<![CDATA[发芽励志网 - 网络技术]]> http://www.fa12.com/ zh-cn PBlog2 v2.4 发芽励志网 http://www.fa12.com/images/logos.gif http://www.fa12.com/ 发芽励志网 http://www.fa12.com/article.asp?id=596 <![CDATA[路由器配置集锦]]> admin@fa12.com(rtk) Sat,19 Sep 2009 18:30:34 +0800 http://www.fa12.com/default.asp?id=596


专题导读[/b]


编者按
因为配置有误而造成路由器产生故障这是导致的网络不能正常运行常见的问题。开始配置一个路由器之前,首先应了解它的结构以及配置内容。本专题从路由器的组成展开,详细的讲述了路由器的基础配置、协议配置,还收集大量的路由器配置实例。希望能对广大读者有所帮助。


论坛精华




基础配置

路由器的组成


路由器的配置详细解析


路由器寄存器的配置

路由器访问控制配置列表概述


路由器的初始配置详解


路由器NAT的应用环境及配置介绍


路由器常用配置命令大全


关于无线路由器的安全配置方法简介


几种不同路由器的Frame-Relay的配置


路由器的安全配置必用的十条命令


不同宽带接入下的路由器如何进行设置


局域网加个无线路由器应该如何设置


路由该如何设置才可以不拨号就能上网


企业局域网本地路由配置的五个方法

局域网中代理服务器、路由器配置案例


华为路由器的配置与防火墙的配置


教您五种经典方式来巧妙设置路由器


无法登录无线路由器配置界面解决


协议配置

OSPF


动态


路由协议配置指南


PPP配置协议


华为路由器静态路由配置命令


浮动静态路由配置步骤


掌握IP路由协议配置的基础知识与技巧


IPv6协议中的地址配置


正确配置路由协议合理使用路由器资源


配置OSPF动态路由协议的身份验证


Cisco网络教材:2511路由器的PPP配置


用透明桥接方式解决路由器IP配置问题


利用桥接来解决路由器配置的IP参数


配置实例

Quidway R2501型路由器配置经验简介


联信永益 路由设置的技巧与应用方法


Qno侠诺路由器新防御功能及配置方式


上海贝尔CyberLink 6307 YG 路由设置


斯达康UT300R路由的设置方法与应用技巧


中达通ADSL自动拨号多机共享上网的设置


TP-Link TD8830路由 端口映射的方法


UT斯达康ADSL开路由设置方法与应用技巧


大唐电信A-400猫ADSL 开启路由设置方法


实达2110猫ADSL 路由设置方法与应用


天邑100A开路由器设置方法的详细步骤


6000EV/6005HW ADSL MODEM设置端口映射


科迈易通 KM300A-G 的路由设置与技巧


北京港湾ADSL的路由设置方法与应用技巧


D-link 500 路由设置方法与应用技巧


科迈易通ADSL内置拨号路由模式设置方法


阿尔卡特SPEED TOUCH 515 路由设置方法


ZyXel的路由和端口映射的设置技巧方法


华硕 AAM6000EV 路由器的高级设置方法


Quidway NE40 策略路由的配置应用实例


Cisco 路由器安全配置必用10条命令


华为路由器防火墙配置命令总结经典收藏


3C8832路由器中DDN的应用设置实例




全面介绍无线路由器加速的终极技巧


彻底解决四种路由器不能上网的故障


分析Cisco与华为3COM路由器配置差别


浅谈宽带共享上网和路由器设置方法


市面上几款常见路由器的设置方法汇总


Cisco网络教材:Cisco NAT的配置例子


技术广场:两条思科交换机的设置与技巧


熟练掌握Cisco路由器配置的预备知识


不同宽带模式接入下的路由器如何设置


安装、维护 Cisco 路由器的一般方法


Cisco网络教材:路由器的配置及测试


Cisco与Intel路由器的对连配置实例


Cisco网络教材:6520路由器参数设置


手把手教你几种方式来巧妙设置路由器

]]> http://www.fa12.com/article.asp?id=594 <![CDATA[SSL VPN 与 IPsec VPN区别]]> admin@fa12.com(rtk) Mon,07 Sep 2009 15:05:16 +0800 http://www.fa12.com/default.asp?id=594
  SSL VPN网关作为一种新兴的VPN技术,与传统的IPSec VPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:

  1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。

  2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。

  3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。

  4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。

  5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP五元组对用户进行访问控制。]]> http://www.fa12.com/article.asp?id=593 <![CDATA[ISA 2006 实践初体验]]> admin@fa12.com(rtk) Sun,06 Sep 2009 15:50:38 +0800 http://www.fa12.com/default.asp?id=593 早就听说微软的ISA2006安全网关的性能很好,今天趁着周末的时间做了个试验。
本次试验目标:
A、实现内网访问外网;B、实现ping应用;C、实现远程连接mstsc应用;D、实现内网DHCP自动分配IP地址;E、实现VPN应用。
实验步骤如下:
1、下载好ISA2006破解版刻录好,在windows2003server上安装。指定内网为10.0.0.1-10.255.255.255。
2、在ISA服务器上配置了双网卡,网卡1配置的内网地址为10.0.1.1,网卡2配置公网地址221.4.145.33。然后找了台2层交换机接入网卡1。交换机内部各端口都采用默认VLAN1。
3、ISA防火墙默认设置是不允许内网访问公网,并且一切协议以及应用都是Deny的,所以,需要某些应用的话都要在防火墙上设置策略。

4、本次试验如下拓扑图:

5、做好以上配置以后,在如下图防火墙策略处添加一条内网访问公网的策略访问公网:

此规则应用到:所有出站通讯->此规则应用于来自这些源的通讯:内部->此规则应用于发送到这些目标的通讯:外部->此规则应用于来自下列用户集的请求:所有用户。点击应用,然后刷新策略。如上图所示在内网PC上配置IP地址:10.0.1.2,发现内网PC可以访问外网了。

6、但是发现内网ping不通网关ISA:10.0.1.1,原来是服务器默认内网全部禁ping,远程连接不了,于是做条防火墙策略ping,做法类似于上面的访问公网的策略如下图:

因为远程连接mstsc应用的协议为RDP,所以为了远程控制方便加入RDP协议。
现在测试内网PC机可以ping通ISA服务器,且可以远程桌面连接:


7、现配置内网DHCP自动分配IP地址,其实这一策略在步骤6里已经提前配置在里面了,就是允许DHCP(答复)、DHCP(请求),然后源应用到内部主机、内部,目标到内部主机、内部即可。注意本实验做的DHCP服务器也是做在ISA2006服务器之上的。如下图所示DHCP已经可以自动分配内网IP地址了:

目前的整体配置如下图所示:


8、下面做VPN应用,如下图所示,点击虚拟专用网路(VPN)->点击右边启用VPN客户端访问->指定windows用户,添加windows下的组HelpServicesGroup,允许此组进行VPN账户认证,还可以用radius认证的,但是今天时间来不及,就没有具体应用。



建立VPN客户端用DHCP服务器进行IP地址自动分配规则,规则建立类似于步骤6。同时如下图所示的配置地址分配方法选用DHCP自动分配。

在VPN客户端建立虚拟拨号,虚拟拨号服务器地址设置为ISA2006公网网卡的IP地址221.4.145.33即可。账号为系统的retaku密码为******。拨号成功。VPN建立成功。
  
再次使用VPN获取IP地址为静态地址池形式,VPN客户端获取的IP地址为:192.168.1.6

但是VPN客户端现在还是无法ping通10.0.1.3的内网PC,原来VPN获取的IP地址和10.0.1.3的内网PC不在同一网段,所以要在ISA2006上做一条路由,如下:

点击网络->新建->网络规则:

然后再ping可以ping通,测试连接成功:


具体实验文档还是下载附件看看吧。一些图片不好上传。


本次试验到此完毕。
下载文件 点击下载此文件
]]> http://www.fa12.com/article.asp?id=572 <![CDATA[cisco路由器如何改波特率?]]> admin@fa12.com(rtk) Tue,28 Apr 2009 09:08:07 +0800 http://www.fa12.com/default.asp?id=572 do you wish to change the configuration? y/n [n]: y (选择 yes)
enable "diagnostic mode"? y/n [n]: n (选择 no)
enable "use net in IP bcast address"? y/n [n]: n (选择 no)
disable "load rom after netboot fails"? y/n [n]: n (选择 no)
enable "use all zero broadcast"? y/n [n]: n (选择 no)
enable "break/abort has effect"? y/n [n]: n (选择 no)
enable "ignore system config info"? y/n [n]: n (选择 no)
change console baud rate? y/n [n]: y (选择 yes)
enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400
4 = 19200, 5 = 38400, 6 = 57600, 7 = 115200 [7]: 0 (选择 0,改回用标准速率速率9600的xmodem传输)
change the boot characteristics? y/n [n]: n (选择 no)


Configuration Summary
enabled are:
load rom after netboot fails
console baud: 9600
boot: image specified by the boot system commands
or default to: cisco2-C2600

do you wish to change the configuration? y/n [n]: n

You must reset or power cycle for new config to take effect
rommon 2 >



然后敲入
rommon 2 >reset
( 最好关电源)]]> http://www.fa12.com/article.asp?id=571 <![CDATA[恢复CISCO的FLASH方法]]> admin@fa12.com(rtk) Sun,26 Apr 2009 19:28:26 +0800 http://www.fa12.com/default.asp?id=571   本篇主要介绍通过Xmodem上传IOS的过程(以2610为例,不过这个方法用在其他设备上没什么太大区别)
  准备工作,只要有Cisco原配的线缆就可以(注:Xmodem与实际的modem没有任何联系 只是一个传输协议 数据是通过终端的串口(http://www.fa12.com)和路由器的Console口灌进去的)
  
  在没有IOS的情况下 系统只能进入Rommon状态,在这个状态下只能见到如下命令:
  rommon 8 > ?
  alias set and display aliases command
  boot boot up an external process
  break set/show/clear the breakpoint
  confreg configuration register utility
  cont continue executing a downloaded image
  context display the context of a loaded image
  cookie display contents of cookie PROM in hex
  dev list the device table
  dir list files in file system
  dis display instruction stream
  dnld serial download a program module
  frame print out a selected stack frame
  help monitor builtin command help
  history monitor command history
  meminfo main memory information
  repeat repeat a monitor command
  reset system reset
  set display the monitor variables
  stack produce a stack trace
  sync write monitor environment to NVRAM
  sysret print out info from last system return
  tftpdnld tftp image download
  unalias unset an alias
  unset unset a monitor variable
  xmodem x/ymodem image download
  
    首先要启用Xmodem,命令xmodem -r  
    在这个模式下,输入Xmodem
  
  rommon 9 >xmodem -r
    rommon 9 > xmodem
  
  会提示如下警告:
  WARNING: All existing data in bootflash will be lost!
  Invoke this application only for disaster recovery.
  Do you wish to continue? y/n [n]: y
  Ready to receive file ? ...
  
  然后在超级终端的传送栏目=> 选择发送选项 => 再选择Xmodem 并指明IOS所在的路径即开始上传IOS,等待时间很长,视IOS的大小和传输速度。对于初次做IOS上传,建议不要去修改什么传输速率。传完以后 对整个系统初始化 界面如下:
  
  Erasing flash at 0x603c0000
  program flash location 0x602f0000
  Download Complete!
  program load complete, entry point: 0x80008000, size: 0x2f0074
  Self decompressing the image : #################################################
  ################################################################################
  ################################################################################
  ################################################################# [OK]
  
  Restricted Rights Legend
  
  Use, duplication, or disclosure by the Government is
  subject to restrictions as set forth in subparagraph
  © of the Commercial Computer Software - Restricted
  Rights clause at FAR sec. 52.227-19 and subparagraph
  © (1) (ii) of the Rights in Technical Data and Computer
  Software clause at DFARS sec. 252.227-7013.
  
  cisco Systems, Inc.
  170 West Tasman Drive
  San Jose, California 95134-1706
  
  
  
  Cisco Internetwork Operating System Software
  IOS ™ C2600 Software (C2600-I-M), Version 11.3(6)T, RELEASE SOFTWARE (fc1)
  Copyright © 1986-1998 by cisco Systems, Inc.
  Compiled Tue 06-Oct-98 18:42 by ccai
  Image text-base: 0x80008084, data-base: 0x80554578
  
