三层交换机与路由器的主要区别
1. 主要功能不同
虽然三层交换机与路由器都具有路由功能,但我们不能因此而把它们等同起来,正如现在许多网络设备同时具备多种传统网络设备功能一样,就如现在有许多宽带路由器不仅具有路由功能,还提供了交换机端口、硬件防火墙功能,但不能把它与交换机或者防火墙等同起来一样。因为这些路由器的主要功能还是路由功能,其它功能只不过是其附加功能,其目的是使设备适用面更广、使其更加实用。这里的三层交换机也一样,它仍是交换机产品,只不过它是具备了一些基本的路由功能的交换机,它的主要功能仍是数据交换。也就是说它同时具备了数据交换和路由转发两种功能,但其主要功能还是数据交换;而路由器仅具有路由转发这一种主要功能。
2. 主要适用的环境不一样
三层交换机的路由功能通常比较简单,因为它所面对的主要是简单的局域网连接。正因如此,三层交换机的路由功能通常比较简单,路由路径远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能,满足局域网数据交换频繁的应用特点。
而路由器则不同,它的设计初哀就是为了满足不同类型的网络连接,虽然也适用于局域网之间的连接,但它的路由功能更多的体现在不同类型网络之间的互联上,如局域网与广域网之间的连接、不同协议的网络之间的连接等,所以路由器主要是用于不同类型的网络之间。它最主要的功能就是路由转发,解决好各种复杂路由路径网络的连接就是它的最终目的,所以路由器的路由功能通常非常强大,不仅适用于同种协议的局域网间,更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。为了与各种类型的网络连接,路由器的接口类型非常丰富,而三层交换机则一般仅同类型的局域网接口,非常简单。
3. 性能体现不一样
从技术上讲,路由器和三层交换机在数据包交换操作上存在着明显区别。路由器一般由基于微处理器的软件路由引擎执行数据包交换,而三层交换机通过硬件执行数据包交换。三层交换机在对第一个数据流进行路由后,它将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。同时,三层交换机的路由查找是针对数据流的,它利用缓存技术,很容易利用ASIC技术来实现,因此,可以大大节约成本,并实现快速转发。而路由器的转发采用最长匹配的方式,实现复杂,通常使用软件来实现,转发效率较低。
正因如此,从整体性能上比较的话,三层交换机的性能要远优于路由器,非常适用于数据交换频繁的局域网中;而路由器虽然路由功能非常强大,但它的数据包转发效率远低于三层交换机,更适合于数据交换不是很频繁的不同类型网络的互联,如局域网与互联网的互联。如果把路由器,特别是高档路由器用于局域网中,则在相当大程度上是一种浪费(就其强大的路由功能而言),而且还不能很好地满足局域网通信性能需求,影响子网间的正常通信。
综上所述,三层交换机与路由器之间还是存在着非常大的本质区别的。无论从哪方面来说,在局域网中进行多子网连接,最好还选用三层交换机,特别是在不同子网数据交换频繁的环境中。一方面可以确保子网间的通信性能需求,另一方面省去了另外购买交换机的投资。当然,如果子网间的通信不是很频繁,采用路由器也无可厚非,也可达到子网安全隔离相互通信的目的。具体要根据实际需求来定。
防火墙的选购
有关防火墙方面的知识,在前几篇中已作了较全面的介绍,相信各位对防火墙的认识已有所提高。最后在本篇之中,我要向大家介绍的是在防火墙选购方面需注意的有关事项,也可称之为选购原则吧。这是在你决定利用前几篇知识开始为自己企业选购防火墙之前需要最后掌握的。
其实防火墙的选购与其它网络设备和选购差不多,主要是考虑到品牌和性能。品牌好说,有名的大家都或许早已知道一些,但是对于性能,却非常广泛,不同品牌、不同型号差别较大,是整个防火墙选购注意事项中的关键所在。本文所要介绍的选购原则主要是从性能角度考虑。
1. 产品类型
防火墙的产品分类标准较多,本篇主要介绍的是硬件防火墙,而且只考虑传统边界防火墙。在边界防火墙中,如果硬件结构来看的话,基本上有两大类:路由器集成式和硬件独立式防火墙。前者是在边界路由器基础上辅以软件,添加一些包过滤功能,通常称之为包过滤防火墙,如Cisco IOS防火墙等;而独立式硬件防火墙通常是基于应用级网关、自动代理等较先进过滤技术的,各种过滤技术有不同的优点和适用环境,要注意选择。详细防火墙分类,请参照毅面篇介绍。
另外防火墙所用的系统也非常关键,它关系到防火墙自身的安全性能。目前包过滤型的路由器防火墙是没有单独的操作系统的,而独立式的硬件防火墙有的采用通用操作系统;而有的则采用专门开发的嵌入式操作系统。相比之下,专门开发的操作系统比较安全,因为它所包括的服务比较小,安全漏洞比较少。
2. LAN接口
防火墙的接口虽然没有路由器那么复杂,但也因具体的应用环境不同,所用的接口类型也不一样。主要表现在内部网络接口类型上,防火墙的LAN接口类型要符合应用环境的网络连接需求。主要的LAN接口类型有以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等主流网络类型。在企业局域网中,通常只需要能支持以太网、快速以太网,最多还可选择支持千兆以太网的。注意支持接口类型越多,价格越贵,因为在防火墙主板中的电路会越复杂。不要一味贪全。
在防火墙LAN接口支持方面,还要考虑其最大的LAN接口数,如果企业只有一个网络需要保护,则呆选择具有1个LAN接口的,而需组建多宿主机模式,则需要选择能提供多个LAN接口的防火墙,以实现保护不同内网的目的。当然接口数越多,价格也越贵。
3. 协议支持
防火墙要对各种数据包进行过滤,就必须对相应数据包通信方式提供支持,除了广泛受支持的
TCP/IP协议外,还有可能需要支持AppleTalk、DECnet、IPX及NETBEUI等协议,当然这要根据具体的应用环境而定。如果防火墙要支持VPN通信,则一定要选择支持VPN隧道协议(PPTP和L2TP),以及IPSec安全协议等。协议的选择与内部网络所用操作系统关系密切。
4. 访问控制配置
在防火墙中的访问规则表中,不同的防火墙有不同的配置方式。好的防火墙过滤规则应涵盖所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,也应有一个默认处理方法。同时要求过滤规则应易于理解,易于编辑修改,并具备一致性检测机制,防止各条规则间相互冲突,而不起作用。
防火墙能否在应用层提供代理支持也是非常重要的,如HTTP、FTP、TELNET、SNMP代理等。在传输层是否可以提供代理支持;是否支持FTP文件类型过滤,允许FTP命令防止某些类型文件通过防火墙;在应用级代理方面,是否具有应用层高级代理功能,如HTTP、POP3 。
在安全策略上,防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的,编程对用户是友好的,还应具备若干可能的过滤属性,如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。只有这样用户才能根据实际需求采取灵活的安全策略保护自己企业网络的安全。
另外,防火墙除应包含先进的鉴别措施,还应采用尽量多的先进技术,如包过滤技术、加密技术、可信的信息技术等。如身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术,这些都是防火墙安全系统所必需考虑的。
在身份认证支持方面,一般情况下防火墙应具有一个以上认证方案,如RADIUS、Kerberos、TACACS/TACACS+、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问,防火墙管理员必须决定客户以何种方式通过认证。列出防火墙所能支持的认证标准和CA互操作性(厂商可以选择自己的认证方案,但应符合相应的国际标准),以及实现的认证
协议是否与其他CA产品兼容互通。
5. 自身的可靠性
防火墙本身就是一个用于安全防护的设备,当然其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用专用的硬件平台。因为现在第二代防火墙产品通常不再依靠用户的操作系统,而是采用自已单独开发的操作系统。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的,同时,应用系统自身的安全实现也直接影响到整个系统的安全性。
在硬件配置方面,提高防火墙的可靠性通常是通过提高防火墙部件的强健性、增大设计阀值和增加冗余部件进行的。
6. 防御功能
在提供病毒扫描功能的防火墙中,要验证其扫描的文档类型,如是否会对电子邮件附件中的DOC和ZIP文件,FTP中的下载或上载文件内容进行扫描,以发现其中包含的危险信息。
验证防火墙是否具有抵御DoS攻击的能力。在网络攻击中,拒绝服务攻击是使用频率最高的手段。拒绝服务攻击(DoS)就是攻击者过多地占用共享资源,导致服务器超载或系统资源耗尽,而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制,应可有效地防止或抵御黑客客的DoS攻击。
当然除了防火墙要具备这这能力外,我们还可对网络系统进行完善,更加网络自身的DoS攻击防御能力。拒绝服务攻击可以分为两类:一类是由于操作系统或应用软件在设计或编程上存在缺陷而造成的,这种类型只能通过打补丁的办法来解决,如我们常见的各种Windows系统安全补丁。另一类是由于协议本身存在缺陷而造成的,这种类型的攻击虽然较少,但是造成的危害却非常大。对于第一类问题,防火墙显得有些力不从心,因为系统缺陷与病毒感染不同,没有病毒码作为依据,防火墙常常会作出错误的判断。防火墙有能力对付第二类攻击。
随着黑客攻击手段的提高,新的入侵的手段也已开始普遍,如基于ActiveX、Java、Cookies、Javascript程序的入侵。防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒,并向浏览器用户报警。同时,能够过滤用户上载的CGI、ASP等程序,当发现危险代码时,向服务器报警。
7. 连接性能
因为防火墙位于网络边界,需对进入网络的所有数据包进行过滤,这就要求防火墙能以最快的速度及时对所有数据包进行检测,否则就可能造成比较的延时,甚至死机。这个指标又称之为"吞吐量",非常重要,它体现了防火墙的可用性,也体现了企业用户使用防火墙产品的代价(延时)。如果防火墙对网络造成较大的延时,还会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触,有时我们在打开防火墙时上网速度非常慢,而一旦去掉防火墙速度就上来了,原因就为
因为防火墙在过滤数据包时效率不高。
就防火墙类型来说,包过滤型速度最快,对原有网络性能影响最小,在防火墙端口带宽足够宽(如现在的千兆防火墙)的情况下,其影响还不足以让人感觉。而先进的动态包过滤、应用级网关、自适应代理防火墙,虽然其包检测机制比包过滤先进,但所需时间要比包过滤多,因而在效率方面就不如包过滤型。当然我们知道,包过滤机制本身就存在许多不安全、不全面的因素,所以这类防火墙对网络的防护能力非常有限,因此在较大型、或者较注重安全的网络中建议不要选择此类防火墙。
8. 管理功能
在管理方面,主要是出于网络管理员对防火墙的日常管理工作方面便性角度考虑,防火墙要能为管
理员提供足够的信息或操作便利。
通常网络管理员需对防火墙墙进行如下管理工作:通过防火墙的身份鉴别,编写防火墙的安全规则;配置防火墙的安全参数;查看防火墙的日志,通过日志记录信息修改安全规则、调整网络部署等。在这些日常管理工作中,有的要在本地执行,而有的允许通过远程管理方式进行远程管理。这就要求防火墙支持相应的远程管理方式。在防火墙配置方面,在上一篇我们介绍到它也有几种方式,如本地控制端口连接方式、远程Telnet、FTP,甚至HTTP方式,查看所选防火墙所支持的配置
方式是否满足你公司的实际需求。
对于大型网络中,如果存在多个防火墙,我们还考虑防火墙是否支持集中管理,通过集成策略集中管理多个防火墙可以大大减轻网络管理负担。另一方面,还要考虑防火墙是否提供基于时间的访问
控制;是否支持SNMP监视和配置。
在大、中型企业防火墙管理中方面,还需考虑以下几方面的性能:是否支持带宽管理;是否支持负载均衡特性;是否支持失效恢复特性(failover)。支持带宽管理的防火墙能够根据当前的流量动态调整某些客户端占用的带宽;负载均衡特性可以看成动态的端口映射,它将一个外部地址的某一TCP 或UDP端口映射到一组内部地址的某一端口,负载均衡主要用于将某项服务(如HTTP)分摊到一组内部服务器上以平衡负载;而失效恢复特性是一种容错技术,如双机热备份、故障恢复,双电源备
份等。
9. 记录和报表功能
这项功能是对采用应用级网关、自适应代理服务器等新技术的防火墙而言的,对于包过滤路由器防火墙是不具备此功能的。在防火墙的日志记录和报表功能上,主要考虑以下几个方面:
●防火墙处理完整日志的方法:防火墙应该规定对于符合条件的报文进行日志记录,同时还需提供
日志信息管理和存储方法。
●是否提供自动日志扫描:指防火墙是否具有日志的自动分析和扫描功能对于帮助管理员进行有效地管理非常重要,通过防火墙的自动分析和扫描功能,管理员可以获得更详细的统计结果,以便管
理员针对性进行相应方面的完善。
●是否具人警告通知机制:防火墙应提供警告机制,在检测到网络入侵,及设备运转异常情况时,通过警告信息来通知管理员采取必要的措施,警告方式包括E-mail、状态显示、声音报警、呼叫报
警等。
●是否提供简要报表(按照用户ID或IP 地址):这是防火墙日志记录的一种输出方式,具有这种
功能的防火墙可按管理员要求提供相应的报表,分类打印。这样可灵活满足各种管理需求。
●是否提供实时统计:这也是防火墙日志记录的一种输出方式,通过实时统计状态显示,管理员可
及时地分析当前网络安全状态,及时地发现和解决安全隐患,一般是以图表方式显示的。
10.灵活的可扩展和可升级性
用户的网络不可能永远一成不变,随着业务的发展,公司内部可能组建不同安全级别的子网,这样防火墙不仅要在公司内部网和外部网之间进行过滤,还要在公司内部子网之间进行过滤(现在的分布式防火墙不仅可以做到这一点,而且还可在内部网各用户之间过滤)。目前的防火墙一般标配三个网络接口,分别连接外部网、内部网和SSN。用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。用户购买或配置防火墙,首先要对自身的安全需求、网络特性和成本预算做出分析,然后对防火墙产品进行评估和审核,选出2~4家主要品牌产品进行洽谈,最后再确定
优选方案。
