计算机网络管理知识汇总

《任旭亚主编》

第一章 计算机网络基础 1.1计算机网络简单介绍 1.1.1网络的基本概念 1. 什么是网络

在定义上非常简单﹕网络就是一群通过一定形式连接起来的计算机。

2. 什么是局域网

顾名思义，局域网就是局部区域的网络，通常是指覆盖范围在10公里以内的网络。

将数公里范围内的几台到数百台计算机通过通信线缆连接起来而形成的计算机系统称为局域网LAN（Local Area Network）。通常在学校、企业、大型建筑物中使用。局域网的特点是传输速度快、可靠性高。如校园网。

3. 广域网

通过网络连接设备（如网关、网桥等）将局域网再延伸出去更大的范围﹐比 如整个城市甚至整个国家﹐这样的网络我们称为广域网(WAN，Wide Area Network)。

4. Internet

Internet是由这些无数的LAN和WAN共同组成的。

从广义上讲，Internet是遍布全球的联络各个计算机平台的总网络，是成千上万信息资源的总称；从本质上讲，Internet是一个使世界上不同类型的计算机能交换各类数据的通信媒介。 1.1.2网络的基本功能和用途 1. 网络的基本功能

网络的功能很多，其中最重要的三个功能是：数据通信、资源共享、分布处理。

1) 数据通信

数据通信是计算机网络最基本的功能。支持用户之间的数据传输，如电子 邮件、文件传输、IP电话、视频会议等。

2) 资源共享

 硬件共享： 用户可以使用网络中任意一台计算机所附接的硬件设

备，包括利用其它计算机的中央处理器来分担用户的处理任务。例如：同一网络中的用户共享打印机、共享硬盘空间等。

 软件共享: 用户可以使用远程主机的软件（系统软件和用户软

件），既可以将相应软件调入本地计算机执行，也可以将数据送至对方主机，运行软件，并返回结果。

 数据共享: 网络用户可以使用其它主机和用户的数据。

3） 分布处理

对于大型的课题，可以分为许许多多的小题目，由不同的计算机分别完成 然后再集中起来，解决问题。

1

2. 网络的基本用途           

信息共享与办公自动化； 电子邮件； IP电话；

在宽带计算机网络中，可以实现在线实时新闻和现场直播； 在线游戏；

网上交友和实时聊天； 电子商务及商业应用； 文件传输；

网上教学与远程教育； 网上冲浪WWW 网格计算机系统。

1.1.3网络的分类

按计算机连网的区域大小，我们可以把网络分为局域网（LAN，Local Area Network）、城域网(MAN, Metropolitan Area Network)、广域网（WAN，Wide Area Network）和国际互联网（Internet）。

局域网（LAN）是指在一个较小地理范围内的各种计算机网络设备互连在一起的通信网络，可以包含一个或多个子网，通常局限在几千米的范围之内。如在一个房间、一座大楼，或是在一个校园内的网络就称为局域网，广域网（WAN）连接地理范围较大，常常是一个国家或是一个洲。其目的是为了让分布较远的各局域网互连。我们平常讲的Internet就是最大最典型的广域网。 1.1.4局域网络的拓扑结构和工作模式

(一) 网络拓扑结构

网络拓扑结构是指用传输媒体互连各种设备的物理布局。将参与局域网工作的各种设备用媒体互连在一起有多种方法,实际上只有几种方式能适合局域网的工作。

如果一个网络只连接几台设备,最简单的方法是将它们都直接相连在一起，这种连接称为点对点连接。用这种方式形成的网络称为全互连网络,如下图所示。

图中有6个设备，在全互连情况下,需要15条传输线路。如果要连的设备有n个,所需线路将达到n(n-1)/2条!显而易见,这种方式只有在涉及地理范围不大，设备数很少的条件下才有使用的可能。即使属于这种环境,在LAN技术中也不使用。我们所说的拓扑结构，是因为当需要通过互连设备(如路由器)互连多个LAN时,将有可能遇到这种广域网(WAN)的互连技术。目前大多数网络使用的拓扑结构有3种：

1. 星型拓扑结构

星型结构是最古老的一种连接方式，大家每天都使用的电话都属于这种结

构，如下图所示。其中,图1-4为电话网的星型结构,图1-5为目前使用最普遍的以太网(Ethernet)星型结构,处于中心位置的网络设备称为集线器,英文名为Hub。

这种结构便于集中控制,因为端用户之间的通信必须经过中心站。由于这一特点,也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份,以提高系统的可靠性。

这种网络拓扑结构的一种扩充便是星形树,如下图1-6所示。每个Hub与端用

户的连接仍为星型,Hub的级连而形成树。然而,应当指出,Hub级连的个数是有限制的,并随厂商的不同而变化。 值得注意的是，,以Hub构成的网络结构,虽然呈星型布局,但它使用的访问媒体的机制却仍是共享媒体的总线方式。

2

2. 环型网络拓扑结构

环型结构在局域网中使用较多。这种结构中的传输媒体从一个端用户到另一

个端用户,直到将所有端用户连成环型,如图1-7所示。这种结构显而易见消除了端用户通信时对中心系统的依赖性。

环行结构的特点是,每个端用户都与两个相临的端用户相连,因而存在着点到点链路,但总是以单向方式操作。于是,便有上游端用户和下游端用户之称。例如图1-7中,用户N是用户N+1的上游端用户,N+1是N的下游端用户。如果N+1端需将数据发送到N端，则几乎要绕环一周才能到达N端。

环上传输的任何报文都必须穿过所有端点,因此,如果环的某一点断开,环上所有端间的通信便会终止。为克服这种网络拓扑结构的脆弱,每个端点除与一个环相连外，还连接到备用环上,当主环故障时,自动转到备用环上。

3. 总线拓扑结构

总线结构是使用同一媒体或电缆连接所有端用户的一种方式,也就是说，连接

端用户的物理媒体由所有设备共享，如下图1-8所示。使用这种结构必须解决的一个问题是确保端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时,这是相当简单的。如果这条链路是半双工操作，只需使用很简单的机制便可保证两个端用户轮流工作。在一点到多点方式中,对线路的访问依靠控制端的探询来确定。然而，在LAN环境下,由于所有数据站都是平等的,不能采取上述机制。对此，研究了一种在总线共享型网络使用的媒体访问方法:带有碰撞检测的载波侦听多路访问,英文缩写成CSMA/CD。

这种结构具有费用低、数据端用户入网灵活、站点或某个端用户失效不影响其它站点或端用户通信的优点。缺点是一次仅能一个端用户发送数据，其它端用户必须等待到获得发送权。媒体访问获取机制较复杂。尽管有上述一些缺点,但由于布线要求简单,扩充容易,端用户失效、增删不影响全网工作,所以是网络技术中使用最普遍的一种。

(二)

局域网的工作模式

局域网的工作模式是根据局域网中各计算机的位置来决定的，目前局域网主要存在着两种工作模式，它们涉及到用户存取和共享信息的方式，它们分别是：客户/服务器模式和点对点通信模式。 1. 客户/服务器模式（Client/Server）

这是一种基于服务器的网络，在这种模式中，其中一台或几台较大的计算机

集中进行共享数据库的管理和存取，称为服务器；而将其它的应用处理工作分散到网络中其它计算机上取左，构成分布式的处理系统，服务器控制管理数据的能力已由文件管理方式上升为数据库管理方式，因此，C/S网络模式的服务器也称为数据库服务器。 2. 对等网络模式（Peer-to-Peer）

在拓扑结构上与专用Server的C/S不同，在对等式网络结构中，没有专用服

务器。在这种网络模式中，每一个工作站既可以起客户机作用也可以起服务器作用。有许多往来网络操作系统可应用于点对点网络，如Windows，Novell Lite等。

点对点对等式网络有许多优点，如它比上面所介绍的C/S网络模式造价低，它们允许数据库和处理机能分布在一个很大的范围里，还允许动态的安排计算机需求。当然它的缺点也是非常明显地，那就是提供较少的服务功能，并且难以确定文件的位置，使得整个网络难以管理。

1.2计算机网络硬件1.2.1网络适配器 1. 什么是网络适配器

网络适配器又称网卡或网络接口卡NIC（Network Interface Card）。它是使计算机联网的设备。平常所说的网卡就是将PC机和LAN连接的网络适配器。网卡（NIC） 插在计算机主板插槽中，负责将用户要传递的数据转换为网络上其它设备能够识别的格式，通过网络介质传输。它的主要技术参数为带宽、总线方式、电气接口方式等。

3

2. 网络适配器的基本功能

1) 读入由其他网络设备（路由器、交换机或其他NIC）传输过来的数据包，

经过拆包，将其变成客户机或服务器可以识别的数据，通过主板上的总线将数据传输到所需PC设备中（CPU、内存或硬盘）。

2) 将PC设备发送的数据，打包后输送至其他网络设备中。 1.2.2网络通信介质

信息的传输是从一台计算机传输给另一台计算机，或从一个结点传输到另一个结点，它们都是通过通信介质实现的，常用的通信介质有如下几种： 1. 同轴电缆

同轴电缆可分为两类：粗缆和细缆，这种电缆在实际应用中很广，比如有线电视网，就是使用同轴电缆。不论是粗缆还是细缆，其中央都是一根铜线，外面包有绝缘层。同轴电缆由内部导体环绕绝缘层以及绝缘层外的金属屏蔽网和最外层的护套组成， 2. 双绞线

双绞线(TP：Twisted Pairwire)是布线工程中最常用的一种传输介质。双绞线是由相互按一定扭距绞合在一起的类似于电话线的传输媒体，每根线加绝缘层并有色标来标记，如下图所示,左图为示意图，右图为实物图。成对线的扭绞旨在使电磁辐射和外部电磁干扰减到最小。目前,双绞线可分为非屏蔽双绞线(UTP：Unshilded Twisted

Pair)和屏蔽双绞线(STP：Shielded Twisted Pair)。我们平时一般接触比较多的就是UTP线。 目前 EIA/TIA（电气工业协会／电信工业协会）为双绞线电缆定义了五种不同质量的型号。这五种型号如下：

 第一类：主要用于传输语音（一类标准主要用于八十年代初之前的电话线缆），该类用于电话线，不用于

数据传输。

 第二类：该类包括用于低速网络的电缆，这些电缆能够支持最高4Mbps的实施方案，这两类双绞线在LAN

中很少使用。

 第三类:这种在以前的以太网中（10M）比较流行，最高支持16Mmbps的容量，但大多数通常用于10Mbps

的以太网，主要用于10base-T。

 第四类:该类双绞线在性能上比第三类有一定改进,用于语音传输和最高传输速率16Mbps的数据传输。4类

电缆用于比3类距离更长且速度更高的网络环境。它可以支持最高20Mbps的容量。主要用于基于令牌的局域网和10base-T/100base-T。这类双绞线可以是UTP，也可以是STP。

 第五类:该类电缆增加了绕线密度,外套一种高质量的绝缘材料,传输频率为100MHz,用于语音传输和最高传

输速率为100Mbps的数据传输，这种电缆用于高性能的数据通信。它可以支持高达100Mbps的容量。主要用于100base-T和10base-T网络，这是最常用的以太网电缆。 最近又出现了超5类线缆，它是一个非屏蔽双绞线(UTP)布线系统,通过对它的\"链接\"和\"信道\"性能的测试表明,它超过5类线标准TIA/EIA568的要求。与普通的5类UTP比较,性能得到了很大提高。

如今市场上5类布线和超5类布线应用非常广泛，国际标准规定的5类双绞线的频率带宽是100MHz，在这样的带宽上可以实现100M的快速以太网和155M的ATM传输。计算机网络综合布线使用第三、四、五类。

使用双绞线组网，双绞线和其他网络设备（例如网卡）连接必须是RJ45接头（也叫水晶头）。上图1-12是RJ45接头，左图为示意图，右图为实物图。

双绞线（10BASE-T）以太网技术规范可归结为5-4-3-2-1规则：  允许5个网段，每网段最大长度100米；  在同一信道上允许连接4个中继器或集线器；  在其中的三个网段上可以增加节点；

4

 在另外两个网段上，除做中继器链路外，不能接任何节点；

 上述将组建一个大型的冲突域，最大站点数1024，网络直径达2500米。 3. 光缆

光缆不仅是目前可用的媒体，而且是今后若干年后将会继续使用的媒体，其主要原因是这种媒体具有很大的带宽。光缆是由许多细如发丝的塑胶或玻璃纤维外加绝缘护套组成，光束在玻璃纤维内传输，防磁防电，传输稳定，质量高，适于高速网络和骨干网。光纤与电导体构成的传输媒体最基本的差别是，它的传输信息是光束，而非电气信号。因此，光纤传输的信号不受电磁的干扰。

下表是三种传输媒介的比较：

同轴电缆、双绞线、光缆的性能比较 传输媒介 UTP STP 同轴电缆 光 缆 无线介质

上述三种通信介质的有一个共同的缺点，那便是都需要一根线缆连接电脑，这在很多场合下是不方便的。无线介质不使用电子或光学导体。大多数情况下地球的大气便是数据的物理性通路。从理论上讲，无线介质最好应用于难以布线的场合或远程通信。无线介质有三种主要类型：无线电、微波及红外线。 1.2.3网络连接设备

1. 中继器（物理层连接设备）

中继器(Repeater)是局域网环境下用来延长网络距离的最简单、最廉价的互连

设备，工作在物理层，作用是对传输介质上传输的信号接收后经过放大和整形再发送到其传输介质上，经过中继器连接的两段电缆上的工作站就象是在一条加长的电缆上工作一样。

中继器只能连接相同数据传输速率的LAN。中继器在执行信号放大功能时不需要任何算法，只将来自一侧的信号转发到另一侧（双口中继器）或将来自一侧的信号转发到其他多个端口。中继器只有当网络负载很轻和网络延时要求不高的条件下才能使用。 2. 集线器（物理层连接设备）

集线器（Hub）可以说是一种特殊的中继器，区别在于集线器能够提供多端口服务，每个端口连接一条传输介质，也称为多端口中继器。集线器将多个节点汇接到一起，起到中枢或多路交汇点的作用，使胃优化网络布线结构、简化网络管理为目标而设计的。 3. 网桥（数据链路层连接设备）

网桥（Bridge）也叫桥接器，是连接两个局域网的一种存储/转发设备，工作在数据链路层，它能将一个较大的LAN分割为多个子网，或将两个以上的LAN互连为一个逻辑LAN，使LAN上的所有用户都可以访问服务器。

4. 网关（数据链路层连接设备）

网关（Gateway）实现了不同的体系结构和环境之间的通信，数据被网关重新转换后，可以从一个网络环境进入另一个不同的网络环境，使各种网络环境能够相互理解、交流对方的数据。网关的功能就是把信息重新进行包装以适应目标网络环境的要求。即网关能够改变信息数据的格式，使之符合接收端的数据要求。 5. 路由器（网络层连接设备）

路由器（Router）是在网络层提供多个独立的子网间连接服务的一种存储/转发设备。用

5

价格 最便宜 一般 一般 最高 电磁干扰 高 低 低 没 有 频带宽度 低 中 等 高 极 高 单段最大长度 100 米 100 米 185米/500米 几十公里 路由器连接的网络可以使用在数据链路层和物理层协议完全不同的网络中。路由器提供的服务比网桥更为完善。路由器可根据传输费用、转接时延、网络拥塞或信源和终点间的距离来选择最佳路径。

