学文网网络设计篇1
关键词:园区网络;网络结构;安全规划
中***分类号:TP393 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-02
Campus Network Design
Ji Jiaguan
(Guangzhou Baiyun International Airport Computer Information Management Center,Guangzhou 510470,China)
Abstract:This paper discusses the planning and design of campus network,campus network and the main campus of the University refers to the internal network,its main feature is the routing structure consists of a unit to manage,this paper describes the campus network planning and design of the network design,network protocol selection,network security planning in three areas.
Keywords:Campus network;Network structure;Security planning
一、网络结构设计
在完成网络的需求分析后,网络规划设计人员对网络系统逻辑结构设计的首要步骤是选取合适的网络结构,网络结构的概念不同于网络拓扑结构的概念,网络拓扑结构是指用数据链路互连各种设备的物理布局,就是用什么方式把网络中的设备终端连接起来。它的结构主要有总线结构、星型结构、环型结构等,在网络拓扑结构中,只有点和线,不会出现任何的设备和计算机节点,而网络结构主要是描述连接设备和计算机节点的连接关系。
园区网络不同于传统意义上的局域网,园区网不仅具有二层数据交换功能,同时具备三层路由甚至多层通信的功能。常见的局域网结构有下面几种。
(一)单核心园区网结构
单核心园区网结构一般适合于小型和对可用性要求不高的网络系统,其优点是网络系统的建设成本低,单核心园区网结构由一台三层交换设备构建局域网的核心,通过多台二层交换机为终端计算机提供接入节点。
(二)双核心园区网结构
双核心结构由两台具有三层或多层的交换设备构建园区网的核心,为终端计算机提供接入节点的接入层交换机和两台核心交换设备间都有链路连接,由于采用双核心的结构,可以提高用户对网络的访问速度,也避免了网络核心的单点失效,提高了网络的可用性,双核心园区网结构适合于小型和对可用性要求较高的网络系统。
(三)层次化园区网结构
层次化网络结构适合大型的,对性能和可用性要求较高的网络系统,层次结构根据功能要求的不同将网络分为了核心层、汇聚层、接入层。
在中大型的园区网建设中,为保证园区网的高性能,高可靠信,园区网一般采用双星型的网络结构,采用千兆光纤网和三层交换技术进行组网,采用层次化的方法来设计。根据层次化设计的原理,园区网可分为核心层、汇聚层、接入层三层。
核心层:核心层的功能主要是实现骨干网络之间的优化传输,完成园区网络内数据流的高速转发。园区网络的核心节点一般采用两台高性能路由交换机,实现双机冗余热备份及负载均衡,两台核心交换机之间采用多条千兆链路实现互联,同时通过两条以上千兆链路实现对园区内各个分布楼层汇聚层交换机的联接。
汇聚层:汇聚层作为园区网络平台的二级骨干部分,一方面要求和核心层保持高速可靠连接,另一方面汇聚大量的接入层设备,是部署安全控制和路由策略的重要位置,汇聚层交换机具有三层交换、访问控制、Qos等功能。
接入层:在接入层,通过配线间的工作组交换机为用户提供了接入网络的能力,将端口分布到用户桌面,并通过高速率链路实现和汇聚层交换机互联。接入层交换机为终端提供网络接入端口,接入层交换式一般具有VLAN划分、数据过滤,支持堆叠等功能。
二、网络协议选取
计算机网络的互联不仅是网络硬件的连接,还需要一组通信的规则来支持实体间的信息交换,就象人与人之间用某种语言一样,在网络上的各台计算机之间也有一种语言,这就是网络协议,网络协议是为计算机网络进行数据交换而建立的规则、标准或约定的集合。
下面介绍一些园区网系统使用较多的网络协议。
(一)TCP/IP
TCP/IP协议叫做传输控制/网际协议,又叫网络通讯协议,这个协议是Internet国际互联网络的基础。是当今应用最广泛、最流行的协议组,它包括TCP、IP、UDP、ICMP等多种功能的协议,TCP/IP是Intenet使用的网络协议,正因为Internet的广泛使用,使得TCP/IP成了园区网建设事实上的标准。
