客戶端無法訪問，可

4、以確定服務(wù)器，只有一個客戶端無法訪問，可以確定服務(wù)器的應(yīng)用程序是沒有問題的，所以采用務(wù)器的應(yīng)用程序是沒有問題的，所以采用“從從下至上下至上”的方法排除網(wǎng)絡(luò)故障，即從物理層開的方法排除網(wǎng)絡(luò)故障，即從物理層開始。始。LOGO7v物理層檢查物理層檢查1.檢查檢查客戶端網(wǎng)絡(luò)的物理連接是否正常客戶端網(wǎng)絡(luò)的物理連接是否正常，查看，查看網(wǎng)線是否與墻上端口和設(shè)備相連，連接點是網(wǎng)線是否與墻上端口和設(shè)備相連，連接點是否牢靠？否牢靠？2.經(jīng)檢查經(jīng)檢查1沒有問題，檢查沒有問題，檢查交換機端口的工作狀交換機端口的工作狀態(tài)態(tài)。一般來說，針對嚴格管理的標(biāo)準(zhǔn)布線環(huán)。一般來說，針對嚴格管理的標(biāo)準(zhǔn)布線環(huán)境，有完備的境，有完備的網(wǎng)

5、絡(luò)記錄文檔網(wǎng)絡(luò)記錄文檔。由此可以。由此可以查找到出現(xiàn)問題客戶端使用的墻上插座端口查找到出現(xiàn)問題客戶端使用的墻上插座端口號為號為A201，而且知道，而且知道A201號口與交換機號口與交換機2號號口相連?？谙噙B。7LOGO8n 現(xiàn)場查看交換機端口的指示燈狀態(tài)是否正常；現(xiàn)場查看交換機端口的指示燈狀態(tài)是否正常；一般一般持續(xù)綠色持續(xù)綠色代表鏈路正常運行，代表鏈路正常運行，閃爍綠色閃爍綠色表表示正在發(fā)送或者接收數(shù)據(jù)。示正在發(fā)送或者接收數(shù)據(jù)。n 遠程登錄到交換機，使用遠程登錄到交換機，使用show ip interface brief命令查看其端口是否工作正常命令查看其端口是否工作正常Interface I

6、P-Address OK?Method Status protocol G1/0/2 unassigned YES unset up up由以上信息可知，端口狀態(tài)和協(xié)議都工作在由以上信息可知，端口狀態(tài)和協(xié)議都工作在up狀態(tài)，這證明此終端到交換機的線纜連接狀態(tài)，這證明此終端到交換機的線纜連接是正常的，初步可以排除是物理層的問題。是正常的，初步可以排除是物理層的問題。LOGO9v數(shù)據(jù)鏈路層檢查數(shù)據(jù)鏈路層檢查l 第二層的關(guān)鍵是第二層的關(guān)鍵是MAC地址，通過對照交換機接地址，通過對照交換機接口上的口上的MAC地址和客戶端的地址和客戶端的MAC地址是否相地址是否相同，可以同，可以排除施工時排除施工時網(wǎng)絡(luò)

7、記錄文檔網(wǎng)絡(luò)記錄文檔是否出是否出現(xiàn)問題現(xiàn)問題。使用：。使用：show mac address-table interface g1/0/2 Vlan Mac Address Type Ports 10 0014.2275.57ac DYNAMIC Gi1/0/2可以顯示連接此接口計算機的可以顯示連接此接口計算機的MAC地址信息。地址信息。再在客戶端上查看本機的再在客戶端上查看本機的MAC地址，如果不匹地址，如果不匹配則說明交換機上的接口并不是真的連接了這配則說明交換機上的接口并不是真的連接了這臺客戶端。臺客戶端。LOGO10v網(wǎng)絡(luò)層檢查網(wǎng)絡(luò)層檢查l在客戶端使用在客戶端使用IPCONFIG/AL

8、L命令進行檢查命令進行檢查Ethernet adapter 本地連接本地連接Dhcp Enabled.:Yes IP address :10.10.2.41 DHCP Server :10.88.56.1 可以看到可以看到PC有有IP地址，但是這個地址對嗎？通過地址，但是這個地址對嗎？通過IP地址地址為為10.88.56.1的的DHCP服務(wù)器可以獲得服務(wù)器可以獲得10.10.x.x范圍內(nèi)范圍內(nèi)的地址嗎？的地址嗎？DHCP服務(wù)器分發(fā)的服務(wù)器分發(fā)的IP地址不屬于子網(wǎng)。這種問題地址不屬于子網(wǎng)。這種問題多出現(xiàn)在多出現(xiàn)在PC從某個子網(wǎng)移動到另一個子網(wǎng)時，從某個子網(wǎng)移動到另一個子網(wǎng)時，PC依然請求舊的依然

9、請求舊的IP地址，從而產(chǎn)生問題。地址，從而產(chǎn)生問題。LOGO11v 解決方法解決方法l 讓讓PC的網(wǎng)絡(luò)接口租用的的網(wǎng)絡(luò)接口租用的IP地址重新交付地址重新交付給給DHCP服務(wù)器（即歸還服務(wù)器（即歸還IP地址）。地址）。1.IPCONFIG/RELEASE2.IPCONFIG/RENEW此時此時PC就會獲得正確的就會獲得正確的IP地址地址LOGO12v解讀下面這段話：解讀下面這段話：總公司的總公司的LAN骨干使用千兆網(wǎng)絡(luò)，各地分公司骨干使用千兆網(wǎng)絡(luò)，各地分公司的的WAN連接是連接是DDN專線接入；專線接入；總公司各辦公室都提供高速總公司各辦公室都提供高速有線網(wǎng)絡(luò)有線網(wǎng)絡(luò)接入，另接入，另外，在休息廳

10、和閱覽室設(shè)置了外，在休息廳和閱覽室設(shè)置了無線網(wǎng)絡(luò)無線網(wǎng)絡(luò)；總公司建立了大型的總公司建立了大型的SAN存儲網(wǎng)絡(luò)，所有的銷存儲網(wǎng)絡(luò)，所有的銷售人員都可以通過售人員都可以通過VPN訪問方式從訪問方式從外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)訪訪問問內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)服務(wù)，經(jīng)過安全審核后經(jīng)授權(quán)的員服務(wù)，經(jīng)過安全審核后經(jīng)授權(quán)的員工還可以訪問工還可以訪問SAN中的核心數(shù)據(jù)。中的核心數(shù)據(jù)。LOGO13vLAN、WAN、MAN：根據(jù)地理覆蓋范圍的大小，可以將計算機網(wǎng)絡(luò)根據(jù)地理覆蓋范圍的大小，可以將計算機網(wǎng)絡(luò)分為局域網(wǎng)、廣域網(wǎng)和城域網(wǎng)。分為局域網(wǎng)、廣域網(wǎng)和城域網(wǎng)。局域網(wǎng)（局域網(wǎng)（Local Area Network）：是一個數(shù)據(jù)）：是一

11、個數(shù)據(jù)通信系統(tǒng)，其傳輸范圍是中等地理區(qū)域，它具通信系統(tǒng)，其傳輸范圍是中等地理區(qū)域，它具有高數(shù)據(jù)傳輸速率。有高數(shù)據(jù)傳輸速率。城域網(wǎng)（城域網(wǎng)（Metropolitan Area Network）：它）：它的地理范圍是一個城市及其郊區(qū)，主要應(yīng)用于的地理范圍是一個城市及其郊區(qū)，主要應(yīng)用于大中型城市地區(qū)，基于大中型城市地區(qū)，基于LAN和和WAN之間。之間。LOGO14vLAN、WAN、MAN：廣域網(wǎng)（廣域網(wǎng)（Wide Area Network）：在一個廣泛）：在一個廣泛地理范圍內(nèi)建立的計算機通信網(wǎng)，范圍可以超地理范圍內(nèi)建立的計算機通信網(wǎng)，范圍可以超越城市和國家。在實際應(yīng)用中，越城市和國家。在實際應(yīng)用中，