在实际应用中，路由器通常作为局域网与广域网连接的设备。

6. 交换机（数据链路层连接设备） 交换机（Switch）是在集线器的基础上发展起来的，它的功能和特点：

    

具有与HUB同样的功能； 具有存储转发、分组交换能力； 具有子网和虚网管理能力； 各用户终端独占带宽； 交换机可以堆叠。

1.4计算机网络协议

1.4.1网络协议

就象我们说话用某种语言一样，在网络上的各台计算机之间也有一种语言，这就是网络协议，

不同的计算机

之间必须使用相同的网络协议才能进行通信。当然，网络协议也有很多种，具体选择哪一种协议要看情况而定。Internet上的计算机使用的是TCP/IP协议。

为进行计算机网络中的数据交换而建立的规则、标准或约定的集合。协议总是 指某一层协议，准确地说，它是对同等实体之间的通信制定的有关通信规则约定的集合。

网络协议的三个要素：

1) 语义（Semantics)：涉及用于协调与差错处理的控制信息。 2) 语法（Syntax)：涉及数据及控制信息的格式、编码及信号电平等。 3) 定时（Timing）：涉及速度匹配和排序等。 1.4.2网络体系结构

计算机网络系统是一个十分复杂的系统。将一个复杂系统分解为若干个容易处理的子系统，然后“分而治之”，这种结构化设计方法是工程设计中常见的手段。

网络的体系结构(Architecture)就是计算机网络各层次及其协议的集合。层次结构一般以垂直分层模型来表示，如图1-17。

网络的体系结构的特点是： 1) 以功能作为划分层次的基础。

2) 第n层的实体在实现自身定义的功能时，只能使用第n-1层提供的服务。

3) 第n层在向第n+1层提供的服务时，此服务不仅包含第n层本身的功能，还包含由下层服务提供的功

6

则

能。

4) 仅在相邻层间有接口，且所提供服务的具体实现细节对上一层完全屏蔽。1.4.3ISO/OSI参考模型 OSI(Open System Interconnection，开放系统互连)基本参考模型是由国际标准化组织(ISO)制定的标准化开放式计算机网络层次结构模型，称为ISO/OSI参考模型。“开放”这个词表示能使任何两个遵守参考模型和有关标准的系统进行互连。

OSI包括了体系结构、服务定义和协议规范三级抽象。

OSI参考模型采用分层结构，如上图1-18所示。 优 点：     

简化相关的网络操作；

提供即插即用的兼容性和不同厂商之间集成的标准接口；

使工程师门能专注于设计和优化不同的网络互连设备的互操作性；

防止一个区域的网络变化影响另一个区域的网络，因此，每一个区域的网络都能单独快速地升级； 把复杂的网络连接问题分解成小的简单的问题，易于学习和操作。 在OSI参考模型中，从下至上，每一层完成不同的、目标明确的功能。 1. 物理层（Physical Layer）

物理层规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性及过程特性。该层为上层协议提供了一个传输数据的物理媒体。 在这一层，数据的单位称为比特（bit）。

属于物理层定义的典型规范代表包括：EIA/TIA RS-232、EIA/TIA RS-449、RJ-45等。 2. 数据链路层（Data Link Layer）

数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括：物理 地址寻址、数据的成帧、流量控制、数据的检错、重发等。 在这一层，数据的单位称为帧（frame）。

数据链路层协议的代表包括：SDLC、HDLC、PPP、STP、帧中继等。 3. 网络层（Network Layer）

网络层负责对子网间的数据包进行路由选择。此外，网络层还可以实现拥塞 控制、网际互连等功能。

在这一层，数据的单位称为数据包（packet）。 网络层协议的代表包括：IP、IPX、RIP、OSPF等。 4. 传输层（Transport Layer）

传输层是第一个端到端，即主机到主机的层次。传输层负责将上层数据分段

并提供端到端的、可靠的或不可靠的传输。此外，传输层还要处理端到端的差错控制和流量控制问题。 在这一层，数据的单位称为数据段（segment）。 传输层协议的代表包括：TCP、UDP、SPX等。 5. 会话层（Session Layer）

会话层管理主机之间的会话进程，即负责建立、管理、终止进程之间的会话。 会话层还利用在数据中插入校验点来实现数据的同步。

会话层协议的代表包括：NetBIOS、ZIP（AppleTalk区域信息协议）等。 6. 表示层（Presentation Layer）

表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一

7

各层功能简要介绍：

个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。 表示层协议的代表包括：ASCII、ASN.1、JPEG、MPEG等。 7. 应用层（Application Layer）

应用层为操作系统或网络应用程序提供访问网络服务的接口。 应用层协议的代表包括：Telnet、FTP、HTTP、SNMP等。 1.4.4IEEE802标准

为研究局域网技术和制定相应的标准，美国电气电子工程师协会（IEEE）于1980年2月成立了一个专门的IEEE 802委员会，下属若干分委会，分别研究LAN的不同发展领域，所以以太网的标准全是以802.X的形式出现的，最初的五个标准为：

① 802.1：LAN的总体结构、系统构成、管理和互连。

② 802.2：由于物理介质的不断变化，IEEE802委员会把OSI的数据链路层分为两个子层。  

介质存取控制（MAC）：与物理介质有关，负责对共享介质的存取。通常的协议有802.3和802.5等。 逻辑链路控制（LLC）：负责处理差错检测、流量控制、分帧及MAC子层的编址等，常用的协议有802.2，提供了对上层（网络层）协议的鉴别。

③ 802.3：载波监听多路访问/冲突检测（CSMA/CD）,其工作原理和LAN完全相同，只是在帧结构上略有

差别。

④ 802.4：Toking Passing令牌总线网。 ⑤ 802.5：Token 令牌环。

随着网络技术的发展和完善，IEEE 802标准也在不断增加，如IEEE802.7标

准定义了宽带局域网访问控制方法与物理层规范，IEEE802.11标准定义了无线局域网技术与物理层规范。

1.4 Internet及其应用1.5.1Internet概述

Internet又称为因特网或国际互联网，它是将世界范围内众多计算机网络连接而成的、开放的、全球最大的计算机网络。

从网络通信技术的观点来看，Internet是一个以TCP/IP（传输控制协议/网际协议，协议是通信双方在通信时共同遵守的约定）通信协议为基础，连接各个国家、各个部门、各个机构计算机网络的数据通讯网。从信息资源的观点来看，Internet是一个集各个领域、各个学科的各种信息资源为一体的、供网上用户共享的数据资源网。

1.5.2Internet协议

Internet采用的主要协议就是TCP/IP协议。

TCP/IP协议又称为TCP/IP模型，是Internet的协议簇，也是一种分层结构。它的层次结构如图1-19。

在TCP/IP参考模型中，去掉了OSI参考模型中的会话层和表示层（这两层的功能被合并到应用层实现）。同时将OSI参考模型中的数据链路层和物理层合并为网络接口层。下面，分别介绍各层的主要功能。 1. 网络接口层

网络接口层与OSI参考模型中的物理层和数据链路层相对应。网络接口层是TCP/IP与各种LAN或WAN的接口。

网络接口层在发送端将上层的IP数据报封装成帧后发送到网络上；数据帧通过网络到达接收端时，该结点的网络接口层对数据帧拆封，并检查帧中包含的MAC地址。如果该地址就是本机的MAC地址或者是广播地址，则上传到网络层，否则丢弃该帧。 2. 网络互连层

8

网络互连层是整个TCP/IP协议栈的核心。它的功能是把分组发往目标网络或主机。同时，为了尽快地发送分组，可能需要沿不同的路径同时进行分组传递。因此，分组到达的顺序和发送的顺序可能不同，这就需要上层必须对分组进行排序。

网络互连层定义了分组格式和协议，即IP协议（Internet Protocol）。

网络互连层除了需要完成路由的功能外，也可以完成将不同类型的网络（异构网）互连的任务。除此之外，网络互连层还需要完成拥塞控制的功能。 3. 传输层

在TCP/IP模型中，传输层的功能是使源端主机和目标端主机上的对等实体可以进行会话。在传输层定义了两种服务质量不同的协议。即：传输控制协议TCP（transmission control protocol）和用户数据报协议UDP（user datagram protocol）。

TCP协议是一个面向连接的、可靠的协议。它将一台主机发出的字节流无差错地发往互联网上的其他主机。在发送端，它负责把上层传送下来的字节流分成报文段并传递给下层。在接收端，它负责把收到的报文进行重组后递交给上层。TCP协议还要处理端到端的流量控制，以避免缓慢接收的接收方没有足够的缓冲区接收发送方发送的大量数据。

UDP协议是一个不可靠的、无连接协议，主要适用于不需要对报文进行排序和流量控制的场合。 4. 应用层

TCP/IP模型将OSI参考模型中的会话层和表示层的功能合并到应用层实现。 应用层的主要协议有：

    

文件传输协议FTP（File Transfer Protocol）:提供有效地将数据从一台机器上移动到另一台机器上的法。 远程登录协议TELNET：允许一台机器上的用户登录到远程机器上并且进行工作。

电子邮件协议SMTP（Simple Message Transfer Protocol）:最初仅是一种文件传输，但是后来为它提出了专门的协议。

域名系统服务DNS（Domain name service）：用于把主机名映射到网络地址。

超文本传输协议HTTP（Hypertext Transfer Protocol）；用于在万维网（WWW）上获取主页等。

1.5.3IP地址与域名1. IP地址

在国际互联网(Internet)上有成千百万台主机（host），为了区分这些主机，人们给每台主机都分配了一个专门的“地址”作为标识，称为IP地址，它就像您在网上的身份证。

每个IP地址都是由两部分组成的：网络号和主机号。其中网络号标识一个物理的网络，而主机号用来标识网络中的一台主机。

IP地址有两种表示形式：二进制表示和点分十进制表示。每个IP地址的长度为4字节，由四个8位域组成，字节之间用“.”分开，表示为一个0-255的十进制数。

同时为了方便管理和使用，适应不同大小的网络，对IP地址进行了分类。 可以通过IP地址的前八位来确定地址的类型：

类型 IP形式 网络号 主机号

A类 w.x.y.z w x.y.z w是1－126 B类 w.x.y.z w.x y.z w是128－191 C类 w.x.y.z w.x.y z w是192－223 A类地址：可以拥有很大数量的主机，最高位为0，紧跟的7位表示网络号， 余24位表示主机号，总共允许有126个网络。

B类地址：被分配到中等规模和大规模的网络中，最高两位总被置于二进制的 10，允许有16384个网络。

9

C类地址：被用于局域网。高三位被置为二进制的110，允许大约200万个网 络。

D类地址：被用于多路广播组用户，高四位总被置为1110，余下的位用于标明 客户机所属的组。

E类地址：是一种仅供试验的地址。 1. 几种用作特殊用途的IP地址

①主机段（即宿主机）ID全部设为“0”的IP地址称之为网络地址，如129．45．0．0就是B类网络地址。 ②主机ID部分全设为“1”（即255）的IP地址称之为广播地址，如129．45．255．255就是B类的广播地址。

③网络ID不能以十进制“127”作为开头，在地址中数字127保留给诊断用。如127．1．1．1用于回路测试，同时网络ID的第一个8位组也不能全置为“0”，全置“0”表示本地网络。网络ID部分全为“0”和全部为“1”的IP地址被保留使用。 2. 域名

由于IP地址全是些的数字，为了便于用户记忆，Internet上引进了域名服务系统DNS（Domain Name System）。DNS用于把域名翻译成电脑能识别的IP地址。例如，如果有人要访问sohu的网站 (www.sohu.com), DNS就把域名译为IP地址 61.135.132.3 。这样就便于电脑查找域名所有人的网站服务器。完成这一任务的过程就称为域名解析。

域名解析的过程是：当一台机器a向其域名服务器A发出域名解析请求时，如果A可以解析，则将解析结果发给 a，否则，A将向其上级域名服务器B发出解 析请求，如果B能解析，则将解析结果发给a，如果 B无法解析，则将请求发给再上一级域名服务器 C……如此下去，直至解析到为止。

域名简单地说就是Internet上主机的名字，它采用层次结构，每一层构成一个子域名，子域名之间用圆点隔开，自左至右分别为：计算机名、网络名、机构名、最高域名。Internet域名系统是一个树型结构。

1.5.4Internet接入技术

接入Internet有多种方法，一般分为拨号上网方式和专线上网方式两种，其中拨号方式费用便宜但是速度较慢，而专线方式虽能提供比较宽的频带但是价钱却比较贵。

1. DDN专线接入方式

DDN（Digital Data Network，数字数据网）是利用数字信道提供永久或半永

久性连接电路，以传输数据信号为主的通信网。它的主要作用是提供点对点、点对多点的透明传输的数据专线电路，用于传送数字化传真、数字话音、数字图像信号或其它数字化信号。这种专线接入方式， 可以分配N个固定INTERNET IP给用户使用。入网后，网上的所有终端和工作站均可享用所有Internet的服务。设备连接图如图1-20所示。

所以，DDN专线接入方式，一般适合大中型企业。如果你的公司内部已建立了内部局域网络，则接入一条专线，可以让连入公司内部局域网的每一台计算机都能通过这条专线连接到Internet上。

2. ADSL

DSL（Digital Subscriber Line）是数字用户线技术的简称。简单的说，数字用户线技术就是利用数字技术来扩大现有电话线（双绞铜线）传输频带宽度的技术，也就是利用电话线进行宽带高频信号传输的技术，它包括多种不同分支，常被统称为xDSL，目前比较成熟的xDSL数字用户线方案有ADSL、HDSL、SDSL和VDSL等。

ADSL（Asymmetrical Digital Subscriber Loop 非对称数字用户线环路）利用现有的一对铜双绞线（即普通电话线），为用户提供上、下行非对称的传输速率（带宽），上行（从用户到网络）为低速传输；下行（从网络到用户）为高速传输。它因其下行速率高、频带宽、性能优等特点而深受广大用户的喜爱，成为继MODEM，ISDN之后的又一种全新更快捷，更高效的接入方式。

10

ADSL具备的主要特点及优点如下：

① 可直接利用现有的用户电话线，无须另铺电缆，节省投资； ② 能提供上、下行不对称的传输带宽；

③ 采用点对点的拓扑结构，用户可独享高带宽，以超高速上网（比普通modem高数十倍到上百倍）； ④ 可广泛用于视频业务及高速INTERNET等数据的接入，它的网上视频实时播放（VOD、MTV等），突破传统 MODEM网上视频播放差的限制；

⑤ 上网同时可以打电话，互不影响，而且上网时不需要另交电话费。

3. ISDN

ISDN是综合业务数字网的简称，它由电话综合数字网（IDN）发展而来。ISDN是数字交换和数字传输的结合，它以迅速、准确、经济、有效的方式提供目前各种通信网络中现有的业务，而且将通信和数据处理结合起来，开创了很多前所未有的新业务。 ISDN是一个全数字的网络，也就是说，不论原始信号是话音、文字、数据还是图像只要可以转换成数字信号，都能在ISDN网络中进行传输。在传统的电话网络中，实现了网络内部的数字化，但在用户到电话局之间仍采用模拟传输，很容易由于沿途噪声的积累引起失真。而对于ISDN来说，实现了用户线的数字化，提供端到端的数字连接，传输质量大大提高。

