兼容范文10篇

我国发展道路的一个鲜明特征，就是通过对外开放，促进思想解放和改革创新，利用两个市场、两种资源，提高资源配置效率，提升竞争能力。只有开放兼容，国家才能富强。过去5年是改革开放和全面建设小康社会取得重大进展的5年，开放型经济进入新阶段。我们应继续保持踏实理性、学习借鉴、兼收并蓄、互利共赢的开放心态，更加自信和自觉地推进对外开放，拓展对外开放广度和深度，提高开放型经济水平。

“开放也是改革，开放兼容才能强国。”总理在不久前闭幕的第十一届全国人大一次会议上所作的《政府工作报告》（以下简称《报告》），高度评价了改革开放**年的伟大成就和过去5年对外开放的新进展，强调坚定不移继续推进改革开放，并全面部署了今年的对外开放工作。这里，从对外开放的角度谈谈学习《报告》的体会。

对外开放使我国发生了历史性巨变

我国改革开放已经走过近**年历程。《报告》强调指出了改革开放的重大历史意义：改革开放使中国发生了历史性的巨大变化，改革开放是决定当代中国命运重大而关键的抉择。

对外开放近**年成绩巨大。我国发展道路的一个鲜明特征，就是通过对外开放，促进思想解放和改革创新，利用两个市场、两种资源，提高资源配置效率，提升竞争能力。**年来，我国对外开放成绩巨大。一是扩大对外贸易和吸引外资。****年，我国对外贸易总额仅为****亿美元，居世界第二十二位；吸收外资和对外投资都不到****万美元。****年，我国对外贸易总额已达****万亿美元，居世界第三位，其中出口居第二位；吸收外商直接投资和对外直接投资分别达到****亿美元和****亿美元，均居发展中国家第一位。二是带动经济增长。****年―****年，我国国内生产总值年均增长****%，同期对外贸易年均增长****%，吸收外资年均增长****%，对外投资年均增长****%。****年与1985年相比，按不变价计算，我国国内生产总值、贸易总额、出口、吸收外资和对外投资分别增长了****倍、****倍、****倍、****倍和****倍。对外开放各项指标均高于国内生产总值增长速度，表明开放是增长的重要源泉。三是扩大就业和提高收入。目前外商投资企业的就业人员已达42**万人，再加上非外资出口企业的就业和劳务输出等，涉外经济中的直接就业人数超过8***万。我国出口就业密度远远高于进口就业密度，特别是加工贸易，大部分是进口国外资源和资金密集产品经再加工后出口的，这实质上是劳动力的间接出口。涉外就业岗位的收入水平也相对较高，外商投资企业员工的工资水平在2**3年以前是各类企业中最高的，近几年也仅略低于少数国有中央企业。四是提升产业结构和出口商品结构。国内企业进口了大量先进技术设备，外资企业大多数引进使用先进和比较先进的技术，在华外资研发中心已超过11**家。在高技术产业产值中，外资企业所占的比重超过一半。****年我国机电产品和高技术产品出口额中，外资企业所占的比重分别达到73%和87%。国内企业通过与出口企业和外商投资企业的竞争与合作，学习到先进经营理念、技术、管理和营销模式。最近几年，人力资源较多地在国内外企业之间流动，带动大量知识和技术流动。在外向度较高的行业中，已有一些国内企业成长起来，开始具有全球竞争力和重要市场地位。五是缓解资源环境压力。****年，我国初级产品净进口达到****亿美元，缓解了资源约束。通过进口资源密集型产品，我们还间接进口了不可贸易的短缺资源。据联合国粮农组织测算，以粮食贸易为载体间接交易的淡水量，相当于全球粮食生产用水的13%。国内有关研究表明，2**6年我国进口大豆3150万吨，如果在国内种植约需要耕地****万公顷，相当于黑龙江省大豆种植面积的5倍。六是推动体制改革和制度创新。改革开放以来设立的4个经济特区和以后陆续增加的开放城市和地区，在建立社会主义市场经济体制方面先试先行，提供了丰富经验。对外开放还推动着政企关系、企业治理结构、外贸和外汇管理等方面体制的变革，促进商品和各类生产要素市场的形成和完善。涉外经济法律法规成为社会主义市场经济法律体系的重要内容。

过去5年开放迈出重大步伐。《报告》指出，过去5年是改革开放和全面建设小康社会取得重大进展的5年，开放型经济进入新阶段。一是对外贸易快速增长，结构进一步改善。****年与****年相比，进出口总额增加了2.5倍，世界排名上升3位；机电产品、高技术产品占出口总额的比重分别提高了9.2个百分点和7.7个百分点。通过调整出口退税、出口关税和加工贸易等政策，控制“两高一资”商品出口和促进加工贸易转型升级取得明显成效。二是跨境投资双向加速。过去5年，我国服务业开放速度加快。****年服务业（含金融业）实际吸收外资达4**亿美元，占吸收外资总额的52%，比****年的比重提高近1倍。利用外资渠道不断拓宽，****年国内企业通过海外上市融资近4**亿美元。对外投资由****年的25亿美元上升到****年的****亿美元，增长6.5倍，我国成为最大的发展中海外投资母国。三是对外开放领域制度建设达到新的水平。贸易和投资自由化、便利化程度进一步提高。按照世贸组织规则的要求，不断完善涉外法律法规体系，特别是对主要知识产权法律法规进行了修订。

摘要网络地址转换技术(NAT)与IPSec在因特网上都是得到广泛应用的技术，但是它们之间却是不兼容的。该文首先分别介绍了NAT和IPSec两种协议的基本原理，分析了两者的不兼容性，然后讨论了解决该问题必须满足的要求，最后给出了利用UDP封装法实现NAT透明穿透的解决方案。关键词IPSec;NAT;IKE;UDP封装1引言基于IP技术的虚拟专用网（VirtualProfessionalNetwork，简称VPN）是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IPSec技术建立VPN网络，IPSec已逐渐成为VPN构建的主流技术。IP安全协议（IPSecurityProtocol，简称IPSec）是由互联网工程工业组（InternetEngineeringTaskForce，简称IETF）1998年底规划并制定的网络IP层标准。IPSec不仅可以为IP协议层以上所有的高层协议和应用提供一致性的安全保护，而且除了可用于IPv4之外，也可用于下一代IP协议IPv6。另外，NAT（NetworkAddressTranslation）技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面，它可以缓解由于IPv4先天设计上的不足，而导致的IP地址严重短缺的现状。但是，被广泛使用的网络地址转换（NAT）设备却制约着基于IPSec技术的VPN的发展，这是因为IPSec协议在VPN中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP地址及传输标志符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即对IP地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。2协议介绍2.1IPSecIPSec包括安全协议和密钥管理两部分。其中，AH和ESP是两个安全协议，提供数据源验证、面向无连接的数据完整性、抗重放、数据机密性和有限抗流量分析等安全任务。为了能够将相应的安全服务、算法和密钥应用于需要保护的安全通道，IPSec规定两个通信实体进行IPSec通信之前首先构建安全关联SA。SA规定了通信实体双方所需要的具体安全协议、加密算法、认证算法以及密钥。IKE提供了用来协商、交换和更新SA以及密钥的完整机制。IPSec定义了两种类型的封装模式——传输模式和隧道模式。传输模式只对IP分组应用IPSec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPSec虚拟专用网VPN中。隧道模式中IPSec将原有的IP分组封装成带有新的IP报头的IPSec分组，这样原有的IP分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。2.2NATNAT能解决目前IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址或用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。3IPSec与NAT的不兼容性分析根据协议的定义，我们知道IPSec和NAT两个协议之间存在一定的不兼容性。其不兼容性主要有以下几种形式：1）NAT对AH的影响IPSecAH进行验证的时候，处理的是整个IP包，包括源地址和目的地址。如果IPSec通信双方存在NAT设备，NAT设备就会修改外层IP包头的源地址并修改其校验和，这样接收方会因认证失败而丢弃该包。2）NAT对ESP的影响TCP/UDP校验和地计算涉及一个虚构的IP包头，该包头含有IP源和目的地址。因此，当NAT设备改变IP地址时也需要更新IP头和TCP/UDP校验和。如果采用ESP传输模式，IP包经过NAT设备时，NAT设备修改了IP包头，但是TCP/UDP校验和由于处于加密负载中而无法被修改。这样，该信包经过IPSec层后将因为TCP协议层的校验和的错误而被丢弃。另外，由于TCP/UDP校验和只与内层原始IP包头有关，外层IP包头的修改并不对其造成影响，因此采用ESP隧道模式和仅静态或动态NAT的情况下不存在TCP校验和的问题。但是，在NAPT情况下，因为NAPT需要TCP/UDP端口来匹配出入信包，而端口号受到ESP加密保护，所以ESP分组通信将会失败。3）NAT对IKE的影响IKE主模式与快速模式中如果使用IP地址作为身份信息，经过NAT后，会导致IKE协商的失败。IKE协议使用固定目的端口500，当NAPT设备后的多个主机向同一响应者发起SA协商时，为了实现多路分发返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，响应者应该能处理端口号并非500的IKE协商请求，但往往NAPT对UDP端口的映射很快会被删除，再协商的过程就将出现一些不可预见的问题，很容易导致NAPT设备无法将协商包送到正确的目的地。综上所述，IPSec组件的支持能力从表1中可以看出，只有在隧道模式和地址转换情况下才可以实现IPSec数据流的NAT穿越。这一方法既降低了IPSec协议的安全性，又限制了NAT的工作方式，因此在实际应用中可行度较差。4IPSec与NAT的兼容性要求在现有的条件下，为了推动基于IPSec的VPN的发展，IPSec和NAT兼容性解决方案需要满足下列要求：1）可部署性IPSec和NAT兼容性解决方案作为一个过渡的解决办法必须比IPv6易于部署。应该只需修改主机，无需改变路由器，在短时间内能与现存的路由器和NAT产品协同工作。2）远程访问IPSec的一个重要应用是远程访问公司的内部网络。NAT穿越方案必须考虑远程客户端与VPN网关之间存在多个NAT的情况。3）防火墙兼容性IPSec和NAT兼容性方案应该避免对IKE或IPSec目的端口的动态分配，使防火墙管理员进行简单的配置，就可以控制穿越NAT的IPSec数据流。4）可扩展性IPSec和NAT兼容性方案应具有良好的扩展性，必须保证在大规模远程访问的环境中，在大量远程接入的环境下，同一时间段多个主机和远程安全网关建立连接。5）后向兼容性IPSec和NAT兼容性方案中必须能与已有的IPSec实现互操作。穿越方案应该能自动检测是否存在NAT，能判断通信对方的IKE实现是否支持NAT穿越。6）安全性IPSec和NAT兼容性解决方案的引入必须保证不得带来新的安全漏洞。5利用UDP封装法实现NAT的穿透本文中的解决方案是采用UDP封装法实现NAT的透明穿透，不需要修改现有的NAT网关和路由器。所以该方案具有简单且易于实现的优点，缺点是由于添加了一个UDP报文头，而加大了带宽开销，但相对于目前持续扩大的传输带宽来说，这个UDP报文头的带宽开销可以忽略不计。下面详细讨论其原理和实现过程。5.1封装格式UDP封装法是在原有的IP包的IP头和AH/ESP的数据之间再封装一个UDP头，这样封装后的数据包端口值对NAT可见，就可以正确的实现端口转换。UDP封装格式如图1所示。UDP封装格式另外，由于IKE已经使用了UDP的500端口，为了简化配置和避免多个端口带来的安全隐患，UDP封装的ESP也使用该端口。这样就需要采取一定的方法来区分端口500的数据包是IKE消息还是UDP封装的ESP。为了区分两者，我们采用在IKE报头添加Non-ESP标记。在确定存在一个中间NAT之后，支持IPSecNAT-T的对话方开始使用新的IKE报头。5.2IKE协商过程IPSec通信实体双方是否采用UDP封装取决于对话对方是否支持该方法以及是否存在NAT设备，这个过程通过IKE协商来完成。在IKE协商过程中增添了新的NAT-D和NAT-OA有效载荷和以及UDP通道类型。1）新的NAT-Discovery(NAT-D)有效载荷这个新的有效载荷包含一个散列值，它整合了一个地址和端口号。在主模式协商期间，即IKE协商第一阶段第三、四条消息中，IPSec对话方包括两个NAT-Discovery有效载荷——一个用于目标地址和端口，另一个用于源地址和端口。接收方使用NAT-Discovery有效载荷来发现NAT之后是否存在一个经NAT转换过的地址或端口号，并基于被改变的地址和端口号来确定是否有对话方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效载荷：这个新的有效载荷包含IPSec对话方的原始地址。对于UDP封装的ESP传输模式，每个对话方在快速模式协商期间发送NAT-OA有效载荷。接收方将这个地址存储在用于SA的参数中。3）用于UDP封装的ESP传输模式和隧道模式的新的封装模式这两种新的封装模式是在快速模式协商期间指定的，用于通知IPSec对话方应该对ESP使用UDP封装。5.3地址通告和Keepalive包由于用UDP来封装IPSec分组的思想只解决了NAPT设备不支持AH和ESP通信的问题。例如TCP校验和错误、UDP端口映射的保持等问题还需要辅助方法来解决。为保证校验和正确无误，通信双方需将自身的原始IP地址和端口发送给对方，即实现地址通告。地址通告的实现通过IKE第二阶段的前两条消息中的NAT-OA有效载荷。因为NAT-OA有效载荷中包含IPSec对话方的原始地址，为此，接收方就拥有了检验解密之后的上层校验和所需的信息。消息发起者在NAT中创建了一个UDP端口映射，它在初始主模式和快速模式IKE协商期间使用。然而，NAT中的UDP映射通常超过一定时间没用就会被删除掉。如果响应者随后向发起者发送IKE消息却没有提供UDP端口映射，那么这些消息将被NAT丢弃。这个问题的解决办法是通过定期发送Keepalive包，用于后续IKE协商和UDP封装的ESP的UDP端口映射同时在NAT中得到刷新，从而保证通信的正常运行。6结束语IPSec作为网络层的安全协议，目前的应用越来越广泛,已成为构建VPN的基础协议之一。而由于IPv6取代IPv4将是一个漫长的过程，NAT设备的广泛存在极大地限制了IP层安全协议IPSec的推广，因此在目前的条件下，UDP封装方法无疑是一种在当前环境下无需修改NAT网关和路由器、简单可接受的解决IPSec和NAT兼容性的方法，具有一定的现实意义。但是该方案还不完善，有待进一步讨论和研究。参考文献[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

摘要网络地址转换技术(NAT)与IPSec在因特网上都是得到广泛应用的技术，但是它们之间却是不兼容的。该文首先分别介绍了NAT和IPSec两种协议的基本原理，分析了两者的不兼容性，然后讨论了解决该问题必须满足的要求，最后给出了利用UDP封装法实现NAT透明穿透的解决方案。关键词IPSec;NAT;IKE;UDP封装1引言基于IP技术的虚拟专用网（VirtualProfessionalNetwork，简称VPN）是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IPSec技术建立VPN网络，IPSec已逐渐成为VPN构建的主流技术。IP安全协议（IPSecurityProtocol，简称IPSec）是由互联网工程工业组（InternetEngineeringTaskForce，简称IETF）1998年底规划并制定的网络IP层标准。IPSec不仅可以为IP协议层以上所有的高层协议和应用提供一致性的安全保护，而且除了可用于IPv4之外，也可用于下一代IP协议IPv6。另外，NAT（NetworkAddressTranslation）技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面，它可以缓解由于IPv4先天设计上的不足，而导致的IP地址严重短缺的现状。但是，被广泛使用的网络地址转换（NAT）设备却制约着基于IPSec技术的VPN的发展，这是因为IPSec协议在VPN中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP地址及传输标志符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即对IP地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。2协议介绍2.1IPSecIPSec包括安全协议和密钥管理两部分。其中，AH和ESP是两个安全协议，提供数据源验证、面向无连接的数据完整性、抗重放、数据机密性和有限抗流量分析等安全任务。为了能够将相应的安全服务、算法和密钥应用于需要保护的安全通道，IPSec规定两个通信实体进行IPSec通信之前首先构建安全关联SA。SA规定了通信实体双方所需要的具体安全协议、加密算法、认证算法以及密钥。IKE提供了用来协商、交换和更新SA以及密钥的完整机制。IPSec定义了两种类型的封装模式——传输模式和隧道模式。传输模式只对IP分组应用IPSec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPSec虚拟专用网VPN中。隧道模式中IPSec将原有的IP分组封装成带有新的IP报头的IPSec分组，这样原有的IP分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。2.2NATNAT能解决目前IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址或用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。3IPSec与NAT的不兼容性分析根据协议的定义，我们知道IPSec和NAT两个协议之间存在一定的不兼容性。其不兼容性主要有以下几种形式：1）NAT对AH的影响IPSecAH进行验证的时候，处理的是整个IP包，包括源地址和目的地址。如果IPSec通信双方存在NAT设备，NAT设备就会修改外层IP包头的源地址并修改其校验和，这样接收方会因认证失败而丢弃该包。2）NAT对ESP的影响TCP/UDP校验和地计算涉及一个虚构的IP包头，该包头含有IP源和目的地址。因此，当NAT设备改变IP地址时也需要更新IP头和TCP/UDP校验和。如果采用ESP传输模式，IP包经过NAT设备时，NAT设备修改了IP包头，但是TCP/UDP校验和由于处于加密负载中而无法被修改。这样，该信包经过IPSec层后将因为TCP协议层的校验和的错误而被丢弃。另外，由于TCP/UDP校验和只与内层原始IP包头有关，外层IP包头的修改并不对其造成影响，因此采用ESP隧道模式和仅静态或动态NAT的情况下不存在TCP校验和的问题。但是，在NAPT情况下，因为NAPT需要TCP/UDP端口来匹配出入信包，而端口号受到ESP加密保护，所以ESP分组通信将会失败。3）NAT对IKE的影响IKE主模式与快速模式中如果使用IP地址作为身份信息，经过NAT后，会导致IKE协商的失败。IKE协议使用固定目的端口500，当NAPT设备后的多个主机向同一响应者发起SA协商时，为了实现多路分发返回的IKE包，NAPT修改外出的IKE包的UDP源端口。因此，响应者应该能处理端口号并非500的IKE协商请求，但往往NAPT对UDP端口的映射很快会被删除，再协商的过程就将出现一些不可预见的问题，很容易导致NAPT设备无法将协商包送到正确的目的地。综上所述，IPSec组件的支持能力从表1中可以看出，只有在隧道模式和地址转换情况下才可以实现IPSec数据流的NAT穿越。这一方法既降低了IPSec协议的安全性，又限制了NAT的工作方式，因此在实际应用中可行度较差。4IPSec与NAT的兼容性要求在现有的条件下，为了推动基于IPSec的VPN的发展，IPSec和NAT兼容性解决方案需要满足下列要求：1）可部署性IPSec和NAT兼容性解决方案作为一个过渡的解决办法必须比IPv6易于部署。应该只需修改主机，无需改变路由器，在短时间内能与现存的路由器和NAT产品协同工作。2）远程访问IPSec的一个重要应用是远程访问公司的内部网络。NAT穿越方案必须考虑远程客户端与VPN网关之间存在多个NAT的情况。3）防火墙兼容性IPSec和NAT兼容性方案应该避免对IKE或IPSec目的端口的动态分配，使防火墙管理员进行简单的配置，就可以控制穿越NAT的IPSec数据流。4）可扩展性IPSec和NAT兼容性方案应具有良好的扩展性，必须保证在大规模远程访问的环境中，在大量远程接入的环境下，同一时间段多个主机和远程安全网关建立连接。5）后向兼容性IPSec和NAT兼容性方案中必须能与已有的IPSec实现互操作。穿越方案应该能自动检测是否存在NAT，能判断通信对方的IKE实现是否支持NAT穿越。6）安全性IPSec和NAT兼容性解决方案的引入必须保证不得带来新的安全漏洞。5利用UDP封装法实现NAT的穿透本文中的解决方案是采用UDP封装法实现NAT的透明穿透，不需要修改现有的NAT网关和路由器。所以该方案具有简单且易于实现的优点，缺点是由于添加了一个UDP报文头，而加大了带宽开销，但相对于目前持续扩大的传输带宽来说，这个UDP报文头的带宽开销可以忽略不计。下面详细讨论其原理和实现过程。5.1封装格式UDP封装法是在原有的IP包的IP头和AH/ESP的数据之间再封装一个UDP头，这样封装后的数据包端口值对NAT可见，就可以正确的实现端口转换。UDP封装格式如图1所示。端口，为了简化配置和避免多个端口带来的安全隐患，UDP封装的ESP也使用该端口。这样就需要采取一定的方法来区分端口500的数据包是IKE消息还是UDP封装的ESP。为了区分两者，我们采用在IKE报头添加Non-ESP标记。在确定存在一个中间NAT之后，支持IPSecNAT-T的对话方开始使用新的IKE报头。5.2IKE协商过程IPSec通信实体双方是否采用UDP封装取决于对话对方是否支持该方法以及是否存在NAT设备，这个过程通过IKE协商来完成。在IKE协商过程中增添了新的NAT-D和NAT-OA有效载荷和以及UDP通道类型。1）新的NAT-Discovery(NAT-D)有效载荷这个新的有效载荷包含一个散列值，它整合了一个地址和端口号。在主模式协商期间，即IKE协商第一阶段第三、四条消息中，IPSec对话方包括两个NAT-Discovery有效载荷——一个用于目标地址和端口，另一个用于源地址和端口。接收方使用NAT-Discovery有效载荷来发现NAT之后是否存在一个经NAT转换过的地址或端口号，并基于被改变的地址和端口号来确定是否有对话方位于NAT之后。2）新的NAT-OriginalAddress(NAT-OA)有效载荷：这个新的有效载荷包含IPSec对话方的原始地址。对于UDP封装的ESP传输模式，每个对话方在快速模式协商期间发送NAT-OA有效载荷。接收方将这个地址存储在用于SA的参数中。3）用于UDP封装的ESP传输模式和隧道模式的新的封装模式这两种新的封装模式是在快速模式协商期间指定的，用于通知IPSec对话方应该对ESP使用UDP封装。5.3地址通告和Keepalive包由于用UDP来封装IPSec分组的思想只解决了NAPT设备不支持AH和ESP通信的问题。例如TCP校验和错误、UDP端口映射的保持等问题还需要辅助方法来解决。为保证校验和正确无误，通信双方需将自身的原始IP地址和端口发送给对方，即实现地址通告。地址通告的实现通过IKE第二阶段的前两条消息中的NAT-OA有效载荷。因为NAT-OA有效载荷中包含IPSec对话方的原始地址，为此，接收方就拥有了检验解密之后的上层校验和所需的信息。消息发起者在NAT中创建了一个UDP端口映射，它在初始主模式和快速模式IKE协商期间使用。然而，NAT中的UDP映射通常超过一定时间没用就会被删除掉。如果响应者随后向发起者发送IKE消息却没有提供UDP端口映射，那么这些消息将被NAT丢弃。这个问题的解决办法是通过定期发送Keepalive包，用于后续IKE协商和UDP封装的ESP的UDP端口映射同时在NAT中得到刷新，从而保证通信的正常运行。6结束语IPSec作为网络层的安全协议，目前的应用越来越广泛,已成为构建VPN的基础协议之一。而由于IPv6取代IPv4将是一个漫长的过程，NAT设备的广泛存在极大地限制了IP层安全协议IPSec的推广，因此在目前的条件下，UDP封装方法无疑是一种在当前环境下无需修改NAT网关和路由器、简单可接受的解决IPSec和NAT兼容性的方法，具有一定的现实意义。但是该方案还不完善，有待进一步讨论和研究。参考文献[1]RFC3022-2001.TraditionalIPnetworkaddresstranslator(TraditionalNAT)[S].[2]RFC2401-1998.SecurityArchitectureoftheInternetProtocol[S].[3]RFC2402-1998.IPAuthenticationHeader[S].[4]RFC2406-1998.IPEncapsulatingSecurityPayload(ESP)[S].[5]RFC2409-1998.TheInternetKeyExchange(IKE)[S].[6]RFC3103-2001.RealmSpecificIPProtocolSpecification[S].[7]AbobaB,WilliamDixon.IPSec-NATcompatibilityrequirements[Z].Internetdraft,draft-ietf-ipsec-nat-reqtstxt,2001[8]AriHuttunen.UDPencapsulateofIPSecpackets[Z].Internetdraft,draft-ietf-ipsec-udp-encapstxt,2001.[9]KivirenT.NegotiationofNAT-traversalintheIKE[Z].Internetdraft,draft-ietf-ipsec-udp-iketxt,2001

内容提要：与交易营销相比，关系营销是市场营销学研究范式的根本转变。但关系营销的应用在获得收益的同时，也要充分考虑其成本。关系营销与交易营销并不是绝对对立的，两者各有适用条件，并在一定条件下可以演化和兼容。

进入20世纪末，市场营销学理论发生了一些显著变化，其中影响最大的是营销学中的“关系”范式的出现。“关系”范式以关系营销(或关系性交易)理论为代表，关系营销的概念是Berry于1983年最先提出的，80年代末至90年代迅速发展，在西方市场营销学理论界掀起一场革命，对市场营销持“关系”观点的学者对交易导向的营销理论进行了批判，被称为“营销学研究范式的转变”(koffer，1991)。交易营销与关系营销是两种截然不同的研究范式：前者以产品为中心，采用4Ps营销组合为手段，着眼于单次交易活动收益的最大化；后者以长期关系为导向，采取关系方法(Relationshipapproach)，注重新价值的创造和双方关系中的交互作用，以构建企业持久竞争优势。不少学者就此认为：关系营销理论的提出标志着传统的交易营销范式的终结。但关系营销理论在实践中远不如理论者鼓吹的那样具有影响力，很多企业不愿介入关系，营销实践仍然以4Ps营销组合作为基本手段，营销理论的主流仍然以4Ps组合的运用为主要特征。因此笔者认为，关系营销与交易营销虽然是两种对立的营销范式，但两者适用于不同的交易类型和环境，不是完全对立而是可以并存、融合的。

一、关系营销理论的提出和营销范式从交易向关系的转变

在关系营销出现以前的营销理论以交易或者交换为研究的中心，早期重点研究营销渠道的效率，其后消费者行为逐渐成为研究的中心，其中以4Ps营销组合作为主要手段。关系营销的思想出现很早，Magarry在20世纪50年代提出了营销的6项功能，其中的“契约功能”(contractualfunction)指的就是发展市场伙伴中的相互依赖的合作关系。60年代和70年代的两篇论文催发了关系营销理论的建立：其一，AdlerLee(1996)发现，企业之间的象征关系与传统的营销者——中介关系没有直接联系；其二，JohnArndt(1979)指出，企业趋向于与关键顾客和供应商建立持久关系而非仅仅只关注一次性的交易，并把这种现象定义为“内部市场化”。这两篇论文在欧洲和北美产生很大影响。在他们提出的关系营销思想基础上，许多学者从不同的角度对关系营销进行研究。其代表性的研究有诺丁学派(Nordicschool)，从服务营销的研究出发，研究企业如何进行流程再造、实施内部营销以对外部顾客提供良好的服务及价值增加，IMP学派(IndustrialMarketingandPurchasingGroup)，研究的重点是产业市场的关系和网络；社会交换学派，从社会交换的角度研究企业与顾客、供应商、竞争者，内部雇员、政府等关系。

关系营销各学派从不同的角度入手，采取不同的方法研究关系营销，因此对关系营销的定义也不同，主要有狭义和广义之分。狭义的如Bickert(1992)认为，关系营销就是数据库营销；Jackson(1985)认为“关系营销是与关键客户建立牢靠、持久的关系的一个营销导向”；Gronroos(1990)认为“营销就是建立、保持和加强与顾客以及其他合作者的关系，以此使各方面的利益得到满足和融合。这个过程是通过信任和承诺来实现的”。Gummesson(1990)从关系与互动的角度定义关系营销，认为“关系营销是市场被看作关系、互动与网络”。有些学者从更宽广的角度认识关系营销，如Morgan和Hunt(1994)认为“关系营销是指所有的旨在建立、发展和保持成功的关系的一切活动”。本文的研究建立在Morgan和Hunt对关系营销的定义基础上。

关系营销与交易营销是两种对立的营销方式，主要体现在以下几个方面：

伴随科技的发展，电子产品的使用已经涉及到了人们生活的多个方面，在方便了人的生活的同时但也使得电磁环境变得更加复杂，人们在使用中会偶尔出现这样那样的问题，为了提升电子产品的性能、提高人们的体验，电子产品的设计者也在不断的改进产品，让其在复杂的电磁环境中有更好地适应能力。而电子产品的研究设计中它的电磁兼容性是个无可避免的问题。为了实现电子产品的电磁兼容，使电子产品达到相关标准，本文针对电磁兼容设计进行了简要的分析，对其设计要素和测试方式进行了研究。

1.电磁兼容定义其重要性

1.1电磁兼容概念。电磁兼容，就是指电子产品在使用的环境中能够正常运转的同时不干扰其他电子，具体来说就是一方面电子产品在工作运行期间产生的电磁干扰不足以影响别的电子设备的正常运行，不会对其他电子设备造成损害或保证这一损害在一定的可接受的区间内，另一方面电子，电子产品应当具备一定的抗干扰性，能够隔绝使用环境中其他电子设备的电磁干扰，或是让这种干扰不能影响到电子产品自身的正常运行。电磁兼容的主要研究的就是电磁干扰。可以分为两类：抗干扰技术和电磁辐射控制。电磁兼容在研究设计的过程中主要考虑到电磁环境的评价、EMI耦合路径、抗干扰技术、电磁频谱利用和管理、电磁场生态环境。1.2电磁兼容的重要性。随着科学技术的发展，人们对电子产品的电磁兼容也有了更多的认识，也越来越重视电磁兼容的设计和测试方面的研究。当今电子产品的电磁兼容不仅是针对产品本身内部的结构更加小巧、复杂，还包括了对周边干扰、辐射方的影响，比如，在某些电子产品使用中引发起爆装置从而发生了爆炸威胁了生命财产的安全，还有一些电磁干扰使得广播无法正常接收、数据传播的中断和丢失等现象，甚至有些电磁干扰或辐射会对生命体产生一定的影响。因而，研究电磁兼容对于电子产品来说显得尤为重要。当前电磁兼容涵盖到的频率范围从0到400GHz，几乎囊括了人们工作生活所需的各个方面。通过对电磁兼容的进一步研究，首先可以制定出相关行业的电子兼容标准，促进电子产品健康可持续的发展；其次可以提升产品的可靠性和安全性，不干扰其他设备的正常工作；第三，电子兼容作为电子产品的重要标准，关系产品的质量如何以及是否达标，是电子产品进入市场所必须经受检验，为了提高电子产品的市场占有，就必须对电磁兼容进行深入的研究；第四，加强产品的电磁兼容研究可以有效的避免产品在后期出现不兼容的问题，降低后期出现不兼容现象的相关费用，也使得系统风险得到有效的降低；第五，电磁现象是一个无法避免的问题，也与人类现代生活是密切相关的，如何降低电磁环境对人体的潜在影响也是电磁兼容所研究的重要意义之所在。

2.电子产品兼容设计要素

电子产品的电磁兼容设计的目的是力求设计出来的产品可以在共存的电磁环境中正常工作，互不影响。首先要依据相关标准，把电磁兼容指标分为产品级别的、模块级别的、电路级别的、元件级别的指标要求，然后，根据实际产品需要逐级进行设计。2.1电子产品兼容设计应遵循的原则。为了改善电子产品的兼容性能，在电磁兼容设计中通常要遵循以下几项原则：一是电磁兼容要以产品为核心，既要保证电子产品的电磁兼容复合国家标准，又要满足产品的基本要求，使得设计的产品符合系统的相关技术指标。二是电磁兼容设计要进行加固设计，不能把电磁兼容准则教条化，要依据产品特点进行加固，确保产品可以稳定的运行，在设计的时就要留有设计余量，确保可靠。三是兼顾经济因素，为达到统一的兼容目标，电子兼容的设计参数是灵活的，选择的手段也是多样化的，设计者要从整体出发考虑到经济成本因素。四是考虑到电子产品内部干扰，抑制产品内部产生寄生耦合公共电抗的寄生参数，在同一电磁空间秉持强弱电分开、不同频率的传输线分开的原则。五是产品在强磁场的地线不可以形成闭合回路，避免环路电流干扰。六是电路的电磁干扰一般较难消除，可以考虑降低噪声强度，或进行小范围屏蔽，使其不致形成干扰。2.2设计要素分析。电子产品的电磁兼容设计要素主要包括耦合通道的抑制、空间分离、时间分隔、频率管理、电气隔离等。其中，耦合通道抑制可以通过屏蔽技术、滤波技术、布线、搭接、接地来实现；空间分离可以从地点、地形的控制管理以及电场矢量方向进行控制；时间分隔可以通过雷达脉冲同步、主动和被动的时间分离来实现；频率的管理主要包括了频率的管理和调制、数字和光电的传输以及滤波；电气隔离主要是进行变压器的隔离、光电的隔离、DC\DC变换、继电器的隔离等。

3.电磁兼容测试技术

摘要：电磁兼容一般指电气及设备在共同的电磁环境中能执行各自功能的共存状态，即要求在同一电磁环境中的上述各种设备都能正常工作又互不干扰，达到“兼容”状态。现在电磁兼容工作者又进一步探讨电磁环境对人类及生物的，学科范围已不仅限于设备与设备间的，而进一步涉及到人类本身，因此某些国内外学者也把电磁兼容学科称作环境电磁学。由于试验技术是电磁兼容学科中的一项重要支撑技术，本文将就此作些扼要介绍。

关键词：电磁兼容试验技术现状需求

一电磁兼容试验技术现状及发展需求

我国运用电磁兼容试验技术，多起始于60年代前后，当时试验室条件简陋，测量设备多半是国内自行研制的简易测量设备，测量手段也比较落后。1966年船舶先行一步，制订了自己的行业测量标准JB-854-66《船用电气设备工业无线电干扰端子电压测量及允许值》。

改革开放后，国际交往增多，国际先进的电子测量设备大量涌进市场。国内一些重要科研单位、大型生产厂家及某些高校先后兴建电磁兼容试验室，引进了成套的测量设备。

众所周知，电磁兼容领域与其它专业相比，要更多地依赖于测量，而且电磁兼容测量对试验条件的要求又很严格。因此，随着国际电磁兼容标准的与转化，我国高标准的试验室陆续建成，专业技术队伍不断扩充壮大，这为电磁兼容试验技术的发展带来了机遇和条件保证。

摘要：本文开展电磁兼容测试系统设计分析，首先解析民用电磁兼容测试系统标准，由单一设备组成复杂测试系统，通过理论推导计算，验证系统可实现性。基于前期设计内容，对设计系统进行不确定因素评估，验证测试系统设计可行性。优化解决系统理论推导计算问题，包括EMS测试干扰限值推导问题，保证不同等级对功率放大器放大增益值。通过前期系统设计理论推导，保证系统设计时全套设备利用率。

关键词：民用电子电气设备；电磁兼容测试系统；系统设计

电磁兼容性测试研究电子电气设备适用中独立工作的电磁抗干扰能力，随着无线电设备大量出现，各类无线电收发设备相互电磁干扰情况严重。20世纪中期后，电子设备内部元器件小型化，各电子元器件占用空间拥挤，频谱资源占有率增加，需要提高频谱资源利用率。与EMC相关法律有很多，发达国家相关组织有相关规定。我国电磁兼容测试为3C强制认证，电子电气产品EMC为法律规定要求，电子电气设备进入市场前需通过EMC。本文设计科学高效的民用电子电气设备EMC系统，满足工程应用实践分析。设计系统可实现EMI发射骚扰测试，可实现子系统分为RE辐射发射等。

1民用电磁兼容测试标准分析

设计符合标准规范的民用电磁兼容测试系统，需要了解对应测试方法要求等。EMI接收机是电磁骚扰测试重要仪表，测试干扰信号有间发行等特点，EMI接收机通常采用扫频测试进行逐点扫描测试[1]。GB/T6113.101标准对EMI测量接收机有明确指标要求。测量接收机内部放大器幅度特性需比测正弦信号有较大动态范围储备。应注意区分检波器功能与测试接收机上输出指示的意义，采用正弦波等效RMS进行校准。测试CE传导发射骚扰电压时，需在被测试设备间增加规定人工电源网络。人工电源网络作用点包括将外部供电电路与被测设备电路隔离，电源供电端子提供测试阻抗。系统选用人工电源网络为耦合非对称电压V型网络[2]。电探头在CE传导发射骚扰电流测试使用，不需改变被测设备原有电路，适合测试复杂接线电路系统。系统设计使用高阻电压探头，可使用高阻电压探头测试优点是不影响供电网络下测试，缺点是需避免被测电路阻抗较高。高阻电压探头由电阻与电容组成，接地端子需良好接到参考地。EMI天线接收空间强信号后，场强值与电压值比为天线系数。电磁兼容无线电骚扰测量要注意具有可复现性，物相互作用。测量装置运行条件作出明确规定，需测量电平上有足够信噪比，扫频接收机测量适当考虑设备特殊工作特性。非源于EUI产生骚扰，需在实验报告中记录[3]。测试EMI干扰电平时需较长测试时间，EMI接收机使用峰值检波器捕捉信号，仅对发射幅值接近的关键频率测量最大值。RE辐射发射测试目的是针对机箱端口辐射骚扰测试，对多种电子电气产品，需测试辐射骚扰电磁场干扰，电场干扰需测试水平极化。辐射骚扰测量需考虑实验环境，环境噪声电平满足低于极限值6dB要求。通用EMI测试流程图如图1所示。

2民用电磁兼容测试系统设计

AbstractThispaperconsistsoffourparts:(1)compatibility;(2)simplification;(3)reflections

oncompatibilityandsimplification;(4)conclusion.TheauthorholdsthatChinesegrammaticalstruc

turesrevealatendencyofsimplificationinformandatendencyofcompatibilityinsemanticimpl

ication.Simplificationsandcompatibilityareinterdependentinaccordancewithpragmaticprincip

les.

本文讨论汉语语法结构，用的是现代汉语的语料。

【摘要】德育教育在整个的教育体系之中占据着极其重要的位置，德育教育的成效不但关系到学生的综合素质水平，还关系到德育教育工作的发展。在我国，职业教育是培养职业技术人才的重要教育方式，近年来，我国的职业教育也得到了迅速的发展，职业教育院校的规模也越来越大，教学的特色也逐渐的彰显了出来。中职学生升学的压力比较小，思维处于活跃的状态，管理难度越来越大，各职校都在想方设法的提高教学的质量和创新教学的方式，力图将学生的学习能力和职业技能全面的提高和发展。目前，我国的中职院校也越来越重视德育思想教育工作，在培养和提高学生们专业技能的同时提高学生们的道德素质标准，本文就中职学生专业技能培养与德育教育的兼容做了相关的论述。

【关键词】中职学生；德育；专业技能；培养；服装；劳动者素质

中职院校德育教育水平的高低不但影响着学生们的综合素质水平，也影响着中职院校整体的教学质量和水平，是尤为重要的。近年来，中职教育发展速度迅猛、成就突出毋容质疑，但中职校园普遍地仍存在诸如：学生上课说话、睡觉、玩手机，课余抽烟、打架、谈恋爱，周末酗酒、赌博、赶派对等禁而不止、规而不范的问题行为。中职院校的学生由于学习负担较轻，精力过剩，也就导致了很多学生对自己行为的约束力不够，做出一些叛逆的行为，这种情况是必须加以引导和修正的，如果不想方设法地把学生的全部精力吸引到专业学习能力的培养和专业技能的训练上面来就会导致一部分心存上进的学生流失，这就要求教师必须理论联系实际，将德育教育有效的兼容于专业教学中，从而为社会培养大批优秀的职业技术人才。

一、加强思想教育，树立学习信念

长期以来，职业教育在整个教育体系的认同度一直是比较低的。很多学生选择职业教育院校也是因为成绩不佳的无奈之举，这也就导致了学生们在进入了中职院校之后，学习的情绪和思想的情绪都很不稳定，学习的积极性也不是很强，这时候，就需要通过科学合理的思想教育的来进行引导并加以改善。科学合理的思想教育工作应该以集中教育为主，逐步的渗透到各个学科之中。首先，要让学生们了解我国教育体系的机构，让学生们对职业教育有一个全新的认识，了解职业教育的重要性，这样就能够树立起学生们学习的坚定信心和信心，其次，要和学生们讲解职业教育在国家建设中起到的重要作用，职业教育和综合素质水平之间的联系，让学生们慢慢的走出思想上的误区，能够重新的审视对职业教育的认识，最后，还可以让学生们了解职业教育的发展前景，逐步的加深职业教育在学生们心目中的分量，使学生们从自身的角度去感悟职业教育的理念，逐步的形成主观的学习意识，从而提高专业技能的学习积极性，全面的提高个人的综合素质水平。

二、制定专业目标，树立学习信心

摘要网络地址转换技术(NAT)与IPSec在因特网上都是得到广泛应用的技术，但是它们之间却是不兼容的。该文首先分别介绍了NAT和IPSec两种协议的基本原理，分析了两者的不兼容性，然后讨论了解决该问题必须满足的要求，最后给出了利用UDP封装法实现NAT透明穿透的解决方案。

关键词IPSec;NAT;IKE;UDP封装

1引言

基于IP技术的虚拟专用网（VirtualProfessionalNetwork，简称VPN）是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IPSec技术建立VPN网络，IPSec已逐渐成为VPN构建的主流技术。IP安全协议（IPSecurityProtocol，简称IPSec）是由互联网工程工业组（InternetEngineeringTaskForce，简称IETF）1998年底规划并制定的网络IP层标准。IPSec不仅可以为IP协议层以上所有的高层协议和应用提供一致性的安全保护，而且除了可用于IPv4之外，也可用于下一代IP协议IPv6。

另外，NAT（NetworkAddressTranslation）技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面，它可以缓解由于IPv4先天设计上的不足，而导致的IP地址严重短缺的现状。

但是，被广泛使用的网络地址转换（NAT）设备却制约着基于IPSec技术的VPN的发展，这是因为IPSec协议在VPN中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP地址及传输标志符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即对IP地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。