体育工程与信息技术系教育技术学教研室

2010 年 8 月

目 录
第 1 章 局域网基础............................................................................ 1
1.1 局域网的含义与作用...............................................................................................
1.1.1 局域网的含义...............................................................................................
1.1.2 局域网的作用...............................................................................................
1.2 局域网的组网结构...................................................................................................
1.2.1 总线型结构...................................................................................................
1.2.2 环形结构.......................................................................................................
1.2.3 星形结构.......................................................................................................
1.2.4 树形结构.......................................................................................................
1.3 局域网的类型...........................................................................................................
1.3.1 独立式局域网和扩展式局域网....................................................................
1.3.2 桥接式局域网和路由式局域网....................................................................
1.3.3 共享式局域网和交换式局域网....................................................................
1.3.4 局域网其他分类...........................................................................................
1.4 局域网的体系结构...................................................................................................
1.4.1 计算机网络体系结构概述............................................................................
1.4.2 TCP/IP 参考模型...........................................................................................
1.5 以太网通信方式.......................................................................................................
1.5.1 CSMA 数据发送规则....................................................................................
1.5 快速以太网...........................................................................................................
1.5.1 快速以太网物理层结构............................................................................
1.5.2 快速以太网物理层标准............................................................................
1.5.3 快速以太网中继器....................................................................................
1.6 VLAN 和WLAN...................................................................................................
1.6.1 虚拟局域网VLAN........................................................................................
1.6.2 无线局域网WLAN....................................................................................
1.7 实现局域网互连的协议........................................................................................
1.7.1 数据链路层协议........................................................................................
1.7.2 网际层协议...............................................................................................
1.7.3 传输层协议...............................................................................................

1
1
1
2
2
2
3
3
3
3
4
4
6
6
6
7
9
9
10
10
11
12
13
13
16
17
17
17
20

第 2 章 局域网测试......................................................................... 23
2.1 通信介质测试.......................................................................................................
2.1.1 双绞线测试...............................................................................................
2.1.2 光缆测试...................................................................................................
2.2 软件测试...............................................................................................................
2.2.1 Windows 网络命令行程序 ....................................................................

23
23
24
25
25

第 3 章 局域网操作系统 ................................................................. 36
3.1 网络操作系统概述...............................................................................................
3.2 局域网中常见的网络操作系统............................................................................
3.2.1 UNlX 操作系统........................................................................................

36
37
37

3.2.2 Netware.......................................................................................................
3.2.3 Windows NT Server....................................................................................
3.2.4 Windows 2000 Server................................................................................
3.2.5 Windows Server 2003 简介....................................................................
5.2.6 Linux...........................................................................................................
3.3 Windows 2000 server 简介................................................................................
3.3.1 Windows 2000简介....................................................................................
3.3.2 Windows 2000 Server 的新功能概览.....................................................
3.3.3 系统和硬件设备要求................................................................................
3.3.4 安装 Windows 2000 Server 中文版.....................................................
3.3.5 安装及配置服务器....................................................................................
3.4 系统的诊断与修复...............................................................................................
3.4.1 系统环境的保护概述................................................................................
3.4.2 事件查看器...............................................................................................
3.4.3 事故恢复...................................................................................................
3.4.4 故障恢复控制台........................................................................................
3.4.5 紧急修复磁盘...........................................................................................

38
39
39
40
40
41
41
41
43
44
44
46
46
46
47
49
50

第 4 章 局域网的应用 .................................................................... 51
4.1 DNS服务...............................................................................................................
4.1.1 DNS 服务器的概念和原理....................................................................
4.1.2 安装 DNS 服务器....................................................................................
4.1.3 DNS 服务器的设置与管理....................................................................
4.1.4 与 WINS 的结合使用............................................................................
4.1.5 客户机的 DNS 设置............................................................................
4.2 管理 Internet 信息服务器....................................................................................
4.2.1 WEB站点和FTP 站点的配置与管理.........................................................
4.2.2 设置 WEB 和 FTP 属性.................................................................

51
51
54
55
61
63
65
65
70

第 5 章 局域网安全......................................................................... 79
5.1 网络安全隐患.......................................................................................................
5.1.1 先天性安全漏洞..........................................................................................
5.1.2 几种常见的盗窃数据或侵入网络的方法.................................................
5.2 入侵检测技术.......................................................................................................
5.2.1 入侵检测的任务 ....................................................................................
5.2.2 入侵检测原理 ........................................................................................
5.2.3 入侵检测方法 ........................................................................................
5.2.4 误用入侵检测技术....................................................................................
5.2.5 入侵检测研究的条件和局限性.................................................................
5.3 反病毒技术...........................................................................................................
5.3.1 病毒概论 ...............................................................................................
5.3.2 病毒的特征 ...........................................................................................
5.3.3 病毒的分类 ...........................................................................................
5.3.4 反病毒技术 ...........................................................................................
5.4 虚拟专用网 --VPN 技术........................................................................................

79
79
80
83
83
84
84
87
89
89
89
90
91
92
93

5.4.1 VPN 定义和分类 ....................................................................................
5.4.2 VPN 作用与特点 ....................................................................................
5.4.3 VPN 技术 ...............................................................................................

93
94
94

第 1 章 局域网基础
局域网是最基本的计算机网络。了解和掌握局域网的知识体系和应用技能是学习和使用
计算机网络的基本要求。站在局域网的角度便于理解和掌握计算机网络知识和技能体系的其他
内容。本章讲解局域网的含义、拓扑结构和分类等基本概念。

1.1 局域网的含义与作用
1.1.1 局域网的含义
局域网 (local area network , LAN) 是由分布在几百米内的计算机以及其他设备互连组
(hub) 或交换机(LAN switch)等专用设备实现,这样的局
成的网络。计算机的互连通过集线器
域网如图l-l所示。

图 1-1 由计算机、打印机、 hub/LAN switch 和双绞线组成的局域网
局域网中计算机之间的互连由如下两种连接实现。
(l)物理连接。物理连接是指实现计算机之间互连的硬件,例如通信介质和网络接口部件

hub 或 LAN switch 的网络接口上,进而实现它们
计算机通过它的网络接口和通信介质连接到
之间的物理连接。
(2) 逻辑连接。逻辑连接是指计算机之间的数据通路。在计算机网络中一条物理连接上
可能存在多条数据通路。计算机按照通信协议的规定,通过软件建立它们之间的逻辑连接,进
而实现它们之间的信息交换。

1.1.2 局域网的作用
局域网的主要作用如下。
(1) 把终端用户的计算机和其他设备互连起来,解决本地用户之间的数据和其他资源的
b 和计算机
共享。例如,图1-1 中计算机b 和计算机c 从计算机a 上复制文件,又如,计算机
c 把文档从打印机打印输出。
(2) 局域网可以作为本地用户计算机连接到远程计算机网络的基础接入设施。例如,办
(modem),
公室局域网上的微型计算机通过网线连接到局域网上的拨号设备,例如调制解调器
再通过 modem 及其通信介质与 Internet 进行连接。
局域网常应用在办公室、多媒体网络教室、电子阅览室、业务室、网吧、家庭等场所。

1

1.2 局域网的组网结构
局域网组网结构是指网络中计算机及其他设备之间的连接关系。组网结构用拓扑结构一
( 如距离、位置等) 而抽象出了主机、网络设
词来描述。拓扑结构隐去了网络的具体物理特性
4 种,即总线型、环形、星形和树形
备以及通信介质之间的关系。局域网典型的拓扑结构包括

如图 1-2 所示。

图1-2 局域网拓扑结构

1.2.1 总线型结构
在总线型结构局域网中,计算机和网络设备都连接到同一根同轴电缆。这根同轴电缆作
为计算机发送和接收数据的通信介质,因而被称为通信总线。
总线型拓扑结构的主要特点包括以下几点。
(1) 局域网中的计算机共用一条通信介质,计算机可以随意地发送数据,这样同时发送
数据时会导致数据 " 碰撞"( 冲突 ) 。因此存在信道争用问题。
(2) 计算机与总线的连接比较笨拙,可靠性不高。网络布线成本较高,施工不方便。
(3) 某个计算机的故障不会影响其他计算机的工作。 .
总线型局域网是20 世纪 80 年代主要的组网结构,从20 世纪 90 年代以后基本不再
(Token Bus) 也采用
采用。当时,以太网(Ethernet) 就采用总线型结构,还有一种令牌总线网
总线型结构。

1.2.2 环形结构
在环形拓扑结构局域网中,计算机通过环接口连接到一个封闭的环形信道上,即计算机
连接环接口,环接口又逐段连接起来而形成环。现在,环形信道集成到环形局域网设备
MAU(multiple access unit) 中,计算机通过连接到 MAU 的端口组成环形局域网。
环形拓扑结构的主要特点包括:
(1) 计算机发送的数据绕环传输,被环上的主机逐个读取,然后再转发。只有目的主机

2

才进行数据复制。
(2) 计算机在发送数据之前必须获得信道的使用权,而不像总线型局域网那样随机存取
信道。
(3) 环形拓扑结构的优点是没有信道冲突问题,缺点是网络管理比较复杂,网络吞吐量
小,不适合大信息流量的应用。
早期使用环形结构组网的局域网是令牌环网络 (Token Ring) 和光纤分布式数据接口
(fiber distributed data interface ,FDDI)网络。

1.2.3 星形结构
在星形结构局域网中存在一个中心汇接设备,计算机用独立的通信介质与汇接设备连接

早期的汇接设备是集线器 hub ,现在多用交换机(LAN switch)。
星形拓扑结构的主要特点包括:
(1) 计算机都连接到汇接设备上,计算机之间的通信都要通过汇接设备。
(2) 星形结构的优点是使用双绞线作为通信介质,便于网络布线,而且成本较低;星形
局域网便于管理,计算机之间互不影响。
(3) 星形结构的缺点是汇接设备出故障时会导致整个系统瘫痪。
星形结构是当前局域网组网最常用的方式。当前应用广泛的以太网,例如快速以太网
(fast Ethernet , FE) 和千兆以太网 (gigabit Ethernet ,GE) 都使用星形结构组网。

1.2.4 树形结构
当局域网的规模比较大,而且网络覆盖的单位存在行政或业务隶属关系时,一般采用树
形拓扑结构组网。树形拓扑结构的特点如下。
(1) 在局域网中存在主干通信介质和分支通信介质。
(2) 计算机和网络设备之间的连接存在分级关系,连接关系呈树状。
4 种拓扑结构的
注意:不同的组网结构适用的场合也不同。实际使用的组网结构是上述
混合型结构,如星形+ 总线结构、星形+ 环形结构,甚至4 种结构都有。混合型结构可以充分
利用各种拓扑结构的优点,并且相互补充,从而获得较高的通信效率。

1.3 局域网的类型
首先简要说明计算机网络的分类。计算机网络的分类标准很多,从不同的角度出发,可
以把计算机网络进行多种分类。例如,根据计算机网络拓扑结构可以把计算机网络分成总线型
网络、环形网络、星形网络、树形网络以及混合型网络;根据计算机网络的服务对象可以把计
算机网络分成公共网络和专用网络;根据计算机网络的通信功能可以把计算机网络分成用户网
络、接入网络和传输网络;根据计算机网络的通信业务量可以把计算机网络分成边缘网络和骨
干网。
本节,主要介绍常见的局域网分类。

1.3.1 独立式局域网和扩展式局域网
从局域网的规模来看,局域网可以分成独立局域网和扩展式局域网。
1. 独立局域网
独立局域网就是通常意义上的局域网,也就是概念上的局域网。它由一台集线器和若干
台计算机组成,图 1-1 所示的局域网就是一个独立局域网。独立的局域网常被称为网段。
2. 扩展式局域网
3

扩展式局域网(extended LAN)是指独立局域网通过交换机等互连设备连接而构成的更大
的局域网。扩展式局域网使局域网的分布距离大大地扩展,可以胜任校园、企业等规模的连网

由于交换机具备多种功能,因此扩展式网络的性能较好,是目前楼宇网、园区网中主流的网络
构型。

1.3.2 桥接式局域网和路由式局域网
根据互连设备工作方式的不同,扩展式局域网又可以分为两种:桥接式局域网和路由式
局域网。
1 .桥接式局域网
当网络互连设备工作在桥接方式时,扩展式局域网称为桥接式局域网。目前典型的桥接
式局域网是通过交换机互连多个网段实现的。典型的桥接式局域网如图 1-3 所示。

图1-3 桥接式局域网
2 .路由式局域网
当网络互连设备工作在路由方式时,扩展式局域网称为路由式局域网。典型的路由式局
域网是通过路由器互连多个局域网实现的。路由式局域网的概念如图 1-4 所示。

图 1-4 扩展式局域网: LAN 通过路由互连
桥接方式简单,数据转发速度快,但功能有限;路由方式比较复杂,数据转发速度比桥
接慢,但功能比较强一一它不但具有桥接的功能,而且还具有网络层的功能,例如,路由选择

拥塞控制甚至防火墙功能。因此,当局域网互连需要较强的控制功能时,就要采用路由方式,
以牺牲效率为代价换取较强的控制功能。

1.3.3 共享式局域网和交换式局域网
根据数据发送和接收方式的不同,局域网又可以分成共享式局域网和交换式局域网。
1 .共享式局域网
( 例如共享式集线
共享式局域网是指采用共享信道的局域网,或是采用共享式连网设备
器 ) 的局域网。在共享式局域网中,发送方发出的数据能够被与发送方处于同一局域网的所有
主机收到,但只有地址与数据中目的地址一致的主机才把数据复制到机器内部。其他计算机仅
把数据读到网卡的接收缓存中,发现地址不一致时就把缓存中的数据丢掉了。共享式局域网发
送数据的原理如图1-5 所示。图中,源主机S 通过广播给目的主机D 发送数据,其他主机也能
4

接收到。

图1-5 共享式局域网发送数据的原理
2 .交换式局域网
当图 1-5 中的共享式集线器换成交换机时,共享式局域网就变成了交换式局域网。交换
式局域网发送数据的原理如图 1-6 所示。

图1-6 交换机局域网发送数据的原理
从图 1-6 可以看出,主机S 发送的数据不会被除主机D 以外的主机接收。当S 发送的数
据从 LAN 交换机端口2 进入交换机后,智能单元(CPU) 查阅交换机的站表得知数据的接收者
( 目的主机) 位于端口5 ,于是在智能单元的控制下数据被交换结构转发到端口
5 。图1-28中
的 MAC 地址就是数据( 称为 MAC 帧 ) 中的地址,包括源地址和目的地址,它们惟一地标识
帧的发送者和接收者。交换机的站表是交换机通过自学过程建立起来的。交换机对数据帧的转
发就根据这张表进行。

5

1.3.4 局域网其他分类
1 .以太网局域网和令牌局域网
根据网络接口 ( 网卡 ) 向通信介质发送数据所遵守的标准不同,可以把局域网分为:
(1) 以太网。它遵守 IEEE802.3 标准。它是目前应用最广泛的局域网。
(2) 令牌网。它包括令牌总线网和令牌环网,分别遵守 IEEE802.4 和 IEEE802.5 标准。
2 .Windows 局域网、 Netware 局域网和 LinuxX 局域网
Windows NT 网络、
根据网络服务器使用的网络操作系统的不同,可以把计算机网络分成
Windows 2000 网络、 Netware 网络、 UNIX 网络以及 Linux 网络等。
3 .有线局域网和无线局域网
从数据通信介质的类型来看,局域网还可以分成有线局域网和无线局域网
(WirelessLAN , WLAN) 。
(1) 有线局域网。它使用双绞线、同轴电缆、光纤等通信介质作为通信介质的局域网是
有线局域网。
(2) 无线局域网。它使用红外线、微波、射频信号传播的局域网是无线局域网。另外,
从局域网用户的逻辑关系来看,还存在一种虚拟局域网 (virtual LAN , VLAN) 。

1.4 局域网的体系结构
1.4.1 计算机网络体系结构概述
1 .网络的分层体系结构
计算机网络是由多种计算机和各类终端通过通信线路连接起来的系统。在这个系统中,
由于计算机型号不一、终端类型各异,加之线路类型、连接方式、同步方式、通信方式的不同

使得在网络中结点之间进行通信十分困难。
" 分层 " 的方法,将庞大而复杂的问题,转化
为了构造计算机网络以实现通信,可采用
为若干较小的局部问题,而这些较小的问题总是易于研究和处理的。
1-7 所示。
按照上述思路,可以把网络通信的复杂过程抽象成一种层次结构模型,如图
)1的终端上操作,需要使用实
假定用户在实体( 这里的实体理解为能够发送或接收信息的硬件
体 2 中的应用程序。为了达到这个目的,除了需要用公用线路将这两个实体连接起来之外,还
需要完成十分复杂的通信过程。图 1-7 将这个过程划分为四个层次,下面大致说明其工作过程。

图1-7 层次模型

6

A. 用户从实体 1 的终端上输入各种命令,这些命令被应用管理层接收、解释和处理。
B.应用管理层将处理结果提交对话管理层。对话管理层要求与实体 2 建立联系。
C.编址、路由选择。报文分组层对要传送的内容进行编址、路由选择和报文分组等处理。
D. 分组后的报文经过数据链路层,变成数字信号,沿公用线路发送出去。
由上述过程可见,用户在实体1 上输入的命令,要通过A 、B 、C 、D 四个层次的处理,
才能进入物理信道进行传送。
实体 2 从信道中接收信号时,首先要经过数据链路控制层将数字信号接收下来,然后将
分组重新组合成报文,再送到对话管理层去建立相互联系,最后送到应用管理层去运行应用程
序。即接收方的实体 2 也要经过D 、C 、B 、A 四个层次才能完成接收任务。
网络的层次模型,包含两个方面的内容:第一,将网络功能分解为若干层次,在功能对
等的层次中,通信双方需共同遵守许多约定和规程,这些约定和规程称为同层协议 ( 简称协
议 ) 。第二,层次之间逐层过渡,上一层向下一层提出服务要求,下一层完成上一层提出的要
求。上一层必须做好进入下一层的准备工作,两个相邻层之间要完成对话的约定和规程,叫做
接口协议( 简称接口) 。接口可以是硬件,当然也可以采用软件实现,例如数据格式的变换、
地址映射等。
2 .计算机网络标准制定组织简介
网络体系结构出现后,使得同一个公司所生产的各种设备都能够很容易地互联成网。这
种情况显然有利于一个公司垄断自己的产品。用户一旦购买了某个公司的网络,当需要扩大容
量时,就只能再购买原公司的产品。如果同时又购买了其他公司的产品,那么由于网络体系结
构的不同,很难互相连通。
为此,国际上一些团体和组织开始为计算机网络制定各种参考标准,这些团体和组织有
的是一些专业团体,有的则是某个国家政府部门或国际性的公司。下面将介绍三个为网络制定
标准的组织及其相应的标准。
( 1 )国际标准化组织(International Standards Organization, ISO)
由美国国家标准组织(American National Standards Institute ,ANSI)及其他各国的国家
标准组织的代表组成。
(Open System Interconnection, OSI)
该组织对计算机网络的主要贡献是开放系统互联
参考模型。
( 2 )电气电子工程师协会(Institute of Electrical and Electronic Engineer ,IEEE)IEEE
是世界上最大的专业组织之一。
IEEE802协议。该协议主要用于局域网,其中比较著
该组织对计算机网络的主要贡献是
名的是802.3(CSMA/CD)和 802.5(Token Ring) 。
( 3 )美国国防部高级研究计划署(Advanced Research Projects Agency, ARPA)
该机构对计算机网络的主要贡献是 TCP/IP 协议。该协议主要用计算机网络之间的互联。

1.4.2 TCP/IP参考模型
Internet 所使用的体系结构在计
由于 Internet 已经在世界范围内得到了广泛应用,因此
算机网络领域中己成为一个事实上的国际标准。
TCP/IP 协议是一个协议族,它包括很多的协议,但其中最重要和最著名的就是
TCP( 传输控制协议 ) 和 IP( 网际协议〉,一般人们常提到的 TCP/IP 协议指的是表示
Internet 所使用的体系结构或是指整个的TCP/IP 协议族。 TCP/IP 协议开发于 20 世纪 60
年代后期,早于OSI 参考模型,故不完全符合OSI 参考标准。
TCP/IP 体系共分成四个层次 ( 如图 1-8 所示 ) ,它们分别是:网络接口层、网络层
(Internet 层 ) 、传输层和应用层。
7

图 1-8 TCP/IP 体系结构
1 .网络接口层
TCP/IP 协议的一部
网络接口层与OSI 参考模型的数据链路层和物理层相对应,它不是
TCP/IP 与各种通信网之间的接口
分, TCP/IP 对网络接口层并没有给出具体的规定。但它是

是 TCP/IP 赖以存在的基础。
TCP/IP 支持的局域网技术包括以太 (Ethernet) 网、令牌环 (Token Ring) 网等。
TCP/IP 支持的广域网技术包括帧中继 (Frame Replay) 、 ATM 等。
2 .网络层
网络层负责将来自传输层的数据包封装成分组,并执行必要的路由算法。以使主机可以
独立把分组传向目标 ( 可能经由不同的网络 ) 。
网 络 层 有 4 个 主 要 协 议 : IP( 网 际 协 议 ) 、 ICMP(Internet 控 制 报 文 协 议 ) 、
IGMP(Internet 组播管理协议 ) 和 ARP( 地址解析协议 ) 。
·IP 是一个非连接传输、不可靠的通信协议,主要负责分组寻址与路由。非连接传输意
味着在传输数据前不需要事先建立连接;不可靠意味着它不保证传输的正确性。数据传输的正
确性由上层通信协议加以保证。
·ICMP用于传送信息。它提供了对网络进行测试的手段。当路由器或端系统出现故障时

它将向发送数据的源端发送错误报告,两个流行的诊断工具Ping和 Tracert 都使用了 ICMP 。
·IGMP用于组播应用。
·ARP 的任务是查找与给定IP地址相对应主机的物理地址。
3 .传输层
传输层提供了两个主要的协议,即 TCP( 传输控制协议 ) 和 UDP( 用户数据报协议 ) 。
TCP的功能是提供可靠无误的数据传输服务。它是面向连接的协议。当应用程序使用
TCP通信前,会在信源机与信宿机之间建立一个虚拟的连接,一旦此连接被建立,即可在两台
主机之间进行双向通信。
UDP 的功能是尽最大努力进行数据传输,但是不保证传输的正确性。它是无连接的协
议。在应用程序使用UDP 通信前,不需要在信源机与信宿机之间建立连接。该协议所提供服
务的特点是灵活方便和比较迅速,适用于传送少量零星的报文。

8

4 .应用层
在 TCP/IP 体系结构中没有OSI 的会话层和表示层,TCP/IP 把它都归入了到应用层。
(Telnet) 、文件传输协议(FTP) 、简单邮
所以,应用层包含所有的高层协议,如虚拟终端协议
件传送协议 (SMTP) 和域名服务(DNS)等。

1.5 以太网通信方式
早期以太网采用总线型拓扑结构组网,网络中的主机共享数据通道。以太网解决多台主
机共享信道的方法是载波侦听多路存取 (carrier sense multi access , CSMA) 。

1.5.1 CSMA 数据发送规则
CSMA规定,当主机发送数据时,它首先侦听信道上是否有载波(尽管在采用基带传输
( 没有主机
的总线型局域网上不存在" 载波” ) 。若没有载波,则表明信道上没有数据在传输
使用信道 ) ,主机便将数据发送到信道上。若有载波,主机按以下工作方式操作。
(1) 主机仍然侦听信道直到信道空闲,然后把数据发送出去。这种方式称为 1-持续型
CSMA。
(2) 主机不再侦听信道,而是等待一个随机时间后,再侦听信道。这种方式称为非持续
型CSMA。
(3) 还有一种ρ-持续型CSMA,它应用于划分时隙的信道。在
CSMA中,信道可以被附
( 有的文献称
加上时间属性,使信道的访问在特定的时间间隔内进行。这种时间间隔就是时隙
ρ-持续型
为时间槽、间隙) 。主机在某些特定的时隙使用信道,而在其他时隙等待或侦听。在
CSMA中,如果信道空闲,则侦听的主机以概率
ρ 发送,而以概率1-ρ 把这次发送推迟到下一
个时隙。在信道空闲时,此过程一直重复,直到发送成功或者另外的主机开始发送。如果主机
检测出信道忙,它就等到下一时隙再开始侦听。
可见,CSMA能够做到在信道忙时,不会有其他主机打乱正在进行的发送。由于采用了
信道侦听,因此在一定程度上减少了冲突发生的次数,从而提高了信道的利用率和整个网络的
A 认为信道空闲时,主机
吞吐量。然而,CSMA并不能完全避免冲突,原因很简单,即当主机
B 也可能认为信道空闲,因此,两台主机差不多同时发送数据,导致冲突发生。
CSMA增加了冲突检测功能,使发送方能够尽快地检测出冲突,
为了进一步提高效率,
并停止数据的发送。带冲突检测的CSMA(CSMA with collision detection) 记为CSMA/CD 。
(listen while talking) ,只要检测到冲突,则发
在CSMA/CD 中,发送者要边发送边监听
送者就立即停止发送数据,并发出一个特殊信号,通知其他主机发生了冲突。然后等待一段时
间重新开始。
综上所述,CSMA/CD 的工作流程如图 1-9 所示。

9

图 1-9 CSMA/CD 工作流程
? 做法是这样的:发送者把从信道上收到的信
读者可能会问,发送者如何检测出冲突呢
号的特性,如电压值、脉冲宽度等,与发送的信号的特性作比较,如果一致,则认为无冲突,
否则认为发生了冲突。冲突次数少时,还可以继续发送帧,但在重新发送之前要发送特殊的信
号通知其他机器已经发生了冲突( 强化冲突) 。然后等待一段随机时间再去侦听信道。但是,
当冲突次数超过一个门限值时,就要放弃发送。
CSMA/CD 可以划分时隙,也可以不划分时隙。非时隙的操作不必在时隙的起点进行。
时隙操作要在时隙的起点处进行,所有主机要参考同一个时钟,因此,网络中要进行时间同步。

1.5 快速以太网
1.5.1 快速以太网物理层结构
1 .协调子层
协调子层(reconciliation sublayer, RS) 的作用是在MAC 子层与媒体无关接口之间进行
MAC 子层的串行比特流以4b 并行比特为单位交给媒
数据的串并转换:发送时,协调子层把
体无关接口;接收时,把媒体无关接口的并行比特流转换成串行数据交给 MAC 子层。
2 .媒体无关接口
媒体无关接口(medium independent interface ,MII)使上层与网络介质类型无关,因此
可以连接到不同的介质上。
在快速以太网中,媒体无关接口是个18 针信号接口,信号引脚包括发送、接收、时钟

数据有效、报错、载波( 网络 ) 活动、冲突检测和管理信号。数据经过媒体无关接口的速率是
每个时钟周期 4b 。时钟频率是2.5MHz( 支持l0Mb/s数据率 ) 或 25MHz( 支持100Mb/s 数据
率)。
3 .物理编码子层
物理编码子层(physical coding sublayer, PCS) 的主要功能是把媒体无关接口交下的并
行数据进行编码或把从物理媒体连接子层收到数据解码后交给媒体无关接口。快速以太网的物
理编码子层的编码方案包括以下几种。
(1)4B/5B编码。当通信介质是两对5 类非屏蔽双绞线和光纤时使用该编码。
4B/5B 编码
10

将 4b 并行二进制数据转换成 5b 二进制并行数据,然后交给物理媒体连接子层。
(2)8B/6T编码。当通信介质是4 对 3 类非屏蔽双绞线时使用该编码。
8B/6T 编码将两组
4b 并行二进制数据转换成6b 并行的三进制数据,然后交给物理媒体连接子层,最终在三对
双绞线通道的一对上发送。第 4 对线用于冲突检测。
(3)PAM5×5 脉冲振幅调制二维坐标编码。当通信介质是两对
3 类非屏蔽双绞线时使用
该编码。PAM5×5编码把4 比特并行二进制数先进行扰码,再映射到一对五进制数据,最终由
两对双绞线发送。
在编码的发送过程中,物理编码子层还要进行包定界、载波扩展、错误指示和链路配置
等工作。
除了发送功能,物理编码子层还具备接收、同步、载波侦昕和自动协商功能。这些功能
和千兆以太网和万兆以太网的局域网部分是一致的。
4 .物理媒体连接子层
物理媒体连接(physical medium attachment sublayer , PMAS) 是物理编码子层和物理
介质相关子层间的接口,完成物理编码子层编码的并行输出数据的串行转换,然后将串行数据
交给物理媒体相关子层发送。当物理媒体连接子层收到物理媒体相关子层的串行数据后,将它
ANSI 光
转换成并行数据交给物理编码子层去解码。在千兆以太网中,物理媒体连接子层采用
纤通道 10b 接口 (TBI) 技术实现。
5 .物理媒体相关子层
物理媒体相关子层(physical medium dependent sublayer , PMDS) 是实际进行物理层
( 万兆以太网的收发器在媒体连接
比特流发送和接收的功能实体,对应的硬件模块称为收发器
单元中 ) 。发送时,物理媒体相关子层把物理媒体连接子层的串行比特数据转换成通信媒体使
用的脉冲信号发送给媒体。接收时,把媒体上的信号转换成串行比特数据交给物理媒体连接子
层。物理媒体相关子层是物理层的最低子层。
6 .自动协商
在快速以太网中,设备通过发送" 快速链路组发脉冲" 来表明自己的存在。其他设备通
过接收该信号识别链路伙伴,并选择与其兼容的工作模式,例如数据率、双工方式、最低电缆
AutoNeg在物理编码子层中实现,其基本做法主快速以太网
要求等。在千兆以太网中自动协商
一致。自动协商使得处在不同工作模式的设备能够共处一网。
7 .媒体相关接口
媒体相关接口(medium dependent interface , MDI) 负责将物理媒体相关子层与媒体进
RJ-45 、 BNC 、 T 形接头和主纤的
行连接。媒体相关接口对应的硬件是连接器。如铜材质的
ST/SC连接器。