由于ISDN实现了端到端的数字连接，它可以支持包括话音、数据、图像等各种业务。随着电子通信在全球不断扩大，我们许多人需要和不同地区的用户交换信息。而现在人们对通信的要求已经不仅是简单的声音交换，还需要共享各种格式的不同信息。例如，有些人需要高速数据和文件传输；有些人可能需要多媒体和会议电视；有些人则希望能访问中央数据库。ISDN的业务覆盖了现有通信网的全部业务，例如传真、电话、可视图文、监视、电子邮件、可视电话、会议电视等，可以满足不同用户的需要。 ISDN还有一个基本特性是向用户提供了标准的入网接口。用户可以随意地将不同业务类型的终端结合起来，连接到同一接口上，并且可以随时改变终端类型。

二章网络管理概述

随着计算机技术和Internet的发展，在社会生活中网络的应用越来越广泛，规模不断扩大，结构也越来越复杂，网络安全性与运行状况也被越来越重视，网络管理就成为网络管理和维护中重要的一部分。 2.1网络管理简介2.1.1网络管理的基本概念

网络管理是指对网络的运行状态进行监测和控制，使其能够有效、安全、可靠、经济地提供服务。

具体来说，网络管理包含两个任务，一是对网络的运行状态进行监测，二是

对网络的运行状态进行控制。通过对网络运行状态的检测可以了解网络当前的运行状态是否正常，是否存在瓶颈和潜在的危机；通过对网络运行状态的控制可以对网络状态进行合理的调节，提高性能，保证服务质量。 网络管理的目标是维护一个健壮的网络，健壮网络的标准主要有：

1) 减少停机时间，改进响应时间，提高设备利用率； 2) 减少运行费用，提高效率； 3) 减少或消灭网络瓶颈； 4) 适应各种新技术的应用； 5) 适应各种系统平台； 6) 网络使用更容易； 7) 有良好的安全性能。 2.1.2网络管理的基本功能

网络管理有五大基本功能：故障管理、记账管理、配置管理、性能管理和安全管理。 1. 配置管理（Configuration Management）

配置管理是最基本的网络管理功能，负责网络的建立、业务的展开以及配置数据的维护。配置管理功能主

11

要包括资源清单管理、资源开通以及业务开通。资源清单的管理是左右配置管理的基本功能，资源开通是为满足新业务需求及时地配备资源，业务开通是为端点用户分配业务或功能。

配置管理初始化网络，并配置网络，以使其提供网络服务。它的目的是为了实现某个特定的功能或使网络性能达到最优。

2. 性能管理 (Performance Management)

性能管理的目的是维护网络服务质量（QoS）和网络运营效率。

通常，故障管理侧重于故障发生后的诊断和处理，而性能管理则侧重于预防故障的发生，防患于未然。 性能管理管理收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。一些典型的功能包括：    

收集统计信息；

维护并检查系统状态日志；

确定自然和人工状况下系统的性能；

改变系统操作模式以进行系统性能管理的操作。

3. 故障管理（Fault Management）

故障管理是用来维护网络正常运行的。在网络运行过程中，由于故障使系统不能达到它们的运营目的。故障管理的主要任务就是发现和排除网络管理。它用于保证网络资源的无障碍无错误的运营状态。包括障碍管理、故障恢复和预防保障。通常，故障管理侧重于故障发生后的诊断和处理，而性能管理则侧重于预防故障的发生，防患于未然。

故障管理的主要内容包括故障检测、故障诊断、故障排除和故障记录。有以下典型功能：

    

维护并检查错误日志；

接受错误检测报告并做出响应； 跟踪、辨认错误； 执行诊断测试； 纠正错误。

4. 安全管理（Security Management）

安全管理的责任一是网络管理系统本身的安全，二是被管理的网络对象的安全。

安全管理的目的是提供信息的隐私、认证和完整性保护机制，使网络中的服务、数据以及系统免受侵扰和破坏。一般的安全管理系统包含了以下4项功能：

   

风险分析功能； 安全服务功能；

告警、日志和报告功能； 网络管理系统保护功能；

5. 计费管理（Accouting Management）

计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价。对公共开放的商业网络尤为重要。

计费管理的主要目的是正确的计算和收取用户使用网络服务的费用。通常包括以下几个主要功能：

    

计算网络建设及运营成本；

统计网络及其所包含的资源的利用率； 联机收集计费数据；

计算用户应支付的网络服务费用； 帐单管理。

12

2.2 网络管理及常用的通讯协议

网络管理中最重要的部分就是网络管理协议，它定义了网络管理者与网管代理间的通信方法。 在本节中，我们将对常用的网络管理协议逐一加以介绍。 2.2.1 简单网络管理协议SNMP

SNMP(Single Network Management Protocol)简单网络管理协议目前已成为网络管理领域中事实上的工业标准，并被广泛支持和应用，大多数网络管理系统和平台都是基于SNMP的。 1) SNMP体系结构

SNMP的网络管理模型包括以下关键元素：管理站、代理者、管理信息库、网络管理协议。管理站一般是一个分立的设备，也可以利用共享系统实现。管理站被作为网络管理员与网络管理系统的接口。它的基本构成为：

·一组具有分析数据、发现故障等功能的管理程序； ·一个用于网络管理员监控网络的接口；

·将网络管理员的要求转变为对远程网络元素的实际监控的能力； ·一个从所有被管网络实体的MIB中抽取信息的数据库。

网络管理系统中另一个重要元素是代理者。装备了SNMP的平台，如主机、网桥、路由器及集线器均可作为代理者工作。代理者对来自管理站的信息请求和动作请求进行应答，并随机地为管理站报告一些重要的意外事件。

SNMP中，网络资源虽然也被抽象为对象进行管理。但是对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类，对象的集合被组织为管理信息库（MIB）。MIB作为设在代理者处的管理站访问点的集合，管理站通过读取MIB中对象的值来进行网络监控。管理站可以在代理者处产生动作，也可以通过修改变量值改变代理者处的配置。

管理站和代理者之间通过网络管理协议通信，SNMP通信协议主要包括以下能力：Get：管理站读取代理者处对象的值；Set：管理站设置代理者处对象的值；Trap：代理者向管理站通报重要事件。 2) SNMP协议体系结构

SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。在分立的管理站中，管理者进程对位于管理站中心的MIB的访问进行控制，并提供网络管理员接口。管理者进程通过SNMP完成网络管理。SNMP在UDP、IP及有关的特殊网络协议(如，Ethernet, FDDI, X.25)之上实现。

每个代理者也必须实现SNMP、UDP和IP。另外，有一个解释SNMP的消 息和控制代理者MIB的代理者进程。

图2-1描述了SNMP的协议环境。从管理站发出3类与管理应用有关的SNMP的消息GetRequest、GetNextRequest、SetRequest。3类消息都由代理者用GetResponse消息应答，该消息被上交给管理应用。另外，代理者可以发出Trap消息，向管理者报告有关MIB及管理资源的事件。

由于SNMP依赖UDP，而UDP是无连接型协议，所以SNMP也是无连接型协议。在管理站和代理者之间没有在线的连接需要维护。每次交换都是管理站和代理者之间的一个独立的传送。 3) 陷阱引导轮询(Trap-directed polling)

如果管理站负责大量的代理者，而每个代理者又维护大量的对象，则靠管理站及时地轮询所有代理者维护的所有可读数据是不现实的。因此管理站采取陷阱引导轮询技术对MIB进行控制和管理。

所谓陷阱引导轮询技术是：在初始化时，管理站轮询所有知道关键信息(如接口特性、作为基准的一些性能统计值，如发送和接收的分组的平均数)的代理者。一旦建立了基准，管理站将降低轮询频度。相反地，由每个代理者负责向管理站报告异常事件。例如，代理者崩溃和重启动、连接失败、过载等。这些事件用SNMP的trap消息报告。

管理站一旦发现异常情况，可以直接轮询报告事件的代理者或它的相邻代理者，对事件进行诊断或获取关

13

于异常情况的更多的信息。

陷阱引导轮询可以有效地节约网络容量和代理者的处理时间。网络基本上不传送管理站不需要的管理信息，代理者也不会无意义地频繁应答信息请求。 4) 代管(Proxies)

利用SNMP需要管理站及其所有代理者支持UDP和IP。这限制了在不支持TCP/IP协议的设备(如网桥、调制解调器)上的应用。并且，大量的小系统(PC、工作站、可编程控制器)虽然支持TCP/IP协议，但不希望承担维护SNMP、代理者软件和MIB的负担。

为了容纳没有装载SNMP的设备，SNMP提出了代管的概念。在这个模式下，一个SNMP的代理者作为一个或多个其他设备的代管人。即，SNMP代理者为托管设备(proxied devices)服务。

2.2.2 域名服务DNS 1. DNS的基本概念

Internet发展早期，仅数百台主机位于其上，便透过一个中央授权机构，即

网络信息中心NIC（Network Inbbsation Center）维持名称与地址之对映关系的展开式表格；该表称为hosts.txt。每当任何一站想要增加一个新主机至因特网上，该站的管理者便送email 给NIC，列出新主机的名称与地址对映。这些信息以人为方式加入该表格，更新后的表格每隔几天将会被寄出到各站，每一个站的系统管理者再将此表格建置在该站的每台主机中。如此一来，名称解析仅需透过一个在本地表格中查阅主机名称并传回对映地址的程序即可建置。显然，此种hosts.txt 的命名作法，随着因特网上主机数量大幅成长，已经无法有效率地运作。

DNS 采取一种阶层式的名称空间而非原来的展开式名称空间，而且记录名称空间内对映关系的表格，也切割成各自独立的部分，并分散到因特网中。这些切分出来的子表格内容，便藉由名称服务而能够透过网络提供查询。

2. DNS域名空间DNS 域名空间是由树状结构组织的分层域名组成的集合。如图2-2。DNS

名空间树的最上面是一个无名的根（root）域，在根域之下就是顶级域名，如com、edu、gov等。所有的顶级域名都由NIC控制。

组织模式 含义 顶级域名 com 商业机构 edu 教育部门 gov 政府机构 mil 军事机构 net 网络服务机构 org 非盈利性组织 int 国际机构 上表为常用的顶级域名。 3. 域名服务器

域名服务器负责管理和存放主机名的IP地址以及域名和IP地址映射表。域

名服务器分布在不同的地域，它们之间通过特定的方式进行联络，这样可以保证用户通过本地的域名服务器查找到Internet上所有的域名信息。

所有域名服务器中的数据库文件中的主机和IP地址的集合构成DNS域名空

14

地理模式 含义 顶级域名 cn 中国内地 hk 中国香港 mo 中国澳门 tw 中国台湾 us 美国 uk 英国 jp 日本 间。

4. 域名解析服务

DNS域名解析就是将用户提出的名字变换成网络地址的方法和过程，从概念上讲，域名解析是一个自上而下的过程。当DNS客户端提出名字时，接收查询的服务器先从其数据库内寻找，即是否能够解析，若能解析，就将IP地址传送给客户；若不能解析，这个任务就转向下一个DNS服务器，该过程可能进行多次。 2.2.3 文件传输协议FTP

FTP（File Transfer Protocol，文件传输协议）可以将本机上的文件传输到远程FTP服务器上，同时也可将远程FTP服务器上的文件传输到本机上来。

FTP是应用于TCP/IP协议及Internet的最简单的协议之一。对于不同的计算机之间传送文件特别有用，例如，从运行UNIX的计算机向运行Windows 2000的计算机传送文件。

FTP使得主机间的文件可以共享。FTP 使用 TCP 为控制信息生成一个虚拟连接，再为数据传输生成一个单独的 TCP 连接。此控制连接使用 TELNET 协议与主机交换命令和消息。FTP 的主要功能如下：

   

提供文件的共享（计算机程序/数据）； 支持远距离计算机间接或直接连接；

保护用户不因各类主机文件存储器系统的差异而受影响； 可靠且有效的传输数据。

要想实现FTP文件传输，必须在相连的两端都装有支持FTP协议的软件，装在您的电脑上的叫FTP客户端软件，装在另一端服务器上的叫做FTP服务器端软件。

客户端FTP软件使用方法很简单，启动后首先要与远程主机建立连接，然后向远程主机发出传输命令，远程主机在收到命令后就给予响应，并执行正确的命令。FTP有一个根本的限制，那就是，如果用户在某个主机上没有注册获得授权，即没有用户名和口令，就不能与该主机进行文件传输。但匿名FTP服务器除外，它允许用户以anonymous作为用户名，以Email地址作密码来登录（在这里，允许使用假的Email地址），从而使用户获得免费资源。

2.2.4 用户数据报协议UDP

用户数据报协议UDP（user datagram protocol）是定义在计算机网络互联环境下基于包交换的计算机通信方式。它是基于IP协议的，为应用程序间通信提供了一种最小的协议机制。它是面向事务的协议，不能保证传输和复制的可靠。

UDP数据报格式如图2-3所示： 下面对各个字段进行解释：

1) 源端口：可选字段。当它有有效数值时表示的是发送进程使用的端口号， 如果没有其他信息，此端口被用来作为返回消息的目的端口。如果不用，置0。

2) 目的端口：目的主机接受此数据包的端口。

3) 长度：为UDP首部加上数据部分的长度，单位为字节。（这意

味着最小

长度为8字节）

4) 校验和：和通常的校验和计算方法相同，但它计算的范围有为

15

来自IP首

部信息的UDP伪首部＋UDP首部＋UDP数据，如果数据部分长度不是偶数，需要在末尾填0，但注意，这些0 不会被作为数据的一部分发出去。

这里解释一下UDP伪首部：首先它是不存在在数据报中的，它只是为了计算校验和而创建的一个结构，或者说一个概念。它包括：源地址，目的地址，协议类型，UDP长度，共12个字节。如图2-4所示。 如果校验和计算为0，则存入的值为全1，即65535。而如果传送的校验和 为0，说明发送端没有计算校验和（这发生在调试或者高层协议不关心的时候）。

UDP协议的主要特点：    

UDP是一种无连接的、不可靠的传输层协议；

在完成进程到进程的通信中提供了有限的差错检验功能；

设计比较简单的UDP协议的目的是希望以最小的开销来达到网络环境中的进程通信目的； 进程发送的报文较短，同时对报文的可靠性要求不高，那么可以使用UDP协议。

2.2.5 网间网际协议IP

网间网际协议IP （Internet Protocol）是 TCP/IP 协议族中最为核心的协议。所有的 TCP 、 UDP 、 ICMP 及 IGMP 数据都以 IP 数据报格式传输。 IP 的最大成功之处在于它的灵活性，它只要求物理网络提供最基本的功能，即物理网络可以传输包—— IP 数据报，数据报有合理大小，并且不要求完全可靠地传递。 IP 提供的不可靠、无连接的数据报传送服务使得各种各样的物理网络只要能够提供数据报传输就能够互联，这成为 Internet 在数年间就风靡全球的主要原因。由于 IP 在 TCP/IP 协议中是如此的重要，它成为 TCP/IP 互联网设计中最基本的部分，有时都称 TCP/IP 互联网为基于 IP 技术的网络。

不可靠（unreliable）的意思是它不能保证 IP 数据报能成功地到达目的地。 IP 仅提供尽最大努力投递（ best-effort delivery ）的传输服务。如果发生某种错误时，如某个路由器暂时用完了缓冲区， IP 有一个简单的错误处理算法：丢弃该数据报，然后发送 ICMP 消息报给发送端。任何要求的可靠性必须由上层来提供（如 TCP ）。

