『壹』 TCP/IP有哪幾層各層的功能是什麼
TCP/IP協議分為4個層次,自底向上依次為網路介面層、網路層、傳輸層和應用層。
網路介面層負責接收IP數據報,並負責把這些數據報發送到指定網路上。
網路層功能為進行網路互連,根據網間報文IP地址,從一個網路通過路由器傳到另一網路。
傳輸層的功能為通信雙方的主機提供端到端的服務,傳輸層對信息流具有調節作用,提供可靠性傳輸,確保數據到達無誤。
應用層的功能為對客戶發出的一個請求,伺服器作出響應並提供相應的服務。
『貳』 結合實驗課項目及所收集信息,談談如何構建安全網路信息環境,以及如何從技術角度應對各種網路安全威脅
一、引言
微型計算機和區域網的廣泛應用,基於client/server體系結構的分布式系統的出現,I
SDN,寬頻ISDN的興起,ATM技術的實施,衛星通信及全球信息網的建設,根本改變了以往主機
-終端型的網路應用模式;傳統的、基於Mainframe的安全系統結構已不能適用於新的網路環
境,主要原因是:
(1)微型機及LAN的引入,使得網路結構成多樣化,網路拓撲復雜化;
(2)遠地工作站及遠地LAN對Mainframe的多種形式的訪問,使得網路的地理分布擴散化
;
(3)多種通訊協議的各通訊網互連起來,使得網路通信和管理異質化。
構作Micro-LAN-Mainframe網路環境安全體系結構的目標同其它應用環境中信息安全的
目標一致,即:
(1)存儲並處理於計算機和通信系統中的信息的保密性;
(2)存儲並處理於計算機和通信系統中的信息的完整性;
(3)存儲並處理於計算機和通信系統中的信息的可用性;
(4)對信息保密性、完整性、拒絕服務侵害的監查和控制。
對這些安全目標的實現不是絕對的,在安全系統構作中,可因地制宜,進行適合於自身條
件的安全投入,實現相應的安全機制。但有一點是應該明確的,信息安全是國民經濟信息化
必不可少的一環,只有安全的信息才是財富。
對於潛在的財產損失,保險公司通常是按以下公式衡量的:
潛在的財產損失=風險因素×可能的損失
這里打一個比方,將信息系統的安全威脅比作可能的財產損失,將系統固有的脆弱程度
比作潛在的財產損失,於是有:
系統的脆弱程度=處於威脅中的系統構件×安全威脅
此公式雖不能將系統安全性定量化,但可以作為分析信息安全機制的適用性和有效性的
出發點。
對計算機犯罪的統計表明,絕大多數是內部人員所為。由於在大多數Micro-LAN-Mainf
rame系統中,用戶登錄信息、用戶身份證件及其它數據是以明文形式傳輸的,任何人通過連
接到主機的微型機都可秘密地竊取上述信息。圖1給出了我們在這篇文章中進行安全性分析
的網路模型,其安全性攻擊點多達20個。本文以下各部分將詳細討論對此模型的安全威脅及
安全對策。
@@14219700.GIF;圖1.Micro-LAN-Mainframe網路模型@@
二、開放式系統安全概述
1.OSI安全體系結構
1989年2月15日,ISO7498-2標準的頒布,確立了OSI參考模型的信息安全體系結構,它對
構建具體網路環境的信息安全構架有重要的指導意義。其核心內容包括五大類安全服務以
及提供這些服務所需要的八類安全機制。圖2所示的三維安全空間解釋了這一體系結構。
@@14219701.GIF;ISO安全體系結構@@
其中,一種安全服務可以通過某種安全機制單獨提供,也可以通過多種安全機制聯合提
供;一種安全機制可用於提供一種或多種安全服務。
2.美軍的國防信息系統安全計劃DISSP
DISSP是美軍迄今為止最龐大的信息系統安全計劃。它將為美國防部所有的網路(話音
、數據、圖形和視頻圖象、戰略和戰術)提供一個統一的、完全綜合的多級安全策略和結構
,並負責管理該策略和結構的實現。圖3所示的DISSP安全框架三維模型,全面描述了信息系
統的安全需求和結構。第一維由九類主要的安全特性外加兩類操作特性組成,第二維是系統
組成部件,它涉及與安全需求有關的信息系統部件,並提供一種把安全特性映射到系統部件
的簡化手段;第三維是OSI協議層外加擴展的兩層,OSI模型是面向通信的,增加兩層是為了適
應信息處理。
@@14219702.GIF;DISSP安全框架雛形@@
3.通信系統的安全策略
1節和2節較全面地描述了信息系統的安全需求和結構,具有相當的操作指導意義。但僅
有這些,對於構作一個應用於某組織的、具體的網路應用環境的安全框架或安全系統還是不
夠的。
目前,計算機廠商在開發適用於企業范圍信息安全的有效策略方面並沒有走在前面,這
就意味著用戶必須利用現有的控制技術開發並維護一個具有足夠安全級別的分布式安全系
統。一個安全系統的構作涉及的因素很多,是一個龐大的系統工程。一個明晰的安全策略必
不可少,它的指導原則如下:
·對安全暴露點實施訪問控制;
·保證非法操作對網路的數據完整性和可用性無法侵害;
·提供適當等級的、對傳送數據的身份鑒別和完整性維護;
·確保硬體和線路的聯接點的物理安全;
·對網路設備實施訪問控制;
·控制對網路的配置;
·保持對網路設施的控制權;
·提供有準備的業務恢復。
一個通信系統的安全策略應主要包括以下幾個方面的內容:
總綱;
適用領域界定;
安全威脅分析;
企業敏感信息界定;
安全管理、責任落實、職責分明;
安全控制基線;
網路操作系統;
信息安全:包括用戶身份識別和認證、文件伺服器控制、審計跟蹤和安全侵害報告、數
據完整性及計算機病毒;
網路安全:包括通信控制、系統狀態控制、撥號呼叫訪問控制;
災難恢復。
三、LAN安全
1.LAN安全威脅
1)LAN環境因素造成的安全威脅
LAN環境因素,主要是指LAN用戶缺乏安全操作常識;LAN提供商的安全允諾不能全部兌現
。
2)LAN自身成員面臨的安全威脅
LAN的每一組成部件都需要保護,包括伺服器、工作站、工作站與LAN的聯接部件、LAN