通常小型企业接入互联网的目的一般是为了方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时,主要要注意考虑保护内部(敏感)数据的安全,特别要注重安全性,对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙,具有http、
mail等代理功能即可。
而对于有电子商务应用的企业和网站等用户来说,这些企业每天都会有大量的商务信息通过防火墙。如果这些用户需要在外部网络发布Web(将Web服务器置于外部的情况),同时需要保护数据库或应用服务器(置于防火墙内),这就要求所采用的防火墙具有传送SQL数据的功能,而且必须具有较快的传送速度。建议这些用户采用高效的包过滤型防火墙,并将其配置为只允许外部Web服务器
和内部传送SQL数据使用。
未来的防火墙系统应该是一个可随意伸缩的模块化解决方案,包括从最基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体
系。
11.协同工作能力
因为防火墙只是一个基础的网络安全设备,它不代表网络安全防护体系的全部,通常它需要与防病毒系统和入侵检测系统等安全产品协同配合,才能从根本上保证整个系统的安全,所以在选购防火
墙时就要考虑它是否能够与其他安全产品协同工作。如何检验它是否具有这个能力,通常是看它是否支持OPSEC(开放安全结构)标准,通过这个接口与入侵检测系统协同工作,通过CVP(内容引导
协议)与防病毒系统协同工作。
12.品牌知名度
之所以把它放在最后介绍,那是因为它不能说是一项硬件选购指标,只能是一项参考指标。
防火墙产品属高科技产品,生产这样的设备不仅需要强大的资金作后盾,而且在技术实力需要有强大的保障。选择了好的品牌在一定程度上也就选择了好的技术和服务,对将来的使用更加有保障。所以在选购防火墙产品时千万别随便贪图一时便宜,选购一些杂牌产品。目前国外在防火墙产品的开发、生产中比较着名的品牌有:3COM、Cisco、Nokia、NetScreen、Check Point等,这些品牌技术实力比较强,而且都能提供高档产品,当然价格也相比下面要介绍的国产品牌要贵许多(通常在15万元以上)甚至贵一倍以上。这些品牌对于大、中型有资金实力的企业来说比较理想,因为购买了这类品牌产品,相对来说在技术方面更有保障,能满足公司各方面的特殊需求,而且可扩展性比
较强,适宜公司的发展需要。
国内开发、生产防火墙的品牌主要有:联想-Dlink、天网、实达、东软、天融信等。这些品牌相对国外着名品牌来说都处于中、低档次。当然价格要便宜许多(通常在10万元以下),而且还能提供全中文的使用说明书,方便安装、调试和维护。对于中小企业来说国产品牌是理想的选择。
以上介绍了在选购防火墙时所要注意的各个方面,事实上很难找到完全符合以上各项要求的防火墙产品。事实上如何评估防火墙是一个十分复杂的问题。一般说来,防火墙的安全和性能(速度等)是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。用户时常会面对安全和性能之间的矛盾,代理型防火墙通常更具安全性,但是性能要差于包过滤型防火墙。好了,关于防火墙的选购就介绍至此。这样有关防火墙方面的知识就介绍完了,从下篇开始就介绍本教程的最后,也是最重要的一个网络硬件设备--服务器。
防火墙的配置
在前几篇对防火墙的有关知识和技术作了一个较全面的介绍,本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍
一些基本的配置原则。
一. 防火墙的基本配置原则
默认情况下,所有的防火墙都是按以下两种情况配置的:
●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程
中需坚持以下三个基本原则:
(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功
能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。目前来说,
要做到这一点比较困难。
二、防火墙的初始配置
像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍。
防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见图1所示。
图1
防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的
Tffp服务器软件,但配置界面比较友好。
防火墙与路由器一样也有四种用户配置模式,即:普通模式(Unprivileged mode)、特权模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),进入这
四种用户模式的命令也与路由器一样:
普通用户模式无需特别命令,启动后即进入;
进入特权用户模式的命令为"enable";进入配置模式的命令为"config terminal";而进入端口模式的命令为"interface ethernet()"。不过因为防火墙的端口没有路由器那么复杂,所以通常把端口
模式归为配置模式,统称为"全局配置模式"。
防火墙的具体配置步骤如下:
1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,参
见图1。
2. 打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3. 运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。
对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
4. 当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入
的是防火墙用户模式。可以进行进一步的配置了。
5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。
6. 输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置。
(1). 首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡
类型
Interface ethernet1 auto
(2). 配置防火墙内、外部网卡的IP地址
IP address inside ip_address netmask # Inside代表内部网卡
IP address outside ip_address netmask # outside代表外部网卡
(3). 指定外部网卡的IP地址范围:
global 1 ip_address-ip_address
(4). 指定要进行转换的内部地址
nat 1 ip_address netmask
(5). 配置某些控制选项:
conduit global_ip port[-port] protocol foreign_ip [netmask]其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。
7. 配置保存:wr mem
8. 退出当前模式
此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步
骤。
pixfirewall(config)# exit
pixfirewall# exit
pixfirewall>
9. 查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前
所有可用的命令及简单功能描述。
10. 查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙
所有接口配置情况。
11. 查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的
当前静态地址映射情况。
三、Cisco PIX防火墙的基本配置
1. 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口;
2. 开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默然。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此
时的提示符为:pix255>。
3. 输入enable命令,进入Pix 525特权用户模式,默然密码为空。
如果要修改此特权用户模式密码,则可用enable password命令,命令格式为:enable password password [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。
4、定义以太端口:先必须用enable命令进入特权用户模式,然后输入configure terminal(可简
称为config t),进入全局配置模式模式。具体配置
pix525>enable
Password:
pix525#config t
pix525 (config)#interface ethernet0 auto
pix525 (config)#interface ethernet1 auto
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
5. clock
配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都不准确,也就无法正确分析记录中的信息。这须在全局配置模式下进行。
时钟设置命令格式有两种,主要是日期格式不同,分别为:
clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year
前一种格式为:小时:分钟:秒月日年;而后一种格式为:小时:分钟:秒日月年,主要在日、月份的前后顺序不同。在时间上如果为0,可以为一位,如:21:0:0。
6. 指定接口的安全级别
指定接口安全级别的命令为nameif,分别为内、外部网络接口指定一个适当的安全级别。在此要注意,防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中,安全级别的定义是由security()这个参数决定的,数字越小安全级别越高,所以security0是最高的,随后通常是
以10的倍数递增,安全级别也相应降低。如下例:
pix525(config)#nameif ethernet0 outside security0 # outside是指外部接口
pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口
7. 配置以太网接口IP地址
8. access-group
这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为:access-group acl_ID in interface interface_name,其中的"acl_ID"是指访问控制列表名称,
interface_name为网络接口名称。如:
access-group acl_out in interface outside,在外部网络接口上绑定名称为"acl_out"的访问控制
列表。
clear access-group:清除所有绑定的访问控制绑定设置。
no access-group acl_ID in interface interface_name:清除指定的访问控制绑定设置。
show access-group acl_ID in interface interface_name:显示指定的访问控制绑定设置。
9.配置访问列表
所用配置命令为:access-list,合格格式比较复杂,如下:标准规则的创建命令:access-list [ normal | special ] listnumber1 { permit | deny }
source-addr [ source-mask ]
扩展规则的创建命令:access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。
10. 地址转换(NAT)
防火墙的NAT配置与路由器的NAT配置基本一样,首先也必须定义供NAT转换的内部IP地址组,接
着定义内部网段。
定义供NAT转换的内部地址组的命令是nat,它的格式为:nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]],其中if_name为接口名;nat_id参数代表内部地址组号;而local_ip为本地网络地址;netmask为子网掩码;max_conns为此接口上所允许的最大TCP连接数,默认为"0",表示不限制连接;em_limit为允许从此端口发出的连接数,默认也为"0",即不限制。
如:
随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为:global [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ,各参数解释同上。
如:
global (o
11. Port Redirection with Statics
这是静态端口重定向命令。在Cisco PIX版本以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接
的,所以可使内部服务器很安全。
命令格式有两种,分别适用于TCP/UDP通信和非TCP/UDP通信:
(1). static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask
mask] max_conns [emb_limit[norandomseq]]]
(2). static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]
此命令中的以上各参数解释如下:
internal_if_name:内部接口名称;external_if_name:外部接口名称;{tcp|udp}:选择通信协议类型;{global_ip|interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为"0",即不限制;emb_limit:允许从此端口发起的连接数,默认也为"0",即不限制;norandomseq:不对数据包排
序,此参数通常不用选。