无连接（connectionless）的意思是 IP 并不维护任何关于后续数据报的状态信息。每个数据报的处理是相互独立的。这也说明， IP 数据报可以不按发送顺序接收。如果发送端向相同的接收端发送两个连续的数据报（先是 A ，然后是 B ），每个数据报都是独立地进行路由选择，可能选择不同的路线，因此 B 可能在 A 到达之前先到达。

IP 提供了三个重要的定义：   

IP 定义了在整个 TCP/IP 互联网上数据传输所用的基本单元，因此它规定了互联网上传输数据的确切格式；

IP 软件完成路由选择的功能，选择一个数据发送的路径；

除了数据格式和路由选择的精确而正式的定义外， IP 还包括了一组嵌入了不可靠分组投递思想的规则，这些规则指明了主机和路由器应该如何处理分组、和实际如何发出错误信息以及在什么情况下可以放弃分组。

2.2.6 传输控制协议TCP 1. TCP协议的基本概念

传输控制协议TCP（Transmission Control Protocol）协议被称为一种端对端协议。这是因为它为两台计算机之间的连接起了重要作用：当一台计算机需要与另一台远程计算机连接时，TCP协议会让它们建立一个连接、

16

发送和接收数据以及终止连接。

应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，然后TCP把数据流分割成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制）。之后TCP把结果包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)；如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据（假设丢失了）将会被重传。TCP用一个校验和函数来检验数据是否有错误；在发送和接收时都要计算校验和。

TCP协议的主要特点 

TCP是一种面向连接的、可靠的传输层协议；TCP协议建立在不可靠的网络层IP协议之上，IP不能提供任何可靠性机制，TCP的可靠性完全由自己实现。 TCP采用的最基本的可靠性技术是： 

确认与超时重传；流量控制。

2. 端口和套接字

UDP和TCP都使用了应用层接口处的端口与上层的应用进程进行通信，为了识别不同的应用进程，TCP协议中引进了端口和套接字的概念，每个端口有一个16位标识符，称为端口号。当传输层收到了互联网络层提交上来的数据时，就要根据其首部中的端口号来决定通过哪一个端口把数据上交给接收此数据的应用进程。

从网络整体看来，端口号是由不同的主机上的TCP协议独立分配的，所以不可能全局唯一。网络上具有唯一性的IP地址和端口号结合在一起，才构成唯一能识别的标识符套接字。

一个TCP连接由通信双方的套接字确定。而且套接字为通信双方的输入和输出所用，因而是全双工的。 3. TCP的连接建立与连接释放

TCP连接包括三个状态：连接建立、数据传送和连接终止。TCP用三路握手过程建立一个连接（如图2-5），用四路握手过程建立来拆除一个连接（如图2-6）。 4. 滑动窗口概念

虽然网络具有同时进行双向通信的能力，但由于在接到前一个分组的确认信息之前必须推迟下一个分组的

发送，简单的肯定确认协议浪费了大量宝贵的网络带宽。为此， TCP 使用滑动窗口的机制来提高网络吞吐量，同时解决端到端的流量控制。

(b) 收到对 1 号分组的确认信息后，窗口滑动，使得 9

号分组也能被发送

滑动窗口技术是简单的带重传的肯定确认机制的一个更复杂的变形，它允许发送方在等待一个确认信息之前可

以发送多个分组。如图 2-7 所示，发送方要发送一个分组序列，滑动窗口协议在分组序列中放置一个固定长度的窗口，然后将窗口内的所有分组都发送出去；当发送方收到对窗口内第一个分组的确认信息时，它可以向后滑动并发送下一个分组；随着确认的不断到达，窗口也在不断的向后滑动。

滑动窗口协议的效率与窗口大小和网络接收分组的速度有关。图2-8 表示了一个窗口大小为 3 的的滑动窗口协议软件的动作示意图。发送方在收到确认之前就发出了三个分组，在收到第一个分组的确认 ACK1 后，又发送了第四个分组。实际上，当窗口大小等于 1 时，滑动窗口协议就等同于简单的肯定确认协议。通过增

17

加窗口大小，可以完全消除网络的空闲状态。在稳定的情况下，发送方以网络传输分组的最快能力来发送分组。 2.2.7 远程登录协议Telnet

远程登录（remote log-in）是Internet上最广泛的应用之一。你可以先登录（也称为注册）到一台主机，然后再通过网络远程登录到任何其他一台网络主机上，而不需要为每一台主机连接一个硬件终端。

Telnet协议是Internet远程登陆服务的标准协议。应用Telnet协议能把用户的按键操作传到远地主机，同时也能将远地主机的输出通过TCP连接返回到用户屏幕。这种服务是透明的，用户感觉好像在使用本地的键盘和显示器一样。它提供了三种基本服务：

1）Telnet定义一个网络虚拟终端为远地的系统提供一个标准接口。客户机程序不必详细了解远地的系统，他们只需构造使用标准接口的程序；

2）Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；

3）Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。

Telnet也使用客户机/服务器模式。使用Telnet协议进行远程登陆时需要满足以下条件：在本的计算机上必须装有包含Telnet协议的客户程序；必须知道远程主机的Ip地址或域名；必须知道登录标识与口令。

Telnet远程登录服务分为以下4个过程：

1) 本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必 须知道远程主机的Ip地址或域名；

2) 将本地终端上输入的用户名和口令及以后输入的任何命令或字符以

NVT（Net Virtual Terminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报；

3) 将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地 终端，包括输入命令回显和命令执行结果；

4) 最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。 2.2.8 地址解析协议ARP

地址解析协议ARP（Address Resolution Protocol）用来将IP地址转换为物理网络地址。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 ARP的工作原理：

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示：

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以

18

大大减少ARP缓存表的长度，加快查询速度。

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如图2-9所示。

第三章 IP地址分配与域名管理3.1 IP地址分配3.1.1 概述 1. 基本概念

在设计IP地址分配方案之前，应综合考虑以下几个问题：

  

是否将局域网络连入Internet；

是否将局域网划分为若干网段以方便网络管理； 是采用静态IP地址分配还是动态IP地址分配。

如果不准备将局域网络连到Internet上，则可用RFC1918中定义的非Internet连接的网络地址，称为“专用Internet地址分配”。RFC1918规定了不想连入Internet的IP地址分配指导原则。由Internet地址授权机构(IANA)控制IP地址分配方案中，留出了三类网络号，给不连到Internet上的专用网用，分别用于A，B和C类IP网，具体如下：

  

A类保留地址： 10.0.0.0～10.255.255.255； B类保留地址： 172.16.0.0～172.131.255.255； C类保留地址； 192.168.0.0～192.168.255.255。

IANA保证这些网络号不会分配给连到Internet上的任何网络，因此网上的任何人都可 以自由的选择这些网络地址作为自己的网络地址。 2. 地址分配策略

IP地址分配有两种策略：静态地址分配策略和动态地址分配策略。 所谓静态IP地址分配策略，指的是阿给每一个连入网络的用户固定分配一

个IP地址，该用户每次上网都是使用这个地址，系统在给该用户分配IP地址的同时，还可给该用户分配一个域名。使用静态IP地址分配策略分配的IP地址，是一台终端计算机专用的IP地址，无论该用户是否上网，分配给它的IP地址是不能再分配给其他用户使用的。

动态IP地址分配策略的基本思想是，事先并不给上网的用户分配IP地址，这类用户上网时自动给其分配一个IP地址。该用户下网时，所用的IP地址自动释放，可再次分配给其他用户使用。使用动态IP地址分配策略的用户只有临时IP地址而无域名。通常来说，使用电话拨号上网的用户大都是使用动态IP地址分配策略分配的IP地址。 3.1.2 静态IP地址分配

使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪和管理网络，当然，如果我们通过加强对MAC地址的管理，同样也会有效的解决这一问题。

静态IP地址分配通常是利用域名服务器DNS进行的，并为每一个IP地址（每个IP地址对应一个用户）配置一个相关的域名。

实际上，在DNS服务器中，建立有一张IP地址与域名的映射表，该表中除了有IP地址和域名以外，还有与用户相关的其他信息，比如在Windows NT服务器上还要为用户建立组名、用户名、用户标识、用户口令以及用户上网操作权限等信息。DNS静态IP地址的分配技术详见“4.4节DNS服务器的配置”。

在用户端，使用下述步骤进行静态IP地址的配置（在这里，我们以Windows XP系统为例进行配置）；

19

在Windows下，执行“开始->设置->网络连接-〉本地连接”，得到如图3-1所示的屏幕。 单击“属性”按钮，得到如图3-2所示的“本地连接属性”窗口。

选择“Internet协议（TCP/IP）”，单击“属性”按钮，得到“TCP/IP属性设置”窗口，如图3-3所示。 在图3-3中，首先选择“使用下面的IP地址”单选按钮，并填入固定的IP地址、子网掩码和默认网关地址，然后再选择“使用下面的DNS服务器地址”单选按钮，并在“首选DNS服务器地址”栏中填入相应的服务器的IP地址。单击“确定”按钮，用户终端IP地址配置完毕。

使用静态IP地址分配策略，为每一台计算机配置一个固定的IP地址，这对于网络管理和维护、用户之间的信息交换、虚网划分与管理、域名配置、路由器及防火墙的设置都带来极大的方便。但这种分配策略，也有其致命的弱点：首先，必须保证IP地址有足够的空间，如果本单位连入网络的计算机台数比IP地址多，就不能使用静态IP地址分配，因为在这种情形下，不可能为每一台计算机配置一个IP地址，只能使用动态IP地址分配策略进行IP地址分配。其次，如果用户计算机经常移动，甚至要从一个网段移到另一个网段，这种情形也不能使用静态IP地址分配，必须使用动态IP地址分配。 3.1.3 动态IP地址分配

我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其他主机进行通信。随着网络的日益推广，网络客户急剧膨胀。在这种情况下，如果再使用静态IP地址分配，IP地址的冲突就会相继而来。IP地址冲突会造成很坏的影响，首先，网络客户不能正常工作，只要网络上存在相冲突的机器，一旦电源打开，在客户机上都会频繁出现地址冲突的提示。 出现问题有时并不能及时发现,只有在相互冲突的网络客户同时都在开机状态时才能显露出问题,所以具有一定的隐蔽性。有如下几种原因可以造成IP地址冲突。

   

很多用户对TCP/IP并不了解,不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置,随意修改了这些信息;

管理员或用户根据管理员提供的上述参数进行设置时,参数输入错; 在客户机维修调试时,维修人员使用临时IP地址造成; 故意盗用他人的IP地址。

发现IP地址冲突如何解决呢?

接到冲突报告后,我们首先确定冲突地址所在的网段,然后再找到网卡MAC 地址。

使用动态IP地址分派(DHCP)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预下,用户自己便可以对网络进行连接设置。但是,由于IP地址是动态分配的,网管员不能从IP地址上鉴定客户的身份,相应的IP管理将失去作用。而且使用动态IP地址分配需要设置额外的DHCP服务器。

DHCP可使计算机通过一个报文获取全部信息。DHCP允许计算机快速、动态地获取IP地址。为使用DHCP的动态地址分配机制,管理员必须配置DHCP服务器,使其能提供一组IP地址。任何时候一旦有新的计算机连到网络上,该计算机就与服务器联系,申请一个IP地址。服务器收到用户的申请后,自动从管理员指定的动态IP地址范围中找到一个空闲的IP地址,并将其分配给该计算机。

动态地址分配与静态地址分配是完全不同的,静态地址分配中的IP地址与用户终端是严格一一对应关系,而动态地址分配却不存在这种一对一的映射关系,并且,服务器事先并不知道客户的身份。

静态地址分配为每台主机分配的IP地址是永久性的,而动态地址分配的IP地址是临时性的。一个用户使用动态地址分配策略分配得到一个IP地址后,一旦下线,则相应的IP地址自动释放,以备其他用户使用。

20

3.2 IP地址与域名管理

我们知道,每一台上网的计算机上,至少分配有一个IP地址,由于IP地址是一个32位长的数字编码,难以记忆和识别。为了解决这一难题,引入了域名机制,即为每一个IP地址都另外取了一个相应的便于记忆和识别的名字,这就是域名。

有了域名之后,我们要访问一台目标计算机,既可以使用其IP地址,也可以使用其域名,比如我们要访问新浪网站,可以使用其IP地址“218.201.44.9”,也可是使用其域名“www.sina.com.cn”。但在网络通信中,系统只能识别终端计算机的IP地址。如何将一台计算机的域名转换成对应的IP地址,即是我们要讨论的“IP地址与域名管理”的问题。

在现代网络系统中,通常用一台被成为域名服务器的DNS的主机来管理IP地址和域名。在DNS中,建立一张IP地址与域名对应表,在需要进行域名转换时,查询这一张DNS表即可。 3.2.1 集中管理模式

我们知道,由于局域网的网络覆盖有限,连入的计算机数量有限,从用户的IP地址分配、用户权限设置以及IP地址和域名管理都可集中在一台主机上进行(如Windows NT或Windows 2000 Server服务器)。这就是典型的集中管理模式。

集中管理模式的最大优点在于,能保证IP地址及域名的建立、维护和管理的方便性和使用的高效性。 集中管理模式实际上是在服务器上建立一张用户登记表,该表中有用户类型(用户类型用以指明该用户是“管理员”还是一般“客户”)、用户名、IP地址、域名以及对网络服务器的访问权限等项目,每个连接上网的用户要访问服务器或与其它用户通信时,都要先查询这张表,然后再进行相应的操作。 3.2.2 分布管理模式

集中管理模式只适合于局域网络上IP地址与域名管理,对于广域网络,由于其网络覆盖的地理范围很广,联网的计算机台数可上亿,在这种情形下,若仍用一台计算机来存放IP地址及域名,可带来如下三个无法解决的问题:

 

存储容量问题:若将全世界数十亿个用户的IP地址、域名及相关信息集 网络运行效率问题:全世界的用户都要集中到一台中心主机上去查询通

中存放在一台计算机上,其数据量相当庞大,一台计算机的存储容量是不够的;

信双方到一台中心主机上去查询通信双方的IP地址与域名,会造成严重的线路拥塞、域名服务器不能响应,从而会导致网络瘫痪;



IP地址与域名的建立、维护,域名与网络的管理问题:如此庞大的数据量,

在一台计算机上建立和修改都是难以完成的,且会给域名和网络的维护和管理带来混乱。

所以,对于广域网络,则要用分布管理模式进行域名的管理和服务。

所谓分布管理,是将网上的IP地址与域名分布存放在地域上不同(不同单位、 不同机构、不同地区甚至不同国家)的主机上,在结构上呈树形分级拓扑结构。 3.3子网划分 3.3.1子网划分的目的

当设计IP协议时，那时的网络和计算机与今天的网络和计算机有很大的不同。随着局域网（LAN）和个人

21

计算机的出现，计算机网络的结构也发生了很大变化。过去使用大型计算机在低速、广域网上进行通信；而现在则使用小型计算机在快速、局域网上进行通信。

为了说明子网划分的必要性，我们首先要看一看如何使用I P来发送数据报。为了便于理解，先看一下邮局发送邮件的过程。如果你想将信息发送到本地家庭中的一个成员，你可首先将内容写在纸上，然后直接给他或她。I P网络也是这样做的。如果要把I P数据报送给在同一个物理网络上的计算机，那么这两个设备应能够直接通信。