1.5.2 快速以太网物理层标准
快速以大网的物理层标准如图1-12所示。

11

图 1-12 快速以太网物理层
1 . 100Base-TX(5 类非屏蔽双绞线 )
100Base-TX 使用两对5 类无屏蔽双绞线(UTP) 传输数据,其中一对( 第 1 , 2 号线 )
用于数据发送,另一对 ( 第 3 , 6 号线 ) 用于数据接收 ( 在 10Base-T 中也是这样规定的 ) 。
100Base-TX 使用的编码技术是4B/5B ,在物理编码子层PCS和物理媒体连接子层中做出了规
100Base--TX 物理层从介质无关接口处
范。当数据终端设备(DTE) ,如网卡进行数据发送时,
收到并行的 4b 二进制符号,然后将它转换成5b 并行的二进制符号。4B/5B 编码的数据转换
RFI/EMI效应过大,所以还要对发送编码进
率是125MHz ,这个频率在非屏蔽双绞线上产生的
行扰码平滑处理,然后再进行多电平传输 (MLT-3) 编码,使线路的频率降低到31.25MHz(即
125/4MHz)。
2 .100Base-FX( 光纤 )
100Base-FX 使用两根光纤进行数据传输,其中一根用于数据发送,另一根用于数据接
10OBase-TX 很相似,只是
收。100Base--FX 也使用4B/5B 编码技术,编码和数据发送过程与
125MHz 数据转换频率产生的RFI/EMI效应
不进行扰码和MLT-3编码处理,这是因为光纤不受
的影响。
3 . 100Base-T4(3 类非屏蔽双绞线 )
100Base-T4 使用四对3 类非屏蔽双绞线传输数据,其中三对
( 第 1 , 2/4 , 5/7 , 8
号线 ) 用数据发送,另一对 ( 第 3 , 6 号线 ) 用于在冲突时检测网络活动,接收数据时,第
3 , 6/4 , 5/7 , 8 号线用于接收。100Base-T4 使用8B/6T 编码技术,该编码方式是专门为
在 3 类非屏蔽双绞线上每秒传输100Mb 数据而开发的。当快速以太网网卡( 或中继器) 进行
4b 二进制符号,构成一个字节,然后将
数据发送时,物理层从媒体无关接口读取两个并行的
其转换成 6b 三进制符号,在 3 类非屏蔽双绞线的某一对发送线上进行发送,三对 ( 第
1 , 2/4 , 5/7 , 8 号线 ) 发送线轮流承担编码和发送任务。
4 . 100Base-T2(3 类非屏蔽双绞线 )
100Base-T2 使用两对 3 类双绞线传输数据,两对线都可用于数据的发送和接收 。
100Base-T2 使用 PAM5×5( 脉冲振幅调制) 二维坐标编码技术。在快速以太网网卡
( 或中继
4b 二进制符号,对其进行扰码,
器 ) 进行数据发送时,物理层从媒体无关接口处取得并行的
然后将 4b 扰码转换成一对五进制数。为了能在两对 3 类非屏蔽双绞线上获得 100Mb/s 带宽,
100Base-T2 使用了多电平编码技术、均衡以及噪声消减技术。
100Base-T 标准比较常用,其
l00m
100Base-F
网段长度与l0Base-T一样,也是

一般用于交换机之间的互连链路。

1.5.3 快速以太网中继器
在 IEEE802.3 标准中,中继器设备的标准术语是中继器装置,它包括中继器单元、连接
单元接口和媒体连接单元部件。
快速以太网中继器的基本功能如下。
(l)发送。把从端口收到的数据以标准的信号发送给适当的端口。
(2) 接收。从端口接收标准的信号。
(3) 中继。在没有冲突的情况下,数据经中继器内部在端口间传递。
(4) 冲突检测。侦听端口状态,以检测冲突是否发生。
(5) 信号恢复。把收到的存在幅度失真和时序失真的信号进行再生。
(6) 错误处理。检测和处理节点或链路的不正常工作状态。
(7) 端口隔离。把发生冲突时间过长或冲突次数较多的端口关闭。
(8)MAU 过长发送锁定保护(MJLP) 。 MAU 收发器设置一个MJLP 定时器记录接收时
12

间 ( 在 4~7.5ms 之间 ) ,如果接收时间超时则中断对该数据的中继。
在快速以太网中定义了两类中继器: I 类和Ⅱ类中继器。这两类中继器本质的区别是中
继器延时,即从第一比特到达至第一比特离开的时间。 I 类中继器的延时是 140 比特时间, Ⅱ
类中继器延时是46 比特时间(100Base-X) 或 67 比特时间(l00Base-T4) 。由于延时的不同,
这两类中继器在以太网中配置不同,主要表现在以下几方面。
(1) Ⅱ 类中继器可以级联,即一个
Ⅱ类中继器的普遇端口可以和另一个
Ⅱ类中继器的上行
链路端口 (uplink port) 连接。从而使两个以太网段互连起来。而两个 I 类中继器不能这样做。
(2) 由于Ⅱ类中继器延时要求苛刻,因此,它的端口必须全是 100Base-X 端口或
100Base-T4 端口,换句话说,不同的介质不能连接到同一个
Ⅱ类中继器。而 I 类中继器没有
这个限制。
(3) 由于 I 类中继器允许的延时较大,因此能够支持堆叠。另外,
I 类中继器可以基于
背板实现(chassis--based)。堆叠式集线器的每个端口仍处在同一个冲突域。集线器内部的连接
不涉及物理层,集线器之间中继数据时以数字方式进行,而不经物理层编码解码。基于背板的
集线器实质是模块化的集线器,它由一个背板和多个集线器卡组成。集线器插到背板上的插槽
中。背板插槽对应不同的数据总线,一个总线对应一个背板网段,一个网段对应一个独立的冲
突域。
(4)I 类中继器和Ⅱ类中继器以太网的直径不同。

1.6 VLAN和 WLAN
在前面介绍局域网的分类时指出,按照通信介质的类型可以把局域网分为有线局域网和
无线局域网(wireless LAN , WLAN) 。另外,按照局域网中计算机之间的逻辑分组关系,还
(virtual LAN , VLAN) 。本节就介绍WLAN 和
存在一种与物理局域网相对应的虚拟局域网
VLAN。

1.6.1 虚拟局域网 VLAN
( 主机、网桥/ 交
虚拟局域网是物理局域网虚拟化的结果。虚拟化就是把局域网的成员
)
VLAN。为了讨论上的方
换机 按照一定分组规则划分到不同的集合中,每一个集合就是一个
便,我们把前面介绍的局域网称为物理 LAN 。
VLAN与物理 LAN 之间的关系如图1-13所示。

13

图 1-13 阴影部分是VLAN
图1-13中有 3 个物理 LAN : LAN A 、 LAN B 和 LAN C 。 LAN A 包含 3 台计算
机 A1 、 A2 和 A3 , LAN B 包含 B1 、 B2 和 B3 , LAN C 包含 C1 、 C2 和 C3 。图
中 3 个物理 LAN 的 9 台计算机被划分到3 个VLAN中: VLAN1 、 VLAN2 和 VLAN3 ,而
每个VLAN分别由属于不同物理 LAN 的计算机组成。
VLAN与物理 LAN 的区别如下。
(1) 位于不同物理LAN 中的主机可以属于同一个
VLAN中,而位于同一个物理LAN
的主机可以属于不同的VLAN中。
(2) 同一个VLAN中的不同物理LAN 上的主机可以直接通信,而位于同一物理
LAN
的属于不同VLAN的主机不能直接通信。
1 .为什么要划分VLAN
既然物理 LAN 可以解决计算机互连通信问题,那么为什么还要在物理 LAN 上划分
VLAN呢 ?VLAN 的引入出于以下原因。
(1) 安全管理方面的需要。读者从上面的叙述可以看到,VLAN提供了一种把物理
LAN 中的成员重新进行分组的办法。这样,可以根据管理或安全的需要约束物理
LAN 成员
之间的通信关系,使物理上分布在异地的物理 LAN 成员由于同一个管理目标走到一起。
(2) 节省布线成本的需要。VLAN的实施是通过软件实现的,因此,无需为改动计算机
的逻辑关系而更改网络的布线和拓扑结构。
(3)VLAN 可以限制 LAN 中的广播通信量。VLAN技术能保证只有同一个VLAN中的
VLAN的成员之间的通信必须经过交换机的过滤。而
成员之间的通信才是直接进行的,而不同
且VLAN限制广播的方法是基于桥接方式的,它比基于路由方式的限制广播的方法效率要高。
VLAN技术能够在进行逻辑分组、限制广播和保证效率等要求之间达到较佳的平衡。
2 .VLAN的主要类型
VLAN。但是,得到实际应用的分组规则包括
从概念上讲,可以根据各种分组规则划分
3 个,即基于端口分类、基于 MAC 地址分类和基于IP地址分类。
( 1 )基于端口的VLAN
VLAN称为基于端口的
如果根据 LAN 成员位于的交换机的端口进行分组,这样得到的
VLAN( port based )。如图1-14所示, VLANx 的成员包括端口1 、 2 和 4 , VLANy 的成
员包括3 、 5 、 6 、 7 和 8 ,因此连接在端口1 、 2 、和端口4 上的计算机被分配到VLANx
中,而连接在端口 3 、 5 、 6 、 7 和端口 8 上的计算机被分配到 VLANy 中。

14

图 1-14 基于端口的VLAN
( 2 )基于 MAC 地址的VLAN
VLAN称为基于MAC 地
如果根据计算机网络接口的MAC 地址进行分组,这样得到的
址的VLAN。如图1-15所示,VLANx 的成员包括MAC 地址A 、B 、C 和 E , VLANy 的成
员包括 D 、 F 、 G 和 H 。网络接口卡 MAC 地址是上述 MAC 地址的主机被分配到相应的
VLAN中。

图 1-15 基于 MAC 地址的VLAN
( 3 )基于IP地址的VLAN
IP地址进行分组,这样得到的
VLAN称为基于IP地
如果根据与计算机网络接口卡关联的
址 的 VLAN 。 如 图 1-16 所 示 , VLANx 的 成 员 包 括 10.1.1.1 、 10.1.1.2 、 20.1.1.1 和
20.1.1.2 , VLANy 的成员包括30.1.1.1 、 30.1.1.2 、 30.1.1.3 和 30.1.1.4 。使用这些IP地址
的主机被分配到相应的VLAN。

15

图 1-16 基于IP地址的VLAN

1.6.2 无线局域网 WLAN
顾名思义,无线局域网就是不使用双绞线、同轴电缆、光纤等有线通信介质的局域网。
WLAN
由于不采用有线通信介质,因此,WLAN 需要使用微波、红外线等无线传输技术。
具有有线局域网不具备的优点,例如,它可以解决有线局域网在某些场所布线的难题。随着
WLAN 相关技术的发展, WLAN 的应用越来越普及。
1 . WLAN 组网方式
WLAN 包括两种组网方式,即分布式方式和集中控制方式。
( 1 )分布式方式
在分布式方式中,主机可以在无线通信覆盖范围内移动并自动建立点到点的连接。主机
1-17(a) 所
之间通过争用信道直接进行数据通信,而无需其他设备参与控制。分布式方式如图
示。
( 2 )集中控制方式
在集中控制方式中,所有元线节点及有线局域网要与一个称为接入点
(AccessPoint ,AP) 的设备连接。接入点设备的基本作用有以下 3 个:
1)一是负责无线通信管理工作,例如给无线节点分配无线信道的使用权;
2)二是在实现无线通信与有线通信的转换;
3)三是起到与有线局域网网桥和路由器相似的作用。
集中控制方式如图 1-17(b) 所示。

16

图 1-17WLAN 的两种基本组网方式

1.7 实现局域网互连的协议
网际层要能够把不同的局域网互连起来使它们能够互相通信。为了达到这个目的,网际层
要具备数据封装/ 拆装的功能,以便实现不同局域网帧之间的格式转换。另外,网际层还要具
有路由选择、地址解析和拥塞控制等功能。这些功能由网际层协议实现。除网际层协议之外,
TCP/IP 协议栈中
局域网互连还涉及数据链路层协议、传输层协议和路由选择协议。本节介绍
的数据链路层协议、网际层协议、传输层协议和路由协议。

1.7.1 数据链路层协议
本小节介绍在网络互连中应用广泛的数据链路层协议一一点到点协议 (Point to Point
protocol , PPP) 。
1 .PPP协议的作用
PPP 协议的作用是在两个节点设备的数据链路层实体之间传送网络层 PDU( 例如IP数据
PPP 应用场合是调制解调器通过
报 ) 。这两个节点设备之间必须没有其他的中间设备。常见的
ISP 网络,即用户计算机与ISP 服务器连接。另一个PPP 应
拨号或专线方式将用户计算机接人
用领域是局域网之间的互连。
2 .PPP协议的组成部分
PPP 的 PDU 要能够封装多种网络层协议
由于PPP 协议面向多种网络层协议,换句话说,
的 PDU ,因此,PPP 定义了封装了多种网络层PDU 的规范。另外,还制定了一组用于建立

(network control protocol, NCP 〉。典型的 NCP 包括
配置不同网络层协议的网络控制协议
IP 协 议 的 控 制 协 议 IPCP 、 IPX 协 议 的 控 制 协 议 IPXCP 。 由 于 PPP 要 在 多 种 接 入 网
(PSTN/ISDN/ADSL/DDN 〉数据链路上运行,因此,制定了用于建立、配置测试和撤销数据
链路连接的链路控制协议 (link control protocol , LCP) 。综上所述,PPP 包括了封装规范、
NCP 和LCP三部分。

1.7.2 网际层协议
1 .IP地址
IP地址是IP协议规定的地址,它用于标识参与
IP数据报通信的协议实体,例如主机和网络
设备的网络接口。
在很多文献中,IP地址往往笼统地被认为是主机的标识。实际上,通常用域名作为主机的
17

IP地址,而
标识。说IP地址标识的是网络接口也不是很准确,因为一个网络接口可以具有多个
且这些IP地址都与网络接口的MAC 地址绑定(binding),形成多对一的映射关系。这样,当运
行在一台主机上的多个高层应用( 例如WWW、FTP、E-mail服务器 ) 要使用不同的IP地址时,
IP地址与 MAC 地址多对一的映射关系可以保证封装多个高层应用
PDU 的IP数据报可以通过
一个网络接口发送。
( 1 )IP地址的结构和类型
IP地址是一个 32 位无符号二进制数。IP地址是具有层次结构的地址,它由二级结构组成

(host-id) ,
第一级结构是网络号(net-id) ,它是网络在互联网中的编号。第二级结构是主机号
它是主机在网络中的编号。
IP地址的类型。IP地址的结构和类型如
另外,网络号的左边若干位是特征位,它们标识了
图1-18所示。

图 1-18 IP 地址结构和类型
注意:虽然IP地址的第二级结构是主机号,但并非说IP地址只能用来标识主机。实际上,
IP地址也可以标识其他设备,如路由器、交换机。
IP地址的两级结构便于IP协议进行路由选择一一IP协议在进行路由选择时,路由器首先找
到目的网络,然后再找到目的主机。
( 2 )IP子网和子网掩码(subnet mask)
如果主机号(host-id) 中靠近网络号(net-id) 的若干比特不用于主机编号,而是和网络号一
IP网络中包含IP子网,这些IP子网的网络号是相同的,区
起用于网络编号,那么,我们就说该
别它们的是子网号,子网号由原来属于主机号的比特编码,如图 1-19(a) 所示。
为什么要划分子网呢? 简单来说,划分子网是想要在一个大网络中进一步分割出若干个小
的网络,以便把主机划分到不同的子网中,从而便于管理。例如,在校园的一栋楼中有数学系

IP地址的网络号是相同的,为了便于管理,可以把数学系、物
物理系和力学系,这栋楼内主机
理系和力学系的主机划分到三个子网中,每个系对应一个子网。
? 如果知道了该地址对应的子网掩码,
对于一个IP地址,如何知道它的网络号、主机号呢
就可以简单计算出网络号和主机号。首先介绍子网掩码是如何定义的,了解它的定义之后,自
然就知道如何计算网络号和主机号了。
如图1-19所示,子网掩码由一连串的"1" 和一连串的"0" 组成。 "1" 的个数等于网络号和
子网号比特数之和, "0" 的个数等于主机号比特数。

18

图 1-19 子网掩码的意义
举例来说,假设一个B 类IP地址 140.50.0.0 ,其主机号部分的2 个比特用于子网号编码,
则 可 以 编 码 22=4 个 子 网 。 这 些 子 网 中 的 主 机 的 网 络 号 分 别 是
140.50.1.0 、 140.50.2.0 、 140.50.3.0 和 140.50.4.0 。
IP地址 140.50.1.l 对
下面,举例说明怎样由IP地址和子网掩码计算网络号和主机号。假设
B 类地址。又根据子网
应的子网掩码是255.255.0.0 ,根据IP地址结构的定义可知,该地址是
掩码的定义知道该地址不包含子网,因此,该地址的网络号是 140.50.0.0 ,主机号是
0000000100000001(对应的十进制数是257),即IP地址是140.50.1.1 的主机是网络140.50.0.0
中的第 257 号主机。
( 3 )IP地址的分配
IP地址不能被多个主机同时使用,所以,
IP地址要统一进行管理。
由于同一个网络中的一个
IP地址。网络管理机构在分配地址时要遵循
连接到网络的主机用户要向网络管理机构申请一个
一定的原则,其中重要一点是物理位置相近并且性质相同的主机要具有相同的 net-id 和
Subnet-id ,即把它们划分到一个IP网络 ( 或IP子网 ) 中。这样做的好处包括两个方面,一是
便于管理;二是可以压缩路由表的大小,便于路由选择,因为这些主机放到一个网络中,只需
在路由表中为该网络指明一条路由,即可到达多台主机。
IP地址的管理和分配是分级实施的,上级管理机构负责分配网络号,下级管理机构负责分
配主机号。
2 .IP路由选择
IP地址
主机在发送IP数据报之前要在IP数据报的源地址字段和目的地址字段中填入自己的
IP地址,而IP数据报在发送过程中要经过的路由器的地址并不在
IP数据报中出现
和目的主机的

IP数据报的路由选择功能。此类协议实体包括两部分,一部分
因此,要有相应的协议实体完成
IP协议,其作用是根据
是路由选择协议,其作用是生成路由选择所依据的路由表;另一部分是
路由表执行路由选择,确定IP数据报应该发往哪个路由器。
路由器对IP数据报的路由选择处理分为 4 种情况。
(1) 直接路由选择。如果路由表项中目的地址字段的值是本网络的网络号,则分组直接交
付给目的主机,而不再发往其他路由器 ( 下一跳地址为空 ) ,称为直接路由选择 (direct
routing) 。
(2) 特定主机路由选择。如果路由表中目的地址是主机的
IP地址,即该表项给一台主机指
定了一条路由,称为特定主机路由选择 (host-specific routing) 。
(3) 特定网络路由选择。路由表中目的地址是一个网络地址,而不是这个网络中每个主机
的地址,即该表项为一组主机指定了一条路由,称为特定网络路由选择 (network-specific
routing) 。
(4) 默认路由选择:如果只能通过某个路由器才能到达互联网的一部分网络,而另一部分
中的网络都已经指定了路由,那么该路由器就只需指明到那部分网络的默认路由 (default
route) 。在路由表中,目的地址为0.0.0.0的路由代表默认路由。
4种
路由表就由上述4 种路由选择表项组成。这4 种表项的区别在目的网络地址字段。这
表项在路由表中是按顺序排列的,排在最前面的是直接路由选择,接下来是特定主机路由选择

19

IP数据报到来时,IP路由选择模块按同样的顺序
特定网络路由选择,最后是默认路由选择。当
查表判断IP数据报需要做哪种路由选择。
IP协议在进行路由选择时,首先要取出
IP数据报的目的地址,然后查阅路由表以确定下一
跳路由器。在查表的过程中要按照先后顺序与每个表项进行比较,如果没有匹配表项,则宣告
路由选择错误。

1.7.3 传输层协议
1 . UDP 协议
( 1 ) UDP 数据报结构
UDP 的 PDU 称为用户数据报(user datagram) 。 UDP 数据报由两部分组成,即头部和
数据区 ( 这也是大部分 TCP/IP PDU 的标准格式 ) 。 UDP 数据报的结构如图1-20所示。

图 1-20 UDP 数据报格式
UDP 数据报中字段的含义如下。
1)源端口。发送端 UDP 端口,当不需要返回数据时,该字段置 0 。
2)目的端口。接收端 UDP 端口。
3)总长度。整个 UDP 数据报的长度,单位是字节. 其最小值为8 ,即头部的长度,此时
UDP 数据报不包含数据字段。
4)校验和。该字段用于检验整个数据报中是否存在差错。校验和的计算方法与
IP 数据报
校验和计算方法一样。
5)数据。 UDP 协议运输的高层协议的数据。
6)填充。如果数据的长度不是 16b 的整数倍,则要在有效数据后填 0 补齐。
( 2 ) UDP 的功能特点
UDP 提供的进程通信服务是无连接的。UDP 发送出的每一个PDU 都是一个独立的数
据报,数据报不进行编号。而且不像后面要介绍的TCP 那样为进程通信建立连接。因此,
UDP 不能发送数据流,也不能把数据流分割成许多相互关联的片段再发送。因此,只有那些
长度小到可以装入一个数据报中的协议数据才能被 UDP 发送。
由于 UDP 没有流量控制功能和差错反馈机制,因此它的应用范围受到限制,一般地,
UDP 用于运输自身具有较强控制功能的协议,例如
TFTP(tiny file transfer protocol) 的数据,
或是可靠性要求不高的协议,例如 RIP(routing information protocol) 的数据。
2 .TCP协议
TCP用于运输控制功能要求高的数据,这一点可以从它的名字中看出。
TCP的控制功能包
括流量控制和差错控制,它提供流量控制的办法是滑动窗口,它提供差错控制的办法有确认、
TCP报文段中对应的字段实现. 另外,更重要的是TCP能够为进
超时和重传机制,这些功能由
程通信建立连接,使通信双方的数据像在一个数字管道中传输一样。
TCP可以发送数据流。TCP把数据流 ( 字节流 ) 分割成大小适度的数据单元 ( 称为报文
TCP检查到来的报文段,当所有单元都到来且正确无
段 ) ,给它们编号后逐个发送。接收方的
误后,才将它们作为一个流交付给接收进程。
( 1 )TCP报文段结构
20

TCP报文段包括头部和数据两大部分,其结构如图1-21所示。

图 1-21 TCP 报文段格式
( 2 )TCP连接
由于TCP用于运输数据流,所以它必须能够保证把数据按顺序地发送,同样地,接收方把
? 前面介绍TCP报文
数据按相同的顺序交给接收进程。那么,怎样才能保证数据按顺序收发呢
段结构时,已经讲到TCP通过给数据流中的字节编号的办法来保证数据收发的顺序性。但是仅
有编号是不够的,因为其他进程的数据碰巧也有相同的编号。因此,需要把属于同一数据流的
TCP报文段沿着同一个" 管道 " 运输给接收方。这个管道起始于发送方的传输层,终止于接收
方的传输层,它在数据流发送之前就要建立好,当数据流发送完毕后再撤销。这个过程就像人
打电话的过程一样。TCP连接就是对这个管道的称谓。
TCP连接需要使用一定的系统资源,如缓冲区、计时器。实际上,这些资源构成了端口的
实体,端口号就是对它们标识。属于某个连接的数据就使用系统分配给该连接的资源。当数据
发送完毕之后,系统就回收这些资源,连接就释放了。
TCP连接是全双工的,即源端口和目的端口都具有发送缓冲区和接收缓冲区,通信双方能
够同时发送和接收TCP报文段。那么怎样建立TCP连接呢 ?TCP 连接建立的过程就是双方通信
的初始化过程。这个过程由三向握手法完成,其步骤如下。
1)发送方TCP发送第一个报文段( 称为 SYN 报文段 ) 。该报文段要包含源端口号、目的
端口号和初始序号。
TCP所服务的高层客户所要连接的服务器。初始序号定义
注意:目的端口号指明了发送方
TCP报文段的起点。此外,如果发送方需要,还可以
了TCP报文段序号的初始值,相当于后续
SYN 报文中
在 SYN 报文段的选项字段中定义最大报文段长度、窗口扩大系数等参数。但该
不包含确认号。
2)接收方TCP收到 SYN 报文后,向发送方TCP发送SYN+ACK报文段。该报文段用于确
认 SYN 报文,同时把接收方使用的参数通知发送方,如窗口扩大系数或最大报文段长度。
注意:SYN+ACK报文中的确认号 = 发送方初始序号 +1 。
3) 发送方 TCP 收到 SYN+ACK 报文段后向接收方 TCP 发送 ACK 报文段,用于对
SYN+ACK报文进行确认。
注意:在该 ACK 报文段中,确认号= 接收方初始序号+1 ,而且窗口大小必须被定义。
另外,在该 ACK 报文中可以携带数据。
上述三向握手过程如图1-22所示。

21

图 1-22 三向握手法
读者可以看到,在上述连接建立过程中,通信双方都宣布了自己或希望对方使用和具备的
资源参数。随后的数据交换就以这些资源为支撑。当通信结束时,与该连接相关的资源要被系
统回收。通信资源释放的过程称为连接终止。
A- 》B 的连接被终止时,B 还可以继续向A 发
注意:通信双方都可以终止连接,而且当
送数据。
终止连接的过程由四向握手法完成,其步骤如下。
(l)发送方TCP发送FIN 报文段。
(2) 接收方TCP收到FIN 报文段后发送 ACK 报文段,其确认号是FIN 报文段序号 +1 。
(3) 接收方TCP继续向发送方发送剩余的数据直至发送完毕,然后发送FIN 报文段。
(4) 发送方发送 ACK 报文段,证实从接收方收到了
FIN 报文段。 ACK 报文段的确认号
=FIN 报文段序号 +1 。
上述过程如图1-23所示。

图 1-23 四向握手法

22

第 2 章 局域网测试
当一个局域网连接配置好后,还应该对局域网的连接情况进行测试和判断。通过测试,了
解局域网络的连接状况,并通过测试,判断局域网连接的故障点,采取相应措施进行故障排除

使局域网处于稳定的工作状态。下面分别通过测试线缆连接参数和软件测试局域网反馈数值来
判断局域连接性能。

2.1 通信介质测试
2.1.1 双绞线测试
双绞线(TP :Twisted Pair wire) 是综合布线工程中最常用的一种传输介质。双绞线由两
根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号
干扰的程度,每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消。双绞线一般由
两根 22 ~ 26 号绝缘铜导线相互缠绕而成。如果把一对或多对双绞线放在一个绝缘套管中便
成了双绞线电缆。在双绞线电缆( 也称双扭线电缆) 内,不同线对具有不同的扭绞长度,一般
12.7cm
地说,扭绞长度在38.1cm 至 14cm 内,按逆时针方向扭绞,相临线对的扭绞长度在
以上。与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定
(UTP :Unshielded Twisted Pair)
限制,但价格较为低廉。目前,双绞线可分为非屏蔽双绞线
和屏蔽双绞线 (STP : Shielded Twisted Pair) 。
  虽然双绞线主要是用来传输模拟声音信息的,但同样适用于数字信号的传输,特别适用于
较短距离的信息传输。在传输期间,信号的衰减比较大,并且产生波形畸变。采用双绞线的局
域网的带宽取决于所用导线的质量、长度及传输技术。只要精心选择和安装双绞线,就可以在
有限距离内达到每秒几百万位的可靠传输率。当距离很短,并且采用特殊的电子传输技术时,
传输率可达100Mbps~155Mbps。由于利用双绞线传输信息时要向周围幅射,信息很容易被窃
听,因此要花费额外的代价加以屏蔽。屏蔽双绞线电缆的外层由铝泊包裹,以减小幅射,但并
不能完全消除辐射。屏蔽双绞线价格相对较高,安装时要比非屏蔽双绞线电缆困难。类似于同
轴电缆,它必须配有支持屏蔽功能的特殊连结器和相应的安装技术。但它有较高的传输速率
100 米内可达到155Mbps。
  另外,非屏蔽双绞线电缆具有以下优点:

无屏蔽外套,直径小,节省所占用的空间

重量轻、易弯曲、易安装

将串扰减至最小或加以消除

具有阻燃性

具有独立性和灵活性,适用于结构化综合布线。
1 .规格型号
  EIA/TIA 为双绞线电缆定义了五种不同质量的型号。计算机网络综合布线使用第三、四、
五类。这五种型号如下:
第一类:主要用于传输语音,不用于数据传输。
第二类:传输频率为1MHz,用于语音传输和最高传输速率4Mbps 的数据传输,常见
于使用 4Mbps 规范令牌传递协议的旧的令牌网。

23

第三类:指目前在 ANSI 和 EIA/TIA568 标准中指定的电缆。该电缆的传输频率为
16MHz ,用于语音传输及最高传输速率为 10Mbps 的数据传输,主要用于10base-T 。
第四类:该类电缆的传输频率为
20MHz ,用于语音传输和最高传输速率16Mbps 的
数据传输,主要用于基于令牌的局域网和 10base-T/100base-T 。
第五类:该类电缆增加了绕线密度,外套一种高质量的绝缘材料,传输频率为
100MHz ,用于语音传输和最高传输速率为
100Mbps的数据传输,主要用于100base-T
和10base-T 网络,这是最常用的以太网电缆。
2 .性能指标
  对于双绞线,用户最关心的是表征其性能的几个指标。这些指标包括衰减、近端串扰、阻
抗特性、分布电容、直流电阻等。
( 1 )衰减
衰减 (Attenuation) 是沿链路的信号损失度量。衰减与线缆的长度有关系,随着长度
的增加,信号衰减也随之增加。衰减用
"db" 作单位,表示源传送端信号到接收端信号强度的
比率。由于衰减随频率而变化,因此,应测量在应用范围内的全部频率上的衰减。
( 2 )近端串扰
串扰分近端串扰和远端串扰 (FEXT) ,测试仪主要是测量NEXT ,由于存在线路损耗,因此
FEXT 的量值的影响较小。近端串扰
(NEXT) 损耗是测量一条UTP 链路中从一对线到另一对
线的信号耦合。对于UTP 链路,NEXT是一个关键的性能指标,也是最难精确测量的一个指
标。随着信号频率的增加,其测量难度将加大。
NEXT并不表示在近端点所产生的串扰值,它
只是表示在近端点所测量到的串扰值。这个量值会随电缆长度不同而变,电缆越长,其值变得
越小。同时发送端的信号也会衰减,对其它线对的串扰也相对变小。实验证明,只有在
40 米
内测量得到的NEXT是较真实的。如果另一端是远于40 米的信息插座,那么它会产生一定程
度的串扰,但测试仪可能无法测量到这个串扰值。因此,最好在两个端点都进行
NEXT测量。
现在的测试仪都配有相应设备,使得在链路一端就能测量出两端的NEXT 值。
( 3 )直流电阻
直流环路电阻会消耗一部分信号,并将其转变成热量。它是指一对导线电阻的和,
11801 规格的双绞线的直流电阻不得大于19.2欧姆。每对间的差异不能太大 ( 小于 0.1 欧
姆 ) ,否则表示接触不良,必须检查连接点。
( 4 )特性阻抗
1 ~100MHz 的电感阻抗及电容阻抗
与环路直流电阻不同,特性阻抗包括电阻及频率为

它与一对电线之间的距离及绝缘体的电气性能有关。各种电缆有不同的特性阻抗,而双绞线电
缆则有 100 欧姆 、 120 欧姆及 150 欧姆几种。
( 5 )衰减串扰比(ACR)
ACR
在某些频率范围,串扰与衰减量的比例关系是反映电缆性能的另一个重要参数。
NEXT量值的差值计
有时也以信噪比(SNR : Signal-Notice ratio) 表示,它由最差的衰减量与
算。 ACR 值较大,表示抗干扰的能力更强。一般系统要求至少大于 10 分贝。
( 6 )电缆特性
SNR 是在考虑到干扰信号的情况下,对数
通信信道的品质是由它的电缆特性描述的。
据信号强度的一个度量。如果SNR 过低,将导致数据信号在被接收时,接收器不能分辨数据
信号和噪音信号,最终引起数据错误。因此,为了将数据错误限制在一定范围内,必须定义一
个最小的可接收的 SNR 。