  cisco 2610 (MPC860) processor (revision 0x202) with 12288K/4096K bytes of memory
  .
  Processor board ID JAB0233005Z (3677578902)
  M860 processor: part number 0, mask 32
  Bridging software.
  X.25 software, Version 3.0.0.
  1 Ethernet/IEEE 802.3 interface(s)
  1 Serial network interface(s)
  32K bytes of non-volatile configuration memory.
  4096K bytes of processor board System flash (Read/Write)
]]> http://www.fa12.com/article.asp?id=555 <![CDATA[m2m平台]]> admin@fa12.com(rtk) Mon,16 Mar 2009 15:13:42 +0800 http://www.fa12.com/default.asp?id=555   预计未来用于人对人通信的终端可能仅占整个终端市场的1/3,而更大数量的通信是机器对机器(M2M)通信业务。事实上,目前机器的数量至少是人类数量的4倍,因此M2M具有巨大的市场潜力。
  M2M的潜在市场不仅限于通信业。由于M2M是无线通信和信息技术的整合,它可用于双向通信,如远距离收集信息、设置参数和发送指令,因此M2M技术可有不同的应用方案,如安全监测、自动售货机、货物跟踪等。
  在M2M中,GSM/GPRS/UMTS是主要的远距离连接技术,其近距离连接技术主要有802.11b/g、BlueTooth、Zigbee、RFID和UWB。此外,还有一些其他技术,如XML和Corba,以及基于GPS、无线终端和网络的位置服务技术。
   M2M应用:
  不远处有一家医院,新生儿病房很早就让一些早产儿出院了。不过即使离开医院,医生依然可以实时监控这些早产儿的状况。医生们在婴儿脚部安装了监控器,获得的数据通过移动通信网络传输给医生。显然,这种系统无论在人性化方面还是在节省社会资源方面,都有非常大的优势。医院每天大概要为每个婴儿花费15 000瑞典克郎,而且还占用了非常有限的医疗资源。如果能在确保安全的情况下,让婴儿早日出院,就可以把资源用于其他重要项目上。
        中国电信M2M(机器对机器,MachinetoMachine)平台已基本建设完成,下一步的工作是将该平台的计费系统接入中国电信综合业务管理平台。

    中国电信M2M平台于2007年底开始建设,是为解决端到端的数据采集、管理与转发等问题而提出的解决方案。

  由于M2M是行业信息化、信息化促进工业化发展领域极为重要的一环,无论运营商、系统集成商还是方案提供商对这一领域都相当重视,近一两年,几方已经合(http://www.fa12.com)作在国内初步推出了相应业务,如视频监控、远程勘察、指挥调度等。

  但目前运营商面临的问题是,尽管M2M业务在国内逐渐铺开,却并不能为其带来较大价值。“在现有的M2M业务中,运营商的作用仅是为用户提供号码和数据资费套餐,仍然只是‘通道’角色,对价值链影响较小。”中国电信广州研究院戴国平表示。其中的瓶颈即在于运营商无法管理终端和数据。

  “M2M平台的使用将改变这一状况。”戴国平表示。据介绍,该平台可以接入多种终端、多种系统,并提供远程管理、运行监控、告警管理、协议适配、行业服务器接入、业务数据透明传输、行业ADC应用等综合服务功能,为运营商发挥更大作用创造可能。

  目前该平台已可以控制二级终端。“举例来说,一个接入该平台的自组网网关就是一个一级终端,而该自组网内的手机、计算机、机器设备等都同属二级终端。通过M2M平台,我们不仅可以对自组网网关这样的一级终端进行管理,还可以管理手机、计算机等二级终端。”

  据了解,在拥有了支撑和管理平台之后,中国电信还将更深地介入M2M应用提供,在最初的数据采集点选择和自组网布控上都会参与进来。

  目前就M2M平台,中国电信已经申请了10项国家专利,其中就包括该平台的设计思想、架构等项目。

  推动终端接口标准统一

  目前M2M业务发展中存在的主要问题是,由于各行业应用特点及用户需求不同,国内暂未有针对远程数据采集及监控的统一技术标准,行业终端厂商和集成商面向不同的M2M应用,每次都需进行重新开发和集成,大大增加了人力和时间成本。而此次中国电信开发的M2M平台由于可为各种数据采集业务提供统一的支撑,且基于开放式架构设计,可以在应用平台层面,从一定程度上解决这一问题;但更多标准统一的工作还需要M2M业务领域各企业共同推动。

  “由于具备随时随地接入网络的能力,运营商提供M2M应用服务具有天然的优势,因此,运营商也应在推动技术标准统一中发挥主导作用。”一些业内观点认为。

  在2008北京国际信息通信展上,中国电信的一款“智能家居”应用引起了许多关注,这一应用正是中国电信将试点推广的典型M2M业务之一。通过这一应用,中国电信已开始为统一终端接口标准而行动。

  据了解,在“智能家居”应用上,中国电信与“广联”(即广东数字家庭产业联盟)达成合作,共同促使家电企业统一终端接口标准。“广联”最初由原广东省(http://www.fa12.com)信息产业厅等单位发起,据称可兼容闪联、e家佳的标准联盟,是目前涵盖范围最广泛的数字家庭标准联盟;同时,由于广东拥有国内诸多领先家电厂商,“广联”也自然地联合了众多家电厂商,因此中国电信最终选择与其合作。

  在这项接口标准统一工作中,中国电信主要负责制订家庭网关到远程控制平台、家庭网关与采集设备间以及流程转换等接口标准规范。与“广联”合作的接口标准统一工作也将是中国电信的一个试点,如果成功,中国电信还将逐渐在其他一些行业终端领域推动标准工作。