现在我们举一个实例,实例要求如下
图2
以上各项重定向要求对应的配置语句如下:
12. 显示与保存结果
显示结果所用命令为:show config;保存结果所用命令为:write memory。
四、包过滤型防火墙的访问控制表(ACL)配置
除了以上介绍的基本配置外,在防火墙的安全策略中最重要还是对访问控制列表(ACL)进行配有关
置。下面介绍一些用于此方面配置的基本命令。
1. access-list:用于创建访问规则
这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则,同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。在这个命令中,又有几种命令格式,分别执行不同的命令。
(1)创建标准访问列表
命令格式:access-list [ normal | special ] listnumber1 { permit | deny } source-addr
[ source-mask ]
(2)创建扩展访问列表
命令格式:access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] |
icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
命令格式:no access-list { normal | special } { all | listnumber [ subitem ] }
上述命令参数说明如下:
●normal:指定规则加入普通时间段。
●special:指定规则加入特殊时间段。
●listnumber1:是1到99之间的一个数值,表示规则是标准访问列表规则。
●listnumber2:是100到199之间的一个数值,表示规则是扩展访问列表规则。
●permit:表明允许满足条件的报文通过。
●deny:表明禁止满足条件的报文通过。
●protocol:为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概
念;为IP时有特殊含义,代表所有的IP协议。
●source-addr:为源IP地址。
●dest-addr:为目的IP地址。
●dest-mask:为目的地址的子网掩码。
●operator:端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面
需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
●icmp-type:在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如
echo-reply)或者是0~255之间的一个数值。
●icmp-code:在协议为ICMP,且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的
一个数值。
●log:表示如果报文符合条件,需要做日志。
●listnumber:为删除的规则序号,是1~199之间的一个数值。
●subitem:指定删除序号为listnumber的访问列表中规则的序号。
Quidway (config)#a
2. clear access-list counters:清除访问列表规则的统计信息
命令格式:clear access-list counters [ listnumber ]
这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号,如
不指定,则清除所有的规则的统计信息。
如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置
语句为:
clear access-list counters 100
如有清除当前所使用的所有规则的统计信息,则以上语句需改为:Quidway#clear access-list
counters
3. ip access-group
使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置,对应格式为:
ip access-group listnumber { in | out }
此命令须在端口用户模式下配置,进入端口用户模式的命令为:interface ethernet(),括号中为相应的端口号,通常0为外部接口,而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号,是1~199之间的一个数值(包括标准访问规则和扩展访问规则两类);in 表示规则应用于过滤从接口接收到的报文;而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用
show access-list命令来查看。
例如将规则100应用于过滤从外部网络接口上接收到的报文,配置语句为(同样为在倾为包过滤路由
器上):
ip access-group 100 in
如果要删除某个访问控制表列绑定设置,则可用no ip access-group listnumber { in | out } 命
令。
4. show access-list
此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为:show access-list [ all |
listnumber | interface interface-name ]
这一命令须在特权用户模式下进行配置,其中all参数表示显示所有规则的应用情况,包括普通时间段内及特殊时间段内的规则;如果选择listnumber参数,则仅需显示指定规则号的过滤规则;interface 表示要显示在指定接口上应用的所有规则序号;interface-name参数为接口的名称。使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。例如,现在要显示当前所使用序号为100的规则的使用情
况,可执行Quidway#show access-list 100语句即可,随即系统即显示这条规则的使用情况,格式
如下:
Using normal packet-filtering access rules now.
100 deny udp any any eq rip (no matches -- rule 3)
5. show firewall
此命令须在特权用户模式下执行,它显示当前防火墙状态。命令格式非常简单,也为:show firewall。这里所说的防火墙状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过
滤及防火墙的一些统计信息。
6. Telnet
这是用于定义能过防火配置控制端口进行远程登录的有关参数选项,也须在全局配置用户模式下进
行配置。
命令格式为:telnet ip_address [netmask] [if_name]
其中的ip_address参数是用来指定用于Telnet登录的IP地址,netmask为子网掩码,if_name用于指定用于Telnet登录的接口,通常不用指定,则表示此IP地址适用于所有端口。如:
如果要清除防火墙上某个端口的Telnet参数配置,则须用clear telnet命令,其格式为:clear telnet [ip_address [netmask] [if_name]],其中各选项说明同上。它与另一个命令no telnet功能基本一样,不过它是用来删除某接口上的Telnet配置,命令格式为:no telnet [ip_address
[netmask] [if_name]]。
如果要显示当前所有的Telnet配置,则可用show telnet命令。
关于防火墙的配置就介绍至此,下一篇将是防火墙的最后一篇,将介绍防火墙选购方面的知识。
最新防火墙技术
一、防火墙技术发展概述
传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,;有的工作在传输层,还有的工作在应用层。
在这些已出现的防火墙技术中,静态包过滤是最差的安全解决方案,其应用存在着一些不可克服的限制,最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包,并且很容易受到诸如DoS (拒绝服务)、IP地址欺诈等黑客攻击。现在已基本上没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案,它们在应用层检查数据包。但是,我们不可能对每一个应用都运行这样一个代理服务器,而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查,由于动态包过滤解决了静态包过滤的安全限制,并且比代理技术在性能上有了很大的改善,因而目前大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多,状态包过滤技术也面临着巨大的挑战,
更需要其它新技术的辅助。
除了访问控制功能外,现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术,如NAT
和VPN、病毒防护等。
二、防火墙未来的技术发展趋势
随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙
体系结构和防火墙系统管理三方面来体现。
1. 防火墙包过滤技术发展趋势
(1). 一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用
户身份验证。
(2). 多级过滤技术
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP 等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
(3). 使防火墙具有病毒防护功能。现在通常被称之为"病毒防火墙",当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
2. 防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同
时满足来自灵活性和运行性能的要求。
首信CF-2000 系列EP-600和CG-600高端千兆防火墙即采用了功能强大的可编程专有ASIC芯片作为专门的安全引擎,很好地兼顾了灵活性和性能的需要。它们可以以线速处理网络流量,而且其性能不受连接数目、包大小以及采用何种策略的影响。该款防火墙支持QoS,所造成的延迟可以达到微秒量级,可以满足各种交互式多媒体应用的要求。浙大网新也在杭州正式发布三款基于ASIC芯片的网新易尚千兆系列网关防火墙,据称,其ES4000防火墙速度达到4Gbps,3DES速度可达600Mbps。易尚系列千兆防火墙还采用了最新的安全网关概念,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控
制等多项功能,
3. 防火墙的系统管理发展趋势
防火墙的系统管理也有一些发展趋势,主要体现在以下几个方面:
(1). 首先是集中式管理,分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。关于这一新技术在本篇下面将详细介绍。
(2). 强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是
不具有的。
(3). 网络安全产品的系统化
随着网络安全技术的发展,现在有一种提法,叫做"建立以防火墙为核心的网络安全体系"。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外
来入侵。
如现在的IDS设备就能很好地与防火墙一起联合。一般情况下,为了确保系统的通信性能不受安全设备的影响太大,IDS设备不能像防火墙一样置于网络入口处,只能置于旁路位置。而在实际使用
中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止。显然,要让处于旁路侦听的IDS完成这个任务又太难为,同时主链路又不能串接太多类似设备。在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。目前主要有两种解决办法:一种是直接把IDS、病毒检测部分直接"做"到防火墙中,使防火墙具有IDS和病毒检测设备的功能;另一种是各个产品分立,通过某种通讯方式形成一个整体,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。目前更看重后一种方案,因为它实现方式
较前一种容易许多。
三、分布式防火墙技术
在前面已提到一种新的防火墙技术,即分布式防火墙技术已在逐渐兴起,并在国外一些大的网络设备开发商中得到了实现,由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受。下面我们就来介绍一下这种新型的防火墙技术。
1.分布式防火墙的产生
因为传统的防火墙设置在网络边界,外于内、外部互联网之间,所以称为"边界防火墙(Perimeter Firewall)"。随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护,除非对每一台主机都安装防火墙,这是不可能的。基于此,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。它可以很好地解决边界防火墙以上的不足,当然不是为每对路主机安装防火墙,而是把防火墙的安全防护系统延伸到网络中各对台主机。一方面有效地保证了用户的投资不会很高,另一方面给网络所带来的安全防护是非常全面的。
我们都知道,传统边界防火墙用于限制被保护企业内部网络与外部网络(通常是互联网)之间相互进行信息存取、传递操作,它所处的位置在内部网络与外部网络之间。实际上,所有以前出现的各种不同类型的防火墙,从简单的包过滤在应用层代理以至自适应代理,都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一种主机驻留式的安全系统,它是以主机为保护对象,它的设计理念是主机以外的任何用户访问都是不可信任的,都需要进行过滤。当然在实际应用中,也不是要求对网络中每对台主机都安装这样的系统,这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。