12、LAN可與可與WAN互聯(lián)，或通過互聯(lián)，或通過WAN與位于其他地點的與位于其他地點的WAN/LAN互聯(lián)，這時互聯(lián)，這時LAN就成為就成為WAN上的一上的一個端系統(tǒng)。個端系統(tǒng)。WAN傳輸距離遠，拓撲結(jié)構(gòu)復(fù)雜，傳輸距離遠，拓撲結(jié)構(gòu)復(fù)雜，由此帶來的問題是路由選擇的復(fù)雜性。另外，由此帶來的問題是路由選擇的復(fù)雜性。另外，它的傳輸速率與它的傳輸速率與LAN相比較低。相比較低。LOGO15LOGO16v解讀下面這段話：解讀下面這段話：總公司的總公司的LAN骨干使用千兆網(wǎng)絡(luò)，各地分公司骨干使用千兆網(wǎng)絡(luò)，各地分公司的的WAN連接是連接是DDN專線接入；專線接入；總公司各辦公室都提供高速總公司各辦公室都提供高速有線

13、網(wǎng)絡(luò)有線網(wǎng)絡(luò)接入，另接入，另外，在休息廳和閱覽室設(shè)置了外，在休息廳和閱覽室設(shè)置了無線網(wǎng)絡(luò)無線網(wǎng)絡(luò)；總公司建立了大型的總公司建立了大型的SAN存儲網(wǎng)絡(luò)，所有的銷存儲網(wǎng)絡(luò)，所有的銷售人員都可以通過售人員都可以通過VPN訪問方式從訪問方式從外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)訪訪問問內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)服務(wù)，經(jīng)過安全審核后經(jīng)授權(quán)的員服務(wù)，經(jīng)過安全審核后經(jīng)授權(quán)的員工還可以訪問工還可以訪問SAN中的核心數(shù)據(jù)。中的核心數(shù)據(jù)。LOGO17v有線網(wǎng)絡(luò)有線網(wǎng)絡(luò)&無線網(wǎng)絡(luò)：無線網(wǎng)絡(luò)：有線網(wǎng)絡(luò)：提供有線網(wǎng)絡(luò)：提供LAN中各種設(shè)備間的高速連接，有線網(wǎng)中各種設(shè)備間的高速連接，有線網(wǎng)絡(luò)的連接介質(zhì)可分為兩類：絡(luò)的連接介質(zhì)可分為兩類：金屬導(dǎo)體，如同

14、軸電纜，雙絞線，利用銅和鐵等金屬金屬導(dǎo)體，如同軸電纜，雙絞線，利用銅和鐵等金屬導(dǎo)體的電流變化來傳輸數(shù)據(jù)。導(dǎo)體的電流變化來傳輸數(shù)據(jù)。以光纖維代表的透明玻璃或塑膠繩媒體，它們利用光以光纖維代表的透明玻璃或塑膠繩媒體，它們利用光波來傳輸數(shù)據(jù)。波來傳輸數(shù)據(jù)。無線網(wǎng)絡(luò)：使用無線射頻（無線網(wǎng)絡(luò)：使用無線射頻（RF）技術(shù)通過空中接口來收）技術(shù)通過空中接口來收發(fā)數(shù)據(jù)，通常將這種采用無線傳輸數(shù)據(jù)或媒體的計算機發(fā)數(shù)據(jù)，通常將這種采用無線傳輸數(shù)據(jù)或媒體的計算機網(wǎng)絡(luò)稱為無線局域網(wǎng)。網(wǎng)絡(luò)稱為無線局域網(wǎng)。要實現(xiàn)合理的網(wǎng)絡(luò)傳輸和覆蓋，必須將有線與無線，空要實現(xiàn)合理的網(wǎng)絡(luò)傳輸和覆蓋，必須將有線與無線，空中與地面相結(jié)合，取長補

15、短。中與地面相結(jié)合，取長補短。LOGO18v解讀下面這段話：解讀下面這段話：總公司的總公司的LAN骨干使用千兆網(wǎng)絡(luò)，各地分公司骨干使用千兆網(wǎng)絡(luò)，各地分公司的的WAN連接是連接是DDN專線接入；專線接入；總公司各辦公室都提供高速總公司各辦公室都提供高速有線網(wǎng)絡(luò)有線網(wǎng)絡(luò)接入，另接入，另外，在休息廳和閱覽室設(shè)置了外，在休息廳和閱覽室設(shè)置了無線網(wǎng)絡(luò)無線網(wǎng)絡(luò)；總公司建立了大型的總公司建立了大型的SAN存儲網(wǎng)絡(luò)，所有的銷存儲網(wǎng)絡(luò)，所有的銷售人員都可以通過售人員都可以通過VPN訪問方式從訪問方式從外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)訪訪問問內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)服務(wù)，經(jīng)過安全審核后經(jīng)授權(quán)的員服務(wù)，經(jīng)過安全審核后經(jīng)授權(quán)的員工還可以訪問

16、工還可以訪問SAN中的核心數(shù)據(jù)。中的核心數(shù)據(jù)。LOGO19v外部網(wǎng)絡(luò)外部網(wǎng)絡(luò)&內(nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是利用內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)是利用網(wǎng)絡(luò)邊界的節(jié)點網(wǎng)絡(luò)邊界的節(jié)點進進行分類，以確定私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)的界線的行分類，以確定私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)的界線的一種描述方法。一種描述方法。內(nèi)部網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)（Intranet）是建立在企業(yè)內(nèi)部的）是建立在企業(yè)內(nèi)部的Internet，它采用防止外界侵入的安全措施，它采用防止外界侵入的安全措施，將將Internet技術(shù)運用到企業(yè)內(nèi)部的信息系統(tǒng)中，技術(shù)運用到企業(yè)內(nèi)部的信息系統(tǒng)中，以企業(yè)員工為服務(wù)對象，構(gòu)建企業(yè)級的信息集以企業(yè)員工為服務(wù)對象，構(gòu)建企業(yè)級的信

17、息集成和信息服務(wù)。成和信息服務(wù)。外部網(wǎng)絡(luò)（外部網(wǎng)絡(luò)（Extranet）的信息交流著眼于企業(yè)）的信息交流著眼于企業(yè)外部。外部。LOGO20vSAN SAN是一種是一種存儲設(shè)備網(wǎng)絡(luò)存儲設(shè)備網(wǎng)絡(luò)，實現(xiàn)的方式之一是，實現(xiàn)的方式之一是通過光纖通道連接完成的。通過光纖通道連接完成的。SAN類似于類似于LAN體體系結(jié)構(gòu)，它可以通過系結(jié)構(gòu)，它可以通過HUB、Switch、控制器來、控制器來連接各種設(shè)備。連接各種設(shè)備。SAN使使Server可以與存儲設(shè)備可以與存儲設(shè)備（如磁盤子系統(tǒng)和磁帶庫）建立多個直接連接。（如磁盤子系統(tǒng)和磁帶庫）建立多個直接連接。LOGO21基本形式的基本形式的SAN網(wǎng)絡(luò)網(wǎng)絡(luò)HBA（Host

