導(dǎo)語(yǔ)：如何才能寫好一篇網(wǎng)絡(luò)環(huán)境解決方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：IPSec；NAT；組播；VLAN TRUNK

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）26-5833-04

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)的大規(guī)模建設(shè)，各種應(yīng)用系統(tǒng)逐步轉(zhuǎn)移到了網(wǎng)絡(luò)平臺(tái)上，具體業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依賴程度日益加深，網(wǎng)上信息越來(lái)越多。針對(duì)這些有價(jià)值信息的各種網(wǎng)絡(luò)攻擊也層出不窮，網(wǎng)絡(luò)的安全性和可靠性問(wèn)題愈發(fā)突出。作為網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，IPSec協(xié)議已廣泛用于保障網(wǎng)絡(luò)數(shù)據(jù)的安全。

IPSec協(xié)議為端到端的安全協(xié)議。對(duì)于復(fù)雜的網(wǎng)絡(luò)環(huán)境，如存在NAT設(shè)備的網(wǎng)絡(luò)環(huán)境、組播網(wǎng)絡(luò)環(huán)境、VLAN TRUNK網(wǎng)絡(luò)環(huán)境，IPSec協(xié)議支持得不是很完善。為了使IPSec協(xié)議在上述網(wǎng)絡(luò)環(huán)境下能正常工作，為IP層數(shù)據(jù)報(bào)提供安全防護(hù)，該文針對(duì)NAT設(shè)備穿越、組播報(bào)文的處理、帶VLAN標(biāo)記的報(bào)文處理提供具體的解決方案，使集成IPSec功能的安全網(wǎng)關(guān)設(shè)備具有更好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，應(yīng)用范圍更廣。

1 IPSec協(xié)議簡(jiǎn)介[1]

IPSec協(xié)議是由IETF（Internet Engineering Task Force）制定的一套用于保護(hù)IP層通信安全的協(xié)議。該協(xié)議可實(shí)現(xiàn)包括訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源驗(yàn)證、抗重播、數(shù)據(jù)機(jī)密性等多種安全服務(wù)。

IPSec是一種協(xié)議套件，給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括ESP（封裝安全載荷）協(xié)議、AH（驗(yàn)證頭）協(xié)議、IKE（Internet密鑰交換）協(xié)議和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等組成。

ESP協(xié)議和AH協(xié)議是IPSec體系的主體，它們分別定義了協(xié)議的載荷頭格式以及所能提供的服務(wù)，另外還定義了數(shù)據(jù)報(bào)的處理規(guī)則。正是這兩個(gè)安全協(xié)議為數(shù)據(jù)報(bào)提供了網(wǎng)絡(luò)層的安全服務(wù)。ESP協(xié)議為IP層及其上層數(shù)據(jù)提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。AH協(xié)議為IP層提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗(yàn)證和一些可選的抗重播服務(wù)。AH協(xié)議不對(duì)受保護(hù)的IP數(shù)據(jù)報(bào)的任何部分進(jìn)行加密。除了機(jī)密性之外，AH提供ESP能夠提供的一切東西。AH提供的數(shù)據(jù)完整性與ESP提供的數(shù)據(jù)完整性稍有不同，AH對(duì)外部IP頭各部分進(jìn)行身份驗(yàn)證。

ESP協(xié)議和AH協(xié)議都支持傳輸模式和隧道模式。傳輸模式主要用于兩臺(tái)終端主機(jī)之間，保護(hù)傳輸層協(xié)議數(shù)據(jù)，實(shí)現(xiàn)端到端的安全。隧道模式用于主機(jī)與子網(wǎng)或兩個(gè)子網(wǎng)之間的通信，保護(hù)整個(gè)IP數(shù)據(jù)報(bào)。

IPSec可以在終端主機(jī)、安全網(wǎng)關(guān)或兩者中同時(shí)進(jìn)行實(shí)施和配置。該文論及的IPSec協(xié)議的設(shè)計(jì)主要針對(duì)安全網(wǎng)關(guān)模式，在主機(jī)模式下實(shí)現(xiàn)IPSec協(xié)議穿越NAT設(shè)備時(shí)可以借鑒使用。

2 NAT設(shè)備穿越

2.1 NAT介紹

NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種將私有地址轉(zhuǎn)化為合法公有IP地址的轉(zhuǎn)換技術(shù)。在實(shí)際應(yīng)用中，NAT主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)公共網(wǎng)絡(luò)的功能。該技術(shù)一方面可以屏蔽私有地址，保護(hù)內(nèi)部網(wǎng)絡(luò)；另一方面可以緩解IP地址不足的問(wèn)題。

NAT的實(shí)現(xiàn)方式有三種：靜態(tài)NAT、動(dòng)態(tài)地址NAT、網(wǎng)絡(luò)端口地址轉(zhuǎn)換NAPT。這三種NAT實(shí)現(xiàn)方式都會(huì)分析IP數(shù)據(jù)報(bào)的報(bào)頭，匹配地址轉(zhuǎn)換表中的規(guī)則，修改滿足匹配規(guī)則的IP數(shù)據(jù)報(bào)報(bào)頭。并根據(jù)協(xié)議的需要重新計(jì)算IP數(shù)據(jù)報(bào)的校驗(yàn)和。[2]

2.2 IPSec與NAT的兼容性分析

NAT與IPSec的兼容性問(wèn)題主要體現(xiàn)在以下幾個(gè)方面：[2][3]

1）AH與NAT

AH協(xié)議對(duì)數(shù)據(jù)報(bào)的完整性保護(hù)包括IP頭部分，而NAT在進(jìn)行轉(zhuǎn)換時(shí)，需要修改IP頭中的IP地址，這樣就會(huì)導(dǎo)致AH協(xié)議的完整性驗(yàn)證失敗，因此，AH協(xié)議不管是在傳輸模式下還是在隧道模式下，與NAT都不兼容。

2）ESP與NAT

ESP協(xié)議的完整性驗(yàn)證不包括外部的IP頭部分，NAT進(jìn)行地址轉(zhuǎn)換修改IP地址不會(huì)影響ESP協(xié)議的完整性驗(yàn)證。

在傳輸模式下，如果原始數(shù)據(jù)報(bào)為傳輸層帶有校驗(yàn)和的TCP或UDP協(xié)議，而TCP和UDP的校驗(yàn)和又與IP頭中的地址相關(guān)，這樣NAT轉(zhuǎn)換更改了外層的IP地址后，將導(dǎo)致TCP或UDP校驗(yàn)和的失敗，從而導(dǎo)致數(shù)據(jù)報(bào)被丟棄。如果關(guān)閉TCP和UDP頭部校驗(yàn)和的檢驗(yàn)，可規(guī)避這一問(wèn)題。隧道模式下，不存在TCP/UDP校驗(yàn)和問(wèn)題。

當(dāng)NAT的實(shí)現(xiàn)方式為NAPT時(shí)，NAPT需要更改傳輸層的端口號(hào)。ESP協(xié)議在傳輸模式和隧道模式下，傳輸層的端口號(hào)都一定會(huì)受到完整性保護(hù)。當(dāng)NAPT對(duì)端口號(hào)進(jìn)行修改后，接收方會(huì)因完整性驗(yàn)證不通過(guò)而丟棄該IPSec報(bào)。

3）IKE與NAT

IKE協(xié)商時(shí)，進(jìn)行的UDP通信的端口號(hào)一般是固定的（通常是500），而NAPT的工作原理是通過(guò)不同的端口號(hào)來(lái)區(qū)分不同的連接，這樣就會(huì)出現(xiàn)問(wèn)題。

2.3 IPSec穿越NAT的解決方案

基于前文分析，AH協(xié)議與NAT完全不兼容，ESP協(xié)議在有限條件下可與NAT兼容。該文基于IETF提出的UDP封裝法，實(shí)現(xiàn)ESP協(xié)議對(duì)NAT的穿越，但該方法需要IKE協(xié)商的配合。

1）IKE協(xié)商

通過(guò)IKE協(xié)商探測(cè)通信路徑中是否存在NAT設(shè)備，是否需要進(jìn)行UDP封裝，并將該指示信息集成在SA中，通知線路中要進(jìn)行IPSec應(yīng)用的數(shù)據(jù)包。

IKE協(xié)商分兩個(gè)階段，具體實(shí)施見(jiàn)參考文獻(xiàn)[2][3]。

2）UDP封裝

在ESP封裝的數(shù)據(jù)報(bào)的IP頭和ESP頭之間添加UDP頭，封裝格式如圖1所示。經(jīng)UDP封裝后的IPSec報(bào)，在通信路徑上看到就是UDP報(bào)。由于整個(gè)UDP頭對(duì)外可見(jiàn)，前文論及的ESP協(xié)議在進(jìn)行NAT地址轉(zhuǎn)換時(shí)導(dǎo)致的校驗(yàn)和問(wèn)題和NAPT轉(zhuǎn)換時(shí)存在的端口問(wèn)題，經(jīng)UDP封裝后都迎刃而解。采用這種方式，不需要變動(dòng)網(wǎng)絡(luò)設(shè)施，只需在實(shí)現(xiàn)IPSec功能的安全網(wǎng)關(guān)或主機(jī)進(jìn)行IPSec數(shù)據(jù)報(bào)的UDP封裝處理即可。

IKE協(xié)商包的UDP通信端口通常為500，為了區(qū)分IKE協(xié)商包和進(jìn)行了UDP封裝的IPSec包，需對(duì)IKE協(xié)商包的格式進(jìn)行簡(jiǎn)單地調(diào)整。在IKE協(xié)商包的UDP頭和IKE頭之間添加非ESP的標(biāo)志，使其與ESP頭中的SPI字段保持不同。

NAT將私有地址轉(zhuǎn)換為共有地址是有時(shí)間限制的，如果在限定的時(shí)間范圍內(nèi)未被使用，將會(huì)被釋放掉，對(duì)應(yīng)的SA被刪除。為了維持IPSec的通信，需定時(shí)發(fā)送Keepalive數(shù)據(jù)包，使NAT設(shè)備中的映射關(guān)系不被釋放。

3 組播報(bào)文的處理

3.1 組播簡(jiǎn)介[4]

組播是指在IP網(wǎng)絡(luò)中將數(shù)據(jù)包以盡力傳送的形式發(fā)送到某個(gè)確定的節(jié)點(diǎn)集合（即組播組），其基本思想是：源主機(jī)（即組播源）只發(fā)送一份數(shù)據(jù)，其目的地址為組播組地址；組播組中的所有接收者都可收到同樣的數(shù)據(jù)拷貝，并且只有組播組內(nèi)的主機(jī)可以接收該數(shù)據(jù)，而其它主機(jī)則不能收到。組播技術(shù)有效地解決了單點(diǎn)發(fā)送、多點(diǎn)接收的問(wèn)題，實(shí)現(xiàn)了IP網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送，能夠大量節(jié)約網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)負(fù)載。[4]

3.2 組播地址機(jī)制

IP組播地址用于標(biāo)識(shí)一個(gè)IP組播組。IANA把D類地址空間分配給組播使用，范圍從224.0.0.0到239.255.255.255。

IANA將MAC地址范圍01：00：5E：00：00：00～01：00：5E：7F：FF：FF分配給組播使用，這就要求將28位的IP組播地址空間映射到23位的組播MAC地址空間中，具體的映射方法是將組播地址中的低23位放入MAC地址的低23位。

由于IP組播地址的后28位中只有23位被映射到組播MAC地址，這樣會(huì)有32個(gè)IP組播地址映射到同一組播MAC地址上。

3.3 組播報(bào)文的IPSec處理

1）組播報(bào)文的封裝處理

在IPSec傳輸模式下，組播報(bào)文按照AH協(xié)議或ESP協(xié)議的格式要求進(jìn)行封裝即可，只要網(wǎng)絡(luò)線路中的路由器支持組播報(bào)文的轉(zhuǎn)發(fā)，經(jīng)過(guò)AH或ESP傳輸模式處理后的組播報(bào)文可順利到達(dá)對(duì)應(yīng)的多個(gè)終端。

