In e-commerce, a number of business process and activities go unnoticed by the consumer
and are often taken for granted. With an online merchant's business, value-added activities work
together to make the business-to-consumer interface operational.
In 1985 Michael Porter wrote a book called Competitive Advantage, in which he introduced
the concept of the value chain. Businesses receive raw materials as input, add value to them
through various processes, and sell the finished product as output to customers.
[1]Competitive advantage is achieved when an organization links the activities in its value
chain more cheaply and more effectively than its competitors. For example, the purchasing function
assists the production activity to ensure that raw materials and other supplies are available on time
and meet the requirements of the products to be manufactured. The manufacturing function, in turn,
has the responsibility to produce quality products that the sales staff can depend on. The human
resource function must hire, retain, and develop the right personnel to ensure continuity in
manufacturing, sale, and other areas of the business. Bringing in qualified people contributes to
stability, continuity, and integrity of operations throughout the firm.
[2]There is no time sequence or special sequence of activities before a business is considered
successful or effective. The idea is to link different activities in such a way that the value-added
(output) of one activity (department, process, etc.) contributes to the input of another activity.
The integration of these activities results in an organization fine-tuned for profitability and
growth.
According to Porter, the primary activities of a business are:
Inbound logistics. These are procurement activities vendor selection, comparative shopping,
negotiating supply contracts, and just-in-time arrival of goods. They represent the supply side of
the business. In e-commerce, the business must be capable of exchanging data with suppliers
quickly, regardless of the electronic format.
Operations. This is the actual conversion of raw materials received into finished products. It
includes fabrication, assembly, testing, and packaging the product. This production activity
provides added value for the marketing function. Operational activities are the point in the value
chain where the value is added. These happen in the back-office where the pizza is baked, the
PCs are assembled, or the stock trades are executed. Data are shared at maximum network speed
among internal and external partners involved in the value-adding processes.
Outbound logistics. This activity represents the actual storing, distributing, and shipping of
the final product. It involves warehousing, materials handling, shipping, and timely delivery to
the ultimate retailer or customer. The output of this activity ties in directly with marketing and
sales.
Marketing and sales. This activity deals with the ultimate customer. It includes advertising,
product promotion, sales management, identifying the product's customer base, and distribution
channels. The output of this activity could trigger increased production, more advertising, etc.
Service. This activity focuses on after-sale service to the customer. It includes testing,
maintenance, repairs, warranty work, and replacement parts. The output of this activity means
satisfied customers, improved image of the product and the business, and potential for increased
production, sale, etc.
Primary activities are not enough. A business unit needs support activities to make sure the
primary activities are carried out. Imagine, for example, a manufacturing concerns with no
people or with poorly skilled employees.
The key support activities in the value chain are:
Corporate infrastructure. This activity is the backbone of the business unit. It includes general
management, accounting, finance, planning, and legal services. It is most often pictured in an
organization chart showing the relationship among the different positions, the communication
network, and the authority structure. Obviously, each position holder must add value to those above
as well as below.
Human resources. This is the unique activity of matching the right people to the job. It
involves recruitment, retention, career path development, compensation, training and development,
and benefits administration. The output of this activity affects virtually every other activity in the
company.
Technology development. This activity adds value in the way it improves the product and
the business processes in the primary activities. The output of this activity contributes to the
product quality, integrity, and reliability, which make life easier for the sales force and for
customer relations.
Procurement. This activity focuses on the purchasing function and how well it ensures the
availability of quality raw material for production.
Where does e-commerce fit in? The value chain is a useful way of looking at a corporation's
activities and how the various activities add value to other activities and to the company in
general.
[3]E-commerce can play a key role in reducing costs, improving product quality and
integrity, promoting a loyal customer base, and creating a quick and efficient way of selling
products and services. By examining the elements of the value chain, corporate executives can
look at ways of incorporating information technology and telecommunications to improve the
overall productivity of the firm. Companies that do their homework early and well ensure
themselves a competitive advantage in the marketplace.
