找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 1018|回复: 14

[【求助】] 网络技术综合(实用)!!!

[复制链接]
发表于 2005-11-21 11:02:20 | 显示全部楼层 |阅读模式
代理服务器(Proxy)

  随着因特网技术的迅速发展,越来越多的计算机连入了因特网。它促进了信息产业的发展,并改变了人们的生活、学习和工作方式,对很多人来说,因特网已成为不可缺少的工具。而随着因特网的发展也产生了诸如IP地址耗尽、网络资源争用和网络安全等问题。代理服务器就是为了解决这些问题而产生的一种有效的网络安全产品。

  如果一个单位有几百台微机连网,在上网访问时,将出现网络资源争用和增加上网费用的问题。一台主机访问了某个站点而另一台主机又访问同一个站点,如果是同时访问将出现网络资源争用的问题,如果是相继访问将出现增加本单位网络费用的问题。

  本单位或本单位的各部门的网络均有安全性要求高的数据,而因特网上经常会有一些不安全的行为出现。如果每台主机都直接连到因特网上,势必会对内部网(Intranet)的安全造成严重的危害。因此,使网络安全运行是网络发展的前提条件,也是人们日益关注的热点。

  如何快速地访问Internet站点,并提高网络的安全性,这已成为当今的热门话题。新一代的代理服务器使我们美梦成真。代理服务器(Proxy Server)可以缓解或解决上述问题,是因特网共享解决方案(Internet Sharing Solution)的关键。

  代理服务器软件安装在网络节点上,利用其高速缓存(Cache),可以极大地、极有效地缓存因特网上的资源。当内部网的一个客户机访问了因特网上的某一站点后,代理服务器便将访问过的内容存入它的高速缓存(Cache)中,如果内部网的其他客户机再访问同一个站点时,代理服务器便将它缓存中的内容传输给该客户机,这样就能使客户机共享任何一个客户机所访问过的资源,这样就可以大大地提高访问网站的速度和效率,尤其是对那些冗长、庞大的内容,更可起到立杆见影、事半功倍的作用;同时减少网络传输流量,提高网络传输速度,节约访问时间,降低访问费用。比如一家销售DELL产品的公司,假设有15台需要上网的PC,可能每一台每天都需要访问DELL的Web站点来了解最新产品信息,以便向顾客介绍最新的产品。假设每一个用户需要5分钟时间来获取这些信息,那么15个用户分别连接获取信息,则一共要花费75 分钟的上网时间,但在使用了代理服务器后只要有一个用户访问过DELL的Web站点,其他用户再访问该站点时Proxy Server就可以从Cache中直接提取一份缓存的页面,这样很快就获得了各自所需的信息,很明显,总的上网时间由过去的75分钟下降到5分钟多一点,网络费用自然也降低了接近15倍,如果用户更多则费用降低得更多。

  代理服务器只允许因特网的主机访问其本身,并有选择地将某些允许的访问传输给内部网,这是利用代理服务器软件的功能实现的。采用防火墙技术,易于实现内部网的管理,限制访问地址。代理可以保护局域网的安全,起到防火墙的作用:对于使用代理服务器的局域网来说,在外部看来只有代理服务器是可见的,其他局域网的用户对外是不可见的,代理服务器为局域网的安全起到了屏障的作用。因此,可以提高内部网的安全性。

  另外,代理服务器软件允许使用大量的伪IP地址,节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10.*.*.*这样的内部网保留IP地址,这样可以节约大量的IP。这对缓解目前IP地址紧张问题很有用。还有,在几台PC想连接Interne t,却只有一根拨号线的情况下,代理服务器是一个很合适的解决方案。

  代理服务器的功能

  综上所述,代理服务器(Proxy Server)是一种服务器软件,它的主要功能有:

  1.设置用户验证和记帐功能,可按用户进行记帐,没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。

  2.对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。

  3.增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。

  4.连接Internet与Intranet充当FireWall(防火墙):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。

  5.节省IP开销:如前面所讲,所有用户对外只占用一个IP,所以不必租用过多的IP地址,降低网络的维护成本。

  代理服务器的原理

  代理服务器(Proxy)的工作机制很象我们生活中常常提及的代理商,假设你的机器为A机,你想获得的数据由 B机提供,代理服务器为C机,那么具体的连接过程是这样的:

  首先,A机需要B机的数据,它与C机建立连接,C机接收到A机的数据请求后,与B机建立连接,下载A机所请求的B机上的数据到本地,再将此数据发送至A机,完成代理任务。

  这只是一个简单的描述,实际上代理服务器完成的任务比这要复杂,提供的功能也多得多。代理服务器犹如一个屏障,它容许向Internet发送请求并且接收信息,但禁止未授权用户的访问。目前通过代理方式可以支持绝大部分的In ternet应用,从一般的WWW浏览到RealAudio、NetMeeting等都可以通过代理方式实现,而且目前新型的代理服务器软件可以支持对Novell用户的代理服务。

  代理服务通常由两部分组成:服务器端程序和客户端程序,用户运行客户端程序,先登录至代理服务器(有的是透明处理的,就没有显式的登录),再通过代理服务器就可以访问相应的站点。

  客户端程序可以分为专用客户端及Internet应用内嵌的代理设置。例如WinGate有自己专用的客户端程序Internet Client,在客户机安装了以后,可透明地通过WinGate访问Internet;SocksCap也是一个专用的客户端程序,它是Socket代理的客户端,可以透明地通过Socks代理访问Internet。很多Internet应用都有设置代理的功能,例如IE、Netscape等浏览器都可以设置代理,CuteFTP等FTP软件也可以设置代理。

代理服务器的实现十分简单,只需在局域网的一台服务器上运行相应的服务器端软件,目前代理服务器软件产品十分成熟,功能也很强大,可供选择的服务器软件很多。主要的服务器软件有WinGate公司的WinGate Pro、微软公司的Microsoft Proxy、Netscape的Netscape Proxy、Ositis Soft ware公司的WinProxy、Tiny Software公司的WinRoute、Sybergen Netwo rks公司的SyGate等,这些代理软件不仅可以为局域网内的PC机提供代理服务,还可以为基于Novell网络的用户,甚至UNIX的用户提供代理服务,服务器和客户机之间可以用TCP/IP、IPX、NETBEUI等协议通信,可以提供WWW浏览、FTP文件上载下载、Telnet远程登录、邮件接收发送、TCP/UDP端口映射、SOCKS 代理等服务,可以说目前绝大部分Internet的应用都可以通过代理方式实现。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:02:49 | 显示全部楼层
几种流行的代理服务器软件进行介绍。

  二、WinGate

  WinGate可以算是代理服务器软件中的“元老”了,性能十分成熟,能够提供大量的代理服务,功能十分强大。现在最新的版本是5.0.1。WinGate提供了十几种协议的代理,能够实现Internet上绝大部分应用,对服务器性能的要求不高,可以运行于Windows9x和Windows NT,2000平台上,能够为Windows3.1/3. 2/9x/NT/2000客户提供代理服务,还可以为Novell网络的用户提供代理服务。WinGate提供的功能主要有:

  * WWW缓存,支持HTTP、FTP和HTTPS等协议

  * Socks5代理服务

  * VDOLive/XDMA/POP3/FTP/RealAudio/Telnet代理服务

  * TCP/UDP端口映射连接

  * DHCP服务器(动态IP地址分配服务器)

  * DNS服务器(域名服务器)和远程配置服务

  *用户授权与帐号管理

  *高级登录

  *用户数据库和流量记录

  *客户端自动优化与配置

*防火墙,防病毒功能

*网站智能过滤

*远程管理,实时监控

  应该说这些功能基本上可以满足广大用户的需求。由于已经有专门的文章详细介绍了WinGate的安装、配置和使用,这里不再重复,具体请参照相应的文章及WinGate的文档。关于WinGate软件的最新信息,可以浏览网址:http://www.wingate.com.cn/

  三、Microsoft Proxy Server

  Microsoft Proxy Server是微软公司推出的代理服务器软件产品,是代理服务器产品中的“ 新军”,目前升级叫ISA,面向Windows NT平台,可以实现与Windows NT及Internet In formation Server的无缝连接。Microsoft Proxy Server2.0需要以下系统软件,否则无法安装:Windows NT4.0(中/英版)、Microsoft Internet Informat ion Server2.0或更高版本、Windows NT4.0 Service Pack3或更高,而且必须有一个格式为NTFS的硬盘作为缓存(Cache)。Microsoft Proxy Server2.0也可以装在W indows2000 Server上,但是还得从微软的Web站点下载一个补丁。

  由于Microsoft Proxy Server2.0需要有NTFS格式的硬盘空间做缓存,因此其无法运行在Windows9x平台上,应该说Microsoft Proxy Server2.0对系统的要求要比WinGate高,但是其代理连接(WinSock Proxy服务)的无缝性、透明性要更好,由于与Windows NT良好的结合使得其配置、管理、运行十分简便,客户机只须运行相应的客户端软件,此后用户通过代理上网时与直接上网基本相同,不须做任何特别的设置,在客户端根本无法感到代理服务器的存在。

  Microsoft Proxy Server2.0包括了Web Proxy、Socks Proxy、W insock Proxy:

  * Web Proxy,是标准的Proxy功能,所有的Proxy代理服务器软件都有这个功能。Micro soft Proxy Server2.0还提供了多个Proxy协同工作、级连的功能来合理分配流量,防止网络拥塞,从而提高效率。Microsoft Proxy Server2.0的Web Proxy还提供了Web服务器的反向代理功能,支持将本地的Web服务器放在内部局域网上,能将外部来的在代理服务器80端口上的Web连接请求转到内部相应的Web服务器上去。如果局域网里有多个Web服务器,则代理服务器根据所请求的URL的目录来决定转到哪台W eb服务器上。

  * Sock Proxy,支持Sock4.3a的Proxy,给支持Proxy的Telnet等客户端软件提供代理服务,基于UNIX的系统可以使用到这个代理服务。

  * Winsock Proxy, Microsoft Proxy Server2.0具有它的独到之处。以上的两个Proxy是基本上所有代理服务器都有的功能,只要客户机的Internet应用软件有支持Proxy的功能就可以使用,但是不能实现透明访问的功能,也不能实现除了Web服务器外的服务器(例如FTP服务器)的反向代理,即将除了Web服务器外的服务器放在局域网内部,还可以向外提供服务。而Winsock Proxy就能做到这些。但是Winsock Proxy要求在客户端安装Microsoft Proxy Client。

  由于已经有专门的文章详细介绍Microsoft Proxy Server的安装、配置和使用,这里不再重复,具体请参照相应的文章及文档。关于Microsoft Proxy Server软件的最新信息,可以与微软公司联系,或者浏览网址:http://www.microsoft.com/Proxy/

  四、WinRoute

  Microsoft Proxy Server和WinGate是目前最流行的代理服务器软件,但是我要特别向你推荐的另一个功能强大、很不错的代理服务器软件-WinRoute。与Microsoft Proxy Serv er和WinGate相比,WinRoute又有那些优势呢?Microsoft Proxy Server需要Wi ndows NT与IIS的组合,而且要发挥它的优势(WinSock Proxy的透明性、无缝性)需要安装Mic rosoft Proxy Client程序,这也限制了客户机的平台。WinGate提供代理功能,但无法使用二级代理,而且最不方便的是很多协议(例如邮件等)的使用,尤其是Telnet还要分两步走:先Telnet到代理服务器上,再往外Telnet。

  WinRoute提供了众多而强大的功能,具有以下一些极其吸引人的特性:

  *提供NAT(Network Address Translation)功能:可以做路由器(Router ),让多台机器使用同一个IP地址访问Internet,还能自动保护内部网络不受到外部的攻击

  *端口映射:实现反向代理功能,让外部访问受NAT保护的内部网络所提供的一些服务

  *包过滤:根据您所定义的规则,对经过代理服务器的包进行过滤,以保证安全

  *与应用程序无关:各种基于TCP/IP的程序都能正常使用(所以可以同时使用HTTP Proxy和Soc ks Proxy,自然也可以使用二级代理啦!)

  *安装非常简便,对系统要求不高,Windows9x/NT/2000都可以,并且不需要安装任何专门的客户端软件

  *提供代理服务器,对HTTP代理提供缓存(Cache)

  *支持代理服务的身份验证

  *支持基于IP地址的过滤和限制,提供限制可访问的URL的安全功能

  * DHCP服务器:自动配置网络上的客户机的网络相关参数,例如IP地址、网络掩码

  *电子邮件服务器:接受和发送电子邮件

  *简单的域名服务器(DNS):作为本地局域网的一个简单的域名服务器,包含了一个DNS的缓存,还可以转发 DNS域名查询

  WinRoute的安装

  安装的系统要求:

  操作系统:Windows9x/NT4/2000,其中Windows NT4需要Service Pack 3。安装TCP/IP协议。

  硬件:486/66以上的PC或者服务器,足够的硬盘空间做代理缓存(Cache),双网卡或者网卡+猫(M odem)或者其他组合,至少有一个合法的IP。

  在各大著名的FTP站点均可下载WinRoute,目前的最新版本是4.2.5。下面的安装与设置以WinRoute3.0为例子,更高版本的WinRoute的安装与设置是类似的。

  
  WinRoute的Proxy Server还提供了访问控制的功能。你可以对不同的用户帐号或者组限制允许访问的站点(URL)。在Access设置下面,填写你的控制列表。例如对站点www.cnn.com,允许BOSS 组访问,那么选择Allow to [BOSS]组,则非BOSS组的成员均不可以访问www.cnn.com。目标的URL可以使用统配?..刑睢?”,Allow to下面什么都不填,则Pro xy对任何非Admin组成员都不开放。注意,Admin组成员是不受Proxy的任何访问限制的,设置帐号时应考虑到这一点。如果不想Proxy Server起作用,就不设任何帐号,并且利用统配符“*”限制访问任何站点。另外, Proxy Server是设于本机IP上的,而不是WinRoute占用的两个IP。

  注意!WinRoute的Proxy Server在缺省状态下是可以由任何人访问的,也就是说任何别的人都是可以使用这个Proxy的,这样会有安全问题。现在网上代理猎手Proxy Hunter满天飞,一旦你的Prox y Server没有设置权限而被盯上的话,那就危险啦!

  
  使用WinRoute的Proxy功能:以Netscape Communicator来做例子,选择菜单: Edit/Preferences/Advanced/Proxies,选择Manual Proxy Config uration,按[View...]按钮,在HTTP、FTP和GOPHER几项中输入WinRoute代理服务器的IP地址和端口号3128(缺省)就可以了。

  当然WinRoute还有许多其他功能,例如DNS服务器、DHCP服务器、电子邮件服务器等等(有关这些设置的介绍请参照WinRoute的帮助和文档),但是拥有以上功能已经可以做很多事情了。详细资料还请访问 //www.winroute.com.cn。

  五、SyGate

  与前面介绍的几个代理服务器软件相比,SyGate可以算是一个很容易使用的代理服务器软件了,基本上不用设置什么东西就可以使用。SyGate设计的时候就以“易于使用”为最高优先级,因为SyGate的作者觉得“易于使用 ”是一个很重要的因素。但在管理功能上略逊色于前几个代理服务器软件。

  SyGate的系统要求不高,只需要一台连接Internet的机器,操作系统是Windows9x/NT4 .0(其中Windows NT4.0需要Service Pack3以上),装有TCP/IP协议就可以了。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:03:10 | 显示全部楼层
NetBIOS 端口开放问题
天网安全在线推出全国首个在线安全检测系统--"天网医生",它可以初步检测计算机存在的一些安全隐患,并且根据检测结果判断你系统的级别,引导你进一步解决你系统中可能存在的安全隐患。不过有时,如果你安装并开启了有效的防火墙或进行了有效安全设置,天网会通常会出现一些令普通用户难以理解的结果,如下:
135端口开放!(NT,2000)
或 139端口开放!

关于天网端口扫描检测的说明:
在您电脑上,如果出现了一些标准的、容易受攻击的网络服务端口,端口扫描器会尝试建立标准的TCP/IP(网络)连接。当端口扫描器完成扫描后,那些端口是敞开着的,和从端口扫描器传送了什么连接请求都将一目了然。
检测系统在几个知名的服务端口进行,每个端口的扫描结果会分为开放、关闭和隐藏三种状态。主要是为了提醒联网的用户,在互联网上会有各种各样的端口扫描器在扫描接入互联网的各种系统的网络端口,以寻找系统的安全漏洞。


1、 如何理解并关闭135端口

135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击!!!

对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但任需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。

!!!为了保护你的信息安全,强烈建议你安装微软的最新NT补丁包。!!!

2、如何理解并关闭139端口(NetBIOS提供服务的tcp端口)

Netbios(NETwork Basic Input/Output System)网络基本输入输出系统。是1983年IBM开发的一套网络标准,微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。在利用Windows NT4.0 构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在这样的网络系统内部,利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此,我们很有必要堵上这个可怕的漏洞。

对于win9x :

在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板-网络-删除microsoft网络用户,使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。

方法1:
1.检查NetBEUI是否出现在配置栏中。打开控制面版,双击“网络”选项,打开“网络”对话框。在“配置”标签页中检查己安装的网络组件中是否有NetBEUI。如果没有,点击列表下边的添加按钮,选中“网络协议”对话框,在制造商列表中选择微软,在网络协议列表中选择NetBEUI。点击确定,根据提示插入安装盘,安装NetBEUI。

2.回到“网络”对话框,选中“拨号网络适配器”,点击列表右下方“属性”按钮。在打开的“属性”对话框中选择“绑定”标签页,将除“TCP/IP->网络适配器”之外的其它项目前复选框中的对勾都取消!