與LAN及外部世界的聯接部件、線路及線路接續區等。
3)LAN運行時面臨的安全威脅
(1)通信線路上的電磁信號輻射
(2)對通信介質的攻擊,包括被動方式攻擊(搭線竊聽)和主動方式攻擊(無線電仿冒)
(3)通過聯接上網一個未經授權的工作站而進行的網路攻擊。攻擊的方式可能有:竊聽
網上登錄信息和數據;監視LAN上流量及與遠程主機的會話,截獲合法用戶log off指令,繼續
與主機會話;冒充一個主機LOC ON,從而竊取其他用戶的ID和口令。
(4)在合法工作站上進行非法使用,如竊取其他用戶的ID、口令或數據
(5)LAN與其他網路聯接時,即使各成員網原能安全運行,聯網之後,也可能發生互相侵害
的後果。
(6)網路病毒
4)工作站引發的安全威脅
(1)TSR和通信軟體的濫用:在分布式應用中,用戶一般在本地微機及主機擁有自己的數
據。將微機作為工作站,LAN或主機系統繼承了其不安全性。TSR是用戶事先載入,由規定事
件激活的程序。一個截獲屏幕的TSR可用於竊取主機上的用戶信息。這樣的TSR還有許多。
某些通信軟體將用戶鍵入字元序列存為一個宏,以利於實現對主機的自動LOGON,這也是很危
險的。
(2)LAN診斷工具的濫用:LAN診斷工具本用於排除LAN故障,通過分析網上數據包來確定
線路雜訊。由於LAN不對通信鏈路加密,故LAN診斷工具可用於竊取用戶登錄信息。
(3)病毒與微機通信:例如Jerusalem-B病毒可使一個由幾千台運行3270模擬程序的微機
組成的網路癱瘓。
2 LAN安全措施
1)通信安全措施
(1)對抗電磁信號偵聽:電纜加屏蔽層或用金屬管道,使較常規電纜難以搭線竊聽;使用
光纖消除電磁輻射;對敏感區域(如電話室、PBX所在地、伺服器所在地)進行物理保護。
(2)對抗非法工作站的接入:最有效的方法是使用工作站ID,工作站網卡中存有標識自身
的唯一ID號,LAN操作系統在用戶登錄時能自動識別並進行認證。
(3)對抗對合法工作站的非法訪問:主要通過訪問控制機制,這種機制可以邏輯實現或物
理實現。
(4)對通信數據進行加密,包括鏈路加密和端端加密。
2)LAN安全管理
(1)一般控制原則,如對伺服器訪問只能通過控制台;工作站間不得自行聯接;同一時刻
,一個用戶只能登錄一台工作站;禁止使用網上流量監視器;工作站自動掛起;會話清除;鍵盤
封鎖;交易跟蹤等。
(2)訪問控制,如文件應受保護,文件應有多級訪問權力;SERVER要求用戶識別及認證等
。
(3)口令控制,規定最大長度和最小長度;字元多樣化;建立及維護一個軟字型檔,鑒別弱口
令字;經常更換口令等。
(4)數據加密:敏感信息應加密
(5)審計日誌:應記錄不成功的LOGIN企圖,未授權的訪問或操作企圖,網路掛起,脫離聯
接及其他規定的動作。應具備自動審計日誌檢查功能。審計文件應加密等。
(6)磁碟利用:公用目錄應只讀,並限制訪問。
(7)數據備份:是LAN可用性的保證;
(8)物理安全:如限制通信訪問的用戶、數據、傳輸類型、日期和時間;通信線路上的數
據加密等。
四、PC工作站的安全
這里,以荷蘭NMB銀行的PC安全工作站為例,予以說明。在該系統中,PC機作為IBM SNA主
機系統的工作站。
1.PC機的安全局限
(1)用戶易於攜帶、易於訪問、易於更改其設置。
(2)MS-DOS或PC-DOS無訪問控制功能
(3)硬體易受侵害;軟體也易於攜帶、拷貝、注入、運行及損害。
2.PC安全工作站的目標
(1)保護硬體以對抗未授權的訪問、非法篡改、破壞和竊取;
(2)保護軟體和數據以對抗:未授權的訪問、非法篡改、破壞和竊取、病毒侵害;
(3)網路通信和主機軟硬體也應類似地予以保護;
3.安全型PC工作站的設計
(1)PC硬體的物理安全:一個的可行的方法是限制對PC的物理訪問。在PC機的後面加一
個盒子,只有打開這個盒子才能建立所需要的聯接。
(2)軟體安全:Eracon PC加密卡提供透明的磁碟訪問;此卡提供了4K位元組的CMOS存儲用
於存儲密鑰資料和進行密鑰管理。其中一半的存儲區對PC匯流排是只可寫的,只有通過卡上數
據加密處理的密鑰輸入口才可讀出。此卡同時提供了兩個通信信道,其中一個支持同步通信
。具體的安全設計細節還有:
A、使用Clipcards提供的訪問權授予和KEY存儲(為離線應用而設)、Clipcards讀寫器
接於加密卡的非同步口。
B、對硬碟上全部數據加密,對不同性質的文件區分使用密鑰。
C、用戶LOGON時,強制進入與主機的安全監控器對話,以對該用戶進行身份驗證和權力
賦予;磁碟工作密鑰從主機傳送過來或從Clipcards上讀取(OFFLINE);此LOGON外殼控制應用
環境和密鑰交換。
D、SNA3270模擬器:利用Eracon加密卡實現與VTAM加解密設備功能一致的對數據幀的加
密。
E、主機安全監控器(SECCON):如果可能,將通過3270模擬器實現與PC安全監控程序的不
間斷的會話;監控器之間的一套消息協議用於完成對系統的維護。
五、分布式工作站的安全
分布式系統的工作站較一般意義上的網路工作站功能更加全面,它不僅可以通過與網上
伺服器及其他分布式工作站的通信以實現信息共享,而且其自身往往具備較強的數據存儲和
處理能力。基於Client/Server體系結構的分布式系統的安全有其特殊性,表現如下:
(1)較主機系統而言,跨區域網和廣域網,聯接區域不斷擴展的工作站環境更易受到侵害
;
(2)由於工作站是分布式的;往往分布於不同建築、不同地區、甚至不同國家,使安全管
理變得更加復雜;
(3)工作站也是計算機犯罪的有力工具,由於它分布廣泛,安全威脅無處不在;
(4)工作站環境往往與Internet及其他半公開的數據網互聯,因而易受到更廣泛的網路
攻擊。
