越来越多的无线产品正在投入使用，无线安全的概念也不是风声大雨点小，不论是咖啡店、机场的无线网络，还是自家用的无线路由都已经成为了黑客进攻的目标。那么如何才能保证自己的无线安全呢？首先，必须控制进入网络的资格，即认证；其次，保护以无线方式发送的信息，即数据加密。
    那么我们通过Com公司提供的防止黑客攻击的是条对策，谈论如何保证无线安全。
    1.正确放置网络的接入点设备
    从基础做起：在网络配置中，要确保无线接入点放置在防火墙范围之外。
    2.利用MAC阻止黑客攻击
    利用基于MAC地址的ACLs（访问控制表）确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁，设置的障碍越多，越会使黑客知难而退，不得不转而寻求其他低安全性的网络。
    3.有效管理无线网络的ID
    所有无线局域网都有一个缺省的SSID（服务标识符）或网络名。立即更改这个名字，用文字和数字符号来表示。如果企业具有网络管理能力，应该定期更改SSID。不要到处使用这个名字：即取消SSID自动播放功能。
    4.WEP协议的重要性
    WEP是802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即更改WEP密钥的缺省值。最理想的方式是WEP的密匙能够在用户登录后进行动态改变，这样，黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的WEP密？管理技术能够实现最优保护，为网络增加另外一层防范，确保无线安全。
    5.WEP协议不是万能的
    不能将加密保障都寄希望于WEP协议。WEP只是多层网络安全措施中的一层，虽然这项技术在数据加密中具有相当重要的作用，但整个网络的安全不应该只依赖这一层的安全性能。但许多网络管理员很难接受这个观点。
    6.VPN是最好的网络安全技术之一
    如果每一项安全措施都是阻挡黑客进入网络前门的门锁，如SSID的变化、MAC地址的过滤功能和动态改变的WEP密？，那么，虚拟网（VPN）则是保护网络后门安全的关键。VPN具有比WEP协议更高层的网络安全性（第三层），能够支持用户和网络间端到端的安全隧道连接。
    7.提高已有的RADIUS服务
    大公司的远程用户常常通过RADIUS（远程用户拔号认证服务）实现网络认证登录。企业的IT网络管理员能够将无线局域网集成到已经存在的RADIUS架构内来简化对用户的管理。这样不仅能实现无线网络的认证，而且还能保证无线用户与远程用户使用同样的认证方法和帐号。
    8.简化网络安全管理：集成无线和有线网络安全策略
    无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平，降低管理成本。例如，不论用户是通过有线还是无线方式进入网络时，都采用集成化的单一用户ID和密码。
    9.WLAN设备不全都一样
    尽管802.11b是一个标准的协议，所有获得WiFi标志认证的设备都可以进行基本功能的通信，但不是所有这样的无线设备都完全对等。虽然WiFi认证保证了设备间的互操作能力，但许多生产商的设备都不包括增强的网络安全功能。
    10.不能让非专业人员构建无线网络
    尽管现在无线局域网的构建已经相当方便，非专业人员可以在自己的办公室安装无线路由器和接入点设备，但是，他们在安装过程中很少考虑到网络的安全性，只要通过网络探测工具扫描网络就能够给黑客留下攻击的后门。因而，在没有专业系统管理员同意和参与的情况下，要限制无线网络的构建，这样才能保证无线安全。

　　哦，现在网络专家们都意识到互联网地址短缺时代的到来，知道这将成为一个问题。我不知道应该怎么评价下面的内容，在2009年6月的会议上，互联网协会首席互联网技术官莱斯利·代格尔承认，“IPV6缺乏对IPv4的兼容性是非常严重的问题”。现在哭诉标准出现了问题已经太晚了。我们现在要做的，是让这两个基础网络协议共同工作。

　　对于这一问题，目前存在几种处理方式。但我要先提醒你，它们都不是完美的，不过至少有一种或者几种，可以为公司提供帮助。在购买其中的任何技术之前，必须对IPV6到IPv4的转换过程进行全面测试，在部署之前，还要对组件的互操作性进行检验。这里出现问题的可能性太高了，没有人会希望它在业务网络工作时间中出现的。

　　IPv4/IPV6共存模式可以采取下面的三种形式之一...第一种就是双协议栈，通过在网络硬件上同时运行IPv4和IPV6协议来实现。第二种就是利用“隧道”方式，利用一种协议穿过另一种。通常情况下，这意味着将IPV6数据包封装为IPv4数据包。这一技术的说明在RFC　4213标准《IPV6主机和路由的基本转换机制》有详细介绍。最后，就是依据RFC　2766标准提供的网络地址转换协议转换器(NAT-PT)。它的工作原理正如名称中说明的，将IPV6数据包转换为IPv4数据包的软件或者设备。

　　尽管乍看上去，网络地址转换(NAT)会更受到支持者的喜爱，但这里面也存在固有的问题。正如思科在《网络地址转换协议转换器》优先白皮书中指出的，“由于该协议不属于普遍适用的通用机制，因此，在特定区域中进行应用部署的时间，必须对所有涉及部分进行全面彻底的分析”。简单地说，就是如果计划部署NAT-PT的话，就必须了解周围应用层网关(ALG)的部署情况。

　　此外，NAT-PT与IPv4下的NAT模式相比，一个关键区别就是在流量输入和输出的时间都必须进行地址转换。这将导致复杂程度飞速上升。尽管可以选择使用静态双向映射，但它将很快过时也不能支持大规模的应用。当然，还可以使用域名系统(DNS)，但对于旧式DNS服务器来说，它们将无法支持IPV6的AAAA记录。并我再重复一次，我不认为在实际中遇到地址请求攻击时，那些支持IPV6的DNS服务器不会出现问题。

　　在双IP堆栈模式下，所有计算机、路由器、交换机和其他设备都同时运行两种协议，而IPV6将是首选协议。通常情况下，部署过程是从广域网(WAN)核心路由器的TCP/IP协议栈开始，接下来扩展到边界路由器和防火墙，然后轮到数据中心路由器，最后到达连接桌面的路由器。由于公共互联网已经开始过渡到IPV6协议，网络管理员可能需要开始准备在网络边界上部署双栈交换机了。

