关于服务器安全你了解多少?服务器流量攻击怎么防御?
服务器流量攻击怎么防御服务器是为网络提供计算服务的设备,在企业网站中起着重要的作用。所以平时一定要注重对服务器安全问题。如何防范服务器被攻击呢
服务器被攻击的常见方式有两种:一种是CC,一种是ddos。如果是CC攻击方式,机房技术会根据攻击的类型及时调整策略,CDN的服务在策略上可以先过一层,有效针对CC攻击。
如果是DDOS,必须要机房有硬防才可以防御,这个必须需要带宽充足才可以解决的,同时CDN进行分流和清洗等。对于服务器被攻击并不是不可防范的,用户在使用服务器之前,锐速云可以通过一些简单的措施来提升服务器的安全。
1、服务器租用一定要把administrator禁用;禁止响应ICMP路由通告报文;禁用服务里的Workstation。
2、主机租用系统升级、打操作系统补丁,尤其是IIS60补丁、SQL SP3a补丁,甚至IE60补丁也要打,同时及时跟踪最新漏洞补丁。
3、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器;阻止IUSR用户提升权限;防止SQL注入。
做好服务器的ddos防御措施,以防为主被攻击还是很有必要的。若是黑客或者竞争对手要一直盯着你的服务器或者网站,经常性的进行一些攻击,那也是一件很要命的事情。
Workerman是一款纯PHP开发的开源高性能的PHP socket 服务框架。 (推荐学习: workerman教程)
Workerman不是重复造轮子,它不是一个MVC框架,而是一个更底层更通用的socket服务框架,你可以用它开发tcp代理、梯子代理、做游戏服务器、邮件服务器、ftp服务器、甚至开发一个php版本的redis、php版本的数据库、php版本的nginx、php版本的php-fpm等等。
Workerman可以说是PHP领域的一次创新,让开发者彻底摆脱了PHP只能做WEB的束缚。
实际上Workerman类似一个PHP版本的nginx,核心也是多进程+Epoll+非阻塞IO。
Workerman每个进程能维持上万并发连接。由于本身常住内存,不依赖Apache、nginx、php-fpm这些容器,拥有超高的性能。
同时支持TCP、UDP、UNIXSOCKET,支持长连接,支持Websocket、HTTP、WSS、HTTPS等通讯协以及各种自定义协议。拥有定时器、异步socket客户端、异步Mysql、异步Redis、异步Http、异步消息队列等众多高性能组件。
Workerman的一些应用方向如下:
1、即时通讯类 例如网页即时聊天、即时消息推送、微信小程序、手机app消息推送、PC软件消息推送等等 [示例 workerman-chat聊天室 、 web消息推送 、 小蝌蚪聊天室]
2、物联网类 例如Workerman与打印机通讯、与单片机通讯、智能手环、智能家居、共享单车等等。 [客户案例如 易联云、易泊时代等]
3、游戏服务器类 例如棋牌游戏、MMORPG游戏等等。[示例 browserquest-php]
4、SOA服务化 利用Workerman将现有业务不同功能单元封装起来,以服务的形式对外提供统一的接口,达到系统松耦合、易维护、高可用、易伸缩。[示例 workerman-json-rpc、 workerman-thrift]
5、其它服务器软件 例如 GatewayWorker,PHPSocketIO,http代理,sock5代理,分布式通讯组件,分布式变量共享组件,消息队列、DNS服务器、WebServer、CDN服务器、FTP服务器等等
6、中间件 例如异步MySQL组件,异步redis组件,异步http组件,异步消息队列组件,异步dns组件,文件监控组件,还有很多第三方开发的组件框架等等
ddos攻击防护思路?
1、采用高性能的网络设备首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P424G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5、把网站做成静态页面大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
6、增强操作系统的TCP/IP栈Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化TCP/IP堆栈安全》。也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYNCookies》。
7、安装专业抗DDOS防火墙
8、其他防御措施以上几条对抗DDOS建议,适合绝大多数拥有自己主机的用户,但假如采取以上措施后仍然不能解决DDOS问题,就有些麻烦了,可能需要更多投资,增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,从而使得抗DDOS攻击能力成倍提高,只要投资足够深入。
什么是DDOS攻击?它的原理是什么?它的目的是什么?越详细越好!谢谢?
网站最头痛的就是被攻击,常见的服务器攻击方式主要有这几种:端口渗透、端口渗透、密码破解、DDOS攻击。其中,DDOS是目前最强大,也是最难防御的攻击方式之一。
那什么是DDOS攻击呢?
