WiFi不安全?如何设置防止无线网络泄密
现在使用无线局域网的单位是越来越多了,随便拿着笔记本电脑在办公大楼里走上一圈,我们就能轻易找到不少无线上网信号。可是,这些无线上网信号中或多或少地存在一些安全隐患,稍微熟悉无线网络的非法攻击者只要通过一些简单操作,就能借助无线网络轻而易举地获取单位局域网中的隐私信息,那样的话没有采取任何安全防范措施的无线网络自然就会成为信息泄密“通道”。那么我们究竟该怎样才能保护无线局域网的安全,拒绝该网络成为对外泄密“通道”呢?其实,我们可以采取多项限制措施,阻止非法攻击者随意通过无线局域网偷窃网络中的隐私信息。
一、对无线设备进行限制
也许有人会问,该如何对无线设备进行限制呢?难道一定要把本地无线局域网中的无线节点设备锁定起来吗?事实上,对于许多型号的无线节点设备来说,它们在刚刚出厂时使用的缺省密码几乎是完全相同的,所以要是我们没有及时将本地无线局域网中的无线节点设备密码更改掉的话,那么一些非法攻击者可能会非常轻松地用缺省的用户名以及密码进入到本地无线节点设备上,从而拥有本地无线局域网的所有管理权限,到后来,我们有时会遇到自己也无法登录本地无线局域网的尴尬局面。要想限制非法用户使用本地的无线节点设备,我们必须记得在第一时间对本地的无线节点设备进行密码限制,使用比较复杂的密码来替代默认的密码,不然的话就相当于将自己的无线网络管理权拱手交给非法攻击者一样。
我们只要登录进本地无线节点设备的后台管理界面,找到密码设置选项,输入比较复杂的密码,这样一来就能有效限制非法用户随意使用无线节点设备的目的了。这种限制方法与Windows系统设置保护密码是一样的,经过加密限制的无线设备就会拒绝非法攻击者随意偷窃本地无线网络中的隐私内容了。
现在,我们就以TL-WR541G型号的TP-LINK无线路由器为例,向各位朋友详细介绍一下对无线节点设备进行密码限制的具体操作步骤:
首先在本地工作站系统中运行IE浏览器程序,在弹出的浏览器地址框中输入无线路由器默认的IP地址,该地址一般会在无线节点设备的操作说明书中找到,例如TP-LINK无线路由器使用的默认IP地址常常为192.168.1.1。在确认IP地址输入正确后,单击回车键后,打开无线节点设备的后台登录界面,在该界面的“用户名”文本框中输入“admin”,并且将默认密码设置为空,再单击“确定”按钮登录进无线节点设备的后台登录界面。
在该后台界面的左侧显示区域,用鼠标展开“系统工具”分支,从中单击“修改登录口令”选项,在对应“修改登录口令”选项的右侧显示区域,先将无线节点设备的原用户名、密码正确输入一遍,接着正确将新的用户名与密码填写在“新用户名”和“新口令”文本框中,最后单击“保存”按钮就可以了。日后,我们需要再次对本地无线局域网的上网参数进行管理时,就必须使用新的用户名和密码登录无线节点设备的后台管理界面了,并且新的用户名和密码信息最好不要让其他人知道,以避免其他人将密码信息泄露出去。
当然,要是我们发现本地无线局域网中的节点设备已经被非法攻击者加密,自己不能正常进入本地无线局域网时,我们可以强行将无线节点设备的参数设置恢复到默认状态,具体恢复方法可以查看对应无线节点设备的操作说明书,通常情况下我们只要按下无线节点设备控制面板中的reset功能按钮来完成参数设置恢复任务。
二、对无线网卡进行限制
我们知道,普通工作站往往要通过无线网卡设备才能访问到附近的无线局域网网络,而无线网卡设备与有线网卡设备一样,都通过MAC地址对自己的“身份”进行标识,可以说MAC地址是网卡设备的唯一标识。因此,我们要想拒绝非法用户通过无线网卡设备接入到本地无线网络中时,完全可以将本地工作站的无线网卡设备MAC地址手工加入到无线路由器设备允许访问范围中,而那些没有加入允许访问范围中的MAC地址所对应的无线网卡设备自然就不能访问无线路由器设备了。
对无线网卡进行限制,其实就是在无线路由器设备的后台管理界面中正确设置好MAC地址过滤参数,从而从根本上拒绝非法攻击者使用无线网络偷窃隐私信息。由于过滤MAC地址这种方法对交换设备的使用要求不高,同时不影响网络的整体运行性能,设置起来也很简单,所以这种方法一般适合规模较小的无线网络和普通家庭使用。过滤MAC地址这种方法其实是通过事先在无线节点设备中正确导入合法的MAC地址列表,只有当普通工作站的MAC地址与合法MAC地址表中的内容完全匹配时,无线节点设备才允许普通工作站与无线网络进行通信。
在对无线网卡设备进行限制之前,我们需要先查看一下本地工作站使用的无线网卡设备MAC地址;在获取本地无线网卡设备MAC地址信息时,我们可以在本地工作站系统桌面中,依次单击“开始”/“运行”命令,在其后出现的系统运行对话框中,输入字符串命令“cmd”,单击“确定”按钮后,将系统运行状态切换到MS_DOS窗口。在该窗口的命令提示符下,输入字符串命令“ipconfig/all”,单击回车键后,我们就能从其后的结果界面中看到本地无线网卡设备的MAC地址了。
得到本地工作站的无线网卡MAC地址后,我们再登录进无线路由器设备的后台管理界面,在该管理界面的左侧显示区域,用鼠标展开“安全设置”分支,在该分支下面选中“MAC地址过滤”选项,在对应“MAC地址过滤”选项的右侧显示区域,单击“添加新条目”按钮,并且在其后界面中正确输入本地工作站的无线网卡MAC地址,同时将状态参数设置为“生效”,最后单击对应设置页面中的“保存”按钮。
为了让MAC地址过滤功能真正生效,我们还需要返回到“安全设置”分支上,并重新选中该分支下面的“防火墙设置”选项,在对应“防火墙设置”选项的右侧显示区域,将“开启MAC地址过滤”项目选中,同时选中对应设置页面中的“缺省过滤规则”选项。考虑到我们要限制无线节点设备只能让本地无线网卡设备访问无线网络,因此我们还需要将过滤规则调整为“仅允许已设MAC地址列表中已启用的MAC地址访问Internet”,如此一来非法攻击者的网卡设备或没有加入到地址过滤列表中的无线网卡设备就不能正常访问无线网络了,那样的话无线网络就不会成为对外泄露信息的“通道”了。
三、对传输数据进行限制
通过无线局域网传输的数据信号在空中来回传输,要是不对它们进行加密限制的话,稍微懂得无线网络知识的非法攻击者都能轻松地将正在传输的数据信号捕获和破解掉,如此一来通过无线网络传输的数据信号就可能被非法攻击者窃取到,为此我们有必要对传输的数据信号进行加密限制,以便阻止非法攻击者轻易窃取到其中的内容。
目前,我们最常使用的数据加密限制方式为WEP加密技术,这种加密技术能够对每一个连接无线网络的用户进行身份识别,并且对数据内容直接进行加密限制。不过,在默认状态下不少无线节点设备都会禁止使用WEP加密技术,那样一来非法攻击者就能轻松扫描到各类无线网络信息,同时能将捕获到的无线数据内容轻松破解掉,所以我们必须及时修改无线节点设备的数据加密参数,确保对无线上网信号进行安全加密。现在笔者以TL-WR541G型号的TP-LINK无线路由器为例,向各位朋友详细介绍如何对传输数据进行加密限制:
首先在本地工作站系统中运行IE浏览器程序,在弹出的浏览窗口地址栏中输入无线路由器的后台管理IP地址,单击回车键后,打开无线路由器设备的后台登录界面,在该界面中输入正确的用户名和密码信息,再单击“确定”按钮打开无线路由器后台管理界面;
其次在无线路由器后台管理界面的左侧显示区域,用鼠标展开“无线参数”分支,再选中该分支下面的“基本设置”选项,在对应“基本设置”选项的右侧显示区域,检查一下“开启安全设置”项目是否处于选中状态,要是发现该项目还没有被选中时,那我们必须及时将它重新选中。之后,在“安全类型”下拉列表框中选择“WEP”项目,并且在“安全选项”下拉列表中选择“自动选择”,同时将密码格式选择调整为“16进制”,将密钥类型调整为“启用”,再在密钥内容文本框中输入一段10位字符信息,该字符信息就是具体的数据加密密码,非法攻击者不知道该密码就无法破解传输的数据信号。
完成上面的设置操作后,执行“保存”操作,并且关闭无线路由器后台管理界面。下面,我们还需要打开本地工作站的无线网络连接属性设置界面,并且在该设置界面中设置好WEP加密内容,才能够确保本地工作站顺利访问单位的无线局域网网络。而本地无线局域网之外的非法攻击者由于不知道WEP加密内容,他们自然就不能通过本地无线网络窃取隐私信息了。
小提示:
由于WEP技术有明显安全漏洞,如果我们想追求更高级别的安全保护时,可以采用WPA技术对无线传输信号进行加密限制,因为WPA技术采用了更为“强壮”的生成算法,我们用鼠标单击一次信息包时,它的密钥内容就会自动变化一次。启用WPA加密技术保护本地无线局域网网络的操作也很简单,我们只要在无线路由器后台管理界面的左侧显示区域,用鼠标展开“无线参数”分支,再选中该分支下面的“基本设置”选项,在对应“基本设置”选项的右侧显示区域,将“安全类型”参数设置为“WPA”或“WPA-PSK”;之后将“加密方式”设置为“TKIP”,同时将PSK密码设置好,完成密码设置任务后,再执行保存操作,这样的话我们就为本地无线网络成功启用了WPA加密协议。
同样地,为了让无线网络中的工作站能够顺利地访问已经加密了的无线网络,我们也需要对工作站的无线上网参数进行合适设置。在对普通工作站配置无线上网参数时,我们可以依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右键单击无线网卡设备对应的网络连接图标,从弹出的快捷菜单中执行“属性”命令,打开无线网络连接属性设置窗口;单击该窗口中的“无线网络配置”选项卡,在对应的选项设置页面中找到“首选网络”设置项,并从中找到目标无线网络节点,再单击对应页面中的“属性”按钮;之后进入到“关联”选项设置页面,选中该页面“网络验证”设置项处的“WPA”或“WPA-PSK”选项,同时将“数据加密”参数调整为“TKIP”,再在“网络密钥”设置项处正确输入之前设置的PSK密码,最后单击“确定”按钮完成工作站无线上网参数的设置操作。
四、对SSID标识进行限制
SSID标识其实指的就是本地无线局域网网络的名称,该名称的作用就是用来区分不同无线网络的。一般情况下,无线节点设备在出厂时都有一个默认的SSID标识,如果我们不及时修改这种SSID标识信息,那么本地的无线局域网网络可能就会与其他无线网络发生冲突,引起的直接后果是普通工作站一不小心就能登录连接到其他无线网络中,很显然不对SSID标识进行限制,也会给无线网络的使用带来安全麻烦。
此外,我们还要记得对本地无线网络的SSID标识传播方式进行合适设置,因为无线节点设备在缺省状态下会将SSID设置广播传送方式,在这种工作状态下,本地无线局域网中的所有无线工作站都能利用信号扫描手段搜索到本地网络的SSID名称,所以我们必须及时调整SSID默认名称同时禁止SSID标识进行广播。
现在笔者以TL-WR541G型号的TP-LINK无线路由器为例,向各位朋友详细介绍如何对SSID标识进行加密限制:首先在本地工作站系统中运行IE浏览器程序,在弹出的浏览窗口地址栏中输入无线路由器的后台管理IP地址,单击回车键后,打开无线路由器设备的后台登录界面,在该界面中输入正确的用户名和密码信息,再单击“确定”按钮打开无线路由器后台管理界面;
其次在无线路由器后台管理界面的左侧显示区域,用鼠标展开“无线参数”分支,再选中该分支下面的“基本设置”选项,在对应“基本设置”选项的右侧显示区域,我们会看到本地无线网络使用的默认SSID参数,使用手工方法直接对该参数进行修改,以避免和其他无线局域网网络产生直接冲突;
在将本地无线网络的SSID标识名称修改好后,我们需要修改SSID的传送方式,以便禁止本地无线网络的SSID名称随意广播。在修改SSID名称的传送方式时,我们可以在无线路由器后台管理界面的左侧显示区域,依次单击“无线参数”/“基本设置”分支选项,在对应“基本设置”分支选项的右侧显示区域,检查“容许SSID广播”项目是否处于选中状态,要是发现该项目已经被选中时,我们必须及时取消它的选中状态,最后执行“保存”操作,这样的话一方面本地无线网络不会和其他无线网络发生冲突,另外一方面也能有效防止非法攻击者轻易搜索到本地无线网络的SSID名称。
当然,需要提醒各位注意的是,在一个无线网络中即使我们将SSID广播方式临时关闭掉了,但是这并不能保证本地无线网络的SSID名称不会被非法攻击者搜索到,因为非法攻击者可以借助Kismet之类的专业检测工具,来轻易搜索到无线网络的SSID名称信息
Web站点安全八要素
在政府和企业上网中,建立一个Web网站是不可缺少的重要内容之一,但是,通常他们面临着比其他网站更多的威胁,因此,建立一个安全的信息发布平台是至关重要的。这就要求这些用户必须对Web服务器的安全性有全面的认识。上海广电应确信有限公司(SVA Networks)全面分析了网络安全的各个方面,提出“内外兼修”的安全信息发布平台。从信息发布平台内部来看,应该做到:
1、增强服务器操作系统的安全,密切关注并及时安装系统及软件的最新补丁;建立良好的账号管理制度,使用足够安全的口令,并正确设置用户访问权限。
2、恰当地配置Web服务器,只保留必要的服务,删除和关闭无用的或不必要的服务。因为,启动不必要的服务可能使他人获得你的系统信息,甚至获取密码文件。
3、对服务器进行远程管理时,使用如SSL等安全协议,避免使用Telnet、FTP等程序,因为这些程序是以明文形式传输密码的,容易被监听;并严格控制远程root身份的使用,仅在绝对需要时,才允许使用具有高授权的操作。
4、禁止或限制cgi程序和asp、php脚本程序的使用。因为,这些程序会带来系统的安全隐患,而且,某些脚本程序本身就存在安全漏洞。
同时构建一个安全的服务器外部环境:
1、使用防火墙及壁垒主机,对数据包进行过滤,禁止某些地址对服务器的某些服务的访问,并在外部网络和Web服务器中建立双层防护。利用防火墙,将服务器中没有必要从防火墙外面访问的服务及端口阻隔,进一步增强开放的服务的安全性。
2、使用入侵检测系统,监视系统、事件、安全记录和系统日志,以及网络中的数据包,对危险和恶意访问进行阻断、报警等响应。
3、使用漏洞扫描和安全评估软件,对整个网络进行全面的扫描、分析和评估,从用户账号约束、口令系统、访问控制、系统监测、数据完整、数据加密等多方面进行安全分析和审计。建立和提高用户的安全策略,及时发现并弥补安全漏洞。
4、在网关和服务器上使用多层次的防病毒系统,尤其对于允许上传和交互信息发布的服务器来说,防止病毒及木马程序的侵入是保证服务器系统安全的一个关键。
Web威胁肆虐主动式防御导2008年安全
近日,网络安全厂商趋势科技发布了2007年度的“金毒奖”,得奖名单反映了Web 威胁时代全面来临,得奖项目几乎都与 web 网页威胁有关。目前,全球因特网用户已达13.5亿,大部分用户也都会利用网络进行购物、银行转帐支付和各种软件下载。而近年来互联网的环境发生了很大的变化,Web2.0成为互联网热门的概念,Web 2.0相关技术和应用的发展使得在线协作、共享更加方便。Web2.0技术主要包括:博客(BLOG)、播客、RSS、百科全书(Wiki)、P2P、即时信息(IM)等。在我们享受便捷的网络同时,网络环境也变得越来越危险。
其中,Web威胁正在极力表现它的“逐利性”,成为当前网络威胁最突出的代表。近年来类似Melia、I love You等这些扩散全球性的“大”病毒屈指可数,取而代之的是无声无息的Web 威胁,它们共同的特性是窃取数据加以贩卖。在中国本土更发展出区域性的病毒,如“熊猫烧香”、“灰鸽子”、“ANI蠕虫”,根据《中国经济周刊》报导,遭植入“灰鸽子”病毒的计算机,可能高达二千万台。
传统防护效果越来越差,难防Web威胁
由于新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点,员工对互联网的依赖性使得公司网络比以往更加容易受到攻击。正因为如此,普通的浏览网页都变成了一件带有极大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入网络,从而对公司数据资产、行业信誉和关键业务构成极大威胁。据Gartner 统计,到2009年,企业由于定向攻击遭受的损失将至少5倍于其它事件造成的损失。而面对Web威胁,传统的安全防护手段已经不能满足保护网络的要求了。
据趋势科技统计,目前40%的病毒会自我加密或采用特殊程序压缩;90%的病毒以HTTP为传播途径;60%的病毒以SMTP为传播途径;50%的病毒会利用开机自动执行或自动联上恶意网站下载病毒。这些数据表明,威胁正往定向、复合式攻击发展,其中一种攻击会包括多种威胁,比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客等,造成拒绝服务、服务劫持、信息泄露或篡改等危害。另外,复合攻击也加大了收集所有“样本”的难度,造成的损害也是多方面的,潜伏期难以预测,甚至可以远程可控地发作。