　　这种模式的优点是，操作系统和网络设备领域所有的主要供应商都支持双IP栈。缺点是，大多数传统网络硬件和服务器不支持IPV6。这可能导致用户试图访问互联网网站时，双叠边缘交换机在域名服务器(DNS)方面出现无法预计的问题。此外，很多版本的互联网应用，甚至包括文件传输协议(FTP)这么流行的东西，都不能在IPV6下工作。

　　解决这些问题的一种方法是利用双协议栈应用层网关(DS-ALG)。通常情况，这些网关可以作为在IPv4互联网中两种协议的转换代理。

　　这种方法的缺点是只能针对特定应用。并且由于所有数据包都会被拦截下来进行检查以确认是否需要DS-ALG服务，所以，网络速度也会受到影响。

　　而在隧道模式下，一种协议可以在另一种内部运行。通常情况下，是IPV6在IPv4的内部。这些隧道可以通过以IPv4为主的内部广域网和互联网传输IPV6数据包。而等到IPV6成为互联网的主要协议时，我们将用IPV6隧道传输IPv4流量。

　　目前有两种类型的隧道：手动又叫做静态，以及动态。手动配置的IPV6隧道，需要在隧道两端都进行配置。手动模式的适用范围是用来连接互联网上运行IPV6的企业内部网。对于其它类型的IPV6互联网来说，它不是一个合适的解决方案。

　　动态隧道使用了多种技术来确认数据包的到达地址和路由的途径。这使得它们更容易建立和维护。

　　最常见的动态隧道技术是6到4。它不需要建立一条直接的隧道。与此相反，它可以利用专用中继路由器来对IPV6数据包进行封装并通过IPv4连接转发。6到4的最大优点是可以自动建立IPV6/V4隧道，而不必耗费大量时间进行手动设置。6到4通过骨干传输点利用IPv4单播来建立点对点的连接进行传输。

　　为了保证使用中不出现问题，供应商和网络工程师必须确保安全配置经过了精心设定。毕竟，对于可以利用IPv4和IPV6报头隐藏错误地址以及将恶意流量放进封装的数据包内发动拒绝服务(DoS)攻击的黑客来说，这一切都显得太简单了。

　　上面提到的就是一些最流行的IPV6和IPv4协作工具。当然，市面上还有很多其它类型的。想知道对于所有这些工具来说，最糟糕的问题是什么么?答案很简单，它们的兼容性都很差。正如我在前面所说的，不论是否喜欢，所有人都需要准备迁移到IPV6上。

　　与此同时，在未来几年里，我们几乎肯定需要这些技术中的一种或者几种。同样，在部署任何IPv4/IPV6桥接解决方案之前，我们需要花费大量时间让网络工程师和供应商进行调试以确保在新的网络堆栈一切都可以互操作。毕竟，混合模式和设备导致网络出现问题是件一点也不困难的事情。

　　我还要补充一点，在选择确定软件和硬件之前一定要进行测试。我已经遇见了多起这样的情况，尽管宣称可以支持IPV6，但实际测试结果正好相反。对于这种情况，以后我会向大家详细介绍。

　　“随着业务的逐渐深入，我们也发现IPv6迁移并不是想象的那样简单，” Verizon公司产品管理与开发高级顾问Melissa Bellisario-Board表示。“IPv6并不是一个事件，而是一个完整的过程，所以我们需要保持思路的高度清晰，要彻底搞懂其中的所有细节。”

　　Verizon公司的“评估与差距分析”服务可以对一个企业的所有物理和逻辑基础设施做审计，这些基础设施包括路由器以及各种应用程序等等，根据Waliur Rahman，Verizon主要的 IPv6专业服务管理方法，其审计的目的就是判断这些基础设施是否支持IPv6。该规划服务可以有效协助IT部门进行概念及细节基础架构设计；而实施则包括了部署、测试以及培训。

　　如果网络人员在部署中还有困难，并且不愿意自己处理的话，那他们一定会对WAN供应商提供的咨询服务感兴趣。一家房地产服务公司Studley的技术服务总监Rick Drescher说道。但是同时Rick Drescher也表示该服务对他的用处不大。

　　“我们所做的IPv6迁移很可能只是在内部，”他说。“专业的服务对IPv6迁移的帮助很大，但是对于类似我们这样IP数量较少的客户来说，我们只需要利用内部资源就可以完成。”

　　一段时间内，大多数企业都没有购买IPv6迁移服务的打算，Gartner公司研究总监Lawrence Orans说道。企业的短期目标通常只是有限地迁移“一小撮”的服务，只要这“一小撮”的服务可以通过IPv6链接，支持移动办公的员工、合作伙伴以及客户能够接入到公共应用程序就可以。

　　“由于私有IP地址、各种类似于DHCP的网络技术，以及网络地址转换等，它们都可以保证用户高效接入IPv4地址空间，所以对于网络管理员来说，还没有充分的理由说服他们把内部网络迁移至IPv6，” Orans说道。“然而，对于许多政府机关来说，情况就大有不同，迁移至IPv6才是明智的选择。专业服务可以带来许多好处，特别是在资源紧缺，或没有足够时间研究内部IPv6技术时，专业服务便是雪中送炭。”

　　现在就开始迁移至IPv6吧

　　到目前为止，只有7/8或2.7%的IPv4地址还未分配，所以迁移至IPv6的市场在不断增长，美国互联网序列号注册 (ARIN)公司的常务董事CEO John Curran说道。当范围缩小至最后5个网络块时，他们就会在这5个全球RIR中平分号码，他说道。

　　“这也将成为我们获得成功的里程碑。” Curran表示。

　　虽然私人企业的需求各有不同，但是开始IPv6迁移最早的想法是“一般企业都不需要雇用顾问或花费资金做任何培训的。” Curran说道。

　　“企业只要肯花时间去做，他们就可以和其他公司一样实现正常编制，推行相关培训。”他补充道。

　　总部位于芝加哥的全球管理咨询公司A.T. Kearney，其全球网络架构师Kevin Rice表示，A.T. Kearney公司现在还没有做IPv6迁移，这是由于到目前为止我们还在观望各种协议所支持的应用程序的运转情况。

