控制端口(精选12篇)
控制端口 篇1
随着计算机网络技术的不断发展,很多高校都建立了更多的计算中心和网络专业实验室,用于计算机或网络技术专业教学。大多数高校的网络专业实验室中,采取的是基于分组实验的教学和管理模式,设备组合比较分散,这种模式并不能充分发挥教学和管理的效率。因此,如何提高教学效率和可管理性是一项值得研究的问题。
1 问题提出
提出的解决办法就是将整个实验室分成管理控制器和实验所用的网络设备两部分,由管理控制器实现对所有实验设备的控制和管理,学生在实验中心通过管理控制器远程登录到所用的实验设备上来完成相关实验操作。
2 问题实现
实现的思想:将实验室所有设备分成两部分,管理控制器和被控制设备。管理控制器可以使用路由器(如Cisco2620)加上异步模块或是一台具有内建异步串口的路由器实现,被控制设备即为其他学生实验用的设备。
现将所有的设备都固定在一到两个机柜上,管理控制器采用Cisco 2620路由器,通过一根异步一转八电缆连接到Cisco2620八合一异步串口上,电缆的另一头连接到其他实验设备的控制台端口上,拓扑图如图1所示。在管理控制器Cisco2620上使用IP host命令进行配置,配置过程如下:
上述配置中,192.168.0.1为控制台服务器的以太网接口地址,所有被控制设备都通过IP host命令完成映射,即在管理控制器上通过定义不同端口号将所有被控制设备的静态主机名映射到以太网接口IP 192.168.0.1上。如第一台路由器R1后面的1001就表示该路由器是在Cisco2620的1001号端口上。
通过此配置,学生不需要将配置线在被控制设备的console接口上反复插拔,很大程度上降低了console接口的损坏率,同时也很大程度上提高了工作效率。学生要做的全部工作就是从控制台服务器Telnet到其他设备。也可以从客户机电脑上直接通过telnet命令登录到被映射的设备上。例如,从配置终端PC机上telnet到192.168.0.1 2001,表示telnet客户端连接到2001端口即S1交换机,并不是向管理控制器的23号端口进行连接。
3 特性分析
(1)可操作性强
这种实验室模式,最大的特性就是在实验操作过程中,学生不需要对实验设备的console端口进行频繁插拔,而是从学生PC机上通过Telnet登录到控制服务器上的端口转到需要操作的网络设备进行实验。这样在方便学生实验、提高实验效率和秩序的同时,也有利于教师监督、管理学生的整个实验过程,同时也可大幅度降低因频繁插拔实验设备的console端口引起的设备端口损坏率。
(2)可扩展性强
教师根据需要,可以全方位地扩展实验室的功能。1)设备扩展。如果需要增加网络设备(如交换机、路由器),可以增加路由器异步模块和异步一转八电缆,再在管理控制器上通过IP host命令进行映射;2)多媒体功能扩展。在教师机PC上安装多媒体教学软件,实现屏幕广播、教师演示操作、文件分发等功能。3)服务扩展。可在实验室中安装一台FTP服务器,为学生提供文件的上传与下载,如作业的发布与提交。
4 安全性分析
以上方案不仅可以放在高校实验室,同时也可以应用在企业网络管理中。其实现的关键由Telnet完成,但网络上的任何Telnet通信都是没有加密的,网络中所传输的核心设备用户名和密码都是明文,因此,用户必须平衡其易用性和安全性。解决方法:(1)使用SSH取代telnet完成工作;(2)对所有实验设备设置控制台登录密码,即使非法用户获得了管理控制器的访问权限,也不能访问其他被控制设备;(3)对所有管理控制器的控制端口设置超时,如果连接断开,控制台将会在几秒钟之内注销登录信息。
5 结语
实验和应用结果表明,采用路由器上多设备控制端口访问功能,可极大地优化网络管理功能和教学服务功能,在实验室中结合多媒体功能、网络管理功能、网络安全功能等其它功能,可将传统分散型网络实验室转换成高效的整合型网络实验室。
参考文献
[1][美]cisco systems公司.天津大学,译.思科网络技术学院教程[M].北京:人民邮电出版社,2007.
[2][美]Mark Mc Gregor.CCNP.思科网络技术学院教程(第五学期)实验手册高级路由[M].何映霞,席军,译.北京:人民邮电出版社,2002.
[3]杨波.路由与交换实用技术[M].机械工业出版社,2010.
[4]斯桃枝.路由与交换[M].中国铁道出版社,2011.
[5]美国思科网络技术学院.CCNA安全(第2版)[M].北京:人民邮电出版社,2013.
控制端口 篇2
【勒索病毒文件恢复工具】勒索蠕虫病毒发生变种引关注。5月14日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
445端口,是一个毁誉参半的端口,他和139端口一起是IPC$入侵的主要通道。有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!。由于445端口属于一种TCP端口,你可以在对应“TCP端口”的设置项处,将“只允许”项选中,激活下面的“添加”按钮,单击该按钮,在其后打开的“添加筛选器”窗口中,将必须用到的几个服务端口号码,都添加进来,而将用不到的445端口号码排除在外,设置完毕后,单击“确定”按钮,就可以让设置生效了。
控制端口 篇3
文章介绍了IEEE802.1x这一基于以太网端口的用户访问控制协议的内容和特点,论述了采用以太网接入时在以太网交换机上实现用户认证的方法,并给出了一个宽带城域网应用的解决方案。
关键词:
宽带城域网;802.1x协议;认证
ABSTRACT:
ContentsandfeaturesoftheIEEE802.1xprotocol,asubscriberaccesscontrol
protocolbasedonEthernetports,areintroduced.Themethodofrealizingsubscriberauth
enticationovertheEthernetexchangeisdiscussedandasolutiontotheapplicationo
fbroadbandMANisalsoprovided.
