Tag: 术语

一、从影片特技到蜜罐技术 《特洛伊》里庞大的希腊舰队、《终结者2》里随意改变形体的“液体金属”、《侏罗纪公园》里满地乱跑的恐龙们、《黑客帝国》里的“子弹时间”……随着计算机技术的不断发展，越来越多的电脑特技被应用在电影领域，不需要工资的虚拟演员不知辛劳地日夜工作，这些电脑技术使得导演可以构思现实中不可能存在的情节环境，也减少了影片开支。但是，在计算机的信息安全领域里，网络管理员要面对的是黑客真枪实干的入侵破坏，难道在电脑技术大量应用的今天，安全领域却得不到一点援助?答案是有的，它就是在安全领域里代替网络管理员上阵的“虚拟演员”——蜜罐技术。 蜜罐，或称Honeypot，与应用于电影的特技相比，它并不神秘——所谓蜜罐，就是一台不作任何安全防范措施而且连接网络的计算机，但是与一般计算机不同，它内部运行着多种多样的数据记录程序和特殊用途的“自我暴露程序”——要诱惑贪嘴的黑熊上钩，蜂蜜自然是不可少的。在入侵者的角度来看，入侵到蜜罐会使他们的心情大起大落——从一开始偷着乐骂管理员傻帽到最后明白自己被傻帽当成猴子耍的过程。 二、为什么要使用蜜罐 《终结者2》里阿诺让约翰把自己放入熔炉，《特洛伊》里Achilles被王子射杀，战争片里的机枪扫射，甚至《黑衣人》里外星人发射的核弹毁灭了北极!如果这一切是真实的话，我们的明星已经成为墙上的照片了，拍一部片要死多少人?况且，我们只有一个地球，值得为了一部影片炸掉某个地区?所以人们必须采用电脑特技完成这些不能真实发生的剧情。同样，管理员也不会为了记录入侵情况而让入侵者肆意进入服务器搞破坏，所以蜜罐出现了。 前面说过了，蜜罐是一台存在多种漏洞的计算机，而且管理员清楚它身上有多少个漏洞，这就像狙击手为了试探敌方狙击手的实力而用枪支撑起的钢盔，蜜罐被入侵而记录下入侵者的一举一动，是为了管理员能更好的分析广大入侵者都喜欢往哪个洞里钻，今后才能加强防御。 另一方面是因为防火墙的局限性和脆弱性，因为防火墙必须建立在基于已知危险的规则体系上进行防御，如果入侵者发动新形式的攻击，防火墙没有相对应的规则去处理，这个防火墙就形同虚设了，防火墙保护的系统也会遭到破坏，因此技术员需要蜜罐来记录入侵者的行动和入侵数据，必要时给防火墙添加新规则或者手工防御。 三、深入蜜罐 既然使用蜜罐能有那么多好处，那么大家都在自己家里做个蜜罐，岂不是能最大程度防范黑客?有这个想法的读者请就此打住!蜜罐虽然在一定程度上能帮管理员解决分析问题，但它并不是防火墙，相反地，它是个危险的入侵记录系统。蜜罐被狡猾的入侵者反利用来攻击别人的例子也屡见不鲜，只要管理员在某个设置上出现错误，蜜罐就成了打狗的肉包子。而一般的家庭用户电脑水平不可能达到专业水平，让他们做蜜罐反而会引火烧身——蜜罐看似简单，实际却很复杂。虽然蜜罐要做好随时牺牲的准备，可是如果它到最后都没能记录到入侵数据，那么这台蜜罐根本就是纯粹等着挨宰的肉鸡了，蜜罐就复杂在此，它自身需要提供让入侵者乐意停留的漏洞，又要确保后台记录能正常而且隐蔽的运行，这些都需要专业技术，如果蜜罐能随便做出来，我们在家里也能拍摄《黑客帝国》了——故意开着漏洞却没有完善的记录处理环境的服务器不能称为蜜罐，它只能是肉鸡。 所以，我们必须了解蜜罐，它到底是什么样的? 1.蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值;而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是:“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2.涉及的法律问题 蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的，例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人，那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。 由于蜜罐属于记录设备，所以它有可能会牵涉到隐私权问题，如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据，或者偷偷拦截记录公司网络通讯信息，这样的蜜罐就已经涉及法律问题了。 