分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以"分布式防火墙"是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙体系结构包含如下部
分:
·网络防火墙(Network Firewall):这一部分有的公司采用的是纯软件方式,而有的可以提供相应的硬件支持。它是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。不过在功能与传统的边界式防火墙类似。
·主机防火墙(Host Firewall):同样也有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的,也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护,比起网络层更加彻底。
·中心管理(Central Managerment):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙的安全防护灵活性,具备可管理性。
2. 分布式防火墙的主要特点
综合起来这种新的防火墙技术具有以下几个主要特点:
(1). 主机驻留
这种分布式防火墙的最主要特点就是采用主机驻留方式,所以称之为"主机防火墙"(传统边界防火墙通常称之为"网络防火墙")。它的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
(2). 嵌入操作系统内核
这主要是针对目前的纯软件式分布式防火墙来说的.操作系统自身存在许多安全漏洞目前是众所周知的,运行在其上的应用软件无一不受到威,。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
(3). 类似于个人防火墙
个人防火墙是一种软件防火墙产品,它是用来保护单一主机系统的。分布式防火墙与个人防火墙有相似之处,如都是对应个人系统。但它们之间又有着本质上的差别。
首先它们管理方式迥然不同,个人防火墙的安全策略由系统使用者自己设置,全面功能和管理都在本机上实现,它的目标是防止主机以外的任何外部用户攻击;而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动的。
其次,不同于个人防火墙是单纯的直接面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级应用方案,形成一个安全策略中心统一管理,所以它在一定程度上也面对整个网络。它是整个安全防护系统中不可分割的一部分,整个系统的安全检查机制分散布置在整个分布式防火墙体系中。
(4)适用于服务器托管
互联网和电子商务的发展促进了互联网数据中心(IDC)的迅速崛起,其主要业务之一就是服务器托管服务。对服务器托管用户而言,该服务器逻辑上是其企业网的一部分,只不过物理上不在企业内部。对于这种应用,边界防火墙解决方案就显得比较牵强附会。我们在前面介绍了,对于这类用户,他们通常所采用的防火墙方案是采用虚拟防火墙方案,但这种配置相当复杂,非一般网管人员能胜任。而针对服务器的主机防火墙解决方案则是其一个典型应用。对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件,并根据该服务器的应用设置安全策略即可,并可以利用中心管理软件对该服务器进行远程监控,不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI卡式的,通常兼顾网卡作用,所以可以直接插在服务器机箱里面,也就无需单独的空间托管费了,对于企业来说更加实惠。
3. 分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:(1)增强的系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可
以实施全方位的安全策略。
在传统边界式防火墙应用中,企业内部网络非常容易受到有目的的攻击,一旦已经接入了企业局域网的某台计算机,并获得这台计算机的控制权,他们便可以利用这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统。针对边界式防火墙对内部网络安全性防范的不足,
另外,由于分布式防火墙使用了IP安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用IP安全协议中的密码凭证来标志内部主机时,基于这些标志
的策略对主机来说无疑更具可信性。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提供了一些相应的解决方案,从网络性能角度来说,自适应防火墙是一种在性能和安全之间寻求平衡的方案;从网络可靠性角度来说,采用多个防火墙冗余也是一种可行的方案,但是它们不仅引入了很多复杂性,而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会象边界
式防火墙一样随着网络规模的增大而不堪重负。
(4)实施主机策略:对网络中的各节点可以起到更安全的防护。
现在防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤。事实上,攻击者很容易伪装成合法包发动攻击,攻击包除了内容以外的部分可以完全与合法包一样。分布式防火墙由主机来实施策略控制,毫无疑问主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题。
(5)应用更为广泛,支持VPN通信
其实分布式防火墙最重要的优势在于,它能够保护物理拓朴上不属于内部网络,但位于逻辑上的"内部"网络的那些主机,这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程"内部"主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程"内部"主机和防火墙之间采用"隧道"技术保证安全性,这种方法使原本可以直接通信的双方必须绕经防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反,分布式防火墙的建立本身就是基本逻辑网络的概念,因此对它而言,远程"内部"主机与物理上的内部主机没有任何区别,它从根本上防止了这种情况的发
生。
4. 分布式防火墙的主要功能
上面介绍了分布式防火墙的特点和优势,那么到底这种防火墙具备哪些功能呢?因为采用了软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可
以体现在以下几个方面:
(1)Internet访问控制
依据工作站名称、设备指纹等属性,使用"Internet访问规则",控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。
(2)应用访问控制
通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问
等。
(3)网络状态监控
实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。
(4)黑客攻击的防御
抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自
网络内部以及来自Internet的黑客攻击手段。
(5)日志管理
对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检
测规则日志的记录与查询分析。
(6)系统工具
包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。
--------------------------------------------------------------------------------
-- 作者:云谷禅师
-- 发布时间:2005-6-27 8:55:49
-- 路由器与集线器、交换机的根本区别
--------------------------------------------------------------------------------
-- 作者:云谷禅师
-- 发布时间:2005-6-27 8:55:49
-- 路由器与集线器、交换机的根本区别
在主干网上,路由器的主要作用是路由选择。主干网上的路由器,必须知道到达所有下层网络的路径。这需要维护庞大的路由表,并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导
致严重的信息传输问题。
在地区网中,路由器的主要作用是网络连接和路由选择,即连接下层各个基层网络单位--园区
网,同时负责下层网络之间的数据转发。
在园区网内部,路由器的主要作用是分隔子网。早期的互连网基层单位是局域网(LAN),其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大,局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中,处个子网在逻辑上独立,而路由器就是唯一能够分隔它们的设备,它负责子网间的报文转发和广播隔离,在边界上的路由器则负责与上层网络的连接。
第二层交换机和路由器的区别
传统交换机从网桥发展而来,属于OSI第二层即数据链路层设备。它根据MAC地址寻址,通过站表选择路由,站表的建立和维护由交换机自动进行。路由器属于OSI第三层即网络层设备,它根据IP地址进行寻址,通过路由表路由协议产生。交换机最大的好处是快速,由于交换机只须识别帧中MAC地址,直接根据MAC地址产生选择转发端口算法简单,便于ASIC实现,因此转发速度极高。但交换机的工作机制也带来一些问题。
1.回路:根据交换机地址学习和站表建立算法,交换机之间不允许存在回路。一旦存在回路,必须启动生成树算法,阻塞掉产生回路的端口。而路由器的路由协议没有这个问题,路由器之间可以有
多条通路来平衡负载,提高可靠性。
2.负载集中:交换机之间只能有一条通路,使得信息集中在一条通信链路上,不能进行动态分配,以平衡负载。而路由器的路由协议算法可以避免这一点,OSPF路由协议算法不但能产生多条路由,而且能为不同的网络应用选择各自不同的最佳路由。
3.广播控制:交换机只能缩小冲突域,而不能缩小广播域。整个交换式网络就是一个大的广播域,广播报文散到整个交换式网络。而路由器可以隔离广播域,广播报文不能通过路由器继续进行广
播。
4.子网划分:交换机只能识别MAC地址。MAC地址是物理地址,而且采用平坦的地址结构,因此不能根据MAC地址来划分子网。而路由器识别IP地址,IP地址由网络管理员分配,是逻辑地址且IP地址具有层次结构,被划分成网络号和主机号,可以非常方便地用于划分子网,路由器
的主要功能就是用于连接不同的网络。
5.保密问题:虽说交换机也可以根据帧的源MAC地址、目的MAC地址和其他帧中内容对帧实施过滤,但路由器根据报文的源IP地址、目的IP地址、TCP端口地址等内容对报文实施过滤,
更加直观方便。
6.介质相关:交换机作为桥接设备也能完成不同链路层和物理层之间的转换,但这种转换过程比较复杂,不适合ASIC实现,势必降低交换机的转发速度。因此目前交换机主要完成相同或相似物理介质和链路协议的网络互连,而不会用来在物理介质和链路层协议相差甚元的网络之间进行互连。而路由器则不同,它主要用于不同网络之间互连,因此能连接不同物理介质、链路层协议和网络层协议的网络。路由器在功能上虽然占据了优势,但价格昂贵,报文转发速度低。
近几年,交换机为提高性能做了许多改进,其中最突出的改进是虚拟网络和三层交换。
划分子网可以缩小广播域,减少广播风暴对网络的影响。路由器每一接口连接一个子网,广播报文不能经过路由器广播出去,连接在路由器不同接口的子网属于不同子网,子网范围由路由器物理划分。对交换机而言,每一个端口对应一个网段,由于子网由若干网段构成,通过对交换机端口的组合,可以逻辑划分子网。广播报文只能在子网内广播,不能扩散到别的子网内,通过合理划分逻辑子网,达到控制广播的目的。由于逻辑子网由交换机端口任意组合,没有物理上的相关性,因此称为虚拟子网,或叫虚拟网。虚拟网技术不用路由器就解决了广播报文的隔离问题,且虚拟网内网段与其物理位置无关,即相邻网段可以属于不同虚拟网,而相隔甚远的两个网段可能属于不同虚拟网,而相隔甚远的两个网段可能属于同一个虚拟网。不同虚拟网内的终端之间不能相互通信,增强了对网络内数据的访问控制。交换机和路由器是性能和功能的矛盾体,交换机交换速度快,但控制功能弱,路由器控制性能强,但报文转发速度慢。解决这个矛盾的最新技术是三层交换,既有交换机线速转发报文能力,又有路由器良好的控制功能。
第三层交换机和路由器的区别
在第三层交换技术出现之前,几乎没有必要将路由功能器件和路由器区别开来,他们完全是相同的:提供路由功能正在路由器的工作,然而,现在第三层交换机完全能够执行传统路由器的大多数功能。作为网络互连的设备,第三层交换机具有以下特征:
1.转发基于第三层地址的业务流;
2.完全交换功能;
3.可以完成特殊服务,如报文过滤或认证;
4.执行或不执行路由处理。
第三层交换机与传统路由器相比有如下优点:
1.子网间传输带宽可任意分配:传统路由器每个接口连接一个子网,子网通过路由器进行传输的速率被接口的带宽所限制。而三层交换机则不同,它可以把多个端口定义成一个虚拟网,把多个端口组成的虚拟网作为虚拟网接口,该虚拟网内信息可通过组成虚拟网的端口送给三层交换机,由于端
口数可任意指定,子网间传输带宽没有限制。
2.合理配置信息资源:由于访问子网内资源速率和访问全局网中资源速率没有区别,子网设置单独
服务器的意义不大,通过在全局网中设置服务器群不仅节省费用,更可以合理配置信息资源。3.降低成本:通常的网络设计用交换机构成子网,用路由器进行子网间互连。目前采用三层交换机进行网络设计,既可以进行任意虚拟子网划分,又可以通过交换机三层路由功能完成子网间通信,
为此节省了价格昂贵的路由器。
4.交换机之间连接灵活:作为交换机,它们之间不允许存在回路,作为路由器,又可有多条通路来提高可靠性、平衡负载。三层交换机用生成树算法阻塞造成回路的端口,但进行路由选择时,依然把阻塞掉的通路作为可选路径参与路由选择。五、结论
综上所述,交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。他们只是从一条线路上接受输入分组,然后向另一条线路转发。这两条线路可能分属于不同的网络,并采用不同协议。相比较而言,路由器的功能较交换机要强大,但速度相对也慢,价格昂贵,第三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,