随着多形态攻击的数量越来越多,传统防护手段的安全效果也越来越差,总是处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。面对来势汹汹的新型Web威胁,传统的防护模式已经过于陈旧。比如沿袭多年的反病毒主流技术依然是“特征码查杀”,其工作流程是“截获-处理-升级”。虽然这种技术已经非常成熟可靠,但是随着病毒爆发的生命周期越来越短,传统的安全系统防御模型——被动式响应更是滞后于病毒的传播。即使利用市场上现有最快速的反病毒系统和服务机制,企业仍然会时刻面临较大的风险和损失。因为服务方往往无法及早和完整地介入整个新病毒事件。面对目前通过Web传播的复合式攻击,无论是代码比对、行为分析、内容过滤,还是端口封闭、统计分析,都表现的无能为力。单一的安全产品在对付复合攻击时也明显的力不从心。
2008主动式防御 粉碎Web威胁迫害
趋势科技认为,面对新型Web威胁,应该实时不间断的监测防病毒环境,从历史趋势和当前情况两个方面同时审视病毒的威胁和活动情况,以及防护的级别和有效性。趋势科技Web 信誉服务,可以最快速地侦测到正在发生的危险,又可以有针对性的响应周期提高到最快速度,最快速的提供解决方案。
面对复杂的Web威胁,企业需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。这给了主动防御施展的空间。针对全新的各类安全威胁和攻击,主动式服务防护体系也将最终帮助客户有效监管和达到三个根本性的健康指标要求:灾情频率、停机时间、影响范围都将大幅度缩减。
比如某银行计算机网络系统经过多年建设,目前形成了总行、南北数据中心、40多家一级行、上百家支行的多层次树状广域网结构。该银行网络覆盖范围大,全行目前可统计的网络节点在20万点以上。而通过趋势科技防毒监控中心服务MOC、Web防病毒网关、邮件防毒网关、专家服务等多种方案,完成了由点及面,全方位检测病毒动向,主动发现病毒威胁并自动采取应对方案的病毒防范工作,取得了良好的效果。
主动式动态安全平台也会伴随着企业需求的增多,逐渐体现出它的威力。通过主动式服务防护体系的构建,企业可以获得的长期效果和回报是:无论是安全风险、损失,还是成本投入,还是业务连续性,都进入可控的、平缓的范围。无论是媒体还是安全厂商,都把2008年称作了“主动防御”年。主动防御技术在经过了几年的完善和成熟之后,在2008年也将最终爆发出自己巨大的能量。
Web网络内容安全过滤需注重多层次管理
保护企业免遭互联网威胁的最集中的硬件设备解决方案,除了集成最佳的URL过滤、WEB应用报告、实时监控以及内部威胁清除等功能之外,还应该包括多层次管理功能。当拥有分公司/子公司分布在各个不同城市或国家的中大型企业希望在公司大方向的安全策略下,给予不同分公司或子公司某种程度权限修改其适合的安全策略时,就需要采用分层管理功能协助企业完成目标。单一的管理层仅适用于独立企业集中管理的安全策略,无法因应不同分公司与子公司的Web需求,也会增加总公司IT人员的工作负担。
多层次管理功能应包含全球管理员、群组管理员、最低过滤级别、群组、子群组、检测范围、特别帐户、同步集中控制管理等方面。其中,全球管理员(Global Administrator)是一个拥有所有过滤设备绝对控制权的帐户。全球管理员能够根据公司安全策略,在Web内容安全过滤设备上建立不同的群组,并且再为每个群组建立一个小组。全球管理员能够无限制地控制所有Web内容安全过滤设备的功能。
群组管理员由全球管理员建立。在全球管理员授权修改的安全策略范围内,群组管理员帐户可以针对群组的需求修改适合的安全策略。群组管理员所修改的安全策略仅能影响到这个帐户所管理群组。每一个群组,可以只设立一个小组管理员账户。
最低过滤级别(Minimum Filtering Level (MFL))是由全球管理员定订的过滤级别。最低过滤级别是全公司无论哪一个群组必须一致执行的最低标准策略。例如,当公司定订最低限度的安全策略标准是过滤色情与信息安全威胁相关类别,群组管理员就不能够从该群组的过滤器设备中取消任何与色情和信息安全威胁类别相关的安全策略,仅能针对其它类别订定适合的安全策略。当公司要全面实行安全使用政的同时,又希望给予各群组某种程度的修改权限时,MFL就非常有用。下游的群组管理员可以增加最低过滤级别的类别,但是无法清除由全球管理员订定的最低过滤级别的。
群组的定义是由全球管理员设定的一群使用者。例如:全球管理员可以设定子网络 10.10.10.0/24 为一个群组。全球管理员或群组管理员均可以建立一个子群组。子群组用于更进一步描述小组的成员。以上面的例子为例,如果子群组以子网10.10.10.0 /24订定为一个群组,在这个群组下可以再创造子群组,例如10.10.10.0 /25和10.10.10.129 /25 。全球管理员可以确切判断某一个IP地址是来自哪一个网域。
特别帐户是一个用户名/密码,由全球管理员或群组管理员创建。其目的是要允许某其帐户可以不受安全使用策略的限制,造访任何网站。全球管理员可以选择允许特别帐户绕过最低过滤级别,也可以选择特别帐户仅受最低过滤级别限制。特别帐户可以分配给任何使用者。
当公司配置多台过滤设备时,可允许过滤设备之间建立主从关系,同步集中控制管理所有过滤设备。当主要的过滤设备有任何改变时,附属机上也会体现出来。这项功能在多台过滤设备环境下非常有帮助,管理员可以免除手动一一变更设定的作法。
既然我们了解了分层管理的功能,那么分层管理在实际的工作中有哪些用途呢?不妨以案例来说明。举例,一个有5所小学、3所中学和2所高中的学区办公室拥有T3互联网入口,利用T1连接每所学校。所有互联网接入必须通过学区办公室的端口连接互联网。学区有可接受使用策略,所有学生和学区员工均不得访问被分类为色情、R级、赌博、非教育性在线游戏、基于互联网的电子邮件、暴力和歧视、酒、违禁药品、邪教和骇客相关的所有网站。然而,可接受使用策略中有一个例外:若经校长同意,学区里学校的心理辅导师以及顾问为了提升学生品质以研究为目的,可以访问被限制的网站。
Web内容安全过滤需注重多层次管理
保护企业免遭互联网威胁的最集中的硬件设备解决方案,除了集成最佳的URL过滤、WEB应用报告、实时监控以及内部威胁清除等功能之外,还应该包括多层次管理功能。当拥有分公司/子公司分布在各个不同城市或国家的中大型企业希望在公司大方向的安全策略下,给予不同分公司或子公司某种程度权限修改其适合的安全策略时,就需要采用分层管理功能协助企业完成目标。单一的管理层仅适用于独立企业集中管理的安全策略,无法因应不同分公司与子公司的Web需求,也会增加总公司IT人员的工作负担。
多层次管理功能应包含全球管理员、群组管理员、最低过滤级别、群组、子群组、检测范围、特别帐户、同步集中控制管理等方面。其中,全球管理员(Global Administrator)是一个拥有所有过滤设备绝对控制权的帐户。全球管理员能够根据公司安全策略,在Web内容安全过滤设备上建立不同的群组,并且再为每个群组建立一个小组。全球管理员能够无限制地控制所有Web内容安全过滤设备的功能。
群组管理员由全球管理员建立。在全球管理员授权修改的安全策略范围内,群组管理员帐户可以针对群组的需求修改适合的安全策略。群组管理员所修改的安全策略仅能影响到这个帐户所管理群组。每一个群组,可以只设立一个小组管理员账户。
最低过滤级别(Minimum Filtering Level (MFL))是由全球管理员定订的过滤级别。最低过滤级别是全公司无论哪一个群组必须一致执行的最低标准策略。例如,当公司定订最低限度的安全策略标准是过滤色情与信息安全威胁相关类别,群组管理员就不能够从该群组的过滤器设备中取消任何与色情和信息安全威胁类别相关的安全策略,仅能针对其它类别订定适合的安全策略。当公司要全面实行安全使用政的同时,又希望给予各群组某种程度的修改权限时,MFL就非常有用。下游的群组管理员可以增加最低过滤级别的类别,但是无法清除由全球管理员订定的最低过滤级别的。
群组的定义是由全球管理员设定的一群使用者。例如:全球管理员可以设定子网络 10.10.10.0/24 为一个群组。全球管理员或群组管理员均可以建立一个子群组。子群组用于更进一步描述小组的成员。以上面的例子为例,如果子群组以子网10.10.10.0 /24订定为一个群组,在这个群组下可以再创造子群组,例如10.10.10.0 /25和10.10.10.129 /25 。全球管理员可以确切判断某一个IP地址是来自哪一个网域。
特别帐户是一个用户名/密码,由全球管理员或群组管理员创建。其目的是要允许某其帐户可以不受安全使用策略的限制,造访任何网站。全球管理员可以选择允许特别帐户绕过最低过滤级别,也可以选择特别帐户仅受最低过滤级别限制。特别帐户可以分配给任何使用者。
当公司配置多台过滤设备时,可允许过滤设备之间建立主从关系,同步集中控制管理所有过滤设备。当主要的过滤设备有任何改变时,附属机上也会体现出来。这项功能在多台过滤设备环境下非常有帮助,管理员可以免除手动一一变更设定的作法。
既然我们了解了分层管理的功能,那么分层管理在实际的工作中有哪些用途呢?不妨以案例来说明。举例,一个有5所小学、3所中学和2所高中的学区办公室拥有T3互联网入口,利用T1连接每所学校。所有互联网接入必须通过学区办公室的端口连接互联网。学区有可接受使用策略,所有学生和学区员工均不得访问被分类为色情、R级、赌博、非教育性在线游戏、基于互联网的电子邮件、暴力和歧视、酒、违禁药品、邪教和骇客相关的所有网站。然而,可接受使用策略中有一个例外:若经校长同意,学区里学校的心理辅导师以及顾问为了提升学生品质以研究为目的,可以访问被限制的网站
Web安全网关采购指南之性能篇
随着网络技术的飞速发展与网络应用的不断拓展,单一功能的网关设备已经无法应对网络应用所带来的问题与挑战。于是有了集多种功能于一身的UTM产品,有了众多厂家最近不断推出的下一代安全网关,更有目前逐渐成为企业边界应用新宠的web安全网关(Secure web Gateway)。无论是UTM、下一代安全网关还是web安全网关,它们都具备了Internet应用安全防御和管控能力。面对种类繁多的应用安全网关,如何选购成为困扰用户的谜团。
我们应该注意到,目前在金融、电信、医疗、大企业等行业,用户对多功能应用安全网关非常感兴趣,从功能的专业性而言无论是UTM、下一代安全网关还是web安全网关都能一定程度上满足这些行业用户的需求,但作为合格的企业级多功能应用安全网关,除了具有全面的功能外,开启所有功能后的性能也是不容忽视的,也是用户选择多功能安全网关时需要多方面评测的重要指标之一。这就需要用户不仅对各个功能模块的实现技术与原理进行深入研究以辨明安全防御和管控功能的同时,也需要辨明设备架构、操作系统以及扫描处理算法,甚至功能实现技术所带来的性能差异。功能再全面,如果没有良好的性能,那也只能是花架子。本篇主要向大家介绍web安全网关最重要的选购指标之一:性能。
Web安全网关是Gartner在其2008年的报告中所重点提及的边界应用安全网关。其主要功能包括防病毒、URL过滤、Internet应用控制和带宽管理等。下面,我们将对web安全网关的相关性能指标进行一一分析解读,希望能对广大消费者选购web安全网关提供一个帮助。
一、防病毒处理能力
网关防病毒主要针对HTTP/HTTPS、FTP、SMTP、POP3等协议流量进行双向的过滤扫描,来达到对企业内网用户和服务器的保护,并防止内网已感染病毒的客户端和服务器对外扩散病毒。随着Internet,尤其是Http应用的日益普及发展,使得越来越多的企业应用转为了B/S构架,借助HTTP协议的方便和易用提高企业效率。同时Internet上无穷无尽的各类资源、虚拟社区、Web游戏等等使得内网用户访问Internet的需求在不断增加,Web应用已经成为客户的最主要流量;而安全网关作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察网关的HTTP吞吐能力将有助于我们更好的评价其性能,这里需要注意的是网关防病毒关键性能是HTTP的吞吐量,而不是UDP的吞吐量,企业在选购产品时一定要搞清楚这两个吞吐量的差别。UDP吞吐量代表的是整个设备的包转发能力,而网关防病毒针对的是具体应用协议和数据内容的扫描与检测性能,因此对于网关防病毒产品来说UDP的吞吐量参考意义不大,UDP的吞吐量高,并不一定内容检测性能就高。在企业的 internet应用协议流量中通常http流量所占的比重最大,因此HTTP协议的检测性能才是网关防病毒的关键性能指标。为了提升病毒检测的性能,目前主流解决方案主要有两种:一种是串流扫描技术;一种是借助ASIC加速卡将由代理缓存下来的整个文件做深度内容扫描检测与特征匹配。客观的讲,这两种扫描技术各有所长,但是对于企业而言,找寻性能和检测率、漏判之间的平衡,将成为企业防病毒成败的关键。串流扫描方案由于优先考虑用户的网络使用体验,不得不简化病毒扫描流程,对一些较复杂的文件不能进行深入的检测,会造成病毒的漏判;另外当网络流量较大时,很多扫描不能在文件传输之前完成,这就造成实际上的病毒扫描功能失效。2005年市面上采用串流病毒扫描技术的网关产品较多,但很快发现漏判漏查的问题无法避免,所以为了解决漏判漏查问题,web安全网关厂商Anchiva(安启华)在2006毅然抛开串流扫描的做法,坚持要用深度内容检测的方式提高病毒检测率,于是Anchiva(安启华)利用1年多的时间开发了基于ASIC芯片的深度内容检测与特征匹配引擎,成功的解决了扫描性能问题,并且提高了病毒检测率。Anchiva(安启华)通过测试对比发现,ASIC硬件扫描引擎在相同测试条件下的Http吞吐量是纯软件扫描引擎的4-5倍。当然,网络流量中需要扫描杀毒的文件类型很多,有txt文本文件,有二进制文件,有可执行的pe文件等,因此企业在选购产品时还需要重点考察防病毒网关产品对这三类主要文件类型进行扫描杀毒的http吞吐量。
除了http吞吐量外,http的并发连接数也是网关防病毒的关键性能指标,这里同样需要注意的是http的并发连接数,并不是TCP并发连接数。TCP并发连接数是指设备能够同时处理的点对点TCP连接的最大数目,主要反映的是防火墙、路由器等设备对多个TCP连接的访问控制能力和连接状态跟踪能力。对网关防病毒来说,因为需要针对某个具体的应用协议进行扫描过滤,TCP并发连接数并不能完全反映设备的访问控制能力和连接状态跟踪能力,http并发连接数才是真正反映网关防病毒能支持的最大信息点数的性能指标。一般厂家会通过增加内存的方式来提高http并发连接数,但是Anchiva(安启华)公司总架构师贺先生说:“http并发连接数跟内存大小有直接的关系,但是没有很好的扫描处理算法来降低每一个连接的开销,即使内存大小一样,http并发连接数也是有明显差别的;另外还有关键的一点是传统的TCP协议栈在透明代理情况下会受限于端口数目65535的限制,”。从这一点可以看出如果是传统的TCP协议栈,即使内存再大,HTTP并发连接数也不可能超过65535,否则就是欺骗。除非像 Anchiva(安启华)公司那样经过优化改写过的TCP协议栈才有可能并发连接数突破65535个。
二、Internet应用控制和带宽管理处理能力
Internet应用控制和带宽管理,通常是通过对应用数据包进行分析,通过识别匹配协议或应用特征进行的4-7层的应用管控。仅仅靠识别端口是不行的,因为当前网络上的大部分应用会采用隐藏或假冒端口号的方式躲避检测和管控,也常常通过动态协商端口等方式仿冒合法应用的数据流来侵蚀着网络,因此对于应用管控还需要识别出协议或应用中特定的字符串以便更准确地进行应用的识别与管控。当然,对于应用管控不需要对所有的应用数据包进行一一的检测过滤,仅仅需要对应用流量中开始的1个或几个数据包进行特征分析与匹配。因此,对于Internet应用控管,其性能的关键在于网关的包转发能力。用户在选购产品时,需要考察的是设备对数据包的吞吐量。为了提高吞吐量,市面上有ASIC加速技术也有多核技术,二者的目的一致,都是为了提高性能。支持多核并不难,普通的Linux就可以支持,但如果没有良好的并行多核控制技术,既使再多的核也不能完全发挥出多核的硬件优势。因此,这就需要具备并行多核优化控制技术来保证多核CPU快速均衡的响应不同的网络应用。Anchiva(安启华)并行多核控制技术采用数据包动态均衡分发处理机制,实现流量在多核间的负载均衡,极大的提升了系统的运算效率。并且一般的多核控制技术是通过CPU的其中一个核来完成流量的均衡分发,而Anchiva(安启华)为了充分利用硬件资源,使性能达到最优,不是占用CPU的一个核来完成流量的均衡分发,而是通过专门编写的控制技术利用网卡中的芯片完成流量在不同CPU间的均衡分发,这样使相同的多核CPU的处理能力更进一步发挥出来。另外在多核上实现的应用调度处理也很重要,应用调度处理一般有并行和串行两种模式。显然,为了实现对多核资源的充分挖掘和利用,并行应用调度处理方式也是必须的,为此Anchiva(安启华)专门编写了自己的并行应用处理引擎,以便充分的利用多核资源。
三、URL过滤处理能力