比如,同时在一个IP网络中的计算机200 .1.1.98想同200.1.1.3进行通信,就不需要任何其他设备的帮助。再看一看我们日常生活中的邮局为例,一个小孩搬出了家中进入大学。为了与这个小孩进行通信，就需要其他人的帮助。首先写一封信，把它放入信封，然后再把它邮出。邮局能够保证信件准确到达接收地址。计算设备也是按此原则进行工作的。

为了与不在相同物理网中的设备进行通信，也需要其他设备的帮助，下面是具体的操作过程：

在图3-6中James想给Sarah发送信息。尽管它们都能连到同一个IP网络153.88.0.0上，但它们不在同一个物理网中。事实上,James的计算机位于Los Angeles，连接到令牌环网上；Sarah的计算机位于Philadelphia，连接到以太网上。此时要对这两个网络进行连接。

像邮局负责将这封信传送给在大学中学习的小孩一样，路由器将帮助James通过从Los Angeles到

Philadelphia的广域网（见图3-7）将信息传送给Sarah。在IP实现上，首先将信息从James传送给路由器，路由器将信息送到其他路由器，至到信息最后到达Sarah所在网上的路由器。此时，Sarah网上的路由器将会把信息送给Sarah的计算机上。

路由器能够将一个物理网络上的IP信息送到其他物理网络上。IP协议怎么能够知道Sarah的机器与James的机器不在同一个物理网络上的呢？IP协议是通过使用逻辑地址分配策略来确定Sarah的机器与James的机器不在同一个物理网络上的。在这个例子中，地址管理员必须帮助网络管理员将153.88.0.0网络分成更小的组成部分，并给每个物理网络分配一块地址。分配给每个物理网络的块地址通常也叫做一个子网。

在图3-8中，James的计算机在153.88.240.0子网中；Sarah的计算机在153.8 8.3.0子网中。当James要给Sarah发送一个信息时，IP协议能够确定Sarah是在另一个不同的子网中。这样信息将被发送到路由器上进行转发。

我们是如何确定子网，以及IP设备如何判定将数据报传送给一个路由器的呢?首先,我们引入了掩码。 3.3.2掩码的作用

简单地来说，掩码用于说明子网域在一个IP地址中的位置。这是什么意思呢？在前面的图中，153.88.0.0是B类网络地址。这也就是说它的前16位地址是网络号。James的机器在153.88.240.0子网中。该如何确定这个子网呢？

首先，James是在153.88.0.0网络中。管理员使用了随后的8位做为子网号。在前面的例子中，James处在240子网中。如果James的I P地址是153.88.240.22，则James既在153.88.0.0网络中，也在这个网络中的240子网中。它在子网中的主机地址为22。在153 .88.0.0网络中的所有设备中，如果第三个8位位组为240，则可认为它们既在相同的物理网络上，也在相同的子网240中。

子网掩码主要用于说明如何进行子网的划分。掩码是由32位组成的，很像I P地址。对于这三类I P地址来说，有一些自然的或缺省的固定掩码。

A类地址的缺省的或自然的掩码是255.0.0.0。在这种情况下，掩码说明前8 位代表网络号。

A类地址的子网划分也要考虑这8位。如果给一个设备分配一个A类地址，掩码为255.0.0.0，则表明这个

22

网络没有子网。如果给一个设备分配一个A类地址，并且掩码不是255.0.0.0，则此网络已被划分子网。设备存在于A类网络中的一个子网中。

没有子网划分： 88.0.0.0 255.0.0.0 有子网划分： 125.0.0.0 255.255.255.0

在上面的例子中，对125.0.0. 0网络进行了子网划分。由于掩码的值不是缺省的，则我们知道网络已被划分成几个子网。剩余的掩码位是什么意思呢？

像前面讲到的那样，掩码是用来说明IP地址中子网域的位置。让我们看一看掩码中有哪些内容。

255。它说明长度为8位的部

分掩码内容全部为1。例如:

掩码255.0.0.0 的二进制表示为： 11111111 00000000 00000000 00000000 掩码255.255.0.0的二进制表示为： 11111111 11111111 00000000 00000000 3.3.3掩码的组成

掩码是一个32位二进制数字，用点分十进制来描述，缺省情况下，掩码包含两个部分：网络部分和主机部分。这些内容分别对应网络号和本地可管理的网络地址部分。在要划分子网时，你要重新调整对IP地址的认识。如果你工作在B类网络中，并使用标准的掩码，则此时没有子网划分。例如，在下面的地址和掩码中，网络地址由前两个255来说明，而主机域是由后面的0.0来说明。

153 .88. 4 .240 255.255. 0.0

此时网络号是153.88，主机号是4.240。换句话说，前16位代表着网络号，而后面剩余的16位代表着主机号。

如果我们将网络划分成几个子网，则网络的层次将增加。从网络到主机的结构转换成了从网络到子网再到主机的结构。如果我们使用子网掩码为255 . 255 . 255.0对网络153. 88.0.0进行子网划分，则需要增加辅助的信息块。在增加一个子网域时，我们的想法发生了一些变化。看一看前面的例子，153.88还是网络号。当使用掩码255.255.255.0时，则说明子网号被定位在第三个8位位组。子网号是.4，主机号是240。

通过使用掩码可将本地可管理的网络地址部分划分成多个子网。掩码用来说明子网域的位置。我们给子网域分配一些特定的位数后，剩下的位数就是新的主机域了。在下面的例子中，我们使用了一个B类地址，它有16位主机号。此时我们将主机号分成一个8位子网号和一个8位主机号。

此时这个B类地址的掩码是： 255.255.255.0。

网络 网络 子网 主机 255 255 255 0 11111111 11111111 11111111 00000000 3.3.4掩码值的二进制表示

如何确定使用哪些掩码呢？表面上看，过程非常简单。首先要确定在你的网络中需要有多少个子网。这就需要充分研究此网络的结构和设计。一旦知道需要几个子网，就能够决定使用多少位子网位。你一定要保证子网域足够大，以满足未来子网数量的需求。

当网络在设计阶段时，网络管理员要和地址管理员讨论设计问题。他们的结论是：在目的设计中应有7 3个子网，并使用一个B类地址。为了确定子网掩码，我们需要知道子网域的大小。本地可管理的B类地址部分只有1 6位。

记住，子网域是这1 6位中的一部分。现在的问题是要确定存储十进制数7 3需要多少位。一旦能够知道

23

存放十进制数7 3所需位数，我们就能够确定使用哪些掩码。

首先将十进制数7 3转换成二进制数。这个二进制数的位数为7位。 十进制数73 = 二进制数1001001

此时我们需要保留本地管理的子网掩码部分中的前7位作为子网域，剩余部分将为主机域。

在下面的例子中，我们为子网域保留前7位，每一位用1来表示。剩余的位数为主机域，由0表示。 11111110 00000000

将上面子网的二进制信息转换成十进制，然后把它作为掩码的一部分加入到整个掩码中。 此时我们就能够得到一个完整的子网掩码。 1 1 1 1 1 1 1 0 = 2 5 4 十进制 0 0 0 0 0 0 0 0 = 0 十进制 完整的掩码内容是： 255.255.254.0

记住，B类地址的缺省掩码是255.255.0.0。现在我们已经将本地的可管理掩码部分.0.0转换成254.0。这个过程描述了子网划分的策略。软件通过254.0这部分就会知道本地可管理地址部分的前7位是子网域，剩余部分是主机域。当然，如果子网掩码的个数发生变化，对子网域的解释也将变化。 3.3.5子网划分实例

上面介绍了一些基本概念,是我们进行子网划分的基础.划分IP子网，有利于我们搞好系统维护，合理配置系统资源，减少资源浪费.这里，就以一个实例来讲讲子网划分的具体方法.

先假定一个环境，一个小小的公司中，目前有5个部门A至E，其中：A部门有10台PC（Host,主机），B部门20台，C部门30台，D部门15台，E部门20台，然后CIO分配了一个总的网段192.168.2.0/24给你，作为admin，你的任务是为每个部门划分单独的网段，你该怎样做呢？

实际上，这就是一个很典型的IP子网划分的问题，其中，192.168.2.0/24是一个C类网段，24是表示子网掩码中１的个数是24个，这是255.255.255.0的另外一种表示方法，每一个255表示一个二进制的8个1，最后一个0表示二进制的8个0，在计算机语言中以二进制表示为11111111 11111111 11111111 00000000，0表示可容纳的主机的个数。要划分子网，必须制定每一个子网的掩码规划，换句话说,就是要确定每一个子网能容纳的最多的主机数，即0的个数，显然，应该以这几个部门中拥有主机数量最多的为准，在本例中，C部门有30台主机，那么我们在操作中可以套用这样一个经典公式： 2N-2=Hosts 2N-2=30 N=5

N代表掩码中0的个数，5个零则意味着二进制掩码为11100000，即十进制的224．加上前面24个1，1 的总数为27个。该掩码十进制表示为：255.255.255.224/27； 确定掩码规则以后，就要确认每一个子网的具体地址段。

以下让我们从A部门开始，一步一步DIY，其余B—E部门的操作可参照进行。 1. 确定A部门的网络ID

网络ID，即本部门所在的网段，是由IP地址与掩码作“与运算”的结果。“与 运算”是一种逻辑算法，其规则是：1与1为1；0与0 、0与1、1与0的结果均为0。

已知：当前的IP地址192.168.2.0的最后一位是0，二进制表示为00000000；而我们已经算出的掩码255.255.255.224的最后一位是224，二进制表示为11100000。

下面让我们来做一个与运算。要注意，由于掩码的后五位为0，那么IP地址只有前三位参加运算，而后五位仅仅列出，不参加运算。

1) ０ ０ １ ０ ０ ０ ０ ０

24

与 １ １ １ ０ ０ ０ ０ ０

０ ０ ０ ０ ０ ０ ０ ０ （十进制：０） 2) ０ ０ １ ０ ０ ０ ０ ０

与 １ １ １ ０ ０ ０ ０ ０

０ ０ １ ０ ０ ０ ０ ０ （十进制：３２） 这样就得到了A部门的网络ID为192.168.2.32/27，依此类推，根据主机数 最多为30个的原则，B部门为192.168.2.64/27，C部门为192.168.2.96/27等等。 2. 确定A部门的地址范围

如果Ａ部门的网络ID从32开始、并且主机数为30的时候，似乎B部门的ID应该是从62开始才对，为什么B部门的ID为64呢？这是因为，根据局域网规范，网络中必须要有两个保留地址作为网络专用，一个叫网络回环地址，代表网络本身，其地址全为0；一个叫广播地址，专用于主机进行数据广播。其地址全为１，这两个地址是不得被主机占用或分配的，在本例中，Ａ部门网络地址全为0时（只是后面5位！），二进制表示为00100000，其十进制值为32；当网络地址全为1时，二进制为0111111，十进制值为63；由此可见：192.168.2.32仅仅是Ａ部门网络的本网地址(即网络ID)，而192.168.2.63为Ａ部门网络的广播地址。现在再看看前面提到的公式？之所以要减一个2，就是要减去不能被分配和占用的这两个地址。所以，Ａ部门实际上可分配给每个主机的地址范围为192.168.2.33 － 192.168.2.62，掩码均为255.255.255.224；所以，B部门的网络ID是从64起算的，与运算的图示如下：

０ １ ０ ０ ０ ０ ０ ０ 与 １ １ １ ０ ０ ０ ０ ０

０ １ ０ ０ ０ ０ ０ ０ （十进制：６４）

显然，192.168.2.64是B部门网络的本网地址，并且不难算出，192.168.2.95是Ｂ部门网络的广播地址，B部门实际上可分配给每个主机的地址范围为192.168.2.65 － 192.168.2.94，同理可参照计算出C－E部门的地址范围。于是，就圆满的完成了任务，可CIO还想考验一下你的能力，又给你提出了两个问题：

1. 公司各部门现有条件下的网络可扩展性怎样？ 2. 公司目前可支持的子网数到底有多大？

第一个问题，所谓可扩展性，其实就是说在目前网络规划的条件下，各部门

所能增加的主机数量，就是有效的主机数减去现有主机数的值，对A部门而言，30-10=20，那么，A部门还能增加20台主机，当然C部门就无法再增加了。

对第二个问题，我们仍然要用到那个熟悉的经典公式： 2N-2=可支持的子网数 23-2=6

这里的N表示掩码中借位的个数，掩码从CIO给定的的24位（24个1）变成了27位（27个1），“借用”了三位，所以N用3代换（至于为什么要减2，各位朋友可以自己思考一下），结果为6，表示一共可以划分6个子网，而当前只有5个部门，已划分了5个子网，还可以再增加一个部门，再划一个子网。

注意: 如果C部门的主机数不是刚好30台，而是31，33等无法整除的数，怎么办？其实，在计算的时候，用常规算法如果出现了小数等无法除尽的时候，只需要把小数收上来就行了，注意，不是四舍五入，比如结果为5.3或5.2时，必须收整，使N为6，目的是为了让子网可容纳的主机只多不少，这样才能最大限度的保证网络ID的正确。

第四章 信息服务管理和网络服务器配置 4.1信息服务概述

信息服务是Internet的最基本功能之一。它主要包括:远程登录Telnet、电子邮件E-mail、文件传输FTP、公告板服务BBS、全球信息网(万维网)WWW、信息检索等。当前Internet上提供的信息服务,基本采用的是C/S(客

25

户/服务器)模型的服务模式。本章介绍的是Internet网最常用的信息服务管理技术。 4.1.1 全球信息网服务WWW

WWW(world wide web)是分布式超媒体系统,是融合信息检索技术与超文本技术相结合且使用简单功能强大的全球信息系统,是目前Internet提供的最主要的信息服务。WWW向用户提供一个高级浏览服务,用户通过一个多媒体的图形浏览界面,在WWW提供的信息栏上一层一层地选择,通过超文本链接查询详细资料。

1. WWW服务中使用的协议

在WWW服务中使用的主要协议是HTTP协议(hypertext transfer protocol).相

关的协议有HTML(RFC1866)、URL(RFC1738,RFC1808)、MIME(RFC1521),协议中规定HTTP服务器默认是TCP端口80。这里RFC是request for comments(请求注释的标准与规范文件)的缩写。

2. 超文本

超文本是由HTML(超文本置标语言)标注而成的一种特殊的文本文件,其中的一些字符被超文本置标语言HTML标记为超链接,在显示时其字体或颜色有所变化,或者标有下划线,以区别一般的正文。当鼠标指示器的光标移动到一个超链接上,光标的形状将发生变化,按下鼠标的执行键,浏览的内容将转到该超链接指定的文件或文件的具体位置。在超文本文件中通过HTML语言的标注,可以加入声音、图形、图像、视频等文件信息,通过浏览器显示出来。

3. URL

统一资源定位地址是在Internet定位信息资源文件的完整标识,通常在浏览器 的地址栏中显示出来。其具体格式如: protocol://server_name:port/document_name Protocol:访问文档采用的协议名; server_name:文档所在主机的域名; port:可选的协议端口号;

document_name:在计算机上的文档名。

例如,http://www.edu.cn/index.html说明当前采用HTTP协议,访问主机名为 www.edu.cn 的服务器上的超文本index.html。

4. WWW的工作流程

客户机通过运行本地的浏览器程序,在浏览器中发出服务请求,服务请求将通

过HTTP协议(超文本传输协议)传到远程服务主机,服务主机根据客户的请求在其保存的资源文件中查找到客户所请求的资源,然后通过HTTP协议传递给客户机,在客户的浏览器中显示出来。

5. 主页

WWW服务器中保存大量的超文本文件和超文本文件中所标注的其它资源文

件,当访问该服务器而没有指定具体文件名时,服务器会将一个默认的超文本文件传递给用户,此文件称为主页(homepage)或首页,默认的主页文件名为index.html。主页在WWW服务器上起到了一个目录的作用,可以引导用户一层层地查找自己所需信息。 4.1.2 文件传输服务FTP

文件传输服务(FTP服务)是Internet的一种基本服务,它是通过网络使用文件传输协议将一台计算机磁盘上的文件传输到另一台计算机磁盘上的一种操作。

1) FTP服务中使用的协议

26

在FTP服务中采用的协议是FTP协议(file transfer protocol),规范有RFC959, 相关协议有TELNET(RFC854,RFC855).默认的服务端口是TCP21.

