非接入层

非接入层（精选8篇）

非接入层 篇1

0 引 言

随着高速移动数据业务的飞速发展,长期演进(LTE)系统作为3G移动通信的增强型版本成为当前通信领域研究与开发的热点。LTE系统提供下行100 Mbit/s、上行50 Mbit/s的峰值速率,呼叫建立时间<5 ms。与3G 通用移动通信系统(UMTS)相比,该系统能提供更高的数据传输速率和更低的消息时延[1]。本文从降低过程处理时延的角度就LTE系统安全性流程作了深入探讨,对鉴权和安全模式控制(SMC)过程进行了信令优化,并对改进前后的信令流程作了对比分析。

鉴权过程的目的是实现网络端和终端的双向身份认证,建立演进型分组系统(EPS)安全上下文。而SMC过程的作用是将鉴权过程中产生的EPS安全上下文投入使用,并开启终端和网络之间的非接入层(NAS)信令安全性保护。网络端在鉴权或异系统切换时为终端分配一个密钥设置标识器(eKSI),当每次建立NAS信令连接时,初始NAS消息中都包含了eKSI[2],网络根据eKSI值决定是否执行鉴权过程;如果网络对来自终端的初始NAS消息的完整性核实失败,则也要执行鉴权过程[3]。下面以初始注册过程中调用鉴权和SMC过程为例加以说明。

1 信令优化前的安全性流程

初始注册过程的信令交互过程如图1所示。终端的NAS发起附着过程时触发无线资源控制(RRC)层建立连接,附着请求消息封装在RRC连接建立完成消息中发送到网络端。由于终端初次接入网络时不存在之前保存的EPS安全上下文,所以附着请求消息中的eKSI指示为无密钥可获得[2]。此时网络端发起鉴权过程,与终端协商双方的安全密钥。接着再执行SMC过程协商双方的安全性算法,产生NAS完整性保护密钥KNASint、NAS加密密钥KNASenc和接入层(AS)的初始密钥KeNB。RRC层从NAS得到KeNB后执行AS的安全性激活过程,与网络端协商AS的安全性算法,形成RRC层的完整性保护密钥KRRCint、加密密钥KRRCenc和用户面加密密钥KUPenc。AS SMC完成之后,AS的所有消息都进行完整性保护和加密处理。然后执行RRC连接重配置过程[4],重配置完成后附着完成消息通过上行链路的信息传输消息发送给网络端。该部分交互的消息数目如表1所示。

注1:被封装的消息不作重复统计,下文其他地方类似。

2 信令优化后的安全性流程

信令优化后的初始注册过程如图2所示,该流程依然由RRC连接建立过程、附着、鉴权、NAS SMC、AS SMC和RRC连接重配置过程组成,与原流程不同的是鉴权和SMC两个过程合并为一个过程,即身份认证和安全上下文的产生与启用通过一个过程来实现。鉴权和安全模式请求消息中不仅包含用于身份认证和产生初始密钥的随机数RAND和鉴权令牌AUTN,而且包含网络端为终端分配的安全性算法,指示双方进行完整性保护和加密使用的算法。具体的安全性算法包括SNOW 3G算法和增强型加密标准(AES)算法。鉴权和安全模式完成消息中的鉴权响应参数RES,以便网络对终端进行鉴权。该过程成功完成后,终端和网络端都将开始用当前产生的EPS安全上下文对所有传输的NAS消息进行完整性保护和加密处理。信令优化后的初始注册过程交互的消息数目如表2所示。

3 信令优化前后的对比分析

每个过程的延迟时间(DLT)由消息传输时间和消息处理时间组成。表1和表2分别统计了图1和图2的上下行消息数目。式(1)和式(2)是在综合每个过程的消息处理时间和上下行消息的处理时间这两大方面得到的延时时间,一个上/下行消息对应一个上/下行消息的处理时间。因此由表1和表2得到式(1)和式(2),式(1)表示信令优化前初始注册过程的延迟时间DLTA1,式(2)表示信令优化后的初始注册过程的延迟时间DLTA2。

$\begin{array}{l}DL{\rm T}{}_1^{\text{A}}=7\times {\rm T}{}_{\text{U}\text{L}}+5\times {\rm T}{}_{\text{D}\text{L}}+{\rm T}{}_{\text{R}\text{R}\text{C}\_\text{C}\text{Ο}\text{Ν}}+{\rm T}{}_{\text{A}\text{Τ}\text{Τ}\text{A}\text{C}\text{Η}}+\\ {\rm T}{}_{\text{A}\text{U}\text{Τ}\text{Η}\_\text{S}\text{Μ}\text{C}}+{\rm T}{}_{\text{A}\text{S}\_\text{S}\text{Μ}\text{C}}+{\rm T}{}_{\text{R}\text{R}\text{C}\_\text{R}\text{E}\text{C}\text{Ο}\text{Ν}\text{F}},(1)\\ DL{\rm T}{}_2^{\text{A}}=6\times {\rm T}{}_{\text{U}\text{L}}+4\times {\rm T}{}_{\text{D}\text{L}}+{\rm T}{}_{\text{R}\text{R}\text{C}\_\text{C}\text{Ο}\text{Ν}}+{\rm T}{}_{\text{A}\text{Τ}\text{Τ}\text{A}\text{C}\text{Η}}+\\ {\rm T}{}_{\text{A}\text{U}\text{Τ}\text{Η}\_\text{S}\text{Μ}\text{C}}+{\rm T}{}_{\text{A}\text{S}\_\text{S}\text{Μ}\text{C}}+{\rm T}{}_{\text{R}\text{R}\text{C}\_\text{R}\text{E}\text{C}\text{Ο}\text{Ν}\text{F}},(2)\end{array}$

式中,TUL和TDL分别表示上行链路消息传输时间和下行链路消息传输时间,TRRC_CON、TATTACH、TAUTH_SMC、TAS_SMC和TRRC_RECONF分别表示RRC连接建立、附着、鉴权与NAS SMC、AS SMC和RRC连接重配置过程的消息处理时间。

假定系统对消息的处理时间在信令优化前后相同。由式(1)和式(2)可知,改进后的方案比原协议缩减了信令交互,缩减的信令数目为TUL+TDL,缩减率为(TUL+TDL)/DLTA1。一旦消息处理时间减少,即DLTA1减少,则缩减率将大大提升。

4 结束语

安全性在LTE系统中占有重要位置,而鉴权和SMC过程正是实现终端和网络的双向身份认证,完成双方的密钥协商,建立并激活EPS安全上下文。本文在不降低原协议安全性的前提下对安全性流程进行了一定的改进,使协议更加简洁,实现效率更高。随着处理器处理速度的不断提升,将更凸显本方案的实用性。

摘要：文章研究了长期演进(LTE)非接入层身份认证、演进型分组系统(EPS)安全上下文建立以及启用过程,提出了一种改进方案。该方案减少了系统的信令开销,降低了过程处理时延。通过对新旧方案在实现效率方面的对比,分析了两种方案的通信次数、延迟时间,说明新方案具有节约链路资源和缩短过程处理时间的优点。

关键词：鉴权,安全模式控制,演进型分组系统安全上下文,信令开销

参考文献

[1]沈嘉,索士强,全海洋.3GPP长期演进(LTE)技术原理与系统设计[M].北京:人民邮电出版社,2008.27-28.

