开云 开云体育平台开云 开云体育平台系统在网络层检查数据包，与应用层无关。但是系统对应用层信息 无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所 攻破 ；

　　RTSP位于RTP和RTCP之上，默认端口为554，使用TCP或RTP完 成数据传输；一般来说，RTSP使用TCP完成控制信息的传输，用 RTP完成媒体数据的传输；

　　流式传输有顺序流式传输(Progressive Streaming)和实时流式传输 (Realtime Streaming)两种方式。实时流式传输是实时传送，特别适 合现场事件，实时流式传输必须匹配连接带宽，这意味着图像质量 会因网络速度降低而变差，以减少对传输带宽的需求。“实时”的 概念是指在一个应用中数据的交付必须与数据的产生保持精确的时 间关系，这需要相应的协议支持，这样RTP和RTCP就相应的出现 了；

　　在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。由于不同公司 网络环境的差异性，该产品必须能兼容不同的操作平台和协议。

　　1、网络现有的 Routers 不用作任何修改 2、现有的网络应用完全可以正常运行，最终用户来说完全感觉不到 任何变化

　　目前网络中常见的组网都是分层的，即分为：骨干层、汇聚层、接入层 方案优点： 骨干网、汇聚网、接入网分层管理，有效减小骨干网的负担和被攻击的风险，同时 便于权限的控制和管理

　　VLAN（Virtual LAN）是“虚拟局域网”。LAN可以是由少数几台 家用计算机构成的网络，也可以是数以百计的计算机构成的企业网 络。VLAN所指的LAN特指使用路由器分割的网络—也就是广播域。 本来，二层交换机只能构建单一的广播域，不过使用VLAN功能后， 它能够将网络分割成多个广播域。

　　检查所有应用层的信息包，并将检查的内容信息放入决策过程，从 而提高网络的安全性 ，但是应用网关防火墙可伸缩性差；

　　不检查数据区,防火墙的核心部分建立状态连接表，维护了连接，将 进出网络的数据当成一个个的事件来处理，应用控制较弱；

　　综合了状态检测与透明代理，可以检查整个数据包内容，根据需要 建立连接状态表，网络层保护强；

　　随着Internet的广泛使用，Internet网络中出现了很多安全隐患，严 重威胁着正常的信息交互。因此迫切需要在内网和外网之间构筑一 道防线，用以抵御来自外部的绝大多数攻击，而防火墙正是完成这 项任务的网络边防产品；

　　• 如下图：交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外 的其他所有端口，也就是Flooding了。接着，交换机3收到广播帧后也会 Flooding，最终ARP请求会被转发到同一网络中的所有客户机上，造成了网

　　• 如下图：在交换机上生成红、蓝两个VLAN；同时设置端口1、2属于红色 VLAN、端口3、4属于蓝色VLAN。端口1联的设备发出广播帧的话，交换机 就只会把它转发给同属于一个VLAN的其他端口—也就是属于红色VLAN的 端口2，不会再转发给属于蓝色VLAN的端口，VLAN通过限制广播帧转发的

　　流（Streaming）是近年在Internet上出现的新概念，主要是指通过 网络传输多媒体数据的技术总称。一种从Internet上获取音频和视频 等多媒体数据的新方法，它能够支持多媒体数据流的实时传输和实 时播放。通过运用流媒体技术，服务器能够向客户机发送稳定和连 续的多媒体数据流，客户机在接收数据的同时以一个稳定的速率回 放，而不用等数据全部下载完之后再进行回放。