2) 文件传输的工作过程

文件传输服务是一种实时的联机服务,采用C/S模式。用户在本地计算机上激

活FTP程序,连接到远程计算机上,然后传输文件;客户机和服务器配合完成文件传输。用户从授权的计算机上获取所需的文件过程称为“下载文件”(download)。将本地文件传输到远程计算机上的过程称为“上载文件”(upload)。

3) 文件传输的特点

文件传输可以传输任何类型的文件:正文文件、二进制可执行程序文件、图像

文件、声音文件等。用户可采用通过用户名和口令认证方式,获得需要授权的文件,也可以通过匿名登录来获得各种开放文件。

4.1.3 远程登录服务Telnet

远程登录Telnet服务主要在分布式计算机与分布式系统中,需要调用位于远程计算机上的资源,协同其同本地计算机上的作业或进程之间的工作,使得多台计算机能共同完成一个复杂的任务。远程登录是在网络协议的支持下,使自己的计算机暂时成为远程计算机终端的过程。远程登录服务是普通的分时计算机系统上登录机制的一种扩展。

1) Telnet服务中采用的协议 Telnet服务中采用Telnet协议,协议由RFC854和RFC855定义,其相关RFC 较多,有兴趣的话可以参见相关参考书目。默认的服务端口TCP23。

2) Telnet的工作过程 用户在本地计算伙计上与远程计算机建立通信连接,将本地计算机输入的字 符串直接送到远程计算机上,通过远程计算机的用户和口令认证后,可以实时使用远程计算机开放的资源。

3) Telnet的特点TELNET提供通用的访问服务,当用户登录认证成功后,远程计算机允许用户

通过键盘输入或通过鼠标进行交互。由于进行远程登录无需修改本地计算机的程序,因此远程登录适用于多种类型的计算机。可以扩展至任意类型计算机、任意类型操作系统之间的通信,此通用功能非常强大。远程登录使个人用户能够通过网络将不能在自己的计算机上完成的任务通过远程登录在远程的大型计算机或分布式系统中协同完成。

4.1.4 电子邮件服务E-mail

电子邮件服务也是Internet的一种传统服务,是Internet使用最广泛的服务之一。电子邮件服务通过网络让用户将文本、电子表格、图形图像、声音、视频等信息传递给收件人。

1. 电子邮件服务的组成 电子邮件服务主要由以下部分构成:

1) 报文存储器:报文存储器也称为中转局,用于存放电子邮件,通常是邮件服 务器的物理介质----硬盘。

2) 报文传送代理:报文传送代理的作用是把一个报文从一个邮箱转发到另一

个邮箱,从一个中转局到另一个中转局,或从一个电子邮件系统转发到另一个电子邮件系统。

3) 用户代理:用户代理是简单的基本电子邮件软件包。用户代理是实现用户

与邮件系统接口的程序,包括前端应用程序、客户程序、邮件代理等。通过用户代理实现编制报文、检查拼写错误和规格化报文、发送和接收报文,以及把报文存储在电子文件夹中等功能。

4) 邮件网关:通过网关进行报文转换,以实现不同电子邮件系统之间的通信。 2. 邮件服务中采用的协议

邮件服务中有SMTP(simple mail transport protocol,简单邮件传输协议)、

27

POP(post office protocol,邮政服务协议)、MIME(multipurpose internet mail extensions,多用途Internet邮件扩展)等。SMTP提供的是一种直接的端对端的传递方式,这种传递允许SMTP不依赖中途各点来传递信息。POP协议有POP、POP2和POP3三种版本。几个版本的协议指令并不相容,但基本功能是从邮件服务器上取信。MIME是现存的TCP/IP信件系统的扩展,增加对多种资料形态和复杂信件内容的支持。

3. 电子邮件的工作过程

电子邮件的工作遵循C/S结构,电子邮件系统通过客户机算机上的程序与服务器上的程序相互配合,将电子邮件从发信人的计算机传递收件人信箱。电子邮件系统是一个存储转发系统。

当用户发送电子邮件时,发信方计算机成为客户。该客户端的SMTP与发送方服务器SMTP进行会谈,将信件传递到发送方邮件服务器中。通过发送服务器将邮件通过Internet发送到接收方邮件服务器中,再通过POP协议将邮件从接收邮件服务器中将邮件取回接收者的计算机中。

4. 电子邮件服务的特点

由于电子邮件在高速传输的同时允许收信人自由决定在什么时候回复,因此电子邮件将即时通信和自由中断的邮件相结合。

信件传输允许任意用户之间交换信息,邮件内容允许包含多种格式的内容,传递的内容灵活、丰富。 二、各项说明和应用实例

1、Path（路径）：目录所在的实际路径；Access（属性）：存取属性；Group（组）：所属组。 2、Files/Read（读）：对文件进行“读”操作（复制、下载；不含查看）的权力。 3、Files/Write（写）：对文件进行“写”操作（上传）的权力。 4、Files/Append（附加）：对文件进行“写”操作和“附加”操作的权力。

5、Files/Delete（删除）：对文件进行删除（上传、更名、删除、移动）操作的权力。 6、Files/Execute（执行）：直接运行可执行文件的权力。 7、Directories/List（列表）：对文件和目录的查看权力。 8、Directories/Create（建立）：建立目录的权力。

9、Directories/Remove（移动）：对目录进行移动、删除和更名的权力。

10、Inherit（继承）：如选中则以上所选属性对所选“Path”中指定目录以下整个目录树起作用；否则就只对当前目录起作用。

11、对于有多个“Path”的情况，有时顺序是至关重要的。比如主目录为“d:\\myweb”，其下有一个路径为“d:\\myweb\\win98”的目录，现在想让当前用户对“d:\\myweb\\win98”只能有查看权力，而对主目录下其他目录则有完全控制的权力。需要：

⑴“Add”一个“Path”，选择“d:\\myweb”，权限为所有都选中（特别要包括“Inherit”）；再“Add”另一个“Path”，选择“d:\\myweb\\win98”，权限为只选“List”（列表）。

⑵如果主目录在前，另一个目录在后，则你登录进去后就会发现，你对“win98”目录一样有完全控制权！ ⑶但是如果你把主目录放在后，另一个目录在前，则结果正是你所需要的。

因此，可以总结出，此处设置的基本规律是，有特殊属性的放在前面，共用属性的放在后面！

28

第五章 数据存储的管理 5.1 数据的备份和恢复 5.1.1 数据备份 1. 概述

随着计算机技术的快速发展以及应用的广泛深入，计算机技术被广泛地使用在企事业单位的各个业务环节，越来越多的依赖于计算机技术的应用系统成为我们日常工作的得力伙伴。在给我们带来方便和效率的同时，也使得各行各业对于计算机技术的依赖程度越来越高。

信息系统由于其自身结构的复杂性，在运行过程中常会出现各种各样的故障，这些故障都会不同程度地造成数据的丢失或者不完整。这四类故障包括以下几种情况：

 系统硬件故障：系统硬件故障会导致数据错误，当与存储或数据传输有 关的硬件出现故障时，甚至会导致数据丢失或者损坏；

 系统软件故障：软件故障通常由不稳定的系统补丁或有缺陷的应用程序 引起，除会导致数据错误外，还可能引起系统无法启动，丢失数据；

 人为操作错误：人为操作错误可能是误操作，导致数据丢失或者损坏；  自然灾害：火灾、地震等自然灾害引起的信息系统破坏也是数据失效的 客观原因。

所以，除了追求各个设备和系统的可靠运行外，还应该防患于未然，定期将系统的关键数据进行备份，以备不时之用。

2. 数据存储备份技术介绍

数据备份，就是将数据以某种格式和方式加以保留，以便在系统遭受破坏或其他特定情况下，可以将数据恢复到以前某个时间点的状态。数据备份包含备份和恢复两个操作过程，实际执行过程中一般采用自动备份和手工恢复。 1) 磁盘阵列

磁盘阵列又叫RAID（Redundant Array of Inexpensive Disks——廉价磁盘冗余阵列），是一种高效、快速、易用的网络存储备份设备。将在下一节中详细介绍。 2) 磁带库

广义的磁带库产品包括自动加载磁带机和磁带库。自动加载磁带机和磁带库实际上是将磁带和磁带机有机结合组成的。自动加载磁带机是一个位于单机中的磁带驱动器和自动磁带更换装置，它可以从装有多盘磁带的磁带匣中拾取磁带并放入驱动器中，或执行相反的过程。它可以备份100GB—200GB或者更多的数据。自动加载磁带机能够支持例行备份过程，自动为每日的备份工作装载新的磁带。一个拥有工作组服务器的小公司或分理处可以使用自动加载磁带机来自动完成备份工作。

磁带库是像自动加载磁带机一样的基于磁带的备份系统，它能够提供同样的基本自动备份和数据恢复功能，但同时具有更先进的技术特点。它的存储容量可达到数百PB（1PB=100万GB），可以实现连续备份、自动搜索磁带，也可以在驱动管理软件控制下实现智能恢复、实时监控和统计，整个数据存储备份过程完全摆脱了人工干涉。磁带库不仅数据存储量大得多，而且在备份效率和人工占用方面拥有无可比拟的优势。在网络系统中，磁带库通过SAN（Storage Area Network-存储局域网络）系统可形成网络存储系统，为企业存储提供有力保障，很容易完成远程数据访问、数据存储备份，或通过磁带镜像技术实现多磁带库备份，无疑是数据仓库、ERP等大型网络应用的良好存储设备。

29

另外，随着制造技术和生产工艺的不断改进，磁带机的性能还将得到很大的提高。包括：磁带将被做得越来越小；存储能力越来越大；磁带机的自动化程度也将越来越高等等。而且，随着自动化程度越来越高，磁带机的优势越来越明显，从而在未来的存储市场中将长期扮演主流的角色。 3) 光盘塔、光盘库和光盘网络镜像服务器

目前最好的多媒体海量信息存储载体或重要文献资料备份媒体，非光盘莫属。因为光盘不仅存储容量巨大，而且成本低、制作简单、体积小，更重要的是其信息可以保存100年至300年。因此，光盘普遍用于重要文献资料、视听材料、教育软件、影视节目和游戏动画等媒体信息存储，供广大用户重复只读。然而，一张光盘的存储容量毕竟有限，对于海量信息存储的网络系统来讲是远远不够的。要想获得海量信息的网络存取，就必须将保存有大量不同信息的几十张甚至几百张光盘组合起来使用。

光盘塔由几台或十几台CD-ROM驱动器并联构成，可通过软件来控制某台光驱的读写操作。光盘塔可以同时支持几十个到几百个用户访问信息。

光盘库实际上是一种可存放几十张或几百张光盘并带有机械臂和一个光盘驱动器的光盘柜。光盘库也叫自动换盘机，它利用机械手从机柜中选出一张光盘送到驱动器进行读写。它的库容量极大，机柜中可放几十片甚至上百片光盘片，这种有巨大联机容量的设备非常适用于图书馆一类的信息检索中心，尤其是交互式光盘系统、数字化图书馆系统、实时资料档案中心系统、卡拉OK自动点播系统等。光盘库的特点是：安装简单、使用方便，并支持几乎所有的常见网络操作系统及各种常用通讯协议。由于光盘库普遍使用的是标准EIDE光驱（或标准5片式换片机），所以维护更换与管理非常容易，同时还降低了成本和价格。又因光盘库普遍内置有高性能处理器、高速缓存器、快速闪存、动态存取内存、网络控制器等智能部件，使得其信息处理能力更强。 光盘网络镜像服务器是继第一代的光盘库和第二代的光盘塔之后，最新开发出的一种可在网络上实现光盘信息共享的网络存储设备。光盘网络镜像服务器不仅具有大型光盘库的超大存储容量，而且还具有与硬盘相同的访问速度，其单位存储成本（分摊到每张光盘上的设备成本）大大低于光盘库和光盘塔，因此光盘网络镜像服务器已开始取代光盘库和光盘塔，逐渐成为光盘网络共享设备中的主流产品。

在网络海量存储备份系统中，磁盘阵列、磁带库、光盘库等存储设备因其信息存储特点的不同，应用环境也有较大区别。磁盘阵列主要用于网络系统中的海量数据的即时存取；磁带库更多的是用于网络系统中的海量数据的定期备份；光盘库则主要用于网络系统中的海量数据的访问。 4) SAN（存储域网络）

存储域网络（Storage Area Network）的支撑技术是Fibre Channel(FC)技术，这是ANSI为网络和通道I／O接口建立的一个标准集成。支持HIPPI，IPI，SCSI，IP，ATM等多种高级协议，它的最大特性是将网络和设备的通讯协议与传输物理介质隔离开．这样多种协议可在同一个物理连接上同时传送，高性能存储体和宽带网络使用单I/O接口使得系统的成本和复杂程度大大降低。如通过Switch扩充至交换仲裁复用结构则可将用户扩至很多。FC使用全双工串行通讯原理传输数据，传输速率高达1062.5Mbps，Fibre Channel的数据传输速度为100MB／S，双环可达200MB／S，使用同轴线传输距离为30米，使用单模光纤传输距离可达10公里以上。光纤通道支持多种拓扑结构，主要有：点到点（Links）、仲裁环（FC-AL）、交换式网络结构（FC-XS）。点对点方式的例子是一台主机与一台磁盘阵列透过光纤通道连接；其次为光纤通道仲裁环(FC-AL)，在FC-AL的装置可为主机或存储装置。第三种FC-XS交换式架构在主机和存储装置之间透过智能型的光纤通道交换器连接，使用交换架构需使用存储网络的管理软件。 FC技术具有以下优越性：

（1）既具有单通道的特点，又具有网络的特点，它是把设备连接到网络结构上的一种高速通道。而这种网络结构描述了连接两套设备的单条电缆以及连接许多设备的交换机产生网状结构。