　　Rice说，他目前不会采购任何咨询服务，因为公司的所有IT员工已经意识到IPv6迁移的复杂性，好处以及将会产生的各种影响。

　　为IPv6迁移发愁？向你的服务供应商寻求帮助

　　除了Verizon以外，其他网络运营或主机托管供应商对向IPv6迁移提供专业咨询服务表示了强烈的兴趣。

　　在近期举行的一次IPv6推广讨论会上，Qwest电信CTO Pieter Poll表示，向IPv6的过度，很可能就是Qwest未来的市场方向。

　　Qwest发言人Carolyn Tyler女士表示，Qwest目前就在销售一种专业的服务，该服务可以帮助客户最大程度保护现有资产价值，并为迁移至IPv6做好充分的准备。

　　“实际上依我看来，迁移至IPv6并不一定就能带来多大的价值，”在接受TechTarget记者采访时，Poll说道。“但在IPv6的背后确实还存在许多创造利润的机会，比如咨询服务，它就可以替客户分担许多后顾之忧。”

　　与此同时，位于纽约市的主机托管公司Telx，也在考虑逐步向客户提供IPv6迁移的专业咨询服务。

　　“虽然战略目标尚未敲定，但是我们还是非常乐于向客户们提供有偿的专业IPv6迁移服务，”Telx产品开发副总裁Rose Klimovich说道。

　　2011年热点领域展望：路由器 href="http://product.it168.com/list/b/0409_1.shtml" target=_blank>路由器篇

　　刚刚过去的2010年里，路由器领域基本向着两个方向发展。在高端核心路由领域，继续在网络处理性能以及低功耗和绿色节能方面迈进;而在中低端产品中，更多的是一种产品功能性集成和面向4-7层应用化的发展趋势。

　　由此推及2011年的路由器市场技术和产品的发展趋势，应该还是会在主体上延续这两大方向，当然，我们预计也会有一些新的变化出现：

　　1、 核心路由产品将在下一代数据中心中扮演更重要角色：

　　随着惠普收购3Com，思科推出刀片服务器 href="http://product.it168.com/list/b/0402_1.shtml" target=_blank>服务器，越来越多的厂商介入到整体数据中心解决方案这一市场。这样，未来的数据中心将更可能为用户提供统一的设备管理平台，而这种平台式管理将极有可能是基于网络和虚拟化的。因此，核心路由产品将在未来数据中心中扮演更多的管理角色。

　　2、 网络虚拟化将给核心路由带来更多变革：

　　我们已经熟悉了服务器虚拟化，存储虚拟化，对于网络虚拟化其实还有些陌生。实际上，现在一些高端核心路由产品已经开始支持网络虚拟化功能了，只不过在目前应用上还不够广泛。在2011年，随着数据中心虚拟化的进一步普及，网络虚拟化势必会更迅速的“落地”，因此，核心路由在网络虚拟化的应用方面应该会有更多的突破。

　　3、 中低端路由将会越来越“不像”路由：

　　面向中小型企业的路由产品，在2011年会继续沿着功能集成化的路线走下去。随着多核硬件平台的处理能力提升，在传统路由上集成更多的功能将成为可能。如果你一个路由器拥有了流控、行为管理、防火墙 href="http://product.it168.com/list/b/0418_1.shtml" target=_blank>防火墙等更多应用和功能时，你觉得它还应该算作是一个路由么?

　　总之，路由会变得越来越不像路由了。

　　2011年热点领域展望：交换机 href="http://product.it168.com/list/b/0412_1.shtml" target=_blank>交换机篇

　　在刚刚过去的2010年里，交换机领域并没有特别重大的技术革命出现。毕竟路由交换这些基础网络设备发展至今，已经在底层技术上非常成熟，很难再有革命性的变化。不过，展望2011年，我们依然可以在如下的几个方面对交换机技术应用发展有所期待：

　　1、 交换机将会向“航母集群”方向演进：

　　目前交换机产品的底层硬件已经可以支撑很多的大型网络应用需求，在未来，交换机将会有一个产品进化成一个平台式的部分，即在交换机上，可以按照需求增减各种应用和功能模块，而是的交换机产品更好的完成在数据中心中所扮演的角色。交换机底层平台化和应用模块化也许会是一个新的发展突破方向。

　　2、 绿色和低碳将成为交换机产品的标准配置：

　　交换机将由“拼性能——拼功能”过渡到“拼节能”的时代。在2011年，绿色节能将会更多的应用在交换机的产品设计中，低功耗产品在市场上将会成为新的亮点。

　　3、 具有行业属性的交换机产品是否能打开一片天地?

　　这是一个带有怀疑性质的展望。在2010年，已经出现了一些针对有些特定行业而定制化推出的交换机产品，比如教育行业专用交换机等等。这种具有鲜明行业属性的产品是否能在2011年的市场竞争中取得胜利，我们拭目以待。

　　当然，如果市场反应良好，那就意味着中低端交换机产品将有普适性时代过渡到定制化时代。

　　2011年热点领域展望：IT运维管理篇

　　过去的一年中，IT运维管理行业出现了简化运维管理和智能化等发展趋势。展望2011年的IT运维领域，我们希望在如下方面可以有新的突破：

　　1、 集中式IT运维管理更好的服务于数据中心：

　　2011年将会是全球数据中心新的快速发展阶段，而数据中心将面临一个管理上的难题，就是如何将集成了各种先进技术和功能的设备进行统一集中的高效管理。因此，2011年IT运维领域需要出现对于下一代数据中心能提供更好的管理支持的解决方案，特别是对与设备虚拟化和私有云平台的更好支持。

　　2、 IT运维将会进一步化繁为简：

　　在2011年，IT运维将会不得不面对一个悖论，那就是当我们希望把更多的管理功能和属性添加到解决方案中时，真正的IT管理人员却并不热衷于此。一线的IT运维工作者更希望有一种很简单就能管理和使用的产品，而不是庞大而繁杂的系统设备。如果你的IT运维产品配置和功能比我要管理的设备还多，那岂不是花钱买罪受?

　　3、 智能化将更多的以分析和报表的形式出现：

　　现在所有的IT领域都在讲智能化，运维管理也不例外。在2011年，我们期待IT运维系统能够智能的将设备的状态和行为的识别进行分析与报告，并最终提供可阅读的报告文档。注意，这里的可阅读不是可以让IT运维人员读，而是让公司的老板读的懂。你不能要求老板去看数据，这是智能化的最基本要求。

2011年热点领域展望：广域网优化篇

　　刚刚过去的一年里，广域网优化厂商推出了各自的新一代产品。这些产品的升级为广域网优化带来了更多的未来发展趋势的参考。展望2011年，我们认为广域网优化将会在如下方面取得更快的突破和发展：

　　1、 广域网优化将于云服务进一步融合：

　　我们知道，云计算和云服务，特别是公有云领域，网络速度是生死线。如果不能在“云”与“端”之间架起一道高速通道，一切的云服务都是空中楼阁。因此，广域网优化产品将与云服务更好的协作，他们似乎天生就是一对情侣。

　　2、 对于IPv6的支持迫在眉睫：

　　2011年年中甚至更早，全球的IPv4地址就将耗尽。到时候，所有的网络产品和终端都将面对向IPv6过渡与兼容的问题。而广域网优化产品在这方面更加急迫。因此，2011年，广域网优化领域将出现更多的与IPv6兼容的产品。

　　3、 虚拟化数据中心与广域网优化将更好的融合：

　　2011年数据中心虚拟化是一个不可阻挡的趋势，因此，在2011年，广域网优化产品将围绕虚拟化技术展开新一轮的升级。

　　4、 传统的网络管理功能将进一步整合到广域网加速中来：

　　广域网加速不再是一个独立的技术概念，在2011年，将会有更多的厂商针对广域网加速与传统网络管理技术的融合做出探索。

　　2011年热点领域展望：VPN篇

　　2010年，业内多家VPN厂商均推出了自己最新的产品版本，这一轮的更新换代更多是在功能上的调整，并没哟太多的技术突破。展望2011年，我们对VPN领域的发展可以有如下的期待：

　　1、 VPN将对移动办公的支持更加人性化：

　　随着移动办公的发展，包括企业的普及，2011年VPN将会在对移动终端的支持上更加的完善，特别是对于在客户端的访问控制和使用优化等方面。这里可能需要在VPN中进一步的融合和优化安全技术与流控技术等。无线局域网

　　2、 多平台的兼容，并提供更多的可植入管理挂件：

　　随着数据中心虚拟化的进展，未来的VPN将在更开放性的平台上进行部署，这就要求VPN对于多种不同平台的支持以及平台间的跨越做的足够好。另外，基于IT运维管理的思想，未来的企业基础设施应该提供统一的管理，这也要求VPN进一步与IT管理平台的功能相兼容。

　　2011年热点领域展望：上网行为管理篇

　　2010年里，上网行为管理领域有很多令人惊喜的产品和功能推出。比如无线网络行为管理，商业智能等等。展望2011年，我们期待上网行为管理可以在下面这些方面有更好的发展：

　　1、 上网行为管理将为企业提供更多的智能分析报告：

　　这一点是基于今年年末在行业中出现的商业智能概念而来的。在2011年，上网行为管理产品将会为企业员工的上网行为做出更智能的分析和报告，便于企业管理者进行更好的内部管理和企业决策。2011年，上网管理将由管理类产品过渡到数据分析类产品。

　　2、 上网行为管理将进一步变被动为主动：

　　过去单纯依靠URL白名单黑名单的时代已经过去了。2011年，上网行为管理产品将沿着主动管理的方向继续前进，在用户的危险行为产生后果前，从源头杜绝这类风险的发生，这需要对行为特征识别和危险信息识别进行更好的优化。

　　3、 基于云的行为特征库将会越来越重要：

　　随着网络信息的爆炸式增长，单独依靠一个厂商来维护和更新恶意网络攻击与用户行为数据已经很难满足现在的网络发展。2011年，基于云的共享式用户行为分析和特征识别以及病毒攻击防护将成为新的发展方向。

2011年热点领域展望：应用交付篇

　　2010年，应用交付领域开始了向云和虚拟化方面的探索，在2011年，我们期待应用交付领域会在如下方面取得更进一步的突破：

　　1、 对于企业云服务的更好支撑：

　　应用交付更多的是针对企业的实际应用而来，而随着云计算的落地和普及，更多的企业将会在2011年开始选择或尝试云服务。因此，这就会带来企业的部分应用开始向云端转移。应用交付产品也需要在2011进一步的完善对于云计算平台的应用的支持。

　　2、 应用交付虚拟化的进一步实现：

　　随着服务器虚拟化，存储虚拟化，网络虚拟化一直到数据中心虚拟化，未来整个企业的全部IT资源都将实现虚拟化——这就要求在2011年，应用交付领域的厂商们更快的推出基于虚拟化的应用交付产品和解决方案。

　　3、 Web应用优化将面临更严峻的安全威胁：

　　在2011年，对于web应用的攻击将会越来越多，甚至呈现爆发式增长。随着Web应用的拓展，人们更多的使用这些内容来完成很多的日常行为，这就给黑客攻击带来了潜在了利益空间。因此，Web应用优化与Web应用安全将在2011年面对更严峻的挑战。

　　2011年热点领域展望：统一通信篇

　　2010年统一通信领域最大的亮点就是微软高调推出了Lync系列产品。展望2011年，我们期待统一通信在如下几个方面取得更多的进展：

　　1、 小型甚至是微型的UC系统出现在市场上：

　　统一通信很难走进中小企业的关键就是部署复杂，硬件成本高，软件维护繁琐。2011年，我们期待市场上可以出现更多的小型甚至微型的UC产品，不需要在性能上多么出色，也不需要在功能上多么丰富，只要具有高可靠性以及基本的沟通工具的关联即可。

　　2、 UC将会更多的出现在平板电脑等新一代移动终端上：

　　随着ipad的热卖的各大厂商的跟进，有人预测2011年将会出现几十款新的平板电脑终端。这就需要统一通信产品能更早更好的支持各种系统的平板电脑终端，真正实现沟通无处不在。

　　3、 基于云的统一通信会取得突破：

　　还是要面对一个成本上的压力——中小企业很难部署自己的UC数据中心服务器。因此，基于云端的UC服务提供将会在中小企业赢得更大的市场青睐，2011年，中小企业的统一通信之旅也许就从云端开始。

　　2011年热点领域展望：数据中心网络篇

　　2010年数据中心成为行业的热门话题，各大厂商纷纷推出自己的数据中心解决方案。展望2011，我们期待数据中心网络部分可以在如下方面取得突破：

　　1、 数据中心进一步降低能耗：

　　低碳节能将成为下一代数据中心的显著特征。2011年，围绕数据中心的网络设备将能以更低的能耗提供更好的性能，并在数据中心整体功耗控制上提供基于网络层面的可管理可监控的辅助。

　　2、 基于网络的统一管理平台逐渐成熟：

　　数据中心的IT设备管理以及虚拟化等都需要网络设备的支持。2011年，数据中心的统一管理平台将会更加的成熟，基于网络的远程可视化管理和监控将成为必然。

　　2011年热点领域展望：综合布线篇

　　2010年,综合布线领域向规范化与光纤化进一步迈进。展望2011年，我们期待综合布线可以在如下方面有所收获：

　　1、 下一代数据中心对布线的要求更高：

　　随着数据中心时代的到来，新型数据中心由于融入了大量的云计算、虚拟化等新技术，并且对于低碳和节能有着更进一步的要求，这就对布线技术和解决方案提出了更高需求。综合布线在2011年将围绕数据中心进一步优化。

　　2、 光纤布线将会进一步普及：

　　同样是随着数据中心的发展，40G，100G甚至更高的速率时代到来后，对于光纤布线的需求将会越来越大。而多模光纤技术将可以为数据中心提供更好的网络传输支撑，因此，2011年光纤布线将会进一步发展。

　　3、 移动传感和无线布线将会有所进展：

　　有人说无线网络是布线的敌人，其实不然。无论基于传感技术还是WiFi、3G技术的无线网络部署，都同样设计系统化的部署和线路规范，这同样是布线的范畴。而随着物联网的发展，和我国3G的进一步普及和优化，对于无线布线的需求同样会迎来增长高峰。

　　你还会期望别的什么?微软会推出一个新的操作系统，并且安全性低于其前身吗?我认为不会。尽管围绕windows 7安全性的推广可能部分地被夸大了，但确实有一系列值得注意的重要的安全上的改善，特别实对于从Windows XP转换到(或考虑)Windows 7的用户。许多安全升级同样存在于Windows Vista，因此Vista用户应该已经熟悉了。

　　1.保护内核

　　内核是操作系统的核心，这也使得它成为恶意软件和其他攻击的主要目标。基本上，如果攻击者能够访问或操控操作系统的内核，那么他们可以在其他应用程序甚至操作系统本身都无法检测到的层次上执行恶意代码。微软开发了“内核模式保护”来保护核心，并确保不会出现未获授权的访问。

　　除了保护内核，微软在Windows xp推出之后还做了其他一些基础性的改善用以保护操作系统。许多攻击都基于攻击者能够获知驻留在内存中的特定功能或命令的位置，或者能够执行对那些可能只包含数据的文件的攻击。

　　地址空间层随机化(ASLR)通过将关键的操作系统功能在内存中进行随机分布，可以将攻击者阻止在他们踌躇于从何处进行攻击时。微软还开发了数据执行保护(DEP)，以防止那些可能包含数据的文件或存储在保留给数据区域的文件去执行任何类型的代码。

　　2.更安全的网页浏览

　　Windows 7 附带了当前最新且功能最强大的网页浏览器版本IE8。您也可以在其他的Windows操作系统版本上下载并运行IE8，所以它不是专用于Windows 7的，但它确实带来了一些安全性能上的提升。

　　首先，InPrivate浏览方式提供了私密上网的能力，就像in private(私下地)这个名字它所揭示的一样。当你启动一个InPrivate浏览窗口时，IE浏览器不会保存个人网上冲浪的任何相关信息。这意味着，您所输入的信息不会保存在cache中，也没有历史信息记录您访问过的网站。当你在一台共享或者公共的电脑上使用IE8时(比如在图书馆)，这项功能就显得特别有用。

　　IE8另一个安全上的改进是保护模式。保护模式的实现是基于Windows 7的安全组件，这些组件能够确保恶意或未经授权的代码不会被允许在浏览器上运行。保护模式会阻止drive-by下载攻击，这些攻击使得用户在访问某个被攻破的网站时就能安装恶意软件到你的系统中

　　3.保护机制(Protection)，让我们爱恨交织的东西

　　用户帐户控制(UAC)是Windows Vista上一个让我们所有人爱恨交织的典范。使用Windows 7时，UAC任然存在，但微软增加了一个控制滑杆(slider)，使您能够控制UAC提供的保护的水平——这样就使弹出式窗口的数量受允许访问和执行文件数量的限制。

　　弹出窗口只是UAC所能做的能被看到的很小的一个方面。在Windows Vista下，许多用户只是简单地禁用全部UAC，但那样也关闭了保护模式IE和一些其它的操作系统的保护。在Windows 7下的滑杆被默认设置为和Windows Vista相同的保护方式，但您可以在控制面板下对它进行自定义设置。

　　4.安全工具和应用软件

　　由于有了内核式保护以及微软所做的其他改变，再怎样或是否允许应用程序和操作系统的核心功能进行交互方面，老的杀毒软件和其他安全

　　软件不能和Windows 7兼容。

　　像McAfee、赛门铁克、趋势科技以及其他供应商，都提供和Windows 7兼容的版本，但如果你不想投入更多的钱，微软也提供免费的安全工具来保护你的系统。

　　Windows防火墙和Windows Defender反间谍软件工具包含在Windows 7的基本安装包中。你也可以下载并安装Microsoft Security Essentials，这是一个微软最近发布的免费反病毒产品。

　　5.监控Action Center

　　XP用户所熟悉的安全中心以被Windows Action Center所取代。Action Center是一个包括了安全中心的、更全面的监控Windows 7系统的控制台。

　　该Action Center的安全部分提供了用户Windows 7系统的涉及安全的粗略信息。包括有关防火墙、间谍软件和病毒软件、Windows的更新状态、Internet安全设置和UAC的信息。

　　有很多很好的理由升级到Windows 7。如果你任然在运行Windows XP，安全因素可以说是拥抱新操作系统的最好理由。Windows 7可能是、也可能不是有史以来最伟大的操作系统，但它绝对是有史以来最安全的操作系统。

　　Linux配置多线路ADSL的方法 　

　　powered by KindGeorge http://kindgeorge.at.3322.org\经过一段时间的观察,证明运行良好,现把设置过程及方法总结一下,欢迎指正. 　

　　此文档可以说明双adsl及多adsl增加线路的配置过程. 　

　　实验环境: 　

　　操作系统: RedHat7.3 　

　　两条adsl,长期观察线路稳定,动态ip,带宽2M, 　

　　三块网卡: eth0 tulip,接内网 　

　　eth1 3c59x,接第一条adsl 　

　　eth2 8139too,接第二条adsl 　

　　ethn xxxx,(如果还有的话....) 　

　　目的:用两条adsl共同上网,分担负载,实现一般的简单负载平衡,带动内网上网. 　

　　1.添加网卡 　

　　插入网卡，启动机器，如果需要双线路上网,就要三块网卡了,配置网卡也可以参考其他资料.　

　　配置为找到相应的型号模块,例如:eth2是8139的网卡 　

　　[root@kindgeorge root]# vi /etc/modules.conf

　　alias parport_lowlevel parport_pc

　　alias eth0 tulip

　　alias eth1 3c59x

　　alias eth2 8139too

　　把新的线路插在eth2上　

　　2.配置adsl　

　　方法一:　

　　(1)运行adsl-setup程序,会一步一步的提示你完成配置过程. 　　

　　创建ppp0和ppp1的拨号配置文件，并保存配置,一般保存在/etc/sysconfig/network-scripts/ifcfg-ppp1　

　　(2)确定/etc/sysconfig/network-scripts/ifcfg-ppp0文件，其中的PIDFILE参数设为： 　

　　PIDFILE=/var/run/ppp-adsl.pid 　

　　修改/etc/sysconfig/network-scripts/ifcfg-ppp1文件，将其中的PIDFILE参数设为： 　

　　PIDFILE=/var/run/ppp-adsl1.pid 　

　　如果你有更多的线路,可以继续增加0,1,2,3....等 　

　　这是为了使不同的拨好用不同的pid,如果不修改此参数将无法启动第二条线路接口。　

　　(3)配置文件一般是:　

　　USERCTL=no

　　BOOTPROTO=dialup

　　NAME=DSLppp1

　　DEVICE=ppp1

　　TYPE=xDSL

　　ONBOOT=yes

　　PIDFILE=/var/run/pppoe-adsl1.pid

　　FIREWALL=NONE

　　PING=.

　　PPPOE_TIMEOUT=20

　　LCP_FAILURE=3

　　LCP_INTERVAL=20

　　CLAMPMSS=1412

　　CONNECT_POLL=6

　　CONNECT_TIMEOUT=60

　　DEFROUTE=yes

　　SYNCHRONOUS=no

　　ETH=eth2 (对应新线路的网卡)

　　PROVIDER=DSLppp1

　　USER=isp提供的新用户名字2

　　PEERDNS=no

方法二:

　　(1)直接拷贝

　　cp /etc/sysconfig/network-scripts/ifcfg-ppp0 /etc/sysconfig/network-scripts/ifcfg-ppp1

　　(2)修改其中的ppp0为ppp1,

　　修改PIDFILE=/var/run/pppoe-adsl.pid 为PIDFILE=/var/run/pppoe-adsl1.pid

　　修改采用的新接线路的网卡,例如:改ETH=eth1 为ETH=eth2

　　(3)增加新线路的帐号和密码. 帐号密码一般是保存在/etc/ppp/chap-secrets 和pap-secrets

　　我们只需要在最后增加新的用户名2和密码2即可.

　　/etc/ppp/chap-secrets文件一般是这样的:

　　# Secrets for authentication using CHAP

　　# client server secret IP addresses

　　"用户名1" * "密码1"

　　"用户名2" * "密码2"

　　"用户名n" * "密码n"

　　3.启动ppp接口

　　因为adsl-start 命令缺省只能启动第一的ppp接口。所以要启动两个接口，必须指定配置文件。

　　可以用:方法一:

　　ifup ppp0

　　ifup ppp1

　　(ifup pppn...)

　　或方法二:

　　adsl-start /etc/sysconfig/network-scripts/ifcfg-ppp0

　　adsl-start /etc/sysconfig/network-scripts/ifcfg-ppp1

　　(adsl-start /etc/sysconfig/network-scripts/ifcfg-pppn)

　　4.查看新设置是否启动:

　　方法一:执行: ifconfig

　　出现ppp0 和ppp1 ,并且均得到ip了.说明成功了,结果象这样:

　　ppp0 Link encap:Point-to-Point Protocol

　　 inet addr:218.114.37.137 P-t-P:61.142.110.30 Mask:255.255.255.255

　　 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1

　　 RX packets:165721 errors:0 dropped:0 overruns:0 frame:0

　　 TX packets:123673 errors:0 dropped:0 overruns:0 carrier:0

　　 collisions:0 txqueuelen:3

　　 RX bytes:157324193 (150.0 Mb) TX bytes:14068892 (13.4 Mb)

　　 ppp1 Link encap:Point-to-Point Protocol

　　 inet addr:218.114.35.62 P-t-P:61.142.110.30 Mask:255.255.255.255

　　 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1

　　 RX packets:560055 errors:0 dropped:0 overruns:0 frame:0

　　 TX packets:439711 errors:0 dropped:0 overruns:0 carrier:0

　　 collisions:0 txqueuelen:3

　　 RX bytes:530025378 (505.4 Mb) TX bytes:80895162 (77.1 Mb)

　　方法二: 执行ip高级命令: ip link ls

　　也可以检验ppp0和ppp1,结果象这样:

　　1: lo: mtu 16436 qdisc noqueue

　　 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

　　 2: eth0: mtu 1500 qdisc pfifo_fast qlen 100

　　 link/ether 00:50:bf:07:4e:32 brd ff:ff:ff:ff:ff:ff

　　 3: eth1: mtu 1500 qdisc pfifo_fast qlen 100

　　 link/ether 00:01:02:9a:31:b9 brd ff:ff:ff:ff:ff:ff

　　 4: eth2: mtu 1500 qdisc pfifo_fast qlen 100

　　 link/ether 00:e0:4c:79:44:71 brd ff:ff:ff:ff:ff:ff

　　 268: ppp1: mtu 1492 qdisc pfifo_fast qlen 3

　　 link/ppp

　　 273: ppp0: mtu 1492 qdisc cbq qlen 3

　　 link/ppp

　　方法三: 用命令测试反应

　　ping -I ppp0 202.96.134.133 (测试ppp0的线路状况)

　　ping -I ppp1 202.96.134.133 (测试ppp1的线路状况)

　　ping -I ppp2 ......n (如果还有多条的话)

5.如果单单是要实现链路负载平衡，让ppp0和ppp1分担负载,那么我们象以下设置一下配置:

　　(1)启动路由,允许转发echo 1 > /proc/sys/net/ipv4/ip_forward

　　(2)进行伪装:

　　iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

　　iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o ppp1 -j MASQUERADE

　　iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o pppn -j MASQUERADE (如果还有多条的话)

　　(3)修改网关

　　ip route replace default scope global nexthop dev ppp0 weight 1 nexthop dev ppp1 weight 1

　　说明: 用replace的原因是当原来没有网关时会增加这个网关，当已经存在网关时,会修改原来的网关.

　　用add 也可以,但是当已经存在默认网关时就要先delete再add.

　　两个weight 1的意思是这两条链路的权值是相等的，两条链路承担的网络流量是相等的。

　　有一点是需要说明的，因为路由表是基于缓存的，所以在实际中两条链路并不能100%的平分流量

　　nexthop NEXTHOP 设置多路径路由的下一跳地址。NEXTHOP比较复杂，它的语法和以下高层参数类似：

　　via ADDRESS--表示下一跳路由器；

　　dev NAME--表示输出设备；

　　weight NUMBER--在多路由路径中，这个元素的权重。表示相对带宽或者服务质量。

　　如果你有多条线路,那么继续在其中增加 nexthop dev ppp2(ppp3......)即可

　　(4) 刷新路由

　　ip route flush cache

　　6.即时检查数据的方向

　　用tcpdump 分别监察两条线路,用下面命令:

　　tcpdump -i ppp0

　　tcpdump -i ppp1

　　tcpdump -i ppp2......n (有多条的话)

　　7.为了每次启动时自动启动,把命令写在启动脚本里面,在 /etc/rc.local 后面增加:

　　ifup ppp0

　　ifup ppp1

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

　　iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o ppp1 -j MASQUERADE

　　ip route replace default scope global nexthop dev ppp0 weight 1 nexthop dev ppp1 weight 1

　　ip route flush cache

　　结果:运行数月,效果稳定良好。

　　上网会明显加快,为何呢,因为两条线路分摊了负载.例如,内网80人同时上网, 如果网络是一条2M的adsl,那么整条线路都拥挤,挤得死死的,每人分得的带宽可能只有30k.大家都会明显感觉上网很慢。

　　如果增加多一条线路,那么两条2M共同分摊拥挤程度,这样,可能每人分得的带宽就会变成60K,是原来的加倍,以这种形式来加快上网速度,增加了并发连接的个数。
 

　　一、使用磁盘阵列可以带来哪些好处?

　　在具体如何配置磁盘阵列之前，笔者要先给大家介绍一下利用磁盘阵列的好处。先给大家一点动力，让大家能够继续看下面的内容。

　　第一个好处是磁盘阵列可以提高数据存取的效率。硬盘其实就好像是一个盒子，其内部空间很大，但是出入的口子很小。当要把大量数据保存在这个盒子的时候，只有通过这个小小的盒子来保存数据。其存取的效率明显不是很高。但是，如果采用磁盘阵列的话，当系统向硬盘中写入数据的时候，会先把大块的数据分割成多个小区快，并同时写到不同的硬盘中。这就好像在一个盒子中开了多个出入孔，同时往这个孔中加入数据一样，可以提高硬盘的写入速度。同理，在读取的时候，也可以同时从不同的硬盘中读取，提高数据读取的速度。所以磁盘阵列可以提高数据的存储效率。为此，在一些服务器上部署磁盘阵列，可以提高服务器的应用性能。

　　第二个好处是可以整合多块硬盘。多数的Linux系统管理员也许都遇到过这种问题。一块硬盘用着用着，突然空间不够了。此时该如何处理呢?其实，管理员不需要更换硬盘。而是可以把多个小容量的硬盘整合起来，组合成一个容量比较大的虚拟硬盘。因为磁盘阵列操作起来，就好像跟一块硬盘一样，所以不会给用户的工作带来不利的影响。所以把多块闲置的硬盘利用磁盘阵列组合成一块虚拟硬盘，是解决磁盘容量不足的一个不错的方法。

　　第三个好处是可以提供比较高的安全性。当硬盘中的数据存储发生错误时，磁盘阵列技术能够利用现有的信息对损坏的数据进行自动修复。磁盘阵列会产生一个校验码。这个校验码会存放在不同的磁盘上。当某块磁盘突然出现损坏时，磁盘阵列技术就可以利用这个校验码来恢复损坏磁盘的数据。故磁盘阵列技术也经常被用在Linux服务器，以提高服务器数据的安全性。