TCP/IP协议规定,网络上的每台主机都要有一个唯一的IP地址,所以在园区网的设计中要考虑到IP地址的规划,IP地址按使用范围的不同,可以分为私用地址和公有地址。私有地址(Private address)属于非注册地址,专门为组织机构内部使用,私有地址分为五类,分别是A类(10.0.0.0C10.255.255.255)、B类(172.16.0.0―172.31.255.255)、C类(192.168.0.0―192.168.255.255),私有地址只能在园区网内部使用,园区网内网用户要访问Internet就需要在网络边界的设备上进行内网私有IP地址和外网Internet公有IP地址的转换,即NAT转换。
(二)VLAN
VLAN中文名为虚拟局域网,VLAN是这样一种技术,它可把位于不同物理位置上的设备从逻辑上划分成一个个网段,从而实现不同物理位置上的设备进行网络广播访问。
VLAN在整个网络中通过网络交换设备建立虚拟工作组。虚拟网在逻辑上等于OSI模型的第二层的广播域,与具体的物理网及地理位置无关。虚拟网技术把传统的广播域按需求分割成各个***的子广播域,将广播限制在虚拟工作组中。由于广播域的缩小,增加了网络的安全性。虚拟网技术把传统的广播域按需求分割成各个***的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
(三)路由协议选择
路由工作在OSI七层模型的第三层,路由是指路由器接收到数据包后根据数据包的目的地址进行定向并转发的过程,路由包含两个基本的方面:
1.通过路由算法确定数据流通的最佳路径
2.根据最优路径确定数据在网络中传输的步骤、经过的路由器及端口
路由表是路由器上存储的表,该表中存有到达特定网络终端的路径,路由表根据建立方式的不同可分为静态路由和动态路由两大类,静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够按照预定的路由算法自动地建立自己的路由表,并且能够根据实际实际情况的变化适时地进行调整。
常见的动态路由协议有:rip、ospf、igrp等,在园区网内网建设中,使用最多的动态路由协议是OSPF路由协议。
OSPF里最重要的概念之一是存在层次和区域。OSPF每个区域***运行基本链路状态路由算法的一个副本。与把整个网络系统作为单个链路状态域相比,区域的拓扑结构更优越一些,它能隐藏起来,使之从区域外面不可见。同时其它区域的路由器也不需知道其区域外的拓扑结构,可以极大地减少路由选择流量。
园区网内部路由一般使用OSPF路由协议,而在与外部互连网的连接上,园区网连接外网端口较少,适宜采用采用静态路由,并把路由从相应区域注入OSPF域。
三、园区网安全规划
网络安全可以从不同角度进行解释。一般来说,网络安全包括信息安全和控制安全两部分。信息安全包含“信息的完整性、可用性、保密性和可用性”;控制安全则包含访问控制、身份认证、不可否认性和授权。网络安全是一门涉及密码计算、应用数学、计算机科学、通信技术等多种学科的综合性学科,在园区网的安全设计中,主要包含以下几个方面。
(一)网络协议安全
在网络系统中运行多种网络协议,包括应用服务协议,路由协议,局域网络协议等,网络设备如路由器、交换机和防火墙上也存在着很多服务,有些服务和协议是网络正常运行所必须的,这类协议和服务必须打开,而有些协议和服务是为网络系统的特殊要求增添的,这类协议和服务可以关闭,以减少网络收到攻击的入口。
(二)设备的安全性
网络系统由各种网络设备通过光纤、网线和无线电波等传输介质连接组成,网络设备的安全性包含设备的物理完好性和配置完好性两个方面,为了防止网络设备配置遭到篡改,影响网络的正常运行,就需要阻断对网络设备的非法访问和设置不同用户对网络设备进行配置的权限。
(三)园区网DMZ区设计
DMZ是英文“demilitarized zone”的缩写,一般称之为“隔离区”或“非***事化区”园区网络的DMZ区是非安全的Internet外部网和安全的内部网络之间的缓冲带,这个区域一般用来放置一些对外公开的服务器,如企业邮箱服务器,对外宣传网站服务器和OA办公服务器等。
园区网DMZ区的设计原则是根据各系统、应用和设备对安全性要求的不同来进行风险隔离,根据网络各区域对安全性要求的高低,把网络分为外网,DMZ区和内网三个层次,通过DMZ这一网络安全缓冲区,更加有效地保护了内部网络。
(四)网络出口安全
园区网的互联网出口安全与有效监控管理非常重要,园区网受到的来自外部互联网的安全威胁主要包括两个方面,一是来自互联网大规模爆发的电脑病毒,二是来自黑客发起网络攻击行为。为了应对来自互连网的安全威胁,园区网在与互联网连接的出口处都会配置一些安全设备,如防火墙、IDS和IPS等。
网络设计篇2
关键词:校园网;网络搭建;网络安全;设计。
以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
一、基本网络的搭建。