URL过滤的实现机制是将客户端请求的URL与网关中的URL过滤策略进行匹配,从而达到过滤控制的目的。对于这部分功能,web安全网关仅仅需要对http header中的URL进行扫描处理,不需要对http请求的内容进行扫描,以一个32K的http请求为例,http 的header部分只有几百个字节,不到1K。于是可以看出,对于URL过滤,需要考察的重要性能指标是http的并发连结数和每秒新建连接数,这就需要一个强大的http处理引擎。各厂家也都在http的处理性能上下功夫,通常使用最多的还是多核技术, Anchiva(安启华)认为,良好的HTTP 处理引擎不仅跟CPU是单核还是多核有关系,即使有多核技术,如果没有优化基于kernel的TCP协议栈,对于上层应用代理的处理能力也会受限于传统 TCP协议栈共享锁的限制。目前很少有厂商愿意花费时间来攻破这一难题。攻破TCP协议栈的束缚将成就更快的Web安全网关。Anchiva(安启华)公司在成立之初就决定优化重写TCP协议栈,在兼顾安全性的基础上,开发了横跨系统内核层和系统应用层的TCP协议栈,同时将TCP协议栈与应用进程并行结合,打破了通用操作系统基于内核的TCP协议栈共享锁的限制及系统应用层与系统内核层分离的制约,实现了转发层面和应用层面的并行处理,也使 Anchiva Web安全网关的性能随着硬件配置的提升,能够做到近似线性增长。
当然,单独的吞吐量、并发连接数和每秒新建连接数的数据毫无意义,一定要说明这个数据是用什么方法测试出来的才有用,同类产品相互性能的比较一定要在同样的测试环境和方法下以及相同的策略条件下进行才公平和有意义。最好的方法是对同类产品用相同的测试仪器通过相同的测试环境和测试参数测试出来的性能才具有可比性和参考价值。对于防火墙、路由器等设备,测试标准通常要遵从RFC 2544/1242;但是对于应用网关,目前没有成型的测试标准,各家都有各家的方法,这里就需要企业在选购时一定要清楚各家的性能参数是如何得到的。
除此之外,对于web安全网关而言应用层的处理能力是需要用户考察的关键点。成就高性能的应用层面处理能力,首先需要克服的是转发层面和协议层面甚至硬件架构等等更底层的处理瓶颈或处理技术。因此认清其对多核和ASIC的支持能力、TCP协议栈以及上层应用处理引擎的并行处理能力和扫描检测算法的优化能力,这些都是web安全网关性能能否达到最优的核心技术。攻克这些核心技术,不仅能成就高性能的网关杀毒,对于URL过滤和应用管控的性能提高仅仅是顺带手就能够做到的。相信认清市场上种类繁多的web安全网关的真正优势后,企业选择一款真正适合自己的边界web安全网关设备并不难
VoIP在基于MPLS集成模型中QoS技术
1 引言
VoIP(Voice over IP)是指利用IP网络进行语音通信的技术。由于IP技术是一种面向无连接的技术,IP网络的初衷只是提供一种称之为“尽力而为”(Best Effort)的服务,这对于只要求准确率而对时延没有严格要求的数据业务来说是合适的,而对于话音、视频等实时通信业务,它们的服务质量(Quality of Service, QoS)是难以保障的。VoIP的服务主要归结为承载网络问题,而目前的网络带宽限制是造成时延过大、拥塞的主要原因。另外,在一个网络中同时提供语音和数据应用,就必须特别考虑语音应用的服务质量。
为保证IP网络上的QoS,IETF首先提出用RSVP发送信号协议的综合业务模型(Intserv)[1],在发送数据前对接收端建立路径和预留资源,通过接纳控制、策略控制、分类调度控制等机制实现端到端的QoS。由于要在每个节点上为每一个流进行资源预留,并且要建立和拆除路径,这就要求每个节点都要支持RSVP,都要维护路由和资源的“软状态”信息,这样它的可扩展性及鲁棒性差,在现有的网络上特别对大型广域网实现起来比较困难。这就促使LETF去发展区分业务模型(Diffserv)[2],它是在网络边缘将业务流解成很小数据量的聚集流(类),由IP分组头标的DSCP (Diffserv Code Point,区分业务码)来标识,在网络边缘结点实施分类、标记、管理等功能,在网络的核心节点仅仅根据DSCP相关的PHB(per-hop- behavior)转发分组,这简化了网络内部节点的结构,这比综合服务可扩展性要大的多。但Diffserv仍采用了逐跳路由的分组转发方式,对端到端的QoS支持显得不足。
对VoIP来说,Internet必须具有提供QoS保证以及资源最优化使用这两个最基本的属性。最优化使用资源是避免流量阻塞和服务退化的必要的一步,这项工作由流量工程来完成。多协议标签交换(Multi-Protocol Label Switching, MPLS)对IP网络来说已经被广泛的认为是一个重要的流量控制工具。这种重要性归结为两个主要的特征:首先,在传输数据包过程中短小而又固定长度的标签的使用,使其表述性能得到增强;其次,创建电路的能力(label switch path, LSP)在网络中无需连结[3]。这些MPLS特征无论在Intserv还是在Diffserv中都能够提供。
由此我们可以看出,Intserv/RSVP,Diffserv,以及MPLS在追求端到端的QoS中是互补的技术。因此,为保证VoIP的 QoS,采用这样一种集成模型,在边缘网络里采用Intserv,在核心网里采用Diffserv Over MPLS。本文就是讨论在这种集成模型上传输VoIP业务的QoS技术。
2 MPLS
2.1 MPLS简介
MPLS是一种多协议标签转换技术,它兼有第二层交换的分组转发技术和第三层路由选择技术的优点,旨在解决当前联网环境中使用的分组转发技术所存在的许多问题。MPLS实质是当IP包进入MPLS网络时被分配一个短小、长度固定、具有本地意义、能区别于其他信息流的标签作为MPLS头来封装这个IP包,在MPLS网络所有转发机制都是依据这个标签,该标签告诉分组路径上的交换节点如何处理和转发数据,在离开MPLS网络时解封装MPLS头。MPLS头包括一个二十比特的标签,一个三比特的扩展域(最初被定义为扩展,现在使用为COS-服务类型域),一个比特的标签栈指示,还有一个比特的TTL(time-to-live)域。
MPLS有几个核心技术和组件:流量工程、基于约束路由、标签交换路由器(Label Switch Router, LSR)、标签、标签交换和标签分发等,其中LSR是指实现标签分发并能够根据标签转发分组的交换机或路由器。在一个MPLS网络中,交换路径可以是点到点、多到
一、一到多和多到多等路径。
2.2 MPLS上的LSP和流量工程
所有的分组都是通过入口LSR进入MPLS网络,并通过出口LSR离开MPLS网络的这种机制创建了LSP,它指的是对于特定的FEC,带标签的分组到达出口LSR之前,必须经过的一组LSR的标签序列。这种LSP是单向的,即返回特定FEC中的数据流时,将使用不同的LSP。
LSP的建立可以是控制驱动(也就是由控制流量触发),也可以是数据驱动(也就是特殊流的出现而触发)。IP包和LSP之间的映射必须在LSR 的入口通过为一个标签指定一个FEC发生。LSR的入口使用一个FEC到NHLFE(Next Hop Label Forwarding Entry)的映射,在转发的数据包没有标签以及在转发前将被标记时使用。
为了建立LSP,LSR使用信令信息来协调和分发标签。这些信令信息既可以用一种叫做LDP(Label Distribution Protocol)的新协议来承载,也可以用扩展的RSVP[4]去承载。在建立LSP以及支持流量工程的约束路由上两种协议可以提供相类似的功能。在 MPLS网络中传输VoIP流时,一般采用扩展的RSVP去分发标签绑定信息。
流量工程能够从路由协议计算出的最短路中移动数据流,从而安排数据流通过网络,避开因不均匀的使用网络造成的阻塞。因此,在IP网络上能够执行流量工程有着很多的好处,主要体现在两个方面:基于流量的和基于资源的。前者属于优化关键的流量执行特征,如延时,包丢失以及吞吐效率;后者指的是使用最有效的方式使用可用的网络资源去避免阻塞和低利用率。使用流量工程技术的直接好处是在转发流量时能避开阻塞点,万一失败时能快速地重新选择路由,能有效使用可利用的带宽以及QoS。
3 基于MPLS的集成模型
整个集成模型结构由边缘网络和核心网络构成。对MPLS来说,它实际上是一个提供VPN的承载网络,实现多节点QoS需求的无缝连结。边缘网络是一个Intserv域,支持综合服务,RSVP可为业务流提供较好的QoS管理粒度和资源预留,并且能够穿过核心网络区域。边缘网络通过核心网络实现端到端的QoS服务,核心网络是在MPLS之上的Diffserv域,由于MPLS与Diffserv 对分组的处理及QoS支持比较相似,二者集成既可保留MPLS的便于流量管理、快速转发的优点,也可对Diffserv域的资源提供聚合传输控制,具有良好的扩展性。下面结合主机A、B实现定量的QoS通信为例,主要介绍几个部件的相关工作。
3.1 ER ER是纯粹的Intserv路由器,在发送与接收间处理正常的RSVP信令信息,并预定的策略控制资源有效性。主机A产生RSVP PATH信令,该信令详细讲述了应用进程要求的QoS,并激活本地流量控制。经过正常的RSVP操作后,信令到达Intserv域边缘路由器ER。
3.2 BR/LER
BR/LER既是Diffserv域边界路由器,同时也是MPLS域中的标签边界路由器LER,结构和功能相对复杂。RSVP信令进入核心网络时,首先经过Diffserv域,在Diffserv域不识别RSVP的情况下,BR/LER作为纯粹的Diffserv边界路由器BR,将转发服务要求相同的一类微流聚合,组成一类以DSCP标识的行为聚合(behavior aggregate,BA),并映射到MPLS LSP上进行转发,同时对流聚集进行监测、调度。在Diffserv域识别RSVP的情况下, LER实施接纳控制,建立LSP,另外对进入的分组还负责分类、申请(或者除去)MPLS标签,而BR则参加RSVP的信令过程并作为Diffserv域的接纳控制代理[5]。
入站分组通过BR/LER的分类器后,首先执行第三层的查找,若是没有标记的分组,将被标记并作为带标签的分组发送给核心网络的其他MPLS节点;若是带标签的分组,可以作为带标签的分组被转发给其他的MPLS节点,而对于目的地为非MPLS节点的,删除标签并执行第3层查找,由IP转发表发送出去;其余的作为纯粹的IP分组被转发给非MPLS节点。
3.3 CR/LSR 核心网络中内部的路由器CR,即MPLS域中的LSR,主要完成MPLS分组的标记交换和转发。CR/LSR结构比BR/LER要简单得多。当 LSR收到一个标记过的数据包后,它就把这个标签在包含NHLFE的ILM(Incoming Label Map)表里当成索引。进入的标签被新出去的标签取代,包被转发到下一跳,最后,当MPLS包离开网络时LSR的出口解封装MPLS头。LSR还承载 Diffserv流聚集的MPLS分组进行调度、整形、丢弃
4 集成模型上传输VoIP的QoS实现技术
这种集成模型包括Intserv和Diffserv的集成以及Diffserv和MPLS的集成,前者的关键是经由边缘网络产生的含有一定的 QoS的数据包如何被分类并确定DSCP的值,也就是如何将Intserv各种服务类型映射到Diffserv的PHB(per hop behavior);后者的关键是如何将Diffserv中的BA映射到MPLS中的LSP上。在这只考虑BA不多于八种的情况,Intserv、Diffserv和MPLS之间的服务映射见表一。下面结合集成模型上传输VoIP来对其QoS实现技术进行分析。
4.1 Intserv和Diffserv的集成
Intserv定义三种服务类型:
(1) 确保业务(Guaranteed Service, GS):可提供一种端到端的严格固定队列延迟的服务,确保带宽。
(2) 可控负载服务(Controlled-load Service, CL):比尽力服务要好,是一种相当于在负载不重的网络上进行的尽力而为的服务。
(3) 尽力服务(Best Effort,BE):传统的服务,没有在QoS保障。
对于属于GS的VoIP分组,MPLS网络必须能够识别并将它们从网络中的数据分组中区分出来,才能在MPLS网络上提供特别QoS支持。在 Diffserv网络里,定义一种替代的报头域,叫做DS域,它替代IPv4 TOS字节(RFC791)以及IPv6流量类字节。DS被分割为一个六比特的DSCP字段和一个两比特的CU(current unused)字段,DS域使用DSCP去选择每一个接口的PHB,CU字段还没分配,是为ECN(explicit congestion notification)预留的,可以用于前向/后向拥塞通知,这在帧中继网络中非常有用。当决定PHB应用到一个已收到的数据包时CU的作用被相应的 DS接口忽略。 依据DSCP设置标记包的系统的能力,以同样的DSCP设置收集的包或以一个特定的方向发送的包将被集合成BA。从多种信息源或者应用传送来的包可以属于同样的BA。换句话说,当用SLA(service level agreement)或者策略映射配置时,PHB指的是在任何给定的属于BA的包上对包进行排序,队列,管理或者对节点修整的形为。PHB有四种类型,分别为default PHB、Cla-Selector PHB、Aured Forwarding(Afny) PHB、Expedited Forwarding(EF) PHB (详细说明见RFC2474,2597,2598)。
RSVP作为Diffserv的组件,提供一个保证带宽的服务,VoIP需要这种健壮(robust)的服务。而作为Diffserv的关键组成部件EF PHB,支持这种健壮的服务,并提供低丢失、低延迟、低抖动以及确定的带宽服务,很好满足VoIP的QoS的要求。在使用优先排队(priority queueing,PQ)以及类(或者BA)上速率限制时执行EF。在Diffserv网络中执行EF PHB时,它提供虚拟专用线路,或者额外的服务。因此,EF PHB是对VoIP这样要求低带宽,保证带宽,低时延,低抖动的应用是最理想的。
这样,通过DS域的使用,能够在BR/LER对语音的有效负载流量和信令流量指定不同的优先等级。语音缺省的DSCP为 101110(RFC2598),信令缺省的DSCP为011010(RFC2597)。对CISCO IOS的IP DSCP的配置及验证见[6]。
4.2 Diffserv和MPLS的集成
在MPLS网络里将服务定义为以下几类:
(1) Premium:对延时很敏感的一类,以PDA(peak data rate)速率最大可能的传递用户数据包,低于PDA的数据包将被丢弃。
(2) Olympic:对呑吐量很敏感的一类,由三种服务类组成:Gold,Silver以及Bronze。在每个类里有两个微处理级,网络至少以 CDR(committed data rate)速率最大可能传递用户数据包,可以高于该速率,但如果低于该速率数据包传递的可能性就极小。
(3) Best Effort:网络里无QoS保证的服务类。
很显然,要将VoIP分组映射为Premium类,也就是须将封装VoIP的MPLS头中Exp字段映射成111,具有最高的服务等级。其实,如何将BA映射到LSP实质上是如何在MPLS分组头标中携带BA信息(DSCP)[7]。把一类具有相同队列处理要求、调度行为,但丢弃优先级不同的 PHB定义为一个PHB调度类(PHB Scheduling Cla, PSC)[8],那么这样映射实质上也是就是如何在MPLS头标中标识分组所属的PSC以及分组的丢弃优先级。IETF组织将LSP分为两类,即E- LSP和L-LSP。E-LSP定义8种BA,映射到MPLS标记的Exp字段超过8种BA时,定义为L-LSP,要联合使用Lable字段和Exp字段标识种类,可单独使用Exp字段表示丢弃优先级,但扩展性不如E-LSP。两种服务之间的映射关系见表一。
在MPLS网络中,提供无拥塞(较低的延迟、抖动和分组丢失率)LSP对VoIP业务至关重要的。在MPLS网络里存在一个这样的问题,就是路由器建立了-个LSP,却不能保证该路由器能够处理这个LSP的带宽要求,其它通过这个路由器的LSP可能会与它争夺相同的资源。MPLS网络采用 RSVP技术,RSVP是一种与电路交换网络的呼叫建立非常类似的带宽预留技术,这样就可以在每个路由器为每个LSP预留带宽,这样从开始就避免了路由器的过度预订。此外,在为VoIP语音业务指定网络资源时,需要根据严格的计算,逐个链路进行,MPLS的流量工程可以胜任这种工作。流量工程利用RSVP 为语音业务流预留资源,如果最短路径的资源不够,流量工程可以建立路由来传送业务。如果RSVP建立MPLS流量工程隧道,MPLS标记也可用于这种业务流。这些标记加上Exp比特,为话音流提供了一个简单、可扩展的标识方式。
5 结论
本文首先对IP网络上的各种QoS服务模型进行了分析和比较,并着重分析了MPLS的工作原理,在此基础上深入研究了一种结合Intserv、Diffserv和MPLS的集成服务模型,特别分析了其边缘路由器和核心路由器的结构及功能。然后重点分析在集成模型上的传输VoIP的QoS实现技术,包括各服务类型之间的映射。随着技术和标准的不断成熟,伴随着“三网合一”的大潮,VoIP可望成为下一代电信基础设施结构的核心,使未来各电信业务统-到IP网上,如何更好地保证VoIP的QoS,还需要作更多的有益的探讨。
VoIP已死,谁扼杀了VoIP革命?
