博文
配置网络地址转换和静态端口地址转换支持内部服务器(2006-05-27 01:58:00)
摘要:
前言
® Cisco IOS网络地址转换(NAT)为IP地址简单 化和保存设计,因为启用使用未注册的IP 地址连接到互联网的专 用的IP内部网络。 NAT在内部网络动手术在一个Cisco路由器 ,一起通常连接二个网络,并且转换专用的(内部本地)地址为公共 地址(Outside Local)在信息包转发到另一个网络之前。作为 此功能一部分,NAT只可以配置为整个网络做通告一个地址对外界。 这从世界有效隐藏内部网络因而提供附加安全性。
背景理论
其中一个NAT主要功能是静态端口地址转换(PAT),也 指"超载"在Cisco IOS配置。 静态PAT设计允许本地和全局地 址的之间一对一映射。普通的使用为静态PAT是允许互联网用 户从公共网络访问位于专用网络的网络服务器。
下面 的表显示IP地址空间三个块可用为专用网络。
IP地址空间
组
10.0.0.0 - 10.255.255.255 (/8 前缀或255.0.0.0子网)
A类
172.16.0.0 - 172.31.255.255 (/16前缀或255.255.0.0子网)
B类
192.168.0.0 - 192.168.255.255 (/24 前缀或255.255.255.0子网)
C类
在下面的示例,互 联网服务提供商(ISP) 分配DSL订户仅单个IP地址,171.68.1.1/24 。 指定的IP地址是一个注册的独立IP地址和称为内部全局地 址。此注册的IP地址在专用网络将由来自公共网络的互联网 用户用于通过整个专用网络访问互联网并且到达网络服务器。
专用LAN,192.168.0.0/24,连接到 NAT路由器的以太网接口。此专用LAN包含几台个人计算机和 一个网络服务器。配置NAT路由器转换来自这些个人计算机的 未注册的IP地址(内部本地地址)到单个公共IP地址 (Inside Global - 171.68.1.1)访问互联网。
注意192.168.0.5 (网络服务器)是一个地址在不可能 路由对互联网的专用地址空间。 唯一的可视IP地址为了能到 达网络服务器的公共互联网用户将是171.68.1.1。所以,配 置NAT路由器执行IP地址171.68.1......
配置路由器和交换机上的安全Shell运行的CiscoIOS(2006-05-27 01:58:00)
摘要:
前言
本文讨论配置和调试安 全外壳(SSH)在运行的Cisco IOS软件的版本支持 SSH® Cisco 路由器或交换机。欲知关于特定 版本和软件镜象的,下面请参阅更多信息。
使 用的组件
本文的信息根 据以下的软件及硬件版本。
Cisco IOS 3600软件(C3640-IK9S-M),版本 12.2(2)T1
SSH介绍到 IOS platforms/images如下所示。
SSH版本1.0 (SSHv1)服务器在起动在12.0.5.S 的一 些IOS platforms/images被引入了。
SSH客户端在开始在12.1.3.T的一些IOS platforms/images介绍。
SSH终端线 路接入(亦称反向Telnet)在开始在12.2.2.T的一些 IOS platforms/images被引入。
关 于信息关于SSH技术支持在交换机,参见 如何 配置SSH在运行CatcOs的Catalyst交换机。
关于一张完全特性集列表不同的平台 支持用不同的Cisco IOS版本和,参见 软件 顾问 (注册的用户)。
本文提供的信息在特定实验室环境里从设备被创建了 。用于本文的所有设备开始了以一个缺省(默认)配置。 如果在一个真实网络工作,保证您使用它以前了解所有命令 的潜在影响。
SSHv1与SSHv2
此时,IOS只支持SSHv1; Cisco没有计划实现 SSHv2。有此的几个原因,如下所述。
Cisco在Cisco IOS实现SSH当IP安全(IPSec) 通过互 联网工程任务组(IETF)被开发。在IPSec 开发过程期间,而 SSH的实施在IOS是更多一项战术措施提供接入路由器一个安全的方 法IPSec 是核心功能。Cisco投入人员维护SSH功能为修正, 但增进将制定要求低优先级。Cisco 做到配置IPSec为获取 所有数据流,包括管理数据流到/从Cisco网络设备。
如果弱点在SSHv1的协议或实施被发 现,将制定他们的复核最优先考虑的事,和所有潜在安全漏洞。 注意Cisco IOS编码不是相同作为代码在UNIX、Windows,或 者所有其他设备查找。同样地,一个编码问题在那些实施之 一中在Cisco IOS很可能不会查找。 另外,不是所有的S......
QoS术语说明(2006-05-27 01:56:00)
摘要: 无线辨识系统(RFID)的应用情形、标准化程度以及技术上的革新正在持续不断地改变当中。由于处于刚被采用的阶段,这项科技拥有许多不为广泛大众了解的特色。在此同时,无线辨识系统的技术也持续不断地创造出更大的内存容量、更广的读取范围,以及更高的运算处理速度。 一般都认为无线辨识系统极不可能完全取代条形码系统,理由是即使是面对生产原料必然的减少,再加上生产过程到达相当程度的经济规模,无线辨识系统所使用的询答器芯片,再怎么样都不能与生产条形码的高成本效益相比。尽管如此,无线辨识系统仍然拥有其特殊的利基,在条形码或其它光学技术无法发挥功效之市场中,持续地成长。
而且,若是在规格的标准化上再取得共识,使得各家厂商所制造的无线辨识系统能够相互地交替使用,那么这个市场的规模预计将呈指数成长。
何谓无线辨识系统? 无线辨识系统的主要目的如下:透过一般称为卷标(TAG)的询答器来传递资料,并在适当的时间与地点,利用计算机可读的方式来撷取资料,以满足其产品应用的特定需求。而这个卷标内所储存的数据可以用来辨识许多物体,从尚在制造中的对象、运输中的货品、地点、车辆识别认证、动物以致于人类,都可以透过这个卷标来辨识。
其作法是在产品的询答器卷标上储存该产品的附加信息,之后只要该产品的卷标一被读取,就可马上得到产品支持用途、产品特殊信息或使用说明等产品相关的信息,例如车体在进入生产线上的喷漆区时需确认的烤漆颜色、弹性制造区内的生产设定指示、以及船运货品所附的清单等等。
除了以上所述的询答器卷标之外,无线辨识系统仍需要一个质问或辨读询答器资料的方式,以及与主机或信息管理系统间联络与传输资料的方法。另外,如果系统制造商没有在出厂前将资料烧入询答器的芯片中,使用者也需要某种装置来进行资料的输入或程序的设定。
在讨论无线辨识系统的时候,常常强调其中天线装置的重要性,程度足以让人认为天线装置是无线辨识系统中的一个独立的部分。事实上天线装置的重要性也在无线辨识系统的外观上表露无遗,因为在读取机以及询答器上都有这项装置,而其主要的功能是让两个装置能够互相沟通。
&......
Qos技术入门篇(2006-05-27 01:56:00)
摘要: 当移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候,采用传统的远程访问方式不但通讯费用比较高,而且在与内部专用网络中的计算机进行数据传输时,不能保证通信的安全性。为了 避免以上的问题,通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。
VPN带来的好处
降低费用 首先远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。
增强的安全性 VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP);并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
网络协议支持 VPN支持最常用的网络协议,基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。
IP地址安全 因为VPN是加密的, VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。
VPN使用的协议
VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
PPTP PPTP是PPP的扩展,它增加了一个新的安全等级,并且可以通过Internet 进行多协议通信,它支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。PPTP 可以建立隧道或将 IP、IPX 或 NetBEUI 协议封装在 PPP 数据包内,因此允许用户远程运行依赖特......
现代银行网络路由及QoS解决方案(2006-05-27 01:55:00)
摘要:对于那些无论何时何地都有上网需求的朋友来说,GPRS的无线上网则有着特别的吸引力。利用GPRS上网的方法很多,但是对于大多数朋友来说,使用手机+笔记本电脑来体验GPRS的魅力恐怕才是最为常用的,下面我们就一步步教大家该如何操作。
一、准备工作
我们以爱立信T68i为例,首先要安装Ericsson Communications Suite软件,它包含有Ericsson手机的Modem驱动程序,所以必须要安装它。可以到http://mobile.ericsson.com.cn/t68/resources/R3APackage6.exe进行下载。自解压后会出现语言选择菜单,选择“中文-->简体”后按确定进行安装,完成后按照要求重启计算机。
二、安装Modem驱动
在使用T68上网时,T68的作用就是一个调制解调器,所以我们在使用它时一定要先安装相应的驱动程序,安装方法如下。
在控制面板中双击调制解调器图标。 进入调制解调器属性窗口。并点击添加按钮,开始添加调制解调器。
从驱动列表中选取Ericsson T68 IR Modem,按下一步继续。
从驱动列表中选取Ericsson T68 IR Modem,按下一步继续。 将端口设置为Virtual Infrared COM Port,也就是红外端口,按下一步继续即可完成安装过程。 这时在调制解调器属性页面中,已经出现了我们刚安装的“Ericsson T68 IR Modem”,下面点击属性按钮。 将最快速度设为“115200”,以获得最好的连接效果。 至此T68i调制解调器便安装成功,下面就开始进行拨号设置。 在拨号网络中双击“建立新连接”,创建使用T68i调制解调器的连接。在这里给它起个名字,比如“T68”,并在设备中选择刚才安装的“Ericsson T68 IR Modem”,按下一步继续。 在电话号码处输入“*99#”,这是GPRS的专用号码,然后按下一步便成功创建了T68连接。 连接建立后,还要对它进行一些设置。在拨号网络中右击新建的T68连接,然后选择属性,在常规标签中去掉“使用区号与拨号属性”前面的勾,这样才能正常拨号。
接下来打开笔记本电脑的红外端口。 然后再打开T68i的红外线端口,并将它与......
二层虚拟专用网(L2VPN)技术实现及标准(2006-05-27 01:52:00)
摘要:摘要 IP/MPLS网络运营商如果采用L2VPN技术,就可以利用IP/MPLS网络同时支持IP业务和数据业务,提高网络资源的使用和管理效率,这项技术因此得到了运营商的关注。本文概要介绍了L2VPN技术的三种实现方式,并介绍国内外标准制定的有关情况。关键词 IP MPLS L2VPN 虚拟专用网1、引言 L2VPN技术是为了充分利用IP/MPLS网络资源来支持数据业务而推出的,用IP/MPLS网络为二层数据链路包(如ATM信元、FR帧、以太网帧)提供传送通道,以便实现IP网和数据网的融合。业务提供商可以提供给用户的L2VPN业务有三种不同的形式,即VPWS,VPLS和IPLS。2、L2VPN的业务形式 2.1 虚拟专用线路业务(VPWS) VPWS提供点到点的二层数据链路帧传送业务,其业务系统的基本参考模型如图1所示。运营商网络边缘路由器(PE)和运营商网络内部的路由器(P)都是由运营商来维护管理的路由器,用户边缘设备(CE)通过以太网、ATM或FR等二层链路接入系统。参考模型中各个功能组件完成的功能分别为:
图1 VPWS基本参考模型
(1)CE是用户侧的接入设备,负责将用户业务流通过直连电路(AC)发往PE; (2)PE路由器上要支持L2VPN协议规程,包括在控制面上通过信令建立PE到PE的伪线路连接,数据面上完成二层数据链路帧到IP/MPLS标记包的封装/去封装和相应处理功能,并通过PSN隧道中的伪线路将标记包传送到对端PE; (3)P路由器支持L2VPN业务流的透明传送,不支持L2VPN规程,只起提供承载通道的作用,PE之间建立的包交换(PSN)隧道可以经过多个P路由器; (4)直连电路(AC)是指用户接入L2VPN系统所使用的ATM虚电路、FR虚电路或以太网VLAN链路; (5)伪线路(PW)是指PE之间利用L2VPN信令建立的连接,PE将AC传来的二层数据帧通过PW传送到对端PE,对端PE再恢复或重新生成二层链路帧传送到对端AC; (6)包交换(PSN)隧道是指IP/MPLS网络上的MPLS LSP(标记交换路径)或L2TP隧道,多条PW可以复用在一条PSN隧道中从PE传往对端PE。 可以看出,VPWS可以充分利用IP/MPLS网络资源来支持点到点的数据业务,但是骨干网内PE到PE的信令会话数量和PSN隧道数量可能会......