　　RTP根据应用程序的要求将流媒体数据包封装成RTP数据包并进行发送； 在RTP会话期间，每个参与者周期性的向其它参与者发送RTCP控制包；

　　• • • • • • RTP/RTCP在音频传输上的应用： 音频发送端，对模拟音频进行音频采样，对采集到的音频并进行音频编码; 音频发送端，通过传输控制处理，统计发送端的信息，调整发送端的设置； 音频发送端，通过音频传输生成适合网络上传输的音频流，即基于RTP封装的组播数 据包； 音频接收端，通过音频接收接收自己想要的音频流，在组播模式下加入特定的组； 音频接收端，通过抖动处理来对收到的UDP音频数据包进行排序、缓冲、抖动处理， 以提供正确的音频数据包供音频解码处理；并向音频发送端反馈网络信息； 音频发送端，传输控制处理根据反馈的网络信息，进行相关速率和画质的调整； 音频接收端，对抖动处理后的音频数据包进行音频解码，以获得真实的音频数据包； 音频解码的规则要和音频发送端的规则保持一致； 音频接收端，对解码的音频数据包进行音频播放，生成音频输出传给接收者 ;

　　上面提到的大都是属于『一个主机名称对应一个固定的 IP 地址！』的型态， 但是由于近年来拨接网络的盛行，而拨接网络所分给你的 IP 并非固定的， 也就是说，你每次重新开机拔号后上网时的IP都会不一样！

　　那就会产生一个问题，如果你架设了一个网站，但是你的 IP 却一直变来变 去，那客户端如何跟你联机呢？这时就有所谓的DDNS即动态 DNS 出现了， 原理如下：

　　PPPOE（PPP over Ethernet）基于以太网的点对点通信协议，通 过PPPOE，在一个共享的以太网上的多个主机，可以通过一个或多 个简单的桥接入设备，与远程接入集中器进行多个PPP会话 ； PPPoE就是将PPP数据承载到以太网上，实质是在共享介质的网络 中提供一条逻辑上的点到点链路。

　　1、RIP: 内部网关协议，通过距离矢量算法来生成路由，主要机制 是触发更新和水平分割；由于RIP的最大跳数为16，因此只适合小 型网络； 2、OSPF：内部网关协议，通过链路状态信息来生成路由，主要机 制是通过划分不同的区域和网络类型来实现，适合大型网络; 3、BGP：外部网关协议，本身不生成路由，只传输路由，主要机 制是其丰富的各类属性来实现不同的功能； 4、IGP,EGP,EIGP：CISCO私有协议，功能与RIP、BGP差不多； 单播路由协议在网络中的位置如下图：

　　按业务构成，可以将VPN分为三类： • Access VPN: 在远程用户或移动雇员和公司内部网之间的VPN。实现过程如下： 用户拨号与公司总部内部连接，访问其内部资源。 Intranet VPN: 在公司远程分支机构的LAN和公司总部LAN之间的VPN。通过 Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的 LAN，以便公司内部的资源共享、文件传递等，可节省DDN等专线 所带来的高额费用。 • Extranet VPN:

　　在整个安防市场整体向网络化、数字化、智能化发展大潮的推 动之下，嵌入式DVR虽然现在的网络功能还不能完全满足用户的 需求，但其正在朝着网络化的大目标去努力发展，DVR网络化是 大势所趋；

　　为更好的了解DVR在网络中的位置、组网及应用，下面我们就 DVR关联的网络技术如：VLAN、单播路由、组播路由、RTP传 输、RTSP、PPPOE、NAT、DNS、VPN、FIREWALL等分别对 其背景、原理、应用进行一个概要的描述，并结合网络拓扑图来 描述说明；

　　NAT在IP协议栈完成IP包的截获后，从IP包中剥离出IP头，根据IP头中的 “协议”域可以判断出是UDP包还是TCP包。利用IP头和UDP头或者TCP 头中的相关信息，就可以根据需要进行IP地址和Port的转换处理 ，如下图 所示：

　　组播是基于UDP来实现的，报文丢失是不可避免的。因此组播应用程序不 能依赖组播网络进行可靠性保证，必须针对组播网络的这个特点进行特别设 计。

　　缺少TCP窗口机制和慢启动机制，组播可能会出现拥塞，因此要求网络全线 的带宽必须足够。

　　为了解决IP单播和广播严重消耗网络带宽的问题，我们引出IP组播 的概念；IP组播(Multicast)是指在IP网络中将数据包以尽力传送 （best-effort）的形式发送到网络中的某个确定节点子集，这个子集 称为一个组播组（multicast group)；