在IPSec隧道模式下，由于需要構(gòu)建新的MAC頭和IP頭，為了使組播報(bào)文能順利地到達(dá)對(duì)端的網(wǎng)關(guān)設(shè)備，按照單播報(bào)文的封裝方式將不能實(shí)現(xiàn)傳輸?shù)哪康模瑸榇诵枰獙?duì)組播報(bào)文的封裝進(jìn)行特殊的處理。

下圖3為部署有IPSec安全網(wǎng)關(guān)的典型網(wǎng)絡(luò)示意圖。

當(dāng)內(nèi)部子網(wǎng)A和內(nèi)部子網(wǎng)B之間傳輸?shù)臑閱尾?bào)文時(shí)，從內(nèi)部子網(wǎng)A發(fā)向內(nèi)部子網(wǎng)B的數(shù)據(jù)報(bào)經(jīng)IPSec安全網(wǎng)關(guān)A時(shí)，如果經(jīng)策略查詢確認(rèn)需要進(jìn)行IPSec處理，則封裝后的數(shù)據(jù)報(bào)格式如圖4

新構(gòu)建的MAC頭的目的MAC地址為下一跳路由器即路由器A的MAC地址mac_RA，源MAC地址為IPSec安全網(wǎng)關(guān)A自身的MAC地址mac_ipsecA；新構(gòu)建的IP頭的源IP地址為IPSec安全網(wǎng)關(guān)A的IP地址ip_ipsecA，目的IP地址為對(duì)端安全網(wǎng)關(guān)的IP地址ip_ipsecB。

從內(nèi)部子網(wǎng)B發(fā)向內(nèi)部子網(wǎng)A的數(shù)據(jù)報(bào)的封裝格式如圖5。

當(dāng)內(nèi)部子網(wǎng)A和內(nèi)部子網(wǎng)B之間傳輸?shù)氖墙M播報(bào)文時(shí)，因?yàn)榻M播報(bào)對(duì)應(yīng)多個(gè)接收主機(jī)，它的目的IP地址和目的MAC地址不是實(shí)際的主機(jī)地址或路由器地址，如果按照上述單播報(bào)文的封裝方法數(shù)據(jù)報(bào)將不能到達(dá)目的端。為了使組播報(bào)文能進(jìn)行IPSec保護(hù)，同時(shí)能夠通過(guò)路由器轉(zhuǎn)發(fā)至對(duì)應(yīng)的組播成員，對(duì)組播報(bào)文的封裝方式如圖6。

組播報(bào)文經(jīng)IPSec隧道封裝后，新構(gòu)建MAC頭的目的MAC地址保持原有報(bào)文中的目的MAC地址不變，新構(gòu)建IP頭的目的IP地址保持原有報(bào)文中的目的IP地址不變，這樣對(duì)組播報(bào)文執(zhí)行了IPSec保護(hù)的基礎(chǔ)上，又可使封裝后的IPSec組播報(bào)文順利通過(guò)網(wǎng)絡(luò)傳輸，到達(dá)目的端。

注：該文中對(duì)組播報(bào)文的封裝方法基于線路中的路由器支持組播報(bào)文的轉(zhuǎn)發(fā)，如果路由器不支持組播報(bào)文的轉(zhuǎn)發(fā)，可通過(guò)GRE over IPSec方式實(shí)現(xiàn)多播報(bào)文到單播報(bào)文的轉(zhuǎn)換以及IPSec的處理，具體實(shí)現(xiàn)方法本文不作詳述。

2）關(guān)于SA的來(lái)源

SA的協(xié)商是點(diǎn)到點(diǎn)的。由于組播包存在一源對(duì)應(yīng)多個(gè)目的或多源對(duì)應(yīng)一個(gè)目的的情況，所以無(wú)法通過(guò)IKE來(lái)協(xié)商組播通信所用的SA。為了解決這個(gè)問(wèn)題，可以采用人工分發(fā)的方式，使組播通信的各個(gè)點(diǎn)維持相同的SA。

3）關(guān)于抗重放服務(wù)

在組播通信中，進(jìn)入方向接收的數(shù)據(jù)包可能來(lái)自采用同一個(gè)SA的不同子網(wǎng)，由于SA相同，報(bào)文中攜帶的序列號(hào)可能重復(fù)，所以在對(duì)組播包的IPSec處理中，不能啟用抗重放服務(wù)。

4 帶VLAN標(biāo)記報(bào)文的IPSec處理

如果IPSec安全網(wǎng)關(guān)部署于兩臺(tái)交換機(jī)的VLAN TRUNK之間，則經(jīng)過(guò)IPSec安全網(wǎng)關(guān)的數(shù)據(jù)報(bào)將帶有VLAN標(biāo)記。802.1Q 的VLAN標(biāo)記占4字節(jié)，位于數(shù)據(jù)報(bào)MAC頭中，其中2字節(jié)為VLAN ID，2字節(jié)為標(biāo)志碼16’h8100。

在IPSec傳輸模式下，對(duì)于帶有VLAN標(biāo)記的數(shù)據(jù)報(bào)的處理與普通報(bào)的處理方式一致。

在IPSec隧道模式下，由于原始數(shù)據(jù)包和封裝后的數(shù)據(jù)包地址可能落在不同的VLAN中，或者封裝后數(shù)據(jù)包地址不在VLAN中。如果封裝后地址屬于某一VLAN，此時(shí)需將封裝后數(shù)據(jù)包所屬的VLAN ID代替原始的數(shù)據(jù)包中的VLAN ID；如果封裝后地址不屬于VLAN，則新封裝后的數(shù)據(jù)包MAC頭中不帶有VLAN標(biāo)記。封裝地址所屬的VLAN ID可由外部配置進(jìn)IPSec安全網(wǎng)關(guān)。

在進(jìn)入方向，帶有VLAN標(biāo)記的數(shù)據(jù)包經(jīng)IPSec處理解封后，需將VLAN ID還原成目的主機(jī)所在的VLAN ID。具體可通過(guò)預(yù)先配置好的查找表來(lái)實(shí)現(xiàn)，將解封后的數(shù)據(jù)包的目的地址送到查找表中匹配，如果有匹配結(jié)果，匹配結(jié)果即為原始數(shù)據(jù)包的VLAN ID，將該VLAN ID替換掉封裝地址所屬的VLAN ID；如果沒(méi)有匹配結(jié)果，解封時(shí)，數(shù)據(jù)包MAC頭中不保留VLAN標(biāo)記字段。

5 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)的發(fā)展和IPSec協(xié)議的廣泛應(yīng)用，IPSec設(shè)備在各種網(wǎng)絡(luò)環(huán)境下的適應(yīng)性將直接影響到設(shè)備的推廣使用和用戶的使用效果。基于本文所提出的解決方案，當(dāng)網(wǎng)絡(luò)中存在NAT設(shè)備、組播環(huán)境下、或者安全網(wǎng)關(guān)接入在VLAN TRUNK環(huán)境下，網(wǎng)絡(luò)數(shù)據(jù)報(bào)可以接受IPSec的保護(hù)并能順利通過(guò)網(wǎng)絡(luò)傳輸。

參考文獻(xiàn)：

[1] Doraswamy N.IPSEC：新一代因特網(wǎng)安全標(biāo)準(zhǔn)[M].北京：機(jī)械工程出版社，2001.

[2] 孫利君，楊東鶴.IPSec與NAT之間的兼容性分析和解決方案[J].現(xiàn)代電子技術(shù)，2007，9.

篇2

安全、可管理、可擴(kuò)展

“隨著中國(guó)企業(yè)的快速發(fā)展，員工對(duì)辦公移動(dòng)性的要求也越來(lái)越高。尤其在企業(yè)內(nèi)部，不管他們身處何地，他們都希望能以同樣有效的方式進(jìn)行溝通。”西門子數(shù)字程控通信系統(tǒng)有限公司總裁兼首席執(zhí)行官彭浩石(Roland Bernshaus)如此介紹，“企業(yè)移動(dòng)性不僅意味著取消網(wǎng)絡(luò)布線。西門子HiPath推出的WLAN解決方案是西門子產(chǎn)品線的自然延伸，更是西門子注入了自己特色的方案。我們希望通過(guò)部署緊密集成的開(kāi)放移動(dòng)解決方案，使企業(yè)改善業(yè)務(wù)流程，增加通信速度并提高生產(chǎn)率。”

HiPath WLAN解決方案包括無(wú)線客戶端、終端設(shè)備、無(wú)線接入點(diǎn)、無(wú)線控制器和無(wú)線管理軟件。HiPath無(wú)線體系架構(gòu)提供了一個(gè)安全、高性能、大規(guī)模無(wú)線網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)，能夠平衡現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的架構(gòu)，且在單一構(gòu)架中支持多方應(yīng)用。同時(shí)，HiPath還提供了在實(shí)際環(huán)境中配置移動(dòng)商業(yè)應(yīng)用所需的語(yǔ)音數(shù)據(jù)融合、用戶分組與管理、任何地點(diǎn)接入和無(wú)縫漫游及在線、定位服務(wù)等功能，能夠平衡現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的架構(gòu)，并且在單一構(gòu)架中支持多方應(yīng)用。

據(jù)西門子企業(yè)通信有限公司副總裁兼Hipath無(wú)線系統(tǒng)銷售主管畢柯(Marcus Birkl)介紹，HiPath WLAN解決方案擁有可管理性、可擴(kuò)展性和安全性。首先，通過(guò)采用一系列強(qiáng)大和使用方便的工具，HiPath WLAN解決方案可降低企業(yè)的總體擁有成本，提供高效的WLAN管理能力。這包括簡(jiǎn)化的部署過(guò)程、集中設(shè)置的網(wǎng)絡(luò)監(jiān)視和故障診斷，及進(jìn)行優(yōu)化的應(yīng)用性能。其次，通過(guò)利用并與當(dāng)前有線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)無(wú)縫集成，HiPath WLAN解決方案還可進(jìn)一步降低成本。無(wú)論網(wǎng)絡(luò)規(guī)模的大小及運(yùn)行解決方案的數(shù)量多少，HiPath WLAN解決方案都可提供安全性和可管理性。再次，除了支持最新的無(wú)線安全標(biāo)準(zhǔn)來(lái)提供成熟的加密和網(wǎng)絡(luò)訪問(wèn)控制外，HiPath WLAN解決方案還可提供最高級(jí)別的無(wú)線入侵防護(hù)(WIP)，從而提供完整的無(wú)線網(wǎng)絡(luò)安全解決方案。

支持高性能VoWLAN

對(duì)于HiPath WLAN解決方案的獨(dú)特之處，畢柯強(qiáng)調(diào)：HiPath WLAN解決方案提供了完整的產(chǎn)品系列并支持開(kāi)放的行業(yè)標(biāo)準(zhǔn)，可確保在不影響網(wǎng)絡(luò)安全性的前提下，提供高性能的VoWLAN(Voice over WLAN)解決方案。基于西門子在無(wú)線和語(yǔ)音通信方面的實(shí)力，西門子能通過(guò)采用跨企業(yè)和公共蜂窩網(wǎng)絡(luò)的解決方案，協(xié)助用戶將移動(dòng)業(yè)務(wù)擴(kuò)展到辦公室以外的地方。

據(jù)介紹，HiPath WLAN解決方案的體系架構(gòu)可在單一基礎(chǔ)結(jié)構(gòu)上實(shí)現(xiàn)多個(gè)開(kāi)放移動(dòng)解決方案的無(wú)縫集成。通過(guò)采用開(kāi)放標(biāo)準(zhǔn)和創(chuàng)新技術(shù)，HiPath WLAN解決方案具有高度靈活性，且它針對(duì)語(yǔ)音和數(shù)據(jù)融合業(yè)務(wù)進(jìn)行了優(yōu)化。因此，HiPath WLAN解決方案能夠有效地部署多個(gè)解決方案，在盡可能降低管理不同網(wǎng)絡(luò)所需的資金和運(yùn)營(yíng)成本的同時(shí)，維持網(wǎng)絡(luò)的高性能和高安全性。