        互联网及电子技术发展给我们人类带来很大的方便。
]]> http://www.fa12.com/article.asp?id=554 <![CDATA[IP PBX]]> admin@fa12.com(rtk) Mon,16 Mar 2009 10:53:47 +0800 http://www.fa12.com/default.asp?id=554   IP PBX电话交换机系统实现计算机网与电话交换机的功能合一,将会在二十一世纪的通信业中起着重要的作用。IP PBX网络系统内各电话终端采用IP方式进行数据通信,不仅能进行通话,还能实现文本、数据、图像的传输,将电话网和计算机网统一成一个整体,实现局域网内的电子办公。特别是在远距离协作商务、电子办公中将会充分发挥其强大的资源优势,为商业合作、工作重组带来便捷。IP PBX局域网内的控制中心可根据局内外的具体情况,对计算机网络、电话网络进行有效地管理,达到资源共享。不同地区的IP PBX网间借助Internet网,可实现远距离通信、电子办公和电子商务。 传统的PBX利用电路交换的原理来实现集团电话的功能,而IP PBX则使用了TCP/IP协议,利用包交换的原理,在以太网上实现了相同的功能。图1显示了一个典型的IP PBX应用环境拓扑图,其中IP PBX套件包含了一个集中控制台软件、一个支持H.323协议的PSTN网关和多个以太网电话,以及可选的反向网关(Reverse Gateway)。控制台软件是IP PBX的核心部分,它可以配置电话的分机号码(Extension Number)、功能按钮以及通话管理和路由策略;PSTN网关用来实现IP网络和传统电路交换电话网的通信,完成异种网络的电话呼入和呼出;反向网关用来为传统的模拟电话和传真机服务。
  当用户拿起电话呼叫另一方时,系统自动将拨号字串和命令传向控制台软件,由它来定位被叫方的地址并受理呼叫申请。一旦呼叫建立起来,后续的语音流量就可以直接在主叫和被叫间传输,不必再经过控制台,有效地减少了时延。
  在网络中的H.323客户端(如Netmeeting用户)同样可以和其它电话进行通话,在建立连接前,它需要拨打对方的分机号码,到达控制台后再建立连接。若对方占线,可以回传一个忙音信号或者直接把呼叫转移到被叫方的语音信箱,具体得看对方的设置情况。
  IP PBX还可仿真电路交换,从IP网络中拨打电话到传统的电话网络之中。 IP PBX的基本特点
  由于IP PBX建立在一个开放的IP标准上,所有的产品都遵循相同标准,互通性强,而传统的PBX含有各个厂家的专用技术,产品之间互通性、兼容性较差。故采用IP PBX可以大大节省以前使用传统产品时维护专有设备的费用。
  IP PBX的扩展性能好,当需要在已有的PBX上扩充多个分支电话时,老的PBX设备大多不支持这种扩充,必须换掉内部模块,这是一笔不小的开销,而若采用IP PBX,只要用一半左右的钱就够了。而且IP PBX能直接使用便宜的普通模拟电话,不像传统PBX需要配备昂贵的专用数字电话。IP PBX还有一个非常吸引人的优点是,它可利用其VoIP功能用市话价格拨打长途电话,极大地节省了长途通信费用。 IP PBX发展的难点
  IP PBX将会在未来通信领域大行其道吗?不一定。道理很简单,尽管以IP为基础的通信设备前景看好,但以PBX形式出现的产品不一定被看好。在VoIP领域,可以想到的实现方式太多了,以致于从1993年出现CT(计算机电话)概念后,各式各样的技术层出不穷。到现在为止人们还没有就CT、IP Phone、Internet Phone以及Net Phone等概念进行统一,VoIP所需要的产品技术标准也难以统一。所以,尽管IP PBX与传统的PBX相比有许多优势,但由于其技术基础与PBX不同而不好直接比较。这样IP PBX就面临两方面的压力:一是普通PBX的抵制,二是IP通信领域其他新技术和新设备的竞争。比如,3JET公司生产的基于IP寻址传输和PBX/PSTN端交换的NTS(网络电话服务器),可能比IP PBX具有更好的市场适应性。 IP PBX的发展方向
  尽管IP PBX在发展中遇到很多问题,但是IP PBX还是顽强地出现在我们面前,我们相信他能够成为服务于大众的优秀产品。因此,有必要探讨IP PBX今后的市场热点在那里,这将是IP PBX体现其生命力的最好途径。 IP PBX是构建新一代呼叫中心的理想平台
  呼叫中心发展到CTI Server模式已经过了三个阶段:(1)单一的PBX及人工坐席;(2)PBX及计算机辅助的人工坐席;(3)PBX通过CT Server与计算机网络综合。通过对呼叫中心的发展,不难看到,呼叫中心发展趋势具有服务对象和服务手段多元化、计算机技术应用的深入和一体化等特点。因此,在新一代呼叫中心发展(不妨称之为“第四代呼叫中心”)中至少必须解决以下一些问题:(1)能为来自Internet(拨号上网或WWW)、Fax、Telephone等的用户提供服务;(2)能降低成本,使中小型用户也能拥有自己的呼叫中心;(3)能提供更多、更好的性能;(4)应具有呼叫中心之间的联网功能,进行呼叫中心之间资源的有效调配。采用IP PBX作为平台的呼叫中心完全解决了上述问题。IP PBX产品具有更高的性能价格比,它必将给呼叫中心带来更多的市场契机。很多人传统地认为CTI=C+T,特别是熟悉呼叫中心的人都认为CT Server扮演着一个加号的角色,认为CTI虽然提高了呼叫中心的性能,同时也增加了其运营的成本。IP PBX毫无疑问是CTI的又一次发展,它不再是两网简单的相加,而是彻底去掉了一套昂贵的PBX网络及两网连接设备,电话网络仅成为服务对象接入的一个手段,这种系统结构的设计使得呼叫中心的成本至少降低了30%,同时由于开放的IP PBX能够提供许多功能,使得呼叫中心的性能价格比得到极大提高。 IP PBX是构建未来综合信息系统的有效方式
  90年代初,互联网商业化的普及成功并由此引起的生活和商业方式的革命性变革直接导致了两个爆炸性增长:上网人数和各种各样的Web网站。互联网世界的摩尔定律由芯片时代的18个月缩短为半年,每半年主要ISP的互联网骨干链路的带宽就要增长一倍。另一方面,新的商业模式不断出现,人们已不满足于单一数据或是文本文件的传输。对图像、声音、视频的传输要求加剧了对带宽的需求。TCP/IP协议的产生使传统电信业务和网络数据业务的综合统一成为可能。所以,近年来世界各大电信公司纷纷进行战略重组,采用高速宽带IP交换路由技术构筑电信业务网络,业内人士对宽带网的传输速率约定俗成的定义是至少应达到2Gb/s。在这样一个宽带网络中,许多业务可以有效地进行融合,各种业务可以通过有限的接口接入到这一网络中,这就是大家所追求的综合信息网络。IP PBX并附加上MCU的功能将是构建这一网络有效交换节点的方式之一,特别适合于中、小网络系统的构建。 IP PBX可取代部分集团电话系统
  IP PBX能够为集团用户提供全面的网络和语音解决方案,可以满足保持企业持续运作和蓬勃发展的全方位需求。从复杂的呼叫控制和呼叫中心能力,到集成的语音邮件和计算机/电话集成;从呼叫者身份识别到多重、多级自动值机员,到终端话机的轻松添加、移动和改变;从局域网和广域网(LAN/WAN),到Internet的连接能力。使企业能够以经济、可管理的方式获得所有功能。IP PBX通信系统最优异的特性应该是其灵活性。它适应企业运营的方式。 IP PBX将是信息网络接入商的热点产品
  由于IP PBX产品系统可以将现有的信息网络(LAN/WAN)和话音技术有效地结合在一起,因此,该产品对于一些新电信运营商来说是一个首选的产品。特别是在开放的二级运营商市场,该类运营商将首选网络接入市场,IP PBX对于他们来说应是较好的一种产品。特别应指出的是,IP PBX系统的对外接口可以对PSTN网络,同时还可以直接对IP电话网络系统(http://www.fa12.com),一网多能,适合未来发展。 IP PBX产品
  IP PBX的系统平台也有两种常见的选择,一种是采用嵌入式操作系统,把整个系统固定在一个专用的盒子中。这种结构的特点是稳定性好,一般不会出故障,但相应的扩展性能较差。这种产品的代表是3COM公司的NBX100和ShoreLine公司的Crysta LAN;另外一种是基于Windows NT平台的CTI技术。但令人遗憾的是,Windows NT的稳定性一直受到怀疑,事实上这些产品的确有时发生莫名其妙的崩溃。所以对于政府、银行以及证券等关键应用部门,解决系统可靠性的方法是采用备份技术,即利用互为备份的两个IP PBX来工作。表1给出了目前市场上IP PBX的主要产品类型。
  从表1可以看出,不仅计算机网络厂商推出了IP PBX,传统的通信厂商如Lucent、Siemens也加入了这个行列。因为通信厂商已经看出了发展的趋势。IP PBX从工作模式上可以分三类,Cisco等产品是直接通过局域网利用IP电话接到桌面;Altigen等产品则是在接到桌面前的最后一步利用了普通电话网;Phonet和Touchwave的产品可以工作于以上两种模式。由于工作于开放的操作系统之上,故第三方应用开发商已经开发了许多标准CTI应用的API,供程序员使用,综合型的CTI产品也已出现。
  在选择IP PBX时应首先分清产品工作的模式,看究竟是用普通电话接入还是用LAN接入,不同的应用对于可靠性有很大的影响,还应关注系统是采用嵌入式操作系统还是通用的NT系统,对于不同操作系统的应用,它们适用的范围也各不相同;其次,应考察系统对于CTI和VoIP的支持如何,是否支持语音邮件,能否向传统的PSTN电话网络拨号,以及对工业标准的支持情况,第三方开发的软件是否能正确地运行于其上;最后,当然是看价格的情况了。但对于那些有许多分支机构且距离遥远的商业企业,如果希望能有很强的CTI功能时,选用IP PBX将会带来很多好处。
  新兴的IP PBX和CTI可以很好地结合,许多产品都支持Microsoft的TAPI(电话应用程序编程接口)标准,能与一些CTI应用实现无缝连接,实现呼叫控制以及呼叫中心的功能。 中国普天ISIN101 IP PBX系统介绍
  由中国普天公司自行开发的ISIN101 IP PBX交换机系统填补了国内该项产品的空白。该系统提供Web操作界面,除实现多用户呼入(Multiple calls per line appearance)、一终端多号码(Multiple line appearances per phone)、多终端共用一号码等方式的通话功能外,具有丰富的语音信箱功能;方便快捷的文本、数据、图像和视频传输(http://www.fa12.com)功能;电话呼入、呼出权限设置功能;浏览、查询、费率设置功能;电话号码与IP地址的映射、呼入呼出鉴权、电话端口管理、产生原始话单等功能。其一机两码功能综合了交换机和计算机的优点,系统将设置为连选的电话端口分发两个号码,同一个连选组的用户不仅具有一个相同号码,而且象普通电话一样均有一个自己的号码。那些按部门进行管理的企业用户将成为最大的受益者。该系统还支持传真、内线视频电话,操作界面友好、使用方便、性能稳定,具有投资少、成本低、联网快、见效快的特点,可面向各种不同类型的用户。ISIN101 IP PBX系统的结构如图2所示。
  ISIN101 IP PBX交换机系统充分利用了计算机网络的强大功能,使原来交换机和话机中有限的功能无限扩展,大大地拓宽了应用领域,适用于PBX的用户、计算机用户、企业用户以及呼叫中心用户。
  企业用户将在计算机网络的文本、数据共享的基础上,综合电话应用技术实现信息和设备资源的共享,在一个通用平台上直接接入话音、传真或视频信息,甚至通过寻呼等其它个人通信手段,对外出的公司成员进行有效的管理。
]]> http://www.fa12.com/article.asp?id=544 <![CDATA[三层VPN与二层VPN ]]> admin@fa12.com(rtk) Mon,02 Mar 2009 17:12:25 +0800 http://www.fa12.com/default.asp?id=544