18、 Bus Adapter）：主機總線適配器，是一個在）：主機總線適配器，是一個在server和存和存儲裝置間提供儲裝置間提供I/O處理和物理連接的電路板和處理和物理連接的電路板和/或集成電路適配器。或集成電路適配器。LOGO22vVPN Virtual Private Network 虛擬專用網(wǎng)虛擬專用網(wǎng) 采用一種稱為采用一種稱為“隧道隧道”或或“數(shù)據(jù)封裝數(shù)據(jù)封裝”的技術(shù)的技術(shù)解決企業(yè)員工需要通過解決企業(yè)員工需要通過Internet訪問企業(yè)內(nèi)部訪問企業(yè)內(nèi)部服務(wù)器的問題。它可以通過特殊的加密通訊協(xié)服務(wù)器的問題。它可以通過特殊的加密通訊協(xié)議在連接在議在連接在Internet上不同地方的兩個或多個上

19、不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就如同架設(shè)了一條專線，但是并不需要真正的去如同架設(shè)了一條專線，但是并不需要真正的去鋪設(shè)線路。鋪設(shè)線路。VPN被定義為通過一個公用網(wǎng)絡(luò)建被定義為通過一個公用網(wǎng)絡(luò)建立一個臨時的、安全的連接。立一個臨時的、安全的連接。VPN的核心是利的核心是利用公共網(wǎng)絡(luò)建立一個物理上不存在的虛擬的私用公共網(wǎng)絡(luò)建立一個物理上不存在的虛擬的私有網(wǎng)。有網(wǎng)。LOGO23 其他服務(wù)：其他服務(wù)：www、ftp MRTG：定義、安裝：定義、安裝 視頻服務(wù)：相關(guān)概念、配置視頻服務(wù)：相關(guān)概念、配置 郵件服務(wù)：名詞、相關(guān)協(xié)議、傳遞方式、配

20、置郵件服務(wù)：名詞、相關(guān)協(xié)議、傳遞方式、配置 Proxy：定義、工作流程、配置：定義、工作流程、配置 DNS：定義、工作流程、實例：定義、工作流程、實例 網(wǎng)絡(luò)設(shè)備：網(wǎng)絡(luò)設(shè)備：概述、路由與交換、概述、路由與交換、NAT、實例、實例 校園網(wǎng)概述：網(wǎng)絡(luò)說明校園網(wǎng)概述：網(wǎng)絡(luò)說明、IP地址范圍、網(wǎng)絡(luò)拓撲結(jié)構(gòu)地址范圍、網(wǎng)絡(luò)拓撲結(jié)構(gòu) LOGO24 v 吉林大學(xué)校園網(wǎng)始建于吉林大學(xué)校園網(wǎng)始建于1995年，年，在五校區(qū)網(wǎng)絡(luò)整合完成后已成為國內(nèi)覆蓋面積在五校區(qū)網(wǎng)絡(luò)整合完成后已成為國內(nèi)覆蓋面積最大的校園計算機網(wǎng)絡(luò)。校園網(wǎng)采用最大的校園計算機網(wǎng)絡(luò)。校園網(wǎng)采用多層次樹型結(jié)構(gòu)多層次樹型結(jié)構(gòu)。分布在市內(nèi)各個方位的五。分布在市

21、內(nèi)各個方位的五校區(qū)局域網(wǎng)，通過校區(qū)局域網(wǎng)，通過光纖線路光纖線路互連，形成互連，形成雙千兆雙千兆帶寬的校園網(wǎng)主干，使吉林大學(xué)校帶寬的校園網(wǎng)主干，使吉林大學(xué)校園網(wǎng)具備了城域網(wǎng)的規(guī)模。園網(wǎng)具備了城域網(wǎng)的規(guī)模。在各個校區(qū)，主要樓宇通過千兆連接到校區(qū)主節(jié)點，在各個校區(qū)，主要樓宇通過千兆連接到校區(qū)主節(jié)點，其它樓宇百兆上連。在廣域網(wǎng)方面，其它樓宇百兆上連。在廣域網(wǎng)方面，校園網(wǎng)通過校園網(wǎng)通過1200兆光纖連接到位于吉林大兆光纖連接到位于吉林大學(xué)內(nèi)的教育網(wǎng)吉林省主節(jié)點，學(xué)內(nèi)的教育網(wǎng)吉林省主節(jié)點，后者目前與教育網(wǎng)東北節(jié)點以后者目前與教育網(wǎng)東北節(jié)點以2.5G互連?；ミB。v 在網(wǎng)絡(luò)服務(wù)方面，校園網(wǎng)在網(wǎng)絡(luò)服務(wù)方面，校園

22、網(wǎng)50多臺服務(wù)器以及學(xué)校各部門多臺服務(wù)器以及學(xué)校各部門20多臺服務(wù)器共同提供形多臺服務(wù)器共同提供形式多樣的服務(wù)。包括式多樣的服務(wù)。包括WWW、文件下載、電子郵件、代理服務(wù)、虛擬主機、個人、文件下載、電子郵件、代理服務(wù)、虛擬主機、個人主頁、主頁、BBS、視頻點播、電視轉(zhuǎn)播、教學(xué)管理系統(tǒng)、財務(wù)管理系統(tǒng)、圖書館書目、視頻點播、電視轉(zhuǎn)播、教學(xué)管理系統(tǒng)、財務(wù)管理系統(tǒng)、圖書館書目查詢系統(tǒng)、科技文獻全文檢索系統(tǒng)等。查詢系統(tǒng)、科技文獻全文檢索系統(tǒng)等。v 作為中國第二代互聯(lián)網(wǎng)計劃作為中國第二代互聯(lián)網(wǎng)計劃CNGI-6IX和第二代中國教育和科研網(wǎng)和第二代中國教育和科研網(wǎng)CERNET-II的節(jié)的節(jié)點學(xué)校之一，吉林大學(xué)

23、點學(xué)校之一，吉林大學(xué)IPv6網(wǎng)絡(luò)已經(jīng)于網(wǎng)絡(luò)已經(jīng)于2004年年12月月23日全面開通，日全面開通，并與并與CERNET-II以及國外以及國外INTERNET-II網(wǎng)絡(luò)實現(xiàn)互聯(lián)。網(wǎng)絡(luò)實現(xiàn)互聯(lián)。校內(nèi)所有路由設(shè)備已經(jīng)升級，校內(nèi)所有路由設(shè)備已經(jīng)升級，全面支持全面支持Ipv6相關(guān)協(xié)議，具備了向全體師生提供相關(guān)協(xié)議，具備了向全體師生提供Ipv6相關(guān)服務(wù)的條件。相關(guān)服務(wù)的條件。v 截至到截至到2013年年03月月12日日12時時,吉林大學(xué)校園網(wǎng)入網(wǎng)計算機總數(shù)為吉林大學(xué)校園網(wǎng)入網(wǎng)計算機總數(shù)為 77706臺臺.LOGO25 vCernet:202.198.16.0-202.198.31.255 202.198.3

24、2.0-202.198.47.255 202.198.48.0-202.198.63.255 202.198.64.0-202.198.79.255 202.198.144.0-202.198.159.255 202.198.160.0-202.198.175.255 219.217.0.0-219.217.15.255 219.217.48.0-219.217.63.255 59.72.0.0-59.72.127.255 202.127.245.0-202.127.245.255 222.27.64.0-222.27.95.255 vCncnet:202.98.13.0-202.98.13.