3.回到“网络”对话框,选中“TCP/IP->拨号网络适配器”点击列表右下方“属性”按钮,不要怕弹出的警告对话框,点击“确定”。在“TCP/IP属性”对话框中选择“绑定”标签页,将列表中所有项目前复选框中的对勾都取消!点击“确定”,这时Windows会警告你“尚未选择绑定的驱动器。现在是否选择驱动器?”点击“否”。之后,系统会提示重新启动计算机,确认。

4.证实己取消绑定。重新进入“TCP/IP->拨号网络适配器”的“TCP/IP属性”对话框,选定“NetBIOS”标签页,看到“通过TCP/IP启用NetBIOS”项被清除了吧!连点两次“取消”退出“网络”对话框(不要点“确认”,免得出现什么意外)。

方法2:
运行RegEdit.exe 查找串“vnetbios”,找到后再选择“查找下一个”,将找到象“blahblah\\VxD\\VNETBIOS\\”的串,删除“VNETBIOS”项即可。 操作一定要谨慎,误操作可能导致系统崩溃,另关掉139端口后将无法共享文件和打印功能。


对于winNT :

在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板-网络-Netbios接口-WINS客户(tcp/ip)-禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了,不过会造成基于netbios的一些命令无法使用。如net等。


对于WIN2000 :

选中网络邻居——》右键——》本地连接——》INTERNET协议(TCP/IP)——》属性——》高级——》选项——》TCP/IP筛选——》在“只允许”中填入除了137,138,139只外的端口。如果你在局域网中,会影响局域网的使用

当然还有最方便的方法:
选择一条天网的空规则,数据包方向选接收;对方IP地址选任何;协议TCP;本地端口139到139;对方端口0到0;标志位在SYN标志上打勾;动作拦截。
然后把这条规则勾上让它生效,保存即可。


最后谈谈这个后门的端口,137,138是udp端口。当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。在windows9x下可以完全关闭这几个端口。完全禁止了netbios服务。方式是在控制面板-网络-只保留tcp/ip协议和拨号网络适配器。但是这样windows会提示你网络不完整。但是还可以继续使用。在tcp/ip协议里的netbios一项不要选择绑定到tcp/ip协议。这时候你的netbios服务完全停止了。你的机器也没有137,138和139端口了。这样追捕也搞不清你到底是9x还是unix了。windowsNT下可以封锁这些端口。封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。 点击高级按钮激活高级IP地址对话框, 然后点击Enable Secury 对话框,然后点击配置按钮激活TCP/IP安全对话框, 那里列出了那些TCP和UDP端口被允许了。但是好像不能识别拨号网络适配器。

以上的方法都是给不需要连接入局域网的计算机的配置方法。如果你是一台拨号上网的单机那么完全可以禁止netbios服务。但是如果你需要接入局域网的话。那你只能注意加密你的共享资源了。否则全互联网的人都可以通过这个windows的“后门”到你的计算机里了
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:03:42 | 显示全部楼层
路由器防火墙配置命令
一、access-list 用于创建访问规则。
(1)创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

(2)创建扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

(3)删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【参数说明】

normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。

port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。

icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。

icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。

log [可选] 表示如果报文符合条件,需要做日志。

listnumber 为删除的规则序号,是1~199之间的一个数值。

subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。

【缺省情况】

系统缺省不配置任何访问规则。

【命令模式】

全局配置模式

【使用指南】

同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。

使用协议域为IP的扩展访问列表来表示所有的IP协议。

同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。

【举例】

允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

【相关命令】

ip access-group

二、clear access-list counters 清除访问列表规则的统计信息。

clear access-list counters [ listnumber ]

【参数说明】

listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。

【缺省情况】

任何时候都不清除统计信息。

【命令模式】

特权用户模式

【使用指南】

使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。

【举例】

例1:清除当前所使用的序号为100的规则的统计信息。

Quidway#clear access-list counters 100

例2:清除当前所使用的所有规则的统计信息。

Quidway#clear access-list counters

【相关命令】

access-list

三、firewall 启用或禁止防火墙。

firewall { enable | disable }

【参数说明】

enable 表示启用防火墙。

disable 表示禁止防火墙。

【缺省情况】

系统缺省为禁止防火墙。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。

【举例】

启用防火墙。

Quidway(config)#firewall enable

【相关命令】

access-list,ip access-group

四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。

firewall default { permit | deny }

【参数说明】

permit 表示缺省过滤属性设置为“允许”。

deny 表示缺省过滤属性设置为“禁止”。

【缺省情况】

在防火墙开启的情况下,报文被缺省允许通过。

【命令模式】

全局配置模式

【使用指南】

当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。

【举例】

设置缺省过滤属性为“允许”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【参数说明】

listnumber 为规则序号,是1~199之间的一个数值。

in 表示规则用于过滤从接口收上来的报文。

out 表示规则用于过滤从接口转发的报文。

【缺省情况】

没有规则应用于接口。

【命令模式】

接口配置模式。

【使用指南】

使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。

【举例】

将规则101应用于过滤从以太网口收上来的报文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相关命令】

六、settr 设定或取消特殊时间段。

settr begin-time end-time

no settr

【参数说明】

begin-time 为一个时间段的开始时间。

end-time 为一个时间段的结束时间,应该大于开始时间。

【缺省情况】

系统缺省没有设置时间段,即认为全部为普通时间段。

【命令模式】

全局配置模式

【使用指南】

使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。

【举例】

例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2: 设置时间段为晚上9点到早上8点。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相关命令】

timerange,show timerange

七、show access-list 显示包过滤规则及在接口上的应用。

show access-list [ all | listnumber | interface interface-name ]

【参数说明】

all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。

listnumber 为显示当前所使用的规则中序号为listnumber的规则。

interface 表示要显示在指定接口上应用的规则序号。

interface-name 为接口的名称。

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。

【举例】

例1:显示当前所使用的序号为100的规则。

Quidway#show access-list 100

Using normal packet-filtering access rules now.

100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

100 deny udp any any eq rip (no matches -- rule 3)

例2: 显示接口Serial0上应用规则的情况。

Quidway#show access-list interface serial 0

Serial0:

access-list filtering In-bound packets : 120

access-list filtering Out-bound packets: None

【相关命令】

access-list

八、show firewall 显示防火墙状态。

show firewall

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

【举例】

显示防火墙状态。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.

TimeRange packet-filtering enable.

InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted,

0 packets, 0 bytes, 0% denied,

2 packets, 104 bytes, 100% permitted defaultly,

0 packets, 0 bytes, 100% denied defaultly.

From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.

【相关命令】

firewall

九、show isintr 显示当前时间是否在时间段之内。

show isintr

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示当前时间是否在时间段之内。

【举例】

显示当前时间是否在时间段之内。

Quidway#show isintr

It is NOT in time ranges now.

【相关命令】

timerange,settr

十、show timerange 显示时间段包过滤的信息。

show timerange

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。

【举例】

显示时间段包过滤的信息。

Quidway#show timerange

TimeRange packet-filtering enable.

beginning of time range:

01:00 - 02:00

03:00 - 04:00

end of time range.

【相关命令】

timerange,settr

十一、timerange 启用或禁止时间段包过滤功能。

timerange { enable | disable }

【参数说明】

enable 表示启用时间段包过滤。

disable 表示禁止采用时间段包过滤。

【缺省情况】

系统缺省为禁止时间段包过滤功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。

【举例】

启用时间段包过滤功能。

Quidway(config)#timerange enable
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:04:03 | 显示全部楼层
透析ICMP协议(一): 协议原理
篇文章原创自bugfree/CSDN
平台: VC6 Windows XP


ICMP简介:
--------

对于熟悉网络的人来说, ICMP是再熟悉不过了. 它同IP协议一样工作在ISO模型的网络层
, 它的全称是: Internet Control Message Protocal. 其在网络中的主要作用是:
- 主机探测
- 路由维护
- 路由选择
- 流量控制

我主要围绕主机探测来讲解如下的几篇文章:
- 透析ICMP协议(一): 基础知识
协议原理
- 透析ICMP协议(二): 函数简介
Windows Socket 简介
- 透析ICMP协议(三): 牛刀初试之一
应用篇ping(ICMP.dll)
- 透析ICMP协议(四): 牛刀初试之二
应用篇ping(RAW Socket)
- 透析ICMP协议(五):
应用篇路由追踪

对于主机探测来说有很多方法,主机某些服务的BANNER,一些使用的应用程序,或者使
用工具来检测主机,如NMAP,在WEB上有www.netcraft.com来简单的估测主机。下面所讲
的是使用ICMP协议来探测主机,主要也是可以了解ICMP这个协议,这里最主要的也是将
这个ICMP协议,

首先我来讲一下主机探测用到的ICMP报文我没有一一讲全部报文,详细请参见RFC792协
议)

1. 回送或回送响应

  我们使用一个ICMPECHO数据包来探测主机地址是否存活(当然在主机没有被配置为
过滤ICMP形式),通过简单的发送一个ICMPECHO(Type 8)数据包到目标主机,如果ICMPE
CHOReply(ICMPtype0)数据包接受到,说明主机是存活状态。  如果没有就可以初步判
断主机没有在线或者使用了某些过滤设备过滤了ICMP的REPLY。这种机制就是我们通常所
用的ping命令来检测目标主机是否可以ping到.

回送消息的源地址是回送响应消息的目的地址。若要形成一个回送响应消息,应该将源
和目的地址交换,将类型代码更改为0,重新计算机校验码。

下面是这个报文的格式:

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Code | Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identifier | Sequence Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Data ...
+-+-+-+-+-

类型:
8代表回送消息;
0代表回送响应消息。
代码:0
校验码:
16位数据(从ICMP类型开始)的反码和再取反而得。为计算校验码,校验码域应该为零
。这些零在 以后会被校验码取代。
标识符:如果代码=0,帮助匹配回送和回送响应的代码可以为0。
序列码:如果代码=0,帮助匹配回送和回送响应的序列码可以为0。
说明:
回送消息中接收到的消息应该在回送响应消息中返回。标识符和序列码由回送发送者使
用帮助匹配
回送请求的响应。代码: 从主机或网关接收0


2. 超时报文

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Code | Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| unused |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Internet Header + 64 bits of Original Data Datagram |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

类型:11
代码:
0 = 传送超时;
1 = 分段级装超时。
校验码:
16位数据(从ICMP类型开始)的反码和再取反而得。为计算校验码,校验码域应该为零

这些零在以后会被校验码取代。
Internet包头+64位源数据报数据:
Internet包头加上源数据的头64位而得。此数据用于主机匹配信息到相应的进程。
如果高层协议使用端口号,应该假设其在源数据的头64个字节之中。
说明:
如果网关在处理数据报时发现生存周期域为零,此数据报必须抛弃。网关同时必须通过

时信息通知源主机。如果主机在组装分段的数据报时因为丢失段未能在规定时间内组装
数据,
此数据报必须抛弃。网关发送超时信息。
如果段零不可用则不用发送超时信息。
代码0由网关发送,代码1由主机发送。



3. 目标主机不可达报文

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Code | Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| unused |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Internet Header + 64 bits of Original Data Datagram |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

类型:3
代码:
0 = 网络不可达;
1 = 主机不可达;
2 = 协议不可用;
3 = 端口不可达;
4 = 需要段和DF设置;
5 = 源路由失败;

校验码:
16位数据(从ICMP类型开始)的反码和再取反而得。为计算校验码,校验码域应该为零

这些零在以后会被校验码取代。
Internet包头+源数据报:
Internet包头加上源数据的头64位而得。此数据用于主机匹配信息到相应的进程。
如果高层协议使用端口号,应该假设其在源数据的头64个字节之中。
说明:
相应于网关的路由表,如果在目的域中指定的网络不可达,如网络距离为无限远,网关
会向发送
源数据的主机发送目的不可达消息。而且,在一些网络中,网关有能力决定目的主机是
否可达。
如果目的地不可达,它将向发送源数据的主机发送不可达信息。
在目的主机,如果IP模块因为指定的协议模块和进程端口不可用而不能提交数据报,目
的主机将
向发送源数据的主机发送不可达信息。

另外一种情况是当数据报必须被分段传送,而“不可分段”位打开,在这种情况下,网
关必须抛弃
此数据报,并向向发送源数据的主机发送不可达信息。

代码0,1,4和5由网关发送,而代码2和3由主机发送。

链接:
-------
我的其它文章,<<透析ICMP协议>>, 和其它文章参见:
http://www.csdn.net/develop/author/netauthor/bugfree/

透析ICMP协议(五): 应用篇路由追踪
透析ICMP协议(四): 牛刀初试之二 应用篇ping(RAW Socket)
透析ICMP协议(三): 牛刀初试之一 应用篇ping(ICMP.dll)
透析ICMP协议(二): Windows Socket 简介
透析ICMP协议(一): 协议原理

子网掩码及其应用



  在TCP/IP协议中,SUBNET MASKS(子网掩码)的作用是用来区分网络上的主机是否在同一网络取段内。在大型网络中,CLASS A的SUBNET MASKS为255.0.0.0, CLASS B的SUBNET MASKS为255.255.0.0,CLASS C的SUBNET MASKS为255.255.255.0。

  假如某台主机的SUBNET MASKS为IP地址为202.119.115.78,它的SUBNET MASKS为255.255.255.0。将这两个数据作AND运算后,所得出的值中的非0的BYTE部分即为NETWORK ID 。运算步骤如下:

  202.119.115.78的二进制值为:
  11001010.01110111.01110011.01001110
  255.255.255.0的二进制值为:
  11111111.11111111.11111111.00000000
  AND后的结果为:  
  11001010.01110111.01110011.00000000
  转为二进制后即为:
  202.119.115.0

  它就是NETWORK ID,在IP地址中剩下的即为HOST ID,即为78,这样当有另一台主机  的IP 地址为202.119.115.83,它的SUBNET MASKS也是255.255.255.0,则其NETWORK ID  为202.119.115,HOST ID为83,因为这两台主机的NETWORK ID都是202.119.115,因此,这两台主机在同一网段内。

  但是,在实际应用中,可能会有多个分布与各地的网络,而且,每个网络的主机数量并不很多,如果申请多个NETWORK ID,会造成IP资源的浪费,而且很不经济,如果我们在SUBNET MASKS上动一下手脚,可以在只申请一个NETWORK ID的基础上解决这个问题。

  比如,我们有三个不同的子网,每个网络的HOST数量各为20、25和50,下面依次称为甲、乙和丙网,但只申请了一个NETWORK ID 就是202.119.115。首先我们把甲和乙网的SUBNET MASKS改为255.255.255.224,224的二进制为11100000,即它的SUBNET MASKS为:

  11111111.11111111.11111111.11100000

  这样,我们把HOST ID的高三位用来分割子网,这三位共有000、001、010、011、100、 101、110、111八种组合,除去000(代表本身)和111(代表广播),还有六个组合,也就是可提供六个子网,它们的IP地址分别为:(前三个字节还是202.119.115)


  00100001~00111110 即33~62为第一个子网
  01000001~01011110 即65~94为第二个子网
  01100001~01111110 即97~126为第三个子网  
  10000001~10011110 即129~158为第四个子网  
  10100001~10111110 即161~190为第五个子网  
  11000001~11011110 即193~222为第六个子网
  选用161~190段给甲网,193~222段给乙网,因为各个子网都支持30台主机,足以应付甲网和乙网20台和25台的需求。

  再来看丙网,由于丙网有50台主机,按上述分割方法无法满足它的IP需求,我们 可以将它的SUBNET MASKS设为255.255.255.192, 由于192的二进制值为11000000,按上述方法,它可以划分为两个子网,IP地址为:

  01000001~01111110 即65~126为第一个子网  
  10000001~10111110 即129~190为第二个子网

  这样每个子网有62个IP可用,将65~126分配丙网,多个子网用一个NETWORK ID 即告实现。


  如果将子网掩码设置过大,也就是说子网范围扩大。那么根据子网寻径规则,很可能发往和本地机不在同一子网内的目的机的数据,会因为错误的相与结果而认为是在同一子网内,那么,数据包将在本子网内循环,直到超时并抛弃。数据不能正确到达目的机,导致网络传输错误。如果将子网掩码设置得过小,那么就会将本来属于同一子网内的机器之间的通信当做是跨子网传输,数据包都交给缺省网关处理,这样势必增加缺省网关的负担,造成网络效率下降。因此,任意设置子网掩码是不对的,应该根据网络管理部门的规定进行设置。

  随着IP地址资源的日趋枯竭,可供分配的IP地址越来越少,往往一个拥 有几百台计算机规模的网络只能得到区区几个IP地址,于是,许多人开始采用其他技术来扩展IP空间。

  1.子网掩码设置

  如果你所分配的IP地址仅能满足对主机的需求,但远不能满足你欲在局 域网中再建若干子网的需要,设置子网掩码就是你不得不采取的措施了。

  子网掩码同样也以四个字节来表示,用来区分IP地址的网络号和主机号, 默认子网掩码如下表所示:

  子网掩码(以十进制表示)
  A类 255.0.0.0
  B类 255.255.0.0
  C类 255.255.255.0

  当IP地址与子网掩码相与时,非零部分即被确认为网络号。

  假如我们将子网掩码中第四字节最高位起的某些位由0修改成1,使本来应当属于主机号的 部分改变成为网络号,这样就实现了我们划分子网的目的。例如你得到了一个C类网络地址198.189.98,按常规,你所有的设备从198.189.98.0到198.189.98.254都将处于同一网络之中,但如果你需要将自己 的网络划分成5个子网以便管理,那就必须修改子网掩码255.255.255.0,将此 掩码的第四个字节中的前三位再拿出来充当子网掩码,即将第四字节的00000000 修改成11100000(十进制数为224),故应当将子网掩码设置为255.255.255.224。这样我们有001、010、011、100、101、110六种方式与之相与得到不同的网络号(除去000和111作为保留地址不能使用),各子网的前三个字节仍然是198.189.98。可以知道:如子网掩码的位数越多,能划分的子网数也就越多,但 是每个子网的主机数就会越少。子网掩码的划分设置也有一个缺点:划分的子网越多,损失的IP地址也会越多。因为每个子网都会保留全0或全1的两个地址而不能使用。

  2.动态IP地址设置

  DHCP(DynamicHostConfigurationProtocol)动态主机配置协议是一种 多个工作站共享IP地址的方法。当我们分配到的IP地址数目远小于一个网络工作站的数目时,如果为每个设备都分配一个固定的IP地址,则显然有一部分计 算机将不能连入网络。DHCP为我们提供了一个较好的解决方法,其前提条件是其中每一个设备都不是随时都需要连接入网,并且同一时刻上网的设备不会很多。动态IP地址,顾名思义就是每一个设备所取得的IP地址是非固定的,即计算机连入网络时自动申请取得一个合法的IP地址,断开网络时自动归还,以便其他计算机使用。这样,我们可以用较少的IP地址构建较大的网络,也可以 增加网络工作站的可移性,如果一台主机从一个子网移动到另一个子网时,由于网络号的不同将修改该计算机的IP地址,否则无法与其他主机通信,而如果我 们采用动态IP地址,就会减少网络管理的复杂性。现在DHCP已非常流行,所支持的软件很多,且可以运行于不同机器和平台。目前拨号上Internet的用户就基本上采用这种方法。

  3.非路由地址

  在IP地址范围内,IANA(InternetAssignedNumbersAuthority)将一部 分地址保留作为私人IP地址空间,专门用于内部局域网使用,这些地址如下表:
  类 IP地址范围             网络数
  A 10.0.0.0---10.255.255.255     1
  B 172.16.0.0---172.31.255.255    16
  C 192.168.0.0---192.168.255.255   255

  这些地址是不会被Internet分配的,因此它们在Internet上也从来不会被路由,虽然它们不能直接和Internet网连接,但仍旧可以被用来和Internet通讯,我们可以根据需要来选用适当的地址类,在内部局域网中大胆地将这些地址当作公用IP地址一样地使用。在Internet上,那些不需要与Internet通讯的设备,如打印机、可管理集线器等也可以使用这些地址,以节省IP地址资源。

  4.代理服务器

  代理服务器其实是Internet上的一台主机设备,它有一个固定的IP地址,当你需要上Internet时,就向该服务器提出请求,代理服务器接受请求并为你 建立连接,然后将你所需要的服务返回信息通知你,所有的数据信息和通讯处理 都是通过代理服务器的IP地址来完成。这种情况下,我们局域网内部的主机就应使用非路由地址,这样,即能保证内部主机之间的通讯,又能拒绝外来网络的 直接访问请求。

  代理服务器具有以下两个优点:一是如果你请求的数据已被同一网段上的其他人请求过了,那么大多数代理服务器都能从Cache中调用这些数据直接传给你,避免重新连接的时间和带宽;二是代理服务器可以保护你的内部网络不受入侵,也可以设置对某些主机的访问能力进行必要限制,这实际上起着代理防火墙 的作用。

  支持代理服务器的软件也非常多,WinGate、MsProxy等都是非常流行的代理服务器软件。在中国,代理服务器的使用也越来越广泛,中国公众多媒体通讯网(169)其实就是一个巨大的使用代理服务器的例子。

  5.地址翻译

  所谓地址翻译实际上是路由器中的一个数据包处理过程。当数据包通过路由器时,地址翻译过程将其中的内部私有IP地址解析出来,将其翻译为一个合法的IP地址。地址翻译过程可以按预先定义好的地址表一一映射翻译,也可以将多个内部私有地址翻译为一个外部合法IP地址。由于网络内每个设备都有一个内部稳定的IP地址,所以这种方法具有较 强的网络安全控制性能。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:04:18 | 显示全部楼层
磁盘阵列技术
磁盘阵列(DiscArray)是由许多台磁盘机或光盘机按一定的规则,如分条(Striping)、分块(Declustering)、交叉存取(Interleaving)等组成一个快速,超大容量的外存储器子系统。它在阵列控制器的控制和管理下,实现快速,并行或交叉存取,并有较强的容错能力。从用户观点看,磁盘阵列虽然是由几个、几十个甚至上百个盘组成,但仍可认为是一个单一磁盘,其容量可以高达几百~上千千兆字节,因此这一技术广泛为多媒体系统所欢迎。
  盘阵列的全称是:RedundanArrayofInexpensiveDisk,简称RAID技术。它是1988年由美国加州大学Berkeley分校的DavidPatterson教授等人提出来的磁盘冗余技术。从那时起,磁盘阵列技术发展得很快,并逐步走向成熟。现在已基本得到公认的有下面八种系列。
1.RAID0(0级盘阵列)
  RAID0又称数据分块,即把数据分布在多个盘上,没有容错措施。其容量和数据传输率是单机容量的N倍,N为构成盘阵列的磁盘机的总数,I/O传输速率高,但平均无故障时间MTTF(MeanTimeToFailure)只有单台磁盘机的N分之一,因此零级盘阵列的可靠性最差。
2.RAID1(1级盘阵列)
  RAID1又称镜像(Mirror)盘,采用镜像容错来提高可靠性。即每一个工作盘都有一个镜像盘,每次写数据时必须同时写入镜像盘,读数据时只从工作盘读出。一旦工作盘发生故障立即转入镜像盘,从镜像盘中读出数据,然后由系统再恢复工作盘正确数据。因此这种方式数据可以重构,但工作盘和镜像盘必须保持一一对应关系。这种盘阵列可靠性很高,但其有效容量减小到总容量一半以下。因此RAID1常用于对出错率要求极严的应用场合,如财政、金融等领域。
3.RAID2(2级盘阵列)
  RAID2又称位交叉,它采用汉明码作盘错检验,无需在每个扇区之后进行CRC(CyclicReDundancycheck)检验。汉明码是一种(n,k)线性分组码,n为码字的长度,k为数据的位数,r为用于检验的位数,故有:n=2r-1r=n-k
  因此按位交叉存取最有利于作汉明码检验。这种盘适于大数据的读写。但冗余信息开销还是太大,阻止了这类盘的广泛应用。
4.RAID3(3级盘阵列)
  RAID3为单盘容错并行传输阵列盘。它的特点是将检验盘减小为一个(RAID2校验盘为多个,DAID1检验盘为1比1),数据以位或字节的方式存于各盘(分散记录在组内相同扇区号的各个磁盘机上)。它的优点是整个阵列的带宽可以充分利用,使批量数据传输时间减小;其缺点是每次读写要牵动整个组,每次只能完成一次I/O。
5.RAID4(4级盘阵列)
  RAID4是一种可独立地对组内各盘进行读写的阵列。其校验盘也只有一个。
  RAID4和RAID3的区别是:RAID3是按位或按字节交叉存取,而RAID4是按块(扇区)存取,可以单独地对某个盘进行操作,它无需象RAID3那样,那怕每一次小I/O操作也要涉及全组,只需涉及组中两台磁盘机(一台数据盘,一台检验盘)即可。从而提高了小量数据的I/O速率。
6.RAID5(5级盘阵列)
  RAID5是一种旋转奇偶校验独立存取的阵列。它和RAID1、2、3、4各盘阵列的不同点,是它没有固定的校验盘,而是按某种规则把其冗余的奇偶校验信息均匀地分布在阵列所属的所有磁盘上。于是在同一台磁盘机上既有数据信息也有校验信息。这一改变解决了争用校验盘的问题,因此DAID5内允许在同一组内并发进行多个写操作。所以RAID5即适于大数据量的操作,也适于各种事务处理。它是一种快速,大容量和容错分布合理的磁盘阵列。
7.RAID6(6级盘阵列)
  RAID6是一种双维奇偶校验独立存取的磁盘阵列。它的冗余的检、纠错信息均匀分布在所有磁盘上,而数据仍以大小可变的块以交叉方式存于各盘。这类盘阵列可容许双盘出错。

8.RAID7(7级盘阵列)
  RAID7是在RAID6的基础上,采用了cache技术,它使得传输率和响应速度都有较大的提高。Cache是一种高速缓冲存储器,即数据在写入磁盘阵列以前,先写入cache中。一般采用cache分块大小和磁盘阵列中数据分块大小相同,即一块cache分块对应一块磁盘分块。在写入时将数据分别写入两个独立的cache,这样即使其中有一个cache出故障,数据也不会丢失。写操作将直接在cache级响应,然后再转到磁盘阵列。数据从cache写到磁盘阵列时,同一磁道的数据将在一次操作中完成,避免了不少块数据多次写的问题,提高了速度。在读出时,主机也是直接从cache中读出,而不是从阵列盘上读取,减少与磁盘读操作次数,这样比较充分地利用了磁盘带宽。
  这样cache和磁盘阵列技术的结合,弥补了磁盘阵列的不足(如分块写请求响应差等缺陷),从而使整个系统以高效、快速、大容量、高可靠以及灵活、方便的存储系统提供给用户,从而满足了当前的技术发展的需要,尤其是多媒体系统的需要。
解析磁盘阵列的关键技术
存储技术在计算机技术中受到广泛关注,服务器存储技术更是业界关心的热点。一谈到服务器存储技术,人们几乎立刻与SCSI(Small Computer Systems Interface)技术联系在一起。尽管廉价的IDE硬盘在性能、容量等关键技术指标上已经大大地提高,可以满足甚至超过原有的服务器存储设备的需求。但由于Internet的普及与高速发展,网络服务器的规模也变得越来越大。同时,Internet不仅对网络服务器本身,也对服务器存储技术提出了苛刻要求。无止境的市场需求促使服务器存储技术飞速发展。而磁盘阵列是服务器存储技术中比较成熟的一种,也是在市场上比较多见的大容量外设之一。
在高端,传统的存储模式无论在规模上,还是安全上,或是性能上,都无法满足特殊应用日益膨胀的存储需求。诸如存储局域网(SAN)等新的技术或应用方案不断涌现,新的存储体系结构和解决方案层出不穷,服务器存储技术由直接连接存储(DAS)向存储网络技术(NAS)方面扩展。在中低端,随着硬件技术的不断发展,在强大市场需求的推动下,本地化的、基于直接连接的磁盘阵列存储技术,在速度、性能、存储能力等方面不断地迈上新台阶。并且,为了满足用户对存储数据的安全、存取速度和超大的存储容量的需求,磁盘阵列存储技术也从讲求技术创新、重视系统优化,以技术方案为主导的技术推动期逐渐进入了强调工业标准、着眼市场规模,以成熟产品为主导的产品普及期。
回顾磁盘阵列的发展历程,一直和SCSI技术的发展紧密关联,一些厂商推出的专有技术,如IBM的SSA(Serial Storage Architecture)技术等,由于兼容性和升级能力不尽如人意,在市场上的影响都远不及SCSI技术广泛。由于SCSI技术兼容性好,市场需求旺盛,使得SCSI技术发展很快。从最原始5MB/s传输速度的SCSI-1,一直发展到现在LVD接口的160MB/s传输速度的Ultra 160 SCSI,320MB/s传输速度的Ultra 320 SCSI接口也将在2001年出现(见表1)。从当前市场看,Ultra 3 SCSI技术和RAID(Redundant Array of Inexpensive Disks)技术还应是磁盘阵列存储的主流技术。
SCSI技术
SCSI本身是为小型机(区别于微机而言)定制的存储接口,SCSI协议的Version 1 版本也仅规定了5MB/s传输速度的SCSI-1的总线类型、接口定义、电缆规格等技术标准。随着技术的发展,SCSI协议的Version 2版本作了较大修订,遵循SCSI-2协议的16位数据带宽,高主频的SCSI存储设备陆续出现并成为市场的主流产品,也使得SCSI技术牢牢地占据了服务器的存储市场。SCSI-3协议则增加了能满足特殊设备协议所需要的命令集,使得SCSI协议既适应传统的并行传输设备,又能适应最新出现的一些串行设备的通讯需要,如光纤通道协议(FCP)、串行存储协议(SSP)、串行总线协议等。渐渐地,“小型机”的概念开始弱化,“高性能计算机”和“服务器”的概念在人们的心目中得到强化,SCSI一度成为用户从硬件上来区分“服务器”和PC机的一种标准。
通常情况下,用户对SCSI总线的关心放在硬件上,不同的SCSI的工作模式意味着有不同的最大传输速度。如40MB/s的Ultra SCSI、160MB/s的Ultra 3 SCSI等等。但最大传输速度并不代表设备正常工作时所能达到的平均访问速度,也不意味着不同SCSI工作模式之间的访问速度存在着必然的“倍数”关系。SCSI控制器的实际访问速度与SCSI硬盘型号、技术参数,以及传输电缆长度、抗干扰能力等因素关系密切。提高SCSI总线效率必须关注SCSI设备端的配置和传输线缆的规范和质量。可以看出,Ultra 3模式下获得的实际访问速度还不到Ultra Wide模式下实际访问速度的2倍。
一般说来,选用高速的SCSI硬盘、适当增加SCSI通道上连接硬盘数、优化应用对磁盘数据的访问方式等,可以大幅度提高SCSI总线的实际传输速度。尤其需要说明的是,在同样条件下,不同的磁盘访问方式下获得的SCSI总线实际传输速度可以相差几十倍,对应用的优化是获得高速存储访问时必须关注的重点,而这却常常被一些用户所忽视。按4KB数据块随机访问6块SCSI硬盘时,SCSI总线的实际访问速度为2.74MB/s,SCSI总线的工作效率仅为总线带宽的1.7%;在完全不变的条件下,按256KB的数据块对硬盘进行顺序读写,SCSI总线的实际访问速度为141.2MB/s,SCSI总线的工作效率高达总线带宽的88%。
随着传输速度的提高,信号传输过程中的信号衰减和干扰问题显得越来越突出,终结器在一定程度上可以起到降低信号波反射,改善信号质量的作用。同时,LVD(Low-Voltage Differential)技术的应用也越来越多。LVD工作模式是和SE(Single-Ended)模式相对应的,它可以很好地抵抗传输干扰,延长信号的传输距离。同时,Ultra 2 SCSI和Ultra 3 SCSI模式也通过采用专用的双绞型SCSI电缆来提高信号传输的质量。
在磁盘阵列的概念中,大容量硬盘并不是指单个硬盘容量大,而是指将单个硬盘通过RAID技术,按RAID 级别组合成更大容量的硬盘。所以在磁盘阵列技术中,RAID技术是比较关键的,同时,根据所选用的RAID级别的不同,得到的“大硬盘”的功能也有不同。
RAID是一项非常成熟的技术,但由于其价格比较昂贵,配置也不方便,缺少相对专业的技术人员,所以应用并不十分普及。据统计,全世界75%的服务器系统目前没有配置RAID。由于服务器存储需求对数据安全性、扩展性等方面的要求越来越高,RAID市场的开发潜力巨大。RAID技术是一种工业标准,各厂商对RAID级别的定义也不尽相同。目前对RAID级别的定义可以获得业界广泛认同的只有4种,RAID 0、RAID 1、RAID 0+1和RAID 5。
RAID 0是无数据冗余的存储空间条带化,具有低成本、极高读写性能、高存储空间利用率的RAID级别,适用于Video / Audio信号存储、临时文件的转储等对速度要求极其严格的特殊应用。但由于没有数据冗余,其安全性大大降低,构成阵列的任何一块硬盘损坏都将带来数据灾难性的损失。所以,在RAID 0中配置4块以上的硬盘,对于一般应用来说是不明智的。
RAID 1是两块硬盘数据完全镜像,安全性好,技术简单,管理方便,读写性能均好。但其无法扩展(单块硬盘容量),数据空间浪费大,严格意义上说,不应称之为“阵列”。
RAID 0+1综合了RAID 0和RAID 1的特点,独立磁盘配置成RAID 0,两套完整的RAID 0互相镜像。它的读写性能出色,安全性高,但构建阵列的成本投入大,数据空间利用率低,不能称之为经济高效的方案。
RAID 5是目前应用最广泛的RAID技术。各块独立硬盘进行条带化分割,相同的条带区进行奇偶校验(异或运算),校验数据平均分布在每块硬盘上。以n块硬盘构建的RAID 5阵列可以有n-1块硬盘的容量,存储空间利用率非常高(见图6)。任何一块硬盘上数据丢失,均可以通过校验数据推算出来。它和RAID 3最大的区别在于校验数据是否平均分布到各块硬盘上。RAID 5具有数据安全、读写速度快,空间利用率高等优点,应用非常广泛,但不足之处是1块硬盘出现故障以后,整个系统的性能大大降低。
对于RAID 1、RAID 0+1、RAID 5阵列,配合热插拔(也称热可替换)技术,可以实现数据的在线恢复,即当RAID阵列中的任何一块硬盘损坏时,不需要用户关机或停止应用服务,就可以更换故障硬盘,修复系统,恢复数据,对实现HA(High Availability)高可用系统具有重要意义。
各厂商还在不断推出各种RAID级别和标准。例如更高安全性的,从RAID控制器开始镜像的RAID;更快读写速度的,为构成RAID的每块硬盘配置CPU和Cache的RAID等等,但都不普及。用IDE硬盘构建RAID的技术是新出现的一个技术方向,对市场影响也较大,其突出优点就是构建RAID阵列非常廉价。目前IDE RAID可以支持RAID 0、RAID 1和RAID 0+1三个级别,最多支持4块IDE硬盘。由于受IDE设备扩展性的限制,同时,也由于IDE设备也缺乏热可替换的技术支持的原因,IDE RAID的应用还不多。
总之,发展是永恒的主题,在服务器存储技术领域也不例外。一方面,一些巨头厂商尝试推出新的概念或标准,来领导服务器及存储技术的发展方向,较有代表性的如Intel力推的IA-64架构及存储概念;另一方面,致力于存储的专业厂商以现有技术和工业标准为基础,推动SCSI、RAID、Fibre Channel等基于现有存储技术和方案快速更新和发展。在市场经济条件下,检验技术发展的唯一标准是市场的认同。市场呼唤好的技术,而新的技术必须起到推动市场向前发展作用时才能被广泛接受和承认。随着高性能计算机市场的发展,高性能比、高可靠性、高安全性的存储新技术也会不断涌现。
现在市场上的磁盘阵列产品有很多,用户在选择磁盘阵列产品的过程中,也要根据自己的需求来进行选择,现在列举几个磁盘阵列产品,同时也为需要磁盘阵列产品的用户提供一些选择。表2列出了几种磁盘阵列的主要技术指标。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:04:36 | 显示全部楼层
FTP服务器的专用术语
FTP服务器的专用术语 ftp服务器的专有术语
经常碰到的:
530 Not logged in.
连接失败
正在延迟 120 秒,在重新连接尝试第 1 次之前