攻击者向服务器伪造大量合法的请求,占用大量网络带宽,致使网站瘫痪,无法访问。其特点是,防御的成本远比攻击的成本高,一个黑客可以轻松发起10G、100G的攻击,而要防御10G、100G的成本却是十分高昂。
DDOS攻击最初人们称之为DOS(DenialofService)攻击,它的攻击原理是:你有一台服务器,我有一台个人电脑,我就用我的个人电脑向你的服务器发送大量的垃圾信息,拥堵你的网络,并加大你处理数据的负担,降低服务器CPU和内存的工作效率。
不过,随着科技的进步,类似DOS这样一对一的攻击很容易防御,于是DDOS—分布式拒绝服务攻击诞生了。其原理和DOS相同,不同之处在于DDOS攻击是多对一进行攻击,甚至达到数万台个人电脑在同一时间用DOS攻击的方式攻击一台服务器,最终导致被攻击的服务器瘫痪。
DDOS常见三种攻击方式
SYN/ACKFlood攻击:最为经典、有效的DDOS攻击方式,可通杀各种系统的网络服务。主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。
TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此此种DDOS攻击方式容易被追踪。
刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。
如何防御DDOS攻击?
总体来说,可以从硬件、单个主机、整个服务器系统三方面入手。
一、硬件
1增加带宽
带宽直接决定了承受攻击的能力,增加带宽硬防护是理论最优解,只要带宽大于攻击流量就不怕了,但成本非常高。
2、提升硬件配置
在有网络带宽保证的前提下,尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置,选用知名度高、口碑好的产品。
3、硬件防火墙
将服务器放到具有DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能,可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击
二、单个主机
1、及时修复系统漏洞,升级安全补丁。
2、关闭不必要的服务和端口,减少不必要的系统加载项及自启动项,尽可能减少服务器中执行较少的进程,更改工作模式
3、iptables
4、严格控制账户权限,禁止root登录,密码登录,修改常用服务的默认端口
三、整个服务器系统
1负载均衡
使用负载均衡将请求被均衡分配到各个服务器上,减少单个服务器的负担。
2、CDN
CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率,因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制,CDN则更加理智,多节点分担渗透流量,目前大部分的CDN节点都有200G的流量防护功能,再加上硬防的防护,可以说能应付目绝大多数的DDoS攻击了。
3分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态。
DDOS攻击的原理?
一个比较完善的DDos攻击体系分成四大部分,分别是攻击者(attacker也可以称为master)、控制傀儡机(handler)、攻击傀儡机(demon,又可称agent)和受害着(victim)。
第2和第3部分,分别用做控制和实际发起攻击。
第2部分的控制机只发布令而不参与实际的攻击,第3部分攻击傀儡机上发出DDoS的实际攻击包。
对第2和第3部分计算机,攻击者有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自攻击者的指令,通常它还会利用各种手段隐藏自己不被别人发现。
在平时,这些傀儡机器并没有什么异常,只是一旦攻击者连接到它们进行控制,并发出指令的时候,攻击愧儡机就成为攻击者去发起攻击了。
空间数据库引擎:ArcSDE90(arc spatial database engine);此软件被用作系统后台(Server),其优势在于能按照用户需求合理地管理大规模甚至超大规模的空间数据库,为系统前端提供高效的空间数据和复杂的空间分析服务。
选择空间数据库引擎SDE作为空间数据库管理系统,是一套管理空间数据并提供访问这些数据接口的软件,通过ArcSDE可以把地理空间数据应用到商用的关系型数据库中,SDE融入DBMS后,提供了对空间数据进行高效率操作的接口,大量用户可以同时针对同一数据进行操作,更重要的是ArcSDE客户和服务器之间的通讯建立在TCP/IP协议上,这使得ArcSDE不但能满足局域网的应用,而且能满足远程网的应用。
通过ArcSDE,能够管理具有数百万空间要素的大型空间数据集。ArcSDE对各级企业均能适用,这归功于其在客户与服务器间协同处理。ArcSDE通过TCP/IP协议,提供网络上的开放数据访问;同时,ArcSDE可运行在不同的操作系统环境中,如UNIX,Microsoft Windows的客户端与服务器端。