2.1.2 光缆测试
对所有光纤通道来说,不管工作波长或光纤纤芯大小,光的反射损耗是一个重要指标。
24

光纤最小模态带宽指标应能支持带宽高速应用,一些低带宽的光纤通道通常不适合高速应用,
它可以用在短距离的一些特殊系统上。多模光纤的带宽用频率来表示,光纤的带宽通常是不测
量的。然而,其它如光纤损耗和反射损耗测试是需要的。
1 .光纤衰减
光纤通道可允许的最大衰减,对62.5/125μm 光纤和8/125μm 光纤不应超过11dB ,对
其它类型的光纤可能有更严格的限制。
2 .光纤波长窗口参数
( 1 )多模光纤:芯线标称直径为62.5/125um 或 50/125um ;并符合《通信用多模光
纤系列》 GB/T 12357 规定的 Alb 和 Ala 光纤。
850nm 波 长 时 最 大 衰 减 为 3.5dB/km ( 20℃ ) ; 最 小 模 式 带 宽 为
200MHzkm ( 20℃ );
1300nm 波 长 时 最 大 衰 减 为 1 dB/km ( 20℃ ) ; 最 小 模 式 带 宽 为
500MHzkm ( 20℃ );
( 2 )单模光纤:芯线应符合《通信用单模光纤系列》GB/T 9771 标准的 B1.1 类光纤。
1310nm 波长和 1550nm 波长时最大衰减为 1 dB/km ;截止波长应小于 1280nm 。
1310nm 时色散应≤ 6PS/KM·nm ; 1550nm 时色散应≤ 20PS/KM·nm。
( 3 )光纤连接硬件:最大衰减0.5 dB;最小回波损耗:多模 20 dB ,单模 26 dB 。

3 .反射损耗
光纤传输系统中的反射是由多种因素造成的,其中包括由光纤连接器和光纤拼接等
引起的反射。对于单模光纤来说,反射损耗尤其重要,因为光源的性能会受反射光的影响。
综合布线光纤通道任一接口的光纤反射损耗,应大于下表一所列的要求值。
表一 最小反射损耗限值

2.2 软件测试
2.2.1 Windows 网络命令行程序
  这部分包括:
 使用 ipconfig /all 查看配置
 使用 ipconfig /renew 刷新配置
 使用 Ping 测试连接
 使用 Arp 解决硬件地址问题
 使用 nbtstat 解决 NetBIOS 名称问题
 使用 netstat 显示连接统计
 使用 tracert 跟踪网络连接
 使用 pathping 测试路由器

25

1 .使用

ipconfig /all 查看配置

发现和解决 TCP/IP 网络问题时,先检查出现问题的计算机上的 TCP/IP 配置。可
以使用 ipconfig 命令获得主机配置信息,包括 IP 地址、子网掩码和默认网关。
  注意:对于 Windows 95 和 Windows 98 的客户机,请使用 winipcfg 命令而不是
ipconfig 命令。
使用带 /all 选项的 ipconfig 命令时,将给出所有接口的详细配置报告,包括任何已
配置的串行端口。
使用 ipconfig /all ,可以将命令输出重定向到某个文件,并将输出粘贴到其他文档中

也可以用该输出确认网络上每台计算机的 TCP/IP 配置,或者进一步调查 TCP/IP 网络问
题。
  例如,如果计算机配置的 IP 地址与现有的 IP 地址重复,则子网掩码显示为
0.0.0.0 。
  下面的范例是 ipconfig /all 命令输出,该计算机配置成使用 DHCP 服务器动态配置
TCP/IP ,并使用WINS 和 DNS 服务器解析名称。
  Windows 2000 IP Configuration
   Node Type.. . . . . . . . : Hybrid
   IP Routing Enabled.. . . . : No
   WINS Proxy Enabled.. . . . : No
  Ethernet adapter Local Area Connection:
   Host Name.. . . . . . . . : corp1.microsoft.com
   DNS Servers . . . . . . . : 10.1.0.200
   Description. . . . . . . : 3Com 3C90x Ethernet Adapter
  Physical Address. . . . . : 00-60-08-3E-46-07
   DHCP Enabled.. . . . . . . : Yes
  Autoconfiguration Enabled. : Yes
   IP Address. . . . . . . . . : 192.168.0.112
  Subnet Mask. . . . . . . . : 255.255.0.0
   Default Gateway. . . . . . : 192.168.0.1
  DHCP Server. . . . . . . . : 10.1.0.50
   Primary WINS Server. . . . : 10.1.0.101
  Secondary WINS Server. . . : 10.1.0.102
   Lease Obtained.. . . . . . : Wednesday , September 02 , 1998 10 : 32 :13 AM
   Lease Expires.. . . . . . : Friday , September 18 , 1998 10 : 32 : 13 AM
如果 TCP/IP 配置没有问题,下一步测试能够连接到 TCP/IP 网络上的其他主机。
2 .使用

ipconfig /renew 刷新配置

  解决 TCP/IP 网络问题时,先检查遇到问题的计算机上的 TCP/IP 配置。如果计算机
启用 DHCP 并使用 DHCP 服务器获得配置,请使用 ipconfig /renew 命令开始刷新租
约。
  使用 ipconfig /renew 时,使用 DHCP 的计算机上的所有网卡(除了那些手动配置的
适配器)都尽量连接到 DHCP 服务器,更新现有配置或者获得新配置。
  也可以使用带 /release 选项的 ipconfig 命令立即释放主机的当前 DHCP 配置。有
26

关 DHCP 和租用过程的详细信息,请参阅客户机如何获得配置。
  注意:对于启用 DHCP 的 Windows 95 和 Windows 98 客户,请使用 winipcfg
命令的 release 和 renew 选项,而不是 ipconfig /release 和 ipconfig /renew 命令,手
动释放或更新客户的 IP 配置租约。
3 .使用

Ping 测试连接

   Ping 命令有助于验证 IP 级的连通性。发现和解决问题时,可以使用 Ping 向目标
主机名或 IP 地址发送 ICMP 回应请求。需要验证主机能否连接到 TCP/IP 网络和网络
资源时,请使用 Ping 。也可以使用 Ping 隔离网络硬件问题和不兼容配置。
  通常最好先用 Ping 命令验证本地计算机和网络主机之间的路由是否存在,以及要连接
的网络主机的 IP 地址。 Ping 目标主机的 IP 地址看它是否响应,如下:
   ping IP_address
  使用 Ping 时应该执行以下步骤:
   Ping 环回地址验证是否在本地计算机上安装 TCP/IP 以及配置是否正确。
   ping 127.0.0.1
   Ping 本地计算机的 IP 地址验证是否正确地添加到网络。
   ping IP_address_of_local_host
   Ping 默认网关的 IP 地址验证默认网关是否运行以及能否与本地网络上的本地主机通
讯。
  ping IP_address_of_default_gateway
   Ping 远程主机的 IP 地址验证能否通过路由器通讯。
   ping IP_address_of_remote_host
   Ping 命令用 Windows 套接字样式的名称解析将计算机名解析成 IP 地址,所以如
果用地址成功,但是用名称 Ping 失败,则问题出在地址或名称解析上,而不是网络连通性
的问题。详细信息,请参阅使用 Arp 解决硬件地址问题。
  如果在任何点上都无法成功地使用 Ping ,请确认:
  安装和配置 TCP/IP 之后重新启动计算机。
  “ Internet 协议 (TCP/IP) 属性”对话框“常规”选项卡上的本地计算机的IP 地址有效
而且正确。
  启用 IP 路由,并且路由器之间的链路是可用的。
  您可以使用 Ping 命令的不同选项来指定要使用的数据包大小、要发送多少数据包、是
否记录用过的路由、要使用的生存时间 (TTL) 值以及是否设置“不分段”标志。可以键入
ping -? 查看这些选项。
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count]
<-j computer-list] | [-k computer-list> [-w timeout] destination-list
Options :
-t Ping the specified host until stopped.To see statistics and continue type Control-Break;To stop - type Control-C.
不停的 ping 地方主机,直到你按下Control-C 。
此功能没有什么特别的技巧,不过可以配合其他参数使用,将在下面提到。
-a Resolve addresses to hostnames.
解析计算机 NetBios 名。
示例:C :\ >ping -a 192.168.1.21
Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data:
Reply from 192.168.1.21 : bytes=32 time<10ms TTL=254

27

Reply from 192.168.1.21 : bytes=32 time<10ms TTL=254
Reply from 192.168.1.21 : bytes=32 time<10ms TTL=254
Reply from 192.168.1.21 : bytes=32 time<10ms TTL=254
Ping statistics for 192.168.1.21 :
Packets :
Sent = 4 ,
Received = 4 ,
Lost = 0 (0%
loss) , Approximate round trip times in milli-seconds :
Minimum = 0ms , Maximum = 0ms , Average = 0ms
从 上 面 就 可 以 知 道 IP 为 192.168.1.21 的 计 算 机 NetBios 名 为
iceblood.yofor.com。
-n count Number of echo requests to send.
发送count指定的 Echo 数据包数。
在默认情况下,一般都只发送四个数据包,通过这个命令可以自己定义发送的个数,对
衡量网络速度很有帮助,比如我想测试发送
50 个数据包的返回的平均时间为多少,最快时间
为多少,最慢时间为多少就可以通过以下获知:
C :\ >ping -n 50 202.103.96.68
Pinging 202.103.96.68 with 32 bytes of data :
Reply from 202.103.96.68 : bytes=32 time=50ms TTL=241
Reply from 202.103.96.68 : bytes=32 time=50ms TTL=241
Reply from 202.103.96.68 : bytes=32 time=50ms TTL=241
Request timed out.
………………
Reply from 202.103.96.68 : bytes=32 time=50ms TTL=241
Reply from 202.103.96.68 : bytes=32 time=50ms TTL=241
Ping statistics for 202.103.96.68 :
Packets :
Sent = 50 ,
Received = 48 ,
Lost = 2 (4%
loss) , Approximate round trip times in milli-seconds :
Minimum = 40ms , Maximum = 51ms , Average = 46ms
从以上我就可以知道在给202.103.96.68 发送 50 个数据包的过程当中,返回了48
个,其中有两个由于未知原因丢失,这 48 个数据包当中返回速度最快为40ms,最慢为
51ms,平均速度为46ms 。
-l size Send buffer size.
定义 echo 数据包大小。
在默认的情况下windows 的 ping 发送的数据包大小为32byt ,我们也可以自己定
义它的大小,但有一个大小的限制,就是最大只能发送
65500byt ,也许有人会问为什么要
限制到 65500byt ,因为Windows 系列的系统都有一个安全漏洞(也许还包括其他系统)
就是当向对方一次发送的数据包大于或等于
65532 时,对方就很有可能挡机,所以微软公司
为了解决这一安全漏洞于是限制了ping 的数据包大小。虽然微软公司已经做了此限制,但这
个参数配合其他参数以后危害依然非常强大,比如我们就可以通过配合
-t 参数来实现一个带有
攻击性的命令:(以下介绍带有危险性,仅用于试验,请勿轻易施于别人机器上,否则后果自
负)
C :\>ping -l 65500 -t 192.168.1.21
Pinging 192.168.1.21 with 65500 bytes of data :
Reply from 192.168.1.21 : bytes=65500 time<10ms TTL=254
Reply from 192.168.1.21 : bytes=65500 time<10ms TTL=254
………………
28

这样它就会不停的向192.168.1.21 计算机发送大小为65500byt 的数据包,如果
你只有一台计算机也许没有什么效果,但如果有很多计算机那么就可以使对方完全瘫痪,我曾
经就做过这样的试验,当我同时使用
10 台以上计算机ping 一台 Win2000Pro 系统的计算
机时,不到5 分钟对方的网络就已经完全瘫痪,网络严重堵塞,
HTTP 和FTP服务完全停止,
由此可见威力非同小可。
-f Set Don't Fragment flag in packet.
在数据包中发送“不要分段”标志。
在一般你所发送的数据包都会通过路由分段再发送给对方,加上此参数以后路由就不会
再分段处理。
-i TTL Time To Live.
指定TTL 值在对方的系统里停留的时间。
此参数同样是帮助你检查网络运转情况的。
-v TOS Type Of Service.
将“服务类型”字段设置为 tos 指定的值。
-r count Record route for count hops.
在“记录路由”字段中记录传出和返回数据包的路由。
在一般情况下你发送的数据包是通过一个个路由才到达对方的,但到底是经过了哪些路
由呢?通过此参数就可以设定你想探测经过的路由的个数,不过限制在了
9 个,也就是说你只
能跟踪到9 个路由,如果想探测更多,可以通过其他命令实现,我将在以后的文章中给大家讲
解。以下为示例:
C :\>ping -n 1 -r 9 202.96.105.101 (发送一个数据包,最多记录 9 个路由)
Pinging 202.96.105.101 with 32 bytes of data :
Reply from 202.96.105.101 : bytes=32 time=10ms TTL=249
Route : 202.107.208.187 ->
202.107.210.214 ->
61.153.112.70 ->
61.153.112.89 ->
202.96.105.149 ->
202.96.105.97 ->
202.96.105.101 ->
202.96.105.150 ->
61.153.112.90
Ping statistics for 202.96.105.101 :
Packets: Sent = 1 , Received = 1 , Lost = 0 (0% loss) ,
Approximate round trip times in milli-seconds :
Minimum = 10ms , Maximum = 10ms , Average = 10ms
从 上 面 我 就 可 以 知 道 从 我 的 计 算 机 到 202.96.105.101 一 共 通 过 了
202.107.208.187
, 202.107.210.214

61.153.112.70

61.153.112.89 , 202.96.105.149 , 202.96.105.97 这几个路由。
-s count Timestamp for count hops.
指定 count 指定的跃点数的时间戳。
此参数和-r差不多,只是这个参数不记录数据包返回所经过的路由,最多也只记录
4 个。
-j host-list Loose source route along host-list.
利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分
29

隔(路由稀疏源) IP 允许的最大数量为 9 。
-k host-list Strict source route along host-list.
利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分
隔(路由严格源) IP 允许的最大数量为 9 。
-w timeout Timeout in milliseconds to wait for each reply.
指定超时间隔,单位为毫秒。
此参数没有什么其他技巧。
ping 命令的其他技巧:在一般情况下还可以通过
ping 对方让对方返回给你的TTL值
大小,粗略的判断目标主机的系统类型是
Windows 系列还是UNIX/Linux系列,一般情况下
Windows 系列的系统返回的TTL 值在 100-130 之间,而UNIX/Linux 系列的系统返回的
TTL值在 240-255 之间,当然TTL的值在对方的主机里是可以修改的,
Windows 系列的系
统可以通过修改注册表以下键值实现:
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \
Tcpip \Parameters]
"DefaultTTL"=dword: 000000ff
255---FF
128---80
64----40
32----20
4 .使用

Arp 解决硬件地址问题

  “地址解析协议 (ARP)” 允许主机查找同一物理网络上的主机的媒体访问控制地址,如果
给出后者的 IP 地址。为使 ARP 更加有效,每个计算机缓存 IP 到媒体访问控制地址
映射消除重复的 ARP 广播请求。
  可以使用 arp 命令查看和修改本地计算机上的 ARP 表项。 arp 命令对于查看
ARP 缓存和解决地址解析问题非常有用。
5 .使用

nbtstat 解决

NetBIOS 名称问题

TCP/IP 上的 NetBIOS (NetBT) 将 NetBIOS 名称解析成 IP 地址。 TCP/IP
为 NetBIOS 名称解析提供了很多选项,包括本地缓存搜索、WINS 服务器查询、广播、
DNS 服务器查询以及 Lmhosts 和主机文件搜索。
Nbtstat 是解决 NetBIOS 名称解析问题的有用工具。可以使用nbtstat 命令删除或
更正预加载的项目:

nbtstat -n 显示由服务器或重定向器之类的程序在系统上本地注册的名称。

nbtstat -c 显示

NetBIOS 名称缓存,包含其他计算机的名称对地址映射。

nbtstat -R 清除名称缓存,然后从 Lmhosts 文件重新加载。

nbtstat -RR 释放在 WINS 服务器上注册的 NetBIOS 名称,然后刷新它们的注册


nbtstat -a name 对 name 指定的计算机执行 NetBIOS 适配器状态命令。适配器状
态命令将返回计算机的本地 NetBIOS 名称表,以及适配器的媒体访问控制地址

30

nbtstat -S 列出当前的 NetBIOS 会话及其状态(包括统计),如下例所示:
   NetBIOS connection table
  Local name State In/out Remote Host Input Output
   -----------------------------------------------------------------   CORP1 <00> Connected Out CORPSUP1<20> 6MB 5MB
   CORP1 <00> Connected Out CORPPRINT<20> 108KB 116KB
   CORP1 <00> Connected Out CORPSRC1<20> 299KB 19KB
  CORP1 <00> Connected Out CORPEMAIL1<20> 324KB 19KB
   CORP1 <03> Listening
6 .使用

netstat 显示连接统计

可以使用 netstat 命令显示协议统计信息和当前的 TCP/IP 连接。 netstat -a 命令
将显示所有连接,而 netstat -r 显示路由表和活动连接。netstat -e 命令将显示Ethernet 统计
信息,而 netstat -s 显示每个协议的统计信息。如果使用 netstat -n,则不能将地址和端口
号转换成名称。下面是 netstat 的输出示例:
  C :\>netstat -e
   Interface Statistics
   Received Sent
  Bytes 3995837940 47224622
  Unicast packets 120099 131015
   Non-unicast packets 7579544 3823
   Discards 0 0
   Errors 0 0
   Unknown protocols 363054211
  C :\>netstat -a
   Active Connections
   Proto Local Address Foreign Address State
   TCP CORP1 :1572 172.16.48.10: nbsession ESTABLISHED
   TCP CORP1 :1589 172.16.48.10: nbsession ESTABLISHED
   TCP CORP1 :1606 172.16.105.245: nbsession ESTABLISHED
   TCP CORP1 : 1632 172.16.48.213 : nbsession ESTABLISHED
   TCP CORP1 : 1659 172.16.48.169 : nbsession ESTABLISHED
   TCP CORP1 : 1714 172.16.48.203 : nbsession ESTABLISHED
   TCP CORP1 :1719 172.16.48.36: nbsession ESTABLISHED
   TCP CORP1 : 1241 172.16.48.101 : nbsession ESTABLISHED
   UDP CORP1 :1025 *:*
   UDP CORP1 : snmp * :*
   UDP CORP1 : nbname * :*
   UDP CORP1 :nbdatagram * :*
   UDP CORP1 : nbname * :*

31

   UDP CORP1 :nbdatagram * :*
  C :\>netstat -s
   IP Statistics
   Packets Received = 5378528
  Received Header Errors = 738854
   Received Address Errors = 23150
   Datagrams Forwarded = 0
   Unknown Protocols Received = 0
  Received Packets Discarded = 0
  Received Packets Delivered = 4616524
   Output Requests = 132702
   Routing Discards = 157
  Discarded Output Packets = 0
   Output Packet No Route = 0
   Reassembly Required = 0
  Reassembly Successful = 0
  Reassembly Failures =
   Datagrams Successfully Fragmented = 0
   Datagrams Failing Fragmentation = 0
  Fragments Created = 0
  ICMP Statistics
   Received Sent
   Messages 693 4
   Errors 0 0
   Destination Unreachable 685 0
   Time Exceeded 0 0
   Parameter Problems 0 0
   Source Quenches 0 0
  Redirects 0 0
  Echoes 4 0
   Echo Replies 0 4
  Timestamps 0 0
  Timestamp Replies 0 0
   Address Masks 0 0
   Address Mask Replies 0 0
   TCP Statistics
  Active Opens = 597
   Passive Opens = 135
  Failed Connection Attempts = 107
   Reset Connections = 91
32

  Current Connections = 8
  Segments Received = 106770
  Segments Sent = 118431
   Segments Retransmitted = 461
   UDP Statistics
  Datagrams Received = 4157136
   No Ports = 351928
   Receive Errors = 2
  Datagrams Sent = 13809
7 .使用 tracert 跟踪网络连接
Tracert (跟踪路由)是路由跟踪实用程序,用于确定 IP 数据报访问目标所采取的
路径。 Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到
网络上其他主机的路由。
Tracert 工作原理
通过向目标发送不同 IP 生存时间 (TTL) 值的“ Internet 控制消息协议 (ICMP)”
回应数据包,Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数
据包之前至少将数据包上的 TTL 递减 1 。数据包上的 TTL 减为 0 时,路由器应该
将“ ICMP 已超时”的消息发回源系统。
Tracert 先发送 TTL 为 1 的回应数据包,并在随后的每次发送过程将 TTL 递
增 1 ,直到目标响应或 TTL 达到最大值,从而确定路由。通过检查中间路由器发回的
“ ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃TTL 过期的数据包,这在
Tracert 实用程序中看不到。
Tracert 命令按顺序打印出返回“ ICMP 已超时”消息的路径中的近端路由器接口列表。
如果使用 -d 选项,则 Tracert 实用程序不在每个 IP 地址上查询 DNS 。
在下例中,数据包必须通过两个路由器( 10.0.0.1 和 192.168.0.1 )才能到达主机
172.16.0.99 。主机的默认网关是 10.0.0.1 , 192.168.0.0 网络上的路由器的 IP地址是
192.168.0.1 。
  C : \>tracert 172.16.0.99 -d
   Tracing route to 172.16.0.99 over a maximum of 30 hops
   1 2s 3s 2s 10 , 0.0 ,1
   2 75 ms 83 ms 88 ms 192.168.0.1
   3 73 ms 79 ms 93 ms 172.16.0.99
   Trace complete.
  用 tracert 解决问题
  可以使用 tracert 命令确定数据包在网络上的停止位置。下例中,默认网关确定
192.168.10.99 主机没有有效路径。这可能是路由器配置的问题,或者是192.168.10.0 网络
不存在(错误的 IP 地址)。
C : \>tracert 192.168.10.99
Tracing route to 192.168.10.99 over a maximum of 30 hops
1 10.0.0.1 reportsestination net unreachable.
Trace complete.
Tracert 实用程序对于解决大网络问题非常有用,此时可以采取几条路径到达同一个点

33

Tracert 命令行选项
Tracert 命令支持多种选项,如下表所示。
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name
选项 描述
-d 指定不将 IP 地址解析到主机名称。
-h maximum_hops 指定跃点数以跟踪到称为 target_name 的主机的路由。
-j host-list 指定 Tracert 实用程序数据包所采用路径中的路由器接口列表。
-w timeout 等待 timeout 为每次回复所指定的毫秒数。
target_name 目标主机的名称或 IP地址。
详细信息,请参阅使用 tracert 命令跟踪路径。
8 .使用

pathping 测试路由器

pathping 命令是一个路由跟踪工具,它将 ping 和 tracert 命令的功能和这两个工具
pathping 命令在一段时间内将数据包发送到到达最终目标的路
所不提供的其他信息结合起来。
径上的每个路由器,然后基于数据包的计算机结果从每个跃点返回。由于命令显示数据包在任
何给定路由器或链接上丢失的程度,因此可以很容易地确定可能导致网络问题的路由器或链接

某些选项是可用的,如下表所示。
选项
名称
功能
-n
Hostnames
不将地址解析成主机名。
-h
Maximum hops
搜索目标的最大跃点数。
-g
Host-list
沿着路由列表释放源路由。
-p
Period
在 ping 之间等待的毫秒数。
-q
Num_queries
每个跃点的查询数。
-w
Time-out
为每次回复所等待的毫秒数。
-T Layer 2 tag 将第 2 层优先级标记(例如,对于 IEEE 802.1p )连接到数据包并
将它发送到路径中的每个网络设备。这有助于标识没有正确配置第 2 层优先级的网络设
备。 -T 开关用于测试服务质量 (QoS) 连通性。
-R RSVP isbase Che 检查 以确 定路 径中 的每 个路 由器 是否 支持 “ 资源 保留 协议
(RSVP)” ,此协议允许主机为数据流保留一定量的带宽。 -R 开关用于测试服务质量
(QoS) 连通性。
默认的跃点数是 30 ,并且超时前的默认等待时间是 3 秒。默认时间是 250 毫秒,
并且沿着路径对每个路由器进行查询的次数是 100 。
以下是典型的 pathping 报告。跃点列表后所编辑的统计信息表明在每个独立路由器上
数据包丢失的情况。
  D : \>pathping -n msw
  Tracing route to msw [7.54.1.196]
  over a maximum of 30 hops :
   0 172.16.87.35
   1 172.16.87.218
   2 192.68.52.1
   3 192.68.80.1
   4 7.54.247.14
   5 7.54.1.196
   Computing statistics for 125 seconds...
   Source to Here This Node/Link

34

   Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
   0 172.16.87.35
  0/ 100 = 0% |
   1 41ms 0/ 100 = 0% 0/ 100 = 0% 172.16.87.21813/ 100 = 13% |
   2 22ms 16/ 100 = 16% 3/ 100 = 3% 192.68.52.10/ 100 = 0% |
   3 24ms 13/ 100 = 13% 0/ 100 = 0% 192.68.80.1 0/ 100 = 0% |
   4 21ms 14/ 100 = 14% 1/ 100 = 1% 10.54.247.14 0/ 100 = 0% |
   5 24ms 13/ 100 = 13% 0/ 100 = 0% 10.54.1.196
   Trace complete.
当运行 pathping 时,在测试问题时首先查看路由的结果。此路径与tracert 命令所显
示的路径相同。然后 pathping 命令对下一个 125 毫秒显示忙消息(此时间根据跃点计数变
化)。在此期间,pathping 从以前列出的所有路由器和它们之间的链接之间收集信息。在此期
间结束时,它显示测试结果。
This Node/Link Lost/Sent=Pct 和 Address 包含的信息最有用
最右边的两栏
172.16.87.218 (跃点 1 )和 192.68.52.1 (跃点 2 )丢失 13% 的数据包。 所有
其他链接工作正常。在跃点 2 和 4 中的路由器也丢失寻址到它们的数据包(如 This
Node /Link 栏中所示),但是该丢失不会影响转发的路径。
对链接显示的丢失率(在最右边的栏中标记为 | )表明沿路径转发丢失的数据包。该
丢失表明链接阻塞。对路由器显示的丢失率(通过最右边栏中的IP 地址显示)表明这些路
由器的 CPU 可能超负荷运行。这些阻塞的路由器可能也是端对端问题的一个因素,尤其是
在软件路由器转发数据包时。

35

第 3 章 局域网操作系统
本章主要讲解局域网操作系统的相关知识,重点介绍
Windows 2000 server 操作系
统。通过本章的学习,读者应该掌握:理解网络操作系统的定义、特点、分类和功能、常见操
作系统及掌握 Windows 2000 server 操作系统的基本操作。

3.1 网络操作系统概述
在单机时代,操作系统被视为计算机的灵魂。类似地,在网络环境中,可将网络操作系
统( Nework Opmting System , NOS )视为计算机网络的灵魂。
通常将安装在服务器上的操作系统称为网络操作系统,而将安装在工作站上的操作系统
称为工作站操作系统。
1 .网络操作系统的定义
网络操作系统是使网络上的计算机能方便、高效地共享网络资源,为网络用户提供资源
访问途径以及其他基本服务的系统软件。
2 .网络操作系统功能和特征
除具备单机操作系统的典型功能(如内存管理、
CPU 管理、输入输出管理、文件管理
等)外,网络操作系统还具备下列功能:

高效可靠的网络通信能力。

基本网络服务功能,如资源共享、文件传输、电子邮件、远程管理和打印等。
一个典型的网络操作系统一般具有下列特征:

硬件独立 . 网络操作系统可兼容多种硬件,例如:一般网络操作系统可支持多种网卡
(如
3COIn 、D-LiIt等 ) ,可运行在不同架构的处理器〈如基于X86 的Inte1 处理器,
基于 RISC 的 DECAlpha 、 MIPS R4000 等〉上,能支持不同的拓扑结构〈如总
线型、环型、星型、混合型等 ) 。

广域网连接。网络操作系统允许通过网桥、路由交换器等实现网络连接。

网络管理特性。网络操作系统能够管理网络资源并提供友好的人一网交互界面、支持第
3
方网络管理软件等。

支持多种工作站。网络操作系统可支持运行不同操作系统的工作站,如 Microsoft 的
Windows NT 可 支 持 DOS 、 OS/2 、 Windows 98 、 Windows for
Workgroup 、 UNIX 等多种客户端。

支持多用户、多任务。

安全性和存取控制。网络操作系统具有资源安全保障功能,提供控制用户对网络资源访问
能力的方法。

36

3.2 局域网中常见的网络操作系统
3.2.1 UNlX操作系统
UnlX 出现于1969 年,是最早推出的网络操作系统。经过多年的演变,成为目前大型机

中型机以及小型机上的主要操作系统,被广泛用于教学、科研、工业和商业等多个领域 。
UNIX 系统是美国麻省理工学院(MIT 〉在1965 年开发的分时操作系统Multics 的基础上不
断演变而来的,它原是MIT和贝尔实验室等为美国国防部研制的。贝尔实验室的系统程序设计
人员于 1969 年在 PDP-7 计算机上成功地开发了 16 位微机操作系统,该系统被命名为
UNIX ,它继承了Multics 系统的树型结构、Shell 命令语言和面向过程的结构化设计方法,
以及采用高级语言编写的操作系统等特点。
从发展历史来看,UNIX 主要有两大流派:AT&T 的 UNIX 系统V 版本和加州大学伯克
利分校的 BSD 版本,在此基础上,各家UNIX 厂商均开发了各自的UNIX 操作系统。例如:
工作站厂商中有HP 公司的HFUX、 SUN 公司的Solaris 、IBM公司的AIX 等:小型机上有
VAX 的 Ultix ,微机上有 SCO UNIX 、微软公司的Xenix以及随着h1ternet 而风靡全球
的LK111x等。
UNIX 的主要特点如下:

技术成熟,可靠性高。经过30 多年开放式道路的发展,UNIX 的一些基本技术己经变
得十分成熟( 有的己经成为各类操作系统的共用技术〉。实践表明,
UNIX 是能够达到主机对
可靠性要求的少数操作系统之一。目前,在国内外大型企业中,许多
UNIX 主机和服务器都是
在7/24( 每星期工作7 天,每天工作 24 小时 ) 方式下运行的。

具有极强的伸缩性。WIX 系统是惟一能在笔记本电脑、pc 、工作站以及巨型机上运
行的操作系统,此外,由于UNIX 系统能很好地支持SMP 、 MPP 和Cluster 等技术,更使
其可伸缩性大为增强。

强大的网络功能。强大的网络功能是
UNIX 系统的又一重要特色,作为网络互联基础的
TCP/IP 协议就是在UNIX 上开发和发展起来的。TCP/IP 是所有UNIX 系统不可分割的组成
部分,在 Internet 服务器中,基于UNIX 的服务器约占70% 。此外因为UNIX 同时支持其
他常用网络通信协议,所以其能够方便地与已有的主机系统、各种广域网和局域网互联。

强大的数据库支持能力。因为UNIX 系统具有强大的数据库支持能力,所以各主要数据
库技术开发商( 如 Oracle 、 hformix 、Sybase等〉都把UNIX 作为其产品的开发和运行
平台。

提供良好的开发环境。UNIX 系统从诞生之初就为软件开发者提供了丰富的开发工具,
成为工程工作站的首选操作系统。事实上,工程工作站的成长与 UN 汉是密不可分的。目前,
UNIX 工作站依然是软件开发厂商和工程研究设计部门的支撑平台。

开放性好。开放性是UNIX 本质特征之一,开放系统概念即来源于
UNIX , UNIX 是开
放系统的先驱和代表。

具有两种用户界面。UNIX 系统提供了两种用户界面:一是程序级界面,它是程序设计
者的编程接口,通过该接口,程序设计者可以直接调用系统的标准子程序;另一个是操作级界
面,它面向最终用户,为最终用户提供人
· 机接口,通过该接口,系统可直接接受最终用户的
命令并执行之。

独特的设备管理方式。在UNIX 中,系统将所有外部设备都视为文件,分别赋予其文件
名,用户可以像使用文件那样使用设备,而不必了解设备的内部特性,这样既简化了系统设计
又为用户带来了方便。