KEYWORDS:
BroadbandMAN;Protocol802.1x;Authentication
目前中国各地宽带城域网的建设正如火如荼地进行,各电信运营商都在争夺宽带城域网这个未来电信竞争的制高点。从电信运营的角度来分析,目前的宽带城域网与传统的计算机网络领域MAN(城域网)的概念存在较大的差异。其中最显著的区别是,宽带城域网应该是一个可运营、可管理的城域电信网络,而不再是简单的免费开放的城域计算机网络平台。
可运营、可管理的宽带城域网的基础就是用户管理,没有用户管理能力的城域网平台,其业务的推广前景和赢利能力都值得怀疑。在目前大量采用的FTTx+LAN的建网方式中,采用BAS(宽带接入服务器)和PPPoE(基于以太网的点到点协议)认证方法实现对用户的管理是常见的思路(如图1所示)。
BAS是宽带接入服务器,它通常安装在端局的POP(接入点)节点,负责终结由用户PC机发起的PPPoE进程。在BAS的后面,连接了运营商的RADIUS(远端授权拨号上网用户服务)认证服务器和RADIUS计费服务器。但是,采用宽带接入服务器和PPPoE技术的用户管理方式也带来了如下问题:
(1)由于宽带接入服务器要终结大量的PPP会话,并转发IP数据包,使宽带接入服务器成为网络性能的巨大“瓶颈”。
(2)宽带接入服务器通常放置在端局的位置,其下是巨大的广播域,从用户安全角度考虑,需要通过VLAN(虚拟局域网)技术来实现用户的隔离,但是目前的设备只能支持最大4096个虚拟局域网,无法支持端局以下巨大的用户群体(虚拟局域网数超过4096个)。
(3)PPPoE+LAN的方式实现用户隔离,由于PPPoE的点到点特性,使城域网主要的业务方向——组播视频业务的开展受到极大地限制。
(4)由于宽带接入服务器是在通常数据网络设备之外额外增加的设备,采用BAS和PPPoE方式无形之中增加了城域网建设的投资。
有鉴于此,考虑采用一种基于以太网端口的用户访问控制技术,可以克服PPPoE方式带来的诸多问题,同时完成城域网中LAN接入的用户管理认证功能,避免引入宽带接入服务器所带来的巨大投资。
1基于以太网端口的用户访问控制技术
1.1技术介绍
基于以太网端口的用户管理认证技术通过3个部分的功能实体来实现(如图2所示)。
(1)用户PC上的客户端软件
输入用户ID(标识)和密码,实现认证的客户端主要功能。
(2)靠近用户侧的以太网交换机
在普通以太网交换机上进行扩展,实现远端授权拨号上网用户服务认证代理功能,并根据RADIUS服务器的认证结果,开放用户连接以太网业务端口的访问权限。
(3)RADIUS服务器
进行用户ID和密码的认证,并返回结果给以太网交换机。
初始状态下,与最终用户相连的以太网交换机(放置在楼道的交换机)的所有业务端口是关闭的,只有管理和认证的端口是开放的。用户通过客户端软件登录交换机,交换机将用户提供的ID和密码传送到后台的RADIUS服务器(可以在本地,也可以通过广域网设备连到远地)上,如果用户ID和密码认证通过,则以太网交换机相应的业务端口打开,允许用户访问城域网络。
通过这种基于L2(二层)以太网交换机的用户管理方法,可以使城域网整体的组网变得非常简单,通过L2以太网交换机和路由器两种设备即基本实现,可同时实现业务的集中控制(以RADIUS为核心的业务中心控制)和分散实现(靠近用户的以太网交换机实现),满足可运营、可管理宽带城域网的用户管理认证要求。
1.2IEEE802.1x协议
基于端口的网络访问控制技术,在传统以太网设备的基础上,采用IEEE802.1x协议提供对基于以太网端口点到点连接的用户进行认证、授权的能力,从而使以太网设备可以达到电信运营的要求,尤其在宽带城域网的建设中可以发挥重大的作用。
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
(1)协议简介
基于端口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接,网络层路由,Internet接入等业务)。
网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:
●认证者——对接入的用户/设备进行认证的端口;
●请求者——被认证的用户/设备;
●认证服务器——根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口,拒绝用户/设备的访问。
(2)以太网端口的受控和非受控接入
图3示意了受控端口的认证状态对访问的影响。认证者1(可能是以太网交换机的某个端口)的受控端口处于未授权状态,因此受控端口对连接在物理端口上的用户MAC(媒体访问控制)是关闭的,用户的帧无法通过受控端口访问网络资源;认证者2(以太网交换机的另一个端口)的受控端口已经授权,因此连接的端口是开放的,用户可以自由访问网络资源。
(3)受控和非受控端口在用户认证中的应用
图4示意了受控和非受控端口在认证过程中的应用。用户对网络资源的正常访问都是在认证、授权以后,通过受控端口进行的;而非受控的端口用于认证之前,传递认证所需的各种信息。认证者PAE根据认证过程的结果,改变受控端口的授权状态,从而实现对用户访问网络资源的限制。
(4)用户以太网端口认证流程
用户、以太网端口和认证服务器之间认证者(以太网端口)的受控端口处于未授权状态,用户/设备是无法享用认证者(以太网端口)提供的网络接入业务的。认证者PAE利用非受控的端口,通过EAPoL协议与请求者PAE进行认证信息交互,并采用EAP协议与认证服务器进行通信。认证者PAE根据认证服务器返回的认证结果,开放或关闭受控端口的授权,从而控制最终用户对网络的访问。
认证者PAE的作用相当于认证服务器的代理。它可以与认证服务器位于同一物理设备,也可以通过LAN、WAN与认证服务器进行本地和远程认证。
(5)IEEE802.1x的主要内容
端口访问控制的应用前提是在用户(请求者)和认证者(以太网端口)之间提供一条点到点的连接,这样使认证以端口的形式进行。
基于端口的网络访问控制定义了3方面内容:
●规定了请求者与认证者之间的认证信息通信协议;
●认证者与认证服务器之间的通信协议;
●根据协议交换的结果,控制认证者端口状态的机制。
由于以太网设备(认证者)只是RADIUS的认证代理,负责传递认证信息,并根据认证服务器给出的结果进行操作,并不参与其实际的认证。因此,以太网认证可采用多种灵活的机制(包括:SmartCard、Kerberos、PublicKeyEncryption、OneTimePassword等)。
(6)802.1x协议的特点
基于以太网端口认证的802.1x协议有如下特点:
●借用了在RAS系统中常用的EAP(扩展认证协议);
●可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;
●可以映射不同的用户认证等级到不同的VLAN;
●可以使交换端口和无线LAN具有安全的认证接入功能;
●微软的WindowsXP将支持802.1x用户认证方式。
2在宽带城域网中的应用