为了实现以关系数据库管理系统(Oracle)为基础的空间数据管理,需要使用空间数据库引擎。良好的空间数据库引擎能够为数据库的应用系统开发提供高性能的支持。ESRI公司的ArcSDE for Or-acle 是一个基于Oracle的空间数据库引擎,它的空间数据管理高效而稳定,将作为本项目综合数据库的必须软件产品之一。其特点:
(1)对地理数据的开放式系统访问
ArcSDE利用开放系统结构,使得地理数据易于获得,可以把地理数据的管理与使用同其他传统的多媒体数据库合并到一个平滑的计算机环境中。利用ArcSDE的开放性,用户可以进行从简单到复杂的空间数据分析,从几个到许多地理特征的提取,访问超大规模的数据库,高效完成各种复杂任务。
(2)进行高效查询分析
ArcSDE提供一组可靠的几何处理与空间分析功能,通过此功能确定各地理实体间的相互关系,如相交于一点、共一条边界、共一个区域或一个实体包含另一个实体。而且还可以把空间分析嵌入到一个非GIS的应用程序中去。
(3)理想的空间对象模型
ArcSDE把线特征表示成一条不能自相交的线,或只能在终点相交的线;面特征表示成一个简单的多边形或多边形组合。空间对象类型有点、点集、串、线串、环、多边形、环纹多边形(donut polygon)以及网络数据,一个组合数据集称为一个层。层是具有相同形式对象类型的一组地理特征,地理特征通过图层这种空间连续策略进行索引,提高数据管理效率。
(4)快速实现过程
ArcSDE对于复杂空间查询的处理的效率体现在对次要特征(Subsecond Feature)的检索上,快速访问与检索是在C/S模式上实现的,客户端主要是响应空间分析操作,服务器则进行数据搜索和检索。这种互操作处理方法使得动态空间叠加成为可能,当大量增加客户端的时候,利用这种处理可以把客户机带来的性能下降降到最小。
(5)其他
客户端可以通过TCP/IP协议访问Arc/Info数据,不用通过传统的直接挂到数据库所在的磁盘上进行访问,这样系统就可以建立在广域网上,数据分布将不受地域限制。同时允许将一部分数据放在RDBMS中,另一部分数据以传统Arc/Info数据格式保存。而客户端的应用将以同一种方式进行访问,即数据源的不同对客户而言是完全透明的。
ArcSDE本身并没有专用数据库,而是通过与其他通用的DBMS的集成来管理空间数据。根据DBMS的类型,ArcSDE与DBMS的集成可分为两种:①与传统的关系型数据库管理系统(RDBMS)的集成,由于传统的RDBMS不支持数据类型的扩展,无法管理空间数据,只能通过ArcSDE对空间数据和空间操作进行解释和管理。②与面向对象关系数据库(OORDMS)的集成。由于面向对象的关系支持新的数据类型和函数的扩展,ArcSDE可以直接在数据库中定义空间数据类型和空间函数。于是可以通过基于SQL的函数对空间数据进行操作,并在数据库层次建立空间索引。
可尝试通过以下方式进行系统的优化:
1、可以直接搜索服务(或右击此电脑选择管理,选择服务和应用程序,双击服务)在右侧找到并双击IP Helper,将“启动类型”改为禁用后确定。
2、在搜索框搜索并进入应用和功能,双击需要卸载的程序并点击卸载。
3、搜索进入编辑电源计划更改高级电源设置为高性能模式。
4、如果不需要应用使用广告ID、定位之类的功能,可以搜索进入隐私设置,关闭常规和位置中的相关选项。
5、搜索并进入存储,开启“存储感知”。打开后,Windows便可通过删除不需要的文件(例如临时文件和回收站中的内容)自动释放空间。
6、若笔记本仅办公不游戏的话,可以右击Windows图标选择设置,点击游戏并关闭游戏栏。
普通的家用和办公电脑的主板,主要需求是在性能和功能上;而服务器主板则是专门为了满足
服务器应用——高稳定性、高性能、高兼容性的环境,而开发的主机板。由于服务器的高运作
时间,高运作强度,以及巨大的数据转换量,电源功耗量,I/O吞吐量,因此对服务器主板的
要求是相当严格的。
服务器主板和普通电脑主板的区别,主要由以下5点:
1、服务器主板一般都是至少支持两个处理器——芯片组不同(往往是双路以上的服务器,单
路服务器有时候就是使用台式机主板)。
2、服务器几乎任何部件都支持ECC,内存、处理器、芯片组(但高阶台式机也开始支持ECC)
3、服务器很多地方都存在冗余,高档服务器上面甚至连CPU、内存都有冗余,中档服务器上,
硬盘、电源的冗余是非常常见的,但低档服务器往往就是台式机的改装品,不过也选用一线大
厂电源。
4、由于服务器的网络负载比较大,因此服务器的网卡一般都是使用TCP/IP卸载引擎的网卡,
效率高,速度快,CPU占用小,但目前高档台式机也开始使用高档网卡甚至双网卡。
5、硬盘方面,已经很多而且越来越多的服务器将用SAS /SCSI 代替SATA。
以太网技术
1、前言
计算机网络分为两类:采用点到点连接的网络和采用广播信道的网络。在所有广播网络中,关键的问题是:当信道的使用产生竞争时,如何分配信道的使用权。用来决定广播信道中信道分配的协议属于数据链路层的子层,称作介质访问控制MAC(medium access control)子层。由于几乎所有的局域网都以多路复用信道作为通信的基础,而广域网中除卫星网以外,都采用点到点连接,所以MAC子层在局域网中尤其重要。