由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:
1.网络拓扑结构选择:网络采用星型拓扑结构(如***1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的***性,并且适合在中央位置放置网络诊断设备。
2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全设计。
1.物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑***。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,***,应用等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
网络设计篇3
应用嵌入式芯片构建网络安全设备的设计研究文/童友连本文全面分析了网络安全隐患,清楚地阐述了构建网络安全设备的必要性,结合文献资料及现阶段的技术现状,尝试性提出将嵌入式芯片应用于网络安全设备的相关技术,以期为程序编写人员提供参考依据,提高网络使用的安全性能。摘要技术
1.1嵌入式智能岛技术
目前最常见的嵌入式系统为Linux操作系统,它具有优良的内核管理功能,还可为后续程序的编程修改提供相关的工具与数据库支持,且该系统的操作方法简单易行,在实际使用过程中备受推崇。现以Linux系统为基础,探讨嵌入式智能岛技术的实现过程及其可行性。嵌入式智能岛技术是在嵌入式芯片内部功能的基础上,加设网络控制程序,最大限度地确保网络使用安全。用户可直接将嵌入式芯片应用于网络安全设备,从而达到安全用网的目的。通过这一技术,未联网用户或内部网络用户在访问外部网络时,用户使用网络的相关指令将由浏览器发送至嵌入式芯片中的服务器,服务器可自动收集指令,并实现指令处理的智能化运作。同时,智能岛服务器还能对所收集的指令进行集中化处理,对指令中对应的网站点进行全网式搜索,将相关信息进行分类处理,并将合乎安全性要求的信息及其类别导入到芯片内部的数据库中,为后续使用提供便利。若用户在未联网的情况下使用计算机等设备时,嵌入式智能岛结构中的网络开关可实现内部网络与外部网络的物理隔离,从而有效减轻来自外部网络的病毒或黑客攻击等安全隐患。
1.2嵌入式防火墙技术
传统防火墙多位于网络入口的控制位置,可很好地抵抗来自外部网络的攻击,但其对内部攻击毫无抵抗能力,具有较强的安全局限性。嵌入式防火墙技术是将防火墙软件通过一定的编程技术写入嵌入式芯片,利用嵌入式芯片实现对整个网络的安全防护。嵌入式防火墙系统由多个内部网络中的客户端和一部集中管理器组成。通过嵌入式芯片的使用,可很好地对内部网络中的每一客户端实行安全监控,具有过滤和检测进入内网的外部网络数据的作用,从而实现对各用户使用外部网络过程中不安全因素的有效控制。内网中所有的嵌入式芯片均可作为整个嵌入式防火墙的重要组分,通过与集中服务器的联合使用,可清楚明了地进行内部网络的安全管理工作,其具体作用过程为:服务器可通过嵌入式芯片的使用,制定相应的安全管理策略,根据各客户端的使用要求分配相应的安全控制任务。通过嵌入式芯片构建嵌入式防火墙系统,可实现对整个内网中的服务器、各客户端主机等组件在使用过程中的安全防护,进一步确保内网用户的网络使用安全。利用嵌入式芯片实现嵌入式防火墙的关键技术主要体现在以下几个方面:
(1)利用分割点计算编写区域分割包的有关算法,对嵌入式防火墙内部的库管理过程进行动态点计算,减小决策树的长度,有效提高防火墙的操作快捷性。
(2)根据用户在内网中的使用等级,编写相对应的策略生成算法,实现对不同用户使用外网的安全监护。
(3)可通过编程技术,创新性地将嵌入式防火墙应用于操作系统的桌面防护中,从硬件和软件两方面对内部网络中的用户进行保护。此外,在构建嵌入式防火墙系统的同时,应将传统防火墙与嵌入式芯片技术联合使用,进一步提高网络访问的安全性能。
2结束语
网络设计篇4
关键词:调制解调器 网卡 中继器 集线器 网桥 交换机 路由器 网关
中***分类号:TP393.03 文献标识码:A 文章编号:1007-9416(2012)10-0057-01
网络设备是指连接到计算机网络中的物理实体。网络设备的种类繁多,且与日俱增。在计算机网络的组建过程中,常用的网络设备除了计算机之外,还有调制解调器、网卡、中继器、集线器、网桥、交换机、路由器、网关等。了解这些设备的工作原理和功能可以让我们对计算机网络有更深刻的理解。
1、Modem
Modem,其实是Modulator(调制器)与Demodulator(解调器)的简称。音译为“猫”,中文称为调制解调器。Modem起初是为19世纪50年代初的美国半自动地面防空系统(SAGE)研制的,用来将不同基地的终端,雷达观测站等连接到美国和加拿大的SAGE指挥中心。