37

3.2.2 Netware
美国 Novell 公司开发的 Netware 曾经是一个非常流行的网络操作系统,早期的
Netware 主要实现文件服务和打印服务功能,高版本的
Netware (Netware 4.x 和 6.x)
则可通过 NDS
(Netware Directory SeIVices) 提 供 目 录 服 务 。 在 国 内 使 用 较 多 的 版 本 为
Netware3863.10、Netware3863.11和Netware3864.11。
1 . Netware 的特性与技术特点
Netware 最重要的特性是其基于模块设计思想的开放式系统结构,便于扩充。对不同
的工作平台〈如DOS 、 OS/2 、 Macintosh 等 ) 、不同的网络协议环境,Netware 都提
供了一致的服务。用户可根据需要选择增值服务
( 如替补备份、数据库、电子邮件及记账等〉

这些服务可来自 Netware ,也可来自第 3 方开发商。
高版本 Netware 具有下列技术特点:

支持多种计算机操作系统,如MSDOS、 OS/2 、 Macintosh 和 WIX 等。

支持多种网络通信协议。

支持多种网卡。

用户可根据需要选择增值服务。
2 . Netware 的优点
Netware 具有下列优点:
( 1 )文件系统功能强大。Netware 文件服务器可支持64 个文件卷,每个卷可支持
32 个硬盘。支持的磁盘容量高达
32TB ,文件大小可达4GB ,允许同时打开100000 个
文件。
( 2 )网络打印功能完备。打印服务器支持打印机数目多达
16 台,并可为多达8 个的
文件服务器上的打印队列服务。
( 3 )拥有系统容错能力。Netware 支持3 级系统容错能力。第1 级系统容错能力支
持热修复技术( 将写入磁盘的数据块与内存中相应的内容进行比较,如果发现了写入错误,则
重写数据并记录坏块的位置) :第2 级系统容错能力支持磁盘镜像技术
( 数据被同时写入与同
一磁盘控制器相连的两块磁盘,这样,如果其中一块磁盘损坏,还可以通过另→磁盘完成对数
据的访问〉:第3 级系统容错能力支持磁盘双工技术
( 数据被同时写入与不同磁盘控制器相连
的两块磁盘,这样不仅具备第
2 级系统容错功能,而且,如果其中某一磁盘控制器损坏,还可
以通过另一磁盘控制器完成对数据的访问 ) 。
( 4 )拥有事务跟踪处理功能。事务跟踪处理功能可为在网络上运行的数据库操作提供
可靠的保护措施。当出现意外事件〈如软件挂起、工作站和文件服务器损坏以及断电等〉时,
能对数据进行全部或部分更新以保证数据的一致性。
( 5 )支持先进的磁盘通道及高速缓存技术。在多个用户访问硬盘时,不按访问请求时
间的先后排序,而是按所需访问的物理位置和磁头运动方向排序,这样可显著提高对服务器硬
盘的访问速度。Netware 采用将文件分配表、常用数据( 甚至常用文件〉驻留内存的高速缓
冲技术,使文件服务器的工作效率大为提高。
( 6 )拥有完备的安全保障机制。 Netware 提供了下列 4 级安全控制体系:

38

注册安全控制。要求用户必须凭借合法账号和正确密码登录系统,且服务器可控制用户的
有效登录时间及帐号可用期限。

权限控制。对同一资源,可为不同用户指定不同的访问权限,以避免用户越权访问资源。

属性安全控制。允许为文件或目录指定适当的性质。

文件服务器管理安全控制。网络管理员可通过封锁控制台以抵御非法操作。

3.2.3 Windows NT Server
Windows NT 是 Microso 武公司推出的具有很强联网功能自932 位网络操作系统,
支持多种硬件平台,它在设计中采用了许多先进的思想,并保留了深受用户喜爱的
Windows
风格的界面,是适合中、小规模网络的操作系统。
Windows NT 最初出现于 1988 年,目前在国内广泛使用的是 1996 年推出的
Windows NTSewer4.0 中文版。其主要特点如下:

内置网络功能。Windows NT 的网络功能是其输入、输出系统的组成部分,而不是附加
于操作系统的网络软件,这样使得 Windows NT 在结构上十分简洁和紧凑。

支持复合型网络。在基于WMdows NT Server 的局域网中,可以同时存在客户相服务
器 (ClientJSewer) 型和对等 (Peer to Peer) 型两种网络模式。

友好的人机交互界面。Windows NT 采用全图形化的用户界面,用户可通过鼠标完成操
作。

组网简单,管理方便。 WindowsNT 网络的组建和管理十分简单,适合于用户使用。

3.2.4 Windows 2000 Server
Windows 2000 是基于Windows NT 技术构建的操作系统,是Windows NT 的更
新换代产品。
1 .Windows 2000 概述
Windows 2000 包含下列版本:

Windows 2000Professional :用于一般台式计算机和移动计算机。

Windows 2000Sewer:用于工作组或部门级网络中的服务器。

Windows 2000Advanced Server :用于应用程序服务器或部门级网络中的重载服务
器。

Windows 2000Datacenter Sewer :用于大型网络系统中的服务器。
对构建一般中、小型局域网而言,目前一般选择 Windows 2000Server 。
2 . Windows 2000Server 的新特性
Windows 2000Sewer是 Windows NT Server 的换代产品,与 Windows NT
39

Sewer 相比,其改进之处如下:
( 1 )可扩展性和可靠性。可扩展性和可靠性的增强主要体现在下列方面:

支持FAT 、 FAT32 和NTFS 等 3 种文件系统,且新版的FAT32 和NTFS 较之以前有较
大的改进。

非工作时间明显减少。Windows 2000Server 开始支持即插即用功能,且几乎支持所
有名牌厂商的硬件设备,简化了驱动程序安装过程。此外,在支持即插即用功能的同
时,还大幅度减少了系统重新启动次数
( 据有关资料介绍,大约90% 的设备可以在
不重新启动系统的情况下进行设置 )

提供了系统自动恢复功能。在硬盘出现故障或系统遭受灾难性破坏后,该功能可自动还原
整个系统。
( 2 )易管理性和易用性。易管理性和易用性的增强主要体现在下列方面

支持活动目录,简化了用户管理。

支持更先进的网络打印功能。
( 3 )系统集成功能。系统集成功能的增强主要体现在下列方面:

多语言支持。

允许多系统共存。可方便地将Windows 2000Sewer服务器或网络集成到现有的系统中。

完备的 Internet 服务支持。

3.2.5 Windows Server 2003简介
Windows Sewer2003是 Microsd 最新的网络操作系统。包括标准版、企业版、数
据中心版和 Web 版4 个版本。
Windows Server 2003 标准版支持文件和打印机共享、可提供安全的
Internet 连
接,支持集中化的桌面应用程序部署方式。 . 可用于构建小型轻载网络。
Windows sewer2003 企 业 版 最 多 可 支 持 8 个 处 理 器 、 8 结 点 集 群
(clustering) 、32GB内存。可用于企业级服务器。
Windows server2003 数据中心版是迄今为止Microsd 开发的功能最为强大的服
务器操作系统该系统支持8 结点集群、 32 路 SMP 和高达 "GB 的内存。
Windows server 2003 Web 版则主要用于 Web 服务和托管。

5.2.6 Linux
Linux 是一个免费、源代码公开的操作系统,它出现在 1992 年,由芬兰的Linux
.B.Torvolds 首创。后经世界各地的自由软件开发者协同开发和完善,现己步入成熟阶段,其
价值为越来越多的人认可。目前Linux主要用于支持 Apache web 服务器。
Linux 的主要特点如下:

置于 GPL( 通用公共许可证 ) 保护下,可免费获得源代码并随意修改。
40


可运行在多种硬件平台上。

支持大量外部设备。

支持 TCP/IP 、 SLIP 和PPP。

支持多种文件系统。

3.3 Windows 2000 server 简介
3.3.1 Windows 2000简介
Wondows 2000 是一个操作系统系列,集成了对客户/服务器模式和对等模式网络
的支持。Windows 2000 产品家族的设计目的在于提高产品的可靠性,提供高层次的可
用性及从小型网络到大型企业网的可扩展性。Windows2000 通过集成优化当前先进的网
络、应用程序及 WEB 技术,令企业充分提高现有投资的价值从而降低了总体拥有成本。并
为那些优秀的、具有重要作用的商务软件提供了最佳的运行环境。为当今迅猛发展的电子
商务提供了一个崭新的具有高可靠性和高安全性的操作平台。
针对不同的用户和环境,Windows 2000 产品家族推出了四个版本:
  Windows 2000 Server : 针对工作组级的服务器用户,Windows 2000 Server
最重要的改进是在"活动目录"目录服务技术的基础上,建立了一套全面的、分布式的底层
服务。此外,对最新硬件和设备的良好支持、集成式终端服务、内建虚拟专用网络(VPN)
支持等。可以说 Windows 2000 Server 是完美的入门级解决方案,用于运行具有更高
可靠性和可管理性的文件、打印、Intranet、通讯和基础架构服务器。
  最低配置要求: Pentium 兼容的 CPU≥133MHz 、64MB≤RAM≤4GB 、空闲
HardDisk≥1.0GB、一台机器 ≤4 个 CPU
  Windows 2000 Professional:针对商业和个人用户。
  Windows 2000 Advanced Server
  Windows 2000 Advanced Server 操作系统提供了 Windows 2000 Server 的
全部特性和优点。此外,该操作系统还包含其他一些附加功能,用于增强电子商务和经营
方式应用。针对企业级的高级服务器用户
  Windows 2000 Datacenter Server:针对大型数据仓库的数据中心服务器用户,
微软推出的这个全新版本是功能最为强大的服务器操作系统,它支持 16 路对称多处理
器系统以及高达 64GB 的物理内存。与 Windows 2000 Advanced Server 一样,它将
群集和负载平衡服务作为标准的特性。另外,它为大型的数据仓库、经济分析、科学和工程
模拟、联机交易服务等应用进行了专门的优化。

3.3.2 Windows 2000 Server 的新功能概览
1 .可扩展性和性能:
端 终 服 务 用 户 可 以 在 服 务 器 上 运 行 Windows 程 序 , 使 用 一 台 远 程 PC 机 、
Windows 终端或非 Windows 设备通过局域网、宽域网或低带宽连接进行访问。在
Windows 2000 中,终端服务可以提升 20%的可伸缩性,同时极大地改善了高带宽和
低带宽连接的性能。
增强 ASP 性能 无脚本 ASP 文件的更具可伸缩性的 ASP 处理、改进的 ASP 流控制
和 ASP 快速路径可以实现更快的网页处理。
多站点容留 Internet Information Services (IIS) 5.0 允许用户在保持高性能的同
时在每个服务器上容留多个网站。
IIS CPU 节流 通过限制某 Web 应用程序或站点可以使用的 CPU 时间量,用户可
41

以确保其他网站或非 Web 应用程序有更多可用的处理器时间,因而有更好的性能。
高吞吐率和带宽利用 通过对 1GB 网络的支持,Windows 2000 Server 在高性能
网络上提供了高性能处理。更大的吞吐率无需增加网络带宽即可提升性能。
可靠性 内核方式写保护 有助于防止错误代码干扰系统运行。
2 . Windows 文件保护
防止新安装的软件替换重要的系统文件。
驱动程序证书 识别出那些已经通过 Windows 硬件质量实验室测试的设备驱动程序,
如果用户企图安装无证书驱动程序,系统将给出警告。
IIS 应用程序保护 应用程序保护将 Web 应用程序和 Web 服务器的运行隔离开来,
从而有效地防止某应用程序导致整个 Web 服务器的崩溃。
可用性 作业对象 API(应用程序编程接口) 作业对象 API 具有设置处理器相似性、
建立时间限制、控制进程属性及限定一组相关进程的内存使用等功能。应用程序可以使用
这一 API 管理和控制相关系统资源。这一附加控制等级意味着:作业对象 API 可以防止
应用程序降低总体系统可伸缩性。
应 用 程 序 证 书 & DLL ( 动 态 链 接 库 ) 保 护 确 认 可 以 运 行 于 Windows 2000
Server 上的应用程序都经过微软公司的测试,以确保其高质量和高可靠性。该功能可以
保护应用程序安装的 DLL,防止出现可以导致应用程序故障的冲突。
多主复制 活动目录使用多主复制,以确保分布式网络配置的高可伸缩性和可用
性。"多主"表示在网络中的每个目录副本都是全部其他副本的同位体;任何一个副本的改
变都会影响到所有其他副本。
分布式文件系统(Dfs) 在一个网络上创建多个文件服务器和文件服务器共享的单
个分级视图。DFs 可以让用户更方便地定位文件,并通过在分布式服务器上保持多个文件
副本的方法提高可用性。
磁盘限额 设置每个用户和每个卷的磁盘空间使用限额,以提供更高的磁盘空间可用
性,同时有助于容量规划工作。
分级存储管理 自动将不常被访问的数据转移到低成本存储媒体上,为最常被访问的
数据腾出磁盘空间。
3 .安全性
对最新安全标准的支持 使用最新标准建立安全的内联网、外联网和 Internet 站点,
这些标准包括:56 位和 128 位 SSL/TLS、IPSec、Server Gated Cryptography (服
务器门控加密技术)、摘要验证、Kerberos v5 验证和 Fortezza。
活动目录集成 活动目录与支撑它的安全基础架构集成在一起,提供了用户、计算机
和设备的安全管理集中点,这更简化了 Windows 2000 的管理操作。
Kerberos 身 份 验 证 Windows 2000 完 全 支 持 Kerberos v5 协 议 , 提 供 对
Windows 资源及支持该协议的其他环境快速单登录。
公用密钥基础架构(PKI) Certificate Server (证书服务器)是公用密钥基础架
构的关键组成部分,它允许客户向其用户发布自己的 x.509 证书,以获取诸如基于证书
的身份验证、IPSec、安全电子邮件等功能。与活动目录的集成更简化了登记操作。
智能卡支持 支持智能卡登录,用于实现坚固的敏感资源身份验证。
加密文件系统 通过数据加密增加硬盘上数据的安全性。即使在备份或压缩时该数据
也保持加密状态。
安全的网络通信 使用 IPSec 标准跨整个企业网络的终端对终端加密通信。它非常适
用于防止敏感内部通信被他人有意或无意地查看。活动目录提供了集中的策略控制,以使
其具有实用价值。
路由选择和远程访问服务 通过拨号、租用线路和 Internet 连接将远程工作人员、远
距离办公人员或部门办公室连接到企业通信网上。
模拟专用网络(VPN ) 加密通信,实现通过 Internet 安全地连接远程用户和分支
办公室的全功能网关。现在具有更新的 PPTP 支持,以及利用 L2TP (第二层隧道协议)
实现的高级安全,并且 L2TP 同时经过 IPSec 的加密。
4 .可操作性
动态卷管理 在保持服务器联机、不影响终端用户的情况下添加新卷、扩充当前卷、添
加或删除镜像、修复 RAID 5 磁盘阵列。
磁盘碎片整理 经过一段时间后,磁盘碎片可能会严重影响一台繁忙的文件或 Web
服务器的性能。这些工具可以增加磁盘可用性和性能。
42

安全模式引导 用户可以使用安全模式引导系统,并在启动过程中通过改变默认设置
或删除导致故障的驱动程序对系统进行故障检修。
备份和恢复 备份和恢复特性可以简化数据备份操作,同时也简化了出现硬盘故障时
的数据恢复操作。Windows 2000 支持对硬盘或磁带
5 . WEB 特性
Internet Information Services 5.0 (IIS) 集成 Web 服务可以让用户方便地容留
和管理网站,以共享信息和创建 Web 商业应用,并将文件、打印、媒体和通信服务扩展到
Web。
ASP (活动服务器页面)编程环境 ASP 一直被认为是目前最简单、性能最好的
Web 服务器脚本编程环境。
XML 语法分析器 它可以创建允许 Web 服务器与 Microsoft Internet Explorer 及
任何具有 XML 语法分析功能的服务器交换 XML 格式数据的应用程序。
Windows DNA 2000 Windows DNA 2000 (Windows 分布式 interNet 应用体
系结构)是 Windows 平台的应用程序开发模型。使用 Windows DNA 2000 ,用户可
以建立具有安全性、可靠性、高可伸缩性的解决方案,它们可以简化异种系统和应用程序
的集成化工作。
COM+ (组件对象模型+) COM+ 建立于组件对象模型的集成服务和特性之上,
开发者可以利用 COM+ 更方便地使用任何工具创建和使用任何语言编写的软件组件 。
COM+ 包含可以实现可靠分布式应用程序的事务处理服务程序和信息列队服务程序。
多媒体平台 使用集成 Windows Mediasize=1>TM Services (Windows 媒体
服务),用户可以跨 Internet 和内联网配置和管理高质量数字媒体内容,从将活动和随
选内容传送给最大数量的用户。
具有目录功能的应用程序 开发者可以使用许多标准界面编写应用程序,这些应用程
序可以利用存放于活动目录服务中关于用户、其他应用程序和设备的信息。这样做可以实
现丰富的动态应用程序,并且它们更易于开发和管理。活动目录的所有功能都可以通过
LDAP (轻量级目录访问协议)、ADSI (活动目录接口)和 MAPI 调用,用于扩展和集
成其他应用程序、目录和设备。
Web 文件夹 通过使用 WebDAV (Web 文档编辑和排版)实现拖放式 Web 出版,
Web 文件夹将丰富的 Windows 功能带入 Web 世界。
Internet 打印 通过 Internet 向某 URL 发送打印任务。

3.3.3 系统和硬件设备要求
  要使系统的性能良好,请务必使安装 Windows 2000 Server 的计算机应符合下列
需求:
 133-MHz Pentium 或更快的中央处理单元 (CPU) 。 每台计算机最多支持四个
CPU。
 建议最少 256 MB RAM(最小支持 64 MB,最大支持 4 GB)。
 硬盘分区必须具有足够的可用空间满足安装过程。需要的最少空间大约为 1 GB。
可能会需要更大的空间,这要依靠下面的情形而定:
为了使设备能在 Windows 2000 上正常工作,必须在计算机上加载相应设备的驱
动程序软件。Windows 2000 安装程序会自动检查硬件和软件并报告任何潜在的冲突。为
确保成功安装,在启动安装程序之前,请核对计算机的硬件是否与 Windows 2000
Server 兼容。
 要核对硬件,请检查 Windows 2000 硬件兼容性列表 (HCL)。如果硬件没有列
在其中,那么安装可能会不成功。(注意,微通道总线将不再被支持。)
 要查看与 Windows 2000 一同发布的 HCL ,请在 Windows 2000 光盘的
Support 文件夹中,打开 Hcl.txt 文件。更新的 HCL 可从下列网址找到:
Microsoft Windows
硬 件 兼 容 性 列 表
Web
站 点 。
http://www.microsoft.com/
 要检查现有硬件设备是否有更新的驱动程序,以及是否有最新的系统 BIOS,及
时的对硬件加以升级,特别是系统的 BIOS 程序。
 如果系统中包含大容量硬盘控制器(SCSI 卡, RAID 卡、光纤适配器),检查它
是否在硬件兼容性列表中,如果不在则需要从厂商出获得为 Windows 2000 开
发的驱动程序,在安装过程中按提示按 F6 键安装相应的驱动,如果为安装提供
43

HAL 文件,请按 F5。否则系统将报错"无法访问的启动设备"。

3.3.4 安装 Windows 2000 Server 中文版
  对于不同的环境,用户可以利用不同的方式启动 Windows 2000 Server 安装程序,
下面用户介绍在不同的环境中启动安装程序。
1 .在运行

Windows 的计算机上从光盘启动安装程序

  步骤 1 将光盘插入驱动器。
  步骤 2 要开始安装,执行下列操作之一:
 对于运行高于 Windows 3.x 的任何版本 Windows 的计算机,等待安装程序显
示对话框。
 对于运行 Windows 3.x 的计算机,使用文件管理器转到光盘驱动器,并进入
I386 目录。然后,双击 Winnt.exe。
  注意:如果是在运行 Windows 3.x 或 MS-DOS 的计算机上运行安装程序,为了获
得最高的效率,请使用磁盘高速缓存。否则安装过程(从 Winnt.exe 开始运行)将花费
很长的时间。在运行 Windows 3.x 或 MS-DOS 的计算机上启用磁盘高速缓存的通常方
式是使用 SMARTDrive。
2 .从网络启动安装程序
  步骤 1 在网络服务器上,既可通过插入光盘并共享该光盘驱动器来共享安装文件,
也可通过将安装文件从光盘的 I386 文件夹复制到共享文件夹来共享安装文件。
  步骤 2 在要安装 Windows 2000 的计算机上,连接共享的安装程序文件:
 如果共享光盘驱动器,可连接共享驱动器并将转到 I386 文件夹。
 如果要共享文件夹,连接该文件夹即可。
步骤 3 找到并运行位于光盘 I386 文件夹上的文件或共享文件夹的文件:
 在运行 MS-DOS 或 Windows 3.x 的计算机上,运行 Winnt.exe。
 在运行 Windows 95、Windows 98、Windows NT 3.51、Windows NT 4.0 或
任何版本的 Windows 2000 计算机上,运行 Winnt32.exe。
3 .在运行

MS-DOS 的计算机上为全新安装启动安装程序

  步骤 1 将光盘插入驱动器。
步骤 2 在命令提示符下,键入如 d:,其中 d 是光盘驱动器的驱动器号,键入 cd
i386,然后按回车键。
  步骤 3 键入 winnt,然后按回车键。
4 .通过从光盘启动计算机,为全新安装启动安装程序
  步骤 1 确定要安装的计算机是否可从光盘驱动器启动,是否执行全新安装(不是升
级)。只有满足以上两点才能继续。
  步骤 2 关闭计算机,将光盘插入驱动器。
  步骤 3 启动计算机,并等待安装程序显示对话框。
5.通过从软盘启动计算机,为全新安装启动安装程序
  步骤 1 决定是执行全新安装还是升级。如果要执行全新安装,请继续。
  步骤 2 找到 Windows 2000 安装软盘和 Windows 2000 光盘。
  步骤 3 关闭计算机,将第一张安装磁盘插入计算机的 A 盘驱动器中。
  步骤 4 打开计算机。
  在安装程序启动后,安装过程分为几个阶段,提示信息,复制文件和重新启动。根据
启动安装程序的方式,可能需要重新启动两到三次计算机。出现配置服务器屏幕表明安装
程序结束,可以使用此屏幕调整设置以便符合特定的需求。

3.3.5 安装及配置服务器
下面通过从光盘或软盘启动计算机安装一个全新的 Windows 2000 Server ,如果
用户需要升级现有的 NT 请参见附录一" 将 Windows NT 4.0 迁移到 Windows 2000
Server"。
  启动安装程序后,就开始将必须得安装文件复制到磁盘中,然后显示出现一系列的
对话框,用于设置系统相关的重要信息。
44

  步骤 1 为 Windows 2000 Server 选择或创建一个分区
  在系统复制完安装文件并重新启动后,出现一个对话框要求创建或指定一个用于安
装 Windows 2000 Server 的磁盘分区,用户可以在磁盘中未分区的可用空间上创建分
区,也可以指定一个现有的分区,还可以删除一个或几个现有的分区然后创建一个新的
分区。由于安装 Windows 2000 Server 的文件需要至少 1 GB 的可用磁盘空间,这在
系统需求中已说明了,所以建议要创建或指定的分区大小应大于最小需求,分区的大小
为 2-4 GB 就可以了。之后,选择文件系统。如果用户是升级,则可以使用当前的文件系
统;然而,也可以更改为 NTFS,它是推荐的 Windows 2000 文件系统。
步骤 2 选择区域设置
  在"地区设置"对话框中,遵循指导来自定义语言、选择正确的时间区域和辅助功能设
置。还可将 Windows 2000 设置为使用多种语言和地区选项。
步骤 3 设置个人化软件
在"个人化软件"对话框,键入用户的姓名,还可键入单位(可选)。
步骤 4 选择许可协议方式
  在"授权模式"对话框,选择客户端的授权模式,可以是"每客户"或"每服务器"方式。
对于新的安装,系统要求用户选择客户端的授权模式,如果是升级安装,客户许可协议
方式将根据已有设置自动设定。如果用户无法确定授权方式,则选择"每服务器"方式,因
为用户可以随时将"每服务器"方式转换为"每客户" 方式,但注意只能进行一次转换,且
这种转换是不可逆的。
  步骤 5 输入计算机名称
  对于大多数语言来说,建议不超过 15 个字符。对于需要更多存储空间的语言,例如
中文、日文或韩文,建议不超过 7 个字符。
  建议在计算机名中只使用 Internet 标准的字符。这些标准字符包括数字 0 到 9、
A到
Z 的大写字母和小写字母以及连字符 (-)。如果网络上使用了 Microsoft DNS 服务,那么
还可以使用范围更广的字符,包括 Unicode 字符和其他非标准字符,例如 & 符等。使用
非标准字符可能会影响与网络上的非 Microsoft 软件的互操作性。
  计算机名的最大长度为 63 字节。如果名称超过 15 个字节(大多数语言是 15 个字
符,有些语言是 7 个字符),安装 Windows 2000 以前的计算机只靠该名称的前 15
个字符来识别此计算机。此外,对于长于 15 个字节的名称,需要额外的配置步骤。
  如果此计算机是某个域的一部分,则选择的计算机名必须不同于域内的其他任何计
算机。如果此计算机是某个域的一部分,且包含多个操作系统,那么每个操作系统使用的
计算机名必须各不相同。
步骤 6 设置管理员帐户密码
  在"管理员密码"对话框中,键入最多不超过 127 个英文字符的密码。为了具有最高
的系统安全性,密码至少要 7 个字符(非强制性),并应采用大写字母、小写字母和数字
以及其他字符(例如 *、? 或 $)的混合形式。 在"确认密码"对话框,再次键入密码。
  由于管理员帐户在 Windows 2000 中的特殊性,出于对系统安全性的考虑,用户
要格外重视这个帐户。安装程序在计算机上创建了一个称作 Administrator 的用户帐户,
它具有管理计算机全部配置的管理权限。管理这台计算机的人员一般使用此
Administrator 帐户。出于安全考虑,建议为 Administrator 帐户指定密码。将"管理员
密码"设置为空,表明该帐户没有密码。在"确认密码"框内输入的密码必须与"管理员密
码"中输入的密码完全一致。一定要谨记并保护好用户的密码。在安装完成之后,为了获得
最好的安全性,要更改 Administrator 帐户名(但不能删除它)并始终为该帐户设置一
个安全性高的密码。
  步骤 7 选择 Windows 2000 组件
  在"Windows 2000 组件"对话框,选择系统运行所需组件。对于 TCP/IP 网络用户通
常需 要的 组件 包括 DHCP 、 DNS 和 WINS。 要选 取这 些组 件, 可在 安装 过程 中,
在"Windows 2000 组件"对话框内,选择"网络服务",并单击"详细资料",然后选择所
需的一个或多个组件。
  如果在完成安装后,确定还需要其他组件,可以在以后添加这些必要的组件。要这样
做,请在运行完安装程序之后,单击"开始",指向"设置",然后单击"控制面板",在控制
面板上,双击"添加/删除程序"。在添加/删除程序中,单击"添加/删除 Windows 组件"。
步骤 8 设置日期和时间
  在"日期和时间设置"对话框中设置正确日期、时间和时区。如果想让系统自动调整夏
时制,请选中"根据夏时制自动调整时钟"复选框。
  步骤 9 设置网络选项
45

(1 )如果允许 Windows 2000 安装程序分配或获取 IP 地址,则在"网络设置"对
话框中,单击"典型设置"。Windows 2000 安装程序将检查域中是否有 DHCP 服务器。
如果域内有 DHCP 服务器,则该服务器会提供 IP 地址。如果域内没有 DHCP 服务器,
自动专用 IP 寻址 (APIPA) 功能会自动为这台计算机分配一个 IP 地址。
(2)如果希望为计算机指定静态 IP 地址及 DNS 和 WINS 的设置则执行以下步骤
 在"网络设置"对话框,单击"自定义设置"。
 在"网络组件"对话框内,单击"Internet 协议 (TCP/IP)"。
 在"Internet 协议 (TCP/IP) 属性"对话框内,单击"使用下面的 IP 地址"。
 在"IP 地址"和"子网掩码"内,键入适当的数字(如果需要,还可指定"默认网
关")。
 在" 使用下面的 DNS 服务器地址" 下,键入首选的 DNS 服务器地址和备用的
DNS 服务器地址(可选)。如果本服务器是首选或备用 DNS 服务器,则要键入
在上一步已分配好相同的 IP 地址。
 如果要使用 WINS 服务器,可单击"高级",然后单击"高级 TCP/IP 设置"对话框
的"WINS" 选项卡,添加一个或多个 WINS 服务器的 IP 地址。如果本服务器是
WINS 服务器,则键入第 5 步为本机分配好的 IP 地址。
步骤 10 指定工作组名或域名
  在此用户需要选择本机是属于工作组还是将本机加入到一个域中,并指定工作组名
或域名。
  在安装向导完成 Windows 2000 Server 的安装后,计算机重新启动。至此用户已
经 完 成 了 Windows 2000 Server 的 基 本 安 装 。 下 面 进 一 步 配 置 Windows 2000
Server。
系统重新启动后,以管理员身份登录,屏幕上将出现配置服务器程序,利用它用户
可以轻松地进行进一步的服务器配置。用户也可以通过单击"开始",指向"程序",再指
向"管理工具",然后单击"配置服务器",启动配置服务器程序。下面介绍以下"配置服务
器"所提供的配置选项的详细信息。

3.4 系统的诊断与修复
3.4.1 系统环境的保护概述
保护系统的安全稳定的运行,当系统发生故障时能够及时的发现故障并排除,是系
统管理员的一项重要职责。在 Windows 2000 Server 中提供了一系列的工具以保证管
理员便捷的完成管理维护工作。
首先,管理员利用 Active Directory 、组策略及 Kerberos 验证等工具,建立一整
套完善的安全策略,保证系统的安全可靠性,将人为造成破坏的可能降到最低。
其次,利用系统备份、配置容错能力(如磁盘镜像、RAID)、病毒检查、磁盘碎片整理
等工具保证将由硬件问题引起的系统故障降低到最低。
第三,在实施以上步骤后,管理员还要利用事件查看器、网络监视器、系统信息实时
监视系统,从而实现及时发现问题解决问题,保证系统的安全稳定。
管理员可以通过设定系统异常的反应措施、制作紧急修复盘、安全模式启动、故障恢复
控制台、自动系统恢复等措施,保证当系统发生问题的时候及时的排除问题。
管理员还可以通过任务管理器和性能监视器监测系统的运行性能,发现系统的瓶颈 ,
提高系统的性能。

3.4.2 事件查看器
通过使用事件查看器 如图 5.55 和事件日志,用户可以收集有关硬件、软件、系统问题
的信息并监视 Windows 2000 安全事件。

46

图 5.55 事件查看器
1 . Windows 2000 以三种日志方式记录事件:
(1)应用程序日志
应用程序日志包含程序所记录的事件。例如,数据库程序可记录程序日志中的文件错
误。程序开发人员决定监视哪个事件。
(2)安全日志
安全日志包括有效和无效的登录尝试以及与资源使用相关的事件,如创建、打开或删
除文件或其他对象。例如,如果用户已经启用登录和注销审核,则登录到系统的尝试将记
录在安全日志中。
(3)系统日志
系统日志包含 Windows 2000 的系统组件记录的事件。例如,在启动过程将加载的
驱动程序或其他系统组件的失败记录在系统日志中。Windows 2000 预先确定由系统组
件记录的事件类型。
注意:
启动 Windows 2000 时事件日志服务会自动启动。
所有用户都可查看应用程序和系统日志。只有系统管理员才能访问安全日志。
在默认情况下,安全日志是关闭的。要启用安全日志,请使用组策略来设置审核策略。
管理员也可在注册表中设置审核策略,以便当安全日志满出时使系统停止响应。
2 .事件查看器显示这些事件的五种类型:
错误:重要的问题,如数据丢失或功能丧失。例如,如果在启动过程中某个服务加载
失败,这个错误将会被记录下来。
警告:并不是非常重要,但有可能说明将来的潜在问题的事件。例如,当磁盘空间不
足时,将会记录警告。
信息:描述了应用程序、驱动程序或服务的成功操作的事件。例如,当网络驱动程序
加载成功时,将会记录一个信息事件。
成功审核:成功的审核安全访问尝试。例如,用户试图登录系统成功会被作为成功审
核事件记录下来。
失败审核:失败的审核安全登录尝试。例如,如果用户试图访问网络驱动器并失败了,
则该尝试将会作为失败审核事件记录下来。
启动 Windows 2000 时,EventLog 服务会自动启动。所有用户都可以查看应用程
序和系统日志。只有管理员才能访问安全日志。
在默认情况下,安全日志是关闭的。可以使用组策略来启用安全日志。管理员也可在
注册表中设置审核策略,以便当安全日志满出时使系统停止响应。

3.4.3 事故恢复
计算机故障就是任何导致计算机无法启动或继续运行的事件。计算机出现故障的原因
小到一个硬件损坏,大到整个系统丢失(例如在发生火灾或类似事件)。Windows 2000
在遇到此类事件时,会报告一个"停止"错误消息,并显示一些必要的信息,用户和
Microsoft 产品支持服务工程师可利用这些信息确定并识别问题所在。
故障恢复就是在发生故障后恢复计算机,使用户能够登录并访问系统资源 。
Windows 2000 提供以下选项可帮助用户识别计算机故障并进行恢复:

47

1 .安全模式
用户可以使用安全模式启动选项来启动系统,在该模式下只启动最少的必要的服务。
安全模式选项包括最后一次的正确配置,如果新安装的设备驱动程序在启动系统时出现
问题,该选项尤其有用。
2 .故障恢复控制台
如果安全模式不起作用,用户可以考虑使用故障恢复控制台选项。建议只有高级用户
和管理员才使用该选项。使用安装光盘或从光盘创建的软盘来启动系统。然后,就可以访
问"故障恢复控制台",这是一个命令行界面,可从该处执行诸如启动或停止服务、访问本
地驱动器(包括格式化成 NTFS 文件系统的驱动器)等任务。详细信息,请参阅故障恢复
控制台。
3 .紧急修复盘
如果安全模式和故障恢复控制台不起作用,而且事先已做了适当的高级准备,则可
以试着用紧急修复磁盘来修复系统。紧急修复磁盘可以帮助修复内核系统文件。
( 1 )安全模式
安全模式允许用最少的设备驱动程序和服务设置启动系统。安全模式选项包括"最后
一次的正确配置",如果新安装的设备驱动程序在启动系统时出现问题,该选项尤其有用。
以安全模式启动 Windows 2000:
步骤 1 单击"开始",然后单击"关闭系统"。
步骤 2 单击"重新启动",然后单击"确定"。
步骤 3 在看到消息"请选择要启动的操作系统"后,请按 F8。
步骤 4 使用箭头键高亮显示适当的安全模式选项,然后按 ENTER。
必须关闭 NUM LOCK,数字键盘上的箭头键才能工作。
步骤 5 使用箭头键高亮显示操作系统,然后按 ENTER。
注意:
在安全模式下,Windows 2000 只使用基本文件和驱动程序(鼠标、监视器、键盘、
大容量存储器、基本视频、默认系统服务,并且不连接网络)。可以选择"网络安全模式"选
项(该选项加载上面所有的文件和驱动程序,加上启动网络所必要的服务和驱动程序),
或者"命令提示符安全模式"选项(该选项除了是启动命令提示符而不是启动 Windows
2000 以外,与安全模式完全相同)。也可以选择"最近一次的正确配置",它使用
Windows 2000 在上次关闭时保存的注册表信息启动计算机。
安全模式可帮助用户诊断问题。如果以安全模式启动时没有再出现故障现象,用户可
以将默认设置和最小设备驱动程序排除在可能的原因之外。如果新添加的设备或已更改的
驱动程序产生了问题,用户可以使用安全模式删除该设备或还原更改。
某些情况下安全模式不能帮助用户解决问题,例如当启动系统所必需的 Windows
系统文件已经毁坏或损坏时。在此情况下,紧急修复磁盘 (ERD) 能够提供帮助。
安全模式选项包括:
安全模式
只使用基本文件和驱动程序(鼠标 - 串行鼠标除外、监视器、键盘、大容量存储器、基
本视频、默认系统服务并且无网络连接)启动 Windows 2000。如果计算机没有使用安全
模式成功启动,则可能需要使用紧急修复磁盘 (ERD) 功能以修复用户的系统。
网络安全模式
只使用基本文件和驱动程序以及网络连接来启动 Windows 2000。
命令提示符的安全模式
使用基本的文件和驱动程序启动 Windows 2000。登录后,屏幕出现命令提示符,
而不是 Windows 桌面、"开始"菜单和任务栏。
启用启动记录
启动 Windows 2000,同时将由系统加载(或没有加载)的所有驱动程序和服务记
录到文件。该文件称为 ntbtlog.txt,它位于 %windir% 目录中。安全模式、网络安全模式
和命令提示符的安全模式,会将一个加载的所有驱动程序和服务的列表添加到启动日志。
启动日志对于确定系统启动问题的准确原因很有用。
启用 VGA 模式
使用基本 VGA 驱动程序启动 Windows 2000。当安装了使 Windows 2000 不能正
常启动的新视频卡驱动程序时,这种模式十分有用。当用户在安全模式(安全模式、网络

48

安全模式或命令提示符安全模式)下启动 Windows 2000 时,总是使用基本的视频驱
动程序。
最近一次的正确配置
使用 Windows 上一次关闭时所保存的注册表信息来启动 Windows 2000。只在配
置不正确时使用。最近一次的正确配置不解决损坏或缺少驱动程序或文件所导致的问题。
最后一次成功启动以来所作的任何更改也将丢失。
目录服务恢复模式
不适用于 Windows 2000 Professional。这是针对 Windows 2000 Server 操作
系统的,并只用于还原域控制器上的 SYSVOL 目录和 Active Directory 目录服务。
调试模式
启动 Windows 2000,同时将调试信息通过串行电缆发送到其他计算机。
使用"最后一次正确的配置"启动 Windows 2000
步骤 1 单击"开始",然后单击"关闭系统"。
步骤 2 单击"重新启动",然后单击"确定"。
步骤 3 在看到消息"请选择要启动的操作系统"后,请按 F8。
步骤 4 使用箭头键高亮显示"最近一次的正确配置",然后按 ENTER。
必须关闭 NUM LOCK,数字键盘上的箭头键才能工作。
步骤 5 使用箭头键高亮显示操作系统,然后按 ENTER。

3.4.4 故障恢复控制台
如果安全模式 和其他启动选项不能工作,则可以考虑使用"恢复控制台";然而,只
有用户是高级用户或管理员(可以使用基本命令标识和定位有问题的驱动程序和文件)
时,才推荐用户使用该方法。"恢复控制台"是命令行控制台,在使用计算机 CD 驱动器中
的启动光盘或使用从创建的软盘启动计算机后即可使用。有关如何从启动光盘中创建软盘
的详细信息。
要使用"恢复控制台",用户需要以 Administrator 帐户登录。该控制台提供了可用于
执行简单操作的命令(例如转到不同的目录中或查看目录)和功能更强大的操作命令
(例如修复启动扇区)。通过在"恢复控制台"的命令提示符下,键入 help,可以获得这
些命令的帮助信息。
使用"恢复控制台",可以启动和停止服务,在本地驱动器(包括用 NTFS 文件系统
格式化的驱动器)上读、写数据,从软盘或 CD 上复制数据,修复启动扇区或主引导记录,
并执行其他管理任务。如果需要通过从软盘或 CD-ROM 上复制文件来修复系统,或需要
重新配置使计算机无法正常启动的服务,则"恢复控制台"特别有用。例如,可以使用"恢
复控制台"用软盘中的正确副本替换被覆盖或损坏的驱动程序文件。
1 .启动计算机并使用 " 恢复控制台 "
步骤 1 在适当的驱动器中,插入"Windows 2000 安装"光盘或用该光盘创建的第一
张软盘。
对于不能从 CD 驱动器中启动的系统,必须使用软盘。
对于可从 CD 驱动器中启动的系统,可以使用 CD 或软盘。
步骤 2 重新启动计算机,如果使用软盘,要在系统提示下依次插入每张软盘。
步骤 3 当开始基于文本部分的安装时,请根据提示,按 R 键选择修复或恢复选项。
步骤 4 当系统提示时,按 C 键选择"修复控制台"。
步骤 5 按照屏幕上的说明,重新插入为启动系统而创建的一张或多张软盘。
步骤 6 如果有双启动或多启动系统,请选择需要从"恢复控制台"中访问的 Windows
2000 安装。
步骤 7 系统提示时,键入 Administrator 的密码。
步骤 8 在系统提示处,键入"恢复控制台"命令,键入 help 可获得一系列命令的帮助
信息,或者键入 help commandname 获得特定命令的帮助信息。
步骤 9 要退出"恢复控制台"并重新启动计算机,请键入 exit。
2 .从运行

Windows 2000 的计算机上使用 " 恢复控制台 "

步骤 1 将 Windows 2000 光盘插入到光盘驱动器中。
步骤 2 单击"文件",然后单击"运行"。
步骤 3 在"打开"框中,键入命令:

49

d:\i386\winnt32 /cmdcons (d 是指派给 CD-ROM 驱动器的驱动器号)
步骤 4 重新启动计算机并从可用操作系统列表中选择故障恢复控制台选项。
步骤 5 系统提示时,键入 Administrator 的密码。
步骤 6 在系统提示处,键入"恢复控制台"命令,键入 help 可获得一系列命令的帮助
信息,或者键入 help commandname 获得特定命令的帮助信息。
步骤 7 要退出"恢复控制台"并重新启动计算机,请键入 exit。

3.4.5 紧急修复磁盘
步骤 1 准备一张空白的、已格式化的 1.44 (MB) 的软盘。
步骤 2 打开"备份" 如图 5.56。
步骤 3 在"欢迎"选项卡上,单击"紧急修复磁盘"。
步骤 4 根据屏幕上显示的说明进行。
当完成安装之后,将原始系统设置的信息保存在系统分区的 systemroot\Repair 文
件夹中。如果使用"紧急修复磁盘"来修复用户的系统,那么可以访问该文件夹中的信息。
一定不要更改或删除该文件夹。

图 5.56 创建紧急修复磁盘

50

第 4 章 局域网的应用
局域网硬件平台构建好后,就应建立软件平台,提供应用服务,好比高速公路修建好后

就应有车在高速公路上跑,本章主要介绍四辆车: DNS 服务、DHCP 服务、WWW服务和
FTP服务

4.1 DNS 服务
4.1.1 DNS 服务器的概念和原理
  DNS 是域名系统的缩写, 它是嵌套在阶层式域结构中的主机名称解析和网络服务的
系统。当用户提出利用计算机的主机名称查询相应的 IP 地址请求的时候, DNS 服务器从
其数据库提供所需的数据。
 DNS 域名称空间:指定了一个用于组织名称的结构化的阶层式域空间
 资源记录:当在域名空间中注册或解析名称时,它将 DNS 域名称与指定的资源信息
对应起来
 DNS 名称服务器: 用于保存和回答对资源记录的名称查询
 DNS 客户:向服务器提出查询请求,要求服务器查找并将名称解析为查询中指定的
资源记录类型
1 . DNS 域名空间 DNS 域名空间是一种树状结构如图

7.1 。

图 7.1 DNS 域名树状结构

目前由 InterNIC 管理全世界的 IP 地址,在 InterNIC 之下的 DNS 结构分为多个
Domain ,如图 7.1 中 root domain 下的七个 top-level domain 都归 InterNIC 管理,上图中
还显示了由 InterNIC 分配给微软的域名空间。Top-level domain 可以再细分为 second-level
domain 如 ” Microsoft” 为公司名称,而 second-level domain 又可以分成多级的 subdomain
如“example、www”,在最下面一层被称为 hostname(主机名称)如“host-a”,一般用户使用
完整的名称来表示 (FQDN),如“host-a.example.Microsoft.com”。
(1)DNS 域名
DNS 利用完整的名称方式来记录和说明 DNS 域名,就象用户在命令行显示一个文件
或目录的路径,如 ” C:\Winnt\System32\Drivers\Etc\Services.txt”。同样在在一个完整的
DNS 域名中包含着多级域名。
如 ” host-a.example.microsoft.com” 其中 “ host-a”是最基本的信息(一台计算机的主机名
称)“example”表示主机名称为 host-a 的计算机在这个子域中注册和使用它的主机名称 ,
51

“Microsoft”是“example”的父域或相对的根域 (即 second-level domain),“com”是用于表示
商业机构的 top-level domain,最后的句点表示域名空间的根 (root)。
(2)区域(zone)
  区域 (zone) 是一个用于存储单个 DNS 域名的数据库,它是域名称空间树状结构的一
部分, DNS 服务器是以 zone 为单位来管理域名空间的,zone 中的数据保存在管理它的
DNS 服务器中。当在现有的域中添加子域时,该子域既可以包含在现有的 zone 中,也可
以为它创建一个新 zone 或包含在其它的 zone 中。一个 DNS 服务器可以管理一个或多个
zone ,同时一个 zone 可以由多个 DNS 服务器来管理。
用户可以将一个 domain 划分成多个 zone 分别进行管理以减轻网络管理的负荷,如
图 7.2 所示,microsoft.com 是一个域,用户可以将它划分为两个 zone:microsoft.com 和
example.Microsoft.com , zone 的 数 据 分 别 保 存 在 单 独 的 DNS 服 务 器 中 。 因 为
zone"example.Microsoft. com” 是 从 "domain” 延 伸 而 来 , 所 以 用 户 可 以 将
domain“microsoft.com”称为 zone“example.Microsoft.com”的 zone root domain。

图 7.2 多 zone
2 . DNS 查询的工作方式
  当 DNS 客户机向 DNS 服务器提出查询请求时,每个查询信息都包括两部分信息:
 一个指定的 DNS 域名,要求使用完整名称(FQDN)
 指定查询类型,既可以指定资源记录类型又可以指定查询操作的类型
  如指定的名称为一台计算机的完整主机名称"host-a.example.microsoft.com.", 指定的
查询类型为名称的 A (address) 资源记录。可以理解为客户机询问服务器"你有关于计算机
的主机名称为'hostname.example.microsoft.com.'的地址记录吗?当客户机收到服务器的回
答信息时,它解读该信息,从中获得查询名称的 IP 地址。
  DNS 的查询解析可以通过多种方式实现。客户机利用缓存中记录的以前的查询信息直
接回答查询请求, DNS 服务器利用缓存中的记录信息回答查询请求, DNS 服务器通过
查询其它服务器获得查询信息并将它发送给客户机。这种查询方式称为递归查询。
  另外, 客户机通过 DNS 服务器提供的地址直接尝试向其它 DNS 服务器提出查询请
求。这种查询方式称为反复查询。
  当 DNS 客户机利用 IP 地址查询其名称时,被称为反向查询。
(1)本地查询:
  下图 7.3 显示了 DNS 查询的完整过程:

图 7.3 DNS 查询的完整过程
52

当在客户机中 Web 浏览器中输入一个 DNS 域名,则客户机产生一个查询并将查询传
给 DNS 客户服务利用本机的缓存信息进行解析,如果查询信息可以被解析则完成了查询。
本机解析所用的缓存信息可以通过两种方式获得:
 如果客户机配置了 host 文件,在客户机启动是 host 文件中的名称与地址映射将被加
载到缓存中。
 以前查询时 DNS 服务器的回答信息将在缓存中保存一段时间
如果在本地无法获得查询信息,则将查询请求发送给 DNS 服务器。查询请求首先发
送给主 DNS 服务器,当 DNS 服务器接到查询后,首选在服务器管理的区域的记录中查
找,如果找到相应的记录,则利用此记录进行解析。如果没有区域信息可以满足查询请求,
服务器在本地的缓存中查找,如果找到相应的记录则查询过程结束。
如果在主 DNS 服务器中仍无法查找到答案,则利用递归查询进行名称的全面解析,
这需要网络中的其它 DNS 服务器协助,默认情况下服务器支持递归查询。
为了 DNS 服务器可以正常的进行递归查询,首选需要一些关于在 DNS 域名空间中的其
它 DNS 服务器的信息以便通信。信息以 root hints 的形式提供一个关于其它 DNS 服务器
的列表。利用 root hints DNS 服务器可以进行完整的递归查询。
如图 7.4 显示了利用递归查询来查询名称为“ host-b.example.microsoft.com.”的计算机
的过程:

图 7.4 递归查询示例
首选,主 DNS 服务器解析这个完整名称,以确定它属于那个 top-level domain,
即”com”。接着它利用转寄查询的方式向“ com”DNS 服务器查询以获得“microsoft.com”服
务器的地址,然后以同样的方法它从“microsoft.com” 服务器获得“ example.microsoft.com”
服务器的地址,最后它与名为“example.microsoft.com”的 DNS 服务器进行通信,由于用户
所要查询的主机名称包含在该服务器管理的区域中,它向主 DNS 服务器方发送一个回答,
主 DNS 服务器将这个回答转发给提出查询的客户机,到此递归查询过程结束。
(2)返回多个查询响应
  在前面所描述的查询都假设在查询过程结束时只一个肯定回答信息返回给客户机,
然而在实际查询时还可能返回其它回答信息:
 授权回答 (authoritative answer):在返回给客户机的肯定回答中加入了授权字节,指
明信息是从查询名称的授权服务器获得的
 肯定回答 (positive answer):由被查询的 RR (resource records)或一个 RRs 列表组成,
与查询的 DNS 名称和查询信息中的记录类型相匹配。
 提名回答 (referral answer ):包含未在查询中指定的附加资源记录,它返回给那些不
支持递归查询的客户机,这些附加信息可以帮助客户机继续进行转寄查询
 否定回答 (negative answer ):当遇到以下情况之一时,服务器发送否定回答
 授权服务器报告所查询的名称不在 DNS 域名空间内
 授权服务器报告所查询的名称在 DNS 域名空间内,但没有记录与查询指定的名称想
匹配
(3)缓存与 TTL
  当 DNS 服务器通过外界查询到 DNS 客户机所需的信息后,它会将此信息在缓存中
保存一份,以便下次客户机再查询相同的记录时,利用缓存中信息直接回答客户机的查
询。这份数据只会在缓存中保存一段时间,这段时间称为 TTL (Time-To-Live)。当记录保存
到缓存中, TTL 计时启动,当 TTL 时间递减到 0 的时候,记录被从缓存中清除。TTL 默
认值为 3600 秒 (1 小时)。
53

3 .区域的复制与传输
由于区域 (zone) 在 DNS 中所处的重要地位,用户可以通过多个 DNS 服务器提高域
名解析的可靠性和容错性。当一台 DNS 服务器发生问题时,可以用其它 DNS 服务器提供
域名解析。这就需要利用区域复制和同步方法保证管理区域的所有 DNS 服务器中域的记
录相同。在 Windows 2000 服务器中, DNS 服务支持增量区域传输 (incremental zone
transfer)。所谓增量区域传输就是在更新区域中的记录时,DNS 服务器之间只传输发生改
变的记录,因此提高了传输的效率。 在以下情况区域传输启动:
 当管理区域的辅助 DNS 服务器启动的时候
 当区域的刷新时间间隔过期后
 当在主 DNS 服务器记录发生改变并设置了通告列表
 DNS 通告
所谓 DNS 通告是利用“推”的机制,当 DNS 服务器中的区域记录发生改变时,它将
通知选定的 DNS 服务器进行更新,被通知的服务器启动区域复制操作。
4 .在

Windows2000 Server 中的

DNS 服务的新特性

(1)与 Active Directory 的集成
Active Directory 提供了一个企业级的工具,利用它在网络中组织、管理、定位资源。
当 DNS 服务与 Active Directory 集成在一起,它发生了两个明显的变化:
 DNS 需要安装在 Windows 2000 域控制器中 (domain controllers)。Net Logon 服务利用
新的 DNS 服务器所支持的 SRV (service) 资源记录提供客户机注册的服务
 用户可以利用 Active Directory 来存储、集成及复制区域
DNS 服务在域控制器中是默认安装的,因为域控制器的定位和活动目录的应用都需
要 DNS 服务器的支持。一旦活动目录安装完成,用户可以有两种方式保存和复制区域:
 利用文本文件存储标准区域信息,区域信息存储在 %SystemRoot%\System32\Dns 目
录下的 *.dns 文件中。
 利用活动目录存储完整目录区域信息,区域信息存储在活动目录树中的域对象容器
中,每个目录集成区域存储在一个 dnsZone 的容器对象中。
在网络中配置 DNS 服务器支持活动目录将具有以下优点:
 基于活动目录的 Multi-master 信息更新和安全性的提高,在标准区域存储模式中 ,
DNS 的更新是基于一种被称为 single-master 更新模式,在这种模式中,单一的授权
DNS 服务器被指定为主信息源,如果服务器出现问题则 DNS 客户机的请求将无法进
行处理。而使用 multi-master 更新模式,则任意一台 DNS 服务器都可以被指定为区域
的主信息源,因为区域 (zone) 的全部信息记录是由活动目录数据库进行管理的,并
且它将被复制到所有的域控制器中,任何域控制器都可以利用 DNS 服务更新区域信
息,并处理 DNS 客户机的请求。
 当在活动目录 domain 中加入新的域控制器时 Zones 的信息将自动复制到新的域控制
器中
 由于 DNS 域名空间信息存储在活动目录中,用户现在可以容易的规划和管理 DNS
和活动目录
 与标准的 DNS 目录复制相比现在的目录复制更为快捷有效
(2)支持 Unicode 字符
在以前的制定的 DNS 标准中规定只能使用 ASCII 字符编码和显示名称。在使用 DNS
进行 Internet 设置时,明显限制了在名称中使用扩展字符的使用。为了突破这种限制,在
Windows2000 中 DNS 服务提供对 UTF-8 的支持。
在 Windows 2000 服务器启动时,DNS 服务采用 UTF-8 编码识别方式。即当服务器接
收或使用的数据为 UTF-8 编码字符时,服务器可以在区域中加载或存储这些数据。当然
Windows2000 与使用传统 US-ASCII 字符的 DNS 服务器兼容。

4.1.2 安装 DNS 服务器
  步骤 1 启动“添加/删除程序”,之后出现“添加/删除程序”对话框

54

步骤 2 单击“添加/删除 Windows 组件”,出现“windows 组件向导"单击下一步”出现
“Windows 组件”对话框从列表中选择“网络服务”如图 7.5

定”

步骤 3 单击“详细内容”,从列表中选取“域名服务系统 (DNS)”, 如图 5.6,单击“确

步骤 4 单击“下一步”输入到 Windows2000 Server 的安装源文件的路径,单击“确定”
开始安装 DNS 服务
步骤 5 单击“完成”,当回到“添加/删除程序”对话框后,单击“关闭”按钮
步骤 6 关闭“添加/删除程序”窗口。
安装完毕后在管理工具中多了一个“DNS”控制台(安装结束后不用重新启动计算机)

4.1.3 DNS 服务器的设置与管理
1 . DNS 的启动设置
DNS 服务器在启动时,需要从相关配置文件中知道它所要管理的 zone 的信息,及文
件的位置。对于符合 BIND (Berkeley Internet Name Domain) 规格的 DNS 服务器是利用
bootfile 来获得配置信息的。在 Windows2000 中可以利用下表中的方法启动 DNS 服务:
方 式
描 述
从注册表 (Registry) 引导 初始化 DNS 服务时从注册表中读取配置参数,DNS 服务的默
认引导方式。
从文件引导
初始化 DNS 服务时从符合 BIND 规格的 bootfile 中读取配置
参数,首选必须从其它 BIND 服务器拷贝一份 bootfile 文件,
在启动后相关配置参数将保存在注册表中。
从 DS 引导
初始化 DNS 服务时从 Active Directory 中读取配置参
在 DNS 服务器启动后,用户可以看到如图 7.7 DNS 服务所在的计算机已经添加到
DNS 控制台中,其中包括“正向搜索区域、反向搜索区域”目录。

55

2 .添加

DNS Zone

因为 DNS 的数据是以 zone 为管理单位的,因此用户必须先建立 zone。添加 Zone 的
具体步骤如下:
步骤 1 在 DNS 控制台中左侧窗体中选择服务器单击“操作”菜单选择“创建新区域”,
启动“创建新区域”向导
步骤 2 在选择区域类型对话框中选择“标准主要区域”如图 7.8
步骤 3 在“选择区域搜索类型”中选择“正向搜索”则创建的新区域存放在正向搜索区
域目录中。

 
步骤 4 在区域名对话框中输入新区域的域名如图 7.9,如果创建辅助区域则需要输入
“主要区域”的域名。
步骤 5 在文件名对话框中新文件文本框中自动输入了以域名为文件名的 DNS 文件,
如果是创建“辅助区域”则选择“现存文件”并在文本框中输入文件名。
步骤 6 在完成设置对话框中显示以上所设置的信息单击“完成”按钮

56

下面用户对添加区域中的记录类型加以说明
(1)记录的格式:
所有的资源记录(RRs) 都利用相同 top-level 子段组成其指定的格式
子段
描述
Owner
在 DNS 管理器中说明记录的所有者的 DNS 域名,与记录属性中的
父类域名是一样的
Time-To-Live (TTL)
对于许多记录这项是可选,它表示该记录在其它 DNS 服务器的缓存
中保存的时间长度
Class
对于许多记录这项是可选的,它利用标准的记忆文本表示记录所属
的类,如在某个记录中的类子段中设置为” IN”表示记录属于 Internet

Type
用标准的记忆文本表示记录的类型
Record-specific data
记录必须具备的子段,它根据不同的记录类型和类以不同长度的子
段表示记录信息
(2)常用记录类型的说明
主机[A]
描述: 主机地址记录。在 DNS 域名与 IP 地址之间建立映射关系
语法: owner class ttl A IP_v4_address
例子: host1.example.microsoft.com. IN A 127.0.0.1
别名[CNAME]
描述: 用来表示用在该区域中的其它资源记录类型中已指定名称的替补或别名 DNS
域名。
语法: owner ttl class AFSDB subtype server_host_name
例子: aliasname.example.microsoft.com. AFSDB 1 truename.example.microsoft.com.
主机信息[HINFO]
描述: 用来说明映射到特定 DNS 主机名的 CPU 类型和操作系统类型的 RFC-1700
保留字符串类型,这个信息可以被应用程序通信协议使用。
语法: owner ttl class HINFO cpu_type os_type
例子: my-computer-name.example.microsoft.com. HINFO INTEL-386 WIN32
邮箱[MB]
描述: 用来将指定的域邮箱名映射到这个邮箱的主机的当前区域中的主机地址记录
语法: owner ttl class MB mailbox_hostname
例子: mailbox.example.microsoft.com. MB mailhost1.example.microsoft.com
(3)邮箱或通信信息 MINFO
描述: 用来指定负责维护该记录中特定通信名单或邮箱的联系域邮箱名称。同时,还
被用来指定接收与该记录中特定通信名单或邮箱有关的错误信息的邮箱
语法: owner ttl class MINFO responsible_mailbox error_mailbox
例 子 : administrator.example.microsoft.com. MINFO resp-mbox.example.microsoft.com
err-mbox.example.microsoft.com
邮件交换器 [MX]
描述: 用来向特定邮件交换器提供消息路由,该主机作为指定 DNS 域名的邮件交换
器。MX 记录需要一个 16-位整数来表示消息路由中的主机优先级,多个邮件交换在消息

57

一中被指定。对于这个记录类型中的每个邮件交换主机,需要一个相应的主机地址类型记
录。
语法: owner ttl class MX preference mail_exchanger_host
例子: example.microsoft.com. MX 10 mailserver1.example.microsoft.com
指针记录 [PTR]
描述:用来指向域名空间中的某个位置。PTR 记录通常在特殊域中来执行地址到名称
镜像的反向搜索。每个记录提供要指向域名称空间的某个其它位置的简单数据。
Syntax: owner ttl class PTR targeted_domain_name
例子: 1.0.0.10.in-addr.arpa. PTR host.example.microsoft.com.
(4)服务记录 [SRV]
描述: SRV 资源记录允许管理员使用单一 DNS 域的多个服务器,容易的用管理功
能将 TCP/IP 服务从一个主机移到另一个主机,并且将服务提供的程序主机分派为服务的
主服务器,将其它的分派为辅助的
语法: service.protocol.name ttl class SRV preference weight port target
例 子 : ldap.tcp.ms-dcs SRV 0 0 389 dc1.example.microsoft.com SRV 10 0 389
dc2.example.microsoft.com
已知服务记录 [WKS]
描述: 用来描述一个特定 IP 地址上特定通讯协议支持的 TCP/IP 服务,它提供 TCP
和 UDP 可使用性信息。如果服务器同时支持 TCP 和 UDP 的已知服务,或者有多个支持
服务的 IP 地址,多个 WKS 记录会被使用
语法: owner ttl class WKS address protocol service_list
例子: example.microsoft.com. WKS 10.0.0.1 TCP ( telnet smtp ftp )
在“起始颁发机构” SOA 中,记录了这个 Zone 中 DNS 服务器是那一台主机,也记录
着负责本 zone 的管理员的邮件地址,如果以后在安装邮件服务器需要修改该信息时,注
意将邮件地址中的“ @”符改为句点“ .”,因为“@”是保留字,代表 zone;另外,要使用域
完整名称 FQDN,不要漏掉最后的句点。可以通过“zone→属性→起始颁发机构”对管理员
邮件地址进行修改。
3 .添加

DNS Domain

在一个区域中用户还可以按地域、职能等划分为多个子域便于管理,如用户可以在
NT2000.com 域中按部门划分为“sale”,“accounting”,“mis”等部门。下面用户举例说明在
nt2000.com 域中加入 accounting 子域:
步骤 1 单击 nt2000.com 后单击"操作"单击“新建”,选择域
步骤 2 在域对话框中输入域名
步骤 3 单击确定
添加反向查询区域 (zone)
反向查询可以让用户利用 IP 地址查询名称。添加反向查询的具体步骤如下:
步骤 1 在 DNS 控制台中选择“反向查询区域→操作→创建新区域”
步骤 2 启动创建新区域向导→在选择区域类型对话框中选择标准主要区域
步骤 3 在网络 ID 对话框中输入反向搜索区域的网络标识 (假设提供反向查询的 zone
为 198.188.188),向导会自动输入子网掩码并在文件名对话框中输入的新文件名称如图
7.10 中的 255.255.255,188.188.198.in-addr.arpa.dns。

58

步骤 4 单击“完成”按钮则在反向搜索区域中添加了一个新区域如图 7.11

4 .设置

DNS 服务器的动态更新

在以前版本的 DNS 服务器中的主机地址记录是手工添加的,当主机的 IP 地址发生
变化时,需要管理员手工修改,在 Windows2000 中可以利用动态更新的方式,当 DHCP
主机 IP 地址发生变化时,会在 DNS 服务器中自动更新,这样减轻了管理员的负荷。具体
设置如下:
步骤 1 首选用户需要对 DHCP 服务器的属性进行设置,选择 DHCP 服务器,显示属
性单击动态 DNS 如图 7.12 在其中选中"启动 DNS 客户信息动态更新“并选中选项中的”当
租约过期时取消正向搜索、对非动态 DNS 客户更新“两个选项”。

步骤 2 在 DNS 控制台中展开正向搜索区域,选择区域,单击“操作”,单击属性,在
“常规”标签中在下方的动态更新下拉列表中选择“允许更新”→确定如图 7.13
步骤 3 展开反向搜索区域,选择反向区域单击操作单击属性并在“常规”标签中下方
选择“允许更新”。
这样在客户信息改变时,它在 DNS 服务器中的信息也会自动更新。
服务器的转发程序的设置
当 DNS 服务器无法提供 DNS 客户机需要查询的数据时,它可以通过一台有转发器
功能的 DNS 服务器转发此查询到其它 DNS 服务器进行递归查询,但必须设置本服务器
可以使用该转发器。通常在用户需要通过慢速连接访问远端 DNS 服务器时需要使用转发
器。
59

选择 DNS 服务器→操作→属性→转发程序标签→输入转发器的 IP 地址→如果要将此
服务器作为转发器的辅助服务器可以选择"作为辅助服务器操作"选项,这样如果转发器无
法提供所需信息时,则此服务器直接将结果发送给客户机,不再进行查询。

5 .修改区域传输的通知列表
(1)对“起始颁发机构(SOA)”参数的设置。
单击区域单击“操作”,单击属性进入起始颁发机构(SOA)标签如图 7.14

序列号:当执行区域传输时,首选检查序列号,只有当主服务器的序列号比辅助服务器
的序列号大的时候(表示辅助服务器中的数据已过时)复制操作才会执行。
刷新间隔:设置辅助服务器隔多长时间需要检查其数据,执行区域传输
重试间隔:当在刷新间隔到期时辅助服务器无法于主服务器通讯,需等多久再重试
过期间隔:如果辅助服务器一直无法与主服务器建立通讯,在此时间间隔后辅助服
务器不再执行查询服务,因为其包含的数据可能是错误的。
最小 TTL:服务器查询到的数据在缓存中的保存时间。
60

(2)修改通知列表
  选择区域的属性中的区域传输标签中设置与那些服务器进行区域传输,默认情况下
将与网络中的所有 DNS 服务器进行区域传输,也可以设置为只与名称服务器列表中的服
务器进行区域传输或与指定的服务器进行区域传输。如图 7.15

当 DNS 服务器启动时会自动执行区域传输,以便将主服务器中的数据复制到辅助服
务器中,另外用户还可以设置在 DNS 服务器运行过程中定期执行区域传输操作,当主服
务器的数据变化时,它会将更改通知发送给想应的服务器,则相应的服务器可以不必等
到刷新间隔立即执行传输操作。
通过区域属性,进入区域传送标签,“通知”按钮出现如图 7.16

永不发送区域通知:在主服务器的数据发生改变时不发送区域通知给其它服务器
通知名称服务器页上的服务器:在主服务器的数据发生改变时向名称服务器列表中
的服务器发送通知,只通知指定的服务器。

4.1.4 与 WINS 的结合使用
  当 DNS 服务器与 WINS 服务结合使用后,在 DNS 域名空间无法查询的名称可以利
用 WINS 管理的 NetBIOS 名称空间进行查询。 当 DNS 服务器与 WINS 服务结合使用时,
61

在区域中加入两个专门的 WINS 资源记录类型 (WINS 和 WINS-R 资源记录) ,当使用
WINS 记录时,如果 DNS 无法在域名空间中查找到相应的主机名称,则将记录转送到这
个记录所设置的 WINS 服务器中,WINS-R 记录提供反向查询的功能。在一个区域中启动
WINS 查询功能具体步骤如下:
步骤 1 首选在 DNS 服务器中选择一个区域由简单击属性属性单击 WINS 标签
步骤 2 选择"使用 WINS 名称解析"选项,在下方的 WINS 服务器中添加 WINS 服务
器的 IP 地址如图 7.17

步骤 3 如果在区域传输时 用户不想将这条记录复制给其它 DNS 服务器,则用户可以
选中“不复制此记录”。
设置完毕后,在数据库中将添加一个类型为 WINS 的记录。
举例来说,如果将 nt2000.com 这个域设置为“使用 WINS 名称解析”,当客户机向服
务器查询主机名为"one.nt2000.com"的 IP 地址时,如果 DNS 服务器无法在其管理的域名
空间中解析此主机名称,则将此查询转发至设置的 WINS 服务器进行解析。注意 DNS 服
务器并不是将完整主机名称发送给 WINS 服务器,而是只发送主机名称 “ one”,然后由
WINS 服务器提供其解析的 IP 地址,DNS 服务器再将其发送给客户机。由于 WINS 数据
库中保存的是计算机名(NETBIOS 名),而不是主机名称,所以为了让 WINS 服务器正
常发挥作用,则在设置计算机的主机名称时,将其设置的域主机名称相同。
  当 DNS 服务器在将查询结果发送给客户机的时候,它将结果保存到缓存中一份。下
次再有相同查询时,可以利用缓存中的数据直接回答,提高了查询速度。利用高级设置其
缓存中的数据保存时间 TTL。如图 7.18

超时值放入高速缓存:设置数据在缓存中的保存时间
查找超时值:在 DNS 服务器将查询发送给 WINS 服务后,如果在此时间间隔内
WINS 服务器没有作出回答,则 DNS 服务器将此查询结果发送给客户机。
设置 WINS 反向查询
在 DNS 控制台中展开反向搜索区域,选择区域→属性→选择 WINS-R 标签,在其中
选择"使用 WINS 反向搜索"选项如图 7.19,然后在"附加到反向搜索上的域名"文本框中输
入 DNS 域名称,DNS 服务器会将由 WINS 查询到的计算机名与域名合并后,再发送给客
户 机 。 如 查 询 结 果 为 test , 而 域 名 称 为 nt2000.com 则 返 回 给 客 户 机 的 结 果 为
test.nt2000.com

62

4.1.5 客户机的 DNS 设置
在成功安装 DNS 服务器后,就可以在 DNS 客户机启用 DNS 服务,下面具体说明如
何在客户机上设置并启用 DNS 服务
1 . LAN Manager 的 DNS 设置
在安装 TCP/IP 或执行 SETUP 程序时或修改 TCPUTILS.INI 文件中的 [NDR]session
,在”TCP/IP Setting”中选择 <Advanced…>,
Username: 登录的用户名称
Hostname: 客户机的主机名称
选择”use DNR for hostname resoluteion"
在”Primary Nameserver Ip Address”处,输入主 DNS 服务器 IP 地址
在”Secondary Nameserver Ip Address”处,输入辅助 DNS 服务器 IP 地址
在”Domain Name Suffix”处,输入 DNS 域名称
2 . Windows98 的

DNS 设置

(1)进入 TCP/IP 高级属性
选择 DNS 配置标签,选择“启用 DNS”选项如图 7.20
输入主机名称、域名称,添加 DNS 服务器 IP 地址。

63

3 . WindowsNT4.0 的 DNS 设置
  在 WindowsNT4.0 server/workstation 中,
择” DNS” ,在 DNS 标签中如图7.21 中

TCP/IP 通信协议单击 " 属性”选

主机名:输入计算机的主机名称
域:主机所隶属的域名称
DNS 服务器搜索顺序:添加 DNS 服务器的地址
域后缀搜索顺序:添加主机名称的后缀。
4 . Windows 2000Professional 的

DNS 设置

打开网络和拨号连接双击本地连接,单击属性选择 Internet 协议(TCP/IP)然后选择
属性,如果在 DHCP 服务中设置了 DNS 的信息则在对话框中选择"自动获得 DNS 服务器
地址" 选项并分别在首选 DNS 服务器和备用 DNS 服务器中填写主 DNS 服务器和辅助
DNS 服务器的 IP 地址如图 7.22。

如果需要进一步设置客户机的 DNS 属性,则单击 “ 高级 ” 按钮选择 DNS 标签如图
7.23,如果选择“搜索主 DNS 和每一个连接的 DNS 域”表示在搜索一个不标准的域名称
时只能在父域中搜索,如果父域中搜索不到该域名则将此结果返回;如果选择“搜索这些
DNS 域”选项则在搜索域名称时首选在列表中的服务器上搜索,如果搜索不到结果则在其
它域中进行搜索。
64

“ 在 DNS 注册此连接的地址、在 DNS 中注册此连接的域名 ” 这两个选项用于在
Win2000 环境中在登录时将客户机的 IP 地址及域名注册到 DNS 服务器中。
在 DNS 服务器和客户机的设置完成后用户可以利用 IPCONFIG、PING、NSLOOKUP
三个命令测试 DNS 服务器的设置是否正确.具体使用,请参看 Windows 2000 Server 中相
应文档。

4.2 管理 Internet 信息服务器
4.2.1 WEB 站点和 FTP 站点的配置与管理
1 .安装

IIS

步骤 1 单击"开始",指向"设置",单击"控制面板",然后启动"添加/删除程序"应用程
序。
步骤 2 选择"配置 Windows",单击"组件"按钮,然后按照屏幕提示安装、删除或添加
IIS 组件,安装完毕后 如图 7.3.1。
注 意 : 如 果 升 级 到 Windows 2000 , 那 么 只 有 在 以 前 版 本 的 Windows 中 安 装 了
IIS,IIS 5.0 才被默认安装。

2 . WEB 站点和FTP站点的介绍
(1)Web 和 FTP 站点
无论是在 Intranet 还是在 Internet 上,都可以按三种方式在运行 Windows 2000 的单
个计算机上创建多个 Web 和 FTP 站点:
将端口号附加到 IP 地址。
使用多个 IP 地址,每个都有自己的网络适配卡。

65

通过使用主机头名将多个域名和 IP 地址指派给一个网络适配卡。
以下示例说明了 Intranet 方案如图 7.3.2 ,此处系统管理员已将 Windows 2000 Server
和 IIS 一 并 安 装 在 公 司 服 务 器 上 , 这 将 导 致 产 生 一 个 默 认 的 Web 站 点 , 即
http://CompanyServer。然后系统管理员将创建两个"额外的"Web 站点,分别对应于两个
部门:市场部和人力资源部。

虽然位于同一计算机上,但"CompanyServer"、"市场部"和"人力资源部"看起来都象是
唯一的 Web 站点。这些部门站点具有相同的安全选项,就好象它们存在于独立的计算机
上那样,这是因为每个站点均有其自己的访问和管理权限设置。此外,管理任务可以分配
给每个部门的成员。关于维护多个站点的详细信息,请参阅"关于名称解析"中的将主机头
名、地址和端口分配给 Web 站点。
当创建大量站点时,请一定考虑硬件的限制并根据需要进行升级。
(2)站点的属性和属性继承
属性是可以在 Web 站点上设置的值。例如,可以使用 Internet 信息服务管理单元将指
派到默认 Web 站点的 TCP 端口号从默认值 80 更改为另一个号。在属性页中显示站点属性
并将其存储在称为"metabase"的数据库中。
在 IIS 的安装过程中,将默认值指派给属性页中的各种属性。可以在 IIS 中使用默认
设置,也可以自定义这些设置以适应自己 Web 发布的需要。通过调整默认设置,可以提
供附加值、更好的性能以及更高的安全性。
可以在站点级、目录级或文件级设置属性。将自动使用高级别(如站点级)设置,或
由低级别(如目录级)设置"继承"但仍可以在低级别单独编辑。一旦在单独站点、目录或文
件中更改了属性,日后对主默认值的更改将不会自动覆盖单独设置。相反,用户将接收到
询问是否要更改单独站点、目录或文件以使其与新默认值匹配的警告信息。
某些属性具有采用列表形式的值。例如,当用户未在 URL 中指定文件时,默认文档
值可以是要加载的文档列表。自定义错误消息、TCP/IP 访问控制、脚本映射和 MIME 映射
是以列表格式存储的属性的其他实例。虽然这些列表有很多项,但 IIS 仍将整个列表作为
一个单个属性来处理。如果在目录中编辑列表并在站点级进行了全局更改,则目录级的列
表将被来自站点级的新列表所替换;列表不会合并。同样,具有列表值的属性只在主级别
或默认值已更改的站点或目录显示其列表。如果列表值是继承的默认值,则将不显示。
筛选器以列表格式显示,但不作为列表处理。如果在站点级添加筛选器,则新筛选器
将与主级别的筛选器列表合并。如果两个筛选器具有相同的优先级设置,则主级别的筛选
器将在站点级筛选器之前进行加载。
如果需要修改默认属性并且正在创建几个 Web 或 FTP 站点,则可以编辑默认值以便
所创建的每个站点都将继承自定义值。有关更改所有 Web 或 FTP 站点默认值的详细信息,
请参阅更改继承的默认值。
如图 7.3.3 说明了用于设置所有 Web 站点属性的属性页。
66

(3)Web 站点操作员
Web 站点操作员是一组在单独 Web 站点上具有有限管理特权的特殊用户。操作员可
以管理只影响其各自站点的属性。他们无权访问影响 IIS、维护 IIS 的 Windows 服务器计算
机或网络的属性。
例如,托管大量不同公司站点的 ISP 可以将每个公司的代表指派为每个单独公司
Web 站点的操作员。这种分布式服务器管理方法具有以下优点:
每个操作员可以作为站点管理员并根据需要更改或重新配置 Web 站点。例如,操作
员可以设置 Web 站点访问权限,启用记录,更改默认文档或页脚, 设置内容截止日期和
启用内容分级特性。
不允许 Web 站点操作员更改 Web 站点的标识、配置匿名用户名或密码、限制带宽、创
建虚拟目录或更改其路径或更改应用程序隔离。
由于操作员较 Web 站点管理员具有更多受限制的特权,故他们无法远程浏览文件系
统,因此也就不能设置目录和文件中的属性,除非使用 UNC 路径。
(4)远程管理站点
由于不是总可以方便地在运行 IIS 的计算机上执行管理任务,因此可使用两个远程管
理选项。如果通过 Internet 或代理服务器与用户的服务器连接,就可以使用基于浏览器的
Internet 服务管理器 (HTML) 更改站点上的属性。如果处于 "Intranet"上,就可以使用
Internet 服务管理器 (HTML) 或宿于 Microsoft 管理控制台 (MMC)上的 Internet 信息服务
管理单元。 虽然 Internet 服务管理器 (HTML) 提供很多与管理单元相同的特性,但却不能
使用 Internet 服务管理器 (HTML) 对要求与 Windows 实用程序(如证书映射)协调的属
性进行更改。
注意: 在以前的版本中,Internet 信息服务管理单元称为 Internet 服务管理器。
Internet 服务管理器 (HTML) 使用作为管理 Web 站点列出的 Web 站点访问 IIS 属性。
但安装了 IIS 后,将随机选择一个介于 2,000 和 9,999 之间的端口号并将其指派给该
Web 站点。只要端口号附加到地址,站点将对安装在计算机上的所有域名的 Web 浏览器
请求作出响应。如果使用基本验证,则将在到达站点时要求管理员提供用户名和密码。只
有 Windows Administrators 组成员才可以使用该站点。Web 站点操作员还可以远程管理
Web 站点。有关如何使用 Internet 服务管理器 (HTML) 或 Internet 信息服务管理单元的详
细信息,请参阅远程管理。
注意:虽然 Internet 服务管理器的 HTML 版本与其管理单元版本具有很多相同的功
能,HTML 版本是沿着 Web 页的线路设计的。不支持鼠标右键单击。很多熟悉的工具栏按
钮或选项卡头将作为链接显示在左边的窗格中。由于这些差异,文档中的指示不可能总是
准确地描述 Internet 服务管理器 (HTML) 中执行的步骤。
当执行远程管理任务时,联机文档同样有效。要访问该文档,请启动浏览器并键入
http://servername/iishelp/iis/misc/default.asp,其中,servername 代表运行 IIS 的计算机的
名称。

67

可使用网络连接上(如 LAN、PPTP 或拨号)的 Microsoft 终端服务远程管理 IIS。终端
服务不要求在远程计算机上安装 Microsoft 管理控制台 (MMC) 或 IIS 管理单元。默认情况
下,终端服务文档安装在 C:\Winnt\Help\TermSrv.chm 和 C:\Winnt\Help\TermCli.chm 下。
(5)FTP 重新启动
FTP 重新启动说明下载文件时出现断开网络连接的问题。支持 FTP 重新启动的客户端
只需使用 REST 命令重新建立其 FTP 连接,文件传输便能自动找到断点。
注意:当使用 FTP 来下载通配符请求 (MGET)、将文件上载到服务器 (PUT) 或下载大
于 4G 字节的文件时,将不启用 IIS 5.0 的 FTP 重新启动执行。
(6)MIME 映射
多用途网际邮件扩充协议 (MIME) 是一个 Internet 标准,它给 Web 浏览器提供查阅
多格式文件的方法。把在 Windows 2000 上默认安装的注册文件类型列于 Internet 信息服务
属性页的"文件类型"对话框中。
可以在计算机、Web 站点、虚拟目录、目录或文件级别配置 MIME 映射。要在计算机级
别配置 MIME 映射,请使用 Internet 信息服务属性页。要在其他级别配置 MIME 映射,请
使用 HTTP 头属性页。
注意: 在计算机级配置的 MIME 映射不会自动覆盖在低级别设置的映射。
3 .建立

WEB 和

FTP 站点

(1)在 Web 站点上发布内容
步骤 1 为 Web 站点创建主页。
步骤 2 将主页文件命名为 Default.htm 或 Default.asp。
步骤 3 将主页复制到 IIS 的默认 或指定的 Web 发布目录中。默认 Web 发布目录也称
为主目录,安装程序提供的位置是 \Inetpub\Wwwroot。
步骤 4 在 Internet 信息服务管理单元中选择计算机或站点,然后单击"动作"按钮。
步骤 5 单击"新建",然后单击"Web 站点"启动站点向导 如图 7.3.4。

步骤 6 首先输入 Web 新站点的标识信息,然后单击"下一步",在此输入 Web 站点的
IP 地址和 TCP 端口地址。如果通过主机头文件将其他站点添加到单一 IP 地址,必须指定
主机头文件名称,如图 7.3.5。

然后单击"下一步"输入站点的主目录路径。如图 7.3.6。

68

步骤 7 单击"下一步"选择 Web 站点的访问权限 如图 7.3.7,单击"下一步"完成设置。
步骤 8 如果网络具有名称解析系统(通常为 DNS),那么访问者可以简单地在其浏
览器地址栏中键入计算机名到达站点。如果网络没有名称解析系统,那么访问者必须键入
计算机的数字 IP 地址。
注意: 在站点向导中,"全部未指定"表示指派给计算机但并未指派给特定站点的 IP
地址。默认的 Web 站点使用尚未指派给其他站点的所有 IP 地址。只能设置一个站点使用未
指派的 IP 地址。如果允许匿名用户访问则需要选中"允许匿名用户访问 Web 站点"附选项。

(2)在 FTP 站点上发布内容
步骤 1 将文件复制或移动到默认的 FTP 发布目录。安装程序提供的默认目录是
\Inetpub\Ftproot。
步骤 2 在 Internet 信息服务管理单元中选择计算机或站点,然后单击"动作"按钮。
步骤 3 单击"新建",然后单击”FTP 站点"启动站点向导类似图 7.3.4。
步骤 4 首先输入 FTP 新站点的标识信息,然后单击"下一步",在此输入 FTP 站点的
IP 地址和 TCP 端口地址。类似图 7.3.5。然后单击"下一步"输入 FTP 站点的主目录路径,类
似图 7.3.6。
步骤 5 单击"下一步"选择 FTP 站点的访问权限类似图 7.3.7,单击"下一步"完成设置。
步骤 6 如果网络具有名称解析系统(通常为 DNS),那么访问者可以在其浏览器地
址栏中键入后面跟有计算机名的 ftp:// 到达站点。如果没有,那么访问者必须键入 ftp://
和计算机的数字 IP 地址。
在 Web 和 FTP 站点建立完毕后,它们自动开始运行,如图 7.3.8。

69

4 .启动和停止站点
默认情况下,站点将在计算机重新启动时自动启动。停止站点将停止 Internet 服务,
并从计算机内存中卸载 Internet 服务。暂停站点将禁止 Internet 服务接受新的连接,但不
影响正在进行处理的请求。启动站点将重新启动或恢复 Internet 服务。
步骤 1 在 Internet 信息服务管理单元中,选择要开始、停止或暂停的站点。
步骤 2 单击工具栏中的"开始"、"停止"或"暂停"按钮。
注意:如果站点意外停止,Internet 信息服务管理单元将无法正确显示服务器的状态 。
重新启动之前,请单击"停止",而后单击"开始"重新启动站点。
5.重新启动 IIS
  在 IIS 5.0 中,可以停止并重新启动所有 IIS 管理单元中的 Internet 服务,这使得在应
用程序运行不正常或变得不可用时无需重新启动计算机。
步骤 1 在 Internet 信息服务管理单元中,选择内容窗格中的 "计算机"图标,然后单
击"动作"按钮。
步骤 2 单击"动作"按钮并选择"重新启动 IIS"。
步骤 3 从下拉菜单中,选择" 重新启动 Internet 服务"、" 停止 Internet 服务"、"启动
Internet 服务"或"重新启动 计算机名称"。
注意:
 重新启动 Internet 服务必须使用上述方法,而不用 Windows 2000 服务管理单元。
由于多个 Internet 服务在一个进程中运行,因此 Internet 服务的关闭和重新启动
与其他 Windows 服务有所不同。为了按计划重启,或与第三方或自定义工具集
成,这里提供了命令行方式的 IIS 管理单元 重新启动功能:Iisreset.exe。请参阅
以下命令行用法和参数。
 重新启动将停止所有的 Drwtsn32.exe、Mtx.exe 和 Dllhost.exe 进程,目的是重新
启动 Internet 服务。 无法使用基于浏览器的 Internet 服务管理器 (HTML) 来重新
启动 IIS。

4.2.2 设置 WEB 和 FTP 属性
1 . Web 站点属性
(1) Web 站点属性页
如图 7.3.9 在 Web 站点的主属性页用于设置 Web 站点的标识参数、连接、启用日志纪
录。

①Web 站点标识
单击"高级"按钮配置 IP 地址、TCP 端口号和主机头名称。
70

 IP 地址
对于要在该框中显示的地址,必须已经在"控制面板"中定义为在该计算机上使用。详
细信息,请参阅 Windows 文档。如果不指定特定的 IP 地址,该站点将响应所有指定到该
计算机并且没有指定到其他站点的 IP 地址,这将使该站点成为默认 Web 站点。
 TCP 端口
确定正在运行服务的端口。默认情况下为端口 80。可以将该端口更改为任意唯一的
TCP 端口号,但是,客户必须事先知道请求该端口号,否则其请求将无法连接到用户的
服务器。端口号是必需的,而且该文本框不能置空,详细信息,请参阅命名 Web 站点。
 SSL 端口
要指定安全套接字层 (SSL) 加密使用的端口,请在该框中键入端口号。可以将该端口
号更改为任意唯一的端口号,但是,客户必须事先知道请求该端口号,否则其请求将无
法连接到用户的服务器。必须有 SSL 端口号,该文本框不能置空,详细信息,请参阅加密
② 连接
无限:选择该选项允许同时发生的连接数不受限制。
限制到:选择该选项限制同时连接到该站点的连接数,在该对话框中,键入允许连
接的最大数目。
连接超时:设置服务器断开未活动用户的时间(以秒为单位)。这将确保 HTTP 协议
在关闭连接失败时可关闭所有连接。
  启用保持 HTTP 激活:允许客户保持与服务器的开放连接,而不是使用新请求逐个
重新打开客户连接。禁用保持 HTTP 激活会降低服务器性能。默认情况下启用保持 HTTP
激活。
③ 启用日志记录
选择该选项将启用 Web 站点的日志记录功能,该功能可记录用户活动的细节并以用
户选择的格式创建日志。启用日志记录后,请在"活动日志格式"列表中选择格式。
活动日志格式:
Microsoft IIS 日志格式 固定 ASCII 格式。
ODBC 日志(仅在 Windows 2000 Server 中提供)
记录到数据库的固定格式。
W3C 扩充日志文件格式 可自定义的 ASCII 格式,默认情况下选择该格式。必须选择
该格式才能使用"进程帐号"。
要配置日志文件创建选项(如每周,或按文件大小),或者配置 W3C 扩充日志记录
或 ODBC 日志记录的属性,请单击"属性"。
(2)Web 站点操作员
 使用该属性表可指定拥有该站点操作员权限的 Windows 用户帐户。
添加:要将用户帐户添加到操作员列表中,请单击"添加"。
删除:要删除目前选择的用户帐户,请单击"删除"。要选择多个帐户,请在选择单个
帐户时按住 CTRL 键,或者选择一系列帐户时按住 SHIFT 键。
(3)性能属性页
使用该属性页如图 7.3.10 设置影响内存和带宽使用的属性。

71

① 性能调整
将该设置调整为期望站点每日连接的数目。如果该数目设置得略小于实际连接数,则
连接速度会更快并且服务器性能也将提高。如果该数目设置得远远大于实际连接数,则将
浪费服务器内存并降低服务器的整体性能。
② 启用带宽限制
选择该选项以限制 Web 站点使用的带宽。仅对该 Web 站点而言,此处键入的带宽值
将覆盖在计算机级设置的值,尽管该值大于计算机级设置的值。
③ 启用进程限制
选择该选项以限制该 Web 站点可用于处理应用程序之外的 CPU 处理时间的百分比。
如果选择了该框但未选择"强制性限制",则唯一的后果将是在超过指定限制时把事件写入
事件记录中。
(4)ISAPI 过滤器属性页
使用该属性页设置 ISAPI 过滤器的选项。ISAPI filter 是在处理 HTTP 请求过程中响应
事件的一个程序。
要添加 ISAPI 过滤器,请单击"添加"按钮。
要删除 ISAPI 过滤器,请选择它并单击"删除"按钮。
要更改 ISAPI 过滤器的属性,请选择它并单击"编辑"按钮。
要启用 ISAPI 过滤器,请选择它并单击"启用"按钮。
要禁用 ISAPI 过滤器,请选择它并单击"禁用"按钮。
要更改 ISAPI 过滤器的执行顺序,请选择它并单击向上或向下箭头。只能更改具有相
同优先级的过滤器的装载顺序。
(5)主目录属性页
使用该属性页如图 7.3.11 可以更改 Web 服务器主目录的位置(默认为 /Wwwroot)

72

① 脚本资源访问
若要允许用户访问已经设置了"读取"或"写入"权限的资源代码,请选中该选项。资源
代码包括 ASP 应用程序中的脚本。详细信息,请参阅设置 Web 服务器权限。
 读取
若要允许用户读取或下载文件(目录)及其相关属性,请选中该选项。
 写入
若要允许用户将文件及其相关属性上载到服务器上已启用的目录,或者更改可写文
件的内容,请选中该选项。"写入"操作只能在支持 HTTP 1.1 协议标准的 PUT 功能的浏览
器中进行。
 目录浏览
若要允许用户查看该虚拟目录中文件和子目录的超文本列表,请选中该选项。虚拟目
录不会显示在目录列表中,用户必须知道虚拟目录的别名。
注意:如果用户试图访问文件或目录并且满足以下两个条件, Web 服务器将在用户
Web 浏览器中显示"禁止访问"错误消息。
第一条:禁用目录浏览。
第二条:用户未指定文件名,如 Filename.htm。
 日志访问
若要在日志文件中记录对该目录的访问,请选中该选项。只有启用了该 Web 站点的
日志才会记录访问。详细信息,请参阅记录站点活动。
 索引此资源
若允许 Microsoft Indexing Service 将该目录包含在 Web 站点的全文本索引中,请选
中该选项。
② 应用程序设置
基于 Web 的 IIS 应用程序由其所在的目录结构定义。详细信息,请参阅关于应用程序。
若要创建应用程序,请参阅创建应用程序。
③ 执行许可
此项权限可以决定对该站点或虚拟目录资源进行何种级别的程序执行。详细信息,请
参阅设置 Web 权限。
无只允许访问静态文件,如 HTML 或图像文件。
纯脚本只允许运行脚本,如 ASP 脚本。
脚本和可执行程序 可以访问或执行各种文件类型。
④ 应用程序保护
选择运行应用程序的保护方式:与 Web 服务在同一进程中运行(低)、与其他应用程
序在独立的共用进程中运行(中)、或者在与其他进程不同的独立进程中运行(高)。
 重定向到 URL
选中"重定向到 URL"后将出现这些属性。客户将被送到上面输入的准确 URL 将虚拟
目录重定向到目标 URL,但不会添加原始 URL 的任何其他部分。使用该选项可以将整个
73

虚拟目录重定向到一个文件。例如,若要将对"/scripts"虚拟目录的所有请求都重定向到主
目录中的文件 Default.htm,请在"重定向到"文本框中键入"/Default.htm,然后选中该选项。
在这之下的目录 将父目录重定向到子目录。例如,若要将主目录(由 / 指定)重定向
到子目录"/newhome",请在"重定向到"文本框中键入"/newhome",然后选中该选项。如果
不选中该选项,Web 服务器会继续将父目录映射为其自身。
此资源的永久重定向将以下消息发送到客户:"301 永久重定向"。重定向被认为是临
时的,而且客户浏览器收到以下消息:"302 临时重定向"。某些浏览器会将"301 永久重定
向"消息作为信号来永久地更改 URL,如书签。
 重定向变量
使用重定向变量可以传递部分原始 URL 到目标 URL。详细信息,请参阅重定向引用。
 重定向通配符
使用重定向通配符可以匹配原始 URL 中任意数量的字符。
(6)文档属性页
使用该属性页定义站点的默认 Web 页和将页脚附加到站点的文档中。
① 启用默认文档
要在浏览器请求指定文档名的任何时候提供一默认文档,请选择该复选框。默认文档
可以是目录的主页或包含站点文档目录列表的索引页。
要添加一个新的默认文档,请单击"添加"。可以使用该特性指定多个默认文档。按出现
在列表中的名称顺序提供默认文档。服务器将返回所找到的第一个文档。
要更改搜索顺序,请选择一个文档并单击箭头按钮。
要从列表中删除默认文档,请单击"删除"。
② 启用文档页脚
要自动将一个 HTML 格式的页脚附加到 Web 服务器所发送的每个文档中,请选择该
选项。
页脚文件不应是一个完整的 HTML 文档。而应该只包括需用于格式化页脚内容外观和
功能的 HTML 标签。
要指定页脚文件的完整路径和文件名,请单击"浏览"。
(7)目录/文件安全属性表
使用该属性表如图 7.3.12 设置 Web 服务器的安全特性。

① 匿名访问和验证控制
要配置 Web 服务器的验证和匿名访问功能,请单击"编辑"。使用该功能可配置 Web
服务器在授权访问受限制内容之前确认用户的身份。
但是,首先必须创建有效的 Windows 用户帐户然后配置这些帐户的 Windows 文件系
统 (NTFS) 目录和文件访问权限后,服务器才能验证用户的身份。详细信息,请参阅关于
验证。
②IP 地址及域名限制
(该功能仅在安装有 Windows 2000 Server 的设备中可用。)
74

要允许或阻止特定用户、计算机、计算机组或域访问该 Web 站点、目录或文件,请单
击"编辑"。详细信息,请参阅关于访问控制。
③ 安全通信
要使用新证书向导创建服务器证书请求,请单击"服务器证书"。安装有效服务器证书
后才能使用 Web 服务器的安全通信功能。详细信息,请参阅证书。
要配置 Web 服务器的安全套接字层 (SSL) 安全通信功能,请单击"编辑"。可以执行以
下操作:
要求用户建立安全(加密)链接以便连接到用户的目录或文件。
配置 Web 服务器的客户证书映射和验证功能。
创建和配置证书信任列表 (CTL)。
启用 Windows 目录服务匹配器 (该选项只在主属性级并且服务器是 Windows 2000
域的成员时才可用。)
要使用目录服务 (DS) 客户证书映射而不是一对一或多对一映射,请选择该选项。有
关客户证书映射的详细信息,请参阅将客户证书映射到用户帐户。
(8)HTTP 头属性页
使用 HTTP 头属性页 如图 7.3.13 以设置返回到浏览器 HTML 页头部中的值。

① 启动内容失效
选择该复选框以包括失效信息。在对时间敏感的资料中包括日期,诸如专门报价或事
件公告。浏览器将当前日期与失效日期进行比较,以便确定是显示高速缓存页还是从服务
器请求一更新过的页面。
② 自定义 HTTP 头
使用该属性将自定义 HTTP 头从 Web 服务器发送到客户浏览器。自定义 HTTP 头可
用来发送当前 HTML 规范中尚不支持的指令,诸如产品发布时 IIS 尚不支持的更新的
HTML 标签。例如,可以使用自定义 HTTP 头允许客户浏览器高速缓存页但却防止代理服
务器高速缓存该页。
要使 Web 服务器发送自定义 HTTP 头,请单击"添加",然后在" 添加自定义 HTTP
头"对话框中键入头的名称和值。
要编辑现存的自定义 HTTP 头,请选择自定义 HTTP 头并单击"编辑"。
要终止发送自定义 HTTP 头,请选择自定义 HTTP 头并单击"删除"。
③ 内容分级
使用内容分级在 Web 页的 HTTP 头中嵌入描述性标签。诸如 Microsoft Internet
Explorer 3.0 版本或更高版本的浏览器将检测内容分级以帮助用户识别可能有异议的 Web
内容。
要为 Web 站点、目录或文件设置内容分级,请单击"编辑分级"。
④MIME 映射
选择"文件类型"按钮配置多用途网际邮件扩充 (MIME) 映射。

75

这些映射设置各种 Web 服务返回到浏览器的文件类型。将在"文件类型"对话框中列出
以默认方式安装在 Windows 中的注册文件类型。在"文件类型详细信息"框中将列出所选文
件类型的文件类型扩展名和 MIME 映射。
要配置其他 MIME 映射,请单击"文件类型"对话框中的"新类型"按钮。
 在"文件类型"对话框中,键入与"关联扩展名"框中相关联的扩展名。
 在"内容类型 (MIME)"框中,以"mime 类型/文件扩展名"形式输入后面跟有文件
名扩展名的 MIME 类型。
要删除 MIME 映射,请在"已注册的文件的类型"框中选择文件类型并单击"删除"。
要编辑现存的 MIME 映射,请在"已注册的文件类型"框中选择文件类型,而后单
击"编辑"按钮并按要求修改"关联扩展名"和"内容类型 (MIME)"框中的内容。
如果在主属性页中设置计算机的 MIME 映射,则计算机中的 Web 站点和目录将使用
相同的映射。可以修改 Web 站点或目录的 MIME 映射,然而,如果又重新应用主属性,
主属性将完全取代 Web 站点或目录已修改的属性。也就是说,属性未得到合并。
(9)自定义错误信息属性页
当 Web 服务器出现错误时,使用 "自定义错误信息"属性页自定义发送给客户的
HTTP 错误。管理员可使用 IIS 提供的常规 HTTP 1.1 错误或详细自定义错误文件,或创建
自己的自定义错误文件。
要更改自定义错误信息的属性,请单击"编辑属性"按钮。如果输出类型是 URL,则该
URL 必须存在于本地服务器上。
要配置自定义错误以便使用默认 HTTP 1.1 错误返回,请单击"设为默认值"按钮。要选
择多个自定义错误,请在选择时按住 CTRL 键。
(10)FrontPage 服务器扩展
主要由三个程序组成,分别固定执行管理、创建和查看等有用的任务。
2 . FTP 站点属性
(1)FTP 站点属性页
使用此属性页如图 7.3.14 设置服务器的标识参数。服务器名称、域名以及 IP 地址是可
选的。

① 标识说明:可以随意选取服务器的名称。此名称主要用来标识个人和组织身份。
②IP 地址:对于显示在此框中的地址,必须先在"控制面板"中定义为可使用。详细信
息,请参阅 Windows 文档。
③TCP 端口:确定运行服务所在的端口。
默认值是端口 21。可以将此端口更改为任意的唯一 TCP 端口号。但是,客户在请求端
口号之前,必须知道这个端口号,否则,请求将无法连接到服务器。
④ 连接无限:同时连接到服务器的连接数不受限制。
⑤ 限制到:设置允许同时连接到服务器的最大连接数。
⑥ 连接超时:设置服务器断开不活动用户前的时间。如果 HTTP 协议关闭连接失败,
此选项可确保关闭所有连接。

76

⑦ 启用日志记录:选择此复选框以启用 FTP 站点日志记录,它可以记录有关用户活
动的详细资料,并可以创建多种格式的日志文件。启用日志之后,请在"活动的日志格
式"列表中选择一种格式。格式如下所示:
 Microsoft IIS 日志格式: 固定的 ASCII 格式。
 W3C 扩充日志文件格式: 自定义的 ASCII 格式,默认情况下选择此格式。
 ODBC 记录:(仅用于 Windows 2000 Server) 记录到数据库的固定格式。
 要配置创建日志文件的选项(例如,每周或按文件大小),或配置 W3C 扩充日
志或 ODBC 日志的属性,请单击"属性"。
⑧ 当前会话
单击该按钮以查看目前连接到站点的用户列表。Internet 服务管理器 (HTML) 中不提
供该功能。
(2)安全帐号属性页
使用此属性页来控制可使用服务器的用户,并指定用于登录到计算机的匿名客户请
求的帐号。
① 允许匿名连接:选择此选项以允许使用"匿名"用户名的用户登录到 FTP 服务器。详
细信息,请参阅关于验证。
② 用户名:键入在匿名连接时使用的用户名,要查找特定 Windows 用户帐号,请单
击"浏览"。
③ 密码:键入匿名连接帐号使用的密码。如果选中了"允许 IIS 控制密码"选项,密码
将不能更改。
④ 只允许匿名连接:只允许匿名连接。选中此复选框之后,用户就不能使用用户名和
密码登录。此选项可避免具有管理权限的帐号访问,而仅允许指定为匿名的帐号访问。
⑤ 允许 IIS 控制密码:选择此选项,可以使 FPT 站点能够自动将匿名密码设置与
Windows 中的设置相同。
⑥FTP 站点操作员:FTP 站点操作员是一组特殊的用户,他们在各自的 FTP 站点具
有有限的权限。操作员可以管理只影响自己站点的属性。操作员不能访问涉及 IIS、Windows
服务器计算机宿主 IIS 或网络的属性。详细信息,请参阅关于 Web 和 FTP 站点。
⑦ 添加:要向操作员列表中添加用户帐号,请单击"添加"。
⑧ 删除:要删除当前选定的用户帐号,请单击"删除"。如果想同时选定多个帐号,可
以在选择每一帐号的同时按住 CTRL 键,也可以按住 SHIFT 键同时选择一个范围的帐号。
(3)消息属性页
使用该属性页创建自己的消息,当用户访问用户的站点时会将这些消息显示给用户。
① 欢迎:首次连接到 FTP 服务器时,将显示此文本。默认情况下此消息为空。
② 退出:客户从 FTP 服务器注销时,将显示此文本。默认情况下此消息为空。
③ 最大连接数:当 FTP 服务的连接数已达到所允许的最大值时,如果客户仍试图进
行连接,则显示此文本。默认情况下此消息为空。
(4)FTP 主目录属性页
使用此属性页更改 FTP 站点的主目录或修改其属性。主目录是 FTP 站点中用于已发
布文件的中心位置。在安装 FTP 服务时,会创建了一个名为 \Ftproot 的默认主目录。可以
将主目录的位置更改为下列某位置:
 此计算机上的目录。
 另一计算机上的共享位置。出现提示时,请键入访问那台计算机所需的用户名和
密码。如果要更改用户名和密码,请单击"连接为"。
①FTP 站点目录:在此文本框中键入目录路径或目标 URL。语法必须与所选的路径类
型相匹配:
 对于本地目录,请使用完整路径;如 C:\Catalog\Shoes。也可以单击"浏览"按钮
选择本地路径而不用键入路径。
 对于网络共享目录,使用 Universal Naming Convention (UNC) 服务器和共享名;
如 \\Webserver\Htmlfiles。
② 浏览:通过单击"浏览"选择本地的目录而不用在"路径"文本框中键入路径。
③ 读取:选择此选项,允许用户阅读或下载存储在主目录或虚拟目录中的文件。
④ 写入:允许用户向服务器中已启用的目录上载文件。仅对那些可能接收用户文件的
目录选择该选项。
⑤ 日志访问 :如果需要将对目录的访问活动记录在日志文件中,请选中该复选框。只
有对此 FTP 站点启用了日志记录,才能记录访问活动。默认情况下日志是被启用的。要关

77

闭日志,请选择该 FTP 站点,打开其属性页,单击"FTP 站点"选项卡,然后清除"启用日
志"复选框。
⑥ 目录列表风格:MS-DOS :默认情况下 MS-DOS 目录列表风格以 2 位数格式显示
年份。也可以更改这种显示年份的设置,方式是启用 FtpDirBrowseShowLongDate。
UNIX:UNIX 目录列表风格在文件日期与 FTP 服务器的年份有区别时以 4 位数格式
显示年份。如果文件日期与 FTP 服务器相同,则不会返回年份。
(5)目录安全性属性页
使用此属性页设置特定 IP 地址的访问权限,来阻止某些个人或群组访问服务器。
①TCP/IP 访问限制:通过指定允许或禁止访问的 IP 地址、子网掩码、一台或多台计算
机的域名,就可以控制对 FTP 资源(如站点、虚拟目录或文件)的访问。
② 授权访问:要列出被拒绝访问的计算机,请选择该选项。
③ 拒绝访问:要列出允许访问的计算机,请选择该选项。
④ 添加:要添加拒绝访问的计算机,请选择"授权访问"按钮,然后单击"添加"。相反,
要添加允许访问的计算机,请选择"拒绝访问"按钮,然后单击"添加"。
注意:通过代理服务器访问用户服务器的计算机将显示代理服务器的 IP 地址。

78

第 5 章 局域网安全
计算机网络技术是一把双刃剑。一方面,它在计算机用户之间架起了通信的桥梁,可使
远在天涯的数据近在咫尺:另一方面,也为某些觊觎机密数据的不法之徒打开了方便之门。在
网络应用日益广泛和频繁的今天,了解网络在安全方面的脆弱性,掌握抵御网络入侵的基本知
识,无疑具有十分重要的现实意义。

5.1 网络安全隐患
计算机犯罪始于二十世纪 80 年代。随着网络应用范围的逐步扩大,其犯罪技巧日见
“高明”,犯罪目的也向越来越邪恶的方向发展。例如,邮件炸弹(
Mail Bomb )、网络病毒、
特洛伊木马(Trojan Horse) 、窃取硬盘空间、盗用计算资源、窃取或篡改机密数据、冒领存
款、捣毁服务器等。与网络安全有关的新名词逐渐为大众所知,例如黑客
(Hacker) 、破解者
( Cracker )、信息恐怖分子(Info terrorist )、网络间谍(Cyber sky )等,有些名
字甚至成为传媒及娱乐界的热门题材。凡此种种,都传递出一个信息一一网络是不安全的。
大部分网络安全问题都与TCP/IP 有关。 TCP/IP 是 Internet 的标准协议,传统的网
络应用都是基于此协议的,这些应用包括
WWW 、 FTKE-mail 等。此外,近来在局域网中

TCP/IP 也逐渐流行,这使得通过 Internet 入侵局域网变得十分容易。
为网络安全担忧的人大致可分为两类,一类是使用网络资源的一般用户,另一类是网
络资源的提供者。
对于使用网络资源的一般用户而言,当他连入网络后,可能会担心自己的每个操作及发
送、接收的数据被远端服务器监视和记录。因为不良的网络服务提供者有可能记录用户的操作

数据,然后非法利用之(如转售给第三者)。事实上,目前有许多用于监视用户网上行为的商
业软件。此外,用户平时还可能受到邮件炸弹、网络病毒及邪恶信息的威胁。
对网络资源的提供者而言,其所面临的威胁远比普通用户严重。因为提供资源的服务器
通常是全天候工作的,并且是一个随时有客人光顾的公共“场所”。这些客人中,有普通用户,
也可能有图谋不轨的歹徒,而有较高利用价值的站点则更受黑客青睐。此外,这些站点除了要
抵御外来入侵外,还须时刻防范内贼。

5.1.1 先天性安全漏洞 ..
Internet 的前身是APPANET ,而 APPNET 最初是为军事机构服务的。其设计初衷
之一是实现远程连接及通信链路冗余,力争在遭受核打击时不致瘫痪,而对网络安全的关注较
少。但是,随着岁月的流逝,
APPANET 的服务范围逐渐扩大,先是进入学术界,然后进入企
业界,最后进入寻常百姓的生活中。
随着 Internet 的广泛应用,其在网络安全方面的缺陷逐渐暴露出来,并最终成为制约
其商业应用的瓶颈。
在进行通信时,Internet 用户的数据被拆成一个个数据包,然后经过若干结点辗转传
递到终点。在 Internet 上,数据传递是靠 TCP/IP 实现的。
但是 TCP/IP 在传递数据包时,并未对其加密。换言之,在数据包所经过的每个结点上

都可直接获取这些数据包,并可分析、存储之。如果数据包内含有商业敏感数据或个人隐私信
息,则任何人都可轻易解读。

79

此外,在Unix 环境中的网络信息服务(NIS )及网络文件服务(NFS )也是容易被
入侵的环节,入侵者经常利用这些服务访问操作系统的敏感文件、获取特权等。

5.1.2 几种常见的盗窃数据或侵入网络的方法
本节介绍几种常见的盗窃数据或侵入网络的方法,以使读者了解网络的脆弱性和网络,
犯罪分子的恶劣性。
1 .窃听(Eavesdropping)
在数据包途径的每个结点上,都可能被别有用心的人窃听而被窃听者浑然不觉。除了在
网上利用计算机窃听外,窃听者还可以利用先进的电子设备,分析某些传输介质产生的电磁波

以获取数据。
最简易的窃听方式是将计算机连入网络,利用专门的工具软件对在网络上传输的数据包
进行分析。进行窃听的最佳位置是网络中的路由器,特别是位于关卡处的路由器,它们就像城
门、收费站一样,是数据包的集散地,在该处安装一个窃听程序,可以轻易获取很多秘密。
窃听程序的基本功能是收集、分析数据包,高级的窃听程序还提供生成假数据包、解码
等功能,甚至可锁定某源服务器(或目标服务器)的特定端口,自动处理与这些端口有关的数
据包。利用上述功能,可监听他人的联网操作、盗取信息。
例如,搜集用户Telnet 、FTP、SMTP等常用、且未加密的协议数据包,可从这些数
据包中得知帐号、密码和通信内容。
其实,这些窃听工具同时也是研究网络协议、数据包结构的好工具,可以利用它探测并
解决网络问题。
这里以图8.1 为例,说明普通网络通信遭窃听的可能性。其中,假设数据由网络
λ 传送
至网络μ ,可被窃听的位置至少包括:

网络 λ 中的计算机。

数据包在 Internet 上途经的每一路由器。

网络μ 中的计算机。

图 8.1 可能的窃取位置示意图
2 .窃取( Spoofing )
这种入侵方式一般出现在使用支持信任机制的网络中。信任机制允许被信任用户直接访
问信任方资源,而不需要繁杂的认证手续。通常,用户只需拥有合法帐号即可通过认证,这种
机制一般只应用于内部网络的服务器之间,以提高工作效率,但同时也产生了安全漏洞。
窃取指入侵者利用信任关系,冒充一方与另一方连网,以窃取信息。此过程有点像歹徒
闯入A 的住处,将A 打昏,再假冒A 的声音打电话给B ,从而骗取B 的信息。
窃取适用于多种协议,但以针对
IP数据包的窃取最为常见。在这种方式中,入侵者可能
来自内部网络,但更多地来自外部网络。
假设某入侵者欲利用主机A 入侵某公司的内部网络主机B ,则其步骤大致如下:

80

确定要入侵的主机B 。
确定主机B 所信任的主机A 。
利用主机X 在短时间内发送大量的数据包给A ,使之穷于应付。
利用主机X 向B 发送源地址为A 的数据包。
在上述过程中,由于X 所发出数据包的源地址是A ,因此B 的响应数据包将传给A 而非
X ,这时,如果A 收到数据包,并否认曾经向
B 发送过数据包,则本次入侵行为就会暴露。因
此X 在向B 请求数据包同时,必须堵住A 的嘴(具体方法就是在短时间内发送大量的数据包给
A ,使之穷于应付)。
窃取技术的要点如图 7.2 所示。



图8.2 窃取过程示意图
防范这种入侵的办法比较简单,只需在内、外部网络之间的路由器上设置选择机制(对
来自外部网络的数据包,检查其源地址,如果是本网内的地址,则滤除该包)即可。
3 .会话劫夺 (Session Hijacking)
会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与
会话的一方截断,并顶替被截断方继续与另一方进行连接,以窃取信息。此过程有点像歹徒闯
入A 的住处,将正在与B 通话的A 打昏,再假冒A 的声音打电话给B ,从而骗取B 的信息。
进行会话劫夺时,需要观察网络上现有的会话,入侵者需要位于会话信息所经过的某一
点上,才能监视会话数据。所以,如果入侵者不位于会话信息所经过的点上,则必须先行攻陷
一台可以利用的主机,然后再监视会话。
以图7.3 为例,当主机A 正与主机B 进行会话时,X 切入会话,并假冒B 的名义发送数
据包给A ,通知其中断会话,然后X 顶替A 继续与B 进行会话。

图8.3 会话劫夺过程示意图
会话劫夺不像窃取那样容易防范。对于由外部网络入侵内部网络的途径,可用防火墙切
断,但对于内、外部网络之间的会话,除了采用数据加密手段外,没有其他方法可保绝对安全。
4 .利用操作系统漏洞
了解攻击对象的弱点是黑客的必修课程。
Unix 是目前最常被攻击的系统。这主要是因
为年代久远,背负了许多历史包袱,而一些黑客又经常炫耀其与
Unix 作战的“技术”,让后来
者跃跃欲试。且目前网络服务器操作系统仍以 Unix 居多,所以成为必然的被攻击对象。
任何操作系统都难免存在漏洞,包括新一代操作系统。操作系统的漏洞大致可分为两部
81

分,一部分是由设计缺陷造成的,另一部分则是由于使用不得法所致。而前者又包括协议方面
的、网络服务方面的、共用程序库方面的等等。
例如,传统的Telnet 、FTP、SMTP等不对数据包进行加密,所以用户或系统管理员
密码很容易泄露。又如,远程用户可以用
Finger 协议探测服务器内有哪些帐户,这些信息可
用做入侵的基本武器。
事实上, TCP/IP 当初设计的重点并不在安全方面,如果仔细分析,则整组协议到处都
可找到安全漏洞。
因系统管理不善所引发的漏洞主要是系统资源或帐户权限设置不当。例如,许多操作系
统对权限所设定的默认值是不安全的,而管理员又没有更改默认设置,这些疏忽所引发的后果
往往是灾难性的。
例如,权限较低的用户一旦发现自己可以改变操作系统本身的共用程序库时,他就很可
能立即使用这一权限,用自己的程序库替换系统中原有的库,从而在系统中为自己开道暗门。
5 .盗用密码
盗用密码是最简单和狠毒的技巧。因为这种方法的技术含量较低,入侵后基本上不会留
下任何痕迹,并且极易嫁祸于人。
密码被盗用,通常是因为用户不小心被他人“发现”了。而“发现”的方法一般是“猜测”。
猜密码的方式有多种,最常见的是在登录系统时尝试不同的密码,系统允许用户登录就意味着
密码被猜中了。但这种方式只适用于一些比较古老的操作系统,因为较新的操作系统都会对用
户尝试登录的次数进行限制,例如,如果连续三次输入了错误的密码,则系统将自动锁死。
另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计
算,直到求出密码为止。
这种技巧最常用于Unix 系统, Unix 中的密码表一般位于固定位置,其中存放了系统
所有用户密码的加密值。在Unix 系统中,对密码加密的算法属单向映射型,这意味着,不同
的密码明文可能与同一密文对应。获得密码密文的人可以用公开的算法计算所有可能明文的加
密值,一旦发现某个明文的加密结果与密码表中的某个加密值相同,则密码破解成功。
6 .木马、病毒、暗门
计算机技术中的木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并
在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是,前者不进行自我复
制,即不感染其他程序。
病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作破
坏系统或干扰系统运行的" 坏 " 程序。其不良行为可能是悄悄进行的,也可能是明目张胆实施
的,可能没有破坏性,也可能会毁掉用户几十年的心血。病毒程序除可从事破坏活动外,也可
能进行间谍活动,例如,将服务器内的数据传往某个主机等。
暗门 (Trapdoor) 又称后门(Backdoor) ,指隐藏在程序中的秘密功能,通常是程序设
计者为了能在日后随意进入系统而设置的。
木马、病毒和暗门都可能对计算机数据资源的安全构成威胁(例如数据被窜改、毁坏或
外泄等)。免受术马、病毒和暗门威胁的最有效的方法是不要运行来历不明的程序。
7 .隐秘通道
安装防火墙、选择满足工业标准的的安全结构、对进出网络环境的存储媒体实施严格管
制,可确保即使存在术马、病毒、暗门等内贼,也无法将其偷窃的数据通过正常的网络信道发
送给外界。
但是,上述完整的安全防护结构仍然不能保证绝对安全。例如,系统内的术马可以使用
如下手段将数据送达外界:约定木马忙碌代表
1 ,不忙碌代表0 ,当木马忙碌时,因其占用系

82

统资源,计算机的响应速度将便慢,否则,响应速度较高。外界接应者可每隔一秒,对计算机
的响应速度测试一次,以得知木马是否忙碌,从而可获得数据。
理论上,系统不可能完全截断这些隐秘通道。如果系统内部含有价值连城的秘密,则盗
贼所用伎俩可能匪夷所思,让人防不胜防。除系统与外界完全绝缘外,漏洞在所难免。
惟一可以让系统管理员欣慰的是,通过隐秘通道外运数据的速度通常甚低。如果按
1bps 的速度计算,则传递10KB 的数据就需要 22.75 小时,如果再加上冗余位,则需要的
时间可能超过一天。按此推算,如果要传送
100KB 的数据大约需要10 天的时间。所以,如
果能确定在时效之内泄露部分数据无碍安全,则系统管理员可不必为此而烦恼。

5.2 入侵检测技术
5.2.1 入侵检测的任务
计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于联网用户的
增加,很多系统都或多或少地受到入侵者的攻击。这些入侵者利用操作系统或者应用程序的缺
陷企图破坏系统。对付这些入侵者的攻击,可以要求所有的用户确认并验证自己的身份,并使
用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行,而
且访问控制和保护模型本身也存在问题,这里有以下方面的因素。
1 .口令。
很多人使用他们自己的名字,孩子的名字,配偶的名字,宠物的名字,或者小车的型号
"password"或者简单到什么也没有。这给出了侵入者的进行攻击提供
做口令。也有的用户使用
" 字典攻击" 方法,尝试
了方便,如果侵入者使用这些猜测进行攻击失败,侵入者可以试图用
字典中的单词的每种可能。字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密
后的字典中单词匹配 。侵入者通常利用一个英语字典或其他语言的字典。他们也使用附加的
(Brute force attacks) 同字典攻击类似,侵入
类字典数据库,比如名字和常用的口令。强力攻击
4 个由小写字母组成的口令可以在几分钟内被破解
(大
者可能尝试所有的字符组合方式。一个
约的共有 50 万个可能的组合) 。如果你可以每秒试100 万种组合,一个较长的由大小写字母
组成的口令,包括数字和标点(10 万亿种可能的组合) 可以在一个月内破解,。如果口令已经
被破解,那么访问控制措施就不能够阻止受到危害的授权用户的信息丢失或者破坏。
2 .静态安全措施不足以保护安全对象属性。
通常,在一个系统中,静态的安全特性(例如不进行动态预测的防火墙)可能过于简单
并且不充分,或者是系统过度地限制用户。例如,静态技术未必能阻止违背安全策略造成浏览
Telnet )仅允许用户访问具有合适的
数据文件;而强制访问控制(例如所有用户都不可以使用
通道的数据,这样造成系统使用麻烦。因此,一种动态的方法如行为跟踪对检测和尽可能阻止
安全突破是必要的。
由于蓄意的未授权尝试有可能造成非授权访问信息、泄露信息、系统不可靠或不可用,
因此必须设计系统的安全机制以保护系统资源与数据以防恶意入侵,但是企图完全防止安全问
题的出现在目前看来是不现实的。我们可以尽力检测出这些入侵以便在以后修补这些漏洞。
入侵检测作为安全技术主要任务为:

识别入侵者

识别入侵行为

检测和监视已成功的安全突破

为对抗措施及时提供重要信息
83

从这个角度看待安全问题,入侵检测非常必要,它将弥补传统安全保护措施的不足。入
侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络
活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。例如,入侵
检测系统可以重新配置来禁止从防火墙外部进入的恶意流量。
入侵监测系统扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤
从主机网卡到网线上的流量,提供实时报警。大多数的入侵监测系统可以提供关于网络流量非
FTP, HTTP 和 Telnet 流量都有
常详尽的分析。它们可以监视任何定义好的流量。很多系统对
缺省的设置,还有其它的流量像Net Bus ,本地和远程登录失败等等。你也可以自己定制策略

FTP,SMTP , Telnet 和任何其它的流量。这种规则有
如果你定义了策略和规则,便可以获得
助于你追查该连接和确定网络上发生过什么,以及现在正在发生什么。这些程序在你需要确定
网络中策略实施的一致性情况时是非常有效的工具。

5.2.2 入侵检测原理
入侵企图或威胁可以被定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或
不能使用。或者是只有关试图破坏资源的完整性、机密性及可用性的活动。一般说来,按照入
侵者的角度,我们可以将入侵分为六种类型:

尝试性闯入( Attempted break-in );

伪装攻击(Masquerade attack);

安全控制系统渗透( Penetration of the security control system );

泄露( Leakage );

拒绝服务( Denial of service );

恶意使用(Malicious use)。

5.2.3 入侵检测方法
从检测入侵的方法来分,可以分为异常检测和误用入侵检测,下面分别讨论这两种检测
方法的原理和他们之间的性能比较。
1 .异常入侵检测技术
异常检测指的是根据非正常行为(系统或用户)和使用计算机资源非正常情况检测出入
侵行为。例如,如果用户A 早上 8 点钟到下午5 点钟之间在办公室使用计算机,则他在晚上使
B 总是在下班后登录到公司的终端服务器或
用办公室计算机是异常的,就有可能是入侵;用户
是在深夜时来自B 的账号远程登录都可能是不正常的。异常检测试图用定量方式描述常规的或
可接受的行为,以标记非常规的,潜在的入侵行为。这种非常规的,潜在的入侵行为我们可以
定义为 " 威胁 " 。
典型的威胁模型将威胁分为外部闯入、内部渗透和不当行为三种类型。并使用这种分类
方法开发了一个安全监视系统,可检测用户的异常行为。
外部闯入指的是未经授权计算机系统用户的入侵;
内部渗透是指已授权的计算机用户访问未经授权的数据;
不当行为指的是用户虽经授权,但对授权数据和资源的使用不合法或滥用授权。 入侵
行为(入侵活动)异常行为 ( 异常活动) 图 7.2.2 异常活动集与入侵活动集之间的关系异常
入侵检测的主要前提是入侵活动作为异常活动的子集。考虑这种情况,若外部人闯入计算机系
统,尽管没有危及用户资源使用的倾向和企图,可是这存在一种入侵的可能性,还是将他的行
为当作异常处理。这样做似乎合情合理。但是,入侵性活动常常是由单个活动组合起来执行,
7.2.2 所示。理想的
单个活动却与异常性独立无关。异常活动集与入侵活动集之间的关系如图

84

情形是,异常活动集同入侵性活动集是一样的。这样,识别所有的异常活动恰恰正是识别了所
有的入侵性活动,结果就不会造成错误的判断。可是,入侵性活动并不总是与异常活动相符合

这里存在四种可能性,每种情况的概率都不为零。
入侵性而非异常。活动具有入侵性却因为不是异常而导致不能检测到,这时候造成漏检

结果就是IDS 不报告入侵。
IDS 报告入侵,这时候
非入侵性且是异常的。活动不具有入侵性,而因为它是异常的,
造成虚报。
非入侵性非异常。活动不具有入侵性,IDS 没有将活动报告为入侵,这属于正确的判断。
入侵且异常。活动具有入侵性并因为活动是异常,IDS 将其报告为入侵。
异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵检测
方法依赖于异常模型的建立,不同模型就构成不同的检测方法。异常检测通过观测到的一组测
量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术。
2 .基于特征选择异常检测方法
基于特征选择异常检测方法是通过从一组参数数据中挑选能检测出入侵参数构成子集来
准确地预测或分类已检测到的入侵。异常入侵检测的困难问题是在异常活动和入侵活动之间作
出判断。判断符合实际的参数很复杂,困为合适地选择参数子集依赖于检测到的入侵类型,一
个参数集对所有的各种各样的入侵类型不可能是足够的。预先确定特定的参数来检测入侵可能
会错过单独的特别的环境下的入侵。最理想的检测入侵参数集必须动态地决策判断以获得最好
n 个,则这n 个参数构成的子集有2n 个。由于搜索空
的效果。假设与入侵潜在相关的参数有
间同参数数是指数关系,所以穷尽寻找最理想的参数子集的开销太大。
3 .基于贝叶斯推理异常检测方法
A1 , A2 ,…, An 变
基于贝叶斯推理异常检测方法是通过在任意给定的时刻,测量
Ai 变量表示系统不同的方面特征(如磁盘
I/O
量值推理判断是否有入侵事件发生。其中每个
Ai 变量具有两个值,1 表示是异常,0 表示
的活动数量,或者系统中页面出错的数)。假定
正常。 I 表示系统当前遭受入侵攻击。每个异常变量 Ai 的异常可靠性和敏感性分别表示为
P(Ai=1|I) 和P(Ai=1|┐I) 。则在给定每个Ai 的条件下,由贝叶斯定理得出I 的可信度,根据
各种异常测量的值、入侵的先验概率及入侵发生时每种测量到的异常概率,从而能够检测判断
入侵的概率。但是为了检测的准确性,还要必须考虑各测量 Ai 间的独立性。
4 .基于贝叶斯网络异常检测方法
贝叶斯统计分析把先验信息与样本信息结合,用于统计推断之中。用贝叶斯公式先验信
息与样本信息综合,得到后验信息。而得到的后验信息又可以作为新一轮计算的先验,与进一
步获得的样本信息综合,求的下一个后验信息。随着这个过程继续下去,后验信息确实是越来
越接近于真值。也就是说,贝叶斯方法的学习机制是确实存在而且有效的。这个学习的过程实
际上是一个迭代的过程,数据统计工作者已经证明这个过程是收敛的,因为这样得到后验分布
密度有上界,而且单调递增。这意味着它将收敛于某个值。随着样本的增多,先验信息的影响
逐渐减弱,样本信息的影响将越来越显著。在样本很多的情况下,先验分布密度的估计对结果
的影响很小。换句话说,可以任意估计先验分布密度。但是,在样本不多的情况下,先验分布
密度估计得好坏对结果的影响就比较大。如果能恰当地估计出先验分布密度,就可以使用少量
样本数据,进行几次迭代就得到比较满意的结果。这在样本不容易获得的情况下特别有用。由
于贝叶斯方法的学习机制存在,对于检测新的入侵方法将会有效。至今有关贝叶斯网络的入侵
检测实际系统尚未出现,目前只停留在理论研究上。
贝叶斯网络是一种基于网络结构的有向图解描述,适用于表达和分析不确定和概率性事
物,可从不完全或不确定的知识或信息中作出推理。目前贝叶斯网络在故障诊断领域已有成功

85

应用。
一个贝叶斯网络是一个有向无环图(Directed Acyclic Graph , DAG) ,由代表变量节点
及连接这些节点有向边构成。节点代表随机变量,节点间的有向边代表了节点间的相互关系
( 由父节点指向其后代节点) ,用条件概率进行表达关系强度,没有父节点的用先验概率进行
信息表达。节点变量可以是任何问题的抽象,如测试值、观测现象、意见征询等。
贝叶斯网络实现了贝叶斯定理所揭示的学习功能,能发现大量变量之间的关系,是进行
预测、分类数据的有力工具。基于贝叶斯网络异常检测方法是通过建立起异常入侵检测贝叶斯
网,然后将其用作分析异常测量结果。贝叶斯网络允许以图形方式表示随机变量间相关的原因

并通过指定的一个小的与邻接节点相关的概率集计算随机变量的联接概率分布。按给定全部节
点组合,所有根节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图,有向
图中弧表示父节点和子节点依赖关系。这样,当随机变量的值变成可知时,就允许把它吸收成
为证据,根据这个证据,就可以计算出其它的随机变量条件值。
5 .基于模式预测异常检测方法
.
基于模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式
这种检测方法的特点是考虑了事件的序列及相互联系。而基于时间的推理方法则利用时间规则
识别用户行为正常模式的特征。通过归纳学习产生这些规则集,能动态地修改系统中的规则,
使之具有高的预测性、准确性和可信度。如果规则大部分时间是正确的,并能够成功地运用预
测所观察到的数据,那么规则就具有高的要信度。根据观察到用户的行为,归纳产生出一套规
则集来构成用户的轮廓框架。如果观测到的事件序列匹配规则的左边,而后续的事件显著地背
离根据规则预测到的事件,那么系统就可以检测出这种偏离,这就表明用户操作是异常。由于
不可识别行为模式能匹配任何规则的左边,都会导致不可识别行为模式作为异常判断,这是该
方法的主要弱点。相反,如果能预测出不正常的后继事件的片段,则一定程度上断定用户行为
的异常性。这种方法的主要优点是:
( 1 ) 能较好地处理变化多样的用户行为,具有很强的时序模式;
( 2 ) 能够集中考察少数几个相关的安全事件,而不是关注可疑的整个登录会话过程;
( 3 ) 对发现检测系统遭受攻击,具有良好的灵敏度。因为根据规则的蕴涵语义,在
系统学习阶段,能够更容易地辨别出欺骗者训练系统的企图。
6 .基于神经网络异常检测方法
基于神经网络入侵检测方法是训练神经网络连续的信息单元,信息单元指的是命令。网
S )个命令;用户执行过的命令被
络的输入层是用户当前输入的命令和已执行过的若干个(如
神经网络使用来预测用户输入的下一个命令。若神经网络被训练成预测用户输入命令序列集合

则神经网络就构成用户的轮廓框架。当用这个神经网络预测不出某用户正确的后继命令,即在
某种程度上表明了用户行为与其轮廓框架的偏离,这时有异常事件发生,以此就能进行异常入
侵检测。
S 个命令序列。通过将每个输入的某种方式编码,把
输入层指示出用户最近输入执行的
输入命令表示成几个值或级别,能够成为命令唯一标识。这样,输入层上的输入值准确地同用
户最近输入执行命令序列相符合。输出层由单一的多层输出构成来预测用户发出的下个命令。
这种方法的优点是:
( 1 ) 不依赖于任何有关数据种类的统计假设;
( 2 ) 能较好地处理噪声数据;
( 3 ) 能自然地说明各种影响输出结果测量的相互关系。
这种方法的弱点是:
( 1 )网络的拓扑结构和每个元素分配权重必须经过多次的尝试与失败的过程才能确定。
S 设置太低,则工
( 2 )在设计神经网络的过程中,S 的大小与其它的变量无关。如果
86

作就差;设置太高,网络中需要处理的数据则太多。
7 .基于贝叶斯聚类异常检测方法
基于贝叶斯聚类异常检测方法通过在数据中发现不同类别数据集合,这些类反映了基本
的因果机制(同类的成员比其它的更相似),以此就可以区分异常用户类,进而推断入侵事件
发生来检测异常入侵行为。Cheeseman和 Stutz 在 1995 年开发的自动分类程序( Autoclass
Program )是一种无监督数据分类技术。自动分类程序实现了使用贝叶斯统计技术对给定的数
据进行搜索分类。这种方法尽可能地判断处理产生的数据,没有划分给定数据类别,但是定义
了每个数据成员。其优点是:
( 1 )根据给定的数据,程序自动地判断决定尽可能的类型数目;
( 2 )不要求特别相似测量、停顿规则和聚类准则;
( 3 )可以自由地混合连续的及离散的属性。
统计入侵异常检测对所观测到的行为分类处理。到目前为止,所使用到的技术主要集中
于监督式的分类,这种分类是根据观测到的用户行为建立起用户轮廓。而贝叶斯分类方法允许
最理想化的分类数、具有相似的轮廓的用户群组以及遵从符合用户特征集的自然分类。但是,
该方法比较新,在入侵检测系统中还没有实现测试。自动分类程序怎样处理好固有的次序性数
据(如审计跟踪)以及将系统分布特性植入分类中等方面,效果并不是十分明显。当自动分类
程序支持处理在线数据时,对新的数据能否递增式地分类或者是否立即需要全部输入数据等这
些问题的处理还尚未定论。由于统计的固有的特性,自动分类程序还存在选定合适的异常阈值
和用户逐步地影响类型分布能力的困难。
8 .基于机器学习异常检测方法
这种异常检测方法通过机器学习实现入侵检测,其主要的方法有死记硬背式、监督、学
Terran 和Carla E.Brodley将异常检测问题归结为根
习、归纳学习(示例学习)、类比学习等。
据离散数据临时序列学习获得个体、系统和网络的行为特征。并提出一个基于相似度实例学习
方法(IBL ),该方法通过新的序列相似度计算将原始数据(如离散事件流,无序的记录)转
IBL 学习技术和一种新的基于序列的分类方法,从而发现异常
化成可度量的空间。然后,应用
类型事件,以此检测入侵,其中阈值的选取由成员分类的概率决定。实验结果表明这种方法检
测迅速,而且误警率低。然而,此方法对于用户动态行为变化以及单独异常检测还有待改善。
复杂的相似度量和先验知识加入到检测中可能会提高系统的准确性,但需要做进一步工作。总
的来说,机器学习中许多模式识别技术对安全领域都有参考价值。
9 .基于数据采掘异常检测方法
计算机联网导致大量审计记录,而且审计记录大多是文件形式存放。若单独依靠手工方
Wenke
法去发现记录中异常现象是不够的,往往操作不便,不容易找出审计记录间相互关系。
lee 和Salvatore J.Stolfo 将数据采掘技术应用到入侵检测研究领域中,从审计数据或数据流中
提取感兴趣的知识,这些知识是隐含的、事先未知的潜在有用信息,提取的知识表示为概念、
规则、规律、模式等形式,并用这些知识去检测异常入侵和已知的入侵。基于数据采掘异常检
测方法目前已有现成的算法可以借用,这种方法的优点在于适应处理大量数据情况。但是,对
于实时入侵检测则还存在问题,需要开发出有效的数据采掘算法和适应的体系。

5.2.4 误用入侵检测技术
误用入侵检测是指根据已知的入侵模式来检测入侵。入侵者常常利用系统和应用软件中弱点攻
击,而这些弱点易编成某种模式,如果入侵者攻击方式恰好匹配上检测系统中的模式库,则入
IDS 就不能检测到
侵者即被检测到,误用入侵检测依赖于模式库,如果没有构造好模式库,则
sendmai1 错误
入侵者。例如, Internet 蠕虫攻击 (Worm attack) 使用了 fingered 和
87

(bugs),可以使用误用检测,与异常入侵检测相反,误用入侵检测能直接检测不利的或不能
接通受的行为,而异常入侵检测是发现同正常行为相违背的行为。
误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并可以通过捕获
攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测指
的是通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测。入侵模式说
明了那些导致安全突破或其它误用的事件中特征、条件、排列和关系。一个不完整的模式可能
表明存在入侵的企图。模式构造也有多各方式。下面来分析各种各样的误用检测方法。
1 .基于条件概率误用入侵检测方法
基于条件概率误用入侵检测方法将入侵方式对应一个事件序列,然后通过观测到事件发生情况
来推测入侵出现。这种方法的依据是外部事件序列,根据贝叶斯定理进行推理检测入侵。
2 .基于专家系统误用入侵检测方法
IF-THEN 规则形成专
基于专家系统误用入侵检测方法是通过将安全专家的知识表示成
IF的组成部
家知识库,然后,运用推理算法进行检测入侵。编码规则说明攻击的必需条件作为
分。当规则的左边的全部条件都满足时,规则的右边的动作才会执行。入侵检测专家系统应用
的实际问题是要处理大量的数据和依赖于审计跟踪的次序,其推理方式主要有以下两种。
( 1 ) 根据给定的数据,应用符号推理出入侵的发生情况。需要解决的主要问题是处
理序列数据和知识库的维护。不足之处就是只能检测已知弱点。
( 2 ) 根据其它的入侵证据,进行不确定性推理。这种推理的局限性就是推理证据的
不精确和专家知识的不精确。
3 .基于状态迁移分析误用入侵检测方法
状态迁移分析方法将攻击表示成一系列被临近的系统状态迁移。攻击模式的状态对应于
系统状态,并具有迁移到另外状态的条件断言。通过弧将连续的状态连接起来表示状态改变所
需要的事件。允许事件类型被植入到模型,不需同审计记录一一对应。攻击模式只能说明事件
序列,因此不能说明更复杂的事件。而且,除了通过植入模型的原始的断言,没有通用的方法
来排除攻击模式部分匹配。
4 .基于键监控误用入侵检测方法
基于键盘监控误用入侵检测方法假设入侵对应特定的击键序列模式,然后监测用户击键
模式,并将这一模式与入侵模式匹配,以此就能检测入侵。这种方法的不利之处是在没有操作
系统支持的情况下,缺少捕获用户击键的可靠方法,存在无数击键方式表示同一种攻击。而且

没有击键语义分析,用户很容易欺骗这种技术。因为这种技术仅仅分析击键,所以不能够很好
的检测到恶意程序执行结果的自动攻击。
5 .基于模型误用入侵检测方法
基于模型误用入侵检测方法是通过建立误用证据模型,根据证据来推理来做出误用发生
attack scenarios )
判断结论。Gravy 和Lint 首先提出这种方法。其方法要点是建立攻击剧本(
数据库、预警器和规划者。每个攻击剧本表示成一个攻击行为序列,在任意的给定时刻,攻击
剧本的子集都被用来推断系统遭受入侵。入侵检测系统根据当前的活动模型,预警器产生下一
步行为,用来在审计跟踪时作验证使用。规划者负责判断假设的行为是如何反映在审计跟踪数
据上,以及将假设的行为是如何反映在审计跟踪数据上,以及将假设的行为变成与系统相关的
审计跟踪进行匹配。因为某些攻击剧本的证据累积,故其它的证据就下降,活动模型组就被更
新。同时系统中嵌入证据推理分析功能,这样就允许更新活动的攻击剧本出现的概率,根据攻
击剧本概率的大小进行推断检测入侵。这种方法的优点在于具有坚实的数学未确定推理理论作
为基础。对于专家系统方法不容易处理未确定的中间结论,可以用模型证据推理解决。而且可
以减少审计数据量。然而,不足的地方是,增加了创建了每一种入侵检测模型的开销。此外,
88

这种方法和运行效率不能通过建造原型来说明

5.2.5 入侵检测研究的条件和局限性
入侵检测是基于计算机网络环境下一个研究方向,研究入侵检测需要的条件:其一就是
要在网络环境下进行;其二能够有可靠的数据来源供入侵研究分析;其三要有数学、计算机、
人工智能、密码学等各学科技术知识背景。目前入侵检测技术的方法主要停留在异常检测统计
方法和误用检测方法上,这两种方法都还存在这样或那样的问题。网络入侵技术在不断地发展

入侵的行为表现出不确定性、多样性等特点。网络应用的发展有带来新的安全问题,如高速网
络技术出现流量大,那么基于网络的入侵检测系统如何适应这种情况?基于主机审计数据怎样
做到既减少数据量,又能有效地检测到入侵?入侵检测研究领域急需其他学科知识提供新的入
侵检测解决方法。
入侵坚持只是仅仅试图发现计算机网络中的安全问题,要解决网络安全的问题还需要其
它的网络安全技术。另外,入侵检测系统本身还存在安全问题。入侵检测系统也可能会受到攻
击。Fred Cohen的方法给出了 50 种攻击入侵检测系统的方法,这些方法从理论上说是可行的

入侵检测系统内部的知识去修改操作,可能允许异常行为进行。这样入侵就可打破系统的操作
安全限制了。

5.3 反病毒技术
5.3.1 病毒概论
自从 1946 年第一台冯- 诺依曼型计算机ENIAC 出世以来,计算机已被应用到人类社
会的各个领域。然而,1988 年发生在美国的" 蠕虫病毒" 事件,给计算机技术的发展罩上了
一层阴影。蠕虫病毒是由美国 CORNELL 大学研究生莫里斯编写。虽然并无恶意,但在当
时, " 蠕虫 " 在 INTERNET 上大肆传染,使得数千台连网的计算机停止运行,并造成巨额损
失,成为一时的舆论焦点。
在国内,最初引起人们注意的病毒是 80 年代末出现的 " 黑色星期五 " , " 米氏病
毒 " , " 小球病毒" 等。因当时软件种类不多,用户之间的软件交流较为频繁且反病毒软件并
WORD 宏病毒及 WIN95 下的CIH病毒,使人们
不普及,造成病毒的广泛流行。后来出现的
对病毒的认识更加深了一步。
计算机病毒不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有
特殊功能的程序。从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算
机病毒。依据此定义,诸如逻辑炸弹,蠕虫等均可称为计算机病毒。
-- 传播-- 潜伏-- 触发-- 运行-那么究竟病毒是如何产生的呢?其过程可分为:程序设计
实行攻击。究其产生的原因不外乎以下几种:
① 开个玩笑,一个恶作剧。某些爱好计算机并对计算机技术精通的人士为了炫耀自己
的高超技术和智慧,凭借对软硬件的深入了解,编制这些特殊的程序。这些程序通过载体传播
出去后,在一定条件下被触发。如显示一些动画,播放一段音乐,或提一些智力问答题目等,
其目的无非是自我表现一下。这类病毒一般都是良性的,不会有破坏操作。
② 产生于个别人的报复心理。每个人都处于社会环境中,但总有人对社会不满或受到
不公证的待遇。如果这种情况发生在一个编程高手身上,那么他有可能会编制一些危险的程序

在国外有这样的事例:某公司职员在职期间编制了一段代码隐藏在其公司的系统中,一旦检测
到他的名字在工资报表中删除,该程序立即发作,破坏整个系统。类似案例在国内亦出现过。

89

③ 用于版权保护。计算机发展初期,由于在法律上对于软件版权保护还没有象今天这
样完善。很多商业软件被非法复制,有些开发商为了保护自己的利益制作了一些特殊程序,附
在产品中。如:巴基斯坦病毒,其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种
目的的病毒目前已不多见。
④ 用于特殊目的。某组织或个人为达到特殊目的,对政府机构、单位的特殊系统进行
宣传或破坏。或用于军事目的。

5.3.2 病毒的特征
病毒这种特殊程序有以下几种特征:
传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物体扩散到另一个生物体

在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算
机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被
感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机
程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或
存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,
如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会
被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病
毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。
而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病
毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现
了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其它计
算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条
件。
未经授权而执行。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的
任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序
中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用
户时未知的,是未经用户允许的。
隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘
较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过
代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机
病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系
统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机
器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以
在用户没有察觉的情况下扩散到上百万台计算机中。 大部分的病毒的代码之所以设计得非常
1k 字节,而 PC 机对 DOS 文件的存取速度可达
短小,也是为了隐藏。病毒一般只有几百或
每秒几百KB 以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非
常不易被察觉。
潜伏性。大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有
在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。
如"PETER-2"在每年 2 月 27 日会提三个问题,答错后会将硬盘加密。著名的 " 黑色星期
五 " 在逢 13 号的星期五发作。国内的" 上海一号" 会在每年三、六、九月的13 日发作。当
然,最令人难忘的便是26 日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会
露出本来面目。
破坏性。任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会

90

降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒
与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动
GENP 、小球、 W-BOOT 等。恶性病毒则有明
作,但会占用系统资源。这类病毒较多,如:
确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏

这也反映出病毒编制者的险恶用心。
从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万
别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可
查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某
些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检
测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远
是超前的。

5.3.3 病毒的分类
从第一个病毒出世以来,究竟世界上有多少种病毒,说法不一。无论多少种,病毒的数
10 种 / 周的速度递增,另据我国公安部统计,
量仍在不断增加。据国外统计,计算机病毒以
国内以 4 种 / 月的速度递增。如此多的种类,做一下分类可更好地了解它们。
按传染方式分为:

引导型病毒

文件型病毒

混合型病毒
COM , EXE )。在用户调用染毒的可
文件型病毒一般只传染磁盘上的可执行文件(
执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其
特点是附着于正常程序文件,成为程序文件的一个外壳或部件。这是较为常见的传染方式。混
合型病毒兼有以上两种病毒的特点,既染引导区又染文件,因此扩大了这种病毒的传染途径。
按连接方式分为:

源码型病毒

入侵型病毒

操作系统型病毒

外壳型病毒
源码病毒较为少见,亦难以编写。因为它要攻击高级语言编写的源程序,在源程序编译
之前插入其中,并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经
带毒了。
入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特
定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。
操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统

这类病毒的危害性也较大。
外壳病毒将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的

91

文件型病毒都属于这一类。
按破坏性可分为:

良性病毒

恶性病毒。

5.3.4 反病毒技术
随着计算机技术及Internet 的发展,人们对计算机的应用越加广泛,由此,计算机病毒
对人们的危害也越来越大,这就使人们的计算机防毒概念已经有了更新的认识。在这里介绍一
些最常用的防毒技术。
1 .反病毒技术的发展
随着计算机技术及反毒技术的发展,早期的防病毒卡亦象其它的计算机硬件卡(如汉字
卡等)一样,逐步地衰落出市场,与此对应的,各种反病毒软件开始日益风行起来,并且经过
了十几年的发展。
第一代反病毒技术是采取单纯的病毒特征代码分析,将病毒从带毒文件中清除掉。这种
方式可以准确地清除病毒,可靠性很高。但后来病毒技术发展了,特别是加密和变形技术的运
用,使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒,这种方式可以更多地检测出
变形病毒,但另一方面误报率也提高,尤其是用这种不严格的特征判定方式去清除病毒带来的
风险性很大,容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找
病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、杀等反病毒所必备
的各种手段,以驻留内存方式防止病毒的入侵,凡是检测到的病毒都能清除,不会破坏文件和
数据。随着病毒数量的增加和新型病毒技术的发展,静态扫描技术将会使反毒软件速度降低,
驻留内存防毒模块容易产生误报。
第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多
位 CRC 校验和扫描机理,启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强
的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,较好的解决了
以前防毒技术顾此失彼、此消彼长的状态。
2 .病毒检测方法
目前市面上常见的防毒软件经常使用的防毒技术一般分为以下几种:特征代码法、校验
VICE 先知扫描法等。这些方法依据其原理的不同,实现时
和法、行为监测法、软件模拟法、
所需开销也各不相同,检测范围也不同,各有所长,下面简单介绍特征代码检测方法。
特征代码法目前被认为是用来检测已知病毒的最简单、开销最小的方法。防毒软件在最
初的扫毒方式是将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码
资料库中,每当需要扫描该程序是否有毒的时候,启动查毒软件程序,以扫描的方式与该病毒
码资料库内的现有资料一一比对,如果两方资料皆有吻合之处的话,既判定该程序已遭病毒感
染。特征代码法的实现步骤如下:
( 1 ) 采集已知病毒样本。如果病毒既感染
COM 文件,又感染 EXE 文件,那么对这
种病毒要同时采集 COM 型病毒样本和 EXE 型病毒样本。
( 2 ) 在病毒样本中,抽取病毒特征代码。在既感染
COM 文件又感染 EXE 文件的病
毒样本中,要抽取两种样本共有的代码。

92

( 3 ) 将特征代码纳入病毒数据库。
( 4 ) 检测文件。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中
的病毒特征代码。如果发现病毒特征代码,将特征代码与病毒一一对应,便可以断定被查文件
所感染的是何种病毒。
采用病毒特征代码法的检测工具,其检测准确,可识别病毒的名称。这种病毒检测技术
误报警率低、依据检测结果,可做相应的解毒处理。但是,面对不断出现的新病毒,必须不断
更新版本,否则便检测不会新出现的各种病毒,因病毒特征代码法对从未见过的新病毒,自然
无法知道其特征代码,无法去检测这些新病毒。随着病毒种类的增多,新版本的病毒数据库会
加大,检索时间就会变长,大大降低了软件的使用效率。而且此类扫毒方法不能检测出隐蔽性
病毒,因隐蔽性病毒先进驻内存后,能够将感染文件中的病毒代码剥去,检测工具就会发现被
检测文件是一个完好的文件,将会被隐蔽性病毒所蒙骗。
由于其他一些病毒检测方法过于复杂,误报率很高,所以基于病毒特征代码检测很普及

但是病毒特征代码法对从未见过的新病毒,无法知道其特征代码,无法去检测这些新病毒,所
以很多时候都是计算机已经感染了病毒并且对机器或数据造成很大破坏后才去杀毒。基于这些
" 防杀结合,防范为主" ,而防范计算机病毒的基本方
原因,在反病毒技术上,最重要的就是
法有:
(1) 不轻易上一些不正规的网站,在浏览网页的时候,很多人有猎奇心理,而一些病毒

木马制造者正是利用人们的猎奇心理,引诱大家浏览他的网页,甚至下载文件,殊不知这样很
容易使机器染上病毒。
(2) 千万提防电子邮件病毒的传播,能发送包含
ActiveX 控件的HTML格式邮件可以在
浏览邮件内容时被激活,所以在收到陌生可疑邮件时尽量不要打开,特别是对于带有附件的电
子邮件更要小心,很多病毒都是通过这种方式传播的,甚至有的是从你的好友发送的邮件中传
到你机器上感染你的计算机。
(3) 对于渠道不明的光盘、软盘、
U 盘等便携存储器,使用之前应该查毒。对于从网络
上下载的文件同样如此。因此,计算机上应该装有杀毒软件,并且及时更新。
(4) 经常关注一些网站、BBS发布的病毒报告,这样可以在未感染病毒的时候做到预先
防范。
(5) 对于重要文件、数据做到定期备份。
(6) 不能因为担心病毒而不敢使用网络,那样网络就失去了意义。只要思想上高度重视

时刻具有防范意识,就不容易受到病毒侵扰。

5.4 虚拟专用网 --VPN 技术
随着 Internet 技术的发展,人们现在已可以利用 Internet 实现网络银行、电子购物、
电子商务等多种与经济生活相关的经济活动了。在此类经济活动中, 人们最为关心的问题就
是 Internet 的安全性。目前,虚拟专用网 (Virtual Private Network , VPN) 技术是实现安
全传输的重要手段之一, 利用它可以在远程用户、公司分支机构、商业合作伙伴与公司的内
部网之间建立可信的安全连接, 并保护数据的安全传输。同时, 通过将数据流转移到低成本
WAN 和远程网络连接上的费用。正因为它的安全、节省
的 IP 网络上而大幅度地减少用户有
费用、灵活性大等特点, VPN 成为网络技术领域中的一个热点。

5.4.1 VPN 定义和分类
VPN 被定义为通过一公共网络 ( Internet) 建立的临时的、安全的连接, 是一条穿过

93

混乱的公用网络的安全、稳定的隧道, 它是对企业内部网的扩展。根据不同的需要, 可以构
造3 种类型的 VPN : 内部网 VPN 、远程访问 VPN 和外连网 VPN 。在公司和它的分支
机构之间建立的 VPN 称为内部网 VPN , 它通过公共网络将一个组织的各分支机构连接在
一起, 这种方式连接而成的网络可称为扩展意义上的Internet 。在公司和远地职员或移动中
的职员之间建立的 VPN 称为远程访问 VPN , 这种连接由通过 Interne的远程拨号建立,
它在远地职员和公司之间建立一条加密信道。在公司与商业伙伴、顾客、供应商、投资者之间
建立的 VPN 称为外连网 VPN 。 VPN 可在 Internet 内建立一条隧道(Tunnel) , 经过防火
墙后保护信息的安全。

5.4.2 VPN 作用与特点
一个 VPN 至少提供如下功能:
① 数据加密;
② 信息认证和身份认证;
③ 访问权限控制。
VPN 的以下特点:
1 .使用 VPN 专用网的构建将使费用大幅降低
VPN 不需要象传统的专用网那样租用专线设置大量的数据机或远程存取服务器等设备

比如, 远程访问 VPN 用户只需通过本地的信息服务提供商 (ISP) 登录到 Internet 上, 就
可以在他的办公室和公司内部网之间建立一条加密信道,
用这种 Internet 作为远程访问的骨
干网方案比传统的方案 ( 比如租用专线和远端拨号方问 ) 更易实现, 而费用更少。
2 . VPN 灵活性大
VPN 方便更改网络结构, 方便连接新的用户和网站。
3 . VPN 易于管理维护
VPN 中可以使用RADIUS (Renmote Authentics Diɑl In User Service) 来简化管理,
使用RADIUS,管理则只需维护一个访问权限的中心数据库来简化用户的认证管理,无须同时
管理地理上分散的远程访问服务器的访问权限和用户认证。同时在 VPN 中, 较少的网络设
备和线路也使网络的维护较容易。

5.4.3 VPN 技术
与实际的点到点连接电路一样, VPN 系统可被设计成通过Internet 提供安全的点到
点 ( 或端到端) 的 " 隧道 " 。这种连接与常规的直接拨号连接的不同点在于在后一种情形中,
PPP ( 点对点协议 ) 数据包流是通过专用线路传输的。在 VPN 中, PPP 数据包流由一个
LAN 上的路由器发出,通过共享 IP网络上的隧道进行传输,再到达另一个 LAN 上的路
由器。隧道连接与直接拨号连接的关键不同点是隧道代替了实实在在的专用线路。因为
Internet 是一个公共传输网络, 建立在它之上的安全专用网络需要有高度的安全技术要求,
而且 Internet 不提供实际的点到点连接那样的可靠性能。在 Internet 上, 经常发生阻塞, 导
致丢包和包重发,这将影响到网络的整体性能。基于 Internet 的 VPN 使用了下面一些技术
来实现内部数据网。
1 .隧道协议 (Tunnel Protocols)
VPN 技术中的隧道是由隧道协议形成的,
隧道协议用来建立通过 Internet 的安全的
点到点传输,大多数的 VPN 系统使用点到点隧道协议 (PPTP -Point to Point Tunneling
Protocol) 、第二层隧道协议(L2TP -Layer 2 Tunneling Protocol) 以及IPsec (Secure IP) 标准。

94

PPTP 协议被嵌入到 Windows 98 和 Windows NT 4.0 中。 L2TP 协议综合了 PPTP 协议和
L2F(Layer 2 Forwarding) 协议的优点, 并且支持多路隧道, 这样可以使用户同时访问
Internet 和企业网。一般而言, PPTP/ L2TP 的特点是:
① 封装的PPP 数据包中包含用户信息;
② 支持隧道交换,隧道交换可以根据用户权限,开启并分配新的隧道,将 PPP 数据
包在网络中传输;
③ 便于企业在防火墙和内部服务器上实施访问控制。
位于企业防火墙的隧道终端器接受包含用户信息的PPP 数据包, 然后对不同来源的数
IPsec 是一个广泛
据包实施访问控制。隧道交换还可以将用户导向指定的企业内部服务器。而
的、安全的VPN 协议, IPsec 包含了用户身份认证、查验和数据完整性内容。该协议规定
IP 级协议。 IPsec 实现来
了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列
自不同厂商的设备在进行隧道开通和终止时的互操作。同时,IPsec 的安全性功能与密钥管
理系统松散耦合, 当密钥管理系统发生变化时, IPsec 的安全机制不需要进行修改。 IPsec
适应向Ipv6 迁移, 预计它今后将成为 VPN 的主要标准。隧道协议有两个重要的方面: 性
能与安全。各公司采用不同的标准, 因此这方面有着广泛的技术。同时可以有很多技术来提
高隧道的性能, 包括减少丢包、压缩和加密数据, 但在目前, 这些技术并未被广泛应用。
2 .隧道服务器 (Tunnel Severs)
隧道服务器位于企业网的中心站点, 用于集中隧道连接。隧道服务器具备高性能, 这
些高性能设备可以同时处理几百或几千个用户连接。同时隧道服务器往往具有一些访问控制、
认证和加密能力。
3 .认证 (Authenticɑtion)
认证包括对用户身份进行认证, 而不仅是认证 IP 地址, 认证后决定是否允许用户
对网络资源的访问,现在有大量的认证技术来认证用户,
包括用户名 / 口令、 RADIUS 认
证、令牌卡等。一旦一个用户同公司的 VPN 服务器进行了认证, 根据他的访问权限表, 他
就有一定程度的访问权限。每个人的访问权限表由网络管理员制定, 并且要符合公司的安全
策略。在大量的认证技术中, VPN 更普遍的是使用 RADIUS 来进行用户认证。在
RADIUS 服务器中设立一个中心数据库,这个中心数据库包括用户身份证信息 ( 比如用户
名, 口令 ) , RADIUS 根据这个中心数据库来认证用户。从RADIUS 用户认证大致过
程可以看到 VPN 采用 RADIUS 的原因, 当远程用户拨入远程访问服务器时, RAS 或
VPN 获得认证信息,并将认证信息传给 RADIUS 服务器。如果用户在中心数据库中并有
权访问网络, RADIUS 通知远程访问服务器继续处理,同时 RADIUS 发送一些关于用
户的概要信息 ( 比如用户 IP 地址, 用户和网络保持连接的最大时间, 允许用户拨入访问网
络的电话号码等) 给远程访问服务器, RAS 或 VPN 根据这些信息来检查用户是否符合所
有的条件, 只有当拨入用户符合所有的条件, 用户才能访问网络。
4 .加密(Encrytion)
当数据包传递时,加密技术用来隐藏数据包。如果数据包要通过不安全的Internet ,
那么即使已建立了用户认证, VPN 也不完全是安全的。因为如果没有加密的话, 普通的
嗅探技术也能捕获、甚至更改信息流。所以在隧道的发送端, 认证用户要先加密, 再传送数
据 ; 在接收端, 认证用户接收后再解密。

95

Sign up to vote on this title
UsefulNot useful