　　并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为 网络二的VPN网关CE2的外部地址; 3、网络一的VPN网关CE1将VPN数据包发送到Internet，由于VPN数据 包的目标地址是网络二的VPN网关CE2的外部地址，所以该数据包将被 Internet中的路由正确地发送到网关; 4、网络二的VPN网关CE2对接收到的数据包进行检查，如果发现该数据 包是从网络一的VPN网关CE1发出的，即可判定该数据包为VPN数据包， 并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥 离，在将负载通VPN技术反向处理还原成原始的数据包; 5、网络二的VPN网关CE2将还原后的原始数据包发送至目标终端，由于 原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终 端B。在终端B看来，它收到的数据包就从终端A直接发过来的一样; 在VPN网关对数据包进行处理时，有两个参数对于VPN隧道十分重要:原始 数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地 址，VPN网关能够判断对哪些数据包需要进行VPN处理，对于不需要处理 的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处 理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。

　　DNS( Domain Name System)是“域名系统”的英文缩写，是一种组织成 域层次结构的计算机和网络服务命名系统，它用于TCP/IP网络，它主要是 用来通过用户亲切而友好的名称(如代替枯燥而难记的IP 地址(如“210.51.0.73”)以定位相应的计算机和相应服务。 因此，要想让亲切而友好的名称能被网络所认识，则需要在名称和IP地址 之间有一位“翻译官”，它能将相关的域名翻译成网络能接受的相应IP地址。 DNS就是这样的一位“翻译官”，它的工作原理可用图来表示

　　1、 服务器及时响应客户机的请求； 2、 服务器针对每个客户不同的请求发送不同的数据，容易实现个 性化服务。 3、 技术比较完善，安全、容错、纠错、QOS等机制相对比较完善；

　　1、服务器针对每个客户机发送数据流，服务器流量＝客户机数量 ×客户机流量；在客户数量大、每个客户机流量大的流媒体应用中 服务器不堪重负。 2、现有的网络带宽是金字塔结构，城际省际主干带宽仅仅相当于其 所有用户带宽之和的5％。如果全部使用单播协议，将造成网络主干 不堪重负。

　　1、Internet 对于用户来说，可以以任何技术任何地点访问 2、Internet 的容量完全可以随着需求的增张而增长

　　VPN区别于一般网络互联的关键于隧道的建立，然后数据包经过加密后， 按隧道协议进行封装、传送以保安全性。如上图所示：如果网络一的终端A 需要访问网络二的终端B，实现步骤如下： 1、终端A发出的访问数据包的目标地址为终端B的IP (内部IP)； 2、网络一的VPN网关CE1在接收到终端A发出的访问数据包时对其目标地 址进行 检查，如果目标地址属于网络二的地址CE2，则将该数据包进行封 装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造 一个新的数据包(VPN数据包)

　　组播路由一般由：源地址、组地址、入接口、出端口、出接口列表、 出端口列表组成；

　　一对多通讯下，降低网络流量，提高网络通讯效率。由于每个分支只发送 一份报文，所以网络规模（如用户数量）的增大不会额外增加网络的负担， 如下所示，组播与单播的对比优势： 组播 单播 0.8 流量 Mbps 0.6 0.4 0.2 0 1 20 40 60 80 100 客户端数量

　　单播（unicast）是指在一台源 IP 主机和一台目的 IP 主机之间进行单独的通 讯；如下图所示：

　　单播通讯的原理是源主机根据学习到的单播路由，找到到目的主机的“下 一跳”（next hop)，逐跳转发来实现的；源主机并不知道到目的主机的完 整路径，但它知道到目的主机的下一跳路径；单播路由表一般由源地址、目 的地址、下一跳地址、到一下跳的接口，路由向量等信息组成；