Modem可以将模拟信号和数字信号进行相互转换。电子信号分两种,一种是模拟信号,一种是数字信号。我们使用的电话线路传输的是模拟信号,而计算机处理和传输的是数字信号。所以通过电话线将计算机连入因特网时,就需要使用Modem将两种信号进行相互转换。当计算机向因特网发送信息时,由于电话线传输的是模拟信号,所以必须要用Modem将数字信号转换为模拟信号,才能传送到因特网上,这个过程叫做"调制"。当计算机从因特网上获取信息时,由于通过电话线从因特网上传来的信息都是模拟信号,所以必须要用Modem将模拟信号转换为数字信号,计算机才能接收,这个过程叫作“解调”。
2、网卡
网卡又称为网络接口板、网络接口卡NIC(Network Interface Card)、网络适配器或者通信适配器。计算机与外界局域网的连接就是通过主机箱内网卡或者笔记本电脑中的网卡实现的,因此网卡是局域网中连接计算机和传输介质的接口。[1]
网卡上面装有处理器和存储器。网卡和局域网之间的通信是通过电缆或双绞线以串行传输方式进行的。而网卡和计算机之间的通信则是通过计算机主板上的总线以并行传输方式进行。因此,网卡的一个重要功能就是要进行串行/并行转换。由于网络上的数据速率和计算机总线上的数据速率并不相同,因此在网卡中必须装有对数据进行缓存的存储芯片。
无线网卡的作用、功能跟普通的网卡一样,是用来连接到局域网上的。无线网卡不是通过有线传输介质连接,面是采用无线电波信号进行连接的网卡。所有无线网卡只能局限在已布有无线局域网的范围内,换句话说无线网卡需要在无线局域网的无线信号覆盖范围内能才能使用。无线局域网信号通常是由无线路由器或者无线AP(无线接入点)提供的,无线网卡相当于接收器,无线路由器或者无线接入点相当于发射器。其实还需要将有线的因特网线路接入到无线路由器或者无线AP,再将有线信号转化为无线的信号发射出去,由无线网卡接收。
3、中继器和集线器
中继器是局域网环境下用来延长网络距离的最简单最廉价的互联设备。由于存在损耗,***路上传输的信号功率会逐渐衰减,衰减到一定程度时将造成信号失真,因此会导致接收错误。中继器就是为解决这一问题而设计的,它可以对对衰减的信号进行再生整形放大。中继器仅用于连接相同的局域网网段,但是中继器的两端可以连接不同的传输媒体。从理论上讲,中继器的使用是无限的,网络也因此可以无限延长。事实上这是不可能的,因为网络标准中都对信号的延迟范围作了具体的规定,中继器只能在此规定范围内进行有效的工作,否则会引起网络故障。
集线器的英文称为Hub,主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节点上,因此集线器又被称为多端口的中继器。[2]集线器采用广播方式发送数据,也就是说当它要向某节点发送数据时,不是直接把数据发送到目的节点,而是把数据包发送到与集线器相连的所有节点。这导致了网络执行效率低,不能满足较大型网络通信需求。尽管如此,集线器对于家庭或者小型企业来说,在经济上还是有一点诱惑力的,特别适合家庭网络中或者中小型公司作为分支网络使用。
4、网桥和交换机
网桥可以用于扩展网络的距离,并能有效地限制两个介质系统中无关紧要的通信。网桥可分为本地网桥和远程网桥。本地网桥是指在传输介质允许长度范围内互联网络的网桥,远程网桥是指连接的距离超过网络的常规范围时使用的远程桥,通过远程桥互联的局域网将成为城域网或广域网。
集线器采用广播方式发送数据容易产生广播风暴,当网络较大时网络性能会受到很大影响,交换机能够避免这种现象。交换机工作的时候,只有发出请求的端口与目的端口之间相互响应而不影响其它端口,这样交换机就能够隔离冲突域并有效地抑制广播风暴的产生,因此交换机又称为多端口的网桥。
5、路由器
路由器是连接因特网中各局域网、广域网的设备,一般来说,异种网络互联与多个子网互联都应采用路由器来完成。[3]从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似,只是使用路由器转发和过滤数据的速度往往要比交换机慢,在网络中添加路由器的整个安装过程也要比交换机复杂很多。但是对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。
6、网关
网关(Gateway)又称网间连接器、协议转换器,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关可以概括为能够连接不同网络的软件和硬件的结合产品,不能完全归为一种网络硬件。网关既可以用于广域网互连,也可以用于局域网互连。由于网关具有强大的功能并且大多数时候都和应用有关,所以它们的价格比路由器更贵。与路由器相比,网关的传输更为复杂,所以它们的传输速度比网桥或路由器更低。正因为网关的速度比较慢,所以容易造成网络阻塞,但是连接使用不同协议的两个网络,却必须使用网关。
参考文献
[1]万雅静,黄巍,梁玉凤.网络基础实用教程[C].北京:机械工业出版社,2011:55-57.