对于管理员而言，最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为，既然蜜罐是故意设计来“牺牲”的，那么它被破坏当然合情合理，用不着小题大做吧。对，蜜罐的确是用来“受虐”的，但是它同时也是一台连接网络的计算机，如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击，因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的，例如，你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一，那么这个责任谁来负担? 3.蜜罐的类型 世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置来无聊的，因此，就产生了多种多样的蜜罐…… 3.1.实系统蜜罐 实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的，没有任何SP补丁，或者打了低版本SP补丁，根据管理员需要，也可能补上了一些漏洞，只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络，根据目前的网络扫描频繁度来看，这样的蜜罐很快就能吸引到目标并接受攻击，系统运行着的记录程序会记下入侵者的一举一动，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。 3.2.伪系统蜜罐 什么叫伪系统呢?不要误解成“假的系统”，它也是建立在真实系统基础上的，但是它最大的特点就是“平台与漏洞非对称性”。 大家应该都知道，世界上操作系统不是只有Windows一家而已，在这个领域，还有Linux、Unix、OS2、BeOS等，它们的核心不同，因此会产生的漏洞缺陷也就不尽相同，简单的说，就是很少有能同时攻击几种系统的漏洞代码，也许你用LSASS溢出漏洞能拿到Windows的权限，但是用同样的手法去溢出Linux只能徒劳。根据这种特性，就产生了“伪系统蜜罐”，它利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的 “漏洞”，只能是在一个程序框架里打转，即使成功“渗透”，也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件，谈何“渗透”?实现一个“伪系统”并不困难，Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现，甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”，让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易，只要在后台开着相应的记录程序即可。 这种蜜罐的好处在于，它可以最大程度防止被入侵者破坏，也能模拟不存在的漏洞，甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的Windows特征!但是它也存在坏处，因为一个聪明的入侵者只要经过几个回合就会识破伪装，另者，编写脚本不是很简便的事情，除非那个管理员很有耐心或者十分悠闲。 4.使用你的蜜罐 既然蜜罐不是随随便便做来玩的，管理员自然就不会做个蜜罐然后让它赋闲在家，那么蜜罐做来到底怎么用呢? 4.1.迷惑入侵者，保护服务器 一般的客户/服务器模式里，浏览者是直接与网站服务器连接的，换句话说，整个网站服务器都暴露在入侵者面前，如果服务器安全措施不够，那么整个网站数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐，让蜜罐作为服务器角色，真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射，这样可以把网站的安全系数提高，入侵者即使渗透了位于外部的“服务器”，他也得不到任何有价值的资料，因为他入侵的是蜜罐而已。虽然入侵者可以在蜜罐的基础上跳进内部网络，但那要比直接攻下一台外部服务器复杂得多，许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏，可是不要忘记了，蜜罐本来就是被破坏的角色。 