本文共 67613 字,大约阅读时间需要 225 分钟。
NETGEAR公司
成长型企业网络技术大全
2005年3月
NETGEAR公司
目录
1第一章 网络技术
1.1什么是网络?
网络由两台以上计算机连接组成,以实现相互通信。计算机和网络设备可以通过各种介质连接,包括电缆、电话线、电视电缆、光纤、无线电波、卫星或红外线。计算机网络一般可以分成以下三种类型:
• 局域网 (LAN)
• 广域网 (WAN)
• 城域网 (MAN)
1.1.1局域网 (LAN)
局域网覆盖的面积相对较小,如一个房间、一个楼层或一座大楼,是最基本的组网形式。用户可以通过局域网共享服务器、打印机、扫描仪和备份设备等硬件,共享和交换文件和程序,连接电子邮件、聊天和其它服务。局域网同时包括硬件部分和软件部分。简单的有线局域网由适配器和网线组成,适配器位于每个节点或PC上(通常采用内置方式),网线把每个节点连接到集线器或交换机上。线缆把节点相互连接起来,或把节点连接到一台集中式交换机上,可以支持100米以上的距离。光纤电缆在最远两公里上以高达10 Gbps的速度承载数据,在采用专用信令协议和光纤电缆时,可以支持更远的距离。
无线局域网或WLAN是采用无线电波作为载体的局域网,无线网络设备(如适配器)不使用线缆,而是包含发射机和接收机(收发机),代替有线连接。WLAN的工作速率可以高达108 Mbps,距接入点的最远距离可以达到100米,专用天线则可以提高工作范围。
接入点有时与其它功能结合在一起,如路由器、网关或交换机。最终,无线网络会采用网桥或路由技术,通过接入点连接到有线网络上。在布线困难或不可能布线的环境中,如历史建筑或教室中,WLAN是代替有线局域网的理想方案。WLAN安装成本较低,因为它只包括接入点和有线骨干网络,网络连接大部分通过空中实现。
1.1.1.1局域网的类型
有许多不同的特点决定着局域网类型:
拓扑结构:是指设备在网络上的几何排列。例如,设备可以以星形排列,每台设备都通过位于中央的设备连接;设备也可以以环形连接,每台设备都连接到下一台设备上。
协议:是指发送数据使用的规则和编码规范。协议也决定着网络是使用对等结构还是客户端-服务器结构。当前大多数局域网都运行TCP/IP和以太网协议。
介质:设备可以通过双绞线连接,通过同轴电缆连接,或通过光纤电缆连接。某些网络并没有把介质连接起来,而是通过无线电波进行通信。
大多数局域网仅限于有限的区域。但是,局域网可以使用电话线和无线电波,以几乎任意距离连接到其它局域网上。
1.1.1.2构成客户端/服务器局域网的7个组件
• PC或用户接口设备
• PC操作系统 (Windows, Linux, Unix, MacOS等等)
• 网络操作系统 (Windows NT等等)
• 连接介质 (线缆或无线)
• 网络服务器 (电子邮件服务器, 应用服务器, 存储服务器等等)
• 集线器或交换机
• 网卡 (有线或无线)
1.1.2广域网 (WAN)
广域网是覆盖的地域面积相对较大的数据通信网络,其通常使用公共载体提供的传输设施,如电话公司、卫星上连或越洋电缆。互联网就是一种广域网,但公司、政府机构或教育机构也可以有自己的专用广域网,许多大型企业都有自己的广域网,把各地办事处和总部的资源连接起来。虚拟专用网(VPN)技术使得各机构能够保持连接和数据的私密性,同时使用没有安全保护的公共网络,如互联网。
广域网非常复杂,部署广域网一般要求专用设备和培训。但对用户来说,广域网似乎与局域网或城域网差别不大。
1.1.3城域网 (MAN)
城域网把某个地理区域或地区内的用户和计算机资源连接起来,这个地理区域或地区要大于广泛的局域网覆盖的面积,但要小于城域网覆盖的区域,如城市或校区。通过把大型地理区域内的小型网络互连起来,可以简便地把信息分布到整个网络中。本地图书馆和政府机构通常使用城域网,把市民和民营行业连接起来。
例如,佛罗里达州Pasco县的MIND网络就是一个城域网,它通过专用电话线、同轴电缆和无线通信供应商,把Pasco县的所有传媒中心都连接到区办公室的集中式大型机上。
1.2构建网络
1.2.1设置无线局域网
网络设置非常简便,虽然不能说是即插即用,但可以说非常接近即插即用。对小型有线网络,计算一下想要连接的节点数量,包括PC、打印机和其它设备,然后购买一台10/100或10/100/1000 Mbps交换机,其端口数量要大于等于节点数量。几乎所有PC和苹果机都配有以太网有线网卡。把以太网电缆从PC连接到交换机上,在每台PC上配置网络控制面板,在需要时实现文件共享,这样就可以了。
为扩容有线网络
4 增加一台网络打印机:把一台打印服务器连接到交换机上,然后连接打印机。可以配置网络打印机,由所有用户共享网络打印机。
4 增加一台服务器:数据库或计费应用通常装在中央服务器上,由一个以上的人员使用。客户端-服务器网络还把文件存储在中央位置,因此可以更加简便地找到备份文件。服务器还可以提供其它网络服务,如收集和存储电子邮件、从客户端PC中检索文件进行备份、等等。简单地把服务器连接到交换机上,网络上任何人都可以存取服务器。
4 远程接入:在业务发展时,他们需要更多的地点。VPN技术使得各机构能够使用互联网,把多个地点的局域网安全地连接起来。在每个办公室的网关上使用一台VPN路由器,可以通过互联网为每个其它办公室提供一条安全链路。远程办公人员也可以使用VPN技术,实现到局域网的安全连接。通过在笔记本电脑或其它客户端设备上安装VPN客户端软件,这些用户可以通过互联网连接到办事处,并保持传输的所有数据的私密性。
4 连接到互联网服务供应商(ISP):增加一台路由器或网关,把局域网连接到互联网。对小型企业,这通常通过DSL或电缆实现,大型机构则可以使用专用T-1/E-1、WI-MAX或其它新兴宽带技术。在把局域网连接到互联网之前,一定要部署一台防火墙,防止未经授权的用户或程序从互联网接入局域网。
4 管理网络:网络管理软件可以帮助您最大限度地利用不断增长的网络。它可以告诉您每个端口上的业务流量,远程配置交换机,创建网络地图,在发生问题时发出警报,确定瓶颈。它甚至可以帮助预测发展趋势,如什么时候及在哪里需要增加更多的容量。
4 保护网络安全:在连接到互联网上时,保护局域网安全的基本组成部分是使用防火墙。这台设备可以防止互联网上的用户或应用接入局域网,除非获得专门允许。例如,防火墙可以配置成允许SMTP和Web业务通过防火墙,而对未经授权的用户存取文件、聊天或游戏等业务,则不允许通过防火墙。优秀的防火墙具有状态分组检测(SPI)和其它功能。NETGEAR提供了商业类路由器,具有内置VPN和防火墙功能。防病毒、防垃圾邮件和防间谍组件等软件也有助于保护局域网。
1.2.2在局域网中增加无线接入
无线局域网的设置几乎和有线网络一样简便。首先,检查台式电脑或笔记本电脑是否有内置WLAN接口。如果没有,考虑对台式电脑使用USB或PCI无线局域网网卡(NIC),对笔记本电脑使用PC卡。然后,如果已经有一台交换机或路由器,您需要增加一个接入点。如果网络上没有交换机或路由器,有两个方案可供选择:
1) 增加一台交换机或路由器和独立的接入点
2) 增加一台内置接入点的路由器
为扩容无线局域网:
4 增加一台网络打印机:把打印机直接连接到有线或无线打印服务器、路由器或交换机上。
4 增加一台服务器:与有线网络一样,在业务增长时,最好增加一台服务器。使用无线网卡,或使用电缆把它连接到局域网的有线部分。
4 连接ISP:增加一台路由器或一个网关,把WLAN连接到互联网上。把宽带接口连接到有线或无线路由器上,与其它WLAN用户共享连接。在连接到互联网之前,一定要部署一部防火墙,它可以防止未经授权的用户或程序从互联网接入局域网。
4 保护通信链路:VPN客户端软件为从客户端到无线接入点再到路由器的所有业务提供保护,提供了端到端安全保护。
在部署无线网络时,一个重要考虑因素是利用其提供的所有安全功能,包括改变和分配口令及启动加密。WLAN使用无线电波,因此您看不到它会发送到哪里。也就是说,没有授权的用户可以非常简便地接入局域网,如从停车场或附近的街道。利用提供的安全措施可以防止这种情况的发生。
许多企业拥有同时采用有线局域网技术和无线局域网技术的网络,无线组网技术非常经济,同时采用这两种技术可以帮助提高整体工作效率。
1.3基本组网概念和技术
1.3.1网络连接
1.3.1.1快速以太网
老式有线网络设备的工作速率是10 Mbps,而当前的标准工作速率则是100 Mbps或快速以太网。它特别适合发送大的复杂文件,如数据库和图形。随着应用越来越复杂,越来越多的用户接入网络,提高速度或加宽数据传送通道可以帮助避免瓶颈,因为瓶颈会导致响应速度变慢。NETGEAR快速以太网产品以10 Mbps和100 Mbps速率运行,自动感应连接的终端设备的速度(10 Mbps或100 Mbps),并以相应的速度传输数据。通过自动感应设备,可以使用以太网和快速以太网混合连接,更简便地设置网络,然后逐步把网络演进到更高的性能。
1.3.1.2千兆位以太网
千兆位以太网提供了1000 Mbps的性能,并兼容现有的10/100以太网标准。千兆位以太网改善了性能和容量,提高了响应能力,降低了瓶颈。它为采用带宽密集型应用及业务流量高的环境提供了杰出的解决方案。最新的高性能工作站和服务器都把千兆位以太网作为标配接口。NETGEAR千兆位以太网解决方案自动以10, 100和1000 Mbps的最高可用速率运行。这为混合速度网络提供了平滑转换道路,可以适应现有的连接,同时提供所需的速度和容量。
1.3.1.3无线连接
1999年成立了行业协会 - Wi-Fi联盟,认证基于IEEE 802.11规范的无线局域网产品之间的互操作能力。这些规范包括传输协议标准和安全标准,具体又分成:
4 802.11b: 这是最早、也是使用最广泛的标准,其速率最高达到11 Mbps。其工作频段是2.4 GHz,兼容802.11g。
4802.11g: 速率最高达到54 Mbps,在2.4 GHz频段工作。NETGEAR增压模式(turbo mode)和其它增强功能使性能翻了一番,理论最高速率可以达到108 Mbps。
4 802.11a: 速率最高达到54 Mbps,在增压模式下可以达到108 Mbps。它在不同的无线频率上运行,即拥挤程度较低的5-GHz频段,不能直接与802.11 b/g设备互操作。部分NETGEAR产品(如Double 108线路)具有双频功能,实现了同时支持这两种协议的接入点。
NETGEAR是商用无线网络的领导企业,提供具有许多新型特性和功能的产品,这些产品完全符合IEEE和Wi-Fi标准。本手册产品部分提供了更多的信息。
1.3.2安全
不管是通过互联网连接、直接连接分支办公室还是通过拨入网关实现远程接入,允许接入局域网都会产生重大的安全危险,因为不仅合法用户可以接入网络,未经授权的用户也可以接入网络,如黑客。但是,多种安全技术可以帮助保护网络:
4防火墙: 为保护知识产权和敏感的数据,我们强烈推荐在局域网和广域网之间使用防火墙。防火墙允许员工和应用透过防火墙接入互联网,检索信息,如电子邮件、网页、聊天、下载文件等,同时防止未经授权的用户或程序接入局域网。例如,防火墙可以防止入侵者查找局域网上的口令文件。个人防火墙安装在单机上,可以更有效地防止黑客和病毒
4 虚拟专用网 (VPN): VPN采用加密和认证方法,通过互联网把数据安全地传送到一个或多个地点。这可以防止别人查看信息或接入网络。通过互联网建立的VPN可以在很大程度上代替专用租赁线路或拨号服务,因为它们的成本要低得多。
4 无线技术:由于接入点可以把局域网扩展到物理地点以外(如一座大楼),无线安全非常重要。早期无线安全基于有线同等私密性(WEP标准)。Wi-Fi保护接入(WPA)和802.11i现在提供了更强大的安全保护能力。对大型机构,802.1X通过采用服务器的更强大的认证方法,提供了额外安全保护。
NETGEAR致力提供安全可靠的网络环境,并提供采用安全标准和技术的全系列产品。
1.3.3交换机、集线器和路由器
交换机把网络业务指向某个目的地,集线器则把所有业务广播到网络上提供的所有端口。几年前,集线器是连接局域网设备成本最低的方式。现在,从最小的工作组到最大的企业网络,交换机技术都以经济的价位提供了更好的性能和安全保护能力。
路由器则在网络中应用了更多的智能。路由器检查包头,使用转发表,把局域网划分成两个以上的网段。把业务分开可以改善性能。路由器还位于网关上,在每个局域网之间为业务选路,网关把两个以上的网络连接起来。
1.3.4NIC (网卡)
许多PC和服务器作为标配设备提供了以太网网卡(NIC),包括作为主板的一部分或作为PCI总线的一部分。新的网卡提供了更高的性能,可以从10 Mbps升级到100 Mbps,甚至可以升级到千兆位性能。根据安全性、可靠性或吞吐量要求,各机构可能想在服务器放一张以上的网卡。无线网卡可以简化布线要求或增加移动能力。NETGEAR提供了各种网卡,可以为笔记本电脑和台式机提供快速性能。它们自动调节成可用的最大速率。
1.3.5布线
电缆在计算机和打印机及交换机、集线器和其它网络设备之间提供了物理链路。在正确安装时,适当的布线对网络平滑运行至关重要。有许多布线类型和等级可供选择,但许多企业对以太网、快速以太网和千兆位以太网采用五类(Cat-5)屏蔽双绞线。
对千兆位连接,可以使用光纤和铜缆。许多布线差异取决于电缆的物理构成(每英尺更多的绞合数量),这有助于减少双绞线之间的“串扰”影响。屏蔽还可以防止外部干扰源。
局域网中的一个新兴发展趋势是以太网在线供电(PoE)。网络设备如无线接入点或远程安全摄像机,通过连接电缆(一般为五类电缆)从网络交换机供电。通过这种方式供电不再需要为每台局域网设备提供一个专用的电源插座。这基于IEEE 802.3af标准,部分NETGEAR产品如ProSafe交换机、ProSafe接入点和基于IP的话机,都支持这种以太网在线供电功能。
1.4网络实例
1.4.1小型网络
网络的规模和复杂程度应决定设备放置的位置。一般来说,对网络设备数量低于交换机端口数量的小型网络,每台设备可以直接连接到交换机中。在这种情况下,交换机可以为直接连接各个端口的每台设备提供10或100 Mbps专用带宽。注意,这可能取决于每台设备中的网卡及交换机上端口设置配置。无线网络提供了成本较低的解决方案,因为它们降低了在整个办公室里布线的需求。
1.4.2发展中网络
安装网络的第二个备选方案是使用管理型交换机作为多个网段的中央连接点。在这种配置下,它作为网络中其它交换机和集线器的汇聚设备(如下图所示)。由于交换机可以为端口提供专用带宽,因此可以为汇聚的集线器和交换机、进而为最终用户提供更大的带宽。通过把网络扩展到其它交换机,网络可以持续扩容,而没有明显的带宽延迟。
1.5网络七层模型
1.5.1七层OSI模型
开放系统互连(OSI)是一个理论模型,它定义了一个网络框架,在七个层中实现协议。控制功能从一个层传送到下一个层,它先从一个工作站中的应用层开始,直到最底层,构成传输使用的分组。在完成时,它通过信道传送到下一个工作站,然后沿着整个层级反向移动。
1.5.1.1物理层(第一层)
这个层在电子层次和机械层次上转换通过网络的码流(如电脉冲、光或无线电信号)。它为在载体上收发数据提供了硬件手段,包括定义电缆、插卡和物理等特点。
1.5.1.2数据链路层(第二层)
在这个层,数据分组被编码和解码成比特。它提供传输协议知识和管理功能,处理物理层、流量控制和帧同步中的错误。数据链路层又分成两个子层:介质访问控制(MAC)层和逻辑链路控制(LLC)层。MAC子层控制着网络上的计算机怎样存取数据及数据传输权限。LLC层控制着帧同步、流量控制和错误校验。
1.5.1.3网络层(第三层)
这个层提供了交换和路由技术,创建逻辑路径,称为虚拟电路,用来在节点之间传输数据。路由和转发是这一层的功能,另外其功能还包括寻址、网际互连、错误处理、拥塞控制和分组排序。TCP/IP中的IP就是网络层协议。
1.5.1.4传输层(第四层)
这个层在终端系统或主机之间透明地传送数据,负责端到端错误恢复和流量控制。它保证了完整的数据传送。TCP/IP中的TCP就是传输层协议。
1.5.1.5会话层(第五层)
这个层建立、管理和端接应用之间的连接。会话层建立、协调和终止每一端应用之间的会话、交换和对话。它处理会话和协调连接。
1.5.1.6表示层(第六层)
这个层通过从应用格式转换到网络格式,提供了独立于数据表示差异的能力(如加密),反之亦然。表示层用来把数据转换成应用层可以接受的形式。这个层格式化和加密要通过网络传送的数据,而没有兼容能力问题。它有时也称为语义层。
1.5.1.7应用层(第七层)
这个层支持应用流程和最终用户流程。它确定通信伙伴,确定服务质量,考虑用户认证和私密性,确定数据语义的任何限制。这一层的所有功能都是应用专用功能。这个层为文件传送、电子邮件和其它网络软件服务提供应用服务。Telnet和FTP是完全位于应用层的应用。分层应用结构是这个层的一部分。
1.5.2TCP/IP模型
人们对于怎样使用分层模型描述TCP/IP还没有达到广泛共识,但通常认为,其层次要少于OSI模型的七层。大多数描述用三到五个层来表示:
1.5.2.1应用层
在TCP/IP中,应用层还包括OSI表示层和会话层。在这里,应用被定义为传输层之上发生的任何流程,包括涉及用户交互的所有流程。应用决定数据的表示方式,并控制会话,在TCP/IP中,使用“套接字”和“端口”描述应用通信的路径。TCP/IP中有许多应用层协议,包括电子邮件使用的简单邮件传送协议(SMTP)和邮局协议(POP),网络使用的超文本传送协议(HTTP),以及文件传送协议(FTP)。大多数应用层协议与一个以上的端口号码相关。
1.5.2.2传输层
有两种传输层协议。传输控制协议(TCP)保证收到的信息就是发送的信息。用户数据报协议(UDP)不执行端到端可靠性校验。
1.5.2.3互联网层
在OSI参考模型中,网络层把上层协议与底层网络的详细信息隔开,管理着网络中的连接。互联网协议(IP)通常称为TCP/IP网络层。由于TCP/IP以网际互连为重点,这通常称为互联网层。所有上层通信和下层通信都通过IP传送,因为它们经过TCP/IP协议栈。
1.5.2.4网络接入层
数据链路层和物理层通常划分在一起,TCP/IP利用现有的数据链路层和物理层标准。数据链路层描述了IP怎样利用现有的数据链层协议,如以太网、FDDI和ATM。承载通信信号的硬件特点一般由物理层定义,包括针脚配置、电压电平和电缆要求等属性。例如,RS-232C, V.35和IEEE 802.3都是物理层标准。
1.5.2.5物理层
这个层在电子层次和机械层次上转换通过网络的码流(如电脉冲、光或无线电信号)。它为在载体上收发数据提供了硬件手段,包括定义电缆、插卡和物理等特点。快速以太网、RS232和ATM是带有物理层成分的协议。
1.5.3TCP/IP流程
由于信息从应用层向物理网络层传送,因此TCP/IP基于四层结构。在数据发送时,每个层把从上一层中收到的所有信息都作为数据处理,在该数据的前面增加控制信息。这些控制信息称为包头,增加包头的过程称为加密。在收到数据时,将执行反向程序,每个层拆开包头,然后把数据传送到上一层。
1.5.4第二层交换
在网络中传送分组时,通常有第二层交换或第三层交换的说法。这实际上是指使用数据包中的哪个包头,制订下一跳的转发决策。包头包含着源标识符和目的标识符,以唯一地识别通信的两个节点。采用第二层包头(也称为第二层交换)在以太网上转发分组通过查看目的MAC地址(DA)实现。MAC地址是一个48位标识符,用来唯一地识别连接到以太网络上的设备。两个MAC地址不得相同。第二层交换发生在局域网中本地连接的一组设备内部。在收到分组时,第二层交换机在由局域网已知成员组成的列表中进行DA查表,以确定下一跳目的地(端口)。一旦确定目的地,将把分组交换或转发到终端工作站连接的目的端口上。
1.5.5第三层交换