可見,分布式工作站環境的安全依賴於工作站和與之相聯的網路的安全。它的安全系統
應不劣於主機系統,即包括用戶的身份識別和認證;適當的訪問控制;強健的審計機制等。除
此之外,分布式工作站環境還有其自身的特殊安全問題,如對網路伺服器的認證,確保通信中
數據的保密性和完整性等。這些問題將在後面討論。
六、通信中的信息安全
通過以上幾部分的討論,我們已將圖1所示的網路組件(包括LAN、網路工作站、分布式
工作站、主機系統)逐一進行了剖析。下面,我們將就它們之間的聯接安全進行討論。
1.加密技術
結合OSI七層協議模型,不難理解加密機制是怎樣用於網路的不同層次的。
(1)鏈路加密:作用於OSI數據模型的數據鏈路層,信息在每一條物理鏈路上進行加密和
解密。它的優點是獨立於提供商,能保護網上控制信息;缺點是浪費設備,降低傳輸效率。
(2)端端加密:作用於OSI數據模型的第4到7層。其優點是花費少,效率高;缺點是依賴於
網路協議,安全性不是很高。
(3)應用加密:作用於OSI數據模型的第7層,獨立於網路協議;其致命缺點是加密演算法和
密鑰駐留於應用層,易於失密。
2.撥號呼叫訪問的安全
撥號呼叫安全設備主要有兩類,open-ended設備和two-ended設備,前者只需要一台設備
,後者要求在線路兩端各加一台。
(1)open-ended設備:主要有兩類,埠保護設備(PPDs)和安全數據機。PPDs是處於
主機埠和撥號線路之間的前端通信處理器。其目的是隱去主機的身份,在將用戶請求送至
主機自身的訪問控制機制前,對該用戶進行預認證。一些PPDs具有回叫功能,大部分PPDs提
供某種形式的攻擊示警。安全數據機主要是回叫型的,大多數有內嵌口令,用戶呼叫調
制解調器並且輸入口令,數據機驗證口令並拆線。數據機根據用戶口令查到相應電
話號碼,然後按此號碼回叫用戶。
(2)two-ended設備:包括口令令牌、終端認證設備、鏈路加密設備和消息認證設備。口
令令牌日益受到大家歡迎,因為它在認證線路另一端的用戶時不需考慮用戶的位置及網路的
聯接類型。它比安全數據機更加安全,因為它允許用戶移動,並且禁止前向呼叫。
口令令牌由兩部分組成,運行於主機上與主機操作系統和大多數常用訪問控制軟體包接
口的軟體,及類似於一個接卡箱運算器的硬體設備。此軟體和硬體實現相同的密碼演算法。當
一個用戶登錄時,主機產生一個隨機數給用戶,用戶將該隨機數加密後將結果返回給主機;與
此同時,運行於主機上的軟體也作同樣的加密運算。主機將這兩個結果進行對比,如果一致
,則准予登錄。
終端認證設備是指將各個終端唯一編碼,以利於主機識別的軟體及硬體系統。只有帶有
正確的網路介面卡(NIC)標識符的設備才允許登錄。
鏈路加密設備提供用於指導線路的最高程度的安全保障。此類系統中,加密盒置於線路
的兩端,這樣可確保傳送數據的可信性和完整性。唯一的加密密鑰可用於終端認證。
消息認證設備用於保證傳送消息的完整性。它們通常用於EFT等更加註重消息不被更改
的應用領域。一般採用基於DES的加密演算法產生MAC碼。
七、安全通信的控制
在第六部分中,我們就通信中採取的具體安全技術進行了較為詳細的討論。但很少涉及
安全通信的控制問題,如網路監控、安全審計、災難恢復、密鑰管理等。這里,我們將詳細
討論Micro-LAN-Mainframe網路環境中的用戶身份認證、伺服器認證及密鑰管理技術。這三
個方面是緊密結合在一起的。
1.基於Smartcards的用戶認證技術
用戶身份認證是網路安全的一個重要方面,傳統的基於口令的用戶認證是十分脆弱的。
Smartcards是一類一話一密的認證工具,它的實現基於令牌技術。其基本思想是擁有兩個一
致的、基於時間的加密演算法,且這兩個加密演算法是同步的。當用戶登錄時,Smartcards和遠
端系統同時對用戶鍵入的某一個系統提示的數進行運算(這個數時刻變化),如果兩邊運行結
果相同,則證明用戶是合法的。
在這一基本的Smartcards之上,還有一些變種,其實現原理是類似的。
2.kerboros用戶認證及保密通信方案
對於分布式系統而言,使用Smartcards,就需要為每一個遠地系統准備一個Smartcard,
這是十分繁瑣的,MIT設計與開發的kerboros用戶認證及保密通信方案實現了對用戶的透明
,和對用戶正在訪問的網路類型的免疫。它同時還可用於節點間的保密通信及數據完整性的
校驗。kerboros的核心是可信賴的第三方,即認證服務中心,它擁有每一個網路用戶的數據
加密密鑰,需要用戶認證的網路服務經服務中心注冊,且每一個此類服務持有與服務中心通
信的密鑰。
對一個用戶的認證分兩步進行,第一步,kerboros認證工作站上的某用戶;第二步,當該
用戶要訪問遠地系統伺服器時,kerboros起一個中介人的作用。
當用戶首次登錄時,工作站向伺服器發一個請求,使用的密鑰依據用戶口令產生。服務
中心在驗明用戶身份後,產生一個ticket,所使用的密鑰只適合於該ticket-granting服務。
此ticket包含用戶名、用戶IP地址、ticket-granting服務、當前時間、一個隨機產生的密
鑰等;服務中心然後將此ticket、會話密鑰用用戶密鑰加密後傳送給用戶;用戶將ticket解
密後,取出會話密鑰。當用戶想聯接某網路伺服器時,它首先向服務中心發一個請求,該請求
由兩部分組成,用戶先前收到的ticket和用戶的身份、IP地址、聯接伺服器名及一個時間值
,此信息用第一次傳回的會話密鑰加密。服務中心對ticket解密後,使用其中的會話密鑰對
用戶請求信息解密。然後,服務中心向該用戶提供一個可與它相聯接的伺服器通信的會話密
鑰及一個ticket,該ticket用於與伺服器通信。
kerboros方案基於私鑰體制,認證服務中心可能成為網路瓶頸,同時認證過程及密鑰管
