不错的。如何将两个好技术共用但又使它们相安无事,是很多人正在思考的问题。
网络安全IPsec(IP Security)和网络地址转换NAT(Net Address Translation)应用已经十分广泛了,但是要使它们运行在一起,却不是一件容易的事。从IP的角度来看,NAT对IP的低层进行了修改,对IP是一种背叛;而从应用的角度来看,网络管理人员必须要处理网络地址的问题,NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来,是一种好的工具,现在,无论是大企业还是中小企业都在使用它。与NAT类似,IPsec也是一种好工具,它使用户可以安全地通过Internet联接到远程终端。然而,由于IPsec协议架构本身以及缺乏支持IPsec的NAT设备,当IPsec和NAT在一起运行时就会出现很多问题。解决这些问题最简单的办法,就是再增加一个路由器来运行NAT和虚拟专用网VPN。可是,对于多数情况来说并没有多余的路由器来执行这一功能,因此,要解决两者共存的问题,就必须对IPsec和NAT 有一定的了解。
NAT的基本原理和类型
NAT能解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址,发往下一级,这意味着给处理器带来了一定的负担。但对于一般的网络来说,这种负担是微不足道的。
NAT有三种类型:静态NAT、动态地址NAT、网络地址端口转换NAPT。其中静态NAT 设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT 方案各有利弊。
动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。
网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
在Internet中使用NAPT时,所有不同的TCP和UDP信息流看起来好像来源于同一个IP 地址。这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet,虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用NAPT还是很值得的。(如图示)
IPsec的工作模式
IPsec是一个能在Internet上保证通道安全的开放标准。在不同的国度中,跨国企业面临不同的密码长度进出口限制。IPSec能使网络用户和开发商采用各自不同的加密算法和关键字长,从而解决令跨国机构头痛的安全问题。
IPsec生成一个标准平台,来开发安全网络和两台机器之间的电子隧道。通过IPsec的安全隧道,在数据包可以传送的网络中生成像电路那样的连接。IPsec在远地用户之间和在本地网中生成这样的隧道,它也把每个数据包包封在一个新的包中,该新包包含了建立、维持和不再需要时拆掉隧道所必需的信息。
经常利用IPsec来确保数据网络的安全。通过使用数字证明和自动认证设备,来验证两个来回发送信息的用户身份。对需要在很多设备之间安全连接的大型网络中确保数据安全,IPsec是一个理想的方法。
部署了IPsec的用户能确保其网络基础设施的安全,而不会影响各台计算机上的应用程序。此套协议是用作对网络基础设施的纯软件升级。这既允许实现安全性,又没有花什么钱对每台计算机进行改造。最重要的是,IPsec允许不同的网络设备、PC机和其他计算系统之间实现互通。
IPsec有两种模式—─传输模式和隧道模式。传输模式只对IP分组应用IPsec协议,对IP 报头不进行任何修改,它只能应用于主机对主机的IPsec虚拟专用网VPN中。隧道模式中IPsec
将原有的IP分组封装成带有新的IP报头的IPsec分组,这样原有的IP分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。
IPsec协议中有两点是我们所关心的:鉴定报头AH(Authentication Header)和封装安全载荷ESP(Encapsulation Security Payload)。
鉴定报头AH可与很多各不相同的算法一起工作。AH应用得很少,它要校验源地址和目的地址这些标明发送设备的字段是否在路由过程中被改变过,如果校验没通过,分组就会被抛弃。通过这种方式AH就为数据的完整性和原始性提供了鉴定。
封装安全载荷(ESP)信头提供集成功能和IP数据的可靠性。集成保证了数据没有被恶意网客破坏,可靠性保证使用密码技术的安全。对IPv4和IPv6,ESP信头都列在其它IP信头后面。注意两种可选择的IP信头,段到段信头在每个段被路由器等立即系统处理,而终端信头只被接收端处理。ESP编码只有在不被任何IP信头扰乱的情况下才能正确发送包。ESP协议非常灵活,可以在两种加密算法下工作。建立IPSec的两个或者更多系统之间可以使用其他转换方式。现在,可选择算法包括Triple-DES、RC5、IDEA、CAST、BLOWFISH和RC4。
NAT和IPsec之间的“矛盾”
NAT和AH IPsec无法一起运行,因为根据定义,NAT会改变IP分组的IP地址,而IP分组的任何改变都会被AH标识所破坏。当两个IPsec边界点之间采用了NAPT功能但没有设置IPsec流量处理的时候,IPsec和NAT同样无法协同工作;另外,在传输模式下,ESP IPsec
不能和NAPT一起工作,因为在这种传输模式下,端口号受到ESP的保护,端口号的任何改变都会被认为是破坏。在隧道模式的ESP情况下,TCP/UDP报头是不可见的,因此不能被用于进行内外地址的转换,而此时静态NAT和ESP IPsec可以一起工作,因为只有IP地址要进行转换,对高层协议没有影响。
解决争端,和平共处