1, fine-tune ['faintju:n]
vt. 调整;使有规则;对进行微调
2, profitability [,prɔfitə'biliti]
n. 收益性,利益率
3, fabrication [,fæbri'keiʃən]
n. 制造,建造,虚构的谎言
4, ultimate ['ʌltimit]
n. 终极,根本
a. 终极的,根本的,极限的,最后的
5, compensation [kɔmpen'seiʃən]
n. 补偿,赔偿
6, recruitment [ri'kru:tmənt]
n. 征募新兵, 补充
7, retention [ri'tenʃən]
n. 保存(保持力,包装牢固,记忆力,保留物)
8, loyal ['lɔiəl]
a. 忠诚的,忠心的
ad. 忠诚地,忠实地
n. 忠贞,忠诚,忠实
Continue reading it-e-29 Value Chains in E-commerce
中继器(RP repeater)
是连接网络线路的一种装置,常用于两个网络节点之间物理信号的 双向转发工作。中继器是最简单的网络互联设备,主要完成物理层的功能,负责在两个节点 的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度
集线器:
集线器的基本功能是信息分发,它把一个端口接收的所有信号向所有端口分发出去。一些集线器在分发之前将弱信号重新生成,一些集线器整理信号的时序以提供所有端口间的同步数据通信。
集线器(Hub)是中继器的一种形式,区别在于集线器能够提供多端口服务,也称为多口中继器。集线器在OSI/RM中的物理层。
网桥:
1)网桥(Bridge)也称桥接器,是连接两个局域网的存储转发设备,用它可以完成具有相同或相似体系结构网络系统的连接。2、网桥的功能:1)网桥对所接收的信息帧只作少量的包装,而不作任何修改。
2)网桥可以采用另外一种协议来转发信息。
3)网桥有足够大的缓冲空间,以满足高峰期的要求。
4)网桥必须具有寻址和路径选择的能力。
交换机:
采用交换技术来增加数据的输入输出总和和安装介质的带宽。一般交换机转发延迟很小,能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。
路由器
1、路由器是网络层上的连接,即不同网络与网络之间的连接。
2、路径的选择就是路由器的主要任务。路径选择包括两种基本的活动:
一是最佳路径的判定;
二是网间信息包的传送,信息包拇鸵话阌殖莆敖换弧薄?、
路由器与网桥的差别:1)路由器在网络层提供连接服务,用路由器连接的网络可以使用在数据链路层和物理层完全不同的协议。路由器的服务通常要由端用户设备明确地请求,它处理的仅仅是由其它端用户设备要求寻址的报文。
2)路由器与网桥的另一个重要差别是,路由器了解整个网络,维持互连网络的拓扑,了解网络的状态,因而可使用最有效的路径发送包。
网关:
1、网关(协议转换器)是互连网络中操作在OSI网络层之上的具有协议转换功能设施,所以称为设施,是因为网关不一定是一台设备,有可能在一台主机中实现网关功能。
2、网关用于以下几种场合的异构网络互连:
1).异构型局域网,如互联专用交换网PBX与遵循IEEE802标准的局域网。
2).局域网与广域网的互联。
3).广域网与广域网的互联。
4).局域网与主机的互联(当主机的操作系统与网络操作系统不兼容时,可以通过网关连接)。3、网关的分类
1)协议网关:协议网关通常在使用不同协议的网络区域间做协议转换。
2)应用网关:应用网关是在使用不同数据格式间翻译数据的系统。
3)安全网关:安全网关是各种技术的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。
-----------------------------------------------------------------------------------------------------------------------
中继器是连接网络线路的一种装置,常用于两个网络节点之间物理信号的双向转发工作。中继器是最简单的网络互联设备,属于物理层的设备。
网桥是一个二层(数据链路层)设备,用于隔绝冲突,但是不能隔绝广播。常常是基于软件的,现在使用得很少。
交换机是一个多端口的二层(数据链路层)设备,又叫做多口桥,功能除了网桥所具有的功能之外,还有其特定的高级功能,如路由。
路由器是一个三层(网络层)设备,用于路径选择,并且可以隔绝广播。
网关是连接两个协议差别很大的计算机网络时使用的设备。它可以将具有不同体系结构的计算机网络连接在一起。在OSI/RM中,网关属于最高层(应用层)的设备。
-------------------------------------------------------------------------------------------------------------------------
不同层次的网络连接设备
1、物理层:中继器(Repeater)和集线器(Hub)。用于连接物理特性相同的网段,这些网段,只是位置不同而已。Hub 的端口没有物理和逻辑地址。
2、逻辑链路层:网桥(Bridge)和交换机(Switch)。用于连接同一逻辑网络中、物理层规范不同的网段,这些网段的拓扑结构和其上的数据帧格式,都可以不同。Bridge和Switch的端口具有物理地址,但没有逻辑地址。
3、网络层:路由器(Router)。用于连接不同的逻辑网络。Router的每一个端口都有唯一的物理地址和逻辑地址。
4、应用层:网关(Gateway)。用于互连网络上,使用不同协议的应用程序之间的数据通信,目前尚无硬件产品。
前两者属于OSI和TCP/IP模型的最低层,即物理层,起到数字信号放大和中转的作用。
中继器(REPEATER),