在目前宽带城域网的建设中,采用LAN接入是非常重要的方式。但是,来自于传统计算机网络的以太网本身是基于开放的网络系统,不能满足电信级宽带城域网对用户管理功能的要求,目前大量采用的宽带接入服务器和PPPoE方式还存在一些问题。而基于端口访问控制的技术可以实现用户设备在城域网边缘的分散用户控制和集中的认证管理;可以替代宽带接入服务器实现城域网范围内的用户管理功能。图5展示了采用基于以太网端口认证技术后的宽带接入网络结构。图5中采取的解决方案是中兴通讯提供的完整的基于以太网端口用户认证的宽带城域网LAN接入解决方案。图中ZXB10-S300为中兴通讯支持802.1x的以太网交换机设备,ZXR10-T32为中兴通讯的边缘路由器设备。
表1为采用以太网端口认证和采用宽带接入服务器+PPPoE方式两种解决方案的比较。从表中可以看出采用基于以太网端口用户管理的宽带接入解决方案在网络结构、网络性能、认证机制、计费方式等方面有其优势。
3结束语
基于以太网端口的用户认证管理技术通过简单的设备实现了可管理、可运营的宽带城域网所要求的用户管理功能,同时避免了目前所采用的用户管理认证方式带来的诸多问题,消除了宽带接入服务器设备带来的巨大性能“瓶颈”,节省了购置宽带接入服务设备所需的巨大投资,在城域网的建设中具有广阔的前景。
参考文献
1李勇.宽带城域网实用手册.北京:北京邮电大学出版社,2001
(收稿日期:2001-08-27)
作者简介
柏钢,东南大学毕业,博士。现工作于深圳市中兴通讯股份有限公司南京研究所,从事数据产品的系统设计工作。
蔡彤军,中南民族学院毕业。现工作于深圳市中兴通讯股份有限公司南京研究所,从事路由器产品的系统设计工作。
控制端口 篇4
(1)接口信号非常简单,与FIFO接口类似。
(2)多通道并行端口,灵活提供用户所需的通道。
1 帧缓存控制器的设计方案
本控制器可以实现对SDRAM存储器的多端口并行访问,该控制器不仅实现了对SDRAM存储器的操作,同时还为外部提供了简单的类似FIFO的接口,使得系统易于集成。多端口存储控制器的结构如图1所示。
多端口帧缓存存控制器主要由FIFO用户接口单元,FIFO仲裁器,全局仲裁器,刷新命令计时器,命令解释器和数据路径控制器等模块构成:
FIFO用户接口模块:系统使用FIFO用户接口完成数据的乒乓并行操作。这些FIFO用来缓存从通道外输入的图像数据信号,FIFO产生的控制信号如数据满,数据空等信号传送到FIFO仲裁器模块中。
FIFO仲裁器:在该模块中对FIFO传送来的控制信号进行分析,从而决定优先执行哪个FIFO通道的数据请求命令。FIFO仲裁器的仲裁结果输出到全局仲裁器中判决处理。
刷新命令计时器:该模块用于产生刷新信号。输出的刷新信号传送入全局仲裁器供其分析仲裁是否进行刷新操作。
全局仲裁器模块:全局仲裁器根据负责整个控制器操作状态的跳转,根据当前状态,命令解析器的操作反馈信号及FIFO仲裁器的状态产生下一时钟的操作状态,同时向后级命令解释器发出控制名令,该模块是整个帧缓存控制器的关键部分。
命令解释器:命令解释器负责对发来的命令字进行解析,最终产生用于控制SDRAM所需要的时序信号。
数据路径控制器:数据路径控制器用于对数据路径进行控制。数据路径控制器根据上级模块的输入来控制SDRAM数据总线上的信号(DQ数据)何时有效并防止总线读写操作之间可能产生的总线冲突。
上述模块中,全局仲裁器是设计的关键与难点,下面对这个模块进行详细的阐述。
2 多端口帧缓存控制器的关键模块的设计
2.1 全局仲裁模块的设计
全局仲裁器负责对整个控制器的工作状态进行控制,是本模块的核心模块。全局仲裁器根据负责整个控制器操作状态的跳转。在时域上看,图像处理系统中的图像数据都是从图像传感器以行为单位不间断输出到存储系统中,行与行之间的有一定的时间间隔,固定图像行组成一帧的图像数据。设计的帧缓存控制器针对图像数据的传输特点实现了对整行图像数据的读写操作,即控制器能实现整行图像数据的读操作和整行图像数据的写操作,这样的设计能提高系统的运行效率。全局仲裁器中包含的状态有:
刷新状态:由于在SDRAM有电期间,SDRAM芯片需要不断的进行刷新操作才能将数据保持下来,该状态就是用于产生刷新信号的。刷新信号首先由刷新计数模块产生的定时信号送到全局仲裁器中,在接下来的无读写操作时间段时由命令解析器产生刷新信号给SDRAM芯片。
WRITE状态:在WRITE状态,系统将根据SDRAM页模式写操作的时序来完成整行图像数据的写操作,即将写FIFO中的保存的图像数据写入到SDRAM芯片中。页模式写工作时序如图2所示:
根据上面的页模式写时序图可知要完成页模式写操作就需要执行多个命令,这里以整页读操作为例,假设应用的系统中一行图像数据由1024个图像点,该操作的整个流程如下图3所示:
要完成1024点图像数据的写入需要依次执行有3个操作,全局仲裁器向下级的命令解析器输出3个对应的命令,而对SDRAM芯片的具体操作则由命令解析器执行。这3个命令分别是:
1)激活命令:SDRAM的时序要求在对某行的中的数据进行读写操作时必须要对该行进行激活操作,只有行激活后,方可对该行进行操作。当进入到激活状态时,全局仲裁器向命令解析器发出激活命令及相应的地址信号。具体激活操作由命令解析器完成。
2)写数据命令:在写状态中全局仲裁器向命令解析器发出写命令。命令解析器负责具体的写操作。在向命令解析器发出写信号的同时,全局仲裁器还需要把具体的列地址输送给命令解析器。在页模式下,控制器只需要向SDRAM芯片输出一次地址信号即可,SDRAM芯片内部的列地址产生器会自动对当前地址加1,这样SDRAM会自动将所需要的长度的数据写到相应行的某个段内。从而解放了控制器,可以节省控制器的时序动作。
3)预充电命令:预充电操作是将打开的行进行关闭。完成一整行图像数据的操作。
全局仲裁器发出的命令信号统一由命令解析器执行。
2.2 命令解析器的设计
命令解析器负责对上级模块输入的命令进行解码,解码完成后,命令解析器执行解码命令。不同的命令执行的周期不同,从而模块必须根据命令产生相应的动作。例如:在整页读模式下,命令解析器在接收到来自全局仲裁发来的用于结束数据操作的预充电命令时,命令解析器根据SDRAM芯片的操作时序规范产生预充电名利。产生预充电操作的代码如下:
3 仿真与调试
在设计完各个模块后,在顶层建立整个模块,对该模块进行仿真,得到的仿真波形图如图4所示:
最后在signaltap II中对帧缓存控制器进行在线调试。产生的调试结果如图5所示:
4 结束语
本文针对图像处理系统中图像缓存模块的需求开发了一种多端口帧缓存SDRAM控制器,该控制器能够实现多个端口读写通道数据的并行操作。多端口帧缓存控制器能充分利用图像数据的存储特点来提高运行效率,还能借助FIFO传输特性消除使用SDRAM带来的接口复杂性。本控制器调试结果表明:设计的控制器满足需求的时序功能设计要求,设计的控制器具有一定的实用价值。
摘要:该文使用FPGA实现了一种多端口帧缓存控制器。该控制器具有FIFO接口特性,能完成多个通道的数据并行读写操作。此外,该文中还针对图像数据特点做了SDRAM控制器的操作优化,提高控制器的读写图像数据的效率。设计的控制器IP核能够十分方便的应用在图像处理系统中,应用前景光明。
关键词:FPGA,帧缓存,SDRAM控制器
参考文献
[1]张志刚.FPGA与SOPC设计教程—DE2实践[M].西安:西安电子科技大学出版社,2007.