第三层转发的方式类似,但它采用第三层信息,制订下一跳转发决策。第二层交换连接网络内部的设备,而第三层交换则把网络连接在一起。在第三层上使用互连网协议(IP)时,它利用IP地址中唯一的32位标识符,识别互联网络上的终端工作站。第三层转发在历史上一直通过路由器实现,路由器通常连接到以太网络上,通过第二层交换接收分组。一旦收到分组,将剥除第二层信息,路由器将询问分组的第三层包头,确定目的IP地址(IP DA)。有了IP DA,路由器会对已知IP网络目的地进行查表,以确定分组的下一跳目的地。一旦确定,分组将转发到网络连接的端口上。在离开第三层转发单元之前,将重新连接第二层包头,以把业务转发到最后的终端工作站。
由于第三层转发芯片技术的出现,第二层转发和第三层转发功能已经合并在一起,性能已经提高到传统第二层交换机的典型速率。这种技术飞跃创造了以第二层速度进行第三层转发的概念,或称为“第三层交换”。其功能相同,但速度大为改善,在数据网络内部实现了超低时延(延迟)。芯片交换降低了时延,使对延迟敏感的应用成为现实,如IP语音(VoIP)。
1.6交换机
交换机作为局域网的高效中心,允许在网络上的各种设备之间交换信息,如计算机、服务器、路由器、打印机和防火墙。交换机提供了许多不同的特性和功能。您需要的是非管理型交换机还是管理型交换机?千兆位以太网还是快速以太网?需要上连功能吗?需要以太网在线供电(PoE)吗?所有这些都需要考虑,最终选择结果通常主要受到价格和厂商信誉的影响。
选择适当的交换机,不管是升级还是购买新的交换机,对网络会有明显的影响,甚至会影响业务运作。为支持增长,可能需要完善的应用,增强效率,管理维护流程,满足客户群体不断扩大的需求。在这个过程中,网络流量可能会提高,通常会大幅度提高。增加更多的员工会提高网络使用量。如果增加的流量过多,网络会变得不堪重负,用户不再能够迅速访问基本商业应用或信息。拥塞可能会降低网络的可靠性,导致传输过程中丢失数据或系统瘫痪。交换机是局域网的心脏,选择适当的交换机可以优化生产效率,同时使投资回报达到最大。
NETGEAR生产全系列商业类交换机,提供了各种功能和性能选项。超低价非管理型快速以太网交换机可以帮助您启动或扩展业务。高性能管理型堆叠式千兆位以太网交换机为配置、管理和诊断要求更加苛刻的大型网络提供了强健的功能。这些高性能产品提供了经济可靠的解决方案,适用于任何网络环境。
1.6.1选择交换机
交换机配有各种特性、功能和性能选项,有5端口、8端口、12端口、16端口、24端口和48端口多种型号可供选择。在数据通过时,交换机会检查分组地址信息。交换机使用这些信息,确定分组在网络上的目的地,然后把分组发往目的地。
1.6.1.1快速以太网
快速以太网支持100 Mbps的最大数据速率,并支持现有的10-Mbps网络。快速以太网交换机自动感应线路速率,并相应地进行调节。快速以太网交换机性能价格比高,广泛用于大中小型企业中,可以作为非管理型设备或管理型设备使用。
1.6.1.2千兆位以太网
千兆位以太网已经兴起,为业务流量不断提高的网络提供了简便经济的解决方案。千兆位以太网提供了1000 Mbps高速操作,比快速以太网的100-Mbps速度快10倍。为10和100-Mbps以太网络编写的所有网络服务和协议在千兆位以太网中保持不变。这种类似性使得千兆位以太网能够简便地实现、并与现有的以太网和快速以太网络共存。千兆位以太网性能价格比高,其价格只是略高于快速以太网,但其带宽和性能却提高了10倍。千兆位以太网采用标准五类、超五类或六类布线。某些千兆位交换机提供了小型可插拔(SFP) GBIC端口,提供了光纤连接选项,能够实现更远的距离。通过堆叠端口,管理员可以把多台交换机互相连接起来,提供了扩充能力和冗余性。
1.6.2管理型交换机和非管理型交换机
交换机分成两类:非管理型交换机和管理型交换机。此外,NETGEAR还引入了一种新型交换机—智能交换机,它提供了基本管理功能,但比全面管理型交换机的成本低、使用更加简便。
1.6.2.1非管理型交换机
这些交换机一般是即插即用设备,用于小型网络中,代替集线器。非管理型交换机特别适合简单的小型网络。非管理型交换机设置和配置简便,可以开箱插电即用,但它们没有相应的设施帮助确定问题,或在用户数量提高时管理用户增长。
1.6.2.2管理型交换机
在网络交换机中增加管理功能,可以优化网络配置和性能,协助诊断问题。NETGEAR提供了两种管理型交换机:具有基本管理功能的智能交换机,基于简单网络管理协议(SNMP)的高性能管理型交换机。
4 配置: 这种管理功能可以根据业务目标和资源要求精确地配置网络。管理员可以调谐交换机端口,适应每种应用或设备。用户可以获得所需的网络功能,企业可以使网络功能达到最大。
4 问题诊断: 这种管理功能隔离和跟踪网络中的问题。错包、传输错误、端口状态和业务拥塞会影响所有用户。支持SNMP和RMON意味着在发生问题时,这些设备可以自动向本地位置或远程位置传送信号。NETGEAR管理型交换机可以帮助防止小问题变成大问题。
4 规划和状态: 商业网络是动态的。管理型交换机分析工作负担、业务模式、预留容量,可以使用这些信息,估算未来要求或新应用的可行性。NETGEAR管理型交换机帮助企业走在网络需求前面,根据要求制订采购决策,更加高效地配置解决方案。
4 扩充能力: 通过使用堆叠功能,交换式骨干可以按需扩容,通过专用堆叠端口把交换机连接起来,提高提供的端口数量。堆叠在一起的多台交换机可以作为一台交换机管理,简化了管理工作。
NETGEAR提供了全系列经济的管理型网络交换机,这些交换机面向用户数量在50-250个或以上的小型企业。这些高性能产品以最低的成本,从10 Mbps到千兆位为任何环境提供了可靠的解决方案。
1.6.2.3智能交换机
NETGEAR功能强大的ProSafe智能交换机填补了非管理型和全面管理型交换机之间的空白,提供了前所未有的价值。ProSafe智能交换机是为发展中的企业提供的,他们希望控制自己的网络,而又没有全面实现的第二层(L2)/第三层(L3)管理型交换机的成本和复杂性。其价格与非管理型交换机类似,但它们提供了过去只有在更昂贵的全面管理型交换机上才能提供的流行功能,如集中控制、监测和问题诊断功能。
在从几十名用户增长到几百名用户时,ProSafe智能交换机为大多数发展中网络提供了所需的功能,如远程监测和问题诊断、自动和手动端口配置、端口集群、虚拟局域网(VLAN)功能和优先权分配。
这些功能相结合,还可以扩展现有的管理型网络。ProSafe智能交换机端口集群、VLAN和分组优先权分配功能增强了任何管理型网络的容量和性能。
1.6.3第二层(L2)和第三层(L3)管理
L2和L3交换技术可以帮助划分网段和隔离网络,最大限度地提高性能。交换机工作的层取决于数据通过时交换机所能读取的地址详细程度。
4 第二层交换机使用物理网络地址工作。物理地址也称为链路层地址、硬件地址或MAC层地址,用来识别各台设备。在第二层运行的交换机速度非常快,因为它们使用专用集成电路(ASIC)、而不是使用软件分类。第二层交换机可以在网络内部转发业务,但不能在网络之间转发业务。
与非管理型交换机相比,第二层交换机提供了许多高级功能,包括中继、服务类型(CoS)、虚拟局域网(VLAN)、安全和生成树协议(STP)。如需交换功能的详细介绍,请参阅下一章。
4 第三层交换机使用网络地址或IP地址,识别网络上的位置。与第二层交换机相比,它们更仔细地阅读网络地址,识别网络位置及物理设备。第三层交换机定义为基于硬件的路由技术,每个端口进行选路,经过交换背板。第三层交换机把第二层交换与第三层路由集成在一起,同时提供了完整的以太网路由器及交换机速度更快、成本更低的综合优势。
第三层交换机还具有高级服务质量保障(QoS)功能,如使用第三层信息、甚至使用第四层信息进行业务排队和分配优先权。各机构可以对关键事务型和延迟敏感的业务分配优先权。其它QoS功能使得用户能够在拥塞期间优先处理应用。
第三层交换机固有的智能使其能够以许多不同的方式部署。例如,在作为网络骨干部署时,第三层交换机在交换顶部对路由分层,支持更加自然的网络结构,同时大大提高扩充能力和吞吐量。第三层交换机还可以作为基于网络的新兴应用的基础,如电话和视频会议。许多第三层设备开箱后即可作为第二层交换机使用。这些设备对需要规划网络扩容的小型企业极具优势,但在需要时可以实现第三层功能,如QoS和安全性。
1.6.3.1第二层
4 VLAN: 允许管理员把网段业务划分到多个组中,而不会受限于物理连接。由于VLAN基于软件,因此网络结构可以迅速简便地适应节点的增加、迁移或重组,而不要求管理员接触硬件或亲临配线间。
4 生成树: 生成树协议(STP)使交换机能够中断环路,环路可能会导致广播风暴,使网络失效。通过使用STP,交换机端口识别与某个节点通信使用的一条主要路径。任何重复路径都被置于备用(或“阻塞”)模式。然后通过主要路径发送和接收分组,创建无环路的环境。
4 链路汇聚: 也称为端口集群。链路汇聚可以把一台设备上的多个端口组合在一起,构成一条高带宽连接。它还提供了冗余性。如果组合的其中一条链路失效,汇聚的其余链路将继续工作,分担下连的业务流量。
4 优先权分配: 业务优先权分配可以优先处理关键数据,使得网络能够加快把优先数据传送到目的地的速度。例如,VoIP数据要优先于文件传送。
4 IGMP检测: 改善组播业务的网络效率。如果没有IGMP检测,组播业务将以和广播业务相同的方式处理,即转发到所有端口。有了IGMP检测,一组的组播业务将只转发到属于该组的端口上。
4 端口镜像: 作为一种调试工具,端口镜像是监测网络业务的一种方法,它把每个进出的分组业务的副本从交换机的一个端口转发到要分析分组的另一个端口上。
1.6.3.2第三层
4 路由: 路由功能通过沿着最有效的路由把分组发送到相应的目的地,使性能和容量达到最大。终端工作站必需知道怎样到达最近的路由器,路由器需要了解网络拓扑,以便能够转发业务。
4 组播路由: 互联网小组组播协议 (IGMP) 是一种降低拥塞的基于标准的技术。IP组播把IP分组从一个源地址传送到网络上多个目的地。网络只把分组转发到需要接收分组的主机上。如果网络硬件支持组播,那么以多个接收人为目的的分组可以作为一个分组发送,而不用发送同一个分组的多个副本,每个副本都到达一个接收人。
4 子网划分: 子网功能与VLAN类似,允许创建多个逻辑网络。IP子网采用子网掩码,把网络划分成多个小型网络,也称为子网。每个子网都与网络的其它部分共用共同的地址组件。在TCP/IP网络上,子网定义为IP地址前缀相同的所有设备。IP子网可以更加有效地利用提供的IP地址空间。
4 VLAN路由: 允许由第三层路由功能处理VLAN端口上收到的业务。
4 DiffServ: 提供了额外的优先权分配能力,它定义了业务类型及怎样处理这些业务,包括业务接收、传输和保障带宽。
4 访问控制列表 (ACL): 用来控制对指定资源的访问。
1.6.3.3管理
4 监测: 可以从网络浏览器管理控制台监测管理型交换机端口的运行状态和性能,而不需亲临交换机所在的物理地点。监测可以识别各种因素导致的潜在问题和实际问题,如业务模式、业务拥塞和端口状态。可以使用浏览器界面或从任何网络管理应用使用SNMP和RMON管理方法,监测端口利用率或错误。
4 用户界面: 一般来说,有两种方式接口交换机:使用网络浏览器,或通过telnet使用命令行。还可以使用tftp加工和保存配置文件。
4引导协议(BootP)和动态主机配置协议(DHCP): 这是为使PC能够通过网络引导所设计的两种协议。通过BootP,无盘PC可以获得IP地址,加载引导文件。DHCP则在启动时动态分配网络地址。
1.7802.11无线技术
1.7.1引言
在办公局域网环境中,采用802.11标准的无线局域网(WLANs)提供了杰出的价值。无线联网可以节约成本,因为它不需要使用多条电缆对大楼重新布线。WLAN提高了工作人员的效率,因为在商业园区的任何位置,都可以上网、收发电子邮件及存取网络文件。最后,WLAN实现了灵活的办公环境,各部门的小型企业可以高效地重新布置台式电脑、打印机或其它IT设备,适应动态机构需求,而不需调用IT管理资源。由于11 Mbps - 108 Mbps的数据速率,WLAN提供了灵活性和最大生产效率,可以用更少的成本、更迅速地完成更多的工作。
选择适当的WLAN技术是确定整体投资回报率的一个重要因素。NETGEAR提供全系列商业类无线产品,它采用新型技术,扩展了应用范围、性能和容量,改善和简化了管理。下面将简要介绍802.11技术。
1.7.2概述
一般来说,WLAN网络使用笔记本电脑或PC中的无线适配器及把WLAN连接到有线局域网的接入点(AP)上。这种配置也称为基础设施模式。接入点是一种收发网络数据的设备。它一般使用标准以太网电缆连接到有线骨干上。从本质上看,接入点是相当于局域网集线器的无线设备,它接收、缓冲和传输WLAN和有线设施之间的数据。
WLAN还可以使用特定模式或对等模式创建,其中两个无线适配器直接相连,而没有使用接入点。这类网络不要求管理或预先配置,另外还绕过了局域网,限制了对局域网资源的访问。无线安全是任何WLAN部署的一个重要组成部分。如需更多信息,请参阅本手册的安全部分。
1.7.3802.11无线技术标准
NETGEAR提供支持下述协议的商业类无线设备,另外还提供同时支持多种协议的三模产品(802.11a, 802.11b/g)。
1.7.3.1802.11b
技术规范一览: 11 Mbps, 三条非重叠信道, 每个接入点支持32个用户, 2.4 GHz
802.11b产品自20世纪90年代以后即已上市。802.11b是非常成熟的解决方案,其速度对许多网络应用和文件传送已经足够了,以非常低的成本提供了非常高的价值。这些产品部署范围广,用于许多商业和公共地点,如机场、咖啡店和宾馆中。
802.11b协议基于直序跳频(DSSS)无线频率调制技术。DSSS抗无线噪声和干扰的能力较强,因为它在很宽的无线频段上扩展传输信号。使用802.11b产品的兼容能力最好,大多数公共热区及商业和家庭环境都提供了802.11b兼容能力。
好处
4 最经济: 在大多数情况下,802.11b产品的客户端适配器、路由器和接入点的价位都最低。
4 良好的发展道路: 能够与802.11g协议互操作。
4 距离更远: 在开放环境中最远支持500米的距离。
4 功耗更低: 802.11b客户端插卡一般要求较低的功率,因此在使用电池操作时,客户端设备的工作时间要更长。注意,802.11b设备在2.4 GHz范围内工作,更容易受到便携电话、微波炉、婴儿监测仪等设备发出的干扰的影响。
1.7.3.2802.11g
技术规范一览:54-108 Mbps, 三条不重叠信道, 每个接入点32个用户, 2.4 GHz
802.11g支持高达108 Mbps的数据速率,特别适合传送更大的文件、网上培训和其它要求高的网络应用。商业类802.11g设备提供了强大的安全保护、网络管理功能、以太网在线供电和增强性能的技术,如Super G™和AutoCell™。802.11g兼容802.11b设备,在2.4 GHz频段内工作,采用正交频分复用(OFDM)技术。
802.11g技术特别适合在现有802.11b网络中增加无线性能。它提供了一条平滑的道路,可以按需提高性能,毕竟其速度要快4-15倍,并继续支持现有的802.11b投资。
好处
4速度最高: 在SuperG增压模式下,理论峰值吞吐量可以达到108 Mbps。
4 向下兼容能力: 802.11b兼容能力已经写入802.11g IEEE规范。
4 功耗更低: 与802.11a设备相比,便携式设备可以在更长的时间内工作。
4 距离更远: 802.11g信号传送的距离更远,与802.11a信号相比,可以透过墙壁和地板更加高效地工作。
注意,802.11g设备在2.4 GHz频段内工作,更容易受到便携电话、微波炉、婴儿监测仪等设备发出的干扰的影响。
1.7.3.3802.11a
技术规范一览: 54-108 Mbps, 13条不重叠信道, 每个接入点支持64名用户, 5 GHz
802.11a提供了高达108 Mbps的速率,为语音、视频和大文件传送等高要求网络应用提供了充足的带宽。它比802.11b/g提供了更多的信道,因此802.11a可以用于高密度环境中。由于它在5-GHz频段内工作,因此其受到微波炉等设备干扰的可能性较低。商业类802.11a设备提供了强大的安全保护、网络管理功能、以太网在线供电和增强性能的技术,如Super G™和AutoCell™。
802.11a网络为高密度环境提供了理想的解决方案,如会议大堂、办公区、计算机实验室和大型会议室。这些设备在大型企业中非常流行,因为其能够在每个接入点支持更多的用户及支持更多的非重叠信道。
好处
802.11a较802.11b产品提供了某些优势:
4速度最高: 在启动AtherosSuperG增压模式时,峰值吞吐量可以达到108 Mbps。
4 密度更高: 信道更多,可以并放更多的接入点。
4 无干扰: 在没有管制的5-GHz频段中运行,其它设备干扰的可能性较少。
注意,由于其工作频率较高,因此其支持的距离要低于工作频率较低的802.11b/g系统。
另外注意,802.11a设备不能直接兼容802.11b/g设备。但是,NETGEAR提供了双模和三模接入无线产品,克服了这种限制。
1.7.4NETGEAR增值功能
1.7.4.1Super G/Super AG
NETGEAR产品采用Super G技术,其提供的速度和吞吐量是标准和802.11g WLAN技术的两倍以上。它使用四种技术,即突发技术、压缩技术、快速帧技术和动态增压技术,提高了性能。采用Super G技术的NETGEAR产品监测整个802.11g (2.4 GHz)频段,只有在信道可用、且应用需要额外的带宽时才提高吞吐量。由于能够改进任何网络连接,全Super G或Super AG网络中实现了最大性能和吞吐量。Super AG功能与Super G相同,但同时包括802.11g协议和802.11a协议。
1.7.4.2AutoCell™
某些NETGEAR WLAN设备包括PropagateNetworks公司研制的AutoCell技术。这种认知无线软件自动配置WLAN产品,实现最优性能。AutoCell自动动态:
4 调节接入点使用的功率,提高或降低设备的工作范围
4改变信道,防止干扰
4 把用户转移到其它接入点,以分担负荷,防止接入点过载
4 在接入点(客户端适配器)之间移动时,迅速无缝地重新关联网络
PropagateNetworks单独销售及直接供应一种中央监测软件,称为AutoCell View,可以以二维方式查看整个无线环境。客户端适配器和接入点上都采用AutoCell技术。
1.7.4.3天线
NETGEAR提供全系列天线和增强器装置,用来扩展室内和室外WLAN的范围。
1.7.4.4扩展距离(XR)
传统的Wi-Fi芯片组结构的重点是最大限度提高吞吐量,以适应基准测试和典型办公环境。这些设计在远距离内性能一般较差。采用XP技术的NETGEAR产品具有新的基带结构,支持远距离连接,明显提高了WLAN的性能,其距离是标准802.11g网络的三倍。XR技术有助于消除盲区,在信号穿过密集的楼层、墙壁或其它障碍而变得衰弱时,保持连接能力。为实现传输距离,该距离内的吞吐量会下降,因此不适合具有多个接入点的商业环境。这种技术特别适合家庭应用,其中一般有一个或两个接入点,供整个家庭共享使用。
1.7.4.5无线分布系统(WDS)
WDS为部署在大型区域内提供无线点到点桥接、点到多点桥接和直放站功能。
1.7.4.6全方位网络管理功能
除通过网络浏览器或通过命令行界面使用Telnet进行远程配置和管理外,NETGEAR商业类WLAN产品还支持SNMP MIB I, MIB II和802.11 MIB协议。可以使用网络管理软件远程监测和管理这些产品,如NETGEAR网络管理软件NMS100。