[2]3GPP TS 24.301 V8.3.0-2009,3GPP Technical Spec-ification Group Core Network and Terminals;Non-Ac-cess-Stratum(NAS)protocol for Evolved Packet Sys-tem(EPS)(Release 8)[S].

[3]3GPP TS 33.401 V8.5.0-2009,3GPP System Archi-tecture Evolution;Security architecture[S].

[4]3GPP TS 36.331 V8.7.0-2009,3GPP Technical Spec-ification Group Radio Access Network;Evolved Uni-versal Terrestrial Radio Access(E-UTRA)Radio Re-source Control(RRC);Protocol specification[S].

非接入层 篇2

宽带接入网被认为是信息高速公路的最后一公里，必将成为未来国家信息基础设施发展的重点，目前有几种宽带接入方式，如光纤接入、xDSL、宽带固定无线接入网等。与其它宽带接入方式相比，宽带固定无线接入网有许多优点，如建网快、低成本、易维修和可克服某些地理环境的限制等，已成为一种非常有前途的接入方式。

宽带固定无线接入网是指节点固定的无线通信系统，主要用来在用户终端和核心网之间传送数据[1]。宽带固定无线接入网的拓扑结构如图1所示。宽带固定无线接入网是一种点到多点的结构，主要包括基站(BS)、用户站(SS)和网管系统三大部分，特殊情况下在基站和用户站之间可以通过接力站(RS)进行中继。与用户站相连的可以是单个的用户终端(TE)，也可以是一个用户驻地网(CPN)[2]。

宽带固定无线接入网数据传输方向是双向的，上行链路是指数据传输方向从用户站到基站，速率为5.12 Mbit/s,下行链路是指数据传输方向从基站到用户站,速率为8.86 Mbit/s。宽带固定无线接入网采用的双工方式是频分复用(FDD)。下行链路基站以广播方式发送数据，各用户站采用时分复用(TDM)方式共享下行链路资源。上行链路用户站以突发方式数据，各用户站采用时分多址(TDMA)方式共享上行链路资源。本文介绍的宽带固定无线接入网工作在3.5 GHz频段上，提供电路性业务和数据性业务的接入。

宽带固定无线接入网分为物理层和MAC层，协议模型如图2所示。物理层为基站MAC和用户站MAC之间提供透明的比特流传输[3]。本文以下部分将研究MAC层功能，重点是设计实现MAC层功能的技术方案，最后用Altera公司的FPGA芯片实现。

二、MAC层

宽带固定无线接入网MAC层由2个子层组成，即特定业务汇聚子层和公共部分子层。特定业务汇聚子层位于公共部分子层之上，并利用公共部分子层提供的服务。特定业务汇聚子层接收来自于高层的业务数据，并将这些数据封装成业务包，以便接收方特定业务汇聚子层能够将这些业务包恢复成高层信息。公共部分子层是MAC层的核心部分，包括成帧、带宽分配、安全性、链路的建立和维护等。成帧是将特定业务汇聚子层的业务包封装构成帧然后传递给物理层;带宽分配是如何将宽带固定无线接入网的带宽资源分配给不同用户站的不同业务;安全性是防止非法用户站的侵入;链路建立和维护是在用户站与基站之间建立通信链路，并维护这条链路。

MAC层设计目的就是设计出实现上述各项功能的技术方案，分为特定业务汇聚子层设计和公共部分子层设计。

三、特定业务汇聚子层设计

特定业务汇聚子层设计的关键是业务包的设计，不同的业务数据其封装的业务包格式是不同的。宽带固定无线接入网提供数据性业务和电路性业务的接入，本文根据其业务特点设计出数据性业务包和电路性业务包，并将特定业务汇聚子层分为2种，数据性业务汇聚子层和电路性业务汇聚子层，分别用于实现这两种业务的封装过程。

1.数据性业务包

宽带固定无线接入网接收来自于高层的数据性业务数据是基于IEEE802.3帧格式。IEEE802.3帧自身不能进行帧定界，需要底层给出帧定界符。数据性业务包主要功能就是对IEEE802.3帧进行帧定界。数据性业务包由3字节的包头和净荷组成。包头是“0x0FFFF0”，功能就是使接收端数据性业务汇聚子层能够从接收到数据流中对IEEE802.3帧进行帧定界。净荷就是一个是加扰码的IEEE802.3帧。为了防止IEEE802.3帧数据与包头相同的，必须对IEEE802.3帧加扰码。加扰码的原则是当连续3个半字节均为“0xF”时，加一个字节的“0x00”。数据性业务包封装和加扰码的原理如图3所示。

2.电路性业务包

宽带固定无线接入网接收的高层电路性业务数据是基于E1帧，其帧结构符合ITU-T G.704。电路性业务汇聚子层将接收的E1帧数据封装成电路性业务包，在接收端电路性业务汇聚子层将接收到的电路性业务包恢复成E1帧。电路性业务包长度是18字节，包括2个字节的头和16个字节的净荷。包头由一个字节的用户站标志和一个字节的时隙标志组成。用户站标志是宽带固定无线接入网用来区分不同的用户站，时隙标志是用来区分同一用户站不同的时隙。净荷是由时隙标志对应的那个时隙的连续16帧的数据组成。电路性业务包结构如图4所示。CPEID是用户站标志，TSID是时隙标志，F1到F16是时隙中的数据。

四、公共部分子层设计

公共部分子层设计是MAC层设计的核心部分。公共部分子层关键技术是带宽分配方案、帧结构和用户站注册过程。带宽分配方案设计的目标既要满足不同业务对QoS的要求，又要有比较高的带宽利用率。为此，本文提出固定按需混合分配方案的带宽分配方案。帧结构直接决定着宽带固定无线接入网的一些重要性能，如效率、延时、同步性能等。帧结构的设计即要使这些性能满足设计要求，又要适应于带宽分配方案。本文提出了适合宽带固定无线接入网的帧结构。本文中设计的用户站注册过程，用于实现安全性和链路建立功能。以下分别讨论这些设计方案。

1.固定按需混合分配方案

宽带固定无线接入网对数据性业务和电路性业务提供接入功能。由于这两者业务对QoS的要求是不同的，数据性业务是速率可变的、无连接的和非等时求的，电路性业务是速率恒定的、面向连接的和等时的。数据性业务的传输不需要建立连接，传输采用“尽力而为”的方式，而电路性业务的传输首先要建立连接，对于已建立连接的电路性业务要保证其传输带宽。设计的带宽分配方案要满足这两种业务对QoS不同的要求。

目前带宽分配方案主要有3种，即固定分配方案、随机访问方案和按需分配方案[4]。固定分配方案就是为每个连接和每次通信固定分配确定的容量;随机访问方案允许终端随机发送信息，如果不同的终端发送的信息在时间上重叠，碰撞的信息按一定的规则延迟一段时间后重新发送，直到成功;按需分配方案是根据终端提出的带宽请求，及时地对无线信道带宽做出分配。固定分配方案最适合恒定比特率业务，

