宽带城域网(共10篇)
宽带城域网 篇1
从我国的互联网商业化之后, 互联网产业已经取得了很大的发展。网络安全市场在2000年后开始成熟, 据中国国家信息安全测评认证中心的预测, 我国的信息安全市场2001年将高达50亿元人民币, 其中加密、防火墙和防病毒是安全市场的三大主要支柱。目前, 中国信息安全市场进入高速成长期, 越来越多的企业意识到网络安全的重要性。
1 网络安全的重要性
互联网在早期的主要任务是发展, 发展是第一位的, 安全问题提不上议程。由于互联网特有的魅力, 越来越多的人使用互联网, 互联网应用发展很快, 但技术发展还不充分, 互联网本身还很新, 了解和研究互联网的人还不太多, 网络安全问题也不突出。随着互联网的快速发展, 了解和研究互联网的人越来越多, 研究互联网的人的意图各不相同, 来自互联网的威胁开始出现, 并且越来越严重。
美国计算机犯罪调查机构 (CSI) 和联邦调查局 (FBI) 的调查报告表明:91%的大公司和政府机构在过去的12个月内发现计算机安全问题, 64%承认存在财务损失, 当然还有碍于情面不愿意承认的, 实际的数字比这个更高。导致财务损失的主要原因是机密信息的泄露和财务欺诈。70%的人承认是因为互联网连接导致网络攻击的发生, 91%的单位承认内部员工滥用公司的互联网, 高达94%的单位承认遭遇到了来自互联网的计算机病毒。
2 安全性设计的目标和需求
网络规划设计中的安全性分析立足于网络整体, 考虑的是网络结构性的、技术性的安全问题以及在危机情况下网络运行的稳定性、可用性和可靠性, 确保网络能够在负载变化、部分受损的情况下比较稳定、可靠地运行。根据IS07498-2中提出的建议, 一个安全的计算机网络应当能够提供以下安全服务:
1) 实体认证:实体认证安全服务是防止主动进攻的重要防御措施, 对于开放系统环境中的各种信息安全有重要的作用。认证就是识别实体的身份和证实其身份的正确性;
2) 访问控制:访问控制服务是针对越权使用网络资源的防御措施, 实现机制可以是机遇访问控制属性的访问控制列表, 或基于安全标签、用户分类和资源分档的多级访问控制;
3) 数据保密性:数据保密性安全服务是针对信息泄露的防御措施, 细分为信息保密、选择数据段保密与业务流保密;
4) 数据完整性:数据完整性安全服务是针对非法篡改信息、文件和业务流而设置的防范措施, 保证资源的可获得性, 分为连接完整性、无连接完整性、选择数据段完整性;
5) 防抵赖:防抵赖安全服务是针对对方进行抵赖的防范措施, 可用来证实发生过的操作, 分为对发送防抵赖、对递交防抵赖与公证。
3 网络安全设计
根据以上的分析, 对城域网的网络安全提出以下设计方案:
1) 网络互联互通分析及安全控制
如果两个内部客户服务器之间二层能够互通, 那么两者之间的三层互通是直接的, 不需要经过路由器。因此, 路由器的三层防火墙不能生效, 在没有任何安全措施的情况下, 各种攻击方法都可以使用。因此, 最好让内部各客户服务器在二层完全隔离。采用VLAN在二层隔离了两个内部客户, 他们只在三层互通, 这时路由器的三层防火墙也可以生效了。因此, 目前有了两个安全措施:VLAN和三层防火墙。
2) 路由认证和保护
目前, 多数路由协议支持路由认证, 并且实现的方式大体相同。认证过程有基于明文的, 也有基于更安全的MD5校验。MD5认证与明文认证的过程类似, 只不过密钥不在网络上以明文方式直接传送。路由器将使用MDS算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。OSPF就支持基于MD5的路由认证。
BGP区别与内部网关协议, 它是目前最为流行的外部网关协议。为了提高BGP的可靠性, BGP协议采用TCP来提供可靠的连接, 也因此BGP本身的刷新报文就不再需要可靠性保证了。
为了防止被欺骗的TCP分段进入到连接流中, 从而对BGP的连接进行攻击, TCP为BGP提供了“TCP MD5签名”选项。“TCP MD5签名”选项的意思就是说, 在每个TCP分段中加入一个MD5的摘要, 摘要的信息仅仅能够被连接的对端所识别。从而增强了基于TCP连接的BGP的安全。
3) 关闭IP功能服务
因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程, 而不管转发接口的工作状态, 可能被恶意攻击者利用, 刺探网络结构。因此, 设备应能关闭IP源路由选项功能。
重定向开关:网络设备向同一个子网的主机发送ICMP重定向报文, 请求主机改变路由。一般情况下, 设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文, 以期改变主机的路由表, 干扰主机正常的IP报文转发。因此, 设备应能关闭ICMP重定向报文的转发。
定向广播报文转发开关:在接口上进行配置, 禁止目的地址为子网广播地址的报文从该接口转发, 以防止攻击。因此, 设备应能关闭定向广播报文的转发。缺省应为关闭状态。
ICMP协议的功能开关:很多常见的网络攻击利用了ICMP协议功能。ICMP协议允许网络设备中间节点 (路由器) 向其它设备节点和主机发送差错或控制报文:主机也可用ICMP协议与网络设备或另一台主机通信。对ICMP的防护比较复杂, 因为ICMP中一些消息已经作废, 而有一些消息在基本传送中不使用, 而另外一些则是常用的消息。因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理。以减少ICMP对网络安全的影响。
4) 基于端口的验证
基于端口的验证, 是由工EEE进行标准化的验证方法, 标准号是802.1x。802.1x用于交换式的以太网环境, 要求与客户和与其直接相连的设备都实现802.1x。当应用于共享式以太网环境时, 应对用户名、密码等关键信息进行加密传输。在运营过程中, 设备也可以随时要求客户重新进行验证。
支持端口验证的设备应满足如下要求:
识别并支持源、目的地址确定, VLAN TAG要求等;
支持受控端口与非受控端口, 并根据数据帧类型送入不同的端口;
支持受控端口在端口控制参数下的行为;
支持Radius验证。
5) 设备安全防护
口令管理:为防止对系统未经授权的访问, 系统必须具有完善的密码管理功能。
虽然几乎所有数据通信设备都具有RADIUS或TACACS认证服务器进行口令管理的能力, 但在设备本地进行密码分配和管理仍是设备本身应具有的安全特性。这里只描述本地密码管理。口令的密文显示:若系统的配置文件以文本方式进行保存, 则在配置文件中, 所有的口令都必须以密文方式显示和保存。
摘要:随着互联网的快速发展, 了解和研究互联网的人越来越多, 研究互联网的人的意图各不相同, 来自互联网的威胁开始出现, 并且越来越严重。本文讨论了宽带城域网网络的安全与优化。
关键词:宽带城域网,网络安全,优化
参考文献
[1]龚俭, 陆晟, 王倩编著.计算机网络安全导论.第1版.东南大学出版社, 2000, 8.
[2]陈光军主编.数据通信技术与应用.第1版.北京邮电大学出版社, 2005, 8.
[3][美]Kathy Schwalbe著.IT项目管理.邓世忠, 等译.2版.机械工业出版社, 2006, 1.
宽带城域网 篇2
关键词:宽带通信; 局域网; 结构化布线系统; 网络系统
Local Area Network,即局域网,简称LAN,它主要是指在较小的地理范围内借助于高速通信线路(例如宽带网络)将计算机或者工作站连接成为一个完整的计算机网络系统。在住宅小区、办公楼等有效的地理范围之内,局域网是该区域范围内网络主体的基础。局域网不同于互联网(Internet),它的适用对象仅仅向网络内部人员开放,一般情况下,外部人员无法对其进行访问,只有内部人员才能够对其进行访问,因而,宽带局域网络是信息时代进行内部交流以及进行内部管理的重要工具之一。综合来看,宽带局域网络为特定地理范围内的一个单位共有,并且站点数目和地理范围都有一定的限制,它之所以获得广泛地应用,主要是因为它具有以下几种优点:首先,能够非常便利地共享使用高性能而且非常昂贵的主机和各种设备,还可以共享各种数据、软件等等,不仅提高了他们的使用效率,而且分摊了用户的使用成本。其次,在宽带局域网络中,用户可以通过一个站点来快速访问整个网络,使用便利性非常好。再次,宽带局域网络具有非常优秀的可拓展性和演变能力,不仅主机以及各种设备能够进行灵活地调整甚至改变,而且软件程序、操作系统等也能够比较方便地进行升级更新。最后,由于宽带局域网络不需要与外界相接,仅供内部人员使用,所以它具有很好的安全性、可靠性、生存性以及可用性。
1宽带局域网的相关技术分析
1.1以太网技术
以太网是一种基带网络规范,它由Xerox公司创建,后由Xerox公司、DEC公司以及Intel公司共同开发确定。以太网采用基带传输,利用传输设备和对绞线能够根据不同的要求分别实现10 Mbps、100 Mbps以及1000 Mbps的传输速度,是目前应用范围最为广泛的局域网络。从目前的应用情况来看,控制网络系统、校园局域网络、证券网络系统、办公自动化系统等均采用了基于以太网的通信传输模式,使得以太网技术已经成为当前局域网络的主流技术。另外,成本经济、性能稳定、实时性强、技术成熟以及应用范围广等都是以太网的优势所在,这些都会使其在可以预见的将来内获得良好的发展。
1.2拓扑结构
宽带局域网络的常见拓扑结构主要包括以下几种:
1.2.1 环形网络结构 该拓扑结构是一个非常典型的从点至点的环形结构模式,它主要就是以串联的形式借助通信链路把每一台计算机连接成为一个闭合的环,例如令牌环形网。在环形网络结构形式中,数据和信息依照固定的方向进行传送,即不是顺时针方向便是逆时针方向。环形结构的优点和缺点都比较明显,首先,其优点是由于每一个网络节点与相邻两个网络节点的连接均直接通过物理链路,因而,数据和信息传输控制机制比较简单,而且传输过程中具有很好的实时性;另外,网络中的每一次信息传输都有固定的最大传输迟延。其次,其缺点是如果网络中的任何一个节点出现问题,便直接导致整个网络通信的中断,因此环形网络结构的可靠性比较低。目前,为了克服环形网络结构先天性的可靠性低问题,某些网络已经采用了网络自愈功能,即某个网络节点出现问题之后,该功能便可以进行链路的自动切换,但是由于该功能需要调整访问控制机制和网络拓扑结构,复杂程度相对较高。