當(dāng)前用戶對(duì)VoWLAN應(yīng)用的需求非常強(qiáng)烈。In-stat公司的調(diào)查顯示，高達(dá)84.6%的用戶對(duì)VoWLAN手機(jī)表現(xiàn)出一定興趣，近一半的用戶則表現(xiàn)出了強(qiáng)烈興趣。今后幾年，預(yù)計(jì)VoWLAN在企業(yè)領(lǐng)域，特別是醫(yī)療衛(wèi)生、倉(cāng)儲(chǔ)和零售等垂直行業(yè)將發(fā)展得越來(lái)越快。

深挖四大行業(yè)

篇3

對(duì)于今天的網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō),安全和性能似乎成了一對(duì)不可調(diào)和的矛盾。為了讓應(yīng)用在企業(yè)網(wǎng)絡(luò)內(nèi)更加自由舒暢地流動(dòng)起來(lái),Array網(wǎng)絡(luò)公司聚焦于應(yīng)用智能安全,在安全的基礎(chǔ)上,為客戶提供多層網(wǎng)絡(luò)應(yīng)用加速解決方案。

Array Networks市場(chǎng)總監(jiān)吳躍鵬告訴記者:“在目前的經(jīng)濟(jì)形勢(shì)下,我們可以給企業(yè)用戶提供全面的SSL VPN 以及負(fù)載均衡解決方案。我們將SSL技術(shù)應(yīng)用在點(diǎn)對(duì)點(diǎn)安全通信的環(huán)境中,并開(kāi)發(fā)了可適應(yīng)多種企業(yè)網(wǎng)絡(luò)環(huán)境的全局安全訪問(wèn)解決方案。通過(guò)Array最新的 SPX系列訪問(wèn)網(wǎng)關(guān),企業(yè)和服務(wù)供應(yīng)商們可以在任何地方、通過(guò)任何一種設(shè)備、快速安全地為他們的授權(quán)用戶提供應(yīng)用服務(wù)。”

吳躍鵬表示,Array公司一直堅(jiān)持“應(yīng)用交付,整合為王”的產(chǎn)品設(shè)計(jì)理念。以應(yīng)用交付產(chǎn)品為例,Array的APV系列產(chǎn)品能夠?qū)⒎?wù)器負(fù)載均衡、鏈路均衡、Cache服務(wù)、SSL加速、HTTP壓縮、QoS等多種功能模塊集中在單臺(tái)設(shè)備中,并且做有效整合,真正實(shí)現(xiàn)“按需購(gòu)買”。整合后的系統(tǒng)功能強(qiáng)大,可為用戶提供高度集成的應(yīng)用交付功能,能夠在極大提高企業(yè)核心應(yīng)用和業(yè)務(wù)平臺(tái)的性能以及安全性的同時(shí),降低企業(yè)數(shù)據(jù)中心的成本和復(fù)雜性,避免系統(tǒng)宕機(jī)或網(wǎng)絡(luò)故障對(duì)正常營(yíng)業(yè)帶來(lái)的影響。

Web應(yīng)用的發(fā)展帶來(lái)了海量的訪問(wèn)量,這給應(yīng)用交付提出了巨大挑戰(zhàn),也正因如此,Array 公司在應(yīng)用交付解決方案中,更加注重產(chǎn)品的性能和穩(wěn)定性。目前多核技術(shù)已經(jīng)成為應(yīng)用層網(wǎng)絡(luò)設(shè)備的風(fēng)向標(biāo),Array公司新款A(yù)PV系列也采用了多核技術(shù),這使APV系列應(yīng)用交付設(shè)備有了強(qiáng)大的處理能力,處理性能得到了數(shù)倍提升。此外,得益于Array Networks的Speedstack技術(shù)、TCP協(xié)議優(yōu)化、硬件HTTP壓縮、基于內(nèi)存的快速緩存功能以及連接復(fù)用技術(shù),APV系列特別適合處理Web 2.0應(yīng)用中普遍存在的小包的動(dòng)態(tài)熱點(diǎn)內(nèi)容,是Web 2.0應(yīng)用環(huán)境中的理想應(yīng)用加速平臺(tái)。

據(jù)了解,Array公司已成為安全訪問(wèn)和應(yīng)用交付解決方案的市場(chǎng)領(lǐng)導(dǎo)者之一,Array的解決方案被部署在全球2000多個(gè)大中型企業(yè),涉及電信及服務(wù)提供商、政府、金融、能源、教育、制造、醫(yī)療保健、科技、媒體等行業(yè)。這些解決方案的部署不僅極大地提高了企業(yè)終端用戶、網(wǎng)絡(luò)管理人員和基礎(chǔ)設(shè)施的工作效率和生產(chǎn)力,而且可以幫助他們更好地迎接(IT系統(tǒng)所面臨的)安全問(wèn)題、移動(dòng)辦公、數(shù)據(jù)大集中、業(yè)務(wù)連續(xù)性以及標(biāo)準(zhǔn)遵從等方面的挑戰(zhàn)。

篇4

對(duì)于網(wǎng)絡(luò)市場(chǎng)的渠道而言，這個(gè)市場(chǎng)無(wú)異于一座開(kāi)采潛力巨大的金礦。但從去年ADC市場(chǎng)發(fā)展的整體情況看，渠道對(duì)新技術(shù)的消化速度還沒(méi)有達(dá)到ADC主流廠商的預(yù)期。SI對(duì)于如何從行業(yè)用戶的IT投入中找到金脈，似乎也感到困惑。為了改變這種局面，讓渠道盡快搶灘云計(jì)算市場(chǎng)，Radware等廠商正在改變戰(zhàn)略。

為渠道定位行業(yè)金脈

今年的Radware大中國(guó)區(qū)2012用戶及合作伙伴大會(huì)上，Radware中國(guó)區(qū)副總裁趙軍一直在提醒合作伙伴關(guān)注當(dāng)前電信行業(yè)的幾大變革——智能管道、異構(gòu)網(wǎng)、光纖到戶和云數(shù)據(jù)中心，因?yàn)檫@些變化對(duì)應(yīng)著運(yùn)營(yíng)商對(duì)ADC解決方案的強(qiáng)烈需求。

趙軍指出，目前智能管道已成為通信業(yè)的重要發(fā)展方向和電信運(yùn)營(yíng)商的戰(zhàn)略投資重點(diǎn)，也是電信運(yùn)營(yíng)商轉(zhuǎn)型的必由之路，而業(yè)務(wù)創(chuàng)新和轉(zhuǎn)型必然會(huì)對(duì)網(wǎng)絡(luò)提出新的要求：一方面，電信網(wǎng)絡(luò)需要更加智能，具備業(yè)務(wù)和應(yīng)用感知、QoS、流量?jī)?yōu)化、應(yīng)用保證和策略管理的能力；另一方面，通信業(yè)轉(zhuǎn)型也需要智能管道向各種應(yīng)用開(kāi)放可信的網(wǎng)絡(luò)能力，提供差異化的互聯(lián)網(wǎng)應(yīng)用，并推出層出不窮的創(chuàng)新性應(yīng)用和業(yè)務(wù)。而智能管道的建設(shè)恰好與ADC解決方案緊密相關(guān)。同時(shí)，為了實(shí)現(xiàn)多接入共存環(huán)境下的協(xié)同演進(jìn)，不同網(wǎng)絡(luò)性能優(yōu)勢(shì)互補(bǔ)，以及優(yōu)化資源配置、改善用戶體驗(yàn)，運(yùn)營(yíng)商在提升網(wǎng)絡(luò)的管理和服務(wù)能力方面也會(huì)加大投入。這也將是ADC解決方案被運(yùn)營(yíng)商采納的機(jī)會(huì)。此外，“光纖到戶”的發(fā)展目標(biāo)，將使光網(wǎng)絡(luò)成為寬帶網(wǎng)絡(luò)的基礎(chǔ)，而ADC在克服高速處理技術(shù)引入的數(shù)據(jù)傳輸瓶頸方面的作用會(huì)被再度放大，為渠道提供更多的生意機(jī)會(huì)。

根據(jù)賽迪顧問(wèn)的預(yù)測(cè)，我國(guó)云計(jì)算相關(guān)支出在2012年將達(dá)到607億元。趙軍表示，在云計(jì)算的發(fā)展過(guò)程中，電信運(yùn)營(yíng)商將成為建設(shè)云數(shù)據(jù)中心的主要推動(dòng)力量之一。而數(shù)據(jù)中心要實(shí)現(xiàn)動(dòng)態(tài)、可擴(kuò)展，滿足多租戶、虛擬桌面等需求，都需要依靠ADC解決方案來(lái)實(shí)現(xiàn)。從近期來(lái)看，電信運(yùn)營(yíng)商將以IaaS為切入點(diǎn)，NaaS為突破口，推廣SaaS應(yīng)用，在云計(jì)算領(lǐng)域的投入會(huì)更加大力度。長(zhǎng)期來(lái)看，云計(jì)算與智能終端的配合，與定位等業(yè)務(wù)的相交互，與物聯(lián)網(wǎng)終端的廣泛部署相呼應(yīng)，也是電信云在3G、移動(dòng)互聯(lián)網(wǎng)環(huán)境下的演進(jìn)之道。電信行業(yè)對(duì)于云計(jì)算的持續(xù)投入，會(huì)產(chǎn)生大量應(yīng)用ADC的機(jī)會(huì)，渠道應(yīng)該盡早看清這些市場(chǎng)機(jī)遇，與運(yùn)營(yíng)商擦出火花。Radware強(qiáng)調(diào)，互聯(lián)網(wǎng)向IPv6的過(guò)渡也會(huì)帶來(lái)大量對(duì)ADC解決方案的需求，也是不容忽視的藍(lán)海市場(chǎng)。

在本屆大會(huì)上，除了指出電信行業(yè)的金脈外，Radware還為渠道分析了金融、證券等行業(yè)的ADC機(jī)會(huì)。比如，銀行對(duì)NGB新一代業(yè)務(wù)系統(tǒng)的建設(shè)，以及針對(duì)新業(yè)務(wù)創(chuàng)新、提升用戶體驗(yàn)的IT建設(shè)，對(duì)數(shù)據(jù)中心的整合和改造，正在呈現(xiàn)出打造高效、快速、安全的IT系統(tǒng)的需求，而這樣的需求正是對(duì)ADC解決方案的需求。此外，政府云、云園區(qū)、智能電網(wǎng)的建設(shè)，以及醫(yī)保系統(tǒng)的垂直整合和擴(kuò)大化，都在呼喚ADC解決方案。

加強(qiáng)產(chǎn)業(yè)鏈合作

ADC對(duì)于云計(jì)算平臺(tái)的運(yùn)行、管理以及擴(kuò)展都是不可或缺的一環(huán)，但當(dāng)前行業(yè)市場(chǎng)中的云計(jì)算應(yīng)用模型還十分有限，僅依靠少數(shù)幾個(gè)行業(yè)應(yīng)用案例讓渠道了解ADC在云計(jì)算環(huán)境中的價(jià)值還遠(yuǎn)遠(yuǎn)不夠。

篇5

802.11n無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)代表了無(wú)線網(wǎng)絡(luò)的又一次進(jìn)化,基于這一新的標(biāo)準(zhǔn)可以為企業(yè)提供更高的可移動(dòng)性。隨著802.11n的出現(xiàn),無(wú)線數(shù)據(jù)傳輸?shù)乃俣缺惶嵘?00 Mbps,這一性能的提升至少是現(xiàn)在無(wú)線局域網(wǎng)標(biāo)準(zhǔn)802.11a/b/g(54Mbps)的五倍,這為更多高要求的生產(chǎn)環(huán)境使用無(wú)線網(wǎng)絡(luò)帶來(lái)了新的契機(jī)。