用来延长网络距离的互连设备。(局域网络互连长度是有限制,不是无限,例如在10M以太网中,任何两个数据终端设备允 许的传输通路最多为5个中继器、4个中继器组成)。REPEATER可以增强线路上衰减的信号,它两端即可以连接相同的传输媒体,也可以连接不同的媒体, 如一头是同轴电缆另一头是双绞线。
集线器(HUB)
实际上就是一个多端口的中继器,它有一个端口与主干网相连,并有多个端口连接一组工作站。它应用于使用星型拓扑结构的网络中,连接 多个计算机或网络设备。集线器又分成:1 能动式,2 被动式,3 混合式。1 动能式:对所连接的网络介质上的信号有再生和放大的作用,可使所连接的介质长度达到最大有效长度,需要有电源才能工作,目前多数HUB为此类型。2 被动式只充当连接器,其不需要电源就可以工作,市场上已经不多见。3 混合式:可以连接多种类型线缆,如同轴和双绞线。
集线器就是一种共享设备,HUB本身不能识别目的地址,当同一局域网内的A主机给B主机传输数据时,数据包在以HUB为架构的网络上是以广播方式传 输的,由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说,在这种工作方式下,同一时刻网络上只能传输一组数据帧的通讯,如果发生碰撞还得 重试。这种方式就是共享网络带宽。
网桥和交换机属于OSI和TCP/IP的第二层,即数据链路层。数据链路层的作用包括数据链路的建立、维护和拆除、帧包装、帧传输、帧同步、帧差错控制以及流量控制等。
网桥(BRIDGE)
工作在数据链路层,将两个局域网(LAN)连起来,根据MAC地址(物理地址)来转发帧,可以看作一个“低层的路由器”(路由 器工作在网络层,根据网络地址如IP地址进行转发)。它可以有效地联接两个LAN,使本地通信限制在本网段内,并转发相应的信号至另一网段,网桥通常用于 联接数量不多的、同一类型的网段。
网桥通常有透明网桥和源路由选择网桥两大类。
1、透明网桥
简单的讲,使用这种网桥,不需要改动硬件和软件,无需设置地址开关,无需装入路由表或参数。只须插入电缆就可以,现有LAN的运行完全不受网桥的任何影响。
2、源路由选择网桥
源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网(LAN)上。当发送一帧到另外的网段时,源机器将目的地址的高位设置成1作为标记。另外,它还在帧头加进此帧应走的实际路径。
交换机(SWITCH)
是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术统称。广义的交换机就是一种在通信系统中完成信息交换功能的设备。
在计算机网络系统中,交换概念的提出是对于共享工作模式的改进。
交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地 址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在才广播 到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部地址表中。
使用交换机也可以把网络“分段”,通过对照地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的隔离广播风暴(这个应该是针对新的第三代交换机来说的),减少误包和错包的出现,避免共享冲突。
总之,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。
其实SWITCH的前身就是网桥。交换机是使用硬件来完成以往网桥使用软件来完成过滤、学习和转发过程的任务。SWITCH速度比HUB快,这是由 于HUB不知道目标地址在何处,发送数据到所有的端口。而SWITCH中有一张路由表,如果知道目标地址在何处,就把数据发送到指定地点,如果它不知道就 发送到所有的端口。这样过滤可以帮助降低整个网络的数据传输量,提高效率。但是交换机的功能还不止如此,它可以把网络拆解成网络分支、分割网络数据流,隔 离分支中发生的故障,这样就可以减少每个网络分支的数据信息流量而使每个网络更有效,提高整个网络效率。目前有使用SWITCH代替HUB的趋势。
路由器(ROUTER)
位于网络层,用于连接多个逻辑上分开的网络,几个使用不同协议和体系结构的网络。当一个子网传输到另外一个子网时, 可以用路由器完成。它具有判断网络地址和选择路径的功能,过滤和分隔网络信息流。一方面能够跨越不同的物理网络类型(DDN、FDDI、以太网等等),另 一方面在逻辑上将整个互连网络分割成逻辑上独立的网络单位,使网络具有一定的逻辑结构。
对于不同规模的网络,路由器作用的侧重点有所不同:
1、在主干网上,路由器的主要作用是路由选择。主干网上的路由器,必须知道到达所有下层网络的路径。这需要维护庞大的路由表,并对连接状态的变化作 出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。
2、在地区网中,路由器的主要作用是网络连接和路由选择,即连接下层各个基层网络单位——园区网,同时,负责下层网络之间的数据转发。
3、在园区网内部,路由器的主要作用是分隔子网。早期的互连网基层单位是局域网(LAN),其中所有主机处于同一个逻辑网络中。随着网络规模的不断 扩大,局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中,各个子网在逻辑上独立,而路由器就是唯一能够分隔它们的设备,它负责子网间 的报文转发和广播隔离,在边界上的路由器则负责与上层网络的连接。
Continue reading 【转】中继器 集线器 网桥 交换机 路由器 网关 区别
- 問:如何定義同一網段內的 IP?什麼是子網路遮罩(Netmask)?如何以子網路遮罩來切割 IP 成不同網段呢?