随机访问方案实现最简单，但带宽利用率比较低。按需分配方案对可变比特率业务有很好的适应性，可以达到比较高的信道利用率。从以上分析可以看出，以上三种带宽分配方案均不能很好地满足要求。根据这两种业务对QoS要求，我们设计固定按需混合分配方案。在带宽分配时，先用固定分配方案将带宽分配给各用户站的电路性业务，再将剩余的带宽用按需分配方案分配给各用户站的数据性业务。

2.帧结构

下行广播帧结构如图5所示。下行广播帧长度为2 170字节，由帧头和净荷组成。帧头长度是74字节，包括2字节帧同步码和和72字节控制信息。帧同步码为“0xA4A4”，用于保证用户站和基站之间同步。控制信息用于传输基站向用户站发送的一些控制消息，如维护消息、带宽分配消息和信令信息等。净荷长度为2 096字节，分为电路性业务区和数据性业务区。电路性业务区用于传输电路性业务包，其长度为18n字节，n代表已建立连接的时隙。每当为一个E1时隙建立连接时，在下行广播帧中为这个时隙分配一个18字节长度的区间传输这个时隙的电路性业务包。数据性业务区长度为2 096～18n字节，用于传输数据性业务包。(☆ 编程入门网 ☆)

上行突发帧结构如图6所示。上行突发帧由帧头和净荷组成。帧头包括9个字节的位同步字、1个字节的独特字和6个字节的控制信息组成。位同步字是9个字节的“0xAA”，用于恢复时钟。独特字是“0xAB”，用于指示下一个字节是控制信息的第一个字节。6个字节的控制信息用于传输用户站向基站发送的一些控制消息。净荷由电路性业务区和数据性业务区组成。电路性业务区用于传输电路性业务包，其长度为18n字节，n代表位这个用户站已建立连接的时隙。每当这个用户站的一个E1时隙建立连接时，就为该时隙分配一个18字节长度的区间传输该时隙的电路性业务包。数据性业务区用于传输数据性业务包，其长度由基站确定的并通过前一个下行帧通知给用户站。因此，上行突发帧净荷长度、电路性业务区长度和数据性业务长度均是变化的，分别决定于宽带固定无线接入网分配给某用户站的总速率、传输电路性业务的速率和传输数据性业务的速率。另外，不同用户站上行突发帧之间有2个字节的保护间隔，用于防止它们之间的干扰。

3.用户站注册

用户站注册是合法用户站与基站之间建立通信链路的过程。用户站注册是一个3次握手的过程。首先基站在下行广播帧中通知某一未注册的用户站可以注册。宽带固定无线接入网采用轮询的方式来决定哪个用户站注册。这是在用户站的数量不是很多，注册不是很频繁的条件下一种最有效和最简单的方法。其次被允许注册的用户站向基站发送注册请求，注册请求包含鉴权码。最后基站接收到注册请求消息，判断是否是合法用户站。若是合法用户站，则基站向用户站发送注册成功信息，注册成功消息中包含延时调整消息。若不是合法用户站，则丢弃该注册请求消息。

宽带固定无线接入网的空中接口是开放的，为了防止非法用户站的侵入，在用户站注册阶段要对用户站的身份进行鉴别。宽带固定无线接入网为每个用户站分配一个64 bit长度的鉴权码。此鉴权码是用户站特有的，与用户站标志对应。基站判断某一用户站是否是合法用户站就是通过比较鉴权码与用户站标志是否一致。

宽带固定无线接入网上行链路各用户站以TDMA的方式发送突发帧，即上行链路以2 ms为周期，将这2 ms划分成不同的时隙，各用户站在分配给自己的时隙内发送上行突发帧。我们称2ms周期的起始时刻为参考时刻。为了使各用户站发送的上行突发帧到达基站时不发生碰撞，用户站的参考时刻应该超前于基站的参考时刻，超前时间是基站与用户站之间的传输延时。延时调整的目的就是确定每个用户站的参考时刻。延时调整是利用不同用户站在参考时刻发送上行突发帧(注册请求)应该在基站的参考时刻到达基站这一原理来实现的。延时调整过程如图7所示。基站在t1时刻通过下行广播帧将允许注册请求信息发送给用户站，用户站接收到允许注册请求消息并在用户站预定参考时刻t2发上行突发帧，基站在t3时刻接收到该上行突发帧，而所有的用户站在其参考时刻发送的上行突发帧均在基站参考时刻t4到达基站，因此将t4-t3作为延时调整值返回给用户站。随后该用户站将预设参考时刻延迟t4-t3，延迟后的时刻就是该用户站的参考时刻。

五、FPGA实现

目前，我们用Altera公司的FPGA芯片实现MAC层功能。根据本文介绍的设计方案，用VHDL语言对其RTL级行为进行描述，然后在Altera公司Quartus开发系统中进行编译、仿真和配置下载并进行硬件调试。最后我们用2片ACEX1K系列EPK100实现用户站MAC层功能和1片ACEX1K系列EPK100和1片APEX20K系列EP20K300E实现基站MAC层功能。

六、结论

MAC层是宽带固定无线接入网的核心部分，本文设计了以下关键技术实现MAC层功能。针对数据性业务和电路性业务的特点，设计出数据性业务包和电路性业务包，以完成这两种业务的适配。针对数据性业务和电路性业务对QoS要求的不同，提出了固定按需混合带宽分配方案。这种带宽分配方案即满足了这两种业务对QoS要求，又有比较高的带宽利用率。本文设计了适合宽带固定无线接入网的帧结构。此外，设计了用户站注册过程，用于保证宽带固定无线接入网的安全性和在用户站与基站之间建立通信链路。

上述各项技术均用FPGA芯片实现，并且通过了测试。宽带固定无线接入网MAC层的设计成功对推动宽带固定无线接入网的广泛应用有十分重要的意义。

参考文献

[1]IEEE Std 802.16.2,Coexistence of Fixed Broadband Wireless Access Systems[S].

[2]YD/T 1158-，接入网技术要求-3.5GHz固定无线接入[S].

[3]IEEEStd802.16,Air interface for Fixed Broadband Wireless Access System[S].