思科和英特爾已經(jīng)在許多重要領(lǐng)域開(kāi)展協(xié)作,包括對(duì)下一代無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)802.11n的交互性能和整體性能的驗(yàn)證和優(yōu)化。思科公司表示,整個(gè)測(cè)試在英特爾的Over-the-Air測(cè)試中心模擬的現(xiàn)實(shí)生產(chǎn)環(huán)境中進(jìn)行,并利用這個(gè)項(xiàng)目對(duì)客戶端和整體網(wǎng)絡(luò)架構(gòu)的性能進(jìn)行了進(jìn)一步調(diào)整,而最終的測(cè)試結(jié)果進(jìn)一步證明了802.11n的高吞吐量和可靠性。對(duì)于無(wú)線網(wǎng)絡(luò)的客戶而言,這一測(cè)試在一定程度上證明了802.11n解決方案具有很好的互操作性,并為用戶實(shí)施802.11n解決方案提供了更多的信心。

據(jù)了解,思科和英特爾所進(jìn)行的無(wú)線網(wǎng)絡(luò)測(cè)試是與現(xiàn)實(shí)生產(chǎn)環(huán)境相關(guān)的,這是一個(gè)端到端的整體解決方案驗(yàn)證:首先,測(cè)試在一個(gè)OTA(Over-the-air)中心進(jìn)行,這是一個(gè)模擬典型企業(yè)生產(chǎn)環(huán)境的特殊測(cè)試環(huán)境,測(cè)試環(huán)境中充滿了各種各樣在客戶辦公室中存在的干擾頻率和射頻信號(hào)障礙物;第二,使用了多個(gè)無(wú)線接入點(diǎn)和客戶端設(shè)備來(lái)重復(fù)模擬無(wú)線網(wǎng)絡(luò)內(nèi)在的介質(zhì)競(jìng)爭(zhēng)、同頻段干擾和各種在企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)中可能出現(xiàn)的問(wèn)題;第三,整個(gè)測(cè)試過(guò)程都可以將環(huán)境控制和各項(xiàng)變量進(jìn)行真實(shí)的重現(xiàn);最后,所有的吞吐量、無(wú)線漫游和高密度客戶端部署的測(cè)試都是在真實(shí)場(chǎng)景下進(jìn)行,并且還在應(yīng)用層下進(jìn)行了測(cè)試,以確保這一端到端解決方案的性能和可行性。

篇6

據(jù)西門子自動(dòng)化與驅(qū)動(dòng)集團(tuán)自動(dòng)化系統(tǒng)部網(wǎng)絡(luò)應(yīng)用工程師楊建東介紹，自動(dòng)化技術(shù)向以太網(wǎng)發(fā)展的趨勢(shì)十分明顯，相伴隨的信息安全問(wèn)題也日益突出，目前，西門子已將安全集成到自動(dòng)化物流系統(tǒng)中，形成了單一總線的安全解決方案，在同一網(wǎng)絡(luò)中實(shí)現(xiàn)安全控制和標(biāo)準(zhǔn)控制，使物流中心的人員、貨物、環(huán)境和信息時(shí)刻處于保護(hù)之中，同時(shí)也保護(hù)了用戶的投資。

記者：在西門子自動(dòng)化與驅(qū)動(dòng)集團(tuán)，物流中心的安全意味著哪些內(nèi)涵?

楊建東：我們將安全劃分為Safety和Security兩個(gè)方面。Safety主要指對(duì)于人員、設(shè)備、環(huán)境的安全，我們稱其為故障安全，例如，輸送機(jī)運(yùn)載的托盤貨物在運(yùn)行過(guò)程中，如果檢測(cè)到在其行走路線上有人員在活動(dòng)，或者有其他托盤貨物在行走路線上沒(méi)有離開(kāi)時(shí)，輸送機(jī)要自動(dòng)停止運(yùn)行，以確保人員及貨物的安全。對(duì)環(huán)境而言，則指在社會(huì)意識(shí)日益提高的今天，不僅保護(hù)人身安全、防止人員傷亡非常重要，而且為工作人員提供一個(gè)安全、健康的工作環(huán)境也占有重要地位。在這方面，一般使用光柵技術(shù)進(jìn)行檢測(cè)，當(dāng)光柵被遮擋時(shí)，即會(huì)觸發(fā)信號(hào)，PLC立即控制設(shè)備停止運(yùn)行。

Security是指信息的安全，即保證物流中心數(shù)據(jù)信息的安全，使數(shù)據(jù)不丟失，網(wǎng)絡(luò)不受到外來(lái)的攻擊。尤其是企業(yè)物流運(yùn)作全球化的趨勢(shì)越來(lái)越突出，物流中心與總部之間異地通訊的安全就越發(fā)顯得重要了。

一直以來(lái)，工業(yè)自動(dòng)化領(lǐng)域使用Profibus現(xiàn)場(chǎng)總線標(biāo)準(zhǔn)，來(lái)完成控制系統(tǒng)對(duì)于設(shè)備的指令。隨著以太網(wǎng)技術(shù)日趨成熟，網(wǎng)絡(luò)的開(kāi)放性、帶寬高、支持標(biāo)準(zhǔn)的IT服務(wù)如瀏覽器訪問(wèn)、文件傳輸?shù)葍?yōu)勢(shì)日益突出，因此自動(dòng)化技術(shù)向網(wǎng)絡(luò)發(fā)展的趨勢(shì)十分明顯，也就是說(shuō)現(xiàn)場(chǎng)總線基于以太網(wǎng)實(shí)現(xiàn)控制功能，目前Profinet已經(jīng)開(kāi)始應(yīng)用。但是，以太網(wǎng)技術(shù)在二三十年前就已經(jīng)誕生了，而控制系統(tǒng)才開(kāi)始建立在以太網(wǎng)基礎(chǔ)之上，其主要原因是，普通以太網(wǎng)是非實(shí)時(shí)的，存在諸多不確定性因素，而對(duì)于自動(dòng)化設(shè)備的控制系統(tǒng)來(lái)說(shuō)，每一個(gè)控制指令都要得到自動(dòng)化設(shè)備的實(shí)時(shí)回應(yīng)，即發(fā)出運(yùn)行指令，設(shè)備在確定的時(shí)間內(nèi)就要按照指令運(yùn)行。因此，要將網(wǎng)絡(luò)運(yùn)用于自動(dòng)化領(lǐng)域，就要在其間添加專有的實(shí)時(shí)性協(xié)議。在這方面，西門子做了大量工作，致力于在普通的以太網(wǎng)基礎(chǔ)上，通過(guò)添加協(xié)議，將看似相同的網(wǎng)絡(luò)運(yùn)用于控制系統(tǒng)中，以提高其運(yùn)行速度及確定性。

記者：在自動(dòng)化物流系統(tǒng)中，Profinet的優(yōu)勢(shì)是如何體現(xiàn)的?

楊建東：Profinet是一個(gè)工業(yè)自動(dòng)化領(lǐng)域的創(chuàng)新，是一種開(kāi)放式以太網(wǎng)標(biāo)準(zhǔn)(JEC61158)，它滿足了企業(yè)管理層對(duì)于物流現(xiàn)場(chǎng)運(yùn)作細(xì)節(jié)的可視性需求，使用Profinet，設(shè)備可從現(xiàn)場(chǎng)級(jí)連接到管理級(jí)，使管理層與物流現(xiàn)場(chǎng)實(shí)現(xiàn)信息的交互。

通過(guò)Profinet，分布式現(xiàn)場(chǎng)設(shè)備(如現(xiàn)場(chǎng)的I／O設(shè)備)可以直接連接到工業(yè)以太網(wǎng)，與PLC等設(shè)備進(jìn)行通訊，并且可以達(dá)到與現(xiàn)場(chǎng)總線相同或者更加優(yōu)越的響應(yīng)時(shí)間，其典型響應(yīng)時(shí)間在10毫秒的數(shù)量級(jí)(運(yùn)動(dòng)控制可小于1毫秒)，完全能夠滿足現(xiàn)場(chǎng)級(jí)的使用要求。

在使用STEP7進(jìn)行組態(tài)的過(guò)程中，這些現(xiàn)場(chǎng)設(shè)備指定由一個(gè)中央控制器(即I／O控制器)進(jìn)行控制。借助于具有Profibus接口的服務(wù)器，現(xiàn)有模板或設(shè)備仍可繼續(xù)使用，從而保護(hù)Profibus用戶的投資。

I／O Supervisor(I／O監(jiān)視設(shè)備)用于HMI(人機(jī)界面)和診斷功能，并和Profibus一樣，采用層級(jí)診斷屏幕。

記者：西門子是如何將安全集成到用戶的自動(dòng)化物流系統(tǒng)中的?

楊建東：傳統(tǒng)意義的設(shè)備安全系統(tǒng)是指保護(hù)在機(jī)器中或附近工作的人員免受傷亡的附加部件。新的安全解決方案已經(jīng)遠(yuǎn)遠(yuǎn)超越了這一概念。許多最終用戶已經(jīng)意識(shí)到，智能化、集成的安全解決方案對(duì)于其經(jīng)營(yíng)效率可以產(chǎn)生直接的影響。

現(xiàn)在的安全解決方案直接集成進(jìn)標(biāo)準(zhǔn)的控制結(jié)構(gòu)，把安全與工業(yè)網(wǎng)絡(luò)結(jié)合在一起。提供基于Profibus DP、PA、Profinet及無(wú)線等現(xiàn)有網(wǎng)絡(luò)介質(zhì)的“網(wǎng)絡(luò)化安全”解決方案。它就是PROFIsafe。

由于Profinet支持對(duì)等通信、分布式I／O、機(jī)器安全、運(yùn)動(dòng)控制和數(shù)據(jù)采集等不同的控制方式，用戶可以在一個(gè)以太網(wǎng)上實(shí)施集成的自動(dòng)化解決方案。因此，操作人員可以更加智能化地檢測(cè)設(shè)備故障，更快地啟動(dòng)生產(chǎn)，有助于減少停機(jī)時(shí)間。

PROFIsafe實(shí)現(xiàn)了單一總線的解決方案。PROFIsafe安全協(xié)議是Profibus和Profinet通信協(xié)議的一部分，它使用戶可以不必采用獨(dú)立的安全網(wǎng)絡(luò)，并把其網(wǎng)絡(luò)減少至一個(gè)單一的總線。PROFIsafe還擴(kuò)充了Profibus通信協(xié)議，提供為了符合嚴(yán)格的安全標(biāo)準(zhǔn)所必需的與安全相關(guān)的所有信息。例如，PROFIsafe增加了信息編號(hào)和數(shù)據(jù)一致性檢查，以此排除典型的網(wǎng)絡(luò)信息故障，使聯(lián)網(wǎng)的安全設(shè)備的可靠性能夠達(dá)到國(guó)際安全標(biāo)準(zhǔn)規(guī)定的集成安全級(jí)別(高達(dá)SIL3)。

隨著物流中心越來(lái)越多地采用自動(dòng)化系統(tǒng)來(lái)搬運(yùn)物料，市場(chǎng)趨向提供安全解決方案，使操作人員能夠在安全的環(huán)境中工作以提高效率。目前的安全標(biāo)準(zhǔn)允許在運(yùn)動(dòng)控制系統(tǒng)和標(biāo)準(zhǔn)驅(qū)動(dòng)器中直接集成可配置的安全系統(tǒng)。

在安全區(qū)域內(nèi)結(jié)合低速模式和高速響應(yīng)可以有效地免除在運(yùn)行的設(shè)備和工作單元中使用多個(gè)隔離及標(biāo)示。安全系統(tǒng)的關(guān)鍵在于從按鈕或傳感器到執(zhí)行器之間的響應(yīng)時(shí)間。可以選擇在運(yùn)動(dòng)控制器或安全PLC中實(shí)現(xiàn)安全運(yùn)動(dòng)功能，但這種解決方案的不足之處在于，安全PLC或運(yùn)動(dòng)控制器和反饋裝置之間的時(shí)間延遲。另一方面，基于驅(qū)動(dòng)的解決方案除了更快的控制器周期優(yōu)勢(shì)，還能訪問(wèn)所有的信號(hào)。

記者：網(wǎng)絡(luò)的一個(gè)重要特征是開(kāi)放性，在開(kāi)放狀態(tài)下，西門子如何保證控制網(wǎng)絡(luò)中信息的安全?