[2]吴继华,王诚.Altera FPGA/CPLD设计(高级篇)[M].北京:人民邮电出版社,2005.
[3]夏宇闻.Verilog数字系统设计教程[M].北京:北京航空航天大学出版社,2003.
是否FTP验证端口决定传输端口 篇5
■将采用主动模式的FTP服务器进行身份验证的端口由21改为1000,不改变默认情况下传输数据的20端口,那么传输数据的端口仍然是20端口。
这个说法到底正确与否,我们用事实说话。用SERV-U建立了一个FTP站点并设置为主动模式,将默认的身份验证端口修改为1000,接着在网络出口的交换机上使用访问控制列表将服务器的21端口和20端口封锁掉,不让这两个端口传输数据。如果服务器仍然使用修改后的1000端口进行身份验证以及20端口传输数据的话,那么客户机登录FTP应该能够通过身份验证(要求输入用户名和密码),然后才出现无法登录的提示,
小提示:
FTP有两种传输模式,主动模式和被动模式。主动模式使用的身份验证端口是21,传输数据使用服务器的20端口;而被动模式则不同,它需要用户修改连接模式以适应服务器传输模式。虽然使用的身份验证端口也是服务器的21端口,但是在传输数据时所使用的端口是由客户端和服务器端协商而成的,端口号也是不固定的。
我们发现结果与预期的不同,客户机登录FTP后身份验证能正常通过,连接下来的数据传输也没有任何问题。事实表明FTP的验证端口与数据传输端口都应该没有被封锁,也就是说由于我们修改了默认的身份验证21端口,因此20端口也不再是数据传输的端口。
按照21与20端口相差1的关系猜测将身份验证端口修改为1000后,数据传输端口也应该是1000-1=999。接着在交换机上将999端口进行封锁,不容许任何数据包通过服务器的999端口。再次用客户机登录FTP服务器,身份验证能够通过,但FTP登录错误信息马上出现在客户机的屏幕上。这就说明999端口才是真正的数据传输端口。
带USB端口的插座壳 篇6
NET-A-PORTER的旅游指南告诉你半岛酒店周围有什么好玩
忙着与 YOOX 进行资本市场运作的 NET-A-PORTER 也没放弃其他合作机会。日前,其宣布将与半岛酒店联手,推出一系列经过深度定制的城市旅游指南。十名导游将深入巴黎、香港、上海、马尼拉、比佛利山庄和纽约等地,以当地半岛酒店为中心,在半径一英里的范围内,挖掘当地的购物、美食以及独特的旅游景点,并编撰成册。
以 NET-A-PORTER 编辑们和半岛酒店的品味,可以想象这些游玩贴士一定是主打奢华和舒适的旅行体验。在这个方面,LOUIS VUITTON 同样也有话语权,它们在 1998 年就开始发行《路易威登旅游指南》,目前已为旅行者们准备了 21 座城市的旅游指导,并且还在不断更新之中。
NET-A-PORTER的旅游指南告诉你半岛酒店周围有什么好玩
忙着与 YOOX 进行资本市场运作的 NET-A-PORTER 也没放弃其他合作机会。日前,其宣布将与半岛酒店联手,推出一系列经过深度定制的城市旅游指南。十名导游将深入巴黎、香港、上海、马尼拉、比佛利山庄和纽约等地,以当地半岛酒店为中心,在半径一英里的范围内,挖掘当地的购物、美食以及独特的旅游景点,并编撰成册。
以 NET-A-PORTER 编辑们和半岛酒店的品味,可以想象这些游玩贴士一定是主打奢华和舒适的旅行体验。在这个方面,LOUIS VUITTON 同样也有话语权,它们在 1998 年就开始发行《路易威登旅游指南》,目前已为旅行者们准备了 21 座城市的旅游指导,并且还在不断更新之中。
送披萨的蓝色机器人
,你将在英国街头看到驮着大箱子的蓝色机器人,它们正是达美乐旗下的无人送货车。这些小型运输工具配有 GPS 导航系统,可实时计算最短路程,尽快将客户的餐点送上门,而它具备加热保温功能的存货舱也更大,装载量为人工送货员的 4 倍,使得品牌可以大大减少人工消耗、降低成本。
Pure Cool把空气净化器做到了无叶风扇里
dyson 召开发布会公布新品 Pure Cool。具体来说,Pure Cool 的上半部分是我们非常熟悉的无叶风扇的样子(以白色主打款的 Pure Cool 和 AM07 几乎没有不同),而在传统旋转底座上把空气净化器的模块做了进去。dyson 当家的气流倍增技术(Air Amplifier)、高能效直流马达等在提供风扇功能的同时,也用来吸入空气和吹出净化后的空气,Pure Cool 还成为目前唯一一款具备摆动功能的空气净化器——相比绝大多数净化器垂直吸入和送风的设计,Pure Cool 的方案更利于将清洁空气均匀输送到整个空间。
索尼移动线下渠道全关闭,买Xperia只能到直营店和天猫
索尼移动开始关闭全国所有线下渠道,仅在索尼直营店进行销售,此外索尼的天猫店将承担起主要的销售任务,线上销售的产品与国际版硬件统一,软件同样经过了本地化。
控制端口 篇7
关键词:反弹端口,套接字编程,MFC,远程控制
1 背景
使用一般的主动连接服务器型的远程控制软件很容易被防火墙所阻止,而使用反弹端口技术,可以通过传统的端口轻松透过防火墙以及其他防病毒软件,尤其是通过一些特殊的端口,如网页浏览端口80,FTP端口23,Telnet端口21等,在这样的情况下,在windows客户机上通过反弹端口连接服务器,既能满足控制软件和服务器之间进行通信,也能满足控制软件在客户机上进行操作。
2 需求分析
设计一个通过反弹端口进行主动通信的客户端软件以及一个管理服务器,客户端软件根据服务器端指令对客户机进行控制及管理,这里只对一些常用操作进行管理。
3 软件设计
3.1 服务器端软件
服务器端软件主要是完成接收客户端发送的信息,同时能够提供人机交互界面,对客户端进行设置,主要流程如图1所示:
3.2 客户端软件
客户端软件需要通过反弹端口与服务器端进行通信,主动获取服务器端所发送的控制命令,依据控制命令进行相应的操作,对windows系统进行操作。主要流程如图2:
4 编码设计
根据服务器端的设计方案,首先要设计一个运行在反弹端口上的通信点,该方案使用常用的网页访问的端口80进行设计,由于HTTP协议在传输层使用的可靠连接的TCP协议,因此,在套接字开发过程中,可以通过创建TCP套接字,并绑定在80端口上,而且为了增强可复用性和编码的可读性,这里为套接字连接部分单独设计一个类进行编码设计,主要编码设计如下:
在人机交互方面,使用Microsoft Visual Studio 2010软件,这里使用C++语言的MFC方式进行界面的开发和设计,主要界面如图3所示:
对于人机交互响应部分,通过套接字类进行命令转换并发送相应信息,具体编码设计如下:
对于客户机,首先需要说明的是,为了尽量减少客户机对用户的其他操作的使用体验,客户机不做界面或者进行托盘化管理,这里可以使用如下设计完成这样的操作:
客户机要完成与服务器端进行主动通信,首先是要访问服务器端的反弹端口,也与服务器端类似,使用相应的可靠的TCP连接的套接字编程的方式进行通信,主要代码如下:
5 测试与运行
测试时,分为如下步骤:
1)进行反弹端口通信测试,在通信过程中,观察Windows防火墙是否阻止通信过程。
2)进行软件操作测试,通过在服务器端设置客户端控制操作,测试控制命令能够正常发送至客户端,客户端能够正常响应并处理正确指令。
6结束语
存在的主要问题及进一步改进的方案
服务器端压力问题,客户端增加后,服务器端压力明显增加;
软件冲突问题,客户端虽然能够透过防火墙,但是与一些杀毒软件有所冲突,部分杀毒软件对其他软件的判定标准是通过软件行为来判定,一旦软件调用关键Windows API时,杀毒软件会判定病毒。
改进方案:
可以考虑对服务器端使用网站服务器或者排队缓冲软件,对多个连接进行管理,缓冲服务器端压力。
参考文献
[1]张友生,米安然.计算机病毒与木马程序剖析[M].北京:清华大学出版社,2003.
[2]郑莉,董渊.C++语言程序设计[M].2版.北京:清华大学出版社,2001.
[3]陈明.实用软件工程基础[M].北京:清华大学出版社,2002.
[4]陈坚,陈伟.Visual c++网络高级编程[M].北京:人民邮电出版社,2001.
[5]李光明.Visual c++6.0经典实例大制作[M].北京:中国人事出版社,2000.
控制端口 篇8
当前网络运营商不断提出各种宽带用户终端接入数量的限制, 本文主要从技术的角度来研究局域网用户接入数量的分析和研究, 以CISCO3560交换机为例, 研究和分析基于MAC地址的主机访问控制。
如果交换机端口下连接的是一台主机时的端口安全设置方法, 即只有指定的主机才能访问网络, 其它的主机 (以MAC地址为唯一标识) 是无法通过CIS-CO的这个端口访问网络。
3560#conf t
Enter configuration commands one per line.End with CNTL/Z.
3560 (config) #inter fa0/10
3560 (config-if) #switchport port-security
3560 (config-if) #switchport port-security maximum 1
3560 (config-if) #switchport port-security mac-address 3232.3251.2326
这种措施虽然有效, 可以准确的对相应MAC地址的主机进行访问控制, 但是却有一定的局限性, 具体表现为CISCO3560交换机的很多端口下面是连接有交换机, 而且还是普通的二层交换机, 这也就相当于一个端口下面有多台主机通过, 针对这种情况如何实现只有指定的MAC地址的主机才能通过呢。我主要尝试了两种办法。
1、通过限制连接主机的数量, 还是通过端口安全的相关命令来实现, 但是发现效果不理想, 只是实现了限制连接主机数量的操作, 我通过一系列的实验终于得到了一个结论, 多数情况下CISCO3560的端口下面连接了二层交换机, 以前我们使用采用的端口安全措施就不怎么有效了, 无法实现只有指定的主机的MAC地址才能通过, 最多只能限制端口中通过的MAC地址数量的上限, 比如我们最大允许10台主机通过CISCO3560交换机的第10端口, 操作步骤如下:
查看端口10的当前配置如下
这样的设置也是属于端口安全的一种, 只不过以上的操作是通过限制通过的主机数量来保护端口的带宽, 这在我们的工作实际中倒是也是这样的需要, 比如我们开通了一个单位的互联网用户, 采用包月制, 这样就需要限制这个单位同时上网的主机数量, 比如不能超过25台, 就可以通过设置这样设置“maximum”的值为“25”来实现。这种措施是有效的, 但是距离我们的要求还有一定的距离, 我们还是想实现即使是CISCO3560端口下面连接了一台普遍的二层交换机, 也可以达到只有指定的MAC地址的主机 (若干台主机) 才可以访问网络的目的。
2、基于MAC地址的ACL来实现
为了实现第一种方法中存在的问题这种目标, 我们转换了思路, 探索通过基于MAC地址的ACL (访问控制列表) , 结果发现这种方法是行之有效的。通过这种方式, 网络结构是相同的, 只不过思想更换为通过ACL来实现, 我们以前设置的ACL多是基于IP地址, 对于基于MAC的ACL设置较少, 其实这两类ACL的设置思路是一致的, 步骤如下。
(一) 定义一个MAC地址访问控制列表并且命名该列表名为mac0605
#Switch (config) mac access-list extended mac0605
(二) 定义MAC地址为3232.3251.2326的主机可以访问任意主机
#Switch (config) permit host 3232.3251.2326 any
#Switch (config) permit any host 3232.3251.2326
(三) 进入配置具体端口模式
#Switch (config) interface fa0/10
(四) 在该端口上应用名为mac0605的访问列表
#Switch (config) mac access-group mac0605 in
(五) 显示配置结果