网络设计篇5
>> 中职校园网络安全管理系统设计 校园网络规划设计 校园网络设计原则 构建高校数字校园网络 关于中职院校数字化校园网络安全问题探究 SAN网络数据存储在数字化校园网中的设计和应用 重构与优化:数字化校园网络设计路径 高校数字校园网络安全系统方案与设计探讨 数字校园网络接入控制系统设计与实现 数字化校园网络中的数据仓库的设计探讨 校园网络安全设计探析 校园网网络直播系统设计 校园网络信息平台设计研究 新型校园网络的设计 中职数字化校园应用系统架构分析 中职数字化校园建设探索与实践 数字校园网络安全策略探讨 数字化校园网络安全研究 基于校园网络的数字广播系统 中职学校校园网络安全探析 常见问题解答 当前所在位置:.2010-11-27.
[2] 高峡,陈智罡,袁宗福.网络设备互连学习指南[M].北京:科学出版社,2009.
[3] 田斌,田虹,潘利群,等.高校校园网工程建设方案设计与实施[J].武汉理工大学学报,2009(1).
[4] 牛贺峰.中职学校数字化校园建设的问题及对策[J].职业时空,2011(5).
[5] 余绍***.校园网的安全与防火墙技术[J].长沙航空职业技术学院学报,2003,(4).
[6] 陈明强.校园网建设的设计与实施[J]. 广西师范学院学报(自然科学版) , 2004,(S2).
网络设计篇6
关键词: 网络 互交 广告设计
网络互交广告设计是利用网站上的广告横幅、文本链接和多媒体等方式,在互联网刊登或广告,最后通过网络传递到互联网用户的一种高科技的,使得广告可以快速运作的一种新型方式。报纸、杂志、电视、广播是传统的四大传播媒体,比起传统的传播媒体,近年来广告备受欢迎。网络互交广告设计因其具有交互性、速度快、范围广、容量大等优点,以及具有得天独厚的优势,逐渐被广大商家和消费者所接受。网络互交广告设计的市场以惊人的速度不断增长,发挥的效用越来越重要,俨然成为继传统四大媒体之后,兴起的第五大媒体[1]。
一、网络互交广告的历史背景及起源
信息产业急速发展,极大程度地改变人们的生活生产,同时,也对传统的广告媒体产生深远的影响。以Internet为传播媒介的网络互交广告不断渗入到企业发展中,逐渐成了当今欧、美发达国家的最热门的广告形式。目前,我国的网络互交广告媒介中的广告创意与设计的相关理论研究虽然正处于起步时期,但是,我国广告公司和客商开始涉足网络广告,为我国的新型网络互交广告提供了新空间。网络互交广告设计具有交互性、速度快、范围广、容量大等优点,逐渐被广大商家和消费者所接受。无论广告公司还是营销厂商,在目前的阶段,在改变营销传播方法及选取媒体的方式上都面临极大的机遇,也面临极大的挑战。我们发展适当的新型媒体战略时,首先应该考虑到很多变数,比如市场的范围、信息的性质、消费者的购买心态、预算标准、竞争战略、媒体本身的基本性质等。媒体计划的宗旨是将网络互交广告的广告经费效率发挥到极致,有合理的到达率、频度和连续性的分量等。
网络互交广告源于1994年的美国。网络版的hotwired,以及其主页上开始有广告Banner是广告史上里程碑式的标志,网络互交广告设计让网络开发商与服务商看到了一条光明的新型广告的发展道路。与此同时,我国IT业界也于1997―1998年期间,逐渐意识到网络互交广告的明朗前景,网络互交广告不断出现在我国网站中。目前,网络互交广告设计已成为各大网站的建设目标,比如,类似于国际知名网站Netscape等早已成了网络互交广告设计之门,在中国,也有很多网站奋起直追,向网络互交广告设计之门的方向不断前进,比如搜狐、新浪网等大型网站,网络互交广告的设计引领了互联网络互交广告发展的新方向[2]。
二、网络互交广告的主要形式
网络互交广告的主要形式大致可以划分为九种:网幅广告、文本链接广告、电子邮件广告、赞助、与内容相结合的广告、插播式广告(弹出式广告)、richmedia、其他新型广告和来电付费广告。目前,网络交互广告中比较流行的交互方式有鼠标交互式、键盘交互式、摄像头&麦克交互。网幅广告通常指的以flash等格式,进行建立的***像文件,网幅广告的定位是在网页中大多用来表现广告的内容,同时网幅广告具有结合使用java等语言使其产生交互性的特点,使其可以使用shockwave等插件工具增强表现力。文本链接广告指的是以一排文字作为一个广告,点击选项之后可以直接进入相应的广告页面。