說說這個問題本身的意義,通常我們都會以虛擬 IP 來架設家裡或企業內部的『區域網路』,那架設區域網路有何好處呢?最大的好處就是所有在你區域網路的電腦都可以直接溝通,也就是電腦之間就可以互相傳遞資 料了(例如網路上的芳鄰般,可以互傳資料!),由於處於同一網段,因此各電腦可以直接向 Server 要資料,而不用再透過其他的中繼介面(例如路由器-Router)。那如果不是在同一網段內呢?例如 192.168.1.1 及 192.168.2.1 其實是兩個不同的網段的 IP ,那樣的話,假設你的 Server 對內的 IP 為 192.168.1.2 則當 192.168.2.1 這個電腦向 Server 要資料的時候, Server 將會不認得這個電腦所傳來的訊息,因為這兩組 IP 是不同的網段內的,資料將必須通過 Router 來確認,因此若沒有 router 也就沒有辦法給予資料了!瞭解了嗎?也就是說,當你設定 IP 錯誤的時候,你的區域網路將無法工作,因為資料封包之間將互相不認識囉!所以我們得知道 IP 是否在同一網段之內,這樣才能規劃好區域網路!
以下的文章引述了很多 study-area 的內容,歡迎大家前往參觀網中人的 Linux 學習網站!
先來瞭解一下何謂 IP ?基本上電腦是只懂得 1 與 0 這兩個單元的(二進位法),因此,IP 位址在設計上也是以二進位法來設計的。眾所皆知的, IP 是 xxx.yyy.zzz.qqq 共四組 3 位數的數字組合而成的,而每組數字皆由 0~255 所組成,其實,也就是 0 ~ (28-1) 所組成的!也就是 0.0.0.0 ~ 255.255.255.255 囉,這就是一般我們所使用的 IP 形式咯。
好了,那網路如何以 IP 來判斷你這個封包要去的地方呢?當然囉, IP 定是有所謂的 NetID 與 HostID 囉,這樣網路的 TCP/IC 協定才知道 IP 是在哪一個地方呀!。因此, IP 可以將網路的識別碼和主機的識別碼放在單一的IP地址上面了。如果以二進位法來看,255 的表示為 11111111 ,而在判斷 IP 上,在最左邊的那一組 3 位數的號碼上,通常你可以這樣分辨:
- 二進位法:
- 如果是以“0”開頭的﹐這IP是一個A Class的IP(Ex>01000000.00000001.00000001.00000001)
- 如果是以“10”開頭的﹐這是一個B Class的IP(Ex>10000001.00000001.00000001.00000001)
如果是以“110”為開頭的﹐則屬於C Class的IP(Ex>11000001.00000001.00000001.00000001)
而換算之後,就有如下的規則:
- 十進位法:
- 由1到126開頭的IP是A Class(Ex>10.0.0.1)﹔
- 由128到191開頭的IP是B Class(Ex>129.0.0.1);
由192到223開頭的則為C Class(Ex>211.74.1.1)。
好了,這裡也不多說一些學理的原理了,如果你需要更瞭解的話,就請到 study-area 去看看,網中人前輩已經說明的很清楚了,這裡只指出一些規則罷了!通常是這樣的:
- A Class: Netmask 255.0.0.0
- B Class: Netmask 255.255.0.0
C Class: Netmask 255.255.255.0
以我們常使用的虛擬 IP 192.168.1.0 這個網段中,因為開頭是 192 因此是一個 C Class 的 IP ,並且他的子網路遮罩為 255.255.255.0 ,那子網路遮罩有何意義呢?其實是這樣的, 255.255.255.0 表示 前三組號碼為 NetID(不變的),而最後一組號碼則為 HostID(唯一的),因此,當我們的 Netmask 設為 255.255.255.0 時,則我們的 192.168.1.0 ~ 192.168.1.255 就屬於同一個網段內了!且在這個網段之內,每一個 hostID 只能存在一台,例如你的區域網路中就只能有一個 192.168.1.100,絕不能出現兩個!