以上方法当中在进行实际测试时发现了一个很有趣的现象, 仔细对这个现象进行分析, 也进一步加深了我对CISCO交换机工作原理的理解。我们写好了基于MAC的ACL, 如何来做测试, 有两套方案, 一套是将cisco3560交换机第十端口上连接一台主机, 将其MAC地址修改为3232.3251.2326, 该主机可以正常访问网络 (利用带t参数的ping命令来测试) , 更改为主机的MAC地址为其它值后ping命令显示的结果马上就中断了, 说明基于MAC的ACL是有效的。但是我们还通过另外一套方案进行了测试, 即保持主机的MAC地址不变, 通过修改ACL中permit的MAC的值来测试 (如先no掉permit host 3232.3251.2326 any, 再写入一条permit host 3232.3251.2326 any) , 这时就不是马上不通了, 而是会是一个10分钟左右的时延。
为什么会出现这个现象, 因为交换机中MAC表有一个老化时间, 由于我们这次是采取的在ACL中修改MAC值来指定, 那么ACL中的值与实际交换机检测到端口所连接的主机MAC地址不一致有一个时间差, 在这个时间差之内那台主机还是可以访问网络的, 过了这个时间, 就无法访问网络了。
参考文献
[1]张文婷.局域网常见问题的处理及优化[J].电子制作.2013 (20)
[2]穆尼拉.塔西买买提.浅析医院局域网管理与维护[J].河南科技.2010 (10)
[3]陈远燕.浅谈如何保证计算机局域网的管理与安全[J].中国科教创新导刊.2009 (14)
控制端口 篇9
FPSO (Floating Production Storage and Offload-ing) 是海洋原油开采作业的重要装置, 被称为"海上石油工厂"。它集生产处理、储存外输及生活、动力供应于一体。而FPSO的艉部外输系统则是FPSO海上原油外输作业的主要设备集成, 它主要包括货油泵、外输总管、氮气吹扫管系、洗舱管线、惰气管线支管、外输计量装置、艉部外输端口、外输软管等。该系统对于FPSO海上原油外输作业起着关键性作用。
按照使用特点分类, 目前中国海域内FPSO的艉部外输系统中的外输端口主要采用滚筒式外输端口和悬挂式外输端口两种, 而与之匹配使用的外输软管也分为两种, 一种为额定弯曲半径较小、弯曲强度较高的双层软管 (Double Carcass Hose) , 另一种则是额定弯曲半径相对较大、弯曲强度相对较低的单层软管 (Single Carcass Hose) 。两种端口及软管图示如下:
从外观上, 我们可以直观地看出FPSO的艉部滚筒式外输端口和悬挂式外输端口这两种外输端口的差别。那么, 究竟该如何选择一个合适的艉部外输端口呢?
2.0两种端口的差异分析
在FPSO的ODP阶段, 设计人员会对其所在服役的油田环境进行调研和系统分析, 并充分考虑其安全性、可操作性、经济性等各项因素之后, 最终确认采用何种艉部外输端口。
同样, 如果需要对滚筒式外输端口和悬挂式外输端口进行差异性分析, 我们也需要从各个方面进行考量。为方便理解和对比, 本文将影响端口选择的因素分为内部因素和外部因素两种:
内部因素:指设备本身的特性因素。主要包括设备经济成本、技术成熟度、可操作性、设备安全性等。
外部因素:则指设备本身之外的特性因素。主要包括与设备配套的外输软管性能、设备使用环境等。
总结出上述两类因素后, 我们可以依照各项指标来分析滚筒式外输端口和悬挂式外输端口的差异性。
2.1内部因素
(1) 经济成本
滚筒式:对于FPSO而言, 滚筒式外输端口需要额外购买滚筒设备, 同时匹配相应的液压系统和绞车。通常这样整套的设备总价在150万美元左右。此外, 滚筒式使用的双层外输软管每根价格比单层外输软管价格贵1-2万美元。即:使用滚筒式端口要比使用悬挂式端口的设备成本高出近200万美元。
悬挂式:不需要额外购买滚筒式的大型设备, 单层外输软管即可适用。
(2) 技术成熟度
滚筒式:技术成熟度高, 设备较为复杂。由于外输作业时需要收放软管, 因此对滚筒式端口匹配的液压系统和绞车质量以及相应的作业操作要求较高。渤海海域和南海西部海域多家作业者的长期使用证明了滚筒式端口设备的可靠性, 但也有某些因为操作原因或设备故障导致的问题出现。
悬挂式:技术成熟度高, 且设备简单。2008年以前投产的南海东部海域FPSO均采取此外输端口方式, 同样有着长期安全无故障使用的可靠性。
(3) 可操作性
滚筒式:设备体积庞大, 操作较为复杂, 需要配合相应的液压系统和绞车完成外输软管收放作业, 作业操作要求较高。
悬挂式:无需外输软管收放作业, 操作便捷。
(4) 设备安全性
滚筒式:由于滚筒式设备较为复杂, 同时需要配套的液压系统和绞车配合使用, 对操作要求较高, 此外设备检查手段也比较复杂, 因此设备安全性相对较低。
悬挂式:设备简单, 方便检查。设备安全性相对较高。
2.2外部因素
(1) 配套外输软管性能
滚筒式:滚筒式端口的外输系统中, 外输软管需要盘绕在滚筒上, 因此它所配套使用的外输软管一般为额定弯曲半径较小、弯曲强度较高的双层软管。双层软管在溢油预警和保护、保温方面有着一定的优势。另外, 滚筒和软管之间需要配套使用快速释放阀 (Quick Release Coupling) 以确保整套系统的安全性。但由于外输软管长时间在滚筒上受到挤压, 常常会发生外观变形的情况, 甚至有可能会引起脱胶进而影响软管漂浮性能。
悬挂式:对外输软管的性能要求相对较低, 通常采用弯曲半径相对较大、弯曲强度相对较低、制造工艺更为成熟的单层软管。无论外输与否, 外输软管始终都漂浮在海面上。此外, 单层软管在使用中需要配套使用破断阀 (Breakaway Coupling) , 以防止潜在的溢油风险。悬挂式的优点在于软管不需要频繁地收放, 不会受到类似于滚筒式的挤压。但悬挂式端口通常所使用的单层软管在溢油预警和保护、保温方面不如双层软管。
(2) 使用环境
滚筒式:根据滚筒式端口的外输系统和滚筒配套使用的双层软管的特性, 可以知道滚筒式的优点在于可以有效地避免台风天气、恶劣海况以及过往船只对软管造成的影响。滚筒式端口外输系统一般常见于渤海海域和南海西部的FPSO。
悬挂式:悬挂式端口的外输系统常见于中国南方的外海油田, 比如南海东部海域。由于海上油田所在的海域开阔, 海温合适, 过往船只较少, 除了台风的影响以外, 软管使用环境相对较好。面临台风天气时, 整组软管需要从海上解脱拉回锚地避台, 待到台风过后, 又需将软管拉回油田。