　　某些组播协议的特殊机制可能会造成偶尔的数据包的重复，组播应用程序应 该容忍这种现象。

　　同样，组播协议有的时候会造成报文到达的次序错乱，组播应用程序必须自 己采用某种手段进行纠正（比如缓冲池机制等）

　　1、静态NAT： 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地 址； 2、动态NAT： 只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP 地址，主要应用于拨号。当远程用户联接上之后，动态地址NAT就 会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留 待以后使用。 3、网络地址端口转换NAPT： 把内部网络的地址和端口映射到外部网络的一个IP地址的不同端口 上，节省了外部IP地址；

　　1、调制解调器无须任何配置； 2、允许多个用户共享一个高速数据接入链路； 3、安裝与操作方式类似于以往的拨号网络模式，方便用戶使用； ４、适应小型企业和远程办公的要求；

　　源主机只发送一份数据，这份数据中的目的地址为组播组地址；组 播组中的所有接收者都可接收到同样的数据拷贝，并且只有组播组 内的主机（目标主机）可以接收该数据，网络中其它主机不能收到 。组播组用D类IP地址（224.0.0.0 ～ 239.255.255.255）来标识。

　　目前很多RTSP控制服务器和媒体服务器是分离的，这样RTSP控制服务器通过标准 与客户端通信，并且还要对RTSP的扩展来控制播放服务器使它能够按照指定的意图 向客户端传输媒体流

　　随着Internet的迅猛发展，连入Internet的主机数量成倍增长。目前 IP地址的短缺已经成为Internet面临的最大问题之一。 为了解决IP 地址短缺的问题，网络地址转换NAT（Network Address Translation）技术提供了一种完全将私有网和公共网隔离的方法， 从而得到了广泛的应用。

　　PPPOE有两个阶段：发现阶段和PPP会话阶段。我们着重描述发现阶段， 如图所示：

　　防火墙上划分4个安全区域：本地区域（Local）、受信区域 （Trust）、非军事化区域（DMZ）、非受信区域（Untrust）； 通常，防火墙本身的处理模块所占据的区域就是Local区域，需要保 护的内部网络被部署在Trust区域，向外部提供各种服务（如FTP服 务器）的网络被部署在DMZ区域，所有外部网络都为Untrust区域 。

　　DNS分为Client和Server，Client扮演发问的角色，也就是问Server一个 Domain Name，而Server必须要回答此Domain Name的真正IP地址。而当 地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上 所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客 户。

　　实时传输协议RTP（Realtime Transport Protocol）：是针对 Internet上多媒体数据流的一个传输协议。RTP被定义为在一对一或 一对多的传输情况下工作，其目的是提供时间信息和实现流同步。 RTP的典型应用建立在UDP上，但也可以在TCP等其他协议之上工 作。RTP本身只保证实时数据的传输，并不能为按顺序传送数据包 提供可靠的传送机制，也不提供流量控制或拥塞控制，它依靠 RTCP提供这些服务。

　　指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即 能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧 （Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻 ；

　　实时传输控制协议RTCP（Realtime Transport Control Protocol）： 负责管理传输质量,在当前应用进程之间交换控制信息，提供流量控 制和拥塞控制服务。在RTP会话期间，各参与者周期性地传送 RTCP包，包中含有已发送的数据包的数量、丢失的数据包的数量 等统计资料，因此，服务器可以利用这些信息动态地改变传输速率， 甚至改变有效载荷类型。RTP和RTCP配合使用，能以有效的反馈 和最小的开销使传输效率最佳化，故特别适合传送网上的实时数据。

　　1、NAT一般采用1个映射表来实现IP地址和Port的转换。对于截获到的IP 包，通过比较IP包的目的IP、目的Port、源IP、源Port和NAT映射表中的相 应表现，对IP包的目的IP、目的Port、源IP、源Port进行转换。典型的NAT 映射表如图5所示：