理都十分復雜。
3.基於公鑰體制的用戶認證及保密通信方案
在ISO11568銀行業密鑰管理國際標准中,提出了一種基於公鑰體制,依託密鑰管理中心
而實現的密鑰管理方案。該方案中,通信雙方的會話密鑰的傳遞由密鑰管理中心完成,通信
雙方的身份由中心予以公證。這樣就造成了密鑰管理中心的超負荷運轉,使之成為網上瓶頸
,同時也有利於攻擊者利用流量分析確定網路所在地。
一個改進的方案是基於公鑰體制,依託密鑰認證中心而實現的密鑰管理方案。該方案中
,通信雙方會話密鑰的形成由雙方通過交換密鑰資料而自動完成,無須中心起中介作用,這樣
就減輕了中心的負擔,提高了效率。由於篇幅所限,這里不再展開討論。
八、結論
計算機網路技術的迅速發展要求相應的網路安全保障,一個信息系統安全體系結構的確
立有助於安全型信息系統的建設,一個具體的安全系統的建設是一項系統工程,一個明晰的
安全策略對於安全系統的建設至關重要,Micro-LAN-Mainframe網路環境的信息安全是相對
的,但其豐富的安全技術內涵是值得我們學習和借鑒的。
『叄』 雙代號網路圖與單代號網路圖怎麼看二級建造師考試的我都看不懂。
本文會以題帶點的形式,將雙代號網路圖進行360°無死角剖析。
1.概念題
涉及概念的考查是送分題,在雙代號網路圖中老師講過「三要素」,即箭線、節點及線路,那麼在這里箭線是需要大家重點區分的,箭線有實箭線和虛箭線之分,虛箭線代表的是虛工作,不佔用時間也不佔用資源,其作用是「聯系、區分、斷路」,三個小作用,大家別忽略,2015年一建就曾以多選形式進行考查。
2.繪圖規則識圖題(挑錯題)
遇到這種題,映入眼簾的就是9條繪圖規則,9條規則大家不用條條銘記於心,理解記憶就好,最常考的是(3)、(4)、(7)、(9)條,這幾條涉及箭線的應用問題,嚴禁出現帶雙向箭頭或無箭頭、沒有箭頭或沒有箭尾節點的箭線;起點節點和終點節點只有一個;節點編號順序從小到大、可不連續、但是不允許重復,大家將關鍵的幾條掌握啦,那麼分數也就到手啦。
3.識圖計算題
這種類型的題,涉及的就是時間參數的相關計算即最早開始、最早完成、最遲開始、最遲完成、總時差、自由時差。
①最早開始和最早完成
涉及這兩個參數的相關計算是非常簡單的,大家一般不會在這里出什麼差錯,但在這里需要提醒一下新上路的小夥伴,由於最早開始時間是受緊前工作制約的,所以緊前工作有多個的話,那麼取其最大值。順著箭線求到最後一項工作,其工期也可以計算出來啦。
②最遲開始和最遲完成
這兩個參數的計算比早開始和早完成難度加大了,這兩個參數是在前兩個時間參數的基礎上得來的,而且逆著箭線來求,許多小夥伴開始范迷糊了。由於這兩個時間參數是受緊後工作的制約的,因此緊後工作有多個的話,取其最小值。
③總時差和自由時差
這兩個時差其實是對於上面兩組時間參數的運用,總時差和自由時差的相關計算要結合相關定義來理解。
總時差是不影響總工期,因此其計算方式便是「最遲開始-最早開始」或「最遲完成-最早完成」,即早的不能再早的時間與晚的不能再晚的時間差就是總時差;
自由時差是不影響緊後工作的最早開始,其實是一種相對自由,即在完成了自身工作的同時,也不能影響其緊後工作的開始,因此計算方式便是「緊後工作最早開始-本工作最早完成」,簡記為「後早開-本早完」。
4.文字描述計算題
近幾年文字描述類型的題也是一大趨勢,大家看到這類題,不要覺得一團亂線,無從下手。遇到這類題,要根據題意把已知條件以簡圖的形式,將時間參數對號入座,一條清晰的脈絡立刻呈現,剩下的就是簡單的加減了。其實文字描述比識圖題就多了捋順參數這一步,骨子裡還是一家人。
考查題型及陷阱已為大家講解到位,希望大家將這個福利收入囊中,福傳萬家,祝您有個幸福年。
『肆』 關於網路的基礎知識
網路基礎知識
一.網路的定義及特點
計算機網路,就是把分布在不同地理區域的計算機與專門的外部設備用通信線路互連成一個規模大、功能強的網路系統,從而使眾多的計算機可以方便地互相傳遞信息,共享信息資源。
一般來說,計算機網路可以提供以下一些主要功能:
* 資源共享 網路的出現使資源共享變得很簡單,交流的雙方可以跨越時空的障礙,隨時隨地傳遞信息。
* 信息傳輸與集中處理 數據是通過網路傳遞到伺服器中,由伺服器集中處理後再回送到終端。
* 負載均衡與分布處理 負載均衡同樣是網路的一大特長。舉個典型的例子:一個大型ICP(Internet內容提供商)為了支持更多的用戶訪問他的網站,在全世界多個地方放置了相同內容的WWW伺服器;通過一定技巧使不同地域的用戶看到放置在離他最近的伺服器上的相同頁面,這樣來實現各伺服器的負荷均衡,同時用戶也省了不少冤枉路。
* 綜合信息服務 網路的一大發展趨勢是多維化,即在一套系統上提供集成的信息服務,包括來自政治、經濟、等各方面資源,甚至同時還提供多媒體信息,如圖象、語音、動畫等。在多維化發展的趨勢下,許多網路應用的新形式不斷涌現,如:
① 電子郵件——這應該是大家都得心應手的網路交流方式之一。發郵件時收件人不一定要在網上,但他只要在以後任意時候打開郵箱,都能看到屬於自己的來信。
② 網上交易——就是通過網路做生意。其中有一些是要通過網路直接結算,這就要求網路的安全性要比較高。
③ 視頻點播——這是一項新興的娛樂或學習項目,在智能小區、酒店或學校應用較多。它的形式跟電視選台有些相似,不同的是節目內容是通過網路傳遞的。
④ 聯機會議——也稱視頻會議,顧名思義就是通過網路開會。它與視頻點播的不同在於所有參與者都需主動向外發送圖像,為實現數據、圖像、聲音實時同傳,它對網路的處理速度提出了最高的要求。
以上對網路的功能只是略舉一二,我們將在以後的篇幅中用更詳盡的案例去充實大家對網路的理解。
網路的分類及組成
網路依據什麼劃分,又是如何組成的呢?