因此得以广播应用。
计算机网络基础知识学习资料 ?什么是计算机网络 计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。 简单地说,计算机网络就是通过电缆、电话线或无线通讯将两台以上的计算机互连起来的集合。 计算机网络的发展经历了面向终端的单级计算机网络、计算机网络对计算机网络和开放式标准化计算机网络三个阶段。 计算机网络通俗地讲就是由多台计算机(或其它计算机网络设备)通过传输介质和软件物理(或逻辑)连接在一起组成的。总的来说计算机网络的组成基本上包括:计算机、网络操作系统、传输介质(可以是有形的,也可以是无形的,如无线网络的传输介质就是看不见的电磁波)以及相应的应用软件四部分。 ?计算机网络的主要功能 计算机网络的功能要目的是实现计算机之间的资源共享、网络通信和对计算机的集中管理。除此之外还有负荷均衡、分布处理和提高系统安全与可靠性等功能。 1、资源共享 (1)硬件资源:包括各种类型的计算机、大容量存储设备、计算机外部设备,如彩色打印机、静电绘图仪等。 (2)软件资源:包括各种应用软件、工具软件、系统开发所用的支撑软件、语言处理程序、数据库管理系统等。 (3)数据资源:包括数据库文件、数据库、办公文档资料、企业生产报表等。
(4)信道资源:通信信道可以理解为电信号的传输介质。通信信道的共享是计算机网络中最重要的共享资源之一。 2、网络通信 通信通道可以传输各种类型的信息,包括数据信息和图形、图像、声音、视频流等各种多媒体信息。 3、分布处理 把要处理的任务分散到各个计算机上运行,而不是集中在一台大型计算机上。 这样,不仅可以降低软件设计的复杂性,而且还可以大大提高工作效率和降低成本。 4、集中管理 计算机在没有联网的条件下,每台计算机都是一个“信息孤岛”。在管理这些计算机时,必须分别管理。而计算机联网后,可以在某个中心位置实现对整个网络的管理。如数据库情报检索系统、交通运输部门的定票系统、军事指挥系统等。 5、均衡负荷 当网络中某台计算机的任务负荷太重时,通过网络和应用程序的控制和管理,将作业分散到网络中的其它计算机中,由多台计算机共同完成。 计算机网络的特点 1、可靠性 在一个网络系统中,当一台计算机出现故障时,可立即由系统中的另一台计算机来代替其完成所承担的任务。同样,当网络的一条链路出了故障时可选择其它的通信链路进行连接。 2、高效性
无线通信技术 1.传输介质 传输介质是连接通信设备,为通信设备之间提供信息传输的物理通道;是信息传输的实际载体。有线通信与无线通信中的信号传输,都是电磁波在不同介质中的传播过程,在这一过程中对电磁波频谱的使用从根本上决定了通信过程的信息传输能力。 传输介质可以分为三大类:①有线通信,②无线通信,③光纤通信。 对于不同的传输介质,适宜使用不同的频率。具体情况可见下表。 不同传输媒介可提供不同的通信的带宽。带宽即是可供使用的频谱宽度,高带宽传输介质可以承载较高的比特率。 2无线信道简介 信道又指“通路”,两点之间用于收发的单向或双向通路。可分为有线、无线两大类。
无线信道相对于有线信道通信质量差很多。有限信道典型的信噪比约为46dB,(信号电平比噪声电平高4万倍)。无限信道信噪比波动通常不超过2dB,同时有多重因素会导致信号衰落(骤然降低)。引起衰落的因素有环境有关。 2.1无线信道的传播机制 无线信道基本传播机制如下: ①直射:即无线信号在自由空间中的传播; ②反射:当电磁波遇到比波长大得多的物体时,发生反射,反射一般在地球表面,建筑物、墙壁表面发生; ③绕射:当接收机和发射机之间的无线路径被尖锐的物体边缘阻挡时发生绕射; ④散射:当无线路径中存在小于波长的物体并且单位体积内这种障碍物体的数量较多的时候发生散射。散射发生在粗糙表面、小物体或其它不规则物体上,一般树叶、灯柱等会引起散射。 2.2无线信道的指标 (1)传播损耗:包括以下三类。 ①路径损耗:电波弥散特性造成,反映在公里量级空间距离内,接收信号电平的衰减(也称为大尺度衰落); ②阴影衰落:即慢衰落,是接收信号的场强在长时间内的缓慢变化,一般由于电波在传播路径上遇到由于障碍物的电磁场阴影区所引起的; ③多径衰落:即快衰落,是接收信号场强在整个波长内迅速的随机变化,一般主要由于多径效应引起的。 (2)传播时延:包括传播时延的平均值、传播时延的最大值和传播时延的统计特性等; (3)时延扩展:信号通过不同的路径沿不同的方向到达接收端会引起时延扩展,时延扩展是对信道色散效应的描述; (4)多普勒扩展:是一种由于多普勒频移现象引起的衰落过程的频率扩散,又称时间选择性衰落,是对信道时变效应的描述; (5)干扰:包括干扰的性质以及干扰的强度。 2.3无线信道模型 无线信道模型一般可分为室内传播模型和室外传播模型,后者又可以分为宏蜂窝模型和微蜂窝模型。 (1)室内传播模型:室内传播模型的主要特点是覆盖范围小、环境变动较大、不受气候影响,但受建筑材料影响大。典型模型包括:对数距离路径损耗模型、Ericsson多重断点模型等; (2)室外宏蜂窝模型:当基站天线架设较高、覆盖范围较大时所使用的一类模型。实际使用中一般是几种宏蜂窝模型结合使用来完成网络规划; (3)室外微蜂窝模型:当基站天线的架设高度在3~6m时,多使用室外微蜂窝模型;其描述的损耗可分为视距损耗与非视距损耗。
数据通信基本知识 -------------------------------------------------------------------------- 所有计算机之间之间通过计算机网络的通信都涉及由传输介质传输某种形式的数据编码信号。传输介质在计算机、计算机网络设备间起互连和通信作用,为数据信号提供从一个节点传送到另一个节点的物理通路。计算机与计算机网络中采用的传输介质可分为有线和无线传输介质两大类。 一、有线传输介质(Wired Transmission Media) 有线传输介质在数据传输中只作为传输介质,而非信号载体。计算机网络中流行使用的有线传输介质(Wired Transmission Media)为:铜线和玻璃纤维。 1. 铜线 铜线(Copper Wire)由于具有较低的电阻率、价廉和容易安装等优点因而成为最早用于计算机网络中的传输介质,它以介质中传输的电流作为数据信号的载体。为了尽可能减小铜线所传输信号之间的相互干涉(Interference),我们使用两种基本的铜线类型:双绞线和同轴电缆。 (1)双绞线 双绞线(Twisted Pair)是把两条互相绝缘的铜导线纽绞起来组成一条通信线路,它既可减小流过电流所辐射的能量,也可防止来自其他通信线路上信号的干涉。双绞线分屏蔽和无屏蔽两种,其形状结构如图1.1所示。双绞线的线路损耗较大,传输速率低,但价格便宜,容易安装,常用于对通信速率要求不高的网络连接中。 (2)同轴电缆 同轴电缆(Coaxial Cable)由一对同轴导线组成。同轴电缆频带宽,损耗小,具有比双绞线更强的抗干扰能力和更好的传输性能。按特性阻抗值不同,同轴电缆可分为基带(用于传输单路信号)和宽带(用于同时传输多路信号)两种。同轴电缆是目前LAN局域网与有线电视网中普遍采用的比较理想的传输介质。 2.玻璃纤维 目前,在计算机网络中十分流行使用易弯曲的石英玻璃纤维来作为传输介质,它以介质中传输的光波(光脉冲信号)作为信息载体,因此我们又将之称为光导纤维,简称光纤(Optical Fiber)或光缆(Optical Cable)。 光缆由能传导光波的石英玻璃纤维(纤芯),外加包层(硅橡胶)和保护层构成。在光缆一头的发射器使用LED光发射二极管(Light Emitting Diode)或激光(Laser)来发射光脉冲,在光缆另一头的接收器使用光敏半导体管探测光脉冲。 模拟数据通信与数字数据通信 一、通信信道与信道容量(Communication Channel & Channel Capacity) 通信信道(Communication Channel)是数据传输的通路,在计算机网络中信道分为物理信道和逻辑信道。物理信道指用于传输数据信号的物理通路,它由传输介质与有关通信设备组成;逻辑信道指在物理信道的基础上,发送与接收数据信号的双方通过中间结点所实现的逻?quot;联系",由此为传输数据信号形成的逻辑通路。逻辑信道可以是有连接的,也可以是无连接的。物理信道还可根据传输介质的不同而分为有线信道和
三层交换机与路由器的主要区别 1. 主要功能不同 虽然三层交换机与路由器都具有路由功能,但我们不能因此而把它们等同起来,正如现在许多网络设备同时具备多种传统网络设备功能一样,就如现在有许多宽带路由器不仅具有路由功能,还提供了交换机端口、硬件防火墙功能,但不能把它与交换机或者防火墙等同起来一样。因为这些路由器的主要功能还是路由功能,其它功能只不过是其附加功能,其目的是使设备适用面更广、使其更加实用。这里的三层交换机也一样,它仍是交换机产品,只不过它是具备了一些基本的路由功能的交换机,它的主要功能仍是数据交换。也就是说它同时具备了数据交换和路由转发两种功能,但其主要功能还是数据交换;而路由器仅具有路由转发这一种主要功能。 2. 主要适用的环境不一样 三层交换机的路由功能通常比较简单,因为它所面对的主要是简单的局域网连接。正因如此,三层交换机的路由功能通常比较简单,路由路径远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能,满足局域网数据交换频繁的应用特点。 而路由器则不同,它的设计初哀就是为了满足不同类型的网络连接,虽然也适用于局域网之间的连接,但它的路由功能更多的体现在不同类型网络之间的互联上,如局域网与广域网之间的连接、不同协议的网络之间的连接等,所以路由器主要是用于不同类型的网络之间。它最主要的功能就是路由转发,解决好各种复杂路由路径网络的连接就是它的最终目的,所以路由器的路由功能通常非常强大,不仅适用于同种协议的局域网间,更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。为了与各种类型的网络连接,路由器的接口类型非常丰富,而三层交换机则一般仅同类型的局域网接口,非常简单。 3. 性能体现不一样 从技术上讲,路由器和三层交换机在数据包交换操作上存在着明显区别。路由器一般由基于微处理器的软件路由引擎执行数据包交换,而三层交换机通过硬件执行数据包交换。三层交换机在对第一个数据流进行路由后,它将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。同时,三层交换机的路由查找是针对数据流的,它利用缓存技术,很容易利用ASIC技术来实现,因此,可以大大节约成本,并实现快速转发。而路由器的转发采用最长匹配的方式,实现复杂,通常使用软件来实现,转发效率较低。 正因如此,从整体性能上比较的话,三层交换机的性能要远优于路由器,非常适用于数据交换频繁的局域网中;而路由器虽然路由功能非常强大,但它的数据包转发效率远低于三层交换机,更适合于数据交换不是很频繁的不同类型网络的互联,如局域网与互联网的互联。如果把路由器,特别是高档路由器用于局域网中,则在相当大程度上是一种浪费(就其强大的路由功能而言),而且还不能很好地满足局域网通信性能需求,影响子网间的正常通信。 综上所述,三层交换机与路由器之间还是存在着非常大的本质区别的。无论从哪方面来说,在局域网中进行多子网连接,最好还选用三层交换机,特别是在不同子网数据交换频繁的环境中。一方面可以确保子网间的通信性能需求,另一方面省去了另外购买交换机的投资。当然,如果子网间的通信不是很频繁,采用路由器也无可厚非,也可达到子网安全隔离相互通信的目的。具体要根据实际需求来定。 防火墙的选购 有关防火墙方面的知识,在前几篇中已作了较全面的介绍,相信各位对防火墙的认识已有所提高。最后在本篇之中,我要向大家介绍的是在防火墙选购方面需注意的有关事项,也可称之为选购原则吧。这是在你决定利用前几篇知识开始为自己企业选购防火墙之前需要最后掌握的。
基础知识 GSM:全球移动通信系统(Global System for Mobile communications.) ITU: 国际电信同盟(International Telecommunication Union) ETSI:欧洲电信标准学会(European Telecommunication Standards Institute)TDMA:时分多址(Time Division Multi Address) CDMA:码分多址(Code Division Multi Address) FDMA:频分多址(Frequency Division Multi Address) 帧中继:FR(FRAME RELAY) GPRS:通用无线分组业务(GENERAL PACKET RADIO SERVICE) CCITT:国际电报与电话咨询委员会 移动用户国际ISDN码:MSISDN=CC+NDC+SN(CC=国家代码、NDC=国内目的地代码、SN=用户号码) 国际移动用户标识:IMSI=MCC+MNC+MSIN(MCC=移动网国家代码(三位)、MNC=移动网代码(两位)、MSIN=移动用户识别码(十位)) 移动台漫游号:MSRN=CC+NDC+SN(CC=国家代码(被访问国家)、NDC=国内目的地代码(服务的网络)、SN=用户号码(临时与IMSI相关的内部号)) 位置区标识:LAI=MCC+MNC+LAC( MCC=移动网国家代码(被访问国家)、MNC=移动网代码(服务的PLMN)、LAC=位置区代码(四位十六进制)) 全球小区标识CGI=MCC+MNC+LAC+CI 切换号HON=CC+NDC+SN 位置更新类型:1、位置登记(开机)2、一般性的3、周期性的 位置登记时,成功登记后,网络向移动台发送两个号码:LAI和TMSI 执行切换两个原因:1.由于测量结果引起的切换2.由于话务量的原因引起的切换 由于测量结果引起的切换由所在BSC控制,由于通信量的原因引起的切换由MSC控制 四种不同类型的切换:1.小区内——BSC内切换2.小区间——BSC内切换3.小区间——BSC 间切换4.MSC间切换切换优先级:干扰〉上行质量〉下行质量〉上行电平〉下行电平GSM使用三种算法用于鉴权和加密的目的,这些算法是:A3,A5和A8。 A3被用于鉴别,A8用于产生加密密钥,A5用于加密。 A3和A8位于SIM卡模块和鉴权中心中,A5位于移动台和BTS中。 1、根据发送信息的特性,业务可分为(话音业务)和(数据业务)。 2、另一区分:①基本业务,可自动获得②补充业务 GSM900和GSM1800技术规范描述的业务标准类别:电信业务、承载业务 语音业务:T11 紧急呼叫:T12 短信收:T21 短信发:T22 小区广播:T23 为了建立呼叫的被叫的位置请求,称之为“HLR Enquiry”.