这通常是密码错误。
421 Too many users - please try again later.
连接失败
正在延迟 120 秒,在重新连接尝试第 1 次之前

这个是显示人数过多


125
数据连接已打开,准备传送

150
文件状态良好,打开数据连接

200
命令成功

202
命令未实现

211
系统状态或系统帮助响应

212
目录状态

213
文件状态

214
帮助信息,信息仅对人类用户有用

215
名字系统类型

220
对新用户服务准备好

221
服务关闭控制连接,可以退出登录

225
数据连接打开,无传输正在进行

226
关闭数据连接,请求的文件xx作成功

227
进入被动模式

230
用户登录

250
请求的文件xx作完成

257
创建"ATHNAME"

331
用户名正确,需要口令

332
登录时需要帐户信息

350
请求的文件xx作需要进一步命令

421
不能提供服务,关闭控制连接

425
不能打开数据连接

426
关闭连接,中止传输

450
请求的文件xx作未执行

451
中止请求的xx作:有本地错误

452
未执行请求的xx作:系统存储空间不足

500
格式错误,命令不可识别

501
参数语法错误

502
命令未实现

503
命令顺序错误

504
此参数下的命令功能未实现

530
未登录

532
存储文件需要帐户信息

550
未执行请求的xx作

551
请求xx作中止:页类型未知

552
请求的文件xx作中止,存储分配溢出

553
未执行请求的xx作:文件名不合法
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:04:57 | 显示全部楼层
Linux安全设置手册
Linux安全设置手册

by:Kapil Sharma from Linux_Month(An Onine Monthly Linux Magzine)
翻译:f@tfox

本文讲述了如何通过基本的安全措施,使你的Linux系统变得可靠。

1、Bios Security
一定要给Bios设置密码,以防通过在Bios中改变启动顺序,而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统,还可以阻止别人进入Bios改动其中的设置(比如允许通过软盘启动等)。

2、LILO Security
在“/etc/lilo.conf”文件中加入下面三个参数:time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。

第一步:
编辑lilo.conf文件(vi /etc/lilo.comf),假如或改变这三个参数:
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
time-out=00 #把这行该为00
prompt
Default=linux
restricted #加入这行
password= #加入这行并设置自己的密码
image=/boot/vmlinuz-2.2.14-12
label=linux
initrd=/boot/initrd-2.2.14-12.img
root=/dev/hda6
read-only

第二步:
因为"/etc/lilo.conf"文件中包含明文密码,所以要把它设置为root权限读取。
[root@kapil /]# chmod 600 /etc/lilo.conf

第三步:
更新系统,以便对“/etc/lilo.conf”文件做的修改起作用。
[Root@kapil /]# /sbin/lilo -v

第四步:
使用“chattr”命令使"/etc/lilo.conf"文件变为不可改变。
[root@kapil /]# chattr +i /etc/lilo.conf
这样可以防止对“/etc/lilo.conf”任何改变(以外或其他原因)

3、删除所有的特殊账户
你应该删除所有不用的缺省用户和组账户(比如lp, sync, shutdown, halt, news, uucp, operator, games, gopher等)。
删除用户:
[root@kapil /]# userdel LP
删除组:
[root@kapil /]# groupdel LP

4、选择正确的密码
在选择正确密码之前还应作以下修改:
修改密码长度:在你安装linux时默认的密码长度是5个字节。但这并不够,要把它设为8。修改最短密码长度需要编辑login.defs文件(vi /etc/login.defs),把下面这行
PASS_MIN_LEN 5
改为
PASS_MIN_LEN 8
login.defs文件是login程序的配置文件。

5、打开密码的shadow支持功能:
你应该打开密码的shadow功能,来对password加密。使用“/usr/sbin/authconfig”工具打开shadow功能。如果你想把已有的密码和组转变为shadow格式,可以分别使用“pwcov,grpconv”命令。

6、root账户
在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户,系统会自动注销。通过修改账户中“TMOUT”参数,可以实现此功能。TMOUT按秒计算。编辑你的profile文件(vi /etc/profile),在"HISTFILESIZE="后面加入下面这行:
TMOUT=3600
3600,表示60*60=3600秒,也就是1小时。这样,如果系统中登陆的用户在一个小时内都没有动作,那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值,以便系统对该用户实行特殊的自动注销时间。
改变这项设置后,必须先注销用户,再用该用户登陆才能激活这个功能。

7、取消普通用户的控制台访问权限
你应该取消普通用户的控制台访问权限,比如shutdown、reboot、halt等命令。
[root@kapil /]# rm -f /etc/security/console.apps/
是你要注销的程序名。

8、取消并反安装所有不用的服务
取消并反安装所有不用的服务,这样你的担心就会少很多。察看“/etc/inetd.conf”文件,通过注释取消所有你不需要的服务(在该服务项目之前加一个“#”)。然后用“sighup”命令升级“inetd.conf”文件。
第一步:
更改“/etc/inetd.conf”权限为600,只允许root来读写该文件。
[Root@kapil /]# chmod 600 /etc/inetd.conf
第二步:
确定“/etc/inetd.conf”文件所有者为root。
第三步:
编辑 /etc/inetd.conf文件(vi /etc/inetd.conf),取消下列服务(你不需要的):ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。把不需要的服务关闭可以使系统的危险性降低很多。
第四步:
给inetd进程发送一个HUP信号:
[root@kapil /]# killall -HUP inetd
第五步:
用chattr命令把/ec/inetd.conf文件设为不可修改,这样就没人可以修改它:
[root@kapil /]# chattr +i /etc/inetd.conf
这样可以防止对inetd.conf的任何修改(以外或其他原因)。唯一可以取消这个属性的人只有root。如果要修改inetd.conf文件,首先要是取消不可修改性质:
[root@kapil /]# chattr -i /etc/inetd.conf
别忘了该后再把它的性质改为不可修改的。

9、TCP_WRAPPERS
使用TCP_WRAPPERS可以使你的系统安全面对外部入侵。最好的策略就是阻止所有的主机(在"/etc/hosts.deny" 文件中加入"ALL: ALL@ALL, PARANOID" ),然后再在"/etc/hosts.allow" 文件中加入所有允许访问的主机列表。
第一步:
编辑hosts.deny文件(vi /etc/hosts.deny),加入下面这行
# Deny access to everyone.
ALL: ALL@ALL, PARANOID
这表明除非该地址包好在允许访问的主机列表中,否则阻塞所有的服务和地址。
第二步:
编辑hosts.allow文件(vi /etc/hosts.allow),加入允许访问的主机列表,比如:
ftp: 202.54.15.99 foo.com
202.54.15.99和 foo.com是允许访问ftp服务的ip地址和主机名称。
第三步:
tcpdchk程序是tepd wrapper设置检查程序。它用来检查你的tcp wrapper设置,并报告发现的潜在的和真实的问题。设置完后,运行下面这个命令:
[Root@kapil /]# tcpdchk

10、禁止系统信息暴露
当有人远程登陆时,禁止显示系统欢迎信息。你可以通过修改“/etc/inetd.conf”文件来达到这个目的。
把/etc/inetd.conf文件下面这行:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
修改为:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
在最后加“-h”可以使当有人登陆时只显示一个login:提示,而不显示系统欢迎信息。

11、修改“/etc/host.conf”文件
“/etc/host.conf”说明了如何解析地址。编辑“/etc/host.conf”文件(vi /etc/host.conf),加入下面这行:
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。第二项设置检测是否“/etc/hosts”文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。第三项设置说明要注意对本机未经许可的电子欺骗。

12、使“/etc/services”文件免疫
使“/etc/services”文件免疫,防止未经许可的删除或添加服务:
[root@kapil /]# chattr +i /etc/services

13、不允许从不同的控制台进行root登陆
"/etc/securetty"文件允许你定义root用户可以从那个TTY设备登陆。你可以编辑"/etc/securetty"文件,再不需要登陆的TTY设备前添加“#”标志,来禁止从该TTY设备进行root登陆。

14、禁止任何人通过su命令改变为root用户
su(Substitute User替代用户)命令允许你成为系统中其他已存在的用户。如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令,你可以在su配置文件(在"/etc/pam.d/"目录下)的开头添加下面两行:
编辑su文件(vi /etc/pam.d/su),在开头添加下面两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/Pam_wheel.so group=wheel
这表明只有"wheel"组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组,以使它可以使用su命令成为root用户。

15、Shell logging
Bash shell在“~/.bash_history”(“~/”表示用户目录)文件中保存了500条使用过的命令,这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个“.bash_history”文件。bash shell应该保存少量的命令,并且在每次用户注销时都把这些历史命令删除。
第一步:
“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。强烈建议把把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数,比如30。编辑profile文件(vi /etc/profile),把下面这行改为:
HISTFILESIZE=30
HISTSIZE=30
这表示每个用户的“.bash_history”文件只可以保存30条旧命令。
第二步:
网管还应该在"/etc/skel/.bash_logout" 文件中添加下面这行"rm -f $HOME/.bash_history" 。这样,当用户每次注销时,“.bash_history”文件都会被删除。
编辑.bash_logout文件(vi /etc/skel/.bash_logout) ,添加下面这行:
rm -f $HOME/.bash_history

16、禁止Control-Alt-Delete 键盘关闭命令
在"/etc/inittab" 文件中注释掉下面这行(使用#):
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
为了使这项改动起作用,输入下面这个命令:
[root@kapil /]# /sbin/init q

17、给"/etc/rc.d/init.d" 下script文件设置权限
给执行或关闭启动时执行的程序的script文件设置权限。
[root@kapil/]# chmod -R 700 /etc/rc.d/init.d/*
这表示只有root才允许读、写、执行该目录下的script文件。

18、隐藏系统信息
在缺省情况下,当你登陆到linux系统,它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。对于黑客来说这些信息足够它入侵你的系统了。你应该只给它显示一个“login:”提示符。
第一步:
编辑"/etc/rc.d/rc.local" 文件,在下面显示的这些行前加一个“#”,把输出信息的命令注释掉。
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
第二步:
删除"/etc"目录下的“isue.net”和"issue"文件:
[root@kapil /]# rm -f /etc/issue
[root@kapil /]# rm -f /etc/issue.net

19、禁止不使用的SUID/SGID程序
如果一个程序被设置成了SUID root,那么普通用户就可以以root身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序,禁止所有不必要的SUID/SGID程序。
查找root-owned程序中使用&#39;s&#39;位的程序:
[root@kapil]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;
用下面命令禁止选中的带有&#39;s&#39;位的程序:
[root@kapil /]# chmod a-s [program]

根据上面这些安全指导方针设置后,系统管理员就会拥有一个基本安全的系统。上面这些工作有些是个持续的过程,网管要不断进行这些工作,以保持系统的安全性。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:05:15 | 显示全部楼层
网络词汇大全
AAL(ATM适配层):标准协议的一个集合,用于适配用户业务。AAL分为会聚子层(CS)和拆装子层(SCR)。AAL有4种协议类型:AAL1、AAL2、AAL3/AAL4和AAL5分别支持各种AAL业务类型。

AAL1(ATM适配层1):AAL1向用户提供恒定比特率的数据传送能力、并提供定时信息和结构信息的能力。在必要时还能提供一定的纠错能力和报错的能力。AAL1支持A类业务。

AAL2 (ATM适配层2):AAL2用于支持可变比特率的面向连接业务。并同时传送业务时钟信息

AAL3/4 (ATM适配层3/4):AAL3/4既支持无连接的也支持面向连接链路,但主要用于在ATM网络上传输SMDS数据包。

AAL5(ATM适配层5):AAL5支持面向连接的、VBR业务,它主要用于ATM网及LANE上传输标准的IP业务。AAL5采用了SEAL技术,并且是目前AAL推荐中最简单的一个。AAL5提供低带宽开销和更为简单的处理需求以获得简化的带宽性能和错误恢复能力。

AARP(AppleTalk地址解析协议):把数据链路地址映射成网络地址的AppleTalk协议栈中的协议。

Access list(访问表):由路由器保存,防止具有某一IP地址的数据包进/出路由器某一特殊的接口。

Access server(接入服务器):一般放在PSTN与INTERNET之间,通过网络和终端仿真软件把异步设备连接到某一局域网或广域网上的通信处理器。

Active hub(有源集线器):放大局域网传输信号的多端口设备。

Address mask(地址掩码):用于描述地址的哪一部分是指网络或子网,哪一部分是指主机的比特组合。有时简称为掩码。

Address resolution(地址解析):通常指解决计算机寻址方式之间差别的方法。地址解析通常指把网络层(第三层)地址映射成数据链路层(第二层)地址的方法。

Administrative distance (管理位距):路由选择信息源的可信度的级别。数值越高,可信度级别越低。

ANSI(美国国家标准协会):由公司、政府和其它成员组成的自愿组织。它们协商与标准有关的活动,审议美国国家标准,并努力提高美国在国际标准化组织中的地位。此外,ANSI使有关通信和网络方面的国际标准和美国标准得到发展。ANSI是IEC和ISO的成员之一。

API(应用程序接口):即函数调用规则说明,它定义了一个与服务器的接口。

AppleTalk(苹果计算机公司设计出来的通信协议系列):目前有两个阶段。第一个阶段是早期的版本,支持只有一个网络号和只在一个地区的单个物理网络。第二个阶段是比较新的版本,支持单个物理网路上的多个逻辑网并允许网络分布在不止一个地区。

ARP(地址解析协议):把IP地址映射到MAC地址的因特网协议。定义在RFC826中。

ASBR(自主系统边界路由器):ASBR位于OSPF自主系统和非OSPF网络之间。ASBRs可以运行OSPF和另一路由选择协议(如RIP)。ASBR必须处于非存根OSPF区域中。

ATM(异步传输模式):信元中继的国际标准,在ATM中,各种服务类型(例如语音、视频或树据)都以固定长度(53字节)信元的形式进行传送。固定长度的信元使得可以在硬件中对信元进行处理,从而减少了通过延迟。ATM的设计应能利用高速传输介质如E3,SONET 和T3。

AUI(连接单元接口):MAU和NIC(网络接口卡)之间的IEEE 802.3接口。AUI这一名词也可以指后面板端口(AUI电缆连接在它上面)。

Autonomous system(自主系统):在共享一公共路由选择策略公共管理下的网络集合。自主系统按区域细分,一个自主系统必须由LANA分配一个独特的16比特号码。


Backbone cabling(主干电缆):提供配线室之间、配线室与POP之间以及同一局域网大楼之间的相互连接的电缆。

Back off(退避):发生冲突时的强制性重传延迟。

Bandwidth(带宽):网络信号所能达到的最高频和最低频之差。这一术语也用于描述某网络介质或协议的额定吞吐能力。

Bandwidth reservation(带宽预留):把带宽分配给用户和网络服务的应用程序的过程。包括根据业务流重要性和延迟敏感性为不同业务流分配优先级。这样就最大限度地利用了可用带宽,如果网络发生拥塞,低优先级的业务就被丢弃。有时也称为带宽分配。

BECN(后向显式拥挤通告):在与遇到一拥塞路径的传输方向相反的帧中,由帧中继网络设置的比特,DTE(接收带有BECN比特设置的帧)会请示较高层协议采取合适的流量控制行动。

Bit-oriented protocol(面向比特协议):能不管帧内容而传送帧的数据链路层通讯协议类别。与面向字节协议相比,面向比特协议提供全双工操作并更加高效和可靠。