介质访问子层的中心论题是相互竞争的用户之间如何分配一个单独的广播信道。其分配方法有静态分配和动态分配两种。而所有传统的信道静态分配方法均不能有效地处理通信的突发性,所以我们必须采用信道动态分配。在各种多路访问协议中,本文只介绍与以太网密切相关的几种载波侦听协议。
2、载波侦听多路访问协议(carrier sense multiple access protocol)
在局域网中,站点可以检测到其他站点在干什么,从而相应地调整自己的动作。网络站点侦听载波是否存在(即有无传输)并相应动作的协议,被称为载波侦听协议(carrier sense protocol)。下面介绍几种带冲突检测的载波侦听多路访问CSMA/CD(carrier sense multiple access with collision detection)协议。CSMA/CD协议是对ALOHA协议(一种基于地面无线广播通信而创建、适用于无协调关系的多用户竞争单信道使用权的系统)的改进,它保证在侦听到信道忙时无新站开始发送;站点检测到冲突就取消传送,以太网就是它的一个版本。
21、1-持续CSMA
当一个站点要传送数据时,它首先侦听信道,看是否有其他站点正在传送。如果信道正忙,它就持续等待直到当它侦听到信道空闲时,便将数据送出。若发生冲突,站点就等待一个随机长的时间,然后重新开始。此协议被称为1-持续CSMA,是因为站点一旦发现信道空闲,其发送数据的概率为1。
22、非持续CSMA
在发送之前,站点会侦听信道的状态,如果没有其他站点在发送,它就开始发送。但如果信道正在使用之中,该站点将不再继续侦听信道,而是等待一个随机的时间后,再重复上述过程。
23、p-持续CSMA
一个站点在发送之前,首先侦听信道,如果信道空闲,便以概率p传送,而以概率q=1-p把该次发送推迟到下一时隙。此过程一直重复,直到发送成功或者另外一站开始发送为止。在后一种情况下,该站的动作与发生冲突时一样(即等待一随机时间后重新开始)。若站点一开始就侦听到信道忙,它就等到下一时隙,然后开始上述过程。 3、IEEE8023
IEEE802标准已被ANSI采用未美国国家标准,被NIST采用未政府标准,并且被ISO作为国际标准,称之为ISO 8802。这些标准在物理层和MAC子层上有所不同,但在数据链路层上是兼容的。
这些标准分成几个部分。8021标准对这组标准做了介绍并且定义了接口原语;8022标准描述了数据链路层的上部,它使用了逻辑链路控制LLC(logical link control)协议。8023到8025分别描述了3个局域网标准,分别是CSMA/CD、令牌总线和令牌环标准,每一标准均包括物理层和MAC子层协议,下面仅介绍8023。
31 IEEE8023标准及以太网
IEEE8023标准适用于1-持续CSMA/CD局域网。其工作原理是:当站点希望传送时,它就等到线路空闲为止,否则就立即传输。如果两个或多个站点同时在空闲的电缆上开始传输,它们就会冲突。于是所有冲突站点终止传送,等待一个随机的时间后,再重复上述过程。
已出版的8023标准与以太网的细微差别是:它描述了运行在各种介质上的从1Mb/s~10Mb/s的1-持续CSMA/CD系统的整个家族。另外,二者的一个头部字段也有所不同(8023的长度字段用作以太网的分组类型)。
许多人(错误地)quot;以太网"作为CSMA/CD协议的总称,尽管这一名词只表示了实现8023的某个特定产品。
32 8023的电缆
321四种电缆
此处按历史顺序介绍。
第一种是10Base5电缆,它通常被称为"粗以太网(thick ethernet)"电缆,8023标准建议为**,每隔25m一个标志,标明分接头插入处,连接处通常采用插入式分接头(vampire tap),将其触针小心地插入到同轴电缆的内芯。名称10Base5表示的意思是:工作速率为10Mb/s,采用基带信号,最大支持段长为500m。
第二种电缆是10Base2,或称为"细以太网(thin ethernet)"电缆,与"粗以太网"相对,并且很容易弯曲。其接头处采用工业标准的BNC连接器组成T型插座,它使用灵活,可靠性高。"细以太网"电缆价格低廉,安装方便,但是使用范围只有200m,并且每个电缆段内只能使用30台机器。
由于寻找电缆故障的麻烦,导致一种新的接线方式的产生,即所有站点均连接到一个中心集线器(hub)上。通常,这些连线是电话公司的双绞线。这种方式被称为10Base-T。这种结构使增添或移去站点变得十分简单,并且很容易检测到电缆故障。10Base-T的缺点是,其电缆的最大有效长度为距集线器100m,即使是高质量的双绞线(5类线),最大长度可能也只有150m。另外,大集线器的价格也较高。尽管如此,由于其易于维护,10Base-T还是应用得越来越广泛。
8023中可用的第四种电缆连接方式是10Base-F,它采用了光纤。这种方式由于其连接器和终止器的费用而十分昂贵,但是它却有极好的抗干扰性,常用于办公大楼或相距较远的集线器间的连接。
名称 电缆 最大区间长度 节点数/段 优点
10Base5 粗同轴电缆 500m 100 用于主干很好