1.8网络安全
1.8.1引言
在业务运营过程中,网络安全高于一切。它控制着对敏感应用和数据的访问,在公司与合作伙伴和供应商之间实现网上交易,保护知识产权。安全保护有助于防止因无意或故意滥用而导致的失效,这对IT基础设施的运行可用性和可靠性至关重要。在正确设计和实现时,安全保护是一个基础性的商业因素,可以帮助您获得竞争优势。
NETGEAR ProSafe安全产品在商业类产品中提供了完善的安全保护功能,这些产品都基于IPSec标准。通过使用标准化接口和协议,NETGEAR ProSafe安全产品可以集成现有的企业安全设施,或为保护局域网或广域网安全的新举措提供可以互操作的基础。尽管保护有线局域网安全和保护无线局域网安全的基础在概念上相同,但在技术应用方式上有所不同,本章介绍了与无线安全有关的更多信息。
1.8.2WAN安全概念
通过没有安全保护的介质(如互联网)发送数据,要求强健的WAN安全保护能力,其主要涉及三个概念:
4 认证: 检验用户(或服务器)声称的身份是否真实。姓名/口令是非常简单的认证形式。IPSec提供了更加安全的认证机制。
4加密: 通过加密(密码),在传送过程中为数据提供保护。只有在生成正确的密钥时,接收方才能读取数据(解密)。IPSec提供了大量的加密机制和协议,如AES和三重DES (3DES)。
4 完整性: 确保数据没有被篡改。在IPSec中使用数字签名保证了这一点。
这三个概念使得用户能够有效信任数据发送方,因为他们可以确信除了预计的接收方之外,别人都无法读取数据,而且数据没有被篡改。
1.8.3IPSEC
IPSec是一种强大的网络级全面安全协议,为保证通过IP网络实现安全专用通信提供了一个开放的标准框架。它可以保护私密性,阻塞各种威胁,通过基于标准的加密和认证机制控制网络业务对主机的访问。
由于IPSec在IP级进行加密和认证,其位于传输层之下,因此其对所有网络应用都是透明的,如电子邮件、文件传送、网络接入等等。由于IPSec对最终用户是透明的,因此不需要对用户进行安全机制培训,按用户发放密钥材料,在用户离开机构时删除密钥。由于IPSec是为IP协议设计的,因此它得到业内广泛支持,是互联网上VPN的事实标准。
除认证、加密和完整性机制外,还有三种技术使得网络安全变得可行、可以部署:
4 公共密钥基础设施: PKI是公布公共密钥密码中使用的公共密钥的系统。它使得用户能够与其它用户和应用交互,获得和检验身份和密钥,登记受信第三方。PKI由策略和必要的组件构成,以创建、分发、调用及管理X.509数字证书。
4 密钥管理: IPSec采用互联网密钥交换(IKE)协议,简化及自动实现传送数据两方之间的密钥设置和交换(否则必须手动完成)。通过正确分配和分发密钥,发送方和接收方可以加密和解密数据业务。
4 IPSec要求频繁地重建或刷新密钥,以便各方能够安全地相互通信。在IKE策略基础上,VPN隧道的部分参数自动生成。IKE协议在两个VPN端点之间进行协商,自动生成要求的参数。
1.8.4局域网安全概念
WAN的许多安全概念同样适用于局域网。例如,在允许接入某个应用或服务器前认证用户身份。但是,局域网还需要其它保护措施:
1.8.4.1防病毒、防垃圾邮件和防间谍软件
连接互联网的大多数局域网都一直面临着病毒、垃圾邮件和间谍软件的威胁。
4 病毒一般作为电子邮件附件到达用户PC,世界上有数万种病毒,这些病毒会删除硬驱或泛滥网络,把自己发送到地址簿中的其它用户。防病毒软件可以集成到防火墙中,在其进入局域网前拦截病毒,也可以安装在每台PC和服务器中,扫描进出的业务,并进行杀毒。
4 垃圾邮件是未经允许而发送的群发电子邮件,通常是推销虚拟企业提供的不需要的商品。某些行业估算报告称,垃圾邮件占所有消息业务流量的比重在60%以上。降低或消除垃圾邮件可以保持高效的生产效率,降低网关和服务器上的负荷。封锁特定的URL可以防止从这些位置发送垃圾邮件,降低不想要的消息数量。
4 间谍软件是一种相对较新的威胁,防病毒程序并不能一直检测到这些威胁。通常只有在访问某个网站,或下载文件或程序时,这些程序才会被安装在系统上。它们可以发布广告,重定向网络请求,捕获击键动作,如姓名和口令。新的防间谍软件程序可以解决这一最新的安全威胁。
1.8.4.2认证服务器
最安全的计算环境是专门允许访问应用和资源的环境,如从家中访问局域网,连接到工资单或电子邮件等应用上。认证用户声称的身份是否真实,要求用户采用口令、智能卡或其它机制。认证服务器是一个集中式目录,为网络应用提供了姓名和口令等登录信息,例如在家工作的用户从互联网连接到电子邮件服务器之前,认证服务器必须核准其登录信息。
1.8.4.3子网防火墙分段
子网功能与VLAN功能类似,可以创建多个逻辑网络。IP子网采用子网掩码,把局域网划分成更小的网络,也称为子网络或简称子网。这些小型网络中的计算机和服务器持续相互通信,广播业务则被路由器抑制在子网内部,但是不同子网上的节点不能相互看到对方,在子网之间传送业务要求路由功能。子网还有许多其它优势,本手册交换机部分对此进行了详细介绍。
1.8.5WLAN安全概念
与有线局域网不同,WLAN可以延伸到墙壁、天花板和地板范围之外,未经授权的用户可能会接入网络。已经出现了许多保护WLAN用户和业务的标准。
1.8.5.1有线同等私密性 (WEP)
WEP协议提供了最基本的无线加密安全保护功能。在某些情况下,WEP对家庭用户或小型企业用户保护无线网络接入可能已经足够了。WEP协议旨在实现三个主要安全目标,即:加密、认证和完整性。
WEP提供了各种水平的加密功能,如对802.11b和802.11g提供了40位到128位加密,为802.11a提供了长达152位加密。位数越多,安全性越好,因为密钥越长,破译所需的时间越长。WPA安全功能增加了256位WEP,也称为AES,它也可以增加到11a, b或11g中。
WEP不支持密钥管理,即不支持在客户端和接入点(AP)之间自动交换加密密钥。为保持高效的安全性,WEP要求手动改变密钥。这是一个非常麻烦的过程,特别是在大型环境中,在本质上削弱了这种安全协议。更强大的安全机制(如IPSec和VPN)则支持自动密钥管理。
1.8.5.2WI-FI保护接入(WPA)
WPA是Wi-Fi联盟签发的最新安全指南,它包括新兴802.11i标准提供的数据加密和网络访问控制机制,与当前的WEP标准增强了安全保护能力。在加密方面,WPA提供了临时密钥加密协议(TKIP),它采用与WEP相同的加密算法,但以不同方式构建密钥。在访问控制方法,WPA采用IEEE 802.1x协议。
4 TKIP: 增强了加密,改善了入侵检测功能。仅WEP设备可以与采用WEP支持TKIP的设备互操作。
4 802.1x: 在设备和边缘网络设施之间提供了网络登录功能。它为实现各种认证方案提供了体系架构,通常调查服务器,简化认证。
1.8.5.3802.11i
IEEE规范802.11i是实现更强大的加密和私密性的下一个标准化方法。它把改进的加密和认证结合在一起。它用两种加密方法代替较弱的WEP协议:TKIP和AES。TKIP是一种临时方法,它通过软件升级支持传统客户端和接入点。另一种方案基于AES,提供了更强大的安全保护能力。
802.11i的主要组成要素包括:
4 高级加密标准(AES): AES密钥长度可以配置成128位、192位或256位。
4 EAP: 提供集中认证和动态密钥分布的架构。它实现了无线客户端适配器,可以支持不同的认证类型,与不同的后端服务器通信,如远程认证拨入用户服务(RADIUS)。
4 强健安全网络(RSN): 动态协商接入点和无线客户端之间通信使用的认证和加密算法,这意味可以发现新的威胁,并可以增加新的算法。
1.8.5.4MAC地址认证
802.11标准规定每台设备必须由制造商分配一个唯一的介质访问控制(MAC)号码。MAC号被视为可以在网络中认证用户的一个组件,它识别用户的客户端设备。系统管理员可以配置一个与接入点相关的表格,只接受特定地MAC地址,而过滤掉所有其它地址。
1.8.6保护网络安全
一般来说,安全和价格、性能及简便易用之间成反比。网络越强大、越安全,实现成本越高。尽管每种环境都有独特的安全要求,但可以考虑下述建议:
1.8.6.1有线网络
• 改变默认的口令
• 安装最新的固化软件升级程序
• 使用URL过滤/封锁功能,定期检查间谍软件,使用查毒软件
• 使用认证服务器
1.8.6.2无线网络
• 改变默认的口令
• 安装最新的固化软件升级程序
• 为系统提供最强大的安全保护功能:WEP, WPA或802.11i (如果提供)
• 把SSID默认名称变成独特的名称
• 禁用SSID广播功能,在可能时使用MAC地址过滤功能
• 在可能时,使用基于IPSec的接入点或防火墙,其可以从最终用户到接入点建立VPN隧道
• 使用硬件防火墙,把WLAN与有线局域网隔开
• 使用采用领先技术(如AutoCell)的NETGEAR ProSafe商用产品。AutoCell针对每台移动设备调谐接入点信号,提高了私密性
1.9VPN防火墙
NETGEAR提供一系列ProSafe防火墙和VPN路由器,保护小型企业和发展中企业有线和无线网络安全。真正的防火墙功能及状态分组检测 (SPI)、URL封锁、IPSec支持和可配置的业务规则,为您的网络提供了强大的基于标准的保护。通过加密互联网上传输的业务,虚拟专用网(VPN)功能可以在远程位置和远程办公人员之间实现安全连接。NETGEAR ProSafe VPN客户端软件也提供了端到端安全。
1.9.1防火墙
防火墙是防止从另一个网络访问网络中的设备,它根据一套规则限制网络业务通过网关。这些规则一般限制一个网络中的人员或应用访问另一个网络上的资源,如防止互联网上的某个人访问局域网上的系统。更具体地讲,防火墙可以配置成允许SMTP和Web分组穿过防火墙,而不允许聊天或游戏等业务穿过防火墙。
优秀的防火墙采用状态分组检测 (SPI)和其它功能,而不只是采用网络地址翻译 (NAT)技术。但是,许多防火墙都包含NAT路由器功能,同时增加了防止黑客入侵或攻击的功能。在发生时,可以识别多种已知类型的入侵或攻击。如果检测到事件,防火墙可以记录企图的详细信息,可以选择向管理员发送电子邮件,通知事件。通过使用记录中的信息,管理员可以对黑客的ISP采取措施。在某些类型的入侵中,防火墙可以丢掉一定时间内来自黑客IP地址的所有后续分组,来防范攻击。攻击和入侵特性经常会变化,因此必须定期检验保护措施。某些机构根据最新的特性认证防火墙,ICSA是一家公认的认证机构,它检验对常见攻击特性的保护及针对防火墙的优化设置。许多NETGEAR防火墙已经获得ICSA认证。
1.9.1.1状态检测 (SPI)
由于用户级应用(如FTP和网络浏览器)可以生成复杂的网络业务模型,因此防火墙必需能够分析成组的网络连接“状态”。通过使用状态分组检测,可以在网络层拦截进入的分组,然后分析与所有网络连接有关的状态相关信息。防火墙内部的中央高速缓存一直跟踪与所有网络连接有关的状态信息。
4将针对这些连接的状态,分析穿过防火墙的所有业务,以确定是允许还是拒绝其穿过防火墙。例如:
4 在具有SPI的路由器通知从同一个时间ping了一段时间时,丢弃分组。
4 SPI允许路由器知道分组的源地址是否位于局域网内部。如果从广域网使用内部地址发起攻击,SPI路由器会把分组与以前的分组进行比较,丢掉违反规则的分组。非 SPI路由器会降慢整个业务速度,因为它不能告诉在哪儿作出反应。
有了SPI,路由器会查看各个分组,确定与已知黑客技术类似的模式,如拒绝服务(DoS)攻击、死Ping、SYN泛滥、LAND攻击和IP检测。例如,通过丢掉超过允许IP长度的分组,可以避免死Ping攻击。
1.9.1.2网络地址翻译 (NAT)
NAT允许多台联网计算机仅使用一个IP地址共享一个互联网帐号,这个IP地址可以由互联网服务供应商(ISP)以静态方式或以动态方式分配。从互联网上只能看到为路由器分配的一个IP地址。这有两点好处:第一,局域网上的所有系统都可以共享一个(静态或动态) IP地址,接入互联网;第二,局域网上所有系统的网络地址都隐藏在局域网之外。以这种方式隐藏系统的网络地址有助于加强整体安全性。
1.9.1.3网上内容过滤和URL封锁
网上内容过滤可以防止不希望的内容到达指定计算机。防火墙通过屏蔽网络地址内部的口令及封锁对这些网站的访问,来控制对互联网上内容的访问。防火墙可以配置成记录和报告访问不希望网站的企图。可以在一天中的特定时间及周几设置过滤。例如,您可能不想在上班时间或上学时间访问体育网站。
1.9.2VPN
VPN是一个共享网络,没有安全保护的介质上发送的私密数据与其它业务隔开,只有预计的接收人才能访问这些信息(这一流程称为“隧道”)。基于IPSec的VPN采用加密技术提供数据安全保护,它提高了网络抗击数据篡改或数据被盗的能力。通过VPN,企业可以使用公共网络(如互联网)作为指定地点之间的安全链路。VPN在传统上用于:
n 企业内部网: 企业内部网把一个机构的多个地点连接起来。这些地点包括总部办公室、分支办公室以及远程员工的家中。
n 远程接入: 远程接入使得远程办公人员和移动工作人员能够使用电子邮件和商业应用。拨号连接到一个机构的调制解调器群是远程工作人员使用的接入方法之一,但这种方法成本非常高,因为机构必须支付相关的长话费和服务费。远程接入VPN大大降低了费用,因为移动工作人员可以拨入本地互联网连接,然后与机构建立一条安全的基于IPSec的VPN通信链路。另外还可以使用VPN客户端软件,提供端到端安全保护。
n 企业外部网: 企业外部网是两个以上的机构之间实现的安全连接。企业外部网的常见用途包括供应链管理、合作开发及签约服务。由于连接费用、时间延迟和接入提供情况,使用传统网络技术很难实现这些功能。基于IPSec的VPN为企业外部网连接提供了理想解决方案。具有IPSec功能的设备可以迅速经济地安装在现有的互联网连接上。
加密是VPN的基础功能,一般来说,不断改变加密密钥要比使用固定密钥安全。密钥管理(IKE)—自动生成和分发密钥—可以在商业环境中实现动态密钥。
NETGEAR ProSafe VPN客户端软件为基于Microsoft Windows的PC和笔记本电脑提供了连接能力—如需更多信息,请参阅软件部分。
互操作能力是VPN环境中的一个重要功能。所有NETGEAR产品都经过VPNC基本互操作能力认证,许多产品都经过ICSA防火墙认证。
1.10软件
软件可以帮助企业实现网络增长。例如,简便易用的VPN客户端软件可以安全地把局域网扩展到远程办公人员和移动工作人员。同样,在增加更多的用户时,您的企业需要更好地查看基础设施,控制和优化网络运行。网络管理软件可以帮助您最大限度地提高网络性能。网络管理软件可以帮助您配置、管理和诊断任何问题。
NETGEAR提供各种软件,满足了增长的企业网络的苛刻需求。不管是为移动办公人员创建VPN,还是建立新的网络管理平台,NETGEAR ProSafe软件都可以帮助您最大限度地利用网络资源。
1.10.1网络管理
随着商用网络增长,它会变得过大或过于复杂,而不能轻松进行管理。其几乎不可能诊断瓶颈或其它性能问题,或不可能配置网络,实现最优的响应和吞吐量,除非安装管理型网络交换机。
管理型交换机提供了更多的洞察能力,如端口级业务信息、速度信息、配置信息等等,但只有在登录每台设备时才能获得这些信息。网络管理软件可以以前瞻方式查看、分析、诊断和管理整个网络。网络管理软件与采用行业标准简单网络管理协议(SNMP)的任何第二层或第三层管理型设备一起使用。SNMP允许在远程PC上运行软件,远程监测和配置被管理的网络设备。网络管理软件集中控制、监测和诊断问题,同时提供网络活动的全景照片,可以从一台PC上完成许多网络管理任务。
网络管理软件:
4 建立网络拓扑图: 自动发现和创建所有被管理设备的拓扑图,提供全面的设备管理能力。这些地图提供了网络的系列图,通过向下深入各条链路和设备,可以显示更多的详细信息。
4 监测链路: 可以监测业务流量,在达到预先确定的门限时(如错误过多或流量过大),将通过电子邮件或寻呼机发出警报。可以记录业务信息,绘制业务信息图,以备以后分析,如报告和预测。网络管理软件可以帮助识别哪些链路将要饱和,以便管理员能够采取前瞻式措施。
4 从远程桌面配置链路和端口: 管理员可以远程配置被管理的交换机端口,调节速度,改变VLAN组,或创建中继线。
基于标准的网络管理系统把来自不同厂商的设备有效集成起来,而没有专有管理解决方案通常提出的互操作能力限制。NETGEAR ProSafe网络管理软件几乎可以用于所有基于标准的被管理设备,是为NETGEAR管理型网络产品而优化的,如交换机和接入点。您可以列出所有已知的NETGEAR设备,查看NETGEAR专用信息,在全局范围内突出显示NETGEAR VLAN。
1.10.2虚拟专用网 (VPN)客户端软件
通过VPN客户端软件,远程办公人员和移动工作人员使用符合IPSec标准的安全技术,通过互联网建立到局域网的专用连接。为企业总部服务器上提供的所有通信和敏感信息提供保护。
VPN在计算机和VPN网关之间建立一个安全的端到端IPSec会话,VPN网关一般位于局端。PC或笔记本电脑上的VPN客户端软件对网上的用户进行认证,防止用户数据受到攻击或被。VPN包括加密、强有力地认证远程用户或主机及对公共网络上潜在攻击者隐藏或屏蔽专用网络拓扑信息的机制。
每个公司都有独特的安全配置,可能会使用不同的加密标准、认证要求、访问控制等等。这可能因员工而变化,例如一天中某个时间某个人可以登录,或作为登录过程的一部分,他们是否需要使用智能卡进行认证。IPSec标准为安全网络计算创建了严格的架构,而VPN客户端软件则可以简便地设置和配置安全的远程会话,包括:
4 密钥管理: 简化在线或手动注册,支持PKI或IKE。某些公司建立了专用认证中心(CA),其它公司则可能想使用授信第三方认证中心。
4数据加密: IPSec支持AES、DES和3DES,提供了不同的加密水平。注意,加密越多越安全,但要求使用的CPU处理能力也会越多。
4 安全策略: 谁可以连接及他们可以连接什么都取决于公司的安全策略。VPN客户端软件应允许系统管理员对远程连接实施公司安全策略。
4 记录: 跟踪所有远程连接一直是一个好办法。例如,如果同一个用户在同一时间从两个不同的位置登录,那么这个用户的登录信息可能被盗用了。
优质VPN客户端软件可以帮助用户实现更多的安全保护能力。例如,通过NAT穿越功能,小型网络用户可以在家办公,他们在家里可以有一台NAT网关路由器。冗余网关和保活功能可以改善可靠性。
NETGEAR基于标准的ProSafe VPN客户端软件是为用于符合虚拟专用网联盟(VPNC)标准的设备(如路由器)而设计的,可以简便安全地连接贵公司的网络资产,运行所有主要操作系统,支持Netgear ProSafe VPN防火墙和其它IPSec标准VPN设备。
1.11适配器
NETGEAR为有线局域网和无线局域网、台式机、笔记本电脑和服务器提供全系列经济的高性能以太网适配器。尽管许多PC和笔记本电脑标准配备某种形式的局域网接口,但许多企业仍要求使用高性能适配器,升级或扩展网络连接。例如,802.11g提供的WLAN连接速度要快于802.11b,同时提供了无缝兼容能力。视频或图形编辑站可能需要千兆位适配器。服务器可能需要64位光纤接口,以实现最大吞吐量。所有NETGEAR适配器都即插即用,自动感应速率,自动进行调节,支持直连电缆或交连电缆。所有USB设备都带有电缆。NETGEAR为有线网络提供的适配器如下:
1.11.1千兆位适配器(10/100/1000)
NETGEAR千兆位适配器是为台式机、笔记本电脑和服务器设计的。它们全面向下兼容10 Mbps和100 Mbps以太网产品,具有10/100/1000 Mbps自动感应功能,不需要手动切换。
4 台式机和服务器: 32位总线主PCI适配器使用带有RJ-45连接器的标准电缆在3.3V或5V总线中工作。它体积小,实现了最大兼容能力。