“VoIP已死。”Skype公司语音与视频业务部门总经理Jonathan Christensen在数周前的行业会议上这样宣称。虽然这话只是一个比喻,Christensen更多的是指VoIP精神,但从更广泛的意义上而言,这话同样有其正确性。
作为VoIP技术的最早拥戴者之一,诸多VoIP设备供应商与服务商虽然早就预见到了这一革命性技术对现行电信业务领域的强大破坏力,但却没有料到最终他们自己似乎也成为了这场革命的受害者。
一项新技术往往只有与市场力量充分融合后,其内在潜力才能得以淋漓尽致地发挥。不少新兴VoIP创业公司似乎将ILEC传统本地交换运营商视为了这样一种市场力量,于是,这些新兴VoIP创业公司在一边高调宣布SIP(seion-initiation protocol)会话发起协议时代业已来临、通讯垄断时代行将结束的同时,一边却在秘密争取代表电信业垄断力量的传统本地运营商,期望能够说服这些运营商大规模投资VoIP技术,以从中获利。但实际上,这完全是一个错误的策略,众多新兴VoIP创业公司不幸成为了这种错误策略的牺牲品,这些公司因将希望过多地寄托于传统本地运营商而为其投资者带来数十亿美元的损失。
VoIP新锐PulverMedia公司宣告破产,2000年股价曾一度冲高至95美元的Sonus网络公司股价跌至接近2美元的低点,全球头号网络设备供应商思科系统公司也在这种策略下败走麦城,不得不宣布中止为VoIP网络提供路由逻辑的BTS系列软交换机产品的生产,这一系列案例揭示了寄望于传统本地运营商的VoIP发展战略的失败,也从一个侧面反映了VoIP产业的尴尬现状。
新兴VoIP供应商成牺牲品
VoIP产业的前景曾一度非常美好。1999年,SIP规范获得IETF工程组通过,意味着业内正式擂响了打破电信业垄断格局的战鼓。受VoIP美妙前景的蛊惑,投资者将数十亿美元投入到了VoIP产品和服务中。管理层似乎也给予了大力支持,联邦通讯委员会还发布了所谓的“普尔菲秩序(Pulver Order)”,以防止VoIP产业出现管制过度和税负过重问题。
在这种情况下,VoIP显现的革命性破坏力量如期而至。自2001年开始,CLEC竞争性本地交换运营商和长途电话运营商最先受到冲击,VoIP服务超低的掠夺性定价给这些运营商的业务带来了致命性打击。随着固定电话业务逐渐被无线语音服务所取代,这种冲击也开始波及到更多电信业务领域。但谁也没有想到的是,近来这种冲击却已经转向了曾积极参与这场革命的VoIP设备供应商。
那么,究竟是什么原因导致新兴VoIP设备供应商竟然成为VoIP革命的牺牲品呢?这可能主要有以下五个方面的原因:
一是VoIP的部署进程过于迟缓。传统电信运营商与有线运营商曾是VoIP设备供应商最初力争的目标客户群体,但由于这些运营商对VoIP技术在实验室的性能表现和服务质量存在疑虑,导致部署时间一再延迟,远远超出了大部分VoIP创业公司的融资周期,导致不少新兴VoIP设备供应商因无力筹措后续资金而被淘汰出局。
二是竞争性损耗过大。震惊全球的世通公司会计丑闻从一个侧面表明,电信业内的竞争对手大部分存在各种各样的缺陷,产品与服务价格有很大的随意性。一旦面临市场压力,价格就会急剧下滑,这也是抗风险能力较差的新兴VoIP创业公司相继夭折的一个重要原因。
三是VoIP设备供应领域仍被传统电信设备供应巨头主导。在今天,跻身VoIP设备供应领域前列的仍是北电网络公司、西门子公司和爱立信公司等传统电信设备供应巨擘,而非新兴创业公司,这也从一个侧面说明了传统供应商对其客户的吸引力不容低估。
四是SIP协议开放框架与运营商网络的封闭架构之间的矛盾。SIP虽是一个开放性的协议,但运营商的网络仍是相互封闭,并没有连接在一起。大多数电信服务仍通过公共交换进行沟通,这意味着SIP协议的美好可能性将在很大程度上受制于过时的电话系统。
五是固话业务的萎缩导致VoIP吸引力打折。固定电话网络的不断发展并不能改变全球固定电话用户数量正迅速萎缩的趋势,在人们已能够通过无线、短信、即时信息和更加普遍的电子邮件进行更方便联络的今天,VoIP技术的吸引力已远不如前。
成功需另辟蹊径
VoIP技术虽然已在传统电信网络取得了一定程度的成功,但这种成功却是有限的,与SIP与VoIP技术具备的刺激电信业务创新与变革电信产业格局的巨大发展潜力相比,这种成功似乎是微不足道的,其背后的深层原因值得认真思考。
从某种意义上而言,电话发明家亚历山大·格雷厄姆·贝尔已有百余年历史的陈旧PSTN公共交换电话网络已成为了电信业创新的瓶颈。由于将创新领域界定在PSTN网络的壁垒之内,大多数VoIP公司实际上自行扼杀了自己的革命成果,并最终导致投资者的数十亿美元血本无归。
作为一家来自卢森堡的小公司,Skype公司的成功似乎可以给业界带来一些启示。这家VoIP服务商的成功得益于它不执迷于各种专家的理论,而是更关注用户的日常实际需要,Skype公司几乎完全可以忽视公共交换电话网络的业务模式是其有别于其它服务商的关键,也是其大获成功的关键。今天,有数以千万计的用户正在使用Skype公司的网络收发短信、共享文件、召开视频会议,当然还有基本的语音通话。虽然投资额不足4000万美元,但Skype公司的用户增长却已经超过了其他消费VoIP服务商的用户增长总和 VoIP协议都包含哪些协议?
VoIP协议是VoIP业务的规范标准。我们都知道VoIP业务有着压倒性的优势。随着网络应用的多元化和低成本化发展,VoIP业务直接冲击着传统通信市场,那么目前VoIP协议目前常用的协议,如H.323?SIP?MEGACO和MGCP?
H.323是一种ITU-T标准,最初用于局域网(LAN)上的多媒体会议,后来扩展至覆盖VoIP?
该标准既包括了点对点通信也包括了多点会议?
H.323定义了四种逻辑组成部分:终端?网关?关守及多点控制单元(MCU)?
终端?网关和MCU均被视为终端点?会话发起协议(SIP)是建立VoIP连接的IETF标准?
SIP是一种应用层控制协议,用于和一个或多个参与者创建?修改和终止会话? SIP的结构与HTTP(客户-服务器协议)相似?
VoIP协议中,客户机发出请求,并发送给服务器,服务器处理这些请求后给客户机发送一个响应?
该请求与响应形成一次事务?媒体网关控制协议(MGCP)是由思科和Telcordia提议的VoIP协议,它定义了呼叫控制单元(呼叫代理或媒体网关)与电话网关之间的通信服务?
MGCP属于控制协议,允许中心控制台监测IP电话和网关事件,并通知它们发送内容至指定地址? 在MGCP结构中,智能呼叫控制置于网关外部并由呼叫控制单元(呼叫代理)来处理?
同时呼叫控制单元互相保持同步,发送一致的命令给网关? 媒体网关控制协议(Megaco)是IETF和ITU-T(ITU-TH.248建议)共同努力的结果?
Megaco/H.248是一种用于控制物理上分开的多媒体网关的协议单元的协议,从而可以从媒体转化中分离呼叫控制? Megaco/H.248说明了用于转换电路交换语音到基于包的通信流量的媒体网关(MG)和用于规定这种流量的服务逻辑的媒介网关控制器之间的联系?
Megaco/H.248通知媒体网关将来自于数据包或单元数据网络之外的数据流连接到数据包或单元数据流上,如实时传输协议(RTP)?
从VoIP协议结构和网关控制的关系来看,Megaco/H.248与MGCP在本质上相当相似,但是Megaco/H.248支持更广泛的网络,如ATM?
VoIP加重网络支持负担趋向外包服务
管理和维护语音IP系统的复杂度正在给IT经理带来比初期预期要多的问题,驱动了对所谓的第二天(Day2)支持服务的需求。
上周有用户和分析师称,管理和维护语音IP系统的复杂度正在给IT经理带来比初期预期要多的问题,驱动了对所谓的第二天(Day2)支持服务的需求。 “VoIP并不像灌篮那样简短有力,存在着不可预料的支持问题”,位于密苏里州Saint Luke堪萨斯市的 Saint Luke的Health System Inc.的首席信息官John Wade这样说,该公司在三年前就开始部署超过750部VoIP电话,依靠AT&T公司提供维护和支持,据Wade说,每年的维护和支持成本为7.5万美元。
上周采访的其他六位IT经理都大致同意Wade的说法,VoIP系统会带来更高的复杂度,这来自于终端用户对扩展功能的需求以及保证语音传输维护服务质量的需求。
据波士顿的Yankee Group Research公司分析师Zeus Kerravala估计,有80%的公司尝试自行管理其VoIP系统,不过他指出,一个新出现的趋势是有很多公司希望寻求外部帮助。
Gartner公司分析师Eric Goodne指出,管理IP电话系统“堪称大象”,尤其是要在多个地点安装超过500个终端用户。他说,随着VoIP等应用的增长,管理的复杂度还将增加。
VOIP电话/VOIP网络电话的基本原理
VOIP 电话/VOIP 网络电话(又称IP PHONE 或VoIP)是建立在IP 技术上的分组化、数字化传输技术,其基本原理是:通过语音压缩算法对语音数据进行压缩编码处理,然后把这些语音数据按IP等相关协议进行打包,经过IP 网络把数据包传输到接收地,再把这些语音数据包串起来,经过解码解压处理后,恢复成原来的语音信号,从而达到由IP 网络传送语音的目的。VOIP 电话/VOIP 网络电话系统把普通电话的模拟信号转换成计算机可联入因特网传送的IP 数据包,同时也将收到的IP数据包转换成声音的模拟电信号。经过VOIP 电话/VOIP 网络电话系统的转换及压缩处理,每个普通电话传输速率约占用8~11kbit/s 带宽,因此在与普通电信网同样使用传输速率为64kbit/s 的带宽时,VOIP 电话/VOIP 网络电话数是原来的5~8 倍。VOIP 电话/VOIP 网络电话的核心与关键设备是VOIP 电话/VOIP 网络电话网关。VOIP 电话/VOIP网络电话网关具有路由管理功能,它把各地区电话区号映射为相应的地区网关IP 地址。这些信息存放在一个数据库中,有关处理软件完成呼叫处理、数字语音打包、路由管理等功能。在用户拨打VOIP 电话/VOIP 网络电话时,VOIP 电话/VOIP 网络电话网关根据电话区号数据库资料,确定相应网关的IP 地址,并将此IP 地址加入IP 数据包中,同时选择最佳路由,以减少传输时延,IP 数据包经因特网到达目的地VOIP 电话/VOIP 网络电话网关。对于因特网未延伸到或暂时未设立网关的
地区,可设置路由,由最近的网关通过长途电话网转接,实现通信业务。
VOIP 电话/VOIP 网络电话的基本结构
VOIP 电话/VOIP 网络电话的基本结构由网关(GW)和网守(GK)两部分构成。网关的主要功能是信令处理、H.323 协议处理、语音编解码和路由协议处理等,对外分别提供与PSTN 网连接的中继接口以及与IP 网络连接的接口。网守的主要功能是用户认证、地址解析、带宽管理、路由管理、安全管理和区域管理。一个典型的呼叫过程是:呼叫由PSTN 语音交换机发起,通过中继接口接入到网关,网关获得用户希望呼叫的被叫号码后,向网守发出查询信息,网守查找被叫网守的IP 地址,并根据网络资源情况来判断是否应该建立连接。如果可以建立连接,则将被叫网守的IP 地址通知给主叫网关,主叫网关在得到被叫网关的IP 地址后,通过IP 网络与对方网关建立起呼叫连接,被叫则网关向PSTN 网络发起呼叫并由交换机向被叫用户振铃,被叫摘机后,被叫侧网关和交换机之间的话音通道被连通,网关之间则开始利用H.245 协议进行能力交换,确定通话使用的编解码,在能力交换完成后,主被叫方即可开始通话。
在一个基本的VoIP架构之中,大致包含4个基本元素:
媒体网关器(Media Gateway):主要扮演将语音讯号转换成为IP封包的角色。
媒体网关控制器(Media Gateway Controller):又称为Gate Keeper或Call Server。主要负责管理讯号传输与转换的工作。
语音服务器:主要提供电话不通、占线或忙线时的语音响应服务。
信号网关器(Signaling Gateway):主要工作是在交换过程中进行相关控制,以决定通话建立与否,以及提供相关应用的增值服务。
Vmware下的网络设置及三种工作模式介绍
VMWare提供了三种工作模式,它们是bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们,你就应该先了解一下这三种工作模式。
bridged(桥接模式) 在这种模式下,VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机,它可以访问网内任何一台机器。在桥接模式下,你需要手工为虚拟系统配置IP地址、子网掩码,而且还要和宿主机器处于同一网段,这样虚拟系统才能和宿主机器进行通信。同时,由于这个虚拟系统是局域网中的一个独立的主机系统,那么就可以手工配置它的TCP/IP配置信息,以实现通过局域网的网关或路由器访问互联网。使用桥接模式的虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑。想让它们相互通讯,你就需要为虚拟系统配置IP地址和子网掩码,否则就无法通信。如果你想利用VMWare在局域网内新建一个虚拟服务器,为局域网用户提供网络服务,就应该选择桥接模式。
host-only(主机模式) 在某些特殊的网络调试环境中,要求将真实环境和虚拟环境隔离开,这时你就可采用host-only模式。在host-only模式中,所有的虚拟系统是可以相互通信的,但虚拟系统和真实的网络是被隔离开的。提示:在host-only模式下,虚拟系统和宿主机器系统是可以相互通信的,相当于这两台机器通过双绞线互连。在host-only模式下,虚拟系统的TCP/IP配置信息(如IP地址、网关地址、DNS服务器等),都是由VMnet1(host-only)虚拟网络的DHCP服务器来动态分配的。如果你想利用VMWare创建一个与网内其他机器相隔离的虚拟系统,进行某些特殊的网络调试工作,可以选择host-only模式。
1.在虚拟机上安装操作系统的时候,系统的IP设置为192.168.0.99,DNS:192.168.0.1
2.修改虚拟机的VMnet1的ip为:192.168.0.1
3.在你可访问网络的那块网卡上设置Internet连接共享,具体设置方式为:属性-->高级-->连接共享,然后选择VMnet1,将网络共享给它
4.在本机上ping一下192.168.0.99,如果能ping通,就说明你设置正确了。 5.进入你虚拟机中的linux操作系统,尽情的网上冲浪吧
NAT(网络地址转换模式)
使用NAT模式,就是让虚拟系统借助NAT(网络地址转换)功能,通过宿主机器所在的网络来访问公网。也就是说,使用NAT模式可以实现在虚拟系统里访问互联网。 NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的,无法进行手工修改,因此虚拟系统也就无法和本局域网中的其他真实主机进行通讯。采用NAT模式最大的优势是虚拟系统接入互联网非常简单,你不需要进行任何其他的配置,只需要宿主机器能访问互联网即可。如果你想利用VMWare安装一个新的虚拟系统,在虚拟系统中不用进行任何手工配置就能直接访问互联网,建议你采用NAT模式。
提示:以上所提到的NAT模式下的VMnet8虚拟网络,host-only模式下的VMnet1虚拟网络,以及bridged模式下的 VMnet0虚拟网络,都是由VMWare虚拟机自动配置而生成的,不需要用户自行设置。VMnet8和VMnet1提供DHCP服务,VMnet0虚拟网络则不提供。
Vlan中访问端口与中继端口如何抉择
[导读]众所周知,交换机的端口都是二层接口,而且这些接口都是与物理端口进行连接的。在Vlan中,又可以将这些接口分为访问接口与中继端口两种。如果交换机端口采用的是访问端口,则它只能够属于一个特定的Vlan;而如果交换机端口采用的是中继端口的话,那么它就可以属于任何Vlan。那么什么时候该采用访问端口,而什么时候又该采用中继端口呢?这就是网络管理员所需要关注的内容。
众所周知,交换机的端口都是二层接口,而且这些接口都是与物理端口进行连接的。在Vlan中,又可以将这些接口分为访问接口与中继端口两种。如果交换机端口采用的是访问端口,则它只能够属于一个特定的Vlan;而如果交换机端口采用的是中继端口的话,那么它就可以属于任何Vlan。那么什么时候该采用访问端口,而什么时候又该采用中继端口呢?这就是网络管理员所需要关注的内容。
一、访问端口的特点
访问端口最大的特点就是其只能够属于某个特定的Vlan,它只能够承载一个Vlan的流量。从本质上来说,访问端口的流量只以本机格式来接收与发送,即不会带有任何的Vlan标记。也就是说,到达某个访问端口的数据,只是简单的被假定为属于那个端口所分配的Vlan。即墨认为是同一个Vlan。故网络管理员需要牢记,在访问端口中的数据没有任何的Vlan标记。
那么现在请各位读者来思考一个问题。假设现在有个访问端口接受到带有标记的数据包,此时交换机会采取什么样的动作呢?交换机会毫不犹豫的将这个数据包丢弃掉。因为访问端口不会查看源地址(也没有这个功能)。为此带有标记的数据包只能够被中继端口转发与接收。从这里也可以看出,访问端口与中继端口是互不相容的关系。
为了更好的理解访问端口的特点,笔者认为各位读者应该将访问端口与访问链路放在一起来理解。这可能会对实际工作更加有帮助。通常情况下,对于访问链路,我们可以将其比喻成端口已经配置好的Vlan。这是什么意思呢?任何连接到访问链路的设备并不知道Vlan的成员关系,即网络中有多少Vlan、它们之间各自的关系等等。访问链路采用默认工作机制。即指假设它是同一个广播域的一部分。或者说,访问链路不关心网络的物理拓扑结构。当帧被转发到连接访问链路设备之前,交换机要从帧中删除所有的Vlan相关信息。在这种情况下,连接到访问链路的设备通常是不能够与Vlan外部的设备进行通信的(有一个例外,即如果数据包是通过路由转发的就可以)。可见这与访问端口具有相同的特点。只是访问链路在处理数据包是有一个例外。通常情况下不与外部的Vlan进行通信,但是如果数据包是通过路由转发的,则运行。将访问端口与中继端口放在一起分析,能够对访问端口的特点有更加全面的了解。
二、中继端口的特点
中继端口与访问端口相比,最大的区别就是中继端口可以同时向多个Vlan来发送流量。做一个比较形象的比喻。这就像一根网线与一根电话线的区别。在一个网线上接出另外一个网线,此时仍然只有一台主机可以上网。而对于电话线则不同。在电话线上可以搭载多个电话线。当电话响时,所有的分机电话都会响,也可以进行接听。从这个形象的比喻中,大家对中继端口就会有一个直观的印象。
从专业的角度讲,中继端口属于所有的Vlan。为了更好的理解中继端口,笔者也将其结合中继链路来讲解。中继链路一般是指两台交换机之间点对点的链路,或者交换机与路由器之间、或者是交换机与服务器之间的链路。中继链路与访问链路相比,最大的特点就是能够承载多个Vlan的通信量。默认情况下,可以同时多达4094个Vlan。当然在实际工作中,一般用不到这么多。如果能够用到10个,这个企业的网络已经算是比较大的规模了。
无论是中继端口,还是中继链路,还有一个显著的特点,即可以使单个端口同时成为多个不同Vlan的一部分。在实际工作中,这个特点非常的实用。如通过这个技术,可以同时在两个广播域中设置为使用同一台服务器。如此终端用户在访问的时候,就不必要跨越第三层设备来访问它。减少中间环节可以提高网络的访问效率。中继的第二个特点就是在连接交换机的过程中,中继链路可以跨链路传递各种Vlan消息。
三、中继端口与访问端口之间的关系
在任何情况下,交换机的某个特定端口只能够是访问端口或者中继端口,而不能够即是访问端口又是中继端口。也就是说,这两个端口是互不兼容的。为此在实际工作中,只能够让交换机选择其中一种端口。即选择了访问端口,就不能够再设置为中继端口。二选一,这是端口管理中一个基本的原则。
在实际工作中,需要注意一个内容。虽然说交换机之间的连接采用访问端口还是中继端口网络管理员可以根据实际情况来选择。但是如果交换机之间的链路不是中继链路,此时只有已经配置好的Vlan信息能够通过这个链路进行交换。这对网络的组建与优化都有很大的影响。
接下去需要考虑的问题是,中继链路与访问链路之间,如何进行数据通信呢?默认情况下,所有Vlan都在配置为中继的链路上发送信息。当需要突破这个限制的时候,就需要清除每个Vlan信息。一般来说,连接到交换机的所有主机都可以与其Vlan中的所有端口进行通信,因为他们之间有中继链路。不过需要注意的是,如果在交换机之间使用的是访问链路,那么就只允许一个Vlan在交换机之间进行通信。此时如果需要实现跨Vlan的通信,那么就需要借助第三层设备,如路由器的帮助。否则的话,主机就不能够与Vlan之外的设备进行通信。另外现在比较流行的做法是,还可以通过中继链路向主机发送数据。这些主机是位于同一个Vlan中的不同交换机上。