- 這樣是不是有點概念了呢?如果你是在一個大型企業之內的區域網路,如果嫌麻煩又不怕封包碰撞引起的網路龜速時,可以使用 B Class 的網段,例如:172.18.0.0 這一個,而 Netmask 為 255.255.0.0,也就是說,在你這個網段當中, 172.18.0.0~172.18.255.255 均屬於同一個網段中,那同一個網段有何好處呢?最大的好處就是在同一個網段中,資料將可以透過廣播的方式傳遞,而不必透過 router 來傳送!要知道, Router 可是很貴的哩!所以,你的區網之內的每部機器將可以直接溝通,而不必藉由其他的 router 來傳遞囉!
- 上面的說明實在說的不好,反正,要曉得的是,若你的 IP 開頭是在 1~126 時,就是 A class 的 IP 群組,至於 C class 的 IP 則是 192~223 之間的 IP 囉。另外, Netmask 才是真正在控制你的 IP 是在哪一個網段的!而通常我們比較常設定的是 C class 的區域網路設定!說真的,要瞭解 IP 的話,還是請到 study-area 去看看吧!
------------------------------------------------------------------------------------------------------
一提到网段(即网络分段),通常有两个概念,一种是指物理上由网络连接设备所相隔的网络。比如由路由设备(或者交换机,甚至集线器)连接的两个局域网,我们可以称之为两个网段。另一种是指从逻辑上,根据其IP地址中的网络地址来区分其所属的网段。
为了说明这个概念,我们需要先理解IP地址的结构,IP地址是由32位二进制位组成的。如果按每8位为一组,转换成十进制的话,可以写成由三个句点分隔的,4位数字的形式。例如192.168.0.1(对应的二进制位是1100000101010000000000000000001).
IP地址由网络地址和主机地址两部分组成。分配给网络地址和主机地址的位数随着地址类型(后面会提到)的不同而不同。IP地址编址的方法与街道地址的概念相似,比如中山街100号。IP地址中的网络地址相当于中山街,主机地址相当于100号。
为了方便管理,IP地址分为5类:数量非常有限的,非常大的网络(A类);数量较多规模中等的网络(B类);为数众多的小网络(C类),以及用于组播(D类)和研究和实验之用(E类)。
那它们是如何区分的呢?IP地址的类型可以通过察看地址的第一个八位组业判断。
对于A类地址,分配IP地址的前8位作为网络地址,其余24位作为主机地址。并且,这前8位二进制位中的第一位必须是“0”。转换成十进制后,其取值的范围应在0--127之间。再加上0和127已经被留做它用,所以,A类网只有126个。
对于B类地址,分配IP地址的前16位作为网络地址,其余16位作为主机地址。并且,这前16位二进制位中的前两位必须是“10”。转换成十进制后,其取值的范围应在128--191之间。由于最高两位被限定为“10”,所以,实际上只有其后的14位用来区分网络地址,也就是说,可以有16384个B类网。
对于C类地址,分配IP地址的前24位作为网络地址,其余8位作为主机地址。并且,这前24位二进制位中的前三位必须是“110”。转换成十进制后,其取值的范围应在192--223之间。可以有2的21次方个C类网。但由于只有8位用于主机机址,所以,每个C类网,只能有254台主机(主机地址不能全为0 或全为1)。
D类和E类地址的前四位,分别规定为“1110”和“1111”,对应的十进制取值范围为224--239和240--254。
由于互联网起源于美国国防部研发的ARPANET,所以,美国占用了大部分A类网址,其后的国家,根据接入互联网时间的先后等因素,申请并获得剩余的网络地址。这也是为什么中国网民众多,可得到的许多地址却是C类的主要原因。
子网掩码,也是由32位二进位组成的,它告诉TCP/IP主机,IP地址的哪些位对应于网络地址,哪些位对应于主机地址。子网掩码中1所对应的部分网络地址,0所对应的部分为主机地址。计算时用IP地址与子网掩码按位进行逻辑与运算。例如一台主机的IP地址为192.168.0.1(对应的二进制位为 110000001010100000000000000000001),子网掩码为255.255.255.0(对应的二进制位为 11111111111111111111111100000000),由于子网掩码的前24位为1,则表示该IP地址的前24位为网络地下,后8位为主机地址。前24位转换成十进制后为192.168.0,这个地址就是192.168.0.1这个IP地址的网络地址,也叫网络ID。不同的网络地址(网络 ID)就属于不同的网段(也叫子网)。因此,说两个IP地址是否是同一个网段(或子网)的,不能仅凭IP地址,必须结合子网掩码来看。例如您提到的 192.168.0.1和192.168.1.5这两个地址,如果子网掩码是255.255.255.0,则这两个IP地址是分属两个子网的,但如果子网掩码是255.255.0.0.则这两个IP地址是同一个子网的。