25、255 202.98.17.0-202.98.17.255 202.98.18.0-202.98.18.127 202.98.18.224-202.98.18.255 202.111.177.224-202.111.177.255vChinanet:222.168.43.160-222.168.43.191LOGO26 v 中國教育和科研計算機網(wǎng)中國教育和科研計算機網(wǎng)CERNET是由國家投資建設(shè)，教育是由國家投資建設(shè)，教育部負責(zé)管理，清華大學(xué)等高等學(xué)校承擔(dān)建設(shè)和管理運行的全部負責(zé)管理，清華大學(xué)等高等學(xué)校承擔(dān)建設(shè)和管理運行的全國性學(xué)術(shù)計算機互聯(lián)網(wǎng)絡(luò)。國性學(xué)術(shù)計算機互聯(lián)網(wǎng)絡(luò)。它主要面向教育和科研單

26、位，是它主要面向教育和科研單位，是全國最大的公益性互聯(lián)網(wǎng)絡(luò)。全國最大的公益性互聯(lián)網(wǎng)絡(luò)。1996年被國務(wù)院確認為全國骨年被國務(wù)院確認為全國骨干網(wǎng)。它分四級管理，分別是干網(wǎng)。它分四級管理，分別是全國網(wǎng)絡(luò)中心、地區(qū)網(wǎng)絡(luò)中心全國網(wǎng)絡(luò)中心、地區(qū)網(wǎng)絡(luò)中心和地區(qū)主結(jié)點、省教育科研網(wǎng)、校園網(wǎng)和地區(qū)主結(jié)點、省教育科研網(wǎng)、校園網(wǎng)。CERNET全國網(wǎng)絡(luò)全國網(wǎng)絡(luò)中心設(shè)在清華大學(xué)，負責(zé)全國主干網(wǎng)的運行管理。地區(qū)網(wǎng)絡(luò)中心設(shè)在清華大學(xué)，負責(zé)全國主干網(wǎng)的運行管理。地區(qū)網(wǎng)絡(luò)中心和地區(qū)主結(jié)點分別設(shè)在清華大學(xué)、北京大學(xué)、北京郵電中心和地區(qū)主結(jié)點分別設(shè)在清華大學(xué)、北京大學(xué)、北京郵電大學(xué)、上海交通大學(xué)、西安交通大學(xué)、華中科技大學(xué)、華南

27、大學(xué)、上海交通大學(xué)、西安交通大學(xué)、華中科技大學(xué)、華南理工大學(xué)、電子科技大學(xué)、東南大學(xué)、東北大學(xué)等理工大學(xué)、電子科技大學(xué)、東南大學(xué)、東北大學(xué)等10所高校，所高校，負責(zé)地區(qū)網(wǎng)的運行管理和規(guī)劃建設(shè)。負責(zé)地區(qū)網(wǎng)的運行管理和規(guī)劃建設(shè)。LOGO2727 LOGO28 LOGO29 LOGO30 LOGO31 高速同步串口高速同步串口：主要用于連接：主要用于連接DDN、幀中、幀中繼、繼、X.25、PSTN等。通過這種端口所連等。通過這種端口所連接的網(wǎng)絡(luò)的兩端都要求實時同步。接的網(wǎng)絡(luò)的兩端都要求實時同步。異步串口異步串口：主要用于：主要用于Modem或或Modem池池的連接，實現(xiàn)遠程計算機通過公用電話網(wǎng)的連接

28、，實現(xiàn)遠程計算機通過公用電話網(wǎng)撥入網(wǎng)絡(luò)。它不要網(wǎng)絡(luò)兩端保持實時同步，撥入網(wǎng)絡(luò)。它不要網(wǎng)絡(luò)兩端保持實時同步，只要求能連續(xù)即可，這種接口所連接的通只要求能連續(xù)即可，這種接口所連接的通信方式速率較低。信方式速率較低。Console口口：使用配置專用線直接連接至：使用配置專用線直接連接至計算機串口，利用終端仿真程序進行路由計算機串口，利用終端仿真程序進行路由器本地配置。器本地配置。AUX口口為異步端口，主要用于遠程配置，為異步端口，主要用于遠程配置，也可用于撥號連接，還可通過收發(fā)器與也可用于撥號連接，還可通過收發(fā)器與MODEM相連。相連。LOGO32 v 路由和交換是網(wǎng)絡(luò)世界中兩個重要的概念。路由和交

29、換是網(wǎng)絡(luò)世界中兩個重要的概念。傳統(tǒng)的交換發(fā)生傳統(tǒng)的交換發(fā)生在網(wǎng)絡(luò)的第二層，即數(shù)據(jù)鏈路層，在網(wǎng)絡(luò)的第二層，即數(shù)據(jù)鏈路層，而路由則發(fā)生在第三層，而路由則發(fā)生在第三層，網(wǎng)絡(luò)層網(wǎng)絡(luò)層。所以傳統(tǒng)意義上的交換機是。所以傳統(tǒng)意義上的交換機是OSIOSI參考模型第二層的參考模型第二層的設(shè)備，設(shè)備，也就是數(shù)據(jù)鏈路層的設(shè)備，也就是數(shù)據(jù)鏈路層的設(shè)備，交換機根據(jù)每一個數(shù)據(jù)交換機根據(jù)每一個數(shù)據(jù)包中的目的包中的目的MACMAC地址作簡單的轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)決策并不需要判斷地址作簡單的轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)決策并不需要判斷數(shù)據(jù)包深層的其他信息。而路由器是數(shù)據(jù)包深層的其他信息。而路由器是OSIOSI參考模型第三層的參考模型第三層的設(shè)備，也就是網(wǎng)

30、絡(luò)層的設(shè)備，它負責(zé)檢查進入的分組，為它設(shè)備，也就是網(wǎng)絡(luò)層的設(shè)備，它負責(zé)檢查進入的分組，為它們選擇通過網(wǎng)絡(luò)的最佳路徑，然后將它們交換到合適的輸出們選擇通過網(wǎng)絡(luò)的最佳路徑，然后將它們交換到合適的輸出端口上。這是傳統(tǒng)意義上的路由和交換。端口上。這是傳統(tǒng)意義上的路由和交換。v 現(xiàn)在，路由的智能和交換的性能被有機的結(jié)合起來，三層交現(xiàn)在，路由的智能和交換的性能被有機的結(jié)合起來，三層交換機和多層交換機在網(wǎng)絡(luò)中已經(jīng)大量使用。換機和多層交換機在網(wǎng)絡(luò)中已經(jīng)大量使用。LOGO33 vNAT英文全稱是英文全稱是Network Address Translation，也就是，也就是網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換，它是一個它是

31、一個IETF標(biāo)準(zhǔn)，允許一個機構(gòu)以一個地址出現(xiàn)標(biāo)準(zhǔn)，允許一個機構(gòu)以一個地址出現(xiàn)在在Internet上。上。NAT將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個一個IP地址，反之亦然。它也可以應(yīng)用到防火墻技地址，反之亦然。它也可以應(yīng)用到防火墻技術(shù)里，把個別術(shù)里，把個別IP地址隱藏起來不被外界發(fā)現(xiàn)，使外地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備，同時，它還幫助網(wǎng)界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備，同時，它還幫助網(wǎng)絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中的公有絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中的公有Internet 地址和私有地址和私有IP地址的使用。地址的使用。LOGO34 v

32、 NATNAT技術(shù)能幫助解決令人頭痛的技術(shù)能幫助解決令人頭痛的IPIP地址緊缺的問題，而且能使地址緊缺的問題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。v 它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NATNAT把內(nèi)部地址翻譯成合法的把內(nèi)部地址翻譯成合法的IPIP地址在地址在InternetInternet上使用，其具體上使用，其具體的做法是把的做法是把IPIP包內(nèi)的地址域用合法的包內(nèi)的地址域用合法的IPIP地址來替換。地址來替換。v NATNAT功能通常被集成到路由器、防火墻、功能通常被集成