为了解决ESP IPsec和NAPT共用的问题,设备生产商提出了多种解决方法。简单的办法是专门用一个工作站来运行IKE,以处理所有的IPsec分组,但这样只允许一个IPsec VPN通过NAPT。客户端可以一开始通过端口号500传送数据进行协商,将所有进入到NAPT设备的IPsec分组传送到指定的主机,同时使NAPT设备将所需的IPsec数据送回到客户端。为了使NAPT正常工作,必须保证内部网络和外部网络之间转换的源端口号是惟一的。因此,我们可以使用IKE来进行协商,IKE采用UDP的500端口,所以不需要任何的特殊处理。为了在两个主机之间传送IPsec流量,我们需要使用SPI。每个SA都有SPI,在VPN安装过程中进行IKE 协商时,它们互相交换SPI。NAPT设备将这一对SPI数字映射到NAT内的相关的VPN终端。
IPsec 客户端选择的SPI要映射到一个内部IP地址,因为NAPT设备要通过它来确定将流入的流量传送到哪里。
几点值得注意:1〃这种解决争端的方法只适用于位于NAPT设备之外的IPsec 客户端来初始化IPsec VPN;2〃必须要设置IPsec网关,用NAPT网关给出的某个IP地址进行IKE协商。ESP用SPI、目的地址和协议号来查找IPsec分组所属的SA,因为IPsec网关只是通过NAPT 地址来确定IPsec客户端,它必须使用这个地址进行协商;3〃许多IKE鉴定是通过IP地址相关的预先设定或者与密码来进行处理的,因此必须设置IPsec网关与NAPT IP地址之间的协商。
[url=https://www.doczj.com/doc/6b9557542.html,/web/host.php][/url] 刚接触这两个配置时很迷糊,全部开启或全部注释没有几多变化。今天搜索到这么一篇讲得还不错的文章,看了几篇,还是不能完全记住,做一个收藏。 空闲子进程:是指没有正在处理请求的子进程。 1、prefork.c模块(一个非线程型的、预派生的MPM) prefork MPM 使用多个子进程,每个子进程只有一个线程。每个进程在某个确定的时间只能维持一个连接。在大多数平台上,Prefork MPM在效率上要比Worker MPM要高,但是内存使用大得多。prefork的无线程设计在某些情况下将比worker更有优势:他能够使用那些没有处理好线程安全的第三方模块,并且对于那些线程调试困难的平台而言,他也更容易调试一些。 ServerLimit 20000 StartServers 5 MinSpareServers 5 MaxSpareServers 10 MaxClients 1000 MaxRequestsPerChild 0 ServerLimit 2000 //默认的MaxClient最大是256个线程,假如想配置更大的值,就的加上ServerLimit这个参数。20000是ServerLimit这个参数的最大值。假如需要更大,则必须编译apache,此前都是无需重新编译Apache。 生效前提:必须放在其他指令的前面 StartServers 5 //指定服务器启动时建立的子进程数量,prefork默认为5。 MinSpareServers 5 //指定空闲子进程的最小数量,默认为5。假如当前空闲子进程数少于MinSpareServers ,那么Apache将以最大每秒一个的速度产生新的子进程。此参数不要设的太大。MaxSpareServers 10 //配置空闲子进程的最大数量,默认为10。假如当前有超过MaxSpareServers数量的空闲子进程,那么父进程将杀死多余的子进程。此参数不要设的太大。假如您将该指令的值配置为比MinSpareServers小,Apache将会自动将其修改成"MinSpareServers+1"。MaxClients 256 //限定同一时间客户端最大接入请求的数量(单个进程并发线程数),默认为256。任何超过MaxClients限制的请求都将进入等候队列,一旦一个链接被释放,队列中的请求将得到服务。要增大这个值,您必须同时增大ServerLimit 。 MaxRequestsPerChild 10000 //每个子进程在其生存期内允许伺服的最大请求数量,默认为10000.到达MaxRequestsPerChild的限制后,子进程将会结束。假如MaxRequestsPerChild为"0",子进程将永远不会结束。 将MaxRequestsPerChild配置成非零值有两个好处: 1.能够防止(偶然的)内存泄漏无限进行,从而耗尽内存。 2.给进程一个有限寿命,从而有助于当服务器负载减轻的时候减少活动进程的数量。 工作方式: 一个单独的控制进程(父进程)负责产生子进程,这些子进程用于监听请求并作出应答。Apache总是试图保持一些备用的(spare)或是空闲的子进程用于迎接即将到来的请求。
IPSec协议 IPSec协议 1 IP Sec协议概述 2 IPSec VPN工作原理 4.2.1 隧道建立方式 2.2 数据保护方式 2.3 IPSEC 协议体系结构 3 IP Sec的优点 1 IP Sec协议概述 IPSec是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF 正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。 ①保证Internet上各分支办公点的安全连接:公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托Internet即可以获得同样的效果。 ②保证Internet上远程访问的安全:在计算机上装有IPSec的终端用户可以通过拨入所在地的ISP的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:IPSec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,IPSec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web 访问在内多种应用程序的安全。 IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。 IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。 如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。 IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁Christian Huitema认为,关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。