文本链接互交广告最大的特点是对浏览者干扰最少,效果不错。电子邮件广告的特点是针对性强、费用低廉,且广告内容不受限制[3]。电子邮件互交广告可以针对具体某一个人发送特定的广告,是其他网上互交广告所不能及的。赞助式网络互交广告比传统的网络广告能给予广告主更多的选择,其最大的特点就是广告多样性。广告与内容的结合是赞助式广告的一种具体形式。插播式广告也被称为弹出式广告,它是以一种访客在请求登录网页时强制插入一个广告页面或弹出广告窗口的方式进行的。它的广告有各种不同的尺寸,互动程度也不同,例如从静态的到全部动态的形式是都存在的。插播式广告的出现之前没有任何征兆,肯定会被浏览者所看到。相比而言,它能表现更多、更精彩的广告内容。其一般指使用浏览器插件或其他脚本语言、java语言等编写的,同时具有复杂视觉效果和交互功能的网络互交广告设计。
三、技术发展下网络交互广告设计应对策略
随着社会的进步与科技的发展,为了更好地适应社会的发展需求,我们要在技术发展下逐步探索出一些网络交互广告设计应对策略。
1.网络互交广告与传统的广告相结合,强化广告宣传的效果。加强网络互交广告的创新。增强网络广告的互交性,网络广告的最大优势就是其具有的互交性,它的主要特点是强调受众对广告活动的参与和控制,同时由于其具有复杂的视觉效果和互交功能,在广告表现形式上更具有多样性,更能为大众所接受。
2.达到更好的收听效果。比如,可以增加网络带宽,开发新的信息处理技术等,以便强化网络互交广告的视听效果。适当采用弹出式的广告,并且充分发挥搜索引擎广告的作用,提高网络广告的针对性。使用时段广告,减少广告投放的盲目性,节省广告费用。
3.利用网络互交广告的互交性管理客户关系,全面评估网络互交广告的作用。信息技术飞速发展,信息网络已经不断渗透到生产生活中,网络广告互交设计同样如此。网络时代,网络互交广告设计应该采取相应的策略。然而,创新和发展是必要的条件。网络互交广告设计发展的前提是随着时间的不断变化,紧紧抓住时展的脉搏,运用创新的意识,以信息网络为平台很好地促进网络互交广告设计的发展。
参考文献:
[1]袁媛.事论网络广告市场发展趋势――回望“***”[J].湖北社会科学,2004(08).
网络设计篇7
【关键词】WCDMA 网规网优 Monte Carlo仿真 导频强度
1 引言
3G的商用已经紧锣密鼓地展开,在网络建设的初期,网络规划设计和优化尤为重要。作为三大标准之一的WCDMA已经在欧洲和亚洲的一些国家和地区商用,取得了良好的效果。
WCDMA系统除了可以提供比G***更高的频谱利用率外,最主要的是可以为移动用户提供非对称多媒体业务。由于采用宽带码分多址(WCDMA)接入方式,其在无线接口设计方面有许多新的特点,例如上、下行链路1.5kHz的快速功率控制、支持软/更软切换等。在WCDMA系统中,干扰分析特别重要,基站灵敏度要视特定小区和业务而定。因此,WCDMA网络与传统G***网络有着本质的不同,对网络规划设计提出了更高的要求,在规划设计时需考虑更多的因素。
2WCDMA无线网络规划设计需考虑的问题
WCDMA系统无线网络规划设计中有许多关键问题,包括多种业务支持、干扰受限、覆盖与容量相互依存、导频功率分配等,下面进行简单的陈述。
2.1 多业务支持
WCDMA系统将不局限于提供话音和低速电路型数据业务,还支持包括高速分组数据业务在内的多种业务接入。各种业务对服务质量(QoS)要求的不同将直接影响信噪比门限参数的设定,因此不同的业务对应着不同的覆盖半径。网络规划工程师在实际工作中必须依据混合业务模型,从中级业务小区半径着手进行规划,在小区中均匀覆盖区域提供高速率业务,在小区边缘提供低速率业务;覆盖区域设计成连续覆盖,并对热点覆盖区域进行优化以提供高速数据接入。
2.2 干扰受限
WCDMA是一个自干扰系统,其容量受制于干扰电平的大小,干扰控制在WCDMA网络中显得尤为重要。采用合理的功率控制方法来降低干扰是WCDMA无线网络规划的关键,链路性能和系统容量都取决于干扰功率的控制结果。简要地讲:在WCDMA系统中,既要保证一定的通话效果和服务质量,又要把干扰降低到最小。
2.3 覆盖和容量规划
WCDMA系统是一个干扰受限系统,因此小区负荷的变化会对小区允许的最大传播损耗产生影响,也就是对覆盖产生影响;同时小区负荷的大小又是小区容量的决定因素。在多业务环境下,不同业务(话音、数据等)需要不同的无线承载,需要不同的物理信道,使用不同的扩频因子,获得不同的处理增益,其抗干扰能力不同,由此产生不同的接收机所需信噪比(SNR)门限要求,支持不同的覆盖范围。