33、到路由器、防火墻、ISDNISDN路由器或者單獨路由器或者單獨的的NATNAT設(shè)備中。設(shè)備中。NATNAT設(shè)備維護一個狀態(tài)表，用來把非法的設(shè)備維護一個狀態(tài)表，用來把非法的IPIP地地址映射到合法的址映射到合法的IPIP地址上去。每個包在地址上去。每個包在NATNAT設(shè)備中都被翻譯成設(shè)備中都被翻譯成正確的正確的IPIP地址，發(fā)往下一級，這意味著給處理器帶來了一定地址，發(fā)往下一級，這意味著給處理器帶來了一定的負擔(dān)。但對于一般的網(wǎng)絡(luò)來說，這種負擔(dān)是微不足道的。的負擔(dān)。但對于一般的網(wǎng)絡(luò)來說，這種負擔(dān)是微不足道的。LOGO35 靜態(tài)靜態(tài)NAT（Static NAT）動態(tài)地址動態(tài)地址NAT（Pooled

34、NAT）網(wǎng)絡(luò)地址端口轉(zhuǎn)換網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（PortLevel NAT）v 靜態(tài)靜態(tài)NAT設(shè)置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)設(shè)置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。v 動態(tài)地址動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。v NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端地址的不同端口上。根據(jù)不同的需要，三種

35、口上。根據(jù)不同的需要，三種NAT方案各有利弊。方案各有利弊。LOGO36 v NAT技術(shù)可以讓區(qū)域網(wǎng)路中的所有機器經(jīng)由一臺通往技術(shù)可以讓區(qū)域網(wǎng)路中的所有機器經(jīng)由一臺通往Internet的的server 線出去，而且只需要注冊該線出去，而且只需要注冊該server的一個的一個IP就夠了就夠了。最簡單的最簡單的NAT設(shè)備有兩條網(wǎng)絡(luò)連接：一條連接到設(shè)備有兩條網(wǎng)絡(luò)連接：一條連接到Internet，一，一條連接到專用網(wǎng)絡(luò)。專用網(wǎng)絡(luò)中使用私有條連接到專用網(wǎng)絡(luò)。專用網(wǎng)絡(luò)中使用私有IP地址（有時也被地址（有時也被稱做稱做Network 10地址，地址使用留做專用的從地址，地址使用留做專用的從10.0.0.0開

36、始開始的地址）的主機，通過直接向的地址）的主機，通過直接向NAT設(shè)備發(fā)送數(shù)據(jù)包連接到設(shè)備發(fā)送數(shù)據(jù)包連接到Internet上。與普通路由器不同，上。與普通路由器不同，NAT設(shè)備實際上對包頭進行設(shè)備實際上對包頭進行修改，將專用網(wǎng)絡(luò)的源地址變?yōu)樾薷?，將專用網(wǎng)絡(luò)的源地址變?yōu)镹AT設(shè)備自己的設(shè)備自己的Internet地址，地址，而普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地前讀取源地址和目而普通路由器僅在將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地前讀取源地址和目的地址。的地址。LOGO路由協(xié)議vInternet 路由選擇的樹狀結(jié)構(gòu):自治系統(tǒng)自治系統(tǒng)局域網(wǎng)局域網(wǎng)局域網(wǎng)局域網(wǎng)核心系統(tǒng)核心系統(tǒng)GGGGGG核心網(wǎng)關(guān)非核心網(wǎng)關(guān)部分AS間交換路由

37、信息（信任關(guān)系）LOGOv 自治系統(tǒng)（ASAutonomous System)：包括多個網(wǎng)絡(luò)和非核心網(wǎng)關(guān)，并通過唯一的核心網(wǎng)關(guān)與主干網(wǎng)相連。通過它進入主干網(wǎng)（核心系統(tǒng)）。AS的建立是為了便于擴展并減 輕 主干網(wǎng)路由信息更新的過大開銷。核心網(wǎng)關(guān)由Internet網(wǎng)絡(luò)操作中心統(tǒng)一管理，非核心網(wǎng)關(guān)由本地管理v 路由信息的交換：1.自治系統(tǒng)要通過系統(tǒng)內(nèi)一個授權(quán)的非核心網(wǎng)關(guān)向所屬核心網(wǎng)關(guān)報告本地路由信息，核心網(wǎng)關(guān)也要通過它報告主干網(wǎng)路由信息。(外部網(wǎng)關(guān)協(xié)議EGPExternal Gateway Protocol.如EGP,BGP)2.核心網(wǎng)關(guān)之間相互交換路由信息。(核心網(wǎng)關(guān)協(xié)議GGPGateway-Ga

38、teway Protocol).3.自治系統(tǒng)是獨立的。其內(nèi)部可采用自己的路由協(xié)議。（內(nèi)部網(wǎng)關(guān)協(xié)議IGPInternal Gateway Protocol 如OSPF,RIP,IGRP 等）v 信任關(guān)系：為減輕自治系統(tǒng)對主干網(wǎng)的依賴，提高系統(tǒng)的可靠性，一些自治系統(tǒng)間可直接建立聯(lián)系，交換路由信息，而不必通過主干網(wǎng)。（稱信任關(guān)系）v 路徑：本地網(wǎng)絡(luò)將數(shù)據(jù)發(fā)送到核心網(wǎng)關(guān)，進入主干網(wǎng)，再通過核心網(wǎng)關(guān)送到目的主機所在的自治系統(tǒng)，然后由內(nèi)部路由到達目的主機。LOGO39 v CISCO學(xué)院實驗室網(wǎng)絡(luò)拓撲圖學(xué)院實驗室網(wǎng)絡(luò)拓撲圖LOGO40 User Access VerificationPassword:LA

39、B_A User EXEC modeLAB_A LAB_A#Privileged EXEC modeLAB_A#Global configuration modeLAB_A(config)#LAB_A(config)#配置接口LAB_A(config-if)#LAB_A(config-if)#LAB_A(config)#LAB_A(config)#配置路由協(xié)議LAB_A(config-router)#LAB_A(config-router)#LAB_A(config-router)#LAB_A(config)#LAB_A(config)#配置DNSLAB_A(config)#LAB_A#LAB

40、_A#檢查配置并測試連接性LAB_A#保存配置LOGO41 LOGO42 v DNS，Domain Name System，域名系統(tǒng)。，域名系統(tǒng)。v 在一個在一個TCP/IP架構(gòu)的網(wǎng)絡(luò)環(huán)境中，架構(gòu)的網(wǎng)絡(luò)環(huán)境中，DNS是一個非常重要而是一個非常重要而且常用的系統(tǒng)。主要的功能是將人易于記憶的且常用的系統(tǒng)。主要的功能是將人易于記憶的Domain Name與人不容易記憶的與人不容易記憶的IP Address作轉(zhuǎn)換。它包括正向作轉(zhuǎn)換。它包括正向解析和逆向解析。解析和逆向解析。正向解析正向解析指將主機域名解析為對應(yīng)的指將主機域名解析為對應(yīng)的IP地址的過程。地址的過程。反向解析反向解析指由指定的指由指定的I