計算機網路的類型有很多,而且有不同的分類依據。網路按交換技術可分為:線路交換網、分組交換網;按傳輸技術可分為:廣播網、非廣播多路訪問網、點到點網;按拓樸結構可分為匯流排型、星型、環形、樹形、全網狀和部分網狀網路;按傳輸介質又可分為同軸電纜、雙紐線、光纖或衛星等所連成的網路。這里我們主要講述的是根據網路分布規模來劃分的網路:區域網、城域網、廣域網和網間網。
1. 區域網-LAN(Local Area Network)
將小區域內的各種通信設備互連在一起所形成的網路,覆蓋范圍一般局限在房間、大樓或園區內。區域網的特點是:距離短、延遲小、數據速率高、傳輸可靠。
目前常見的區域網類型包括:乙太網(Ethernet)、令牌環網 (Token Ring)、光纖分布式數據介面(FDDI)、非同步傳輸模式(ATM)等,它們在拓樸結構、傳輸介質、傳輸速率、數據格式等多方面都有許多不同。其中應用最廣泛的當屬乙太網—— 一種匯流排結構的LAN,是目前發展最迅速、也最經濟的區域網。
區域網的常用設備有:
* 網卡(NIC) 插在計算機主板插槽中,負責將用戶要傳遞的數據轉換為網路上其它設備能夠識別的格式,通過網路介質傳輸。它的主要技術參數為帶寬、匯流排方式、電氣介面方式等。
* 集線器(Hub) 是單一匯流排共享式設備,提供很多網路介面,負責將網路中多個計算機連在一起。所謂共享是指集線器所有埠共用一條數據匯流排,因此平均每用戶(埠)傳遞的數據量、速率等受活動用戶(埠)總數量的限制。它的主要性能參數有總帶寬、埠數、智能程度(是否支持網路管理)、擴展性(可否級聯和堆疊)等。
* 交換機(Switch) 也稱交換式集線器。它同樣具備許多介面,提供多個網路節點互連。但它的性能卻較共享集線器大為提高:相當於擁有多條匯流排,使各埠設備能獨立地作數據傳遞而不受其它設備影響,表現在用戶面前即是各埠有獨立、固定的帶寬。此外,交換機還具備集線器欠缺的功能,如數據過濾、網路分段、廣播控制等。
* 線纜 區域網的距離擴展需要通過線纜來實現,不同的區域網有不同連接線纜,如光纖、雙絞線、同軸電纜等。
2. 城域網- MAN(Metropolitan Area Network)
MAN的覆蓋范圍限於一個城市,目前對於市域網少有針對性的技術,一般根據實際情況通過區域網或廣域網來實現。
3. 廣域網-WAN(Wide Area Network)
WAN連接地理范圍較大,常常是一個國家或是一個洲。其目的是為了讓分布較遠的各區域網互連,所以它的結構又分為末端系統(兩端的用戶集合)和通信系統(中間鏈路)兩部分。通信系統是廣域網的關鍵,它主要有以下幾種:
* 公共電話網 即PSTN(Public Swithed Telephone Network),速度9600bps~28.8kbps,經壓縮後最高可達115.2kbps,傳輸介質是普通電話線。它的特點是費用低,易於建立,且分布廣泛。
* 綜合業務數字網 即ISDN(Integrated Service Digital Network),也是一種撥號連接方式。低速介面為128kbps(高速可達2M),它使用ISDN線路或通過電信局在普通電話線上加裝ISDN業務。ISDN為數字傳輸方式,具有連接迅速、傳輸可靠等特點,並支持對方號碼識別。ISDN話費較普通電話略高,但它的雙通道使其能同時支持兩路獨立的應用,是一項對個人或小型辦公室較適合的網路接入方式。
* 專線 即Leased Line,在中國稱為DDN,是一種點到點的連接方式,速度一般選擇64kbps~2.048Mbps。專線的好處是數據傳遞有較好的保障,帶寬恆定;但價格昂貴,而且點到點的結構不夠靈活。
* X.25網 是一種出現較早且依然應用廣泛的廣域網方式,速度為9600bps~64kbps;有 冗餘糾錯功能,可 靠性高,但由此帶來的副效應是速度慢,延遲大;
* 幀中繼 即Frame Relay,是在X.25基礎上發展起來的較新技術,速度一般選擇為64kbps~2.048Mbps。幀中繼的特點是靈活、彈性:可實現一點對 多點的連接,並且在數據量大時可超越約定速率傳送數據,是一種較好的商業用戶連接選擇。
*非同步傳輸模式 即ATM(Asynchronous Transfer Mode),是一種信元交換網路,最大特點的速率高、延遲小、傳輸質量有保障。ATM大多採用光纖作為連接介質,速率可高達上千兆(109bps),但成本也很高。
廣域網與區域網的區別在於:線路通常需要付費。多數企業不可能自己架設線路,而需要租用已有鏈路,故廣域網的大部分花費用在了這里。人們常常考慮如何優化使用帶寬,將「好刀用在刀刃上」。
廣域網常用設備有:
* 路由器(Router) 廣域網通信過程根據地址來尋找到達目的地的路徑,這個過程在廣域網中稱為"路由(Routing)"。路由器負責在各段廣域網和區域網間根據地址建立路由,將數據送到最終目的地。
* 數據機(Modem) 作為末端系統和通信系統之間信號轉換的設備,是廣域網中必不可少的設備之一。分為同步和非同步兩種,分別用來與路由器的同步和非同步串口相連接,同步可用於專線、幀中繼、X.25等,非同步用於PSTN的連接。
4. 網間網
即Internetwork,是一系列區域網和廣域網的組合,因此包含的技術也是現有的區域網和廣域網技術的綜合。Internet便是一個當前最大也最為典型的網間網。
二.協議的定義及意義
如何定義網路協議,它有哪些意義?