10Base2 细同轴电缆 200m 30 最便宜的系统
10Base-T 双绞线 100m 1024 易于维护
10Base-F 光纤 2000m 1024 最适于在楼间使用
322 拓扑
下图给出了在建筑物内的不同走线方式。在(a)中,单根电缆如蛇形地穿越各个房间,每个站点从最近处接上电缆。(b)中,垂直的的主干线从地下室引向房顶,各层的水平电缆通过放大器(中继器)连到主干线上。在某些系统中,水平的电缆是细缆,主干线是粗缆。最普通的拓扑结构是树型,因为在网络上如果某些站点对间有两条路径,会造成两个信号间的干扰。
323 中继器
8023的每种版本都有一个区间最大电缆长度。为了使网络范围更大,可以用中继器(repeater)连接多根电缆,如上图(d)所示。中继器是一个物理层设备,它双向接收、放大并重发信号。对软件而言,由中继器连接起来的一系列电缆段同单根电缆并无区别(除了中继器产生的一些延迟以外)。一个系统中可拥有多个电缆段和多个中继器,但两个收发器间不得超过25km,任意两个收发器间的路径上不得有4个以上的中继器。
33 帧格式
8023的帧结构以7字节的先导字段开头,每字节的内容为10101010。随后是内容为10101011的一字节,标志着帧本身的开始。接下来是目的地址和源地址,尽管标准允许2字节和6字节两种地址,但是10Mb/s基带网标准规定只使用6字节地址(目的地址的最高位为0是普通地址,为1时是组播地址,全1时为广播地址)。然后是2字节长度字段(值为0~1500)和数据部分,如果帧的数据部分少于46字节,使用填充字段以达到要求的最短长度。最后一个字段是校验和,采用的算法是循环冗余校验。
34 交换式8023局域网
交换式局域网的心脏是一个交换机,在其高速背板上插有4~32个插板,每个板上有1~8个连接器。大多数情况下,交换机都是通过一根10Base-T双绞线与一台计算机相连。
当一个站点想发送一8023帧时,它就向交换机输出一标准帧。插板检查该帧的目的地是否为连接在同一块插板上的另一站点。如果是,就复制该帧。如果不是,该帧就通过高速背板被送向连有目的站点点插板。通常,背板通过采用适当的协议,速率高达1Gb/s。
如果一块插板上连接的两个站点同时发送一帧,会如何解决?这取决于插板的构造方式。
一种方式都是插板上的所有端口连在一起形成一个插板上局域网。插板上局域网的冲突检测与处理方式与CSMA/CD网络完全一样,并采用二进制后退算法进行重发。采用这种插板,任一时刻每块板上只可能有一个帧发送,但所有插板的发送可以并行进行。通过使用这种方案,每个插板与其他插板独立,属于自己的冲突域(collision domain)。
另一种插板采用了缓冲方式,因此,当有帧到达时,它们首先被缓冲在插板上的RAM中。这种方案允许所有端口并行地接受和发送帧。一旦一帧被完全接受,插板就检查接收帧的目的地是同一插板上的另一端口,还是其他插板上的端口。在前一种情况下,帧会被直接发送到目的端口,在后一种情况下,帧必须通过背板发送到正确的插板上。采用这种方案,每一个端口是一个独立的冲突域,因此冲突不会发生。该系统的总吞吐量是10Base-5的倍数。
因为交换机只要求每个输入端口接收的是标准8023帧,所以可将它的端口用作集线器,如果所有端口连接的都是集线器,而不是单个站点,交换机就变成了8023到8023的网桥。
4、快速以太网
FDDI曾被认为是下一代的LAN,但是除了主干网市场外(在这方面FDDI一直很出色),它很少被使用。因为其站点管理过于复杂,从而导致芯片复杂和价格昂贵。FDDI的巨大费用使得工作站制造商不愿让它成为标准网络,因此从不大量生产,FDDI也就无法占据大块市场。1992年IEEE重新召集了8023委员会,指示他们制订一个快速的LAN。8023委员会决定保持8023原状,只是提高其速率,IEEE在1995年6月正式采纳了其成果8023u。从技术角度上讲,8023u并不是一种新的标准,只是对现存8023标准的追加,习惯上称为快速以太网。
其基本思想很简单:保留所有的旧的分组格式,接口以及程序规则,只是将位时从100ns减少到10ns,并且所有的快速以太网系统均使用集线器,不再使用带有刺入式分接头或BNC连接头的多点电缆。下面介绍各种类型的连线。
(1)100Base-T4
即3类UTP,它采用的信号速度为25MHz,需要四对双绞线,不使用曼彻斯特编码,而是三元信号,每个周期发送4比特,这样就获得了所要求的100Mb/s,还有一个333Mb/s的保留信道。该方案即所谓的8B6T(8比特被映射为6个三进制位)。
(2)100Base-TX
即5类UTP,其设计比较简单,因为它可以处理速率高达125MHz以上的时钟信号,每个站点只需使用两对双绞线,一对连向集线器,另一对从集线器引出。它没有采用直接的二进制编码,而是采用了一种运行在125MHz下的被称为4B5B的编码方案。100Base-TX是全双工的系统。
(3)100Base-FX
使用两束多模光纤,每束都可用于两个方向,因此它也是全双工的,并且站点与集线器之间的最大距离高达2km。