有网友可能会问,既然IP地址分为5类,而且每类IP地址都有各自的范围。那么通过IP地址的值,不就可以知道哪几位是网络地址,哪几位是主机地址了吗?说的没错,确实这样。但这是在理想的情况下。前边我们也提到过,C类网中,每个网络只能有254台主机,对于一个比较大的单位和组织来说,这254台主机是远远不够的。那我们就希望能够将连续的若干个C类网,合并成一个较大的网络,在互联网上做为一个单独的网络通告。与此相反,一些机构获得了B类网,甚至A 类网址,为了便于管理,或是出于性能的考虑(如果一个网段内主机数量过多,会使网络运行效率大幅下降。),需要将网络细化。这两种情况(组给小网络和细化大网络)都需要改变子网掩码的位数,使其不同于标准分类中的掩码长度。所以,仅凭IP地址来判断其是否属于一个网段,是不正确的。
-----------------------------------------------------------------------------------------------------------
越看越多……无语
----------------------------------------------------------------------------------------------------------
互动百科,广播风暴
交换机不能阻止广播风暴
交换机与集线器的本质区别:用集线器组成的网路称为共享式网路, 而用交换机组成的网路称为交换式网路。 共享式以太网存在的主要问题是所有用户共享带宽,每个用户的实际可用带宽随网路用户数的增加而递减。这是因为当资 讯繁忙时,多个用户可能同时“争用”一个信道,而一个信道在某一时刻只允许一个用户占用,所以大量的用户经常处于监测等待状态,致使信号传输时产生抖动、 停滞或失真,严重影响了网路的性能。
Continue reading 内部网相关--网段
VLAN 隔离内外网:电子政务网络中存在多种业务,要实现多网的统一互联,同时又要保证各个网络的安全,除了在应用层上通过加密、签名等手段避免数据泄漏 和篡改外,在局域网的交换机上采用VLAN技术进行,将不同业务网的设备放置在不同的VLAN中进行物理隔离,彻底避免各网之间的不必要的任意相互访问。 在实现VLAN的技术中,以基于以太网交换机端口的VLAN(IEEE 802.1Q)最为成熟和安全。防火墙访问控制保证。
网络核心安全:为了网络构建简单,避免采用太多的设备使管理复杂化,从而降低网络的安全性,可以放置一个高速防火墙,如图所示,通过这个这个 防火墙,对所有出入中心的数据包进行安全控制及过滤,保证访问核心的安全。另外,为保证业务主机及数据的安全,不允许办公网及业务网间的无控制互访,应在 进行VLAN划分的三层交换机内设置ACL。
数据加密传输:对于通过公网(宽带城域网)进行传输的数据及互联,数据加密是必须的,在对关键业务做加密时,可以考虑采用更强的加密算法。
设置DMZ区进行外部访问:通常对于外部网络的接入,必须采取的安全策略是拒绝所有接受特殊的原则。即对所有的外部接入,缺省认为都是不安全 的,需要完全拒绝,只有一些特别的经过认证和允许的才能进入网络内部。与网络中心及其它内部局域网之间的互连采用停火区(DMZ),设置集中认证点对接入 用户进行安全认证,认证及相关服务器位于停火区,业务通过代理服务器进行交换,不允许外部网络直接访问内部系统
----------------------------------------------------------------------------------------------------------------------------