41、P地址解析出對應(yīng)的主地址解析出對應(yīng)的主機域名。機域名。LOGO43 v DNS是屬于是屬于分層的（分層的（Hierarchical）分布式數(shù)據(jù)庫（）分布式數(shù)據(jù)庫（Distributed Database）體系結(jié)構(gòu)）體系結(jié)構(gòu)，雖然每臺，雖然每臺DNS服務(wù)器只負責(zé)某些范圍的域名解析服務(wù)器只負責(zé)某些范圍的域名解析工作，但是它最大的長處是：可將世界上分散在各地的工作，但是它最大的長處是：可將世界上分散在各地的DNS集合而成為集合而成為一個邏輯上的數(shù)據(jù)庫。因為沒有一臺一個邏輯上的數(shù)據(jù)庫。因為沒有一臺DNS服務(wù)器可以容納世界上所有主服務(wù)器可以容納世界上所有主機的資料記錄，所以就必須通過機的資料記錄，所以就

42、必須通過DNS服務(wù)器間的查詢和緩存記憶來分享服務(wù)器間的查詢和緩存記憶來分享資料，以便響應(yīng)來自客戶端的域名解析請求。資料，以便響應(yīng)來自客戶端的域名解析請求。v 例如：吉林大學(xué)的例如：吉林大學(xué)的Domain Name為為，這個，這個Domain Name當(dāng)然不是憑空而來的，是從當(dāng)然不是憑空而來的，是從所分配下來。所分配下來。又是又是從從.cn授予的。授予的。.cn是從哪里來的呢？答案是從是從哪里來的呢？答案是從“.”，也就是所謂的，也就是所謂的“根域根域”（root domain）來的。根域已經(jīng)是）來的。根域已經(jīng)是Domain Name的最上層。而的最上層。而“.”這這層是由層是由InterNIC

43、（Internet Network Information Center，互聯(lián)網(wǎng)信息中，互聯(lián)網(wǎng)信息中心）所管理。全世界的心）所管理。全世界的Domain Name就是這樣，一層一層的授予下來。就是這樣，一層一層的授予下來。LOGO網(wǎng)絡(luò)安全 第2講 TCPIP深入理解名字是否在本服務(wù)區(qū)所轄子域哪種求解方式開始將詢問發(fā)往某服務(wù)器結(jié)果產(chǎn)生一個指定下一服務(wù)器的響應(yīng)，并傳回求解者從數(shù)據(jù)庫中取出相應(yīng)地址將結(jié)果傳回求解者請求下一服務(wù)器，求解名字，并將結(jié)果返回求解者構(gòu)成域名詢問求解者操作服務(wù)器操作YN遞歸求解反復(fù)求解下一次求解域名解析算法圖域名解析算法圖：LOGO45 v 例：例：查詢查詢Domain Nam

44、e為為時，時，DNS Server處理處理如下如下：LOGO46 1.客戶端向服務(wù)器提出查詢項目；客戶端向服務(wù)器提出查詢項目；2.當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機名稱的時候，當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機名稱的時候，DNS服務(wù)器會直接做出回答；服務(wù)器會直接做出回答；3.如果所查詢的主機名屬于其它域名，會檢查快取記憶體如果所查詢的主機名屬于其它域名，會檢查快取記憶體(Cache)查看是否有相關(guān)查看是否有相關(guān)資料；資料；4.如果沒有發(fā)現(xiàn)，則會轉(zhuǎn)向如果沒有發(fā)現(xiàn)，則會轉(zhuǎn)向 root 服務(wù)器查詢；服務(wù)器查詢；5.root 服務(wù)器會將該域名之下一層授權(quán)服務(wù)器會將該域名之下一層授權(quán)(authoritative

45、)服務(wù)器的地址告知服務(wù)器的地址告知(可能會超可能會超過一臺過一臺)；6.然后本地服務(wù)器會向其中的一臺服務(wù)器查詢，并將這些服務(wù)器名單存到記憶體中，然后本地服務(wù)器會向其中的一臺服務(wù)器查詢，并將這些服務(wù)器名單存到記憶體中，以備將來之需以備將來之需(省卻再向省卻再向 root 查詢的步驟查詢的步驟)；7.遠方服務(wù)器回應(yīng)查詢；遠方服務(wù)器回應(yīng)查詢；8.若該回應(yīng)并非最后一層的答案，則繼續(xù)往下一層查詢，直到獲得客戶端所要查詢?nèi)粼摶貞?yīng)并非最后一層的答案，則繼續(xù)往下一層查詢，直到獲得客戶端所要查詢的結(jié)果為止；的結(jié)果為止；9.將查詢結(jié)果返回給客戶端，并同時將結(jié)果儲存一個備份在自己的快取記憶里面；將查詢結(jié)果返回給客戶

46、端，并同時將結(jié)果儲存一個備份在自己的快取記憶里面；10.如果在存放時間尚未過時之前再接到相同的查詢，則以存放于快取記憶里面的資如果在存放時間尚未過時之前再接到相同的查詢，則以存放于快取記憶里面的資料來做回應(yīng)。料來做回應(yīng)。LOGO47 vDomain（域（域/網(wǎng)域）網(wǎng)域）將整個將整個internet 分成許多的分成許多的domain，每個，每個domain下下又可細分為許多又可細分為許多domain，然后這些細分的，然后這些細分的domain視視實際需求又可再細分成許多實際需求又可再細分成許多domain一直循環(huán)下去。基一直循環(huán)下去?；旧厦總€本上每個domain內(nèi)的內(nèi)的mapping由一部主機

47、負責(zé)管理。由一部主機負責(zé)管理。頂級域名（頂級域名（toplevel domain）：）：域名級數(shù)是從右至左，域名級數(shù)是從右至左，按照按照“.”分開的部分數(shù)確定的，有幾個部分就是幾級。分開的部分數(shù)確定的，有幾個部分就是幾級?！绊敿売蛎敿売蛎奔醇础耙患売蛎患売蛎?，如，如.com表示商業(yè)機構(gòu)；表示商業(yè)機構(gòu)；另外也包括以地理域名命名的頂級域名，如國家頂級另外也包括以地理域名命名的頂級域名，如國家頂級域名，域名，.aa表示南極洲；表示南極洲；.cn表示中國等。表示中國等。LOGO48 vName Server 負責(zé)記錄負責(zé)記錄forward/reverse mapping的機器會的機器會執(zhí)行一個

48、叫執(zhí)行一個叫name server的軟件，透過這個軟的軟件，透過這個軟件回應(yīng)來自其他機器對件回應(yīng)來自其他機器對domain name或或IP的查的查詢。詢。vzone&domain 每個每個domain交由一個機器負責(zé)，其實更精確交由一個機器負責(zé)，其實更精確地說應(yīng)該是每個地說應(yīng)該是每個zone交由一個交由一個 name server來來負責(zé)，所謂負責(zé)，所謂zone就是把一個就是把一個domain扣掉分給扣掉分給下層負責(zé)的部分，剩下來的部分就是下層負責(zé)的部分，剩下來的部分就是zone。LOGO49 v Primary/Secondary（master/slave）如果如果zone交由一部交由一部

49、name server管理，萬一這個管理，萬一這個name server 當(dāng)?shù)?，可能造成?dāng)?shù)簦赡茉斐蒊NTERNET上其它機器無法取得屬上其它機器無法取得屬于這個于這個zone的資料（就是的資料（就是domain name和和ip mapping）。）。為了避免這種情況，我們可以把這個為了避免這種情況，我們可以把這個zone的資料同時交給的資料同時交給多部多部name server負責(zé)。原本的這部被稱為負責(zé)。原本的這部被稱為primary name server，其它的被稱為，其它的被稱為 secondary name server。Secondary name server會定期將會定期將