2.3差异性分析 (右图)
3.0结论
交换机端口损坏闹故障 篇10
故障现象
近日某专线单位分支机构A网络出现不通。得知网络故障后, 我们随即进行排查。首先大致了解下网络拓扑结构, 该单位主要传输视频业务, 视频监控VLAN是534, 互联VLAN是520, 视频资料主要存储在分支机构, 总部通过vlan520进行路由调看, 具体的网络拓扑结构如图1所示。
故障分析
通过图1我们可以看到设备的组网结构, 首先在总部交换机上对分支机构A执行Ping命令, 结果不通。然后在连接该机构的OLT上设置VLAN534的地址, 对总部进行Ping测试没有问题, 而Ping分支机构A依然是不通, 而且在OLT上查看和分支机构A端口的MAC地址, 没有发现VLAN534和VLAN520的MAC地址, 而是VLAN1的地址。这样就可以基本断定故障点在分支机构A处。
故障解决
在分支机构A处我们对光链路进行了测量、光模块打环等操作, 均没有发现异常。然后仔细检查了配置, 也没有发现问题。既然光路和传输媒介都没有问题, 那么就只有端口了。重新配置了一个新的端口后, 网络恢复正常。
故障总结
亚欧大陆网的青岛端口 篇11
永不停歇的交通线开辟
贸易是人类伟大的行为,它互通有无,让各国人民共享物质繁荣。人类一直在开辟开辟再开辟,航线、铁道与公路网一直是多多益善,地球村此段与彼端在不断靠近。
这不,近代有了主要在俄罗斯境内的第一欧亚大陆桥,20年前又开辟了主要在中国境内的第二欧亚大陆桥;有了连云港作中转站,又开辟青岛港。找寻最快捷的路径,最省成本的线路,永远是商品贸易的追求。青岛欧亚大陆桥的来龙去脉,也可看作这样的追逐之一。
2003年,時任中远集装箱运输公司青岛分部负责人的姜立民,出差连云港,特地抽出一天时间考察了港口风采。那时,他已有让青岛港在过境贸易方面赶超连云港的想法。
连云港,一直是欧亚大陆桥的东方桥头堡,从连云港至阿拉山口出境路程,比从青岛出发缩短了200多公里,成本优势不言而喻。但是,青岛港当时已成为北方国际大港,航线遍及100多个国家和地区,船舶密度大,港口作业条件好,这些,连云港又自叹不如。
凭借各自的优势,两港暗暗较劲。
2004年年初,韩国西中物流公司来中国考察,想为其最大的客户——韩国大宇汽车CKD货物寻找转运口岸。姜立民得知了这个消息后,硬是将已经奔赴连云港和天津考察的西中物流公司柳会长拉到了青岛,坐上了谈判桌。
会谈伊始,柳会长对当时青岛港以及在陆桥运输业界还名不见经传的青岛中远货运存怀疑态度,一个劲儿向中远公司提出他的各种担心:集装箱要从黄岛过驳到老港区,如果天气原因赶不上发运怎么办?青岛以往发阿拉山口的货流较少,如果发车计划不能落实怎么办?货物发出去后,在运输途中发生解编或边境口岸拥堵问题怎么办?面对柳会长的质疑,中远公司提出了全套的物流解决方案和应急措施,让他逐渐释怀。
最后的难点还是落在了价格谈判上。柳会长熟知连云港和天津港的费用,单刀直入地提出了他的价格预期,可是由于青岛运距长而产生的运费差是弥补不了的,最终,柳会长被中远公司的合作诚意所感动,主动提出双方共担损失,共同开辟青岛新路径。
2004年4月28日是青岛大陆桥发展史上值得铭记的日子。随着一声汽笛的鸣响,承载着韩国大宇汽车CKD等货物的列车奔向祖国的边陲口岸,该列车的开通,为韩国企业提供了便捷物流通道,也极大带动了青岛市及周边地区发展,甚至辐射了铁路沿线地区繁荣。
丝绸之路:古长安,今青岛
公元前139年,张骞率领一百多人,浩浩荡荡从陇西出发,中途在祁连山遭匈奴俘虏。被软禁十年后,张骞逃出匈奴的控制,取道车师国,沿塔里木河西行,经龟兹国、疏勒国,翻越葱岭,到达大宛,这里,离他们出发地有6000公里之遥。他们看到了汗血马,大宛国王欢迎中国的使节,中国使节送上丝绸。这条道被后世称为丝绸之路。
两千多年过去了,空运和海运的蓬勃发展,并未完全取代陆上运输。而今,一条大致上沿着古代丝绸之路蜿蜒前行的铁路线依然在中国、哈萨克斯坦和俄罗斯境内浩荡行驶,列车上装的不再是丝绸,而是冷冻鸡肉。
在青岛市政府和中远公司的努力下,青岛被嵌入新欧亚大陆桥的线路中,成为一个新的关键节点。可是,最初从这个节点运往中亚的货物,只限于韩国。日本、美洲、东南亚地区的商品运输市场仍是空白。
市场潜在需求是庞大的,青岛往阿拉山口的列车不缺生意,因为处于地方宗教习俗,中亚地区是一个庞大的鸡肉消费市场,市场需求量大且稳定,他们进口鸡肉,传统上是经过波罗的海的里加港口转运,运输成本高,运输时间长,限制了贸易的发展。随着青岛至中亚地区海铁联运通道的开通,哈萨克斯坦鸡肉进口商随即提出了改道中国大陆桥运输,由青岛口岸上桥的方案。
中远集团设计新的运输方案,仔细核算物流成本,敲定了冻鸡配装冷冻集装箱由中远集装箱船自美国运输至青岛,拆箱后装入中国段机械保温车,再由阿拉山口口岸换装至哈方冷藏车的全程物流方案。这样,运输时间大大缩短,运输成本大大降低,成为中国大陆桥运输冷冻货物的首个成功案例,大大丰富了中国大陆桥的运输内涵。
时至今天,不论哈萨克斯坦,还是吉尔吉斯斯坦,乃至整个中亚地区消费的冷冻鸡肉,都可经过青岛大陆桥运输。随着中亚地区经济的繁荣,市场购买力的提升,这条为中亚地区架设的方便、快捷、经济的冷冻货物运输通道极大地丰富了百姓的饭桌,也拉动了青岛大陆桥的跨越式发展。
连云港与青岛港
城市在你争我夺之中相互赶超。作为第二欧亚大陆桥的传统东端港口,连云港的地位企稳了20年。不过遗憾的是,这个城市并未借此坐大,反而被青岛等城市后来居上。
港口竞争有如大海波涛一样你追我逐,如今青岛在新时代丝绸之路上的地位,已经隐隐有龙头风范。
“随着青岛大陆桥运输不断发展,尽管铁路发送到达量大幅攀升,但两点一线的物流运输已不能满足贸易发展的需求,如何勾画大物流格局的问题摆在了我们面前。”姜立民回忆青岛港初嵌入大陆桥时追求进一步拓展的心态。
从东亚往中亚发货的列车已经满载,但从中亚往东亚却仍然空空如也。市场是不缺的,中亚地区拥有丰富的矿产资源、农产资源,其中铁合金储量居世界第二位,仅次于南非;球团矿产量也居世界前列;丰富的石油资源更为各国所窥视。农业方面,哈萨克斯坦北部是优质小麦产区,乌兹别克斯坦的棉花与美棉并列为优良棉纺原材料。能否将这些资源经青岛作为出海口,运至全世界?