4 笔记本电脑: 32位Card Bus适配器采用标准电缆和RJ-45连接器。
1.11.2快速以太网适配器(10/100)
NETGEAR为台式机、笔记本电脑和服务器提供了快速以太网适配器。它们全面向下兼容10Mbps以太网产品,并向上兼容千兆位接口。
4台式机和服务器: 32位总线主PCI适配器使用带有RJ-45连接器的标准电缆在3.3V或5V总线中工作。NETGEAR提供了各种适配器,可以最好地满足您的商业要求,如:
4 体积小,实现最大兼容能力。
4局域网唤醒功能,管理员可以随时远程访问PC,执行管理任务。兼容微软主导的OnNow即时使用PC的行业计划。支持高级配置和供电接口(ACPI)远程唤醒及Magic Packet
4 笔记本电脑: 16位PCMCIA提供了广泛的兼容能力,32位Card Bus总线主适配器则具有功耗低、性能高的特点。这两种适配器都为路上用户提供了强健的解决方案。
4 USB: USB适配器安装和使用简便,可以用于笔记本电脑和台式电脑上。USB 2.0提供了全面的吞吐量,兼容USB 1.1,并可以带电热插拔。
对无线网络,NETGEAR提供了:
1.11.354到108-MBPS 802.11G适配器
高速WLAN对采用视频、语音、影像或大型数据库的高要求应用至关重要。在连接NETGEAR Super G无线路由器时,Super G技术可以在扩展范围内提供54 Mbps - 108 Mbps的速率。802.11g协议为802.11b设备提供了无缝连接能力。新型号具有动态速率转移功能,以适应环境条件,同时其采用改进的天线技术,实现最快速的连接。某些型号采用PropagateAutocell技术,增强了接收能力和安全性。
4 台式机: PCI卡,带有扩展范围的天线。VPN穿通功能可以安全地连接企业网络。安全性:WEP,高达128位。
4笔记本电脑: 32位Card Bus。新型天线技术可以较前一代产品实现更大的范围。安全性:WEP,高达128位。可以升级到WPA。
4USB: 额定速率为54 Mbps,在台式机中提供,或作为小型紧凑设备提供。采用新型天线技术,较前一代设备提供了更高的范围。USB 2.0. 安全性:WEP,高达128位。可以升级到WPA-PSK。
1.11.454到108-MBPS双频802.11A/G适配器
三模(双频)无线适配器提高了PC和笔记本电脑的速度和效率,兼容任何802.11产品,包括802.11a, 802.11b和802.11g。NETGEAR Double 108适配器在这两个频段中提供了高达54Mbps的速率,在Super AG增压模式下提供了高达108 Mbps的速率。802.11g协议可以无缝连接802.11b设备。新型号具有动态速率转移功能,以适应环境条件,同时其采用改进的天线技术,实现最快速的连接。
4 台式机: PCI卡,带有扩展范围的天线。VPN穿通功能可以安全地连接企业网络。安全性:WEP,高达152位,某些型号上支持VPN。
4笔记本电脑: 32位Card Bus。新型天线技术可以较前一代产品实现更大的范围。安全性:WEP,高达128位。面向802.11i准备就绪。
1.11.511-MBPS 802.11B适配器
802.11b在WLAN技术中提供了杰出的价值。它广泛用于公共热区中,提供了最大兼容能力。
4 笔记本电脑: 32位Card Bus。新型天线技术可以较前一代产品实现更大的范围。安全性:WEP,高达128位。
4USB: 额定速率11 Mbps。这种小型紧凑的设备采用新型天线技术,较前一代设备提供了更高的范围。USB 1.1. 安全性:WEP,高达128位。
1.12打印服务器
打印服务器可以把打印机直接连接到网络上,以在多台PC之间共享打印机。与把打印机连接到PC上相比,打印服务器在打印机放置上提供了更大的灵活性,它要更加经济,性能更好,同时支持从各种操作系统环境(如Microsoft Windows, Netware, Apple或UNIX)及不同的网络协议(如TCP/IP, NetBEUI, IPX/SPX或AppleTalk/EtherTalk)进行打印。
打印服务器是相对简明的设备。它们有一个连接交换机的以太网接口,有一个以上的连接打印机的并行或USB接口。打印服务器在打印机和用户之间提供双向通信,接受打印作业,转发状态信息,如硒鼓或纸张信息。一旦安装在网络上,打印服务器会分配一个标识符(如IP地址),所有用户都可以参考这个标识符。大多数打印服务器可以使用网络界面管理。打印服务器可以提供板上内存缓冲器,加快打印输出速度。速度更快、分辨率更高的打印机可能需要更多的吞吐量,需要使用100 Mbps接口。
无线连接消除了网络布线费用,使您能够在方便的地方灵活地设置打印机。无线打印服务器可以集成到其它802.11设备中,如接入点、VPN和防火墙中,为许多小型企业提供全内置解决方案。
NETGEAR提供全系列打印服务器产品,支持主要操作系统、网络协议和打印机。NETGEAR打印服务器可以用于USB接口和并口,另外还可以用于集成式路由器、防火墙、交换机、VPN和无线接入点功能。
1.13新兴技术
创新是网络行业的核心准则之一。在规划网络时,应利用许多新的和新兴的技术,帮助您改善性能,节约资金,提高生产效率。
1.13.1千兆位以太网到桌面
千兆位以太网过去曾一度只用于网络核心,而现在正转向桌面。千兆位以太网的速度是快速以太网 (100 Mbps)的10倍,价格正越来越经济。许多台式电脑及几乎所有服务器上都可以看见标配的千兆位以太网端口,低成本千兆位适配器可以简便地按需用于现有的PC。不管是传送大型图像、视频文件,还是同步数据库,或同时完成这一切,千兆位以太网都可以让您更快地完成工作。
新型网络应用如IP语音、网上研讨会、视频会议等等,正使用更多的局域网带宽。幸运的是,千兆位交换机的成本正在下降,其成本比快速以太网设备高不了太多。这些高性能交换机可以用于要求快速性能的小型局域网中。在大型网络中,可以使用千兆位交换机,增加更多的容量。
随着网络与业务运营的关系更加紧密,您应该考虑使用具有管理功能的交换机。NETGEAR智能交换机以非管理型交换机的成本提供了许多基本管理功能。NETGEAR管理型千兆位以太网交换机则提供了全面的第二层和第三层管理功能,可以优化网络,在所有网络应用中实现最大的性能。
千兆位以太网交换机兼容所有以太网(10 Mbps)和快速以太网(100 Mbps)设备,自动调节成最大的链路速率。这保证了现有系统能够平滑转换。千兆位以太网可以使用现有的五类和超五类布线及六类布线。为支持远距离,千兆位以太网可以使用光纤电缆。
NETGEAR提供全系列经济的千兆位以太网产品,包括非管理型和管理型第二层和第三层交换机及基于PCI的适配器。
1.13.2安全套接字层 (SSL) VPN
建立安全的远程接入链路可能非常困难。完全符合IPSec标准的VPN涵盖了许多不同的技术。其中一个备选方案是安全套接字层 (SSL) VPN,它使用SSL Web服务器标准,而不是IPSec。其概念相当简单:即使用每个网络浏览器中内置的加密和认证功能,安全地远程访问企业应用。在SSL VPN中,浏览器可以直接访问应用和网络,而没有复杂的设置。网络浏览器正日益作为商业应用的前端使用,如Siebel、Oracle及其它应用。
通过把基于SSL的网络浏览器与安全网关结合起来,端接连接,提供策略实施和访问控制,SSL VPN可以从任何地方,如家用电脑、酒店商务中心、网络咖啡屋或商业伙伴的局域网访问基于网络的传统客户端/服务器及终端应用,而不需使用IPSec VPN客户端。IPSec一般限定每个用户使用一台机器,而SSL VPN则可以从几乎任何基于浏览器的系统中操作。SSL VPN的安全性要比IPSec差,但提供了更高的灵活性,它可以从一体机中、在家中或在上班时使用,而不需加载任何客户端软件。网上购物的信用卡交易使用SSL,对通过互联网发送的数据加密,已经被金融机构广泛使用,作为传输敏感数据的一种安全手段。
1.13.3IP语音 (VOIP)
IP语音或VoIP是炒作了很长时间的一种技术,但只是最近才成为主流的商业解决方案。它通过互联网实现语音电话服务(或在专用局域网或广域网内部)。在VoIP呼叫中,语音转换成数据包,通过互联网路由到VoIP服务供应商。这个供应商把呼叫连接到电话系统上,如果用户属于同一通话系统,呼叫将通过互联网路由到另一个通话方。
VoIP较传统电话系统提供了许多优势,包括:
4 通话费一般较低: 许多VoIP服务的价格很低。例如,VoIP呼叫对长话和国际长话每分钟只收取几美分的费率,或对所有国内通话收取统一费率。
4 高级电话功能: 大多数VoIP系统提供一长串标准功能,包括语音邮件、主叫线路识别、三方通话、呼转、呼叫等待、电脑话务员等等。
4 融合应用: 可能用户最感兴趣的领域是电脑电话集成(CTI)。语音邮件表现为电子邮件,因此可以转发,在电话振铃时,将显示主叫人相关联系信息,可以创建自动通话记录,等等。
4 独立于位置: VoIP电话可以连接远程办公室,就象实现了“虚拟办公室”。系统提供一个号码,可以在一个或多个地方振铃,另外还提供了其它多站功能。
4 简便的灵活性: 在传统电话中,移动、增加和变动(MAC)要求由经过全面培训(高薪)的技术人员实现,而在VoIP系统中,MAC可以简便完成。许多公司正是因为MAC节约的成本,才选择了VoIP系统。
VoIP的一个基础IP协议是差异化服务或Diffserv,它使用第三层信息提供服务质量保障(QoS)。通过使用Diffserv,交换机可以在逐包基础上识别业务,为具有规定的高优先业务标记的分组提供更高的优先级,共有64种优先级。通过NETGEAR软件,管理员可以简便地为每类业务分配相应的优先权。许多厂商使用Diffserv协议。例如,Cisco、Avaya和朗讯的VoIP应用还使用差异化服务协议标记业务,因此NETGEAR交换机可以成为这些VoIP解决方案的集成组成部分。
以太网在线供电 (PoE) 是VoIP的另一种基础技术。IEEE 802.3af PoE标准规定了可以怎样沿着同一条网络电缆提供数据和电源。通过网络电缆为VoIP电话远程供电可以象传统电话系统一样,即使某个区域停电,话机仍能保持供电和运行。这一般要求解决方案中带有不间断电源(UPS)。 NETGEAR为中小型企业VoIP系统提供了非管理型和管理型以太网在线供电交换机。NETGEAR第三层管理型PoE交换机符合IEEE 802.af标准,通过集成以太网交换、QoS和话机电源,简化了企业部署IP电话的工作。
1.13.4以太网在线供电 (POE)
所有网络设备都同时要求数据连接和电源,才能运行设备。举一个大家熟悉的例子,电话通过承载语音的同一条双绞线从电话局供电。现在,通过使用以太网在线供电(PoE),也可以在以太网设备中实现这一点。供电和数据交换集成到一台设备中,通过一条电缆传送,消除了增加交流电源线的费用,降低了安装时间。
PoE也称为在线供电,是通过标准局域网布线设施把功率和数据结合在一起的IEEE 802.3af全球标准。PoE技术可以把数据和电源集成到局域网上。它为互联网协议(IP)电话、无线局域网接入点(AP)、IP监控摄像机和采用现有五类布线的其它以太网设备提供可靠的不间断电源。以太网在线供电完全兼容现有的以太网交换机和网络设备。PoE技术不会降低网络数据通信性能或降低网络范围,不需在所有地方都提供交流电源。
PoE功能降低了许多新型网络生产效率设备的安装成本。PoE使无线接入点和以太网摄像机等设备部署不会由于电源插座位置而受到限制。PoE适配器可以简便地扩展无线局域网的范围。它们提供了理想的方式,把接入点放在大楼天花板或阁楼中,优化无线覆盖范围,使其更接近天线,而不要求附近的交流电源插座。
在网络中引入以太网在线供电非常简便。
所有设备都进入配线间,在这里,边缘交换机连接联网的设备。如果要扩展或升级网络设备,可以购买把PoE集成到10/100或10/100/1000端口中的以太网交换机或模块。这些端口声称具有在线供电功能。它使用连接供电设备(PSE)的网络电缆供电,供电设备一般包括在交换机内部。
由于PSE测试联网设备是否具有PoE功能,因此只有在电缆另一端是兼容的被供电设备时,才会传输电源。它还持续监测信道,如果被供电设备没有吸收最小电流,可能是由于设备被拔下或关机,PSE会关断到该端口的电源。标准还允许被供电设备向PSE发送信号,指明它们需要多少功率。如果交换机没有PoE端口,通过在连接点之间增加中间跨度模块,如PowerDsine提供的模块,PoE设备仍可以通过电缆供电。
还可以增加管理功能,监测和控制PoE功率。
管理功能可以采用简单网络管理协议(SNMP)或通过定制平台,集成到标准网络管理平台中。除基本电源控制外,管理站还提供了其它电源管理功能,如电源QoS,在掉电时,关键用户将优先获得供电。
NETGEAR提供具有PoE功能的交换机,为无线接入点、VoIP电话、IP监测摄像机和其它基于IP的设备供电。
以太网在线供电的好处
4 设备只有一套线缆,简化了安装工作,节约了空间。
4 不需聘用高薪电气人员,安装额外的电源插座或为满足电气人员的时间表而推迟安装,进而节约时间和资金。
4 PoE网络设备可以简便地迁移到可以敷设局域网电缆的任何地方,对工作空间的影响达到最小。
4 通用电源(UPS)即使在市电失效时仍能保证为设备供电。
4 可以使用SNMP网络管理设施,监测和控制PoE设备。
4 可以远程关闭或复位PoE设备,而不需复位键或电源开关。
4 在无线局域网系统中,PoE简化了RF调查任务,因为可以简便地移动和布线接入点,它可以放在最优位置,如放在天花板或墙上,即使附近没有电源插座或扩展线。
安装VoIP电话
通过PoE,IP电话变得更加可靠,安装成本更低,使企业公司能够节约数千美元的通信设施费用。PoE可以安装IP电话手机,不需单独的以太网链路和专用交流电源插座。IP电话插入以太网交换机中,以太网交换机提供数据和电源,PC连接到话机上的以太网端口。由于简化了安装工作,同时由于可以迅速简便地计算这些技术的投资回报,预计PoE和VoIP的采纳速度将加快。
安装无线局域网接入点
PoE技术不需在不平常的地点提供电源插座,可以通过网络布线设施为WLAN接入点供电。这就不再需要单独的电源和数据电缆设施及在接入点附近有昂贵的交流插座,也不再需要电气人员。由于接入点可以安装在最有效的地方,而不是安装在交流插座所在的地方,还可以减少昂贵的接入点的实际数量,进一步降低了无线局域网的实现成本。
安装网络安全摄像机
以太网在线供电技术允许通过网络布线设施为支持局域网的设备供电,而不需要单独的电源和数据电缆设施及在摄像机附近有昂贵的交流电源插座。
在传统上,网络摄像机一直安装在开放的很高的地方,如走廊天花板、机场、会议中心、走廊、礼堂、建筑物屋顶等地方。由于能够把网络摄像机安装在最有效的地方,而不是交流插座所在的地方,还可以减少摄像机的实际数量,进一步降低监控实现成本。
1.13.5最新的和新兴的无线标准
1.13.5.1802.11i
802.11i 于2004年7月获得IEEE最终批准,与WEP和WPA标准相比改善了安全性,并增加了支持AES加密的协议。如需更多信息,请参阅安全部分。
1.13.5.2802.11e
为局域网应用提供了服务质量保障(QoS)支持,这对延迟敏感的应用至关重要,如无线IP语音(VoWIP)和视频流。该标准将为数据、语音和视频应用提供服务类别及管理的QoS水平。该标准适用于802.11a/b/g协议。
1.13.5.3802.11n
这是802.11ag的后续标准,它提供了最低100 Mbps的实际吞吐量。该标准是为要求超高吞吐量的应用设计的,如流式视频和高清电视,目前各标准小组仍在广泛讨论这一标准,预计将在2006年最终批准。
1.13.5.4多进多出(MIMO)
MIMO使用多个天线,明显提高了覆盖范围和性能。它可以用于802.11a网络或802.11b/g网络中。MIMO利用门、墙、天花板等(称为多路径)反射的无线电波,创建虚拟信道,接入点使用虚拟信道,改善速度和覆盖范围。这是802.11n正在考虑的多种技术之一。
1.13.5.5RangeMax™
RangeMax™ 技术是在无线产品当中采用七根内置天线的一种极为高级的智能的MIMO多入多出技术。RangeMax™ 能持续实时监测整个无线网络当中每一个无线客户端当前的射频干扰,使用位置和网络架构的变化,智能的调整天线模式以避免由于这些环境的变化而造成的性能受损,可从多达127种可能的天线配置方式中选择最高速,最清晰的连接,从而可确保在无线局域网络当中的客户可得到超快的,稳定的无线网络连接,保持高品质的应用。RangeMax™ 能自动感应网络运行环境,同时调整天线配置,减少盲点,优化信号的接收。
1.13.5.6WiMax论坛
WiMAX论坛是业内领导的非营利机构,旨在促进和认证在固定无线宽带互联网服务中采用IEEE 802.16和ETSI HiperMAN无线MAN规范的宽带无线产品的兼容能力和互操作能力。论坛的目标是加快向市场上推出这些设备。WiMax定位成xDSL和线缆宽带服务的替代方案,其优势在于,它不要求在家中或企业中敷设电缆。它也称为“最后一英里”技术。WiMAX论坛认证的产品完全可以互操作,支持城域宽带固定和便携应用。如需与WiMAX论坛及其活动有关的更多信息,请访问:www.WiMAXForum.org。
1.13.5.7IEEE 802.16, 802.16e和802.20
在Wi-Max论坛的敦促下,802.16固定宽带无线标准于2004年6月获得最终批准,现在提供了支持互联网服务的协议,其与线缆和DSL调制解调器类似。它以无线方式在连接任一端的接收设备之间传送信号,而不是通过DSL或线缆在服务供应商和客户之间传送信号。在这种情况下,仍要求Wi-Fi设备(如802.11g),才能无线接入局域网。802.16和其它固定宽带无线技术处理WAN连接或ISP和客户之间的连接。
基于这一规范的产品预计将在2005年上市。IEEE 802.16e是仍在开发的一个规范版本,预计将在今年结束。它增加了移动功能,包括适合移动操作和基站间快速切换的更加强健的无线链路。一旦802.16e完成,它将在类似服务中达到或超过蜂窝电路的功能。
IEEE 802.20也提供了移动宽带功能,但远远落后于802.16e的功能,802.20是否会获得广泛的市场接受还不明朗。
2第二章 词汇表
以下排列顺序按词汇的英文单词进行
2.1数字
802.11标准
802.11是IEEE为无线局域网技术开发的一系列规范。802.11规定了在无线客户端和基站之间或在两个无线客户端之间通信使用的空中接口。IEEE在1997年接受这一系列规范。802.11系列中包括多种规范:
n 802.11 – 适用于无线局域网,使用跳频扩频(FHSS)或直序扩频(DSSS)技术,在2.4 GHz频段中提供了1或2 Mbps的传输能力。
n 802.11a – 扩展了802.11,适用于无线局域网,在5 GHz频段中提供了最高54 Mbps的传输能力。802.11a采用正交频分复用编码方案,而不是FHSS或DSSS。
n802.11b -- 扩展了802.11,适用于无线局域网,在2.4 GHz频段中提供了最高11 Mbps的传输能力(能够回落到5.5, 2和1 Mbps)。802.11b仅使用DSSS。
n 802.11g -- 适用于无线局域网,在2.4 GHz频段中提供了54 Mbps的传输能力。
n 802.11n – 适用于无线局域网,提供了100+Mbps的带宽,在2.4和5GHz频段中运行,预计将在2005年下半年提供。
802.11a标准
IEEE制订的在5 GHz频率范围 (5.725 GHz - 5.85 GHz)内运行、最大数据传送速率为54 Mbps的无线网络规范。5 GHz频段不象2.4 GHz频率那样拥挤,因为802.11a规范比802.11b和802.11g多提供了另外9条无线信道。这些新增的信道可以帮助避免无线电和微波干扰。