通信常识:波特率、数据传输速率与带宽的相互关系 【带宽W】 带宽,又叫频宽,是数据的传输能力,指单位时间能够传输的比特数。高带宽意味着高能力。数字设备中带宽用bps(b/s)表示,即每秒最高可以传输的位数。模拟设备中带宽用Hz表示,即每秒传送的信号周期数。通常描述带宽时省略单位,如10M实质是10M b/s。带宽计算公式为:带宽=时钟频率*总线位数/8。电子学上的带宽则指电路可以保持稳定工作的频率围。 【数据传输速率Rb】 数据传输速率,又称比特率,指每秒钟实际传输的比特数,是信息传输速率(传信率)的度量。单位为“比特每秒(bps)”。其计算公式为S=1/T。T为传输1比特数据所花的时间。 【波特率RB】 波特率,又称调制速率、传符号率(符号又称单位码元),指单位时间载波参数变化的次数,可以以波形每秒的振荡数来衡量,是信号传输速率的度量。单位为“波特每秒(Bps)”,不同的调制方法可以在一个码元上负载多个比特信息,所以它与比特率是不同的概念。 【码元速率和信息速率的关系】 码元速率和信息速率的关系式为:Rb=RB*log2 N。其中,N为进制数。对于二进制的信号,码元速率和信息速率在数值上是相等的。 【奈奎斯特定律】 奈奎斯特定律描述了无噪声信道的极限速率与信道带宽的关系。 1924年,奈奎斯特(Nyquist)推导出理想低通信道下的最高码元传输速率公式:理想低通信道下的最高RB = 2W Baud。其中,W为理想低通信道的带宽,单位是赫兹(Hz),即每赫兹带宽的理想低通信道的最高码元传输速率是每秒2个码元。对于理想带通信道的最高码元传输速率则是:理想带通信道的最高RB= W Baud,即每赫兹带宽的理想带通信道的最高码元传输速率是每秒1个码元。 符号率与信道带宽的确切关系为: RB=W(1+α)。 其中,1/1+α为频道利用率,α为低通滤波器的滚降系数,α取值为0时,频带利用率最高,但此时因波形“拖尾”而易造成码间干扰。它的取值一般不小于0.15,以调解频带利用率和波形“拖尾”之间的矛盾。 奈奎斯特定律描述的是无噪声信道的最大数据传输速率(或码元速率)与信道带宽之间的关系。 【香农定理】 香农定理是在研究信号经过一段距离后如何衰减以及一个给定信号能加载多少数据后得到了一个著名的公式,它描述有限带宽、有随机热噪声信道的最大数据传输速率(或码元速率)与信道带宽、信噪比(信号噪声功率比)之间的关系,以比特每秒(bps)的形式给出一个链路速度的上限。
第三单元通信技术及公司产品知识 第一章通信网技术基础 第一节通信网概述 通信是人类社会传递信息、交流文化、传播知识的一种非常有效的手段。随着人类社会不断进步,生产力及科学技术日益发展,人们对通信的需求越来越多,通信业务已深入到社会的各个方面,渗透到生产、管理、服务、生活的各个环节,并已经成为国民经济的重要支柱产业。 从社会分工来看,通信是负责传递信息的服务行业,通信生产的不是实体产品,而是社会效益,因此在讲求竞争和效益的社会中不可能不充分使用通信手段。经济发达的国家早就看到了这一点,因此当前世界各国都在积极地建设和完善本国通信网,使之更好地满足各界需要,充分发挥社会效益。目前,我们公司的产品几乎触及了通信网的各个领域,现代通信网有一个最大的特点,就是系统性强,通信网的每个构成要素都是作为整个通信网的一部分存在并且起作用的,所以要求我们必须有一个全网的概念。 1.1通信网的基本结构 多用户通信系统互连的通信体系称之为通信网,习惯上把它分为电话通信网、数据通信网以及广播电视网等等。目前,通信网实现的基本结构形式有五种: 网型网:网型网是具有代表性的完全互连网,在每两个通信节点之间都建立一条传输链路。 星型网:增加了一个转接交换中心,完成所有节点间信息的汇集、接续和分配。 复合网:是以星型网为基础,在通信量较大的区间构成网型网结构。 环型网:节点之间由链路构成一个封闭的环状网。 总线型网:特点是传输流通的信息速率较高,它要求各节点或总线终端节点有较强的信息识别和处理能力。在计算机通信网中应用较多。 1.1通信网的构成要素 从通信网的基本结构可以看出,构成通信网的基本要素是终端设备、传输链路、转接交换设备以及新近几年引入的接入部分。 终端设备是通信网中的源点和终点。对应不同的通信业务,有不同的终端设备。 传输链路是网络节点的传输媒介,是信息和信号的传输通路。 137
第1章基础知识 1.1 通信基础知识 1.1.1 移动通信系统概述 移动通信的发展过程: 众所周知,个人通信(Personal communications)是人类通信的最高目标,它是用各种可能的网络技术实现任何人(whoever)在任何时间(whenever)、任何地点(wherever)与任何人(whoever)进行任何种类(whatever)的交换信息。 蜂窝移动通信的飞速发展是超乎寻常的,它是20世纪人类最伟大的科技成果之一。在回顾移动通信的发展进程时我们不得不提起1946年第一个推出移动电话的AT&T的先驱者,正是他们为通信领域开辟了一个崭新的发展空间。然而,移动通信真正走向广泛的商用,为广大普通大众所使用,还应该从20世纪70年代末蜂窝移动通信的推出算起。蜂窝移动通信系统从技术上解决了频率资源有限,用户容量受限,无线电波传输时的干扰等问题。20世纪70年代末的蜂窝移动通信采用的空中接入方式为频分多址接入方式,即所谓的FDMA方式。其传输的无线信号为模拟量,因此人们称此时的移动通信系统为模拟通信系统,也称为第一代移动通信系统(1G)。 然而随着移动通信市场的大大发展,对移动通信技术提出了更高的要求。由于模拟系统本身的缺陷,如频谱效率低、网络容量有限、保密性差等,已使得模拟系统无法满足人们的需求。为此,广大的移动通信领域里的有识之士在20世纪90年代初期开发出了基于数字通信的移动通信系统,即所谓的数字蜂窝移动通信系统,也称为第二代移动通信系统(2G)。 第二代数字蜂窝移动通信系统克服了模拟系统所存在的许多缺陷,因此2G系统一经推出就倍受人们注目,得到了迅猛的发展,短短的十几年就成为了世界范围的、最大的移动通信网,几乎完全取代了模拟移动通信系统,在我国已经完全取代了模拟系统。在当今的数字蜂窝移动系统中,最有代表性是GSM系统和N-CDMA系统。
通讯知识简介 RS232: 是一种经典的通讯接口,也称串口。标准的RS232接口为九针,分针头(公头)和孔头(母头),见上图。以前电脑都带针头的串口,现在电脑一般不带串口,可以通过USB-232转换器接出串口。 实际应用时一般只使用三线(收RXD#2,发TXD#3,公共端GND#5),接口型式有时使用接线端子或者其它更容易制作的端子。DMP3301后面的通讯的232接口为接线端子型式,维护口的232接口为RJ-45水晶头型式(只用了8线中3线),新DMP3300保护装置的维护口为电话线接口型式。 RS232的电压在5V~12V,插拔和接线时最好关闭装置电源,否则容易烧坏串口芯片。 RS232通讯距离一般不超过50米,也有的厂家要求不超过30米。 RS232是全双工通讯,接收和发送数据可以同时进行。适用两台装置进行通讯,两台装置的收和发要交叉。 对于一些装置前面的维护口,为了方便维护,有的内部已经交叉收和发,可以直接用USB-232转换器的线接到维护口上(如GE保护),要注意看说明书。 RS-232通讯要设置的几个参数,通讯的装置串口参数必须一致,一般电脑和通讯管理机设置成与智能装置一致:波特率:bps,位/秒,数字通讯速率单位,表示收发数据的快慢。常用4800bps、9600bps等。 奇偶校验:有三种,奇校验(ODD)、偶校验(EVEN)、无校验(NONE)。 数据位:数据位长度,一般都是8。 停止位:停止位长度,一般都是1,极个别有1.5和2。 流控制:硬件、软件、无。一般选用无。早期为防止数据缓冲区溢出,需要控制串口的数据收发,现在硬件的缓冲区一般都很大足够用了。如果使用硬件,串口除235端子以外的其它端子也需要使用。 RS485 是一种改进的串行通讯接口。使用两根线(A-,B+),电压一般在+/-4V左右,两根线短路一般不会烧坏串口芯片。通讯距离最远1200米。新DMP3300保护装置的通讯接口是RS485。. RS485通讯是半双工的,一个485接口不能同时发送和接收数据。一般采用主从式通讯,一台主机和多个装置进行通讯,装置不主动发送数据,主机发送命令,所有的装置都能收到命令,只有命令中的地址与自己地址相同的装置返回数据,主机收到数据后,再发送其它命令,如此循环。