50、primary name server上上 zone的資料拷貝一份下來備用。的資料拷貝一份下來備用。primary/secondary在新版在新版name server程式中被改稱為程式中被改稱為master/slave。LOGO50 v Forward/Reverse（正解（正解/反解）反解）domain name IP mapping應(yīng)該看成兩個命名空間：應(yīng)該看成兩個命名空間：一個是一個是 domain name-IP,稱之為稱之為forward mapping，在這個命名空間中，在這個命名空間中，先分成先分成top domain，再細分，再細分sub domain，再細分，以此類推。例如

51、，再細分，以此類推。例如 -15.16.192.152 表示在代表表示在代表的的 sub domain 的機器上，可以查到其的機器上，可以查到其mapping table上有一條記錄是上有一條記錄是winnie-15.16.192.152。一個是一個是IP-domain name，稱之為，稱之為reverse mapping。在這個命名空間中，。在這個命名空間中，所有的所有的IP組成一個叫作組成一個叫作arpa.in-addr的的top domain，然后再依，然后再依IP層層細分。層層細分。比如說比如說 15.16.192.152- 代表在負責(zé)代表在負責(zé)192.16.15.in-addr.a

52、rpa（注意是反過來寫，因為（注意是反過來寫，因為top domain要在最后面）這個要在最后面）這個sub domain的機器上，可以查到其的機器上，可以查到其mapping table上有一筆記錄是上有一筆記錄是152-。注意注意 負責(zé)負責(zé)forward mapping和和reverse mapping的機器不一定是同一臺；的機器不一定是同一臺；Domain與與ip subnet并沒有一對一關(guān)系。并沒有一對一關(guān)系。LOGO51 vSOA(Start Of Authority)：即原始權(quán)威服務(wù)器，：即原始權(quán)威服務(wù)器，指指zone的權(quán)威設(shè)定，主要作用是提供原始權(quán)威服的權(quán)威設(shè)定，主要作用是提供原

53、始權(quán)威服務(wù)器的信息。為區(qū)域文件更新提供參數(shù)。務(wù)器的信息。為區(qū)域文件更新提供參數(shù)。v它表示授權(quán)的開始：它表示授權(quán)的開始：SOA用來表示區(qū)域的啟動，用來表示區(qū)域的啟動，每個區(qū)域必須只有一個每個區(qū)域必須只有一個SOA記錄記錄。SOA指定了權(quán)指定了權(quán)威主機的威主機的 name server（FQDN）、）、contact-email-address、Serial number、Refresh Time、Retry time、Expire time和和Minimum TTL。LOGO52 v Name server：域記錄文件被創(chuàng)建的服務(wù)器，是通過域記錄文件被創(chuàng)建的服務(wù)器，是通過FQDN描述的。描述的。

54、FQDN(Fully Qualified Domain Name)：完全合格域名：完全合格域名/全全稱域名，是指主機名加上全路徑，全路徑中列出了序列中稱域名，是指主機名加上全路徑，全路徑中列出了序列中所有域成員。全域名可以從邏輯上準(zhǔn)確地表示出主機在什所有域成員。全域名可以從邏輯上準(zhǔn)確地表示出主機在什么地方，也可以說全域名是主機名的一種完全表示形式。么地方，也可以說全域名是主機名的一種完全表示形式。從全域名中包含的信息可以看出主機在域名樹中的位置從全域名中包含的信息可以看出主機在域名樹中的位置。例如，例如，acme company公司的公司的Web服務(wù)器的全域名可以是服務(wù)器的全域名可以是，而若，

55、而若WWW主機是在銷售部子主機是在銷售部子域，則它的全域名可以是域，則它的全域名可以是。當(dāng)給出的名字像當(dāng)給出的名字像acmecompany而不是而不是acmecompany.時，時，他們通常是指主機名，而名字中帶有句點的則認為是全域他們通常是指主機名，而名字中帶有句點的則認為是全域名。這種區(qū)別在理解和控制解析過程時是非常重要的。句名。這種區(qū)別在理解和控制解析過程時是非常重要的。句點實際上指出了域名樹的根。點實際上指出了域名樹的根。LOGO53 vContact-email-address：管理員的管理員的email地址。地址。vSerial 序列號，即區(qū)域文件的修訂版本號，每次修改區(qū)域文件后遞

56、增此數(shù)字，序列號，即區(qū)域文件的修訂版本號，每次修改區(qū)域文件后遞增此數(shù)字，次服務(wù)器根據(jù)此參數(shù)值可以確定是否需要更新記錄。次服務(wù)器根據(jù)此參數(shù)值可以確定是否需要更新記錄。vRefresh 刷新時間，次服務(wù)器每隔此參數(shù)定義的時間（秒）核對主服務(wù)器的記錄。刷新時間，次服務(wù)器每隔此參數(shù)定義的時間（秒）核對主服務(wù)器的記錄。默認是：默認是：3,600。即輔助。即輔助DNS服務(wù)器在查詢主服務(wù)器在查詢主DNS服務(wù)器的服務(wù)器的SOA記錄之記錄之前等待的時間（秒），當(dāng)刷新時間過期時，輔助前等待的時間（秒），當(dāng)刷新時間過期時，輔助DNS服務(wù)器將向主服務(wù)器將向主DNS服務(wù)器請求當(dāng)前服務(wù)器請求當(dāng)前SOA記錄的副本；主記錄的

57、副本；主DNS服務(wù)器允許此請求；輔服務(wù)器允許此請求；輔助助DNS服務(wù)器比較主服務(wù)器比較主DNS服務(wù)器的當(dāng)前服務(wù)器的當(dāng)前SOA記錄的序列號和自己的記錄的序列號和自己的SOA記錄中的序列號，如果它們是不同的，輔助記錄中的序列號，如果它們是不同的，輔助DNS服務(wù)器就會向主服務(wù)器就會向主DNS服務(wù)器請求區(qū)域傳輸。服務(wù)器請求區(qū)域傳輸。LOGO54 v Retry 重試時間，輔助服務(wù)器傳輸失敗后的等待時間（秒），默重試時間，輔助服務(wù)器傳輸失敗后的等待時間（秒），默認是：認是：600。即輔助服務(wù)器區(qū)域傳輸失敗后到進行重試前的。即輔助服務(wù)器區(qū)域傳輸失敗后到進行重試前的等待時間（秒）。通常，重試時間小于刷新時間

58、。等待時間（秒）。通常，重試時間小于刷新時間。v Expire 超時，又稱過期時間，輔助服務(wù)器嘗試更新記錄的時間超時，又稱過期時間，輔助服務(wù)器嘗試更新記錄的時間（秒），超過這個時間就認定相關(guān)記錄不是最新的。（秒），超過這個時間就認定相關(guān)記錄不是最新的。v Minimum TTL 最小生命周期：適用區(qū)域文件中的所有資源記錄，表示域最小生命周期：適用區(qū)域文件中的所有資源記錄，表示域中記錄的最小生命周期，主服務(wù)器用來通知其他服務(wù)器，中記錄的最小生命周期，主服務(wù)器用來通知其他服務(wù)器，它所發(fā)出的記錄可以緩存多久。它所發(fā)出的記錄可以緩存多久。LOGO55 vDNS資源記錄資源記錄 SOA記錄記錄 用來表示

59、區(qū)域的啟動；用來表示區(qū)域的啟動；每個區(qū)域必須只有一個每個區(qū)域必須只有一個SOA記錄；記錄；輔助服務(wù)器，在不能和主服務(wù)器通信的情況下，將提供輔助服務(wù)器，在不能和主服務(wù)器通信的情況下，將提供12小時小時DNS服務(wù)，在指定的時間后停止為那個區(qū)域提供服務(wù)，在指定的時間后停止為那個區(qū)域提供DNS服務(wù)，不過仍然要服務(wù)，不過仍然要嘗試與主服務(wù)器通信；嘗試與主服務(wù)器通信；語法格式：語法格式：IN SOA nameserver.contact-email-address(serial_number;refresh_number;retry_number;expire_number;minimum_number;