協議是對網路中設備以何種方式交換信息的一系列規定的組合,它對信息交換的速率、傳輸代碼、代碼結構、傳輸控制步驟、出錯控制等許多參數作出定義。
網路是一個相互聯結的大群體,因此要想加入到這個群體中來,就不能隨心所欲,任由興之所發。就好象一個國家或一個種族擁有自己的語言,大家都必須通曉並憑借這種語言來對話一樣,相互聯結的網路中各個節點也需要擁有共同的「語言」,依據它所定義的規則來控制數據的傳遞,這種語言便是大家經常聽說的 「協議」。協議是對網路中設備以何種方式交換信息的一系列規定的組合,它對信息交換的速率、傳輸代碼、代碼結構、傳輸控制步驟、出錯控制等許多參數作出定義。
對網路始入門者來說,紛繁復雜的協議常常讓人頭痛不已—這些協議各起什麼作用?它們之間又有什麼聯系?為什麼有了A協議還需要補充B協議?這些問題搞不清楚,往往成為進一步學習的障礙。其實這個問題應該這樣理解:是先有了各種不同語言的民族,後來隨著社會的發展,才有了不同民族間交流的需求。網路也是這樣,最初人們在小范圍內建立網路,只需要自己作一些簡單的約定,保證這一有限范圍內的用戶遵守就可以了;到後來網路規模越來越大,才考慮到制定更嚴格的規章制度即協議;而為了實現多個不同網路的互聯,又會增加不少新協議作為補充,或成長為統一的新標准。
數據在網路中由源傳輸到目的地,需要一系列的加工處理,為了便於理解,我們這里不妨打個比喻。如果我們把數據比做巧克力:我們可以把加工巧克力的設備作為源,而把消費者的手作為目的來看看會有什麼樣的傳輸過程。巧克力廠通常會為每塊巧克力外邊加上一層包裝,然後還會將若干巧克力裝入一個巧克力盒,再把幾個巧克力盒一起裝入一個外包裝,運輸公司還會把許多箱巧克力裝入一個集裝箱,到達消費者所在的城市後,又會由運輸商、批發商、零售商、消費者打開不同的包裝層。不同層次的包裝、解包裝需要不同的規范和設備,計算機網路也同樣有不同的封裝、傳輸層面,為此國際標准化組織ISO於1978 年提出「開放系統互連參考模型」,即著名的OSI(Open System Interconnection)七層模型,它將是我們後續篇幅中要介紹的內容,這里先不展開論述。 網路的協議就是用作這些不同的網路層的行為規范的。網路在發展過程中形成了很多不同的協議族,每一協議族都在網路的各層對應有相應的協議,其中作為Internet規范的是ICP/IP協議族,這也是我們今天要講的。
TCP/IP協議的定義以及層次、功能
什麼是TCP/IP協議,劃為幾層,各有什麼功能?
TCP/IP協議族包含了很多功能各異的子協議。為此我們也利用上文所述的分層的方式來剖析它的結構。TCP/IP層次模型共分為四層:應用層、傳輸層、網路層、數據鏈路層。
TCP/IP網路協議
TCP/IP(Transmission Control Protocol/Internet Protocol,傳輸控制協議/網間網協議)是目前世界上應用最為廣泛的協議,它的流行與Internet的迅猛發展密切相關—TCP/IP最初是為互聯網的原型ARPANET所設計的,目的是提供一整套方便實用、能應用於多種網路上的協議,事實證明TCP/IP做到了這一點,它使網路互聯變得容易起來,並且使越來越多的網路加入其中,成為Internet的事實標准。
* 應用層—應用層是所有用戶所面向的應用程序的統稱。ICP/IP協議族在這一層面有著很多協議來支持不同的應用,許多大家所熟悉的基於Internet的應用的實現就離不開這些協議。如我們進行萬維網(WWW)訪問用到了HTTP協議、文件傳輸用FTP協議、電子郵件發送用SMTP、域名的解析用DNS協議、 遠程登錄用Telnet協議等等,都是屬於TCP/IP應用層的;就用戶而言,看到的是由一個個軟體所構築的大多為圖形化的操作界面,而實際後台運行的便是上述協議。
* 傳輸層—這一層的的功能主要是提供應用程序間的通信,TCP/IP協議族在這一層的協議有TCP和UDP。
* 網路層—是TCP/IP協議族中非常關鍵的一層,主要定義了IP地址格式,從而能夠使得不同應用類型的數據在Internet上通暢地傳輸,IP協議就是一個網路層協議。
* 網路介面層—這是TCP/IP軟體的最低層,負責接收IP數據包並通過網路發送之,或者從網路上接收物理幀,抽出IP數據報,交給IP層。
1.TCP/UDP協議
TCP (Transmission Control Protocol)和UDP(User Datagram Protocol)協議屬於傳輸層協議。其中TCP提供IP環境下的數據可靠傳輸,它提供的服務包括數據流傳送、可靠性、有效流控、全雙工操作和多路復用。通過面向連接、端到端和可靠的數據包發送。通俗說,它是事先為所發送的數據開辟出連接好的通道,然後再進行數據發送;而UDP則不為IP提供可靠性、流控或差錯恢復功能。一般來說,TCP對應的是可靠性要求高的應用,而UDP對應的則是可靠性要求低、傳輸經濟的應用。TCP支持的應用協議主要有:Telnet、FTP、SMTP等;UDP支持的應用層協議主要有:NFS(網路文件系統)、SNMP(簡單網路管理協議)、DNS(主域名稱系統)、TFTP(通用文件傳輸協議)等。
IP協議的定義、IP地址的分類及特點
什麼是IP協議,IP地址如何表示,分為幾類,各有什麼特點?