四、两种类型端口如何管理
那么在什么情况下该采用中继端口,什么情况下该采用访问端口呢?一般来说,可以这么判断:如果需要在Vlan之间转发数据的,那么需要采用中继端口;如果只需要在单个Vlan之间转发数据,则采用访问端口即可。如果从设备上来看,如果有跨设备的Vlan设置,如多个交换机上,各有几个端口位于同一个Vlan内,此时交换机之间的连接最好使用中继端口。否则的话,就需要采用路由器等设备才可以进行通信。
如何根据上面这些规则还不能够确定到底该使用什么类型的端口,那么网络管理员还可以采用动态配置的方式。即采用动态中继协议,让系统来自动设置交换机所采用的端口模式。采用这种协议的情况下,系统会根据另外一段所采用的端口模式,进行自动协商,最好确定所采用的端口模式。
五、语音访问端口与访问端口之间的关系
最后笔者需要说明一下,语音访问端口这种特殊的应用。语音访问端口从端口类别来说,也叫做访问端口。不过需要注意的是,由于语音应用的特殊性,其与访问端口又有很大的区别。为了满足语音传输的需要,大多数的交换机都允许向交换机上的访问端口添加第二个Vlan,目的就是为了传递语音流量。此时就可以使得两种类型的流量能够通过同一个端口进行传送。默认情况下,只有访问端口才能够被配置应用于语音Vlan。可见语言访问端口已经突破了传统访问端口的限制。其允许将一部电话机和一台主机连接到同一个交换剂的接口,并且让这两台设备位于不同的Vlan中。此时这个交换机端口的类型虽然是访问端口,但是仍然可以满足于不同Vlan之间的通信。
如果企业有语音应用的话,需要注意,语言Vlan只能够部署在访问端口模式下。不过此时语言访问端口已经突破了传统访问端口模式的限制。
VLAN配置基础及实例探讨
有关VLAN的技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了,而且最早的VLNA技术早在1996年Cisco(思科)公司就提出了。随着几年来的发展,VLAN技术得到广泛的支持,在大大小小的企业网络中广泛应用,成为当前最为热门的一种以太局域网技术。本篇就要为大家介绍交换机的一个最常见技术应用--VLAN技术,并针对中、小局域网VLAN的网络配置以实例的方式向大家简单介绍其配置方法。
一、VLAN基础
VLAN(Virtual Local Area Network)的中文名为\"虚拟局域网\",注意不是\"VPN\"(虚拟专用网)。VLAN是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有 VLAN中的成员才能听到,而不会传输到其他的 VLAN中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
VLAN网络可以是有混合的网络类型设备组成,比如:10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
二、VLAN的划分方法
VLAN在交换机上的实现方法,可以大致划分为六类:
1.基于端口划分的VLAN 这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分 VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
2.基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的 MAC地址,VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份。
由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。
3.基于网络层协议划分VLAN
VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的 VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4.根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是效率不高。
5.按策略划分VLAN 基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。
6.按用户定义、非用户授权划分VLAN 基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
三、VLAN的优越性
任何新技术要得到广泛支持和应用,肯定存在一些关键优势,VLAN技术也一样,它的优势主要体现在以下几个方面: 1.增加了网络连接的灵活性借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。 2.控制网络上的广播 VLAN可以提供建立防火墙 的机制,防止交换 网络的过量广播。使用VLAN,可以将某个交换 端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换 网中或跨接多个交换 机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。 3.增加网络的安全性因为一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN 中的应用。交换 端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
四、VLAN网络的配置实例为了给大家一个真实的配置实例学习机会,下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。某公司有100台计算机左右,主要使用网络的部门有:生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分。网络基本结构为:整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为:Switch
1、Switch2和Switch3,各交换 机根据需要下接若干个集线器,主要用于非VLAN用户,如行政文书、临时用户等)、一台Cisco 2514路由 器,整个网络都通过路由 器Cisco 2514与外部互联网进行连接。所连的用户主要分布于四个部分,即:生产部、财务部、信息中心和人事部。主要对这四个部分用户单独划分VLAN,以确保相应部门网络资源不被盗用或破坏。现为了公司相应部分网络资源的安全性需要,特别是对于像财务部、人事部这样的敏感部门,其网络上的信息不想让太多人可以随便进出,于是公司采用了 VLAN的方法来解决以上问题。通过VLAN的划分,可以把公司主要网络划分为:生产部、财务部、人事部和信息中心四个主要部分,对应的VLAN组名为: Prod、Fina、Huma、Info,各VLAN组所对应的网段如下表所示。
VLAN 号VLAN 名 端口号2 Prod Switch 1 2-213 Fina Switch2 2-164 Huma Switch3 2-95 Info Switch3 10-21
【注】之所以把交换 机的VLAN号从\"2\"号开始,那是因为交换 机有一个默认的VLAN,那就是\"1\"号VLAN,它包括所有连在该交换 机上的用户。 VLAN的配置过程其实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换 机端口。 下面是具体的配置过程: 第1步:设置好超级终端,连接上1900交换 机,通过超级终端配置交换 机的VLAN,连接成功后出现如下所示的主配置界面(交换 机在此之前已完成了基本信息的配置):
1 user(s) now active on Management Console.User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection:
【注】超级终端是利用Windows系统自带的\"超级终端\"(Hypertrm)程序进行的,具体参见有关资料。 第2步:单击\"K\"按键,选择主界面菜单中\"[K] Command Line\"选项 ,进入如下命令行配置界面:
CLI seion with the switch is open.
To end the CLI seion,enter [Exit ].
>
此时我们进入了交换 机的普通用户模式,就象路由 器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限。所以我们必须进入\"特权模式\"。第3步:在上一步\">\"提示符下输入进入特权模式命令\"enable\",进入特权模式,命令格式为\">enable\",此时就进入了交换 机配置的特权模式提示符:
#c onfig t
Enter configuration commands,one per line.End with CNTL/Z
(config)#
第4步:为了安全和方便起见,我们分别给这3个Catalyst 1900交换 机起个名字,并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下:
(config)#hostname Switch
1Switch1(config)# enable paword level 15 XXXXXX
Switch1(config)#
【注】特权模式密码必须是4~8位字符这,要注意,这里所输入的密码是以明文形式直接显示的,要注意保密。交换 机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码,也就是说,设置了 level 1 的密码后,你下次连上交换 机,并输入 K 后,就会让你输入密码,这个密码就是 level 1 设置的密码。而 level 15 是你输入了\"enable\"命令后让你输入的特权模式密码。 第5步:设置VLAN名称。因四个VLAN分属于不同的交换 机,VLAN命名的命令为\" vlan vlan号 name vlan名称 ,在Switch
1、Switch
2、Switch
3、交换 机上配置
2、
3、
4、5号VLAN的代码为:
Switch1 (config)#vlan 2 name Prod
Switch2 (config)#vlan 3 name Fina
Switch3 (config)#vlan 4 name Huma
Switch3 (config)#vlan 5 name Info
【注】以上配置是按表1规则进行的。
第6步:上一步我们对各交换机配置了VLAN组,现在要把这些VLAN对应于表1所规定的交换 机端口号。对应端口号的命令是\"vlan- membership static/ dynamic VLAN号 \"。在这个命令中\"static\"(静态)和\"dynamic\"(动态)分配方式两者必须选择一个,不过通常都是选择\"static\"(静态)方式。 VLAN端口号应用配置如下: (1).名为\"Switch1\"的交换 机的VLAN端口号配置如下:
Switch1(config)#int e0/
2Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/
3Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/
4Switch1(config-if)#vlan-membership static 2
……
Switch1(config-if)#int e0/20
Switch(config-if)#vlan-membership static 2
Switch1(config-if)#int Switch1(config-if)# e0/2
1Switch1(config-if)#vlan-membership
static
2
【注】\"int\"是\"nterface\"命令缩写,是接口的意思。\"e0/3\"是\"ethernet 0/2\"的缩写,代表交换 机的0号模块2号端口。 (2).名为\"Switch2\"的交换 机的VLAN端口号配置如下: Switch2(config)#int
e0/2
Switch2(config-if)#vlan-membership
static
3
Switch2(config-if)#int e0/3Switch2(config-if)#int e0/4 Switch2(config-if)#int Switch2(config-if)#int e0/15e0/16
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#vlan-membership static 3
……
Switch2(config-if)#vlan-membership Switch2(config-if)#vlan-membership
static static
33
Switch2(config-if)#
(3).名为\"Switch3\"的交换 机的VLAN端口号配置如下(它包括两个VLAN组的配置),先看VLAN 4(Huma)的配置代码:
Switch3(config)#int e0/2 Switch3(config-if)#int e0/3
Switch3(config-if)#int e0/4 Switch3(config-if)#int e0/8Switch3(config-if)#int e0/9Switch3(config-if)#
Switch3(config-if)#vlan-membership static Switch3(config-if)#vlan-membership static
4
4
Switch3(config-if)#vlan-membership static 4
……
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#vlan-membership static 4
下面是VLAN5(Info)的配置代码:
Switch3(config)#int e0/10
Switch3(config-if)#int e0/11Switch3(config-if)#int e0/12 Switch3(config-if)#int e0/20Switch3(config-if)#int Switch3(config-if)# e0/21
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#vlan-membership static
5 Switch3(config-if)#vlan-membership static 5
……
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#vlan-membership
static
5
好了,我们已经按表1要求把VLAN都定义到了相应交换
机的端口上了。为了验证我们的配置,可以在特权模式使用\"show vlan\"命令显示出刚才所做的配置,检查一下是否正确。 以上是就Cisco Catalyst 1900交换 机的VLAN配置进行介绍了,其它交换 机的VLAN配置方法基本类似,参照有关交换 机说明书即可。
VLAN链路数据包的转发过程
交换网络中,链路有两种类型:接入链路(Acce)和中继链路(Trunk)
接入链路:只是VLAN的成员
中继链路:可以承载多个VLAN
数据帧通过中继链路的变化过程
定理
1 、下面是定义的各种端口类型对各种数据帧的处理方法 ;
Tagged 数据帧 Tagged数据帧 Untagged数据帧 Untagged数据帧
in out in out
Tagged端口 原样接收 原样发送 按端口PVID打TAG标记 按照PVID打TAG标记
Untagged端口 丢弃 去掉TAG标记 按端口PVID打TAG标记 原样发送
2、所谓的Untagged Port和tagged Port不是讲述物理端口的状态,而是将是物理端口所拥有的某一个VID的状态,所以一个物理端口可以在某一个VID上是Untagged Port,在另一个VID上是tagged Port;
3、一个物理端口只能拥有一个PVID,当一个物理端口拥有了一个PVID的时候,必定会拥有和PVID的TAG等同的VID,而且在这个VID上,这个物理端口必定是Untagged Port;
4、PVID的作用只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加TAG标记用的,在交换机内部转发数据的时候PVID不起任何作用;
5 、拥有和TAG标记一致的VID的物理端口,不论是否在这个VID上是Untagged Port或者tagged Port,都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧;
6、拥有和TAG标记一致的VID的物理端口,只有在这个VID上是tagged Port,才可以接受来自交换机外部的标记了这个TAG标记的tagged 数据帧;
以下是神州数码对命令的定义(各个厂家对命令的定义可能不一定一致,但是都必须遵循上面的定理):
1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示,并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外,在其他的VID上都是Tagged Port;
2、Acce端口就是指拥有一个和PVID标记相同的VID的物理端口,在这个VID上,遵循定理一定为untagged Port;
在了解了以上的基础理论之后,我们在来看一下VLAN帧的传输过程:
一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化?
我们先把上述的描述变换为IEEE802.1Q的标准描述:
一个数据包从PC机发出经过(Untagged 数据帧)
ACCESS端口(PVID定义为100,VID=100=Untagged Port)->
TRUNK端口(PVID定义为1〈出厂配置,没有更改〉,VID=1=Untagged Port,VID=100=tagged Port)->
另一个交换机的TRunk端口(PVID定义为1〈出厂配置,没有更改〉,VID=1=Untagged Port,VID=100=tagged Port)->
另一个交换机的ACCESS端口(PVID定义为100,VID=100=Untagged Port)->
PC数据包发生了怎么样的变化?(Untagged 数据帧)
首先假设两台交换机刚刚开机(MAC地址表为空)从PC机发出的数据帧进入交换机的ACCESS端口以后,会按照这个端口的PVID打100的Tag标记,根据交换机的转发原理,交换机会把这个数据帧转发给VID=100的所有端口(除了进口以外),这个过程叫做VLAN Flood;参照上面的定理1;
由于Trunk端口拥有VID=100,所以才可接受这个标记Tag为100的tagged数据帧;参照上面的定理5;
由于Trunk端口在VID=100上为tagged Port,所以在发送数据帧出交换机的时候,不改变Tagged数据帧的结构;参照上面的定理1;
到了另一个交换机的Trunk端口的时候,由于Trunk端口拥有VID=100,所以才可接受这个标记Tag为100的tagged数据帧;参照上面的定理6;
另一个交换机的Trunk端口,接收到标记tag为100的tagged数据帧,并不作任何的更改;参照上面的定理1;
另一个交换机收到到标记tag为100的tagged数据帧,根据交换机的转发原理,交换机会把这个数据帧转发给VID=100的所有端口(除了进口以外);参照交换机交换原理(受到一个未知目的MAC数据帧);
这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧;参照上面的定理5;
另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候,会去掉TAG标记,转发untagged数据帧给PC;参照上面的定理1;这样PC机就收到了这个数据.
VLAN技术与VLAN的网络管理、测试
过去常常在网络里使用路由器和集线器,而现在很多网络使用交换机,怎样面对路由网络和交换技术的挑战吗?