　　2、当截获到1个由内到外的IP包时，NAT首先以IP包的源IP和源Port作为 Real srcIP和Real srcPort的匹配条件，在映射表中进行搜索。如果找到1 个对应的表项，就用表项的NAT IP和NAT Port替换IP包的源IP和源Port， 而保持IP包的目的IP和目的Port不变。然后，重新计算TCP或UDP的校验和， 就可把IP包归还给网络协议栈。如果在映射表中没有搜索到对应的表项， NAT就会向映射表中添加1个新的表现。该表项中的Real srcIP和Real srcPort用IP包的源IP和源Port来填充；NAT Port用NAT分配的1个空闲Port填 充。 3、当截获到1个由外到内的IP包时，NAT就以IP包的目的IP和目的Port作为 NAT IP和NAT Port的匹配条件，在映射表中进行搜索。如果找到1个对应的 表项，就用表项的Real srcIP和Real srcPort来替换IP包的目的IP和目的 Port，而保持IP包的源IP和源Port不变。然后，重新计算TCP或UDP的校验 和，就可把IP包归还给网络协议栈。如果在映射表中没有搜索到对应的表项， 则对IP包不作任何处理，直接归还给网络协议栈；

　　１、 用户主机发出PADI，以太网的目的地址是广播地址0xffffffff ； ２、接入设备收到PADI帧后，若能够满足PADI提出的服务请求，可以发送 PADO帧回应。PADO帧中的目的地址为发送PADI帧的客户端的MAC 地址，源地址为响应PADO帧的服务器地址； ３、用户主机接收到PADO 帧后（可能会收到多个），选择其中一个，向 接入设备发出PADR帧，请求会线、接入设备收到PADR帧后开始PPP会话，它发送 一个PADS帧给用户主机，开如会线、主机收到PADS帧后，双方进入PPP会线、会话建立后，会话双方任何一方都可以通过发 送PADT帧终止会话。 用户主机的处理行为见右图所示：

　　实时流协议（Real Time Streaming Protocol）RTSP定义了一对多 的应用程序如何有效地通过IP网络传送多媒体数据；同时提供用于 音频和视频流的如停止、快进、快退和定位等功能；同时RTSP又是 一个应用层协议，用来与诸如RTP更低层的协议一起，提供基于 Internet的整套流化服务,目前支持RTSP的RFC为2326；

　　如上图所示：在公司内部网络出口位置部署防火墙，有效防范来自 外部网络的恶意攻击，保护内部网络；同时可以有效监控内部用户 对外部资源的随意访问。

　　1. Client 端每次开机或者是重新拨号后，取得一个新的 IP 之后，会向 DNS Server 端提出IP和域名更新要求，希望 Server 端变更域名与 IP 的对应关 系； 2. Server 端接受 Client 端的要求之后，会先去查询 Client 提供的帐号密码 是否正确，正确之后就会立即修改 Server 本身对于你的主机名称的设定值， 因此，只要别人知道你的主机名称，不论你的 IP 为何，他一定可以连 上你的主机（因为 IP 跟着你的主机而变！）这对于这种使用动态 IP 的人是 很有帮助的！

　　• DMZ是英文“demilitarized zone”的缩写，称“非军事化区”。它是 为了解决安装防火墙后外部网络不能访问内部网络服务器的问题， 而设立的一个非安全系统与安全系统之间的缓冲区； 这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在 该网络区域内可以放置一些必须公开的服务器设施，如企业Web服 务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域， 更加有效地保护了内部网络，因为这种网络部署，比起一般的防火 墙方案，对攻击者来说又多了一道关卡。网络结构如下图所示：

　　虚拟专用网VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同 公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流 转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少 用户花费在城域网和远程网络连接上的费用； 虚拟专用网至少提供如下功能： · 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 · 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户身份。 · 提供访问控制，不同的用户有不同的访问权限。开云 开云体育APP开云 开云体育APP开云 开云体育APP开云 开云体育官网开云 开云体育官网