Ipsec VPN调研总结 一、Ipsec原理 Ipsec vpn指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 Ipsec是一个协议集,包括AH协议、ESP协议、密钥管理协议(IKE协议)和用于网络验证及加密的一些算法。 1、IPSec支持的两种封装模式 传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。 隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。
2、数据包结构 ◆传输模式:不改变原有的IP包头,通常用于主机与主机之间。 ◆隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。
3、场景应用图
4、网关到网关交互图
5、Ipsec体系结构: 6、ipsec中安全算法 ●源认证 用于对对等体的身份确认,具体方法包含:PSK(pre-share key);PK3(public key infrustructure公钥基础设施)数字证书,RSA等,后两种为非对称加密算法。 ●数据加密 对传输的数据进行加密,确保数据私密性,具体对称加密算法包含:des(data encrypt standard)共有2种密钥长度40bits,56bits,3des密钥长度为56bits的3倍;aes(advanced encrypted standard)AES 加密共有三种形式,分为AES 128(128-bit 长度加密),AES 192(192-bit 长度加密)以及AES 256(256-bit 长度加密)。 ●完整性校验 对接收的数据进行检查,确保数据没有被篡改,主要使用hash算法(HMAC hashed message authentication code),包含MD5(message digest输出128bit校验结 果);SHA-1(secure hash algorithm 1)输出160bits校验结果。 ●密钥交换算法
(1)xx流式 通过热线的电流保持不变,温度变化时,热线电阻改变,因而两端电压变化,由此测量流速。 利用风速探头进行测量。风速探头为一敏感部件。当有一恒定电流通过其加热线圈时,探头内的温度升高并于静止空气中达到一定数值。此时,其内测量元件热电偶产生相应的热电势,并被传送到测量指示系统,此热电势与电路中产生的基准反电势相互抵消,使输出信号为零,仪表指针也能相应指于零点或显示零值。若风速探头端部的热敏感部件暴露于外部空气流中时,由于进行热交换,此时将引起热电偶热电势变化,并与基准反电势比较后产生微弱差值信号,此信号被测量仪表系统放大并推动电表指针变化从而指示当前风速或经过单片机处理后通过显示屏显示当前风速数值。 (2)恒温式 热线的温度保持不变,给风速敏感元件电流可调,在不同风速下使处于不同热平衡状态的风速敏感元件的工作温度基本维持不便,即阻值基本恒定,该敏感元件所消耗的功率为风速的函数。 恒温风速仪则是利用反馈电路使风速敏感元件的温度和电阻保持恒定。当风速变化时热敏感元件温度发生变化,电阻也随之变化,从而造成热敏感元件两端电压发生变化,此时反馈电路发挥作用,使流过热敏感元件的电流发生相应的变化,而使系统恢复平衡。上述过程是瞬时发生的,所以速度的增加就好像是电桥输出电压的增加,而速度的降低也等于是电桥输出电压的降低。 三、电路工作原理 现以恒温式热线风速仪为例来说明它的工作原理(如图1)。把探头接在风速仪电路中电桥的一臂,探头的电阻记为R p,其他三臂的电阻分别为R 1,R 2和R
b。其中R 1=R 2,R b为一可调的十进制精密电阻。 此时,要求热线探头的电阻温度系数很高,而相反的却要求R 1,R 2和R b的电阻温度系数很小。 图1- 1热线风速仪电路原理图 在电桥AC两端加上电压E,当电桥平衡时,BD间无电位差,此时,没有信号输出。当探头没有加热时,探头的电阻值R f叫做冷电阻,各个探头有其不同的冷电阻值。测试时,把一个未知电阻值的探头接入桥路中,调节R b使电桥平衡,这时十进位电阻器R b上的数值就是冷电阻的数值,即为R f。按照所选定的过热比调节R b,使它的数值高出R f,一般推荐值为 1.5R f。这是,仪器中的电路能自动回零反馈,使I w增加,从而使热线探头的温度升高、电阻增大,一直达到R