目前,交换机在网络市场上占据了主导地位,其中原因是:首先是交换机性价比高,其次是结构灵活,可以随着未来应用的变化而灵活配置。
数字最能说明问题。在有一个100Mbps上行链路的交换机里,每个10Mbps受控交换机端口的成本为100美元。路由选择技术并不真正按给每个端口分配一个用户的方式来分段网络,每个路由器端口的成本至少是交换机端口的三四倍,因而管理负担大得惊人。尽管用路由器分段的网络只有TCP/IP通信量,但由于成本高,性能不高,子网太多,并且配置工作量大,所以很快就行不通了。
相比而言,交换机和集线器一样,是即插即用设备。目前正在出现具有“自学”功能的路由选择设备,采用所支持的协议自动配置端口。
在缺省情况下,纯交换网络是平面网络。如果每个节点都有自己的交换端口,网络就很难发生争用情况,即入站通信量与节点的出站通信量发生资源争用,反之亦然。相比而言,在传统的共享网段或者环里,每个节点的吞吐量随着节点的增多而下降,例如有25个节点的10BaseT网络只能给每个节点平均提供400Kbps带宽,而有专业交换端口的节点却拥有10Mbps吞吐量。
一般被节点用于做广告或者寻找目前未知的广播技术可大大提供这种网络的吞吐量,而通常的单址广播帧只能广播到一个目的地节点和中间交换端口。自从网桥流行的那一天起,我们就知道我们实际上并不希望有数千个节点的广播域,因为广播风暴无法预测且难以控制。 把平面网络变成较小的广播域,无异于使交换网络变成一种丰富多彩的调色板。与其用路由器定义任意大小的子网,倒不如用交换机建立VLAN。
VLAN的管理
VLAN与交换网络密不可分,但实施VLAN要重新定义管理环境。VLAN定义的逻辑域涉及网络里的可能视图,因而网络管理平台可显示IP图像,有时还会显示基于IPX的图像。如果部署VLAN,其拓扑可能与上述视图不匹配。当VLAN部署完毕之后,你很可能对根据逐个VLAN监视通信量并生成警报这一点感兴趣。
在目前,大多数基于交换机的VLAN是专用的。IEEE 802.1P委员会开发出一种多址广播标准,使VLAN成员可以在取消VLAN广播抑制任务的情况下通信。在可互操作的软件和硬件里实现上述标准之前,VLAN配置仍将要求维护单一供应商交换机环境。
即使在单一供应商VLAN里,网络管理也是一种挑战,例如检查VLAN对话要求管理软件处理的统计信息不同于检查常见的LAN或IP子网对话:RMON MIB和RMON-2 MIB分别提供确定LAN和子网信息的框架,而VLAN配置必须定义自己的MIB,或者配置如何根据其他MIB获得上述信息。此外,为了提供连贯的VLAN行为特性图,管理软件要收集并合并来自多个RMON检测器的数据。
如果上述问题很严重,就要考虑捕捉多交换机VALN数据的地方只限于中间交换机链路或者主干网。在大型网络里,主干几乎都在100Mbps以上,高速控制器的部署与常见VLAN不一样,而且成本很高。
VLAN的配置
如果根据交换机端口定义VLAN,通常很容易用某种拖放软件把一个或多个用户分配到特定的VLAN。在非交换环境里,移动、添加或更改操作很麻烦,有可能要改动接线板上的跳线充一个集线器端口移动到另一个端口。然而,改动VLAN分配仍然要靠人工进行:在大型网络里,这样做很费时,因而很多联网供应商鼓吹采用VLAN可以简化移动、添加和更改操作。
基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。如果用户根据MAC地址被分配到一个VLAN或多个VLAN,他们的计算机可以连接交换网络的任何一个端口,所有通信量均能正确无误地到达目的地。显然,管理员要进行VLAN初始分配,但用户移动到不同的物理连接不需要在管理控制台进行人工干预;例如有很多移动用户的站,他们并非总是连接同一端口――或许因为办公室都是临时性的,采用基于MAC地址的VLAN可避免很多麻烦。
传统的Layer3技术怎么样呢?这里离开VLAN最近的是IP子网:每个子网需要一个路由器端口,因为通信量只能通过一个路由器从一个子网移动到另一个子网。由于IP32位地址提供的地址空间很有限,所以很难分配子网地址,还有看你是否熟悉二进制算法。因此,在IP网络里执行移动、添加和更改操作很困难,速度慢,容易出错,而且费用大。另外,在公司更换ISP或者采用新安全策略时,可能有必要重新编号网络,这对于大型网络来说是无法想像的。
实际上,如果有人采用现有的有子网的路由IP网络,并根据IP地址访问任意VLAN成员,路由器就可能会被不必要的通信量淹没。
如果很多子网里都有VALN成员,常用的VLAN广播必须通过路由器才能达到所有成员。此外,糟糕的是广域链路会生成额外广播通信量;有WAN连接服务的VLAN成员数通常应该保持在最低水平。实际上,基于Layer3地址的VLAN成员值有可能在增强和修改现有子网分布方面很有用,例如可通过一个全子网给VLAN添加两个新节点,或者可用两个子网组成一个VLAN而无须重新编号。
Cabletron的SecureFast Virtual Networking Layer3交换技术采用路由服务器模型而不是传统的路由选择模型。第一个信息包传送到路由服务器进行常规路由计算,但交换机能记忆路径,因而后续信息包可在Layer2交换,而无须查对路由表。由于有了基于纯Layer3地址的VLAN,所以IP地址可以作为通用网络ID,允许任何人连接任何数据链路,从而获得全网络访问,大大简化移动、添加和更改任务。
但是,还有其他方法解决IP子网引起的管理问题。DHCP(动态主机配置协议)已经在连接时给用户分配地址的其他技术,都可用于解决上述问题。
VLAN的测试
传统上,共享介质如Ethernet冲突网段或者令牌环,已经成为网络管理的级别单元,连接网段或环任何地方的协议分析仪都可捕捉所以节点自己发生的所有对话。集线器的SNMP代理捕捉整个网段通信量,错误和广播统计信息。RMON检测器(一种网络监视器或手持式故障排除设备)可检测共享介质发生的所有重大事件。这些设备提供测试手段即基本数据捕捉作业,旨在有效管理网络。
交换网络必须装备类似的工具。网络数或者环数成倍增加,因而必备的设备也相应地成倍增加。对于老式10BaseT来说,大多数独立RMON检测器的价格比较昂贵。
同时,任何网段的通信量都可能只有一个源和一个目的地,使问题分析变得很困难。即使是很简单的问题,如观察广播是否正确无误地传送到VLAN成员,而不传送到其他节点,也要把协议分析仪和一个三端口中继器连接到VLAN的每个网段上。
但情况并非很糟糕。常用的连接部件如NIC,连接器,电缆和端口可用以前的方法测试,它们并不受交换结构的影响。服务器,路由器,打印机和工作站发生的问题可能会很难解决。如何路由器采用NetBIOS桥结VLAN不当,可以从VLAN里的任何一个节点诊断出来。其他问题如冲突,应该可以消除掉,因为介质不再是共享介质,或者共享程度不象以前那么高。
针对交换网络测试设备不足的问题,交换机供应商做了很多工作。很多交换机都可配置一个监视端口,以便连接协议分析仪或者其他监视器。在有的交换机里,可以配置监视端口检查任何两个端口之间的通信量。在少数基于底板的交换机里,监视端口可用于捕捉交换机传送的所有通信量。这些监视工作可以通过神奇的电子技术来实现,而不影响交换机的性能,如果你的交换机没有监视端口,并且每个端口都没有RMON,就不能执行监视作业,即使可以执行也很难且代价昂贵。因此购买交换机必须考虑它有没有监视端口。
另外,很多交换机供应商还为每个端口配备了RMON代理。如果基本的交换机硬件没有集成RMON设备,它不会削弱系统的总体性能。
结束语
大供应商旨在支持基于端口、MAC地址和Layer3地址建立VLAN。也有一种说法是支持基于应用的VLAN成员,从而压缩视频或音频数据流的多址广播支持。当VLAN定义很丰富而且灵活的时候,其他令人感兴趣的管理服务才可能走向成熟。特别地,管理员再也不必为了建立VLAN成员而把一个图标拖到一个映象上去,VLAN可采用策略管理动态定义。
随着可动态定义的VLAN产品和方案的推出和实施,配置和管理网络节点所面对的挑战也将发生根本性的转变。对于陷于沉重管理事务的管理员来说,VLAN似乎并不能改变他们的窘境,因为他们必须忘却某些基于路由器的联网原理。但无论如何,每个管理员都将要面对交换式网络,而VLAN是实现商业目标的重要工具。
VC添加资源文件使Vista上用管理员权限
在VC中添加资源文件,使程序在Vista上用管理员权限运行
就像大家使用Vista优化大师或者Windows磁盘整理大师那样,如果开启了UAC用户账户控制系统,那么图标上面都会有个盾牌小图标,而且在运行的时候,也会提示需要管理员权限。考试,大提示是怎么做到的呢?
对于VC程序员来说,这个过程其实并不复杂,大家看下下面的代码:
///////// 本行以下为代码,不含本行
<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>
version=”1.0.0.0″
proceorArchitecture=”X86″
name=”test.exe.manifest”
type=”win32″
/>
///////// 本行以上位代码,不含本行 该代码添加到VC资源中即可, 添加方式: 添加一个“custom”资源,”resource type”填24,把资源ID改为1 如果只有一个可执行文件,也可以通过以下方法添加:
mt.exe -manifest e4nmgr.exe.manifest -outputresource:e4nmgr.exe;1
这样,就可以在C++编译出来的程序里面实现申请管理员权限那个功能了。
Telnet命令的格式和使用
导读:对于Telnet命令的问题,这里我们来简单地讲解一下。我们都知道,一定的语言命令都有其自己的规律和语法。这里我们也将Telnet命令的格式和使用方法为大家总结一下。TELNET(TELecommunications NETwork),它提供了一种本地主机通过网络登录远程服务器的方法.对于Windows、Linux系统来讲需要安装和配置一个Telnet服务器,而对于Unix系统只需要运行一个telnetd(Daemon)的程序即可做为Telnet服务器.命令方式的FTP、Telnet应用参输入数比较多.下面对UNIX和DOS系统上的FTP、Telnet常用命令做一下简单介绍.
Telnet命令
Telnet提供对远程机器的终端服务,即本地机器作为远程的一个虚拟终端对远程机器
进行操作.
Telnet命令格式:
telnet [选项] 主机名
选项包括:
-8 采用8位二进制传输
-E 屏蔽所有的退出
-L 使用8位二进制输出
-a 自动登录
-d 开关DEBUG信息,可从/usr/adm/syslog中看到(UNIX)
-e [ESCAPE_CHAR] 设置退出字符
-l USER 自动登录时作为用户名
Telnet命令使用方法:
在提示符后键入
#telnet [option] HOSTNAME (UNIX) c:\\>TNVT220 HOSTNAME (DOS LanWorkPlace4.0 or 4.2) c:\\>telnet HOSTNAME (ODS LanWorkPlace4.2) 或
#telnet
c:\\> tnvt220
c:\\>telent
屏幕上出现:
TELNET>
TELNET>open hostname 然后等待建立连接,连接建立后远程机器要求输入用户名和口令.
Telnet服务的设定和Telnet端口的变更
导读:Telnet的远程登录服务一直是很多用户喜欢使用的程序。那么这里我们就来阐述一下Windows系统中的Telnet服务配置和Win2003中的Telnet端口的修改问题。希望对大家有所帮助。那么具体内容就来看看文章吧。
windows telnet服务配置
用法:
1.tlntadmn [computer name] [common_options] start | stop | pause |
2.continue
3.| -s | -k | -m | config config_options
4.所有会话用 \'all\'。
5.-s seionid 列出会话的信息。 6.-k seionid 终止会话。
7.-m seionid 发送消息到会话。
8.config 配置 telnet 服务器参数。
9.common_options 为:
10.-u user 指定要使用其凭据的用户
11.-p paword 用户密码
12.config_options 为:
13.dom = domain 设定用户的默认域
14.ctrlakeymap = yes|no 设定 ALT 键的映射
15.timeout = hh:mm: 设定空闲会话超时值
16.timeoutactive = yes|no 启用空闲会话。
17.maxfail = attempts 设定断开前失败的登录企图数。
18.maxconn = connections 设定最大连接数。
19.port = number 设定 telnet端口。
20.sec = [+/-]NTLM [+/-]pawd
21.设定身份验证机构
22.mode = console|stream 指定操作模式。
23.用法: tlntadmn [computer name] [common options] start | stop | pause |
24.continue 25.| -S | -K | -M | config config_options 26.详细帮助请输入 tlntadmn /? 27.C:\\Documents and Settings\\大萝卜>tlntadmn localhost config sec = -NTLM
28.设置更新成功。
29.C:\\Documents and Settings\\大萝卜>
30.C:\\Documents and Settings\\大萝卜>
windows 2003下修改telnet端口
一、修改本地2003的telnet端口方法: c:\\>tlntadmn config port=23(可以把23改为其它未使用的端口)
二、修改远程2003的telnet端口方法c:\\>tlntadmn config \\192.168.9.1 port=23 -u administrator -p benet
注:\\192.168.9.1 对方IP port=23 要修改为的telnet端口 -u 指定对方的用户名 -p 指定对方用户的密码。
telnet服务tlntadmn命令的端口设置
导读:telnet可以帮助我们完成远程的登录设置,那么管理员如何对端口认证等系统进行管理呢?
这里我们就来介绍一下tlntadmn命令的用法。这个命令可以帮助我们完成telnet服务的这些设置。那么,tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
所有会话用 \'all\'.
1.-s seionid 列出会话的信息.
2.-k seionid 终止会话.
3.-m seionid 发送消息到会话.
4.config 配置Telnet服务器参数.
5.
6.common_options 为:
7.-u user 指定要使用其凭据的用户
8.-p paword 用户密码
9.config_options 为:
10.dom = domain 设定用户的默认域
11.ctrlakeymap = yes|no 设定 ALT 键的映射
12.timeout = hh:mm: 设定空闲会话超时值 timeoutactive = yes|no 启用空闲会话.
13.maxfail = attempts 设定断开前失败的登录企图数.
14.maxconn = connections 设定最大连接数.
15.port = number 设定Telnet端口.
16.sec = [+/-]NTLM [+/-]pawd 设定身份验证机构
17.fname = file 指定审计文件名.18.fsize = size 指定审计文件的最大尺寸(MB).19.mode = console|stream 指定操作模式.20.auditlocation = eventlog|file|both 指定记录地点 21.audit = [+/-]user [+/-]fail [+/-]admin 指定审计的事件
使用的办法:
直接运行命令:tlntadmn config sec = -ntlm
注射的话可以直接运行:;exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--运行以后就去掉了ntlm认证.
1.C:\\>tlntadmn config sec = -ntlm -----------------使用admin权限
2.C:\\>at 20:43 /interactive \"cmd\" -----------at命令启用system权限
3.新加了一项作业,其作业 ID = 1
4.C:\\WINNT\\system32>tlntadmn config sec = -ntlm
去除NTML验证的另一个方法:在目标主机上建立好一个管理员用户!在本机建立一个和目标主机上相同的帐号密码的用户,在本机CMD上右击选择运行方式~ 输入该帐号和密码,直接Telnet服务的目标IP, 既可直接饶过NTML验证.
TCM终端可让网络边界更加安全稳固
网络安全设备较之从前,应用普及增长很多。据最新统计,目前我国杀毒市场价值已经达到了15亿;而2008年上半年中国网络安全产品——包括VPN、IDS/IPS、UTM、防火墙、家庭网关、嵌入式安全模块等众多网络安全设备及由其产生的服务,不包括软件产品及配套服务,总体市场规模将达到41.54亿元,继续保持稳定增长。
网络设备的普及并没有带来安全事件发生的减少。仅在 2007 年 7 月 1 日至 12 月 31 日之间,赛门铁克平均每天观测到 61,940 台受 bot 感染的活动计算机,与上一报告期相比增加了 17%。在此报告期,赛门铁克还观测到 5,060,187 台受 bot 感染的不同计算机,与 2007 年上半年相比增加了 1%。尽管这个比率有所增长,但是在本报告期内,赛门铁克检测到的受bot 命令和控制的服务器数量却有所下降。在 2007 年下半年,赛门铁克识别出 4,091 台受 bot 命令和控制的服务器,上一报告期识别出 4,622 台受 bot 命令和控制的服务器,与此相比下降了 11%。
由此可见,木桶理论在信息安全领域同样适用。网络设备安全性再高,网络边界安全不稳,依然成为企业安全的短板。虽然现在很多企业都要求网络终端用户安装杀毒软件,而且很多终端用户也安装了杀毒软件,但商业机密频频被窃的报道却不胜枚举。年初的艳照门事件又再一次给人们以警醒——目前终端设备上的数据缺乏有效的保护手段。
数据保护之道 可信计算芯片
随着可信计算的兴起,终端数据防护多了一条解决之道——据专家介绍可信计算的基础是在每个终端平台上植入一个信任根,让PC从BIOS到操作系统内核层,再到应用层,均构建信任关系,由此建立一个能在网络上广泛传递的信任链。这样,人们将梦想进入一个计算免疫的时代——终端被攻击时可以实现自我保护、自我管理和自我恢复。
在可信计算体系中,密码技术是最重要的核心技术。可信计算技术以可信密码模块为基础,中间通过TCM(TCM,Trust Cryptography Module)的服务模块,来构建可信计算的密码支撑平台,最终,在这个平台中形成了可以有效防御恶意攻击,支撑计算机在整个运行过程中的三个安全体系:第一,防御病毒攻击的体系,通过一种可信链来防御攻击;第二,建立一个可信的身份体系,识别假冒的平台;第三, 高安全性的数据保护体系,使数据能够密封在非常安全的一个区域中,达到非法用户进不来,保密数据无泄露的目的。
如今,联想、方正、同方等安全PC都标配有TCM安全芯片,正如可信专项工作组成员介绍,“以往一些重要客户的PC是普通PC,仅使用一些桌面安全管理,或是内网安全软件,或者是Key的方式,普通的终端安全加固的方式来解决安全问题。而随着可信安全PC的推出,则能够从硬件起实现严密的保护作用”。
此外,各安全PC厂商,已根据不同用户对安全级别使用的不同习惯,研发出相应的解决方案,例如联想的保险箱、中兴集团的移动安全存储、方正的TCM安全应用中心、同方的TST安全解决平台等等。而且,大家耳熟能详的电子商务,DRM,安全支付等存在的安全隐患,都可以使用基于TCM安全芯片的计算机来实现
随着《可信计算密码支撑平台功能与接口规范》等一系列国家政策的出台与推动,以可信密码模块为TCM核心的PC、笔记本电脑、服务器、加密机等系列产品和解决方案,将会逐步被我国政府/军队、制造、金融、企业/科研、公共机构、航天等行业在IT领域广泛采用。未来,整个互联网,不仅终端安全,个人安全,甚至网络的解决方案也将是有安全保障的。
去年底,由12家中国IT民族企业和软件所等重要科研机构在京联合发布了由中国首次自主研发和自主创新的可信计算系列产品,其中可信密码模块TCM芯片被誉为“中国可信计算的安全DNA”。历经半年发展与拓展,在可信计算密码应用工作组众多成员的努力下,如今可信计算产品已经逐步推向市场,并初步得到了良好的市场反响。
面向大众普及还需迈过三道坎
TCM计算机具备诸多安全优势不可否认,而且也得到了部分行业用户的认可。可信计算工作组成员介绍,目前,可信计算技术已广泛应用于政府、军队、金融、科研机构等行业部门,中国可信计算产品的普遍推广,不仅对保护我国信息安全产业的自主发展,保护我国的自主知识产权,构建拥有我国自主产权的可信计算平台起到巨大的推动作用,同时也是中国IT企业走向核心技术领域的重大发展机遇。
然而可信计算机若要面向普通用户做大面积普及还需迈过三个障碍:
可信终端还需普及 “当我们向用户推荐可信计算机是无需讲解何为‘可信计算机’时,可信计算机的普及就不是问题了”,从瑞达信息安全产业股份有限公司市场经理朱凌云话语中,我们可以体会到,目前可信计算机的概念还不为大众用户所熟知,教育市场还需一定时日。
安全与易用性需平衡 记得《定位》书中有一核心观点,永远不要试图改变用户的习惯。可信计算机也面临着同样问题。目前大多数可信计算机为了安全迫使用户彻底改变其以往的使用计算机习惯,这也是用户最不能接受的。不过很多可信计算机厂商已经意识到这个问题的严重性,“联想可信计算产品在易用性上进行了专门设计,尽量不改变用户的使用习惯”,联想控股有限公司产品经理张谦介绍道,“可信计算的易用性问题还比较突出,需要厂商进一步解决易用性的问题。”
售价还没到心理价位 如前所述,目前国内可信计算机的用户多为政府、军队、金融以及科研机构等对数据安全要求极为严格的行业,在用户所占比重最多的中小企业用户对其却很少问津,价格因素是其主要原因。目前可信计算机的单台售价是其相同配置普通计算机售价的3倍到5倍,这对本身IT投入就有限的中小企业而言,虽有需求却只能是望机兴叹了。不过从产品生命周期的规律来看,价格降低是总趋势,现在缺少的是引爆点。
“可信计算机是未来网络终端发展的必然趋势。”这是可信计算工作小组成员的一个统一认识。“中国的TCM仅处在发展的初级阶段,随着技术日益成熟,市场需求越发旺盛,TCM有望成为中国PC的标准配置。” 随着《可信计算密码支撑平台功能与接口规范》等一系列国家政策的出台与推动,以可信密码模块为TCM核心的PC、笔记本电脑、服务器、加密机等系列产品和解决方案,将会逐步被我国政府/军队、制造、金融、企业/科研、公共机构、航天等行业在IT领域广泛采用。未来,整个互联网,不仅终端安全,个人安全,甚至网络的解决方案也将是有安全保障的。
去年底,由12家中国IT民族企业和软件所等重要科研机构在京联合发布了由中国首次自主研发和自主创新的可信计算系列产品,其中可信密码模块TCM芯片被誉为“中国可信计算的安全DNA”。历经半年发展与拓展,在可信计算密码应用工作组众多成员的努力下,如今可信计算产品已经逐步推向市场,并初步得到了良好的市场反响。
面向大众普及还需迈过三道坎
TCM计算机具备诸多安全优势不可否认,而且也得到了部分行业用户的认可。可信计算工作组成员介绍,目前,可信计算技术已广泛应用于政府、军队、金融、科研机构等行业部门,中国可信计算产品的普遍推广,不仅对保护我国信息安全产业的自主发展,保护我国的自主知识产权,构建拥有我国自主产权的可信计算平台起到巨大的推动作用,同时也是中国IT企业走向核心技术领域的重大发展机遇。
然而可信计算机若要面向普通用户做大面积普及还需迈过三个障碍:
可信终端还需普及 “当我们向用户推荐可信计算机是无需讲解何为‘可信计算机’时,可信计算机的普及就不是问题了”,从瑞达信息安全产业股份有限公司市场经理朱凌云话语中,我们可以体会到,目前可信计算机的概念还不为大众用户所熟知,教育市场还需一定时日。
安全与易用性需平衡 记得《定位》书中有一核心观点,永远不要试图改变用户的习惯。可信计算机也面临着同样问题。目前大多数可信计算机为了安全迫使用户彻底改变其以往的使用计算机习惯,这也是用户最不能接受的。不过很多可信计算机厂商已经意识到这个问题的严重性,“联想可信计算产品在易用性上进行了专门设计,尽量不改变用户的使用习惯”,联想控股有限公司产品经理张谦介绍道,“可信计算的易用性问题还比较突出,需要厂商进一步解决易用性的问题。”
售价还没到心理价位 如前所述,目前国内可信计算机的用户多为政府、军队、金融以及科研机构等对数据安全要求极为严格的行业,在用户所占比重最多的中小企业用户对其却很少问津,价格因素是其主要原因。目前可信计算机的单台售价是其相同配置普通计算机售价的3倍到5倍,这对本身IT投入就有限的中小企业而言,虽有需求却只能是望机兴叹了。不过从产品生命周期的规律来看,价格降低是总趋势,现在缺少的是引爆点。
“可信计算机是未来网络终端发展的必然趋势。”这是可信计算工作小组成员的一个统一认识。“中国的TCM仅处在发展的初级阶段,随着技术日益成熟,市场需求越发旺盛,TCM有望成为中国PC的标准配置。”
Strix无线Mesh技术在铁路系统的应用
为了满足铁路系统的车辆移动无线宽带通信系统、铁路沿线维护和应急通信系统的需求,提升高速移动下的宽带无线视频、语音和数据通信能力;Strix Systems第三代无线Mesh(网状网技术)高速移动无线宽带技术,配合铁路站点现有的光纤网络,提供铁路沿线的宽带无线网络通信平台。
作为第三代WLAN无线局域网技术研发和推广的主要厂家,Strix Systems在北美、欧洲和日本等国家和地区进行了无线城市、无线园区、铁路线路等环境下的大规模部署;Strix Systems革命性的Mesh技术提供了高速移动和快速漫游切换的能力,满足了铁路系统大规模部署的需要。Strix Acce/One 无线Mesh网络作为多业务平台(Multi-Service Platform),网络具有自我组织、自动配置、性能自动调节、链路自动修复等特性,支持负载均衡和冗余备份功能,为无线监控、移动无线监控等视频和语音服务提供了稳定可靠的承载平台。
建成的移动宽带无线通信系统做为综合性的通信平台,可为铁路系统系统广泛的应用:
1.数据和语音通信
◆轨道周边区域的通信 ◆维护保养队的通信 ◆货运公司(FOC)操作 ◆货运公司传真服务
◆货运公司驾驶员工作表更新服务
◆列车营运公司(TOC)驾驶员工作表更新服务
◆全部车辆和列车诊断服务
◆餐车库存控制
2.综合的车站服务
◆电子票务
◆时间表更新
◆电子座位预订
◆火车/站点电子广告 (新的收入来源)
3.跟踪和遥感测试服务
◆列车跟踪服务
◆租赁公司监测
4.安全和监控
◆站点CCTV ◆交叉路口CCTV
5.移动用户服务
◆乘客Email服务
◆互联网接入服务
方案描述 利用Strix Systems现有的产品线,提供:
◆根据地形地势,快速设计定制方案的能力?
◆相对较低的部署成本?
◆被广泛证实的可扩展能力和分布式网络架构?
◆支持多种管理方式?
◆满足性能和带宽要求的能力
方案将:
◆为移动平台提供Wi-Fi覆盖(列车、公共汽车、卡车、轮渡和电车等)?
◆支持中高速移动 280km/h?
◆允许互联网和企业VPN接入,支持视频监控和控制系统
Strix Mesh系统构建的mesh网络去掉了节点之间布线的需求,但仍具有分布式网络所提供的冗余机制和重新路由功能。下面以油田行业为例,Strix Mesh节点可分为固定节点和移动节点基本组成。
与传统的无线AP解决方案不同,OWS/IWS网络节点可以被认为不需要使用线缆的是以太网交换机。节点在系统中的职能由节点内的模块组合以及该节点在网络中的位置决定。每个节点都包含了所有用于连接、安全和管理所需的功能,不需要额外的硬件或或者软件。不像是大多数AP仅仅作为无线网络延伸,为用户提供最后一跳,Strix Systems Acce/One是分布式的无线解决方案,更像是今天的互联网。系统允许用户接入和设备互联回程都采用无线通信,不再需要由线缆带来的不方便和高昂费用。Strix的设计也是ad-hoc自组网成为可能,节点在网络环境变化下,仍然保持可靠的网络连接。在回程链路上,使用Turbo A或Super G可支持高达108Mbps的带宽,使其成为有线网络的有效替代方案。
同时,自动发现和自动配置功能允许初期网络建设和后期扩展更加简单。当节点加电后,会自动地发现在网络中的角色并且维护配置。在遇到更好路径的情况下,节点将动态的自我调整。
使用mesh拓扑而不是传统的星形架构,确保网络中没有单点故障;在节点故障、移出或者替代的情况下,网络通过简单的自我调整,就可自动的适应变化。Strix mesh架构在一个OWS节点内使用多个专用802.11a无线模块,组成到下一个OWS节点的回程,提供到有线网络的最短路径(最好的往返时延)。所有可用链路都被监控,并且当有更好的可用路径时自动的进行路径改变。时延是实际延时、RF模块负载、无线信道信噪比和一些其他参数的架加权值。Mesh自动为无线设备到有线的通信或者类似的通信架构作优化。 假设条件
列车速度: 280km/h
Wi-Fi基站距离:
◆基站间距(线性)
◆最小距离: 400m
◆最大距离: 3218m ◆注意: 基于视距LOS环境 ◆杆到铁轨的最远距离: 33m 基站天线安装高度:
◆3.3m~10m
基站间的视距条件将减少基站数量,而转弯和隧道会提高基站数量。
注意:这些数据仅用于参考目的。节点间的距离很多因素有关,如天线使用,发射功率限制、列车配置、地形和隧道等等。
Strix提出3层式的解决方案
Tier-1 网络
Tier-1网络基于802.11a无线传输网络,将部署与铁轨沿线延伸到所有需要覆盖的区域。基站节点部署在铁路沿线区域的杆子上,在 Tier-1多数的无线基站都是完全无线的,仅有一些在车站或其他具有光纤的位置才会是有线基站。在Strix mesh无线回程中的所有流量都将从最近的有线接口处发送到有线网络。所有的Strix回程都是基于AES加密的,允许私有信息在Tier-1网络中的传输。
在每辆列车上都会有一个Strix节点,叫做移动节点,这也是Tier-1网络中的一部分。该节点负责处理快速切换,将列车无缝的接入到铁路沿线由多个固定节点组成的基础架构。
Tier-2 网络
Tier-2网络是车厢内部的无线传输网络,通常由几个OWS、IWS无线节点和第三层网关组成。其中一个OWS/IWS节点将车厢内中的多个无线节点连接到网关的内网网口(该网关完成路由器、NAT和其他功能;而在网关的外网网口将连接到移动节点,该移动节点就是负责将列车无缝接入到铁路沿线固定的无线网络架构。
Tier-2网络具有自动发现邻居节点和自动完成配置的能力,保证整列车多个车厢之间的连接性,仅在列车车厢重新分组和列车配置改变的情况下,才会影响车厢间的连接性。
Tier-3 网络
Tier-3网络提供802.11g的无线接入服务。该无线接入可以服务于列车乘客或者其他诸如视频监控和遥感设备的应用。应用流量通过无线mesh网络回程刀Tier-2网络,最终通过Tier-1网络传输回有线网络。
无论是Tier-1网络或者Tier-2网络对用户都是透明的。用户总是会连接到车厢中距离最近的802.11g节点,而不会感知到网关外网口处不断发生的切换。
◆Strix mesh自动配置和快速自愈的特性将减少部署的负荷和成本。网络中的每一层具有足够的智能,而不需要管理人员的手工干预。
Tier-1网络
Tier-1网络中的所有抱杆安装的节点都连接到多层交换网络中,然后通过路由器连接到ISP网络或者Internet,出于可扩展性考虑,所有的交换应该是基于层次化结构的多层交换系统。所有的抱杆安装的节点必须连接到第二层网络,并且允许组播和广播流量的透明传输。
Tier-1网络中的每个OWS节点选用室外型无线系统OWS2400-20产品,该型号内置了2块802.11a模块和2块802.11g模块,其功能如下:?
◆1快802.11a模块作为mesh汇聚设备,接入列车和其他节点的mesh回程,将mesh网络向远离有线网络方向扩展。该无线模块工作于Client Connect模式
◆另外1块802.11a模块作为mesh回程设备,将无线流量向有线网络方向回传。该无线模块工作于Network Connect模式?
◆OWS2400-20中的2块802.11g模块可以有选择的使用,可以用于铁路沿线的应急服务或者维护队伍的无线通信? ◆在列车机车位置放置Strix MWS100作为移动节点,优化扫描和切换过程
方案解决的问题
数据流中断
有线网络的交换架构变化需要时间来学习每个PC数据流量的位置。在携带一定数量的PC收发数据的快速移动平台(列车)上,当无线网络连接不断 “跳转”时,发送到处于跳转状态下某终端的流量将持续的发送到错误的位置,直到交换网络学习到终端的新位置。这种现象将影响端到端的数据流。
Strix Acce/One网络解决了这个问题。当无线网络连接跳转时,每个回程无线模块代表后面相连的所有已知回程和PC,自动的更新交换架构中的交换表。这种更新交换表的方式将允许不间断的端到端数据服务。
在这里提出的架构,Tier-2网络与列车上的IP网关相连,这样仅有IP网关的MAC地址需要在交换网络中更新,令无线跳转对于终端用户更加透明。
动态实时的上连链路选择和切换
为了解决列车在固定节点之间的快速切换,系统需要持续的背景扫描。当移动速度加快时,切换时间就可能成为问题 – 例如,时速180公里下,对于固定节点间隔为800米的情况下,仅有15秒的时间完成切换和重联合。
Strix Acce/One网络解决了这个问题,无线回程模块持续的背景扫描,以满足自动修复和自动调整共功能。默认状态下,每个WiFi信道5秒钟扫描一次,这对于静态mesh网络是非常充分的。这样,无线回程模块保留了供上连的多个无线链路列表,允许无线回程模块在多个上连链路间切换。
通过减少扫描间隔时间和需要扫描的信道数量,将进一步提高切换时间。换句话说,可以将802.11a的信道扫描减少到4个甚至更少。背景扫描的时间间隔与Tier-1网络中固定节点之间的距离有直接的关系。以上所有的优化手段将会将切换时间减少到50msec。
SSH远程管理网络设备应该注意的事项
思科的大部分网络设备都支持远程管理。即利用远程管理协议以命令行的方式登录到网络设备中,然后对这些设备进行管理。由于地理位置的限制,远程管理现在已经是网络设备管理的主要方式。一般情况下,只有在初始化设置的时候网络管理员才会在通过控制台直接管理网络设备。然后后续的管理维护基本上都是通过远程管理来实现。可见远程管理对于思科网络设备的重要性。
一、配置虚拟端口以支持远程协议
在思科的网络设备上,只要采用了IOS管理系统,那么都支持远程管理协议。不过网络管理员需要注意的是,远程登录跟远程桌面不同。采用SSH等协议来进行远程管理,基本上都是通过命令行方式来进行的。而对于思科网络设备来说,如果要通过命令行形式来管理的,那么有一个前提条件,即需要配置虚拟端口的口令。特别需要说的是,如果要进行带内访问,那么还必须配置enable口令。虽然这个配置并不是很难,但是如果在设备初始化的时候,没有配置虚拟端口的口令。那么就无法通过SSH等远程登陆协议来管理网络设备。
可以利用如下两个命令来配置思科网络设备虚拟端口的口令和enable口令:paword(虚拟终端接口命令)和enable paword(全局配置命令)。这里要注意这个命令的写法。笔者同时还是一个Linux系统工程师。为此在维护思科网络设备的时候,老是把这个 paword口令写成pawd。因为在Linux操作系统中就是利用pawd来代替paword的。
在进行配置的时候,主要需要注意enable paword命令的使用。在这个命令中有一个可选项叫做encryption –type。主要用来指定采用什么方法对口令进行加密。据笔者所知,现在思科的网络设备支持多达7种以上的口令加密方法。如果指定了这个选项的话,那么在交换机上配置这个enable口令的话还需要同时提供encrypted-paword参数作为加密口令。不过对于大部分企业来说,没必要进行这么复杂的设置,即不需要启用这个选项。一般情况下只有这个设备是企业与互联网之间的连接设备,即边界路由器等等,由于其直接向互联网开放,才需要启用。否则的话,为了简单起见,这个选项还是不要采用的好。
二、为SSH协议进行特别的配置
对于思科的网络设备来说,其主要支持h与telent两种远程连接协议。作为网络管理员,需要注意的是这两种远程连接协议的区别,特别是在安全性上的差异。由于Telnet协议在网络中进行数据传输的时候,采用的都是明文的形式。如用户名与密码、指令等等都是通过明文形式传输的。为此其很不安全。故笔者建议大家,采用h协议来进行远程管理。这个协议在功能上跟telnet协议基本相同,只是更加的安全。因为如果采用h协议的话,那么数据在网络中传输采用的都是加密处理过的数据。即使其他攻击者截取了这些信息,不知道加密的方法,他们就无法对数据进行解密。为此他们即使获取了这些信息,也没有丝毫的用处。所以,从安全性上考虑,笔者建议大家采用h远程管理协议。
如果采用telnet协议的话,只需要配置虚拟端口口令与enable口令即可。但是如果采用h协议的话,还需要做一些准备工作。具体的来说,主要有以下几方面的内容。
一是要确认现有的IOS版本是否支持h协议。由于telnet协议出现的早。为了弥补telnet协议的不足,才在后来推出了h协议。为此并不是所有的IOS版本都支持h协议。现在推出的版本都已经支持了这个协议,主要是那些早期的设备。有可能采用的还是旧的IOS,对h协议支持的不是很好。一般来说,要让网络设备支持h协议的话,要求IOS的版本至少要达到12.1以上。如果没有达到这个版本,那么网络管理员可能就需要对其进行升级。以满足h协议管理的要求。
二是需要产生h协议所需要的密钥。除了在版本上要保证外,还需要为h加密传输产生一个密钥。默认情况下,思科的网络设备不会自动产生 h连接所需要的密钥,需要网络管理员利用命令crypto key generate rsa等类似的命令来生成密钥。这个命令的含义就是利用RSA算法产生一个可用的密钥。在比较新的IOS版本中,除了支持RSA以外,网络管理员还可以选择其他类型的密钥。为此可以根据对安全的要求不同,采用不同安全等级的密钥算法。不过笔者认为,一般情况下这个RSA的算法已经足够安全了,特别是对于交换机来说。
三是还需要启用aaa new-model全局配置命令。这个命令主要用来指定h连接所需要使用的本地用户名和口令对入站的SSH会话进行认证,以及完成一些DNS名称和虚拟终端配置方面的工作。对这个AAA进行合理的配置,可以进一步提高SSH远程连接的安全性,以及消除一些SSH远程连接过程中的一个安全隐患。为此网络管理员需要评估h连接的安全风险,并根据风险的等级和来源进行AAA的相关配置。只有如此,才能够有针对性的提高远程管理的安全。
三、SSH背后的一些安全隐患
虽然在大部分情况下,h已经足够安全。但是在一些大型网络的维护中,网络管理员还需要了解h协议的一些安全隐患。说句实话,目前为止还没有哪一家企业或者机构可以拍拍胸脯的说自己开发的协议是绝对安全的。所以从某种程度上来说,安全往往是一种相对的。为此网络管理员对于SSH协议也不能够百分之百的相信,还需要了解这个协议的一些安全隐患。 一般来说,h 协议仍然会受到以下的非法攻击。
如h协议虽然采用了加密机制,但是如果这个加密机制与其安全等级不相符合的话,那么非法攻击者仍然可以收集相关的信息,通过拦截大量的数据桢来进行密钥分析。为此网络管理员应该根据网络设备的位置、角色等因素,来评估这个网络设备的风险等级。然后根据相关的等级,再为其指定适用的加密机制。只有如此,才能够性能与安全两者兼顾。如果对于安全要求级别高的网络设别,而采用了一些简单的加密机制,则攻击者就可以花比较短的时间破译用户名与密码,从而进行攻击。所以在加密机制的选择上,可以根据从高的原则来进行设置。即在安全需要等级不明的情况下,尽量采用比较安全的加密机制。
SSH协议虽然对用户名、口令等采用了加密处理,但是其主要的身份验证方法仍然是依靠用户名与口令来进行验证。如果用户采用了比较简单的用户名与口令,如生日、单个英文单词或者网络设备管理员的默认密码等等,都是比较危险的。只要攻击者愿意,对于这些用户名与密码,攻击者可以通过字典攻击的手段,轻易的破解。
另外,如果攻击者利用h协议进行连续的非授权登陆尝试,则很有可能导致缓冲区溢出或者Dos攻击;如攻击者也可能利用SSH协议向网络设备发送反常算法,如发送无效的IP桢的填充符或者填充符长度或者发送无效的字段等等。这些要么会导致网络设备瘫痪,要么就会占用大量的网络带宽从而影响企业网络的性能。
从以上分析中可以看出,h 协议虽然比较安全,但是这个安全也是相对了。SSH协议也不是一个保险箱,能够百分之百的保证远程管理的安全。作为网络管理员,除了平时要保护用户与口令的安全(不定时的更换用户名与密码、设置比较复杂的密码),还需要采用其他一些技术手段,在必要的时候作为辅助手段来提高SSH协议的安全性。如通过独立的身份认证服务器等等。 总之,采用SSH协议要比采用TELNET协议安全的多。但是即使采用SSH协议,这个安全问题也不容易忽视。
SNMP监测交换机的功能及作用
对于SNMP协议来说,它的应用很广泛。那么今天我们就为大家介绍一下SNMP监测交换机的相关知识。那么这个SNMP监测交换机具体是什么作用呢?用SNMP监测交换机:轻松解决交换机故障问题,在网络时代的今天,大家经常会遇到SNMP监测交换机的故障解决方法,下面将介绍关于SNMP监测交换机的知识,包括如何用SNMP查询交换机等等。
用SNMP查询交换机
对一个交换网络进行故障诊断的最有效办法,应该是通过直接询问交换机来查看网络的状况。这可以通过SNMP监测交换机或者连接到交换机的控制口实现。显然,直接连接到交换机的控制口不是理想的办法,因为这就需要对网络中的每台交换机都有物理上的连接。稍微理想一点的替代方法是搭建连接到交换机控制口的终端服务器。
安恒公司SNMP监测交换机是一个更好的选择,它可以在交换网络带内的任何地方进行查询,不需要附加的硬件。如果您部署了网管系统,还可以配置当利用率、错误、或者其他参数超过门限的时候,交换机主动发出SNMP陷阱。然后利用网管或者监测工具,研究是什么原因造成了门限超出。
事实上几乎所有的交换机都提供SNMP监测交换机功能,哪怕是最便宜的交换机。它们之间主要的区别就是提供的信息多少。一些价格便宜的交换机只提供简单的SNMP监测交换机信息,且是针对整个交换机的;而那些价格贵一些的交换机,还可以提供交换机每个端口的详细信息。 SNMP监测交换机可能是监测交换网络最常用和干扰最少的办法。SNMP监测交换机控制台不需要非常靠近被监测的设备,只要求有路由可达就可以了,同时交换机的安全配置允许控制台与交换机的代理进行通信。
虽然交换机可以识别到错误,但交换机本身并不定时地报告错误,所以使用SNMP监测交换机查询或许是最好的办法。支持SNMP监测交换机有不同的MIB库(管理信息库)。每一种MIB都不同。除了某些对自己的交换机提供支持的私有MIB库,标准的MIB库对交换网络的监测也非常有用。下面是对故障诊断非常有用的一些MIB库。
RFC 1213 ?C MIB II
RFC 1643 ?C Ethernet-Like Interface MIB RFC 2819 ?C RMON Ethernet RFC 2021 ?C RMON 2 RFC 2613 ?C SMON 很多RFC生成之后就不断地在更新和增强。因此我们要检查最近更新的RFC。例如RFC1213,至少更新和增强了五次,生成了5个新的RFC (2011,2012,2013,2358和2665)。除了定义利用率和错误的RFC之外,有关桥接的MIB(RFC1493)也是非常有用的。
使用SNMP监测交换机网络的时候,必须注意安全性。如果SNMP代理没有限制,那么潜在的任何地方的任何人都可以监测到您的网络动态或修改交换机配置。交换机售出的时候默认打开了SNMP,并且使用的是一个非常通用的密码。
SNMP密码叫做通信字符串,使用明文传播,这带来了潜在的危险。SNMP V3提供对通信字符串的加密,减少了这种危险,但是SNMP V3还没有广泛使用。最常用的通信字符串是public。现在,使用public,很多Internet上的SNMP监测交换机都可以被接入。
我们应该立即修改通信字符串。SNMP代理应该为不同的字符串配置不同的接入级别,不同的IP地址、不同的子网也有不同的接入级别。或者根据其它的配置来限制接入的级别。通过路由器接入SNMP代理可能会对SNMP的限制带来一些影响。
防火墙也有可能完全阻止SNMP。即使您能够通过SNMP接入代理,也要求代理支持您所要查询的MIB库。大部分厂家完全支持标准的MIB库。然而,也有一些厂家不支持。有时候为了支持期望的MIB,还需要先对交换机的操作系统进行升级。
这种方法还有一个问题,如果SNMP代理执行的MIB不正确的话,那么响应就完全是错误的了。虽然这并不是经常发生的,但有时候程序设计的错误,会带来错误的响应。交换机不响应SNMP的查询有很多原因。一旦这些问题都解决了,SNMP监测交换机和趋势分析。 结论:故障诊断的一个普遍方法是等待用户的投诉。这个方法虽然简单,但是非常有效。用户能够感知到网络正常的性能是怎样的。一旦有性能下降,网络支持中心就会很快收到客户的投诉。有了用户投诉,您就应该从他的接入点开始做故障诊断了。
这种方法的缺点是完全是被动的,不具有前瞻性的。理想的方法是使用前瞻性地监测。包括定期地查询每个交换机、监测每个交换端口的流量、流量的趋势,同时检测其他的相关网段。把问题解决从故障诊断方式变成故障预防方式。
SNMPMIB的初级操作
在学习SNMP协议的时候,大家应该有所发现。对于Linux SNMP的使用,是一个重点。那么其中也包括了SNMP MIB的一些使用。那么今天就此方面,我们来介绍一下。
SNMP协议(Simple Network Management Protocol)即简单网络管理协议,它为网络管理系统提供了底层网络管理的框架。SNMP协议的应用范围非常广泛,诸多种类的网络设备、软件和系统中都有所采用,主要是因为SNMP协议有如下几个特点:
首先,相对于其它种类的网络管理体系或管理协议而言,SNMP易于实现。SNMP的管理协议、SNMP MIB及其它相关的体系框架能够在各种不同类型的设备上运行,包括低档的个人电脑到高档的大型主机、服务器、及路由器、交换器等网络设备。
Linux SNMP是一系列协议组和规范,它们提供了一种从网络上的设备中收集网络管理信息的方法。Linux SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。
一个SNMP管理代理组件在运行时不需要很大的内存空间,因此也就不需要太强的计算能力。SNMP协议一般可以在目标系统中快速开发出来,所以它很容易在面市的新产品或升级的老产品中出现。尽管SNMP协议缺少其它网络管理协议的某些优点,但它设计简单、扩展灵活、易于使用,这些特点大大弥补了 SNMP协议应用中的其他不足。
其次,SNMP协议是开放的免费产品。只有经过IETF的标准议程批准(IETF是IAB下设的一个组织),才可以改动SNMP协议;厂商们也可以私下改动SNMP协议,但这样作的结果很可能得不偿失,因为他们必须说服其他厂商和用户支持他们对SNMP协议的非标准改进,而这样做却有悖于他们的初衷。
第三,SNMP协议有很多详细的文档资料(例如RFC,以及其它的一些文章、说明书等),网络业界对这个协议也有着较深入的理解,这些都是SNMP协议近一步发展和改进的基础。
最后,SNMP协议可用于控制各种设备。比如说电话系统、环境控制设备,以及其它可接入网络且需要控制的设备等,这些非传统装备都可以使用SNMP协议。
SNMP MIB树状结构
我们懂得SNMP实现方式为了提供遍历管理信息库的手段,SNMP MIB中采用了树状命名方法对每个SNMP管理对象实例命名。每个对象实例的名字都由对象类名字加上一个后缀构成。SNMP对象类的名字是不会相互重复的,因而不同对象类的对象实例之间也少有重名的危险。
SNMP应用实体对Internet管理信息库中的管理对象进行操作。一个SNMP应用实体可操作的管理SNMP对象子集称为SNMP MIB授权范围。SNMP应用实体对授权范围内管理对象的访问仍然还有进一步的访问控制限制,比如只读、可读写等。
在共同体的定义中一般要规定该共同体授权的SNMP管理对象范围,相应地也就规定了哪些SNMP对象实例是该共同体的“管辖范围”,据此,共同体的定义可以想象为一个多叉树,以词典序提供了遍历所有SNMP管理对象实例的手段。有了这个手段,SNMP就可以使用get-next操作符,顺序地从一个对象找到下一个对象。
SNMP中各种管理信息大多以表格形式存在,一个表格对应一个SNMP对象类,每个元素对应于该类的一个SNMP对象实例。那么,管理信息表 SNMP对象中单个元素(对象实例)的操作可以用前面提到的get-next方法,也可以用后面将介绍的get/set等操作。下面主要介绍表格内一行信息的整体操作。
(1)增加一行:通过SNMP只用一次set操作就可在一个表格中增加一行。操作中的每个变量都对应于待增加行中的一个列元素,包括SNMP对象实例标识符。如果一个表格中有8列,则set操作中必须给出8个操作数,分别对应8个列中的相应元素。
(2)删除一行:删除一行也可以通过SNMP调用一次set操作完成,并且比增加一行还简单。删除一行只需要用set操作将该行中的任意一个元素(SNMP对象实例)设置成“非法”即可。
但该操作有一个例外:地址翻译组SNMP对象中有一个特殊的表(地址变换表),该表中未定义一个元素的“非法”条件。因此,SNMP中采用的办法是将该表中的地址设置成空串,而空字符串将被视为非法元素。
至于删除一行时,表中的一行元素是否真的在表中消失,则与每个设备(管理代理)的具体实现有关。因此,网络管理操作中,运行管理进程可能从管理代理中得到“非法”数据,即已经删除的不再使用的元素的内容,因此管理进程必须能通过各数据字段的内容来判断数据的合法性。
SNMP对象树形表格结构我们就讲解到这里了。
Sitemaps安装教程:提高网站访问量
Google定期会发布一些新的服务,这些服务中很多用来帮助网站管理员,管理那些来自访问者的大量数据,或帮助他们获得更多的访问量。其中之一就是Google Sitemaps,通过努力改善Google的网页搜索器(Web crawlers)来搜索网站更新内容的方式,可使网站更新迅速的出现在搜索结果页里,从而提升访问量。
本文中,将解析Google Sitemaps的细节,并通过一个例子,告诉你如何让Sitemaps企业服务。作为一个示范用的网站,我将使用http://www.daodoc.com来进行讲解。一般情况下,我会使用一个虚假的网站来做例子,但是考虑到本文的目的,一个小型的真实网站显然更为有效。
具体细节
我已经在一个上面的综述里提到了Google Sitemaps的用途,但是对于该服务,你还需要理解很多。第一点,Google指出Sitemaps不会降低也不会提升网站在Google中的排名。实际上,Google在Sitemaps的常见问答已经明确的指出了这一点:“使用Google Sitemaps将不会影响网站排名PageRank;计算网页的排名不会因此有任何改变”。不过,如果网站以前并未被索引过,而现在被Google收录了,那么网页排名还是会提升的。我对这一点的看法是:如果你唯一的目的是希望获得更好的排名,那么不要指望Sitemaps。除非Google最终官方宣布Sitemaps会用于这一点,或者你的确想从Sitemaps上获得一些其他好处。
Google并不总会索引你提交的所有网页。比如,如果你提交了一个网址,但是在网站的Robots.txt文件对其进行了保护,那么比起在Sitemaps中的设置,Google的网页搜索器会更尊重Robots.txt中的设定。
第二点,Google也并不担保所有你提交的网页都将被抓取,但是Sitemaps还是会让Google的网页搜索器对网站更加了解。正如Google指出的那样,设置你的Sitemaps通常只会帮助你,而不是伤害你。
即使存在负面影响,Google Sitemaps还是一项非常好的服务。第一点,即便被用于商业应用,它也是完全免费的。对身无分文的blog作者而言,起码这不是坏事。第二点,Sitemaps最强的一点是它帮助网站被索引的速度更快更有效。发现你的网站,提交最新更新的内容,这些都比手工去提交要快很多。
最后,可能也是最重要的,Google提供Sitemaps相关报表工具,以便你在一定范围内收集信息,包括:
咨询状况:为你提供关于通过Googele搜索你的网站、以及返回结果的相关信息。
抓取状况:关于抓取网站资料时成功和失败的信息,就像PageRank信息一样。
页面分析:关于你网站页面的类型、编码类型等统计信息。
索引状态:关于网站如何被索引的信息。举例来说,你会得到一个网站被索引的页面列表,一个连到你网站的页面列表,Google的网页快照中保存你网站的信息,以及许多其他信息。
使用Google Sitemaps
现在你可能对Google Sitemaps能帮你解决难题有了一个更好的想法,让我们来看看如何使用这项服务。
要想让Sitemaps发挥全部作用,需要3个高级步骤:
为网站建立一个Sitemap。
将该Sitemap加入你的Google账户。
使用Google的报表与状态工具。
建立一个Sitemap
Google的Sitemap服务使用Sitemaps来建立,使用Google自行定义的、开放源代码“Sitemap协议”,该协议使用XML提供关于你的网站输出信息。Google甚至还提供给你Google Sitemap生成器,使用这个专用于Google的Sitemap工具非常有趣。
如果你符合下述要求,Google的Sitemap生成器是你的最好选择:
你可以在Web服务器上运行Python 2.2+脚本程序(检查主机是否提供此服务)
你可以向你的WEB服务器上传文件
如果你打算使用acce Log文件来建立一个Sitemap,你必须知道这些log文件的编码模式。
开始之前,先得拿到Sitemap生成器。我已经下载了一个\"tar.gz\"版本的生成器,因为下面实例网站的主机是linux服务器。我的主机支持Python scripts,版本是2.2.3。
把下载下来的文件放到你的网页服务器上,随便取个名字,比如\"sitemap_gen-x.x.tar.gz\"。我把文件放在实例网站的根目录下。下一步,使用gunzip命令来解压缩文件包:
gunzip -dc sitemap_gen-x.x.tar.gz | tar xvf
现在文件内容将被解压到一个同名的目录下,这个目录名后加了.tar.gz的后缀。
在这个文件夹里,可以找到范例文件example_config.xml,并把它拷贝成 config.xml。编辑这个文件,添加必要的注释参数。
base_url (必要): 你网站的最顶级域名地址。比如我的网站,这里就写http://www.daodoc.com。
store_into(必要): sitemap应当被写入的路径和文件名,对我来说,就是\"/home/alowe/www/sitemap.xml.gz\".这个文件你不用事先建立。
default_encoding (可选): 默认编码为UTF-8。如果你的路径或者文件需要一个不同的解码方式,在这里改变它。
verbose(可选): 默认为1,你可以从0到3的改变它,0是不提供诊断输出,3只提供重要输出。
url or urllist (可选):使用这两个指令,告知Sitemap生成器哪些网址将被收录进sitemap。你可以使用url指令一条一条加,或者使用urllist指令指向一个单独的文本文件(文件中写上要收录的所有网址)。我的例子中使用的是url指令,后文你就会看到。如果你选择urllist指令,你依旧还要在文本文件中使用url指令。
url指令只有一个参数:href。就像你可能期望的那样,href参数是完整的路径,包括你的域名,以及你的连接地址。另外,你还可以使用一些可选的属性,比如changefreq, lastmod, 以及priority。
○Changefreq (never,yearly,monthly,weekly,daily,hourly,or always) 用于告知sitemaps多久网址内容会更新一次。
○使用lastmod (ISO8601 datestamp format) 告知上次更新内容的时间。
○并且,使用priority (0到1)告知sitemaps一个特别的网址与整个站点内容之间的相对重要性。比如,使用0.5表示该网址的重要性只是使用1.0网址的一半。Priority的数值可以影响搜索引擎搜索整个网站的顺序。不要认为每个网址后面都写上最大的数字会有什么特别的效果,那只是告诉搜索引擎你的每一个网址都是同样重要而已,因为搜索引擎不会拿这个数字同其他网站作比较。
directory (可选):使用这个标记来定义指定的目录中所有文件都将被包含进网址列表里。这个指令接受3个参数:path, url, default_file。path就是该目录的完整路径(比如,/home/alowe/www)。URl用于给定该目录的web地址(比如,http://www.daodoc.com)。使用default_file指令告知sitemap你服务器的默认访问文件(比如index.php或者index.html)。
accelog: 有两个参数,path和encoding。它允许sitemap生成器为sitemap中包含的地址列表分析相关log文件。
filter: 使用此指令来包含或者删除指定文件。我会在为www.daodoc.com站点编写的样板配置文件中使用它。
实例
给出上述列表后,这是我为www.daodoc.com定制,打算提交给Google Sitemasp的示范配置文件:
