企业级WLAN中遥测数据的隐性成本
本指南详细阐述了企业级WLAN中未经请求的IoT遥测数据带来的隐性带宽和合规成本。它提供了可操作的架构策略,包括VLAN划分和DNS边缘过滤,以降低风险并为关键业务服务回收吞吐量。
收听本指南
查看播客转录
- এক্সিকিউটিভ সামারি
- টেকনিক্যাল ডিপ-ডাইভ
- টেলিমেট্রি ট্র্যাফিকের অ্যানাটমি
- সিকিউরিটি এবং কমপ্লায়েন্সের প্রভাব
- এজ ফিল্টারিংয়ের প্রয়োজনীয়তা
- ইমপ্লিমেন্টেশন গাইড
- ফেজ ১: নেটওয়ার্ক সেগমেন্টেশন
- ফেজ ২: ট্র্যাফিক অডিটিং এবং বেসলাইনিং
- ফেজ ৩: DNS সিঙ্কহোলিং
- ফেজ ৪: ইগ্রেস ফিল্টারিং এবং DPI
- বেস্ট প্র্যাকটিস
- ট্রাবলশুটিং এবং রিস্ক মিটিগেশন
- ROI এবং বিজনেস ইমপ্যাক্ট
- ব্রিফিংটি শুনুন

এক্সিকিউটিভ সামারি
হসপিটালিটি, রিটেইল এবং পাবলিক সেক্টর জুড়ে হাই-ডেনসিটি পরিবেশ পরিচালনা করা CTO এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, IoT ডিভাইসের ব্যাপক বৃদ্ধি কর্পোরেট WLAN-এ একটি লুকানো কর বা হিডেন ট্যাক্স যুক্ত করেছে: অযাচিত টেলিমেট্রি ডেটা। প্রতিটি স্মার্ট টিভি, HVAC কন্ট্রোলার এবং POS টার্মিনাল ক্রমাগত ভেন্ডর এন্ডপয়েন্টগুলোতে ডায়াগনস্টিক ডেটা, ব্যবহারের পরিসংখ্যান এবং ফার্মওয়্যার চেক পাঠাতে থাকে। সামগ্রিকভাবে, এই ট্র্যাফিক আউটবাউন্ড ব্যান্ডউইথের ৪৮% পর্যন্ত ব্যবহার করতে পারে, যা বৈধ Guest WiFi এবং কর্পোরেট কার্যক্রমে মারাত্মক প্রভাব ফেলে। থ্রুপুট কমার পাশাপাশি, অনিয়ন্ত্রিত টেলিমেট্রি GDPR এবং PCI DSS-এর অধীনে একটি উল্লেখযোগ্য কমপ্লায়েন্স ঝুঁকি তৈরি করে, যা আনঅডিটেড ডেটা এক্সফিলট্রেশন ভেক্টর তৈরি করে। এই গাইডটি এজ-এ টেলিমেট্রি ট্র্যাফিক শনাক্ত, আইসোলেট এবং ফিল্টার করার জন্য একটি টেকনিক্যাল ব্লুপ্রিন্ট প্রদান করে, যা IT টিমগুলোকে গুরুত্বপূর্ণ ডিভাইসের কার্যকারিতা ব্যাহত না করেই ব্যান্ডউইথ পুনরুদ্ধার করতে, সিকিউরিটি পলিসি প্রয়োগ করতে এবং সামগ্রিক নেটওয়ার্ক ROI উন্নত করতে সহায়তা করে।
টেকনিক্যাল ডিপ-ডাইভ
IoT টেলিমেট্রির মূল চ্যালেঞ্জ হলো এটি স্ট্যান্ডার্ড নেটওয়ার্ক পলিসির আওতার বাইরে স্বয়ংক্রিয়ভাবে কাজ করে। ডিভাইসগুলো ভেন্ডর-নিয়ন্ত্রিত এন্ডপয়েন্টগুলোর সাথে যোগাযোগ করার জন্য হার্ডকোড করা থাকে, এবং কানেক্টিভিটি ব্যাহত হলে প্রায়শই অ্যাগ্রেসিভ রিট্রাই লজিক ব্যবহার করে।
টেলিমেট্রি ট্র্যাফিকের অ্যানাটমি
