网络专线(共9篇)
网络专线 篇1
0 引言
近年来, 随着各行各业规模化信息化的发展, 越来越多的集团客户组建了总部与分支机构间的内部网络, 如政府部门的办公网络, 金融行业的计费网络, 连锁企业的销售网络等。集团数据专线业务需求保持快速增长, 现已成为各通信运营商全业务发展的兵家必争之地。
本文探讨数据专线业务的网络实现方式, 分析如何利用网络资源更好地满足客户需求。
1 数据专线业务需求
数据专线业务是依托先进的高速传输骨干网及接入网资源, 为客户提供高速度、高质量、高可靠性、高安全性的网络互联服务, 提供2 Mb/s~10 Gb/s之间的多种带宽, 通过光口、电口等丰富的接口类型, 支持客户开展语音、数据、视频等各类业务。
集团专线业务由于其性质、业务等因素决定, 有以下的要求:
·安全性:信息安全要求很高, 信息内容不可被窃取;
·稳定性:要求能够提供电信级的业务稳定性;
·扩展性:随着业务发展承载专网可以同步扩展;
·覆盖性:专线接入点分布在全省或者全国, 要求能快速接入。
从网络结构看, 集团专线业务信息流向基本上是点对点或集中型, 因此, 数据专线组网结构基本上是线型或星型。本文重点讨论星型结构的组网结构, 线型结构也可以看作是特殊的星型结构。
2 数据专线网络实现方式
2.1 基于SDH/MSTP的实现方式
SDH (synchronous digital hierarchy) 是一整套可进行同步数字传输、复用和交叉连接的标准化数字信号的等级结构。SDH全透明的物理通道, 传输质量高、网络时延小、安全性高, 通道带宽可根据需要进行选择, 有2 Mb/s (E1) 、155 Mb/s (STM-1) 、622 Mb/s (STM-4) 、2.5 Gb/s (STM-16) 等速率。SDH方式集团数据专线应用中, 中心点一般采用STM-1的光接口与客户核心路由器对接;分支点采用2 Mb/s的电接口, 通过协议转换器为客户接入设备提供多样化接口。业务间通过时隙进行划分, 汇聚比最高可达1∶63。
MSTP (多业务传送平台) 是在SDH传送平台的基础上, 增加数据业务处理板, 实现TDM (时分复用) 、ATM (异步传输模式) 以及以太网等业务的接入、处理和传送。MSTP方式一般为客户提供以太网接口, 中心点和分支点接口带宽在2~100 Mb/s之间, 中心点的带宽等于各分支点接入带宽的总和, 业务间通过VLAN (虚拟局域网) 进行隔离。汇聚能力由数据业务处理单板功能决定, 汇聚比最高可达1∶48。
SDH/MSTP实现方案如图1所示, 利用广泛覆盖的SDH传送网, 将集团客户网元就近接入到基站或传输节点, 利用SDH传送网提供分支点到中心点的专线电路。根据专线业务接口、带宽和汇聚比等需求决定使用SDH或MSTP方式。
为避免光缆中断或基站断电对专线业务造成大面积影响, 数据专线中心点需实施双路由接入保护, 形成基站双节点通道保护环, 具备较高的业务安全性。SDH/MSTP数据专线安全性好, 稳定性高, 但是独占线路带宽、资源利用率低, 且不能满足客户大颗粒专线组网的需求。
2.2 基于IP VPN的实现方式
IP VPN (虚拟专用网) 是指通过共享的IP网络建立私有数据传输通道, 将远程各分支网点连接起来, 提供端到端的服务质量 (QoS) 保证以及安全服务。
MPLS (多协议标记交换) -VPN采用MPLS技术在的宽带IP网络上构建企业IP专网, 实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信, 并结合差别服务、流量工程等相关技术, 将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起, 为用户提供高质量的服务。
利用IP城域网可开展MPLS VPN专线业务, 但IP城域网资源分布于城域的核心和汇聚层面, 在接入层还需要利用PON (无源光网络) 技术, 解决客户终端到城域网的业务传送。
PON是点对多点光纤接入技术, 由OLT (光线路终端) 、ONU (光网络单元) 、和POS (无源分光器) 组成。OLT放置在IP城域网边缘, 负责收敛接入业务并传递到IP城域网;ONU是用户侧设备, 可向用户提供各种宽带服务;分光器是连接OLT和ONU的无源设备, 功能是分发下行数据, 集中上行数据。OLT、ONU、无源分光器组成了PON接入网的整体架构。IP VPN实现方案如图2所示。
基于VPN数据专线, 可以把现有IP网络分解成逻辑上隔离的网络, 实现不同集团客户的专线互联, 为用户提供有QoS保障的业务, 灵活性好、可扩展性强, 支持大颗粒带宽。但在ONU至OLT的接入段线路保护能力较弱, 稳定性略低。
2.3 基于PTN (分组传送网) 的实现方式
PTN是新一代基于分组的、面向连接的多业务统一传送技术, 不仅能较好承载电信级以太网业务, 而且兼顾了传统的TDM、ATM等业务, 具有面向连接的多业务承载、50 ms的网络保护、完善的运行管理维护 (OAM) 机制、全面的服务质量保障, 以及功能强大的传送网管功能等技术优势。
PTN有两类实现技术:一类是从IP/MPLS技术发展来的MPLS-TP (MPLS transport profile) 技术, 不需要基于IP地址的逐跳转发来支持OAM或数据报文, 增强了MPLS面向连接的标签转发能力, 从而具有确定的端到端传送路径, 增强了网络保护、OAM和QoS能力。PTN (MPLS-TP) 是针对城域网应用场景, 结合IP/MPLS和传送网技术而作的优化。另一类是从传统以太网逐步发展而来的PBB+PBB-TE (provider backbone bridge-traffic engineering) 技术, PBB解决了运营商和客户之间的完全隔离并提高了网络扩展性。目前众多设备商选择以MPLS-TP技术实现PTN产品。基于PTN的实现方案如图3所示。
PTN实现方案支持分组交换和统计复用功能, 采用面向连接技术, 提高业务端到端性能保证, 更适应城域网环网结构和汇聚型业务需求。PTN数据专线兼具安全性、稳定性、可扩展性较高的优点, 但是目前PTN的汇聚层、接入层仍处于建设期, 尚未达到如SDH网络和无源光网络似的规模覆盖性。
3 现网实践应用
目前在南京移动网络中, 对于安全性、稳定性要求较高的金融行业专线项目, 均采用具有物理隔离、成环保护优点的MSTP/SDH方式开通, 如农业银行、工商银行、交通银行等多营业网点的数据专线。
对于扩展性、灵活性要求较高的行业连锁专线项目, 多采用带宽扩容方便、结构调整简单的IP VPN方式开通, 如先声药业、我爱我家等多门店连锁的数据专线。
对于稳定性和扩展性要求均很高的专线项目, 如政府企业的办公数据专线, 则使用兼具以上优点的PTN方式开通。由于PTN仍处于建设期, 覆盖接入的投资成本相对较高, 但随着传送网络的发展, PTN必将成为一种主要的专线实现模式。
4 结束语
集团客户专线业务正在向规模化多样化方向发展, 给运营商提出了更高的要求, 如何最优化地配置网络资源, 用最高效的应用技术方案, 满足集团客户业务需求, 更好地推动全业务发展, 是需要我们长期关注和研究的内容。
摘要:分析了集团数据专线的业务需求, 研究了数据专线的网络实现技术方案, 比较了各种方案的优缺点, 探讨了如何利用网络资源更好满足客户需求。
关键词:数据专线,同步数字体系,虚拟专用网,分组传送网
网络专线 篇2
ADSL专线接入
,
浅析客户专线业务的网络承载技术 篇3
关键词:IPRAN,MSTP,伪线 (Pseudo Wire, PW) ,MPLS-VPN
1 项目背景
随着互联网业务的迅猛发展, 其承载的业务种类越来越多, 受到的各种安全威胁越来越大。因此对于安全有较高需求的用户的广域组网方案均倾向于利用运营商网络来自行组网。传统的组网方式有数字数据网 (Digital Data Network, DDN) , ATM, SDH等。此类用户近年来发展迅猛, 接入带宽需求逐年增长, 大带宽用户越来越多, 传统的承载方式不适合带宽大带宽承载。因此, 多业务传送平台 (Multi Service Transport Platform, MSTP) , IP无线接入网 (IP Radio Access Network, IPRAN) , Oracle技术网络 (Oracle Technology Network, OTN) 等新承载技术被应用的越来越多, 其中IPRAN作为新一代的接入网络, 相比传统的业务承载网具有时延小、业务可靠性高、设备分布广泛、多业务承载等特点, 因此各大运营商都投入大量经费进行IPRAN网络建设, 将其作为下一代的传送网。其已具备大带宽承载专线业务的能力。
2 客户专线承载技术
运营商提供给大客户进行组网的专线承载技术, 早期主要为DDN, ATM, SDH技术, 这类别的专线在早期的政府、银行等对安全要求高的客户中应用的极为广泛。随着传输技术及IP技术的发展, MSTP及MPLS-VPN逐渐成为主流的专线承载方式, 但随着专线用户对带宽需求的增长, MSTP技术的带宽扩容不便, 带宽成本高的缺点逐渐明显, 而MPLS-VPN因与互联网共用一个物理网络, 其安全性不能符合部分客户的需求, 因此IPRAN及OTN技术以其大带宽及良好的安全性成为新一代的客户专网承载技术。下文将对几种主流的接入技术及业务实现方案进行介绍。
2.1 MSTP技术
基于SDH的多业务传送平台 (Multi-Service Transfer Pl a t fo r m, M ST P) 是指基于S DH平台同时实现T DM, ATM, 以太网等业务的接入、处理和传送, 提供统一网管的多业务节点。在传统SDH基础上, 通过IP/ATM等多业务接入能力的引入, 在承载原有TDM业务的同时, 可以开展多种高可靠性、大容量的新业务, 如以太网专线、点到多点以太网、以太环。
2.1.1 MSTP业务实现方案
为解决现阶段特定大客户指定以MSTP方式承载的专线接入需求, 在一定的区域内建设独立的信息化专线末端接入网络, 为信息化项目提供相对灵活的资源支撑及安全保障。MSTP/MSAP网络主要承载需物理隔离的2~100 M, 155 M等低速数字电路专线, 同时兼顾承载FR业务。不同业务的接入方式如下。
2.1.2 N*2 M数字电路&FR业务
通过光猫接入就近接入点或模块局机房的接入层MSAP设备。
2.1.3 10~100 M及155 M数字电路
如图1所示, 根据客户等级不同, 采用MSTP/MSAP设备通过单路由或双路由接入汇聚层MSTP设备。同一客户的多个节点可采用因地制宜组建专用MSAP或MSTP接入环并下挂于汇聚层MSTP设备以节省光纤资源。接入环上节点不宜超过5个。
2.1.4 MSTP承载专线业务优缺点分析
(1) MSTP承载政企客户的优点:具备优秀的承载、调度能力、具备完善的OAM机制和远程管理能力、提供端到端透明传输通道, 充分保证服务质量 (Quality of Service, Qo S) 业务的带宽灵活配置, MSTP上提供的10/100/1000M bit/s系列接口, 通过VC的捆绑可以满足各种用户的需求。
(2) MSTP承载政企客户的缺点:单位带宽建设成本高, 不适合大带宽承载;承载分组业务效率较低。
2.2 OTN技术
OT N OT N是以波分复用技术为基础、在光层组织网络的传送网, 是下一代的骨干传送网。OTN是通过G.872, G.709, G.798等一系列IT U-T的建议所规范的新一代“数字传送体系”和“光传送体系”, 将解决传统WDM网络无波长/子波长业务调度能力差、组网能力弱、保护能力弱等问题。OTN跨越了传统的电域 (数字传送) 和光域 (模拟传送) , 是管理电域和光域的统一标准。OTN处理的基本对象是波长级业务, 它将传送网推进到真正的多波长光网络阶段。由于结合了光域和电域处理的优势, OTN可以提供巨大的传送容量、完全透明的端到端波长/子波长连接以及电信级的保护, 是传送宽带大颗粒业务的最优技术。
2.2.1 OTN业务实现方案 (见图2)
OT N网络由于其带宽最小颗粒为千兆, 因此主要承载300M及以上大颗粒数字电路专线。
622M以上用户:用户等级较低时以622M、GE、2.5G接口采用光纤单路由方式就近接入汇聚层OTN设备。用户等级较高时通过用户侧OTN设备采用OLP双路由上联汇聚层OTN设备, 汇聚层以上OTN网络为专线提供SNCP保护。
6 2 2 M以下用户:通过与汇聚层O T N共址的M S T P/MSAP设备将多个局向相同的用户进行收敛后, 以2.5G 1+1方式接入汇聚层OTN。
2.2.2 OTN承载专线业务优缺点分析
OTN承载政企客户优点:技术继承了SDH和WDM的双重优势;可靠性高, 端到端远程实时监控管理能力强;带宽颗粒大, 适用于300M~10Gbps范围的各类TDM, IP化业务接入。
OTN承载政企客户缺点:成本较高、功耗大、占地大、对机房配套和环境要求高。不适用于小颗粒业务占比较大的情况。
2.3 MPLS VPN技术
MPLS-VPN是指采用MPLS技术在运营商宽带IP网络上构建企业IP专网, 实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信, 并结合差别服务、流量工程等相关技术, 将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起, 为用户提供高质量的服务。
2.3.1 MPLS-VPN业务实现方案
MPLS-VPN是在公用的通信基础平台上提供私有数据网络的技术, 运营商一般通过隧道协议和采用安全机制来满足客户的私密性需求。结合目前主流的接入技术主要有通过LAN网络接入至城域网BRAS/SR设备以及通过PON网络接入至城域网BAS/SR设备;组网模式如图3所示。
2.3.2 MPLS-VPN承载专线业务优缺点分析
MPLS VPN承载政企客户优点:接入方式多样, 可以采用PON, LAN、光纤直连和MSAP等多种专线接入;扩展性高, 新增节点仅需将该节点接入MPLS VPN, 即可与专网其他节点互通;建设成本相对较低, 仅需建设本地接入线路, 基本不增加骨干网资源占用;可提供差异化Qo S保障, 保障客户不同应用的指标要求。
MPLS VPN承载政企客户缺点:端到端网管的实现较为复杂;安全性与物理隔离的网络相比较弱。
2.4 IPRAN承载专线业务方案
I PR A N中的I P指的是互联协议, R A N指的是R a d io Access Network。相对于传统的SDH传送网, IPRAN的意思是:“无线接入网IP化”, 其最早主要应用于承载无线基站业务, 目前随着技术的发展, 其多业务承载能力正逐步应用至各种传送网场景, 是基于IP的新一代传送网技术。
2.4.1 IPRAN网络特点及优势
(1) 伪线技术 (Pseudo wire, PW) 。伪线技术简单地说就是VC (虚电路) +隧道的组合, 隧道可以是基于LSP、L2TPV3或者TE技术, PW中虚连接的建立是需要通过信令协议LDP或者RSVP来传递VC信息, 将VC信息和隧道管理形成一个PW。伪线技术能将所有用户报文原封不动地转发到对端站点去, 因此如果在接入端口接入为DDN业务或者MSTP业务, 则能够在IPRAN网络中将封装好的报文透明传输至对端接口, 并在对端的DDN设备或MSTP进行解封装。
(2) 端到端的IP化。端到端的IP化使得网络复杂度大大降低, 简化了网络配置。另外, 端到端IP减少了网络中协议转换的次数, 简化了封装解封装的过程, 使得链路更加透明可控, 实现了网元到网元的对等协作、全程全网的OAM管理以及层次化的端到端Qo S。IP化的网络还有助于提高网络的智能化, 便于部署各类策略, 发展智能管道。
(3) IPRAN网络高度冗余性。IRPAN网络为环形结构, A-B设备之间启用冗余PW, 同时配置BFD路由协议进行故障探测, 可以快速检测到网络单通、链路中断、设备故障等各种突发情况, 多点或者单点故障时冗余切换时间在100 ms内完成, 保障了业务的高度可靠性。
(4) IPRAN网络质量检测便捷性。IPRAN设备可以通过RFC2544协议通过设备自发包进行网络性能和质量检测, 同时也可以IP FPM模拟用户业务进行网络质量检测, 实现故障的快速处理。因此业务通过IRPAN承载之后, 故障处理时间大为缩小。
2.4.2 IP RAN业务实现方案
IP RAN通过新建IP RAN ER设备、IP RAN B类汇聚路由器和IP RAN A类接入路由器, 形成由核心层、汇聚层和接入层组成的3层网络架构。其专线业务承载模型如图4所示。
二层专线业务通过分段PW实现端到端承载, 并通过主备PW (双路由) 方式实现业务的快速保护倒换。
IGP路由设计:U-POP之间配置静态路由, POP以上共用基站回传的路由进程, 即POP-B接入环采用OSPF进程, B以上采用ISIS进程。
业务开放方式:共配置5段主备PW。U-POP之间配置主备静态PW, POP-B之间配置主备动态PW, B-ER-B之间配置主备动态PW;在跨PW的节点 (POP, B) 实现PW粘贴。
链路保护机制:采用主备PW (双路由) 方式, 并配置端到端BFD for PW (3×10 ms) 实现业务保护倒换。
3 专线业务承载技术比较
综上所述, 目前主流的政企专线主要承载技术可分为OTN, IPRAN, MSTP/SDH, MPLS VPN。其中OTN技术适合承载高带宽专线业务, IPRAN, MSTP技术适合承载中低速专线业务。其中MSTP的带宽成本较高, OTN, IRPRAN带宽成本中等, MPLS VPN带宽成本较低。
如表1所示, OTN, MSTP/SDH技术上实现物理层的安全隔离, 安全等级最高, IPRAN通过专用设备进行承载并进行二层隔离, 安全性次之, MPLS-VPN与互联网共用物理设备, 安全性在四者中最低。
4 结语
随着厂家和运营商在IPRAN, OTN上的投入逐渐加大, IPRAN的设备端口逐渐丰富, 其支持的协议也在逐步增多。IPRAN, OTN网络正逐渐成为运营商下一代接入网的核心网络, 通过IPRAN网络承载中低速专线业务、OTN承载高速率专线业务成为未来的主流专线承载方式, 同时如何在IPR AN网络上进行业务的自动开通, 使其网络变得更加便捷、更加丰富, 如何丰富OTN的接入端口, 使其能承载百兆以太网的速率将是下一步研究的课题。
参考文献
[1]谢磊.基于MPLS技术的IPRAN研究与实现[D].北京:北京邮电大学, 2011.
[2]徐瀚, 陈炜, 梅仪国, 等.IPRAN技术在本地传送网中的应用分析[J].中国通信网, 2013 (2) :91-92.
[3]郭正跃.OTN技术发展及其在城域网应用探讨[J].电子技术, 2013 (11) :65-68.
[4]郑洁.浅析IPRAN技术特点及承载方式[J].数字通信世界, 2015 (10) :260-261.
物流专线宣传口号 篇4
2、疾如鹰,联鲁京。
3、京品物流,鹰联有速。
4、京济专线,鹰联最佳。
5、鹰联物流千百里,必达京济零距离。
6、鹰击长空,联通华夏。
7、鹰击万里,联动我心。
8、鹰飞联万家,物流满天下。
9、京济速稳准,就在鹰联物流。
10、让飞速不是神话——鹰联。
11、世界都在我们脚下——鹰联物流。
12、品质源自实力,专业成就完美。
13、物流选鹰联,京济一线牵。
14、鹰联物流,责任送递寄托。
15、物流相约鹰联,情牵北京济南。
16、鹰载重托,诚联生活。
17、万水千山总是情,鹰联物流伴您行。
18、京济往返,鹰联一线。
19、鹰联物流,京济速度,服务优越,态度诚和。
20、英雄所见略同,选择鹰联物流。
21、物流南北,鹰联传情。
22、物流选鹰联,京济零距离。
23、有货不愁,鹰联物流。
24、东西南北中,万马向前冲。
25、鹰翔四海,联通八方。
26、鹰联,就是物流。
27、物流万千,“鹰联”领先。
28、物流选鹰联,京济路相连。
29、鹰联物流,通达天下。
30、雄鹰展翅,速联天下。
31、鹰联速达,万通天下。
32、鹰速传达,联通你我。
33、飞鹰速度,物联全国(球)。
34、鹰速,京济双联。
35、鹰风尔来,联箱希运。
36、“鹰”领世界,程“联”万里。
37、鹰翔万里,联动济京。
38、京济线,鹰之速——鹰联物流。
39、鹰飞天下,联动万家。
40、鹰联京济线,商贸一线牵。
41、网络生活,鹰联相伴。
42、鹰联四海,达寄天下。
43、快如闪鹰,物联天下。
44、鹰翔蓝天,联通京鲁。
45、兼程并进,鹰联速行。
46、诚信天下,情系万家。
47、鹰联物流,让您信赖每一天。
48、让飞速不是梦想——鹰联。
49、鹰联物流,您身边的物流。
50、鹰联之家,服务到家,安心你我他。
51、快如闪鹰,物联京鲁。
52、鹰击长空凭天阔,联通南北任我行。
53、鹰扬天下,联动财富。
54、物流鹰,联济京——鹰联精品物流。
55、鹰联物流,赢通天下。
56、鹰运而生,联动财富。
57、严正执法,公平税负;科学发展,服务民生。
58、鹰拓华夏,联达神州。
59、真诚品质,以物传情。
60、质优价廉,宝贝最爱。
61、南北通达,不负重托。
62、鹰联天下,汇通天下。
网络专线 篇5
某电厂在进行网络工程改造时, 将总部与分部之间原来用于办公网络传输的数据链路改为传输生产数据 (图1) , 要求此链路与原办公网络完全物理隔离。系统集成商在完工报告中描述:在此链路中只保留了一台二层交换机和必要的光纤传输设备, 并将此交换机上的端口进行了物理关闭, 只保留一条生产用网络所需端口, 此时, 甲方要求检测单位对这条生产用网络专线进行安全验证检测, 以验证其是否与无关网络实现了物理隔离。
2 解决问题的思路
检测单位接收任务后, 通过仔细研究, 按照国家标准GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》中的要求, 从独立第三方入手分析, 解决问题的思路为:要验证此数据链路是否与无关网络实现物理隔离, 就必须测试此链路上是否有未知网络设备或无关数据的介入, 以证明这一专线的安全性, 从而满足用户对专线安全性的验证要求。
进一步分析, 我们认为:
1) 此链路跨度范围大 (两端点间直线距离约500米) , 而且基本为隐蔽工程, 单纯的物理排查无法保证没有遗漏, 而且改造后的网络拓扑结构图由集成商提供, 依据此拓扑图排查, 无法保证检测机构的第三方公正性;
2) 链路从原网络脱离时, 涉及到多台网络设备的剔除, 剔除的网络设备要重新进行网络规划, 并保证与原网络的兼容, 难度较大。这样, 集成商就有可能为了简化操作、节省成本, 并不将链路完全物理分割, 而仅仅是通过子网划分、VLAN等技术实现网路的逻辑隔离。
基于以上所述, 我们最终将检测点落在验证此链路中是否有其他网络设备或无关数据的介入。因为我们知道, 所有能对网络构成潜在威胁的主机设备只要在网络上联机, 就会留下痕迹, 而我们要验证的是网段上没有任何未知的主机或无关数据, 这就省去了通常在网络分析中较为复杂的定位问题, 提高了检测效率。通过对此未知网段的综合分析我们能够验证其间是否接有其他网络设备, 进而证明专网是否能实现数据的物理安全。
3 验证过程
采用综合分析的方法, 通过多种测试方法综合判定, 具体如下:
3.1 网络拓扑检测
网络拓扑检测主要是从物理的角度发现网段上存在的主机设备, 我们采用网络测试仪、MAC地址扫描器、ping命令三种方法综合分析, 从而最终确定此网段上是否存在未知设备。
3.1.1 使用工具
安捷伦网络测试仪;
MAC地址扫描器;
路由器ios中的Ping测试命令。
3.1.2 原理
网络测试仪:安捷伦FS350网络测试仪可以自动发现所连接网段的所有主机设备, 包括路由器、服务器、主机、远程站点等。我们将测试仪接入此专线, 并对找到的主机设备进行分析, 从而发现未知主机。
MAC地址扫描器:该软件用于批量获取网内主机网卡物理地址, 并对找到的MAC地址进行分析, 从而发现未知网卡。
Ping测试命令:我们在总部路由器ios中使用测试命令ping 0.0.0.0, 因为路由器具有数据转发功能, 当ping全网段ip地址0.0.0.0时, 路由器自动搜寻网段内所有ip地址, 有回应的ip地址将自动反馈在命令窗口中, 从而发现未知ip地址。
通过以上三种方法, 就能验证在这一专线上是否有接有未知的设备, 从而验证专线的安全性。
3.1.3 网络测试仪检测过程
1) 采用HUB将测试设备接入此专线, 因HUB对数据的转发是没有选择性的, 对所有端口进行复制转发, 这样就能保证数据的完整性 (接入方式见图1) 。
2) 专线两端路由器端口IP地址分别为12.1.1.1/24和12.1.1.2/24, 我们将网络测试仪网络地址设定为12.1.1.3/24。
3) 先开启网络测试仪, 再将专线两端设备开启, 这样就能保证在网络设备收敛时将测试仪包括在内, 测试过程自动完成。
4) 网络测试仪在本网段找到的主机如下:
路由器:12.1.1.1;路由器:12.1.1.2;安捷伦网络测试仪:12.1.1.5
5) 检测结果:未发现其他主机设备。
3.1.4 MAC地址扫描器检测过程
1) 采用HUB将设备接入此专线, 因HUB对数据的转发是没有选择性的, 对所有端口进行复制转发, 这样就能保证数据的完整性 (接入方式见图1) 。
2) 将地址扫描器配置完毕, 接入测试网段, 点击开始, 测试自动完成。
3) MAC地址扫描器找到的地址如下
路由器:12.1.1.1;路由器:12.1.1.2;扫描器测试电脑:12.1.1.6
4) 此时若在集线器位置人为加入一台网络设备:路由器 (12.1.1.7) , 扫描器找到的结果中将增加此路由器信息。
5) 检测结果:未发现其他新MAC地址。
3.1.5 Ping测试检测过程
1) 取出集线器等测试用的网络设备。
2) 登陆分部出口路由器 (思科) ios系统, 键入命令debug ip packet (产生有关数据包的信息, 这种数据包未经路由器进行快速转换) 、debug ip icmp (打开icmp调试开关, 用来显示接收或发送的icmp数据包的内容, 包括:类型、源地址、目的地址。)
3) 输入命令ping 0.0.0.0, 显示结果只包含两台路由器 (12.1.1.1、12.1.1.2) 信息。
4) 检测结果:可以看到, 除本路由信息外, 测试只找到一台主机设备, 经验证为总部路由器。
3.1.6 结论
上述三种检测结果均验证在单纯的此网段并未发现其他网络主机设备连接。
3.2 网络协议分析
3.2.1 使用工具
网络协议分析仪
3.2.2 原理
网络技术是不断变化的, 如果仅用拓扑检测法进行分析, 并不能保证覆盖所有的网络类型, 所以我们接着采用数据分析的方法验证此网段中是否有其他未知数据的接入。
我们知道, 所有网络上打开的设备即使不传输工作数据也要定期产生数据流量, 以用来维护本地信息或收敛网络, 而专线所传输的数据类型通常较为单一, 本例中专线所传输的数据均为UDP协议, 目标和源地址也相对固定。基于这一原理, 我们抓取专线上一定时长的数据进行分析, 如果未发现任何可疑数据, 则能验证此专线的安全性。出于对用户信息安全性的考虑, 我们对本文引用的抓包数据在不影响结论的前提下进行了修改。
3.2.3 检测过程
1) 采用网络分接器代替集线器, 将网络分析仪接入此专线, 因网络分接器对网络传输性能无任何影响, 不干扰数据流, 不占用IP, 这样就能保证数据的完整性。
2) 在系统正常工作状态下, 启动协议分析仪对数据包进行抓取, 持续一定时长后保存并分析。
3) 端点分析
端点测试结果如图2。
从图2可以看出, 本网段上所有数据流量的产生只涉及四个地址, 分别是192.168.0.90、192.168.0.92、192.168.0.100、192.168.0.255, 结合已有数据可知此四点分别对应总部路由器、分部路由器、网络协议分析仪、广播地址, 90号主机向92号发送流量35.014MB (共56269个数据包) , 92号向90号发送流量1.351MB (共11905个数据包) , 协议分析仪发送了一个广播包, 大小为247B, 所有数据均正常。如此时人为加入一个路由器 (cisco:6A:2F:30) , 即使该路由器不发送数据, 也会应产生其他数据包而被发现.经进一步协议分析, 测试时间内, 新加入的路由器共产生8个数据包, 7个为环回协议数据, 1个为cisco私有发现协议CDP。
4) 协议分析
正常测试共发现协议两种, 分别是UDP和NBDGM, UDP协议均产生在90号和92号主机之间, 用于传输正常数据;NBDGM协议数据包由协议分析仪产生, NBDGM是Windows的网络数据报输入输出协议, 通过UDP的138端口发送数据包, 用于网络浏览和登录, 是测试用笔记本产生的无用数据。
5) IP矩阵分析
IP矩阵检测结果显示该网段结构简单, 流向单一, 数据均在90号、92号之间传送。
6) 数据包分析
我们选取一个有代表性的数据包分析如下 (见图3) :
该数据包源地址与目的地址正确, 数据结构正常。
3.2.4 检测结果
综合各项数据分析可以看出, 此专线上的数据均为正常的工作数据, 没有可疑数据流量。
3.3 网络入侵检测系统 (IDS) 测试
3.3.1 使用工具
网络入侵检测系统 (IDS)
3.3.2 原理
网络入侵检测系统 (IDS) 专业上讲就是依照一定的安全策略, 对网络、系统的运行状况进行监视, 尽可能发现各种攻击企图、攻击行为或者攻击结果, 以保证网络系统资源的机密性、完整性和可用性。如果网络中接入了不安全的网络设备, 必定会对系统安全造成影响, 这主要依靠网络攻击产生, IDS长时间在线监测网络运行, 如果是专线传输, 则不会有攻击行为产生。
3.3.3 检测过程
因为要验证此专线的安全性, 所以IDS替换网络分析仪, 部署在这一专线上启动入侵监测系统, 模拟生产数据连续运行10天, IDS未发现有网络异常行为数据。
4 综述
结合以上三种检测结果, 我们可以确定, 某电厂所用生产网络专线是安全的, 从物理上实现了与无关网络的隔离。
本文所述的此类型网络专线被广泛应用在银行、证券、政府等信息网络系统的建设中, 随着用户对网络安全要求的日益提高, 对此类型专线的检测也将被越来越重视, 这一检测市场也将被逐渐开发出来。
参考文献
[1]Mark A.Dye.思科网络技术学院教程:网络安全[M].北京:人民邮电出版社.2008.
[2]彭祖林.网络系统集成工程测试与鉴定验收[M].北京:国防工业出版社, 2004.
网络专线 篇6
关键词:MSAP,广电网络,接入网,大客户专线
一、引言
广电网络是我国有线电视的基础网络, 承担着有线电视的安全播出的政治任务。近年来, 随着IPTV和OTT TV[1]的快速发展, 广电网络受到了前所未有的冲击, 有线电视用户的流失让广电网络运营商意识到市场竞争的激烈。为了应对激烈的竞争市场, 广电网络运营商在保持有线电视用户的同时, 大力发展大客户专线业务, 从而能够在激烈的市场竞争中发展。本文基于某省广电网络的大客户接入网, 利用多业务接入平台MSAP[2]技术, 通过对现有大客户接入网专线的改造, 满足用户的需求, 为广电网络发展大客户接入网专线提供了技术保障。
二、MSAP技术
MSAP技术[3]通过融合SDH、PDH、以太网技术的多业务接入设备, 能够同时实现TDM业务和以太业务的接入、汇聚和传输, 并提供统一的网络管理。MSAP通常采用点对多点拓扑结构来提供多业务的接入解决方案, 包括对用户多种业务类型的接入以及不同网络结构的接入。MSAP系统包括MSAP局端设备和多种远端设备。图1为MSAP系统的组网网模模型型。。
MSAP局端设备在线路侧可提供E1、STM-1、STM-4 (可选) 、FE、GE (可选) 等多种上联接口, 提供SDH、PDH、以太网等多种接入方式。可通过光纤接入不同类型的远端设备, 包括PDH光端机、光纤收发器、SDH/MSTP远端设备、综合业务设备等。
PDH光端机指完成单路或多路E1、V.35和以太网电接口信号复用到E2/E3 PDH光接口的设备;光纤收发器完成快速以太网 (FE) 和千兆以太网 (GE) 业务的光电介质转换;SDH/MSTP远端设备指完成单路或多路E1、V.35、以太网电接口信号复用到STM-1光接口的设备;综合业务设备是将单路或多路E1、V.35和以太网电接口信号采用私有协议而非PDH方式复用到一路光纤上进行传输的设备。
三、大客户接入网专线改造
3.1网络现状
某专网包括一类网和二类网, 两个网各自独立运行, 均为MSTP方式, 一类网带宽10M, 二类网带宽18M。某专网中心端在省汇聚机房, 两个网共用一个机框, 地市端从瑞斯康达MSAP-6上出两个EOS光口, 分别通过一根光纤接入当地某的光纤收发器。某专网省市接入端设备拓扑结构如下:
3.2改造需求
1) 要求用户端的两台收发器整合为一台设备, 便于管理, 同时更换为双电源设备, 提高供电的稳定性;
2) 支持1+1保护, 以满足双路由接入的需要。
3.3改造方案描述
某专网中心端的OCP光线路保护设备于2014年初上线, 具备双电源且有冗余板卡, 本次改造无需更换, 但中心端MSAP机框需要更换, 原因是该机框于2012年初上线, 两个网均由该机框进行EOS封装, 该机框的单槽处理能力有限已经无法满足带宽的平滑升级, 需更换为单槽背板带宽更大的机框。
地市端MSAP机框需配置STM1支路盘, 该盘至少支持2个光口, 可接两个光方向, 并支持1+1保护, 以满足未来双路由接入的需要, 用户端配置一台可上标准机柜的1U台式EOS光端机, 双电源配置, 至少出4路EOS, 满足某2个业务的接入, 并具备冗余接口。改造后的某专网拓扑结构如图3所示。
四、总结
本文基于广电网络, 利用MSAP技术, 通过对现有网络的改造, 满足用户的需求, 实践证明, 改造后的网络安全, 稳定, 得到了用户的好评, 从而为广电网络大力发展大客户专线提供了技术保障。
参考文献
[1]蒋力, 邓竹祥.IPTV与OTT TV业务的发展现状及趋势.中国电信股份有限公司上海研究院中国电信IPTV实验室2013, 29 (4)
[2]翟玉湘, 苑海峰, 王兰.利用MSAP技术解决大客户网络升级改造.中国联合网络通信有限公司天津市分公司2015, (7)
网络专线 篇7
笔者在合肥市一家人民医院工作(以下简称医院),医院分为门诊部和住院部两个部分,顾名思义的承担给病人诊疗和提供住院的不同职能。这两个部门分别处与合肥市的不同地段,相隔10公里左右。在两个部门还都在一起的时候,单位内部的局域网结构非常简单,只需要通过交换机将不同办公室连接起来,再通过租用的一条电信ADSL线路实现了上网功能。
如今因实际需要,两个部门距离较远,单位的局域网必须重新建设以满足异地之间数据传送的需要。同时,由于社会医疗保险的全面推进,医院必须要连接到市医疗保险部门,以将每天的病人数据实时和医保部门的数据库进行交换。
2 实际需求分析
总的看来,医院在新的住院部建成和医保数据实时交换的情况下,总体网络需求如下:
1)必须满足住院部和门诊部的实时数据传递。
2)必须尽最大可能保障两地的通信不能中断,否则病人将不能及时办理住院和出院手续,同时也可能会对病人的医疗费用造成错误,从而给医院带来损失。
3)必须满足两个部门同时能够和医保数据库进行数据交换。
4)医保部门为了管理方便,对合肥市的每家医院只开放了一条vpn通道。
5)单位内部的计算机,在得到许可的情况下仍然可以访问互联网。
6)此次网络建设尽量考虑到医院内部的网络安全问题,同时由于经费问题,希望能够尽量节约投资。
3 网络设计规划
为了满足以上诸多需求,院信息科根据实际情况,设计了如下方案,较好的完成了任务:
1)满足住院部和门诊部异地通信和上网不难,但如果需要同时保证的安全性和可靠性并且少花钱,最好的方法就是同时采用vpn和ddn数字专线。Vpn是建立在互联网上的加密通道,优点是成本低廉并且安全性也能得到一定程度的保证;缺点是由于互联网的特点而不够稳定,在不同时间段网速情况不一致。而ddn专线的特点则正好相反,价格稍贵,但胜在可靠性好,并且由于是绝对的专用线路,24小时网速都十分稳定。两者同时使用,即可少花钱多办事:将ddn线路设置为住院部和门诊部互联的主用电路,将vpn设为备用电路(实现方法很简单,只需将vpn的静态路由适当加大管理距离即可),如此一旦ddn电路中断,备用的vpn路由即刻生效,保证两地互联不中断。
需要注意的是,vpn电路需要的互联网线路和ddn专线最好不要租用同一家电信服务商,因为同一家电信公司可能会将互联网和ddn承载在一条光缆甚至是同一对光纤上(业内称之为同一条物理路由),这样一旦此光缆或是光纤损坏(如今城市大建设,挖断光缆很常见),vpn和ddn同时挂掉,就起不到备份的作用了。考虑到电信的互联网速度较好,此次医院租用了电信的互联网和网通(现在和并了,都叫联通,并且费用相对电信的低一些)的ddn数字电路。
2)为了能访问医保数据库,可以通过医保部门给出的vpn帐号进行拨号连接,但由于帐号只有一个,因此两个异地的网络必须共享这个连接。实现方法其实也不复杂:首先在门诊部的局域网内安放一台宽带路由器(不用太高级,几百元的就可以了),给他的WAN接口分配一个局域网的IP地址(此IP地址必须能正常访问互联网),设置好vpn的拨号帐号。拨号成功后,在门诊部的路由器配置静态路由,将医保部门的私网地址段的路由指向刚才那台宽带路由器的WAN接口IP地址即可。同时为了使远端的住院部也能访问,则需要在住院部的路由器上将医保部门的私网地址段的路由指向ddn专线和vpn的对端地址。如此当住院部需要访问医保信息的时候,数据即可按照数据源主机-住院部路由器-门诊部路由器-宽带路由器-医保部门内部网络的路由方向顺利连通。在局域网内使用宽带路由器的好处有二:第一是便宜,第二是因为没有公网IP地址可以避免遭受到网络上的一些攻击。
3)由于以前整个单位都是一个大的二层局域网,安全性较差(像财务等部门既需要访问医保数据库,同时也不想被局域网内的其他主机访问),也容易有广播风暴等问题,同时如果其中某些主机存在问题也不好排查。因此此次新建网络,采用了支持vlan的二层交换机和在路由器上划分子接口的方式来解决这部分问题:每个部门的交换机分别上联到根交换机,然后将根交换机的这些端口划分在不同的vlan中,最后通过根交换机的trunk接口上连到路由器的以太网接口,然后根据先前划分的vlan在此接口上配置子接口。如此一来,各部门之间的计算机想要互通,则必须通过路由器,原先的不可控状态便被解决了。至于像财务部这样需要重点保护的部门,就可以通过在接口上配置访问列表来限制未被许可得主机访问了。同时根交换机这个设备级别不要太低,这样可以实施观察每个端口的流量和收发包情况。以后如果哪个部门的计算机在进行P2P下载占用了整个医院的出口带宽,登陆上交换机逐一查看端口便知,以后医院还准备通过使用网管软件的方式来进一步加强内部网络的管理。
4 结束语
经过了新网络的建设和调试,整个医院的网络状况焕然一新,以前经常因为网络问题造成病人投诉的情况大大减少,网管人员们查找网络问题也更加方便。总共投入的设备和费用如下:
两台路由器、几台交换机、一台便宜的宽带路由器和每月2000元的网络租金(电信的宽带和网通的2m带宽ddn各1000元)。
“中华专线”奠基开工 篇8
上海卷烟厂“中华专线”技改项目开工建设是上海烟草集团贯彻落实市委、市政府八个方面具体政策措施和国家局“严格规范、富有效率、充满活力”总体要求的重要举措。该项目总投资近50亿元, 共占地91.79亩, 总建筑面积约12.03万平方米, 是突出“中式卷烟”特色的“中华”牌卷烟专用生产线。项目竣工投产后, 预计年生产能力将达到500亿支, 实现税利将突破500亿元, 并新增500多个大专以上学历的就业岗位。
上海市烟草专卖局、上海烟草 (集团) 公司党组书记、局长董浩林在致欢迎辞中表示:“中华专线”技改项目竣工投产后, 将运用最先进的技术和装备, 通过现代化的管理手段, 在“减害降焦”上实现新的突破, 从而进一步提升“中华”卷烟的内在品质和品牌形象。同时, “中华专线”在节能降耗减排、清洁安全生产等方面将达到国际领先水平。
杨浦区区委书记陈安杰在开工仪式上说, 上海烟草 (集团) 公司在自身发展的同时, 积极带动和融入区域相关产业发展, 为上海特别是为杨浦的经济社会发展和经济结构调整作出了积极的贡献。
在项目奠基开工仪式上, 李克明副局长发表了热情洋溢的讲话。他指出, “中华”卷烟品牌是中式卷烟极具经典意义的代表品牌。历经半个多世纪以来所积淀形成的品牌特色风格和品质文化, 使中华品牌享有广泛的市场美誉度。他希望上海烟草 (集团) 公司以此次技术改造为契机, 围绕中华品牌, 着力自主创新, 坚持产学研相结合, 大力开展特色工艺技术研究, 努力形成具有更多自主知识产权的中华品牌核心技术。
艾宝俊副市长对上海卷烟厂“中华专线”技改项目正式开工表示热烈祝贺。他说, “中华专线”技改项目开工建设, 必将对推进中华牌卷烟生产扩能增效, 提升中华牌的品牌价值和企业核心竞争力具有重要的推动作用。上海市将一如既往, 努力营造良好的投资环境, 支持中央企业在本市的发展。他希望“中华专线”争取早日投产, 为推进经济社会持续平稳发展作出新的更大贡献。
在礼花、烟火、鞭炮、锣鼓、军乐的烘托下, 俞正声、姜成康、冯国勤、丁薛祥、胡炜、李克明、艾宝俊、吴汉民、李强、陈安杰、王坚、宗明、董浩林等上海市领导、国家烟草专卖局领导、杨浦区领导为项目奠基。
一起专线客户事故分析 篇9
2013年6月27日, 桑庄变电站10 k V纸业线2开关UV相速断保护动作, 重合不成功。厂方请求供电公司派人协助查清事故原因, 尽快恢复供电。在现场, 该厂电工反映, 厂内高压线路长500多米, 配电室共3处, 跳闸时2号、3号配电室均无异常, 1号配电室的一台400 k VA配电变压器 (以下简称配变) U相熔丝熔断, 并且该配变近两年来U相熔丝已熔断多次。
2 事故调查分析
首先对该配变进行绝缘电阻测量和绕组直流电阻的测定。现场测量绝缘电阻值:高压对低压及地、低压对高压及地、高压对低压分别为1 000, 800, 1 000 MΩ;测量直流电阻发现高压三相阻值不平衡, UV相及UW相阻值相近, VW相的阻值为UV相及UW相阻值一半以上。从熔丝熔断现象及测量的绝缘电阻和直流电阻阻值来判断, 该变压器高压绕组存在故障, 初步认为U相高压绕组有短路断线或开焊现象。
分析认为U相熔丝熔断为U相过流引起的, 配变熔丝多次熔断由内部绕组故障造成。建议将配变退出运行并检查。经吊心检查发现:U相高压绕组首引线和套管连接处开焊, 且靠近首出头线有1/3绕组匝间绝缘因过热老化变焦糊, 形成了严重的匝间短路。
但是调度侧反映故障信息, UV相速断保护动作, 判定该厂其他处存在故障。然后又对该配变的进线电缆、开关柜进行试验, 由于该进线电缆敷设较早, 电缆与厂内主线路末端连接的隔离开关锈蚀严重无法拉开, 只有对该电缆和厂内主线路同时进行绝缘电阻测量, 发现U, V两相对地绝缘电阻为0。把锈蚀隔离开关解除, 对该电缆进行试验, 试验结果无异常。判断故障在主线路。
该厂区内主线路500多米, 全部为架空绝缘线路。同时厂内由于原供电方式, 保留分段断路器一台。分开分段断路器后, 从厂外进线电缆至分段断路器进行绝缘电阻测量, 发现绝缘电阻值均合格。后又对分段断路器以下线路进行绝缘电阻测量, 发现U, V两相对地绝缘电阻仍为0, 对剩下线路继续巡查, 在厂内主线路末端钢管塔上发现U, V两相避雷器断裂, 避雷器引线搭在钢管塔上, 判断是跳闸故障的主要原因。
3 事故原因分析
该厂安全用电意识淡薄, 从2004年安装避雷器后, 从未对其进行预防性试验, 设备老化、安全性能降低是该起事故发生的主要原因。其次, 厂内电工技术水平较差, 责任心不强, 巡视不到位, 是次要原因。再次, 由于厂区用电原来由一座公用电厂配出线路, 电厂转让后, 改由供电公司变电站出线, 而原线路没有拆除, 造成故障后增加了检查难度, 同时由于老设备没有专人及时维护, 形成新的故障点, 是事故发生的又一原因。另外, 厂内电工不能做到技术达标, 无法适应电力设备更新的要求, 缺少故障的预判和处置能力。
4 采取的措施
(1) 保护配合方面。因10 k V出线的下一级为客户厂变电所, 所以必须保证动作值和时限的两级保护配合, 动作电流取1.1倍的厂变保护速断值, 动作时限较厂变速断大一个时间级差, 避免引起越级跳闸。也可将变电站侧速断保护改为时限速断保护配合。另外, 在即将对客户配电室改造方案设计中, 特别要求使用分界点断路器实现厂变的故障切除。
(2) 安装分界点断路器。对于供电公司管理的10k V配电线路, 特点是结构多样, 事故多发, 特别是架空线路往往都是多分支线路, 安全可靠性差, 遇到大风暴雨等恶劣天气或者外力破坏, 接地和短路故障频发, 严重影响了电网的安全可靠供电。随着配网改造的深入, 主干网的故障率已大幅下降, 而由客户支线引起的线路故障占全部故障的80%以上, 其中单相接地故障又占所有故障的70%以上。因此, 为了防止客户自用设备故障波及到配网主干, 需要在高压客户入口处安装接地保护开关, 即责任分界点断路器。
(3) 加强雷害的研究和预防。对于雷区的线路要加装氧化锌避雷器等防雷装置, 避雷器定期进行预防性试验和轮换, 尤其加强客户变避雷器的管理, 避免设备的管理盲区。为防止新建架空绝缘线路雷击断线, 杆塔避雷装置至少每10基杆塔加装一组接地装置, 重雷区应每隔150 m安装一组避雷器, 有条件的可采用防雷针式绝缘子。接地电阻要每年定期测试一次, 并填写好相关测试记录, 确保接地电阻值不大于4Ω。