第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。三层隧道协议并非是一种很新的技术,早已出现的 RFC 1701 Generic Routing Encapsulation(GRE)协议就是个三层隧道协议。新出来的 IETF 的 IP 层加密标准协议 IPSec 协议也是个三层隧道协议。



MPLS VPN也分为二层MPLS VPN与三层MPLS VPN(MPLS L3 VPN)。三层MPLS VPN基于IETF RFC2547bis标准,而二层MPLS VPN是指IETF Draft Kompella或IETF Draft Martini

由于发展的时间较长,三层MPLS VPN协议本身相对完善一些。但是,三层MPLS VPN由于实现机制的问题,其网络的运营管理和维护,以及运营商边界路由器需要存储大量的客户路由信息引发的网络扩展性问题,要求必须对其实施进行很好地规划。

对于三层MPLS VPN来说,由于路由协议和信令协议的限制,面前只支持纯IP的业务,而二层MPLS VPN的解决方案由于采用二层的透传技术,对于客户侧的很多三层协议是透明的,这些协议包括:IPv4、IPv6、IPX、DECnet、OSI、SNA等。

相对于L3来说,L2对于用户业务类型的要求限制要少一些。尤其,现在很多的组织已经或者正在准备开始使用IPv6,将来也会有很多的企业向IPv6迁移。对于运营商来说,如何为这部分企业用户提供VPN的连接业务是现实面临的问题。

对于三层MPLS VPN来说,需要对目前IPv4的路由技术和对目前M-BGP的功能进行增强,生成一个新的VPNIPv6的address family。其间,还会涉及到对运营商边界路由器软件或者硬件上的升级。对于二层MPLS VPN来说,可以继续地为这些企业用户提供VPN的业务。

与三层MPLS VPN的解决方案比较,二层MPLS VPN可以提供更好的网络扩展性,更适合在大型的VPN网络中使用,特别是在多级运营商或者运营商的多级网络环境中(Carrier Support Carrier)。

二层MPLS VPN的特性,也使其可以很容易地实现目前困扰三层MPLS VPN的很多技术,比如说网络的组播。可以说,二层MPLS VPN的出现,是MPLS VPN技术的一个新亮点,随着其协议的成熟和标准的确定,二层MPLS VPN将成为MPLS VPN的主流技术。

二层MPLS VPN技术可以实现帧中继、ATM、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务以及多种二层链路技术的互通,运营商和客户之间的责任明确,运营模式清晰,是迈向IP/MPLS全业务网的关键一步,它可以实现真正意义上的多网合一。