有线接入层网络优化分析 篇3

关键词：有线接入层网络,电信运营商,必要性,意义

近年来, 中国电信固定电话网络紧跟时代步伐, 一直着眼于全球运营的发展, 初步形成了相当庞大的规模。但伴随着科学技术的发展, 个性化网络服务日益增多, 如何优化改造当前的有线接入层网络是现如今中国电信业务发展的方向所在。本文首先分析了有线接入层网络优化的可行性和重要性, 进一步为有线接入层网络的优化和调整提出了解决方案, 以提高其运营价值。

1 优化有线接入层网络的重要性

在这个阶段, 网络运营商为了满足当前的宽带业务的发展, 在各地的宽带IP城域网建设方面, 接入层组织结构十分混乱, 设备利用率比较低, 而且接入层的光纤消耗严重, 宽带业务的发展和网络的运行维护面临着很多困难[1]。三大运营商均发展3G无线网络业务, 固定宽带用户接入速率在1M以下的受到了严重冲击, 高宽带业务、资费优惠、光纤接入成为了其他运营商积极进入宽带市场的手段。

当前, 接入层网络规划不合理, 设备使用不当, 光纤的利用效率比较低, 其主要表现在一些大客户IP专线和DSLAM都是直接连接设备, 不仅造成汇聚层设备端口被占用, 而且严重消耗了大量的光纤。

有线接入层网络优化的过程是十分漫长的, 有系统有规划的优化有线接入层网络有利于光纤逐步靠近最终用户, 从而极大的缩短了用户的光缆和电缆接入距离。此外, 灵活方便的宽窄带综合业务接入服务保障了网络的运营, 随着有线接入层网络的优化, 网络的服务范围能更全面。因此, 为了更好地为用户提供更优质高效的服务, 优化有线接入层网络是十分必要的。

2 优化有线接入层网络对今后网络发展的意义

在全业务竞争时代下, 优化和调整有线接入层网络对于创建更快更优的网络, 为用户提供灵活的个性化业务, 提高运营价值有着重要意义。其主要表现在以下几点。

2.1 优化有线接入层网络, 有利于综合业务平台实现统一

伴随着用户对语音业务需求的不断增加, 电信网络运营商为了提高其运营价值, 开始由专注于基础网络运营转变为进行全业务综合信息服务。优化有线接入层网络是提高宽带业务的唯一途径。

一方面, 优化和调整有线接入层网络, 既可以创造综合业务平台;另一方面, 综合业务平台统一的实现又可以使各种业务更快的接入到最终用户。

2.2 优化优先接入层网络, 有利于实现网络维护管理简单化

首先, 通过优化和调整有线接入层网络, 改变了以往模糊的固定网络层次, 使其更加清晰化;同时, 有线接入层更加靠近用户, 网络设备管理更加优化, 网络的维护速率所以就极大的提高了[2]。

其次, 电信网络运营商长期追求的低成本、高收益目标得以实现。在优化和调整有线接入层网络过程中, 综合接入设备的采用使有线网络的设备形态极大的缩减了, 因此运营中的维护成本就降低了, 同时网络运营的效率也提高了。

由此可见, 有线接入层网络的优化, 摒弃了电信运营商以往沉重的包袱, 为以后的发展提供了机会。有线接入层网络的优化和建设, 不仅使当前的网络运营得到满足, 而且为以后网络的发展奠定了技术基础。实现有线接入层网络的优化, 对电信网络运营商的发展具有深远意义。

3 有线接入层网络优化的相关建议

有线接入层网络的优化虽然极大的提高了网络运营商的运营价值, 但在各地的宽带IP城域网建设方面, 接入层组织结构仍呈现混乱状态, 因此我们只有提出有线接入层网络优化的解决方案, 才能促进其发展。

3.1 有线接入层的网络要着眼于三网融合

当今社会是竞争性社会, 为了促进自身业务的发展, 使其具备更好的竞争优势, 我们要积极发展品牌效应并且提升自己的服务, 促进宽带业务的发展。三网融合当前有线接入层网络的发展趋势。在有线接入层网络优化建设中, 要采用PON技术实现接入光钎化;PON网络结构和能力通过汇聚设备实现扁平化, 同时运营商无论是在管理维护上还是业务经营上提供更加灵活方便的服务。

3.2 在有线接入层网络优化建设中, 分散大客户I P专线的接入

随着宽带业务的发展, 10 M乃至100 M的接入端口越来越被客户需要, 因此, 造成了混乱的宽带IP城域网接入层结构。设备利用率比较低, 而且接入层的光纤消耗严重, 不利于有线接入层网络的管理和维护。因此, 我们要适当分散大客户IP专线接入[3]。在大客户相对密集的地区, IP接入交换机要独立, 大客户密集的接入点设置三层交换机, 并且端口要起到限速能力, 与汇聚层设备直接连接。对于其它相对分散地区的大客户可以采取就近的方式, 直接和本地区用于汇接DSLAM的二层交换机连接, 以分散大客户的IP专线接入。

3.3 在有线接入层网络优化建设要实现DSLAM汇接的优化

通常情况下, 网络运营商的本地交换机到一般DSLAM和所述接入网络的关系非常密切。市区的DSLAM比较密集, 因此我们应该通过依照就近原则, 直接接近附近通过其他方式与DSKAM汇接二层或者三层交换机的区域, 利用就近接入的方式, 提高汇聚层设备的使用效率, 减少光纤接入的消费层情况[4]。

通常, IP城域网DSLAM的设置分为端局、模块局和接入网三种汇接方式, 相对于DSLAM设置于端局这种设置方式, 其它两种DSLAM汇接方式需要占用接入层光纤。因此在DSLAM设置于模块局和接入网这两种汇接方式中可以采取增加二层或者三层的交换机实现汇接, 另外还可以利用MSTP实现与模块局、接入网的共享传输。

4 结语

综上所述, 在全业务竞争时代下, 优化和调整有线接入层网络对于创建更快更优的网络, 为用户提供灵活的个性化业务, 提高运营价值有着重要意义。但伴随着科学技术的发展, 个性化网络服务日益增多, 如何优化改造当前的有线接入层网络是现如今中国电信业务发展的方向所在。因此, 对于有线接入层网络的优化建设要根据实际情况, 适当汇聚接入设备, 提高设备的使用效率, 使有线接入层网络的优化具有可行性。

参考文献

[1]郭世满, 马蕴颖, 郭苏宁.宽带接入技术及其应用[M].北京邮电大学出版社, 2006.

[2]何敬锁.有线接入网的主要技术比较及发展状况[J].中国有线电视, 2002.

[3]吴承治.光接入网工程[M].人民邮电出版社, 1998 (5) .

浅析LTE接入层传输组网技术 篇4

关键词：LTE,传输,组网

LTE (Long Term Evolution, 长期演进) 系统采用全IP、扁平化网络架构, 减少了网络节点和系统复杂度, 也降低了网络部署和维护成本。

LTE网络架构由核心层、汇聚层、接入层3层网络构成。核心层网络是核心层节点间的传输系统, 核心层节点是指移动网业务核心网设备和干线设备所在地, 主要设备包括各类交换机、核心路由器、干线传输设备等。汇聚层网络是汇聚节点和核心节点间的传输系统, 汇聚层节点是指用于汇接接入层业务的汇聚点, 主要设备包括传输网汇聚层设备、IP城域网汇聚节点设备等。接入层网络是接入层节点至汇聚节点间的传输系统, 接入层节点是指业务接入点, 如基站、室内分布覆盖系统等。

1. LTE接入层网络承载需求

LTE接入网主要由网络e Node B和a GW之间构成, 在此架构基础上引入S1和X2接口:

S1接口为e Node B和a GW之间的接口, 分为S1-UP和S1-CP。S1-UP接口连接e Node B和SAEGW, 用于承载用户层面数据;S1-CP接口连接e Node B和MME, 用于承载控制层面数据。

X2接口为相邻e Node B间的逻辑接口。e Node B之间通过X2接口进行通信, 实现小区间优化的无线资源管理。业务流可以在e Node B之间直接进行交换, 降低转发的时延。

(1) LTE承载带宽需求

LTE采用全IP化扁平网络结构, 对于LTE的E-UTRAN侧的接口S1和X2接口, e Node B直接与EPC通过S1接口相连, 相邻e Node B间通过X2接口相连。为提高网络的负荷分担和冗灾能力, e Node B可采用S1-flex接口与多个S-GW或MME互连。因此, 每个e Node B的传输带宽需求为S1接口流量、X2接口流量及网管接口的流量之和, 但网管接口流量很小, 一般只有几百kbit/s, 与S1接口、X2接口的流量相比可以忽略不计。

S1接口带宽:在20MHz、2×MIMO的情况下, 平均流量约150M, 峰值流量可到450M。

X2接口带宽:一般为S1接口的5%。

(2) LTE承载时延要求

S 1逻辑连接的承载时延要求2~20ms, 以满足LTE的呼通率和服务质量要求;X2连接的承载时延要求10~20ms, 以满足用户业务的小区切换要求。

(3) LTE系统同步要求

L T E网络除了满足频率同步要求, 还需满足时间同步要求, 精度为±1.5us。

2. LTE网络传输组网技术

目前, 主要的传输组网技术有以太网技术、PTN技术、MPLS技术、MSTP技术等。

(1) 以太网技术

IP技术是以计算机互联网的形式发展起来的, 以统一的TCP/IP协议进行网络互联, 以便交换和共享信息。

以太网是最常用的传输组网方式, 同时以太网具有简单、成本低、IP传输效率高的特点, 使其成为最常用的IP化传输组网技术。

纯IP网具有IP传输效率高、易实现大容量端口、协议简单的优点, 但不能提供严格的Qo S, 可管理性、可靠性较差。

(2) PTN技术

PTN (分组传送网) 是一种光传送网络架构和具体技术:在IP业务和底层光传输媒质之间设置了一个层面, 针对分组业务流量的突发性和统计复用传送的要求而设计, 以分组业务为核心并支持多业务提供。

PTN是基于分组交换、面向连接的多业务统一传送技术, 能够提供多业务技术支持。它是一种更加适合IP业务传送的技术, 同时继承了光传输的传统优势, 包括良好的网络扩展性、灵活扩展性和丰富完善的运行管理维护 (OAM) , 快速的保护倒换和时钟传送能力, 业务标准化、高可靠性、安全性和严格服务质量 (Qos) , 整网管理理念, 端到端业务配置与精准的告警管理。

(3) MSTP技术

M S T P基于S D H平台, 同时实现TDM、ATM、以太网等业务的接入、处理和传送, 提供统一网管的多业务平台。

SDH传输体制是先进、成熟的基础传送平台技术, 基于SDH的MSTP平台具有良好的TDM业务传输保证, 同时MSTP平台在提供IP/ATM等新业务方面具有高度灵活性和快速性。原有的3G/2G网络已部署了大量SDH设备作为承载网络。

(4) MPLS技术

多协议标签交换 (MPLS) 是一种用于快速数据包交换和路由的体系, 它为网络数据流量提供了目标、路由地址、转发和交换等能力。

MPLS是基于标记的IP路由选择, 利用标记 (label) 进行数据转发的。当分组进入网络时, 要为其分配固定长度的短的标记, 并将标记与分组封装在一起, 在整个转发过程中, 交换节点仅根据标记进行转发。

M P L S是常用的组网方式, 通过MPLS2层或者3层VPN实现LTE传输网络的组网, MPLS组网同时能够实现网络的保护功能, 通过建立多个VPN实现节点故障的保护。

3. LTE网络传输组网技术

LTE网络对承载传输网络除了2G/3G所需OAM、保护和时间同步等功能以外, 提出关键的新需求是L3VPN和大带宽。

承载2G/3G无线接入网RAN (基站←→基站控制器之间) 的传送网称为回传网。2G网络的回传网大多采用SDH, 3G网络由于IP化和带宽增加, 回传网逐步迁移到分组化承载 (PTN) 。

LTE网络引入e Node B多点归属的S1-Flex概念和e Node B之间X2接口需求等均为多点到多点连接, 点到点L2不能支撑, 只有L3才能满足此类多点到多点的横向流量需求。

承载网络支持L3功能才可以对LTE的流量进行有效疏导, 必须向IP化演进。MSTP技术难以满足承载需求, 主要针对PTN技术和IP技术进行比较。

从技术方面比较:PTN侧重2层业务, 整个网络构成若干庞大的综合的2层数据传输通道, 升级后支持完整的3层功能, 重在网络的安全可靠性、可管可控性以及更好的面向未来LTE承载等方面;IPRAN则主要侧重于3层路由功能, 整个网络是一个由路由器和交换机构成的基于IP报文的三层转发体系, 路由器具有很好的开放性, 业务调度也非常灵活。

从建网成本比较:IPRAN支持3层功能较全面, 处理机制复杂, 芯片成本相对较高, 尤其当涉及到TDM业务接入的时候, IPRAN设备的成本劣势更加明显;PTN是以包交换为内核, 提供弹性管道, 芯片处理简单, 带宽利用率很高, 因此总体成本最为低廉。

结语

将3层功能部署在核心汇聚节点后, PTN技术组建的传输网络完全能够满足LTE接入层网络承载需求, 其组网方式与SDH类似, 可以简便地将已部署的大量SDH网络更换为PTN网络, 网络建设成本最为低廉。

从各种传输技术的对比, 针对目前各电信运营商LTE网络均有大量TDM业务的实际情况, 采用PTN技术组建LTE接入层传输网络具有较大优势。

从各电信运营商LTE接入层传输网络的建设情况来看, 普遍采用PTN技术组建传输网络, 也说明PTN技术组建LTE接入层传输网络是最为适宜的。

参考文献

[1]中国通信建设集团设计院有限公司.TE组网与工程实践[M].北京:人民邮电出版社, 2014.

接入层传输网业务保护方式 篇5

一、接入层传输网存在的问题

接入层传输网通常都是按照地区规划来设计的, 区域性较强。我国传统的几大运营商通常都在各区县设立分公司, 并且都有独立的传输网络, 所有的业务都通过汇入中心节点后再传输到各个片区交换局。我国现阶段在接入传输网方面存在着许多的问题。首先, 现有的一部分设备不具有MSTP功能。我国传统的传输设备的接口较为单一, 不能满足移动业务IP化和政企客户业务提速的要求, 并且在扩容方面有存在巨大的困难。其次, 接入层传输网络配置业务不够灵活机动。我国传统的传输汇聚网络大多以城镇作为主要节点, 在一些发展较快的工业园林或者是村级点不能及时享有网络业务, 这给这些地区的进一步发展带来了困难。通常来说, 城区是政企客户最为集中的地区, 要想满足政企客户和基站业务的接入, 必须要大量的占用城区主干电缆, 广泛的使用PDH, 设备造成资源的浪费。乡镇城区网络业务的接入方式主要以2M的接入方式为主。最后, 中心网元和一些关键性设备大多放置在中心机房, 较为集中。这样在灾难发生时, 一旦中心机房遭到破坏, 那么将导致这个地区的网络业务彻底中断, 风险较大。在大城市中, 由于自然灾害或者是大规模的城市改造极易使中心机房的干线光缆中断, 导致区域内的业务受阻。

二、接入层传输网业务保护方式

改造本地区的传输网, 使其达到整体优化, 将那些维修成本较高、频繁出现故障的系统进行统一退网, 提高资源的利用率。根据社会发展的具体要求, 不断地提高本地传输网的能力, 优化接入层传输网的保护方式。

2.1设置第二中心机房

通过设立第二个中心机房能够更好的保护传输网业务的安全, 减少区域内整体业务中断的可能性。将不同的汇聚环设备放入到不同的区域内, 使每个区域的传输网都具有双平面的特性, 提高各个地区网络的安全系数。并要选用较为灵活的电路端配置, 提高接入层传输网业务的灵活性和协调度。

2.2用已有的超级站对业务进行保护

我国的一些地区在前几年发生大的灾难后就在一些区县地区建立了超级站, 保障了当灾难到来时可以用语音进行业务的传输。利用超级站保护就是在郊县的一些基站内安装卫星接收设备, 一般要经历这几个阶段, 首先基站的相关业务会利用卫星设备来进行传输, 然后一级干线传输网会到达公司交换局, 最后再将省骨干传输调度到各个交换片。这样, 即使中心网元遭到破坏或是重要设备失效, 也能保障一些业务的通畅进行。这种方式既能发挥超级站的作用, 又能保护接入层传输网业务的顺利开展, 减少资源的浪费。

2.3采用跨区域方式在交换片内实施保护

所谓的跨区域的方式就是把两个地区的传输节点用光路进行连接, 使相邻地区之间形成互相保护的关系, 彻底打破网络行政归属的限制。例如, A地的业务主要是通过本县的中心机房B来传输的, 可以建立一条保护路使A的节点和C地相连, C地的保护中心机房是D, 一旦B被破坏那么A的一部分业务可以由D来完成, 避免A地业务的全面被阻。简单来说就是, A和C地可以相互保护。采取这种保护方式, 有一定的地区要求两个地区必须是邻县, 而且在合适的节点之间有光缆相连, 并且在能够传输本地的业务的基础上还要为传输相邻地区的业务留有余地, 要充分考虑传输网的容量和设备的保护能力。这种跨区域保护的方式可以分为两种。第一种是在相邻的两个区县的汇聚节点之间用电缆连在一起, 这样两个区域的汇聚节点最好比较近, 尽量减少光缆的使用。第二种是在两个地区的边缘站点之间建立电缆联系。当两个地区距离比较远时, 可以在两地距离最近的地区建立联系, 这样既节约电缆, 又可以达到两地相互保护的目的。在这种情况下要充分考虑边远地区的设备承受能力, 及时对边缘地区的设备进行更新换代, 保证两地区相互保护的实现。

三、小结

总之, 经过多年的传输网络平台的建设, 我国的网络规模越来越大, 承担的业务量也越来越多, 然而现阶段我国在接入层传输网保护方面存在着许多的问题, 网络安全成为人们关注的焦点问题。通过跨区域的业务保护的方式和建立第二中心机房, 可以有效减少灾害给网络安全带来的影响, 尽量保护业务的安全进行。

参考文献

[1]梁伟.接入层传输网络业务保护方式研究[J].数字通信, 2013, 40 (3) :12-13

[2]马波.新会地区传输A网现状分析与完善[J].电子世界, 2014, 27 (10) :24-25

校园网接入层安全策略研究 篇6

本文将介绍校园网的接入层的相关技术策略,从而构建一个安全高效的网络,不但要让用户方便易用,还要让校园网管理者能够有效管理,从接入层解决校园网的安全隐患。

1 IP地址的分配与管理

1.1 全网DHCP动态分配IP

在计算机数量众多并且划分多个子网的网络中,DHCP服务的优势更加明显,其优点如下:

(1)减小输入错误的可能;

(2)避免IP冲突;

(3)减小管理员的工作量;

(4)当网络更改IP地址段时,不需要重新配置每台计算机的IP;

(5)计算机移动到其它子网不必重新配置IP。

1.2 DHCP服务所带来新问题

随着DHCP服务的广泛应用,也给网络管理带来一些新的问题,具体表现在:

(1)私自架设非法的DHCP服务器

由于DHCP报文在客户端和服务器的交互过程中并没有认证机制,如果网络中存在非法DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址,客户机有可能从非法DHCP服务器获得IP地址等配置信息,导致网络地址分配混乱。

(2)私自指定IP地址

在部署DHCP服务的子网中,如果出现用户私自设置IP地址,将有可能造成网络地址冲突,影响IP地址的正常分配。

(3)为特定主机分配固定IP

校园网中有些主机由于要提供服务,需要固定IP地址,比如服务器,这就需要在DHCP服务器和接入交换机上构建一个IP和MAC绑定的跨网DHCP强制分配机制。

通过以上分析,必须采取有效措施来应对上述三个问题。我们利用接入交换机的DHCP-Snooping功能屏蔽非法DHCP服务器、过滤非法DHCP报文、防止用户私设IP,还可以为用户指定固定的IP地址,可以有效解决非法DHCP服务器扰乱用户网络和防止私设IP用户使用网络。

2 DHCP防护

2.1 DHCP-Snooping技术简介

DHCP-Snooping技术就像是在非信任端口的主机和DHCP服务器之间安装了一道防火墙,通过DHCP Snooping来区分连接到终端客户的非信任端口和连接到DHCP服务器或者其他交换机的信任端口。

DHCP-Snooping具有屏蔽非法DHCP服务器和过滤非法DHCP报文的功能,解决了DHCP Client和DHCP Server之间DHCP报文交互的安全问题。DHCP-Snooping简称DHCP侦听,接入交换启动DHCP-Snooping功能后可实现对DHCP Client和DHCP Server之间DHCP交互报文的窥探。通过窥探,DHCP-Snooping记录合法DHCP用户的信息(IP、MAC、所属VLAN、端口、租约时间等),形成DHCP-Snooping数据库。借助DHCP侦听功能,通过只允许来自面对不可信用户的端口的DHCP请求(而非响应),进而阻止DHCP欺骗。

2.2 防止私设DHCP

(1)打开DHCP-Snooping全局开关

configure terminal

ip dhcp snooping

end

(2)DHCP服务器与DHCP客户端不在同一子网时,需要打开DHCP中继功能,并配置DHCP服务器地址

configure terminal

service dhcp

ip helper-address 192.168.1.100

end

(3)将连接合法DHCP服务器的端口配置为信任口,连接用户的端口默认为非信任口

configure terminal

interface gig 1/1

ip dhcp snooping trust

end

2.3 防止私设静态IP

为了防止私设IP地址的用户使用网络,需要打开接口上的地址绑定开关,通过硬件对非法IP报文进行过滤

configure terminal

interface range fastethernet 0/1-24

ip dhcp snooping address-bind

end

2.4 为用户指定固定IP

对于需要使用静态IP地址的用户,可以通过添加静态绑定实现(假设一台服务器需要使用静态IP地址,其MAC为:00d0.fa88.5687;VLAN号为:1;IP为:192.168.11.3;端口为:2)。

configure terminal

ip dhcp snooping binding 00d0.fa88.5687 vlan 1 ip192.168.11.3 interface fastethernet 0/2

end

3 ARP欺骗

3.1 ARP欺骗原理

ARP协议(Address Resolution Protocol)的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。ARP协议是简单的报文交互而没有认证机制的,基于ARP协议的这一工作特性,任何人通过向计算机或者网络设备发送虚假的ARP报文便可达到ARP欺骗的目的。

当前校园网大都采用VLAN技术,多台主机同处于一个VLAN,致使ARP病毒冒充主机欺骗网关或冒充网关欺骗主机,造成的危害较大。针对这一问题,采用DHCP-Snooping+ARP-Check方案可以有效拦截非法的ARP报文,抵御ARP欺骗,保证网络的畅通。

3.2 防御APR欺骗

ARP-Check通过硬件过滤ARP欺骗报文,保证送到CPU的ARP报文都是合法的,有效降低了CPU的负荷。DHCP-Snooping功能在将DHCP-Snooping数据库用户信息添加到IP报文硬件过滤表时,同时添加到ARP报文硬件过滤表。ARP-Check根据ARP报文硬件过滤表对ARP欺骗报文进行过滤。

DHCP-Snooping+ARP-Check方案同样也部署于接入层交换机。

(1)网关欺骗

在各端口上绑定正确的网关,防止针对网关的ARP欺骗。

configure terminal

interface rang fastEthernet 0/1-24

Anti-ARP-Spoofing ip 192.168.200.1

(2)主机欺骗

ARP-Check应用于端口模式下,需要对该端口上收到的ARP欺骗报文进行硬件过滤时,在该端口上启用ARP-Check功能,进行端口的ARP校验,比如需要在端口1和端口2上启用该功能。

configure terminal

interface range fastethernet 0/1-24

port-security arp-check

port-security arp-check cpu

end

4 ACL—病毒防护

4.1 来自接入层的网络威胁

与其它园区网相比,校园网由于其客户群体的特殊性,安全问题也存在显著特点。校园网中学生群体占绝大比重,学生好奇心强,电脑水平高,应用也比较复杂,所以来自校园网内部的威胁比较多。例如:有些学生由于好奇心的驱动会主动的在校园网内部试验各种扫描软件、攻击软件、木马或病毒;由于其应用复杂,被动感染木马和病毒的比例也相当高。这些都给校园网带来了巨大的安全隐患。为了防止这种攻击和病毒蔓延到整个校园网,最好的解决方法就是利用ACL将来自攻击者的端口扫描和恶意数据流阻挡在接入层。

4.2 ACL部署

木马、病毒等网络攻击都是利用一些特殊的端口进行的。所以,利用ACL限制这些特殊口访问,可以很大程度上保证安全性。

ACL查找是在硬件中完成的,所以,当实现基于ACL的安全性时,转发性能不会受到影响。针对第二层接口的基于端口的ACL,允许在每个交换机端口上应用安全性策略。

(1)创建ACL

(2)在端口应用ACL

5 总结

本文根据校园网的实际情况,针对IP地址的管理、DHCP防护、ARP欺骗以及病毒与攻击等主要问题,提出了在接入层的安全解决方案。通过实际测试表明,部署在接入层的安全策略可以有效的解决以上主要问题,从而为校园网络提供了一个安全有效的网络管理模式。

摘要：本文在对问题发生原因深入分析之后,提出了在校园网的接入层部署相关策略,包括屏蔽非法服务器、防止用户私设IP、防止ARP欺骗和病毒防护等,从根本上解决校园网的安全与管理问题。

局域网接入层安全解决方案 篇7

1 攻击方式概述

1.1 MAC地址泛洪

二层交换机是基于MAC地址去转发数据帧的, 转发过程中依靠对CAM表的查询来确定正确的转发接口, 一旦在查询过程中无法找到相关目的MAC对应的条目, 此数据帧将作为广播帧从交换机的所有端口发送出去。MAC/CAM泛洪攻击就是利用了交换机的这个特点, 短时间内产生大量去往未知目的地的数据帧, 这些欺骗MAC地址将迅速填满交换机的CAM表。CAM表被填满后, 流量在所有端口广播, 这时攻击者可以利用各种嗅探攻击获取网络信息。同时流量以方波方式发送到邻接交换机, 造成交换机负载过大, 网络缓慢和丢包甚至瘫痪。

1.2 ARP欺骗攻击

在以太网等局域网上, 使用ARP协议来实现l P地址到MAC地址的动态转换。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的l P地址与MAC地址是一一对应的。ARP欺骗攻击就是利用ARP协议漏洞, 通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术, 并能够在网络中产生大量的ARP通信量使网络阻塞, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP—MAC条目, 造成网络中断或中间人攻击。

从影响网络连接通畅的方式来看, ARP欺骗分为二种, 一种是对交换机ARP表的欺骗:另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是向交换机不断发送错误的MAC地址以填满交换机ARP表, 而真实内网终端地址信息无法通过更新保存在ARP表中, 结果交换机的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关:攻击者首先会伪造网关地址, 使得局域网计算机中所有的计算机发给网关的数据全部发给攻击者, 在收到这些数据之后, 攻击者会将这些数据发往网关, 通过网关发送到外部网络, 外部网络会返回数据给攻击者, 攻击者再将这些返回的数据发送给内网计算机。攻击者就这样成为了计算机与外部网络数据传输的中转站, 从而窃取到计算机与外部网络交互的所有信息, 而计算机却全不知情。

2 接入层解决方案

接入层交换机处在网络的边缘, 是整个网络的大门, 也是抵御恶意攻击的第一道防线。以下以思科接入层交换机为例, 提出针对以上攻击的解决方案。

2.1 基于802.1X

802.1X是IEEE制定的关于用户接入网络的认证标准, 它的全称是“基于端口的网络接人控制”802.1X协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户或设备通过接入端口访问网络系统。当流量到达启用了802.1X的端口后, 需要和验证服务器交互, 认证通过后得到授权, 才可以访问网络。以下为配置实例:

2.2 基于端口安全 (Port-Secirity)

在企业, 连接到接入层交换机端口的工作站的MAC地址基本保持不变。可以根据MAC地址控制对端口的访问, 首先使用接口配置命令启用, 接下来指定一组允许的MAC地址并设置最大MAC地址数目, 最后, 指定使用端口安全的接口在遇到MAC地址违规时的处理方式。通过这样设置任何来自非指定的MAC地址的数据包都将被丢弃而无法访问内网。以下为配置实例:

端口接收到非指定的MAC地址后, 将Shutdown, 并进入err-disable状态, 所有连接在交换机这个端口的终端都将断开。此外, 还能设置交换机丢弃来自该MAC地址的数据包, 端口状态不受影响。

2.3 动态ARP检查 (DAI)

DAI的工作原理是将交换机端口划分为可信和不可信的, 交换机拦截并检查所有经不可信端口到达的ARP分组, 但在可信端口上不执行这样的检查。在不可信端口上收到ARP应答后, 交换机根据已知的可信值对其中的MAC和IP地址进行检查。交换机通过静态配置的条目或者DHCP探测数据库中的动态条目来收集可信的ARP信息。如果ARP应答中包含与可信数据库中的条目冲突的非法信息或值, 交换机就将丢弃ARP应答, 并生成一条日志信息。这种措施可防止非法 (伪造) 的ARP条目被传输给其他机器并加入到其ARP缓存中。以下为配置实例:

3 结论

本文详细分析了几种攻击手段的原理和危害, 给出基于接入层的解决方案, 实现对用户终端接入的有效控制, 从而保证企业内网信息的安全访问。

摘要：随着企业信息化程度越来越高, 对信息网络安全要求也越来越高。本文针对企业局域网存在的多种不安全因素, 从接入层的角度, 给出可行的解决方案, 为企业内网安全系统的建设提供参考指导和帮助。

关键词：接入层,内网安全,802.1X

参考文献

[1]David Hucaby.CCNP SWITCH (642-813) 认证考试指南[M].人民邮电出版社, 2010.

[2]吴世忠, 江常青, 彭勇.信息安全保障基础[M].航空工业出版社, 2009.

非接入层 篇8

关键词：城域网,CACTI,中间业务逻辑层,告警管理

1 引言

网络故障管理是网络管理的基础工作, 也是最重要的网络管理任务。主要包括网络故障检测、网络故障定位、网络故障隔离、网络故障恢复等几项关键技术。一旦网络出现故障, 就必须要排除故障, 确保网络正常运行, 从这个意义上讲, 网络故障管理是网络管理的基础工作, 也是最重要的网络管理任务[1]。

及时、准确的发现并处理设备障碍, 是目前网管运行工作的主要任务。在设备障碍处理中, 告警系统的管理尤为重要, 它是更好的维护网络的基础。告警管理是网络操作和管理者监督、维护和保障网络正常、高效运行的有力工具, 告警管理有当前告警管理, 历史告警管理。网络管理员根据系统显示的告警可以了解监控网络的具体运行情况, 并做出及时准确地指令, 以便于在合理时间内恢复正常。

2 系统的整体设计

系统的整体结构采用了三层的结构设计, 考虑到实际的应用, 从生产实际出发, 使用本系统的用户主要有两类:一是一般的操作管理员负责系统的日常维护, 包括数据库的维护, 如添加、删除节点信息等;二是部门相关人员的查询设备告警情况。根据以上需求, 将系统设计成三层的C/S的分布式的模式, 其整体结构如图1所示。

3 系统的详细设计

3.1 数据库服务器的设计

系统的前端有一个实时监控的过程, 将实时监控的数据存储在一个临时数据库中, 通过SQL Server2000在内存中开辟一定的空间建立一个临时数据库Temp[2]。

根据告警管理的需求, 对于数据信息的需求包括:局别、设备类型、设备名称、节点IP等信息, 因此应该同时建立一个历史数据库。数据库的设计的最终目的就是规划能够有效地处理告警信息, 并且保持应用开发的简洁性的关系型数据库, 并在数据的规范化、性能优化以及数据的简洁性之间达到平衡[3]。

3.2 中间业务逻辑层的设计

根据三层结构的设计原则, 中间层是业务逻辑和规则[4]。在告警管理系统中, 告警管理、信息查询等都是具体的业务逻辑, 与具体的用户界面无关, 只是核心的规则和逻辑。利用VB.NET的解决方案资源管理器, 将数据库服务器端、业务逻辑端及客户端等都作为解决方案中的项目添加到其中。在其中设计了Data Manager类、Dslam Info类、Dslam Manager类、Use Manager类等几个类。

⑴Data Manager类设计与实现

Data Manager类完成的中间业务逻辑层与数据库的连接, 在设计中采用的是SQL Server2000数据库, 可以采用ADO.NET来实现与数据库的连接。

⑵Dslam Info类设计与实现

Dslam Info类主要封装Dslam设备的基本信息, 包括节点名称、局别、设备名称、IP地址、BAS信息等。将Dslam Info类可序列化, 以便将Dslam设备的具体信息传递到客户端。部分VB代码如下[4]:

(3) Dslam Manager类设计与实现

Dslam Manager类是Dslam设备管理类, 主要完成Dslam设备的日常维护工作, 包括设备的增加、修改、删除及查询等功能。利用VB中的增加、修改、删除等函数来实现上述的功能。

(4) Use Manager类设计与实现

Use Manager类与Dslam Manager类的功能相类似, 主要完成使用者的信息和权限维护。完成增加一个操作者;删除一个操作者、完成在Web客户端的登陆功能。

3.3 Windows应用程序客户端的设计

Windows应用程序客户端的功能在总体设计中已经确定, 在此部分将对各功能的实现进行详细设计, 包括各运行窗体的界面设计及后台的软件开发。

在登陆模块的设计中设置登陆时的用户名和密码, 及用户更改密码的功能;数据库功能实现的设计中也可以对数据库进行维护, 有几大功能:添加、删除、更改等信息的处理;查询统计功能的设计中, 设置一个页面, 所以的查询功能可以通过选择来实现, 其选项应设置为多选项, 可以单一的选择一个条件, 也可以组合的选择条件, 在混合查询的结果中, 添加一个统计功能, 实现对数量及类型的统计;录入信息功能的设计中, 为了使告警系统信息完整, 为Web客户端提供查询结果, 需由操作员将告警的原因及处理过程及恢复时间做一记录, 在此界面设置一个文本框或者几个文本框来输入上述的信息一, 将告警信息存入到数据库中;报表的设计与生成的设计中, 由VB.net中的报表生成器, 按照自主设计的报表来设计所需要的表格, 通过混合查询中的统计功能来生成这一表格。

3.4 Web客户端的设计

Web客户端主要用来查询设备告警信息的, 使用人员要通过浏览器输入URL, 就可以登陆Web查询界面。这里主要包括两个Web窗体的设计:Login Web Form.aspx和InquireInfo Web Form.aspx, 前者完成登陆操作, 后者完成登录之后的告警信息的查询操作。

Web客户端的实现是通过在VB.net中添加新的ASP.NET Web应用程序来实现。如果使用者想通过浏览器来访问该Web页面, 就要建立一个链接, 在实际的工作中, 就有一个唯一的IP地址来链接这个Web页面, 在设计中建立了一个虚拟的目录来实现链接。同样, 在登陆的页面设置登陆的功能, 同时设计用户对其密码进行更改的功能, 以提高安全性。Web客户端查询页面的设计与功能实现中, 要实现几种查询功能, 这里的查询功能基本上与客户端的查询功能达到一致。

4 结束语

本文为宽带城域网接入层DSLAM设备告警系统管理平台提供了实现的依据, 完成了设备告警的管理, 为一般的操作者和管理人员分别提供了管理界面, 实现了设备的远程告警管理, 和事后查询统计分析的过程。为及时、准确的发现并处理设备障碍, 分析障碍创造了更好的维护网络的基础。

参考文献

[1]张新.分层分布式网络故障管理研究[D].西安电子科技大学, 2007

[2]贾永振, 刘载文等.基于WEB的远程实时监测系统[J].电气自动化, 2006, (6) :29-30

[3]许志清, 赵博.精通SQL Server2005数据库系统管理[M].北京:人民邮电出版社.2007