第九章IPSec及IKE原理 9.1 IPSec概述 IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安全地在公网上传输。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。 IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议。AH可提供数据源验证和数据完整性校验功能;ESP除可提供数据验证和完整性校验功能外,还提供对IP报文的加密功能。 IPSec有隧道(tunnel)和传送(transport)两种工作方式。在隧道方式中,用户的整个IP 数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。 9.2 IPSec的组成 IPSec包括AH(协议号51)和ESP(协议号50)两个协议: AH(Authentication Header)是报文验证头协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,可选择的散列算法有MD5(Message Digest ),SHA1(Secure Hash Algorithm)等。AH插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了hash算法来对数据包进行保护。AH没有对用户数据进行加密。 ESP(Encapsulating Security Payload)是报文安全封装协议,ESP将需要保护的用户数据进行加密后再封装到IP包中,证数据的完整性、真实性和私有性。可选择的加密算法有DES,3DES等。 9.3 IPSec的安全特点 数据机密性(Confidentiality):IPSec发送方在通过网络传输包前对包进行加密。 数据完整性(Data Integrity):IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
PWM DC-DC 功率变换器的两种工作模式 普高(杭州)科技开发有限公式 张兴柱 博士 任何一个PWM DC-DC 功率变换器,当输入或者负载发生变化时,其在一个开关周期内的工作间隔数量也会发生变化。为了容易理解,先以电流负载下的Buck 变换器为例子,来说明这种变化。 oL 在负载电流比较大时,该变换器的一个开关周期内,只有两种工作间隔,即有源开关AS 导通、无源开关PS 截止的s DT 间隔,和有源开关AS 截止,无源开关PS 导通的s T D ′间隔。这种工作模式下,电感上的电流始终大于零,称为电感电流连续导电模式,简称为CCM 模式。 由于电容C 上满足安秒平衡定律,也即其在一个开关周期内的平均电流为零,所以电感电流在一个开关周期内的平均值必等于负载电流。当负载电流变小时,电感电流在一个开关周期内的平均值也必然变小,当变小到上图中红色波形的负载电流时,如果再继续变小负载电流的话,电感电流在有源开关AS 截止的间隔内,将减小到零。当无源开关采用二极管时,由于二极管的单向导电特性,一旦流过二极管的电流(在本例子中,即为电感电流)降为零时,二极管就会自动关断而截止,因此在这个负载之下的负载,变换器在一个开关周期内,会增加一个工作间隔,即s T D ′′间隔,这个间隔中的有源开关和无源开关均截止,这样的工作模式被称为电感电流不连续导电模式,简称DCM 模式。其电感电流的波形中,有一段时间的电流为零,如下图所示。 L 任何PWM DC-DC 功率变换器,只要其无源开关采用二极管,那么在它的稳态工作点范围内,通常均有存在两种不同工作模式工作点的可能。这两种工作模式的转换之处,一般称作CCM/DCM 的边界,如上例中红色电感电流波形所对应的负载,即为CCM/DCM 的边界负载,在这个负载之上的负载,变换器工作于CCM ;在这个负载之下的负载,变换器工作于DCM 。
今天从公网的服务器连接本地内网的FTP server copy文件时,系统老是提示227 Entering Passive Mode (xxx,xxx,,xxx,xxx,x),很是奇怪,于是上网找资料仔细研究了一下,原来FTP有两种工作模式,PORT方式和PASV方式,中文意思为主动式和被动式,详细介绍如下: 主动FTP : 命令连接:客户端>1024 端口→服务器21 端口 数据连接:客户端>1024 端口←服务器20 端口 被动FTP : 命令连接:客户端>1024 端口→服务器21 端口 数据连接:客户端>1024 端口←服务器>1024 端口 PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器:“我打开了***X端口,你过来连接我”。于是服务器从20端口向客户端的***X端口发送连接请求,建立一条数据链路来传送数据。 PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端:“我打开了***X端口,你过来连接我”。于是客户端向服务器的***X端口发送连接请求,建立一条数据链路来传送数据。 由于我的本地FTP服务器在内网,只是从外网映射了两个端口(20,21),所以无法使用PASV 方式,解决此问题的办法也很简单,关闭客户端的PASV方式,强制其用PORT方式访问服务器,登录FTP服务器后用passive命令关闭客户端的PASV方式,如下: ftp> passive Passive mode off. ftp> passive (再次运行命令可打开) Passive mode on.
BOOST 电路两种工作模式的比较 整理者:王伟旭 一、BOOST 电路两种工作模式效率的比较 设BOOST 电路工作于临界状态时算出此时的电感值,当选用电感大于这个值时电路工作于CCM ,当选用电感小于这个值时电路工作于DCM 。实际应用中,多让BOOST 电路工作于CCM ,主要是因为其效率高于DCM 。 对于BOOST 电路电路来说,其电路主要的损耗在于开关管切换过程中,闭合时流过的电流产生的能量。比较CCM 与DCM 的效率就是看哪种模式下开关管消耗的能量多少,这个能量的比较进一步来讲就是比较其流过的电流有效值的大小。 通过计算电路两种模式下的开关管电流有效值大小,进行比较来决定这两种模式的效率高低。 开关管在开关开启的过程中才有电流流过,其值等于电感电流,这个电流在开启到关断这一时刻达到最大值,两种模式下的开关管电流波形分别如图1所示。 图1 开关管电流波形图 首先计算DCM 下流过开关管电流的有效值: ∫=ON T ON rms DCM dt t T I T I 020)()(1 (1.1) 对式1.1化简可得:
0)(3 I D I rms DCM =,其中T T D ON = (1.2) 然后计算CCM 下流过开关管电流的有效值: 21222102221)(3 )(1I I I I D dt I t T I I T I ON T ON rms CCM ++?=+?=∫ (1.3) 对于同样的外部参数的两种模式BOOST 电路(输入、输出电压,功率相同),其输入与输出电流平均值是相等的。通过这个关系我们可以得出I 0与I 1和I 2的关系,如式1.4所示。 210210)()(2 2I I I I I D I D U P I in avg in +=?→?+=== (1.4) 将式1.4关系带入式1.2可得: 212221)(23 I I I I D I rms DCM ++?= (1.5) 即可得到: )()(rms CCM rms DCM I I > (1.6) 二、BOOST 电路两种模式电感感值的比较 对于一个BOOST 电路,通过改变其电感的大小可以使其从DCM 过渡到CCM ,我们依据DCM 和CCM 两种模式下电感传递的能量是相等的这个概念来推证CCM 电感的感值大于DCM 电感的感值。 对于两种模式的电感电流波形如图2所示。 图2 两种模式下电感电流波形示意图
竭诚为您提供优质文档/双击可除 ipsec协议的应用 篇一:ipsec协议 ipsec协议 ipsec协议 1ipsec协议概述 2ipsecVpn工作原理 4.2.1隧道建立方式 2.2数据保护方式 2.3ipsec协议体系结构 3ipsec的优点 1ipsec协议概述 ipsec是一系列基于ip网络(包括intranet、extranet 和internet)的,由ietF正式定制的开放性ip安全标准,是虚拟专网的基础,已经相当成熟可靠。ipsec可以保证局域网、专用或公用的广域网及internet上信息传输的安全。 ①保证internet上各分支办公点的安全连接:公司可以借助internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依
托internet即可以获得同样的效果。 ②保证internet上远程访问的安全:在计算机上装有ipsec的终端用户可以通过拨入所在地的isp的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。 ③通过外部网或内部网建立与合作伙伴的联系:ipsec 通过认证和钥匙交换机制确保企业与其它组织的信息往来 的安全性与机密性。 ④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,ipsec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。 ipsec的主要特征在于它可以对所有ip级的通信进行加密和认证,正是这一点才使ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及web访问在内多种应用程序的安全。 ipsec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装ipsec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行ipsec,应用程序一类的上层软件也不会被影响。 ipsec对终端用户来说是透明的,因此不(ipsec协议的应用)必对用户进行安全机制的培训。如果需要的话,ipsec
文汇建站:https://www.doczj.com/doc/6b9557542.html, FTP的两种链接工作模式—主动模式和被动模式 写这篇文章主要是因为在使用ftp的时候有时候上传文件会失败,然后就卡住很久,原因就是默认主动模式受限于客户端防火墙的限制,有时候会导致上传文件失败所以整理了区别了一下两种。 一、FTP的两种工作模式 FTP两种链接模式:主动模式(Active FTP)和被动模式(Passive FTP) 在主动模式下,FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接,然后开放N+1号端口进行监听,并向服务器发出PORT N+1命令。服务器接收到命令后,会用其本地的FTP数据端口(通常是20)来连接客户端指定的端口N+1,进行数据传输。 在被动模式下,FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接,同时会开启N+1号端口。然后向服务器发送PASV命令,通知服务器自己处于被动模式。服务器收到命令后,会开放一个大于1024的端口P进行监听,然后用PORT P命令通知客户端,自己的数据端口是P。客户端收到命令后,会通过N+1号端口连接服务器的端口P,然后在两个端口之间进行数据传输。 总的来说,主动模式的FTP是指服务器主动连接客户端的数据端口,被动模式的FTP 是指服务器被动地等待客户端连接自己的数据端口。 被动模式的FTP通常用在处于防火墙之后的FTP客户访问外界FTP服务器的情况,因为在这种情况下,防火墙通常配置为不允许外界访问防火墙之后的主机,而只允许由防火墙之后的主机发起的连接请求通过。因此,在这种情况下不能使用主动模式的FTP传输,而被动模式的FTP可以良好的工作。