当前虚拟园区网1.0方案已广泛应用于政府、大企业、医疗等行业,它提出和实现了网络虚拟化所需的基本技术思路:在用户接入网络时,使用 802.1x、Portal协议提供身份识别、权限控制服务,实现最优的访问控制策略;在用户接入网络后,通过MPLS VPN、VRF-VRF等多种逻辑隔离技术,能在保留当前园区网设计优势的同时,在一张物理网络上叠加多层逻辑分区,提供安全的虚拟化网络资源;共享服务 和安全策略实施的集中化,大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支,有助于进行统一的规划建设和运维管理。
一、 虚拟园区网1.0精髓
在“虚拟园区网解决方案1.0”中,重点关注如何解决以下三个问题:
◆网络接入控制:确保接入用户的合法性和安全性,并能够根据用户身份动态授权;
◆业务逻辑隔离:确保用户组业务的安全隔离和可控互访,即VPN隔离和互访;
◆统一服务:确保每个用户组能够获得正确的服务,并进行集中的管理和策略控制。
这三方面是实现虚拟化园区网络建设中必须要面对和解决的问题,解决这些问题的思路和技术方案构成了“虚拟园区网解决方案1.0”的精髓。
1. 网络接入控制
通过网络接入控制对接入网络的终端进行接入安全保障和基于身份的动态访问授权。
虚拟园区网使用逻辑隔离技术,在一张物理网络上虚拟出多套封闭的逻辑资源。在用户接入网络的时候,必须要考虑用户所属群组与逻辑网络资源之间的对应关系,以便于给用户分配正确的权限,并保证封闭逻辑资源的安全性。
这里,建议部署H3C的终端准入控制(EAD,End user Admission Domination)系统,该系统根据接入用户的身份信息,与网络设备配合对用户进行动态授权,控制不同群组用户能够访问到不同的逻辑资源;并能提供用 户终端的安全性和法规遵从性检查,加强对用户的集中管理,提高网络终端的主动安全防御能力。
在使用EAD系统进行灵活准入控制的时候,根据应用场景不同,通常有两种控制方式:
◆802.1x方式 
图1. 802.1x方式的网络接入控制典型组网
如图1所示,接入控制点在园区网络的接入层设备、认证协议使用802.1x。802.1x是端口安全的标准协议,能够在认证用户及其关联的VPN间形成连接,防止在未授权情况下访问禁止接入的资源。
初始情况下,未认证用户连接网络时,根据预配的策略,用户不能接入网络,或只能访问部分安全等级要求不高的公共资源,如公共资源VPN里的打印机、软件升级服务器、病毒库版本升级服务器、访问Internet服务等,无法访问其它安全等级较高的私有VPN资源。
用户使用EAD系统通过认证后,网管会根据认证用户名的群组归属属性,由策略服务器给接入层控制设备下发端口归属关系配置调整信息,建立用户接入端 口与相应VPN的连接关系,提供用户对相应VPN内资源的访问通道。此时,用户只能访问所授权访问VPN内的资源,无法访问和查看其它用户VPN内的资 源,从而实现对接入用户的资源访问权限控制和安全的逻辑隔离。并且同一物理端口在不同时刻可分别提供给多个用户使用,每次认证通过后策略服务器都会根据认 证用户属性下发端口归属VPN的配置信息,使用户接入到不同的VPN中去。用户在未认证时,可能都能访问相同的公共资源,但用户认证后,就只能分别访问所 归属VPN内的资源,同一台终端先后使用不同的用户名认证接入网络,能够访问到的资源也是不同的。这样大大提高了用户动态接入网络资源的灵活性。
802.1x方式在网络接入的最前端进行访问权限控制和安全检查,通过调整用户接入端口与VPN的映射关系来控制用户对相应VPN资源的访问,具有较高的安全性。同时,能够支持用户的位置移动性,无论用户从边缘的哪个接口接入,都能访问到相同的授权资源。
◆Portal方式
对于无法在接入层设备进行接入访问控制的组网,还可以采用一种基于汇聚网关的Portal认证方案。 
图2. Portal方式网络接入控制典型组网
在这个方案中,用户的接入身份认证和权限控制点不在接入层设备上,而是在位置较高的汇聚、核心层,这样可以兼容下层网络的异构性、对接入层设备的要求也较低。但是,这种部署方式要求虚拟化VPN资源的划分要在Portal认证点之上。
初始情况下,用户可以访问不需要认证的资源,如本地局域网内的部分资源、Internet服务等。当用户需要通过Portal网关访问受控资源的时 候,就需要启动EAD客户端或通过认证网关推送的认证界面进行认证,服务器根据认证用户信息,下发控制策略给Portal网关,建立用户与相应VPN资源 的访问通道、限制对其它VPN虚拟资源的访问。