（2）光纤通道最大优点是速度快，它可以给计算机设备提供接近于设备处理速度的吞吐量。

（3）协议无关性，它有很好的通用性，是一种通用传输机制。适用范围广，可提供多性价比的系统，从

30

小系统到超大型系统，支持存在的多种指令集，如IP、SCSI、IPI。

光纤通道规范定义的速率最高可到4Gbps，目前T11工程组对10Gbps传输速度的FC规范也在紧锣密鼓的制定之中。

5) NAS（网络附加存储）

网络附加存储设备（Network Attached Storage，NAS）是一种专业的网络文件存储及文件备份设备，或称为网络直联存储设备、网络磁盘阵列。NAS是基于LAN的，按照TCP/IP协议进行通信，面向消息传递，以文件的I/O方式进行数据传输。在LAN环境下，NAS已经完全可以实现异构平台之间的数据级共享，比如NT、UNIX等平台的共享。但是，在10/100M的带宽条件下，只有其中的30％左右可以用做存储，所以NAS无法发挥其应有的性能，这就需要等待G/T比特级以太网络的大规模普及应用。

一个NAS包括处理器，文件服务管理模块和多个的硬盘驱动器用于数据的存储。 NAS 可以应用在任何的网络环境当中。主服务器和客户端可以非常方便地在NAS上存取任意格式的文件，包括SMB格式（Windows）NFS格式(Unix, Linux)和CIFS格式等等。NAS 系统可以根据服务器或者客户端计算机发出的指令完成对内在文件的管理。另外的特性包括：独立于操作系统，不同类的文件共享，交叉协议用户认证，浏览器界面的操作/管理，和增加和移除服务器不会中断网络服务，NAS是在RAID的基础上增加了存储操作系统，因此,NAS的数据能由异类平台共享。

我们可以看出,NAS 结构和SAN最大的区别就在于NAS有文件操作和管理系统，而SAN却没有这样的系统功能，其功能仅仅停留在文件管理的下一层，即数据管理。从这些意义上看,SAN和NAS的功能互为补充，同时SAN的服务器访问数据的时候不会占LAN的资源，但是NAS结构的服务器都需要和文件服务器进行交互，以取得自己请求的数据，因此，NAS结构在速度慢的LAN（如10/100M网络）上几乎不具有任何优势和意义。由于G位和10G位以太网的出现，使得NAS结构的这一缺陷自然消失，NAS方案一下子就获得了巨大的生命力和发展空间。同时SAN和NAS相比不具有资源共享的特征，因此SAN最近越来越感觉到了NAS的巨大冲击力。

SAN和NAS并不是相互冲突的，是可以共存于一个系统网络中的，但NAS通过一个公共的接口实现空间的管理和资源共享，SAN仅仅是为服务器存储数据提供一个专门的快速后方通道，在空间的利用上，SAN和NAS也有截然不同之处，SAN是只能独享的数据存储池，NAS是共享与独享兼顾的数据存储池。因此，NAS与SAN的关系也可以表述为：NAS是Network-attached（网络外挂式），而SAN是Channel-attached（通道外挂式）。 5.1.2 数据恢复

1. 数据恢复的概念

所谓数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重

新恢复的过程。 即使数据被删除或硬盘出现故障，只要在介质没有严重受损的情况下,数据就有可能被完好无损地恢复。格式化或误删除引起的数据损失的情况下，大部分数据仍未损坏，用软件重新恢复连接环节的话，可以重读数据如果硬盘因硬件损坏而无法访问时，更换发生故障的零件，即可恢复数据。在介质严重受损或数据被覆盖情况，数据将无法恢复。 2. 数据恢复的简单方法

有些简单的数据修复故障，用户是可以自已设法处理不必急于送修，而且学会的话其功力等于个人工作室的程度：

1) 如果怀疑硬盘有故障，先检查信号线和电源是否插好，或将硬盘挂接到另一台正常机器上，用BIOS检测，如果还是无法检测到硬盘，就是硬件故障。

31

2) 如果怀疑分区损坏，可用Win98的Fdisk命令观察，如无任何分区显示即表示已被破坏。 3) 如果怀疑硬盘电路板有故障， 可以找一个相同型号的好硬盘更换电路板。

4) 如果是硬盘分区损坏、误格式化或误删除，可以将该硬盘挂接到另一台正常机器上作为第二个硬盘，用Easyrecovery或 Finaldata 数据恢复软件抢救数据。

注意：以上动作简单的方法，所以如果试过还是无效，就表示受损严重，不可再由个人处理。切记自已要小心，不要误操作。

5.1.3 Windows XP数据备份与恢复 1. 备份Win XP的激活状态

当你重新安装Win XP后，通常的做法就是将其重新激活。事实上，并非每一次都要重复这样的操作。你可以在第一次激活Win XP后，将“Windows\\System320“文件夹中的“Wpa.dbl“和“Wpa.bak“备份到一个安全的地方即可。当你再次安装Win XP后将备份的文件复制到该文件夹即可恢复激活状态。不过需要注意的是，这种激活只适合于仅重新安装Win XP，不适合硬件等条件改变的情况。 2. Ghost备份XP系统分区应注意问题

使用新版本 不论Windows XP是安装在NTFS分区还是FAT32分区，笔者都建议使用高版本 的Ghost，因为低版本的Ghost无法备份NTFS分区，而且在性能上也逊于高版本。

1) 转移或删除页面文件 页面文件占据了很大一块硬盘空间，应该转移到系统分区之外， 在DOS状态下删除页面文件pagefile.sys，否则会影响镜像文件的大小和备份时间。 2) 关闭休眠和系统还原功能 Windows XP的休眠和系统还原功能也占用很大的硬盘空间

休眠功能要求和物理内存相当的空间，而且不能指定存放分区，所以非关闭不可。这些功能可以在备份结束后再次打开。

3) 删除暂时不需要的临时文件 建议删除Windows临时文件夹、IE临时文件夹和回收站中

的文件，否则浪费储存空间和备份时间。另外为了某些工作而安装的不是系统运行必需的文件也可以删除，例如做艺术字时用户安装的字体文件。

4) 检查磁盘和整理磁盘碎片 Windows XP在用Ghost备份前一定要检查磁盘，保证该分区

上没有交叉链接和磁盘错误。即使你是用多操作系统，而且上次由于死机而产生的碎片或其它磁盘错误并不是在Windows XP系统分区里发生的(比如Windows 98死机后强行重新启动造成的磁盘错误)，Windows XP在启动时也能检测到，而且会询问是否要进行磁盘扫描，严重影响了启动速度。做磁盘碎片整理对备份的好处是很明显的，这里就不赘述了。

5) 注册常用软件 由于Windows XP自带MSN浏览器和Windows Messenger，这两个软件

放在Windows XP的系统分区，重新安装后还需要输入用户名、邮件地址和密码重新注册；另外有些软件，如瑞星等，重装系统后也要重新注册或输入序列号，所以建议先注册好，再用Ghost备份，恢复后就可以免去很多操作上的麻烦。

6) 及时更新备份 若更换了电脑的主板，在安装好相关程序或重装系统后，必须对系统分区

重新进行备份，如果仍用旧的Ghost备份(更换配件前的备份)来还原，系统会发生严重错误以致崩溃。 另外要注意，Ghost对系统的还原是不可逆的，一旦用Ghost还原系统分区后，原系统分区中的一切数据将荡然无存，所以，建议朋友们在还原之前一定要把重要文件备份到另外的分区，以防万一。 3. Win XP隐含收藏夹的备份

在WinXP中除了IE收藏夹外，还有两个比较特殊的收藏夹，它们分别是注册表编辑器中的收藏夹以及帮助和支持中心的收藏夹。

32

1) 备份注册表的收藏夹

如果我们不希望每次安装系统时，重新添加收藏夹项目，就需要及时对注册表中的收藏夹进行备份。与IE收藏夹不同的是，注册表中的收藏夹项目并不是存放在某个文件夹里，而是直接保存在注册表中，所以备份注册表的收藏夹也就是将这个注册表分支导出。

运

行

Regedit

，

在

注

册表

编

辑器

中

依次

展

开

“HKEY_CURRENT_U

SER\\Software\\Microsoft\\Windows\\CurrentVersion\\Applets\\Regedit\\Favorites”，我们可以看到右侧窗格中显示的就是注册表收藏夹中的项目，其中键值的名称也就是收藏夹中项目的名称，而键值则是相应的注册表路径。用鼠标右键单击左侧目录树中的“Favorites”注册表项，从快捷菜单中选择“导出”，指定保存REG文件的路径及名称，单击“保存”按钮即可将该收藏夹中的项目备份起来。当需要还原这些项目时，只须双击前面保存的REG文件，将它导入注册表，即可完成还原工作。

2) 备份帮助中心的收藏夹

WinXP帮助和支持中心收藏夹的内容存储在“C:\\Documents and Settings\\<用户名〉\\Local Settings\\ApplicationData\\Microsoft\\HelpCtr”目录中的“Favorites.stream”文件里。当我们需要进行备份的时候，只须将这个文件复制出来，而需要还原时，再将备份的文件替换上述目录中同名的文件即可。 5.1.4 硬盘数据存储

1. 硬盘驱动器

磁盘驱动器是一种采用磁介质的数据存储设备，数据存储在密封于洁净的硬盘驱动器内腔的若干个磁盘片上。这些盘片一般是在以铝为主要成分的片基表面涂上磁性介质所形成，在磁盘片的每一面上，以转动轴为轴心、以一定的磁密度为间隔的若干个同心圆就被划分成磁道（track），每个磁道又被划分为若干个扇区（sector），数据就按扇区存放在硬盘上。在每一面上都相应地有一个读写磁头（head），所以不同磁头的所有相同位置的磁道就构成了所谓的柱面（cylinder）。传统的硬盘读写都是以柱面、磁头、扇区为寻址方式的（CHS寻址）。硬盘在上电后保持高速旋转（5400转/min以上），位于磁头臂上的磁头悬浮在磁盘表面，可以通过步进电机在不同柱面之间移动，对不同的柱面进行读写。所以在上电期间如果硬盘受到剧烈振荡，磁盘表面就容易被划伤，磁头也容易损坏，这都将给盘上存储的数据带来灾难性的后果。

硬盘的第一个扇区（0道0头1扇区）被保留为主引导扇区。在主引导区内主要有两项内容：主引导记录和硬盘分区表。主引导记录是一段程序代码，其作用主要是对硬盘上安装的操作系统进行引导；硬盘分区表则存储了硬盘的分区信息。计算机启动时将读取该扇区的数据，并对其合法性进行判断（扇区最后两个字节是否为0x55AA或0xAA55 ），如合法则跳转执行该扇区的第一条指令。所以硬盘的主引导区常常成为病毒攻击的对象，从而被篡改甚至被破坏。可引导标志：0x80为可引导分区类型标志；0表示未知；1为FAT12；4为FAT16；5为扩展分区等等。 2. CMOS中的硬盘信息

在计算机的CMOS中也存储了硬盘的信息，主要有硬盘类型、容量、柱面数、

磁头数、每道扇区数、寻址方式等内容，对硬盘参数加以说明，以便计算机正确访问硬盘。当CMOS因故掉电或发生错误时，硬盘设置可能会丢失或错误，硬盘访问也就无法正确进行。这种情况我们就必须重新设置硬盘参数，如果事先已记下硬盘参数或者有某些防病毒软件事先备份的CMOS信息，只需手工恢复即可；否则也可使用BIOS设置（setup）中的“自动检测硬盘类型”（HD type auto detection）的功能，一般也能得到正确的结果。

硬盘故障大体上可以分为软故障和硬故障两大类，具体有硬盘操作系统被损坏、硬盘主引导区被破坏、 FAT表被破坏、CMOS硬盘参数不正确、硬盘控制器与硬盘驱动器未能正常连接、硬盘驱动器或硬盘控制器硬件故

33

障、主板故障等情况。比如：

 开机自检过程中，屏幕提示“Hard disk drive failure”或类似信息，则可以 判断为硬盘驱动器或硬盘控制器（提示“Hard drive controller failure”）硬件故障。

 开机自检过程中，屏幕提示“Hard disk not present”或类似信息，则可能是 CMOS硬盘参数设置错误或硬盘控制器与硬盘驱动器连接不正确。

 开机自检过程中，屏幕提示“Missing operating system”、“Non OS” 、“Non

system disk or disk error，replace disk and press a key to reboot”等类似信息，则可能是硬盘主引导区分区表被破坏、操作系统未正确安装或者CMOS硬盘参数设置错误等。

 开机用软盘启动后无法进入C盘，可能是分区表被破坏等。 5.2 RAID管理 5.2.1 RAID的概念

RAID的全称是廉价磁盘冗余阵列（Redundant Array of Inexpensive Disks），于1987年由美国Berkeley 大学的两名工程师提出的RAID出现的，最初目的是将多个容量较小的廉价硬盘合并成为一个大容量的“逻辑盘”或磁盘阵列，实现提高硬盘容量和性能的功能。随着RAID技术的逐渐普及应用，RAID技术的各方面得到了很大的发展。现在，RAID可以根据不同的需要实现不同的功能，扩大硬盘容量，提供数据冗余，或者是大幅度提高硬盘系统的I/0吞吐能力。 RAID技术主要有三个特点：

第一、通过对硬盘上的数据进行条带化，实现对数据成块存取，减少硬盘的机械寻道时间，提高数据存取速度。

第二、通过对一阵列中的几块硬盘同时读取，减少硬盘的机械寻道时间，提高数据存取速度。 第三、通过镜像或者存储奇偶校验信息的方式，实现对数据的冗余保护。 经常应用的RAID阵列主要分为RAID 0，RAID 1，RAID 3,RAID 5和RAID 0-1。

RAID 0：将多个较小的磁盘合并成一个大的磁盘，不具有冗余，并行I/O，速度最快。RAID 0亦称为带区集。它是将多个磁盘并列起来，成为一个大硬盘。在存放数据时，其将数据按磁盘的个数来进行分段，然后同时将这些数据写进这些盘中。

所以，在所有的级别中，RAID 0的速度是最快的。但是RAID 0没有冗余功能的，如果一个磁盘（物理）损坏，则所有的数据都无法使用。

RAID 1：两组相同的磁盘系统互作镜像，速度没有提高，但是允许单个磁盘错，可靠性最高。RAID 1就是镜像。其原理为在主硬盘上存放数据的同时也在镜像硬盘上写一样的数据。当主硬盘（物理）损坏时，镜像硬盘则代替主硬盘的工作。因为有镜像硬盘做数据备份，所以RAID 1的数据安全性在所有的RAID级别上来说是最好的。但是其磁盘的利用率却只有50%， 是所有RAID上磁盘利用率最低的一个级别。

RAID 3:存放数据的原理和RAID0、RAID1不同。RAID 3是以一个硬盘来存放数据的奇偶校验位，数据则分段存储于其余硬盘中。它象RAID 0一样以并行的方式来存放数，但速度没有RAID 0快。如果数据盘（物理）损坏，只要将坏硬盘换掉，RAID控制系统则会根据校验盘的数据校验位在新盘中重建坏盘上的数据。不过，如果校验盘（物理）损坏的话，则全部数据都无法使用。利用单独的校验盘来保护数据虽然没有镜像的安全性高，但是硬盘利用率得到了很大的提高，为n-1。

RAID 5：向阵列中的磁盘写数据，奇偶校验数据存放在阵列中的各个盘上，允许单个磁盘出错。RAID 5也是以数据的校验位来保证数据的安全，但它不是以单独硬盘来存放数据的校验位，而是将数据段的校验位交

