我國(guó)發(fā)展道路的一個(gè)鮮明特征，就是通過(guò)對(duì)外開(kāi)放，促進(jìn)思想解放和改革創(chuàng)新，利用兩個(gè)市場(chǎng)、兩種資源，提高資源配置效率，提升競(jìng)爭(zhēng)能力。只有開(kāi)放兼容，國(guó)家才能富強(qiáng)。過(guò)去5年是改革開(kāi)放和全面建設(shè)小康社會(huì)取得重大進(jìn)展的5年，開(kāi)放型經(jīng)濟(jì)進(jìn)入新階段。我們應(yīng)繼續(xù)保持踏實(shí)理性、學(xué)習(xí)借鑒、兼收并蓄、互利共贏的開(kāi)放心態(tài)，更加自信和自覺(jué)地推進(jìn)對(duì)外開(kāi)放，拓展對(duì)外開(kāi)放廣度和深度，提高開(kāi)放型經(jīng)濟(jì)水平。

“開(kāi)放也是改革，開(kāi)放兼容才能強(qiáng)國(guó)?！笨偫碓诓痪们伴]幕的第十一屆全國(guó)人大一次會(huì)議上所作的《政府工作報(bào)告》（以下簡(jiǎn)稱(chēng)《報(bào)告》），高度評(píng)價(jià)了改革開(kāi)放**年的偉大成就和過(guò)去5年對(duì)外開(kāi)放的新進(jìn)展，強(qiáng)調(diào)堅(jiān)定不移繼續(xù)推進(jìn)改革開(kāi)放，并全面部署了今年的對(duì)外開(kāi)放工作。這里，從對(duì)外開(kāi)放的角度談?wù)剬W(xué)習(xí)《報(bào)告》的體會(huì)。

對(duì)外開(kāi)放使我國(guó)發(fā)生了歷史性巨變

我國(guó)改革開(kāi)放已經(jīng)走過(guò)近**年歷程?！秷?bào)告》強(qiáng)調(diào)指出了改革開(kāi)放的重大歷史意義：改革開(kāi)放使中國(guó)發(fā)生了歷史性的巨大變化，改革開(kāi)放是決定當(dāng)代中國(guó)命運(yùn)重大而關(guān)鍵的抉擇。

對(duì)外開(kāi)放近**年成績(jī)巨大。我國(guó)發(fā)展道路的一個(gè)鮮明特征，就是通過(guò)對(duì)外開(kāi)放，促進(jìn)思想解放和改革創(chuàng)新，利用兩個(gè)市場(chǎng)、兩種資源，提高資源配置效率，提升競(jìng)爭(zhēng)能力。**年來(lái)，我國(guó)對(duì)外開(kāi)放成績(jī)巨大。一是擴(kuò)大對(duì)外貿(mào)易和吸引外資。****年，我國(guó)對(duì)外貿(mào)易總額僅為****億美元，居世界第二十二位；吸收外資和對(duì)外投資都不到****萬(wàn)美元。****年，我國(guó)對(duì)外貿(mào)易總額已達(dá)****萬(wàn)億美元，居世界第三位，其中出口居第二位；吸收外商直接投資和對(duì)外直接投資分別達(dá)到****億美元和****億美元，均居發(fā)展中國(guó)家第一位。二是帶動(dòng)經(jīng)濟(jì)增長(zhǎng)。****年―****年，我國(guó)國(guó)內(nèi)生產(chǎn)總值年均增長(zhǎng)****%，同期對(duì)外貿(mào)易年均增長(zhǎng)****%，吸收外資年均增長(zhǎng)****%，對(duì)外投資年均增長(zhǎng)****%。****年與1985年相比，按不變價(jià)計(jì)算，我國(guó)國(guó)內(nèi)生產(chǎn)總值、貿(mào)易總額、出口、吸收外資和對(duì)外投資分別增長(zhǎng)了****倍、****倍、****倍、****倍和****倍。對(duì)外開(kāi)放各項(xiàng)指標(biāo)均高于國(guó)內(nèi)生產(chǎn)總值增長(zhǎng)速度，表明開(kāi)放是增長(zhǎng)的重要源泉。三是擴(kuò)大就業(yè)和提高收入。目前外商投資企業(yè)的就業(yè)人員已達(dá)42**萬(wàn)人，再加上非外資出口企業(yè)的就業(yè)和勞務(wù)輸出等，涉外經(jīng)濟(jì)中的直接就業(yè)人數(shù)超過(guò)8***萬(wàn)。我國(guó)出口就業(yè)密度遠(yuǎn)遠(yuǎn)高于進(jìn)口就業(yè)密度，特別是加工貿(mào)易，大部分是進(jìn)口國(guó)外資源和資金密集產(chǎn)品經(jīng)再加工后出口的，這實(shí)質(zhì)上是勞動(dòng)力的間接出口。涉外就業(yè)崗位的收入水平也相對(duì)較高，外商投資企業(yè)員工的工資水平在2**3年以前是各類(lèi)企業(yè)中最高的，近幾年也僅略低于少數(shù)國(guó)有中央企業(yè)。四是提升產(chǎn)業(yè)結(jié)構(gòu)和出口商品結(jié)構(gòu)。國(guó)內(nèi)企業(yè)進(jìn)口了大量先進(jìn)技術(shù)設(shè)備，外資企業(yè)大多數(shù)引進(jìn)使用先進(jìn)和比較先進(jìn)的技術(shù)，在華外資研發(fā)中心已超過(guò)11**家。在高技術(shù)產(chǎn)業(yè)產(chǎn)值中，外資企業(yè)所占的比重超過(guò)一半。****年我國(guó)機(jī)電產(chǎn)品和高技術(shù)產(chǎn)品出口額中，外資企業(yè)所占的比重分別達(dá)到73%和87%。國(guó)內(nèi)企業(yè)通過(guò)與出口企業(yè)和外商投資企業(yè)的競(jìng)爭(zhēng)與合作，學(xué)習(xí)到先進(jìn)經(jīng)營(yíng)理念、技術(shù)、管理和營(yíng)銷(xiāo)模式。最近幾年，人力資源較多地在國(guó)內(nèi)外企業(yè)之間流動(dòng)，帶動(dòng)大量知識(shí)和技術(shù)流動(dòng)。在外向度較高的行業(yè)中，已有一些國(guó)內(nèi)企業(yè)成長(zhǎng)起來(lái)，開(kāi)始具有全球競(jìng)爭(zhēng)力和重要市場(chǎng)地位。五是緩解資源環(huán)境壓力。****年，我國(guó)初級(jí)產(chǎn)品凈進(jìn)口達(dá)到****億美元，緩解了資源約束。通過(guò)進(jìn)口資源密集型產(chǎn)品，我們還間接進(jìn)口了不可貿(mào)易的短缺資源。據(jù)聯(lián)合國(guó)糧農(nóng)組織測(cè)算，以糧食貿(mào)易為載體間接交易的淡水量，相當(dāng)于全球糧食生產(chǎn)用水的13%。國(guó)內(nèi)有關(guān)研究表明，2**6年我國(guó)進(jìn)口大豆3150萬(wàn)噸，如果在國(guó)內(nèi)種植約需要耕地****萬(wàn)公頃，相當(dāng)于黑龍江省大豆種植面積的5倍。六是推動(dòng)體制改革和制度創(chuàng)新。改革開(kāi)放以來(lái)設(shè)立的4個(gè)經(jīng)濟(jì)特區(qū)和以后陸續(xù)增加的開(kāi)放城市和地區(qū)，在建立社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制方面先試先行，提供了豐富經(jīng)驗(yàn)。對(duì)外開(kāi)放還推動(dòng)著政企關(guān)系、企業(yè)治理結(jié)構(gòu)、外貿(mào)和外匯管理等方面體制的變革，促進(jìn)商品和各類(lèi)生產(chǎn)要素市場(chǎng)的形成和完善。涉外經(jīng)濟(jì)法律法規(guī)成為社會(huì)主義市場(chǎng)經(jīng)濟(jì)法律體系的重要內(nèi)容。

過(guò)去5年開(kāi)放邁出重大步伐?！秷?bào)告》指出，過(guò)去5年是改革開(kāi)放和全面建設(shè)小康社會(huì)取得重大進(jìn)展的5年，開(kāi)放型經(jīng)濟(jì)進(jìn)入新階段。一是對(duì)外貿(mào)易快速增長(zhǎng)，結(jié)構(gòu)進(jìn)一步改善。****年與****年相比，進(jìn)出口總額增加了2.5倍，世界排名上升3位；機(jī)電產(chǎn)品、高技術(shù)產(chǎn)品占出口總額的比重分別提高了9.2個(gè)百分點(diǎn)和7.7個(gè)百分點(diǎn)。通過(guò)調(diào)整出口退稅、出口關(guān)稅和加工貿(mào)易等政策，控制“兩高一資”商品出口和促進(jìn)加工貿(mào)易轉(zhuǎn)型升級(jí)取得明顯成效。二是跨境投資雙向加速。過(guò)去5年，我國(guó)服務(wù)業(yè)開(kāi)放速度加快。****年服務(wù)業(yè)（含金融業(yè)）實(shí)際吸收外資達(dá)4**億美元，占吸收外資總額的52%，比****年的比重提高近1倍。利用外資渠道不斷拓寬，****年國(guó)內(nèi)企業(yè)通過(guò)海外上市融資近4**億美元。對(duì)外投資由****年的25億美元上升到****年的****億美元，增長(zhǎng)6.5倍，我國(guó)成為最大的發(fā)展中海外投資母國(guó)。三是對(duì)外開(kāi)放領(lǐng)域制度建設(shè)達(dá)到新的水平。貿(mào)易和投資自由化、便利化程度進(jìn)一步提高。按照世貿(mào)組織規(guī)則的要求，不斷完善涉外法律法規(guī)體系，特別是對(duì)主要知識(shí)產(chǎn)權(quán)法律法規(guī)進(jìn)行了修訂。

摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問(wèn)題必須滿(mǎn)足的要求，最后給出了利用UDP封裝法實(shí)現(xiàn)NAT透明穿透的解決方案。關(guān)鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術(shù)的虛擬專(zhuān)用網(wǎng)（VirtualProfessionalNetwork，簡(jiǎn)稱(chēng)VPN）是通過(guò)Internet平臺(tái)將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計(jì)算機(jī)用戶(hù)的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來(lái)越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡(jiǎn)稱(chēng)IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡(jiǎn)稱(chēng)IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。另外，NAT（NetworkAddressTranslation）技術(shù)通過(guò)改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無(wú)效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來(lái)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計(jì)上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因?yàn)镮PSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過(guò)程中，任何對(duì)IP地址及傳輸標(biāo)志符的修改，都被視作對(duì)該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過(guò)安全檢查而被丟棄。但在VPN中運(yùn)用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對(duì)IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實(shí)現(xiàn)NAT的透明穿透具有現(xiàn)實(shí)意義。2協(xié)議介紹2.1IPSecIPSec包括安全協(xié)議和密鑰管理兩部分。其中，AH和ESP是兩個(gè)安全協(xié)議，提供數(shù)據(jù)源驗(yàn)證、面向無(wú)連接的數(shù)據(jù)完整性、抗重放、數(shù)據(jù)機(jī)密性和有限抗流量分析等安全任務(wù)。為了能夠?qū)⑾鄳?yīng)的安全服務(wù)、算法和密鑰應(yīng)用于需要保護(hù)的安全通道，IPSec規(guī)定兩個(gè)通信實(shí)體進(jìn)行IPSec通信之前首先構(gòu)建安全關(guān)聯(lián)SA。SA規(guī)定了通信實(shí)體雙方所需要的具體安全協(xié)議、加密算法、認(rèn)證算法以及密鑰。IKE提供了用來(lái)協(xié)商、交換和更新SA以及密鑰的完整機(jī)制。IPSec定義了兩種類(lèi)型的封裝模式——傳輸模式和隧道模式。傳輸模式只對(duì)IP分組應(yīng)用IPSec協(xié)議，對(duì)IP報(bào)頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對(duì)主機(jī)的IPSec虛擬專(zhuān)用網(wǎng)VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報(bào)頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來(lái)了。隧道主要應(yīng)用于主機(jī)到網(wǎng)關(guān)的遠(yuǎn)程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問(wèn)題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址或用合法的IP地址來(lái)替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT有三種類(lèi)型：靜態(tài)NAT、動(dòng)態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據(jù)協(xié)議的定義，我們知道IPSec和NAT兩個(gè)協(xié)議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對(duì)AH的影響IPSecAH進(jìn)行驗(yàn)證的時(shí)候，處理的是整個(gè)IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設(shè)備，NAT設(shè)備就會(huì)修改外層IP包頭的源地址并修改其校驗(yàn)和，這樣接收方會(huì)因認(rèn)證失敗而丟棄該包。2）NAT對(duì)ESP的影響TCP/UDP校驗(yàn)和地計(jì)算涉及一個(gè)虛構(gòu)的IP包頭，該包頭含有IP源和目的地址。因此，當(dāng)NAT設(shè)備改變IP地址時(shí)也需要更新IP頭和TCP/UDP校驗(yàn)和。如果采用ESP傳輸模式，IP包經(jīng)過(guò)NAT設(shè)備時(shí)，NAT設(shè)備修改了IP包頭，但是TCP/UDP校驗(yàn)和由于處于加密負(fù)載中而無(wú)法被修改。這樣，該信包經(jīng)過(guò)IPSec層后將因?yàn)門(mén)CP協(xié)議層的校驗(yàn)和的錯(cuò)誤而被丟棄。另外，由于TCP/UDP校驗(yàn)和只與內(nèi)層原始IP包頭有關(guān)，外層IP包頭的修改并不對(duì)其造成影響，因此采用ESP隧道模式和僅靜態(tài)或動(dòng)態(tài)NAT的情況下不存在TCP校驗(yàn)和的問(wèn)題。但是，在NAPT情況下，因?yàn)镹APT需要TCP/UDP端口來(lái)匹配出入信包，而端口號(hào)受到ESP加密保護(hù)，所以ESP分組通信將會(huì)失敗。3）NAT對(duì)IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經(jīng)過(guò)NAT后，會(huì)導(dǎo)致IKE協(xié)商的失敗。IKE協(xié)議使用固定目的端口500，當(dāng)NAPT設(shè)備后的多個(gè)主機(jī)向同一響應(yīng)者發(fā)起SA協(xié)商時(shí)，為了實(shí)現(xiàn)多路分發(fā)返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應(yīng)者應(yīng)該能處理端口號(hào)并非500的IKE協(xié)商請(qǐng)求，但往往NAPT對(duì)UDP端口的映射很快會(huì)被刪除，再協(xié)商的過(guò)程就將出現(xiàn)一些不可預(yù)見(jiàn)的問(wèn)題，很容易導(dǎo)致NAPT設(shè)備無(wú)法將協(xié)商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉(zhuǎn)換情況下才可以實(shí)現(xiàn)IPSec數(shù)據(jù)流的NAT穿越。這一方法既降低了IPSec協(xié)議的安全性，又限制了NAT的工作方式，因此在實(shí)際應(yīng)用中可行度較差。4IPSec與NAT的兼容性要求在現(xiàn)有的條件下，為了推動(dòng)基于IPSec的VPN的發(fā)展，IPSec和NAT兼容性解決方案需要滿(mǎn)足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個(gè)過(guò)渡的解決辦法必須比IPv6易于部署。應(yīng)該只需修改主機(jī)，無(wú)需改變路由器，在短時(shí)間內(nèi)能與現(xiàn)存的路由器和NAT產(chǎn)品協(xié)同工作。2）遠(yuǎn)程訪問(wèn)IPSec的一個(gè)重要應(yīng)用是遠(yuǎn)程訪問(wèn)公司的內(nèi)部網(wǎng)絡(luò)。NAT穿越方案必須考慮遠(yuǎn)程客戶(hù)端與VPN網(wǎng)關(guān)之間存在多個(gè)NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應(yīng)該避免對(duì)IKE或IPSec目的端口的動(dòng)態(tài)分配，使防火墻管理員進(jìn)行簡(jiǎn)單的配置，就可以控制穿越NAT的IPSec數(shù)據(jù)流。4）可擴(kuò)展性IPSec和NAT兼容性方案應(yīng)具有良好的擴(kuò)展性，必須保證在大規(guī)模遠(yuǎn)程訪問(wèn)的環(huán)境中，在大量遠(yuǎn)程接入的環(huán)境下，同一時(shí)間段多個(gè)主機(jī)和遠(yuǎn)程安全網(wǎng)關(guān)建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實(shí)現(xiàn)互操作。穿越方案應(yīng)該能自動(dòng)檢測(cè)是否存在NAT，能判斷通信對(duì)方的IKE實(shí)現(xiàn)是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來(lái)新的安全漏洞。5利用UDP封裝法實(shí)現(xiàn)NAT的穿透本文中的解決方案是采用UDP封裝法實(shí)現(xiàn)NAT的透明穿透，不需要修改現(xiàn)有的NAT網(wǎng)關(guān)和路由器。所以該方案具有簡(jiǎn)單且易于實(shí)現(xiàn)的優(yōu)點(diǎn)，缺點(diǎn)是由于添加了一個(gè)UDP報(bào)文頭，而加大了帶寬開(kāi)銷(xiāo)，但相對(duì)于目前持續(xù)擴(kuò)大的傳輸帶寬來(lái)說(shuō)，這個(gè)UDP報(bào)文頭的帶寬開(kāi)銷(xiāo)可以忽略不計(jì)。下面詳細(xì)討論其原理和實(shí)現(xiàn)過(guò)程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數(shù)據(jù)之間再封裝一個(gè)UDP頭，這樣封裝后的數(shù)據(jù)包端口值對(duì)NAT可見(jiàn)，就可以正確的實(shí)現(xiàn)端口轉(zhuǎn)換。UDP封裝格式如圖1所示。UDP封裝格式另外，由于IKE已經(jīng)使用了UDP的500端口，為了簡(jiǎn)化配置和避免多個(gè)端口帶來(lái)的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來(lái)區(qū)分端口500的數(shù)據(jù)包是IKE消息還是UDP封裝的ESP。為了區(qū)分兩者，我們采用在IKE報(bào)頭添加Non-ESP標(biāo)記。在確定存在一個(gè)中間NAT之后，支持IPSecNAT-T的對(duì)話方開(kāi)始使用新的IKE報(bào)頭。5.2IKE協(xié)商過(guò)程IPSec通信實(shí)體雙方是否采用UDP封裝取決于對(duì)話對(duì)方是否支持該方法以及是否存在NAT設(shè)備，這個(gè)過(guò)程通過(guò)IKE協(xié)商來(lái)完成。在IKE協(xié)商過(guò)程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類(lèi)型。1）新的NAT-Discovery(NAT-D)有效載荷這個(gè)新的有效載荷包含一個(gè)散列值，它整合了一個(gè)地址和端口號(hào)。在主模式協(xié)商期間，即IKE協(xié)商第一階段第三、四條消息中，IPSec對(duì)話方包括兩個(gè)NAT-Discovery有效載荷——一個(gè)用于目標(biāo)地址和端口，另一個(gè)用于源地址和端口。接收方使用NAT-Discovery有效載荷來(lái)發(fā)現(xiàn)NAT之后是否存在一個(gè)經(jīng)NAT轉(zhuǎn)換過(guò)的地址或端口號(hào)，并基于被改變的地址和端口號(hào)來(lái)確定是否有對(duì)話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個(gè)新的有效載荷包含IPSec對(duì)話方的原始地址。對(duì)于UDP封裝的ESP傳輸模式，每個(gè)對(duì)話方在快速模式協(xié)商期間發(fā)送NAT-OA有效載荷。接收方將這個(gè)地址存儲(chǔ)在用于SA的參數(shù)中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協(xié)商期間指定的，用于通知IPSec對(duì)話方應(yīng)該對(duì)ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來(lái)封裝IPSec分組的思想只解決了NAPT設(shè)備不支持AH和ESP通信的問(wèn)題。例如TCP校驗(yàn)和錯(cuò)誤、UDP端口映射的保持等問(wèn)題還需要輔助方法來(lái)解決。為保證校驗(yàn)和正確無(wú)誤，通信雙方需將自身的原始IP地址和端口發(fā)送給對(duì)方，即實(shí)現(xiàn)地址通告。地址通告的實(shí)現(xiàn)通過(guò)IKE第二階段的前兩條消息中的NAT-OA有效載荷。因?yàn)镹AT-OA有效載荷中包含IPSec對(duì)話方的原始地址，為此，接收方就擁有了檢驗(yàn)解密之后的上層校驗(yàn)和所需的信息。消息發(fā)起者在NAT中創(chuàng)建了一個(gè)UDP端口映射，它在初始主模式和快速模式IKE協(xié)商期間使用。然而，NAT中的UDP映射通常超過(guò)一定時(shí)間沒(méi)用就會(huì)被刪除掉。如果響應(yīng)者隨后向發(fā)起者發(fā)送IKE消息卻沒(méi)有提供UDP端口映射，那么這些消息將被NAT丟棄。這個(gè)問(wèn)題的解決辦法是通過(guò)定期發(fā)送Keepalive包，用于后續(xù)IKE協(xié)商和UDP封裝的ESP的UDP端口映射同時(shí)在NAT中得到刷新，從而保證通信的正常運(yùn)行。6結(jié)束語(yǔ)IPSec作為網(wǎng)絡(luò)層的安全協(xié)議，目前的應(yīng)用越來(lái)越廣泛,已成為構(gòu)建VPN的基礎(chǔ)協(xié)議之一。而由于IPv6取代IPv4將是一個(gè)漫長(zhǎng)的過(guò)程，NAT設(shè)備的廣泛存在極大地限制了IP層安全協(xié)議IPSec的推廣，因此在目前的條件下，UDP封裝方法無(wú)疑是一種在當(dāng)前環(huán)境下無(wú)需修改NAT網(wǎng)關(guān)和路由器、簡(jiǎn)單可接受的解決IPSec和NAT兼容性的方法，具有一定的現(xiàn)實(shí)意義。但是該方案還不完善，有待進(jìn)一步討論和研究。參考文獻(xiàn)[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問(wèn)題必須滿(mǎn)足的要求，最后給出了利用UDP封裝法實(shí)現(xiàn)NAT透明穿透的解決方案。關(guān)鍵詞IPSec;NAT;IKE;UDP封裝1引言基于IP技術(shù)的虛擬專(zhuān)用網(wǎng)（VirtualProfessionalNetwork，簡(jiǎn)稱(chēng)VPN）是通過(guò)Internet平臺(tái)將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計(jì)算機(jī)用戶(hù)的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來(lái)越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡(jiǎn)稱(chēng)IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡(jiǎn)稱(chēng)IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。另外，NAT（NetworkAddressTranslation）技術(shù)通過(guò)改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無(wú)效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來(lái)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計(jì)上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因?yàn)镮PSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過(guò)程中，任何對(duì)IP地址及傳輸標(biāo)志符的修改，都被視作對(duì)該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過(guò)安全檢查而被丟棄。但在VPN中運(yùn)用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對(duì)IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實(shí)現(xiàn)NAT的透明穿透具有現(xiàn)實(shí)意義。2協(xié)議介紹2.1IPSecIPSec包括安全協(xié)議和密鑰管理兩部分。其中，AH和ESP是兩個(gè)安全協(xié)議，提供數(shù)據(jù)源驗(yàn)證、面向無(wú)連接的數(shù)據(jù)完整性、抗重放、數(shù)據(jù)機(jī)密性和有限抗流量分析等安全任務(wù)。為了能夠?qū)⑾鄳?yīng)的安全服務(wù)、算法和密鑰應(yīng)用于需要保護(hù)的安全通道，IPSec規(guī)定兩個(gè)通信實(shí)體進(jìn)行IPSec通信之前首先構(gòu)建安全關(guān)聯(lián)SA。SA規(guī)定了通信實(shí)體雙方所需要的具體安全協(xié)議、加密算法、認(rèn)證算法以及密鑰。IKE提供了用來(lái)協(xié)商、交換和更新SA以及密鑰的完整機(jī)制。IPSec定義了兩種類(lèi)型的封裝模式——傳輸模式和隧道模式。傳輸模式只對(duì)IP分組應(yīng)用IPSec協(xié)議，對(duì)IP報(bào)頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對(duì)主機(jī)的IPSec虛擬專(zhuān)用網(wǎng)VPN中。隧道模式中IPSec將原有的IP分組封裝成帶有新的IP報(bào)頭的IPSec分組，這樣原有的IP分組就被有效地隱藏起來(lái)了。隧道主要應(yīng)用于主機(jī)到網(wǎng)關(guān)的遠(yuǎn)程接入的情況。2.2NATNAT能解決目前IP地址緊缺的問(wèn)題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址或用合法的IP地址來(lái)替換。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT有三種類(lèi)型：靜態(tài)NAT、動(dòng)態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。3IPSec與NAT的不兼容性分析根據(jù)協(xié)議的定義，我們知道IPSec和NAT兩個(gè)協(xié)議之間存在一定的不兼容性。其不兼容性主要有以下幾種形式：1）NAT對(duì)AH的影響IPSecAH進(jìn)行驗(yàn)證的時(shí)候，處理的是整個(gè)IP包，包括源地址和目的地址。如果IPSec通信雙方存在NAT設(shè)備，NAT設(shè)備就會(huì)修改外層IP包頭的源地址并修改其校驗(yàn)和，這樣接收方會(huì)因認(rèn)證失敗而丟棄該包。2）NAT對(duì)ESP的影響TCP/UDP校驗(yàn)和地計(jì)算涉及一個(gè)虛構(gòu)的IP包頭，該包頭含有IP源和目的地址。因此，當(dāng)NAT設(shè)備改變IP地址時(shí)也需要更新IP頭和TCP/UDP校驗(yàn)和。如果采用ESP傳輸模式，IP包經(jīng)過(guò)NAT設(shè)備時(shí)，NAT設(shè)備修改了IP包頭，但是TCP/UDP校驗(yàn)和由于處于加密負(fù)載中而無(wú)法被修改。這樣，該信包經(jīng)過(guò)IPSec層后將因?yàn)門(mén)CP協(xié)議層的校驗(yàn)和的錯(cuò)誤而被丟棄。另外，由于TCP/UDP校驗(yàn)和只與內(nèi)層原始IP包頭有關(guān)，外層IP包頭的修改并不對(duì)其造成影響，因此采用ESP隧道模式和僅靜態(tài)或動(dòng)態(tài)NAT的情況下不存在TCP校驗(yàn)和的問(wèn)題。但是，在NAPT情況下，因?yàn)镹APT需要TCP/UDP端口來(lái)匹配出入信包，而端口號(hào)受到ESP加密保護(hù)，所以ESP分組通信將會(huì)失敗。3）NAT對(duì)IKE的影響IKE主模式與快速模式中如果使用IP地址作為身份信息，經(jīng)過(guò)NAT后，會(huì)導(dǎo)致IKE協(xié)商的失敗。IKE協(xié)議使用固定目的端口500，當(dāng)NAPT設(shè)備后的多個(gè)主機(jī)向同一響應(yīng)者發(fā)起SA協(xié)商時(shí)，為了實(shí)現(xiàn)多路分發(fā)返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，響應(yīng)者應(yīng)該能處理端口號(hào)并非500的IKE協(xié)商請(qǐng)求，但往往NAPT對(duì)UDP端口的映射很快會(huì)被刪除，再協(xié)商的過(guò)程就將出現(xiàn)一些不可預(yù)見(jiàn)的問(wèn)題，很容易導(dǎo)致NAPT設(shè)備無(wú)法將協(xié)商包送到正確的目的地。綜上所述，IPSec組件的支持能力從表1中可以看出，只有在隧道模式和地址轉(zhuǎn)換情況下才可以實(shí)現(xiàn)IPSec數(shù)據(jù)流的NAT穿越。這一方法既降低了IPSec協(xié)議的安全性，又限制了NAT的工作方式，因此在實(shí)際應(yīng)用中可行度較差。4IPSec與NAT的兼容性要求在現(xiàn)有的條件下，為了推動(dòng)基于IPSec的VPN的發(fā)展，IPSec和NAT兼容性解決方案需要滿(mǎn)足下列要求：1）可部署性IPSec和NAT兼容性解決方案作為一個(gè)過(guò)渡的解決辦法必須比IPv6易于部署。應(yīng)該只需修改主機(jī)，無(wú)需改變路由器，在短時(shí)間內(nèi)能與現(xiàn)存的路由器和NAT產(chǎn)品協(xié)同工作。2）遠(yuǎn)程訪問(wèn)IPSec的一個(gè)重要應(yīng)用是遠(yuǎn)程訪問(wèn)公司的內(nèi)部網(wǎng)絡(luò)。NAT穿越方案必須考慮遠(yuǎn)程客戶(hù)端與VPN網(wǎng)關(guān)之間存在多個(gè)NAT的情況。3）防火墻兼容性IPSec和NAT兼容性方案應(yīng)該避免對(duì)IKE或IPSec目的端口的動(dòng)態(tài)分配，使防火墻管理員進(jìn)行簡(jiǎn)單的配置，就可以控制穿越NAT的IPSec數(shù)據(jù)流。4）可擴(kuò)展性IPSec和NAT兼容性方案應(yīng)具有良好的擴(kuò)展性，必須保證在大規(guī)模遠(yuǎn)程訪問(wèn)的環(huán)境中，在大量遠(yuǎn)程接入的環(huán)境下，同一時(shí)間段多個(gè)主機(jī)和遠(yuǎn)程安全網(wǎng)關(guān)建立連接。5）后向兼容性IPSec和NAT兼容性方案中必須能與已有的IPSec實(shí)現(xiàn)互操作。穿越方案應(yīng)該能自動(dòng)檢測(cè)是否存在NAT，能判斷通信對(duì)方的IKE實(shí)現(xiàn)是否支持NAT穿越。6）安全性IPSec和NAT兼容性解決方案的引入必須保證不得帶來(lái)新的安全漏洞。5利用UDP封裝法實(shí)現(xiàn)NAT的穿透本文中的解決方案是采用UDP封裝法實(shí)現(xiàn)NAT的透明穿透，不需要修改現(xiàn)有的NAT網(wǎng)關(guān)和路由器。所以該方案具有簡(jiǎn)單且易于實(shí)現(xiàn)的優(yōu)點(diǎn)，缺點(diǎn)是由于添加了一個(gè)UDP報(bào)文頭，而加大了帶寬開(kāi)銷(xiāo)，但相對(duì)于目前持續(xù)擴(kuò)大的傳輸帶寬來(lái)說(shuō)，這個(gè)UDP報(bào)文頭的帶寬開(kāi)銷(xiāo)可以忽略不計(jì)。下面詳細(xì)討論其原理和實(shí)現(xiàn)過(guò)程。5.1封裝格式UDP封裝法是在原有的IP包的IP頭和AH/ESP的數(shù)據(jù)之間再封裝一個(gè)UDP頭，這樣封裝后的數(shù)據(jù)包端口值對(duì)NAT可見(jiàn)，就可以正確的實(shí)現(xiàn)端口轉(zhuǎn)換。UDP封裝格式如圖1所示。端口，為了簡(jiǎn)化配置和避免多個(gè)端口帶來(lái)的安全隱患，UDP封裝的ESP也使用該端口。這樣就需要采取一定的方法來(lái)區(qū)分端口500的數(shù)據(jù)包是IKE消息還是UDP封裝的ESP。為了區(qū)分兩者，我們采用在IKE報(bào)頭添加Non-ESP標(biāo)記。在確定存在一個(gè)中間NAT之后，支持IPSecNAT-T的對(duì)話方開(kāi)始使用新的IKE報(bào)頭。5.2IKE協(xié)商過(guò)程IPSec通信實(shí)體雙方是否采用UDP封裝取決于對(duì)話對(duì)方是否支持該方法以及是否存在NAT設(shè)備，這個(gè)過(guò)程通過(guò)IKE協(xié)商來(lái)完成。在IKE協(xié)商過(guò)程中增添了新的NAT-D和NAT-OA有效載荷和以及UDP通道類(lèi)型。1）新的NAT-Discovery(NAT-D)有效載荷這個(gè)新的有效載荷包含一個(gè)散列值，它整合了一個(gè)地址和端口號(hào)。在主模式協(xié)商期間，即IKE協(xié)商第一階段第三、四條消息中，IPSec對(duì)話方包括兩個(gè)NAT-Discovery有效載荷——一個(gè)用于目標(biāo)地址和端口，另一個(gè)用于源地址和端口。接收方使用NAT-Discovery有效載荷來(lái)發(fā)現(xiàn)NAT之后是否存在一個(gè)經(jīng)NAT轉(zhuǎn)換過(guò)的地址或端口號(hào)，并基于被改變的地址和端口號(hào)來(lái)確定是否有對(duì)話方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效載荷：這個(gè)新的有效載荷包含IPSec對(duì)話方的原始地址。對(duì)于UDP封裝的ESP傳輸模式，每個(gè)對(duì)話方在快速模式協(xié)商期間發(fā)送NAT-OA有效載荷。接收方將這個(gè)地址存儲(chǔ)在用于SA的參數(shù)中。3）用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式這兩種新的封裝模式是在快速模式協(xié)商期間指定的，用于通知IPSec對(duì)話方應(yīng)該對(duì)ESP使用UDP封裝。5.3地址通告和Keepalive包由于用UDP來(lái)封裝IPSec分組的思想只解決了NAPT設(shè)備不支持AH和ESP通信的問(wèn)題。例如TCP校驗(yàn)和錯(cuò)誤、UDP端口映射的保持等問(wèn)題還需要輔助方法來(lái)解決。為保證校驗(yàn)和正確無(wú)誤，通信雙方需將自身的原始IP地址和端口發(fā)送給對(duì)方，即實(shí)現(xiàn)地址通告。地址通告的實(shí)現(xiàn)通過(guò)IKE第二階段的前兩條消息中的NAT-OA有效載荷。因?yàn)镹AT-OA有效載荷中包含IPSec對(duì)話方的原始地址，為此，接收方就擁有了檢驗(yàn)解密之后的上層校驗(yàn)和所需的信息。消息發(fā)起者在NAT中創(chuàng)建了一個(gè)UDP端口映射，它在初始主模式和快速模式IKE協(xié)商期間使用。然而，NAT中的UDP映射通常超過(guò)一定時(shí)間沒(méi)用就會(huì)被刪除掉。如果響應(yīng)者隨后向發(fā)起者發(fā)送IKE消息卻沒(méi)有提供UDP端口映射，那么這些消息將被NAT丟棄。這個(gè)問(wèn)題的解決辦法是通過(guò)定期發(fā)送Keepalive包，用于后續(xù)IKE協(xié)商和UDP封裝的ESP的UDP端口映射同時(shí)在NAT中得到刷新，從而保證通信的正常運(yùn)行。6結(jié)束語(yǔ)IPSec作為網(wǎng)絡(luò)層的安全協(xié)議，目前的應(yīng)用越來(lái)越廣泛,已成為構(gòu)建VPN的基礎(chǔ)協(xié)議之一。而由于IPv6取代IPv4將是一個(gè)漫長(zhǎng)的過(guò)程，NAT設(shè)備的廣泛存在極大地限制了IP層安全協(xié)議IPSec的推廣，因此在目前的條件下，UDP封裝方法無(wú)疑是一種在當(dāng)前環(huán)境下無(wú)需修改NAT網(wǎng)關(guān)和路由器、簡(jiǎn)單可接受的解決IPSec和NAT兼容性的方法，具有一定的現(xiàn)實(shí)意義。但是該方案還不完善，有待進(jìn)一步討論和研究。參考文獻(xiàn)[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

內(nèi)容提要：與交易營(yíng)銷(xiāo)相比，關(guān)系營(yíng)銷(xiāo)是市場(chǎng)營(yíng)銷(xiāo)學(xué)研究范式的根本轉(zhuǎn)變。但關(guān)系營(yíng)銷(xiāo)的應(yīng)用在獲得收益的同時(shí)，也要充分考慮其成本。關(guān)系營(yíng)銷(xiāo)與交易營(yíng)銷(xiāo)并不是絕對(duì)對(duì)立的，兩者各有適用條件，并在一定條件下可以演化和兼容。

進(jìn)入20世紀(jì)末，市場(chǎng)營(yíng)銷(xiāo)學(xué)理論發(fā)生了一些顯著變化，其中影響最大的是營(yíng)銷(xiāo)學(xué)中的“關(guān)系”范式的出現(xiàn)?！瓣P(guān)系”范式以關(guān)系營(yíng)銷(xiāo)(或關(guān)系性交易)理論為代表，關(guān)系營(yíng)銷(xiāo)的概念是Berry于1983年最先提出的，80年代末至90年代迅速發(fā)展，在西方市場(chǎng)營(yíng)銷(xiāo)學(xué)理論界掀起一場(chǎng)革命，對(duì)市場(chǎng)營(yíng)銷(xiāo)持“關(guān)系”觀點(diǎn)的學(xué)者對(duì)交易導(dǎo)向的營(yíng)銷(xiāo)理論進(jìn)行了批判，被稱(chēng)為“營(yíng)銷(xiāo)學(xué)研究范式的轉(zhuǎn)變”(koffer，1991)。交易營(yíng)銷(xiāo)與關(guān)系營(yíng)銷(xiāo)是兩種截然不同的研究范式：前者以產(chǎn)品為中心，采用4Ps營(yíng)銷(xiāo)組合為手段，著眼于單次交易活動(dòng)收益的最大化；后者以長(zhǎng)期關(guān)系為導(dǎo)向，采取關(guān)系方法(Relationshipapproach)，注重新價(jià)值的創(chuàng)造和雙方關(guān)系中的交互作用，以構(gòu)建企業(yè)持久競(jìng)爭(zhēng)優(yōu)勢(shì)。不少學(xué)者就此認(rèn)為：關(guān)系營(yíng)銷(xiāo)理論的提出標(biāo)志著傳統(tǒng)的交易營(yíng)銷(xiāo)范式的終結(jié)。但關(guān)系營(yíng)銷(xiāo)理論在實(shí)踐中遠(yuǎn)不如理論者鼓吹的那樣具有影響力，很多企業(yè)不愿介入關(guān)系，營(yíng)銷(xiāo)實(shí)踐仍然以4Ps營(yíng)銷(xiāo)組合作為基本手段，營(yíng)銷(xiāo)理論的主流仍然以4Ps組合的運(yùn)用為主要特征。因此筆者認(rèn)為，關(guān)系營(yíng)銷(xiāo)與交易營(yíng)銷(xiāo)雖然是兩種對(duì)立的營(yíng)銷(xiāo)范式，但兩者適用于不同的交易類(lèi)型和環(huán)境，不是完全對(duì)立而是可以并存、融合的。

一、關(guān)系營(yíng)銷(xiāo)理論的提出和營(yíng)銷(xiāo)范式從交易向關(guān)系的轉(zhuǎn)變

在關(guān)系營(yíng)銷(xiāo)出現(xiàn)以前的營(yíng)銷(xiāo)理論以交易或者交換為研究的中心，早期重點(diǎn)研究營(yíng)銷(xiāo)渠道的效率，其后消費(fèi)者行為逐漸成為研究的中心，其中以4Ps營(yíng)銷(xiāo)組合作為主要手段。關(guān)系營(yíng)銷(xiāo)的思想出現(xiàn)很早，Magarry在20世紀(jì)50年代提出了營(yíng)銷(xiāo)的6項(xiàng)功能，其中的“契約功能”(contractualfunction)指的就是發(fā)展市場(chǎng)伙伴中的相互依賴(lài)的合作關(guān)系。60年代和70年代的兩篇論文催發(fā)了關(guān)系營(yíng)銷(xiāo)理論的建立：其一，AdlerLee(1996)發(fā)現(xiàn)，企業(yè)之間的象征關(guān)系與傳統(tǒng)的營(yíng)銷(xiāo)者——中介關(guān)系沒(méi)有直接聯(lián)系；其二，JohnArndt(1979)指出，企業(yè)趨向于與關(guān)鍵顧客和供應(yīng)商建立持久關(guān)系而非僅僅只關(guān)注一次性的交易，并把這種現(xiàn)象定義為“內(nèi)部市場(chǎng)化”。這兩篇論文在歐洲和北美產(chǎn)生很大影響。在他們提出的關(guān)系營(yíng)銷(xiāo)思想基礎(chǔ)上，許多學(xué)者從不同的角度對(duì)關(guān)系營(yíng)銷(xiāo)進(jìn)行研究。其代表性的研究有諾丁學(xué)派(Nordicschool)，從服務(wù)營(yíng)銷(xiāo)的研究出發(fā)，研究企業(yè)如何進(jìn)行流程再造、實(shí)施內(nèi)部營(yíng)銷(xiāo)以對(duì)外部顧客提供良好的服務(wù)及價(jià)值增加，IMP學(xué)派(IndustrialMarketingandPurchasingGroup)，研究的重點(diǎn)是產(chǎn)業(yè)市場(chǎng)的關(guān)系和網(wǎng)絡(luò)；社會(huì)交換學(xué)派，從社會(huì)交換的角度研究企業(yè)與顧客、供應(yīng)商、競(jìng)爭(zhēng)者，內(nèi)部雇員、政府等關(guān)系。

關(guān)系營(yíng)銷(xiāo)各學(xué)派從不同的角度入手，采取不同的方法研究關(guān)系營(yíng)銷(xiāo)，因此對(duì)關(guān)系營(yíng)銷(xiāo)的定義也不同，主要有狹義和廣義之分。狹義的如Bickert(1992)認(rèn)為，關(guān)系營(yíng)銷(xiāo)就是數(shù)據(jù)庫(kù)營(yíng)銷(xiāo)；Jackson(1985)認(rèn)為“關(guān)系營(yíng)銷(xiāo)是與關(guān)鍵客戶(hù)建立牢靠、持久的關(guān)系的一個(gè)營(yíng)銷(xiāo)導(dǎo)向”；Gronroos(1990)認(rèn)為“營(yíng)銷(xiāo)就是建立、保持和加強(qiáng)與顧客以及其他合作者的關(guān)系，以此使各方面的利益得到滿(mǎn)足和融合。這個(gè)過(guò)程是通過(guò)信任和承諾來(lái)實(shí)現(xiàn)的”。Gummesson(1990)從關(guān)系與互動(dòng)的角度定義關(guān)系營(yíng)銷(xiāo)，認(rèn)為“關(guān)系營(yíng)銷(xiāo)是市場(chǎng)被看作關(guān)系、互動(dòng)與網(wǎng)絡(luò)”。有些學(xué)者從更寬廣的角度認(rèn)識(shí)關(guān)系營(yíng)銷(xiāo)，如Morgan和Hunt(1994)認(rèn)為“關(guān)系營(yíng)銷(xiāo)是指所有的旨在建立、發(fā)展和保持成功的關(guān)系的一切活動(dòng)”。本文的研究建立在Morgan和Hunt對(duì)關(guān)系營(yíng)銷(xiāo)的定義基礎(chǔ)上。

關(guān)系營(yíng)銷(xiāo)與交易營(yíng)銷(xiāo)是兩種對(duì)立的營(yíng)銷(xiāo)方式，主要體現(xiàn)在以下幾個(gè)方面：

伴隨科技的發(fā)展，電子產(chǎn)品的使用已經(jīng)涉及到了人們生活的多個(gè)方面，在方便了人的生活的同時(shí)但也使得電磁環(huán)境變得更加復(fù)雜，人們?cè)谑褂弥袝?huì)偶爾出現(xiàn)這樣那樣的問(wèn)題，為了提升電子產(chǎn)品的性能、提高人們的體驗(yàn)，電子產(chǎn)品的設(shè)計(jì)者也在不斷的改進(jìn)產(chǎn)品，讓其在復(fù)雜的電磁環(huán)境中有更好地適應(yīng)能力。而電子產(chǎn)品的研究設(shè)計(jì)中它的電磁兼容性是個(gè)無(wú)可避免的問(wèn)題。為了實(shí)現(xiàn)電子產(chǎn)品的電磁兼容，使電子產(chǎn)品達(dá)到相關(guān)標(biāo)準(zhǔn)，本文針對(duì)電磁兼容設(shè)計(jì)進(jìn)行了簡(jiǎn)要的分析，對(duì)其設(shè)計(jì)要素和測(cè)試方式進(jìn)行了研究。

1.電磁兼容定義其重要性

1.1電磁兼容概念。電磁兼容，就是指電子產(chǎn)品在使用的環(huán)境中能夠正常運(yùn)轉(zhuǎn)的同時(shí)不干擾其他電子，具體來(lái)說(shuō)就是一方面電子產(chǎn)品在工作運(yùn)行期間產(chǎn)生的電磁干擾不足以影響別的電子設(shè)備的正常運(yùn)行，不會(huì)對(duì)其他電子設(shè)備造成損害或保證這一損害在一定的可接受的區(qū)間內(nèi)，另一方面電子，電子產(chǎn)品應(yīng)當(dāng)具備一定的抗干擾性，能夠隔絕使用環(huán)境中其他電子設(shè)備的電磁干擾，或是讓這種干擾不能影響到電子產(chǎn)品自身的正常運(yùn)行。電磁兼容的主要研究的就是電磁干擾?？梢苑譃閮深?lèi)：抗干擾技術(shù)和電磁輻射控制。電磁兼容在研究設(shè)計(jì)的過(guò)程中主要考慮到電磁環(huán)境的評(píng)價(jià)、EMI耦合路徑、抗干擾技術(shù)、電磁頻譜利用和管理、電磁場(chǎng)生態(tài)環(huán)境。1.2電磁兼容的重要性。隨著科學(xué)技術(shù)的發(fā)展，人們對(duì)電子產(chǎn)品的電磁兼容也有了更多的認(rèn)識(shí)，也越來(lái)越重視電磁兼容的設(shè)計(jì)和測(cè)試方面的研究。當(dāng)今電子產(chǎn)品的電磁兼容不僅是針對(duì)產(chǎn)品本身內(nèi)部的結(jié)構(gòu)更加小巧、復(fù)雜，還包括了對(duì)周邊干擾、輻射方的影響，比如，在某些電子產(chǎn)品使用中引發(fā)起爆裝置從而發(fā)生了爆炸威脅了生命財(cái)產(chǎn)的安全，還有一些電磁干擾使得廣播無(wú)法正常接收、數(shù)據(jù)傳播的中斷和丟失等現(xiàn)象，甚至有些電磁干擾或輻射會(huì)對(duì)生命體產(chǎn)生一定的影響。因而，研究電磁兼容對(duì)于電子產(chǎn)品來(lái)說(shuō)顯得尤為重要。當(dāng)前電磁兼容涵蓋到的頻率范圍從0到400GHz，幾乎囊括了人們工作生活所需的各個(gè)方面。通過(guò)對(duì)電磁兼容的進(jìn)一步研究，首先可以制定出相關(guān)行業(yè)的電子兼容標(biāo)準(zhǔn)，促進(jìn)電子產(chǎn)品健康可持續(xù)的發(fā)展；其次可以提升產(chǎn)品的可靠性和安全性，不干擾其他設(shè)備的正常工作；第三，電子兼容作為電子產(chǎn)品的重要標(biāo)準(zhǔn)，關(guān)系產(chǎn)品的質(zhì)量如何以及是否達(dá)標(biāo)，是電子產(chǎn)品進(jìn)入市場(chǎng)所必須經(jīng)受檢驗(yàn)，為了提高電子產(chǎn)品的市場(chǎng)占有，就必須對(duì)電磁兼容進(jìn)行深入的研究；第四，加強(qiáng)產(chǎn)品的電磁兼容研究可以有效的避免產(chǎn)品在后期出現(xiàn)不兼容的問(wèn)題，降低后期出現(xiàn)不兼容現(xiàn)象的相關(guān)費(fèi)用，也使得系統(tǒng)風(fēng)險(xiǎn)得到有效的降低；第五，電磁現(xiàn)象是一個(gè)無(wú)法避免的問(wèn)題，也與人類(lèi)現(xiàn)代生活是密切相關(guān)的，如何降低電磁環(huán)境對(duì)人體的潛在影響也是電磁兼容所研究的重要意義之所在。

2.電子產(chǎn)品兼容設(shè)計(jì)要素

電子產(chǎn)品的電磁兼容設(shè)計(jì)的目的是力求設(shè)計(jì)出來(lái)的產(chǎn)品可以在共存的電磁環(huán)境中正常工作，互不影響。首先要依據(jù)相關(guān)標(biāo)準(zhǔn)，把電磁兼容指標(biāo)分為產(chǎn)品級(jí)別的、模塊級(jí)別的、電路級(jí)別的、元件級(jí)別的指標(biāo)要求，然后，根據(jù)實(shí)際產(chǎn)品需要逐級(jí)進(jìn)行設(shè)計(jì)。2.1電子產(chǎn)品兼容設(shè)計(jì)應(yīng)遵循的原則。為了改善電子產(chǎn)品的兼容性能，在電磁兼容設(shè)計(jì)中通常要遵循以下幾項(xiàng)原則：一是電磁兼容要以產(chǎn)品為核心，既要保證電子產(chǎn)品的電磁兼容復(fù)合國(guó)家標(biāo)準(zhǔn)，又要滿(mǎn)足產(chǎn)品的基本要求，使得設(shè)計(jì)的產(chǎn)品符合系統(tǒng)的相關(guān)技術(shù)指標(biāo)。二是電磁兼容設(shè)計(jì)要進(jìn)行加固設(shè)計(jì)，不能把電磁兼容準(zhǔn)則教條化，要依據(jù)產(chǎn)品特點(diǎn)進(jìn)行加固，確保產(chǎn)品可以穩(wěn)定的運(yùn)行，在設(shè)計(jì)的時(shí)就要留有設(shè)計(jì)余量，確?？煽俊Ｈ羌骖櫧?jīng)濟(jì)因素，為達(dá)到統(tǒng)一的兼容目標(biāo)，電子兼容的設(shè)計(jì)參數(shù)是靈活的，選擇的手段也是多樣化的，設(shè)計(jì)者要從整體出發(fā)考慮到經(jīng)濟(jì)成本因素。四是考慮到電子產(chǎn)品內(nèi)部干擾，抑制產(chǎn)品內(nèi)部產(chǎn)生寄生耦合公共電抗的寄生參數(shù)，在同一電磁空間秉持強(qiáng)弱電分開(kāi)、不同頻率的傳輸線分開(kāi)的原則。五是產(chǎn)品在強(qiáng)磁場(chǎng)的地線不可以形成閉合回路，避免環(huán)路電流干擾。六是電路的電磁干擾一般較難消除，可以考慮降低噪聲強(qiáng)度，或進(jìn)行小范圍屏蔽，使其不致形成干擾。2.2設(shè)計(jì)要素分析。電子產(chǎn)品的電磁兼容設(shè)計(jì)要素主要包括耦合通道的抑制、空間分離、時(shí)間分隔、頻率管理、電氣隔離等。其中，耦合通道抑制可以通過(guò)屏蔽技術(shù)、濾波技術(shù)、布線、搭接、接地來(lái)實(shí)現(xiàn)；空間分離可以從地點(diǎn)、地形的控制管理以及電場(chǎng)矢量方向進(jìn)行控制；時(shí)間分隔可以通過(guò)雷達(dá)脈沖同步、主動(dòng)和被動(dòng)的時(shí)間分離來(lái)實(shí)現(xiàn)；頻率的管理主要包括了頻率的管理和調(diào)制、數(shù)字和光電的傳輸以及濾波；電氣隔離主要是進(jìn)行變壓器的隔離、光電的隔離、DC\DC變換、繼電器的隔離等。

3.電磁兼容測(cè)試技術(shù)

摘要：電磁兼容一般指電氣及設(shè)備在共同的電磁環(huán)境中能執(zhí)行各自功能的共存狀態(tài)，即要求在同一電磁環(huán)境中的上述各種設(shè)備都能正常工作又互不干擾，達(dá)到“兼容”狀態(tài)?，F(xiàn)在電磁兼容工作者又進(jìn)一步探討電磁環(huán)境對(duì)人類(lèi)及生物的，學(xué)科范圍已不僅限于設(shè)備與設(shè)備間的，而進(jìn)一步涉及到人類(lèi)本身，因此某些國(guó)內(nèi)外學(xué)者也把電磁兼容學(xué)科稱(chēng)作環(huán)境電磁學(xué)。由于試驗(yàn)技術(shù)是電磁兼容學(xué)科中的一項(xiàng)重要支撐技術(shù)，本文將就此作些扼要介紹。

關(guān)鍵詞：電磁兼容試驗(yàn)技術(shù)現(xiàn)狀需求

一電磁兼容試驗(yàn)技術(shù)現(xiàn)狀及發(fā)展需求

我國(guó)運(yùn)用電磁兼容試驗(yàn)技術(shù)，多起始于60年代前后，當(dāng)時(shí)試驗(yàn)室條件簡(jiǎn)陋，測(cè)量設(shè)備多半是國(guó)內(nèi)自行研制的簡(jiǎn)易測(cè)量設(shè)備，測(cè)量手段也比較落后。1966年船舶先行一步，制訂了自己的行業(yè)測(cè)量標(biāo)準(zhǔn)JB-854-66《船用電氣設(shè)備工業(yè)無(wú)線電干擾端子電壓測(cè)量及允許值》。

改革開(kāi)放后，國(guó)際交往增多，國(guó)際先進(jìn)的電子測(cè)量設(shè)備大量涌進(jìn)市場(chǎng)。國(guó)內(nèi)一些重要科研單位、大型生產(chǎn)廠家及某些高校先后興建電磁兼容試驗(yàn)室，引進(jìn)了成套的測(cè)量設(shè)備。

眾所周知，電磁兼容領(lǐng)域與其它專(zhuān)業(yè)相比，要更多地依賴(lài)于測(cè)量，而且電磁兼容測(cè)量對(duì)試驗(yàn)條件的要求又很?chē)?yán)格。因此，隨著國(guó)際電磁兼容標(biāo)準(zhǔn)的與轉(zhuǎn)化，我國(guó)高標(biāo)準(zhǔn)的試驗(yàn)室陸續(xù)建成，專(zhuān)業(yè)技術(shù)隊(duì)伍不斷擴(kuò)充壯大，這為電磁兼容試驗(yàn)技術(shù)的發(fā)展帶來(lái)了機(jī)遇和條件保證。

摘要：本文開(kāi)展電磁兼容測(cè)試系統(tǒng)設(shè)計(jì)分析，首先解析民用電磁兼容測(cè)試系統(tǒng)標(biāo)準(zhǔn)，由單一設(shè)備組成復(fù)雜測(cè)試系統(tǒng)，通過(guò)理論推導(dǎo)計(jì)算，驗(yàn)證系統(tǒng)可實(shí)現(xiàn)性?；谇捌谠O(shè)計(jì)內(nèi)容，對(duì)設(shè)計(jì)系統(tǒng)進(jìn)行不確定因素評(píng)估，驗(yàn)證測(cè)試系統(tǒng)設(shè)計(jì)可行性。優(yōu)化解決系統(tǒng)理論推導(dǎo)計(jì)算問(wèn)題，包括EMS測(cè)試干擾限值推導(dǎo)問(wèn)題，保證不同等級(jí)對(duì)功率放大器放大增益值。通過(guò)前期系統(tǒng)設(shè)計(jì)理論推導(dǎo)，保證系統(tǒng)設(shè)計(jì)時(shí)全套設(shè)備利用率。

關(guān)鍵詞：民用電子電氣設(shè)備；電磁兼容測(cè)試系統(tǒng)；系統(tǒng)設(shè)計(jì)

電磁兼容性測(cè)試研究電子電氣設(shè)備適用中獨(dú)立工作的電磁抗干擾能力，隨著無(wú)線電設(shè)備大量出現(xiàn)，各類(lèi)無(wú)線電收發(fā)設(shè)備相互電磁干擾情況嚴(yán)重。20世紀(jì)中期后，電子設(shè)備內(nèi)部元器件小型化，各電子元器件占用空間擁擠，頻譜資源占有率增加，需要提高頻譜資源利用率。與EMC相關(guān)法律有很多，發(fā)達(dá)國(guó)家相關(guān)組織有相關(guān)規(guī)定。我國(guó)電磁兼容測(cè)試為3C強(qiáng)制認(rèn)證，電子電氣產(chǎn)品EMC為法律規(guī)定要求，電子電氣設(shè)備進(jìn)入市場(chǎng)前需通過(guò)EMC。本文設(shè)計(jì)科學(xué)高效的民用電子電氣設(shè)備EMC系統(tǒng)，滿(mǎn)足工程應(yīng)用實(shí)踐分析。設(shè)計(jì)系統(tǒng)可實(shí)現(xiàn)EMI發(fā)射騷擾測(cè)試，可實(shí)現(xiàn)子系統(tǒng)分為RE輻射發(fā)射等。

1民用電磁兼容測(cè)試標(biāo)準(zhǔn)分析

設(shè)計(jì)符合標(biāo)準(zhǔn)規(guī)范的民用電磁兼容測(cè)試系統(tǒng)，需要了解對(duì)應(yīng)測(cè)試方法要求等。EMI接收機(jī)是電磁騷擾測(cè)試重要儀表，測(cè)試干擾信號(hào)有間發(fā)行等特點(diǎn)，EMI接收機(jī)通常采用掃頻測(cè)試進(jìn)行逐點(diǎn)掃描測(cè)試[1]。GB/T6113.101標(biāo)準(zhǔn)對(duì)EMI測(cè)量接收機(jī)有明確指標(biāo)要求。測(cè)量接收機(jī)內(nèi)部放大器幅度特性需比測(cè)正弦信號(hào)有較大動(dòng)態(tài)范圍儲(chǔ)備。應(yīng)注意區(qū)分檢波器功能與測(cè)試接收機(jī)上輸出指示的意義，采用正弦波等效RMS進(jìn)行校準(zhǔn)。測(cè)試CE傳導(dǎo)發(fā)射騷擾電壓時(shí)，需在被測(cè)試設(shè)備間增加規(guī)定人工電源網(wǎng)絡(luò)。人工電源網(wǎng)絡(luò)作用點(diǎn)包括將外部供電電路與被測(cè)設(shè)備電路隔離，電源供電端子提供測(cè)試阻抗。系統(tǒng)選用人工電源網(wǎng)絡(luò)為耦合非對(duì)稱(chēng)電壓V型網(wǎng)絡(luò)[2]。電探頭在CE傳導(dǎo)發(fā)射騷擾電流測(cè)試使用，不需改變被測(cè)設(shè)備原有電路，適合測(cè)試復(fù)雜接線電路系統(tǒng)。系統(tǒng)設(shè)計(jì)使用高阻電壓探頭，可使用高阻電壓探頭測(cè)試優(yōu)點(diǎn)是不影響供電網(wǎng)絡(luò)下測(cè)試，缺點(diǎn)是需避免被測(cè)電路阻抗較高。高阻電壓探頭由電阻與電容組成，接地端子需良好接到參考地。EMI天線接收空間強(qiáng)信號(hào)后，場(chǎng)強(qiáng)值與電壓值比為天線系數(shù)。電磁兼容無(wú)線電騷擾測(cè)量要注意具有可復(fù)現(xiàn)性，物相互作用。測(cè)量裝置運(yùn)行條件作出明確規(guī)定，需測(cè)量電平上有足夠信噪比，掃頻接收機(jī)測(cè)量適當(dāng)考慮設(shè)備特殊工作特性。非源于EUI產(chǎn)生騷擾，需在實(shí)驗(yàn)報(bào)告中記錄[3]。測(cè)試EMI干擾電平時(shí)需較長(zhǎng)測(cè)試時(shí)間，EMI接收機(jī)使用峰值檢波器捕捉信號(hào)，僅對(duì)發(fā)射幅值接近的關(guān)鍵頻率測(cè)量最大值。RE輻射發(fā)射測(cè)試目的是針對(duì)機(jī)箱端口輻射騷擾測(cè)試，對(duì)多種電子電氣產(chǎn)品，需測(cè)試輻射騷擾電磁場(chǎng)干擾，電場(chǎng)干擾需測(cè)試水平極化。輻射騷擾測(cè)量需考慮實(shí)驗(yàn)環(huán)境，環(huán)境噪聲電平滿(mǎn)足低于極限值6dB要求。通用EMI測(cè)試流程圖如圖1所示。

2民用電磁兼容測(cè)試系統(tǒng)設(shè)計(jì)

AbstractThispaperconsistsoffourparts:(1)compatibility;(2)simplification;(3)reflections

oncompatibilityandsimplification;(4)conclusion.TheauthorholdsthatChinesegrammaticalstruc

turesrevealatendencyofsimplificationinformandatendencyofcompatibilityinsemanticimpl

ication.Simplificationsandcompatibilityareinterdependentinaccordancewithpragmaticprincip

les.

本文討論漢語(yǔ)語(yǔ)法結(jié)構(gòu)，用的是現(xiàn)代漢語(yǔ)的語(yǔ)料。

【摘要】德育教育在整個(gè)的教育體系之中占據(jù)著極其重要的位置，德育教育的成效不但關(guān)系到學(xué)生的綜合素質(zhì)水平，還關(guān)系到德育教育工作的發(fā)展。在我國(guó)，職業(yè)教育是培養(yǎng)職業(yè)技術(shù)人才的重要教育方式，近年來(lái)，我國(guó)的職業(yè)教育也得到了迅速的發(fā)展，職業(yè)教育院校的規(guī)模也越來(lái)越大，教學(xué)的特色也逐漸的彰顯了出來(lái)。中職學(xué)生升學(xué)的壓力比較小，思維處于活躍的狀態(tài)，管理難度越來(lái)越大，各職校都在想方設(shè)法的提高教學(xué)的質(zhì)量和創(chuàng)新教學(xué)的方式，力圖將學(xué)生的學(xué)習(xí)能力和職業(yè)技能全面的提高和發(fā)展。目前，我國(guó)的中職院校也越來(lái)越重視德育思想教育工作，在培養(yǎng)和提高學(xué)生們專(zhuān)業(yè)技能的同時(shí)提高學(xué)生們的道德素質(zhì)標(biāo)準(zhǔn)，本文就中職學(xué)生專(zhuān)業(yè)技能培養(yǎng)與德育教育的兼容做了相關(guān)的論述。

【關(guān)鍵詞】中職學(xué)生；德育；專(zhuān)業(yè)技能；培養(yǎng)；服裝；勞動(dòng)者素質(zhì)

中職院校德育教育水平的高低不但影響著學(xué)生們的綜合素質(zhì)水平，也影響著中職院校整體的教學(xué)質(zhì)量和水平，是尤為重要的。近年來(lái)，中職教育發(fā)展速度迅猛、成就突出毋容質(zhì)疑，但中職校園普遍地仍存在諸如：學(xué)生上課說(shuō)話、睡覺(jué)、玩手機(jī)，課余抽煙、打架、談戀愛(ài)，周末酗酒、賭博、趕派對(duì)等禁而不止、規(guī)而不范的問(wèn)題行為。中職院校的學(xué)生由于學(xué)習(xí)負(fù)擔(dān)較輕，精力過(guò)剩，也就導(dǎo)致了很多學(xué)生對(duì)自己行為的約束力不夠，做出一些叛逆的行為，這種情況是必須加以引導(dǎo)和修正的，如果不想方設(shè)法地把學(xué)生的全部精力吸引到專(zhuān)業(yè)學(xué)習(xí)能力的培養(yǎng)和專(zhuān)業(yè)技能的訓(xùn)練上面來(lái)就會(huì)導(dǎo)致一部分心存上進(jìn)的學(xué)生流失，這就要求教師必須理論聯(lián)系實(shí)際，將德育教育有效的兼容于專(zhuān)業(yè)教學(xué)中，從而為社會(huì)培養(yǎng)大批優(yōu)秀的職業(yè)技術(shù)人才。

一、加強(qiáng)思想教育，樹(shù)立學(xué)習(xí)信念

長(zhǎng)期以來(lái)，職業(yè)教育在整個(gè)教育體系的認(rèn)同度一直是比較低的。很多學(xué)生選擇職業(yè)教育院校也是因?yàn)槌煽?jī)不佳的無(wú)奈之舉，這也就導(dǎo)致了學(xué)生們?cè)谶M(jìn)入了中職院校之后，學(xué)習(xí)的情緒和思想的情緒都很不穩(wěn)定，學(xué)習(xí)的積極性也不是很強(qiáng)，這時(shí)候，就需要通過(guò)科學(xué)合理的思想教育的來(lái)進(jìn)行引導(dǎo)并加以改善?？茖W(xué)合理的思想教育工作應(yīng)該以集中教育為主，逐步的滲透到各個(gè)學(xué)科之中。首先，要讓學(xué)生們了解我國(guó)教育體系的機(jī)構(gòu)，讓學(xué)生們對(duì)職業(yè)教育有一個(gè)全新的認(rèn)識(shí)，了解職業(yè)教育的重要性，這樣就能夠樹(shù)立起學(xué)生們學(xué)習(xí)的堅(jiān)定信心和信心，其次，要和學(xué)生們講解職業(yè)教育在國(guó)家建設(shè)中起到的重要作用，職業(yè)教育和綜合素質(zhì)水平之間的聯(lián)系，讓學(xué)生們慢慢的走出思想上的誤區(qū)，能夠重新的審視對(duì)職業(yè)教育的認(rèn)識(shí)，最后，還可以讓學(xué)生們了解職業(yè)教育的發(fā)展前景，逐步的加深職業(yè)教育在學(xué)生們心目中的分量，使學(xué)生們從自身的角度去感悟職業(yè)教育的理念，逐步的形成主觀的學(xué)習(xí)意識(shí)，從而提高專(zhuān)業(yè)技能的學(xué)習(xí)積極性，全面的提高個(gè)人的綜合素質(zhì)水平。

二、制定專(zhuān)業(yè)目標(biāo)，樹(shù)立學(xué)習(xí)信心

摘要網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)與IPSec在因特網(wǎng)上都是得到廣泛應(yīng)用的技術(shù)，但是它們之間卻是不兼容的。該文首先分別介紹了NAT和IPSec兩種協(xié)議的基本原理，分析了兩者的不兼容性，然后討論了解決該問(wèn)題必須滿(mǎn)足的要求，最后給出了利用UDP封裝法實(shí)現(xiàn)NAT透明穿透的解決方案。

關(guān)鍵詞IPSec;NAT;IKE;UDP封裝

1引言

基于IP技術(shù)的虛擬專(zhuān)用網(wǎng)（VirtualProfessionalNetwork，簡(jiǎn)稱(chēng)VPN）是通過(guò)Internet平臺(tái)將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計(jì)算機(jī)用戶(hù)的一種成本效益極佳的方法。隨著網(wǎng)絡(luò)安全技術(shù)的飛快發(fā)展，越來(lái)越多大型企業(yè)利用互聯(lián)網(wǎng)采用IPSec技術(shù)建立VPN網(wǎng)絡(luò)，IPSec已逐漸成為VPN構(gòu)建的主流技術(shù)。IP安全協(xié)議（IPSecurityProtocol，簡(jiǎn)稱(chēng)IPSec）是由互聯(lián)網(wǎng)工程工業(yè)組（InternetEngineeringTaskForce，簡(jiǎn)稱(chēng)IETF）1998年底規(guī)劃并制定的網(wǎng)絡(luò)IP層標(biāo)準(zhǔn)。IPSec不僅可以為IP協(xié)議層以上所有的高層協(xié)議和應(yīng)用提供一致性的安全保護(hù)，而且除了可用于IPv4之外，也可用于下一代IP協(xié)議IPv6。

另外，NAT（NetworkAddressTranslation）技術(shù)通過(guò)改變進(jìn)出內(nèi)部網(wǎng)絡(luò)的IP數(shù)據(jù)包的源和目的地址，把無(wú)效的內(nèi)部網(wǎng)絡(luò)地址翻譯成合法的IP地址在Internet上使用。該技術(shù)一方面可以把私有IP地址隱藏起來(lái)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用；另一方面，它可以緩解由于IPv4先天設(shè)計(jì)上的不足，而導(dǎo)致的IP地址嚴(yán)重短缺的現(xiàn)狀。

但是，被廣泛使用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）設(shè)備卻制約著基于IPSec技術(shù)的VPN的發(fā)展，這是因?yàn)镮PSec協(xié)議在VPN中承擔(dān)保護(hù)傳輸數(shù)據(jù)的安全性任務(wù)。在數(shù)據(jù)傳輸過(guò)程中，任何對(duì)IP地址及傳輸標(biāo)志符的修改，都被視作對(duì)該協(xié)議的違背，并導(dǎo)致數(shù)據(jù)包不能通過(guò)安全檢查而被丟棄。但在VPN中運(yùn)用NAT技術(shù)，則不可避免地要將私網(wǎng)地址映射為公網(wǎng)地址，即對(duì)IP地址要進(jìn)行修改。因此，在VPN網(wǎng)絡(luò)中如何使IPSec和NAT協(xié)同工作，實(shí)現(xiàn)NAT的透明穿透具有現(xiàn)實(shí)意義。