BPDU(网桥协议数据单元):是一种生成树协议问候数据包,它以可配置的间隔发出,用来在网络的网桥间进行信息交换。

BRI(基本速率接口):ISDN接口由用于话音、视频和数据电路交换通信的两个B信道和一个D信道组成。

Bridge(网桥):在使用相同通信协议的两个网段间连接和传递分组的装置。网桥在OSI参考模型的数据链路层(第二层)上运行。一般地,网桥能过滤、转发、或扩散一输入帧(基于该帧的MAC地址)。

Broadcast(广播):传给网络所有节点的数据包。由广播地址确定广播。

Broadcast address(广播地址):预留给向所有站点传送信息的特殊地址。一般地,广播地址是所有地址的MAC目的地址,通常是把MAC地址设为全1。

Broadcast domain(广播区域):能接收集合内任一设备发出的广播帧所有设备的集合。因为路由器不转发广播帧,广播区域一般由路由器设定边界。

Broadcast storm(广播风暴):是一种讨厌的网络事件,事件发生时,许多广播同时在所有网段上传送。广播风暴占用相当可观的网络带宽,并且一般会引起网络超时。

Buffer(缓冲器):用于处理转接数据的存储区域。缓冲区用在互联网络中可以退避网络设备间处理速度的差别。数据突发可存在缓冲区,直到它们可以被较慢的设备处理。有时也称为包缓冲区。

Byte-oriented protocol(面向字节协议):数据链路通信协议的类别,该数据链路通信协议使用用户字符集中的一个特定字符划定帧的界限。这些协议大多数已被面向比特的协议取代。

Category 1 cabling(第一类电缆):第一类电缆是EIA/TIA-568B标准中所描述的五类非屏蔽双绞线电缆之一。它用于电话通信,但不适于传输数据。

Category 2 cabling(第二类电缆):第二类电缆是EIA/TIA-568B标准中所描述的五类非屏蔽双绞线电缆之一。它能够 以高达4Mbps的速率传输数据。

Category 3 cabling(第三类电缆):第三类电缆是EIA/TIA-568B标准中所描述的五类非屏蔽双绞线电缆之一。它用于10BaseT的网络中,并且能够以高达10Mbps的速率传输数据。

Category 4 cabling(第四类电缆):第四类电缆是EIA/TIA-568B标准中所描述的五类非屏蔽双绞线电缆之一。它用于令牌环网络中,并且能够以高达16Mbps的速率传输数据。

Category 5 cabling(第五类电缆):第五类电缆是EIA/TIA-568B标准中所描述的五类非屏蔽双绞线电缆之一。它用于运行CDDI,并且能够以高达100Mbps的速率传输数据。 CBR(恒定比特率):由ATM论坛为ATM网络定义的QOS级别。恒速率应用于依靠精确时钟保证无失真传输的连接。

CCITT(国际电报电话咨询委员会):负责开发通信协议的国际组织。现在改名为国际电信联盟-电信标准化部分。

Channelized E1(信道化的E1线路):E1线路被分成30个B信道和1 个D信道后,以2.048 Mbps速率运行的接入链路。它支持DDR 、帧中继、和X.25。

CHAP(Challenge握手鉴权协议):为了防止未授权访问而使用端对端协议封装的线路上所支持的安全特性。它自己本身并不能防止未授权的访问,它只是用于辨识终端。然后路由器或访问服务器就能够决定该用户是否可以访问。

CIDR(无级别域内路由):BGP4支持的基于路由累加的技术,它允许路由器为了减少核心路由器携带的路由信息而把路由组合成组。通过使用CIDR,几个IP网络对于组外的网络而言就像是单一的大网络。

CIR(指定信息速率):帧中继网络在正常条件下允许的信息传送速率,它是在最小的一段时间里的速率均值。CIR是以每秒多少比特计算的,它是tariff metrics协商出中的一个关键计量单位。

Circuit switching(电路交换):在呼叫进行期间,发送方和接收方必须存在一条专用的物理电路的交换系统即电路交换。它主要应用于电话公司网络中。电路交换作为一种信道访问技术,可以与争用 和 令牌环传递技术相比; 作为一种交换技术,电路交换可以与报文交换 和分组交换 技术相比。

Client-server computing(客户机/服务器计算):该术语用来描述分布式计算(处理)网络系统,在这些网络系统中事物责任被分成两部分:客户机(前端)和服务器(后端)。这两个术语(客户机和服务器)既可以用于软件程序,也可以应用于实际的计算设备。这也被称作分布式计算(处理)。

CO(中心局):它指的是给定区域内所有本地环路连接到的本地电话公司,在中心局内进行用户线路的电路交换。

Coaxial cable(同轴电缆):包着一根内部线缆的空心的圆柱状导体,当前用于局域网的两种同轴电缆是:用于数字信令的50-ohm电缆,和用于模拟信号和高速数字信令的75-ohm电缆。

CODEC(编码器/译码器):使用PCM技术将模拟信号转化成数字比特流,并能够再将数字信号转换回模拟信号的设备。

Collision(冲突):在以太网中,当两个节点同时传输数据时,从两个设备发出的帧将会碰撞,当它们在物理介质上相遇时,彼此的数据都会被破坏。

Collision domain(冲突域):在以太网中,冲突域指的是位于传播发生的帧冲突的网络区域。重发器和集线器都会传播冲突;局域网交换机,网桥和路由器不会传播冲突。

Communication server(通信服务器):通过网络和终端模拟软件连接异步设备到局域网或者广域网的通信处理器。它只执行IP和IPX协议的异步例程。

Convergence(集中):在互联网的拓扑结构有变化以后,一组运行特定的路由选择协议的互联网连接设备同意该拓扑结构变化的速度和能力。

CPE(用户站设备):电话公司提供的终接设备,比如终端,电话,调制解调器。它安装在用户所在地点,并和电话公司的网络相连。

CRC(循环冗余校验):一种差错校验技术。帧的接收端通过把帧的内容除以原始二进制除数来计算余数,并把计算所得的余数和发送端存储在帧中的值相比较。

CSMA/CD(带有冲突检测的载波侦听多路访问):一种介质访问机制,在这种机制下,准备传输数据的设备首先检查载波通道。如果在一定时间内没有侦听到载波,那么一个设备就可以发送数据。如果两个设备同时发送数据,冲突就会发生并被所有冲突设备所检测到。这种冲突便延缓了这些设备的重传,使得它们在隔某一随机时间后才发送数据。CSMA/CD访问用于以太网和IEEE 802.3中。

CSU(通道服务单元):把终端用户和本地数字电话环路相连的数字接口设备。通常它和DSU统称为CSU/DSU。

Cut-through packet switching(通断式分组交换):一种分组交换方法。它通过交换机传送数据,使得分组的前面部分在整个分组进入输入端口前,在交换机上的输出端口上离开交换机。使用伺机通过分组交换的设备在检查目的端地址和确定输出端口时,便读取,处理和转发分组。它也称为on-the-fly 分组交换。



Datagram(数据报):它指在没有事先建立一个虚电路的情况下,在传输介质上作为网络层单元发送的信息的逻辑分组。IP数据报是互联网上的主要信息单元。术语帧、报文、数据分组和数据段 也是用来描述在OSI参考模型的不同层和不同的技术圈中的逻辑信息分组。

Datalinklayer(数据链路层):它指的是OSI参考模型的第二层。该层提供了通过物理链路的可靠数据传输。数据链路层主要关心物理寻址、网络拓扑、线路描述、按顺序传输各帧和流控。IEEE已经把数据链路层分成了两个子层:MAC子层和LLC子层。数据链路层有时只简单地叫作链路层。它大致对应于SNA模型中的数据链路控制层。

DCE(数据通信设备或者数据电路终端设备):该设备和其与通信网络的连接构成了网络终端的用户网络接口。它提供了到网络的一条物理连接、转发业务量,并且提供了一个用于同步DCE设备和DTE设备之间数据传输的时钟信号。调制解调器和接口卡都是DCE设备的例子。

DDR(拨号请求路由选择):路由器能够根据发送工作站的请求,自动初始化和结束一个电路交换的会话的一种技术。路由器一直伪装成激活状态,从而使得终端工作站一直认为该会话处于激活状态。拨号请求路由选择允许在ISDN线路或者在使用了一个ISDN终端适配器或调制解调器的电话线路上进行路由选择。

Decryption(解密):它是对数据进行加密的加密算法的逆运算。它能够将加密的数据恢复成原样,即为未加密时的状态。

Dedicated line(专线):永久地被保留用于传输的通信线路,而不是当有传输请求时由交换得到的通信线路。

Default route(缺省路由):指的是路由表中未直接列出的路由选择项,它用于指示数据帧下一跳的方向。

Delay(延时):指的是发送方初始化一项事务和接收方第一次响应该事务之间的时间差。它也指在一定路径上把数据分组从信源端传输到信宿端所需的时间。

DLCI(数据链路连接标识符):指的是在帧中继网络中表示PVC (永久虚电路)或SVC(交换式虚电路)的值。在基本的帧中继规范中,数据链路连接标识符在局部内是很重要的(连接的设备可能会用不同的值来表示相同的连接)。在LMI(层管理接口)扩展规范中,数据链路连接标识符在全局内都很重要的(数据链路连接标识符表示单一的终端设备)。

DLSw(数据链路交换):它是一个在RFC 1434文档中描述的互操作标准,它提供了一个在TCP/IP网络上使用数据链路层交换和封装来转发SNA和NetBIOS通信的方法。数据链路交换使用SSP(交换机到交换机协议),而不是SRB协议,从而消除了以下SRB协议的主要局限:跳数限制、广播和不必要的通信、超时、缺乏流量控制和缺乏优先权机制。 DNS(域名命名系统):该系统用在互联网中用来把网络节点的名字翻译成网络地址。

Domain(域): 1.在互联网中,它指的是命名等级树的一部分,它是根据组织或者地理位置的通用网络分组。 2.在SNA(系统网络体系结构)中,它指的是一个系统服务控制点和它所控制的资源。 3.在IS-IS(中介系统到中介系统)中,它指的是一个网络的逻辑集合。

DPT(动态包传输):DPT技术是Cisco公司于1999年推出的、用于新一代IP骨干网(IP over Optical)的最新传输技术,其英文全称为:Dynamic Packet Transport(动态包传输)。DPT将IP路由在"带宽有效利用"和"多服务支持"方面的优势与光纤环路在"富裕带宽"和"故障自愈能力"方面的优势完美地结合在一起,从而为服务供应商在"分组优化光纤传输"方面提供了一个节省开支、功能丰富的解决方案。

DSU(数据业务单元):指的是用于数字传输中的一种设备,它能够把DTE设备上的物理层接口适配到T1或者E1等通信设施上。数据业务单元也负责信号计时等功能,它通常与CSU(信道业务单元)一起提及,称作CSU/DSU。

DTE(数据终端设备):指的是位于用户网络接口用户端的设备,它能够作为信源、信宿或同时为二者。数据终端设备通过数据通信设备(例如,调制解调器)连接到一个数据网络上,并且通常使用数据通信设备产生的时钟信号。数据终端设备包括计算机、协议翻译器以及多路分解器等设备
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:05:31 | 显示全部楼层
E1:指的是主要用于欧洲的广域数字传输方案,它以2.048 Mbps的速率传输数据。可以从公共电信服务供应商那里租用E1线路作为专用线路。

E3:指的是主要用于欧洲的广域数字传输方案,它以34.368 Mbps的速率传输数据。可以从共用载波那里租用E3线路作为专用线路。

EGP(外部网关协议):它是一个在自治系统之间交换路由选择信息的因特网协议。它定义在RFC 904文档中的。请不要与常用术语"自治系统(egp)"相混淆。外部网关协议是一个过时的协议,它已经被BGP协议所代替。

EIA(电子工业协会):它是一个制定电子传输标准的组织。电子工业协会和TIA(电信工业协会)已经制定了大量的有名的通信标准,例如EIA/TIA-232 标准和EIA/TIA-449标准。

EIA/TIA-232:指的是由电子工业协会和电信工业协会联合开发的通用物理层接口标准,它能够支持高达64 kbps信号速率的非均衡电路。它与V.24规范非常相近。正式名称是RS-232。

ELAN(仿真局域网):它是一种ATM网络,在这种网络中采用客户-服务器模型对以太网或者令牌环局域网进行了仿真。仿真局域网由一个LEC、一个LES、一根总线和一个LECS.组成。多个仿真局域网可以在一个ATM网络上同时共存。仿真局域网定义在LANE(局域网仿真)规范中。

EMI(电磁干扰):由电磁信号引起的干扰,它会削减数据的完整性和增加传输信道上的出错率。

Encapsulation(封装):把数据包装到带报一个特殊协议报头中。例如,以太网数据在传输之前被封装到一个以太网报头中。同样地,当在不同类的网络中桥接时,发自一个网络的所有帧只需简单地放入接收端网络使用的数据链路层协议报头中。

Error-correcting code(纠错码):指的是一种码,它拥有足够的智能,并且包含了足够的信令信息,这使得它能够检测并纠正接收方的许多错误。

Error-detecting code(检错码):指的是一种码,它根据数据对相应的结构指南的遵循程度,对接收数据进行分析,从而能够检测出数据传输的错误。

Ethernet(以太网):指的是由Xerox公司创建并由Xerox、Intel和DEC公司联合开发的基带局域网规范。以太网络使用CSMA/CD(载波监听多路访问及冲突检测技术)技术,并以10 Mbps的速率运行在多种类型的电缆上。以太网与IEEE 802.3系列标准相类似。



Fast Ethernet(快速以太网):快速以太网是指任何一个速率达到100M比特率的以太网。快速以太网在保持帧格式、MAC(介质存取控制)机制和MTU(最大传送单元)质量的前提下,其速率比10Base-T的以太网增加了10倍。二者之间的相似性使得10Base-T以太网上现有的应用程序和网络管理工具能够在快速以太网上使用。快速以太网是基于扩充的IEEE802.3标准的。

Fast Ethernet Interface Processor FCS(帧校验序列):为进行差错控制而加入到一个帧中的额外符号。帧校验序列用在高级数据控制规程(HDLC)、帧中继和其他数据链路层协议中。

FDDI(光纤分布式数据接口):它是一个ANSIX3T9X9.5规范,指的是传输距离达2公里,速率每秒100兆位(100Mbps),利用光纤电缆进行令牌传输的局域网络。它采用双令牌结构以保证冗余度。

FDDI II(第二代光纤分布式数据接口):改进的光纤分布式数据接口(FDDI)的美国国家标准协会(ANSI)规范。它为无连接的数据电路和面向连接的声音和图像电路提供了同步传输。

FECN(前向显式拥塞通知):由帧中继网络设置的标志位来通知接收该帧的数据终端设备(DTE)从源到目的地的路径发生拥挤。接收到带有前向显式拥挤通知标志位的数据终端设备能要求高层协议进行适当的流量控制。

Filter(过滤器):通常来讲,过滤器是一个进程或设备。它筛选出具有某些特征的网络数据流,例如源地址,目的地址或协议,并且按照建立的标准决定是转发还是丢弃该数据流。

Firewall(防火墙):它是指路由器或访问服务器、或者几个路由器或访问服务器被设计为任意相连的公用网络和专用网络之间的缓冲区。防火墙路由器使用访问列表和其他方法保证专用网络的安全。

Flash memory(快闪内存):由Intel公司发展起来并授权给其他半导体公司的一项技术。它是永久性的存取器,能够电擦除存储内容并可再次编程。在必要的情况下,允许软件映像存储,引导和再次写入。

Flow control(流量控制):保证一个发送设备,例如调制解调器,其发送数据的速率不超过接收设备接收速率的技术。当接收设备中的缓冲区充满时,就发送一条消息给发送设备暂停传送,直到缓冲区内的数据被处理掉。在IBM网络中,这项技术被称为调步。

FRAD(帧中继访问设备):为一个局域网(LAN)和一个帧中继广域网(Frame Relay WAN)之间提供连接的任何网络设备。

Frame(帧):作为数据链路层单元在传输介质上传送的逻辑信息组。包含在一帧中的用户数据通常是被用来进行同步化和差错控制的报头和报尾包围的。在开放式系统互连(OSI)参考模型的各个层和不同的技术环节数据报、 报文、数据分组 和段等术语也都被用来描述逻辑信息组。

Frame Relay(帧中继):处理多个虚拟电路的工业标准,是在互连设备之间使用高级数据控制规程(HDLC)封装的交换数据链路层协议。它比X.25分组协议更有效,通常被认为是对X.25分组协议的替换。

FTP(文件传输协议):作为TCP/IP协议组一部分的应用协议,用来在网络节点间传输文件,它在RFC 959文档中被定义。

Full duplex(全双工):能够在发送站点和接收站点之间同时进行数据传输的能力.
G.703/G.704:国际电信联盟-电信标准化部分(ITU-T)关于电话公司的设备与DTE(数据终端设备)相连接的电气与机械规范,其连接是通过同轴电缆接插件(BNC)连接器实现的,并且工作在E1数据率上。

Gateway(网关):在因特网协议(IP)范畴中,原始的含义指一个路由选择设备。而现在,是用路由器一词来表示具有路由选择功能的节点;网关则被用来指一种特殊用途的设备,它能够在应用层将信息堆栈从一种协议转化为另一种协议,这一点不同于router。

GNS(获取最近的服务器):基于IPX协议的网络客户发出请求包以定位相对于它最近的某特定类型活动服务器。基于IPX协议的网络客户发布GNS请求以期获得一个相联服务器的直接响应或一个路由器的响应,此响应用以确定因特网网络服务的提供地点。GNS是IPX协议的服务布告协议(SAP)的一部分。