টেলিমেট্রি পেলোড ভেন্ডর অনুযায়ী ভিন্ন হয়, তবে সাধারণত এতে ডিভাইসের হেলথ মেট্রিক্স, এরর লগ এবং ব্যবহারের প্যাটার্ন অন্তর্ভুক্ত থাকে। উদাহরণস্বরূপ, হোটেলের রুমের একটি স্মার্ট টিভি প্রতি কয়েক মিনিটে Samsung বা LG সার্ভারে পিং করতে পারে। যদিও প্রতিটি প্যাকেট ছোট, হাজার হাজার ডিভাইস জুড়ে এর সামগ্রিক ভলিউম যথেষ্ট বড়। আমাদের বিশ্লেষণে দেখা গেছে যে, গড় এন্টারপ্রাইজ IoT ডিভাইস প্রতিদিন প্রায় ৩৪০MB আউটবাউন্ড ট্র্যাফিক তৈরি করে।

সিকিউরিটি এবং কমপ্লায়েন্সের প্রভাব
আনফিল্টার করা টেলিমেট্রি নেটওয়ার্ক সিকিউরিটিতে একটি ব্লাইন্ড স্পট তৈরি করে। যখন ডিভাইসগুলো বাহ্যিকভাবে যোগাযোগ করার জন্য প্রাতিষ্ঠানিক নিয়ন্ত্রণগুলোকে বাইপাস করে, তখন তারা প্রিন্সিপাল অফ লিস্ট প্রিভিলেজ লঙ্ঘন করে। কঠোর রেগুলেটরি ফ্রেমওয়ার্কের অধীনস্থ পরিবেশগুলোতে এটি বিশেষভাবে সমস্যামূলক।
PCI DSS v4.0-এর অধীনে, কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট (CDE)-এর সাথে নেটওয়ার্ক সেগমেন্ট শেয়ার করা যেকোনো ডিভাইস কমপ্লায়েন্সের আওতাভুক্ত। যদি কোনো POS টার্মিনাল আউটবাউন্ড টেলিমেট্রি তৈরি করে, তবে এটিকে কঠোরভাবে আইসোলেট করতে হবে। একইভাবে, GDPR আর্টিকেল ৩২ ডেটা সুরক্ষিত করার জন্য উপযুক্ত প্রযুক্তিগত ব্যবস্থা গ্রহণ করা বাধ্যতামূলক করে। আনঅডিটেড আউটবাউন্ড কানেকশন, এমনকি যদি তা আপাতদৃষ্টিতে ক্ষতিকারক নাও হয়, তবুও এই মান পূরণে ব্যর্থ হয়। যদিও IEEE 802.1X শক্তিশালী পোর্ট-লেভেল অথেনটিকেশন প্রদান করে, এটি অথেনটিকেটেড ডিভাইসগুলোর পেলোড পরিদর্শন বা নিয়ন্ত্রণ করে না। WPA3 ওয়্যারলেস ট্রান্সমিশন সুরক্ষিত করে কিন্তু ডিভাইসটিকে টেলিমেট্রি কানেকশন শুরু করা থেকে বিরত রাখতে কিছুই করে না।
এজ ফিল্টারিংয়ের প্রয়োজনীয়তা
এটি সমাধানের জন্য, প্রতিষ্ঠানগুলোকে অবশ্যই নেটওয়ার্ক এজে ফিল্টারিং প্রয়োগ করতে হবে। এর মধ্যে একটি মাল্টি-লেয়ারড পদ্ধতি জড়িত: পরিচিত টেলিমেট্রি ডোমেইনগুলোর রেজোলিউশন রিকোয়েস্ট ইন্টারসেপ্ট করার জন্য DNS সিঙ্কহোলিং, এবং হার্ডকোড করা IP কমিউনিকেশন ধরার জন্য FQDN ব্লকলিস্টের সাথে ডিপ প্যাকেট ইন্সপেকশন (DPI)। এই আর্কিটেকচার নিশ্চিত করে যে শুধুমাত্র অনুমোদিত বিজনেস ট্র্যাফিক ইন্টারনেট গেটওয়ে অতিক্রম করে, যা আমাদের Improving WiFi Speeds by Blocking Ad Networks at the Edge গাইডে বিস্তারিত আলোচনা করা হয়েছে।

ইমপ্লিমেন্টেশন গাইড
একটি শক্তিশালী টেলিমেট্রি ফিল্টারিং আর্কিটেকচার ডিপ্লয় করার জন্য একটি নিয়মতান্ত্রিক পদ্ধতি প্রয়োজন, যাতে বৈধ অপারেশনাল ট্র্যাফিক ব্যাহত না হয়।
ফেজ ১: নেটওয়ার্ক সেগমেন্টেশন
প্রাথমিক পদক্ষেপ হলো কঠোর VLAN সেগমেন্টেশন। IoT ডিভাইসগুলো কখনোই কর্পোরেট ব্যবহারকারী, গেস্ট নেটওয়ার্ক বা PCI-স্কোপড সিস্টেমের মতো একই সাবনেটে থাকা উচিত নয়। কঠোর অ্যাক্সেস কন্ট্রোল লিস্ট (ACLs) সহ ডেডিকেটেড IoT VLAN তৈরি করুন যা ডিফল্টভাবে ইন্টার-VLAN রাউটিং ডিনাই করে।
ফেজ ২: ট্র্যাফিক অডিটিং এবং বেসলাইনিং
ব্লক প্রয়োগ করার আগে, একটি ট্র্যাফিক বেসলাইন স্থাপন করুন। আউটবাউন্ড কানেকশনগুলো মনিটর করতে ফ্লো অ্যানালাইসিস টুল (NetFlow/sFlow) ডিপ্লয় করুন অথবা একটি কমপ্রিহেন্সিভ WiFi Analytics প্ল্যাটফর্ম ব্যবহার করুন। টপ টকারদের শনাক্ত করুন এবং তাদের ডেস্টিনেশন এন্ডপয়েন্টগুলো ম্যাপ করুন। এই অডিট টেলিমেট্রি সমস্যার প্রকৃত মাত্রা প্রকাশ করবে।
ফেজ ৩: DNS সিঙ্কহোলিং
একটি ইন্টারনাল, পলিসি-এনফোর্সিং DNS রিভলভার অ্যাসাইন করতে IoT VLAN-এর জন্য DHCP স্কোপ কনফিগার করুন। পরিচিত টেলিমেট্রি এবং ডায়াগনস্টিক এন্ডপয়েন্টগুলোর জন্য ক্যাটাগরি-ভিত্তিক ব্লকিং প্রয়োগ করুন। কমিউনিটি-কিউরেটেড ব্লকলিস্ট বা কমার্শিয়াল থ্রেট ইন্টেলিজেন্স ফিড ব্যবহার করুন। ব্লকগুলো প্রয়োগ করার আগে সম্ভাব্য ফলস পজিটিভ শনাক্ত করতে 'রিপোর্ট-অনলি' মোডে ৭২ ঘণ্টার জন্য লগগুলো মনিটর করুন।
ফেজ ৪: ইগ্রেস ফিল্টারিং এবং DPI
যেসব ডিভাইস হার্ডকোড করা IP অ্যাড্রেস ব্যবহার করে DNS বাইপাস করে, তাদের জন্য পেরিমিটার ফায়ারওয়ালে ইগ্রেস ফিল্টারিং প্রয়োগ করুন। টেলিমেট্রি সিগনেচার শনাক্ত এবং ড্রপ করতে DPI রুল কনফিগার করুন। ভেন্ডর ইনফ্রাস্ট্রাকচারের পরিবর্তনের সাথে তাল মেলাতে এই রুলগুলো নিয়মিত আপডেট করা নিশ্চিত করুন।
বেস্ট প্র্যাকটিস
- IoT-এর জন্য ডিফল্ট-ডিনাই পোসচার গ্রহণ করুন: ডিফল্টভাবে, IoT VLAN-গুলোর কোনো ইন্টারনেট অ্যাক্সেস থাকা উচিত নয়। শুধুমাত্র ডিভাইসের মূল কার্যকারিতার জন্য প্রয়োজনীয় FQDN এবং পোর্টগুলোকে (যেমন, NTP, নির্দিষ্ট API এন্ডপয়েন্ট) স্পষ্টভাবে হোয়াইটলিস্ট করুন।