在这种用途上，蜜罐不能再设计得漏洞百出了。蜜罐既然成了内部服务器的保护层，就必须要求它自身足够坚固，否则，整个网站都要拱手送人了。 4.2.抵御入侵者，加固服务器 入侵与防范一直都是热点问题，而在其间插入一个蜜罐环节将会使防范变得有趣，这台蜜罐被设置得与内部网络服务器一样，当一个入侵者费尽力气入侵了这台蜜罐的时候，管理员已经收集到足够的攻击数据来加固真实的服务器。 采用这个策略去布置蜜罐，需要管理员配合监视，否则入侵者攻破了第一台，就有第二台接着承受攻击了…… 4.3.诱捕网络罪犯 这是一个相当有趣的应用，当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候，如果技术能力允许，管理员会迅速修复服务器。那么下次呢?既然入侵者已经确信自己把该服务器做成了肉鸡，他下次必然还会来查看战果，难道就这样任由他放肆?一些企业的管理员不会罢休，他们会设置一个蜜罐模拟出已经被入侵的状态，做起了姜太公。同样，一些企业为了查找恶意入侵者，也会故意设置一些有不明显漏洞的蜜罐，让入侵者在不起疑心的情况下乖乖被记录下一切行动证据，有些人把此戏称为“监狱机”，通过与电信局的配合，可以轻易揪出IP源头的那双黑手。 四、结语 随着网络入侵类型的多样化发展，蜜罐也必须进行多样化的演绎，否则它有一天将无法面对入侵者的肆虐。这也对网络管理员的技术能力有了更高的要求，因为蜜罐 ——这个活跃在安全领域的虚拟演员，它的一举一动，都是通过你来设计的，我们无法让蜜罐像T-X那样变化无常，但是，至少要防止我们设计的阿诺再次被T- … 继续阅读 →

单播是：有具体目标地址的帧从源到达目标地址的过程。比如你对张三喊“张三”，哪么只有张三答应你 多播（组播）：就是帧送往定义在一组内的地址。比如你喊：“是男的都过来一人发一百块钱”。哪么男的都会过来女的就不会过来因为没有钱发她不会理你 广播：就是把帧发往所有能到达的地址。比如你在学校的广播中喊“今天放假”。哪么全校的同学都会大叫爽死了呵呵 …

DoS是“拒绝服务”（Denial of Service）的缩写，它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。早期的DoS攻击都需要相当大的带宽资源来实现，而以个人为单位的“入侵者”往往没有这样的条件。但是后来攻击者发明了分布式的攻击方式，即利用工具软件集合许多的网络带宽来同时对同一个目标发动大量的攻击请求，这就是DDOS（Distributed Denial Of Service）攻击。简而言之，DDoS攻击是由“入侵者”集中控制、发动的一组DoS攻击的集合，非常难以抵挡。 很多企业网站和个人网站都不止一次地遭遇过DoS/DDoS攻击，由此也积累了一些“亡羊补牢”的经验。前车之鉴能够提醒我们注意：“为什么我们这样容易受到攻击？如何才能防患于未然降低受攻击的风险？”下面列出的就是笔者收集的十个预防、应对DoS/DDoS攻击的有效方法： 1. 保留并定期查看各种日志以助分析各种情况。 日志看起来很枯燥，而且绝大多数时候没什么作用；可一旦意外发生，它就能为你提供很重要的信息参考，每天下班前看一眼日志吧。 2. 预先建立标准操作规程和应急操作规程。 前者简称SOPs，后者是EOPs，预先建立好规程并且处变不惊是一个合格网管员的基本素养。 3. 要有居安思危的思想准备。 遭遇攻击往往没有先兆，有备无患才是长治久安之计。 4. 网管员必须熟悉所有的配置细节。 如果你是半路接手工作，一定要向前任咨询、核对清楚所有的工作细节。 5. 在本地和外网分别进行安全性测试。 “自测”不仅是演习，多给自己出一些安全性测试的难题能起到知己知彼的效用。 6. 提防错误配置造成的隐患。 错误配置通常发生在硬件搭配、服务器系统或者应用程序中，有时候问题还很隐蔽。通过反复检查来确保路由器、交换机等网络连接设备和服务器系统都进行了正确的配置，这样才会减小各种错误和入侵、攻击发生的可能性。 7. 要熟悉过去的一些配置细节。 8. 一旦发现异常，要时刻警惕。 网管员最要不得的就是麻痹大意，凡事将就。 9. 把握好网络架构的繁简程度和系统开销、安全风险之间的平衡。 一味地添加设备并不等同于提高防护机制，网络系统一样是因简就奢易，因奢就简难。 10. 通过安全防护来降低黑客攻击的风险，比如安装防火墙等安全设备。 …