楊建東：以前的網(wǎng)絡(luò)對(duì)于外部環(huán)境來(lái)說(shuō)是封閉的，物流系統(tǒng)不會(huì)受到外來(lái)的威脅。而在Profinet環(huán)境中，企業(yè)網(wǎng)與物流系統(tǒng)的控制網(wǎng)聯(lián)在了一起，網(wǎng)絡(luò)處于開(kāi)放的狀態(tài)，一方面方便了企業(yè)管理層對(duì)于分布于不同地點(diǎn)的物流中心庫(kù)存信息的了解：另一方面，企業(yè)的員工也可能會(huì)訪問(wèn)網(wǎng)絡(luò)，還可能會(huì)受到病毒和黑客的攻擊，因此我們?cè)诰W(wǎng)絡(luò)中添加了保障安全的模塊SCALANCES，起到硬件防火墻的作用，阻隔未經(jīng)授權(quán)的訪問(wèn)，確保訪問(wèn)的安全性，并進(jìn)行信息的過(guò)濾。

企業(yè)在使用端到端的以太網(wǎng)結(jié)構(gòu)時(shí)，可使用SCALANCE S硬

件與軟件構(gòu)成完整的安全系統(tǒng)，以消除由于將控制系統(tǒng)建立在網(wǎng)絡(luò)的基礎(chǔ)之上而伴隨的風(fēng)險(xiǎn)。

其主要特點(diǎn)包括：

安全與性能的雙重保證。SCALANCE S能夠防止對(duì)自動(dòng)化單元未授權(quán)的訪問(wèn)以及不必要的通訊負(fù)荷，即使外部網(wǎng)絡(luò)出現(xiàn)故障，自動(dòng)化單元中的數(shù)據(jù)仍可正常傳輸。

與應(yīng)用協(xié)議無(wú)關(guān)。安全模塊可以輕松地將基于lP的協(xié)議和自動(dòng)化技術(shù)中廣泛使用的第二層協(xié)議置于其保護(hù)之下，而不會(huì)限制生產(chǎn)數(shù)據(jù)流，確保數(shù)據(jù)傳輸?shù)母咝А?/p>

具有學(xué)習(xí)功能。在學(xué)習(xí)模式的支持下，安全模塊可自動(dòng)識(shí)別內(nèi)部網(wǎng)絡(luò)中的每一個(gè)客戶機(jī)，因此可以直接使用而不需組態(tài)。而且，安全模塊可自動(dòng)識(shí)別網(wǎng)絡(luò)中的其他安全模塊。其突出優(yōu)點(diǎn)在于，在擴(kuò)展系統(tǒng)時(shí)，無(wú)需重新配置現(xiàn)有安全模塊。

備份功能使停工時(shí)間最小化。SCALANCE S自動(dòng)將配置數(shù)據(jù)保持在組態(tài)插件(C-PLUG)中，在更換故障設(shè)備時(shí)，只需將C-PLUG調(diào)換到新設(shè)備中，新設(shè)備即可以相同的配置運(yùn)行。

擁有靈活的保護(hù)機(jī)制。SCALANCE S可根據(jù)需要而選擇使用防火墻或文件包過(guò)濾器對(duì)通訊進(jìn)行專門的保護(hù)。IP地址、MAC地址、端口號(hào)或協(xié)議都可作為相應(yīng)的過(guò)濾判據(jù)。在虛擬專用網(wǎng)(VPN)中，安全模塊作為加密通訊通道的端點(diǎn)，保證數(shù)據(jù)通過(guò)該通道進(jìn)行通訊。在此，安全模塊需要互相認(rèn)證，所以通道中的數(shù)據(jù)既不能被竊取，也不會(huì)被修改。

記者：以太網(wǎng)是自動(dòng)化系統(tǒng)中極其重要的部分，一旦網(wǎng)絡(luò)中的設(shè)備如交換機(jī)出現(xiàn)故障，是否會(huì)使物流系統(tǒng)受到影響?

楊建東：工業(yè)以太網(wǎng)廣泛應(yīng)用于工廠的控制級(jí)通訊，以實(shí)現(xiàn)PLC與PLC之間、PLC與上位機(jī)之間的通訊。在技術(shù)上它與IEEE802．3及IEEE802．3u兼容，但產(chǎn)品的設(shè)計(jì)制造充分考慮并滿足工業(yè)網(wǎng)絡(luò)的應(yīng)用需要。

眾所周知，網(wǎng)絡(luò)中設(shè)備間的連接是通過(guò)交換機(jī)完成的，一旦交換機(jī)出現(xiàn)故障必將影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行。2003年，我們開(kāi)發(fā)了SCALANCE×系列交換機(jī)。此系列交換機(jī)在網(wǎng)絡(luò)中形成環(huán)形結(jié)構(gòu)，可組成光纖環(huán)網(wǎng)、或電氣環(huán)網(wǎng)、或光與電氣混合的環(huán)網(wǎng)，網(wǎng)絡(luò)中的一臺(tái)交換機(jī)起到環(huán)網(wǎng)管理的作用，稱為冗余管理器，當(dāng)冗余管理器檢測(cè)出網(wǎng)絡(luò)中某一處出現(xiàn)故障時(shí)，能夠自動(dòng)閉合，在小于300毫秒的時(shí)間內(nèi)形成一個(gè)新的完整的網(wǎng)絡(luò)，保證物流系統(tǒng)的運(yùn)行不中斷。

SCALANCE X可以實(shí)現(xiàn)網(wǎng)絡(luò)管理和診斷。SCALANCE×通過(guò)信號(hào)觸點(diǎn)、Profinet診斷功能和網(wǎng)絡(luò)管理功能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)組件的持續(xù)監(jiān)測(cè)，快速實(shí)現(xiàn)故障檢測(cè)并排除網(wǎng)絡(luò)故障。同時(shí)，還可以在線接收重要信息并對(duì)網(wǎng)絡(luò)進(jìn)行預(yù)防性維護(hù)。

對(duì)于工業(yè)以太網(wǎng)來(lái)說(shuō)，兼容性是非常關(guān)鍵的因素，SCALANCE將其作為設(shè)計(jì)的理念，實(shí)現(xiàn)了端到端的兼容性，在引入新技術(shù)的同時(shí)還能保護(hù)現(xiàn)有投資，保證了網(wǎng)絡(luò)的投資安全。

記者：西門子集成了安全策略的自動(dòng)化物流系統(tǒng)能夠?yàn)橛脩魩?lái)哪些利益，能否以具體案例進(jìn)行說(shuō)明?楊建東：以瑞典的Rejlers公司為例，他們利用通過(guò)Profinet和PROFIsafe與安全設(shè)備和標(biāo)準(zhǔn)I／O連接的西門子的故障安全PLC設(shè)計(jì)了一種新型的生產(chǎn)線結(jié)構(gòu)，用于搬運(yùn)活塞和連桿。

這種生產(chǎn)線由多種機(jī)器組成，對(duì)生產(chǎn)出來(lái)的多達(dá)60種不同的活塞可完成標(biāo)識(shí)、分類、排序、緩沖及堆垛。通過(guò)機(jī)器人，系統(tǒng)能識(shí)別零件并把他們存放到臨時(shí)的緩沖區(qū)中，零件搬運(yùn)已實(shí)現(xiàn)完全自動(dòng)化。這種新型的自動(dòng)化解決方案采用P rofi net作為骨干網(wǎng)連接安全PLC、工業(yè)PC和標(biāo)準(zhǔn)I／O模塊，以及電子急停(E-stop)、光柵和安全聯(lián)鎖等。采用Profinet，可以輕而易舉地隨時(shí)集成額外的安全器件，因而省去了30％-35％的集成時(shí)間和精力。

在許多行業(yè)中，龍門機(jī)器人廣泛應(yīng)用于各種材料的搬運(yùn)。龍門架的復(fù)雜程度通常很高，結(jié)合了視覺(jué)、傳感器和高度動(dòng)態(tài)的運(yùn)動(dòng)控制。

在CAMotion Inc．為某企業(yè)開(kāi)發(fā)的視覺(jué)引導(dǎo)的高架龍門機(jī)器人中，配備了許多傳感器來(lái)識(shí)別需要搬運(yùn)的零件的外形、尺寸和類型，并識(shí)別起點(diǎn)和終點(diǎn)位置。

龍門架同樣也配備了從光柵到激光掃描器等安全設(shè)備，以保護(hù)在機(jī)器上或機(jī)器附近的人員安全。此外，CAMotion想利用無(wú)線解決方案來(lái)削減電纜成本，并免除常用的復(fù)雜的結(jié)線方案。盡管“常規(guī)的”自動(dòng)化器件可以解決這個(gè)問(wèn)題，他們卻已找到了一種利用最新的網(wǎng)絡(luò)和安全技術(shù)的具有前瞻性的解決方案。

CAMotion采用一套西門子的故障安全PLC，通過(guò)使用PROFlsafe協(xié)議的Profinet與安全設(shè)備進(jìn)行聯(lián)網(wǎng)，組成了無(wú)線連接和分布式安全的解決方案。其中的西門子S7―315F控制器，把常規(guī)和安全功能合并到一個(gè)CPU中，免除了獨(dú)立的安全PLC或安全監(jiān)視器。這一項(xiàng)功能不僅減少了前期設(shè)備的硬件成本，而且通過(guò)簡(jiǎn)化長(zhǎng)期的維護(hù)工作和縮短停機(jī)時(shí)間，可能為最終用戶降低整個(gè)使用周期內(nèi)的成本。

篇7

面對(duì)中國(guó)上億的投資者，證券類企業(yè)有責(zé)任、有義務(wù)為他們提供一個(gè)舒適的線上交易環(huán)境。也只有這樣，才能達(dá)到服務(wù)于投資者、獲利于投資者、與投資者雙贏的目標(biāo)。在如火如荼的網(wǎng)上交易信息化建設(shè)中，電腦和網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定、快速便成了所有券商所關(guān)注的企業(yè)信息化建設(shè)的焦點(diǎn)。

網(wǎng)絡(luò)難以維持

華泰證券作為中國(guó)目前最具實(shí)力的金融服務(wù)提供商之一，擁有1萬(wàn)多名員工，在全國(guó)范圍內(nèi)有約180個(gè)營(yíng)業(yè)點(diǎn)，每年銷售額高達(dá)10億元。隨著該公司近年來(lái)突飛猛進(jìn)的發(fā)展，其大部分業(yè)務(wù)已經(jīng)開(kāi)始通過(guò)在線交易來(lái)實(shí)現(xiàn)。

然而問(wèn)題也隨之產(chǎn)生。由于業(yè)務(wù)量迅速增長(zhǎng)，客戶數(shù)量也日益增多，現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)已經(jīng)難于維持企業(yè)線上服務(wù)的正常運(yùn)作。大量來(lái)自外部網(wǎng)絡(luò)的客戶在訪問(wèn)華泰證券的股市分析系統(tǒng)后，表示出了不滿，認(rèn)為他們的網(wǎng)絡(luò)速度緩慢。并且，有相當(dāng)比例的客戶還指出系統(tǒng)常常出現(xiàn)斷線的情況。

倘若放任這種情況長(zhǎng)此以往下去，將有可能挫傷廣大投資者對(duì)華泰證券整體金融服務(wù)的信心，從而影響公司的收益和長(zhǎng)期可持續(xù)發(fā)展，更不要說(shuō)稱雄整個(gè)金融服務(wù)提供市場(chǎng)。