100Base-T4和100Base-FX可使用两种类型(共享式、交换式)的集线器,它们统称为100Base-T。在共享式集线器中,所有的输入线(或者至少是所有连到同一块卡上的接线)在逻辑上连在一起,形成了同一个冲突域。100Base-FX电缆与正常的以太网冲突算法来说显得过长,所以它们必须与缓存的交换式集线器相连,每根电缆各为一个冲突域
5、千兆以太网
51 综述
以太网标准由IEEE LAN-MAN标准委员会的8023工作组创建并维护。近几年,8023z工作组致力于光纤和屏蔽跨接电缆集合("短距离铜线")的千兆以太网解决方案。1997年春天,新的工作组8023ab成立,研究基于4对5类缆线的"长距铜线"解决方案,其标准为4对5类UTP、最大长度100米的千兆以太网连接,该标准为以太网MAC层定义了一个接口GMII(Gigabit Media Independent Interface),还定义了管理、中继器操作、拓扑规则及四种物理层信令系统:1000Base-SX(短波长光纤)、1000Base-LX(长波长光纤)、1000Base-CX(短距离铜线)和1000Base-T(100米4对5类UTP)。
注:1000Base-CX为150欧姆、平衡屏蔽的特殊电缆集合,线速125Gbps,使用基于光通道的8B/10B编码方式,其时间帧与光纤连接相同。
52 千兆以太网产品
千兆以太网也是以太网,其产品没多大变化,主要有:交换机、上连/下连模块、网卡、千兆以太网路由器,以及一种新设备,叫缓存式分配机(buffered distributor)。
缓存式分配机是一种全双工、多端口的类似集线器的设备,将两个或工作在1Gbps以上的8023链路连接起来。缓存式分配机把分组转发到除源链路外其它所有链路上,提供共享带宽域(与8023的冲突域相对),也被称为"盒子中的CSMA/CD"。它与8023的中继器(repeater)不同,允许在转发到达各链路的帧之前先加以缓冲。
作为共享带宽设备,缓存式分配器应与路由器和交换机区分开。配有千兆以太网接口的路由器可以有支持高于或低于千兆速率的背板,而连到千兆以太网缓存式分配器背板的端口共享一千兆的带宽,对于多端口的千兆以太网交换机而言,其高性能背板可支持数千兆的带宽。
53 升级到千兆以太网
千兆以太网最初的应用将是在路由器、交换机、集线器、中继器和服务器之间需要高带宽的校园或建筑物。下面举出几种升级方式的例子。
(1)升级交换机到交换机的连接
这是很直接的升级方案,将快速以太网交换机或中继器之间的100Mbps连接升级或100/1000交换机之间的1000Mbps连接,从而可支持更多的交换和共享快速以太网段。
(2)升级交换机到服务器的连接
最简单的升级方案,将快速以太网交换机升级成千兆以太网交换机,与安装了千兆以太网卡的高性能服务器组与1000Mbps的高速率相连,提供对应用和文件服务的高速访问能力。
(3)升级交换式快速以太网主干
多个10/100交换机构成的快速以太网主干可以升级为支持多个100/1000交换机及其它含有千兆以太网接口和上连模块的路由器和集线器的千兆以太网交换机。若需要也可安装千兆集线器和/或缓存式分配器。
(4)升级共享FDDI主干
方式为将FDDI集中器或集线器或者以太网到FDDI的路由器升级为千兆以太网交换机或缓存式分配器。
(5)升级到高性能桌面
随着千兆以太网发展,在连接快速以太网或FDDI的桌面机仍缺乏带宽时,千兆以太网卡将用于升级高性能桌面机。高性能桌面机将直接连接到千兆以太网交换机或缓存式分配器。
--------------------------------------------------------------------------------
交换式以太网技术
交换式技术发展过程
以太网交换机,英文为SWITCH,也有人翻译为开关,交换器或称交换式集线器。我们首先回顾一下局域网的发展过程。 计算机技术与通信技术的结合促进了计算机局域网络的飞速发展,从六十年代末ALOHA的出现到九十年代中期1000MBPS交换式以太网的登台亮相,短短的三十年间经过了从单工到双工,从共享到交换,从低速到高速, 从简单到复杂,从昂贵到普及的飞跃。
八十年代中后期,由于通信量的急剧增加,促使技术的发展,使局域网的性能越来越高,最早的1MBPS的速率已广泛地被今天的100BASE-T和100CG-ANYLAN替代,但是,传统的媒体访问方法都局限于使大量的站点共享对一个公共传输媒体的访问, 既CSMA/CD。
九十年代初,随着计算机性能的提高及通信量的聚增,传统局域网已经愈来愈超出了自身的负荷,交换式以太网技术应运而生,大大提高了局域网的性能。与现在基于网桥和路由器的共享媒体的局域网拓扑结构相比,网络交换机能显著的增加带宽。交换技术的加入,就可以建立地理位置相对分散的网络,使局域网交换机的每个端口可平行、安全、同时的互相传输信息,而且使局域网可以高度扩充。
从网桥、多端口网桥到交换机
局域网交换技术的发展要追溯到两端口网桥。桥是一种存储转发设备,用来连接相似的局域网。从互联网络的结构看,桥是属于DCE级的端到端的连接;从协议层次看,桥是在逻辑链路层对数据帧进行存储转发;与中继器在第一层、路由器在第三层的功能相似。两端口网桥几乎是和以太网同时发展的。