一、IPSec如何工作的 1,定义interesting traffic 如access-list 101 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 2,IKE Phase 1 IKE Phase 1的目的是鉴别IPsec对等体,在对等体之间设立安全通道,以使IKE能够进行信息交换。 IKE Phase 1执行以下的功能: 鉴别和保护IPSec对等体的身份 在对等体之间协商一个相匹配的IKE安全关联策略。 执行一个被认证过的Diffie-Hellman交换,其结果是具有匹配的共享密钥。 建立安全的通道,以协商IKE Phase 2中的参数 IKE Phase 1有两种模式: master mode aggressive mode 3,IKE Phase 2 IKE Phase 2的目的是协商IPSec安全关联(SA),以建立IPSec通道。IKE Phase 2执行以下功能: 协商受已有IKE SA 保护的IPSec SA参数 建立IPSec SA 周期性的重新协商IPSec SA 以确保安全性 4,IPSec 加密隧道 在IKE Phase 2结束之后,信息就通过IPSec隧道被交换 5,隧道终止 当被删除或生存期超时后,IPSec就终止了。当指定的秒数过去或指定的字节数通过隧道后,安全关联 将超时。当SA终结后,密钥会被丢弃。当一个数据流需要后续的IPSEC SA时,IKE就执行一个新的IKE Phase 2和IKE Phase 1协商,产生新的SA密钥,新的SA密钥可以在现有的SA超时之前被建立。 二IPSec安全关联(SA) IPSec 提供了许多选项用于网络加密和认证。每个IPSec连接能够提供加密、完整性、认证保护或三者 的全部。两个IPSEC必须精确确定要使用的算法(如DES或3DES用于加密,MD5或SHA用于完整性验证)。在 确定算法事,两个设备必须共享会话密钥。用于IPSEC 的安全关联是单向的。双向通信由两个安全关联 组成。
ESP8266支持3种模式:Station模式、AP模式和Station+AP混合模式。关于这三种模式的区别可以类比我们的手机,当手机连接无线网时,此时手机为Station模式,当手机打开移动热点时,此时手机为AP模式。简单的说就是Station模式就是作为终端,AP模式就是作为路由器。而Station+AP混合模式,就和路由器的无线桥接功能是一样的,既可以连接别的无线网,同时也可以自己作为路由器。 本文分享ESP8266的两种工作模式下的数据传输:Station模式作为TCP客户端、AP模式作为TCP服务器,分别和网络调试助手进行通讯的AT指令配置流程。 AT指令可以由MCU的串口来完成,这样就可以实现两块ESP8266之间进行通讯,电脑和ESP8266的无线控制,手机和ESP8266的无线控制等。 E S P8266作为T C P客户端,电脑作为T C P服务器
ESP8266模块配置为Station模式连接WiFi,电脑也连接同一个WiFi,电脑使用网络调试助手建立一个TCP服务器,指定服务器地址和端口号。 ESP8266作为TCP客户端,和电脑上的网络调试助手进行通讯,或者直接透传。实现的效果是模块发送的数据,电脑可以接收到,电脑发送的数据,模块可以接收到。 1.模块配置为Station模式:AT+CWMODE=1 2.配置WiFi信息按照信号强度排序:AT+CWLAPOPT=1,127 3.扫描附近的WiFi信息:AT+CWLAP //配置当执行AT+CWLAP指令时,WiFi信息按照信号强度排序 AT+CWLAPOPT=1,15 //1表示按照信号强度排序,15表示WiFi信息只显示加密方式,WiFi名称,信号强度,MAC地址 //扫描附近的WiFi信息 AT+CWLAP +CWLAP:([加密方式],[WiFi名称],[RSSI信号强度],[MAC地址]) +CWLAP:(4,"Tenda_A3AA00",-76,"c8:3a:35:a3:aa:01") +CWLAP:(4,"Tenda_A3AA00 Sander",-81,"e4:d3:32:9c:e3:c4") +CWLAP:(3,"EZVIZ_D3*******",-81,"50:13:95:84:e0:16") +CWLAP:(4,"TP-LINK_4723",-84,"cc:08:fb:c1:47:23") 4.连接指定WiFi:AT+CWJAP="Tenda_A3AA00","password123" //连接指定AP AT+CWJAP="Tenda_A3AA00","password123" //如果WiFi名称重复,需要指定MAC地址来确定要连接的WiFi AT+CWJAP="Tenda_A3AA00","password123","c8:3a:35:a3:aa:01" //如果WiFi名称或密码中含有特殊字符,前面要添加\转义符号 如,目标WiFi名称为: ab\,c,密码为: 0123456789"\,则指令如下: AT+CWJAP="ab\\\,c","0123456789\"\\" //查询已经连接的WiFi信息 AT+CWJAP? //断开当前WiFi连接 AT+CWQAP 5.设置单连接模式:AT+CIPMUX=0 //如果之前使用AP模式开启过TCP服务器,要先关闭TCP服务器 AT+CIPSERVER=0 //设置单连接模式 AT+CIPMUX=0 6.电脑和模块连接同一WiFi,电脑启动网络调试助手,并建立TCP服务器。
IPSec VPN基本原理 IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 IPSec VPN应用场景 IPSec VPN的应用场景分为3种: 1. Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。 2. End-to-End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSec 会话保护,而不是网关。 3. End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。 VPN只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP 提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。IPSec是一个框架性架构,具体由两类协议组成: 1. AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。 2. ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。 为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输,而