一个小区的业务量越大,就意味着干扰越大,在相同的处理增益下,小区半径就较小,小区覆盖随系统负载的这种动态变化称为“小区呼吸”效应。WCDMA系统中,当负荷较小时,小区上行链路覆盖受限(coveragelimited),因为上行小区覆盖取决于手机的发射功率和基站热噪声;而当负荷较大时,小区下行链路容量受限(capacitylimited)。即在WCDMA网络规划时,覆盖和容量的规划对于上、下行链路是不同的,此外还要将它们二者之间的规划联合起来考虑。
2.4 导频功率分配
在WCDMA系统中,公共导频信道(CPICH)信号强度与系统性能有很大关系,表现在:导频信号强度的大小确定了小区的服务区域;根据导频信号的大小决定哪个小区可以进入激活集内实施软切换;移动台使用导频信号可获得系统消息并且利用它进行信道估计。在进行无线网络规划时,导频信道功率的分配非常重要,最优的导频信号功率可以在保证小区覆盖基础上对邻小区产生最小的干扰,从而达到最大的系统容量。
3 WCDMA无线网络设计与优化
3.1 WCDMA无线网络设计流程
WCDMA无线网络规划设计分为六个步骤,依次是:制定规划目标、传播模型校正、网络预规划、站址勘查和选择、无线网络设计(无线仿真)、网络优化。设计步骤见***1:
在WCDMA无线网络设计中,首先制定规划目标,设计目标应综合考虑市场需求和成本因素。这些因素将极大地影响所需要的基站数目和配置,包括所要覆盖的区域、每个区域所支持的业务类型、每个区域内每种业务所要达到的覆盖概率、需满足的服务质量等。此外,还要收集各种业务量的密度分布***、地形地貌数据资料和网络增长规划等信息。
其次完成传播模型的校正。传播模型用于路径损耗的预测,为WCDMA系统的覆盖规划提供依据。在实际移动通信环境中,在系统设计之前,应该选用合适的传播模型进行路径损耗的预测;在有条件的情况下,进行车载测试,根据测试数据,对原始模型进行校正来获得更准确的路径损耗预测。
无线网络预规划是根据规划目标中提出的要求,综合考虑网络的覆盖、容量和质量,根据链路预算计算出网络在不同的地理区域(密集城区、城区、郊区、农村等)下所需要的基站间距以及覆盖面积,结合客户提供的初选站址信息得出基站的初始布局。
根据网络预规划结果提供的基站数量及站间距,在建站的可行性分析基础上,寻找合适的站址并进行筛选,同时建立基站信息数据库,主要包括:基站经纬度、基站可能的天线高度、方位角、基站周边环境、天馈线、天线与机房的位置等。
在站址确定以后,为了进行更精确的设计,提早发现网络设计的不足,必须借助网络规划工具对网络进行全面的仿真分析,根据仿真分析结果对网络进行优化处理,以得到尽可能满意的网络覆盖。
3.2 WCDMA无线网络设计及仿真
本次WCDMA无线网络设计拟建规模为全套最小配置化的核心网系统以及无线子系统,其中RNC配置两套、基站配置6套,可支持跨RNC间切换。WCDMA系统中容量与覆盖密切相关,所承载的用户数量和覆盖距离可以互相转换。在网络初期,用户较少,覆盖范围较大;随着用户的增加,基站覆盖范围会变小。本系统采用2010年预测用户的1/10来进行模拟仿真。
本设计中我们采用了Sbell规划工具A9155中用于WCDMA场强预测的标准传播模型(SPM)作为路径预测模型,SPM建立在经典的Hata模型基础上,引入了绕射、地物对传播的影响,能够精确用于150MHz~2000MHz频段近距离和长距离的场强预测。在此基础上,我们通过实际车载测试,对上述预测进行了校正,得到较准确的场强预测结果。
在预规划工作中,需根据链路预算计算出网络在不同的地理区域下所需要的基站间距以及覆盖面积。因为下行功率被所有公共信道和业务信号共享,而上行功率是有限的,因此覆盖设计主要基于上行链路预算。***2为网络预规划工作流程***:
借助专业规划设计软件,利用当地的数字地***及校正的传播模型,通过Monte Carlo模拟法仿真移动业务量分布,对无线网络中各种性能进行分析。在Monte Carlo仿真中,用户根据预先的业务模型被随机地分布在指定区域里,每个用户被指派了随机的位置、随机的业务类型和移动性、上下行速率及业务状态(激活或未激活);然后进行系统性能仿真来判断网络的性能指标,比如:导频覆盖、Ec/Io(码片能量与干扰之比,单位dB)、上行发射功率等是否满足要求。