以太网交换技术(SWITCH)是在多端口网桥的基础上与九十年代初发展起来的,实现OSI模型的下两层协议,与网桥有着千丝万缕的关系,甚至被业界人士称为"许多联系在一起的网桥",因此现在的交换式技术并不是什么新的标准,而是现有技术的新应用而已,是一种改进了的局域网桥,与传统的网桥相比,它能提供更多的端口(4~88)、更好的性能、更强的管理功能以及更便宜的价格。现在某些局域网交换机也实现了OSI参考模型的第三层协议,实现简单的路由选择功能,目前很热的第三层交换就是指此。以太网交换机又与电话交换机相似,除了提供存储转发(STORE ANG FORWORD)方式外还提供了其它的桥接技术,如:直通方式(CUT THROUGH)。
交换式以太网的工作原理
以太网交换机的原理很简单,它检测从以太端口来的数据包的源和目的地的MAC(介质访问层)地址,然后与系统内部的动态查找表进行比较,若数据包的MAC层地址不在查找表中,则将该地址加入查找表中,并将数据包发送给相应的目的端口。
交换式以太网技术的优点 交换式以太网不需要改变网络其它硬件,包括电缆和用户的网卡,仅需要用交换式交换机改变共享式HUB,节省用户网络升级的费用。
可在高速与低速网络间转换,实现不同网络的协同。目前大多数交换式以太网都具有100MBPS的端口,通过与之相对应的100MBPS的网卡接入到服务器上,暂时解决了10MBPS的瓶颈,成为网络局域网升级时首选的方案。
它同时提供多个通道,比传统的共享式集线器提供更多的带宽,传统的共享式10MBPS/100MPS以太网采用广播式通信方式,每次只能在一对用户间进行通信,如果发生碰撞还得重试,而交换式以太网允许不同用户间进行传送,比如,一个16端口的以太网交换机允许16个站点在8条链路间通信。
特别是在时间响应方面的优点,使的局域网交换机倍受青睐。它以比路由器低的成本却提供了比路由器宽的带宽、高的速度,除非有上广域网(WAN)的要求,否则,交换机有替代路由器的趋势。
直通式(cut throuth),存储转发(store-and-forward)的比较
直通方式的以太网络交换机可以理解为在各端口间是纵横交叉的线路矩阵电话交换机。它在输入端口检测到一个数据包时,检查该包的包头,获取包的目的地址,启动内部的动态查找表转换成相应的输出端口,在输入与输出交叉处接通,把数据包直通到相应的端口,实现交换功能。由于不需要存储,延迟(LATENCY)非常小、交换非常快,这是它的优点;它的缺点是:因为数据包的内容并没有被以太网交换机保存下来,所以无法检查所传送的数据包是否有误,不能提供错误检测能力,由于没有缓存,不能将具有不同速率的输入/输出端口直接接通,而且,当以太网络交换机的端口增加时,交换矩阵变的越来越复杂,实现起来相当困难。
存储转发方式是计算机网络领域应用最为广泛的方式,它把输入端口的数据包先存储起来,然后进行CRC检查,在对错误包处理后才取出数据包的目的地址,通过查找表转换成输出端口送出包。正因如此,存储转发方式在数据处理时延时大,这是它的不足,单是它可以对进入交换机的数据包进行错误检测,尤其重要的是它可以支持不同速度的输入输出端口间的转换,保持高速端口与低速端口间的协同工作。
第二层和第三层交换及其与路由器方案的竞争
如前所述,局域网交换机是工作在OSI第二层的,可以理解为一个多端口网桥,因此传统上称为第二层交换;目前,交换技术已经延伸到OSI第三层的部分功能,既所谓第三层交换,第三层交换可以不将广播封包扩散,直接利用动态建立的MAC地址来通信,似乎可以看懂第三层的信息,如IP地址、ARP等, 具有多路广播和虚拟网间基于IP、IPX等协议的路由功能,这方面功能的顺利实现得力于专用集成电路(ASIC)的加入,把传统的由软件处理的指令改为ASIC芯片的嵌入式指令,从而加速了对包的转发和过滤,使得高速下的线性路由和服务质量都有了可靠的保证。目前,如果没有上广域网的需要,在建网方案中一般不再应用价格昂贵、带宽有限的路由器。
虚拟局域网技术
交换技术的发展,允许区域分散的组织在逻辑上成为一个新的工作组,而且同一工作组的成员能够改变其物理地址而不必重新配置节点,这就是用到所谓的虚拟局域网技术(VLAN)。用交换机建立虚拟网就是使原来的一个大广播区(交换机的所有端口)逻辑的分为若干个"子广播区",在子广播区里的广播封包只会在该广播区内传送,其它的广播区是收不到的。VLAN通过交换技术将通信量进行有效分离,从而更好地利用带宽,并可从逻辑的角度出发将实际的LAN基础设施分割成多个子网,它允许各个局域网运行不同的应用协议和拓扑结构,对这部分详细内容感兴趣的读者可以参考IEEE80210规定。
网络标准介绍
IEEE 8021、8022(LLC) 关于以太网接口标准
IEEE 8023 CSMA/CD
IEEE 8023z 千兆以太网
IEEE 8024 令牌总线
IEEE 8025 令牌环
IEEE 8026 MAN
IEEE 8027 FDDI
ITU-T I4322 15552Mbps UNI接口
ITU-T G707 15552Mbps NNI接口