NGN（Next Generation Network）即下一代网络，它是电信史一块里程碑，标志着新一代电信网络时代的到来。从发展的角度来看，NGN是从传统的以电路交换为主的PSTN网络中逐渐迈出了向以分组交换为主的步伐，它承载了原有PSTN网络的所有业务，把大量的数据传输卸载到IP网络中以减轻PSTN网络的重荷，又以IP技术的新特性增加和增强了许多新老业务。从这个意义上讲，NGN是基于TDM的PSTN语音网络和基于IP/ATM的分组网络融合的产物，它使得在新一代网络上语音、视频、数据等综合业务成为了可能。目前，对NGN的研究成为热点，在研讨下一代网络体系及技术时，应从业务需求分析和网络装备的情况，研究新一代网络体系架构。 NGN具有广泛的内涵，其研究范围相当广泛，主要研究的内容有：新业务和应用；网络传送的基础设施；网络体系架构；IP网络技术；网络融合技术；互通和互操作；新型的控制、管理和运维机制；各网络单元；新的网络协议；网络安全体系和技术；测试技术等。 ITU的专家们认为全球信息基础设施GII已经涵盖了现有网络和未来网络的全部内涵，随着业务和技术的发展，应不断加以扩充。ITU领导的GII标准化工作包括PSTN/ISDN、ATM、IP和基于多协议的网络。这些领域的成果对NGN起着重要的作用。 NGN可以提供包括话音、数据和多媒体等各种业务的综合开放的网络构架。 NGN采用开放的网络构架体系，其特点有：将传统交换机的功能模块分离成为独立的网络部件，各个部件可以按相应的功能划分各自独立发展；部件间的协议接口基于相应的标准。部件化使得原有的电信网络逐步走向开放，运营商可以根据业务需要自由组合各部分的功能产品来组建网络。部件间协议接口的标准化可以实现各种异构网的互通。 NGN是业务驱动的网络，其功能特点为：业务与呼叫控制分离；呼叫与承载分离。分离的目标是使业务真正独立于网络，灵活有效的实现业务的提供。业务供应商和用户可以配置和定义相应的业务特征 。使得业务和应用的提供有较大的灵活性。 NGN在功能上可分为四个层次： （1） 接入和传输层(Access layer)：将用户连接至网络，集中用户业务将它们传递至目的地，包括各种接入手段。 （2） 媒体传送层(Mediaand transport layer)：将信息格式转换成为能够在网络上传递的信息格式。例如：将话音信号分割成ATM信元或IP包。此外，媒体层可以将信息选路至目的地。 （3） 控制层(Control layer)：包含呼叫智能。此层决定用户收到的业务，并能控制低层网络元素对业务流的处理。 （4） 网络服务层(Network Service layer)：在呼叫建立的基础上提供额外的服务。 将现有网络演变成下一代网络并非一日之工，而原有的网络与新网络将并存需相当长的时间，所以新网络还需能够和原有网络互通，这就要求新的网络体系能够完成以下功能：采用TDM传输网和SS7信令网互通、与现有的业务如智能网提供的业务互通和与现有的PSTN网络体系融合。 软交换是NGN的控制功能实体，为NGN提供具有实时性要求的业务的呼叫控制和连接控制功能，是NGN呼叫与控制的核心。 软交换设备位于控制层，提供多种业务的连接控制、路由、网络资源管理、计费、认证等功能。软交换设备与各种媒体网关、终端、应用服务器、其它软交换设备间采用标准协议相互通信。 简单地看，软交换是实现传统程控交换机的“呼叫控制”功能的实体，但传统的“呼叫控制”功能是和业务结合在一起的，由于不同的业务所需要的呼叫控制功能不同，因此要求软交换提供的呼叫控制功能是各种业务的基本呼叫控制。 目前软交换主要完成以下功能：媒体网关接入功能、呼叫控制功能、业务提供功能、互连互通功能（H323和SIP、IN）、支持开放的业务/应用接口功能、认证与授权功能、计费功能、资源控制功能和QoS管理功能、协议和接口功能等。 我国网络与交换标准研究组在1999年下半年就启动了软交换项目的研究， “软交换设备总体技术要求”规范了软交换在网络中的位置，明确了其功能要求、业务要求、操作维护和网管要求、协议和接口要求、计费要求和性能指标，还规定了它与IP电话及智能网的互通要求等。