数据通信基本知识 所有计算机之间之间通过计算机网络的通信都涉及由传输介质传输某种形式的数据编码信号。传输介质在计算机、计算机网络设备间起互连和通信作用,为数据信号提供从一个节点传送到另一个节点的物理通路。计算机与计算机网络中采用的传输介质可分为有线和无线传输介质两大类。 一、有线传输介质(Wired Transmission Media) 有线传输介质在数据传输中只作为传输介质,而非信号载体。计算机网络中流行使用的有线传输介质(Wired Transmission Media) 为:铜线和玻璃纤维。 1. 铜线 铜线(Copper Wire)由于具有较低的电阻率、价廉和容易安装等优点因而成为最早用于计算机网络中的传输介质,它以介质中传输的电流作为数据信号的载体。为了尽可能减小铜线所传输信号之间的相互干涉(Interference) ,我们使用两种基本的铜线类型:双绞线和同轴电缆。 (1) 双绞线 双绞线(Twisted Pair) 是把两条互相绝缘的铜导线纽绞起来组成一条通信线路,它既可减小流过电流所辐射的能量,也可防止来自其他通信线路上信号的干涉。双绞线分屏蔽和无屏蔽两种,其形状结构如图 1.1 所示。双绞线的线路损耗较大,传输速率低,但价格便宜,容易安装,常用于对通信速率要求不高的网络连接中。 (2) 同轴电缆 同轴电缆(Coaxial Cable) 由一对同轴导线组成。同轴电缆频带宽,损耗小,具有比双绞线更强的抗干扰能力和更好的传输性能。按特性阻抗值不同,同轴电缆可分为基带(用于传输单路信号)和宽带(用于同时传输多路信号)两种。同轴电缆是目前LAN局域网与有线电视网中普遍采用的比较理想的传输介质。 2. 玻璃纤维目前,在计算机网络中十分流行使用易弯曲的石英玻璃纤维来作为传输介质,它以介质中传输的光波(光脉冲信号)作为信息载体,因此我们又将之称为光导纤维, 简称光纤(Optical Fiber) 或光缆(Optical Cable) 。 光缆由能传导光波的石英玻璃纤维(纤芯),外加包层(硅橡胶)和保护层构成。在光缆一头的发射器使用LED光发射二极管(Light Emitting Diode) 或激光(Laser)来发射光脉冲,在光缆另一头的接收器使用光敏半导体管探测光脉冲。 模拟数据通信与数字数据通信 一、通信信道与信道容量(Communication Channel & Channel Capacity) 通信信道(Communication Channel) 是数据传输的通路,在计算机网络中信道分为物理信道和逻辑信道。物理信道指用于传输数据信号的物理通路,它由传输介质与有关通信设备组成;逻辑信道指在物理信道的基础上,发送与接收数据信号的双方通过中间结点所实现的逻?quot; 联系",由此为传输数据信号形成的逻辑通路。逻辑信道可以是有连接的,也可以是无连接的。物理信道还可根据传输介质的不同而分为有线信道和 无线信道,也可按传输数据类型的不同分为数字信道和模拟信道。信道容量(Channel
通信基础知识(一) 2012-08-10 11:06:24 分享: 最近一直在恶补通信原理方面的知识,整理一下,方便菜鸟们学习。 通信系统的一般模型 发送设备的作用就是将信息转换为原始电信号(也叫基带信号),它通常要做的事情包括调制、放大、滤波和发射;数字通讯里面还包括信源编码和信道编码。 信道就是信号传输通道,一般分有线信道和无线信道两大类。 噪声源,不用多做解释了,就是信道中的所有噪声以及分散在通信系统中其它各处噪声的集合。 接收设备,功能与发送设备相反,不多作解释了,主要包括解调、译码等。 模拟通信系统
语音信息首先经变换器将语音信息变成电信号(模拟信源),然后电信号经放大设备后可以直接在信道中传输。为了提高频带利用率,使多路信号同时在信道中传输,原始的电信号(基带信号)一般要进行调制才能传输到信道中去。调制是信号的一种变换,通常是将不便于信道直接传输的基带信号变换成适合信道中传输的信号,这一过程由调制器完成,经过调制后的信号称为已调信号。在收端,经解调器和逆变换器还原成语音信息。 数字通信系统
信道编码的任务是提高数字信号传输的可靠性。其基本做法是在信息码组中按一定的规则附加一些监督码元,以使接收端根据相应的规则进行检错和纠错,信道编码也称纠错编码。接收端信道译码是其相反的过程。 数字通信系统还有一个非常重要的控制单元,即同步系统。它可以使通信系统的收、发两端或整个通信系统,以精度很高的时钟提供定时,以使系统的数据流能与发送端同步、有序而准确地接收与恢复原信息。 按信道中传输的信号是否经过调制可分为基带传输系统和频带(调制)传输系统。频带(调制)传输系统 按照调制信号的性质分为模拟调制和数字调制两类 模拟调制有调幅(AM)、调频(FM)和调相(PM); 数字调制有振幅键控(ASK)、移频键控(FSK)、移相键控(PSK)和差分移相键控 (DPSK)等。 按照载波的形式又分为连续波调制和脉冲调制两类 脉冲调制有脉幅调制(PAM)、脉宽调制(PDM)、脉频调制(PFM)、脉位调制(PPM)、脉码调制(PCM)和增量调制(ΔM)。 其他分类方式 按通信设备的工作频率不同分为长波通信、中波通信、短波通信和微波通信。 根据通信业务类型的不同,通信系统可分为电报通信系统、电话通信系统、数据通信系统和图像通信系统等。 按信号复用方式,通信系统又可分为频分复用(FDM)通信系统、时分复用(TDM)通信系统和码分复用(CDM)通信系统等。 通信基础知识(二) 2012-08-17 22:59:31 分享:
《车载网络技术》课程教学标准 课程编码:课程类别:专业素质课 适用专业:汽车电子技术课程管理单位:汽车工程系 学时:42 学分:2 制定日期:2011-03-26 第一次修订日期: 第二次修订日期: ... 1、课程概述 1. 1课程性质 《汽车车载网络技术》属于人才培养方案中四个课程模块中的专业素质课,是汽车电子技术专业的专业主干课,是必修课,《汽车车载网络技术》是一门实践性很强的技术应用型课程,它是来自企业的特色课程。 1.2课程的定位 本课程是汽车电子专业数字技术方向的一门专业方向课。本课程的容包括:汽车电子和车用总线的基础知识,计算机网络和控制总线的基本概念和基础知识,车上网络系统的结构和特点,异步串行通信的基本知识及应用,控制器局域网(CAN)规、常用CAN控制器、CAN应用系统设计,适用于车上线控系统基于时间触发的网络(TTCAN、TTP/C、byteflight、FlexRey),车上局部连接网络LIN及其应用,以及车上媒体系连接网络MOST等容。通过本课程的学习使学生掌握汽车总线的基本原理,了解汽车总线的应用及开发技术等。本课程的知识为学生毕业设计及今后从事汽车电控系统研究与开发打下坚实的基础。 该课程的学习需要以前修课程《汽车电工技术》、《汽车电子技术》、《汽车单片机技术》、《汽车原理与构造》为前导课程,可将前修课程培养的能力进行运用和深化;该课程
为后续课程《毕业设计》以及企业顶岗实习、毕业实践等环节中。该课程与前后续课程共同形成了完整的职业能力培养体系,是实现汽车电子专业人才培养目标的重要环节。 1.3修读条件 具有基本的计算机知识,英语达到国家三级水平。前期必须已经合格修读完电工技术和电子技术等专业基础课程以及汽车单片机技术、汽车电器与电子设备等专业课程。 2、课程目标 2.1 专业能力目标 1)能够对车载网络系统故障进行检测、诊断、分析、修复和排除; 2)能够正确使用汽车车载网络系统各种检测、维修设备和工具; 3)能够正确使用和养护汽车车载网络系统,保障工作性能良好。 2.2 方法能力目标 1)通过汽车车载网络系统常见故障检测、诊断、维修,积累排除汽车故障技术工作经验,提高检测、分析、维修汽车故障能力。 2)通过汽车车载网络系统各种检测、维修设备和工具的正确使用,养成正确、安全、规使用设备工具的意识,提高善于使用设备工具的能力。 3)通过教学以学生为中心,边做边学,在做中学习,提高学生适应工作环境能力,提高自主学习能力,提高理论联系实际能力。 2.3 社会能力目标 1)通过分组完成操作任务,提高同学之间互相交流、相互沟通的能力,适应工作岗位中汽车售后为客户服务的要求。 2)通过分组完成操作训练任务,提高分工协作,组织能力、团结意识,适应完成汽车维修工作岗位任务的要求。
路由器及RIP协议 一、路由器基本原理及功能 路由器是连接不同网络的设备,实现在不同网络中转发数据单元。 1.路由表中包含了下列关键项: 目的地址(Destination):用来标识IP包的目的地址或目的网络。 网络掩码(Mask):与目的地址一起来标识目的主机或路由器所在的网段的地址。将目的地址和网络掩码“逻辑与”后可得到目的主机或路由器所在网段的地址 输出接口(Interface):说明IP包将从该路由器哪个接口转发。 下一跳IP地址(Nexthop):说明IP包所经由的下一个路由器的接口地址。路由优先级(Priority):也叫距离管理,决定了来自不同路由来源的路由信息的优先权 2.路由信息的来源(Protocol/Owner) 在路由表中有一个Protocol字段:指明了路由的来源,即路由是如何生成的。路由的来源主要有3 种: 链路层协议发现的路由(Direct):开销小,配置简单,无需人工维护,只能发现本接口所属网段拓扑的路由。链路层一定要UP 手工配置的静态路由(Static):静态路由是一种特殊的路由,它由管理员手工配置而成。通过静态路由的配置可建立一个互通的网络。静态路由无开销,配置简单,适合简单拓扑结构的网络。 动态路由协议发现的路由(RIP、OSPF等):当网络拓扑结构十分复杂时,手工配置静态路由工作量大而且容易出现错误,这时就可用动态路由协议,让其自动发现和修改路由,无需人工维护,但动态路由协议开销大,配置复杂。 3.路由的花费(metric) 标识出了到达这条路由所指的目的地址的代价,通常路由的花费值会受到线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元等因素的影响,不同的动态路由协议会选择其中的一种或几种因素来计算花费值(如RIP用跳数来计算花费值)。该花费值只在同一种路由协议内有比较意义,不同的路由协议之间的路由花费值没有可比性,也不存在换算关系。静态路由的花费值为0。 二、路由匹配原则 1.最长匹配原则-使用路由表中达到同一目的地的子网掩码最长的路由。 2.Cost/metric值越小的路由越优先? 不同的路由协议发现的路由Cost没有比较意义 3.在Router A上被优选的路由,Router B上也一定优选? 路由选优完全是“单机行为” 三、路由协议原理 1.静态路由 在组网结构比较简单的网络中,只需配置静态路由就可以使路由器正常工作。接口静态路由优先级是0,这意味着它是直接连接网络的路由。
通信主设备基本知识综述(doc 47页)