802.11b标准
在2.4 GHz频率范围 (2.4 GHz - 2.4835 GHz)内运行、提供高达11 Mbps吞吐量的无线网络国际标准。这是一种非常常用的频率。微波炉、无绳电话、医疗设备和科学设备及蓝牙设备都在2.4 GHz频段内运行。
802.11d标准
802.11d是一种IEEE标准,它补充了802.11中的介质访问控制(MAC)层,促进在全球范围内使用802.11 WLAN。它还允许以客户端设备可以接受的功率传达与允许的无线信道有关的信息。设备将根据地理要求自动进行调节。11d的目的是增加功能和限制,允许WLAN在这些国家的规定范围内运行。设备制造商不想生产专用于各个国家的产品,出差的用户不想装满一袋子各国专用的WLAN PC卡。因此制造商和用户使用各国专用的固化软件解决方案。
802.11e标准
802.11e是提议的一项IEEE标准,它为无线设备定义了服务质量保障(QoS)机制,支持语音和视频等带宽密集型应用。
802.11g标准
兼容802.11b设备,这种物理层标准提供了高达54 Mbps的吞吐量。它还在2.4 GHz频段内运行,但采用不同的无线技术,以提升整体带宽。
802.11i
这是IEEE任务小组实现WLAN安全标准化的专用名称,它改善了加密功能,定义了RADIUS或802.1x认证协议。802.11i采用EAP (可扩展认证协议)端到端传输无线NIC和无线接入点之间使用的认证方法。802.11i 采用802.1X (EAPoL)封装无线以太网承载的这些EAP消息。802.11i标准还要求新的加密密钥协议,称为临时密钥完整性协议(TKIP)和高级加密标准(AES)。IEEE在2004年6月正式批准802.11i标准。
802.11n标准
这个IEEE官方任务小组成立于2003年10月,也称为802.11n或100 Mbps+无线物理层标准协议"TGn"。目前公布的批准日期是2005年12月。现在还没有编写任何草议的规范,第一版草议建议书在2004年9月审核。
802.1p
针对局域网(LAN)的IEEE协议。这个第二层网络标准改善了对时间关键型业务的支持,把高带宽组播业务的范围限定在桥接的局域网内部。为此,802.1P为引入业务类别优先权定义了一种方法。802.1P标准允许在所有802 MAC协议(以太网, 令牌总线, 令牌环)及在FDDI中定义优先权。对不包含优先权字段的协议(如以太网),802.1P规定了一种方法,根据802.1Q (VLAN)标准中定义的新字段指明帧的优先权。
802.1Q VLAN
针对虚拟局域网 (VLAN)的IEEE协议。这一标准提供了VLAN标识和服务质量(QoS)等级。它在以太网帧中增加4个字节,支持八个优先级(QoS),识别最多4096个VLAN。如需更多信息,请参阅第25页的“VLAN”。
针对WLAN的802.1x和EAP认证
为加强用户之间相互认证,WPA、WPA2和802.11i 实现了802.1x和可扩展认证协议(EAP)。这些实现方案相结合,提供了强大的用户认证框架。这个框架采用中央认证服务器,如RADIUS,在加入网络前认证网络上的每个用户,另外它还采用“相互认证”,这样无线用户就不会意外地加入可能会窃取网络的流浪网络。
802.3af以太网在线供电 (PoE)
PoE是指局域网设施能够通过铜缆以太网电缆为终端(被供电设备)同时提供数据和电源。IP语音 (VoIP)电话和无线接入点都可以从PoE功能中受益。VoIP电话需要远程供电,以保证在本地电源失效时正常运行。无线网络可以利用PoE可望实现的灵活性。在放在没有提供电源的地方时,接入点通常可以提供最大的覆盖范围,PoE使这一点成为可能,而不需重新对大楼布线。IP电话和无线接入点是PoE最明显的用途,同时IEEE802.3af PoE标准化的推进,为新一代网络相连设备打开了大门,如录像机、售点设备、安全访问控制(卡扫描仪)、楼宇自动化和工控自动化等等。
10Base-T
一种IEEE标准(802.3),通过三类、四类或五类双绞线电缆及布线枢纽(称为10Base-T集线器)运行10 Mbps以太网络。
100BASE-FX
针对光纤电缆承载的100 Mbps快速以太网的IEEE规范。
100BASE-TX
针对五类双绞线电缆承载的100 Mbps快速以太网的IEEE规范。
1000BASE-SX
针对光纤电缆承载的1000 Mbps千兆位以太网的IEEE规范。
1000BASE-T
针对五类双绞线电缆承载的1000 Mbps千兆位以太网的IEEE规范。
10GB以太网
一种新兴高速网络标准,采用大容量电缆提供高达10,000 Mbps的数据传送速率。
32位
描述了操作系统执行操作使用的位数。这一术语还用来描述运行操作系统的微处理器。
2.2A
接入点 (AP)
可以把有线局域网连接到一个或多个无线设备上的无线局域网收发机或"基站"。接入点还可以相互桥接。接入点分成各种类型,也称为基站,可以用于无线网络和有线网络中,包括网桥、集线器、交换机、路由器和网关。它们之间的差异并不是恒定不变的,因为与一种设备有关的某些功能也可以增加到其它设备中。例如,路由器可以进行桥接,集线器也可以是交换机。但是,它们都需要保证数据从一个位置传送到另一个位置。
网桥连接的是采用同一类协议的设备。路由器可以连接采用不同协议的网络。它还读取分组中包括的地址,把它们路由到相应的计算机工作站上,并与网络中其它路由器协作,选择最佳的路径发送分组。无线集线器或接入点增加了许多功能,如漫游,为各种客户端提供了网络连接,但它不分配带宽。
适配器
网络适配器用来把计算机连接到网络上。"适配器"一词最初是因为PC使用的以太网卡而流行开来的。现在,网络适配器具有更加广义的概念,包括了PCMCIA设备 (也称为信用卡或PC卡适配器)和模拟无线设备。某些网络适配器是模拟网卡功能的软件包,这些适配器称为虚拟适配器,在虚拟专用网(VPN)中特别常用。适配器也称为:NIC,网卡。
ADSL
ADSL是一种特定形式的数字用户线(DSL)服务,它在下行方向(从供应商到消费者)提供了更高的带宽,但在上行方向(从消费者到供应商)提供了较少的带宽。ADSL利用了家庭用户典型的上网模式,他们通常下载大量的网站数据,而上传的数据量相对较少。在其它方面,ADSL拥有与DSL相关的所有特点,包括"一直在线"的语音和数据服务组合,其可用性受到物理距离的限制,与模拟调制解调器相比上网速度高。ADSL在技术上能够支持最高6 Mbps (大约6000 Kbps)的带宽,但采用该服务的客户实际上一般会在下载中实现2 Mbps或更低的带宽,在上载中实现512 Kbps的带宽。ADSL也称为不对称数字用户线。
特定模式
在无线局域网中提供独立对等连接的一种客户端设备。另一种方案是PC通过接入点相互通信。参见接入点和基础设施模式。
地址解析协议(ARP)
把互联网地址动态映射到局域网上的物理(硬件)地址的一种互联网协议。它是一种低层协议(OSI模型的第二层),通常在网络操作系统的设备驱程中实现。ARP在以太网络上最为常见,但ATM、令牌环网和其它物理网络也实现了ARP。讨论ARP (用于以太网)的第一个RFC是RFC 826。亦指设备驱程使用的高级网络设备层/软件。
AES (高级加密标准)
比利时密码学家Joan Daemen和VincentRijmen研制的一种对称的128位码组数据加密技术。美国政府在2000年10月采用这一算法作为其加密技术,代替了其使用的DES加密。AES同时在多个网络层工作。美国商务部国家标准和技术学会(NIST)从考虑的一组5种算法中选择这一算法,称为Rijndael (读作Rhine Dahl或Rain Doll),这一组算法中还包括IBM大型研究团队开的MARS算法。AES预计将在2003年作为WLAN加密方法代替WEP。
老化
在交换机查表中增加一个节点项目时,它会分配一个时戳。每次从节点中接收分组时,都会更新时戳。交换机带有用户可配置的定时器,会在该节点没有活动一定时间之后擦除该项目。
天线 - 定向
不在天线正面发送和接收无线电波。降低了天线后面和天线侧面的功率。覆盖区域呈椭圆形,天线在窄的一端。典型的定向天线波束宽度角是90° (稍些定向)到最低20°(非常定向)。定向天线引导功率方向,以集中某个方向上的覆盖模式。天线方向使用称为波束宽度的覆盖模式角指定。
天线 - 单向
发送和接收所有方向中的无线电波。覆盖区域是圆形,天线位于中心。单向天线也称为鞭状天线或小型天线。
应用编程接口
API是程序员使用的链接应用程序提供的功能的接口。
区域边界路由器
位于一个或多个OSFP区域边界、把这些区域连接到骨干网上的路由器。ABR被同时视为OSPF骨干和相连区域的成员。因此它们保持同时描述骨干拓扑和其它区域拓扑的路由表。
关联
确定无线连接能否存在及确定无线网络的根和指定接入点的过程。只要开机或移动到覆盖范围内,移动单元将与无线网络建立关联。
自动协商
通过连接到也支持自动协商的端口上,链路可以自动配置成最优设置。
自动感应
同时支持传统以太网和快速以太网的网络适配器,即所谓的10/100适配器,会选择其通过自动感应的程序运行的速度。自动感应需要采用低级信令技术探测网络选择兼容以太网速率的能力。自动感应是为了更简便地从传统以太网演进到快速以太网产品而开发的。自动感应是10/100集线器、交换机和NIC的一种功能。在第一次连接时,这些设备会自动相互交换信息,以协商确定共同的设置。如果网络支持,设备以100 Mbps速率运行,否则它们会下降到10 Mbps,以保证“最低的公共”性能。许多集线器和交换机都能够逐个端口进行自动感应:在这种情况下,网络上的部分计算机可以以10 Mbps速率通信,其它计算机可以以100 Mbps速率通信。10/100产品通常具有两个不同颜色的LED,表明目前正在活动的速度设置。自动感应也称为自动协商。
自动上连
允许双绞线端口感应是否需要正常(MDI-X)连接或上连 (MDI)连接、并进行正确连接的一种功能。它适用于直通电缆或交叉电缆。
AVL树
二进制树,其特点是对树中的任何节点,该节点左边子树和右边子树的高度之差不超过1。
2.3B
骨干
通信网络中用于及设计成承载大容量业务的部分。连接企业级网络的多个子网。
骨干路由器
设计用来使用租赁线路构建骨干网络的路由器。一般没有任何内置数字拨号WAN接口。
带宽
网络在任何时点提供的传输容量。提供的带宽取决于多种变量,如联网设备之间的数据传输速率、网络开销、用户数量及把PC连接到网络上使用的设备类型。它与管线的类似之处在于,其容量取决于规格:管道越宽,可以流过的水量越大;网络提供的带宽越多,可以流过的数据量越多。标准802.11b提供了11 Mbps的带宽;802.11a和802.11g提供了54 Mbps的带宽。
波特
线路的信号传送速率,也就是每秒转换数量(电压或频率变化)。也称为线路速度。
信标
接入点进行的一种单帧系统分组广播,以保持网络同步。信标包括Net_ID (ESSID)、接入点地址、广播目的地址、时戳、DTIM (传送业务指示图)和TIM (业务指示消息)。
每秒位数(bps)
根据每秒可以发送或接收的位数衡量通信线路上数据传输速率的单位。每秒位数(bps)经常与每秒字节数(Bps)相混淆。“位”是衡量传输速度的指标,而“字节”则是衡量存储功能的指标。8位构成一个字节,因此如果无线网络的运行带宽是每秒11兆位(11 Mbps或11 Mbits/秒),那么它会以每秒1.375兆字节(1.375 Mbps)发送数据。也称为:每秒位数, bits/秒, bits/s; 每秒字节数, 字节/秒, 字节/s。
蓝牙无线技术
把便携式计算机、个人数字助理(PDA)和移动电话连接起来,以透过全球无线频段短程传输语音和数据,而不需使用线缆的一种技术规范。蓝牙是2.4 GHz频谱中的一种跳频技术,其支持30英尺的距离及最高11Mbps的原始数据吞吐量。
Bootstrap协议 (BootP)
一种互联网协议,通过这种协议,无盘工作站可以发现自己的IP地址、网络上BootP服务器的IP地址及要加载到存储器中的文件,以引导机器。工作站不要求硬驱或软驱就可以引导。
边界网关协议
BGP是自治系统网络中的网关主机(每个主机都有自己的路由器)之间交换路由信息的一种协议。BGP协议通常用于互联网上的网关之间。路由表包含一个已知路由器列表、其可以到达的地址以及与到达每台路由器的路径有关的经济指标,从而可以选择最佳的路由。采用BGP的主机采用传输控制协议(TCP)通信,只有在已经检测到一个主机变化时才发送更新的路由表信息。它只发送受影响的路由表部分。BGP-4是最新版协议,允许管理员根据策略语句配置经济指标。(BGP-4有时称为BGP4,中间没有“-”) BGP使用内部BGP (IBGP)与自治(本地)网络通信,因为其不太适合IGP。自治网络内部的路由器会维护两个路由表:一个用于内部网关协议,另一个用于IBGP。BGP-4可以简便使用无类域间路由,无类域间路由提供了一种途径,使网络内部的地址数量超过当前的IP地址分配方案。
网桥
把一个局域网(LAN)连接到采用相同协议(如无线协议、以太网或令牌环)的另一个局域网上的产品。通常使用无线网桥把园区中的多座大楼连接起来。
桥接协议数据单元
BPDU是IEEE 802.1D MAC桥接管理协议,这是STP(生成树协议)的标准实现方案。它使用STP算法,保证网络拓扑中的物理环路不会导致网络业务逻辑循环。BPDU使用配置为根、供参考的网桥,把构成网络环路的两个网桥中的一个网桥切换成备用模式,这样潜在环路只有一侧传送业务。通过检查频繁的802.1d配置更新,如果构成环路的其它网桥失效,处于备份模式的网桥可以自动切换成转发模式。
桥接与路由
桥接是把分组传送到其它网段、而与网络操作系统无关的过程。桥接式分组传送到OSI模型的数据链路层,这与路由式分组相反,路由式分组传送到网络层。在存在不同网络操作系统的环境中,如Appletalk和NetWare之间,网桥可以在网络之间传送数据,但不能把分组一直传送到网络上;路由则可以把分组传送到网络中的不同地址。管线可以同时执行桥接功能和路由功能。如果管线设成路由IP,也就是把分组传送到网络中确切的IP地址,那么在启动桥接时,管线将传送除IP分组之外的所有分组。类似的,如果管线设成路由IPX分组,在启动桥接时,将桥接除IPX分组之外的所有分组。在启动路由时,必须指定网络协议,因为路由与网络有关。可以关闭路由,启动桥接,这会导致桥接所有分组。如果您只使用管线,那么网络两端必需使用相同的网络协议。
宽带
宽带是指通过一条公共线路承载多条数据信道的任何类型的传输技术。例如,DSL服务通过一条电话线把单独的语音信道和数据信道结合在一起。在DSL中,语音填充频谱的低端,数据填充高端。在家庭网络中,"宽带"通常是指使用这种传输技术进行高速上网。DSL和线缆调制解调器都是常用的宽带互联网技术。所谓的宽带路由器和宽带调制解调器,是指同时支持DSL和电缆的网络设备。
宽带路由器
宽带路由器把传统网络交换机、防火墙和DHCP服务器的功能结合在一起。宽带路由器是为方便地设置家庭网络而设计的,特别是采用高速电缆调制解调器或DSL互联网服务的家庭。宽带路由器支持文件共享、互联网连接共享和家庭局域网游戏。宽带路由器遵守家庭网络采用的以太网标准。传统宽带路由器要求在路由器、宽带调制解调器及家庭局域网上每台计算机之间敷设以太网电缆。广播分组A将发送到网络中所有设备上。
广播风暴
同时进行的多个广播,其一般会吸干所有可用的网络带宽,可能会导致网络失效。广播风暴可能是由于有问题的网络设备或网络环路引起的。
2.4C
CAM
连续识别模式:命令适配器连续检查网络活动情况的模式。
容量规划
确定当前解决方案能否满足未来需求。容量规划包括评估潜在工作负荷和基础设施变化。
插卡和套接字服务
与主计算机操作系统一起运行的套件,使无线局域网适配器能够接口主计算机配置和功率管理功能。
五类或CAT5
五类是电子工业协会和电信行业协会(通称为EIA/TIA)制订的一项以太网电缆标准。五类是第五代双绞线以太网电缆,也是当前使用的所有双绞线电缆中最流行的电缆。五类电缆包含4对铜线。五类支持快速(100 Mbps)以太网和类似的网络技术,如ATM。与所有其它类型的双绞线 EIA/TIA布线一样,五类电缆的走线距离限于100米(328英尺)的建议最大走线距离。尽管五类电缆通常包含4对铜线,但快速以太网通信只使用两个线对。新的五类电缆规范 – 超五类 (CAT5e)通过利用全部4个线对,支持短程千兆位以太网(1000 Mbps),并向下兼容普通的五类布线。双绞线电缆(如五类)分成两大类,即实芯线和多股线。实芯五类电缆支持的走线距离较长,最适合固定线序,如办公大楼。多股五类电缆则比较柔软,更适合距离较短的活动线缆,如飞线“接插”线缆。尽管目前业内正在开发六类和七类等新型电缆技术,但五类电缆一直是流行的选择,因为其不仅非常经济,而且速度非常快,足以满足当前的局域网需求。
容量规划
确定当前解决方案能否满足未来需求。容量规划包括评估潜在工作负荷和基础设施变化。
CDMA和TDMA
在北美使用的广域网无线通信码分多址和时分多址标准。
认证中心 (CA)
认证中心是提供证书、并为检验其真实性提供机制的组织。证书认证是计算机使用预先分配的证书(任何基于X.503的证书,如Entrust, Verisign, Baltimore等)的一种方法,这对使用基于IPSec的认证算法必不可少,以用来生成在两台VPN设备之间交换的密钥。它被公认为比较安全的认证方法。
校验和
一种简单的错误检测方案,其中根据消息中设置的位数使用数字值识别传输的每个消息。然后接收站对消息应用公式,并进行检查,保证所附数字值是相同的。如果不同,接收机会认为消息已经被破坏。
电路交换
在两个或两个以上的用户之间建立一条电路、并保持电路打开的过程,以便使用户能够独占及全面使用这条电路,直到用户拆线。
服务类型
描述怎样以不同的服务优先等级处理不同业务类型的术语。业务优先权越高,在交换机拥塞期间处理的速度越快。
客户端或客户端设备
连接到网络上、请求从网络其它成员获得服务(文件、打印功能)的任何计算机。客户端是最终用户。Wi-Fi客户端设备包括插入计算机中的PC卡、嵌入计算机和移动计算设备的迷你PCI模块以及USB和PCI/ISA总线Wi-Fi无线电。客户端设备通常与集线器设备通信,如接入点和网关。
碰撞
用来描述以太网络内部两个碰撞分组的术语。碰撞是以太网正常操作的一部分,但碰撞数量突然长时间提高可能表明设备发生问题,特别是碰撞提高没有伴以业务量正常提高时。
碰撞避免
这是一种网络节点特点,它主动检测能够发送信号,而没有碰撞风险,从而保证更加可靠的连接。
命令行界面 (CLI)
CLI是配置系统使用的行项目界面。(在LVL7中,这是一个可编程的用户界面,允许编程人员配置自己的系统)。
公共开放策略服务协议(COP)
提议的一种标准协议,作为整体服务质量(QoS)的一部分,在网络中的策略判定点(PDP)和策略实施点(PEP)之间交换网络策略信息,服务质量则是指根据希望的服务优先次序分配网络业务资源。策略判定点可以是直接由网络管理员控制的网络服务器,网络管理员输入与哪类业务(语音、大容量数据、视频、电话会议等)有关的策略语句,应该获得最高的优先权。策略实施点可以是在业务通过网络传送时实现策略选择的路由器或第三层交换机。目前,COPS设计成与资源预留协议(RSVP)一起使用,RSVP允许您为临时高带宽要求(如视频广播或组播)提前分配业务优先权。COPS可能会扩展成通用策略通信协议。
网上内容过滤
路由器根据预先确定的一套规定拒绝服务接入网站的能力。可以通过多种方式完成网上内容过滤。部分比较流行的过滤方法包括根据网页网址、根据网址内部的关键字及根据一天中的时间及周几进行过滤。
交叉电缆
用来对两台计算机组网、而不需使用集线器的专用电缆。把电缆或DSL调制解调器连接到无线网关或接入点可能也要求使用交叉电缆。信号并不是使用并行路径从一套插头传送到另一套插头,而是“交叉”的。例如,如果使用8线电缆,信号会在电缆一端的针脚1上开始,在另一端的针脚8上结束。它们从一侧到另一侧“交叉”进行。
CSMA-CA (载波检测多路访问)
CSMA/CA是IEEE 802.11 WLAN采用的主要介质访问方法。它是一种“在通话前先侦听”的方法,以使多个无线电同时传输导致的碰撞达到最小(但不是消除)。IEEE 802.11规定了必须使用碰撞避免方法(而不是碰撞检测),因为该标准采用半双工无线电,无线电能够传输或接收信号,但不能同时传输和接收信号。与传统有线以太网节点不同,WLAN工作站不能在传输时检测碰撞。如果发生碰撞,传输站不会从预计的接收站中收到确认分组。为此,ACK分组的优先权要高于所有其它网络业务。在数据传输结束后,接收站将开始传输ACK分组,然后其它节点才能开始传输新的数据包。所有其它工作站在传输前必须等更长的伪随机周期。如果没有收到ACK分组,发射站将等待后续机会重试传输。
CSMA-CD (载波检测多路访问/碰撞检测)
管理以太网上的业务及降低以太网上的噪声的一种方法。在检测到信道可用后,网络设备会开始传输数据。但是,如果两台设备同时传输数据,那么发送设备会检测到碰撞,在随机时间延迟之后会重传。
2.5D
数据加密标准(DES)
一种标准加密技术,它把数据加扰成通过公共网络传输的代码,广泛用于商用系统中。它是一种联邦FIPS标准,因此被视为被许多金融机构接受。但是,其密钥长度(56位)使其很容易受到资金实力雄厚的敌手的攻击。
解密
解密是对收到的加密数据进行解码和解扰的过程。同一台设备、主计算机或前端处理器通常会同时执行加密和解密。
拒绝服务 (DoS)
从一台或多台PC发送的分组或服务请求,导致目标PC或服务器功能中断。采用DoS的方式之一是毫不留情地“ping”目标服务器 (称为“死Ping”),要求目标服务器对ping作出响应。如果有足够的请求ping,这台不幸的服务器将不能足够迅速地对ping作出响应,同时执行其它功能。其结果即拒绝服务。
设备应用编程接口 (DAPI)
DAPI是一个软件接口,便于在应用层和HAPI之间沟通数据和控制信息,并具有系统支持。
Diffserv (差异化服务)
Diffserv是根据服务类型指定和控制网络业务的协议,以便能够优先处理某些类型的业务,如语音业务要求相对不间断的数据流量,可以较其它类型的业务得到优先处理。差异化服务是根据服务类型 (CoS)管理业务的最先进的方法。与802.1P标记和服务类型(ToS)等早期机制不同,差异化服务避免使用简单的优先权标记,而根据更加复杂的策略或规则声明,确定怎样转发给定的网络分组。这有点类似于旅游服务,一个人可以选择不同的旅游方式,如乘火车、乘公共汽车、乘飞机,舒适程度、旅游线路中的停靠次数、备用状态、旅游的时间和日期等等都有所有不同。在一套分组的传送规则一定时,分组将被授予64种可能转发行为中的一种,称为逐跳行为(PHBs)。互联网协议(IP)包头中的6位字段,称为差异化服务代码点(DSCP),会为给定的分组流量指定逐跳行为。差异化服务和服务类型方法提供了一种业务控制方式,其灵活性和扩充能力都要高于服务质量保障方法。
数字加密标准(DES)和三重DES (3DES)
DES是数据通信使用的加密技术,其中发送方和接收方都必须知道相同的保密密钥,保密密钥可以用来加密和解密消息,或生成和检验消息认证代码。NETGEAR DES加密采用56位密钥。另一方面,3DES或“三重DES”是DES的变通方案,它采用168位密钥,其数据传输安全程度要高于DES。安全专家认为,三重DES几乎不可能被突破。它还要求高得多的处理能力,导致时延提高和吞吐量下降,除非提供硬件加速功能
DHCP (动态主机配置协议)
一种辅助工具,使服务器能够从预先定义的列表中动态分配IP地址,并限制其使用时间,以便能够重新分配。如果没有DHCP,IT经理将不得不为网络上的所有计算机手动输入所有IP地址。在使用DHCP时,在计算机登录网络时,它自动获得分配的IP地址。
直序(DS)
DS为要传输的数据的每个位生成一个冗余的码型。通常称为“码片”或“码片代码”,这个码型为每个信息位分配10个码片。这类传输可以在无线互联网接入、视频流和大型文件传送等应用中实现11 Mbps的高速传输。与跳频相比,直序技术的吞吐量更高,范围更宽,可以在2.4GHz频段中升级。
分集天线
一种天线系统,它使用两个天线,最大限度地提高接收和传输质量,降低干扰。
DNS (域名系统)
通过访问互联网服务器集合上维护的数据库,把网址翻译成IP地址的一种程序。这个程序在幕后操作,使用数字地址、而不是字母地址加快上网速度。DNS服务器把mywebsite.com的名称转换成类似107.22.55.26的一串数字。每个网站在互联网上都有自己特定的IP地址。
域名
描述互联网上的一个地址或一组地址的名称。域名采用的形式是注册实体名称+预先定义的顶级后缀号码,如.com, .edu, .uk等等。例如,在地址mail.NETGEAR.com中,mail是服务器名称,NETGEAR.com是域。
DSL (数字用户线)
我们常用的技术是不对称版本的这种技术(ADSL),它允许通过现有的铜电话线发送数据,在接收数据时,其支持1.5 - 9 Mbps的数据速率(称为下行速率)发送数据,在发送数据时,支持16 -
640 Kbps的数据速率(称为上行速率)。ADSL要求专用ADSL调制解调器。ADSL的普及程度正在不断提高,因为世界各地正有越来越多的地区开始上网。
距离-矢量组播路由协议 (DVMRP)
DVMRP是在企业内部网内部的路由器之间使用的一种距离-矢量路由协议。这种基于跳的协议描述了从组播源到树的所有接收机(或树叶)构建组播树的方法。
动态IP和静态IP寻址
静态IP地址是在第一次签约互联网服务时为用户“永久”分配的IP地址。动态分配的IP地址则是在连接互联网时临时分配的IP地址,该地址具有预先确定的时限。
动态随机访问内存 (DRAM)
DRAM是动态随机访问内存的缩写,这是一种成本低廉的内存芯片,要求电源来存储信息。如果芯片掉电,其内部存储的信息会丢失。
2.6E
EAP (可扩展认证协议)
EAP是一种支持多种认证方法的通用认证协议。EAP是PPP的扩展,支持令牌卡、Kerberos、一次性口令、证书、公共密钥认证和智能卡等认证方法。在使用EAP的无线通信中,用户请求通过接入点连接WLAN,然后接入点请求用户身份,把该身份传送到认证服务器,如RADIUS。服务器请求接入点验证身份,接入点从用户获得身份,然后把其发回服务器完成认证。RFC 2284规定了EAP。
电子可擦除程控只读内存 (EEPROM)
EEPROM也称为闪存,这是一种可以重新编程的内存。
封装安全净荷(ESP)
ESP提供了认证、完整性和保密性,可以防止数据篡改,最重要的是,它提供了消息内容保护。IPSec为实现行业标准算法提供了开放的架构,如SHA和MD5。IPSec算法为每个分组生成唯一的、不能伪造的标识符,这些数据相当于指纹。这个指纹允许设备确定分组是否被篡改。此外,将丢弃没有通过认证的分组,这些分组不会传送给预定的接收人。ESP还提供IPSec中的所有加密服务。加密把可以读取的消息转换成不能读取的格式,以隐藏消息内容。相反的过程称为解密,把消息内容从不能读取的格式转换成可以读取的消息。加密/解密只允许发送方及经过授权的接收方读取数据。此外,ESP具有进行认证的一个选项,称为ESP认证。通过使用ESP认证,ESP为净荷、而不是为IP包头提供了认证和完整性。ESP包头插入IP包头和任何后续分组内容之间的分组中。但是,由于ESP对数据加密,因此会改变净荷。ESP不对ESP包头加密,也不对ESP认证加密。
加密
一种数学运算,把数据从“明文”转换成不能理解的“密文”。这种数学运算通常要求与明文一起提供一个由字母和数字组成的密钥。加密运算对密钥和明文进行处理,得到安全的加扰数据。解密是加密的相反操作,它是把密文转换成明文的数学运算。
加密密钥
一个由字母和数字组成的字串,使得能够对数据加密、然后解密,以在网络成员之间安全共享。WEP采用加密密钥,自动对输出的无线数据加密。在接收侧,相同的密钥使得计算机能够自动对信息解密,以便能够阅读信息。
终端站
连接到网络上的计算机、打印机或服务器。
ESSID
(更常用的叫法是SSID – 短集合标识符)
802.11无线网络的标识名称。在客户端设置中指定相应的ESSID时,要保证连接到无线网络上,而不是该范围内的另一个网络上(参见SSID)。ESSID还可以有别的叫法,如网络名称、首选网络、SSID或无线局域网服务区域。
以太网
国际标准的有线网络实现技术。基本的10BaseT网络提供了约10 Mbps的带宽。快速以太网 (100 Mbps)和千兆位以太网 (1000 Mbps)正变得越来越流行。以太网电缆的走线长度限于大约100米,但以太网可以桥接,简便地为整个学校或整座办公大楼搭建网络。
ESSID (也称为SSID)
一个32字符的唯一的标识符,连接到通过WLAN发送的分组包头上,在移动设备试图连接BSS时,作为口令使用。(也称为ESSID) SSID把一个WLAN与另一个WLAN区分开来,因此试图连接某个WLAN的所有接入点和所有设备都必须使用相同SSID。
2.7F
快速以太网
快速以太网支持100 Mbps的最大数据速率。之所以叫快速以太网,是因为最初的以太网技术仅支持10 Mbps。快速以太网在20世纪90年代开始广泛使用,当时各大学和企业需要更高的局域网性能。
快速以太网获得成功的一个关键要素是它能够与已经安装的网络共存。今天,许多网络适配器同时支持传统以太网和快速以太网,这些所谓的"10/100"适配器通常可以自动传感线路速度,并相应地进行调节。与快速以太网较传统以太网的改进一样,千兆位以太网是快速以太网的改进技术,提供了高达1000 Mbps速率,而不是100 Mbps。快速以太网也称为100 Mbps以太网。
故障隔离
在连接(如与交换机端口相关的连接)发生拥塞或失效或超过管理员规定的门限时,识别这些连接、并向管理员发出警报的技术。
过滤
使用某种特点筛选分组的过程,如源地址、目的地址或协议。过滤用来确定是否转发业务,另外可以防止未经授权访问网络或网络设备。
防火墙
保护计算机网络、防止未经授权的访问的一种系统。防火墙可以是软件、硬件或两者的组合。防火墙可以防止有人不受限制地访问网络,限制数据流出网络。
网络防火墙最常见的形式可能是代理服务器。代理服务器作为企业内部网和互联网计算机之间的中介,在网络边界接收及选择性地封锁数据。通过从外部互联网隐藏内部局域网地址,这些网络防火墙还提供了额外的安全措施。在代理服务器防火墙环境中,来自多个客户端的网络请求对外表现为都来自于同一个代理服务器地址。
闪存
一种特殊类型的内存芯片,它不要求电源,就可以保留内部存储的信息,这一点不同于DRAM芯片,DRAM芯片要求电源才能存储信息。闪存芯片用来存储系统的配置和引导信息,如路由器和交换机。
流量控制
一种拥塞控制机制。设备把业务发送到交换机上已经过载的端口,就会引起拥塞。流量控制可以防止丢包,临时禁止设备生成更多的业务,直到拥塞时期结束。
转发
使用网络设备把分组发送到目的地的过程。
跳频(FH)扩频:
FH使用窄带载波,以发射机和接收机都知道的模式改变频率。由于信号"跳",因此其安全性非常高,提供了优秀的覆盖范围,具有强健的吞吐量。2.4GHz ISM频段中共有79条信道,每条信道都占用1MHz的带宽。美国要求最低每条信道每秒2.5跳的跳速率。在回波抑制、抗干扰、成本和安装简便性方面,跳频技术被公认为要优于直序技术。到目前为止,已有更大的WLAN产品范围可供选择。
全双工
允许同时传送和接收分组的系统,实际上使链路的潜在吞吐量翻了一番。
2.8G
增益, dBi
天线增益,用参考半波偶极的分贝表示。
增益, dBi
天线增益,用参考理论各向同性辐射体的分贝表示。
增益, dBic
天线增益,用参考循环偏振的理论各向同性辐射体的分贝表示。
网关
在无线领域中,网关是具有额外软件功能的接入点,如提供NAT和DHCP。网关还提供VPN支持、漫游、防火墙、各种等级的安全保护等。
Gbps, Kbps / kbps, Mbps
每秒1千位(Kbps)等于1000 bps。Kbps也写作“kbps”,其意义相同。同样,每秒1兆位(Mbps)等于100万bps,一千兆位等于10亿bps。最好用bps度量网络性能,但有时这些数字也用每秒比特数(Bps)表示。那么,1 KBps等于每秒1千字节,1 MBps等于每秒1兆字节,1 GBps等于每秒1千兆比特。例如,人们经常使用KBps,但表示的是Kbps,清楚地区别这两个术语非常重要。也称为: Kb/秒, Kb/s, Mb/秒, Mb/s, Gb/秒, Gb/s。
千兆位接口转换器(GBIC)
用来把电信号转换成光信号及把光信号转换成电信号的设备。
GBIC模块
GBIC是千兆位接口转换器的简写,这是一部把串行电信号转换成串行光信号或反之的收发机。在组网中,GBIC表示基于标准的模块,在插入式GBIC插槽中提供一个千兆位以太网端口。GBIC提供各种接口,包括1000Base-T, 1000Base-SX和1000Base-LX。GBIC模块允许用户选择使用光纤连接或铜缆连接。GBIC还可以热插拔,进一步提高了简便升级光电通信网络的能力。
GHz
频率的国际度量单位是赫兹(Hz),相当于旧的单位每秒周期数。1千兆赫(GHz)等于10亿赫兹。微波炉一般在2.45 GHz频段工作。
千兆位以太网
千兆位以太网是以太网计算机网络和通信标准家族的延伸。千兆位以太网标准支持1000 Mbps的理论最大数据速率。千兆位以太网可以在普通双绞线铜缆上实现(具体地讲,是超五类和六类布线标准)。也称为1000 Mbps以太网。
图形用户界面 (GUI)
以图标表示用户可以使用鼠标或其它指向设备访问和操纵的命令、文件和窗口的用户界面。
2.9H
半双工
允许发送和接收分组的系统,但不能同时进行发送和接收。与其相对的是全双工。
硬件抽象编程接口 (HAPI)
HAPI是包含与硬件交互的NP专用软件的模块。
跳数
在到达目的地的过程中数据分组经过的路由器数量。
热区(也称为公共访问位置)
可以获得Wi-Fi服务的地点,可以是免费的,也可以是收费的。热区可以位于咖啡店、机场侯机厅、火车站、会议中心、宾馆或任何其它公共集会区域内部。机场、公司和大学校园也可以实现热区,以便为访问者和客人提供无线互联网接入。
可以热插拔
能够在设备运行时在计算机中增加和去掉设备,操作系统将自动识别变化。
集线器
一种多端口设备,用来通过以太网布线或通过Wi-Fi把PC连接到网络上。有线集线器可以有许多端口,可以以10 Mbps到每秒几千兆字节的速度传输数据。集线器把收到的分组传输到所有连接的端口。小型有线集线器只能连接到4台计算机,大型集线器可以连接48台以上的计算机。无线集线器可以连接数百台计算机。
HZ (‘赫兹”)
衡量频率的国际单位,相当于老式单位每秒周期数。一兆赫(MHz)是100万赫兹。一千兆赫(GHz)是10亿赫兹。标准美国电力频率是60 Hz,AM广播无线频段是535—1605 kHz,FM广播无线频段是88—108 MHz,无线802.11b局域网工作频段是2.4 GHz。
2.10I
IEEE (电气和电子工程师学会)
由电子和相关领域的工程师、科学家和学生成的会员组织(www.ieee.org)。它现有300,000多名会员,参与确定计算机标准和通信标准。
IETF互联网工程任务小组
负责为TCP/IP网络提供工程设计解决方案的组织。在网络管理领域,这个小组负责开发SNMP协议。
IGMP组播检测支持
互联网小组组播协议(IGMP)发送信号,表明希望接听组播信息流。组播用来把业务(如网上视频培训)一次发送给多个用户,而不是把业务发给所有用户(包括不需要的用户),从而节约网络带宽。组播业务是广播业务的一种。通过支持IGMP检测,交换机以智能方式只把组播信息流传送到要求信息流的接口上,从而节约宝贵的带宽,保证网络其余部分的效率。
基础设施模式
为接入点(AP)提供连接能力的一种客户端设置。与特定模式相比,基础设施模式下设置的客户端通过集中接入点传送所有数据,而在特定模式下,PC之间直接相互通信。接入点不仅在直接相邻的节点中调停无线网络业务,还与有线网络通信。参见特定模式和接入点。
互联网控制消息协议 (ICMP)
ICMP是互联网协议(IP)的扩展,它支持分组抑制错误、控制和信息消息。例如,PING命令采用ICMP测试互联网连接。
互联网小组管理协议 (IGMP)
IGMP是互联网上IP组播的标准。IGMP用来在一个网络上特定组播组中建立主机成员关系。该协议的机制允许使用主机成员报告技术,令主机通知本地路由器它希望接收以某个组播组为目的地的消息。符合第二层IP组播规范的所有主机都要求IGMP。
互联网密钥交换(IKE)
IKE是互联网工程任务小组 (IETF)规定的一种协商和密钥交换协议。IKE安全关联(SA)自动协商加密和认证密钥。通过IKE,首次交换会认证VPN会话,并自动协商传送IP业务使用的密钥。
互联网电话
用来通过互联网传输语音的设备,它绕过传统PSTN,在传输过程中节约资金。互联网电话可以是小型话机,也可以是带有麦克风、扬声器和调制解调器的多媒体电脑。
互联网协议 (IP)
通过互联网把数据从一台计算机发送到另一台计算机的方法或协议。IP指明了每个分组的格式和寻址方案。
互联网协议 (IP) 地址
32位数字,用来识别透过互联网发送的信息的每个发送方或接收方。IP地址分成两部分:互联网上某个网络的标识符,及网络内部某台设备的标识符(这台设备可以是服务器或工作站)。
互操作能力
可以互操作的设备能够兼容多个厂商提供的设备和服务,可以集成到包括各种厂商产品的通用网络中。互操作能力是扩容中的重要因素,因为任何设备都必须具有通用能力,能够在扩容的网络结构中运行。互操作能力的技术要素可以包括一系列协议及一个灵活的架构,以支持升级。远程接入服务器应包括实现网间互连的翻译、封装、过滤等功能。
入侵检测 (ID)
ID是计算机和网络使用的一种安全管理系统。ID系统收集和分析来自计算机或网络各种区域的信息,确定可能违反安全规则的地方,包括入侵(来自组织外部的攻击)和滥用(来自组织内部的攻击)。ID使用漏洞评估技术,有时称为扫描技术,这种技术是为评估计算机系统或网络的安全而开发的。
IP组播
把数据发送到组播骨干上的分布式服务器。对大量的数据,IP组播的效率要高于普通互联网传输,因为服务器可以同时把消息广播到许多接收人。与每对信源-目的地要求一条单独连接的传统互联网业务不同,IP组播允许多个接收人共享相同的信源。这意味着只需为所有目的地发送一个分组集合。
IPSec协议
互联网安全协议是一种强健的VPN标准,涵盖了互联网上传送的数据业务的认证和加密。采用IPSec的VPN技术将对所有输出数据加密,对所有输入数据解密,从而可以使用公共网络(如互联网)作为传输介质。IPSec可以支持两种加密模式:传输和隧道。传输模式对每个分组的数据部分加密,但包头不加密。隧道模式要更加安全,它同时加密包头和数据。在接收端,符合IPSec标准的设备对每个分组解密。为运行IPSec,发送设备和接收设备必须共享一个密钥。IKE协议是一种密钥管理协议标准,它通常与IPSec标准一起使用。与PPTP不同,IPSec仅专用于互联网协议(IP),不为其它协议提供安全保护。PPTP支持多种协议,但安全性不如IPSec。
IP视频监控