　　二、Linux磁盘阵列与其它操作系统的差异。

　　从磁盘阵列的概念中，我们知道磁盘阵列是由一个个不同的硬盘组合而成的一个虚拟硬盘。其他操作系统，如微软操作系统，若要采用磁盘阵列的话，也有这方面的限制。但是，Linux与其他操作系统不同。它可以在同一块硬盘中实现磁盘阵列。也就是说，Linux操作系统不是以硬盘为单位来组成磁盘阵列的，而是以分区为单位。既可以通过把一个硬盘分割成不同的分区，然后再把它们组合成一个磁盘阵列。

　　不过在同一块硬盘上分割成多块分区，并重新组合成一个磁盘阵列的话，就不能够享受磁盘阵列所带来的好处。如上面所讲的提高硬盘数据存取效率、提高数据安全性等等，都将不在有。也就是说，其已经失去了将数据存放在不同磁盘、以降低数据损坏风险、提高数据存储效率的目的。磁盘阵列的使用价值将无法体现。

　　故系统管理员之所以把一块硬盘分割成不同的分区，并实现磁盘阵列，主要是出于实验、学习的目的。在实际部署中，笔者建议企业还是采用至少三块硬盘来实现磁盘阵列，让磁盘阵列真真发挥其应有的效益。

　　三、Linux系统下如何设置磁盘阵列?

　　在Linux系统中，磁盘阵列主要通过/etc/raidtab配置文件来控制的。若系统管理员需要实现磁盘阵列的话，就需要手工创建这个配置文件。或者从其他地方复制这个文件，并进行相应的修改。默认情况下，在Linux系统中不会有这个文件。下面笔者就对这个文件中的主要参数进行讲解，帮助大家建立一个正确的磁盘阵列配置文件。

　　参数一：raid-level 指定磁盘阵列的类型。

　　磁盘阵列到目前为止，有不下于十种的类型。而Linux系统则只支持其中的不种类型。系统管理员需要了解这五种磁盘阵列类型的特点，并根据企业的实际应用场景选择合适的磁盘类型。笔者平时比较喜欢采用Linear或者RAID-5这两种磁盘阵列类型。为此就给大家分析一下这两个磁盘类型的特点。

　　Linear磁盘阵列模式比较简单，它只是起到一个磁盘的整和作用。如果采用这种磁盘阵列模式，Linux系统会先将数据存放在第一块硬盘中。只有当这个硬盘空间已经使用完了，操作系统才会将数据存储到第二块硬盘中。以此类推。在这种模式下，由于没有把数据分块同时存入到多个硬盘中，所以不能够提高数据存取效率。同时，也不存在校验码，故也没有数据自我修复的功能。也就是说，这种模式的磁盘阵列，只起到了把小容量的硬盘整和中一块大硬盘的作用。所以这种模式实际应用的不多。但是因为其配置简单，所以是用来理解磁盘阵列这种技术的好渠道。

　　RAID-5磁盘阵列模式是现在主流的磁盘阵列模式。在这种模式下，Linux操作系统会将数据切割成固定大小的小区块，并同时分别保存到不同的硬盘中。而且这种磁盘阵列模式，会产生校验码，并且把校验码存放在不同的硬盘中。由于其并没有保留固定的一块硬盘来存放同为校验码，所以当任何一块硬盘损坏时，损坏的数据都可以被修复。若采用这种模式，可以提高数据的存储效率、增强数据的安全性、把不同硬盘整和成一块虚拟硬盘。而且，其没有把同位校验码存放在同一块硬盘中，所以不会造成整体系统性能的瓶颈。笔者现在企业中的服务器，就是采用了这种磁盘阵列模式。

    参数二：chunk-size 指定分块的大小。

　　采用磁盘阵列后，数据会被分割成许多小块，然后写入到硬盘中。那么这个块的大小是多少呢?在磁盘阵列配置文件中，需要指定每个写入区块的大小。其最小单位是2KB。用户指定的区块大小，必须都是2的整数次方。如可以设置为4、8、16等等。不过这个参数配置对于Liner模式下没有实际意义。因为在Liner模式下实际上不会对数据进行分块。因为其先把数据存储在第一块硬盘上。当第一块硬盘满后在存储在第二块上，以此类推。故不会对数据进行分块。所以这个参数对Liner这种磁盘阵列模式不起作用。

　　参数三：persistent-superblock：设置是否要写入超级块。

　　在微软的操作系统下部署磁盘阵列的话，就不需要设置这个内容。但是在Linux下，必须对此进行设置。因为Linux系统采用的是Ext2/3文件系统。对于这个文件系统来说，硬盘分区首先被划分为一个个Block。同一个ext2文件系统上的每个block大小都是一样的。但是对于不同的ext2文件系统，block的大小可以有区别。典型的block大小是1024 bytes或者4096 bytes。这个大小在创建ext2文件系统的时候被决定，它可以由系统管理员指定，也可以由文件系统的创建程序根据硬盘分区的大小，自动选择一个较合理的值。一个硬盘分区上的block计数是从0开始的，并且这个计数对于这个硬盘分区来说是全局性质的。

　　Superblock有一个比较时髦的中文名称，叫做超级块。超级块是硬盘分区开头(开头的第一个byte是byte 0)从 byte 1024开始往后的一部分数据。由于 block size最小是 1024 bytes，所以super block可能是在block 1中(可能此时block 的大小正好是 1024 bytes)，也可能是在block 0中(可能此时block 的大小超过 1024 bytes)。超级块中的数据其实就是文件卷的控制信息部分，也可以说它是卷资源表，有关文件卷的大部分信息都保存在这里。所以这个超级块中的信息就好像是FAT32文件系统下的分区格式，非常的重要。

　　这个参数就是用来控制是否需要写入硬盘的这个块。如果要写入的话，就设置为1;不写入的话，就设置为0。