一、爱立信基站设备基本介绍 1、RBS2000系列基站设备的具体分类 爱立信基站主要类型:RBS2202系列、RBS2206系列、微峰窝系列、室外站系列。 RBS2101~RBS2103系列 这种设备属于室外安装类型的设备,这个类型的基站设备主要为室外的环境使用而设计的,除了主设备以外,还有空调,温度控制,供电等附属设备,通常采用独立供电进行工作,可以防雨水、防霜冻等。但受外界干扰较大,不利网络的稳定。在我国GSM运营商几乎不使用该系列的机型。 RBS2202系列 这种类型的设备属于室内安装的设备,结构较RBS2100系列的设备简单,没有独立的外部环境系统,不可独立供电(但可以自带整流模块)等,必须在室内安装使用。这种系列是我国GSM运营商所采用的主要Ericsson设备类型。 RBS2301、RBS2302、RBS2402、MAXITE系列 这种类型的设备属微蜂窝设备,可以在室内和户外安装,可以独立供电使用,体积较小,安装灵活方便。主要用在街道覆盖、室内覆盖等。 RBS2206系列 这种类型的设备属于室内安装的设备。RBS2206 是一种室内型宏蜂窝基站设备,每个机柜可支撑最多12 个收发信机。其机柜与RBS2202 占地面积相同,略高,由于采用新型两倍容量的收发信机和合路器,机柜的载波容量也是 RBS2202 的两倍。。其“双收发信机”—dTRU—与目前的单个TRU 体积相同,却在一个单元里包含有两个收发信机 2、RBS2000系列基站组成: 下图是RBS2000在网络中的位置及结构: ●移动台(MS):移动用户使用的便携终端。由收发信机、天线、人机介面、 电池等构成; ●基站(BS):基站收发信机、控制设备、天馈系统等组成,提供MS与BSC ●基站控制器(BSC):为MSC接口,管理BS。 ●移动交换中心(MSC):网络的核心,提供交换、网络控制与管理、互连 接口等功能。
南邮801通信原理基础知识99题 1、数字通信系统的有效性主要性能指标是______或______;可靠性主要性能指标是______或______。 2、信源编码可提高通信系统的______;信道编码可提高通信系统的______。 3、一离散信源输出二进制符号,在______条件下,每个二进制符号携带的1比特信息量;在______条件下,每个二进制符号携带的信息量大于1比特。 4、消息所含的信息量与该信息的________有关,当错误概率任意小时,信道的_______称为信道容量。 5、香农公式标明______和______指标是一对矛盾。 6、在t 秒内传输M 个N 进制的码元,其信息传输速率为______;码元传输速率为______。 7、某随机信号)(t m 的平均功率为0P ,则信号)(2 t m A 的平均功率 ______。 8、使用香农公式时,要求信号的概率分布为______,信道噪声为______。 9、窄带平稳高斯随机过程的同相分量与正交分量统计特性______,且都属于 ______信号,它的同相分量和正交分量的分布是_______,均值为______,包络一维分布服从______分布,相位服从______分布,如果再加上正弦波后包络一维分布服从______莱斯分布______。 10、设某随机信号的自相关函数为)( R ,______为平均功率,______为直流功率,______为交流功率。 11、某信道带宽为3kHz ,输出信噪比为63,则相互独立且等概率的十六进制数据无误码传输的最高传码率为______。 12、随参信道的三个特点是:______、______和______。 13、由电缆、光纤、卫星中继等传输煤质构成的信道是______信道,由电离层反射、对流层散射等传输煤质构成的信道是______信道。 14、经过随参信道传输,单频正弦信号波形幅度发生______变化,单频正弦信号频谱发生______变化。 15、窄带信号通过随参信道多径传输后,其信号包络服从______分布,称之为______型衰落。
XX职业技术学院机电系课程标准 车载网络技术课程标准 1.课程基本信息 课程代码:84347 适用专业:汽车检测与维修技术专业 学时数:54 学分: 3 先修课程:《汽车电工电子技术》《汽车单片机技术》《汽车原理与构造》 后续课程: 2.课程性质 《汽车车载网络技术》属于人才培养方案中四个课程模块中的专业素质课,是汽车检测与维修技术专业的能力拓展必修课,《汽车车载网络技术》是一门实践性很强的技术应用型课程,它是来自企业的特色课程。 该课程的学习需要以前修课程《汽车电工技术》、《汽车电子技术》、《汽车单片机技术》、《汽车原理与构造》为前导课程,可将前修课程培养的能力进行运用和深化;该课程为后续课程《毕业设计》以及企业顶岗实习、毕业实践等环节中。该课程与前后续课程共同形成了完整的职业能力培养体系,是实现汽车维修专业人才培养目标的重要环节。本课程的知识为学生毕业设计及今后从事汽车电控系统研究与开发打下坚实的基础。 3.课程教学目标 3.1 能力目标 A1.能够对车载网络系统故障进行检测、诊断、分析、修复和排除; A2.能够正确使用汽车车载网络系统各种检测、维修设备和工具; A3.能够正确使用和养护汽车车载网络系统,保障工作性能良好; A4.通过汽车车载网络系统常见故障检测、诊断、维修,积累排除汽车故障技术工作经验,提高检测、分析、维修汽车故障能力; A5.通过汽车车载网络系统各种检测、维修设备和工具的正确使用,养成正确、安全、规范使用设备工具的意识,提高善于使用设备工具的能力; A6.通过教学以学生为中心,边做边学,在做中学习,提高学生适应工作环境能力,提高自主学习能力,提高理论联系实际能力。
数据通信的基础知识概述 数据通信是通信技术和计算机技术相结合而产生的一种新的通信方式。要在两地间传输信息必须有传输信道,根据传输媒体的不同,有有线数据通信与无线数据通信之分。但它们都是通过传输信道将数据终端与计算机联结起来,而使不同地点的数据终端实现软、硬件和信息资源的共享。 数据通信的交换方式及适用范围 1.数据通信的交换方式 通常数据通信有三种交换方式: (1)电路交换 电路交换是指两台计算机或终端在相互通信时,使用同一条实际的物理链路,通信中自始至终使用该链路进行信息传输,且不允许其它计算机或终端同时共亨该电路。 (2)报文交换 报文交换是将用户的报文存储在交换机的存储器中(内存或外存),当所需输出电路空闲时,再将该报文发往需接收的交换机或终端。这种存储—转发的方式可以提高中继线和电路的利用率。 (3)分组交换 分组交换是将用户发来的整份报文分割成若于个定长的数据块(称为分组或打包),将这些分组以存储—转发的方式在网内传输。第一个分组信息都连有接收地址和发送地址的标识。在分组交换网中,不同用户的分组数据均采用动态复用的技术传送,即网络具有路由选择,同一条路由可以有不同用户的分组在传送,所以线路利用率较高。 2.各种交换方式的适用范围 (1)电路交换方式通常应用于公用电话网、公用电报网及电路交换的公用数据网(cSPDN)等通信网络中。前两种电路交换方式系传统方式;后一种方式与公用电话网基本相似,但它是用四线或二线方式连接用户,适用于较高速率的数据交换。正由于它是专用的公用数据网,其接通率、工作速率、用户线距离、线路均衡条件等均优于公用电话网。其优点是实时性强、延迟很小、交换成本较低;其缺点是线路利用率低。电路交换适用于一次接续后,长报文的通信。 (2)报文交换方式适用于实现不同速率、不同协议、不同代码终端的终端间或一点对多点的同文为单位进行存储转发的数据通信。由于这种方式,网络传输
第一章 绪论 1. 数字通信系统模型 通信系统结构:信源-发送设备-传输媒质-接收设备-收信 数字通信系统模型:信源-信源编码-信道编码-调制-信道-解调-信道解码-信源解码-收信 其中干扰主要来至传输媒质或信道部分 信源编码的作用: 信道编码的作用: 2. 香农信道容量公式 对上式进行变形后讨论其含义:令 0b E S C N N W =,代入上式有 ()()021C W b E N C W =-,讨论当信 道容量C 固定时,0b E N 和W 的关系。注意,W 的单位是Hz ,S N 是瓦特比值! (1) 00b E N C W W ↑?↑?↓→,功率可以无限换取带宽 (2) 0 1.6b W C W E N dB ↑?↓?↓→-,带宽不能无限换取功率 (3) max 22log 1log 1P P R C I W I TW N N ????=?=+?=+ ? ???? ?,信噪比P N 一定时,传输 时间和带宽也可以互换 第三章 模拟线性调制 1. 调制分类 A. AM (双边带幅度调制) 载波 () ()0cos c c C t A t ωθ=+ 已调信号 产生方式:将调制信号() f t 加上一个直流分量0A 然后再乘以载波() cos c c t ωθ+
AM 调制信号信息包含在振幅中 其频谱为 实现频谱的搬移,注意直流分量的存在。 B. DSB-SC (抑制载波双边带调制) 产生方式:相对于AM 调制,仅是00A =,即不包含直流分量 DSB-SC 调制信号信息包含在振幅和相位中 已调信号 其频谱为 C. SSB (单边带调制) 产生方式:DSB 信号通过单边带滤波器......,滤除不要的边带 已调信号 实际物理信号频谱都是ω的偶函数,可去掉其中一个边带,节省带宽和功率 任何信号....() f t 可以表示为正弦函数的级数形式,仅讨论单频正弦信号的单边带调制不失一般性................................... ()()()cos cos DSB m m c c s t t t ωθωθ=++ 令0c θ=,0m θ=,式中“-”取上边带,“+”取下边带 ()()()()()cos cos sin sin SSB m c m c s t t t t t ωωωω= 通过移相相加或相减可以得到相应边带的调制信号。 D. VSB (残留边带调制) 产生方式:DSB 信号通过残留边带滤波器.......可得VSB 信号 已调信号 锐截止滤波器物理难实现,低频丰富的信号很难分力,故保留另一边带的一部分 滤波器在c ω处具有滚将特性,系统函数满足 ()()VSB c VSB c H H const ωωωω-++= 2. 模拟线性调制 信号生成模型