Half duplex(半双工):发送站和接收站之间,数据的传输在某一时刻只能向一个方向进行。

HDLC(高级数据链路控制):由国际标准化组织(ISO)制定的面向比特的同步数据链路层协议。起源于SDLC,高级数据链路控制(HDLC)定义了同步串行链接时,使用字符帧及校验和进行数据封装的模式。

Holddown(阻持):路由器在一段阻持时间中,所处于的一种既不通告路由也不接收路由通告的状态。阻持用于从网络的所有的路由器中冲掉有关一个路由的不利信息。典型的阻持如,当某路由的一个链接失败时,此路由将被置为阻持状态。

Hop(跳):描述两个网络节点间(例如,两个路由器之间)的一个数据数据包通路的术语。

Hop count(跳计数):路由选择度量,它用来测量来源地和目的地之间的距离。RIP用跳计数作为它唯一的度量。

Host(主机):指网络计算机系统。类似于 node(节点)术语,但host(主机) 通常是指一个计算机系统,而节点则一般用于任何联网的系统,其中包括访问服务器和路由器。

HSRP(热备份路由器协议):提供了网络的高实用性和网络拓扑变化的透明性。HSRT建立一个有引导路由器的热备份路由器组来服务所有发送到热备份路由器地址的数据包。引导路由器受组里的其它路由器监控,如果引导路由器失效,这些备份路由器中的一个就会继承引导路由器的地位和热备份路由器组的地址。

HSSI(高速串行接口):优于广域网(WAN)链接的高速(达52Mbps)串行连接网络标准。

Hub(集线器):1.通常,该术语用来描述一个起星形拓扑网络中心点作用的设备。2.包含多种独立的,但是连接了网络模块和因特网络设备的硬件或软件装置。集线器可以是主动方式(它们能重复通过它们发送的信号)或被动方式(它们不重复,而仅仅拆分通过它们发送的信号)。3.在以太网和IEEE 802.3中,指一个以太网多端口中继器,有时称为concentrator(集中器)。


ICMP(Internet控制信息协议):是网络层的因特网协议,它负责报告错误,并提供与IP数据包处理相关的其它信息。记录在RFC 792文件中。

IDF(中间配线设施):是楼中利用星形网络拓扑的二级通信室。IDF依赖于MDF。

IEEE(电气和电子工程师协会):是一个专业组织,其活动包括通信和网络标准的开发。IEEE LAN标准是当今居于主导地位的LAN标准。 IEEE 802.1IEEE规范,它描述通过生成扩展树来阻止网桥回路的一种算法。该算法是由数字设备公司(Digital Equipment Corporation)发明的。Digital算法和IEEE 802.1算法并不完全相同,也不兼容。

IEEE 802.12:IEEE LAN标准,它确定物理层和数据链接层的MAC子层。IEEE 802.12以100 Mbps的速率在许多物理介质上使用命令优先级介质访问方案。

IEEE 802.2:IEEE LAN协议,它规定数据链接层的LLC子层的实现。IEEE 802.2处理错误、组帧、流量控制和网络层(第三层)服务接口。它在IEEE 802.3和IEEE 802.5 LAN中使用。

IEEE 802.3:IEEE LAN协议,它确定物理层和数据链接层的MAC子层的实现。IEEE 802.3在许多物理介质上以各种不同速度使用CSMA/CD访问。IEEE 802.3标准的扩充版规定了快速以太网的实现。原始IEEE 802.3规范的物理更改包括 10Base2、10Base5、10BaseF、10BaseT 和 10Broad36。 快速以太网的物理更改包括 100BaseT、100BaseT4 和 100BaseX。

IEEE 802.3I:原始IEEE 802.3规范的物理更改,它要求通过双绞线网络介质,使用以太网类型的信令。标准设定信令速度为10兆比特每秒,使用一个通过双绞线电缆传输的基带信令图,该双绞线电缆采用星形或延伸的星形拓扑。

IEEE 802.4:IEEE LAN协议,它规定物理层和数据链接层的MAC子层的实现。IEEE 802.4在总线拓扑上使用令牌传送,并建立在令牌总线LAN体系结构上。

IEEE 802.5:IEEE LAN协议,它规定物理层和数据链接层MAC子层的实现。IEEE 802.5以4或16 Mbps的速率在屏蔽双绞线(SIP)上使用令牌传送,与IBM令牌环相似。 IEEE 802.6;基于分布队列双总线(DQDP)技术的IEEE MAN规则。IEEE 802.6支持从1.5到155Mbp的数据速度。

IGP(内部网关协议):是在自主系统中交换路由选择信息的因特网协议。常用的因特网内部网关协议有IGRP、OSPR和RIP。

IGRP(内部网关路由选择协议):是由Cisco公司开发的IGP,用于解决在大的异类网络中与路由选择有关的问题。与Enhanced IGRP 比较。

Internet(因特网): 该术语指最大的全球互联网,它联接上万个全球网络,并有一种将注意力集中在基于现实生活利用的研究和标准化上的"文化环境"。许多领先适当的网络技术都来自于因特网环境。因特网部分是从APRA网中演变而来的,它曾被称为 DARPA Internet(DARPA因特网。不要与一般的术语 internet混淆起来。

Inverse ARP(逆向ARP): 逆向地址解析协议。是在一个网络中建立动态路由的方法,允许一个存取服务器发现一个与虚拟电路相联的设备的网络地址。

IP(因特网协议):是TCP/IP栈中的网络层协议,它提供一个无连接的互联网服务。IP提供寻址的功能、服务类型的规范、分段存储和重新组合、以及安全的特性。记录在RFC 791文件中。

IP address(IP地址):应用ICP/IP协议分配给主机的32位地址。一个IP地址属于五种类型(A、B、C、D或E)之一,以四组用带小数点格式分割的八位字节来表示。每个地址都包含一个网络号、一个可选的子网络号和一个主机号。用网络号和子网络号共同进行路由选择,而主机号则用来在网络或者子网络中为一个单个的主机寻址。利用子网掩码从IP地址中提取网络和子网络的信息。IP地址又被称为 因特网地址(Internet address)。

IP multicast(IP组播): 是一种路由选择技术,它允许IP业务量从一个信源向一个目的端传播,或者从许多信源向许多目的端传播。不是将一个数据包传送给每个目的端,而是将一个数据包传送给一个由单独的IP目的端组地址进行识别的组播组。

IPX(互联网分组交换):是NetWare网络层(第三层)协议,用于从服务器向工作站传输数据。IPX与IP及XNS类似。

IS(中介系统):是在一个OSI网络中的路由选择节点。

ISDN(综合业务数字网):是由电话公司提供的通信协议,它允许电话网络传送数据、声音和其它的信源业务量。

IS-IS(中介系统中介系统):是建立在DECnet Phase V路由选择基础上的OSI链接状态层次的路由选择协议,IS(路由器)借此根据单一的距离度量交换路由选择信息,从而确定网络拓扑。与 集成的IS-IS相对应。

ISO(国际标准化组织):该国际组织负责大范围的标准,包括那些与因特网相关的标准。ISO开发了开放系统互连(OSI)参考模型,这是一个流行的网络连接参考模型。

ITU-T(国际电信联盟电信标准化部分):前身是国际电报电话委员会([CCITT])。是一个开发通信标准的国际组织。参见 CCITT。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:06:05 | 显示全部楼层
Jumper(跳线):1.指代接线柜中定位接插线的术语。2.指的是由许多引线和一个可以用多种不同方式附着在引线上的接线器组成的)电开关。不同的电路由接线器附着在不同的引线上创建。

LAN(局域网):高速、少错的数据网,它覆盖一个相对较小的地区(最多几千平方米)。局域网在一个单独的大楼内或其它有限区域连接工作站、外围设备、终端及其它装置。局域网标准规定在OSI 模型的物理层和数据链路层布缆和信令。以太网、FDDI(光纤分布式数据接口)及令牌环被局域网技术广泛地使用。

LANE(局域网仿真):允许ATM网作为局域网的主干网运行的技术。这个ATM 网必须提供组播和广播支持、地址映射(MAC地址到ATM地址)、SVC管理和一个可用的数据分组格式。局域网E同样定义了以太网和令牌环E局域网。

LAN switch(局域网交换机):在数据链路网段间转发数据分组的高速交换机。大多数局域网交换机基于MAC地址转发业务量。这种局域网交换机有时被叫做帧交换机。局域网交换机经常依照它们转发业务量所使用的方案进行分类:丢弃数据分组交换或存储转发数据分组交换。多层交换机是局域网交换机的一种智能子集。

LAPB(平衡的链路访问规程):X.25协议栈中的数据链路层协议。LAPB是一个起源自HDLC的一个面向比特的协议。

LAPD(D信道上的链路访问规程):D信道的ISDN数据链路层协议。 LAPD起源于LAPB协议,而且主要是为满足ISDN 基速率访问的信令需求而设计的。它由标准ITU-T Q.920和Q.921定义。

Latency(延迟): 1、设备请求访问网络的时间和被准许发送权限的时间之间的时延。 2、设备接收帧的时间和那个帧被目的端口转发出去的时间之间的时延。

Link stateroutingalgorithm(链路状态路由选择算法):该路由选择算法向互联网上的每个相邻网络发送广播或组播信息,而这些信息是基于它到达互联网中的所有节点的代价的。链路状态算法建立有关网络的一致见解并因此不易于路由选择重复循环,但是实现它要付出相对更多的计算代价和缺乏更普遍的业务量的代价。

LLC(逻辑链路控制):数据链路层两个子层中更高级的一层,它由IEEE定义。逻辑链路控制子层处理错误控制、流控制、帧同步和MAC子层寻址。最常用的逻辑链路控制协议是IEEE 802.2协议,它包括无连接和面向连接两种变量。

LMI(本地管理接口):它是基本帧中继规范的增强集。本地管理接口包括对"保留"机制(检验数据是流动的)、组播机制(提供有局部DLCI和组播DLCI的网络服务器)、全球寻址(在帧中继网络中给DLCIs 全球的超过本地的有效位)和状态机制(提供被交换机辨别出的DLCIs的现行状态报告)的支持。与ANSI术语学中的LMT一样为大家所知。

Load balancing(负载平衡):在路由选择中,路由器在它所有的到目的端地址均是同样距离的网络端口上分配业务量的能力。一个好的负载平衡算法使用线路速度和可靠性信息两者。负载平衡增加网段的使用率,从而增加有效的网络带宽。

Loop(回路):数据分组从未到达它们目的端的路由,只是简单循环,再三地通过一连串固定的网络节点。

LSA(链路状态公告):由链路状态协议使用的广播数据分组,它包含有关邻居和路径成本的信息。接收路由器使用链路状态公告以维护它们的路由选择表。有时也被称作链路状态数据分组(LSP)。



MAC(介质访问控制):IEEE定义的数据链路层里两个子层中的底层。MAC子层处理对共享介质的访问,比如是否使用令牌环传送或冲突。

MAC address(MAC地址):和局域网相连的每个端口或设备所需的标准的数据链路层地址。网络中的其它设备利用这些地址来定位网络上的特定端口,并生成和修改路由表及数据结构。MAC地址有六个字节长,并受IEEE控制。它也称为硬件地址,MAC层地址,或 物理层地址。

MAU(介质连接单元):这是在以太网和IEEE802.3网络使用的设备,它提供了工作站AUI端口和以太网公共介质的接口。MAU可以附属在工作站上或者是个单独的设备,它完成物理层的功能,包括来自以太网接口的数字数据的转换,冲突检测,以及把比特发送到网络上。它有时也称为介质访问单元,其简写也是MAU,或者收发器。在令牌环网络中,MAU是作为多站访问单元,且常常简写为MSAU来避免混淆。

MDF(主配线设施):建筑中主要的通信室。这是星形联网拓扑结构中的中心点,接线板,集线器和路由器都位于此。 Media(介质);medium的复数形式。传输信号经过的不同的物理环境。常见的网络介质有双绞线,同轴电缆,光纤电缆和空气(微波、激光和红外线传输都发生在此)。它有时也称为物理介质。

Message(报文):信息在应用层(第七层)的逻辑分组,通常是由许多底层的逻辑分组组成,比如分组。datagram(数据报),frame(帧),packet(分组)和网段 这些述语也用来描述OSI参考模型不同层和不同技术周期内的逻辑信息分组。

MDF(主配线设施):建筑内主要的通信室。它是星形联网拓扑结构的中心点,接线板、集线器和路由器都位于此。

MIB(管理信息库):由诸如SNMP或CMIP等网络管理协议使用并维护的网络管理信息数据库。利用SNMP或CMIP命令可以改变或者检索MIB对象的值。MIB对象的组织方式是包括公共(标准的)或专用(专有的)树枝的树形结构。

MTU(最大传输单元):特定接口可以处理的最大分组大小,它以字节为单位。

MPLS(多协议标签交换):IETF为综合选路和交换功能而定义的标准化技术。它将一个FEC的分组与一个标签集相关联。在网络的入口识别FEC和标记分组,然后传送LSP到网络的出口。

Multicast(组播):网络复制并发送到网络地址中特定子集的单个分组。这些地址在目的端地址域中指明。

Multicast router(组播路由器):用来在所连接的本地网上发送IGMP查询报文的路由器。组播组的主机通过发送表示所在组播组的IGMP报告,对查询作出响应。组播路由器负责从一个组播组向该组中的所有其他网络成员发送组播数据报。

Multicast server(组播服务器):在VLAN上建立一个连接到每个设备的一点到多点的连接,这样就为每个VLAN段建立了一个广播域。组播服务器把输入的广播仅转发给映射到广播地址的组播地址上。


Name server(名字服务器):和网络相连的服务器,它把网络名字翻译为网络地址。

NCP(网络控制程序):在SNA中,对通信控制器(数据流驻存的地方)和其它网络资源间的数据流进行路由选择和控制的程序。

NetBIOS(网络基本输入/输出系统):IBM LAN上的应用程序使用的API,它用来请求得到底层网络进程的服务。这些服务可能包括会话的建立和终止,以及信息传输。

NetWare:Novell开发的、流行的分布式NOS。它提供了透明的远程文件访问和许多其它的分布式网络服务。

Network address(网络地址):网络层地址,指的是网络设备的逻辑地址,而非物理地址。也称它为协议地址。

Network layer(网络层):OSI 参考模型的第三层。这一层提供两个终端系统间的连接机制和路径选择。网络层是进行路由选择的那一层,和SNA模型的路径控制层大致对应。请参阅application layer、data link layer、physical layer、presentation layer、session layer和transport layer。

NFS(网络文件系统):常用的、Sun Microsystem制定的分布式文件系统协议组,它允许网络上的远程文件访问。实际上,NFS只是协议组中的一个简单协议。NFS协议组包括NFS、RPC、XDR及其它。这些协议是SUN 称之为ONC的大型结构的一部分。

NHRP(下次跳跃解析协议):路由器使用的协议,用来动态寻找其它和NBMA网络相连的路由器和主机的MAC地址。这样,这些系统可以直接通信,而无需使用中间跳跃的业务量,从而提高了ATM、帧中继、SMDS和X.25环境的性能。

NIC(网络接口卡): 能提供网络通信能力的板子,以便和计算机系统进行发送和接收。

N-ISDN(窄带ISDN):ITU-T为基带网络制定的通信标准。它基于64-kbps的B信道和 16-或 64kbps的D信道。

NLSP(Netware链路服务协议):基于IS-IS的链路状态路由选择协议。

NMS(网络管理系统):至少负责管理网络的部分系统。NMS通常是一个功能相当强大而且配置完好的计算机,比如工控站。多个NMS通过各种工具来进行通信,以便跟踪并记录统计数据和资源。

NNI(网络-网络接口):定义两个同时位于专用网或同时位于公共网的ATM交换机之间的接口的ATM论坛标准。公共交换机和专用交换机之间的接口是由UNI定义的。同时,两个帧中继交换机之间的标准接口也必须符合同样的原则。

NRM(正常应答模式):用在链路上的HDLC模式,该链路具有一个主站和一个或多个从站。在这种模式下,从站只有先收到来自主站的轮询,才可以发送信号。
OC(光载波):定义在SONET光信号传输的物理协议系列(OC-1、OC-2、OC-3等)。OC 信号电平把STS帧以各种速率发送到多模光纤线路。其基本速率为51.84Mbps(OC-1);每个信号电平的速率就是基本速率的整数倍(这样,OC-3的速率为155.52Mbps)。请参阅 SONET、STS-1 和 STS-3c。

ONC(开放网络计算):这是Sun Microsystems制定的分布式应用结构,目前由一个Sun领导的协会来控制。NFS协议是ONC的一部分。

OSPF(开放式最短路径优先):这是反映链路状态的分层IGP路由选择算法,被认为是因特网中RIP的取代者。OSPF特性包括最低代价路由选择,多路径路由选择,和加载平衡。OSPF来源于ISIS协议的一个早期版本。


Packet(数据分组):数据报、帧、报文 和 段这些术语都是用来描述OSI参考模型的不同层和不同技术周期内的逻辑信息分组。

Packet switch(分组交换机):为分组选择最有效路径的WAN设备,它允许通信信道由多个连接共享。有时也称为。分组交换节点(PSN),前称为IMP。

PAP(密码认证协议):这个协议允许PPP类用户相互认证。试图和本地路由器连接的远程路由器必须发送一个认证请求。和CHAP不一样,PAP显式传送密码和主机名字或用户名字。PAP自身不会防止非法访问,仅是识别远程终端。路由器或访问服务器然后确定用户是否允许访问。PAP只使用在PPP线路上。

PBX(专用小交换机):它位于用户住地的数字或模拟电话交换机,用来连接专用电话网和公共电话网。

PCM(脉冲编码调制):模拟信息通过取样并用固定长度的比特数对取样结果进行编码后,以数字形式传输。

Peer-to-peer computing(对等计算):请求每个网络设备运行应用程序中客户机和服务器部分的对等计算呼叫。它同时也描述了在两个不同网络设备间OSI参考模型中同一层的执行程序之间的通信。

Physical layer(物理层):这是OSI 参考模型的第一层。物理层定义了电气规范,机械规范,过程规范和功能规范,这些规范用于激活,维护和终止终端系统间物理链路的工作。物理层和SNA模型中的physical control layer 对应。

physical layer convergence procedure Ping(分组因特网查询进程):ICMP反射报文和它的应答,它通常用来测试网络设备的可到达性。

PNNI(专用网际接口):这是用来描述ATM虚电路路由选择协议和ATM交换机间信令协议的ATM论坛规范。它实现了专用网内的ATM交换机互连。它有时也称为专用网络节点接口。

Polling(轮询):主网络设备利用这种接入机制来有序查询从设备是否有数据发送。查询以报文的形式发送给每个从设备,从而把传输权利赋予此从设备。

POP(显示点):它是电话公司和建筑的总配线架所提供的通信设备间的互连点。

PPP(点到点协议):作为SLIP的替代者,PPP提供了同步和异步电路上的路由到路由和主机到网络的连接。

Presentation layer(表示层):OSI参考模型的第六层。这一层确保了一个系统的应用层所发送的信息可以被另一个系统的应用层读取。表示层也和程序使用的数据结构有关,从而得和应用层得数据传输语法进行协商。它和SNA模型的表示服务层大致对应。

Presentation services layer(表示服务层):SNA参考模型的第六层。这一层提供了网络资源管理,会话表示服务和一些应用程序管理。它和OSI参考模型的表示层大致对应。

PRI(基群速率接口):ISDN的基群速率访问接口。基群速率访问包含一个64Kbps的D信道和23(T1)或30(E1)个话音或数据的B信道。

Protocol(协议):规定网络设备如何交换信息的规则和约定集合的正式描述。

Proxy ARP(代理ARP):ARP协议的一种变换形式。在这种形式下,中间设备(比如路由器)代表目的端发送一个ARP应答给发送请求的主机。代理APR可以减少低速WAN链路上的带宽。

PSTN(公共交换电话网):世界范围内的电话网和服务的变化形式的总称。有时也称为plain old telephone service(无格式的老式电话服务POTS)。

PVC(永久虚电路):永久性建立的虚电路。PVC在某些虚电路必须一直存在的情况下,保存和电路建立及拆卸相关的带宽。在ATM术语中,称为permanent virtual connection(永久虚连接)。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:06:21 | 显示全部楼层
QLLC(限定式逻辑链路控制):它是IBM规定的数据链路层协议,允许SNA(系统网络体系结构)数据在X.25网络上传输。

QOS(服务质量):它是传输系统性能的测量标准,反映了传输的质量和服务的可靠性。

Queue(队列):1.一般指等待处理的元素的有序队列。 2.在路由中,指等待从路由器接口发送的一队数据包。



RAM (random-access memory随机访问存储器):可以被微处理器读写的易变存储器。 RARP (反向地址解析协议) 是TCP/IP协议堆栈中的协议,它提供基于MAC地址寻找IP地址的方法。 RCP(远端复制协议) 该协议允许用户从网络的一个远端主机或者服务器上的文件系统中上载和下载文件。远端复制协议使用TCP协议来确保数据传输的可靠性。 Redundant system (冗余系统) 指的是在比较重要的子系统中包含两个或者多个计算机,路由器,交换机或者其它计算机的系统,这些比较重要的子系统包括双驱动器,双CPU,或者两个电源。 Remote bridge (远端网桥) 指的是借助广域网(WAN)链路连接物理上分离的网段的网桥。

RFC(请评论文档):在互联网中作为通信信息主要含义使用的文件系列。有些RFC文档是由IAB设计,作为互联网标准。大部分RFC文件协议是Telnet和FTP规则,但是有些不实际或者过时。请评论文档可以通过在线方式为多个源端使用。 RIF(路由信息域) 在IEEE802.5报头中的域,是源端路由器网桥使用的信头,它决定数据包通过哪个令牌环网段发送。一个路由信息域包含令牌环和网桥的地址,还有其它信息。

RIP (路由信息协议):是一种UNIX BSD 系统提供的IGP(内部网关协议)。是互联网中最普通的IGP。路由信息协议使用网段跳数作为路由计量单位。

RJ connector(注册的插座连接器):它是最初用来连接电话线路的标准连接器。RJ连接器现在用于电话连接和10BaseT网络与其它类型网络的连接。RJ-11,RJ-12, 和 RJ-45是RJ连接器的流行品种。

Rlogin (远端登录):终端仿真程序,和Telnet类似,大部分UNIX可以执行这项工作。 RMON (远端监测) RFC 1271中描述的MIB代理规则,它定义了网络设备远端监测功能。RMON规则提供多路监测,故障检测,和报告功能。 ROM (只读存储器) 只能阅读,不能由微处理器进行写操作的不易失存储器。

Route (路由):通过互联网络的路径。

Routed protocol (被动路由协议):指的是可以通过路由器引导路由的协议。一个路由器必须能够把逻辑上的互联网络翻译为路由协议中的规则。路由协议的例子包括AppleTalk协议,DECnet和IP协议。 Route map (路由映射):在路由域之间控制路由重新分配的方法。

Router (路由器):是使用一种或者更多度量因素的网络层设备,它决定网络通信能够通过的最佳路径。路由器依据网络层信息将数据包从一个网络前向转发到另一个网络。偶尔也称为网关(尽管网关的这个定义现在已经过时)。

Routing (路由选择):寻找到达一个终端主机的路径的过程。选择路由在大型网络中非常复杂,因为在一个数据包在到达终端之前将经过许多潜在的中间信宿。

Routing domain (路由寻址区域):遵循同一套管理规则的终端系统和中间系统群。在每个路由寻址区域有一个或者多个地区,每个地区由一个独一无二的地区地址来识别。

Routing metric (路由量度):指的是选择路由算法决定一条路径优于另一条路径的方法。这个信息存储在路由表中。这些度量包括带宽,通信费用,时延,跳数,负载,最大传输单元,路径费用和可靠性。有些时候只简单地当作一种度量。

Routing protocol (主动路由协议) 指的是通过执行一个特殊选择路由算法实现路由选择的协议。选择路由协议的例子包括内部网关路由协议,最短开通道优先协议和路由信息协议。

Routing table (路由表):指的是路由器或者其它互联网网络设备上存储的表,该表中存有到达特定网络终端的路径,在某些情况下,还有一些与这些路径相关的度量。

Routing update(路由更新) 从路由器发出的包含网络是否可以到达以及相关费用信息的消息。通常在固定时间间隔和网络拓扑发生变化之后发路由刷新消息。 RPC (远端过程调用) 它是客户机/服务器计算机体系的技术基础。远端过程调用是由用户建立或者规定的过程调用,它在服务器上执行,并将执行结果通过网络传递给用户。 RS-232 一种流行的物理层接口。现在称为EIA/TIA-232。 RS-422 一种实现高速数据传输的EIA/TIA-449的平衡电装置。现在是指与RS-423统称为EIA-530。 RS-423 一种与EIA/TIA-232兼容的EIA/TIA-449非平衡电装置。现在与RS-422统称为EIA-530。 RS-449 一种流行的网络层接口。现在称为EIA/TIA-449。

RTMP (路由表维护协议):Apple计算机专用选择路由协议。路由表维护协议是从路由信息协议派生出来的。

RTP (快速传输协议): 1.路由表协议。基于RIP协议的VINES路由协议。它分布网络拓扑信息,帮助VINES服务器找到相邻用户,服务器和路由器。它使用延时作为路由选择的量度。请参阅SRTP。 2.快速传输协议。当APPN数据通过APPN网络时,提供步距和误码恢复。当使用快速传输协议,误码恢复和流量控制都是端到端的操作,而不是对每个节点的。快速传输协议能够防止阻塞,而不是对阻塞做出反应。


SAP
1.服务接入点。它是由IEEE 802.2规定的域,是地址规范的一部分。这样,信宿和DSAP定义了包的接收方。这同样应用于SSAP。
2.服务公告协议。是一种IPX协议,是借助路由器和服务器提供信息给网络用户的一种方式,这些信息包括网络中可以使用的资源和服务。

SAR (分段和重组) 是AAL CPCS中两个子层之一,负责分段(在信源)和重组(在信源)经过电路交换的PDU。SAR子层拾取经过电路交换处理的PDU,然后将它们分成长度为48字节的净负荷数据,将它们传输到ATM层做进一步处理。

SCR (可持续信元速率):ATM论坛为ATM服务流管理规定的参数。对于可变比特率连接,可持续信元速率决定了可以传输的长期平均信元速率。

SCTE(串行时钟外部传输):DTE回传给DCE的时钟信号,它用于维护时钟。SCTE是为补偿时钟在长距离电缆中的相位漂移而设计,即使在电缆中存在相位漂移,也可以将数据很好地采样而没有误码。

SDLC (同步数据链路控制):同步数据链路控制。SNA(系统网络体系结构)数据链路层通信协议。同步数据链路控制是面向比特,全双工串口协议,它产生了很多类似的协议,包括HDLC和LAPB。

Seed router (种子路由器):当非种子路由器连接到AppleTalk网络上时,种子路由器对它的配置查询做出反应,允许这些路由器据此确定或者修改它们的配置。

Segment (段): 1. 网段,网络的一个部分,由网桥,路由器,或者交换机确定边界。 2. 在一个使用总线拓扑局域网中,一个段是一条连续电路,经常通过中继器与其它段相连接。 3. TCP规范中使用的术语,描述一个传输层的信息单元。术语datagram、frame、message和packet也用来描述OSI参考模型不同层和不同技术范围中的逻辑消息组。

Session layer (会话层):指的是OSI参考模型的第五层。该层建立,管理和终止服务间的会晤,管理表示层实体间的数据交换。它对应于SNA模型中的数据流量控制层。

Signaling packet (信令包):它由与ATM连接的设备产生,这个设备希望与其它这样的设备建立连接。信令包包含希望连接的ATM终端的ATM NSAP地址,还有连接需要的所有QOS参数。如果终端可以支持期望的QOS,它返回一个接收消息,然后打开连接。

Single-mode fiber (单模光纤):指的是有一个窄芯的光纤光缆,它仅允许光从一个角度进入光纤。这样的光缆比多模光纤有更高的带宽,但是要求窄谱宽光源(例如,激光器)。又称为单一模式光纤。

Sliding windowflowcontrol(滑动窗流量控制):指的是接收机允许发射机发送数据直到窗口充满时为止的方法。当窗口充满时,发射机必须停止发送,直到接收机发一个大的窗口的通告。TCP协议、其它一些传输协议和其它几个数据链路层协议使用这种流量控制方法。

SMDS (交换式多兆位数据服务):它是基于报文的高速包交换广域网技术,它由电话公司提供。请参阅CBDS。

SNA (系统网络结构):它是IBM 公司1970年开发的大型,复杂,多功能网络结构。与 OSI reference mode(OSI参考模型)的某些概念类似, 但也有很多不同。SNA基本也由七层组成。

SNMP(简单网络管理协议) :几乎所有的TCP/IP网络都使用的网络管理协议。简单网络管理协议提供监视和控制网络设备,管理配置,统计收集,性能,和安全的一种方式。

Socket(插口):指的是在一个网络设备中作为通信终端使用的软件结构。

Spanning tree (生成树): 指的是网络拓扑的一种自由环子集。

Spanning-tree algorithm (生成树算法):指的是生成树协议使用的算法,用来生成一个生成树。有时简称为STA.

Spanning-Tree Protocol (生成树协议):使用生成树算法的网桥协议,它通过生成生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作。网桥与其它网桥交换BPDU消息来监测环路,然后关闭选择的网桥接口取消环路,统指IEEE 802.1 生成树协议标准和早期的数字设备合作生成树协议,该协议是基于后者产生的。IEEE版本的生成树协议支持网桥区域,它允许网桥在一个扩展本地网中建设自由环形拓扑结构。IEEE版本的生成树协议通常为在数字版本之上的首选版本。

SPF (最短路径优先):它是一种选择路由算法,在所有路径上遍历以计算最短路径生成树。通常用在链路状态选择路由算法。有时称为 Dijkstra&#39;s algorithm(Dijkstra算法)。

SPID (服务类型标识):一些服务提供者使用的数字,用来定义ISDN(综合服务数字网)设备预订的服务。当访问交换机时ISDN设备使用SPID,该交换机初始化与服务提供者的连接。

SPX (顺序分组交换):它是可靠的面向连接的协议,是网络层(第三层)协议提供的报文服务的补充。Novell从XNS协议套件中的SPP派生出这个通常使用的NetWare传输协议。

SRAM (静态随机存储器):是一种RAM类型,在接通电源期间保存内容。SRAM和DRAM一样不需要持续更新。

SRB (源路由桥接):最初由IBM公司开发的网桥方案,在令牌环网络中广泛使用。在SRB网络中,到达终端的整个路由是预先决定的,实时的,在发送数据给终端之前进行。

SRT (源路由透明桥接):它是一种IBM网桥方案,融合了两个流行的网桥策略,SRB和透明网桥。SRT在设备中使用这两个技术来满足所有EN的需要。网桥协议之间不需要翻译。

SR/TLB (源路由平移桥接) 一种桥接方案,源路由工作站可以在一个中介网桥的帮助下,与透明网桥进行通信,中介网桥在两个网桥协议之间充当翻译。

SS7 (7号信令系统):宽带ISDN和ISDN使用的标准共信道信令系统。

Star topology (星形拓扑):是一种本地网拓扑,其中网络终端通过点对点链路连接到一个公共中间交换机。一个环形拓扑和一个星形拓扑组合为一个单向闭环星行网,取代点对点链路。

Store and forward packet switching (存储转发分组交换) 一种分组交换技术。在这种技术中,帧在转发到合适的端口前经过了完全的处理。处理过程包括计算CRC和检验目的端地址。此外,这些帧必须暂时存储起来,直到有网络资源(比如一条没有使用的链路)来转发报文。

Subnet address (子网地址):IP地址的一部分。它用子网掩码来表示子网。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:06:37 | 显示全部楼层
网关曾经是很容易理解的概念。在早期的因特网中,术语网关即指路由器。路由器是网
络中超越本地网络的标记,这个走向未知的“大门”曾经、现在仍然用于计算路由并把
分组数据转发到源始网络之外的部分,因此,它被认为是通向因特网的大门。随着时间
的推移,路由器不再神奇,公共的基于IP的广域网的出现和成熟促进了路由器的成长。
现在路由功能也能由主机和交换集线器来行使,网关不再是神秘的概念。现在,路由器
变成了多功能的网络设备,它能将局域网分割成若干网段、互连私有广域网中相关的局
域网以及将各广域网互连而形成了因特网,这样路由器就失去了原有的网关概念。然而
术语网关仍然沿用了下来,它不断地应用到多种不同的功能中,定义网关已经不再是件
容易的事。目前,主要有三种网关:
协议网关
应用网关
安全网关
唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定
了需要的网关类型。
一、协议网关
协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在OSI
参考模型的第2层、第3层或2、3层之间。但是有两种协议网关不提供转换的功能:安全
网关和管道。由于两个互连的网络区域的逻辑差异,安全网关是两个技术上相似的网络
区域间的必要中介。如私有广域网和公有的因特网。这一特例在后续的“组合过滤网关
”中讨论,此部分中集中于实行物理的协议转换的协议网关。
1、管道网关
管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被封装在可以被传
输网络识别的帧中,到达目的地时,接收主机解开封装,把封装信息丢弃,这样分组就
被恢复到了原先的格式。例如在下图中,IPv4数据由路由器A封装在IPv6分组中,通过I
Pv6网络传递给一个IPv4主机,路由器解开IPv6的封装,把还原的IPv4数据传递给目的主
机。
[img] 管道技术只能用于3层协议,从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制
的优点,它也有缺点。管道的本质可以隐藏不该接受的分组,简单来说,管道可以通过
封装来攻破防火墙,把本该过滤掉的数据传给私有的网络区域。
2、专用网关
很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。典
型的专用网关用于把基于PC的客户端连到局域网边缘的转换器。该转换器通过X.25网络
提供对大型机系统的访问。下图演示了从PC客户端到网关的过程,网关将IP数据通过X.
25广域网传送给大型机。
[img] 这些网关通常是需要安装在连接到局域网的计算机上的便宜、单功能的电路板,这使其
价格很低且很容易升级。在上图的例子中,该单功能的网关将大型机时代的硬连线的终
端和终端服务器升级为PC机和局域网。
3、2层协议网关
2层协议网关提供局域网到局域网的转换,它们通常被称为翻译网桥而不是协议网关。
在使用不同帧类型或时钟频率的局域网间互连可能就需要这种转换。
(1)帧格式差异
IEEE802兼容的局域网共享公共的介质访问层,但是它们的帧结构和介质访问机制使它
们不能直接互通。如下图:
[img] 翻译网桥利用了2层的共同点,如MAC地址,提供帧结构不同部分的动态翻译,使它们的
互通成为了可能。第一代局域网需要独立的设备来提供翻译网桥,如今的多协议交换集
线器通常提供高带宽主干,在不同帧类型间可作为翻译网桥,如下图所示:
[img] 现在翻译网桥的幕后性质使这种协议转换变得模糊,独立的翻译设备不再需要,多功能
交换集线器天生就具有2层协议转换网关的功能。
替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备
:路由器。长期以来路由器就是局域网主干的重要组成部分,见下图。如果路由器用于
互连局域网和广域网,它们通常都支持标准的局域网接口,经过适当的配置,路由器很
容易提供不同帧类型的翻译。这种方案的缺点是如果使用3层设备路由器需要表查询,这
是软件功能,而象交换机和集线器等2层设备的功能由硬件来实现,从而可以运行得更快

[img] (2)传输率差异
很多过去的局域网技术已经提升了传输速率,例如,IEEE 802.3以太网现在有10Mbps、
100Mbps和1bps的版本,它们的帧结构是相同的,主要的区别在于物理层以及介质访问机
制,在各种区别中,传输速率是最明显的差异。令牌环网也提升了传输速率,早期版本
工作在4Mbps速率下,现在的版本速率为16Mbps,100Mbps的FDDI是直接从令牌环发展来
的,通常用作令牌环网的主干。这些仅有时钟频率不同的局域网技术需要一种机制在两
个其它方面都兼容的局域网间提供缓冲的接口,现今的多协议、高带宽的交换集线器提
供了能够缓冲速率差异的健壮的背板,如下图:
[img] 如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲,还可以
为不同的802兼容的局域网提供2层帧转换。路由器也可以做速率差异的缓冲工作,它们
相对于交换集线器的长处是它们的内存是可扩展的。其内存缓存进入和流出分组到一定
程度以决定是否有相应的访问列表(过滤)要应用,以及决定下一跳,该内存还可以用
于缓存可能存在于各种网络拓扑间的速率差异,如下图:
[img] 二、应用网关
应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输
入,将之翻译,然后以新的格式发送,如下图。输入和输出接口可以是分立的也可以使
用同一网络连接。
[img] 一种应用可以有多种应用网关。如Email可以以多种格式实现,提供Email的服务器可能
需要与各种格式的邮件服务器交互,实现此功能唯一的方法是支持多个网关接口。下图
所示为一个邮件服务器可以支持的几种网关接口。
[img] 应用网关也可以用于将局域网客户机与外部数据源相连,这种网关为本地主机提供了与
远程交互式应用的连接。将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、
高延迟的广域网的缺点,这就使得客户端的响应时间更短。应用网关将请求发送给相应
的计算机,获取数据,如果需要就把数据格式转换成客户机所要求的格式,见下图所示

[img] 本文不对所有的应用网关配置作详尽的描述,这些例子应该概括了应用网关的各种分支
。它们通常位于网络数据的交汇点,为了充分地支持这样的交汇点,需要包括局域网、
广域网在内的多种网络技术的结合。

三、安全网关
安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到
十分复杂的应用级过滤。防火墙主要有三类:
分组过滤
电路网关
应用网关
注意:三种中只有一种是过滤器,其余都是网关。
这三种机制通常结合使用。过滤器是映射机制,可区分合法的和欺骗包。每种方法都有
各自的能力和限制,要根据安全的需要仔细评价。
1、包过滤器
包过滤是安全映射最基本的形式,路由软件可根据包的源地址、目的地址或端口号建立
许可权,对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器
可对进入和/或流出的数据操作,在网络层实现过滤意味着路由器可以为所有应用提供安
全映射功能。作为(逻辑意义上的)路由器的常驻部分,这种过滤可在任何可路由的网
络中自由使用,但不要把它误解为万能的,包过滤有很多弱点,但总比没有好。
包过滤很难做好,尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很
容易被攻破。包过滤比较每个数据包,基于包头信息与路由器的访问列表的比较来做出
通过/不通过的决定,这种技术存在许多潜在的弱点。首先,它直接依赖路由器管理员正
确地编制权限集,这种情况下,拼写的错误是致命的,可以在防线中造成不需要任何特
殊技术就可以攻破的漏洞。即使管理员准确地设计了权限,其逻辑也必须毫无破绽才行
。虽然设计路由似乎很简单,但开发和维护一长套复杂的权限也是很麻烦的,必须根据
防火墙的权限集理解和评估每天的变化,新添加的服务器如果没有明确地被保护,可能
就会成为攻破点。
随着时间的推移,访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组
,它必须识别该分组要到达目的地需经由的下一跳地址,这必将伴随着另一个很耗费CP
U的工作:检查访问列表以确定其是否被允许到达该目的地。访问列表越长,此过程要花
的时间就越多。
包过滤的第二个缺陷是它认为包头信息是有效的,无法验证该包的源头。头信息很容易
被精通网络的人篡改,这种篡改通常称为“欺骗”。
包过滤的种种弱点使它不足以保护你的网络资源,最好与其它更复杂的过滤机制联合使
用,而不要单独使用。
2、链路网关
链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP
请求,甚至某些UDP请求,然后代表数据源来获取所请求的信息。该代理服务器接收对万
维网上的信息的请求,并代表数据源完成请求,如下图。实际上,此网关就象一条将源
与目的连在一起的线,但使源避免了穿过不安全的网络区域所带来的风险。
[img] 这种方式的请求代理简化了边缘网关的安全管理,如果做好了访问控制,除了代理服务
器外所有出去的数据流都被阻塞。理想情况下,此服务器有唯一的地址,不属于任何内
部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化,只有代理服
务器的网络地址可被外部得到,而不是安全区域中每个联网的计算机的网络地址。
3、应用网关
应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据
的通用保护,而应用网关在每个需要保护的主机上放置高度专用的应用软件,它防止了
包过滤的陷阱,实现了每个主机的坚固的安全。
应用网关的一个例子是病毒扫描器,这种专用软件已经成了桌面计算的主要产品之一。
它在启动时调入内存并驻留在后台,持续地监视文件不受已知病毒的感染,甚至是系统
文件的改变。病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害

这种保护级别不可能在网络层实现,那将需要检查每个分组的内容,验证其来源,确定
其正确的网络路径,并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担
的过载,严重影响网络性能。
4、组合过滤网关
使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制,可以包括
包、链路和应用级的过滤机制。这样的安全网关最普通的实现是象岗哨一样保护私有网
段边缘的出入点,通常称为边缘网关或防火墙。这一重要的责任通常需要多种过滤技术
以提供足够的防卫。下图所示为由两个组件构成的安全网关:一个路由器和一个处理机
。结合在一起后,它们可以提供协议、链路和应用级保护。
[img] 这种专用的网关不象其它种类的网关一样,需要提供转换功能。作为网络边缘的网关,
它们的责任是控制出入的数据流。显然的,由这种网关联接的内网与外网都使用IP协议
,因此不需要做协议转换,过滤是最重要的。
保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明
显了。在某些情况下,是需要过滤发向外部的数据的。例如,用户基于浏览的增值业务
可能产生大量的WAN流量,如果不加控制,很容易影响网络运载其它应用的能力,因此有
必要全部或部分地阻塞此类数据。
联网的主要协议IP是个开放的协议,它被设计用于实现网段间的通信。这既是其主要的
力量所在,同时也是其最大的弱点。为两个IP网提供互连在本质上创建了一个大的IP网
,保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨

5、实现中的考虑
实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现
。首要任务是建立全面的规则,在深入理解安全和开销的基础上定义可接受的折衷方案
,这些规则建立了安全策略。
安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下,安全策略的基始
承诺是允许所有数据通过,例外很少,很易管理,这些例外明确地加到安全体制中。这
种策略很容易实现,不需要预见性考虑,保证即使业余人员也能做到最小的保护。另一
个极端则极其严格,这种策略要求所有要通过的数据明确指出被允许,这需要仔细、着
意的设计,其维护的代价很大,但是对网络安全有无形的价值。从安全策略的角度看,
这是唯一可接受的方案。在这两种极端之间存在许多方案,它们在易于实现、使用和维
护代价之间做出了折衷,正确的权衡需要对危险和代价做出仔细的评估。
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:06:52 | 显示全部楼层
几种网络存储技术


直连方式存储(Direct Attached Storage - DAS)。顾名思义,在这种方式中,存储设备是通过电缆(通常是SCSI接口电缆)直接到服务器。I/O请求直接发送到存储设备。

存储区域网络(Storage Area Network - SAN)。存储设备组成单独的网络,大多利用光纤连接,服务器和存储设备间可以任意连接。I/O请求也是直接发送到存储设备。如果SAN是基于TCP/IP的网络,则通过iSCSI技术,实现IP-SAN网络。

网络连接存储(Network Attached Storage - NAS)。NAS设备通常是集成了处理器和磁盘/磁盘柜,连接到TCP/IP网络上(可以通过LAN或WAN),通过文件存取协议(例如NFS,CIFS等)存取数据。NAS将文件存取请求转换为内部I/O请求。

上述几种存储方式的优点:
DAS: 费用低;适合于单独的服务器连接
SAN: 高性能,高扩展性;光纤连接距离远;可连接多个磁盘阵列或磁带库组成存储池,易于管理;通过备份软件,可以做到Server-Free和LAN-Free备份,减轻服务器和网络负担
NAS: 安装过程简单;易于管理;利用现有的网络实现文件共享;高扩展性
一下选择各种网络存储方案应该考虑的问题:

  直连方式存储(DAS)
  这种方式是连接单独的或两台小型集群的服务器。它的特点是费用低。但对于多个服务器或多台PC的环境,设备的初始费用可能比较低。可是这种连接方式下,每台PC或服务器单独拥有自己的存储磁盘,容量的再分配困难;对于整个环境下的存储系统管理,工作烦琐而重复,没有集中管理解决方案。所以整体的拥有成本较高。
存储区域网络(SAN)
  这种方式是将服务器和存储设备通过专用的网络连接起来,服务器通过“Block I/O”发送数据存取请求到存储设备。
  存储区域网络的优点如下:
   1.服务器和存储设备之间更远的距离(10公里相比较SCSI的25米);高可靠性及高性能;多个服务器和存储设备之间可以任意连接
   2.集中的存储设备替代多个独立的存储设备,支持存储容量共享;通过相应的软件使得SAN上的存储设备表现为一个整体,因此有很高的扩展性;可以通过软件集中管理和控制SAN上的存储设备
   3.可以支持LAN-Free和Server-Free备份,提高备份的效率和减轻服务器的负担
   4.提供数据共享
  由于SAN通常是基于光纤的解决方案,需要专用的交换机和管理软件,所以SAN的初始费用比DAS和NAS高。
网络连接存储(NAS)
  这种方式是将存储设备连接到基于IP的网络中,不同于DAS和SAN,服务器通过“File I/O”方式发送文件存取请求到存储设备NAS。NAS上一般安装有自己的操作系统,它将File I/O转换成Block I/O,发送到内部磁盘。
  在选择是采用NAS或SAN的解决方案时,要考虑以下几个方面:
  易安装性
  NAS相对于SAN易于安装。NAS连接到现有的基于IP的网络中,服务器几乎不用做任何修改就可以利用NAS的存储容量。SAN相对来说要做更多的计划,包括光纤通道的规划以及管理软件的选择。
  备份
  NAS可以利用“Snapshot”和备份软件备份数据到磁带。在SAN上,也有相应的工具来完成备份。
  资源再分配
  在同一台NAS中的磁盘可以分配给一个或多个文件系统,存取同一文件系统的用户按需获得磁盘,这样比DAS方式更加有效地提供存储容量。但是NAS之间不能进行资源再分配,这样,随着NAS数量的增加,其管理的复杂性和费用将增加。在SAN上,所有的磁盘和磁带库都可以进行资源再分配,所以,从扩展的角度,SAN更易于管理和投资保护。
  文件共享
  NAS提供文件级的数据共享。SAN可以通过软件实现文件级的数据共享。
  性能
  NAS可以通过10Mbps、100Mbps和1Gbps网络连接;SAN的带宽是100/200MBps。
  SAN上的光纤通道协议处理是在主机总线适配卡(HBA)上完成的,可以减轻主机的工作负担;在NAS上,业界也在研发相应的网卡。

  相对于SAN,NAS的可扩展性较小,但它可以适合中小级别的存储需求。通过NAS网关(NAS Gateway),可以组成SAN和NAS的混合存储网络,可以最大限度地利用网络化存储。
  网络连接存储网关(NAS Gateway)
  NAS Gateway提供了NAS的功能,但没有集成的磁盘,而是连接到外部磁盘系统,可以是DAS或SAN。它从网络上接收基于“File I/O”的请求,转换成基于“Block I/O”的请求,发送到外接的磁盘系统上。
  相对于NAS,存储网关提供了如下的优点:
· 更多的磁盘存储选择
· 更大的可扩展性
· 更好的磁盘系统投资保护
· 在同一网络上提供“File I/O”和“Block I/O”的数据共享
  iSCSI
  这是通过TCP/IP网络传送SCSI命令(SCSI over IP)的标准,类似光纤通道。iSCSI在实现上有不同的方式。假设服务器上安装了iSCSI设备驱动,可以通过iSCSI协议传送I/O请求。这时,目标存储设备可以直接连接到iSCSI LAN上,例如IBM的TotalStorage IP Storage 200i;另一种方式是连接到路由器(Router),通过路由器连接到基于光纤通道的存储设备,例如Cisco 5420加IBM ESS。
  iSCSI和NAS的根本区别在于iSCSI是基于Block I/O的,而NAS是基于File I/O的。 iSCSI和SAN的根本区别在于iSCSI是通过IP网络传输的,而SAN是通过专用网络的。
  iSCSI适合基于IP网络的数据库应用环境,不通过文件系统直接存取磁盘系统;另外的应用环境是通过操作系统的逻辑卷管理器放置数据到特定的磁盘位置。
  网络存储方案的选择,要考虑到客户现有的环境以及发展的需要,很难设计一个方案适合所有的环境。一些设计的基本点供参考:
   1.如果已有的存储方式扩展可以满足可户的需求,采用当前的方式;
   2.工作组级的用户要求共享文件和磁盘容量,NAS将是一个很好的选择;
   3.应用服务器的整合和数据共享,要求基于Block I/O的数据库应用,SAN和iSCSI是合适的选择。如果已有SAN,就扩展现有的容量。如果没有SAN,服务器数量比较少,iSCSI是更经济和更简单的选择。服务器数量多,存储设备多,SAN是更好的方案
回复

使用道具 举报

 楼主| 发表于 2005-11-21 11:07:08 | 显示全部楼层
端口映射的几种实现方法

采用端口映射(Port Mapping)的方法,可以实现从Internet到局域网内部机器的特定端口服务的访问。笔者总结了在教学与组网实践中采用的几种端口映射方法,在此与大家交流探讨。

  利用IIS实现WWW和FTP服务的重定向

  Windows 2000和Windows XP都包含了IIS组件,其中的WWW和FTP服务具有主目录重定向设置,与端口映射相比,虽名称不同但作用类似。本文以Windows 2000下IIS 5.0的WWW和FTP服务举例说明。

  1、WWW服务的重定向

  打开管理工具中的Internet服务管理器,进入“Internet信息服务”对话框,选择Web站点名称,例如:“默认Web站点”,查看其属性,在属性页面的“主目录”标签下,我们可以设置WWW服务器的主目录位置。设定主目录为“另一计算机上的共享位置”,则可以在“网络目录”栏目内,以“\\{服务器}\{共享名}”格式填写局域网内部的WWW服务器上已经设为共享的主目录,例如:\\Server6\www。

  我们也可以选择“重定向到URL”,然后在“重定向到”栏目输入局域网内部的WWW服务器的链接,例如http://192.168.0.6
2、FTP服务的重定向

  与WWW服务的重定向相似,打开管理工具中的Internet服务管理器,进入“Internet信息服务”对话框,选择FTP站点名称,例如:“默认FTP站点”,查看其属性,在属性页面的“主目录”标签下,我们可以设置FTP服务器的主目录位置。

  WinRoute Pro的端口映射功能

  WinRoute Pro是一个工作于NAT(网络地址翻译)方式的Internet共享软件。它本身自带了端口映射功能。

  运行WinRoute Administration并登录,在主菜单上选择“Settings→ Advanced→Port Mapping”,出现端口映射的设置界面。端口映射条目的添加、编辑界面如图所示。可以设置的选项包括协议、监听端口、端口类型(单一端口还是某个范围的连续端口)、目的主机、目的端口等。

  专用的端口映射工具PortTunnel

  PortTunnel是一个实现端口映射的专用工具。它是一个直接运行的软件,运行后的界面如下图所示。

如果操作系统为Windows NT/Windows 2000/Windows XP,第一次运行时选择Start,PortTunnel会自动以服务方式运行。点击[Add]按钮添加条目,点击[Edit]按钮编辑现有条目,点击[Delete]按钮删除条目。“新建/编辑”条目的界面见下图。

  

  在这个“新建/编辑端口映射”对话框中,我们要给该条目命名,然后设定输入端口(Port In)、绑定地址(Bind address)、输出端口(Port Out)和输出地址(Address Out)。其中,“绑定地址”是指监听该主机的哪一个IP(内部IP还是外部IP)。设为“Any(0.0.0.0)”则监听该主机的全部IP。

  PortTunnel专门针对HTTP、FTP、SMTP服务的端口映射,提供了较多的参数设置,在相应的标签菜单下调整。此外,PortTunnel还提供了安全性设置和日志、统计等功能。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-12-25 09:10 , Processed in 0.274273 second(s), 6 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表