该标准经过近两年的研究，是运营企业、制造企业和科研机构共同协作所取得的成果。软交换系列标准的形成将对指导厂商的设备研发和网络应用起到积极作用，我国关于软交换的研究工作处于世界同步水平。由于标准的研发早于市场的应用，其多项指标仍有待试验的验证和在实践中不断加以完善。此外，网络与交换研究组在积极制定有关信令网关和媒体网关及相关协议的技术规范，立项开始研究网络开放式体系架构及相关设备单元的测试规范。我国电信企业中兴和华为等公司已经研究开发了提供话音业务的软交换系统。 我国高科技863计划开始立项有关软交换系统在移动和多媒体应用的研究，该课题以软交换技术为核心，重点研究能够支持多媒体业务和应用于无线系统的软交换体系，采用开放式API的业务及应用支撑环境，以及软交换系统的组网技术。 多媒体业务一般由基于包交换的宽带多媒体通信网所承载。由于涉及到图像等因素，在终端、业务、资源等主要方面都比单纯的语音业务要苛刻得多。为了达到在公众电信网中提供实用的多媒体业务，就需要对这些问题认真地加以研究和解决，以实现真正意义上的融合网络。 在包交换迅速发展的大趋势下，移动网络也同样面临着向NGN融合和演进的问题。就移动网络而言，其发展方向是分组化、智能化和宽带化的第三代通信网络（3G）。但在更广泛的意义上来说，3G也是NGN的一个组成部分，而且它和其它组成部分间的联系比现在GSM网络与其它网络间的联系要密切得多。软交换技术在其中发挥了重要的粘合作用。 移动性包括三类移动性。终端移动性：终端位置移动时仍然能使用其业务；用户移动性：用户可以使用任一终端使用其业务；业务移动性：用户可在任意地点用任意终端使用其业务。 下一代业务及应用支撑环境主要包括应用服务器、业务能力服务器、业务生成环境工具和业务管理服务器。应用服务器向用户提供增值业务；业务能力服务器向应用服务器提供网络基本能力；业务生成环境工具用于业务的自动生成以及业务的仿真和测试；业务管理服务器用于对业务和用户数据进行集中式管理。 研究软交换环境下的网络融合技术，分层的、全开放的网络体系架构以及基于软交换的组网技术。 …

虚拟电路：永久虚电路 pvc 和 交换虚电路 SVC （Virtual Circuits: Permanent Virtual Circuits － PVCs and Switched Virtual Circuits －SVCs） 虚电路是指位于两台网络设备之间的连接，是由 OSI 网络层为发送和接收数据而建立的逻辑通信路径。具有虚电路性能的网络包括 X.25 连接、帧中继以及 ATM 网络。 虚电路分为两种：一种永久虚电路（PVC）；另一种为交换虚电路（SVC）。 永久虚电路（PVC）是指通信双方的电路在用户看来是永久连接的虚电路。PVC 由网管预先定义。PVC 适用于通过路由器维持恒定连接，从而便于在动态网络环境下传输路由选择信息的电路。载波信号为各用户分配 PVC，从而降低网络开销并提高网络性能。 交换虚电路（SVC）是指通信双方的电路在用户看来是由独立节点临时且动态连接的虚电路。一旦通信会话完成，便取消虚电路。 注:解决链路复用问题 …

交换机的背板带宽，是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力，单位为Gbps，也叫交换带宽，一般的交换机的背板带宽从几Gbps到上百Gbps不等。一台交换机的背板带宽越高，所能处理数据的能力就越强，但同时设计成本也会越高。 一般来讲，计算方法如下: 1）线速的背板带宽 考察交换机上所有端口能提供的总带宽。计算公式为: 端口数*相应端口速率*2（全双工模式） 如果总带宽≤标称背板带宽，那么在背板带宽上是线速的。 2）第二层包转发线速 第二层包转发率=千兆端口数量×1.488Mpps+百兆端口数量*0.1488Mpps+其余类型端口数*相应计算方法，如果这个速率能≤标称二层包转发速率，那么交换机在做第二层交换的时候可以做到线速。 3）第三层包转发线速 第三层包转发率=千兆端口数量×1.488Mpps+百兆端口数量*0.1488Mpps+其余类型端口数*相应计算方法，如果这个速率能≤标称三层包转发速率，那么交换机在做第三层交换的时候可以做到线速。 那么，1.488Mpps是怎么得到的呢? 包转发线速的衡量标准是以单位时间内发送64byte的数据包（最小包）的个数作为计算基准的。