- রেট লিমিটিং প্রয়োগ করুন: এমনকি অনুমোদিত ট্র্যাফিকও ব্যান্ডউইথ শেপিংয়ের আওতাভুক্ত হওয়া উচিত। IoT সেগমেন্টগুলোর জন্য উপলব্ধ সর্বোচ্চ থ্রুপুট সীমাবদ্ধ করতে QoS পলিসি প্রয়োগ করুন, যাতে তারা ম্যাস ফার্মওয়্যার আপডেটের সময় আপলিংক স্যাচুরেট করতে না পারে।
- নিয়মিত ব্লকলিস্ট মেইনটেন্যান্স: টেলিমেট্রি এন্ডপয়েন্টগুলো পরিবর্তিত হয়। কার্যকারিতা বজায় রাখতে আপনার এজ ফিল্টারিং ইঞ্জিনে আপডেট করা FQDN ব্লকলিস্টগুলোর ইনজেশন স্বয়ংক্রিয় করুন।
- গেস্ট নেটওয়ার্ক মনিটর করুন: গেস্ট নেটওয়ার্কেও একই ধরনের ফিল্টারিং নীতি প্রয়োগ করুন। যদিও আপনি গেস্ট ডিভাইসগুলো নিয়ন্ত্রণ করতে পারবেন না, তবে আপনি তাদের টেলিমেট্রিকে শেয়ার্ড এক্সপেরিয়েন্সের মান কমানো থেকে আটকাতে পারেন।
ট্রাবলশুটিং এবং রিস্ক মিটিগেশন
টেলিমেট্রি ফিল্টারিংয়ের সবচেয়ে বড় ঝুঁকি হলো ওভার-ব্লকিং, যা ডিভাইসের কার্যকারিতা ব্যাহত করতে পারে। উদাহরণস্বরূপ, কোনো ভেন্ডরের CDN ব্লক করলে তা অজান্তেই গুরুত্বপূর্ণ সিকিউরিটি আপডেট ব্লক করে দিতে পারে।
- লক্ষণ: ম্যানেজমেন্ট কনসোলে ডিভাইসগুলো অফলাইন স্ট্যাটাস দেখায়।
- প্রতিকার: প্রভাবিত ডিভাইসের IP থেকে ব্লক করা কোয়েরিগুলোর জন্য DNS লগগুলো পর্যালোচনা করুন। সাময়িকভাবে ব্লক করা ডোমেইনটি হোয়াইটলিস্ট করুন এবং কার্যকারিতা পুনরুদ্ধার হয়েছে কিনা তা যাচাই করুন। প্রায়শই, ভেন্ডররা টেলিমেট্রি এবং ম্যানেজমেন্টের জন্য আলাদা সাবডোমেইন ব্যবহার করে (যেমন,
telemetry.vendor.comবনামapi.vendor.com)।
আরেকটি সাধারণ ফেইলিওর মোড হলো অসম্পূর্ণ সেগমেন্টেশন, যেখানে একটি ম্যানেজমেন্ট VLAN অজান্তেই IoT সেগমেন্টকে কর্পোরেট নেটওয়ার্কের সাথে যুক্ত করে। আইসোলেশন যাচাই করার জন্য নিয়মিত পেনিট্রেশন টেস্টিং এবং VLAN অডিট অপরিহার্য।
ROI এবং বিজনেস ইমপ্যাক্ট
টেলিমেট্রি ফিল্টারিং প্রয়োগ করলে তাৎক্ষণিক এবং পরিমাপযোগ্য রিটার্ন পাওয়া যায়।
- ব্যান্ডউইথ রিকভারি: প্রতিষ্ঠানগুলো সাধারণত আউটবাউন্ড WAN ইউটিলাইজেশনে ১৫-৩০% হ্রাস দেখতে পায়, যা ব্যয়বহুল ব্যান্ডউইথ আপগ্রেডকে বিলম্বিত করে।
- উন্নত ইউজার এক্সপেরিয়েন্স: পুনরুদ্ধার করা ব্যান্ডউইথ সরাসরি গেস্ট এবং এমপ্লয়িদের জন্য দ্রুত, আরও নির্ভরযোগ্য কানেক্টিভিটি প্রদান করে, যা Hospitality এবং Retail পরিবেশে স্যাটিসফ্যাকশন স্কোর উন্নত করে।
- ঝুঁকি হ্রাস: অননুমোদিত আউটবাউন্ড কানেকশনগুলো দূর করা অ্যাটাক সারফেসকে উল্লেখযোগ্যভাবে হ্রাস করে এবং কমপ্লায়েন্স অডিটকে সহজ করে, যা রেগুলেটরি জরিমানার ঝুঁকি কমায়।
পাবলিক সেক্টর ডিপ্লয়মেন্টের ক্ষেত্রে, যেখানে বাজেট সীমিত এবং নজরদারি বেশি, নির্ভরযোগ্য পরিষেবা প্রদানের জন্য এই দক্ষতাগুলো অত্যন্ত গুরুত্বপূর্ণ, যা ডিজিটাল ইনক্লুশন চালানোর উদ্যোগগুলোর সাথে সামঞ্জস্যপূর্ণ, যেমনটি আমাদের সাম্প্রতিক ঘোষণায় আলোচনা করা হয়েছে: Purple Appoints Iain Fox as VP Growth – Public Sector to Drive Digital Inclusion and Smart City Innovation ।
ব্রিফিংটি শুনুন
আর্কিটেকচারাল বিষয়গুলো সম্পর্কে আরও গভীরভাবে জানতে, আমাদের ১০ মিনিটের টেকনিক্যাল ব্রিফিংটি শুনুন:
关键定义
遥测数据
从连接设备自动传输操作、诊断或使用数据回其制造商或第三方云服务的过程。
通常在未经明确IT授权的情况下传输,消耗带宽并造成合规盲点。
DNS黑洞
一种DNS服务器,配置为对特定域名提供不正确的IP地址(通常为0.0.0.0),从而有效阻止设备连接到这些域。
作为一种轻量级、高效的方法,用于在网络边缘阻止已知的遥测和跟踪端点。
深度包检测 (DPI)
一种高级网络数据包过滤技术,在数据包通过检查点时检查其数据部分(可能还包括头部),以搜索协议违规、病毒、垃圾邮件、入侵或预定义标准。
对于识别和阻止使用硬编码IP地址或非标准端口绕过DNS控制的遥测流量是必要的。
FQDN阻止列表
一份完全限定域名(例如 telemetry.vendor.com)的列表,这些域名被明确拒绝通过网络网关或DNS解析器访问。
比IP封锁更精确,因为云端托管的遥测端点经常更改IP地址,但保持一致的域名。
VLAN划分
将物理网络划分为多个逻辑网络以隔离流量、提高性能和增强安全性的实践。
管理IoT设备的关键第一步,确保其遥测流量无法穿越企业或PCI范围内的网段。
出站过滤
监控并可能限制信息从一个网络(通常是互联网)出站流向另一个网络的做法。
对于防止未经授权的数据泄露以及在IoT网段执行“默认拒绝”策略至关重要。
PCI DSS 范围
所有包含在持卡人数据环境 (CDE) 中或与其连接的系统组件、人员和流程。
与支付终端在同一网段的设备产生的未经控制的遥测数据可能会无意中将那些设备纳入审计范围。
IEEE 802.1X
一种基于端口的网络访问控制 (PNAC) 的IEEE标准,为希望连接到LAN或WLAN的设备提供身份验证机制。
虽然它能确保网络入口安全,但它不会检查或控制已认证设备发送的遥测有效负载。
应用实例
一家拥有400间客房的度假村每天凌晨2:00至4:00之间网络严重拥堵,影响了早起的客人和后台运营。网络团队怀疑每个房间最近安装的智能电视是原因。他们应该如何诊断和解决这个问题?
- 诊断: 在核心交换机上部署NetFlow收集器,分析拥堵时段内的流量。分析结果显示,所有400台电视同时下载固件更新,并向制造商的CDN上传每日汇总使用遥测数据。2. 解决方案: 首先,确保电视位于专用的IoT VLAN中。其次,在防火墙上实施QoS策略,将IoT VLAN的进出流量速率限制为WAN链路总容量的10%。第三,实施DNS黑洞以阻止用于遥测上传的特定FQDN,同时允许用于固件更新的FQDN。最后,如果供应商管理控制台允许,错开更新时间窗口。
一家拥有200个门店的大型零售连锁店使用混合的旧式和现代POS系统。在PCI DSS审计期间,评估员注意到几个现代POS终端正在向未知的云端点产生出站HTTPS流量。网络架构师应该如何修正这一发现?
- 立即遏制: 验证POS终端位于严格隔离的CDE(持卡人数据环境)VLAN中。2. 流量分析: 在CDE VLAN的出站接口上执行数据包捕获(PCAP)。识别目标IP地址并尝试反向DNS查找以确定供应商。3. 策略执行: 在防火墙上为CDE VLAN实施“默认拒绝”出站规则。仅明确允许支付处理和授权管理流量所需的IP地址和端口。4. 文档化: 在防火墙规则库中记录允许的端点及每个端点的业务理由,并将此文档提供给PCI评估员。
练习题
Q1. 您正在企业园区内部署一批新的智能HVAC控制器。供应商声明,控制器需要互联网访问以向其云平台报告诊断数据以获得质保支持。您如何安全地集成这些设备?
提示:考虑最小权限原则以及如何平衡运营需求与安全控制。
查看标准答案
- 将HVAC控制器置于专用的、隔离的IoT VLAN中。2. 向供应商索要诊断报告所需的特定FQDN和端口。3. 将边界防火墙配置为对IoT VLAN执行默认拒绝的出站规则。4. 仅为供应商提供的FQDN和端口创建明确的允许规则。5. 在VLAN上实施速率限制,以防止控制器消耗过多带宽。
Q2. 在例行日志审查中,您注意到来自IoT VLAN的大量DNS请求被DNS黑洞阻止。然而,运营团队报告数字标牌显示屏不再更新其内容。可能的原因和补救措施是什么?
提示:考虑供应商通常如何构建其云服务以及过度封锁的风险。
查看标准答案
可能的原因是过度封锁。供应商可能将同一域名(或密切相关的子域)同时用于遥测报告和内容交付。补救措施:1. 在DNS日志中识别被阻止的特定域。2. 暂时将该域加入白名单。3. 使用数据包捕获分析发往该域的流量。4. 如果可能,在防火墙上使用DPI阻止特定的遥测URI路径,同时允许内容更新路径,或者与供应商合作确定每种功能的不同FQDN。
Q3. 体育场IT主管想要实施遥测过滤,但担心比赛日核心防火墙的处理开销,届时将有50,000名球迷连接。哪种架构提供最高效的过滤?
提示:哪种过滤方法消耗的防火墙CPU周期最少?
查看标准答案
最高效的方法是在大部分过滤中依赖DNS黑洞。通过配置DHCP服务器将客户端设备指向一个阻止已知遥测域的内部DNS解析器,流量在连接尝试之前就被丢弃,从而节省防火墙状态表条目和DPI处理周期。防火墙仅应用作对付硬编码IP或高度特定阻止规则的辅助手段。
继续阅读本系列
了解 RSSI 和信号强度,以实现最佳信道规划
本指南对 RSSI、信噪比 (SNR) 和射频 (RF) 传播原理进行了全面的技术深度剖析,以实现最佳信道规划。它为 IT 经理、网络架构师和场所运营总监提供了切实可行的策略,以减少同频和邻频干扰、优化 AP 部署,并利用分析技术在酒店、零售和公共部门环境中实现可衡量的业务成效。
20MHz vs 40MHz vs 80MHz:您应该使用哪种信道宽度?
本指南为酒店、零售、活动和公共部门环境中的企业部署提供了一个权威的、与厂商无关的技术参考,指导 IT 经理、网络架构师和场所运营总监如何选择正确的 WiFi 信道宽度(20MHz、40MHz 或 80MHz)。它涵盖了底层的 IEEE 802.11 机制、实际容量的权衡以及逐步部署指南,以帮助团队在本季度做出正确的决策。在任何无线 LAN 设计中,理解信道宽度的选择都是最具杠杆效应的决策之一,直接影响到吞吐量、干扰、客户端密度支持以及面向访客服务的可靠性。
Wi-Fi 6 vs Wi-Fi 5:能否解决信道干扰?
本指南深入探讨了Wi-Fi 6 (802.11ax) 如何通过OFDMA和BSS着色在高密度企业环境中解决信道干扰问题。它为IT经理、网络架构师和CTO提供了可操作的部署策略、来自酒店和医疗保健领域的真实案例研究,以及一个评估在无线性能对业务至关重要的场所进行基础设施升级投资回报率的框架。