不过,就目前来说,二层MPLS VPN面临的最大问题就是协议不成熟,没有标准化。目前设备厂家间解决方案种类繁多,大多数的设备只实现了协议定义的基本功能,还不具备全业务支持的能力,各种解决方案之间也无法实现互通。

二层MPLS VPN协议本身的不完善也是制约其应用的一个重要因素,目前大多数的二层MPLS VPN的配置过程都需要进行大量的手工配置,不适合组建大规模的网络。
]]> http://www.fa12.com/article.asp?id=525 <![CDATA[小型企业组网方案(某公司组网初步方案)]]> admin@fa12.com(rtk) Sun,01 Feb 2009 08:57:51 +0800 http://www.fa12.com/default.asp?id=525 某某公司是全球领先的***技术项目,项目以开发***为目标,是国内第一个***生产线,填补了国内新一代***技术的空白。生产线*******和**方面合作,**公司负责开发,拥有完全的核心专利,所以其组网安全要求非常高。
二、    需求分析
当前公司拥有一座集办公和生产于一体的两层综合楼,本次组网方案只针对这座综合楼。
1、    性能要求:
局域网骨干网络采用1000Mbps以太网形式,桌面信息点连接带宽达到交换10/100Mbps;网络核心及二级设备都支持IPV6技术的应用。
2、    应用需求:
高质量的信息网络,除了用于基本的办公、科研、管理、情报资料检索外,还担任着网内外信息交流、电子邮件、BBS公告、新闻设计、公共网络(Internet、Cernet)等任务。因此,在网络上传输的信息不仅仅是数字、文字和图形,随着应用水平的提高,将逐步增加语音、活动图像及视频图像等高带宽的应用。
3、    安全需求:
要求内外网隔离,技术部门等少数机器可以与互联网进行互联,其余内网机器也外网隔离,要求要有高性能的防火墙进行安全隔离,并能有效隔离各子网之间未经授权的相互访问,杜绝内部网蠕虫病毒以及垃圾邮件的泛滥。
4、    网络管理需求:
建成的网络要求可进行集中式、可视化图形管理,可发现网络拓扑,网络管理员可及时发现网络故障点并予以排除,可依据探测到的MAC地址来确定相应的用户,并可及时隔离非法访问用户,以保证整个网络高效、安全、可靠的运转。
组网需求分析:
结合以上用户应用的需求分析,分析用户的网络需求如下:
1、多层分布式网络结构可保证整个网络(http://www.fa12.com)的高性能运行。
2、VLAN技术的应用,一方面保证了网络相对于重要数据的内部安全性,另一方面,VLAN减少了整个网络的广播域,从而提升了网络的整体性能。
3、基于网络设备的管理功能,使得网络管理员利用一台计算机、一个IP地址即可对整个网络进行集中式管理、维护。
5、    硬件防火墙及安全网关的应用,保证了网络对外的高安全性。
三、    网络建设原则
设计及实施应充分遵循一下原则
1、采用标准、开放的网络技术
整个网络系统在结构上实现真正开放,全部采用或符合有关国际标准,使网络具有良好的开放性和兼容性。开放的系统可以使用户自由地选择不同的计算机、服务器及操作系统,构成真正的跨软硬件平台的系统。网络的设计基于国际标准,网络设备采用标准的接口和规范的协议,满足用户的不同需求并充分利用软硬件资源,有效地保护用户投资的长期效益。
2、网络可扩充性
因为目前的网络方案是基于满足当前需求的,随着用户应用规模的不断扩大,网络应可以方便地进行扩充容量以支持更多的用户和应用;随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。为了保护用户的投资,本方案中的网络设备在将来网络升级或再投资的情况下,能够随时通过增加网络设备或模块来对现有设备进行升级和扩充,并能把替换下来的设备应用到分支或边缘网络上。本方案充分考虑到未来网络升级的平稳衔接,保证网络通讯介质、网络设计核心的向后兼容性。
3、网络的可管理性
良好的组织和管理对网络的正常运转和高效使用有很大帮助,网络应该能够提供方便、灵活、有力的工具对网络进行集中式的有效管理和控制。方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。
4、    网络的安全性
保证网络系统的安全运行是网络设计的一个重要环节,网络安全是保证系统安全运行的重要基础,因此,在本方案中内部网与外部网之间建立安全控制机制。为了保护网络上数据的安全性,必须提供多种方式和层次的访问控制、VLAN、包过滤、入侵检测及硬件防火墙等技术来保证网络系统的安全性。
四、    技术方案设计
1、    总体结构框架
我们在充分按照网络设计原则的基础上,考虑到组网费用,结合我们多年组网经验,建议公司核心设备由华为Quidway S3528EA系列交换机组成,接入设备由华为Quidway S2403系列交换机组成,防火墙采用华为Quidway Eudemon 100E。
2、    网络拓扑结构图

3、    网络设计说明
核心设备由一台华为Quidway S3528EA交换机与一台华为Quidway Eudemon 100E组成,位于综合楼核心机房内,两台设备都采用最基本硬件配置,S3528EA提供24可用端口。7台华为Quidway S2403交换机分别位于核心机房或者部分距离较远的办公点处,每台提供24个可用端口。所有设备之间均采用以太网线链接,其中S3528EA与S2403之间采用(http://www.fa12.com)双以太网线连接形成冷备份防止其中一根故障影响用户的使用。客户自己建设的WEB服务器,文件服务器,FTP服务器等可放置于核心机房内。
现把根据具体部门需求划分9个VLAN,技术部、财务部、生产部、管理层、网管用、网络打印机、服务器、S3528EA与防火墙接口、视频监控用各一个VLAN,用防火墙和ACL控制各部门访问权限,可以配置网络打印机。
其中VLAN规划如下:
VLAN2:172.27.1.1/24    网络管理设备用
VLAN3:172.27.2.1/24    管理层PC用
VLAN4:172.27.3.1/24    财务部PC用
VLAN5:172.27.4.1/24    技术部PC用
VLAN6:172.27.5.1/24    生产部PC用
VLAN7:172.27.6.1/24    服务器用
VLAN8:172.27.7.1/24    网络打印机用
VLAN9:172.27.0.1/24    防火墙与S3528EA互联用
VLAN10:172.27.8.1/24   视频监控用
其中可以根据需要在防火墙处做其中几段地址的NAT,其余都可以与外网隔离,实现安全需要。
五、    设备介绍
1、    华为Quidway S3528EA:
Quidway® S3500EA系列运营级园区交换机(以下简称S3500EA)是华为公司为满足城域网电信级业务接入和精细化运营需求而推出的运营级以太网交换机。该系列交换机提供毫秒级的链路保护能力、基于VLAN的业务控制能力、跨VLAN组播复制能力、IPv4/IPv6网络平滑升级能力,以及链路故障检测和网络性能监控能力,这些特点满足了运营级以太网对网络可靠性、可运营、可管理、可扩展的需求。
    S3500EA系列电信级园区交换机包含型号为:S3528P-EA、S3528F-EA、S3552P-EA、S3552F-EA。