基于Portal方式的接入控制简化方案也得到了广泛应用,如在某个大型园区网络中部署了虚拟化技术对办公业务和访问Internet业务进行逻辑 隔离,采用Portal认证方式:用户接入网络后,无需认证即可访问Internet,此时用户无法访问办公业务资源;当用户需要访问办公VPN资源的时 候,数据流触发Portal网关推送认证界面给用户,用户认证通过后即可访问办公VPN资源,但此时由于策略服务器给Portal网关下发了控制策略,用 户无法再同时访问Internet,若需访问Internet,用户需要退出认证。这样,能够更加灵活、简化对网络虚拟资源的访问控制,更便于部署和使 用。
网络接入控制包含两方面内容:一是对接入用户访问网络虚拟资源的权限控制,二是对接入用户的合法性和安全性检查。EAD系统充分支持这两方面功能, 无论使用802.1x方式还是Portal方式的认证,都能对接入终端的安全性、合规性进行检查,并提供检查报告,对不满足要求的终端,限制其接入网络。 对认证通过并进行了访问授权的用户,仍能提供实时的安全状态监测,以保障终端和网络的安全性。
2. 业务逻辑隔离
目前,有多种技术能够支持网络虚拟化分区、实现用户组业务的逻辑隔离,包括GRE、VRF-VRF、MPLS L3/L2 VPN等。但是从虚拟园区网方案在行业应用的分析来看,VRF-VRF和MPLS L3 VPN是应用较多的技术,也相对于其它技术更有优势。
◆中小型园区
对于一些中小型园区,网络设备层次少、结构简单、业务划分关系固定,非常适合VRF-VRF方案。利用园区内设备的虚拟路由转发功能,为不同群组/ 业务划分固定的逻辑隔离通道,满足业务的横向隔离需求。一次配置完成后即可稳定地提供服务,支持通道间的地址重叠和控制策略不一致。
◆大型园区
对于大型复杂园区,更适合使用MPLS L3 VPN技术建立虚拟化园区网络。MPLS L3 VPN已在广域网应用多年,技术成熟、控制灵活,对于虚拟网络间的互访业务能够提供很好的支持。由于在大型园区内部,无论业务系统集中还是分布部署,都可 能存在跨VPN的业务互访和资源共享,VRF-VRF、GRE等隔离技术无法很好地支撑这种业务访问模式。MPLS VPN依靠路由、接口VPN实例绑定关系建立VPN通道进行通信,通过路由的引入引出控制策略,实现VPN间灵活的互访,并且能够支持可靠性检测、多路径 负载均衡等技术,所以更适合网络规模大、设备台数多的组网应用环境。
利用MPLS VPN把网络虚拟化从广域延伸到园区,需要园区交换机产品对MPLS VPN特性提供全面的支持,否则无法实现真正的网络虚拟化。以H3C为例,其路由器、交换机、安全等产品能够提供全面的网络虚拟化技术支持,实现跨广域、园区的端到端虚拟化部署方案。
图3. H3C端到端的虚拟化解决方案
3. 统一服务
传统物理隔离网络带来的一个严重问题:应用服务器需要重复部署且数据同步困难、安全策略需要分别定义和配置、管理复杂度增加。园区虚拟化方案能够有 效解决以上难题,为用户提供集中的数据中心服务、统一的Internet/广域网出口、统一的网络监控/管理软件,提高资源的利用率、降低管理复杂 度:
◆集中的数据中心服务。数据中心的应用支持多VPN用户的共享或专用,通过云计算、服务器虚拟化等技术的应用,屏蔽数据中心内部硬件设备间的差异,根据虚拟网络用户组和业务的需求分配计算、存储资源,提供统一、集中的服务,以降低提供这些服务的资本和运营开支;
◆ 园区内所有用户共享统一的Internet/广域网接口。虚拟防火墙、NAT转换等技术的应用减少了网络、安全设备的部署数量,多VPN用户共享 集中部署的防火墙和入侵检测设备。以H3C的网络、安全产品为例,是通过VPN感知功能,在一个设备上能够并发提供几百个虚拟防火墙,每个虚拟网络用户组 都能在各自的虚拟防火墙实例上实施自己的策略,而整体上只需要拥有一台硬件防火墙设备;
◆统一的网络管理、监控软件。通过专门的管理VPN,实现对整网资源的配置管理和对各种业务流量的监控、规划。例如通过iMC统一管理平台、MPLS VPN Manager对全网设备、用户、VPN业务进行统一管理和监控,降低管理难度和运维成本。
二、 结束语
实现园区甚至整个网络的虚拟化,需要考虑用户终端接入的安全检查、接入VPN的动态授权、MPLS VPN端到端的业务隔离、虚拟防火墙、NAT多实例、共享数据中心、统一的运维和管理平台等多种技术、产品的综合应用,从而达到理想的设计效果。
虚拟园区网解决方案1.0以灵活的接入控制、安全的业务逻辑隔离、统一服务能力为精髓,提供了一套完整的实现虚拟化的基础方案。之后2.0方案在此 基础上,整合了IRF智能弹性架构、多业务插卡等亮点技术,更进一步提高了网络的可靠性、提升整体资源的利用率、降低用户投资、简化网络管理、增强应用提 供能力,开始了向智能化信息网络架构的迁移。
Continue reading 【转】防火墙逻辑隔离策略