ITU-T G957 15552Mbps光接口
ITU-T I361 ATM层UNI/NNI接口
ITU-T I3655 SAR、CPCS子层
ITU-T Q2110 SSCOP子层
ITU-T Q2130/Q2140 SSCF关于UNI/NNI子层
ITU-T Q2931、Q2971 UNI接口信令
ITU-T Q704及Q2761-2764 NNI接口信令
ITU-T G703/704 E1接口及桢结构标准
RFC 193 TCP
RFC768 UDP
RFC1577 CLIP over ATM
RFC1483 NSAP encapsulation(bridged PVC)
CCITT建议:
G702 数字系列比特率
G703 数字系列接口的物理/电气特性
G704 用于一次群和二次群等级的同步帧结构
G706 关于G704建议中基本帧同步和循环冗余检验(CRC)过程
G707 同步数字系列比特率
G708 同步数字系列的网络节点接口
G709 同步复用结构
I 113 ISDN宽带方面的术语词汇
I121 宽带ISDN概貌
I150 BISDN的ATM功能特性
I211 BISDN的业务概貌
I311 BISDN的一般网络概貌
I321 BISDN的协议参考模型及其应用
I327 BISDN的网络功能体系
I361 BISDN的ATM层规范
I362 BISDN的ATM适配层(AAL)功能描述
I363 BISDN的ATM适配层(AAL)规范
I364 BISDN中对宽带无连接数据业务的支持
I371 BISDN中的流量和拥塞控制
I413 BISDN用户-网络接口
I414 ISDN和BISDN用户接入的第1层建议概貌
I430 一次群速率用户-网络接口的第1层规范
I431 BISDN用户-网络接口物理层规范
I441 ISDN用户-网络接口数据链路层规范
I600 维护原理在ISDN用户接入和用户安装上的应用
I610 BISDN接入的OAM原理
M20 电信网的维护原理
M30 电信管理网的原理
M36 ISDN的维护原理
--------------------------------------------------------------------------------
路由器技术综述
在当今信息化社会中,人们对数据通信的要求日益增加。路由器作为IP网的核心设备,其技术已成为当前信息产业的关键技术。
什么是路由器
路由器是工作在OSI参考模型第三层--网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。虽然路由器可以支持多种协议(例如TCP/IP、IPX/SPX、AppleTalk等协议),但是在我国绝大多数路由器运行TCP/IP协议。
路由器通常连接两个或多个由IP子网或点到点协议标识的逻辑端口,至少拥有1个物理端口。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址,并且重写链路层数据包头实现转发数据包。
路由器通常动态维护路由表来反映当前的网络拓扑。路由器通过与网络上其他路由器交换路由和链路信息来维护路由表。
路由器是连接IP网的核心设备。
路由器的分类
当前路由器分类方法各异。各种分类方法有一定的关联,但是并不完全一致。
从能力上分,路由器可分高端路由器和中低端路由器。各厂家划分并不完全一致。通常将背板交换能力大于40G的路由器称为高端路由器,背板交换能力40G以下的路由器称为中低端路由器。以市场占有率最大的Cisco公司为例,12000系列为高端路由器,7500以下系列路由器为中低端路由器。
从结构上分,路由器可分为模块化结构与非模块化结构。通常中高端路由器为模块化结构,低端路由器为非模块化结构。
从网络位置划分,路由器可分为核心路由器与接入路由器。核心路由器位于网络中心,通常是使用高端路由器。要求快速的包交换能力与高速的网络接口,通常是模块化结构。接入路由器位于网络边缘,通常使用中低端路由器。要求相对低速的端口以及较强的接入控制能力。
从功能分,路由器可分为通用路由器与专用路由器。一般所说的路由器为通用路由器。专用路由器通常为实现某种特定功能对路由器接口、硬件等作专门优化。例如接入服务器用作接入拨号用户,增强PSTN接口以及信令能力;***路由器增强隧道处理能力以及硬件加密;宽带接入路由器强调宽带接口数量及种类。
从性能上分,路由器可分为线速路由器以及非线速路由器。通常线速路由器是高端路由器,能以媒体速率转发数据包;中低端路由器是非线速路由器。但是一些新的宽带接入路由器也有线速转发能力。
路由器分类方法还有很多,并且随着路由器技术的发展,可能会出现越来越多的分类方法。
路由器功能
路由器通常实现下列基本功能:
实现IP、TCP、UDP、ICMP等互联网协议。
连接到两个或多个数据包交换的网络。对每个连接到的网络,实现该网络所要求的功能。这些功能包括:
IP数据包封装到链路层帧或从链路层帧中取出IP数据包。
按照该网络所支持的最大数据包大小发送或接收IP数据报。该大小是网络最大传输单元(MTU)。
将IP地址与相应网络的链路层地址相互转换。例如将I
0条评论