•    S3528P-EA/S3552P-EA:24/48个10Base-T/100Base-TX以太网端口及4个SFP接口,支持220V交流供电或-48V直流供电。
•    S3528F-EA:24个100BASE-FX接口、2个 10/100/1000BASE-TX接口和2个SFP接口,支持220V交流供电或-48V直流供电。
•    S3552F-EA:6个模块插槽,可选配8端口百兆单、多模模块和10Base-T/100Base-TX模块,整机最大提供48个百兆单、多模光接口、4个SFP接口。支持220V交流供电或-48V直流供电。
电信级可靠性
S3500EA支持RRPP(Rapid Ring Protect Protocol,快速环网保护协议),在链路故障情况下,能提供毫秒级的链路保护能力,有效提高接入网可靠性。
S3500EA支持STP/RSTP/MSTP协议,支持VRRP虚拟路由冗余协议,支持ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。支持策略路由,能基于流分类ACL规则提供客户化路由判定。
基于VLAN的业务控制
S3500EA提供基于VLAN的流限速功能,能根据不同业务、不同用户提供不同带宽保障,满足网络精细化运营需求;支持基于VLAN的ACL规则,能根据不同业务和用户下发ACL规则,保障高优先级业务和用户的安全需求;支持基于VLAN的流量统计功能,能统计每用户、每业务所消耗的带宽,为运营商按流量计费提供便利。
S3500EA支持灵活QinQ功能,可以根据内层VLAN tag灵活标记外层VLAN tag,满足城域接入网一般建设需求。
S3500EA支持策略QinQ功能,可以根据丰富的流分类策略,包括VLAN tag、MAC地址、IP协议、源地址、目的地址、优先级、或端口号等,灵活标记外层VLAN tag,弥补了传统灵活QinQ的不足,更好的满足了城域接入网不同业务分类和分流的建设需求。
完善组播支持
S3500EA支持大容量组播路由和强组播复制能力,非常适合作为园区组播复制点和控制点。S3500EA支持丰富的组播协议IGMP v1/v2/v3 Snooping 、IGMP Snooping Filter、IGMP Snooping Fast-Leave、IGMP v1/v2/v3、 PIM-DM、 PIM-SM、PIM-SSM、MSDP,支持组播静态路由、组播组静态加入,能实现二层组网模式下的跨VLAN组播复制。S3500EA同时支持IPv4和IPv6组播功能,为网络平滑升级提供保障。
丰富的QOS策略
S3500EA支持基于源MAC地址、目的MAC地址、源IPv4/IPv6地址、目的IPv4/IPv6地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类,充分保障了复杂网络对QoS的要求。
S3500EA支持基于流的流量限速、优先级标记或映射,能基于流来修改VLAN以及重定向到端口或下一跳,基于端口的流量整形。支持CAR功能,粒度最小达1K bps。
丰富IPv6特性
S3500EA硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道(包括手工Tunnel、6to4 Tunnel、ISATAP Tunnel、auto-Tunnel),三层线速转发。既可以用于纯IPv4或IPv6网络,也可以用于IPv4到IPv6共存的网络,组网方式灵活,充分满足当前园区网从IPv4向IPv6过渡的需求。

S3500EA支持丰富的IPv4/IPv6路由协议,包括静态路由、RIP、OSPF、ISIS、BGP4。支持IPv6的邻居发现协议(Neighbor Discovery Protocol,NDP),管理邻居节点的交互。支持PMTU发现(Path MTU Discovery)机制,可以找到从源端到目的端的路径上一个合适的MTU值,以便有效地利用网络资源并得到最佳的吞吐量。
便捷的管理和运维
S3500EA支持NQA,能探测DHCP、HTTP、SNMP服务是否可用以及服务的响应时间,检测网络的时延抖动,使运营商对网络现状清晰掌握。
S3500EA支持RSPAN远程端口镜像,突破传统镜像端口和被镜像端口必需同设备的限制;支持VCT虚电路检测,能自动发现链路故障。
S3500EA支持单纤双向模块,能实现单根光纤双向传输,解决光纤资源不足问题。
S3500EA支持基于出/入端口镜像、基于流的镜像以及远程端口镜像功能,可以实现统一监控检测, 使网络管理更方便。支持SNMP,支持CLI命令行,TELNET,HGMP集群管理,使设备管理更方便,并且支持SSH等加密方式,使得管理更加安全。
2、    华为Quidway S2403:
Quidway® S2000-EA系列运营级接入交换机(以下简称S2000-EA) 是华为公司为满足精细化运营需求而推出的运营级以太网接入交换机。S2000-EA支持强大的ACL功能,是楼道级安全智能接入交换机。S2000-EA支持NQA,使管理维护能力大大增强。S2000-EA支持QinQ、基于VLAN的业务控制和组播VLAN,可为用户提供丰富灵活的业务特性。S2000-EA在安全性、可运营、可管理和业务扩展能力方面都大大提高,是新一代的运营级楼道接入产品。  S2000-EA系列运营级接入交换机包括:S2008TP-EA、S2016TP-EA、S2403TP-EA。