60、)LOGO56 vDNS資源記錄資源記錄 NS記錄記錄 Name Server，名稱服務(wù)器記錄：為，名稱服務(wù)器記錄：為DNS域標(biāo)識域標(biāo)識DNS名名稱服務(wù)器，該資源記錄出現(xiàn)在所有稱服務(wù)器，該資源記錄出現(xiàn)在所有DNS區(qū)域中。創(chuàng)建新區(qū)域中。創(chuàng)建新區(qū)域時，該資源記錄被自動創(chuàng)建。區(qū)域時，該資源記錄被自動創(chuàng)建。用來為域指定名字服務(wù)器；用來為域指定名字服務(wù)器；語法格式：語法格式：IN NS name-server-hostname例如：例如：IN NS ./說明說明.是當(dāng)前區(qū)域文件的名字服務(wù)器，可是當(dāng)前區(qū)域文件的名字服務(wù)器，可以指定多個以指定多個NS記錄。記錄。LOGO57 vDNS資源記錄資源記錄 A記錄

61、記錄 Adress，主機地址記錄：，主機地址記錄：代表代表“主機名稱主機名稱”與與“IP”地址的對應(yīng)關(guān)系，作用是把名稱轉(zhuǎn)換成地址的對應(yīng)關(guān)系，作用是把名稱轉(zhuǎn)換成IP地址。地址。DNS使用使用A記錄來回答記錄來回答“某主機名稱所對應(yīng)的某主機名稱所對應(yīng)的IP地址是什么？地址是什么？”。主機名必須使用主機名必須使用A記錄轉(zhuǎn)譯成記錄轉(zhuǎn)譯成IP地址，網(wǎng)絡(luò)層才知道如何選擇路由，并將數(shù)地址，網(wǎng)絡(luò)層才知道如何選擇路由，并將數(shù)據(jù)包送到目的地。據(jù)包送到目的地。每個主機至少應(yīng)有一個每個主機至少應(yīng)有一個A記錄；記錄；A記錄把主機名指定為記錄把主機名指定為IP地址地址 語法語法:hostname IN A IP-Addr

62、ess 完整的主機名后應(yīng)有一個完整的主機名后應(yīng)有一個“.”；可以使用縮寫；可以使用縮寫；例如：例如：www IN A .IN A 192.168.100.200此時的此時的www代表代表，為完整主機名，后面一定有為完整主機名，后面一定有“.”。LOGO58 vDNS資源記錄資源記錄 CNAME記錄記錄 Canonical Name，別名記錄：，別名記錄：某些名稱并沒有對應(yīng)的某些名稱并沒有對應(yīng)的IP地址，而只是一個主機名的別名。地址，而只是一個主機名的別名。CNAME記錄代表別名與規(guī)范主機名稱之間的對應(yīng)關(guān)系記錄代表別名與規(guī)范主機名稱之間的對應(yīng)關(guān)系 指定規(guī)范（正式）主機名的別名指定規(guī)范（正式）主機

63、名的別名 語法格式語法格式:Alias IN CNAME Canonical-hostname 可以使用縮寫；可以使用縮寫；例如：例如：www IN CNAME .此例表明管理員可能公告其網(wǎng)站主機名稱為此例表明管理員可能公告其網(wǎng)站主機名稱為，但其，但其實實只是一個指向只是一個指向的的CNAME記錄而已。記錄而已。而在而在維護期間，可以臨時將維護期間，可以臨時將指向指向server-。LOGO59 vDNS資源記錄資源記錄 MX記錄記錄 Mail Exchange，郵件交換器資源記錄：，郵件交換器資源記錄：MX記錄提供郵件路由信息；記錄提供郵件路由信息；提供網(wǎng)域的提供網(wǎng)域的“郵件交換器（郵件交換

64、器（Mail Exchanger）”的主機名稱以及相對應(yīng)的的主機名稱以及相對應(yīng)的優(yōu)先值；優(yōu)先值；當(dāng)當(dāng)MTA（用于收發(fā)（用于收發(fā)Mail的程序一般統(tǒng)稱為郵件用戶代理的程序一般統(tǒng)稱為郵件用戶代理MUA-Mail User Agent；將來自；將來自MUA的信件轉(zhuǎn)發(fā)給指定的用戶的程序一般被稱之為因特網(wǎng)的信件轉(zhuǎn)發(fā)給指定的用戶的程序一般被稱之為因特網(wǎng)郵件傳送代理郵件傳送代理MTA-Mail Transfer Agent）要將郵件送到某個網(wǎng)域時，會優(yōu)）要將郵件送到某個網(wǎng)域時，會優(yōu)先將郵件交給該網(wǎng)域的先將郵件交給該網(wǎng)域的MX主機；主機；同一個網(wǎng)域可能有多個郵件交換器，所以每一個同一個網(wǎng)域可能有多個郵件交換器

65、，所以每一個MX記錄都有一個優(yōu)先值，記錄都有一個優(yōu)先值，供供MTA作為選擇作為選擇MX主機的依據(jù)。；主機的依據(jù)。；語法格式：語法格式：IN MX preference-value mail-server-hostname.例如：例如：IN MX 0 .IN MX 10 .LOGO60 vDNS資源記錄資源記錄 PTR記錄記錄 Point，指針記錄：，指針記錄：PTR記錄代表記錄代表“IP地址地址”與與“主機名主機名”的對應(yīng)關(guān)系，作用剛好與的對應(yīng)關(guān)系，作用剛好與A記錄相反；記錄相反；與與A記錄一樣，每個網(wǎng)絡(luò)接口必須有一條記錄一樣，每個網(wǎng)絡(luò)接口必須有一條PTR記錄。記錄。DNS系統(tǒng)使用系統(tǒng)使用PT

66、R記錄來回答記錄來回答“某某IP地址所對應(yīng)的主機名是什么地址所對應(yīng)的主機名是什么?”；RFC882構(gòu)想，構(gòu)想，A記錄與記錄與PTR記錄應(yīng)是互逆的，也就是說從記錄應(yīng)是互逆的，也就是說從A記錄可以查到記錄可以查到“域名到域名到IP”，從，從PTR記錄可以查到記錄可以查到“IP到域名到域名”，但當(dāng)多個域名對應(yīng)同一，但當(dāng)多個域名對應(yīng)同一個個IP時，時，PTR記錄應(yīng)指向該記錄應(yīng)指向該IP地址的規(guī)范主機名。地址的規(guī)范主機名。語法格式：語法格式：ip IN PTR hostname.可以使用縮寫；可以使用縮寫；例如：例如：202.198.16.80 IN PTR .即即 202.198.16.80 IN PTR wwwLOGO61 vDNS資源記錄資源記錄 SRV記錄記錄 Service Location Resource Record，本地服務(wù)資源記錄：，本地服務(wù)資源記錄：它是它是DNS服務(wù)器的數(shù)據(jù)庫中支持的一種資源記錄的類型，它記錄了服務(wù)器的數(shù)據(jù)庫中支持的一種資源記錄的類型，它記錄了哪臺計算機提供了那種服務(wù)；哪臺計算機提供了那種服務(wù)；SRV記錄一般是為記錄一般是為Microsoft的活動目錄設(shè)置