為了解決這些問(wèn)題，以及為將來(lái)進(jìn)一步開(kāi)發(fā)業(yè)務(wù)做準(zhǔn)備，在面對(duì)更復(fù)雜、信息量更大、訪問(wèn)人數(shù)更多的網(wǎng)絡(luò)環(huán)境時(shí)不受網(wǎng)絡(luò)速度和斷線的困擾，華泰證券在他們的數(shù)據(jù)中心部署了Blue Coat的ProxySG設(shè)備，并且對(duì)其反向解決方案的實(shí)施效果進(jìn)行評(píng)估。

倘若通過(guò)部署該方案，能夠幫助華泰證券顯著提高其網(wǎng)絡(luò)系統(tǒng)訪問(wèn)效率，那么Blue Coat的解決方案將很有可能在今后更長(zhǎng)的一段時(shí)間里助力華泰證券向中國(guó)最具實(shí)力的金融服務(wù)提供商桂冠發(fā)起挑戰(zhàn)。在使用Blue Coat ProxySG設(shè)備后，華泰證券的網(wǎng)絡(luò)效率與過(guò)往情況相比有極大改觀。其反向解決方案減少了帶寬不足和備份緩慢帶來(lái)的壓力，從而提升了網(wǎng)絡(luò)環(huán)境質(zhì)量，對(duì)廣域網(wǎng)進(jìn)行了很大程度的加速，并且縮短了外部客戶訪問(wèn)的反應(yīng)時(shí)間，杜絕了中途斷線的情況。

讓網(wǎng)絡(luò)遠(yuǎn)離斷線的困擾

證券類企業(yè)可以通過(guò)在數(shù)據(jù)中心服務(wù)器前端部署B(yǎng)lue Coat反向解決方案，以達(dá)到提升數(shù)據(jù)中心訪問(wèn)效率的目標(biāo)。

該解決方案具備基于字節(jié)緩存和對(duì)象緩存的強(qiáng)大緩存功能。其中，字節(jié)緩存將字節(jié)串行中重復(fù)的流量緩存儲(chǔ)存在數(shù)據(jù)中心服務(wù)器前端的Blue Coat ProxySG設(shè)備中，對(duì)象緩存則針對(duì)已被訪問(wèn)過(guò)的文件、網(wǎng)絡(luò)內(nèi)容等信息進(jìn)行緩存儲(chǔ)存。當(dāng)客戶端訪問(wèn)企業(yè)數(shù)據(jù)中心服務(wù)器時(shí)，該設(shè)備會(huì)通過(guò)掃描緩存中已有的資料直接回復(fù)客戶，從而減輕服務(wù)器負(fù)擔(dān)，保障網(wǎng)絡(luò)交易平臺(tái)持續(xù)高效運(yùn)作。

基于ProxySG設(shè)備的Blue Coat反向解決方案能夠支持超過(guò)1萬(wàn)個(gè)客戶端的并發(fā)HTTP連接，并且具備百兆以上的反向HTTP吞吐量能力。這就意味著當(dāng)證券類企業(yè)網(wǎng)絡(luò)系統(tǒng)中的訪問(wèn)量呈現(xiàn)爆炸式增長(zhǎng)時(shí)，通過(guò)部署B(yǎng)lue Coat的解決方案能夠避免客戶端交易行為中斷，并緩解網(wǎng)絡(luò)堵塞的情況。

篇8

從孤立到端到端

萬(wàn)兆iSCSI存儲(chǔ)剛推出時(shí)受到市場(chǎng)的冷遇,其原因是多方面的。戴爾亞太區(qū)存儲(chǔ)業(yè)務(wù)部高級(jí)經(jīng)理許良謀表示,價(jià)格過(guò)高以及能耗問(wèn)題沒(méi)有得到有效解決,阻礙了萬(wàn)兆iSCSI存儲(chǔ)的快速普及。萬(wàn)兆iSCSI存儲(chǔ)的普及需要一個(gè)前提,那就是必須擁有一個(gè)完善的10Gb以太網(wǎng)商用環(huán)境。以前存儲(chǔ)廠商只是在存儲(chǔ)產(chǎn)品上下功夫,忽視了端到端10Gb以太網(wǎng)應(yīng)用環(huán)境的建立,因此造成了萬(wàn)兆iSCSI存儲(chǔ)孤掌難鳴的局面。

戴爾自從收購(gòu)EqualLogic公司以后,存儲(chǔ)戰(zhàn)略的重心就放在了iSCSI存儲(chǔ)產(chǎn)品上。戴爾公布的數(shù)據(jù)顯示:戴爾以超過(guò)33%的市場(chǎng)占有率領(lǐng)跑全球iSCSI存儲(chǔ)市場(chǎng);自2008年以來(lái),戴爾新增近1.2萬(wàn)個(gè)EqualLogic存儲(chǔ)產(chǎn)品的用戶。今年初,戴爾提出了統(tǒng)一架構(gòu)的理念,同時(shí)了面向數(shù)據(jù)中心的端到端10Gb以太網(wǎng)存儲(chǔ)及網(wǎng)絡(luò)解決方案。戴爾的目標(biāo)是,在10Gb以太網(wǎng)架構(gòu)的基礎(chǔ)上,將戴爾的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)連接、軟件和管理工具融合在一起,構(gòu)建一個(gè)開(kāi)放、實(shí)用、可動(dòng)態(tài)配置的基礎(chǔ)設(shè)施,從而縮短系統(tǒng)的部署時(shí)間,提高響應(yīng)速度,以滿足不斷變化的客戶需求。戴爾大客戶部存儲(chǔ)市場(chǎng)管理高級(jí)經(jīng)理彭宇恒表示,端到端10Gb以太網(wǎng)解決方案對(duì)于萬(wàn)兆iSCSI存儲(chǔ)的普及是一個(gè)必要條件。

關(guān)于數(shù)據(jù)中心未來(lái)的架構(gòu)標(biāo)準(zhǔn)有過(guò)很多爭(zhēng)論。許良謀表示,戴爾倡導(dǎo)的統(tǒng)一網(wǎng)絡(luò)是在以太網(wǎng)基礎(chǔ)上的一種演進(jìn),也是數(shù)據(jù)中心架構(gòu)的理想選擇。統(tǒng)一網(wǎng)絡(luò)將光纖通道(Fibre Channel)、以太網(wǎng)和InfiniBand集成到一個(gè)架構(gòu)中,可以支持LAN、SAN、NAS、高性能計(jì)算等多種應(yīng)用環(huán)境。

存儲(chǔ)與網(wǎng)絡(luò)雙核心

戴爾推出的10Gb以太網(wǎng)統(tǒng)一架構(gòu)解決方案主要包括存儲(chǔ)和網(wǎng)絡(luò)連接兩部分。在存儲(chǔ)方面,戴爾將10GbE控制器引入到EqualLogic PS6000系列存儲(chǔ)陣列中。與以前的產(chǎn)品相比,EqualLogic PS6010和PS6510每端口的帶寬提高10倍,每陣列的帶寬(每陣列4個(gè)端口)提升2.5倍。EqualLogic PS6010和PS6510可以為Oracle和Microsoft SQL數(shù)據(jù)庫(kù)應(yīng)用、流視頻以及帶寬密集型工作負(fù)載等提供更好的支持。引入10GbE控制器之后,包含EqualLogic PS6500X(采用SAS硬盤)的陣列組的存儲(chǔ)容量從以前的115.2TB擴(kuò)展到現(xiàn)在的460TB。結(jié)合10GbE控制器,EqualLogic系列存儲(chǔ)陣列能夠以較低的成本提供企業(yè)級(jí)存儲(chǔ)的性能和可擴(kuò)展性。

在網(wǎng)絡(luò)連接方面,戴爾與Brocade、Juniper、QLogic等網(wǎng)絡(luò)廠商加強(qiáng)了合作。戴爾10Gb以太網(wǎng)統(tǒng)一架構(gòu)解決方案中包括Dell PowerConnect 8024F 10GbE交換機(jī)、Dell PowerConnect B系列交換機(jī)和面向Dell PowerEdge服務(wù)器和刀片服務(wù)器的QLogic融合網(wǎng)絡(luò)適配器(CNA)等。

Dell PowerConnect 8024F交換機(jī)是戴爾首款1U 10GbE交換機(jī)。它擁有24個(gè)SFP+端口和4個(gè)Combo 10G Base-T端口,所有端口均支持10Gb全線速交換功能。Dell PowerConnect 8024F是為數(shù)據(jù)中心聚合與網(wǎng)絡(luò)整合設(shè)計(jì)的,適用于融合的以太網(wǎng)環(huán)境,支持高密度虛擬化部署、iSCSI存儲(chǔ)及10Gb流量聚合。

篇9

H3C

產(chǎn)品名稱:Neocean IX3620

Neocean IX3620采用先進(jìn)的設(shè)計(jì)理念和體系架構(gòu),融入萬(wàn)兆傳輸、SAS、多核處理器等多項(xiàng)先進(jìn)的數(shù)據(jù)處理和傳輸技術(shù),打造了一個(gè)從前端主機(jī)訪問(wèn)到后端磁盤讀寫、從內(nèi)部總線傳輸?shù)酵獠繑?shù)據(jù)交換的端到端的萬(wàn)兆數(shù)據(jù)管理平臺(tái)。此外,IX3620還提供豐富的軟件功能,提供從在線到近線、從本地到遠(yuǎn)程的全面可靠的數(shù)據(jù)保護(hù),輕松實(shí)現(xiàn)存儲(chǔ)容量動(dòng)態(tài)擴(kuò)展、連續(xù)數(shù)據(jù)保護(hù)、遠(yuǎn)程數(shù)據(jù)災(zāi)備和海量數(shù)據(jù)遷移,與Neocean全系列存儲(chǔ)產(chǎn)品配合,Neocean IX3620可為用戶提供多層次、跨地域的存儲(chǔ)解決方案,滿足用戶對(duì)于數(shù)據(jù)管理的各種需求。

Neocean IX3620前端提供4個(gè)10Gb主機(jī)接口,后端提供高達(dá)72Gb的磁盤訪問(wèn)帶寬,實(shí)現(xiàn)了端到端無(wú)阻塞的萬(wàn)兆體系架構(gòu)。IX3620的控制器配置了專門的萬(wàn)兆TOE處理模塊,能減少處理器開(kāi)銷、提高處理速度,并實(shí)現(xiàn)高帶寬低延遲的數(shù)據(jù)訪問(wèn)。IX3620共提供4個(gè)萬(wàn)兆主機(jī)接口,提供高達(dá)3400MB/s的傳輸帶寬,控制器的I/O能力處于業(yè)界領(lǐng)先水平。

IX3620采用萬(wàn)兆以太網(wǎng)搭建主機(jī)訪問(wèn)網(wǎng)絡(luò),前端主機(jī)也可配置千兆網(wǎng)卡或者iSCSI HBA卡,在主機(jī)側(cè)實(shí)現(xiàn)千兆集中接入,而在IX3620存儲(chǔ)側(cè)實(shí)現(xiàn)萬(wàn)兆端口匯聚。這種分層存儲(chǔ)業(yè)務(wù)網(wǎng)絡(luò),徹底改變了傳統(tǒng)SAN網(wǎng)絡(luò)的單一速率架構(gòu),不僅顯著提高存儲(chǔ)訪問(wèn)性能,滿足更大規(guī)模的服務(wù)器接入需求,而且使存儲(chǔ)網(wǎng)絡(luò)布局更加合理,此外,產(chǎn)品結(jié)合QoS技術(shù)、安全技術(shù)等,能夠大大提高存儲(chǔ)網(wǎng)絡(luò)的可管理性和可擴(kuò)展性。

HP

產(chǎn)品名稱: LeftHand P4000

HP LeftHand P4000 SAN解決方案專為數(shù)據(jù)庫(kù)、電子郵件應(yīng)用和虛擬服務(wù)器而優(yōu)化。這款解決方案不僅可以幫助用戶按需擴(kuò)展,而且還提供了直觀的存儲(chǔ)管理軟件和包括所有組件在內(nèi)的定價(jià)模式,是預(yù)算有限的用戶的理想之選。