虚拟专用网VPN在企业中应用(2006-05-27 01:52:00)
摘要:导读-- 随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。 一、概述 随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。VPN集灵活性、安全性、经济性以及扩展性于一身,可充分满足分支机构、移动办公安全通信的需求。在北美和欧洲,VPN已成为一项相当普及的网络业务。目前国内的VPN应用主要集中在大型企业和行业用户。随着宽带网的普及,Internet接入的性价比提高,中小企业也能利用VPN技术来扩展自己的网络。通过宽带网组建的VPN增值潜力大,除了用于数据业务,还可用于语音、视频通信业务,从而实现三网合一的需求。除了租用电信运营商的VPN服务外,还可通过自购VPN产品,在公网上建立更加安全的专用通道,来连接自己的分支机构和移动用户。 二、VPN概念 VPN的基本思想就是在公共网络上建立安全的专用网络,来传输内部信息而形成逻辑网络,从而为企业用户提供比专线价格更低廉,安全性更高的资源共享和互联服务。VPN是企业内部网的扩展。 虚拟专用网指的是在公用网络上建立专用网络的技术,即通过对网络数据的封包和加密传输,在公用网络上传输私有数据,形成一种逻辑上的专用网络。它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。 顾名思义,所谓“虚拟”(Virtual),说明它是一种仿真物理连接的逻辑网络连接,没有固定的物理连接,利用的是公共网络资源。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用公用网络资源(如Internet、ATM网络、帧中继网络等)动态组成的。所谓“专用”(Private,或译为“私用”),说明它在功能上等同于传统的专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可被当作专用网络使用。 VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限......
ADSL Modem之路由功能详述(2006-05-27 01:50:00)
摘要:目前,大多数ADSL Modem都支持多种网络协议,具有静态路由功能,可以视作完整的路由器。笔者经常遇到许多用 户在购买ADSL Modem时,指明Modem一定要带有路由功能,问其原因,回答往往是有路由功能的Modem性能要好些。实际上许多人对ADSL Modem路由功能的理解仅仅停留在概念上。那么,在小型网络中,带路由功能的ADSL Modem是如何与其他设备进行通信的呢?路由Modem对网络有什么具体的作用呢?我们怎样才能使用好ADSL Modem的路由功能呢?下面,笔者就分几期与大家讨论一下关于ADSL Modem路由功能方面的话题。
一、IP路由的概述
1. IP路由器定义 Internet是通过路由器互连的网络和主机的一个庞大集合,路由器是连接两个或两个以上包交换网络的专用计算机。在路由器工作时,它可以主动地为一个特定的目标设备接收数据,但接收到数据后跟着下一步会把数据传送到什么地方呢?当你给路由器定义了IP路由规则后,路由器会使用你提供的规则确定把数据传送到哪一个目标设备上。
2. IP路由器和电话交换机相比较 IP路由器的工作原理有点类似处理电话呼叫的接线交换机。当我们拨一个电话号码时,请求信号首先通过我们的本地电话线连接到一台正在工作的电话交换机上,所发出的所有呼叫最先到达这台主交换机;如果你所拨的电话号码是这台主交换机服务区域外的,那么这台交换机会为长途呼叫电话连接到更高一级的交换机,而这台更高一级的交换机会检查你拨的电话区号,并为你连接到所呼叫地区的电话交换机上;这台异地交换机会检查你拨的电话号码的前缀(其中的前三个数字),并连接到符合电话号码前缀的一台交换机上;到最后一台交换机上,它会检查电话号码的最后四位数字,并连接到你请求连接的目的地电话上。 相比之下,当你的计算机在因特网上开始与网络中的其他主机通讯时,例如要连接到一台网站服务器浏览网页,你的计算机发送出包括目标网页的计算机IP地址(如同“电话号码”)的数据包,所有你发出的请求首先到达与你计算机相连的ISP的路由器(如同“第一个电话交换机”)上,这时ISP的路由器会查看该数据包目标IP地址的网络ID部分(如同“电话区号”),并确定发送网页浏览请求的下一个路由器;经过......