主动模式: FTP客户机向服务器的FTP控制端口(默认是21)发送请求,服务器接受连接,建立一条命令链路,当需要传送数据时候,客户端在命令链路上用PORT命令告诉服务器:“我打开了某个端口,你过来连接我。”于是服务器从20端口向客户端的改端口发送连接请求,建立一条数据链路来传送数据。在数据链路建立的过程中是服务器主动请求,所以称为主动模式。 FTP 主动模式(命令行是主动模式) 服务器用20号端口,主动连接客户机的大于1024的随机端口。 被动模式: FTP客户端向服务器的FTP控制端口发送连接请求,服务器接收连接,建立一条命令链路,当需要传送数据时候,服务器在命令链路上用PASV命令告诉客户端;“我打开了某端口,你过来连接我。”于是客户端向服务器的该端口发送连接请求,建立一条数据链路来传送数据。在数据链路建立的过程中是服务器被动等待客户端请求,所以称为被动模式。 FTP被动模式 客户机用大于1024的随机端口,主动连接服务器大于1024的随机端口。 主动模式下的FTP服务器,需要在服务器和客户端之间的防火墙中设置一下策越: 允许FTP客户机从大于1024的端口连接FTP服务器的21端口 允许FTP服务器从21端口回应FTP客户机中大于1024端口的网络连接。 允许FTP服务器从20端口主动连接FTP客户机中大于1024的端口 允许FTP客户机从大于1024的端口回应来自FTP服务器20端口的网络连接 被动模式下的FTP服务器,需要在服务器和客户端之间的防火墙中设置一下策越: 允许FTP客户机从大于1024的端口连接FTP服务器的21端口 允许FTP服务器从21端口回应FTP客户机中大于1024端口的网络连接。 允许FTP客户机从大于1024端口主动连接FTP服务器中大于1024的端口 允许FTP服务器从大于1024的端口回应来自FTP客户机大于1024端口的网络连接
、热线风速仪有两种工作模式: (1)恒流式 通过热线的电流保持不变,温度变化时,热线电阻改变,因而两端电压变化,由此测量流速。利用风速探头进行测量。风速探头为一敏感部件。当有一恒定电流通过其加热线圈时,探头内的温度升高并于静止空气中达到一定数值。此时,其内测量元件热电偶产生相应的热电势,并被传送到测量指示系统,此热电势与电路中产生的基准反电势相互抵消,使输出信号为零,风速仪指针也能相应指于零点或显示零值。若风速探头端部的热敏感部件暴露于外部空气流中时,由于进行热交换,此时将引起热电偶热电势变化,并与基准反电势比较后产生微弱差值信号,此信号被测量仪表系统放大并推动电表指针变化从而指示当前风速或经过单片机处理后通过显示屏显示当前风速数值。 (2)恒温式 风速仪热线的温度保持不变,给风速敏感元件电流可调,在不同风速下使处于不同热平衡状态的风速敏感元件的工作温度基本维持不便,即阻值基本恒定,该敏感元件所消耗的功率为风速的函数。 恒温风速仪则是利用反馈电路使风速敏感元件的温度和电阻保持恒定。当风速变化时热敏感元件温度发生变化,电阻也随之变化,从而造成热敏感元件两端电压发生变化,此时反馈电路发挥作用,使流过热敏感元件的电流发生相应的变化,而使系统恢复平衡。上述过程是瞬时发生的,所以速度的增加就好像是电桥输出电压的增加,而速度的降低也等于是电桥输出电压的降低。 三、电路工作原理 现以恒温式热线风速仪为例来说明它的工作原理(如图1)。把探头接在风速仪电路中电桥的一臂,探头的电阻记为Rp,其他三臂的电阻分别为R1,R2和Rb。其中R1= R2,Rb为一可调的十进制精密电阻。此时,要求热线探头的电阻温度系数很高,而相反的却要求R1,R2和Rb的电阻温度系数很小。 图1- 1 热线风速仪电路原理图https://www.doczj.com/doc/6b9557542.html, 在电桥AC两端加上电压E,当电桥平衡时,BD间无电位差,此时,没有信号输出。当探头没有加热时,
IPSec基本原理及配置指导 一、IPSec描述: 1、IPSec在RFC2401中描述了IP得安全体系结构IPSec,以便保证在IP网络数据传输的安全性。 2、IPSec在IP层对IP报文提供安全服务。 3、IPSec并非单一协议,而是由一系列的安全开放标准构成。 4、IPSec实现于OSI参考模型的网络层,因此,上层的协议都可以得到IPSec 的保护。 5、IPSec是一个可扩展的体系,不受任何一种算法的局限,可以引入多种开放的验证算法。 6、IPSec的缺点是难部署,协议体系复杂,不支持组播,只能对点对点的数据进行保护,不利于语音视频实时性高的应用。 二、IPSec体系结构 1、IPSec使用两种安全协议来提供通信安全服务: i.AH(验证头):AH提供完整性保护和数据源验证以及可选的抗重播 服务,但是不能提供机密性保护。 ii.ESP(封装安全载荷):ESP可以提供AH的所有功能,而且还可以提供加密功能。 2、AH和ESP可以单独使用,也可以一起使用,从而提供额外的安全性。 3、安全协议AH和ESP都具有两种工作模式: i.传输模式:用于保护端到端的安全性。 ii.隧道模式:用于保护点到点的安全性。