34

互存放于各个硬盘上。这样，任何一个硬盘损坏，都可以根据其它硬盘上的校验位来重建损坏的数据。硬盘的利用率为n-1。

RAID 0－1：同时具有RAID 0和RAID 1的优点。

冗余：采用多个设备同时工作，当其中一个设备失效时，其它设备能够接替失效设备继续工作的体系。在PC服务器上，通常在磁盘子系统、电源子系统采用冗余技术。 5.2.2 RAID的两种类型

目前RAID技术大致分为两种：基于硬件的RAID技术和基于软件的RAID技术。 

硬件 RAID

基于硬件的系统独立于主机之外地来管理 RAID 子系统，并且它在主机处只用一个磁盘来代表每一组 RAID 阵列。

连接到 SCSI 控制器的，把 RAID 阵列表示为单个 SCSI 驱动器的设备就是一个硬件 RAID 的例子。一个外部的 RAID 系统把所有 RAID 处理“智能”都转移到位于内部磁盘子系统中的控制器中。整个子系统都是通过一个普通的 SCSI 控制器连接到主机上，对主机而言，它就象一个单一的磁盘。

RAID 控制器还以卡的形式出现。它充当操作系统的 SCSI 控制器，但却控制所有驱动器本身的实际通讯。在这些情况下，你把驱动器插入到 RAID 控制器中，就如同 SCSI 控制器一般，但是，在这之后，你把它们添加到 RAID 控制器的配置里，操作系统决不会知道其中的区别。 

软件RAID

软件 RAID 在内核磁盘（块设备）编码中实现各类 RAID 级别。 因为它不需要昂贵的磁盘控制器卡或热交换底盘 [1] ，软件 RAID 提供了最廉价的解决方法。它还可以用在较便宜的 IDE 磁盘以及 SCSI 磁盘。使用今日的快速 CPU，软件 RAID 的性能能够超出硬件 RAID。

软件 RAID的最重要的特性是：  使用线程的重建进程;  基于内核的配置;

 不必重建而可在 Linux 机器间移植阵列;  使用空闲的系统资源在后台重建阵列;  对可热交换的驱动器的支持;

 对 CPU 的自动检测以便利用某些 CPU 优化功能。 第六章 资源共享管理6.1.1 设置资源共享

我们在网络上可以设置资源共享,下面就以Windows 2000为例来讲述如何设置共享资源。

比如说我们想把D盘“Music”目录下的这些多年收藏的MP3共享给大家，（如图6-1所示）可以这样做：在“Music”目录上点右键，在鼠标右键菜单中单击“共享”，（见图6-2）选择“共享该文件夹”在“共享名”文本框中填入共享名，比如叫做“音乐”，这个名字是其他人通过“网上邻居”访问时所看到的名字。（如图6-3、图6-4所示）

单击 “权限”按钮，然后给访问者设置权限为只读，单击“完全控制”和“更改”的“允许”列的复选框，去掉己存在的两个小对勾，最后单击“确定”结束。（如图6-5,图6-6所示）这时你会发现“Music”目录图标上多了一个小手，这表明这是一个共享目录。（如图6-7所示）局域网中的其它人可以通过“网上邻居”来访问这些文件。

关于共享目录的设置还不止这些，我们还可以对共享目录针对不同的访问者来设置访问权限。Windows 2000对于通过网络访问的用户，首先要验证用户的身份，一般是用户名称和密码，只有验证通过后才可以访问共享资源。Windows 2000中共享的目录可以给每一个用户设置不同的访问权限，（如图6-8所示）有的可以在

35

共享目录下创建文件、修改文件，而有些用户只能看文件列表，连复制走的权限都没有。

另外即使不同的用户在本机登录，他们对每一个文件、目录所拥有的权限也不相同。 第七章 组策略的管理和应用 7.1 理解组策略 7.1.1组策略概述

在Windows 2000操作系统中，我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置。通过使用“组策略”，Microsoft管理控制台（MMC）可以为特定用户和计算机组创建个性化的配置。“组策略”配置包含在一个“组策略对象”(GPO) 中，该对象又与选定的Active Directory服务容器如站点、域或组织单位(OU) 等相关联。组策略对象包括两种对象──非本地和本地的组策略对象。

存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。

本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象，而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突，则都可以应用。

使用组策略，我们可以对用户工作环境状态只定义一次，然后靠系统实施管理员定义的策略，对用户和计算机进行管理。

说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。

简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 7.1.2组策略的工作原理

组策略与Active Directory用户中的域和文件夹以及MMC管理单元相关联。组策略授予的权限应用到存储于该文件夹中的计算机上。使用Active Directory站点和服务管理单元还可将组策略应用到站点。子文件夹从父文件夹继承组策略，子文件夹也可能依次有自己的组策略对象。指派给一个文件夹的组策略可能不止一个。组策略是安全组的补充，可以将单一安全配置文件应用到多台计算机上。它加强了一致性并易于管理。组策略对象包含实现多种类型安全策略的权限和参数。总之，组策略可由父站点传递到子站点和局域网。如果将一个特定组策略指派给高级的父站点，这个组策略会应用到父等级以下所有站点，包括每个容器中的用户和计算机对象。

7.1.3组策略的版本

大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。

36

早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。

无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 7.2 组策略的管理

我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置。通过使用“组策略”，Microsoft管理控制台（MMC）可以为特定用户和计算机组创建个性化的配置。“组策略”配置包含在一个“组策略对象”(GPO) 中，该对象又与选定的Active Directory服务容器如站点、域或组织单位(OU) 等相关联。组策略对象包括两种对象──非本地和本地的组策略对象。

存储在域控制器中的非本地组策略对象只能在Active Directory环境下使用。它们适用于组策略对象所关联的站点、域或组织单位中的用户和计算机。

本地组策略对象存储在各个本地计算机上。一台计算机上只存储一个本地组策略对象，而且它有一个在非本地组策略对象中可用的设置子集。如果二者的设置发生冲突，非本地组策略对象的设置能覆盖本地组策略对象的设置。如果不冲突，则都可以应用。

使用组策略，我们可以对用户工作环境状态只定义一次，然后靠系统实施管理员定义的策略，对用户和计算机进行管理。

下面介绍一下各个版本的组策略运行。 1. Windows 9X策略编辑器

按操作系统的不同，策略编辑工具分为两种，一种为Windows 2000/XP/2003组策略管理控制台，它在系统安装时已经默认安装上了；另外一种就是Windows 9X的系统策略编辑器，它在系统安装时并不被安装，程序文件在Windows安装盘上的\ools\\reskit\\netadmin\\poledit目录下，它包括Poledit.exe、Poledit.inf、Windows.adm等文件。

如果是Windows 9X系统通过下面的方法，则可以进行正规的安装过程。 A. 在控制面板中，双击“添加/删除程序”图标，单击“安装Windows”标签， 然后单击“从磁盘安装”选项。

B. 在从磁盘安装对话框中，单击“浏览”按钮并指定Windows 9X安装光盘 的tools\\reskit\\netadmin\\poledit目录。

C. 单击“确认”按钮，然后再次单击对话框中的“确认”按钮。

D. 在从磁盘安装对话框中，选择“系统策略编辑器”和“组策略”复选框，然 后单击“安装”按钮。

安装完成后，单击“运行”命令项，输入poledit，然后单击“确认”按钮（运行后的界面如上图7-1所示）。 管理员可以以两种不同的方式使用系统策略编辑器：注册表方式和策略文件方式。 A. 以注册表方式使用系统策略编辑器。在系统策略编辑器中的文件菜单

中，单击打开注册表编辑器，然后双击相应的本地用户或本地计算机图标。这取决于要编辑注册表中的哪个部分。在使用注册表方式时，可以直接编辑本地或远程计算机的注册表。这样，所做的改变将立即反映出来。在

37

做出修改之后，必须关机并重新启动计算机以使所做修改生效。

B. 以策略文件方式使用系统策略编辑器。在系统策略编辑器中的文件菜单

中，单击新建或打开来打开一个策略文件。在使用策略文件方式时，可以创建和修改用于其它计算机的系统策略文件（POL），在这种方式下，注册表被间接地修改。这项改变将在用户登录时策略文件被下载后反映出来。当以策略文件方式编辑设置值时，单击一个注册表选项，可以看到三种可能状态之一：选中、清除、变灰。每当选择一个选项时，将会循环显示下一个可能的状态，这与选择一个标准的复选框不同。标准的复选框只有选中或清除两个选项。

如果一个设置值需要附加信息，那么缺省用户属性对话框的底部将出现一个编辑控制。通常，如果选中了一个策略，而又不想强制使用它，应当清除该复选框来取消该策略。 2. Windows 2000/XP/2003组策略控制台

如果是Windows 2000/XP/2003系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序（界面如图7-2所示）。

使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：

1）打开 Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC并回车，运行控制台程序）。

2）在“文件”菜单上，单击“添加/删除管理单元”。 3）在“独立”选项卡上，单击“添加”。

4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

6）单击“完成”，单击“关闭”，然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。

对于不包含域的计算机系统来说，在上面第5步的界面中，只有“计算机”标签，而没有其他标签项目。 通过上面的方法，我们就可以使用Windows 2000/XP/2003组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003组策略管理控制台同样也有三种状态，只不过名字变了。它们分别是：已启用、未配置、已禁用。 7.3 组策略的应用

7.3.1 用组策略提升系统性能

1．让Windows 的上网速率提升20%（Windows XP/2003）

默认情况下，Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内，这对带宽较小的网络来说，无疑是笔不小的开支。我们可以通过组策略设置来替代默认值，让我们的上网速率提高20%!

打开“组策略控制台→计算机配置→管理模板→网络”中的“QoS数据包调度程序”并启用此策略，然后使用下面“带宽限制”框来调整系统可保留的带宽比例，将它设置为0%即可，然后按确定退出，之后我们就可以使用另外20%的带宽了。

2．关闭缩略图的缓存（Windows XP/2003）

Windows XP/20003系统具有缩略图视图功能，且为了加快那些被频繁浏览的缩略图显示速度，系统会将这些被显示过的图片进行缓存，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。但如果我

38

们不希望系统进行缓冲的话（比如只浏览一次的图片），则可以利用组策略关闭缩略图缓存的功能，这样第一次浏览速度反而会大大加快（因为不进行缓存处理）。

打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。

3．屏蔽系统自带的CD刻录功能（Windows XP/2003）

Windows XP/2003系统自带CD刻录功能，如果你有CD刻录机接在计算机上，Windows 资源管理器允许你制作并修改可重写式CD。但这样无疑会影响系统性能和资源管理器的执行速度，因此我们可以利用组策略来屏蔽此功能（大部分用户都使用专用的CD刻录软件）。

打开“组策略控制台→用户配置→管理模板→网络→”中的“删除CD刻录功能”并启用此策略。 4．关闭系统还原功能（Windows XP/2003）

系统还原是Windows XP/2003中集成的强大功能，它在系统运行的同时，备份那些被更改的文件和数据，如果出现问题，系统还原使用户能够在不丢失个人数据文件的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。

但为这一功能付出的代价也是相当大的，系统性能会明显下降，磁盘空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。

打开“组策略控制台→计算机配置→管理模板→系统→系统还原”中的“关闭系统还原”并启用此策略。启用此设置后即可关闭系统还原功能，并且不能访问“系统还原向导”和“配置界面”。 5．禁止Windows Messenger自动运行（Windows XP/2003）

在Windows系统中集成的优秀应用软件越来越多，但这些系统内置的软件都没有卸载选项，引起很多电脑用户的不满。比如Windows XP自带的Windows Messenger，不但卸载不方便而且还随系统一起自动运行。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说，当然要屏蔽此软件的自动运行功能。

打开“组策略控制台→计算机配置→管理模板→Windows组件→Windows Messenger”中的“不允许运行Windows Messenger ”并启用此策略。

提示：这个设置出现在“计算机配置”和“用户配置”文件夹中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。 7.3.2 桌面设置

Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例。

位置：“组策略控制台→用户配置→管理模板→桌面” 。 1．隐藏桌面的系统图标（Windows 2000/XP/2003）

虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。而采用组策略配置的方法，可以方便快捷地达到此目的。

比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上„网上邻居‟图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可（如图7-3）；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的„我的文档‟图标”和“删除桌面上的„我的电脑‟图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失；同样如果要让“回收站”图标消失，只须将“从桌面删除回收站”策略项启用即可。 2．退出时不保存桌面设置（Windows 2000/XP/2003）

此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略，用户仍然可以对桌面做更改，但有些

39

更改，如图标的位置、任务栏的位置及大小，在用户注销后都无法保存，不过任务栏上的快捷方式总可以被保存。

在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。 3．屏蔽“清理桌面向导”功能（Windows XP/2003）

“清理桌面向导”会每隔 60 天自动在用户的电脑上运行，以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置，则可以屏蔽“清理桌面向导”，如果你禁用或不配置此设置，“清理桌面向导”会按照默认设置每隔60天运行一次。

打开右侧窗格中的“删除清理桌面向导”，根据需要设置策略选项即可。 4．启用/禁用“活动桌面”（Windows 2000/XP/2003）

“活动桌面”是Windows 98（及以后版本）或安装了IE 4.0的系统中自带的高级功能，最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能（并且禁止用户启用它），通过策略设置可以轻松达到这一要求。具体操作方法：打开右侧窗格中的“禁用活动桌面”并启用此策略。

提示：如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置，则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置（在“用户配置→管理模板→Windows组件→Windows资源管理器”中）被启用，Active Desktop 就会被禁用，并且这两个策略都会被忽略。

以上介绍了几个关于桌面的组策略配置项目，在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目，读者可根据需要进行配置，这里不再赘述。 7.4 安全设置

在Windows 2000局域网中实施安全管理应分别从服务器和工作站两方面进行。首先应在服务器上安装活动目录服务，然后在域上实施组策略；其次应将工作站置于服务器所管理的域中。 1. 启动活动目录服务

在“程序→管理工具→配置服务器”选项中，选定左边的“Active Directory”，启动活动录安装向导。设置过程中关键是要将服务器设置为第一个域目录树，DNS域名输入ISP提供的域名，若不连接国际互联网，也可任意设定。

2. 打开组策略控制台

启动“Active Directory目录和用户”项，在右面对象容器树中的根目录上单击右键，然后单击“属性”项，在新打开的窗口中单击“组策略”选项卡，即可打开组策略控制台。 3. 设置组策略

Windows 2000组策略有100多个与安全有关的设置和450多个基于注册表的设置，为管理用户计算机环境提供了众多的选项，某一选项一旦被设置将会作用于登录到域上的所有用户和工作站。这里将几个常用策略的设置步骤介绍一下，作为策略设置的参考。

a、启用“登录屏幕”上不显示上次登录的用户名

这一选项可以保护用户账号的安全，阻止账号盗用行为的发生。该选项所处位置按照“计算机配置→安全设置→本地策略→安全选项”的顺序查找，双击该选项，选择“启用”。当用户下次登录域时，该项策略将被应用在用户操作的工作站上。

b、启动“活动桌面墙纸”

使用此选项，局域网上登录域的所有计算机将使用同一桌面墙纸，并且不能被更改。因此，可以通过这一项策略的设置，防止临时用户随意更换桌面墙纸，使局域网中的工作站具有相同的界面。该选项所处的位置是

40

“用户配置→管理模板→桌面→活动桌面”。

综合应用Windows 2000的账号安全、组策略安全和文件夹权限等安全属性，可以很好地保护局域网中各工作站的安全。同时，使用账号安全属性对系统文件进行保护，还可对病毒的破坏起到防范作用。

41