HP P4000解決方案通過(guò)一種創(chuàng)新方法實(shí)現(xiàn)了較高的數(shù)據(jù)可用性,消除了SAN環(huán)境中的單點(diǎn)故障,能夠在不增加成本的情況下降低風(fēng)險(xiǎn)。它基于存儲(chǔ)集群架構(gòu)而構(gòu)建,用戶可在不引起宕機(jī)、性能瓶頸或花費(fèi)大量資金進(jìn)行升級(jí)的情況下大幅擴(kuò)展存儲(chǔ)容量,顯著提升性能。此外,用戶還能運(yùn)用自動(dòng)精簡(jiǎn)配置功能,無(wú)需預(yù)留容量,從而顯著提高存儲(chǔ)效率。

借助存儲(chǔ)集群功能,客戶可將多個(gè)存儲(chǔ)節(jié)點(diǎn)整合到存儲(chǔ)池中,系統(tǒng)對(duì)所有可用容量和性能進(jìn)行集中,并可供給集群中的所有卷使用。如果存儲(chǔ)需求增加,HP P4000解決方案能夠在線擴(kuò)展存儲(chǔ)容量和性能。網(wǎng)絡(luò)RAID能夠?qū)Υ鎯?chǔ)節(jié)點(diǎn)集群中的多個(gè)數(shù)據(jù)拷貝進(jìn)行條帶化和鏡像處理,以消除HP P4000 SAN解決方案中的單點(diǎn)故障。在出現(xiàn)電源、網(wǎng)絡(luò)、磁盤、控制器或整個(gè)存儲(chǔ)節(jié)點(diǎn)故障時(shí),應(yīng)用仍能夠連續(xù)訪問(wèn)數(shù)據(jù)。

用戶系統(tǒng)采用動(dòng)態(tài)精簡(jiǎn)配置,僅在實(shí)際寫入數(shù)據(jù)時(shí)才分配存儲(chǔ)空間,無(wú)需預(yù)先分配存儲(chǔ)容量,這有助于提高HP P4000 SAN解決方案的整體利用率和存儲(chǔ)效率、降低成本,并增加投資回報(bào)。快照功能能夠逐卷創(chuàng)建即時(shí)的精簡(jiǎn)配置數(shù)據(jù)拷貝,管理人員可通過(guò)訪問(wèn)快照恢復(fù)卷上的所有文件或文件夾,或者將整個(gè)卷恢復(fù)至先前的狀態(tài)。

NetApp

產(chǎn)品名稱: FAS3160

FAS3160與原有的型號(hào)FAS3140、FAS3170平分秋色,其性價(jià)比、靈活性及可擴(kuò)展性均表現(xiàn)優(yōu)異。NetApp將對(duì)8Gb光纖通道存儲(chǔ)區(qū)域網(wǎng)絡(luò) (FC SAN)的支持引進(jìn)FAS及V系列,以滿足存儲(chǔ)網(wǎng)絡(luò)的服務(wù)器虛擬化需求,幫助企業(yè)實(shí)施虛擬數(shù)據(jù)中心,同時(shí)保障現(xiàn)有投資。當(dāng)系統(tǒng)升級(jí)至8Gb SAN后,還原速度將全面提升,不論整體性能、成本效益、生產(chǎn)力、數(shù)據(jù)存取速度還是虛擬服務(wù)器的總處理能力都能更上一層樓。而且,新系統(tǒng)還增設(shè)了8Gb目標(biāo)主機(jī)總線適配裝置,讓FAS及V系列客戶無(wú)需額外培訓(xùn)也可完成系統(tǒng)升級(jí)。

NetApp存儲(chǔ)系統(tǒng)支持從遠(yuǎn)程辦公到數(shù)據(jù)中心等的廣泛應(yīng)用,并且在服務(wù)器中結(jié)合了標(biāo)準(zhǔn)以太網(wǎng)基礎(chǔ)設(shè)施(線纜和交換機(jī))和在服務(wù)器端的iSCSI啟動(dòng)器, 構(gòu)成了NetApp IP SAN解決方案的基礎(chǔ)。NetApp IP SAN解決方案采用了廣泛的NetApp管理軟件工具(包括特定應(yīng)用工具和通用工具),能夠?qū)崿F(xiàn)全面互操作并與企業(yè)環(huán)境輕松集成。

EMC

產(chǎn)品名稱: Celerra NS20

EMC Celerra NS20 IP 存儲(chǔ)系統(tǒng)是 Celerra NS 系列中經(jīng)濟(jì)高效的入門級(jí)產(chǎn)品。使用 NS20,用戶可以通過(guò) NAS、iSCSI 和光纖通道 SAN連接到多個(gè)存儲(chǔ)網(wǎng)絡(luò)。并可以整合更多應(yīng)用程序和數(shù)據(jù),讓孤立的文件服務(wù)器和應(yīng)用程序?qū)崿F(xiàn)整合,還可以擴(kuò)展容量而不影響性能。

NS20 集成了 EMC CLARiiON 網(wǎng)絡(luò)存儲(chǔ)及其 EMC UltraScale 體系結(jié)構(gòu),后者可實(shí)現(xiàn)“五個(gè) 9”(99.999%) 的可用性。NS20 易于安裝和使用,從加電到進(jìn)入生產(chǎn)狀態(tài)僅需要 15 分鐘的時(shí)間; 同時(shí),750 GB SATA 驅(qū)動(dòng)器使能效提高了 33%。

篇10

關(guān)鍵詞:實(shí)驗(yàn)環(huán)境構(gòu)建;實(shí)驗(yàn)內(nèi)容設(shè)計(jì);惡意代碼及其防治技術(shù)

中圖分類號(hào):G642文獻(xiàn)標(biāo)識(shí)碼:B

1引言

惡意代碼(包括病毒、蠕蟲(chóng)和木馬等)嚴(yán)重地干擾著整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用環(huán)境,對(duì)網(wǎng)絡(luò)和信息的安全造成了嚴(yán)重的威脅。惡意代碼的研究與防治,目前已經(jīng)發(fā)展成為信息安全的一個(gè)重要領(lǐng)域,人們從技術(shù)、管理到應(yīng)用各個(gè)層面對(duì)此都極為重視。信息安全專門人才的培養(yǎng)中,惡意代碼及其防治技術(shù)是知識(shí)體系和能力體系中的重要組成部分,課程“惡意代碼及其防治技術(shù)”是信息安全專業(yè)必選課程之一;惡意代碼的分析和處理也是信息安全人才必備的技能之一。

信息安全是一個(gè)實(shí)踐性要求很強(qiáng)的學(xué)科,扎實(shí)的專業(yè)基礎(chǔ)知識(shí)和較強(qiáng)的實(shí)踐動(dòng)手能力是信息安全專門人才的培養(yǎng)目標(biāo),其中的實(shí)踐能力是人才培養(yǎng)過(guò)程中重要的能力要求之一,而實(shí)驗(yàn)教學(xué)是提高學(xué)生實(shí)踐能力的主要環(huán)節(jié)。實(shí)驗(yàn)環(huán)境的構(gòu)建與實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)是實(shí)驗(yàn)教學(xué)中的基礎(chǔ),對(duì)人才的培養(yǎng)具有重要的作用。本文結(jié)合南開(kāi)大學(xué)信息安全專業(yè)的教學(xué)實(shí)際,探討了課程“惡意代碼及其防治技術(shù)”實(shí)驗(yàn)教學(xué)中實(shí)驗(yàn)環(huán)境構(gòu)建和實(shí)驗(yàn)內(nèi)容設(shè)計(jì)問(wèn)題。

2實(shí)驗(yàn)環(huán)境構(gòu)建

目前,國(guó)內(nèi)信息安全專業(yè)“惡意代碼及其防治技術(shù)”課程的實(shí)驗(yàn)教學(xué)內(nèi)容,一般都是要求學(xué)生親手編寫一些簡(jiǎn)單的惡意代碼程序,然后運(yùn)行惡意代碼以實(shí)現(xiàn)其惡意行為,其目標(biāo)是讓學(xué)生通過(guò)實(shí)驗(yàn)了解惡意代碼的編寫和運(yùn)行中的行為,從而增強(qiáng)學(xué)生對(duì)惡意代碼的編寫及惡意代碼的邏輯結(jié)構(gòu)特點(diǎn)的認(rèn)識(shí)。然而,在分析社會(huì)對(duì)信息安全專業(yè)人才能力的需求時(shí),我們注意到,這些實(shí)驗(yàn)對(duì)學(xué)生日后實(shí)際工作中處置惡意代碼時(shí)的幫助并不大。事實(shí)上,在實(shí)際工作中,人們更多的是關(guān)注如何去解決惡意代碼所帶來(lái)的問(wèn)題,并為對(duì)抗惡意代碼提出解決方案,而對(duì)惡意代碼的編寫的關(guān)注程度并不像我們?cè)趯?shí)驗(yàn)教學(xué)中要求的那樣高。因此,“惡意代碼及其防治技術(shù)”實(shí)驗(yàn)的重點(diǎn)應(yīng)集中在讓學(xué)生學(xué)會(huì)如何去識(shí)別惡意代碼、分析惡意代碼,并進(jìn)一步提出針對(duì)惡意代碼的適當(dāng)?shù)慕鉀Q方案。

“惡意代碼及其防治技術(shù)”實(shí)驗(yàn)環(huán)境與其他的計(jì)算機(jī)實(shí)驗(yàn)有所不同,因?yàn)閻阂獯a具有傳播能力和破壞性,所以惡意代碼的實(shí)驗(yàn)環(huán)境構(gòu)建需要考慮防止惡意代碼的擴(kuò)散和破壞。為了防止惡意代碼的擴(kuò)散,同時(shí)又便于管理和使用,整個(gè)實(shí)驗(yàn)環(huán)境應(yīng)包括惡意代碼分析區(qū)、安全服務(wù)區(qū)、實(shí)驗(yàn)數(shù)據(jù)區(qū)和學(xué)生上機(jī)實(shí)驗(yàn)區(qū)等幾個(gè)獨(dú)立的區(qū)域;對(duì)惡意代碼分析區(qū)采用物理防火墻進(jìn)行隔離,而且整個(gè)實(shí)驗(yàn)環(huán)境與外部網(wǎng)絡(luò)也采用物理防火墻進(jìn)行了隔離。實(shí)驗(yàn)環(huán)境拓?fù)浣Y(jié)構(gòu)示意圖如圖1所示。

2.1惡意代碼分析區(qū)

惡意代碼分析區(qū)包括以下幾個(gè)部分:

(1) 惡意代碼的靜態(tài)逆向分析環(huán)境

在此環(huán)境中,學(xué)生通過(guò)靜態(tài)反匯編技術(shù)將惡意代碼從機(jī)器指令逆向成可閱讀的匯編指令,進(jìn)而分析惡意代碼的組織結(jié)構(gòu)、惡意行為的實(shí)現(xiàn)細(xì)節(jié),并從中分析出惡意代碼的標(biāo)志性特征,進(jìn)而對(duì)惡意代碼進(jìn)行家族分析和變異分析。

(2) 惡意行為動(dòng)態(tài)跟蹤分析環(huán)境

在此環(huán)境中,學(xué)生通過(guò)動(dòng)態(tài)跟蹤調(diào)試工具來(lái)跟蹤惡意代碼的執(zhí)行過(guò)程,觀察惡意行為的表現(xiàn),驗(yàn)證靜態(tài)逆向分析。如果惡意代碼具有復(fù)制行為,需要收集被惡意代碼感染的樣本。如果惡意代碼具有網(wǎng)絡(luò)行為,例如網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)滲透等,可以配合蜜罐網(wǎng)絡(luò)對(duì)其行為進(jìn)行監(jiān)視和記錄。

(3) 沙箱網(wǎng)絡(luò)