对于千兆以太网来说，计算方法如下：1，000，000，000bps/8bit/（64＋8＋12）byte=1,488,095pps (说明：当以太网帧为64byte时，需考虑8byte的帧头和12byte的帧间隙的固定开销。) 故一个线速的千兆以太网端口在转发64byte包时的包转发率为1.488Mpps。快速以太网的统速端口包转发率正好为千兆以太网的十分之一，为148.8kpps。 *对于万兆以太网，一个线速端口的包转发率为14.88Mpps。 *对于千兆以太网，一个线速端口的包转发率为1.488Mpps。 *对于快速以太网，一个线速端口的包转发率为0.1488kpps。 *对于OC－12的POS端口，一个线速端口的包转发率为1.17Mpps。 *对于OC－48的POS端口，一个线速端口的包转发率为468MppS。 所以说，如果能满足上面三个条件，那么我们就说这款交换机真正做到了线性无阻塞 背板带宽资源的利用率与交换机的内部结构息息相关。目前交换机的内部结构主要有以下几种：一是共享内存结构，这种结构依赖中心交换引擎来提供全端口的高性能连接，由核心引擎检查每个输入包以决定路由。这种方法需要很大的内存带宽、很高的管理费用，尤其是随着交换机端口的增加，中央内存的价格会很高，因而交换机内核成为性能实现的瓶颈；二是交叉总线结构，它可在端口间建立直接的点对点连接，这对于单点传输性能很好，但不适合多点传输；三是混合交叉总线结构，这是一种混合交叉总线实现方式，它的设计思路是，将一体的交叉总线矩阵划分成小的交叉矩阵，中间通过一条高性能的总线连接。其优点是减少了交叉总线数，降低了成本，减少了总线争用；但连接交叉矩阵的总线成为新的性能瓶颈。 …

FTP的连接一般是有两个连接的，一个是客户程和服务器传输命令的，另一个是数据传送的连接。FTP服务程序一般会支持两种不同的模式，一种是Port模式，一种是Passive模式(Pasv Mode)，我先说说这两种不同模式连接方式的分别。 先假设客户端为C，服务端为S。 Port模式: 当客户端C向服务端S连接后，使用的是Port模式，那么客户端C会发送一条命令告诉服务端S(客户端C在本地打开了一个端口N在等着你进行数据连接)，当服务端S收到这个Port命令后就会向客户端打开的那个端口N进行连接，这种数据连接就生成了。 Pasv模式: 当客户端C向服务端S连接后，服务端S会发信息给客户端C，这个信息是(服务端S在本地打开了一个端口M，你现在去连接我吧)，当客户端C收到这个信息后，就可以向服务端S的M端口进行连接，连接成功后，数据连接也建立了。 两种模式主要的不同是数据连接建立的不同，对于Port模式，是客户端C在本地打开一个端口等服务端S去连接建立数据连接；而Pasv模式就是服务端S打开一个端口等待客户端C去建立一个数据连接。 什么时候需要把传送模式设置成PASV mode? —–内网IP访问外网IP Internet(Wan:211.1.1.5) — 路由器(LAN:192.168.1.1) — 客户机(192.168.1.2) 当您通过下载工具或使用浏览器下载影片的时候就开始连接FTP服务器, 当FTP服务收到你的连接请求后发送应答信息给客户并开始等待用户的认证信息——>认证通过后开始建立数据连接如果你不是设置成为pasv模式，那么客户段（下载工具）会在本地计算机开一个数据端口，然后发送一条“命令”给FTP服务段，“我已打开了n端口你现在可以连接我”，那么FTP服务器段就开始连接你ip地址的N端口，（但是连接是失败的）因为你是通过192.168.1.1 这个网关（你的路由设备）访问internet的ftp服务段他实际上是同你的外网地址为211.1.1.5的路由设备连接，根本就连接不上你下载工具中打开的端口，所以此时你会看到服务器反馈的错误信息，提示你192.168.1.2打开的端口无法连接之类的，信息此时你就需要把传送模式设置成为PASV模式，而如果你使用的是PASV模式那么当你ftp通过认证后，客户段首先向服务器发送一条PASV命令，服务段接受到命令后打开一个端口并告诉客户段“我已打开了一个端口，你此时可以来连接了”客户段（下载工具）接受到信息后，就去连接服务段已经打开了的端口，从而完成数据连接，所有ftp下载的数据流都将通过这个端口传送。 …