基于IP的视频监控为安全应用、工控应用和远程监测应用提供了经济的、面向未来的安全解决方案。IP摄像机直接连接到网络上,可以通过任何IP网络分发高质量数字视频流,包括本地网络或互联网,可以使用有线连接或无线连接。传统的更加昂贵的闭路电视(CCTV)监控系统要求自己的基础设施,而IP视频监控则利用现有的局域网。基于IP的产品可以迅速经济地启动和运行专业监控应用,可以简便地从小型系统扩展到大型系统,并使用各种连接和安全选项,包括WiFi和虚拟专用网(VPN)。交换机功能(如以太网在线供电和基于端口的业务优先权分配)可以简化安装和带宽管理问题。这些系统操作简便,可以是开放系统,也可以是封闭系统,具体视行业标准服务器上运行的视频录像和分析应用而定。
ISO网络模型
国际标准机构(ISO)开发的由七个不同等级或层组成的网络模型。通过标准化这些层及之间的接口,在技术发展或系统要求变化时,可以修改或改变给定协议的不同部分。这七个层是:
• 物理层
• 数据链路层
• 网络层
• 传输层
• 会话层
• 表示层
• 应用层
IEEE 802.11标准涵盖了物理层(PHY)和数据链路层较低部分。数据链路层的较低部分通常称为介质访问控制(MAC)子层。
2.11K
Kerberos
马萨诸塞州技术学院(MIT)开发的一种广泛使用的安全协议,用来在有线网络环境中认证用户和客户端,安全地分布加密密钥。
2.12L
局域网 (LAN)
由终端工作站(如PC、打印机、服务器)和网络设备(集线器和交换机)组成的、涵盖相对较小的地理区域(u通常不超过一个楼层或一座大楼)的网络。
层
作为整个传输系统的一部分与其它协议交互的协议。
学习
网桥检查相连网络上每个帧的第二层源地址 (称为侦听),然后保持一个表格或高速缓存,其中包括连接到每个端口的MAC地址。
轻型目录访问协议
用来访问信息目录的一套协议。LDAP基于X.500标准中包含的标准,但要简单得多。与X.500不同,LDAP支持TCP/IP,这是任何类型的互联网接入必需使用的标准。尽管还没有广泛实现,但LDAP最终可望用于几乎任何计算机平台上运行的几乎任何应用,以获得目录信息,如电子邮件地址和公共密钥。由于LDAP是一种开放的协议,因此应用不必担心装有目录的服务器类型。
链路汇聚 (中继线)
链路汇聚能够以逻辑方式把大量的物理接口分在一起,构成一个接口。这种重要功能有助于消除可能的网络瓶颈,它汇聚关键网络连接使用的带宽。除增加吞吐量外,链路汇聚还提供了一种冗余形式,保证即使一条链路失效时,网络业务仍能通过汇聚组中的其余链路转发。
链路状态
在路由协议中,宣称的与提供的接口及提供的相邻路由器或网络有关的信息。该协议从收集的链路状态声明中构成拓扑数据库。
负载均衡
透过设备的各种端口分发业务的能力,如交换机,以在整个网络中提供高效优化的业务。
环路
在两台网络设备通过一条以上的路径连接起来时发生的事件,这会导致分组在网络中重复循环,不会到达目的地。
2.13M
MAC (介质访问控制)
IEEE规定的确定哪些设备能够访问网络的协议。每台无线802.11设备都有自己的采用硬编码的特定MAC地址。可以使用这个唯一的标识符,为无线网络提供安全保护。在网络使用MAC表时,只有已经在该网络的MAC表中增加了自己的MAC地址的802.11无线电才能接入网络。
MAC (介质访问控制)地址
介质访问控制地址;也称为硬件或物理地址。连接到局域网的大多数设备都分配一个MAC地址,以用来区分网络中的其它设备。
管理信息库
在SNMP设备把SNMP消息发送到管理控制台时(管理SNMP消息的设备),它把信息存储在MIB中。
Mbps, Gbps, Kbps / kbps
每秒1千位(Kbps)等于1000 bps。Kbps也写作“kbps”,其意义相同。同样,每秒1兆位(Mbps)等于100万bps,一千兆位等于10亿bps。最好用bps度量网络性能,但有时这些数字也用每秒比特数(Bps)表示。那么,1 KBps等于每秒1千字节,1 MBps等于每秒1兆字节,1 GBps等于每秒1千兆比特。例如,人们经常使用KBps,但表示的是Kbps,清楚地区别这两个术语非常重要。也称为: Kb/秒, Kb/s, Mb/秒, Mb/s, Gb/秒, Gb/s。
MD5
MD5使用单向杂散功能创建数字签名,它取出一条消息,把它转换成固定的位串,也称为消息摘要。在使用单向杂散功能时,可以把计算得出的消息摘要与使用公共密钥解密的消息摘要进行比较,以检验该消息没有被篡改。这种比较称为"杂散校验"。另一种方案是SHA-1。
MDI/MDIX
在线序中,发送和接收的概念都是从PC角度说的,PC布线成介质相关接口(MDI)。在MDI线序中,PC在针脚1和针脚2发送信号。在集线器、交换机、路由器或接入点上,角度相反,集线器在针脚1和针脚2上接收信号。这种线序称为介质相关接口 – 交叉(MDI-X)。
平均故障间隔时间(MTBF)
设备在出现故障前正常运行的平均时间。它使用系统中采用的元器件的已知故障率计算得出。
兆字节(MB)
内存或磁盘存储器容量的度量单位。1兆字节等于2 x 1020次幂(1,048,576)字节。
兆赫兹(MHz)
计算机时钟速率的度量单位。1兆赫兹表示每秒循环100万次。
网状网
也称为网状拓扑,网状是一种网络拓扑,其中各台设备连接起来,网络节点之间有许多冗余互连。在全网状拓扑中,每个节点都有一条到网络中每个其它节点的连接。网状网可以是有线网,也可以是无线网。在无线网状网中,下面的每个圈都代表一个网状路由器。通过连接到每个网状路由器上,可以共享企业服务器和打印机。为以无线方式接入网状网,接入点必须连接到任何一个网状路由器上。
移动单元模式
在这种模式下,WLAN适配器连接接入点(AP)或安装WLAN的其它系统,设备可以在网络中的接入点小区之间自由漫游。移动单元表现为其它设备的网络节点。
组播
一个分组被发送到网络上特定的一组终端站上。
组播骨干(MBONE)
MBONE是一种虚拟网络。它位于物理互联网部分的顶部,支持路由IP组播分组,因为许多生产路由器中还没有集成该功能。网络由许多孤岛组成,它们可以直接支持IP组播,如以太网之类的组播局域网,它们通过称为"隧道"的虚拟点到点链路连接起来。隧道端点一般是工作站类机器,为IP组播提供操作系统支持,运行"mrouted"组播路由守护程序。
组播
透过网络把消息传送到特定的多个接收人。组播的简单实例是把电子邮件消息发送到邮件列表中。电话会议和视频会议也采用组播,但要求更加强健的协议和网络。目前正在开发通过TCP/IP网络(如互联网)支持组播的标准。这些标准称为IP组播和Mbone,将允许用户简便地参加组播组。注意,组播是指把消息发送到选定的用户组,而广播则是指把消息发送到连接网络的每个用户。组播和窄带广播通常可以互换使用,但窄带广播通常是指商务模式,而组播则是指传送数据使用的实际技术。
组播OSPF
在MOSPF规范中,根据分组的信源及其组播目的地(通常称为源/目的路由)来路由IP组播分组。在路由时,组播分组采用到每个组播目的地的最短路径。在分组转发过程中,将探索路径的任何共性;当多个主机属于一个组播组时,只有在到达各台主机的路径分叉时,才会复制组播分组。
多路径
在无线信号使用多条路径从发射机传送到接收机时导致的信号变化。
多路径衰落
从发射机到接收机采用多条路径传送信号、进而会导致相互干扰的一种衰减。
多路复用
在层中把多条连接的信息隔行扫描到一条连接中的功能。
多协议标记交换
一种计划,它在某个自治系统(或ISP)内部把与网络链路有关的第二层信息(带宽, 时延, 利用率)集成到第三层(IP)中,以简化和改善IP分组交换。在链路失效、拥塞及出现瓶颈时,MPLS为网络运营商转向和路由业务提供了巨大的灵活性。从QoS角度看,ISP最好能够根据优先权和服务方案管理不同类型的数据流。例如,签约收费服务的用户或接收大量流式媒体或高带宽内容的用户可能会看到最低的时延和丢包率。在分组进入基于MPLS的网络时,标记边缘路由器 (LER)会提供一个标记(标识符)。这些标记不仅包括基于路由表项目的信息(如目的地、带宽、延迟和其它指标),它还指明IP包头字段 (源IP地址)、第四层套接字号码信息和差异化服务。一旦这种分类完成及进行映射,将把不同的分组分配给相应的标记交换路径(LSP),标记交换路由器(LSR)将在分组中放上输出标记。通过这些LSP,网络运营商可以根据数据流类型和互联网接入客户转向和路由业务。
MT-RJ连接器
一种光纤电缆插口,其形状和概念与标准电话插口类似,允许象插入电话线一样,把光纤电缆简便地插入兼容的设备中。
2.14N
NAT (网络地址翻译)
一种网络功能,允许一屋子计算机从拨号、线缆或xDSL连接中动态共享单个输入的IP地址。NAT取出单个输入IP地址,为网络上的每台客户端计算机创建新的IP地址。
网络地址翻译 (NAT)
路由器使用NAT防止黑客侵入局域网(LAN)。NAT用新的“公共”IP地址代替位于路由器局域网一侧的设备的“专用”IP地址,在路由器的“互联网一侧”可以看到这个“公共”IP地址。由于实现简单,位于局域网上的最多253台设备中的任何设备都可以对试图进入某台PC的互联网黑客隐藏起来或“进行化妆”。互联网上只能看到路由器的IP地址。这种技术可以有效防范黑客,广泛用于宽带路由器中。
NetBIOS (网络基本输入输出系统)
用来在局域网上共享服务和信息的一个应用编程接口 (API)。用来在网络中各台工作站之间进行通信,其中每台工作站都会分配一个名称。这些名称是由字母和数字组成的名称,长16个字符。
网络掩码
IP子网掩码与IP地址相结合,允许设备了解哪些其它地址对其是本地地址,哪些地址必须通过网关或路由器才能到达。这个数字解释IP地址的哪一部分是网络地址,哪一部分是该网络上的主机地址。它可以用小数点符号表示,也可以用附在IP地址后面的数字表示。例如,从MSB开始的28位掩码可以表示为255.255.255.192,也可以表示为附在IP地址后面的/28表示。
网络名称
识别所有器件共享的无线网络。对大多数无线网络,在安装过程中,必需输入网络名称或SSID。在设置各台计算机、有线网络或工作组时,将使用不同的网络名称。
NIC (网络接口卡或网卡)
一种PC适配卡,可以不使用连线(Wi-Fi),也可以连接到网络电缆上,在计算机和网络设备之间提供双向通信,如集线器或交换机。大多数办公有线NIC以10 Mbps (以太网)、100 Mbps (快速以太网)或10/100 Mbps双速率运行。市场上还提供高速千兆位和10G NIC卡。参见PC卡。
节点
一个网络联接,如交换机或路由中心。
2.15O
开放最短路径优先(OSPF)
一种链路状态(路由器用来确定网络当前拓扑的算法)、内部网关 (在属于一个自治系统的路由器之间分发路由信息)路由协议。这种协议的算法确定从路由器到网络中所有其它路由器的最短路径。这一协议正迅速代替互联网上的RIP协议。
开放系统互连(OSI)
OSI是ISO为数据通信系统互连开发的通信系统七层结构模型。每一层都使用、并且基于下一层提供的服务。
操作系统应用编程接口 (OSAPI)
OSAPI是系统支持软件内部的一个模块,它为操作系统支持功能提供了一套接口。
2.16P
分组
通过网络发送的信息块。分组一般包含源网络地址和目的网络地址、某种协议和长度信息、数据块和校验和。
PC卡 (也称为PCMCIA)
一种可拆卸的信用卡大小的内存或I/O (输入/输出)设备,PC卡装在二类PCMCIA标准插槽中,主要用于PC、便携式电脑、PDA和笔记本电脑中。PC卡外设包括Wi-Fi卡、内存条、调制解调器、网卡、硬驱等。
PCI适配器
大多数计算机内部使用的一种高性能I/O计算机总线。其它总线类型包括ISA和AGP。PCI和其它计算机总线可以增加内部插卡,提供主板或其它连接器不支持的服务和功能。
PCMCIA (个人电脑内存条国际协会) PC卡
计算机中使用的信用卡大小的设备,作为可拆卸的网络适配器提供。
对等网络(在WLAN中也称为特定模式)
没有服务器或集中集线器或路由器的一种无线网络或有线计算机网络。所有联网的PC都同样能够作为网络服务器或客户端,每台客户端计算机可以与所有其它无线计算机通话,而不必经过接入点或集线器。但是,由于没有集中基站监测业务或提供互联网接入,因此各种信号会相互碰撞,降低了整体性能。
个人区域网 (PAN)
个人区域网基于称为蓝牙协议的全球规范。蓝牙是由蓝牙特殊利益集团开发的,该集团成立于1998年,包括1,500多家会员公司。该集团的目的是为蓝牙空中接口和控制软件确立一个事实标准。这种代替电缆的技术在短程内工作,透明地同步通过设备传送的数据,创建到网络和互联网的接入。蓝牙特别适合需要连接笔记本电脑、移动电话、PDA、PIM和其它手持式设备的移动专业人员,以在家、在路上及在办公室中完成工作。其具有许多优点。
PHY
OSI网络模型中的最低层。它主要通过物理传输介质传输原始码流。在无线局域网中,传输介质不占用空间。PHY定义了数据速率、调制方法、信令参数、发射机/接收机同步等参数。在实际无线实现方案中,PHY与无线前端和基带信号处理部分对应。
Ping
一种问题诊断TCP/IP应用,它把测试消息发送到网络设备上,测量响应时间。
即插即用
一种计算机系统功能,它可以自动配置插件和外围设备,如无线PC卡、打印机、扫描仪和多媒体设备。
端口镜像
也称为不固定分析端口。这是一种网络业务监测方法,它把每个输入分组和输出分组的副本从网络交换机的一个端口发送到另一个端口,然后可以在另一个端口上分析分组。网络管理员使用端口镜像作为一种诊断工具或调试功能,特别是在防范攻击时。管理员可以密切跟踪交换机性能,在必要时进行改动。可以在本地或远程管理端口镜像。管理员配置端口镜像,它分配一个复制所有分组的端口,分配发送其分组的另一个端口。指向第一个端口或从第一个端口发出的分组也会转发到第二个端口。管理员把协议分析仪放在接收镜像数据的端口上,单独监测每个网段。分析仪捕获和评估数据,而不会影响原始端口上的客户端。监测端口可以是连接ROMON探头的同一个交换机模块上的端口,也可以是同一个集线器或交换机模块处理器中的不同交换机模块。端口镜像在活动时会占用明显的CPU资源。更好的长期监测方案包括无源分接,如光学探头或以太网中继器。
端口监测
监测通过设备端口的业务的能力,以分析网络特点,诊断问题。
端口速率
设备上的端口用来与其它设备或网络通信的速度。
端口集群
把一台设备上多个端口结合起来,创建一条高带宽连接的能力。
协议
网络上设备之间通信的一套规则。
协议数据单元(PDU)
PDU是通过网络传送的数据包。这一术语指明了OSI模型的具体层及具体协议。
协议无关组播–密集模式
与DVMRP一样,PIM-DM采用泛滥和修剪协议,构建组播树。但是,与DVMRP不同,PIM-DM采用现有的单点广播协议,确定到信源的路由。
PPP (点到点协议)
它为封装通过单信道WAN链路发送的数据包提供了一种标准封装方式。它是网桥和路由器互操作使用的标准WAN封装协议。工作站中也支持PPP,可以从个人电脑直接拨号访问企业局域网或ISP。使用PPP保证了基本兼容非Ascend设备。链路拨号侧和应答侧必须支持PPP。
PPPoE
某些DSL服务供应商采用PPPoE技术。PPPoE把以太网和点到点协议(PPP)标准结合在一起,专门用于具有宽带上网功能的调制解调器。RFC 2516规定了PPPoE。在与DSL一起使用时,PPPoE可能要求额外的软件,通过拨号建立网络会话。但某些DSL路由器包括内置PPPoE支持,而不需要软件。也称为以太网承载的点到点协议或PPoE。
代理服务器
代理服务器用于大型公司和机构中,以改善网络运行和安全,它能够防止两个或多个网络之间直接通信。代理服务器把允许的数据请求转发到远程服务器和/或应答直接来自存储的远程服务器数据请求。
(PKI)公共密钥基础设施
由数字证书、认证中心和其它登记中心组成的系统,登记中心检验和认证互联网交易涉及的各方的合法性。
2.17Q
服务质量保障(QoS)
服务质量保障对保证网络中实现正确的流量控制和带宽管理至关重要。能够区分时间敏感的应用也非常重要,如IP语音和其它网络数据传输。由于能够在第二层采用IEEE 802.1p位,在第三层采用差异化服务(DiffServ),在第四层采用ACL列表,NETGEAR交换机为应用实现服务质量保障提供了最灵活的手段。
2.18R
RADIUS (远程认证拨入用户服务)
一种互联网标准协议 (RFC 2058中定义),它承载网络接入服务器和公司指定的认证服务器之间的远程用户认证和配置信息;认证服务器包含存储远程用户的数据库。
范围
无线网络可以到达的距接入点的距离。大多数Wi-Fi系统会提供100英尺以上的范围。根据环境及使用的天线类型,Wi-Fi信号的范围最远可以达到1英里。
实时操作系统 (RTOS)
RTOS是抽象其它系统可以接口的操作系统的OSAPI模块的一个组件。
资源预留设置协议 (RSVP)
RSVP是正在开发的一种新的互联网协议,以使互联网能够支持指定的服务质量(QoS)。通过使用RSVP,应用将能够沿着从源地址到目的地址的路由预留资源。然后,支持RSVP的路由器将调度分组,分配优先权,满足QoS配置的优先权要求。RSVP是正在开发的新型互联网的首要组件,这种互联网在广义上称为集成服务互联网。一般概念是增强互联网,支持实时数据传输。
远程局域网接入
允许分支办公室、远程办公人员和出差的计算机用户通过专线或拨号线路、数字线路或模拟线路访问企业局域网骨干的过程。
远程管理
在不直接连接设备的情况下能够管理设备,如通过串行电缆。远程管理可以透过局域网、甚至透过互联网实现,允许用户管理设备,而用户与设备的物理位置并不近。
远程监测 (RMON)
用来从一台工作站中收集网络信息的一种网络管理协议。
家庭网关
一种有线或无线路由器,它包括某类WNA功能,如线缆或DSL调制解调器,连接到家庭网络的多台PC和外设上,从而使得网络上的所有PC都能共享一条互联网出口。
RJ-45 (注册插口-45)
以太网络中使用的标准连接器。尽管其看上去与标准RJ-11电话连接器非常相似,但RJ-45连接器可以有最多8条线,而电话连接器只有4条线。
漫游
无线节点在两个微小区之间移动。漫游通常发生在基于多个接入点的基础设施网络中。它使用笔记本电脑或台式机,从一个接入点覆盖区域无缝地移动到另一个区域中,而不会丢失连接。
流浪接入点
"流浪接入点"用来描述连接在主要家庭网络或企业网络或以独立模式运行(在停车场或在相邻大楼中)未经授权的接入点。根据定义,流浪接入点不受网络管理员管理,不符合网络安全策略,可能带来严重的安全风险。在理想情况下,最好有某类WLAN系统,使流浪接入点不能简便地增加到现有的WLAN中。
路由器
把数据包从一个局域网 (LAN)或广域网 (WAN)转发到另一个网络的设备。根据路由表和路由协议,路由器可以读取每个传输的帧中的网络地址,根据业务负荷、线路成本、速度、坏连接等制订决策,确定怎样通过最经济的路由发送帧。
路由 (第三层交换)
路由器利用互联网协议 (IP)分组包头中的信息,把业务“选路”发往目的地。路由器和第三层交换机通过参与协议,如路由信息协议(RIP)或开放最短路径优先协议(OSPF),学习把业务指向哪里。在传统上,路由器一直是基于高时延软件的设备,其一直在努力跟上日益增长的业务负荷和分类要求。随着基于高速硅的交换技术的出现,第二层及现有的第三层转发决策都在硬件中线速实现。由于没有第三层“代价”,现在可以以过去只有第二层交换才能实现的速度“路由”业务。
路由信息协议 (RIP)
RIP是Berkeley推导的UNIX系统中路由流程使用的路由协议。许多网络使用RIP;它特别适合小型网络、隔离网络和拓扑结构简单的网络。
RIPng路由信息协议, 新一代
RMON
远程监测的缩写,一种网络管理协议,允许在一台工作站上收集网络信息。SNMP从一类管理信息库(MIB)中收集网络数据,而RMON 1则定义了另外9种MIB,提供了更加丰富的与网络使用情况有关的一套数据。为运行RMON,集线器和交换机等网络设备必须设计成能够支持RMON。最新版本RMON - RMON 2提供了与网络层及物理层业务有关的数据,从而使管理员能够根据协议分析业务。
