网络可靠性设计论文

2024-10-14

网络可靠性设计论文（精选12篇）

网络可靠性设计论文篇1

摘要：根据网络可靠性的要素, 分析了影响网络可靠性的原因, 再讨论了软件对信息网络的保障。最后通过结合某单位计算机网络的软件设计实例探讨了如何规划设计以保证信息网络的安全。

关键词：计算机网络,网络可靠性,局域网络,软件可靠性

引言

根据Cnnic最新发布的第27次中国互联网络发展状况统计报告显示, 截止2010年12月底, 我国网民规模达到4.57亿, 宽带普及率接近100%。2010年数据显示病毒木马的传播途径中, 有93.2%直接依赖互联网完成, 其中有82.2%是通过下载行为感染计算机。根据国家互联网应急中心监测2010年中国大陆有近3.5万个网站被黑客篡改, 其中政府网站高达4635个。2010年, 国家互联网应急中心监测发现共近48万个木马控制端ip, 其中22.1万个位于境外。随全球信息化的不断发展, 信息网络的可靠性日益成为不同使用层次用户共同关心的核心问题, 是网络规划设计与性能评价的重要指标。信息网络的可靠性涉及网络设备、链路、协议等多方面因素。探讨可靠安全的计算机网络的设计准则, 解决计算机网络的可靠性设计和安全问题, 确保计算机网络能够可靠地安全地正常运行, 具有较高的理论和现实意义。

1. 计算机网络可靠性分析

计算机网络应该是一个全冗余、无任何单点故障的高可靠网络, 从而使企业网能够支持应用的多样性, 保障系统的安全性, 提供不同优先级的QoS服务。计算机网络的可靠性包括设备层和网络层的可靠性。

1.1 网络设备的可靠性

计算机网络系统的可靠性是通过设备冗余和功能模块冗余来实现, 就是在系统结构上通过增加冗余资源的方法来避免故障造成的影响, 即使出错或发生了故障, 系统的功能也不致受到影响。

1.1.1 交换机的可靠性

交换机是用于连接几个独立局域网并在它们之间进行数据包过滤的一种网络互联设备, 可用来解决带宽不足和网络交换瓶颈问题, 满足工作站点和服务器之间交互需求, 提高整个网络的性能。交换机是网络中的交换核心, 对网络可靠性有很大的影响。应选用具有较强的微分段能力、有很强的容错特性、有支持构建虚拟网的能力的交换机。

1.1.2 路由器的可靠性

路由器是网络层的互联设备, 应用它不仅可实现不同类型局域网的互联, 而且还可以实现局域网与广域网以及广域网之间的互联。路由器可靠性的设计就是建立一致的局域网和广域网协议。在路由器硬件本身的选择上也要考虑其一致性。提高路由器可靠性的最保险的方法是采用冗余路由技术, 使网段连接到两个路由器上, 这两个路由器保持相同的配置;连接在相同网络上的端口分配相同的I P地址。这样, 当主路由器正常工作时, 由于次路由器具有相同的路由表和IP地址, 因此不会影响网络正常运行;若主路由器出现故障, 次路由器立即能自动代替其工作。

1.2 链路的可靠性分析

提高链路的可靠性往往通过链路的冗余设计来实现, 即采用一条主链路和一条备链路。链路的冗余可以通过多种技术实现, 目前使用较多的是链路聚合技术和生成树技术。链路冗余还可以做到均衡负载, 这种方法可以充分利用两条链路, 当网络正常时, 所有的数据流随机地分配到任何一线路上 (根据线路的综合情况, 如带宽等) 。

1.3 协议的可靠性

协议的可靠性技术就是采用相关的硬、软件切换技术 (如STP和VRRP) 来保证核心应用系统的快速切换, 防止局部故障导致整个网络系统的瘫痪, 避免网络出现单点失效, 从而保证用户端在网络失效时能快速透明地切换。

1.3.1 生成树协议

生成树协议定义在IEEE 802.1D中, 是一种链路管理协议, 它为网络提供路径冗余同时防止产生环路。协调多个网桥 (交换机) 共同工作, 使计算机网络可以避免因为一个接点的失败导致整个网络联接功能的丢失, 而且冗余设计的网络环路不会出现广播风暴。

1.3.2 虚拟路由冗余协议

虚拟路由器冗余协议 (VRRP) 是一种选择协议, 它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器I P地址的VRRP路由器称为主路由器, 它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用, 这种选择过程就提供了动态的故障转移机制, 这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。为了使VR RP工作, 需要在路由器上配置虚拟路由器号和虚拟IP地址, 同时产生一个虚拟MAC地址, 这样在这个网络中就加入了一个虚拟路由器。

2. 计算机网络的软件可靠性设计

2.1 防火墙系统

防火墙具有很好的保护作用, 通过其安全隔离防护、访问控制管理、端口映射等功能, 大大加强了网络的安全性和可靠性, 入侵者必须首先穿越防火墙的安全防线, 才能接触目标计算机。在服务器与局域网以及互联网之间建立起一道可靠的屏障, 这就使得所有对服务器进行访问的信息, 不是直接到达服务器, 而是必须与防火墙的规则进行匹配, 合乎要求的才能对服务器进行访问。计算机局域网内只有获得访问许可的用户才能对服务器进行访问, 而其它用户的访问都将被拒绝。端口映射对内部服务器的网络信息进行了隐藏, 提高了服务器的可靠性, 从根本上保证了服务器的安全。

2.2 Nagios网络监控系统

Nagios是一个监视系统运行状态和网络信息的监视系统。Nagios能监视所指定的本地或远程主机以及服务, 同时提供异常通知功能等Nagios的主要功能特点:监视网络服务、监视主机资源 (进程, 磁盘等) 、简单的插件设计可以轻松扩展Nagios的监视功能、服务等监视的并发处理、错误通知功能 (通过email, pager, 或其他用户自定义方法) 、可指定自定义的事件处理控制器、可选的基于浏览器的WEB界面以方便系统管理人员查看网络状态及各种系统问题和日志、可以通过手机查看系统监控信息。

2.3 网络入侵检测系统

入侵检测系统简称 (IDS) 是由硬件和软件组成的, 用来检测系统或者网络以发现可能的入侵或攻击的系统。入侵检测系统通过定时的检测, 检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式, 监视与安全有关的活动。网络入侵检测系统能监视网络流量, 通过侦听特定网段的数据包, 实现对该网段实时监视、发现可疑连接和非法访问的闯入等.防范网络层至应用层的各种恶意攻击和误操作, 从而极大地缩小所需管理的安全范围, 实现针对网络入侵的安全防护。

某地震局使用防火墙为高性能服务器提供了基本的安全防范, 再与网络入侵检测系统互相配合, 提供动态的安全防护, 再加上Nagios网络监控, 全面提升信息网络的可靠性。此外, 结合防火墙的VPN隧道功能, 对通信的数据进行加密, 更是在传播途径中加强了网络数据的安全性。

3. 信息网络可靠性设计实例

中国数字地震观测网涉及全国31个省 (市) 自治区, 是全国地震行业信息服务网络, 是整个数字地震观测网络和地震应急指挥的技术基础平台, 建设内容、规模是我国有史以来最大的防震减灾工程。

某市地震局是中国数字地震观测网络的主要节点之一 (图1该地震局的计算机网络拓扑结构) 。根据地震局对信息化平台的应用需求和应急规程要求, 该局主机房主要包括:测震、前兆、强震动、信息的专用服务器、数据库服务器、备份服务器、存储管理服务器、中间件应用服务器、统一数据交换平台、公用GIS服务器、信息发布、数据共享、Nagios服务器、网络防病毒服务器、邮件应用服务器、基本网络功能服务器、VOIP应用管理服务器。

信息网络正式运行后, 核心服务需要7×24小时不间断运行。除核心路由和交换机的备份外, 对核心业务服务和数据库采用了双主机热备和异地容灾在线备份。主机系统的可靠性对该局数字地震观测网而言极其重要, 它的故障对网络运行的影响尤为突出。主机子系统采用冗余、备份、热插拔、容错、集群等技术。除此外该局主机房和辅助机房的服务器主机采取了以下两项措施对可靠性加以保证。使某市地震局信息网络系统在不克抗力下无法运行时, 能及时恢复保证地震监测系统的运行。

3.1 双主机热备份。

在主机房采用一台服务器为工作主机, 另一台服务器为备份主机, 正常运行状态下, 工作的主机提供信息服务, 备份的主机监视主机运行的情况工作, 主机也同时监视备份主机是否正常, 有时备份的主机也会因某种原因出现异常, 工作的主机可尽快通知管理员解决, 确保下一次切换的可靠性。当工作主机出现异常而无法支持网络运营时, 备份主机将会主动接管工作主机的工作, 继续支持系统的运作, 从而保证主机子系统的可靠性.当工作主机经过维修恢复正常后, 管理员既可以将备份主机的工作切回工作主机;也可以启动监视程序, 监视备份主机的运行情况, 此时原来的备份主机就成了工作主机, 原来的工作主机就成了备份主机。

3.2 异地容灾在线备份。

由于该局数据的特殊性。为保护测震、前兆等主要数据, 保障业务系统在不可避免的灾难下如火灾地震等仍能稳定可靠的运行。该市地震局进行了异地容灾在线备份如图2。保护关键业务系统数据, 对数据进行有效的备份并支持快速恢复。

4. 结语

提高计算机网络的可靠性, 需要不断的探索, 建立多层次的、立体的防护体系, 具备完善的管理系统来设置和维护对安全的防护策略, 还需要对运行中的网络进行定期人工/自动的检查维护。Nagios系统能够通过ie和手机查看系统监控信息, 方便网管人员及时发现计算机网络故障。制定信息网络安全应急预案, 具有方便的故障恢复措施、远程监控、配置的能力。只有计算机网络时刻达到规定的可靠性指标, 保证整个网络系统具有强大的功能、优越的性能和工作任务可靠性, 使计算机网络真正具有较高的安全性和可靠性。

可靠性是规模大、异构程度高的现代计算机网络的根本要求, 保证网络运行中免受干扰, 克服因为线路中断以及局部故障导致整个计算机网络瘫痪的缺陷, 具备方便的故障恢复措施和全方位的监控配置能力。对计算机网络可靠性进行的深入探讨, 有助于促进我国计算机网络设计水平的提高。

网络可靠性设计论文篇2

HSPA网络设计规划和网络优化分析

HSPA作为3G制胜利器必将在建设伊始展开大规模网络部署，相对于R99而言，无论是在关键技术、频谱效率还是在网络性能上都有很大不同。这些差异使得我们在HSPA网络设计规划和网络优化方面都需要慎重对待和细致分析。

HSPA和R99网络设计规划的差异和难点

虽然HSPA是由R99演进而来的，但在关键技术上还是存在较大差异。网络特性上的差异导致了两者在网络设计规划上的较大区别，同时也带来HSPA设计规划的技术难点：

HSPA是尽力服务的网络

R99业务通过内外环功控的联合作用，可以确保业务的QoS达到目标要求，因此是一个有QoS保障的系统。而HSPA系统采用的AMC技术，不能保证用户在小区内的任意位置都能获得需求的服务速率。用户能实现的速率主要取决于该位置所能获得的C/I，因此我们说HSPA是一个BestEffort网络。

HSPA是干扰敏感的网络

由于每个用户所能实现的HSPA吞吐速率很大程度上取决于该用户在该小区位置所获得的C/I，而C/I和网络的干扰水平有着密切关系。当我们在设计规划一个网络时，即使采用相同数量的NodeB，但由于网络具体的物理参数设置不同使得整个网络的几何因子不同，导致干扰水平差异，最终使小区平均吞吐速率存在较大区别。因此如何优化网络参数使HSPA性能最佳是网络设计规划的又一难点。

HSPA网络设计方法及步骤

HSPA的网络设计在R99基础上增加了对网络HSPA性能评估以及能否满足用户HSPA业务的需求分析，因此更为复杂。然而设计方法是否准确将直接影响到网络质量、投资成本、运营效果等网络特性，因此需要特别重视。

目前我们经常看到一些简单评估HSPA的方法，如小区边缘速率计算等。通常其仅仅通过一个链路预算算出小区边缘的C/I，再结合链路仿真确定小区的边缘速率。这些方法看似简单，但实际存在许多问题。比如在计算小区边缘的C/I时需要确定干扰水平，通常采用固定负载方式假定为某一数值。首先，这个假定是否合理就很难判断。其次，这种方法还会造成一种错误的观念，即只要缩小小区半径就可以不断提高边缘速率。实际上，如密集市区，由于小区边缘的邻区干扰比已经稳定，再缩小小区半径也无法提高C/I和小区边缘速率。这种方法还有另一个问题就是在混合载波时，无法分析R99和HSPA业务对系统资源的占用以及服务速率。

评估HSPA性能应该采用小区吞吐速率的累积分布以及平均吞吐速率。具体的分析步骤如下：

首先，需要进行链路级仿真，获得各种多径环境下C/I和吞吐速率的对应关系，并要考虑到各种终端

OFweek通信网 – 中国通信行业门户

类型以及功率和码资源的情况。

其次，通过对网络C/I的分布情况进行仿真和覆盖预测，获得网络C/I分布的统计结果。再结合链路级仿真结果，获得小区吞吐速率的累积分布情况，进而计算出小区平均的吞吐速率。

为了便于在实际的网络设计工作中进行HSPA性能分析，上海贝尔事先进行了大量的链路仿真和系统仿真，将各种小区半径、各种终端类型、各种R99和HSPA的功率码资源分配比例等进行相互组合，获得各种条件下HSPA性能，并形成一个庞大的数据库。这样在实际工作中不再需要进行复杂的仿真推演，只需查询该数据库即可，大大缓解了工作强度。

我们建议在网络建设初期采用R99和HSPA混合载波方式，所以在进行HSPA性能评估的同时必须考虑R99业务对资源的消耗情况。分别从R99和HSPA需求的业务量出发，通过一种迭代算法来平衡R99和HSPA对资源的占用，同时获得了容量和覆盖的平衡。

需要特别指出的是，在迭代过程中，在计算话务需求和网络资源配置时需要使用话务模型。由于3G多业务环境特点，因此以往2G采用的单业务模型如ErlangB模型已不再适用。上海贝尔经过研究总结出一套新的多业务模型——TrafficModel，又称作扩展背包模型。这个模型很好地解决了3G多业务环境下不同业务、不同GoS要求和不同系统资源配置的关系，达到既满足各种业务的质量要求，又实现系统资源配置最低的效果。

如何进行HSPA的网络优化

HSPA优化的核心内容是吞吐量优化和减少对原有R99网络影响，同时兼顾接入、拥塞、移动性管理等。上海贝尔开发并使用功能强大的测试工具，细致入微的计数器，成熟稳定的产品及优化方法，使HSPA网络性能达到最佳。

为优化HSPA吞吐量，上海贝尔在热点地区使用更大比特数据包技术，将以前的336bit提高到656bit；同时对HSDPA中特有的HARQ（快速重传）进行优化，进一步提高重传效率，从而提升吞吐量。为优化HSPA单个用户吞吐能力和整个网络吞吐能力之间的平衡问题，上海贝尔使用了特有的调度算法，在考虑不同用户等级及终端等级的同时，使用户传输数据量和无线质量之间达到平衡。为减少对R99网络的影响，上海贝尔引入了动态码树管理和多载波功放pooling技术，通过对码资源和功放资源的优化，达到减少对R99影响的目的。最后，上海贝尔还将长期积累的CDMA优化经验应用到WCD－MA网络优化工作中，创建多达15个模板用于不同的无线环境优化应用，大幅降低优化工作难度以及对优化工程师经验的依赖，通过专业化的系统集成和客户服务能力，为保证网络质量、业务性能提供坚实的基础。

教学系统设计网络课程设计研究篇3

关键词教学系统设计；网络课程；网络资源

中图分类号：G642.4 文献标识码：B 文章编号：1671-489X（2012）34-0034-01＼

网络课程就是通过网络表现的某门学科的教学内容及实施的教学活动的总和，它包括两个组成部分：按一定的教学目标、教学策略组织起来的教学内容和网络教学支撑环境。其中，网络教学支撑环境特指支持网络教学的软件工具、教学资源以及在网络教学平台上实施的教学活动。

1 教学设计

对于任何一门网络课程，首先必须进行教学设计，即依据前端分析及课程学习目标设计出相对应的教学策略和教学活动。教学系统设计是教育技术学专业的专业核心课程。学习者分析主要考虑三个方面，即学习者的一般特征、学习的起点水平、学习风格。教学内容分析主要是以教学目标为基础，旨在规定教学内容的范围、深度和揭示教学内容各组成部分的联系，以保证达到教学最优化的内容效度。除此还应完成教学内容的编排，通过上述学习者分析得出的结论对教学内容进行选择。选择教学内容绝对不是单单照搬照抄书本上的内容，而是通过进行一定的删减、增加和重新组织，将教学内容呈现给学习者。

教学策略与教学活动设计包括两部分。

1）自主学习策略的设计。本网络课程学习策略设计主要根据维果茨基的最邻近发展区理论，在网络课程中的每一个章节都呈现出各章的学习目标、学法指导和本章的知识地图，让学生根据目标和指导，有目的地去学习。设计的相关资源栏目，主要进行与本网络课程内容相关的网站链接，方便学生查阅相关资料，理解学习内容，扩大知识面。自主学习策略的设计遵循“确立学习目标——提供学习资源——学生自学——评价——总结——联系巩固”的过程。

2）协作学习策略的设计。根据建构主义学习理论的观点，“协作”“会话”是学习环节四大要素中的两大要素，协作学习环境创设的好坏将直接影响到学习者对知识意义的建构。本网络课程主要采用留言本的形式体现出协作学习的设计，使学习者通过交互来完成协作学习。

2 系统设计

根据教学系统设计课程的特点，其网络课程首页呈现课程简介、教学大纲、教学内容、课间休息、交流讨论、在线测试、相关资源、使用帮助等相关版块。学习导航采取列表导航，即在教学内容栏目中，将各个章节列举出来，学习者可以根据学习需要，进行选择性学习。交互设计采用留言本的交互方式，为学习者之間进行交流讨论提供一个很好的平台，学习者可以就各方面的问题进行交流讨论，同时教师还可以通过留言对学生提出的疑难问题做出解答，进行学习双向反馈。界面设计简单明了，功能模块易于操作，引导学习者参与学习。

3 技术实现

采用ASP+ACCESS数据库进行网站的设计。前台设计采用Photoshop图像处理软件和Dreamweaver结合，通过主页上的链接点击进入相应的功能模块，通过前台设计，确定后台设计和实现功能，进而对数据库进行设计。后台与数据库的设计是通过前台要实现的功能来确定的，主要有管理登录界面、管理首页、常规设置、文章管理、用户管理、文件管理、数据库管理、在线调查与留言管理。本设计中用到多个数据表，对后台设计中所用到的数据表主要有admin后台管理员信息表、bigclass大类信息表、info网站配置信息表、jasys系统日志表、news上传内容信息表、smallclass小类信息表。最后进行数据库的连接，并添加数据库连接出错的提示功能。

4 几点思考

网络课程设计要体现教学的一般规律，特别要强化教学设计；丰富自主学习资源，尤其是一些专业性非常强的学科，学习者就非常需要相关知识的电子图书馆式的资源库；重视反馈，需要课程提供大量的相关案例，使学习者在解决案例的过程中进行知识的再次建构；关注教师的负担，网络课程学习中的师生教学交互给教师带来的负担较传统教学要大许多，有时甚至会使教师力不从心、难以应付。

参考文献

[1]余胜泉.网络课程的设计与开发[EB/OL].教育技术通讯，202.112.88.32/show/ysq/net_course.htm.

[2]王汉松.布卢姆认知领域教育目标分类理论评析[J].南京师范大学学报：社会科学版，2000（3）：65-70.

计算机网络可靠性设计篇4

随着计算机网络的迅速发展,计算机网络的可靠性问题越来越受到网络设计者和使用者的普遍重视。计算机网络的可靠性也成为衡量计算机网络综合性能的一项非常关键的技术指标。计算机网络在企业、银行、交通、能源、通信、学校、工厂、军事等领域应用日益广泛,小到人们日常生活,大到国家安全稳定。因此,计算机网络可靠性的课题研究具有巨大的经济价值和社会效益。

随着信息化的迅猛发展,单位(企业)内部各种业务流程的网上运行,单位(企业)的业务对数据网络的依赖性越来越强,网络已经成为现代单位(企业)业务不可缺少的一部分,可靠性问题也变得越来越突出,成为用户关注的突出问题。网络可靠性的目标是实现业务数据流的无中断完整转发。很长时期以来,属于软件范畴问题的网络可靠性与安全,引起了人们的普遍关注。然而,就电源配电线路、网络的数据、信号传输线路、设备常常发生的运行不正常和硬件遭损坏的现象,尚未引起足够的重视。例如:

(1)不明原因的数据丢失或出错,无故障停机事故(死机);

(2)按规范规定采取了防护措施,仍发生系统硬件故障;

(3)使用了高性能高精度设备,仍发生原因不明、程度不同的损坏,甚至无法投入运行。究其原因,主要在于对网络系统设备硬件没有进行可靠性设计或可靠性设计不当。

而网络系统的可靠性取决于组网设备本身的可靠性和网络架构的可靠性,正确布线可以提高网络线路的可靠性及网络系统可靠性。

2 设备的可靠性

造成计算机网络设备硬件损坏和运行不正常的因素,如雷击、谐波干扰、地电位扰动以及强弱电线路并行导体之间分布电容耦合干扰等。设备使用环境或使用条件的可靠性设计考虑较少等,如没有考虑设备的可靠性热设计、电磁防护设计、降额设计、三防设计、冗余设计、机械防振设计等。当雷击时接地装置和钢筋电位骤升,引起参考地上高电位通过电子设备线路板,对低压电源线和电源接地中性点反击击穿,网络设计者提出了计算机网络采用防雷击、防干扰性变压器隔离的IT系统供电方式,综合解决防雷击、防谐波干扰、防地电位扰动问题。另外也要认真考虑设备使用环境或使用条件的可靠性设计。确保计算机网络及重要电子设备不损坏。

设备的可靠性主要取决于设备自身软件和硬件的设计水平和在网络设计中使用环境或使用条件的可靠性设计。在网络设计中,核心设备必须具备可靠性已经得到了用户和厂家的充分认可。因此大都选取了具有高可靠性的机架式交换机,同时还配有双电源、双主控板之类,即可靠性设计的冗余方式。而设备使用环境或使用条件的可靠性考虑较少,例如设备的可靠性热设计、电磁防护设计、降额设计、三防设计、冗余设计、机械防振设计等。就可靠性冗余设计来说,对哪些设备采用哪种冗余方式(主动冗余,备用冗余,功能冗余)对可靠性也有影响。

3 网络架构的可靠性

在组网方式中,可靠性设计冗余方式主要是设备冗余和链路冗余,其中,设备冗余技术体现在VRPP和STP/RSTP/MSTP,链路冗余技术体现在STP/RSTP/MSTP(后面统称为STP)、LACP。

VRRP技术可以实现两个中心交换机在第三层的热备份功能,保证了当某一台中心交换机出现故障时另一台可以取而带之。STP技术本来是为了解决桥接环路的问题,但也可以实现多台交换机在二层链路上的热备份,当主线路出现故障时,备份线路可以立刻启用,对业务不会产生大的影响。而LACP本来是解决两台交换机间的带宽问题的,是用来将多条链路绑在一起作为一个逻辑链路使用的技术,但在客观上也起到了链路备份的作用。

这几种技术在现在企业组网环境中的组合应用,应该说基本上已经可以满足大多数用户的需求了。但这仍然不是完美的。

今天的组网方式在可靠性上乃存在的不足,通过VR-RP和STP技术虽然可以满足了大多数情况下可靠性的要求,但还是有一定缺陷的。这主要是因为在这些技术实现里并没有把互备的设备作为一个整体来考虑,而是主备的概念,过分强调了冗余,因此在负载分担上出现了不足之处。

4 正确布线可以提高网络可靠性

网络综合布线作为网络的基础设施以及整个建筑物的生命线,其使用寿命远远大于电脑软硬件和其他网络设备,是不容易被替换的隐蔽工程,被认为是一种长期的投资资产。然而根据国外权威机构的统计表明,总投资额不到整个系统10%的网络布线会导致超过70%的网络故障。网络综合布线作为网络系统的基础,承担着信息传输的重任,同时也是网络安全的第一道防线,是网络安全链条中非常重要的一环。因此,如何选择合适的网络布线系统来构铸网络安全的第一道防线,使可能发生的故障损失减少到最低限度,成为人们建立网络系统时首先要考虑的问题。对于高可靠性的网络系统,可以根据用户的要求以及实际应用需求提供以下多种解决方案。

(1)屏蔽布线防止电磁干扰功能。它是在普通非屏蔽线的外面加上金属屏蔽层,利用金属屏蔽层的反射、吸收及趋肤效应来实现防止电磁干扰及电磁辐射的功能,屏蔽系统综合利用了双绞线的平衡传输原理及屏蔽层的屏蔽作用,因而具有非常好的电磁兼容(EMC)特性。由屏蔽双绞电缆及其连接硬件所组成的屏蔽网络可以明显地降低信号传输过程中向周围环境中的电磁辐射量。当使用非屏蔽双绞电缆传输信号时,该电缆会形成传输天线的形式,向电缆周围辐射电磁能量,这时传输的信息就很容易被拦截。而屏蔽系统由于它较低的能量辐射而很难被拦截。加密和解密是保护网络安全性的另外一种解决方式,但它需要较大的网络发射功率,而且配套的软硬件配置非常昂贵。选择这种方式的花费将比在一开始就安装屏蔽系统要高很多。从信号发射保密性的角度来说,采用屏蔽布线应该是首要选择。

同时,信号传输的完整性可以通过屏蔽布线系统得到一定的保证。屏蔽布线系统可以防止传输数据受到外界电磁干扰和射频干扰的影响。电磁干扰(EMI)主要是低频干扰,马达、荧光灯以及电源线是通常的电磁干扰源。射频干扰(RFI)是高频干扰,主要是无线频率干扰。无线电、电视转播、雷达及其他无线通信是通常的射频干扰源。

(2)Ether Seal保证恶劣环境下网络安全。在温度和湿度过高或过低、灰尘比较多的环境,在有较强电磁干扰、较强的震动和有腐蚀性化学物质的环境,对于整个网络系统提出了更高的要求。传统的连接器和电缆设计已不能满足这样的性能要求,针对这样的应用需求,可采用泰科电子的安普布线Ether Seal连接系统,为在恶劣环境中的数据安全稳定传输提供了一系列的专利产品。与一些工业连接器使用的连接装置不同的是,Ether Seal连接系统提供一个安全的IP67接口的公插头。这种插头使用一个锁紧销,在插头和插座连接时,可以很清晰的听到锁紧销锁紧时发出的响声,有利于我们判断插头和插座是否连接密封好。同样,断开连接时也只需轻微地向反方向旋转一下,就能够断开,非常方便,再也不用像传统工业连接器那样,费力地通过拧紧插头和插座之间的螺纹来固定两者之间的连接。同时能够确保网络连接的顺畅和信号的安全传输。而且Ether Seal电缆在标准电缆外包装第二层PVC外皮(也就是说该电缆有两层PVC外皮提供保护),可以提供防阳光、防油污及增加电磁防护性能和机械性能,电缆种类包括屏蔽和非屏蔽,实芯和多股绞合电缆。Ether Seal系统的密封连接设计和电缆的防护设计以及在工厂中进行预端接的跳线,为在恶劣环境条件下的网络系统提供了安全可靠的基础保证,是在此类环境下进行网络系统建设的首选布线系统。

(3)使用屏蔽电缆。电缆与连接器正确的端接和电缆外皮的良好接地是非常重要的一点。任何屏蔽的不完整将降低屏蔽层的保护作用,从而降低抗电磁干扰(EMI)的效率。电缆的走线应遵照厂商推荐的方法进行,应尽量避免潜在的信号源干扰。在此应该充分考虑电缆走线相关的国际国内标准所规定的指标。例如,在EIA/TIA 569中规定,通信电缆与荧光灯的距离不得小于15厘米,因为荧光灯是造成EMI的主要干扰源之一。象电梯马达、自动门和空调单元等都是潜在的EMI干扰源。设备越陈旧,产生的EMI干扰就越大。对于那些无法避免和克服的EMI干扰源来说,使用封闭的金属管道可以为布线系统提供额外保护措施。屏蔽电缆中由于存在屏蔽,它的平衡特性较差,因此良好的屏蔽完整性和良好的接地对屏蔽电缆来说是非常重要的。

(4)非屏蔽双绞线。UTP无金属屏蔽材料,只有一层绝缘胶皮包裹,价格相对便宜,组网灵活。除某些特殊场合(如受电磁辐射严重、对传输质量要求较高等),一般情况下都采用UTP。现在使用的UTP可分为三类、四类、五类和超五类四种。其中:三类UTP适应了以太网(10Mbps)对传输介质的要求,是早期网络中重要的传输介质;四类UTP因标准的推出比三类晚,而传输性能与三类UTP相比并没有提高多少,所以一般较少使用;五类UTP因价廉质优而成为快速以太网(100Mbps)的首选介质;超五类UTP的用武之地是千兆位以太网(1000Mbps)。UTP电缆通过将电缆线对进行更紧密的匹配来减小EMI干扰。这种电缆被称为平衡电路。在理想的平衡电路中,导体中引入的噪声电压的和是零,这样线对之间的信号传输将没有干扰。高质量的UTP电缆在不需要接地或整个电路不需要屏蔽的情况下可以实现良好的平衡电路特性。因此它不受任何形式的电磁屏蔽影响。

(5)光纤。在传输速率要求超过155Mbit/s和需要更长传输距离的应用中,光纤通常是最佳选择。光纤具有体积小、耐用等优点,但目前它的成本要比其他类型的电缆高。大多数在局域网中使用的光缆是多膜光纤。比高性能的单膜光纤更容易安装。在大多数网络中,一般都采用光缆作为干线,然而,随着通信速率的提高和设备价格的下降,使用光纤直接到桌面的网络数量也在不断增长。

5 施工时需注意的问题

(1)设备施工。应充分考虑设备可靠性热设计、设备可靠性电磁防护设计、设备可靠性降额设计、设备可靠性三防设计、设备可靠性冗余设计、设备可靠性机械防振设计是否需要。

(2)电源配电线路的敷设方式、防雷与等电位联结措施。计算机网络的主机和终端低压电源线路和三相垂直干线应穿金属管(槽)。在各层隔离变压器的一次侧各相电源线、中性线(如果有的话)与PE线之间装设电涌保护器。PE线应尽量多点同各层楼板钢筋实行等电位联结。当雷电流下行,楼板钢筋电位升高时,通过电涌保护器将高电位引到电源线上,达到隔离变压器一、二次侧准等电位联结的目的。

(3)强、弱电线路分别敷设。经常见到有些设计将强、弱电终端线路都采用非屏蔽导线穿塑料管并行敷设,施工时又往往挨得近,通过强、弱电导线之间存在的分布电容的耦合途径,使得弱电线路产生较高的静电感应电压,导致弱电设备电子线路板被击毁。所以强、弱电线路分别敷设是杜绝这种事故发生的根本措施。

(4)计算机网络的数据、信号传输线路的结构、敷设方式、防雷和等电位联结措施。建筑物内局域网的垂直数据总线或信号线应采用光缆或屏蔽金属线。当采用屏蔽金属线时应敷设在金属线槽(管)内,其屏蔽层只应同主机房内参考地一点连接。金属线槽(管)则应尽量多点同各层楼板钢筋相连。连接各终端的水平数据支线可采用非屏蔽金属绞线敷设在金属线槽(管)内。金属线槽(管)应至少首尾两端与本层楼板钢筋实行等电位联结。数据、信号线在各层配线架处装设专用电涌保护器。

6 计算机网络参考地的设置

一个局域网只应有一个参考地,通常设在主机房。各个终端采用悬浮地。如果存在两点接地,则在两个参考地之间出现微小的电位差,便可能发生数据差错、丢失或死机等运行故障。在整个局域网主机和终端均采用IT系统供电和只有主机参考地一点悬浮地的情况下,地电位任何浮动都不会危及系统硬件安全和运行可靠性。

主机房的所有设备宜设置在一个等电位的金属平板(通常采用防静电地板)上。将各设备(包括外围设备,如UPS等)的参考地用最短的导线连接到该金属板上。金属板只应有一点同本层楼板钢筋相连,以防大电流(诸如短路电流)通过钢筋时金属板产生电位差。

对于一个建筑物内有多个智能化系统用数据总线(如结构化综合布线系统)连接起来的分布式局域网或以太网来说,参考地可按以下方式设置:

(1)当数据总线采用光缆时,各系统应分别设置参考地。

(2)当数据总线采用屏蔽金属导线时,参考地设在主要系统的主机房内。其它系统的参考地应悬浮连接。该金属屏蔽层作为内屏蔽,只能与主机房的参考地一点连接。作为外屏蔽的金属管或金属线槽则应尽量多点(至少首尾两点)与各层钢筋实行等电位联结。这样做法,即使外屏蔽层中流过大电流出现很大的电位差,由于内屏蔽层及其内部的数据线只有一点接地,不构成通流回路,始终能保证内屏蔽层及其内部数据线处于同参考地等电位状态,达到良好的屏蔽和等电位连接效果,保证系统硬件的安全和运行可靠性。如果没有内屏蔽层,则外屏蔽层两端出现很大电位差时,便可能造成对其内部数据线及其所连接的设备绝缘击穿。有的地方采用铝箔屏蔽线,施工时常发生铝箔折断现象,建议采用铜箔或铜丝编织的屏蔽层,可避免类似现象。

7 结束语

可靠性设计是技术进步的必然趋势,应该及早推广这一方法,以取得更好的经济与社会效益。

参考文献

[1]林慧,石钰,盛洪峰.计算机网络的维护与管理[J].新疆:新疆气象,2006(11):49-51.

[2]章治,徐伟.浅谈计算机网络可靠性优化设计[J].北京:科技资讯,2006(35):2-24.

[3]李旸.基于智能计算的计算机网络可靠性分析研究[J].陕西:计算机技术与发展,2006(8):30-32.

网络教学设计篇5

天津宝坻区新安镇第一初级中学张建智 [概述] 《用坐标表示地理位置》是人民教育出版社义务教育课程标准实验教科书七年级下册第六章第二节第一课时内容.在此之前，学生已学习了有序数对和平面直角坐标系,这为过渡到本节的学习起着铺垫作用.本节内容是对平面直角坐标系引入实际运用部分，因此，也为后续学习函数等知识打下基础.[设计理念] 数学是一门培养人思维，发展人思维的重要学科，因此，在教学中，不仅要使学生“知其然”而且要使学生“知其所以然”，我们在以师生既为主体，又为客体的原则下，展现获取知识和方法的思维过程.基于本节课的特点，应着重采用“主动探索与引导发现”的教学方法.我们常说：“现代的文盲不是不识字的人，而是没有掌握学习方法的人”，因而在教学中要特别重视学法的指导.引导学生观察、探索、发现一般规律.指导学生利用所学知识解决实际问题.[教学目标] 1．知识技能

了解用平面直角坐标系来表示地理位置的意义及主要过程；培养学生解决实际问题的能力．

2．数学思考

通过学习如何用坐标表示地理位置，发展学生的空间观念． 3．解决问题通过学习，学生能够用坐标系来描述地理位置． 4．情感态度

通过用坐标系表示实际生活中的一些地理位置，培养学生的认真、严谨的做事态度． [教学重点与难点] 1．重点：利用坐标表示地理位置． 2．难点：建立适当的直角坐标系，利用平面直角坐标系解决实际问题．【学习者特征分析】

学生是新安镇一中七年级的学生。

学生对数学学习、对网络环境下的学习具有较浓厚的兴趣。

学生熟悉网络教室的学习环境，能够顺利地运用vclass网络教学平台。学生已初步具有一定的生活经验、社会经验，让他们经历由实际问题抽象出数学问题，通过对数学问题的研究解决实际问题的过程.这种方式密切联系生活实际，从实际的需要出发学习直角坐标系，让学生充分感受平面直角坐标系在解决实际问题中的作用.【策略选择】数学是一门培养人思维，发展人思维的重要学科，因此，在教学中，不仅要使学生“知其

然”而且要使学生“知其所以然”，我们在以师生既为主体，又为客体的原则下，展现获取知识和方法的思维过程.基于本节课的特点，应着重采用“主动探索与引导发现”的教学方法.【资源准备】

多媒体网络教学课件。多媒体网络教室。

人教课标版初中数学七年级下册教材。[教学过程]

一、创设问题情境

观察：教材第54页图6．2-1．

今天我们学习如何用坐标系表示地理位置，首先我们来探究以下问题．意图：把教学内容转化为具有潜在意义的问题，让学生产生强烈的兴趣，学生通过观察活动，可以看到，用坐标可以清楚地表示地理位置，由此引出建立适当的坐标系表示地理位置的内容。由此点题——本课的学习内容是：用坐标表示地理位置.二、师生互动，探究用坐标表示地理位置的方法

活动1：

根据以下条件画一幅示意图，指出学校和小刚家、小强家、小敏家的位置．小刚家：出校门向东走150米，再向北走200米．

小强家：出校门向西走200米，再向北走350米，最后再向东走50米．小敏家：出校门向南走100米，再向东走300米，最后向南走75米．问题：如何建立平面直角坐标系呢？以何参照点为原点？如何确定x轴、y轴？如何选比例尺来绘制区域内地点分布情况平面图？

小刚家、小强家、小敏家的位置均是以学校为参照物来描述的，故选学校位置为原点．根据描述，可以以正东方向为x轴，以正北方向为y轴建立平面直角坐标系，并取比例尺1：10000（即图中1cm相当于实际中10000cm，即100米）．

由学生画出平面直角坐标系，标出学校的位置，即（0，0）．引导学生一同完成示意图．

问题：选取学校所在位置为原点，并以正东、正北方向为x轴、y轴的正方向有什么优点？

可以很容易地写出三位同学家的位置．

活动2：归纳利用平面直角绘制区域内一些地点分布情况平面图的过程．经过学生讨论、交流，教师适当引导后得出结论：

（1）建立坐标系，选择一个适当的参照点为原点，确定x轴、y轴的正方向；（2）根据具体问题确定适当的比例尺，在坐标轴上标出单位长度；（3）在坐标平面内画出这些点，写出各点的坐标和各个地点的名称．应注意的问题：用坐标表示地理位置时，一是要注意选择适当的位置为坐标原点，这里所说的适当，通常要么是比较有名的地点，要么是所要绘制的区域内较居中的位置；二是坐标轴的方向通常是以正北为纵轴的正方向，这样可以使东西南北的方向与地理位置的方向一致；三是要注

意标明比例尺和坐标轴上的单位长度．

有时，由于地点比较集中，坐标平面又较小，各地点的名称在图上可以用代号标出，在图外另附名称．（举例）活动3：进一步理解如何用坐标表示地理位置．展示问题：（教材第62页，公园平面图）

春天到了，初一（13）班组织同学到人民公园春游，张明、王丽、李华三

位同学和其他同学走散了，同学们已经到了中心广场，而他们仍在牡丹园赏花，他们对着景区示意图在电话中向老师告诉了他们的位置．

张明：“我这里的坐标是（300，300）”．王丽：“我这里的坐标是（200，300）”．李华：“我在你们东北方向约420米处”．

实际上，他们所说的位置都是正确的．你知道张明和王丽同学是如何在景区示意图上建立的坐标系吗？你理解李华同学所说的“东北方向约420米处”吗？

用他们的方法，你能描述公园内其他景点的位置吗？让学生分别画出直角坐标系，标出其他景点的位置．意图：让学生经历由实际问题抽象出数学问题，通过对数学问题的研究解决实际问题的过程.这种方式密切联系生活实际，从实际的需要出发学习直角坐标系，让学生充分感受平面直角坐标系在解决实际问题中的作用.三、小结

让学生归纳说出如何利用坐标表示地理位置．

意图：在归纳过程中，让学生充分活动起来，通过前面的观察、探究来进行总结.不要让学生死记硬背.四、课后作业

教材第60页第5题、第8题．

意图：针对学生素质的差异进行分层训练，既使学生掌握基础知识，又使学有佘力的学生有所提高，从而达到拔尖和“减负”的目的.【教案点评】本节课通过实际生活中的例子引入，借助多媒体动画直观形象的演示，激发学生学习的兴趣，激活他们的思维.采用“主动探索和引导发现”的教学方法，让学生学会通过建立平面直角坐标系来表示物体的地理位置.教学中要注意建立平面直角坐标系的关键是确定原点的位置，确定比例尺是画平面直角坐标系的重要环节，确定坐标轴上的单位长度是建立直角坐标系的重要步骤.【教学评价】教学设计成果评价量表篇二：网络信息浏览教学设计

《网络信息浏览》

教学设计

重庆市小龙坎职业中学校

彭方中 2011年5月 22日篇三：网络基础知识教学设计

信息技术课堂教

学设计表 1 2 3 4 5 篇四：走进网络教学设计

《走进网络》教学设计

作者：刘世银性别：男职称：小学数学一级学历：本科单位：安徽省肥西县洪桥学区中心学校

教学内容：

安大版六年级综合实践活动下册“it世界”之话题三“走进网络”（p26-p31）。

教学目标：

1.认识网络，了解网络的作用，以及给人们学习、生活、生产带来的便利。2.了解上网的方法，知道一些优秀的学习网站网址，学会利用网站学习。3.会利用中文搜索引擎进行相关的搜索操作。4.知道《全国青少年网络文明公约》内容，理解沉溺网络游戏放入危害，从而能约束自己文明、健康上网。

教学过程：

一、引入话题 1.教师出示“网”字，提问“什么意思”？学生交流后，教师再继续出示“络”，提问“网络什么意思”。2.教师：今天就让我们一起“走进网络”，去认识网络，感受网络带给我们的便利与惊喜（出示课题：走进网络）。

二、认识网络

1.介绍网络的含义。

网络主要指“国际互联网”。它像一张包住地球的“大鱼网”。所有的电缆、光缆、无线电波就是这张网的“线”，在这些“线”上流动着文字、图片、声音等信息。这些信息能在短短的几秒时间跨过千山万水，传到世界各地的电脑上。2.交流：你知道哪些网络？

师：现在了解了网络的概念，那你能告诉我你都知道哪些网络、网址、网页吗？学生说出几个网页名称、网址，教师选择性板书，引导：那怎么找到、打开这些网页、网址呢？

预设：如果学生不知道，教师就出示课件介绍ie浏览器；如果学生知道，则邀请学生上来演示，并在操作中讲解。

师解说：畅游因特网，我们需要通过浏览器这个帮手，常用的是internet explorer，简称ie。在电脑桌面找到这个图标（或者在开始-程序里面找到也可以），双击（或者右击后点击“打开”）就打开网络窗口了，在这里可以输入你想要找的网址了。例如：

/retype/zoom/9f4f4608844769eae009eda4?pn=3&x=0&y=0&raww=327&rawh=108&o=png_6_0_0_452_469_162_56_892.979_1262.879&type=pic&aimh=108&md5sum=478c4fb8c940def3140dc4bb67d390a3&sign=8f0eaacd6d&zoom=&png=4650-60089&jpg=0-0“ target=”_blank">点此查看

利用搜索引擎搜索“鲸的生活习性 ”相关知识；

利用搜索引擎搜索“2008年北京奥运””相关图片；

利用搜索引擎搜索歌曲“我们是共产主义接班人 ”。

四、文明上网 1.师引导：课上到这里，我们已经了解了上网对我们学习、生活的帮助，但是我们也都知道，一旦我们沉迷于网络之中，我们的身心健康都将受到严重的伤害。那我想问一下在座的各位同学，你们会沉迷于网络之中吗？你们会文明、健康地上网吗？ 2.引出《全国青少年网络文明公约》，要求全班齐读一遍。

课件出示：

要善于网上学习，不浏览不良信息；

要诚实友好交流，不侮辱欺诈他人；

要增强自护意识，不随意约会网友；

要维护网络安全，不破坏网络秩序；

要有益身心健康，不沉溺虚拟时空。

五、情感延伸 1.师小结：对，我们要善于利用网络中的一些优秀资源，善于利用网络资源学习，让网络成为我们真正的良师益友，成为我们学习的得力助手，因为我们是“共产主义接班人”。2.跟唱《我们是共产主义接班人》。3.作业

（1）收集优秀网站，然后推荐给其他同学（教材p28）。

（2）书写感想：网络游戏我来谈（教材p31）。篇五：网络基础知识教案

第一节认识计算机网络教案

第一周第1节了解计算机网络第1课时

教学目标：

1、了解什么是计算机网络。

2、知道计算机网络的作用。

3、学会使用校园网中的共享资源。

教学任务：学会资源共享。

教学重点：了解计算机网络的作用。

教学难点：设置资源共享。

课时安排：2课时。教学过程：

一、课前准备

1、安排座位

根据学生人数安排座位。

2、上课要求

3、进入微机室的要求 1）、按照教师的安排有顺序的进入教室。2）、不准在微机室内大声喧哗，不准随便离开座位。3）、不准乱动机房内电缆开关之类的设备，防止触电。4）、正确使用键盘、鼠标，不要重击，以免损坏。按各类按钮要轻按不能乱按。5）、上课有事有问题要举手，得到老师的允许，方可进行。6）、下课时要轻轻的将键盘、凳子放回原处。然后一排排的有序离开教室。

4、微机室卫生要求 1）、进入微机室必须穿脚套。2）、不准在微机室乱丢纸屑。

二、激发兴趣引入新课

不知从何时起，“网络”已经悄悄地来到了我们的生活当中。相信大家平时经常能够听到这样的话：“你上网了吗？”，“我从网上给你发信息”??这个“网”指的就是计算机网络。那么，什么是计算机网络？计算机网络能帮我们做什么呢？本节我们就来学习这些知识。

三、新授内容

1、认识计算机网络在windows操作系统的“游戏”附件当中，有一个“红心大战”游戏。这个游戏不但可以和多个同学一起玩。做一做：四个同学一组，一起来玩“红心大战”游戏。

2、计算机网络能做什么

建设计算机网络的主要目的是进行数据通迅和资源共享。

共享资源是计算机网络的另一项重要功能。通过计算机网络，我们可以在自已的计算机上使用网络中软件、硬件或者数据资源。

做一做：访问其他计算机中的共享文件。

第1步：在windows桌面上双击“网上邻居”图标，打开“网上邻居”窗口，窗口中显示出整个网络中所有可用的计算机。

第2步：在窗口中双击任意一台计算机的图标，就可以看到这台计算机提供的共享资源。

第3步：在窗口中双击某个共享资源，可打开这个文件夹，查看其中的内容。

第4步：双击任意一个文件的图标，即可以打开相应的软件查看文件的内容。

四、合作交流归纳概括

试试看

通过“网上邻居”，在自己的计算机上查看网络中其他同学计算机中的共享文件。

练后互相讨论。本课你有什么收获？

教后记：

本课使学生了解计算机网络的基础知识，掌握计算机网络能做些什么，为(转载于:网络教学设计)文件夹设置共享不但可以获得别人提供的共享资源，也可以把自己的优秀资源让他人共享。大部分学生掌握的很好，能快速将文件夹设置共享，并且能和别人交流自己的看法。

第二周第1节了解计算机网络

第2课时

教学目标：

1、了解什么是计算机网络。

2、知道计算机网络的作用。

3、学会使用校园网中的共享资源。

教学任务：学会资源共享。

教学重点：了解计算机网络的作用。

教学难点：设置资源共享。

课时安排：2课时。

教学过程：

一、新授

1、知识窗

把文件夹设置为共享资源

建立计算机网络的目的之一是实现资源共享。通过计算机网络，我们不但可以获得别人提供的共享资源，也可以把自己的优秀资源让他人共享。要想将自己计算机中资源与其他网络用户共享，必须先将该资源设置为共享资源。

例如，将“张丽资源”文件夹设为共享文件夹的过程如下： 1）、找到d盘的“张丽资源”文件夹。2）、在“张丽资源”文件夹上单击鼠标右键，弹出快捷菜单。单击快捷菜单中的“共享”选项，出现“张丽资料”属性对话框。3）、在“张丽资料”属性对话框的共享选项卡中，单击选中“共享名”后面的框中出现了默认的共享文件夹名称“张丽资料”。4）、在“访问类型”栏设置访问权限。选中“只读”项，只允许网络用户读取和复制文件，不允许对原文件进行删除或修改操作；选中“完全”项，允许网络用户对文件进行各种操作；选中“根据密码访问”项，则根据网络用户输入的不同密码赋予不同的访问权限。

二、巩固练习

1、说说看

你能随意看网络中其他计算机上的文件吗？

2、试试看

通过“网中邻居”，在自己的计算机中查看网络中其他同学计算机中的共享文件。

3、练习后回答

玩“红心大战”游戏时，如果找不到四个同学还能玩吗？我们能不能和远在北京的小朋友一起玩“网上红心大战”？

你的身边还有哪些网络？它们各有什么作用？对你的学习和生活有影响？

能过“网上邻居”，查看教师机中的“学习素材”共享文件夹，这个文件夹中的文件都是老师为了帮助我们学习而准备的，看看有没有你需要的素材。

三、实践活动

完成p10的实践活动

第三周第2节神奇的因特网世界第1课时

学习目标：

1、了解因特网。

3、学会启动和退出ie浏览器；认识ie浏览器，熟悉浏览器窗口的各组成部分。

4、学会使用ie浏览器浏览网页。

课时安排：2课时。

教学过程：

一、创设情景引入新课

在学校的网络机房里，我们坐在自己的座位上，通过“网上邻居”就可以浏览其他同学计算机中的内容，非常方便。实际上，学校的网络机房仅仅是一个小局域网，在我们身边还有一个世界上覆盖面最广的大型网络——因特网。因特网上有各种各样丰富多彩的内容，为我们提供一个精彩的世界，有人说通过因特网可以“足不出户便知天下事”。下面就我们一起去认识一下这个神奇的因特网。

二、自主探索探究新知

1、简介因特网

同学们经常听说的“上网”就是指访问因特网，因特网是由全世界的许多计算机连接在一起组成的网络。因特网的英文名字叫internet。它可不是一个“网络”，而是由世界上许多大小小的计算机网络相互连接形成的，几乎覆盖了地球上的每一个角落，因此也有人叫它国际互联网。因特网是世界上最大的广域网。

因特网能有这么大的神通，是因为因特网上有许多计算机在为大家服务，这些计算机被称为网站。不同的网站提供不同的服务，例如：有的网站主要用来帮助大家收发信件，有的网站主要供大家发表意见，有的网站专门帮肋大家查找信息，有的网站可以辅助学习，有的网站可以教我们如何写作文?? 为了便于区别，因特网中每一个网站都有一个由英文字母、数字和符号组成的“地址”，称为网址。例如：

说说看:你周围哪些人上过因特网?他们上网做什么?网络给他们提供了哪些方便? 单击任务栏中的ie浏览器图标，打开ie浏览器窗口。

在这个窗口中，各组成部分的作用如下。

标题栏：显示浏览器软件的名称和当前正在浏览的网页各名称。

菜单栏：提供浏览器操作和设置的命令。

工具栏：提供浏览器的常用操作命令。

地址栏：在地址栏中输入网址后按一下回车键，就可以浏览相应的网站或者网页。

网页显示区：显示网页的内容。

状态栏：显示网页在网站中的位置或网页下载进度等。

三、合作交流归纳概括

1、说说看：比较浏览器和“画图”、“写字板”窗口，说说它们有什么相同和不同之处。地址栏工具栏网页显示区域菜单

栏

状态栏

网络可靠性设计论文篇6

关键词校园网基本网络搭建网络安全设计

中图分类号：TP393 文献标识码：A

以Internet为代表的信息化浪潮席卷全球，信息网络技术的应用日益普及和深入，伴随着网络技术的高速发展，各种各样的安全问题也相继出现，校园网被“黑”或被病毒破坏的事件屡有发生，造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

1基本网络的搭建

由于校园网网络特性（数据流量大，稳定性强，经济性和扩充性）和各个部门的要求（制作部门和办公部门间的访问控制），我们采用下列方案：

（1）网络拓扑结构选择：网络采用星型拓扑结构。它是目前使用最多，最为普遍的局域网拓扑结构。节点具有高度的独立性，并且适合在中央位置放置网络诊断设备。

（2）组网技术选择：目前，常用的主干网的组网技术有快速以太网（100Mbps）、FDDI、千兆以太网（1000Mbps）和ATM（155Mbps/622Mbps）。快速以太网是一种非常成熟的组网技术，它的造价很低，性能价格比很高；FDDI也是一种成熟的组网技术，但技术复杂、造价高，难以升级；ATM技术成熟，是多媒体应用系统的理想网络平台，但它的网络带宽的实际利用率很低；目前千兆以太网已成为一种成熟的组网技术，造价低于ATM网，它的有效带宽比622Mbps的ATM还高。因此，个人推荐采用千兆以太网为骨干，快速以太网交换到桌面组建计算机播控网络。

2网络安全设计

（1）物理安全设计

为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

（2）网络共享资源和数据信息安全设计

针对这个问题，我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN（Virtual LocalArea Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。从目前来看，根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。

但是，这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。

（3）计算机病毒、黑客以及电子邮件应用风险防控设计

我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一，防病毒技术。病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害，同时为了建立一个集中有效地病毒控制机制，需要应用基于网络的防病毒技术。这些技术包括：基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如，我们准备在主机上统一安装网络防病毒产品套间，并在计算机信息网络中设置防病毒中央控制台，从控制台给所有的网络用户进行防病毒软件的分发，从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后，不但可以做到主机防范病毒，同时通过主机传递的文件也可以避免被病毒侵害，这样就可以建立集中有效地防病毒控制系统，从而保证计算机网络信息安全。形成的整体拓扑图。

第二，防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备，专门用于TCP/IP体系的网络层提供鉴别，访问控制，安全审计，网络地址转换（NAT），IDS，VPN，应用代理等功能，保护内部局域网安全接入INTERNET或者公共网络，解决内部计算机信息网络出入口的安全问题。

校园网的一些信息不能公布于众，因此必须对这些信息进行严格的保护和保密，所以要加强外部人员对校园网网络的访问管理，杜绝敏感信息的泄漏。通过防火墙，严格控制外来用户对校园网网络的访问，对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护，包括：过滤掉不安全的服务和非法访问，控制对特殊站点的访问，提供监视INTERNET安全和预警，系统认证，利用日志功能进行访问情况分析等。通过防火墙，基本可以保证到达内部的访问都是安全的可以有效防止非法访问，保护重要主机上的数据，提高网络完全性。校园网网络结构分为各部门局域网（内部安全子网）和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。

内部安全子网连接整个内部使用的计算机，包括各个VLAN及内部服务器，该网段对外部分开，禁止外部非法入侵和攻击，并控制合法的对外访问，实现内部子网的安全。共享安全子网连接对外提供的WEB，EMAIL，FTP等服务的计算机和服务器，通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器，隐藏服务器的其它服务，减少系统漏洞。

参考文献

[1] Andrew S. Tanenbaum. 计算机网络（第4版）[M].北京：清华大学出版社，2008.8.

[2] 袁津生，吴砚农.计算机网络安全基础[M]. 北京：人民邮电出版社，2006.7.

[3] 中国IT实验室.VLAN及VPN技术[J/OL]. 2009.

网络可靠性设计论文篇7

1 概述

1.1 网络存储定义

网络存储是将存储设备通过网络拓扑结构连接到一起 ,形成群网络存储方式, 提高存储容量, 方便进行数据及资源的应用。在互联网大数据环境下, 网络存储的定义更为广泛,用户可以将各类数据上传在云网络空间, 方便在任何地方进行数据的应用和共享。

1.2 网络存储特点

网络存储的特点主要包括: 虚拟化、大数据、移动化管理。网络存储在互联网云时代具有虚拟化感知能力, 可根据用户需要进行用户端与网络服务器端之间的数据迁移, 实现相同数据在不同用户端共同应用。网络存储将来自不同国家、不同地区、不同客户端的数据进行统一管理, 形成大数据环境下的数据应用, 一方面可以解决客户端软、硬件应用的存储压力, 另一方面方便用户实现资源共享。对于用户在网络存储的资源, 用户可以在不同终端上进行数据的添加、删除和修改, 而无需在同一台终端设备上进行操作, 方便用户进行移动化管理的资源。

2 安全性分析

2.1 网络存储安全问题

网络存储安全问题主要体现在用户与网络存储服务器之间进行数据传输前的安全问题、传输中的安全问题和数据存储后的安全问题。

数据传输前的安全问题是用户将数据传输到网络存储服务器中, 保证用户所传输的数据的合法性、安全性和可靠性。

数据传输中的安全问题是当用户将数据传输到网络存储服务器过程中, 保证用户的数据不被窃取、冒用和破坏。

数据传输后的安全问题时网络存储服务器中存储的数据保证数据的完整性、可用性和可靠性。

2.2 影响网络安全因素

影响网络安全的因素主要包括病毒感染、网络攻击、系统漏洞和人为操作失误。

计算机病毒是计算机网络应用最为常见的安全威胁, 病毒感染的危害性非常大, 其通过伪装、植入、感染等形式侵入计算机网络中, 通过自我复制等方式迅速传播, 破坏计算机软、硬件, 导致计算机系统崩溃, 存储数据丢失。

网络攻击包括来自网络内部和外部两方面的攻击, 内部攻击是在网络存储系统内部非法用户通过冒充伪装侵入网络,窃取存储数据、破坏应用系统等, 外部攻击是不法分子通过对网络存储系统的恶意攻击, 通过系统漏洞入侵网络, 窃取或者破坏存储数据。

系统漏洞是计算机及软件存在设计缺陷, 容易给不法分子利用对网络存储系统进行攻击, 同时系统漏洞也是病毒感染的重灾区, 系统漏洞是存储应用的薄弱环节, 病毒通过漏洞进入系统会在系统中快速传播, 并感染网络中的所有计算机及网络数据包。

人为操作失误是网络存储用户或者管理员因疏忽丢失口令或者非法操作导致密码丢失或者安全机制丧失。

3 基于网络安全的网络存储设计

3.1 网络存储安全性设计目标

网络存储安全性设计的目标是实现计算机网络安全运行,并保证网络服务器数据存储安全, 防止资源被窃取或者破坏。

3.2 总体规划

基于网络安全的网络存储设计要从安全体系结构的构建、层次模型的构建、安全策略实施3个方面进行规划。

安全体系结构的构建: 网络存储安全体系结构如图1所示。

网络安全采用标准技术指标和管理措施保证网络数据的完整性、可靠性和安全性; 系统安全是保证网络存储系统在使用周期内应用系统及程序的安全; 数据安全是保证网络存储服务器中存储的数据完整、可用、可靠; 信息安全是用户与存储服务器之间进行联系时需要对用户的身份进行确认, 保证用户的合法性; 设备安全是网络存储服务器设备保证正常运转, 随时随地可为用户提供上传和下载服务。

层次模型的构建: 基于网络安全的网络存储安全体系层次模型可分为应用层安全模型、网络层安全模型和存储层安全模型。应用层安全模型是用户客户端应用安全, 在用户与存储服务器进行通信时, 需要对双方进行认证和审计, 保证通信内容安全; 网络层安全模型保证用户使用的服务为授权服务, 保证用户的隐私权, 防止数据被窃取和冒用; 存储层保证用户存储的数据只有通过用户授权后才能够应用, 当然用户也可以将资源分享到公共平台免费为所有网络中的用户使用, 但是要确保用户分享的资源的安全性。

安全策略实施: 网络存储安全策略从管理和技术两个方面进行实施。管理方面主要是对网络存储设备、数据传输、数据存储等进行统一的组织和管理, 建立严格的管理制度和监管制度, 保证系统的安全性; 从技术方面进行实施主要是利用技术手段对网络、存储服务器、访问控制和信息共享权限进行控制, 通过建立防火墙、认证机构等保证网络存储服务器的安全应用。

3.3 设计方案

网络存储过程中受到各个方面因素的影响, 安全问题很多,同时保护措施和技术手段也很多。通常保护网络存储数据安全主要采取的方式有防火墙保护、入侵检测系统、安全评估、病毒防范、身份认证及数据加密等。在基于网络安全的网络存储安全方面主要通过数据备份、分区管理、身份鉴别、防火墙、入侵检测、安全管理等进行设计, 建立全面的安全保护方案。

数据备份方案设计: 网络存储将每一个存储装置作为一个存储区域, 存储区域之间相互独立, 同时有可以相互进行数据交换。对于数据的备份可采用热备份策略, 该备份测落可不经过网络、服务器总线进行备份, 由此保证网络与服务器可正常运行。数据备份方案如图2所示。

用户端通过互联网上传到服务器的数据存储在存储网中,存储网中由多个存储设备可对存储设备上的数据进行备份。备份流程是服务器通过备份软件发出拷贝命令, 接收到命令后, 对存储磁盘中的数据进行读取, 并将指定数据块写到新的备份磁盘上。

分区管理方案设计: 将众多客户端上传的数据存放在统一的服务器上进行存储和管理增加了服务器的负荷和管理难度, 因此, 分区管理可以解决服务器运行缓慢、数据冗余、丢失等问题。分区可分为软分区和硬分区两种, 软分区是将交换机将全局名称放在一个分区中, 可通过多个端口接入 ,在架构上是基于相同节点的全局名称, 在同一分区中的用户可实现资源的共享, 但是此方式难以避免黑客伪装获取全局名称的危险。硬分区是对交换机进行硬分区, 根据访问阵列端、逻辑单元号区分名称, 这样对于单一发起端建立的分区只能够有一个主机吗, 多少存储阵列端口加入这个分区可由主机管理, 目标端的安全由发起端进行管理。

身份鉴别方案设计: 用户身份认证时在注册信息录入数据库的基础上对用户登录网络存储服务器进行验证。当用户登录系统时, 系统认证服务器对用户提交的信息进行判断 ,并下传给用户一个随机验证口令, 在用户端产生相应验证码,用户输入正确验证码登录系统。随机验证功能可杜绝不法分子暴力破解批量注册登录系统。

防火墙方案设计: 基于网络安全的网络存储防火墙设计采用两层防火墙结构, 两层防火墙结构可以有效阻止黑客攻击, 增加黑客入侵系统的难度。防火墙分布如图3所示。

用户通过互联网访问存储服务器, 首先通过一道防火墙进行用户认证, 再通过第二道防火墙进行上传或下载资源安全性认证, 如果认证成功则通过交换机访问存储网。

入侵检测方案设计: 入侵检测通过对数据库中的数据进行采集和分析, 主要根据网络流程和数据的安全等级进行监控, 入侵检测系统是由探测器和控制台组成, 探测器对网络中的原始数据包进行分析, 与数据库中的危险信息进行比对,判断数据包的安全性; 控制台对所有分布在网络中的探测器进行汇总管理, 当探测器发现可疑信息或者是网络攻击, 控制台会自动报警, 并记录攻击事件, 实时阻断网络连接保护服务器数据安全。

安全管理方案设计: 安全管理方案是根据网络安全和数据安全管理方式和方法制定管理制度和行为规范。第一, 确定存储数据的安全等级, 根据数据安全等级进行分级管理 ;第二, 对网络服务器机房实行准入管理, 非负责人员禁止出入机房; 第三, 制定完善的系统维护制度, 定期对系统进行检测, 并提交详细的维护报告; 第四, 制定应急方案, 如遇到紧急情况可采用相应应急方案, 将损失降低到最少。

4 结语

对基于网络安全的网络存储进行研究 , 分析了网络存储中遇到的安全问题和影响网络存储安全的因素, 介绍了结合现行网络安全技术提供可行的解决方案, 在网络存储应用中, 实现数据存储的安全性、完整性和可用性。

摘要：随着云计算、大数据的兴起,网络存储由原来的Email服务向着更加多元化的方向发展,Web服务、网络游戏、在线视频、数字图书馆等多方面、多领域都与网络存储密不可分。网络存储应用中,网络安全对于网络存储非常关键,对基于网络安全的网络存储进行研究,分析了目前网络存储过程中遇到的安全问题和影响因素,提出了网络存储安全性设计目标,并做出安全存储设计。

网络可靠性设计论文篇8

随着美国网络中心战概念的提出,目前作战模式从以武器平台为中心转向了以信息平台为中心。这种作战模式对通信网络提出了许多新的需求,如支持可控可管和综合业务,提供安全、集成、一体化的端到端信息服务,允许用户随时随地通信和访问共享数据等。上述这些能力只有通过构建新一代的栅格化通信网络才能实现。同时随着通信、计算机和网络技术的迅猛发展,通信网络以综合业务为发展趋势,现有的因特网体系结构从安全性、可控性、移动性等方面,不能满足目前和将来的通信需求;现有的电信网体系结构从业务开放性、数据综合业务及带宽性能等方面,也不能满足目前和将来的业务需求。因此,构建新一代的栅格化信息网络[1],解决现有网络在管理性、安全性、高性能、移动性等方面显示的诸多问题,不仅是通信网络发展的需要,也是通信技术的发展趋势,是需求推动和技术发展的必然。

1 应用需求

新一代的栅格化通信网络,不但需要具备支持综合业务、统一通信、集成服务和集成应用等主要通信网络功能;同时,还要具备如下主要技术特征:① 具备规模和功能扩展性,通信网络具有很大的地址空间容量,网络规模可以扩展;接入网络的终端种类和数量更多,网络功能更强;② 具备有效的平台开放、网络开放和业务服务开放,为高层指控业务提供更有效的网络和业务服务;③ 具备可控的管理、有效的运营和及时的维护;④ 具备数据加密、网络对象识别、身份认证和访问授权等可信的安全性,具有完整性;⑤ 具备便捷的无线和移动性,为用户提供无处不在的无线和移动通信应用;⑥ 具备端到端高性能的通信能力。

面对上述复杂的需求,要用面向服务的新概念实现通信网络,才能适应用户的网络应用[2]。因此,具体需要构建一个面向服务网络架构(SONA)的通信网络。

2 方案设计

下文说明面向服务网络架构的通信网络的网络设计。

2.1 网络组成

面向服务网络架构的通信网络由具体的网络设备通过物理链路互连而成,如图1所示,不同的设备组合实现网络中不同的功能。

其中主要网络设备有:① 会话控制服务器:是面向服务网络架构通信网络中的核心控制设备,完成呼叫控制、媒体网关接入控制和协议处理等功能,并实现相对独立的业务服务体系,使业务服务独立于网络,支持SIP等多种协议。② 认证/DNS/DHCP服务器:用于完成各种用户和接入设备的认证、域名翻译和地址分配等功能。③ 信令网关/媒体网关:信令网关连接IP网与七号信令网的设备,主要完成IP网侧协议与PSTN侧七号信令的转换功能。支持IUA、M3UA和SCTP等协议, 媒体网关可以处理音频、视频和媒体会议等,支持H.248协议。④ 网络服务能力服务器:是体现面向服务网络架构的重要网络设备之一。负责各种定制的增值业务服务和智能业务服务的逻辑产生和管理,并且提供各种开放的API接口,为第3方栅格业务服务的开发提供2次开发平台,可以引入新业务服务;同时,融合网络基础设施,集中和共享网络资源,向用户提供虚拟化网络功能服务。⑤ IPv6/IPv4路由交换机:是双协议栈路由交换机,用于组成核心承载网络或接入承载网络,将网络中的设备和服务器互联起来,完成通信网络的信息传送功能。

2.2 体系结构

面向服务网络架构的通信网络设计划分为3个层次,包括承载层、控制层和交互式服务层。其体系结构如图2所示,不同的层完成不同的层次功能。

① 承载层:由IPv6/IPv4双栈核心路由交换机互连组成核心承载网,为业务网络和控制层提供承载层网络服务功能;② 控制层[3,4]:以会话控制服务器为主,实现呼叫会话控制功能(CSCF),依赖核心承载网为传送手段,组成业务控制网络,为业务网络和交互式服务层提供策略、资源等控制层网络服务功能;③ 交互式服务层:为用户终端、业务网络和栅格应用提供交互式网络服务,是体现面向服务网络架构的重要层面。它是以网络服务能力服务器为实体,整合承载层和控制层的能力,将统一的基于网络的业务功能在网络服务能力服务器中实现,向用户提供统一的定制网络服务;向业务应用和用户终端提供网络服务开发平台,供用户进行2次个性化创作;融合网络基础设施,集中和共享分布在网络上的资源,向用户提供和开放虚拟化网络服务;能够识别应用,调整通信网络资源,优化应用性能,更有效地向用户提供和开放网络应用服务。交互式服务层具体完成策略执行、服务发现、服务注册、服务协作、服务开发支撑、服务合成以及服务管理等功能。可以提供基于策略的栅格通信网络资源管理服务等具体服务。

目前电信领域提出的下一代网络(NGN)技术体系[5]和计算机领域提出的下一代互联网(NGI)技术体系[6]可供设计参考。面向服务网络架构通信网络的设计方案采用的是改进的NGN技术体系。其核心思想是:在保证通信网络基本信息传送功能的基础上,加强可控可管可信,以面向服务为重心,突出提供网络应用服务的特点。

3 网络技术体系分析

下面对NGN、NGI和SONA 3种网络技术体系进行逐个分析,并进行比较。

3.1 NGN技术体系

NGN是国际电信联盟电信标准化组织提出的,其技术特征包括:① 具有开放的网络体系结构;② 具有可管理性和可维护性;③ 支持综合业务和服务质量保证;④ 具有网络的融合性;⑤ 业务独立于承载、业务与控制分离、控制与承载分离、承载与接入分离;⑥ 具有通用移动性。NGN技术体系更侧重于满足通信网络的可控可管和服务质量方面的要求,更侧重于在这些方面深入研究发展。

3.2 NGN局限性

NGN技术体系是由电信领域提出的,由于其应用和设计的理念,决定了有其内在局限性:① NGN是为了支持IP的应用,在承载层统一采用了IP技术。在卫通、微波等无线和窄带宽信道场景下,采用何种技术,如何支持IP应用,是NGN要解决的问题之一。解决得不好,就限制了承载网的性能和使用。② NGN提出网络可管可控的目的是要计费,既对网络使用计费,又对网络上的业务进行计费,这是非常大的网络设计理念问题,这个理念会颠覆很多问题,使得NGN对许多创新技术的应用受到局限,从而对开放业务服务和提供网络层服务的技术方面发展带来很大的制约。因此NGN从体系结构设计一开始,开放性技术方面就会存在一定的局限性。③ NGN的标准是由ITU-T提出的。标准制定周期较长,间接地增加了NGN网络技术推广的时间代价。

3.3 NGI技术体系

目前对NGI的研究大部分都是以互联网存在问题的解决、网络功能和性能的升级作为出发点[6,7]。NGI具有的特点包括:① 采用IP分组交换技术;② 维持网络与业务分离的基本属性,支持多种业务类型的承载;③ 智能的分布逐渐从用户端向网络边缘设备渗透,网络内部维持原有的扁平化设计;④ NGI通过提供划分安全域、域间安全互连、网络边缘的智能安全接入等安全能力满足用户安全需求;⑤ 具备兼容各种异构网络的能力。支持通信终端的无缝快速移动、多种多样的终端接入技术和大规模的分布式泛在服务,以便随时随地给用户提供无所不有的综合服务。NGI更侧重于向面向服务和应用方面的研究与发展。

3.4 NGI局限性

NGI技术体系是由计算机领域提出的,由于其应用和设计的理念,决定了有其内在不适应性:① 由于NGI继承了互联网的开放性,现在的安全问题是否能完善解决,网络可信安全能力能否达到用户的要求等问题,还有待于研究和验证;② 由于NGI继承了以路由可达、尽力而为为特点的IP技术,特别适合网络拓扑变化频繁、网络抗毁重构的环境。与NGN的面向连接、保证服务质量为指导理念的应用环境是互补的,既是优点,又存在其保证服务质量方面的不足;③ NGI侧重于研究如何提供业务层应用,而对于网络传送功能,只要尽最大可能提高分组传送的效率和网络的抗毁性即可,至于IP技术如何适应多种类型的无线链路(卫通、微波等)并没有更好的解决方案;④ 在NGI中,运行于承载网络之上的业务服务平台还没有做到全面可控可管。

3.5 SONA技术特点

在现有通信网络技术的基础上,构建新一代栅格化通信网络目前最迫切的工作是实现服务开放和业务开放。因此,结合对NGN和NGI的分析,给出了设计面向服务网络架构通信网络的基本思路:加强可控可管和服务质量保证,继承因特网的技术精髓和成功经验,以面向网络服务为重心,向用户提供开放的网络服务和业务应用服务平台。

SONA的技术特征包括:① 划分交互式服务层:以承载网服务、通信网络控制服务、网络管理服务、虚拟化网络服务以及网络应用服务等不同形式的封装服务,开放通信网络服务交互平台,支持通信栅格的用户需求;② 全开放的分层体系结构:SONA网络将功能模块分离成为独立的网络部件,各个部件可以按相应的功能划分分层独立发展,简化了网络规划和设计,部件间的协议基于统一标准,易于实现各种异构网络的互通;③ 基于统一协议的分组网络:SONA网络采用基于IP的分组交换网作为提供话音、数据、多媒体等业务的综合性信息平台,适合多种类型信息的传送,降低了多种业务通信成本,提高了网络资源利用率;④ 业务驱动的网络:SONA网络实现业务与呼叫控制分离,呼叫控制与承载分离,在一个整合的网络中承载语音、数据、多媒体等多种业务,使业务真正独立于网络,新的业务可以快速灵活地部署;⑤ 向用户提供开放的网络服务和业务应用服务平台,采用尽力而为作为网络抗毁的保障手段,倡导简单实用技术等。

3.6 网络技术体系比较

NGN、NGI和SONA技术体系比较如表1所示。

总结NGN、NGI和SONA技术体系,在下一代网络目标方面具有共同点:以IP为网络层承载;支持话音、数据和视频统一的平台;开放网络平台,便于多元开发应用;开放业务加载,便于多业务扩展使用。但是,由于从各自领域和需求出发考虑下一代网络,目前设计的体系结构和采用的技术均深刻带着各自设计理念的烙印。

4 试验结果分析

面向服务网络架构的通信试验网验证环境是:承载层由IPv6/IPv4路由交换机、以太网交换机组成;控制层由媒体网关/信令网关服务器、综合接入设备、IP终端、PSTN交换机、传统固定电话、归属用户数据库服务器、DHCP服务器、DNS服务器、认证服务器、会话控制服务器和媒体资源服务器构成;交互式服务层功能由网络能力服务器提供。

在试验网络中,进行的业务功能验证包括:话音和视频同传、通过综合接入设备电话呼叫、数据传输、召开视频会议以及白板使用等业务。

验证的关键技术有IPv4/IPv6双栈路由交换技术、统一的业务控制信令SIP协议、媒体网关/信令网关和认证技术等。IP双栈核心承载体制、业务控制体系等体制在试验网上得到了验证,网络能力服务器的功能还要深入地开发和试验。研制的网络设备,都已经达到设计要求,试验达到了预期结果。

5 结束语

设计面向服务网络架构的通信网络的目标是建立一个可控可管、保证QoS的通信网络信息传送平台,并向用户提供和开放多样化的交互式网络应用服务平台。

初期,主要实现集成服务,即融合网络基础设施,集中和共享网络上的资源,向用户提供虚拟化网络服务,建立智能网业务服务平台等多个定制业务平台,增强业务系统的服务能力,满足通信栅格的迫切需求。

后期要实现集成应用,即网络能够识别应用,从而能够优化应用的性能并更有效地向用户提供应用。在网络基础设施已经基本成熟的条件下,如何在其上为用户提供业务平台、应用平台和新的基于网络的业务服务,是下一代栅格化通信网络成功的关键。

摘要：针对栅格化通信网络的应用需求,给出了一个面向服务网络架构通信网络的方案设计,详细说明了网络组成和体系结构;分析了下一代网络、下一代互联网和面向服务网络架构技术体系的技术特点和局限性,比较了它们之间的差异性;最后,对网络试验进行了分析,描述了试验网络设备组成和验证环境,并对关键技术、技术体制和网络功能在试验网络中的验证情况进行了说明。

关键词：栅格,下一代网络,下一代互联网,面向服务网络架构

参考文献

[1]汪陶先.信息栅格与通信栅格[J].现代通信技术,2004(4):1-6.

[2]梁凯鹏.面向服务的网络管理运控系统设计与实现[J].无线电工程,2011,41(2):7-9.

[3]李吉良.下一代网络路由交换关键技术研究[J].无线电通信技术,2008,34(2):1-5.

[4]ITU-T Y.2021 IMS for Next Generation Networks[S],2006.

[5]ITU-T Y.2011 General principles and general referencemodel for Next Generation Networks[S],2004.

[6]吴建平.下一代互联网体系结构基础研究及探索[J].计算机学报,2008,31(9):1536-1548.

网络加密通信设计篇9

保密机主要实现身份认证、地址管控、数据加密三大功能, 从而较好保证了数据的安全传输。保密机去掉之后, 身份认证、地址管控、数据加密的功能是广域网数据传输的隐患。

ACL通过这些规则对数据包进行分类, 这些规则应用到路由设备接口上, 路由设备根据这些规则判断哪些数据包可以接收, 哪些数据包需要拒绝。

CHAP认证是网络设备认证的一种方式, 只有通过认证的网络设备之间才可以相互通信。CHAP认证方式使用密文口令很好地保障了网络设备认证的安全性。

IPSEC利用隧道技术, 在骨干网建立专用数据传输通道, 并对数据进行加密, 从而实现报文的安全传输。

本文结合ACL、CHAP认证、IPSEC技术设计一种方法以达到暂时替代保密机的目的。

1 地址服务管控

路由设备为了过滤数据包, 需要配置一系列的规则, 以决定什么样的数据包能够通过, 这些规则就是通过访问控制列表ACL (Access Control List) 定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则, 这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类, 这些规则应用到路由设备接口上, 路由设备根据这些规则判断哪些数据包可以接收, 哪些数据包需要拒绝。

访问控制列表可以分为以下几种类型:

(1) 基本访问控制列表主要基于源地址对数据包进行分类定义。

(2) 高级访问控制列表可以基于源地址、目的地址、源端口号、目的端口号、协议类型等对数据包进行更为细致的分类定义。

(3) 基于接口的访问控制列表可以根据具体的接口对数据包进行分类定义。

(4) 基于以太网帧头的访问控制列表基于源MAC地址、目的MAC地址等对数据包进行更为细致的分类定义。

(5) 用户访问控制列表可以根据不同的用户组来对数据包进行更为细致的分类定义。

rule规则中, 默认对流进行deny操作。因此, 只要对之前的流配置了rule规则, 要让后配置的流通过, 必须对后配置的流进行permit操作。

RouterA、RouterB、RouterC连接如图1所示, RouterB连接30.92.0.0/16网段, RouterC连接30.99.0.0/16网段。

RouterA只允许30.99.21.66与30.92.11.66访问, 则配置如下所示。

2 配置CHAP双向验证

CHAP认证方式使用密文口令。被验证方的用户名和密码可以通过AAA模式加入验证方的本地用户列表。

主验证方首先发送自己的主机名和随机报文, 被验证方接收主验证方发送的报文通过hash算法得出一个数值A, 被认证方发送自己的主机名和由数值A得出的加密报文,

主验证方接收被验证方发送的报文并通过hash算法得出一个数值B, 并和自己产生的对比, 如果数值B能够通过自己的hash函数, 则表示通过验证, 如果不能够通过自己的hash函数, 则表示没有通过验证。路由器RouterA和路由器RouterB用CHAP方式进行双向验证实现路由器的配对使用。

3 IPsec数据加密

首先启用IPsec的设备之间进行Ike密钥协商, 通过协商确定加密算法、密钥等, 正是通过这种协商保障了每次通信的密钥不同, 从而很好的保障了数据的安全传输;其次设备根据Ike协商的结果和IPsec的策略对数据进行加密;最后数据根据已经建立的隧道进行传输。

PC1接在center路由器 , 处于192.168.1.0/24网段, PC2接在branch1路由器 , 处于192.168.2.0/24网段, center路由器与branch1路由器通过广域网进行连接。我们这里使用ipsec的方式实现PC1和PC2的加密通信。如图4所示建立隧道Tunnel0 (10.0.0.1/30—10.0.0.2/30) 建立一个虚拟专用通道。实现PC1和PC2的加密通信, 需对center路由器、branch1路由器进行如下配置。

4 使用模拟软件进行验证

如图5所示, router 8、router 9和router 10构建了广域网, PC0接在router 10, 处于192.168.1.0/24网段, PC1、PC2接在router 9, 处于192.168.2.0/24网段, PC4、PC5接在router 9, 处于192.168.3.0/24网段, 图中的交换机都工作在第二层。

这里主要验证以下内容:

(1) 在router 9上配置ACL禁止PC1访问其他网络, 在router8配置ACL禁止PC4 telnet router8。

(2) 在router8与router10之间启用CHAP认证, 验证CHAP认真的配对使用情况。

(3) 在router8与router10之间使用IPsec, 验证启用IPsec后连通性。

在router8与router10之间启用IPsec、ACL和CHAP认证来搭建加密系统。

在router8和router10上配置IPsec, 通过在PC3 ping PC0是否可通能够验证IPsec是否配置成功, 由图可知PC3能够ping通PC0, 从而验证了加密通信配置正确。

5 总结

本文首先分析了ACL、CHAP、IPsec技术的原理, 并给出了基本的配置方法, 最后通过搭建模拟系统来实现数据的加密通信。

参考文献

[1]Steve McQuerry, David Jansen, Dave Hucaby.Cisco LANSwitching Configuration Handbook[M].Cisco Press, 2009.

[2]Dave Hucaby, Steve McQuerry, Andrew Whitaker.CiscoRouter Configuration Handbook[M].Cisco Press, 2009.

浅析物流网络设计篇10

1配送中心合理选址的必要性

配送中心选址是物流系统优化的一个具有战略意义的问题,是连接供货点与需求点的中间桥梁,在整个物流系统中起着承上启下的作用。较之国外先进物流配送业的发展水平及我国零售业快速扩张的需求而言,我国的物流配送中心在配送比例、物流成本、信息化水平、配送技术等方面存在着明显的不足,主要体现在以下几个方面: 1物流配送中心基础设施薄弱,利用率低,发展缓慢。2物流配送中心现代化程度低,信息化水平不高。3配送中心规模小,分布不均,发展不平衡。4配送中心的功能不健全。5配送中心的选址不够合理。6配送人员素质较低。

配送中心在整个流通领域中属于第一层次,是社会生产和再生产顺利进行的基础。从物流系统角度上看,配送中心属于末端物流活动的起点,主要通过门对门运作,直接面向用户进行资源的最终配置,对提高物流系统的效率起着至关重要的作用。配送中心的建立为整个物流系统带来了更多的经济利益和服务利益,具体表现在: 降低物流成本,实现配送作业的经济规模。提高了物流系统的服务水平。完善了社会物流功能体系。

2配送中心选址问题研究的起源和发展

配送中心选址是物流系统优化的一个具有战略意义的问题。国外学者对配送中心选址问题的研究起步较早,大致可分为两个阶段: 早期选址研究阶段和选址研究繁荣及理论更加丰富阶段。选址理论最初由Amed Weher于1909年提出,他所考虑的选址问题是确定一个仓库的位置,使仓库与一系列分散的需求点之间的行进距离最短。运输成本在选址决策中的重要作用是贯穿早期选址研究的共同主题。1964年,Hakimi的论文激发了人们对选址问题的更大兴趣,选址理论研究进入繁荣时期。20世纪80年代以后,现代物流理念的产生,使得设施选址理论的研究内容更加丰富。当前国内外在该领域的研究正逐渐深化,已不再仅停留于概念意义上的描述性研究,而是日趋重视实践中的应用研究,同时量化比重增强。

3配送中心选址的方法

3.1连续选址模型与离散选址模型

连续选址问题是指一个连续空间内所有点都是可选方案,需要从数量是无限的点中选择其中一个最优的点。这种方法称为连续选址法,常应用于设施的初步定位问题。即待选区域为一个平面,无须考虑其他结构,可能的选址位置的数量是无限的。然而这种情况比较少见,在实际选址时,由于客观条件的限制,很难实现连续选址。这种情况往往发生在一个企业物流中心的初步选址上。

离散选址问题是指目标选址区域是一个离散的候选位置的集合。候选位置的数量通常是有限的,可能事先已经过了合理的分析和筛选。这种模型是较切合实际的,称为离散选址法,常应用于设施的详细选址设计问题上。

3.2定性选址方法和定量选址方法

物流网络设计的定性方法主要为专家选择法。它是以专家的知识和经验,考虑选址对象的社会环境和客观背景,直观地对选址对象进行综合分析研究,寻求其特性和发展规律,并进行选择的一种选址方法。专家选择法中最常用的是因素评分法和德尔菲法以及层次分析和模糊综合评价相结合对各个方案进行指标评价找出最优地址。定量方法一般用可量化的描述成本的数学公式为目标函数进行优化选址,常以物流过程总费用最小为目标,通过设定一些参数、变量,并对问题作一定的假设,建立一个比实际情况简单的模型,通过求解模型得出方案。比较典型的定量方法包括重心法、CFLP法、 Baumol—Wolfe法、混合整数规划法、双层规划法、启发式算法等。

3.3单目标模型和多目标模型

以往人们将成本最小化作为选址决策模型的主要目标,即单目标模型,Weber问题便是典型的单目标模型, 但现实选址问题往往是多目标的,其他的目标 ( 如最大化满足需求) 也很可能会影响最终决策。因此,当目标函数涉及运输成本、投资成本、客服水平、设施能力利用率等两个及以上的目标优化时。问题的目标由求解单值函数的最小值变成了求解不同目标的向量最小化,即多目标规划选址。

4结论

网络可靠性设计论文篇11

【关键词】网络时代；网络安全；可靠性；对策

引言：网络时代提升计算机网络可靠性意义重大，随着计算机技术的高速发展，黑客技术也在不断的更新，网络安全关系着计算机用户的信息安全和财产安全。并且对企业来说网络安全更加重要，很多企业的计算机数据中都可能包含着很多的商业机密，商业机密的泄漏不仅会给企业造成巨大的经济损失，更可能造成社会不良影响。网络时代提升计算机网络可靠性对策迫在眉睫，实现保障计算机系统运行稳定、安全、通畅、可靠。

一、网络时代提升计算机网络安全的重要性

随着计算机的推广和普及，计算机网络用户越来越多，几乎可以说城市家庭几乎每家都拥有一台计算机，计算机网络可靠性、安全性成为了二十一世纪热门课题。计算机网络可靠性是计算机网络建设的基础和发展的关键，如果无法保证计算机网络的可靠性，那么用户将对计算机网络失去信心，最终制约计算机网络发展，不仅会给经济发展和社会建设造成不良影响，也会给用户财产造成威胁。计算机网络可靠性，必须从多方面考虑，实现真实有效的提升计算机网络可靠性。计算机网络为人们带来了信息时代，在这个时代，信息就是财富，目前计算机网络和信息技术已经成为经济建设中的中重要组成部分。计算机网络的出现，改革了人们的工作方式及生活方式，实现了无纸化办公，足不出户购物，自动化、智能化生产等等，提升计算机网络安全至关重要。另一方面，计算机为人类社会带来了深刻改变，网络业务的增多，人们对电子银行、电子商务和电子商城的广泛应用，计算机网络安全问题更不能小视。并且计算机网络可靠性不仅直接影响着国计民生，更重要的是网络安全与国家信息安全密切相关，不仅涉及到国家政治、军事和经济各个方面，而且影响到国家的安全和主权。随着计算机网络的广泛应用，计算机网络安全的重要性日益突出。

二、网络时代计算机网络安全现状

（一）人们对计算机网络安全不够重视

通过调查得知，很多个人及企业的计算机网络中并没有安装任何防护软件或杀毒软件，并没有深层的网络安全意识。造成这种现象的主要原因是，计算机用户对计算机网络安全并重视度不够，对计算机网络安全并没有深刻的认识，所以忽视了建立计算机网络安全策略，这将给计算机用户的计算机网络安全造成了很大的隐患[1]。

（二）计算机用户缺乏计算机网络安全知识

经过调查发现，很多计算机用户并不知道计算机病毒和网络攻击的存在，因此也就不懂得网络安全防护。这是因为很多用户缺乏计算机网络安全知识，单纯的认为计算机是安全的[2]。

（三）缺少计算机网络安全防范措施

计算机网络离不开计算机及互联网为基础支持，但是互联网不是封闭的，它连接着整个世界的信息资源，具有较强的开放性。但目前计算机病毒、網络黑客日益猖獗，信息截取、盗取事件时有发生，所以难免给网络安全造成威胁。经过调查发现，一些计算机用户在传递信息文件和使用计算机时，缺乏加密和权限管理，因此随时可能被黑客截取或篡改[3]。

（四）缺少有效的防护软件

计算机网络安全概念源自西方国家，我国计算机网络建设起步较晚，因此安全理论知识比较滞后，虽然也有一些安全软件被陆续开发出来，如：360安全卫士、百度安全卫士、瑞星安全等等，但这些软件都或多或少存在问题和隐患，甚至有着流氓软件的嫌疑，通过实践，一些杀毒软件和安全软件不但不能起到防护作用，更会窃取网络中的信息、散播病毒，以此来谋取利益。

三、网络时代提升计算机网络可靠性的对策

随着时代的进步，人们知识水平的提高及计算机的普及，我国在计算机网络安全方面已经取得了一定成绩，网络安全事件依然时有发生，网络安全问题不可避免，网络安全必须引起重视，下面通过几点来分析网络时代提升计算机网络可靠性的对策。

（一）提高对计算机网络安全的重视，更新观念

保护自己的计算机网络安全就是保护自己的财产和信息，提升计算机网络的可靠性，必须更新思想观念，接受网络时代带来的新鲜事物，正确认识计算机网络安全问题，提高对计算机网络安全的重视度。对计算机网络安全的中式，是提高网络安全可靠性的关键，只有提高了重视，才能将网络安全问题落到实处。

（二）完善计算机网络安全措施

对于计算机网络来说，网络安全是关键，安全问题关系着整个计算机网络系统的稳定性和可靠性，甚至关系着用户自身利益。如果没有相应的安全措施，那无疑会给用户造成巨大的损失。所以为了保障计算机网络安全，必须对网络传输通道进行动态加密处理，经常更换密码，并设置访问权限，利用验证码、密码、数字签名手段来验证对付身份，提高计算机网络安全可靠性。另一方面，必须安装可靠的安全防护软件强化计算机网络可靠性。

（三）制定计算机网络安全计划

想要提高计算机网络安全必须制定相关的计算机网络安全策略计划。盲目的安装防护软件，不仅仅会造成系统不稳定，甚至可能导致流氓软件捆绑到计算机网络内的现象，计算机网络防护要科学，有针对性，根据网络使用情况，及计算机使用情况来判断进行什么的计算机网络安全计划。

（四）定期进行计算机安全维护

计算机在使用中会产生一定的无用软件垃圾，并且随着软件的安装，一些软件的漏洞就会被病毒利用，想要提高计算机网络的可靠性必须进行定期的安全维护，建立一个良好计算机网络安全维护习惯，定期卸载一些几乎用不到或不常用的计算机软件，定期更好网络密码，定期更新安全软件。

结束语：通过以上分析不难看在网络时代提升计算机网络可靠性的重要性，只有安全可靠的计算机网络，才能满足网络时代的发展需求，缺乏安全的计算机网络将制约网络时代的发展和进步。由于我国网络建设起步较晚，其中依然存在着许许多多的问题，我国计算机网络安全建设将是一个漫长的过程。

参考文献：

[1]徐梅玉.计算机网络信息安全保障建设探讨[J].湖北工商学院，2012，13（11）：119-124.

[2]李力旺.计算机系统信息安全保障体系的构建研究[J].浙江经济学院，2011，11（14）：132-136.

安全网络设计探讨篇12

随着社会及科技的发展, 网络在我们的工作、生活中变的越来越重要, 特别对那些跨地区, 组成机构众多的各机关和企事业单位来说, 没有成熟安全的网络, 就会制约本单位业务的发展, 国家大力推行的金网工程的建设 (金税、金关等) , 就是为了解决这个问题。网络建设中至关重要的是网络的安全问题, 在此我们就IP网络安全设计与大家进行一下探讨。

首先, 安全网络的目标是什么呢?

信息安全性:信息不泄露给非授权的个人、实体或进程, 没有被第三者窃取或偷看。

信息完整性:确信发送给对方的数据或从对方接受到的数据没有被第三方篡改或伪造。

可用性:合法用户的正常请求能及时、正确、安全的得到服务。

其次, 如何能够保证网络的安全呢?

实现安全网络是一个系统性工程, 我们认为它可以从三个层面来保证: (1) 物理层面; (2) 网络层面; (3) 应用层面。

物理层面主要指物理线路、设备、环境等方面的安全;网络层面的安全可以在广域网与局域网中分别来解决;应用层面主要解决病毒防护、操作系统、信息的加密、认证等问题。

2 物理层面安全

2.1 线路及设备

物理层是网络的基础, 物理层的安全更是网络安全的基础。安全的网络设计首先要考虑的是物理线路及设备上的冗余保护, 能够首先从“硬件”上使所建网络达到:一条甚至多条线路中断时, 不影响网络的正常通信。

要达到以上目标, 就要做到到达每一个节点都至少有两条物理线路, 理想连接方式为网状连接。在完全网状网络中, 如果网络中有n个节点, 将需要n× (n-1) /2条线路。假设n=5, 则需要的线路数为10条, 不算多, 一般情况下还可以接受。但当n=20时, 则需要的线路数就为190条。为20个节点而建设190条物理线路, 这对非运营商级的企业来说一般都是不能接受的, 因为投资太大。在这种情况下, 我们可以采用折中的办法, 建设一个部分网状的网络。首先对网络进行分层:核心层、汇聚层、接入层。核心层及汇聚层是全网的骨干, 因此汇聚到核心之间最好做到全网状连接。接入层与汇聚层之间可以做到部分网状, 接入层设备就近与两台汇聚层设备相连接, 一方面减少投资, 另一方面由两条线路互为备份, 不至于当一条链路中断时, 网络通信就无法进行。另外强调一点, 以上所有的物理线路中, 互为备份的线路必须做到不同路由, 否则一处的物理线路中断, 就可能是两条线路同时中断, 没有任何的备份意义。

设备冗余有网络基础设备, 如:路由器、交换机的冗余, 也有服务器类设备的冗余。在安全的网络中, 核心及汇聚节点的网络设备都至少由两台设备组成, 一方面均担正常情况下的数据流;另一方面, 当一台设备出现故障时, 线路可不间断的切换至另外一台, 不影响网络的正常运行。服务器冗余情况基本相同。

2.2 环境

2.2.1 机房安全

包括场地 (建筑物位置、结构、强度) 安全、机房建设安全 (重要场地装防盗门窗, 采用带身份识别功能的门锁进行身份鉴别等) 、动力保障系统安全及系统防灾的措施。机房建设应满足GB50174-1993《电子计算机机房设计规范》、GB2887-1989《计算机场地技术条件》、GB9361-1998《计算站场地安全要求》等国家标准。

2.2.2 严格的管理制度

堡垒往往从内部攻破, 因此必须建立严格的管理制度, 并认真予以执行, 防止非法进入计算机控制室和各种偷窃、破坏、删改活动的发生。

2.2.3 网络隔离 (物理隔离)

不论多安全的网络, 都存在被别人攻破的漏洞, 因此, 从网络设计角度来讲, 要保证网络的安全, 应尽可能的“缩小”网络的范围, 以减少外部攻击的可能性。即, 在业务允许的情况下, 尽量使业务网与互联网或其它网络物理隔离, 避免来自外部的攻击。

3 网络层面安全

3.1 广域网

3.1.1 路由畅通

广域链路的作用是将一个局域网络的数据运送至另外一个局域网, 广域链路上每一个节点的最大作用就是告诉数据包该向哪一个方向, 哪一条路走, 才能最快的到达目的地。广域网设备重在寻路, 而不对数据包进行应用层的处理。因此, 要想使数据包以最快的速度到达目的地, 就必须首先保证线路的畅通无阻, 即网络上所说的路由畅通。要保证每时每刻的路由畅通, 就要运用路由设备所支持的路由协议, 结合物理链路为数据找到多条又宽又畅通的逻辑路径。

3.1.2 用先进的技术, 隔离不同的用户 (逻辑隔离)

在一个网络中不同的用户数据往往共享同一条骨干链路而实际中我们并不希望这些不同的用户之间能够互访, 此时可以利用各种各样的网络技术对不同用户进行逻辑隔离, 使同一用户之间可以互访, 而不同用户之间不能互通。这种技术如:虚拟专用网 (VPN) 。它是安全网络的一种特殊类型, 用于提供跨越公共网络的安全连接。通俗的讲VPN技术就是将相同的用户归结进一个网络中, 在一个网络中它们可以根据用户的需要随意互访, 但在不同的用户之间是禁止互访的。它是一种逻辑上的划分与隔离。传统的VPN技术还存在一些弊端, 时下比较先进安全的VPN是基于MPLS技术的VPN。

多协议标签交换 (MPLS, Multiprotocol Label Switching) 技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。在MPLS网上实现的VPN, 提供了和基于帧中继、ATM PVC的第二层VPN相同安全级别的虚拟专用网, 能达到第二层PVC所具有的专有性、安全性和数据传输的高速性, 而MPLS VPN的灵活性、扩展性、易管理性和适应性则是当前其他基于PVC或隧道技术的VPN所无法比拟的。MPLS VPN在第三层路由上对各VPN进行了隔离, 无需访问控制列表ACL, 各VPN之间都是不可见的, 骨干网对于客户网络 (某个VPN内部) 也是不可见的。所以, 充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术, 今天, 很多企业或政府机构的网络也在应用。

先进的技术是为应用服务的, 它可以缩小工作量、增强网络的可管理性, 同时提供优质的效果, 所以, 一定要注意先进技术与实际应用的结合。

3.2 局域网

局域网, 特别是一个网络的中心局域网, 它往往是一个包括主机系统、数据库系统、应用软件、Web软件、网络设备等的复杂的IT系统。要保证这一系统的安全需要从更多方面共同努力, 主要包括入侵检测、边界防护、用户隔离、安全评估等。

3.2.1 入侵检测

入侵检测是对入侵行为的监测和控制, 它通过监视计算机网络或系统的运行, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象, 一旦发现攻击, 能够发出警报并采取相应的措施, 如:阻断, 跟踪等。同时, 记录受到攻击的过程, 为网络或系统的恢复和追查攻击的来源提供基本数据。

网络入侵检测系统安全解决措施:在骨干交换机和其冗余的交换机上设置一个监听端口span, 在交换机上指定该span端口可以监听服务器所在的端口号或vlan, 然后将网络入侵检测的引擎探头 (硬件引擎) 分别接在两个span端口上, 将引擎的管理端安装在网管工作站上即可。

网络入侵检测将获取流向服务器的数据包, 对数据包进行细致的协议分析和模式匹配, 发现可能存在的攻击, 入侵检测将会把报警信息以多种方式发送给管理员并且会按照预先制定的策略对攻击通信进行处理。

3.2.2 边界防护

边界防护涉及的是网络的边缘安全问题, 主要指防火墙系统。

防火墙就如一个院落的大门, 所有与此院落有关的出入活动都必须经过这道大门。这道大门就是院落内部的屏障, 也是院落内外的交接点, 大门安全了, 才能在很大程度上保证院落内部的安全。

使用防火墙主要具有以下益处:保护脆弱的服务、控制对系统的访问、集中的安全管理及策略执行等。

防火墙的选择主要考虑如下几个方面:系统实施方法多样, 支持代理模式、路由、透明、混合模式;支持基于状态信息的智能过滤, 无须进行上下文交换以及数据复制;对用户和应用应完全透明, 所有的用户和服务器上现存的应用程序都不需要修改。

3.2.3 用户隔离

为进一步保证安全, 特别是特殊部门数据的安全, 如:财务等, 可根据业务类型、资源类型、用户部门、用户权限等, 对局域网内的用户进行逻辑隔离, 使相同的用户处于同一 (虚拟局域网 (VLAN) 内, 不同VLAN内的用户相互访问时进行严格的控制。

3.2.4 安全评估系统

网络安全评估分析系统是专门针对网络安全薄弱环节和漏洞问题设计的强有力的工具。它集中了目前常见的黑客攻击手法。该系统采用防患于未然的办法.通过定期对网络系统进行评估分析, 及时发现问题、给出相关安全措施和建议, 并进行相应的修补和配置, 达到防止黑客攻击的目的。

4 应用层面安全

4.1 防病毒系统

防病毒系统主要防范网内病毒, 从而保证网内所有设备的正常运行。

防病毒安全解决方案:在防病毒服务器上安装服务器端软件, 客户端安装客户端软件。如果所建网络与互联网相隔离, 需网管人员定时手动从网上下载最新的病毒库, 将服务器病毒库进行更新, 然后再分发给各个客户端。如果所建网络连接互联网, 则由病毒服务器定期自动下载最新病毒库, 然后分发给各客户端。

4.2 操作系统

选择安全性较高的操作系统, 即时获得补丁程序, 对操作系统安全漏洞进行弥补。

4.3 信息安全

4.3.1 信息安全环境组成内容

(1) 用户认证。

用户认证在网络和信息的安全中属于技术措施的第一道大门, 用户认证的主要目的是提供访问控制和不可抵赖的作用。用户认证方法按其层次不同可以根据以下三种因素提供认证。

(1) 用户持有的证件, 如大门钥匙、门卡等等;

(2) 用户知道的信息, 如密码;

(3) 用户特有的特征, 如指纹、声音、视网膜扫描等等。

(2) 授权。

这主要为不同用户提供合适的访问权限, 并监控用户的活动, 使其不越权使用。该部分与访问控制 (常说的隔离功能) 是相对立的。隔离不是管理的最终目的, 管理的最终目的是要加强信息有效、安全的使用, 同时对不同用户实施不同访问许可。

(3) 加密。

加密主要满足以下几个需求:

(1) 认证——

识别用户身份, 提供访问许可;

(2) 一致性——

保证数据不被非法篡改;

(3) 隐密性——

保护数据不被非法用户查看;

(4) 不可抵赖——

使信息接收者无法否认曾经收到的信息。

加密是信息安全应用中最早开展的有效手段之一, 数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。在实际的网络与信息安全建设中, 利用加密技术应解决以下问题:

(1) 密钥的管理,

包括数据加密密钥、私人证书、私密等的保证分发措施;

(2) 建立权威

密钥分发机构;

(3) 保证数据

完整性技术;

(4) 数据

加密传输;

(5) 数据

存储加密等。

(4) 审计、监控和数据备份。

系统一旦出了问题, 这部分可以提供问题的再现、责任追查、重要数据复原等保障。

在信息安全模型中, 这几个部分是相辅相成、缺一不可的。其中底层是上层保障的基础, 如果缺少下面各层次的安全保障, 上一层的安全措施则无从说起。

4.3.2 建立证书授权认证管理系统

根据信息安全环境内容, 建立符合PKI体系标准的证书授权 (CA) 认证管理系统, 包括证书签发系统、证书管理系统和证书认证系统三部分。选用经国家密码管理委员会或安全机构认证或推荐使用的密码机、加密网关及相应系统软件, 在专网用户端配置加密卡或IC卡, 实现全省专网系统对分布在各地用户访问控制权限以及涉密信息进行安全管理。

摘要：网络已成为大多数企事业单位的重要基础设施, 网络的安全问题是网络建设中重之又重的问题。如何才能构建一个安全的网络呢?本文从网络建设的物理层面、网络层面、应用层面三个层面入手, 分别描述了每个层面应重点考虑的安全问题, 并对如何解决这些问题给出了建议。

【网络可靠性设计论文】推荐阅读：

计算机网络可靠性提升研究论文10-12

可靠网络10-03

网络可靠度05-16

网络的可靠性05-22

可靠应用论文10-15