交换机的堆叠与级联基础(2006-05-27 01:46:00)
摘要:双绞线端口的级联 级联既可使用普通端口也可使用特殊的MDI-II端口。当相互级联的两个端口分别为普通端口(即MDI-X)端口和MDI-II端口时,应当使用直通电缆。当相互级联的两个端口均为普通端口(即MDI-X)或均为MDI-II端口时,则应当使用交叉电缆。 无论是10Base-T以太网、100Base-TX快速以太网还是1000Base-T千兆以太网,级联交换机所使用的电缆长度均可达到100米,这个长度与交换机到计算机之间长度完全相同。因此,级联除了能够扩充端口数量外,另外一个用途就是快速延伸网络直径。当有4台交换机级联时,网络跨度就可以达到500米。这样的距离对于位于同一座建筑物内的小型网络而言已经足够了! 1. 使用Uplink端口级联 现在,越来越多交换机(Cisco交换机除外)提供了Uplink端口(如图1所示),使得交换机之间的连接变得更加简单。
图1 Uplink端口 Uplink端口是专门用于与其他交换机连接的端口,可利用直通跳线将该端口连接至其他交换机的除Uplink端口外的任意端口(如图2所示),这种连接方式跟计算机与交换机之间的连接完全相同。需要注意的是,有些品牌的交换机(如3Com)使用一个普通端口兼作Uplink端口,并利用一个开关(MDI/MDI-X转换开关)在两种类型间进行切换。
图2 利用直通线通过Uplink端口级联交换机
2. 使用普通端口级联 如果交换机没有提供专门的级联端口(Uplink端口),那么,将只能使用交叉跳线,将两台交换机的普通端口连接在一起,扩展网络端口数量(如图3所示)。需要注意的是,当使用普通端口连接交换机时,必须使用交叉线而不是直通线。
图3 利用交叉线通过普通端口级联交换机 光纤端口的级联 由于光纤端口的价格仍然非常昂贵,所以,光纤主要被用于核心交换机和骨干交换机之间连接,或被用于骨干交换机之间的级联。需要注意的是,光纤端口均没有堆叠的能力,只能被用于级联。 1. 光纤跳线的交叉连接 所有交换机的光纤端口都是2个,分别是一发一收。当然,光纤跳线也必须是2根,否则端口之间将无法进行通讯。当交换机通过光纤端口级联时,必须将光纤跳线两端的收发对调,当一端接“收”时,另一端接“发”。同理,当一端接“发”时,另一端接“收”(如图4所示)。令人欣慰的是,Cis......
MAC地址的原理分析以及相关应用介绍(2006-05-27 01:44:00)
摘要:家都知道在现实的生活中,我们每个人都有属于自己的一个ID号--身份证号码,你可以去派出所把你的姓名改了,但是你的身份证号却不能随着你自己的姓名更改而更改。在网络世界中,我们常常可以听到IP地址的概念,不过MAC地址这个专业术语却很少被人提起,我们往往只知道IP地址,而MAC地址则是幕后英雄。正如我们在日常交流的时候,常常叫别人的姓名而不会去称呼别人的身份证号道理是一样的。
IP地址与MAC地址<
/P>
在日常的计算机使用过程中,大家都知道IP地址只要规划合理,你可以任意更改IP地址。修改的方法也是比较简单的,只要在对应网卡的TCP/IP协议上双击一下然后修改参数就行了。那么MAC地址与IP地址同为地址,它们之间有什么地方相似又有什么地方不同呢?下面就让我们一起来看看吧,了解它们的差异与类似之处便于我们更好的掌握。在OSI(Open System Interconnection,开放系统互连)7层网络协议参考模型中,第二层为数据链路层(Data Link)。MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位的。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。
MAC地址的作用
IP地址就如同一个职位,而MAC地址则好像是去应聘这个职位的人才,职位可以既可以让甲坐,也可以让乙坐,同样的道理一个节点的IP地址对于网卡是不做要求,基本上什么样的厂家都可以用,也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强,正如同人才可以给不同的单位干活的道理一样的,人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如,如果一个网卡坏了,可以被更换,而无须取得一个新的IP地址。如果一个IP主机从一个网......