1.2.2 总线网络拓扑结构 总线网络拓扑结构是当前普遍采用的结构形式之一,该种拓扑形式主要是借助通信线路把所有的入网计算机连接到一条通信干路当中;同时,在通信干路的两端连有终结器匹配线路阻抗来借此避免出现信号反射问题。由于总线网络拓扑结构具有相对明显的优点,目前已经成为局域网络应用最广的拓扑形式。它的优势是经济性好、结构简单、利用效率高,它的缺点是网络延伸距离和网络容纳的节点数量有限制,并且同一个时刻只允许两个网络节点进行通信。如果通信干路上的任何一个节点出现问题便会直接影响整个局域网络的通信。总线网络拓扑结构只需要铺设通信主干电缆即可,因此其安装过程相对容易;其配置过程中也比较简单,节点的增加与删除均非常容易操作,但是如果该主干通信电缆的接入点数量饱和时,便需要重新铺设新的主干通信电缆。但是如果出现故障维修时的难度比较大,因为在进行介质故障排除时,需要把该故障限制在某个区间(网段),位于该区间的非故障用户的正常使用均要受到影响。
1.2.3 星形网络拓扑结构 该种拓扑结构形式主要将某一个网络节点作为处理中枢,而相关的入网设备均利用物理链路与该处理中枢节点进行连接。星形网络拓扑结构的优点非常突出,即控制简单、网络架设容易、结构简洁,其缺点也比较明显,即作为处理中枢的网络节点的工作负载非常大,降低了可靠水平以及通信线路的利用效率。星形网络拓扑结构可以进行优化“改装”,例如,将一个星形网络拓扑结构隐藏在另一个星形网络拓扑结构当中,便会形成新的层次性网络拓扑结构或者树形网络拓扑结构。星形网络拓扑结构的安装过程中要相对复杂和困难一些,所使用的通信电缆也要稍多一些。但是,星形网络拓扑结构的重新配置操作比较简便,仅仅需要在改变、删除或者增加某个端口的连接即可。但是星形网络拓扑结构的维护管理难度相对较大,主要是因为在星形网络拓扑结构中,网络中的一切数据和信息均需要经过处理中枢的中心设备,并由其汇集处理。因为结构形式特殊,所以一旦网络出现故障,受故障影响的用户则能够降到最少,并可以进行很好地处理。
1.3ATM技术
Anchronous Transfer Mode,即异步传输模式,简称ATM。图像、视频、音频等多媒体内容的增多迫使用户来获得更高的接入速率,但是传统的电路交换 和分组交换对于日益增加的交换任务显得束手无策。在进行大量任务交换时,电路交换的突发性和传输速率均会产生较大的变化,增加了控制难度;在传输速率较大的情况下,分组交换的协议数据单元需要占用各层处理的大量资源,信息传输延迟问题严重。异步传输模式(ATM)的宽带信息交换是它的典型优势,因此,它在广域网和局域网当中均获得了亲睐。异步传输模式(ATM)具有高速数据传输率和支持许多种类型如声音、数据、传真、实时视频、CD质量音频和图像的通信,它是一项信元中继技术,数据分组大小固定。你可将信元想象成一种运输设备,能够把数据块从一个设备经过ATM交换设备传送到另一个设备。所有信元具有同样的大小,不像帧中继及局域网系统数据分组大小不定。使用相同大小的信元可以提供一种方法,预计和保证应用所需要的带宽。
1.4VLAN技术
Virtual LAN,即虚拟局域网,简称VLAN。VLAN系统的交换机配备高速以太网升级接口,并支持交换机间连接协议(ISL),具备跨越高速以太主干网连接的兼容性。ISL协议可提供跨越骨干网的第二层VLAN标识,并将每个数据包直接传送到已配置有相应VLAN标识的交换机,从而极大地减少了整个企业中的广播量。任何VLAN配置差异都可通过动态配置分析和运行记录生成过程检测出,并可通知到网络管理应用软件。这样保证在安装交换的网络上具有配置兼容性,而且减少了由网络管理员导致的配置错误。VLAN通过基于协议类型和网络地址的分段,可在网络层(通常指第三层)上得到进一步定义。这种类型的VLAN分段需要子网地址与VLAN组映射。交换机将终端站的MAC地址和基于于网地址的对应VLAN连接起来,同时选定在同一VLAN中的其他站的相应网络端口。这种方法的优点在于网络管理员可根据每个包中的网络层信息对网络进行分段。
2应用实例
某住宅小区为了实现信息化,构建了宽带局域网络。其总体设计方案简介如下:第一,络操作服务平台的基础是局域网络和TCP/IP协议集。选择CISCO WORKS FORwIN网管软件,可以实现对内外网的全面、综合管理。第二,确保内部网络的安全,采用内外网隔离方式,与外部网络连接采用防火墙等安全措施。第三,网络应用支持与开发工具包括网络服务功能、外部资源连接、以及应用系统开发工具等组成部份。第四,络服务功能包括信息查询、发布等,支持电子邮件、域名服务、文件传输服务。外部资源连接的功能是实现WEB服务与企业管理信息数据库的互连。第五,统开发工具是开发基于的多种应用软件系统的开发工具,包括系统互连、面向对象的多种网络应用开发工具。
参考文献
宽带IP城域网的技术及应用 篇3
1.宽带城域网的定义
1.1 宽带IP城域网
宽带城域网是根据业务发展和竞争的需要而建设的城市范围内的宽带多媒体通信网络,是宽带骨干网络在城市范围内的延伸,并作为本地的公共信息服务平台组成部分,负责承载各种多媒体业务,为用户提供多种接入方式,满足各类用户对各种多媒体业务的需求。现在有三种网络正在运营:电信交换网、计算机网和有线电视网。
1.2 宽带IP城域网的接入方式
宽带城域网面对大量的用户,不同的用户对接入速率、服务质量、费用等要求不尽相同,因此对接入方式也有不同的要求。目前能够实现的宽带接入方式主要有以下几种:
FTTx:包括光纤到桌面路边(FTTD)、光纤到家庭(FTTH)、光纤到大楼(FTTB)、以及(FTTC)等。FTTx方式一般使用FTTx+LAN形式,即在光纤的终点连结局域网,用户只需接入本地局域网就可获得10~100M的使用带宽,而且费用比较便宜,是一种比较好而经济的方式。
xDSL:包括HDSL,ADSL,VADSL等,当前主要使用的是ADSL。它在已经广泛铺设的铜缆上采用新的数字解调技术,为用户提供比较高的接入带宽。其优势是可充分利用现有的钢缆资源,技术比较成熟,但是局端投资比较大,传输距离限制在l~5公里以内。
HFC:这种技术适合于在有线电视的同轴电缆线上开展宽带接入业务,但是需要对现有的同轴电缆有线电视网进行双向改造,并且单个节点下用户数目有一定限制。
以上这些接入技术在实际应用中往往被结合起来使用,并且与网管系统一起组成一个完整的接入系统。
2.IP城域网的建设原则
2.1 网络层次清晰化。构建逻辑层次清晰的城域骨干网、宽带接入网。(如图1所示)
城域骨干网是业务接入控制点及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务接入控制层两层。
2.2 网络结构扁平化。实现骨干网的大容量、少节点、接入网广覆盖,减少网络级联级数,减少非主流技术和设备的种类。
2.3 网络质量差异化。通过在IP网部署区分服务机制,为不同用户和不同业务提供不同QoS等级的差异化服务。
2.4 管理控制集中化。通过业务接入控制层实现集中的业务提供和控制,同时建立集中的认证计费和网络管理系统,提高网络的可管理性,实现运营商级业务支撑和网络管理。
2.5 设备要求规范化。通过制定规范,明确新增网络设备支持IP网业务开展所需的功能、性能、管理和互通性等要求,确保未来网络对业务的支撑。
3.宽带IP城域网网络技术
目前骨干网技术突飞猛进,针对不同的运营环境有ATM、GE、POS、DPT等多种技术供运营商选择。对于运营商来说,首先要综合考虑技术的发展趋势、技术特点、技术成熟性和标准化。例如万兆以太网技术尽管会是未来城域网的发展趋势,但是就目前技术发展程度而言,GE无论是在技术成熟度、标准化方面,还是在价格等方面都是一个更合适的选择。其次对运营商来说要对所建城域网现在和将来要开放什么业务,面对的重点用户群是谁等有一个清晰的目标,这样才能更好地选择合适的技术。
总的来说,要建设一个可运营可管理的电信级宽带IP城域网,采用什么技术是一个非常复杂的决策过程。
3.1 ATM技术
ATM采用53字节固定长度的信元(Cell)作为最基本的传输单元,利用IPOA、LANE、MPOA和MPLS等协议来承载IP。它的优点在于可以把不同的服务(FR、DDN、Voice、D1)集中到一个管道中,并提供分类管理,同时可以提供强大的流控机制但ATM在传输IP业务时存在协议过于复杂,信头协议太大,设备价格高而速率有上限(目前ATM接口最高速率是2.5G,而且622M和2.5G接口价格非常高)。
3.2 千兆以太网技术
GE技术基于传统的成熟稳定的以太网技术,设备价格较低。它可以自然的方式来升级现有的以太网、工作站、管理工具和管理人员的技能,实现与用户原有以太网的无缝连接,中间不需要任何格式转换,大大提高了数据转发和处理能力。可以说GE的突出优势是低带宽成本以及简单、易用和对IP的无缝支持。但在流量控制和带宽管理、可管理性和安全等方面能力则还有待于进一步完善。
3.3 DPT(动态包传输)技术
DPT技术是基于光纤传输的优化包传输,结合了IP路由的带宽效率、成本有效性和服务丰富性以及光纤环的带宽丰富性和积极自愈功能,提供了下一代数据化的光纤传输解决方案,最大限度的提高了网络稳健性和可用性。DPT采用分组环解决方案,充分利用带宽复用功能,比TDM的SDH设备和分/插复用器(ADM)等组网方式经济便宜。
4.宽带IP城域网建设方案
4.1 城域骨干网
考虑到网络中心与县市(区)间光纤资源有限以及骨干网络的稳定性、可靠性,将城域IP骨干网架设在独立光传送平面(采用波分技术)之上,形成双平面的网络架构,即光传送平面、业务网络平面。业务网络平面除IP网络外,还有数字电视专网、TDM专网等。(如图2所示)
4.2 宽带接入网
宽带接入网的接入层通过各种接入技术和线路资源实现对用户的覆盖,并提供多业务的用户接入,配合完成用户流量控制功能。接入层一般由中小规格的交换机、CMTS头端设备、PON的OLT设备、IPQAM头端设备等组成。
4.3 IP多业务平台系统
目前网络市场上的城域网IP多业务平台构建主要分两种,一种是Metro-DWDM方案,另一种是MSPP方案。
目前全国各地的宽带ip城域网已从最初的如火如荼的建设到现在的较为平稳的发展,现实的市场需求要求运营商对网络技术的选择、业务提供、设备的选择一直到运营管理都要和投资回收建设成本乃至赢利紧密结合考虑。尤其是以太网接入作为一种有中国特色的接入手段,在目前用户有强烈需求但规模效益不明显的形势下,如何使宽带ip城域网骨干网的建设与扩容更有效的配合以太网接入网以获得更大的收益,更是一个值得关注的问题。在这方面,要特别关注的是RPR的标准化过程,它肯定会使基于GE的多业务平台成为宽带ip城域网发展的一个趋势。
参考文献
[1]MOERMAN K,FISHBURN J,LASSERRE M,et al.Utah’s UTOPIA:An Ethernet-based MPLS/VPLS triple play deployment[J].IEEE Communications Magazine,2005,43(11):142-150.
[2]Michael Wynston.Csico Enterprise Management Solutions[M].USA:Cisco Press,2001.
[3]徐名海,糜正琨.VPLS技术及其应用[J].中兴通讯技术,2008,11.
[4]小托马斯等著,长江网络工作室译.创建可扩展的cisco网络[M].北京:机械工业出版社,2001.
[5]李晓东,陶德胜,何石.泰州广电IP城域网的建设及应用.
宽带城域网网络安全与优化 篇4
目前宽带城域网已经在每个领域得到广泛的应用, 国家的政府机关以及企业都使用城域网络, 现在的网络安全问题已经影响到财务、信息安全等问题, 因此城域网络安全问题已成为备受关注的问题。我们的现代生活中网络已经是不可避免的生活与工作的工具, 但是网络技术快速发展的同时给我们带来的影响也是不可小觑的。现在的网络安全是不可靠, 已经出现个人信息的被盗、网络流程的篡改等, 这样已经严重的影响我们的日常生活。为了更好的适应网络生活, 我们应该采取相应的措施对城域网络安全进行控制和优化, 保证城域网络健康的运行和发展。
1 网络安全的重要性
现在网络遍及206个国家, 容纳近65万个网络, 提供了包括610个大型联网图书馆, 402个联网的学术文献库, 2000多种网上杂志, 900多种网上新闻报纸, 50多万个Web网站在内的多种服务, 总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。据不完全统计一年全世界由于网络安全导致的经济损失高达上亿元。现在网络安全问题已经逐渐被提到日常工作上来了, 在互联网早期的发展过程中只是注重发展没有把安全问题看得很重要。随着互联网络技术的不断发展, 网络安全问题日渐显著。互联网的功能越来越全, 越来越多的人开始使用宽带城域网, 网络发展很快, 但是网络监控技术还不是很成熟, 造成网络安全问题日渐突出。在我国很多政府部门和企业的城域网络都产生了安全问题, 出现机密泄露、财务损失、财务欺诈等问题, 这样就给政府部门和企业带来了很大的损失, 因此城域网络安全成为亟需解决的问题。
2 网络安全优化
面对网络安全出现的问题, 针对网络现状, 从网络规划角度出发提出了一系列的网络安全优化设计方案。这个优化方案立足于网络, 考虑了整个城域网的技术性、可靠性、安全性以及网络运行过程中的稳定性, 能够保证网络的负载变化以及在网络受到病毒攻击时能够保证网络正常的运行, 主要从以下几个方面进行优化。
(1) 实体认证:为了防止网络受到攻击采用实体认证的方式进行登录, 对于开放的网络环境各种信息的保密就显得尤为重要, 采用实体认证就能够很好的保证信息的安全性。
(2) 访问控制:针对网络资源的缺陷性对使用的网络资源进行防御控制, 目前的访问机制不是能够很好的控制, 在访问的时候采用资源分档、用户分类、多级访问等控制措施, 这样可以保证访问控制的可靠性。
(3) 数据保密性:针对信息泄露的防御措施采取数据保密的措施, 对于数据选择数据保密和相关业务流程保密的措施, 通过数据保密的措施能够很好的解决数据丢失的问题。
(4) 数据完整性:针对网络非法篡改文件、信息以及相关业务流程的安全问题采取数据完整性安全服务技术, 保证数据资源的安全性、完整性, 保证数据段完整性和稳定性。
3 网络安全保护措施
面对我国日益明显的网络安全问题, 主要针对城域网核心层, 提出了以下几点安全策略部署方式:
(1) 城域网络采用集中式权限管理的模式, 对于不同的操作人员、系统、终端进行管理, 由网站系统管理员设置共享数据库信息的访问权限, 并设置相应的密码及口令。不同的操作人员设定不同的用户名, 且定期更换, 严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定, 并由网站系统管理员定期检查操作人员权限。
(2) 目前, 对于大多路的路由器都采取路由认证和保护, 路由认证可以采用路由协议来提供支持, 可以采用相同的认证方式, 在认证的过程中可以使用比较简单的明文认证还可以使用比较安全的MD5校验。这两种认证方式的操作过程是比较类似的, 但是密钥不在城域网络上以明文的方式进行显现。路由器将使用MDS算法产生的密码信息是消息摘要, 这样密码摘要就代替密钥进行信息的传达, 这样就可以保证信息传输的安全性, 确保信息不会被篡改。对于支持MD5路由认证的系统是有区别于内部网络协议的, 现在比较好的网络协议就是BGP, 这个网络协议是比较流行和安全的, 为了提高该协议的稳定性和可靠性, 此协议采用TCP来提供可靠的连接, 这样网络的安全性更加可靠。为了防止被欺骗的TCP分段进入到连接流中, 采用相应的BGP连接进行攻击, 这样的连接会加强网络安全性和可靠性。
(3) 防火墙功能服务, 为了防止网络受到攻击, 对于IP源路由设置防火墙功能, 能够拦截被系统忽略了报告的传输文件和路径, 经过防火墙的设置能够限制一些不法网络的攻击, 这样就可以很好的控制网络安全, 减少网络攻击者的攻击。防火墙的使用可以减少网络攻击者破坏网络结构。防火墙的主要作用就是对流经它的网络信息进行分析, 防火墙能够过滤掉一些攻击的数据和信息, 可以避免这些网络攻击的信息被计算机系统执行。防火墙还可以主动关闭那些计算机不使用的端口, 并且防火墙还能禁止计算机特定端口的流出数据和信息, 封锁病毒和木马。防火墙还可以禁止来自特殊网络和不明站点的访问, 这样就可以在很大程度上拦截来自不明入侵者的所有数据和信息。因此防火墙具有很好的计算机系统保护作用, 网络入侵者必须首先穿越防火墙的安全防线, 才能入侵计算机系统对系统进行篡改和破坏。我们可以以攻击程度的高低, 将防火墙配置成许多不同保护级别, 这些保护级别会依据破坏的程度的高低对系统进行自动的防护, 对入侵的攻击进行过滤。防火墙高级别的保护可能会禁止一些服务, 如视频流等, 防火墙保护是比较好的选择。
4 结束语
现在的城域网络应用已经是普遍, 在各个城市和领域都使用城域网络, 因此对于城域网络的安全性也是十分重视的, 随着网络技术的不断发展, 带来的网络安全问题也是十分显著的, 网络运行的不安全性可能导致财政损失、信息丢失、篡改信息等网络安全问题。目前, 我国针对我国网络发展过程中出现的网络安全问题进行研究, 主要对网络安全的重要性以及网络安全优化和网络安全保证措施进行系统的研究和分析, 对于城域网络的发展过程中出现的安全问题进行仔细的研究, 采取相应的技术措施对城域网络安全性进行保护和控制, 使得我国城域网络使用更加安全可靠。
摘要:随着互联网技术的不断发展, 我国互联网事业的发展取得了很大的进步。但是随之而来的网络安全问题也逐渐显现, 现在我国的网络安监部门进行数据统计分析, 用在网络安全问题上的资金也是很大的数字, 主要就是防火墙、防病毒和加密等方面。现在, 我国网络安全问题已经越来越受重视, 企业也意识到了网络安全的重要。本文主要介绍了城域网络安全的重要性以及城域网络安全优化和城域网核心层网络安全保护措施等, 通过简单的介绍使大家了解城域网络安全对于我们日常工作和生活的影响。
关键词:宽带,城域网,网络安全
参考文献
[1]龚俭, 陆晟, 王倩编著.计算机网络安全导论.第1版.东南大学出版社, 2000, 8.
[2]陈光军主编.数据通信技术与应用.第1版.北京邮电大学出版社, 2005, 8.
[3]郑玉彤.Google群集及其软件技术分析[J].中央民族大学学报:自然科学版, 2005.
[4]俭, 陆晟, 王倩.计算机网络安全导论[M].南京:东南大学出版社, 2000.8.
[5]陈先军.数据通信技术与应用[M].北京:北京邮电大学出版社, 2005.8.
[6]秦志华.人力资源管理.中国人民大学出版社, 2000.
宽带城域以太网新技术 篇5
宽带城域以太网的关键新技术主要包括:接入认证技术、10G以太网技术、可靠传送技术和光以太网技术
发展宽带城域以太网不能一概而论,需区别对待
城域网(MAN)概念出现在20世纪90年代,是指介于广域网和局域网之间,在城市及郊区范围内实现信息传输与交换的一种网络。随着Internet飞速发展,IP数据业务已成为各运营商的下一个重要利润增长点,宽带城域网也成为当前电信网络建设的一个重点。
宽带城域网建设中,以太网是承载IP业务最好的一种技术。以太网在路由器接口无需任何映射、分段组装、比特塞入以及扰码操作,与网端主机的帧格式相同,可实现从局域网、接入网到城域网,甚至广域网的“无缝”连接。随着千兆以太网、万兆以太网、波分复用技术和光传输技术的出现和成熟,光以太网概念已提出,简单易用的以太网越来越多地出现在宽带城域网的组网方案中。
1 宽带城域以太网中的新技术
宽带城域网是为满足网络接入层的带宽大幅增长需求而建立,是电信骨干网特别是数据骨干网的延伸覆盖,主要针对家庭、企业及集团客户提供宽带数据及交互式多媒体业务,同时承载传统话音及窄带数据业务,具有覆盖面广、应用广泛、接入技术多样、接入方式灵活的特点。
宽带城域网一般按照核心层、汇聚层、接入层的分层结构组网,涉及交换技术、传送技术和接入技术几个方面。宽带城域网以IP交换为主的发展趋势已不容置疑,但在传送和接入方面目前多种技术共存。其中,以太网简单、经济、实用、易掌握,因此受到一些电信运营商尤其是新兴电信运营商的推崇。业界把采用了以太网技术的宽带城域网通称为宽带城域以太网。宽带城域以太网沿袭了以太网的优点,但也存在以太网本身在用户管理、网络可靠性和服务质量(QoS)等方面的问题,为此相应出现了一些新技术以克服这些问题。
1.1 以太网接入认证技术
以太网接入是指接入网用户侧采用以太网协议的接入技术,其简单高效,能兼容所有带标准以太网接口的终端,用户不需要另配新的接口卡或协议软件,因而是一种十分廉价的宽带接入技术。不过,因传统以太网主要针对小型的专用网络环境而设计,强调资源共享,所以在用户信息的隔离、用户传输质量的保证、业务管理和网络可靠性方面考虑不太全面,这对以太网用于公用电信网很不利。目前一些设备制造商和运营商已注意到这些问题,提出了一些有效的解决方案:如通过VLAN(虚拟局域网)进行用户隔离,用IGMP Snooping(互联网组管理协议窃听)技术以及优先级控制、Tagged VLAN(带标记的虚拟局域网)等功能支持有实时与组播要求的视频点播业务等;在用户管理方面采用两种以太网接入认证技术——基于BAS(宽带接入服务器)和PPPoE(基于以太网的点到点协议)认证方法,以及基于以太网端口的用户访问控制技术(如IEEE 802.1x协议)。
基于BAS和PPPoE的认证方法是较早出现也是最常见的一种用户管理手段(如图1所示)。这一方案采用安装在端局POP节点的宽带接入网关BRAS(完成宽带接入远程服务),负责终结由用户PC机发起的PPPoE进程,并在BRAS后面连接运营商的RADIUS(远程认证拨入用户服务)认证服务器和RADIUS计费服务器。当用户登录时,BRAS将用户名和口令传送到认证服务器,验证通过后,BRAS将允许用户接入网络,并启动计费服务器对用户进行计费。BRAS投资昂贵,采用BRAS PPPoE这一认证方法将增加城域网建设的投资,因此目前采用该方式的网络较少。
在传统以太网设备基础上,基于端口的网络访问控制技术采用IEEE 802.1x协议,提供了对基于以太网的点到点连接的端口用户进行认证和授权的能力,从而使以太网设备达到电信运营要求(如图2所示)。用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理,用户PC机运行EAPoE(EAP over Ethernet)的客户端软件与交换机通信。当用户通过EAPoE登录交换机时,交换机将用户名和口令传送到后台的RADIUS认证服务器上,如果用户名/口令通过验证,则相应以太网端口打开,允许用户访问;如果认证失败,端口接入将被阻止。
基于端口的访问控制技术(IEEE 802.1x协议)是为运营商提供的一种较为经济实用的认证方式,可实现用户设备在城域网边缘的分散用户集中认证管理,替代宽带接入服务器实现城域网范围内的用户管理功能。
1.2 10G以太网技术
10G以太网(10GE)[1]是传统以太网技术的升级,不仅在原有千兆以太网基础上将传输速率提高10倍,同时通过采用新技术大大增加了传输距离,加强了链路管理功能,将以太网扩展到广域网的范围。10G以太网标准草案IEEE 802.3ae于2000年9月形成,正式标准尚未出台,但已有10G以太网联盟(1999年成立)成员单位相继推出10G以太网相关产品,如三层交换机、光模块以及10GE LAN/WAN测试仪等,并提出了直接采用10GE组成二层城域以太网(Foundry公司提出[2] )和10GE/DWDM城域网(Riverstone公司提出[3])的组网方案。
10GE的技术特点主要表现在物理层、帧格式和MAC层速率适配方面。10GE有两种物理层规范:局域网采用以太网帧格式,传输速率为10.3125 Gbit/s;广域网采用OC-192c帧格式,传输速率为9.953 Gbit/s。这两种物理层规范共用一个MAC(介质访问控制)层,仅支持全双工策略,采用光纤作为物理介质。另外,10G WAN物理层并不是简单地将MAC帧用OC-192c承载,而是在SDH帧结构的基础上作了大量的简化,仅采用了帧定位字节A1和A2、段层误码监视字节B1、踪迹字节J0、同步状态字节S1、保护倒换字节K1和K2,以及备用字节Z0,对没有定义或没有使用的字节填充00000000,减少了许多不必要的开销,简化了SDH帧结构。与千兆以太网相比,10GE增强了物理层的网络管理和维护,在物理线路上实现保护倒换;同时,又避免了繁琐的同步复用。
以太网技术在城域网中的应用,直接促进了10G以太网的研究和标准化进程;10G以太网如果能够走向成熟,不仅会继续影响局域网的发展,更可推进以太网技术在广域网中的应用。当前,以太网真正走向广域网可能面临更多复杂的问题,但是以太网固有的种种优势,尤其是简单易用和良好的用户应用基础,可以促进各设备厂商、运营商和标准化机构努力解决这些问题。
1.3 可靠传送技术
网络的可靠性包含以下几个方面:链路/路径的保护和故障恢复、拥塞控制、路由选择和流量控制。已有的以太网技术在这几方面存在缺陷。以太网用于消除环路的生成树在链路发生故障时,其重构需要多达十几秒的时间,与传统的SDH相比,这是无法接受的。为提高宽带城域以太网的可靠性,就需要可靠传送技术的支持,MPLS(多协议标签交换)和RPR(弹性分组环)技术尤有优势。
MPLS[4]设计初衷是在大规模IP网内,通过ATM(异步转移模式)和FR(帧中继)等多种媒介实现保证QoS的快速交换。但MPLS在流量工程、QoS、VPN(虚拟专用网)等方面具有优势,成为城域以太网提高网络可靠性的重要手段。利用MPLS流量工程在源和目的地路由器之间同时设置两个隧道,在出现路径故障时,根据存储的标记快速提供另一条路径,可使IP网络的自愈恢复速度降到50 ms以内。这种方式需要增加1倍的隧道管理开销,但无需为备用的隧道预留带宽资源,比SDH的50%带宽资源开销更加经济实用。MPLS的流量工程可实现路径选择、负载均衡、路径备份、故障恢复、路径优先级等。另外,MPLS可通过使用约束路由机制,利用显式路由技术支持QoS,能支持RSVP(资源预留协议)和DiffServ(区分服务)两种QoS机制。基于MPLS的QoS能控制网络带宽、延迟、抖动和包丢失,以满足多种不同业务对服务质量的要求。
目前MPLS极受推崇,但MPLS业务仍不多见,全球大约20多个业务提供者采用了一定程度的MPLS,其中美国MPLS重点在流量工程,而欧洲主要用于VPN。MPLS第2个问题是扩展性不好,不同厂家的MPLS互操作有难度。此外,基于融合IP 和ATM思想而提出的MPLS,对于如何在以太网环境下实现信令协议LDP(标签分发协议)与路由协议(如开放路径最短优先——OSPF)交互,MPLS中流量工程与传输层流量机制间的互动等都有待在实际环境中研究。总的说来,MPLS标准仍有许多内容尚未标准化,其最终实用以及实现不同厂家产品互连尚需时日,有待于对其发展紧密跟踪和关注。
另一种可用于提高网络可靠性的技术为RPR。2000年11月成立的IEEE 802.17工作组专门致力于RPR环结构以太网技术的研究。RPR[5]通过Ethernet帧格式实现对保护环网带宽的合理利用和高效的网络管理,它吸收了以太网的经济性以及SDH对延时与抖动的严格保障、可靠的时钟和50 ms环保护与恢复等特性,并具有空间复用、带宽动态分配、支持业务级别等主要特点,是当前光网络上传输数据包的一种优化技术,正得到业界的广泛关注和重视。DPT[6](动态分组传输)是思科公司向802.17工作组提交的一种方案,目前该公司已推出相应的产品,也被许多公司所支持,但DPT技术不是标准,其互通性存在问题。尽管DPT与RPR工作原理相似,但RPR无论在性能和服务上比DPT技术都先进很多。802.17 RPR协议标准将于2003年3月出台,目前还属于前瞻技术。此外,RPR属于二层协议,在大型宽带城域网中,还需要与三层路由协议协调工作。RiverStone公司[7]提出将MPLS、RPR和Ethernet相结合构建宽带城域网的建议值得借鉴。
1.4 光以太网技术
目前在通信网络的底层,采用光纤进行传输成为主流。为顺应未来网络发展,充分利用现有的光纤通信网络,用简洁、经济、高效的方式实现IP数据业务的传输,集成了以太网和光传输的光以太网技术的出现是必然的。目前有EOS(Ethernet over SDH/SONET)、EOF(Ethernet over Fiber)和EODWDM(Ethernet over DWDM)这3种光以太网技术构造宽带城域以太网的方案,它们各具特色。
EOS城域网方案集成了以太网和SDH/SONET两大技术,其实现是通过在SDH设备(如ADM)上增加以太网接口或采用以太网交换机,由以太网接口或交换机提供帧映射和VC(虚拟电路)级联等功能。由于以太网信号是突发、不定长的,与要求严格同步的SONET/SDH帧有很大的区别,因此需要采用合适的链路层适配协议来完成从以太网到SONET/SDH之间的帧映射。目前,主要有两种协议可用来映射封装以太网信号[8]:由中国武汉邮科院向ITU-T提出的LAPS(在SDH上的链路接入规程,ITU-T X.85);由朗讯和北电提出的GFP(通用成帧规程,ANSI T1X1.5)。前者已是正式的国际标准,后者目前仍是ANSI的草案,估计不久会被正式批准,它们都是面向无连接的数据链路层协议。EOS方案被拥有大量SDH/SONET线路、既要保护原有投资又想支持新业务的传统大电信运营商所推崇。但SONET/SDH最初是用于低速度、电路交换传输的,因此,运行高速的SONET价格昂贵而缺少灵活性,无法传送Internet业务所需的海量IP数据包。
EOF方案采用多层以太网交换机将业务通过Ethernet帧直接加载到光纤上。这种方案可以减少网络设备,避免功能重叠,简化网络管理,降低网络配置的复杂性;同时,因保证全网采用统一的802.3以太网帧格式,不需要任何中间协议转换,额外开销可以降到最低限度,从而提高了传输效率;另外,通过稀疏波分复用(CWDM)和万兆以太网进行带宽扩展,成本较低。对于希望通过IP平台提供综合业务的运营商(尤其是新运营商)以及主要发展以太网接入网的运营商来说,这是十分理想的解决方案。北电、阿尔卡特、Extreme和Foundry等公司都提供这一方案。不过这一方案在提供业务种类上存在局限性,只能提供纯IP业务和基于以太网方式的专线业务,不能提供传统的话音业务和ATM、FR中的VC方式的专线业务。目前一些公司(如Extreme、RAD公司)提供了在IP网上TDM(时分复用)的解决方案,为支持TDM业务提供了一条新的可行方案。
EODWDM的提出是考虑到随着业务量的指数增长,一个业务一条光纤的传输模式需要大量昂贵光纤的敷设,非常不经济,而DWDM技术通过在一根光纤上接入不同波长的光信号,使传输容量比单波长传输容量增加几倍甚至上百倍,可降低网络传输成本。EODWDM继承了以太网成本低廉、带宽利用率高、易实现平滑连续的网络升级以及DWDM光网络良好光层保护能力的优点,是今后宽带城域网最理想的方案。
EODWDM的基本原理和工作方式是:在发送端将交换机、路由器等设备发出的Ethernet光信号,送给Ethernet波长转换板,进行光/电转换。电信号分为两路,1路送给Ethernet的MAC芯片(用于获取Ethernet的传输信息),1路去调制具有特定波长的激光器。经固定波长激光器调制的Ethernet光信号同其他波长的光信号复用进入1根光纤传输。在接收端通过分波器将各个波长的光信号分出,并送入不同终端。分出的Ethernet光信号,送给Ethernet波长转换板,同样需进行光/电/光的转换,并在电层用Ethernet的MAC芯片监视传输情况,最后Ethernet光信号送到交换机、路由器等设备的Ethernet光口。
EODWDM具有不可比拟的优势,但目前WDM/DWDM本身的组网处于初级阶段,技术不太成熟:光信号的损耗与监视、光通路的保护切换问题和网络的管理配置问题的解决都还不完备;当前DWDM的设计是用于长途传输的,仅提供终端复用功能,上下复用还不能动态进行,OADM和OXC尚未实用化,基于DWDM技术的智能化OADM与OXC将在3年或更长时间内才进入商用。由此可见,要推动EODWDM的实现,必须在设备和技术上进行攻关。设备上的当务之急是实现智能OADM与OXC的商用化,技术上目前MPLS、快速重路由以及IP本身的保护机制是解决EODWDM上自愈恢复、QoS以及流量工程等用户管理的主要手段。
2 结论与展望
城域网的热潮是市场驱动的结果。最终用户,尤其是企业用户和住宅用户对带宽的需求,直接刺激了城域网市场的发展。快速、高效地建立宽带城域网成为电信运营商关注的重点。以具有标准化程度高、升级性能好、价格便宜等多种优势的以太网作为适配层,采用IP over DWDM组建骨干城域网是宽带城域网今后的发展趋势,已由大多数的电信运营商和设备制造商达成共识。然而对于以演进模式发展的城域网,现有的建设必然是新老技术共存的:对传统运营商而言,为保护在SDH上的投资,城域以太网必与SDH共存,数据业务逐渐放到以太网上,不影响现有SDH的运作,将来再考虑把语音服务也转到以太网上;对ATM网而言,以太网也将先与其共存,然后再慢慢地取代,在此期间,ATM会继续向其既有用户提供服务。当然,新兴运营商没有投资保护问题,可直接用以太网作为城域网骨干网。
对于电信设备制造商而言,在构建宽带城域网时应综合考虑城市规模、用户需求、运营商本身的背景以及经营策略等方面而为电信运营商提供一个全面的解决方案。本文已总结了多种用于宽带城域以太网的新技术,但如何更好地支持TDM业务、如何实现高效IP地址管理等问题仍值得进一步研究。另外,为保证宽带城域网、接入网建设的健康发展,尽快挖掘能够吸引用户的宽带内容和服务、创造增值业务,建立一个支持开放接入、安全、可扩展的平台,也是非常重要的。□
参考文献
1 10 Gigabit Ethernet Alliance. 10 Gigabit Ethernet Technology Overview White Paper. http:∥www.10gea.org, 2001
2 Foundry Networks. Global Ethernet Solutions for Layer 2 Metro Ethernet(White Paper). http:∥www.foundrynetworks.com, 2001
3 RiverStone Networks Inc. Building 10
Gigabit/DWDM Metro Area Networks. http:∥www.techguide.com, 2001
4 Bruce Davie, Yakov Rekdter. MPLS: Technology and Applications. 北京: 机械工业出版社, 2001
5 Robert Bellman. RPR—Building A Better Ethernet. http:∥www.bcr.com/bcrmag/ 2001/09/p40.asp, 2001
6 Cisco. Dynamic Packet Transport. http:∥www.cisco.com/warp/public/cc/techno/wnty/ dpty/index.html
7 RiverStone Networks Inc. How Ethernet, RPR, and MPLS Work Together: The Unified Future of Metro Area Networking(Technology White Paper). http:∥www.riverstonenet.com, 2001
8 李勇, 陶智勇, 钮海明, 等编.宽带城域网实用手册. 北京: 北京邮电大学出版社, 2001
(收稿日期:2002-05-22)
作者简介
王雅琳,深圳市中兴通讯股份有限公司技术中心研究部高级工程师,博士。目前主要从事数据通信、以太网、QoS等方面的研发工作。
彭海清,深圳市中兴通讯股份有限公司技术中心研究部主任工程师,硕士。先后参加了ZXJ10大型程控交换机、SDH传输设备以及ZXR10核心路由器的研制工作,目前从事数据通信领域的研究开发工作。
浅谈蚌埠铁通宽带城域网的建设 篇6
关键词:宽带城域网,建设,网络
1 宽带城域网建设的总体框架
物理层面:包括各个机房的建设、光缆线路的走向及铺设;传输层面:传输组网方式,包括骨干层、汇聚层的组网方式及用户接入方式;IP传输层面:IP路由选择、基于传输技术选择等;IP用户:拨号用户、专线用户及其它接入;TDM业务层面:数据网、电话网等传统业务网的建设;其他类业务层面:如异步传送网、可视会议网、多媒体呼叫中心等;支撑层面:信令网、同步网;管理层面:网管的建立维护和用户管理;网络互联层面:和其他运营商之间的网络互联互通。
2 宽带城域网的网络层次
宽带城域网从逻辑上采用分层的建网思路,这样可使网络结构明晰,各层功能实体之间的作用定位清楚,接口开放、标准。根据网络规模不同可分为骨干层、汇聚层和接入层。一般情况下,骨干层和汇聚层可合为一层称为核心层,这样有利于扩大接入层的服务范围,降低宽带城域网的建设成本。骨干层:将多个边缘汇聚层连接起来,为汇聚层网络(各业务汇聚节点)提供数据的高速业务承载和交换通道,同时实现与已建传统网络的互联互通,提供城市的高速IP数据出口。核心层网络结构重点考虑可靠性、冗余性、扩展性和开放性。汇聚层:主要功能是给各业务接入节点提供业务的汇聚、管理和转发。汇接节点设备完成诸如永久虚电路的合并和交换,L2TP、Ipsec等各类隧道的终结和交换,流分类,对用户进行鉴权、认证、计费管理,多ISP选择等智能业务处理机制。接入层:主要利用多种接入技术迅速覆盖用户,进行带宽和业务分配,实现用户的接入,接入节点设备完成多业务的复用和传输,并且利用光纤、双绞线和同轴电缆等连接用户。
3 本地网络结构现状
本市宽带城域网建设在网络结构上分为核心层,汇聚层,和接入层三个部分。核心层是以合肥为核心并与其它2个地市汇聚节点形成全省的千兆以太网环路,透过OSPF协议,保证核心层的高冗余性、高可靠性。核心层节点选用Quidway NE40/80系列线速高性能骨干路由器,提供丰富的性能、高密度千兆接口及完整的冗余功能。本市放置两个NE40路由器,一个省干,一个本地,全部转接到合肥。汇聚层由7个汇聚节点组成并透过环状千兆以太网与核心层节点连接,汇聚层主要在提供大范围的宽带接入网络与宽带骨干网络的衔接,因此必需具备线速无阻塞的路由交换能力,必需具备优良的弹性扩充能力,同时也必需提供服务质量保证(Qo S)及带宽管理、速率限制等功能。汇聚层节点选用华为Smart AX MA5200F宽带智能接入服务器,其采用高性能网络处理器和大容量ASI(Application Specific Integrated Circuit)芯片,兼有强大的转发性能和灵活的业务处理能力。可以完全满足汇聚层的性能及效能需求。宽带接入网络部分主要采用10/100M以太网接入方式,以太网接入。采用铜线UTP和光纤两种方式,这一部分在城域网中属于接入层,接入层除了必需提供大量的10/100M接口外,针对不同接入、不同业务的特性,还必需提供大量虚拟局域网(VLAN)支援能力,用户隔离、网络安全、快速生成树协议、服务质量保证(Qo S)及带宽管理、速率限制等功能。本市现建设35个接入节点,接入节点采用华为Smart AX MA5300系列IP DSLAM产品以及S6506,S3526交换机,可以满足接入层的性能及效能需求。本市宽带城域网网络拓扑图如下:
4 采用的地址分配与管理
宽带城域网内可同时使用公网IP地址和私网IP地址。在公有IP地址资源充足的条件下,城域网内应尽量使用公网地址。根据所分配的地址,应提前做好本地的私网地址和公网地址的规划,根据不同的地域,不同的应用进行地址块的划分,私网IP地址由各省统一规划。其中设备的管理地址、设备间互连的地址、ADSL和PPPOE拨号地址池、NAT地址池一般使用公网IP地址。由于各地市分配的公网地址有限,而用户数量不断增长,为了解决这一矛盾,提高公网地址的利用率,地址管理采用了二次地址分配。所谓二次地址分配是指初始DHCP时为用户预分配IP地址(通常为私网地址),在用户通过认证或重认证后,重新为用户分配地址(通常为公网地址)的技术。
5 接入方式及用户的认证、计费
采用的接入方式有PPPo E、VLAN,专线接入等。相应的地址分配方式有静态地址分配和动态地址分配。所谓静态地址分配是给上网用户分配固定的IP地址、掩码及其默认网关,一般多采用VLAN接入(所谓VLAN接入是指以Ethernet II或802.1Q协议和用户之间建立链路,以静态配置或DHCP方式获取IP地址,以Web认证、绑定认证或快速认证等方式验证用户身份的接入方式)。在VLAN接入方式中,以VLAN标识并严格隔离用户。计费方式一般为包月制。目前大客户及专线用户一般采用这种地址分配方式。所谓动态地址分配是指采用PPPOE接入,即通过虚拟拨号方式在BAS与用户之间建立点到点的连接,使用PAP或CHAP方式验证用户身份,通过PPP协商获取IP地址的接入方式。在这种接入方式中,PPPo E服务器用于建立用户和BAS之间的会话,终结用户的PPPo E报文,从中取出相应的PPP报文发送给PPP服务器,或者将PPP服务器的PPP报文进行PPPo E封装后发送给用户。PPP服务器则在PP-Po E会话建立后,在该链路上和用户进行PPP协商,分配IP地址,验证用户身份,完成用户的接入认证过程。采用这种方式可以对上网用户提供灵活合理的计费认证方式。大量的ADSL拨号用户都采用这种PPPOE宽带认证方式。
6 铁通宽带城域网的发展方向
随着大量的多媒体业务在因特网上的日益普及,宽带网络已进入千家万户。未来光纤接入必然替代过渡性的双绞线x DSL和基于同轴电缆HFC系统的Cable Modem及宽带无线接入等其他宽带接入。目前的发展,采用的最成熟、最优质、最经济的方式是光纤连接到大楼(FTTB)与UTP综合布线相结合的物理连接方式。用户接入层将实现光进铜退,形成以光接入为主、宽带无线接入为辅的局面。全光网络将是最终的趋势。
参考文献
[1]彭中星.宽带城域网的建设[J].科海故事博览·科教创新,2009(1).
宽带城域网 篇7
信任域、非信任域以及隔离域共同组成宽带城域网安全模型。信任域作为基础网络, 隶属于运营商, 和电信业务网相互分离, 防火墙是常被运用的设备, 信任域有多种类型, 如支撑系统、网管系统、智能业务平台等。非信任域是基础网络, 也隶属于运营商, 为客户服务, 主要应用于接入和业务, 且是Internet网络的组成部分, 主要设备有基础用户接入、数据交换以及媒体网关, 该网络有时会脱离互联网的控制。隔离域作为平台目的在于实现信任域和非信任域的数据交互, 该业务平台种类较多, 有web服务平台、ftp服务器、dns服务器等等。信息传输的基础是非信任域, 作为基础网络, 是城域网中的主要组成部分, 起到很大的作用, 因此, 在安全模型的建立过程中, 应当对非信任域予以重点考虑。
2 宽带城域网安全分析
2.1 信任区域的安全
信任域的安全性较为关键, 是宽带城域网运用的重点, 因此为保障其安全, 应当采取相应的措施。一般情况下, 信任域会受到多种攻击, 如网络攻击、网络入侵以及病毒等。为保证信任域的安全, 可以采用如下方式。第一, 对防火墙予以部署, 保证安全访问策略的严格性, 对此区域的访问进行严格限制。第二, 在系统软件和应用软件的挑选上予以严格限制, 且予以配置, 对操作系统和应用系统的漏洞和补丁情况予以关注, 同时对进展情况予以监测。同时对系统和应用的服务对象范围予以界定。第三, 对网络入侵监测系统予以关注, 且进行部署, 重点的监控对象是核心服务, 若发生网络攻击和病毒, 可以及时警报。第四, 坚持完善网管系统, 同时完善日志系统。第五, 在处理主机系统问题上, 应当运用双机热备份方式, 同时应用系统和数据的备份工作也应当做好, 且还应根据具体情况, 进行需要设定, 对系统工作予以恢复。
2.2 隔离域的安全
隔离域的作用在于能够连接宽带城域网和对外业务服务, 业务应当具有足够的对外开展空间, 才能使安全的威胁降到最低, 此时该域也是最容易受到破坏的部分。为实现安全性保障, 可以采取以下措施。第一, 对防火墙予以部署, 保证安全访问策略, 其中分布式拒绝服务攻击应当予以重视。第三, 对服务器的安全漏洞予以修补, 拒绝接入不必要的网络服务。第三, 同时做好系统和日志的备份工作。
2.3 非信任域的安全
作为传输网络, 非信任域和用户的接入和业务直接相关。但是非信任域容易受到攻击和不同病毒, 其安全性存在重大威胁。主要可以从以下三个方面进行阐述, 第一, 网络设备的系统资源将会增大网络攻击和病毒攻击, 造成CPU处理能力降低, 形成网络故障, 导致用户的报文丢失。第二, 攻击和病毒会导致资源消耗, 如若采用TCP连接数资源, 会对网络服务器产生重大影响, 且大大影响NAT设备。第三, 对设备访问控制过程中, 黑客的攻击性应当受到重视。目前为止, 针对信任域和隔离域, 已经逐渐采取了安全措施, 同时宽带城域网对非信任域的安全问题应当予以重视, 尤其在城域承载网的安全建设问题上。
3 宽带城域网安全建设及常见故障处理方案
3.1 防DDOS攻击网络部署方案
根据笔者的相关经验, 认为防DDOS攻击网络部署方案, 可以从以下四个方面着手。第一, 建立专门的清洗中心, 将核心路由器予以盘挂和直挂, 通过静态的方式对指定流量予以防护, 同时清洗设备还能够对异常流量进行清晰, 将该用户端纳入保护范围。在本方案中, 有不少优点, 主要有部署简单、成本不高等优点, 且对用户进行特定保护的过程中, 需要做好深度、实时检测和清洗工作, 此时不会造成延迟防护, 会产生比较好的效果, 但也有不好之处, 比如, 静态防护需要一定容量的清洗设备, 且随着流量的扩大, 容量也增大, 所以如果选择直接部署方式, 清洗设备的量将会成为清洗限制, 因此这种方式一般较为适合小型网络, 对清洗流量要求不高。第二, 同样建立新的清洗中心, 对进行城域网流量进行探讨和分析, 利用Netflow工具, 同时将该清洗中心在核心路由器上进行盘挂。对攻击流量进行检测, 通过设备的自动下发引流策略, 一直到达核心路由器设备, 且将异常流量进行清洗, 在清洗完成之后, 还可以将流量进行回注。本方式的优点同第一种方式一样, 在成本上都消耗比较少。主要应用的区域是大型城域网以及IDC网络, 同时应当做好部署Netflow工作, 其性价比都比较高。但也有缺点存在, 因为Netflow技术并非十分成熟, 技术上仍有瓶颈存在, 因此在检测攻击时, 会造成比较大的时间延误, 同时对采集有一定的要求, 针对应用层进行攻击识别, 打那时其缺点在于不能识别小流量攻击。此外, 还可以通过DPI深度报文全流量检测对进入城域网流量分析以及针对宽带组建专门建立VPN。
3.2 防止垃圾邮件安全方案
在宽带城域网中, 垃圾邮件的数量很多, 要对该问题进行根治, 需要做好几方面的工作, 比如对个人素质和意识进行提升是非常重要的方面。就目前来看, 垃圾邮件对人们的生活造成了非常大的影响。主要表现在两个方面, 一是大量的垃圾邮件接收, 使得用户不能正常使用邮件, 第二, 网内用户在向外发送垃圾邮件的过程中, 一些无辜的用户会被国际反垃圾邮件组织列入黑名单。笔者认为要解决以上两个问题, 可以从以下两个方面入手, 第一, 通过选择比较稳定的企业邮局系统, 一个好的邮件胸膛呢, 对整个垃圾邮件而言具有较好的控制能力, 同时功能还较为齐全。此时, 通过对反垃圾邮件引擎的设置, 以及设置相应的规则, 对该问题予以规制, 从而在最大程度上对垃圾邮件予以控制。第二, 在目前的城域网中加入一些反垃圾邮件的功能, 主要的设备部位在后端系统功能模块中, 分析对象是用户数据, 同时如果发现大批量的相同邮件发送的情况, 可以将该邮件的转发进行限制。
3.3 抵制低俗网站安全方案
低俗网站的危害十分大, 对网民的思想道德建设构成比较大的困扰, 而其中儿童也受到了损害。与此同时, 抵制低俗网站需要从各方面着手分析, 主要体现在两个方面, 第一, 对网络监管的力度予以加强, 不要让一些非法网站接入互联网, 同时对发布者和使用者两方面进行着手, 从而在根源上, 减少低俗网站的危害。宽带城域网对低俗网站的抵制主要存在以下两种方案。方案一, 对城域网流量进行相应控制, 对电信运营商而言, 应当对整个接入城域网的网站进行备案, 且对用户进行跟踪调查。同时, 在城域网流量监控系统后段进行反低俗网站之后, 建立相应的功能模块, 主要采用的方式是对文本关键字内容进行相应的判断, 从而限制低俗网站。但是该方案的缺陷在于使用范围较为狭小, 比如该方案在特定情况下, 只能够在特定省进行。方案二, 大部分网站在托管过程中, 都需要在电信运营商的IDC内, 因此可以在该出口部设置相应的监控系统。但是该方案的缺陷之处在于一旦脱离了该范围, 则无法检测判断。
4 网络安全部署实施建议
一直以来, 宽带城域网的安全工作是重要的业务安全保障措施, 虽然不能直接带来可视的经济利益。但是随着通信行业增值业务的发展, 网络安全的保障问题也应当通过一定的措施予以实现, 该项业务是重要的增值业务, 也能够产生一定的经济利益。该业务可以通过以下两种方式予以实现。第一, 包月服务的提供, 客户申请了安全保障后, 纳入白名单中, 同时通过安全控制中心, 对整个客户网络安全予以防护, 同时该项服务主要的服务对象是政府和商业客户。第二, 按次进行收费, 有些客户不愿意进行按月缴费, 此时他们可以选择进入安全系统平台, 对自己系统是否受到攻击予以检查, 还可以自己决定是否要购买电信清洗服务, 若有需要, 还可以按照次数通过一定方式向电信缴费。
总而言之, 宽带城域网网络架构的建立已经慢慢成熟, 使顾客不仅能够应付常见的故障处理, 同时还能够提供相应的安全保障。在本文中笔者从宽带区域安全模型入手, 对宽带城域网安全进行分析, 提出宽带城建设和常见故障处理的方案与建议, 如防DDOS攻击网络部署方案、防止垃圾邮件安全方案以及抵制低俗网站安全方案, 希望能够为今后城域网建设起到借鉴作用。
参考文献
[1]张谋总.电信宽带城域网的建设及应用[J].电信科学, 2011 (03) :23-25.
[2]杜宾.宽带城域网的建设与以太网技术的发展[J].电信网技术, 2010 (06) :34-36.
宽带城域网 篇8
随着IPTV、视频会议、视频点播程监控检测以及交互式游戏这些新型网络业务的诞生, 不仅对宽带的需求增大, 而且对宽带的速度有了更高的要求, 一般传统的宽带接入速率使用的是56K bps、64Kbps或128Kbps, 这是远远无法满足新型业务的宽带需求的, 因此IP城域网应该比传统网络有更高的宽带要求。在电信宽带IP城域网的规划、建设过程中, 首先应该充分考虑到当地网络的区域特点及其对宽带承载传输的特点进行科学、合理的设计。其次各大运营商在满足基本宽带速度要求的同时还应该注意未来业务的扩展能力, 考虑用户未来对宽带的需求从而设计出使用年限更长的投资设备, 确保收益的长久性。最后还应该实现网络宽带资源的合理配置, 可以根据不同的物理区域以及用户数量的多少对宽带流量进行动态的分配, 还可以根据用户入网时选择的宽带连接类型进行分配和限定, 具体的管理模式可以参照BGP4协议中的负载分流、OSPF中的开放式最短路径优先、接入网中的限定速率以及MPLS协议中的流量工程等方式, 只有在这些协议以及工具的帮助下才能使网络的资源得到合理配置。
2 服务质量
传统上互联网对服务质量的保证措施是十分缺乏的, 一般采用的都是“尽力而为”的服务策略而不提供服务质量保证, 随着现代化网络的不断升级, 市场上引入了各种各样的新型业务, 这些新型业务不仅包括非实时业务还包括Qo S保障的实时业务, 特别是用户对于抖动、丢包率以及数据传输的时延等网络质量的要求越来越高。Qo S通常由数据传输的时延、丢包率以及抖动3个基本指标确定, 运营商应该根据不同的网络层次采用适当的方式来保证QOS服务的质量, 这是各大电信运营商开展承诺质量的通信服务的关键, 也是IP城域网设计的一项重要内容。IP城域网主要有三层网络和两层网络: (1) IP城域网三层网络主要是通过流量控制、队列调度、业务分类和划分等方式实现突发拥塞时Qo S的服务质量保证, 首先通过对用户的接入进行分类并根据Qo S的3项基本指标来标记来限定用户上行流量和下行流量速度。其次可以由BRAS宽带远程接入服务器和核心路由器组成的优先队列和若干轮循队列来保证IPTV以及NGN语音流量的优先权。WRED丢弃机制可以在队列调度机制的基础上实现由Qo S升级的IP包转发。 (2) IP城域网二层网络主要是通过802.1P的为主的Qo S技术来实现突发拥塞Qo S质量保证, 它是在ONU和DSLAM接入设备上根据VLAN划分基础从而对业务的Co S或不同的用户进行分类、标记, 限制LAN、Xdsl、PON等接入用户的上行流量。
3 业务安全
为保证城域网的安全, 主要包括通用防护、接入层防护、汇聚层防护、BRAS防护以及核心层部署等五个方面的技术安全策略。 (1) 通用保护措施的作用主要是通过服务管理安全、远程访问管理安全、设备关键资源保护、密码管理安全、定期备份、设备网管安全以及设备安全审计等措施来保护城域网的各个层面内的交换机以及网络设备, 使它们不受攻击或者避免它们成为攻击的通路或载体, 它是提高城域网安全水平的首要步骤。 (2) 接入层安全防护主要是通过网络安全防护、ADSL接入、LAN PPPOE接入以及网吧接入等方式策略来保护终端对城域网的攻击。 (3) 目前城域网一般以BRAS或三层交换机作为汇聚设备, 而用户业务控制策略和三层的安全技术策略都是需要在汇聚层的基础上完成的, 因此加强汇聚层的安全防护是非常重要的。汇聚层安全防护策略主要有以下几点: (1) 针对非专线用户, 对用户端的服务端口25、135-139以及445服务端口实施拦截; (2) 启用用户侧l u RPF功能, 防止假冒源攻击地址。 (3) 利用Port Security防范CAM的攻击; (4) 帐号物理信息绑定。 (5) 限制ICMP包流速 (CAR) 。 (4) BRAS安全防护措施可以利用冗余设计避免单点故障, 同时还可以充分利用BRAS自身的安全特性来提高设备的安全性, 值得注意的是要根据BRAS容量和宽带应用的实际情况预留流量攻击所消耗带宽, 从而调整BRAS并发用户数. (5) 城域网核心层策略部署可以防护各种攻击手段产生的威胁, 可以提供描述网络整体安全状态的原始数据, 同时还具备相当强的攻击承受能力从而保证核心网络的稳定运行。具体的操作包括以下几点: (1) 核心路由器最好避免采用本地密码的带外方式, 同时采用采用TACACS+加密访问的方式, 并尽量采用一次性密码。 (2) 为了防止恶意路由的攻击, 可以对路由协议交换进行MD5加密认证控制。 (3) 利用Receive AC功能来控制GRP控制引擎的流量, 同时通过路由器的流量不受影响来提高核心路由器的攻击承受能力, 避免七对核心路由器直接的Dos攻击。
4 用户业务管理
目前随着因特网增值服务的多样化以及用户需求的多样化, 各大电信运营商应该充分的考虑如何加强对用户的多样化需求以及业务细分的管理能力, 因为不同的业务需要不同的宽带服务, 特别是对于IPTV以及视频会议这些宽带需求比较大的业务, 传统的按宽带购买网络服务的模式过于单一已经远远无法满足用户的需求。因为这些需求比较大的业务虽然对宽带的需求比较高, 但是使用的频率与需求并不是成正比的, 在日常生活中并不常用, 若长期购买大宽带, 用户的投入成本就会大幅的提高, 可能会造成严重的经济负担, 因此各大电信运营商应该根据用户对宽带的动态需求接入宽带, 按照实际宽带的使用时长收费的方式来提高宽带的合理使用。
21世纪是信息产业快速发展的时代, IP技术实现了信息汇聚以及现有网络的整合, 随着网络业务的不断发展创新, 用户的宽带需求也相应的增多, 为了适应电信业务市场的激烈竞争机制, 加强电信IP宽带城域网的规划与建设是非常有必要的。
参考文献
[1]胡捷, 李源.IP QoS与操作系统进程线程调度机制关联性分析[J].通信世界.2006 (34)
[2]李彤.IP网络实施QoS的策略分析[J].邮电设计技术.2006 (06)
[3]许毅, 李腊元, 桂锐锋.基于IP网络QoS的基本策略及实现[J].武汉理工大学学报 (交通科学与工程版) .2002 (06)
宽带城域网 篇9
1 宽带城域网的概念
宽带城域网是为满足竞争和业务发展的需求而建设的城市范围内的宽带多媒体通信网络, 是我国骨干网络基本建设完成之后的下一个建设热点。宽带城域网是城市内公共信息服务平台的重要组成, 为用户提供多种多媒体业务和接入方式, 为满足人们对通信要求发挥了重要作用。当前正在运营的网络主要有三种:有线电视网、电信交换网和计算机网。而随着IP技术的发展, 将上述三种网络融合到IP网络中已经成为发展趋势。
2 IP城域网的建设原则
为保证网络质量和用户利益, IP城域网的建设应遵从以下几个原则:1) 规范设备要求。通过制定相关规定, 对网络设备在IP城域网中发挥的性能, 互通性, 管理等要求进行明确要求, 确保投入使用的设备都可适应未来网络发展的需求。2) 集中管理控制。利用业务接入控制层, 将业务控制和提供进行集中管理, 还可以通过建立集中的网络管理系统以及认证计费系统进一步实现管理控制的集中, 以提高城域网的可管理性。3) 网络质量差异化。在同一城域网内, 为不同用户需求的不同业务要提供不同的Qo S (Qualityof Service, 服务质量) 等级服务, 收取不同费用。4) 网络结构扁平化。扩大骨干网的覆盖面, 增大骨干网的容量, 减少骨干网的节点和网络级联级数, 并尽量减少使用非主流的设备和技术。5) 网络层次清晰化。城域骨干网和宽带接入网的构建层次必须清晰, 其中, 城域骨干网由业务接入控制层以及核心层两层构成。网络结构如图一所示:
3 城域网的组网技术
组网技术即为网络组建技术, 目前, 城域网的组网技术主要有以太网、Po S、ATM技术以及DPT技术几种。
3.1 利用以太网技术组网
以太网组网具有简便、灵活等特点, 可使用多种物理介质, 以不同拓扑结构组网, 已成为当前国内外应用最为广泛的一种组网技术。以太网分为10Mb/s、100Mb/s、1000Mb/s几种不同的传输速度。在城域网的组网中, 主要应用的是千兆以太网技术。通过将千兆以太网扩展到城域, 在城域建立纯IP的网络平台, 采用核心路由交换机组建城域网。利用千兆以太网进行城域网的组网具有组网简便, 成本低的优点, 并且为城域网提供了良好的可扩展性, 方便用户的增加。同时, 千兆以太网的统计复用功能也使得网络中继宽带的利用率得到了大大提升。但利用千兆以太网组网也面临着可管理性、安全性以及流量控制等方面还存在缺陷的问题, 还需进一步改进完善。
3.2 利用Po S方案组网
Po S, 即IP/PPP/HDLCover SDH/SONET。该组网技术的传输效率和速度都很高, 主要适用于以IP业务为主的电信网、经营IP业务的ISP以及在电信骨干网中疏导高速数据流。主要是利用PPP按RFC1661的要求实现读协议封装、链路初始化控制等之后, 实现对IP的分组封装。然后按照RFC1662的要求形成HDLC的帧, 最后把该帧交给SDH/SONET进行处理后, 进行传输过程。Po S组网技术节省了ATM层, 实现了对网络体系结构的简化, 而且保证了Qo S, 使SDH系统能够直接支持基于IP的文字、数据、语音等多媒体的传输。但由于这种组网技术的核心是千兆位线交换路由器, 而交换机和路由器需要捆绑在SDH上下复用器 (ADM) 上, 使得组网成本大大增加。
3.3 利用ATM技术组网
ATM, 即Asynchronous Transfer Mode, 异步传输模式。ATM可以提供ubr, abr, vbr等多种服务类别, 并按照流量, 时间, 端口等多种方式进行收费。另外, ATM技术还可以将不同的服务集中到一个管道中, 进行分类管理。但利用ATM技术组网也面临着设备价格过高, 传输速度有限, 传输过程中协议过于复杂等问题, 而且利用ATM技术实现的IP网络的宽带仍然受限于网络技术本身, 对超大规模的骨干网来说并不适合。
3.4 利用DPT技术组网
DPT, 即Dynamic Packet Transport, 动态分组传输技术。通过将IP路由器的宽带效率、成本有效性、光纤环的丰富性以及自愈功能相结合, 可以支持多种业务类型, 提供了下一代数据化的光纤传输解决方案, 大大提高了网络的可用性和稳健性。此外, DPT技术采用分组环解决方案, 使宽带复用功能得到了充分利用, 使其经济开销大大减少。
4 各组网技术的优缺点
5 IP城域网的建设方案
组建IP城域网, 在国内外有各种各样的想法和组网建设方案。但在组建城域网的过程中, 一定要因地而异, 充分考虑到所在城市的经济发展和业务需求情况。并采用合理的组网技术, 使用符合规范的网络设备。目前, 建设IP城域网的方案主要有两种:一种是采用高速LAN路由器作为核心, 交换机或路由器作为汇聚层, 组建成三层网络。另一种是采用高速交换机为核心, 交换机作为汇聚层, 组建成两层网络。
5.1 采用高速路由器为核心的建设方案
以高速路由器为核心的城域网建设方案主要适用于IP业务量较大的城市。其建设方案主要是以高速路由器为核心, 以TGE方式组网为主, Po S连接为辅, 利用市内光纤或其他传输介质作为中继。因为对于IP业务量较大的城市, 需要处理的IP数据包也相对较多, 只有利用高速路由器才能处理的过来, 并且IP业务量较大时, 对IP层面的服务等级划分以及流量监控等功能也是不可或缺的, 而这些功能的实现也离不开高速路由器。所以, 对于IP业务量较大的城市, 应采用高速路由器为核心的建设方案组建城域网。
5.2 采用高速LAN交换机为核心的建设方案
以高速LAN交换机为核心的城域网建设方案主要适用于业务量中等及中等以下的城市。其建设方案主要是以GE方式组网, 利用市内光纤或其他传输介质作为中继。因为对于IP业务量中等及中等以下的城市, 需要处理的IP数据包相对较少, 而且宽带比较富余, 对IP层面的服务等级划分以及流量监控等功能要求不高, 所以采用高速LAN交换机为核心的城域网建设方案是完全可行的。需要注意的是, 对一个纯粹的二层网络来说, 是没有良好的可管理性和可扩展性的, 所以在组网过程中必须引入三层路由功能。因此, 要想办法使采用交换机为主的二层网络设计方案同样具备三层IP的控制和路由功能, 其解决方法就是在高速LAN交换机上配置三层路由模块。
6 结语
各地城域网建设方兴未艾, 在建设管理中暴露出来的问题也不少, 如何有效解决这些问题, 是组网管理者需要正视的。组网技术和组网方案是城域网建设中的关键, 只有正确认识宽带IP城域网技术, 并掌握其操作要领, 才能组建出高质量的IP城域网, 创造更大的经济效益。
摘要:宽带城域网在满足人们日益增长的通信要求中发挥了重要作用, 本文主要针对宽带IP城域网的组网技术、建设原则以及建设方案进行探讨分析, 希望为广大网络工作者提供帮助。
关键词:宽带城域网,组网技术,建设方式,建设原则
参考文献
[1]沈韬, 杜军.宽带城域网络建设优化纵横谈[A].中国通信学会信息通信网络技术委员会2011年年会论文集 (上册) [C].2011年.
[2]郑光涛.城域网建设的探讨[J].电信工程技术与标准化, 2008.
宽带城域网 篇10
关键词:城域网,CACTI,中间业务逻辑层,告警管理
1 引言
网络故障管理是网络管理的基础工作, 也是最重要的网络管理任务。主要包括网络故障检测、网络故障定位、网络故障隔离、网络故障恢复等几项关键技术。一旦网络出现故障, 就必须要排除故障, 确保网络正常运行, 从这个意义上讲, 网络故障管理是网络管理的基础工作, 也是最重要的网络管理任务[1]。
及时、准确的发现并处理设备障碍, 是目前网管运行工作的主要任务。在设备障碍处理中, 告警系统的管理尤为重要, 它是更好的维护网络的基础。告警管理是网络操作和管理者监督、维护和保障网络正常、高效运行的有力工具, 告警管理有当前告警管理, 历史告警管理。网络管理员根据系统显示的告警可以了解监控网络的具体运行情况, 并做出及时准确地指令, 以便于在合理时间内恢复正常。
2 系统的整体设计
系统的整体结构采用了三层的结构设计, 考虑到实际的应用, 从生产实际出发, 使用本系统的用户主要有两类:一是一般的操作管理员负责系统的日常维护, 包括数据库的维护, 如添加、删除节点信息等;二是部门相关人员的查询设备告警情况。根据以上需求, 将系统设计成三层的C/S的分布式的模式, 其整体结构如图1所示。
3 系统的详细设计
3.1 数据库服务器的设计
系统的前端有一个实时监控的过程, 将实时监控的数据存储在一个临时数据库中, 通过SQL Server2000在内存中开辟一定的空间建立一个临时数据库Temp[2]。
根据告警管理的需求, 对于数据信息的需求包括:局别、设备类型、设备名称、节点IP等信息, 因此应该同时建立一个历史数据库。数据库的设计的最终目的就是规划能够有效地处理告警信息, 并且保持应用开发的简洁性的关系型数据库, 并在数据的规范化、性能优化以及数据的简洁性之间达到平衡[3]。
3.2 中间业务逻辑层的设计
根据三层结构的设计原则, 中间层是业务逻辑和规则[4]。在告警管理系统中, 告警管理、信息查询等都是具体的业务逻辑, 与具体的用户界面无关, 只是核心的规则和逻辑。利用VB.NET的解决方案资源管理器, 将数据库服务器端、业务逻辑端及客户端等都作为解决方案中的项目添加到其中。在其中设计了Data Manager类、Dslam Info类、Dslam Manager类、Use Manager类等几个类。
⑴Data Manager类设计与实现
Data Manager类完成的中间业务逻辑层与数据库的连接, 在设计中采用的是SQL Server2000数据库, 可以采用ADO.NET来实现与数据库的连接。
⑵Dslam Info类设计与实现
Dslam Info类主要封装Dslam设备的基本信息, 包括节点名称、局别、设备名称、IP地址、BAS信息等。将Dslam Info类可序列化, 以便将Dslam设备的具体信息传递到客户端。部分VB代码如下[4]:
(3) Dslam Manager类设计与实现
Dslam Manager类是Dslam设备管理类, 主要完成Dslam设备的日常维护工作, 包括设备的增加、修改、删除及查询等功能。利用VB中的增加、修改、删除等函数来实现上述的功能。
(4) Use Manager类设计与实现
Use Manager类与Dslam Manager类的功能相类似, 主要完成使用者的信息和权限维护。完成增加一个操作者;删除一个操作者、完成在Web客户端的登陆功能。
3.3 Windows应用程序客户端的设计
Windows应用程序客户端的功能在总体设计中已经确定, 在此部分将对各功能的实现进行详细设计, 包括各运行窗体的界面设计及后台的软件开发。
在登陆模块的设计中设置登陆时的用户名和密码, 及用户更改密码的功能;数据库功能实现的设计中也可以对数据库进行维护, 有几大功能:添加、删除、更改等信息的处理;查询统计功能的设计中, 设置一个页面, 所以的查询功能可以通过选择来实现, 其选项应设置为多选项, 可以单一的选择一个条件, 也可以组合的选择条件, 在混合查询的结果中, 添加一个统计功能, 实现对数量及类型的统计;录入信息功能的设计中, 为了使告警系统信息完整, 为Web客户端提供查询结果, 需由操作员将告警的原因及处理过程及恢复时间做一记录, 在此界面设置一个文本框或者几个文本框来输入上述的信息一, 将告警信息存入到数据库中;报表的设计与生成的设计中, 由VB.net中的报表生成器, 按照自主设计的报表来设计所需要的表格, 通过混合查询中的统计功能来生成这一表格。
3.4 Web客户端的设计
Web客户端主要用来查询设备告警信息的, 使用人员要通过浏览器输入URL, 就可以登陆Web查询界面。这里主要包括两个Web窗体的设计:Login Web Form.aspx和InquireInfo Web Form.aspx, 前者完成登陆操作, 后者完成登录之后的告警信息的查询操作。
Web客户端的实现是通过在VB.net中添加新的ASP.NET Web应用程序来实现。如果使用者想通过浏览器来访问该Web页面, 就要建立一个链接, 在实际的工作中, 就有一个唯一的IP地址来链接这个Web页面, 在设计中建立了一个虚拟的目录来实现链接。同样, 在登陆的页面设置登陆的功能, 同时设计用户对其密码进行更改的功能, 以提高安全性。Web客户端查询页面的设计与功能实现中, 要实现几种查询功能, 这里的查询功能基本上与客户端的查询功能达到一致。
4 结束语
本文为宽带城域网接入层DSLAM设备告警系统管理平台提供了实现的依据, 完成了设备告警的管理, 为一般的操作者和管理人员分别提供了管理界面, 实现了设备的远程告警管理, 和事后查询统计分析的过程。为及时、准确的发现并处理设备障碍, 分析障碍创造了更好的维护网络的基础。
参考文献
[1]张新.分层分布式网络故障管理研究[D].西安电子科技大学, 2007
[2]贾永振, 刘载文等.基于WEB的远程实时监测系统[J].电气自动化, 2006, (6) :29-30
[3]许志清, 赵博.精通SQL Server2005数据库系统管理[M].北京:人民邮电出版社.2007