4、IPSec通过两种途径获得密钥: i.手工配置:管理员预先手工配置,这种方法不便于随时更改,安全 性较低,不易维护。 ii.通过IKE协商,通信双方可以通过IKE动态生成并交换密钥,获得更高的安全性。 5、IPSec SA(安全联盟) i.SA提供IPSec数据流安全服务的基础概念。 ii.SA是通信双方就如何保证通信安全达成的一个协定。具体确定了对IP报文进行处理。 iii.SA是单向的,入站数据流和出站数据流分别由入站SA和出站SA 处理。 iv.一个SA由(SPI,IP目的地址,安全参数索引)构成。 v.SA可以手工配置,也可以通过IKE自动协商生成。 vi.SA的生存时间有“以时间进行限制”和“以流量进行限制”。 vii.IPSec把类似“对哪些数据提供哪些服务”这样的信息储存在SPD (安全策略数据库)中,而SPD中的项指向SAD(安全联盟数据库), 如果,一个需要加密的出站数据包,系统会将他与SPD进行比较, 如果匹配一项,系统会使用该项对应的SA以及算法进行对数据包的 加密。否则,需要新建一个SA。 6、IKE i.无论是AH还是ESP,在对一个IP包进行操作之前,首先必须要建 立一个IPSec SA,IPSec SA可以手工建立,也可以通过IKE协商建
第八章 一、选择题 1.IEEE802.11定义了无线局域网的两种工作模式,其中的 B 模式是一种点对点连接的网络,不需要无线接入点和有线网络的支持,用无线网卡连接的设备之间可以直接通信。 A)Roaming B)Ad Hoc C)Infrastructure D)DiffuselR 2.IEEE802.11的物理层规定了三种传输技术,即红外技术、直接序列扩频(DSSS)和跳频扩频(FHSS)技术,后两种扩频技术都工作在 C 的ISM频段。 A)600MH B)800MHz C)2.4GHz D)19.2GHz 3.最新提出的IEEE802.1la标准可提供的最高数据速率是 D 。 A)1Mbps B)2Mbps C)5.5Mbps D)54Mbps 4.以下关于蓝牙技术特征的描述中,错误的是 D 。 A)蓝牙系统结构的基本特征主要表现在:网络拓扑、交换模式、节能模式、抗干扰性能、鉴权与加密、话音编码、软件结构等方面 B)蓝牙的软件体系是一个独立的操作系统,不与任何操作系统捆绑 C)蓝牙协议体系中协议和协议栈的设计原则是开放性、兼容性与互通性 D)蓝牙软件结构标准包括802.11和802.16两大部分 5.以下关于配置无线接入点的描述中,错误的是 D 。 A)当为无线接入点加电时,接入点会自动运行加电程序 B)第一次配置无线接入点,需要将无线接入点连接到一个有线的网络中 C)SSID是区分大小写的D)无线接入点的默认IP地址是10.0.0.1 6.以下关于无线局域网的设计的描述中,错误的是 C 。 A)在无线网络的初步调查阶段,设计者不仅要关注与现有的有线网络相关的方方面面,同样也要关注用户对现有网络的使用情况。 B)在初步设计时,要把终端或移动PC考虑到设计以及网络费用中。 C)在详细设计阶段,要确保任何在初步设计评审中所制定的功能改变都不会影响到设计的整体方案 D)文档的产生过程要与整个设计和实施过程基本保持一致 7.下面不是IEEE 802.11b的优点的是 B 。 A)支持以百米为单位的范围 B)允许多种标准的信号发送技术 C)内置式鉴定和加密 D)最多三个接入点可以同时定位于有效使用范围中,支持上百个用户同时进行语音和数据支持 8.以下关于蓝牙系统的主要参数和指标的描述中,错误的是 B 。 A)同时支持电路交换和分组交换业务 B)信道数为69 C)标称数据速率为1Mbps D)认证基于共享链路密钥询问/响应机制 9.下面的描述中,不是配置无线接入点所需要的信息的是 D 。 A)系统名和对大小写敏感的服务集标识符(SSID) B)如果没有连接到DHCP服务器,则需要为接入点指定一个唯一的IP地址 C)如果接入点与你得PC不在同一子网内,则需要子网掩码和默认网关 D)SMTP协议与用户名、密码 10.在安装和配置无线接入点之前,不需要向网络管理员询问的信息是 A 。 A)DHCP服务器地址 B)如果接入点与PC不在同一子网内,则需要子网掩码和默认网关 C)无线网络中大小写敏感的服务集标识符 D)SNMP集合名称以及SNMP文件属性 11.下面不是IEEE 802.11b的应用的优点的是 A 。
Apache两种工作模式区别及配置切换 https://www.doczj.com/doc/6b9557542.html,发布者:lensezhai 来源:互联网发布日期:2014年07月12日文章评论发表文章 1、RedHat Linux下查看apache版本号 在Apache安装目录bin下,使用以下命令查看即可。 使用命令:./httpd -v 示例: 2、查看Apache当前工作模式 Apache有prefork和worker工作模式 如果apache已经安装,我们可以用"httpd -l"命令查看当前模式。若找到prefork.c 则表示当前工作在prefork模式,同理出现worker.c 则工作在worker模式。
如果apache还未安装,我们在编译的时候可以加入--with-pem=(prefork|worker) 选项决定启用什么模式。 使用命令:./apachectl –l 示例: 从以上结果可知,当时httpd工作在prefork模式下。
在configure时,可以通过指定参数,将工作模式设置为worker模式或prefork模式。 使用命令:./configure –with-mpm=worker 示例:设置为worker模式 Apache服务的两种工作模式详解:
prefork的工作原理及配置 如果不用“--with-mpm”显式指定某种MPM,prefork就是Unix平台上缺省的MPM。它所采用的预派生子进程方式也是Apache 1.3中采用的模式。prefork本身并没有使用到线程,2.0版使用它是为了与1.3版保持兼容性;另一方面,prefork用单独的子进程来处理不同的请求,进程之间是彼此独立的,这也使其成为最稳定的MPM之一。 若使用prefork,在make编译和make install安装后,使用“httpd -l”来确定当前使用的MPM,应该会看到prefork.c(如果看到worker.c说明使用的是worker MPM,依此类推)。再查看缺省生成的配置文件,里面包含如下配置段: