渠道初级认证培训课件
合集下载
渠道初级认证培训之基础认证技术.pptx
密码认证加强
设置用户密码强度
设置密码强度主要为了满足对认证用户的密码安全的需求。密码强度 限制仅对私有用户在客户端修改密码有效,管理员在控制台建立或修改密码 不受此限制。
设置用户密码强度
配置步骤:【用户与策略管理】-【用户认证】-【认证选项】-【其它认 证选项】
按照用户需求 勾选相应条目, 可复选。
绿色的是认证,紫色的是 免审计,这两种不能混淆。
还有一种咖啡色的,用于 数据中心查询。
认证功能配置
典型应用场景与配置
认证场景
用户名 密码认 证场景
认证场 景
案例背景
总经理
办公区
防火墙 核心交换
公共上网区
某集团公司内部有办公区和公 共上网区, 要求实现办公区 (192.168.1.0/24)用户上网不 能修改和地址,公共上网区 (192.168.2.0/24)则需要输入 账号和密码才能上网,确保网 络行为能跟踪到,另外总经理 的上网数据要保证安全,不能 被审计。
认证方式介绍
4、认证 提供上网认证的有两种,绿色的认证和紫色的免审计。
认证过程:管理员生成,然后分发给用户。用户上网时, 把插入个人电 脑,使用认证客户端提交认证信息,通过认 证后才允许接入互联网。 认证适用于对认证安全要求较高的网络环境,也适用于 公司高层机密信息不被随意审计的情况。
认证方式介绍
认证功能介绍
认证功能介绍
概述:认证功能主要用于对经过设备上网的用户进行身份的验证。通过 认证功能可识别内网上网用户的身份,为后续的流量管理、用户上网权 限策略及应用审计提供基础。
的认证方式: 1、不需要认证(绑定) 2、密码认证(包括本地密码认证和第三方服务器认证) 3、单点登陆 4、认证
SANGFOR NGAF 2012年度渠道初级认证培训03_.
DNS Mapping的设置方法比双向转换规则简单。不涉及区域、IP组、端口等
设置。 DNS Mapping不支持一个公网IP映射到多台内网服务器的情况。而双向地址 转换功能没有此限制。
专业务实 学以致用
DNS mapping
PC向DNS服务器请求的ip
dns服务器返回的ip是2.2.2.3
外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网
的DOS攻击。(该外网为用户自己定义的攻击源区域,不一定非指Internet) 内网防护:主要用来防止设备自身被DOS攻击。
专业务实
学以致用
DOS/DDOS防护
外网防护配置介绍:
自定义名称和描述
选择DOS/DDOS攻击发 起方所在的区域 若设备在每秒单位内接口收 到源区域所有地址的ARP包 选择需要进行 超过阈值时,则会被认为是 不同的数据包类型,攻击 DOS/DDOS攻击检 勾选需要进行异常报 勾择需要进 攻击 方法和设备的检测方法都 测 的数据包类型, 文侦测的 TCP 协议报 若设备在每秒单位内收到 行异常报文 不一样,可根据需求选择 并配置检测阈值, 文类型。。 来自源区域的单个IP地址/ 侦测的IP协 数据包类型。 当设备在每秒单位 端口扫描包个数超过阈值, 议报文类型 配置外网防护时,除内容里特别注明不能勾 注意:“ IP数据块分片传 内收到来自源区域 则会被认为是攻击 选的项外,其它均可以勾选,勾选后,请注 输防护”建议不要勾选 访问同一个目标IP 点击可选择 配置完成,点击确定保存 意设置好阈值,建议使用默认的阈值。 的数据包超过所设 DOS/DDOS攻击防护 置的阈值时,则会 类型 被认为是攻击。 点击可选择数据 配置完成,点 包攻击防护类型 击确定保存 点击确定,保存配置 点击可选择IP协议报文防护类 每目的IP激活阈值:当多个攻击者发送给同一目标地址的SYN TCP握手报文达到 型 点击可选择TCP协议 激活阈值时,则 启用Syn-cookie代理。 每目的IP丢包阈值:当多个攻击者发送给同一目标地址的SYN TCP握手报文达到 报文防护类型
SANGFOR IPSEC 2011年度渠道初级认证培训02_DLAN互联基础技术(new)
SANGFOR DLAN
SANGFOR DLAN 互联基础
SANGFOR DLAN 部署模式 深信服公司简介
SANGFOR DLAN术语解释
总部、分支、移劢 1.2. Webagent寻址 1.3. 直连、非直连 1.4. 虚拟网卡、虚拟IP、虚拟IP 池
1.1.
DLAN总部: 提供VPN服务,为其他VPN设备提供接入账户校验的设备。DLAN总部设备 需要配置WEBAGENT、新建VPN接入账号。 DLAN分支: 配置连接管理端的设备称为DLAN分支设备。 DLAN移动: 即SANGFOR VPN的软件客户端,又称为PDLAN。 一个VPN设备既可以当总部,也可以当分支,也可以同时充当总部和分支的 角色。
一般情况下,SANGFOR VPN设备需要部署在公网 出口,均采用网关模式部 署。
为了保证网络可达性,如果 设备LAN口下接三层交换 机,丏内网有多网段的情 况下,必须在设备上配置 路由。
192.200.2.2/24 GW:192.200.2.1 192.200.3.2/24 GW:192.200.3.1
1.2 WEBAGENT寻址
总部的IP地址是X.X.X.X
我的IP地址是X.X.X.X
请告诉我总部的IP地址
请告诉我总部的IP地址
我的IP地址是X.X.X.X
总部的IP地址是X.X.X.X
在寻址过程中,所有信息均使用DES加密。
1.3 直连与非直连
直连:也即VPN设备本身有公网IP或者能够被从公网访问的到。 有如下几种情况可以被称为直连: 设备WAN口直接接光纤或者拨号,本身就有公网IP或者设备放在企业 内网,但是从前面的防火墙或者路由器做了TCP 4009的端口映射给 SANGFOR VPN设备。
SANGFORAD2011年度渠道初级认证培训02_设备.
网桥模式部署案例与配置
网桥模式下注意事项:
网桥模式只支持服务器负载,不支持链路负载 AD暂不支持多进多出模式的桥,桥的网口不区别进 出方向,不分LAN区,WAN区
专业务实
学以致用
旁路模式部署案例与配置
旁路模式部署案例一
用户需求: 不希望改变原来的网络拓扑结构,内 网多台服务器要做服务器负载。 此需求可以选择旁路或者网桥模式部 署。 网络环境:
专业务实
学以致用
问题思考
请说出AD有哪几种部署模式?几种 部署模式之间有什么区别? AD设备MANAGE口的默认IP地址是 什么? AD网桥模式部署用了NET1和NET2 口,如下图,请问应该如何接线?
专业务实
学以致用
专业务实
学以致用
启用远程维护
专业务实
学以致用
旁路模式部署案例与配置
WAN口开启PING的方法:
AD设备默认情况下新建的WAN口(旁路模式也一样)是无法PING通的,如果要让用
户能PING通WAN口,则需要在网络安全处勾选“启用WAN网卡的入站路由转发”。
启用该设置远程 维护会强制启用
专业务实
学以致用
练练手
某用户网络拓扑如图所示,用户需要 使用AD来实现入站链路负载和服务器 负载,请参考旁路模式部署章节配置 好并且上架(负载部分不需要配置)
专业务实
学以致用
AD部署模式介绍
旁路模式介绍
旁路典型拓扑图1介绍:
旁路模式部署不需要改动原有的网络结构。
该拓扑环境下通过AD设备实现服务器负载均 衡功能。
AD设备旁路模式部署时,必须连接WAN口
类型的接口到局域网交换机。同时WAN口可 以和服务器IP地址在同一网段,如果不在同
《渠道基本知识培训》PPT课件幻灯片PPT
分销商
合作伙伴 系统集成
代理商
合计
找出三个差距
代表处当前渠道承载力:区域翰林汇经销商能够销售 翰林汇产品的销量之和;
公司要求的渠道承载力:公司下达给各代表处的任务 为公司要求各代表处目前必须到达的渠道承载力;
IBM或HP NB渠道承载力:所有IBM或HP当前区域NB销 量之和;
NB渠道承载力:区域内所有经销商销量之和
利润规划
规划好价值链上每一成员的利润; 规划出不同的利润来源; 按照奉献的大小,规划合理的利润; 期望值管理。
三、代理商的甄选
建立渠道市场的甄选数据库; 对目标代理商进展内查外调; 有效的接近目标代理商; 如何取得代理商的信任; 代理商所关注的问题; 与代理商的谈判技巧。
代理商的甄选标准
Payoff
最终受益--How will we both benefit from
spending this time together?我们一起花费时间我们怎样获得利益。
知耻近乎勇 好学近乎智 力行近乎仁 天行健,君子以自强不息; 地势坤,君子以厚德载物。
商圈规划
商圈规划有三层含义,一是要规划出合理的行业布局, 不仅要涉及所有行业,而且还要有重点的行业突破; 二是规划好卖场,重点卖场一定要有覆盖,并且覆盖 合理;三是渠道出口通畅,价值链上各环节利益分配 合理。在商圈规划中,我们还应充分利用厂商的资源 〔店面装修、培训、市场支持〕,借厂商的目标到达 我们的目的。通过商圈规划,我们应到达合理覆盖所 有出货点的效果
什么是市场营销? 启发消费者的需求,并满足需求的过程。 市场营销策略组合的四个根本要素〔4p〕 PRODUCT\PRICE\PLACE\PROMOTION 什么是销售? 销售就是解决消费者能够买到的问题。 市场工作和销售工作的区别: 市场是发现和创造需求,销售是满足需求; 市场是拉力,销售是推力。
渠道培训资料(PPT 38张)
(二)其他购物服务
17.母婴店 18.药店 19.医疗机构内售 点
以售卖孕妇、婴幼儿用品为主营业务, 如奶粉等,同时兼售大包装高品质饮 用水等。
以连锁或独立方式经营,主要售卖 药品,兼营售卖包装食品或饮料等。
医院或其他医疗机构内的非院方经 营的商店,一般售卖包装食品、饮 料、日用品等商品。
三、教育渠道
(二)其他购物服务
14. 面包房、特色食品 15. 茶叶店 16. 水果鲜蔬店
以主要向消费者提供糕饼、面包等烘 烤食物的面包店或特色食品专卖店。 这些售点经常也销售牛奶、果汁或其 它饮料,一般店内不设座位,不鼓励 店内消费。
以售卖茶叶为主要经营活动的售点, 兼营售卖各类饮料产品。
主要销售新鲜水果或蔬菜的商店, 部分售点也会同时销售一些即饮饮 料
于5000平方米,拥有数量较多的收银台。所
销售的产品主要为整箱销售,价格较普通售 点便宜。山姆会员店、麦德龙都属于该渠道。
数量较多的收银台。大卖场能够聚积人气,
所处的地方通常能够形成购物中心。
(二)超市
3.连锁超市
4.大型独立超市
5. 百货商店(含店内超市)
大卖场为消费者提供一站式购物服务。 售卖的商品种类齐全,包括家电、服 装、家居用品、生鲜及日用品等,涵 盖消费者的日常所需。由于拥有规模 优势,商品的价格往往比较低。卖场 的营业面积较大,通常大于6000平 方米,拥有宽敞舒适的购买环境,并 提供购物车和购物篮以便消费者自助 购买,拥有数量较多的收银台。大卖 场能够聚积人气,所处的地方通常能 够形成购物中心。
25.大学超市
21.中学食堂
22.中学传统杂货店.小 卖亭.其他校园内售点
23.中学超市
(二)大专院校
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
点击线路名称, 修改优先级
网关多线路部署案例
多线路优先级的含义: • a) 一般情况下设置同等优先级即可。两条线路选择相同的优先级会直接
对比从两条线路下载图片的耗时,选择耗时小的线路接入 。
设备部署培训
培训内容 部署模式介绍 网关模式
单臂模式
培训目标 1. 掌握 支持的各种部署模式的特点。 1. 掌握网关模式适用环境及支持的功能。 2. 掌握网关单线路和多线路的配置步骤。
1. 掌握单臂模式适用环境及支持的功能。 2. 掌握单臂单线路和多线路的配置步骤。
部署模式介绍 部署模式配置 部署案例 动动深手信服公司简介
部署模式介绍
• 部署模式_简介
•
1、部署模式是指设备以什么样的工作模式部署到客
户网络中去,不同的部署方式对客户的网络影响各有不同,
具体以何种部署方式需要综合客户具体的网络环境和客户
的功能需求而定。
•
2、 支持网关(单线路和多线路)模式、单臂(单线路
和多线路)模式部署。
部署模式介绍
➢ 网关模式特点
• 3. 多线路设置:[系统配置]-[网络配置]-[多线路],勾选[启用多线路传输],并且新 建好两条线路。勾选[启用 多线路],选择[ 用户直接接入本设备],并且新增两条 线路。
网关多线路部署配置步骤
1. 设置网关模式,口和1,2口地址。
网关多线路部署配置步骤
2. 设置系统路由
网关多线路部署配置步骤
• 3、配置 多线路
部署配置(单臂多线路模式)
➢ 单臂多线路模式配置截图(与单臂单线路设置相同)
部署配置(单臂多线路模式)
➢ 单臂多线路模式多线路配置截图
填入公网出口 线路的真实公
网IP地址。
案例一:网关多线路部署案例
部署需求:
某客户拓扑如图,客户需要实现外 网用户通过 接入访问内部的服务器 群。客户有电信与网通两条链路, 并且已经申请了多个地址。 设备网 关部署,分配一个电信与一个网通 地址给 设备使用。内网用户通过防 火墙上网,外网用户需要实现输入 域名实现自动选择电信或者网通最 快链路接入 。
2、上网配置: 代理上网(),确定内网是否多网段网络环境,如果是的话需要添加相 应的回包路由回指给设备下接的核心交换机。
部署配置(网关模式)
网关多线路配置思路:
1、线路确定:跟客户确认有几条公网线路接入,并申请多线路授权 2、网关模式配置:确定设备外网口是固定或者是拨号方式,取得相应运
营商给的地址信息或者是拨号的帐号密码,给每条外网线路做配置; 确定内网口(口)的地址信息; 3、上网配置:代理上网(),确定内网是否多网段网络环境,如果是的 话需要添加相应的回包路由回指给设备下接的核心交换机。 4、多线路配置:可根据客户需求设置 多线路, 多线路传输,上网数据 的多线路选路策略。
部署配置(网关单线路模式)
➢ 网关单线路模式配置截图
设置内网 接口IP地址
部署配置(网关单线路模式)
➢ 代理上网配置截图
选择代理 LAN或 DMZ口下 的网段上
网
部署配置(网关多线路模式)
➢ 网关多线路模式配置截图
使用网关多 线路,必须 先开通多线
路授权
点击线路,分别配 置线路一和线路二
的IP地址和网关
部署配置(网关多线路模式)
➢ 代理上网配置截图
部署配置(网关多线路模式)
➢ 多线路配置截图(后续案例讲述配置)
部署配置(单臂单线路模式)
单臂单线路部署配置思路:
1、单臂模式配置:给设备口分 配一个可以上网的地址,填写 正确的网关、; 2、前置网关做 443和80端口映 射(如果用到 还需要映射 / 4009端口)
部署配置(单臂单线路模式)
➢ 单臂单线路模式配置截图
给设备LAN口 分配一个可以 上网的IP,正 确填写网关和
DNS地址。
配置DMZ口IP, 可通过DMZ 口管理设备
部署配置(单臂多线路模式)
单臂多线路部署配置思路:
• 1、单臂模式配置:给设备口 分配一个可以上网的地址、填 写正确的网关、;
• 2、前置网关分别做两条线路 的 443和80端口映射(如果用 到 还需要映射 / 4009端口)
部署模式介绍
➢单臂模式特点 ➢ 1、单Байду номын сангаас模式时设备工作模式基本与一台内网服务器相当, 由前置设备将服务对外发布,该模式下仅处理数据。一般在 客户原有网络环境中添加部署设备时将采用这种模式,因为 这种部署模式对客户的网络环境无变动,哪怕设备宕机也不 会影响网络。
➢ 2、单臂模式部属只需要连接口到内网,如果需要通过口 管理设备,可将口也连接到局域网交换机。防火墙、、等功 能无法使用。
网关多线路部署配置思路
• 1. 基础网络配置:网关模式,配置1、2口、口地址信息,配置系统路由。(由于 口与服务器不在一个网段,而设备的默认路由指向方向出口,所以需要添加到达 内网的静态路由,下一条指向核心交换机) 。
• 2. 域名设置:将客户申请的二级域名在处用A记录指向1.1.2.2和2.1.2.2 。
3. 设置 多线路选路: a) 启用 多线路,添加两条公网线路的地址(仅当设备网关多线路直 连公网的环境下需要设置)
必须配置正确的 DNS才能够进行链
路检测
线路故障检测用于 实时检测链路的好 坏,实现线路故障
时自动切换。
网关多线路部署配置步骤
3. 设置 多线路选路: b) 启用 多线路,选择“ 用户直接接入本设备”
➢ 1、网关模式部署时设备工作层次基本与路由器或包过 滤防火墙相当,具备基本的路由转发及功能。一般在客户 原有网络环境中添加部署设备时不采用这种模式,因为这 种部署模式需要对客户的网络环境作较大的改动。
➢ 2、一般此种部署模式的客户网络环境规模比较小,用 设备替换原有部署在出口的路由器,或者是客户在规划新 网络建设时将部署为路由模式。 如客户出口有前置防火 墙或网络规模比较大建议用单臂模式。
部署配置
单臂 模式
单线路 多线路
网关 模式
单线路 多线路
部署配置(网关模式)
部署配置(网关模式)
非直连公网方式的网关模式部署(应用场景非常少,对网络改动较大,需要 在前置设备上做端口映射)
部署配置(网关模式)
网关单线路配置思路:
1、网关模式配置: 确定设备外网口(1口)是固定或者是拨号方式,取得相应运营商给的 地址信息或者是拨号的帐号密码;确定内网口(口)的地址信息;
网关多线路部署案例
多线路优先级的含义: • a) 一般情况下设置同等优先级即可。两条线路选择相同的优先级会直接
对比从两条线路下载图片的耗时,选择耗时小的线路接入 。
设备部署培训
培训内容 部署模式介绍 网关模式
单臂模式
培训目标 1. 掌握 支持的各种部署模式的特点。 1. 掌握网关模式适用环境及支持的功能。 2. 掌握网关单线路和多线路的配置步骤。
1. 掌握单臂模式适用环境及支持的功能。 2. 掌握单臂单线路和多线路的配置步骤。
部署模式介绍 部署模式配置 部署案例 动动深手信服公司简介
部署模式介绍
• 部署模式_简介
•
1、部署模式是指设备以什么样的工作模式部署到客
户网络中去,不同的部署方式对客户的网络影响各有不同,
具体以何种部署方式需要综合客户具体的网络环境和客户
的功能需求而定。
•
2、 支持网关(单线路和多线路)模式、单臂(单线路
和多线路)模式部署。
部署模式介绍
➢ 网关模式特点
• 3. 多线路设置:[系统配置]-[网络配置]-[多线路],勾选[启用多线路传输],并且新 建好两条线路。勾选[启用 多线路],选择[ 用户直接接入本设备],并且新增两条 线路。
网关多线路部署配置步骤
1. 设置网关模式,口和1,2口地址。
网关多线路部署配置步骤
2. 设置系统路由
网关多线路部署配置步骤
• 3、配置 多线路
部署配置(单臂多线路模式)
➢ 单臂多线路模式配置截图(与单臂单线路设置相同)
部署配置(单臂多线路模式)
➢ 单臂多线路模式多线路配置截图
填入公网出口 线路的真实公
网IP地址。
案例一:网关多线路部署案例
部署需求:
某客户拓扑如图,客户需要实现外 网用户通过 接入访问内部的服务器 群。客户有电信与网通两条链路, 并且已经申请了多个地址。 设备网 关部署,分配一个电信与一个网通 地址给 设备使用。内网用户通过防 火墙上网,外网用户需要实现输入 域名实现自动选择电信或者网通最 快链路接入 。
2、上网配置: 代理上网(),确定内网是否多网段网络环境,如果是的话需要添加相 应的回包路由回指给设备下接的核心交换机。
部署配置(网关模式)
网关多线路配置思路:
1、线路确定:跟客户确认有几条公网线路接入,并申请多线路授权 2、网关模式配置:确定设备外网口是固定或者是拨号方式,取得相应运
营商给的地址信息或者是拨号的帐号密码,给每条外网线路做配置; 确定内网口(口)的地址信息; 3、上网配置:代理上网(),确定内网是否多网段网络环境,如果是的 话需要添加相应的回包路由回指给设备下接的核心交换机。 4、多线路配置:可根据客户需求设置 多线路, 多线路传输,上网数据 的多线路选路策略。
部署配置(网关单线路模式)
➢ 网关单线路模式配置截图
设置内网 接口IP地址
部署配置(网关单线路模式)
➢ 代理上网配置截图
选择代理 LAN或 DMZ口下 的网段上
网
部署配置(网关多线路模式)
➢ 网关多线路模式配置截图
使用网关多 线路,必须 先开通多线
路授权
点击线路,分别配 置线路一和线路二
的IP地址和网关
部署配置(网关多线路模式)
➢ 代理上网配置截图
部署配置(网关多线路模式)
➢ 多线路配置截图(后续案例讲述配置)
部署配置(单臂单线路模式)
单臂单线路部署配置思路:
1、单臂模式配置:给设备口分 配一个可以上网的地址,填写 正确的网关、; 2、前置网关做 443和80端口映 射(如果用到 还需要映射 / 4009端口)
部署配置(单臂单线路模式)
➢ 单臂单线路模式配置截图
给设备LAN口 分配一个可以 上网的IP,正 确填写网关和
DNS地址。
配置DMZ口IP, 可通过DMZ 口管理设备
部署配置(单臂多线路模式)
单臂多线路部署配置思路:
• 1、单臂模式配置:给设备口 分配一个可以上网的地址、填 写正确的网关、;
• 2、前置网关分别做两条线路 的 443和80端口映射(如果用 到 还需要映射 / 4009端口)
部署模式介绍
➢单臂模式特点 ➢ 1、单Байду номын сангаас模式时设备工作模式基本与一台内网服务器相当, 由前置设备将服务对外发布,该模式下仅处理数据。一般在 客户原有网络环境中添加部署设备时将采用这种模式,因为 这种部署模式对客户的网络环境无变动,哪怕设备宕机也不 会影响网络。
➢ 2、单臂模式部属只需要连接口到内网,如果需要通过口 管理设备,可将口也连接到局域网交换机。防火墙、、等功 能无法使用。
网关多线路部署配置思路
• 1. 基础网络配置:网关模式,配置1、2口、口地址信息,配置系统路由。(由于 口与服务器不在一个网段,而设备的默认路由指向方向出口,所以需要添加到达 内网的静态路由,下一条指向核心交换机) 。
• 2. 域名设置:将客户申请的二级域名在处用A记录指向1.1.2.2和2.1.2.2 。
3. 设置 多线路选路: a) 启用 多线路,添加两条公网线路的地址(仅当设备网关多线路直 连公网的环境下需要设置)
必须配置正确的 DNS才能够进行链
路检测
线路故障检测用于 实时检测链路的好 坏,实现线路故障
时自动切换。
网关多线路部署配置步骤
3. 设置 多线路选路: b) 启用 多线路,选择“ 用户直接接入本设备”
➢ 1、网关模式部署时设备工作层次基本与路由器或包过 滤防火墙相当,具备基本的路由转发及功能。一般在客户 原有网络环境中添加部署设备时不采用这种模式,因为这 种部署模式需要对客户的网络环境作较大的改动。
➢ 2、一般此种部署模式的客户网络环境规模比较小,用 设备替换原有部署在出口的路由器,或者是客户在规划新 网络建设时将部署为路由模式。 如客户出口有前置防火 墙或网络规模比较大建议用单臂模式。
部署配置
单臂 模式
单线路 多线路
网关 模式
单线路 多线路
部署配置(网关模式)
部署配置(网关模式)
非直连公网方式的网关模式部署(应用场景非常少,对网络改动较大,需要 在前置设备上做端口映射)
部署配置(网关模式)
网关单线路配置思路:
1、网关模式配置: 确定设备外网口(1口)是固定或者是拨号方式,取得相应运营商给的 地址信息或者是拨号的帐号密码;确定内网口(口)的地址信息;