目 录
附录 A 缩略语表.....................................................................................................................A-1
附录 A 缩略语表 A AAA Authentication, Authorization
and Accounting ABR Area Border Router ACL Access Control List AH Authentication Header ALG Application Level Gateway
ANSI American National Standards
Institute ARP Address Resolution Protocol
ASPF Application Specific Packet Filter ATM Asynchronous Transfer Mode
AUX Auxiliary port B
BDR Backup Designated Router
BE Best-Effort 验证、授权和计费,提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,它是对网络安全的一种管理。 区域边界路由器 访问控制列表,ACL是由permit | deny语句组成的一系列有顺序的指令列表,在防火墙中,将ACL应用到路由器接口上,路由器根据ACL判断哪些数据包可以接收,哪些数据包需要拒绝。在QoS中,ACL也用于流分类。 报文认证头协议,在传输模式和隧道模式下使用,为IP包提供数据完整性和验证服务。 应用层网关 美国国家标准协会。 地址解析协议,用于将IP地址映射为以太网MAC地址。由RFC 826定义。 针对应用层的包过滤,即基于状态的报文过滤。ASPF和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。由于ASPF基于应用层协议会话信息,因此可以智能地过滤TCP和UDP数据包,能够检测由防火墙任意一侧发起的会话。 异步传输模式,是一种面向连接的网络技术,使用固定大小(53字节)的信元传送多种服务类型的数据(如文本、音频和视频数据的传输)。信元大小固定使得对信元的处理可以通过硬件进行,从而缩短转发延时,ATM主要设计用来充分利用高速的传输介质,如E3、SONET、T3等。 辅助端口。也是一种线设备,该端口提供了一个EIA/TIA-232 DTE接口,通常用于通过Modem进行拨号访问。 备份指定路由器 尽力而为,传统的IP分组投递服务。其特点是依照报文到达时间的先后顺序采用先来先服务的原则处理报文的转发,所有用户的报文共同分享网络和路由器的带宽资源,至于得到
资源的多少完全取决于报文到达的时机。Best-Effort对分组
投递的延迟、延迟抖动、丢包率和可靠性等需求不提供任何
承诺和保证。
BIA BootROM
BPDU C CAR
CCITT
CHAP
CIR CPE-based VPN
CRC
CSMA/CD CSU D DCD
DCE DCC
DES
DES-CBC burned-in MAC address Boot Read-Only Memory Bridge Protocol Data Unit Committed Access Rate Consultative Committee for International Telephone and Telegraph Challenge - Handshake Authentication Protocol Committed Information Rate Custom Provide Equipment VPN Cyclic Redundancy Check Carrier Sense Multiple Access/Collision Detect Channel Service Unit Data Carrier Detection Data Circuit-terminating Equipment Dial Control Center Data Encrytion Standard DES-Cipher Block Chaining 预烧MAC地址 用于存放路由器启动程序的存储器,通常代指路由器启动程序。 网桥协议数据单元 流量监管的一个实例。 CAR可以定义三个流量参数:承诺信息速率CIR (Committed Information Rate )、承诺突发尺寸CBS (Committed Burst Size)、超出突发尺寸EBS (Excess Burst Size),依据它们对流量进行评估。 CAR还包括了对监管对象的流分类及监管动作的定义。 国际电报电话咨询委员会 盘问握手认证协议,是密文传送的密码验证方式,为三次握手验证,口令为密文(密钥)。首先是验证方向被验证方发送一些随机产生的报文(Challenge);然后被验证方用自己的口令字和MD5算法对该随机报文进行加密,将生成的密文发回验证方(Response);最后验证方用自己保存的被验证方口令字和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。 承诺信息速率。 基于用户侧设备的VPN应用,VPN功能集中在用户侧设备实现,VPN的维护管理由用户自己实现。 循环冗余校验 载波侦听多路访问/冲突检测。 信道服务单元,是将终端用户设备连接到本地数字电话环路的数字接口设备。通常遇DSU(数据服务单元)一起合称为CSU/DSU。 数据载波检测,一种物理信号。 数据电路终接设备,一种在DTE和网络之间提供接口的设备。拨号控制中心,一种在路由器之间通过公用交换网(PSTN和ISDN)进行互连时所采用的拨号技术。 数据加密标准,明文按照64比特块进行加密,并生成64比特的密文。 DES密码块链接,明文块逐个链接,每个明文块在加密之前
都与前一个密文块进行异或操作。
DH
DHCP DMZ DNS DoS
DR DRAM
DSCP DSP
DSR
DSU
DTE
DTR D-V routing algorithm
E
ECMA EF Expedited-forwarding
EIA
ESP F
FCM Diffie-Hellman Dynamic Host Configuration Protocol Demilitarized Zone Domain Name System Denial of Service Designated Router Dynamic Random Access Memory Differentiated Services CodePoint Digital Signal Processor Data Service Ready Data Service Unit, Data Terminal Equipment Data Terminal Ready Distance-Vector European Computer Manufacturers Association Electronic Industries Association Encapsulating Security Payload Fast Connect Modem 一种允许陌生人建立共享密钥的协议,最初由Diffie和Hellman发明,主要基于双方都知道的两个大质数p和g,并且存在等式关系:da mod p = cb mod p = gab mod p。 动态主机配置协议,用来获得所有必要的、包括IP地址在内的配置信息。 非军事化区域 域名系统,把人可读的域名映射成IP地址。 拒绝服务 指定路由器 动态随机存取存储器。 差分服务编码点 数字信号处理器,用来将模拟信号转换为数字信号。 数据服务就绪,RS-232中指示DCE设备上电后准备就绪的物理信号。 数据服务单元,是用在数字传输中的一种设备,将数据终端设备上的物理接口配接到诸如T1或E1等传输设施。DSU还负责提供诸如信号时钟类型等功能。通常遇CSU(信道服务单元)一起合称为CSU/DSU。 数据终端设备,一种用作数据源或数据接收器的设备,它通过DCE和网络相连接。 数据终端就绪,RS-232中向DCE侧设备通知DTE设备准备就绪的物理信号。 距离矢量。是一种路由算法,根据路由的步跳数来选择最短路径。采用D-V算法路由协议的路由器在每次更新时,需要向直接相邻的邻居发送全部路由表。D-V算法可能导致路由环,但计算复杂度较低。也称为Bellman-Ford路由算法。 欧洲计算机制造商协会 加速转发 电子工业联合会 报文安全封装协议,在传输模式和隧道模式下使用,它采用加密和验证机制,为IP数据包提供数据源验证、数据完整性、反重放和机密安全服务。 快速连接调制解调器
FE Fast Ethernet FTP File Transfer Protocol G
GE GigabitEthernet GRE Generic Routing
Encapsulation
GW Gateway
H
HDLC High Data Link Control HRP Huawei Redundancy Protocol
HTTP Hypertext Transfer Protocol
I
IANA Internet Assigned Numbers
Authority, ICMP Internet Control Message
Protocol IDN Integrated Data Network IDS Intrusion Defective System IEEE Institute of Electrical and Electronic Engineers
IETF Internet Engineering Task
ForceInternet IGP Interior Gateway Protocol
IKE Internet Key Exchange
ILS Internet Locator Service 快速以太网。对传统的共享介质以太网标准的扩展和增强,可以以100Mbit/s的速率传输数据。符合IEEE规范802.3u。文件传输协议,FTP协议在TCP/IP协议族中属于应用层协议,主要向用户提供远程主机之间的文件传输,FTP协议基于相应的文件系统实现。 千兆以太网,也称为吉比特以太网。采用IEEE 802.3z标准,兼容10M及100M以太网,目前用于GE的物理传输介质仅限于光纤。 通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。 实现局域网(LAN)与更大型系统共享的一种连接设备。网关一般来说速率比网桥或路由器慢,它是硬件与软件的结合物,有自己的处理器和存储器,可以进行协议的转换。 高级数据链路控制规程,由ISO制定的,在X.25协议中使用的一种面向比特的数据链路协议。HDLC中一个称为链路访问协议的子集应用在其它协议。它也是许多LAN中使用的数据链路协议的基础。 华为冗余协议 超文本传输协议,是WWW服务程序用来传输文件的协议。 Internet地址分配当局。 Internet控制报文协议,IP协议的一个组成部分,它用来处理差错和控制报文。 综合数据网 攻击检测系统 电气和电子工程师学会 Internet工程任务组,致力于发展和设计TCP/IP协议栈和Internet的组织。 内部网关协议。在自治系统内部运行的路由协议。包括RIP、OSPF等。 因特网密钥交换协议,它通过ISAKMP实现Oakley和SKEME密钥交换的混合协议。 Internet定位服务
IP .Internet Protocol IPHC IP Header Compression IPSec IP Security ISAKMP Internet Security Association &
Key Management Protocol
ISL Inter-Switch Link ISO the International Organization
for Standardization ISP Internet Service Provider
International ITU-T Telecommunication Union
Telecommunications Standardization Sector
L
L2F Layer Two Forwarding Protocol
L2TP Layer Two Tunnelling Protocol
LAC L2TP Access Concentrator
LAN Local Area Network
LNS L2TP Network Server LQR Link Quality Reports LSA Link State Advertisement
LSDB Link Sate Database
M
MAC Media Access Control Internet协议,是TCP/IP协议栈中提供无连接互连网络服务的网络层协议。 为提高在低速网络上的语音、视频以及大数据包的传输速率,按照RFC相关文档中给出的一系列报文头压缩算法对IP、TCP、UDP等报文进行归类压缩的方法。 IP数据安全,IPSec协议不是一个单独的协议,它定义了IP网络上数据安全的一整套体系结构,包括AH、ESP和IKE等协议。 提供了认证和密钥交换的框架,但并没有定义认证和密钥交换的具体实现方式。 交换机间链路,通过在原来普通的以太报文前增加26个ISL头,在ISL头中有VLAN ID的标记,来实现VLAN。ISL报文使用固定的组播地址发送以太帧。 国际标准组织。 Internet服务提供商。 国际电信联合会-电信标准部。负责制定世界范围的电信技术标准。 二层转发协议,提供对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。 二层隧道协议,由IETF起草,微软等公司参与,结合了PPTP和L2F两个协议的优点,为众多公司所接受。 L2TP 访问集中器,是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,通常LAC为用户提供接入服务。 局域网。由处于同一建筑或方圆几公里范围内的个人计算机和工作站相连接而组成的网络,具有高速和低错误率的特点,Ethernet、FDDI、令牌环是LAN的三种主要实现技术。 L2TP网络服务器,是PPP端系统上用于处理L2TP协议服务器端部分的软件。 链路质量报告 链路状态广播 链路状态数据库 媒体访问控制,在OSI七层模型的数据链路层中,MAC层是
较靠近物理层。
MAN Metropolis Area Network MD5 Message-Digest Algorithm 5 MIB Management Information Base
MIM Multifunctional Interface Module MODEM Modulator-Demodulator MTU Maximum Transfer Unit N NAS Network Access Server
NAT Network Address Translation NBMA Non Broadcast MultiAccess NETs Network Entity Titles NIC Network Information Center
NMS Network Management Station
NNI Network-to-Network Interface NNTP Network News Transfer
Protocol NPDU Network Protocol Data Unit NSAP Network Service Access Point
NTP Network Time Protocol
NVRAM NonVolatile Random Access Memory
O
OSI Open System Interconnection城域网,基本上是一种大型的LAN,通常使用与LAN相同的技术。覆盖的地域较LAN更大更广泛,通常为方圆几十公里或一个城市。 消息摘要算法,由Ron Rivest设计的散列函数系列的第5个,通过将任意长度的输入信息转换为128位的“手印”或摘要信息,实现数字签名,确保网络中信息传输的完整性。 管理信息库,分类记录网络设备的参数和状态信息。SNMP协议中的重要组成部分。MIB的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。 多功能接口模块 调制解调器。 最大传输单元,在一定的物理网络中能够传送的最大数据单元。 网络接入服务器,为PSTN/ISDN拨号用户提供访问Internet的接入服务。 网络地址转换,可将内部网络私有IP地址转换为公有IP地址,以减轻对公有IP地址的需求。 非广播多路访问。指全连通、非广播、多点可达的网络,这种网络采用单播方式发送报文。 网络实体名称。 网络信息中心,是INTERNIC的前身。 网管站。一般为一台工作站,通过与Agent通信进行网络流量统计等。 网络-网络接口。 网络新闻传输协议 网络协议数据报文,是ISO中的网络层协议报文,相当于TCP/IP中的IP报文。 网络服务接入点,即ISO中网络层的地址。用来标识一个抽象的网络层访问服务点,其描述的对象正是ISO模型中赖以寻址的网络地址结构。 网络时间协议(NTP)是用来在整个网络内发布精确时间的TCP/IP协议,其本身的传输基于UDP。 非易失性随机存取存储器,一种可以电擦除和重写的存储器。 开放系统互连,是由ISO和ITU-T建立的国际标准化程序,
用来为数据网络互连开发标准以实现多厂商设备的互用性。
OSPF Open Shortest Path First
P PAD Packet Assembly/Disassembly facility
PAP Password Authentication
Protocol PCM Pulse Code Modulation PDH Plesiochronous Digital
Hierarchy
PING packet internet groper POP Point of Presence PPP Point to Point Protocol
PPPoE Point-to-Point Protocol over
Ethernet PPTP Point-to-Point Tunneling Protocol
PSTN Public Switched Telephony
Network
Q QoS Quality of Service
R
RADIUS Remote Authentication Dial In User Service
RFC Request For Comments
RIP Routing Information Protocol 开放最短路径优先协议 分组汇集/拆卸设备 口令认证协议,PAP验证为两次握手验证,口令为明文。首先是被验证方发送用户名和口令到验证方;然后验证方根据用户配置查看是否有此用户以及口令是否正确,返回不同的响应(Acknowledge or Not Acknowledge)。 脉冲编码调制。 准同步数字体系。 利用ICMP Echo消息及其应答来测试IP网络中某个网络设备是否可达。 接入点,为用户提供接入服务。 点到点连接,在两个设备间的专用传输链路。 在Ethernet上承载PPP协议,它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每个主机实现控制、计费功能,极高的性能价格比使PPPoE在包括小区组网建设等一系列应用中被广泛采用。 点到点隧道协议,由微软、Ascend和3COM等公司支持,实现在IP网络上隧道封装点到点PPP协议。 公共电话交换网络。 服务质量 ,指对IP网络投递分组的服务能力的评估。通常以对延迟、延迟抖动、丢包率等服务需求提供支持的能力作为核心评估对象。为了满足这些核心需求,需要有一定的支撑技术。 远程认证拨号用户服务的简称,最初由Livinggston Enterprise公司开发,作为一种分布式的客户机/服务器系统,能提供AAA功能。目前可以使用串口和Modem的大量分散用户的接入验证、授权和计费等。 请求注解,Internet标准(草案)。 路由信息协议。采用D-V算法计算路由,使用步跳数选择路
由,广泛使用于小型网络中,是最常见的一种内部网关协议。
RMON Remote MONitor RSA Revest,Shamir and
AdlemanRSA
RSVP Resource Reservation
Protocol
RTCP Real-Time Control Protocol
RTP Real-time Transport Protocol S SA Security Association
SMTP Simple Mail Transfer Protocol
SNMP Simple Network Management
Protocol
SPI Security Parameters Index SSH Secure Shell STP Spanning-Tree Protocol T
TCP Transmission Control Protocol
TCP/IP Transmission Control Protocol
/ Internet Protocol
TE Traffic Engineering TFTP Trivial File Transfer Protocol
ToS Type of Service 远端监视器,是IETF定义的一种目前应用相当广泛的网络管理标准,是对MIB II标准最重要的增强。主要实现对一个网段乃至整个网络的数据流量的监视功能。它的实现完全基于SNMP体系结构,包括NMS和运行在各网络设备上的Agent两部分。 加密算法。 资源预留协议,是支持IP网络的资源预留的协议。 实时传输控制协议,是IETF定义的用于控制和监视RTP及其QoS的协议。 实时传输协议,是IETF定义的用以传送音频、视频流的协议,RTP建立在UDP上,在RTP报文的头部定义了一个时间戳,使得音视频的实时传送及同步得到保证。H.323建立在RTP协议基础上。 安全联盟,IPSec对数据流提供的安全服务通过安全联盟SA来实现,它包括协议、算法、密钥等内容,具体确定了如何对IP报文进行处理。 简单邮件传送协议,TCP/IP标准协议,用来把电子邮件从一台机器传送到另一台机器。它描述了两个邮件系统如何交互,以及传送邮件时双方控制信息的格式。 在TCP/IP网络中使用的网络管理协议,是被广泛接受并投入使用的工业标准,它的目标是保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息,进行修改,寻找故障,完成故障诊断,容量规划和报告生成。 是一个32比特的数值,在每一个IPSec报文中都携带该值。SPI、IP目的地址、安全协议号三者结合起来共同构成三元组,来唯一标识一个特定的安全联盟。 安全外壳,SSH连接可以提供安全的Telnet访问。 生成树协议。 传输控制协议,TCP/IP标准传输层协议,它为许多应用协议提供可靠的、全双工、数据流式服务。 指TCP/IP协议栈。 流量工程 简单文件传送协议,TCP/IP的标准协议,它能在最小限度上以最小代价进行文件传送。它仅依赖于不可靠的、无连接的UDP,因此它能够用在像无盘工作站之类的机器上,保存在ROM中并能自举。 服务类型。
TRIP Triggered RIP
TTL Time To Live
U UDP User Datagram Protocol UNI User-Network Interface
V VGMP VRRP Group Management Protocol VLAN Virtual Local Area Network VoIP Voice over IP VPDN Virtual Private Dialup Network
VPLS Virtual Private LAN Segment
VPN Virtual Private Network VPRN Virtual Private Routing Network
VRP Versatile Routing Platform
VRRP Virtual Router Redundancy
Protocol VT Virtual Template
VTP VLAN Trunk Protocol
VTY Virtual Port 触发式RIP。 IP报文头中一个域,表示报文有效时间。 用户数据报协议,是TCP/IP协议族中的无连接传输层协议。它是一种无需确认或者担保投递就能交换数据报的简单协议。 用户-网络接口。 VRRP组管理协议 虚拟局域网。把一个LAN划分成多个逻辑的“LAN”,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样。 通过IP网络承载语音,基于ITU-T H.323等多媒体通信规范实现语音实时传输。采用VoIP方式,DSP将语音信号封装成帧并储存在分组包中进行传输。 虚拟私有拨号网络,即利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网。 虚拟专用LAN网段,借助IP公共网络实现LAN之间通过虚拟专用网段互连,是局域网在IP公共网络上的延伸。 虚拟专用网。是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。 虚拟专用路由网络,即借助IP公共网络实现总部、分支机构和远端办公室之间通过网络管理虚拟路由器进行互连, 通用路由平台,是华为公司数据通信产品的通用操作系统平台。 虚拟路由冗余协议,它为具有多播或广播能力的局域网(如:以太网)设计。VRRP将局域网的一组路由器(包括一个MASTER和若干个BACKUP)组织成一个虚拟的路由器,称之为一个备份组。 这个虚拟的路由器拥有自己的IP地址,网络内的主机就通过这个虚拟的路由器来与其他网络进行通信。如果备份组内的MASTER路由器坏掉时,备份组内的其它BACKUP路由器将会接替成为新的MASTER,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。 虚拟接口模板,VRP中的一种逻辑接口。 VLAN干道协议。负责管理在交换网络中的VLAN增加,删除和重命名等,当一个新的交换机加入到网络中,增加的设备收到来自VTP的修改信息,并且对网络中现有的VLAN进行自动配置。 虚拟线路,属于逻辑终端线,用于对路由器进行Telnet访问。
Quidway Eudemon 系列防火墙 操作手册 (缩略语)
附录 A 缩略语表
W WAN
WWW Wide Area Network 广域网,由许多在空间上相隔很远的计算机通过特定的协议和物理方式连接而成的一种网络,通常跨越很大的地域,例如包含一个国家或省/州。 万维网,一种允许用户浏览信息的大规模、超媒体信息服务
系统。 World Wide Web
A-10