為了便於定址和層次化地構造網路,IP地址被分為A、B、C、D、E五類,商業應用中只用到A、B、C三類。
IP協議(Internet Protocol)又稱互聯網協議,是支持網間互連的數據報協議,它與TCP協議(傳輸控制協議)一起構成了TCP/IP協議族的核心。它提供網間連接的完善功能, 包括IP數據報規定互連網路范圍內的IP地址格式。
Internet 上,為了實現連接到互聯網上的結點之間的通信,必須為每個結點(入網的計算機)分配一個地址,並且應當保證這個地址是全網唯一的,這便是IP地址。
目前的IP地址(IPv4:IP第4版本)由32個二進制位表示,每8位二進制數為一個整數,中間由小數點間隔,如159.226.41.98,整個IP地址空間有4組8位二進制數,由表示主機所在的網路的地址(類似部隊的編號)以及主機在該網路中的標識(如同士兵在該部隊的編號)共同組成。
為了便於定址和層次化的構造網路,IP地址被分為A、B、C、D、E五類,商業應用中只用到A、B、C三類。
* A類地址:A類地址的網路標識由第一組8位二進制數表示,網路中的主機標識佔3組8位二進制數,A類地址的特點是網路標識的第一位二進制數取值必須為「0」。不難算出,A類地址允許有126個網段,每個網路大約允許有1670萬台主機,通常分配給擁有大量主機的網路(如主幹網)。
* B類地址:B類地址的網路標識由前兩組8位二進制數表示,網路中的主機標識占兩組8位二進制數,B類地址的特點是網路標識的前兩位二進制數取值必須為「10」。B類地址允許有16384個網段,每個網路允許有65533台主機,適用於結點比較多的網路(如區域網)。
* C類地址:C類地址的網路標識由前3組8位二進制數表示,網路中主機標識佔1組8位二進制數,C類地址的特點是網路標識的前3位二進制數取值必須為「110」。具有C類地址的網路允許有254台主機,適用於結點比較少的網路(如校園網)。
為了便於記憶,通常習慣採用4個十進制數來表示一個IP地址,十進制數之間採用句點「.」予以分隔。這種IP地址的表示方法也被稱為點分十進製法。如以這種方式表示,A類網路的IP地址范圍為1.0.0.1-127.255.255.254;B類網路的IP地址范圍為:128.1.0.1-191.255.255.254;C類網路的IP地址范圍為:192.0.1.1-223.255.255.254。
由於網路地址緊張、主機地址相對過剩,採取子網掩碼的方式來指定網段號。
TCP/IP協議與低層的數據鏈路層和物理層無關,這也是TCP/IP的重要特點。正因為如此 ,它能廣泛地支持由低兩層協議構成的物理網路結構。目前已使用TCP/IP連接成洲際網、全國網與跨地區網。
三.網路發展簡史
是什麼促進了網路的發展?
縱觀近幾十年信息時代的風雲變換,人們可以了解網路的發展是與計算機、尤其是個人電腦(PC)的發展密切相關的。
第一台計算機誕生於1945年,標志著人類自學會使用工具的漫長歲月中,終於擁有了可以替代人類腦力勞動的「工具」;到六、七十年代,進而衍生出計算機互連系統—嚴格說來還算不上真正的網路—它是IBM和Digital的中央處理系統,網路主體是一台或多台大型主機,被隔離在一個相對封閉的機房(那時人們通常稱這種機房為「玻璃屋」),然後由一群身穿白大褂的工作人員小心維護;大多數網路用戶面對的是一台台非智能化的終端,所有對終端的操作都將通過低速鏈路傳遞到主機去進行處理,網路的效率主要由鏈路的速率和主機的性能決定。這樣的網路不是面向大眾的,僅局限於一些專業領域,如:金融行業、研究機構等。對大多數人而言,網路是陌生的、神秘的甚至是虛無縹緲的東西。
直到八十年代PC的出現,才給網路吹來一股清新之風—相對終端而言,PC具備自己的處理引擎(CPU)和文件存貯區域(硬碟),能夠裝載多種應用程序,獨立地完成許多工作,從而將強大的計算能力交到個人手裡;相對大型主機而言,這種輕便的機器內部結構大大簡化,其價格遠低於大型機,並且隨著批量生產和技術的迅速成熟還在不斷下降,使越來越多的用戶能享受到這種智能設備帶來的迅速、方便、功能強大的服務。因此可以說PC的出現首先是滿足了個人用戶信息處理的需要。但與個人信息處理緊密相聯的便是信息的交換,於是聯網的需求應運而生—人們購買網路設備和連線,在自己的辦公室內搭建起區域網,實現本地通訊;為了擴展網路距離,又向提供服務的電話公司租用電話線或其它線路,在城市的各個角落甚至城市之間建立起廣域網;再進一步發展下去,又出現了一類專門的服務行業,可以通過主幹連接將原本隔離的多個網路互聯起來,構成跨越國度的網際網。在這一過程中,Internet(國際互聯網)的蓬勃興起毫無疑問地成為網路技術成長的催化劑。
Internet發展簡史
Internet是如何演變的?
Internet的應用范圍由最早的軍事、國防,擴展到美國國內的學術機構,進而迅速覆蓋了全球的各個領域,運營性質也由科研、教育為主逐漸轉向商業化。
在科學研究中,經常碰到「種瓜得豆」的事情,Internet的出現也正是如此:它的原型是1969年美國國防部遠景研究規劃局(Advanced Research Projects Agency)為軍事實驗用而建立的網路,名為ARPANET,初期只有四台主機,其設計目標是當網路中的一部分因戰爭原因遭到破 壞時,其餘部分仍能正常運行;80年代初期ARPA和美國國防部通信局研製成功用於異構網路的 TCP/IP協議並投入使用;1986年在美國國會科學基金會(National Science Foundation)的支持下,用高速通信線路把 分布在各地的一些超級計算機連接起來,以NFSNET接替ARPANET;進而又經過十幾年的發展形成Internet。其應用范圍也由最早的軍事、國防,擴展到美國國內的學術機構,進而迅速覆蓋了全球的各個領域,運營性質也由科研、教育為主逐漸轉向商業化。
90年代初,中國作為第71個國家級網加入Internet,目前,Internet已經在我國開放,通過中國公用互連網路(CHINANET)或中國教育科研計算機網(CERNET)都可與Internet聯通。只要有一台微機,一部數據機和一部國內直撥電話就能夠很方便地享受到Internet的資源;這是Internet逐步"爬"入普通人家的原因之一;原因之二,友好的用戶界面、豐富的信息資源、貼近生活的人情化感受使非專業的家庭用戶既做到應用自如,又能大飽眼福,甚至利用它為自己的工作、學習、生活錦上添花,真正做到"足不出戶,可成就天下事,瀟灑作當代人"。
網路的神奇作用吸引著越來越多的用戶加入其中,正因如此,網路的承受能力也面臨著越來越嚴峻的考驗—從硬體上、軟體上、所用標准上......,各項技術都需要適時應勢,對應發展,這正是網路迅速走向進步的催化劑。到了今天,Internet能夠負擔如此眾多用戶的參與,說明我們的網路技術已經成長到了相當成熟的地步,用戶自己也能耳聞目睹不斷涌現的新名詞、新概念。但這還不是終結,僅僅是歷史長河的一段新紀元的開始而已。
Internet的應用集錦
Internet可為我們做哪些事?