2.19S
卫星宽带
卫星提供的一种无线高速上网技术。某些卫星宽带连接是双向连接,包括上行和下行。其它卫星宽带连接是单向连接,卫星提供高速下连,然后使用拨号电话连接或其它基于陆地的系统上连到互联网。
安全关联(SA)
与某条VPN隧道有关的一组安全设置。安全关联把创建VPN隧道所需的所有必要的设置划分在一组中。可以创建不同的SA,连接分支办公室,实现安全远程管理,传送不支持的业务。所有SA都要求指定的加密方法、IPSec网关地址和目的网络地址。
安全和策略实施
网络安全和策略实施对任何关键事务型基础设施的可靠运行至关重要。基于策略的网络的整体目标是能够在网络中实施、控制和修改策略,而不必访问网络中的每台设备。在最简单的层面上,策略规定了允许或拒绝接入网络资源的能力。一线控制在端口级。IEEE 802.1x基于端口的认证可以与RADIUS服务器一起使用,保持通用登录,保护物理网络端口安全。一旦端口访问经过认证,访问控制列表(ACL)可以逐端口、逐MAC地址或逐IP地址线速实施其它策略。ACL可以保证一旦用户上网,他只能访问其授权使用的资源。IEEE 802.1x和ACL保证了只有授权的用户能够访问特定的资源,而封锁到达网络资源的任何不想要的访问企图。
网段
局域网的一部分,它使用交换机、网桥或直放站连接到网络其余部分。
服务器
为网络上其它计算机和设备提供资源的计算机,包括打印服务器、互联网服务器和数据服务器。服务器也可以与集线器或路由器结合在一起。
SimpleX信令 (SX)
SX是IEEE 802.3指明的多种介质名称之一。例如,1000SX表示“短程”或“短波长”光纤承载的千兆位以太网。
站点勘察
勘察物理环境,确定接入点和天线的位置及必要的设备数量,以在新系统或扩容系统中提供最优的覆盖范围。
SMII
串行介质无关接口。
站点勘察
在投入无线网络之前无线网络安装人员勘察位置的过程。站点勘察用来识别设施的无线电和客户端使用特点,以便能够把接入点放在最佳位置。一般使用称为频谱分析仪的设备,来确定放置接入点时要避免的干扰区域。
会话初始化协议 (SIP)
会话初始化协议(SIP)是一种互联网工程任务小组(IETF)标准协议,用来初始化涉及多媒体单元的互动用户会话,如视频、语音、聊天、游戏和虚拟现实。与HTTP或SMTP一样,SIP在开放系统互连(OSI) 通信模型的应用层运行。应用层负责保证可以实现通信。SIP可以建立多媒体会话或互联网通话,并修改或终接会话或呼叫。该协议还邀请参与方单点广播或组播不一定涉及发起方的会话。由于SIP支持名称映射和重定向服务,因此用户可以从任何位置发起和接收通信和服务,由网络识别用户所在位置。SIP是一种请求-响应协议,处理来自客户端的请求和来自服务器的响应。参与方通过SIP URL识别。可以通过任何传输协议发送请求,如UDP、SCTP或TCP。SIP确定会话使用的终端系统、通信介质和介质参数以及被叫是否希望参与通信。一旦这些获得保证,SIP会在通信任何一端确立呼叫参数,处理呼叫转移和终端。IETF征求意见稿[RFC] 2543中规定了会话初始化协议。
小型可插拔 (SFP)
SFP表示体积较小的GBIC模块,它占用的体积只是原来GBIC模块的一半。也称为迷你GBIC。
智能交换机
NETGEAR系列智能交换机是为发展中的企业提供的,他们希望控制自己的网络,而又没有全面实现的第二层(L2)/第三层(L3)管理型交换机的成本和复杂性。在网络用户数量超过20个时,基本管理功能可能会大大提高安全性、可靠性和管理控制,但转向第二层或第三层管理要求在培训、运行和设备中进行更大的投资。智能交换机填补了非管理型和全面管理型交换机之间的空白,其价格与非管理型交换机类似,但它们提供了过去只有在更昂贵的全面管理型交换机上才能提供的流行特性和功能。智能交换机通过网络浏览器管理,通过直观的用户界面提供了链路汇聚、VLAN和服务质量保障功能。
SNMP (简单网络管理协议)和基于网络的管理
用来管理TCP/IP网络上的设备的一种IETF标准协议。允许网络管理系统(NMS)配置、监测和收集与网络设备和关键接口有关的信息,如HP OpenView。通过与设备上的管理信息库(MIB)交互,网络管理员可以监测连接情况,配置参数,收集关键接口统计数据,诊断问题,进行容量规划。这些信息还通过基于网络的界面提供,可以使用网络浏览器,从网络上任何地方获得这些信息。
生成树
一种检测网络中的环路、并以逻辑方式阻塞冗余路径的技术,以保证在任意两个局域网之间只有一条路由。
生成树协议 (STP)
在多个环路的桥接网络的网段之间找到最经济路径的协议。STP允许使用冗余交换机和网桥,以实现网络弹性,而不会有与环路有关的广播风暴。如果交换机或网桥失效,将打开到冗余交换机或网桥的一条新路径。
SPI (状态分组检测)防火墙
状态分组检测防火墙为路由器提供了最高形式的保护。SPI防火墙自动严格检测所有入局通信和出局通信。这可以防止网络受到恶意攻击,在网络中注入不正确的分组/数据。
SSID (也称为ESSID)
一个32字符的唯一的标识符,连接到通过WLAN发送的分组包头上,在移动设备试图连接BSS时,作为口令使用。(也称为ESSID) SSID把一个WLAN与另一个WLAN区分开来,因此试图连接某个WLAN的所有接入点和所有设备都必须使用相同SSID。
如果不能提供唯一的SSID,设备将不允许加入BSS。由于可以从分组的纯文本中嗅探出SSID,因此SSID没有为网络提供任何安全保护。SSID也称为网络名称,因为它在本质上是识别无线网络的名称。
SSL (安全套接字层)
用来加密数据、以通过互联网安全传输的一种协议。许多网上零售机构和银行网站通常使用这种加密方案,保证交易金融信息的完整性。在SSL会话开始时,服务器把公共密钥发送到浏览器。然后浏览器把随机生成的保密密钥发回服务器,以便为该会话交换保密密钥。
状态分组检测 (SPI)
SPI是防火墙中使用的一种技术,它并不是简单地从互联网隐藏IP地址,而是考察每个分组中的信息,如源地址和目的地址及使用的协议,以根据一套定标准采取特定的措施。可以使用SPI防止DoS攻击,因为分组内部的内容是已知的。
静态IP和动态IP寻址
静态IP地址是在第一次签约互联网服务时为用户“永久”分配的IP地址。动态分配的IP地址则是在连接互联网时临时分配的IP地址,该地址具有预先确定的时限。
子网掩码
在与IP地址结合使用时,IP子网掩码使得设备知道哪些其它地址是本地地址,哪些地址必须通过网关或路由器才能到达。
子网络或子网
这些小型网络位于大型网络中,用来简化大量的计算机之间的寻址。子网通过路由器、集线器或网关连接到中央网络。各个无线局域网可能会对其通话的所有本地计算机使用相同的子网。
交换机
一种集线器,它有效控制多台设备使用同一个网络的方式,以便每台设备都能够实现最佳性能。交换机类似于网络业务的巡警。交换机只把分组传输到接收端口,而不是象集线器那样把收到的所有业务传送到所有端口。
2.20T
TCP (传输控制协议)
与互联网协议(IP)一起使用的协议,用来通过互联网以单独的单元(称为分组)在计算机之间发送数据。IP负责处理数据的实际传送,TCP负责跟踪消息划分的分组,以通过互联网有效选路。例如,在从网络服务器下载网页时,该服务器中的TCP程序层把文件划分成分组,并对分组编号,然后把分组单独转发到IP程序层。尽管每个分组都有相同的目的IP地址,但它可以使用不同的路由通过网络。在另一端,TCP重组各个分组,等到它们全部到达,然后作为一个文件转发这些分组。
TCP/IP
互联网及网络中计算机通信背后使用的底层技术。前一部分TCP是传输部分,它与两端的消息长度相匹配,保证已经收到正确的消息。IP部分是用户在网络上的计算机地址。TCP/IP网络中的每台计算机都有自己的IP地址,它可以是在启动时动态分配的,也可以是永久分配的。所有TCP/IP消息都包含目的网络的地址以及目的工作站的地址。这使得TCP/IP消息能够传输到一个机构内部或世界各地的多个网络(子网)。
Telnet
一种基于字符的UNIX应用,具有Telnet服务器帐号的用户可以登录UNIX计算机,利用其资源。
远程办公人员/移动使用者
在家办公的计算机用户,使用远程接入技术连接到企业局域网骨干(例如,使用模拟线路承载的调制解调器,ISDN线路承载的ISDN终端适配器 (TA)或ISDN路由器,或交换式56线路承载的CSU/DSU)。
粗以太网
说明以太网电缆类型的一个术语。粗以太网或粗网是指以太网络中采用直径为.4"的同轴电缆。
细以太网
说明以太网电缆类型的一个术语。细以太网或细网是指以太网络中采用直径为.2"的同轴电缆。
TLS (传输层安全)
TLS是保证了通过互联网通信的客户端/服务器应用之间的私密性和数据完整性的协议。TLS协议由两个层组成。通过使用对称数据加密,TLS记录协议保证了连接的私密性,同时保证连接的可靠性。第二个TLS层是TLS握手协议,它允许在服务器和客户端之间进行认证,协商加密算法和密钥密钥,然后再发送或接收数据。TLS基于Netscape的SSL 3.0,代替及扩展了SSL。TLS和SSL不能互操作。
TKIP (临时密钥完整性协议)
这是一种安全功能,是WEP增强功能,以防范已知攻击(WEP+4个补丁,即密钥混合, 消息完整性, 重新键入, 初始化矢量保护)。TKIP提供了重要的数据加密增强功能,包括逐包密钥混合功能、称为Michael的消息完整性校验(MIC)、支持排序规则的扩展初始化矢量(IV)以及重新键入机制。通过这些增强功能,TKIP解决了所有已知的WEP漏洞。这作为WPA, WPA2和802.11i的一部分提供。
业务优先权分配
与其它不敏感的数据业务相比,为时间敏感的数据业务提供更高的服务质量保障。
普通文件传送协议(TFTP)
TFTP是简单形式的文件传送协议(FTP)。TFTP采用用户数据报协议 (UDP,用来通过网络传送数据报的一种直接协议,几乎没有错误恢复能力),而没有提供任何安全功能。服务器通常使用这种协议启动无盘工作站、X终端和路由器。
中继线
把一套中继线组合在一起的过程,这套中继线在流量工程上设计成一个单元,在交换系统之间建立连接,且所有通信路径都可以互换。
隧道传输层安全 (TTLS)
Funk Software和Certicom开发的建议的无线安全协议,它把基于网络的认证与令牌或口令等其它认证结合在一起。也称为EAPTTLS。TTLS提供了强大的相互认证功能,而不必分发和管理证书。
2.21U
单点广播
分组被发送到网络上的一个终端站。
USB (通用串行总线)
PC和外设之间的一种高速双向串行连接,以每秒12 MB的速率传输数据。新的USB 2.0规范提供了高达480 Mbps的数据速率,而标准USB的数据速率仅12 Mbps。1394, FireWire和iLink都提供了高达400 Mbps的带宽。
UTP电缆
非屏蔽双绞线电缆。两条成对的线,线每英寸绞合两次或多次,帮助抵消噪声。
2.22V
虚拟局域网 (VLAN)
一种逻辑关联,它允许用户通信,就象是这些用户在物理上连接到一个局域网上一样,而与网络的实际物理配置无关。通过使用这种第二层技术,VLAN内部的业务将只发送到属于该VLAN的设备。它可以用来限制广播业务,并提供一定的安全保护能力。通过把用户划分到不同的逻辑组中,如财务VLAN和销售VLAN,网络管理员可以改善带宽及改善安全性。路由器或第三层交换机必须转发以另一个VLAN为目的地的业务。
虚拟路由器冗余协议 (VRRP)
VRRP是为消除单一故障点而设计的。VRRP把路由职责动态分配给局域网上多台路由器中的一台路由器(主路由器)。在主路由器不可用时,VRRP通过辅助路由器提供动态故障切换。使用VRRP可以实现可用性更高的默认网关,而不要求在每台最终用户设备上配置动态路由或路由器发现协议。
VoIP (IP语音)
VoIP是允许通过互联网等计算机网络进行电话通话的一种技术。VoIP把模拟语音信号转换成数字数据包,支持使用互联网协议(IP)实时双向传输通话。
通过VoIP服务供应商和标准计算机音频系统,可以在互联网上实现VoIP呼叫。某些服务供应商还通过普通电话支持VoIP,这些电话使用专用适配器连接到家庭计算机网络上。
许多VoIP实现方案基于H.323技术标准。
与传统长话相比,VoIP明显节约了成本。VoIP的主要缺点是,它与手机一样,比较容易掉话,语音质量一般较差。
VPN (虚拟专用网)
虚拟专用网或VPN是至少通过公共电话线部分连接的专用计算机网络。在VPN中,远程用户一般连接到互联网服务供应商(ISP)或基于IP的专用网络,然后通过加密的隧道与网络服务器建立安全连接。VPN采用加密和其它安全机制,保证只有授权的用户才能接入网络,数据不能被截获。还可以使用VPN,透过局域网或广域网实现安全通信。
VPN端点
路由器内部的VPN端点功能可以与支持VPN客户端(客户端到设备)或具有VPN端点功能(设备到设备)的某些位置发起一条VPN隧道。
2.23W
WAN (广域网)
广域网是覆盖地理区域相对较大的计算机网络。一般来说,广域网由两个以上的局域网(LAN)组成。
战争驱动(War Driving)
战争驱动是在一个城市周围或其它地方开车,定位及检查无线局域网连接的活动。为进行战争驱动,您需要一辆汽车、一台计算机(可以是笔记本电脑)、一张设置成以混杂模式运行的无线以太网及某类天线,天线可以安装在汽车顶部或位于汽车内部。由于无线局域网的范围可能会超出办公大楼,外部用户可能会侵入网络,免费上网,甚至可能访问公司记录和其它资源。有人已经进行了战争驱动,以在一定程度上演示可以轻松地突破无线局域网。通过单向天线和地理定位系统(GPS),战争驱动驾驶员可以系统地绘制802.11b无线接入点地图。
全球网(万维网 (WWW)或W3)
基于超文本传送协议(HTTP)分发信息的一种互联网客户端-服务器系统。
WEP (有线同等私密性)
Wi-Fi提供的基本无线安全保护能力。在某些情况下,WEP可以满足家庭或小型企业用户保护无线数据的需求。WEP分成40位(也称为64位)、108位(也称为128位)或152位加密模式。152位加密提供了更长的算法,需要更长的解码时间,因此它要比基本40位(64位)加密更安全。
广域网 (WAN)
广域网是覆盖相对地理区域较大的计算机网络。一般来说,广域网由两个以上的局域网(LAN)组成。
Wi-Fi
无线以太网兼容能力联盟(WECA)授权使用的表明“互操作能力标志”的徽标。只有选定的无线网络产品才具有IEEE802.11x的这一特点。
Wi-Fi (无线保真度)
IEEE 802.11 WLAN网络的另一个名称。Wi-Fi认证产品可以互操作,即使这些产品来自不同的制造商。Wi-Fi产品用户可以把任何品牌的接入点与基于Wi-Fi标准的任何其它品牌的客户端硬件一起使用。
Wi-Fi联盟(WFA,原WECA –无线以太网兼容能力联盟)
Wi-Fi联盟是1999年成立的一家非营利性国际协会,用来认证基于IEEE 802.11规范的无线局域网产品的互操作能力。目前,Wi-Fi联盟在世界各地共拥有193家会员公司,自2000年3月开始认证以来,已有509种产品获得Wi-Fi认证。Wi-Fi联盟会员的目标是通过产品互操作能力,增强用户感受(www.wi-fi.org)。
Wi-Fi多媒体(WMM™)
这一名称是由Wi-Fi联盟(WFA)指派和支持的。这种新技术从即将发布的802.11e QoS标准中提供分组优先处理组件,允许先于数据几微秒发送包含时间相关数据的分组(如音频或视频)。这种技术对建立家庭娱乐网络、在家中分配多条电视、视频和录像流非常重要。
Wi-Fi保护接入和IEEE 802.11i比较
Wi-Fi保护接入向上兼容IEEE最近批准的IEEE802.11i安全规范。Wi-Fi保护接入是802.11i的子集,后者包括802.1x和TKIP实现方案。802.11i, 又名WPA2, 代替了WPA,并自2004年6月23日起一直使用。
针对企业的Wi-Fi保护接入(WPA2企业标准)
WPA2企业标准有效满足了企业的WLAN安全要求,提供了强大的加密和认证功能。在包括IT资源的企业中,应结合使用认证服务器和Wi-Fi保护接入,如RADIUS,提供集中接入控制和管理功能。通过采用这种实现方案,可以消除对附加解决方案的需要,如VPN,至少可以明确保护网络中无线链路的安全。
针对家庭/SOHO的Wi-Fi保护接入或WPA2 PSK或个人标准
在家庭或小型办公室/家庭办公室(SOHO)环境中,没有中央认证服务器或EAP架构,Wi-Fi保护接入将以专用家庭模式运行。这种模式也称为共享密钥(PSK),允许使用手动输入的密钥或口令,以使家庭用户简便地进行设置。所有家庭用户只需在接入点或家庭无线网关及Wi-Fi无线网络上的每台PC中输入一个口令(也称为主密钥)。这时,Wi-Fi保护接入会自动接管任务。首先,口令只允许口令相符的设备加入网络,防止者和其它未经授权的用户接入网络。第二,口令会自动取消TKIP加密过程,如前所述。
Wi-Fi保护接入2 (WPA2)
Wi-Fi保护接入2或WPA2是Wi-Fi联盟(WFA)对IEEE 802.11i规范的叫法,提供了基于标准的可以互操作的安全增强功能,提高了WLAN系统数据加密和访问控制能力。WPA规定了支持802.1x RADIUS认证服务器的协议,只有知道通行字或共享密钥的用户才能接入网络或理解传输的数据。
Wi-Fi保护接入2在“混合模式”部署中
在拥有许多客户端的大型网络中,一种可能的方案是在所有Wi-Fi客户端之前升级接入点。某些接入点可能会以“混合模式运行”,其同时支持运行Wi-Fi保护接入的客户端和运行原始WEP安全的客户端。尽管适合用于转换,但同时支持两种客户端设备的结果是,安全性将处在所有所有设备共用的较低的安全水平(WEP)。因此,通过使所有Wi-Fi客户端和接入点加速转向Wi-Fi保护接入,各机构可以从中受益。
WiMAX
一个IEEE 802.16任务小组,为采用点到多点(PMP)的固定宽带无线接入系统提供了规范。IEEE 802.16的第一任务小组为10-66 GHz频率范围内的系统开发了点到多点宽带无线接入标准。该标准同时涵盖了介质访问控制(MAC)和物理(PHY)层。这一标准预计在2004年下半年最终批准。
Windows互联网名称服务(WINS)
WINS。Windows互联网名称服务是一种服务器流程,用来把基于Windows的计算机名称解析成IP地址。如果远程网络包含一台WINS服务器,Windows PC可以从该WINS服务器上收集与本地主机有关的信息,然后PC可以使用Windows网络邻居功能,浏览远程网络。
无线接入点支持
接入点作为网桥,把两个以太局域网连接起来。
无线网络
无线网络是指实现无线信号传输的基础设施。网络把各种单元捆绑在一起,实现资源共享。
线速性能
根据IEEE标准的定义,线速性能是指能够以线缆允许的传送分组的最快速率进行所有要求的分组处理及转发业务。由于所有转发决策都发生在专用集成电路(ASIC)中,因此保证了线速交换和路由性能。把服务集中在硬件中,以异常经济的价格提供了杰出的性能。在与保证零丢包率的无阻塞结构结合使用时,可以简便地降低或消除传统的带宽和时延瓶颈。
Wi-Fi保护接入(WPA)
Wi-Fi保护接入(WPA)是一种基于标准的、可以互操作的安全增强功能规范,它提高了WLAN系统的数据加密和控制水平。WPA规定了支持802.1x RADIUS认证服务器的协议,以便只有知道通行字或共享密钥的用户才能接入网络或理解传输的数据。
WLAN (无线局域网)
也称为局域网。局域网的一种,它使用无线电波或高频无线电波,而不是线缆,在节点之间通信。
转载地址:https://blog.csdn.net/iteye_1789/article/details/82134249 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
关于作者