為了引誘惡意代碼對(duì)其進(jìn)行攻擊和入侵,沙箱網(wǎng)絡(luò)的主機(jī)上留有各種安全漏洞。在惡意代碼的攻擊和入侵過(guò)程中,沙箱網(wǎng)絡(luò)能夠監(jiān)視并記錄系統(tǒng)中的所有操作和行為。通過(guò)對(duì)監(jiān)視記錄的研究和分析,可以得到惡意代碼采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對(duì)惡意代碼的活動(dòng)范圍以及下一個(gè)攻擊目標(biāo)進(jìn)行分析。

2.2安全服務(wù)區(qū)

安全服務(wù)區(qū)包括以下幾個(gè)部分:

(1) 漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng),包括信息收集(發(fā)現(xiàn)網(wǎng)絡(luò)中的主機(jī)、主機(jī)系統(tǒng)開(kāi)放了哪些端口、啟動(dòng)了哪些服務(wù)等)、安全檢查(檢查系統(tǒng)口令的安全性、各種服務(wù)的安全配置等)和滲透測(cè)試(對(duì)數(shù)據(jù)庫(kù)、各種服務(wù)、系統(tǒng)漏洞等進(jìn)行滲透測(cè)試)三個(gè)主要功能。學(xué)生通過(guò)漏洞掃描系統(tǒng)去分析那些被惡意代碼攻陷的主機(jī)中存在的各種安全缺陷,總結(jié)惡意代碼的生存環(huán)境,并提出相應(yīng)的防御措施消除惡意代碼的生存環(huán)境。

(2) 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)通過(guò)模式匹配、協(xié)議分析、專家系統(tǒng)等檢測(cè)手段對(duì)惡意攻擊和入侵進(jìn)行檢測(cè)。學(xué)生通過(guò)各種檢測(cè)方法對(duì)實(shí)驗(yàn)中的惡意代碼的攻擊行為和入侵行為進(jìn)行分析,深入理解這些惡意行為與正常行為之間的區(qū)別并找到有效的區(qū)分策略。

(3) 多引擎聯(lián)查系統(tǒng)

學(xué)生可以通過(guò)多引擎聯(lián)查系統(tǒng)獲得多個(gè)安全公司對(duì)惡意代碼的命名、分類、行為等信息,以使學(xué)生了解當(dāng)前安全公司對(duì)惡意代碼的命名規(guī)則、分類方法,為學(xué)生深入分析惡意代碼提供參考。

2.3實(shí)驗(yàn)數(shù)據(jù)區(qū)

實(shí)驗(yàn)數(shù)據(jù)區(qū)包括以下幾個(gè)部分:

(1) 惡意代碼樣本數(shù)據(jù)庫(kù)

統(tǒng)一存放學(xué)生試驗(yàn)用的各類惡意代碼樣本,通過(guò)系統(tǒng)隔離和安全加密等方式防止惡意代碼的泄漏和擴(kuò)散,學(xué)生取到惡意代碼樣本后只有在試驗(yàn)區(qū)才可以進(jìn)行解密和分析。

(2) 解決方案測(cè)試服務(wù)器

用于驗(yàn)證學(xué)生所提出來(lái)的惡意代碼樣本的解決方案。發(fā)給學(xué)生的樣本只是其病毒家族或某一家族變異分支的一員,測(cè)試學(xué)生上交的解決方案是否全面地解決了病毒家族或某一變異分支的全部惡意代碼(即是否有漏報(bào)),并檢測(cè)是否有干凈文件被解決方案所誤殺(即是否有誤報(bào))。

(3) 惡意樣本的行為分析知識(shí)庫(kù)

記錄了惡意代碼樣本庫(kù)中各個(gè)樣本的惡意行為的深入分析。學(xué)生先自己動(dòng)手在實(shí)驗(yàn)區(qū)對(duì)樣本行為進(jìn)行分析,然后跟知識(shí)庫(kù)中的行為分析進(jìn)行比對(duì),查看是否有遺漏的或誤判的惡意行為。

(4) 惡意樣本解決方案知識(shí)庫(kù)

記錄了惡意代碼樣本庫(kù)中各個(gè)樣本的全面解決方案。學(xué)生在分析完惡意代碼樣本的行為并找出相應(yīng)的特征后就要嘗試著自己制定開(kāi)發(fā)相應(yīng)的解決方案,然后跟知識(shí)庫(kù)中的解決方案進(jìn)行對(duì)比,查看是否全面,是否高效等。

2.4學(xué)生上機(jī)實(shí)驗(yàn)區(qū)

學(xué)生上機(jī)實(shí)驗(yàn)區(qū)可以訪問(wèn)安全服務(wù)區(qū)、實(shí)驗(yàn)數(shù)據(jù)區(qū)、Internet、查找資料、寫分析文檔、開(kāi)發(fā)解決方案等,但與惡意代碼分析區(qū)隔離。

3實(shí)驗(yàn)內(nèi)容設(shè)計(jì)

實(shí)驗(yàn)內(nèi)容設(shè)計(jì)的出發(fā)點(diǎn),也是教會(huì)學(xué)生在遇到惡意代碼的情況下如何識(shí)別、分析和處置惡意代碼。實(shí)驗(yàn)內(nèi)容主要包括以下兩個(gè)大類:一是,惡意代碼的各種基本行為的分析實(shí)驗(yàn);二是,惡意代碼的防治策略制定實(shí)驗(yàn)。

(1) 惡意代碼的各種基本行為的分析實(shí)驗(yàn)

惡意代碼的各種基本行為的分析實(shí)驗(yàn),目的是讓學(xué)生嘗試分析一些常見(jiàn)的惡意代碼行為,加深對(duì)這些惡意代碼的認(rèn)識(shí)。實(shí)驗(yàn)內(nèi)容可以包括:

計(jì)算機(jī)病毒感染行為的分析;

蠕蟲(chóng)代碼的基于網(wǎng)絡(luò)傳播行為的分析;

蠕蟲(chóng)代碼的基于郵件傳播行為的分析;

特洛伊木馬代碼的偽裝策略分析;

后門代碼的秘密通道分析;

間諜代碼的竊取密碼行為分析;

漏洞攻擊和緩沖區(qū)溢出代碼的分析。

這些實(shí)驗(yàn)內(nèi)容分別讓學(xué)生分析了計(jì)算機(jī)病毒、蠕蟲(chóng)、特洛伊木馬、后門程序、間諜軟件、漏洞攻擊和緩沖區(qū)溢出惡意代碼。通過(guò)這些分析,學(xué)生加深了對(duì)惡意代碼的分類和各類惡意代碼的典型行為的認(rèn)識(shí),了解了惡意代碼的組織結(jié)構(gòu)、執(zhí)行方式和攻擊策略,為研究惡意代碼的防治策略提供了重要支持。

在惡意代碼的各種行為的分析實(shí)驗(yàn)中,學(xué)生首先從惡意代碼樣本庫(kù)中取出需要分析的惡意代碼樣本,將惡意代碼樣本存放到惡意代碼分析區(qū),結(jié)合靜態(tài)的逆向分析和動(dòng)態(tài)的跟蹤分析,認(rèn)識(shí)惡意代碼的組織結(jié)構(gòu)、生存環(huán)境、攻擊對(duì)象、運(yùn)行機(jī)制和惡意代碼的特征或者進(jìn)一步分析該惡意代碼的家族特征。

在分析過(guò)程中,學(xué)生可以結(jié)合漏洞掃描系統(tǒng),分析那些被惡意代碼攻陷的主機(jī)中存在的各種安全缺陷,得到那些基于漏洞的惡意代碼的生存環(huán)境。

在沙箱網(wǎng)絡(luò)中運(yùn)行惡意代碼樣本,記錄系統(tǒng)中的所有操作和行為。學(xué)生通過(guò)研究和分析監(jiān)視記錄,將更有針對(duì)性的進(jìn)行靜態(tài)逆向分析和動(dòng)態(tài)跟蹤分析。

入侵檢測(cè)系統(tǒng)可以幫助學(xué)生很容易的發(fā)現(xiàn)惡意代碼的各種攻擊和滲透行為,加強(qiáng)學(xué)生對(duì)惡意的攻擊和滲透行為的認(rèn)識(shí),幫助學(xué)生找到惡意行為與正常行為之間的異同,進(jìn)而提取出惡意攻擊和滲透行為的特征點(diǎn)。

多引擎聯(lián)查系統(tǒng),讓學(xué)生了解到專業(yè)的安全公司對(duì)該惡意代碼樣本的命名,通過(guò)命名規(guī)則學(xué)生可以了解到該惡意代碼的分類信息、家族信息和一些行為信息。

當(dāng)學(xué)生通過(guò)各種分析方法得到惡意代碼的分析結(jié)果后,他們可以將自己的分析結(jié)果和惡意樣本的行為分析知識(shí)庫(kù)中的完整的分析結(jié)果進(jìn)行對(duì)比,發(fā)現(xiàn)自己的分析結(jié)果有哪些遺漏或錯(cuò)誤,然后再次分析和驗(yàn)證,最終得到完整的分析結(jié)果。

(2) 惡意代碼的防治策略制定實(shí)驗(yàn)

惡意代碼的防治策略實(shí)驗(yàn)是要求在對(duì)惡意代碼的深入分析的基礎(chǔ)上進(jìn)行的。學(xué)生根據(jù)前期深入的惡意代碼行為分析的結(jié)果,結(jié)合惡意特征掃描方法來(lái)嘗試開(kāi)發(fā)惡意代碼的檢測(cè)程序。惡意特征掃描方法主要包括:

惡意特征的字節(jié)序列掃描;

惡意特征的正則表達(dá)式掃描;

帶偏移量的快速惡意特征掃描;

針對(duì)首尾的快速惡意特征掃描;

針對(duì)入口點(diǎn)和特殊位置的快速惡意特征掃描;

帶過(guò)濾機(jī)制的快速惡意特征掃描;

基于統(tǒng)計(jì)的惡意特征掃描。

學(xué)生根據(jù)前期的分析實(shí)驗(yàn)提取出惡意代碼樣本的特征碼,選擇一種惡意特征掃描方法,然后編寫相應(yīng)的檢測(cè)程序。然后將開(kāi)發(fā)出的惡意代碼檢測(cè)程序上傳到解決方案測(cè)試服務(wù)器中進(jìn)行測(cè)試,以測(cè)試該程序是否存在誤報(bào)或漏報(bào)問(wèn)題。如果出現(xiàn)誤報(bào)或漏報(bào),學(xué)生可以從服務(wù)器上下載誤報(bào)或漏報(bào)的文件樣本,分析誤報(bào)或漏報(bào)的原因,然后改進(jìn)檢測(cè)程序。如果沒(méi)有誤報(bào)或漏報(bào)現(xiàn)象,學(xué)生將自己的檢測(cè)方案與惡意樣本解決方案知識(shí)庫(kù)中的方案進(jìn)行對(duì)比,查看自己開(kāi)發(fā)的方案是否全面、高效。

4總結(jié)

實(shí)驗(yàn)是教學(xué)過(guò)程中的重要環(huán)節(jié),是提高學(xué)生動(dòng)手能力的根本途徑;實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)和實(shí)驗(yàn)環(huán)境的構(gòu)建應(yīng)以滿足社會(huì)對(duì)人才工作能力的需求為目標(biāo),緊跟技術(shù)及其應(yīng)用的發(fā)展趨勢(shì),這樣才能培養(yǎng)出掌握最新技術(shù)、滿足社會(huì)需求的高質(zhì)量人才。本文探討了“惡意代碼及其防治技術(shù)”實(shí)驗(yàn)環(huán)境的構(gòu)建和實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)問(wèn)題。希望對(duì)兄弟院校的相應(yīng)工作能夠提供一定的參考。

參考文獻(xiàn):

[1] 高敏芬,賈春福. 信息安全專業(yè)實(shí)驗(yàn)教程[M].南開(kāi)大學(xué)出版社,2007.