2003年中远代表团出访哈萨克斯坦时,拜访了哈萨克斯坦国家铁合金公司。该公司是哈萨克斯坦政府投资建设的世界第二大铁合金公司,他们的客户主要面向日韩等远东市场,当时他们的铁合金运输,主要通过波罗的海的克莱佩达港口海运至日韩港口,物流运输成本高,运输时间长。在听了姜立民对于青岛大陆桥通道建设的介绍后,客户非常感兴趣,提出共同探索铁合金经青岛大陆桥运输的合作意向。
从2004年开始,中远在青岛建立起铁合金集散加工中心,使客户逐步摒弃了波罗的海的转运路线,将铁合金出海口放在了青岛口岸。这一举动,也赢得韩国浦项制铁、日新钢铁等下游客户的肯定。物流运输质量和实效性不断提升,最高年过货量达到了40多万吨。
经过近10年的发展,青岛已经追赶上连云港的发展步伐,与其共同担负着东亚、美洲过境往中亚、欧洲的货物运输。
(讲述人姜立民,时任青岛中远国际货运有限公司总经理兼中远集装箱运输有限公司青岛分部总经理。)
利用SSH实现多种端口转发 篇12
关键词:SSH,端口,转发
1 概述
当使用SSH协议进行通信时, SSH协议会对所有SSH客户端与服务端之间的网络数据进行自动加解密, 从而实现安全通信。但使用者往往忽视了SSH协议的端口转发功能, 在端口转发模式下, 其他TCP端口的数据可以转由SSH链接自动进行加解密转发, 从而为其他TCP链接如Telnet、SMTP、LDAP提供安全加密传输通道, 避免了一些明文传输敏感信息泄露。如果其他网络端口被限制访问, 但SSH端口没有被限制, 也可以通过SSH端口转发进行TCP连接, 因此利用SSH端口转发不仅能够加密SSH客户端和服务器端的数据通信, 也可以解决由于防火墙限制而无法建立TCP连接的问题。
2 端口转发示例
假设有一台LDAP服务器只为本地应用提供访问服务, 如果需要临时从远程客户端连接到这台服务器, 就可以使用本地端口转发实现, 在远程客户端执行如下命令即可建立一个SSH本地端口转发。
上述命令假设服务器ip为172.16.100.123, 本地监听端口为8100, 此时即可将远程客户端的应用直接配置至本机8100端口, 实际通信过程如下。
远程客户端将数据发送至自己的8100端口, 而SSH客户端将8100端口接收的数据进行加密后转发至服务器SSH服务端, 服务器端的SSH服务端解密数据并将其转发至监听的389标准LDAP监听端口, 从服务器端相应的数据沿原路以相反流程传输。整个流程中客户端直接连接本地监听端口, 转由SSH端口转发完成加密、转发、解密的通信过程, 并没有直接连接服务器端。
由于整个端口转发通信过程基于SSH连接, 因此必须保持SSH连接以使端口转发生效, 如果SSH连接断开, 显而易见, 整个通信链路也随之失效。另外只能在创建SSH连接时同时建立端口转发, 对已经存在的SSH连接无法额外创建端口转发。另外还可以使用SSH提供的Gateway Ports关键字将已经创建的本地端口转发共享给其他客户端。
上面讨论了SSH的本地端口转发, 假如由于防火墙的原因不能使用SSH直接从客户端连接到服务器, 但允许服务器到客户端的反向SSH连接, 那么可以使用远程端口转发。假设通信拓扑如上例, 那么在服务器端可执行如下命令。
上述命令假设客户端ip为172.16.100.234, 客户机监听端口为8100。实际通信如下。
客户端数据发送至自己的8100端口, 本机SSH服务端加密8100端口接收的数据后转发至服务器端SSH客户端, SSH客户端接收数据并解密, 然后将其转发至监听的389标准LDAP监听端口, 最后将服务器端的响应数据沿原路以相反流程传输。
如何区分本地转发及远程转发?首先要明确SSH端口转发需要在SSH连接的基础上实现应用连接, SSH连接及应用连接都是有方向性的, 如果SSH连接和应用连接方向一致则是本地转发, 反之则是远程转发。
3 其他类型转发示例
例如在公共的不安全的网络环境中, 可以使用SSH动态转发对网页浏览进行保护。如下面的动态转发命令格式。
假设8100为本地对外访问的端口号, 12.34.56.78为我们有权限进行连接的远程SSH服务器, 上述命令利用SSH创建了SOCKS代理服务, 我们可以在浏览器上将localhost:8100设置为正常的SOCKS代理使用。在SSH客户端和SSH服务器端的通信获得了加解密保护, 但要注意SSH协议也仅能对此段连接进行保护, 对SSH服务器端到目标网站的连接是无法保证安全的。
例如系统管理员经常会远程登录到如Linux、Unix、Solaris等服务器上并在其上以GUI方式进行程序开发或维护, 一般可以使用VNC协议及其工具, 本文讨论使用SSH结合XWindow实现X协议转发的方法。
使用XWindows需要X客户端及X服务器端, 如上文所述, X客户端即为远程Linux、Unix、Solaris服务器, X服务器端则是发起访问的本地机器, 一般正常情况下, 将X客户端的X窗口显示在X服务器端需要在X客户端指定X服务器端的位置, 如下列命令所示, 然后直接运行X应用即可。
如果远程服务器前端增加了防火墙并且不允许X协议通过, 此时可以使用SSH端口转发解决, 可在本地机器即X服务器端发起如下列命令所示的SSH连接, 在创建SSH连接的同时建立X转发并对X通讯数据进行加密。
连接建立后即可运行远程X应用, 建议不要改变建立X转发时系统自动设置的DISPLAY环境变量如localhost:10.0, 假如本地机器为Windows, 可以选择XMing作为X服务器端, SSH客户端可以选择如Pu TTY、Cygwin均可。
4 结语
本文讨论了利用SSH实现本地端口转发、远程端口转发、动态端口转发及X转发, 基本原理为在SSH连接基础上转发TCP连接以解决数据加密和突破限制。每种端口转发适合于不同的应用场景, 对于周知端口的应用可以使用本地或远程端口转发, 如果需要实现SOCKS代理加密则可以使用动态端口转发, 对于X应用显而易见可以使用X转发, 读者可以根据实际情况做不同的尝试。
参考文献