Internet如此美妙,初入門者不免好奇:它究竟可以為我們做哪些事?總的說來,Internet是一套通過網路來完成有用的通訊任務的應用程序,下面的篇幅將從應用入手,展示Internet的幾項最廣為流行的功能,它包括:電子郵件、WWW、文件傳輸、遠程登 錄、新聞組、信息查詢等。
1.電子郵件(Email)
有了通達全球的Internet後,人們首先想到的是可以利用它來提供個人之間的通信,而且這種通信應能兼具電話的速度和郵政的可靠性等優點。這種思路生根發芽成長起來,最終得到的果實便是Email。通過它,每人都可以有自己的私有信箱,用以儲存已收到但還未來得及閱讀的信件,Email地址包括用戶名加上主機名,並在中間用@符號隔開,如 [email protected] 。
從最初的兩人之間的通信,如今的電子郵件軟體能夠實現更為復雜、多樣的服務,包括:一對多的發信,信件的轉發和回復,在信件中包含聲音、圖像等多媒體信息等;甚至可以做到只要有你的郵件到達,掛在你身上的BP機就嘀嘀作響發出提示;人們還可以象訂購報刊雜志一樣在網上訂購所需的信息,通過電子郵件定期送到自己面前。
2.WWW
World Wide Web(通常被稱為WWW)在中文裡常被譯作「萬維網」,除發音相近外,也體現了其變化萬千的內涵。用戶藉助於一個瀏覽器軟體,在地址欄里輸入所要查看的頁面地址(或域名),就可以連接到該地址所指向的WWW伺服器,從中查找所需的圖文信息。WWW訪問的感覺有些象逛大商場,既可以漫無邊際地徜徉,也可以奔著一個目標前進;但不論如何,當用戶最終獲得想要的內容時,也許已經跨越了千山萬水,故有時我們也稱之為「Web沖浪」。
WWW伺服器所存貯的頁面內容是用HTML語言(Hyper Text Mark-up Language)書寫的,它通過HTTP協議(Hyper Text Transfering Protocol)傳送到用戶處。
3.文件傳輸(FTP)
盡管電子郵件也能傳送文件,但它一般用於簡訊息傳遞。Internet提供了稱作FTP(File Transfer Protocol)的文件傳輸應用程序,使用戶能發送或接收非常大的數據文件:當用戶發出FTP命令,連接到FTP伺服器後,可以輸入命令顯示伺服器存貯的文件目錄,或從某個目錄拷貝文件,通過網路傳遞到自己的計算機中。
FTP伺服器提供了一種驗證用戶許可權的方法(用到用戶名、密碼),限制非授權用戶的訪問。不過,很多系統管理員為了擴大影響,打開了匿名ftp服務設置——匿名ftp允許沒有注冊名或口令的用戶在機器上存取指定的文件,它用到的特殊用戶名為「anonymous」。
4.遠程登錄(Remote Login)
遠程登錄允許用戶從一台機器連接到遠程的另一台機器上,並建立一個交互的登錄連接。登錄後,用戶的每次擊鍵都傳遞到遠程主機,由遠程主機處理後將字元回送到本地的機器中, 看起來彷彿用戶直接在對這台遠程主機操作一樣。遠程登錄通常也要有效的登錄帳號來接受對方主機的認證。常用的登錄程序有TELNET、RLOGIN等。
5.Usenet新聞組
Usenet新聞是Internet上的討論小組或公告牌系統(BBS)。Usenet在一套名為"新聞組"的標題下組織討論,用戶可以閱讀別人發送的新聞或發表自己的文章。新聞組包括數十大類、數千組"新聞",平均每一組每天都有成百上千條"新聞"公布出來。新聞組的介入方式也非常隨便,你可以在上面高談闊論、問問題,或者只看別人的談論。
上面所列舉的僅是Internet文化長廊中的主要內容,但絕不是全部。Internet永遠是在不斷發展、推陳出新的,這將是我們下一篇的內容——Internet的發展趨勢。
四.Internet發展面臨的問題
Internet的發展正面臨哪些困境?
在上篇中我們講述了Internet的發展簡史和它的方方面面的應用。正是由於Internet的豐富多彩,才會吸引越來越多的人加入其中:對用戶而言,Internet正一步步滲透到我們工作、生活的各個方面,極大地改變了長久以來形成的傳統思維和生活方式;而對Internet而言,用戶的積極參與使得這一全球通行的網路迅速膨脹起來,用戶對它的需求也不斷升級,使Internet的耐受力面臨帶寬的短缺、IP地址資源匱乏等嚴峻考驗。
1.帶寬的短缺
據1995年年中的估計, 有150多個國家和地區的6萬多個網路同Internet聯結, 入網計算機約450萬台, 直接使用Internet的用戶達4000萬人。而到今天,Internet已經開通到全世界大多數國家和地區,幾乎每隔三十分鍾就有一個新的網路連入,主機數量每年翻兩番,用戶數量每月增長百分之十,預計到本世紀末和下世紀初, Internet將連接近億台計算機, 達到以十億計的用戶。而對更遠的將來,人們很難精確估計。不管怎麼說,這些數字已足以說明Internet的危機所在:就好象一根懸掛了很多重物的鋼絲繩,重量增加了,繩子就有斷裂的危險;而用戶在Internet上的游歷實際上要走過很多根這樣的「鋼絲繩」,用戶越多,繩子的負載越重,其中任一根不結實,都會成為瓶頸,導致網路訪問的失敗。因此,「鋼絲繩」的加固—帶寬容量的增加勢在必行,從Internet主幹到分支,直至最終用戶的接入,都出現了許多成熟的或正在發展的鏈路技術來實現這項需求,我們將在後文著重介紹其中用戶最為關心的幾種接入技術。
2. IP地址資源的匱乏
我們曾介紹了IP地址的格式和分類,這里所指的都是現行的IPv4—它是一個32位二進制數,因此總地址容量為232,也即有數億個左右。而按照TCP/IP協議(同很多其它協議一樣)的規定,相互聯接的網路中每一個節點都必須有自己獨一無二的地址來作為標識,那麼很顯然,相對前文日益增長的用戶數,現有IP地址資源已不堪重負,很快將被用光—有預測表明,以目前Internet發展速度計算,所有IPv4地址將在2005~2010年間分配完畢。
解決IP地址缺乏的辦法之一是想辦法延緩資源耗盡