S2403TP-EA
•    S2008TP-EA:8个10/100Base-TX以太网端口,1个100/1000BASE-X SFP或1个10/100/1000BASE-TX接口,支持220V交流供电或-48V直流供电。
•    S2016TP-EA:16个10/100Base-TX以太网端口,2个100/1000BASE-X SFP或2个10/100/1000BASE-TX接口,支持220V交流供电或-48V直流供电。
•    S2403TP-EA:24个10/100Base-TX以太网端口,2个100/1000BASE-X SFP或2个10/100/1000BASE-TX接口,支持220V交流供电或-48V直流供电。
产品特点
基于VLAN的业务控制
S2000-EA提供基于VLAN的流限速功能,能根据不同业务、不同用户提供不同带宽保障,更精确地限制流量占用带宽,满足网络精细化运营需求;支持基于VLAN 的ACL规则,能根据不同业务和用户下发ACL规则,保障高优先级业务和用户的安全需求;支持基于VLAN的流量统计功能,能统计每用户、每业务所消耗的带宽,为运营商按流量计费提供便利。
S2000-EA支持QinQ能将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLAN Tag穿越运营商的骨干网络。
完备的安全智能控制策略
S2000-EA支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类(ACL)功能,能根据用户特征进行报文过滤功能,提供端到端的病毒防护和防黑客攻击能力。
S2000-EA支持IP、MAC、Port的绑定,并能根据DHCP Snooping建立绑定规则,防止非法用户入侵。
S2000-EA支持端口限速功能,限速粒度可达64Kbps,防止恶意侵占网络带宽。
S2000-EA支持广播风暴抑制和MAC黑洞;支持同VLAN内端口隔离或互通;支持HWTACACS功能,充分保障运营商网络安全。
强大的业务能力
S2000-EA支持丰富二层组播协议IGMP Snoopingv1&v2&v3、IGMP Snooping Filter/Fast-Leave、支持组播vlan,能作为楼道组播复制点和控制点。
S2000-EA支持DHCP Snooping、DHCP Option82、DHCP Snooping Trust满足IPTV业务的运营需要。
S2000-EA支持单纤双向模块,能实现单根光纤双向传输,解决光纤资源不足问题。
便捷的管理和维护
S2000-EA支持NQA,能探测DHCP、HTTP、SNMP服务是否可用以及服务的响应时间,检测网络的时延抖动,使运营商对网络现状清晰掌握。
S2000-EA支持RSPAN远程端口镜像,突破传统镜像端口和被镜像端口必需同设备的限制;支持VCT虚电路检测和DLDP单向链路检测功能,能自动发现链路故障。
S2000-EA支持1:1或N:1镜像,能满足用户多点监控网络流量的需求。
S2000-EA支持SNMP V1/V2/V3,支持CLI命令行,TELNET,HGMP集群管理等多种方式,便于设备维护。
3、    华为Quidway Eudemon 100E
Quidway® Eudemon 100E、200S是华为公司推出的新一代硬件状态防火墙,基于华为专业的硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力,而且能够提供完善的虚拟专网(VPN)功能以及完备的地址转换(NAT)功能。为了更好地满足企业的实际需要,Eudemon 100E还支持丰富的多媒体协议、路由协议以及QoS特性,组网方式灵活多样,是中小型企业理想的网络安全防护设备。

产品特点

深度检测
Eudemon 100E、200S防火墙提供了ASPF(Application Specific Packet Filter),这是一种基于会话管理的深层过滤技术,它检查应用层协议信息并且监控基于连接的应用层协议状态。依靠这种基于报文内容的访问控制,Eudemon 100E、200S防火墙能够对应用层的攻击加以检测和防范,包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。
优异的攻击防范能力
Eudemon 100E、200S防火墙能高效防范多种常见攻击,如SYN FLOOD、UDP FLOOD、ICMP FLOOD、Land、Smurf、Fraggle、WinNuke、IP Spoofing、ICMP重定向、ICMP不可达、地址扫描、端口扫描等,并且具有蠕虫病毒流量的识别和防范能力,是中小型企业首选的DDoS防范设备。
完善的VPN网关特性
Eudemon 100E、200S防火墙提供L2TP、GRE、IPSec、L2TP Over IPSec等多种VPN组网方式,支持DES、3DES、AES标准加密算法,并率先实现了国密SCB2算法。采用华为公司研发的专用加解密芯片,性能卓越,结合华为公司全系列的VPN产品,能提供完整的VPN解决方案。
完备的NAT功能
Eudemon 100E、200S防火墙提供一对一、多对一、多对多的地址转换方式,并可以根据多种安全过滤策略进行地址转换,具备丰富的NAT功能。Eudemon 100E采用华为公司成熟稳定的SIP,H.323,RTSP等VOIP协议栈,完全支持视频会议、语音和视频电话等多媒体应用,另外可保证QQ、MSN、NetMeeting等即时通信软件正常工作。
专有的包过滤技术
Eudemon 100E、200S防火墙采用了华为公司专有的ACL加速算法,通过对安全规则的预编译,极大地提高了防火墙安全规则的查找效率,完全解决了业界常见的因安全规则增多导致防火墙转发性能下降的问题。
灵活的组网方式
Eudemon 100E、 200S防火墙支持路由模式(包括NAT模式)、透明模式以及混合模式。其中路由模式继承了华为公司VRP平台强大的路由功能,完全支持RIPv1/v2、OSPF、PIM-SM、PIM-DM等单多播路由协议;而透明模式可以在不改变原有网络拓扑的情况下提供完整的安全防护与NAT功能。另外Eudemon 100E、200S防火墙在路由模式和透明模式下均可支持active/slave、active/active 两种双机热备方式,保证能够适应多种网络需要。
六、    投资预算
本预算只针对网络所用设备,本预算只是一种大概的估算:
序号    名称    数量    投资分析    价格
1    S3528EA    1    估算    9000
2    S2403    7    估算    21000
3    Eudemon 100E    1    估算    20000
4    合计             50000

]]> http://www.fa12.com/article.asp?id=524 <![CDATA[网络组网时,路由器能否代替防火墙?]]> admin@fa12.com(rtk) Fri,30 Jan 2009 17:17:12 +0800 http://www.fa12.com/default.asp?id=524
防火墙已经成为企业网络建设中的一个关键组成部分。

但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。

一、两种设备产生和存在的背景不同

1、两种设备产生的根源不同

路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。

防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害(http://www.fa12.com)。

2、根本目的不同

路由器的根本目的是:保持网络和数据的“通”。

防火墙根本的的目的是:保证任何非允许的数据包“不通”。

二、核心技术的不同

Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。

一个最为简单的应用:企业内网的一台主机,通过路由器对(http://www.fa12.com)内网提供服务(假设提供服务的端口为tcp1455)。为了保证安全性,在路由器上需要配置成:外-〉内只允许client访问 server的tcp1455端口,其他拒绝。

针对现在的配置,存在的安全脆弱性如下:

1、IP地址欺骗(使连接非正常复位)

2、TCP欺骗(会话重放和劫持)

存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。

虽然,路由器的Lock-and-Key功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。

三、安全策略制定的复杂程度不同

路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。

防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。

四、对性能的影响不同

路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非(http://www.fa12.com)常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。

防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。

由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。

五、审计功能的强弱差异巨大

路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。

六、防范攻击的能力不同

对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:

·具有防火墙特性的路由器成本 > 防火墙 + 路由器

·具有防火墙特性的路由器功能 < 防火墙 + 路由器

·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器

综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!

即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
]]>