通过仿真分析,我们得到最佳服务小区的Ec/Io如***3所示,相应的统计见表1。最佳服务小区Ec/Io是反映干扰有没有得到有效控制的重要指标值,设计目标是希望在覆盖的大部分区域里Ec/Io都能高于-12dB,尽可能使小区容量和通话质量达到最佳。
从***3可见,大于-12dB的区域在进行话音呼叫的时候可以保证优良品质,即为***中蓝绿色区域所示;小于-12dB的区域可能还可以通话,只不过服务可靠性比较差,即为***中紫色区域所示。另外***中出现了相当面积的白色区域,此为覆盖盲区。由此可见,基站部署不合理,导频覆盖质量较差,出现了严重的覆盖不连续现象。
由表1中的统计数据可以更加清晰地看到,由于本设计方案中基站分布范围过大,无法达到连续覆盖效果,出现了覆盖盲区,因此需要对本方案进行优化调整。
3.3 WCDMA无线网络优化及仿真
通过规划设计软件输出结果评估设计方案,如果预算所得到的覆盖质量未能满足要求,需进行网络优化。通过优化处理,然后重新进行Monte Carlo仿真验证,最终获得一个最优的网络设计。这是一个循环往复的过程,直至网络设计满足各项指标需求。
根据前述Monte Carlo仿真看到,网络覆盖特性没有达到设计目标,即在加载容量进行最佳服务小区Ec/Io性能仿真时,部分区域出现小于-12dB的情况。为达到目标,常用的优化措施包括:调整基站位置、数量、导频功率、天线高度、天线方位角和倾角等。此外还可以通过调整物理层参数,比如:减小业务所需的Eb/No值、减小基站射频部分的基站噪声指数、减小干扰储备、增加天线增益等,改善上行链路覆盖。
在本设计中,首先通过基站调整,我们放弃了一部分范围的覆盖;又进行了相关参数的调整,最终保证设计区域内达到比较满意的覆盖效果。经过仿真分析后得到优化后的最佳服务小区的Ec/Io如***4所示,相应的统计表如表2所示:
从***4可见,经过基站调整之后,基本上消除了白色区域的覆盖盲区,达到了较理想的覆盖。由表2统计数据可见,优化后的设计方案已达到了连续覆盖效果。
4 结束语
系统仿真可用于系统实施和系统优化,从而加速网络建设进度,保证了系统建设质量。本文在专业规划仿真软件的基础上,设计实现了WCDMA网络,根据Monte Carlo仿真结果对设计方案进行了修正和优化,得到了对网络覆盖、干扰等性能的最终预测,确定了系统设计参数,完成了最终的WCDMA无线网络设计和基站配置。
WCDMA网络规划是一个系统工程,需要依靠丰富的无线网络规划和运营经验。虽然目前有一些CDMA网络规划的经验可以借鉴,但WCDMA网络规划要复杂得多。在充分利用现有2G网络条件和运营经验进行3G网络的规划与实施的同时,平衡好覆盖、容量和服务质量的关系,提交给客户一个优质高效的WCDMA网络,最大限度地满足终端用户的质量需求,就可以在日益激烈的竞争中取得质量竞争优势。
参考文献
[1]张长刚,孙保红,等. WCDMA无线网络规划原理与实践[M]. 北京: 人民邮电出版社,2005.
[2]周胜,等译. WCDMA技术与系统设计[M]. 北京: 机械工业出版社,2002.
[3]Vijay K.Garg. 第三代移动通信系统原理与工程设计[M]. 北京: 电子工业出版社,2001.
网络设计篇8
关键词:3G网络;可靠性;安全性;组网;路由
中国分类号:F61
文献标识码:A
1 3G网络项目背景与目标
目前中国邮***已经进入了电子化、网络化的快速转型期。网络已经演变成企业发展业务的根基,并与企业的业务运作、经营管理紧密结合。特别是在业务竞争日趋激烈的今天,“网络延伸到哪里,业务才能开办到哪里”的发展特点日渐突显。企业业务网的辐射能力直接取决于网络的延伸能力,而3G技术的发展恰好为传统网络带来了新的发展契机。作为中国邮***重要业务板块的邮***传统业务,其自助终端走进了大型超市、商场、社区和乡镇,在带给人们用邮便利的同时,也让邮***企业感受到了布设便捷、资费较低和安全可靠的网络带来的业务拓展优势。如何让邮***自助终端借助现有3G网络平台进入会场、集市、社区等更广阔的空间,把普遍服务便捷地带到3G网络所覆盖的地方成为目前亟待解决的问题。
从2006年至今,河北邮***信息网经历了规模从小到大,线路带宽由窄到宽的演变过程,但是随着业务的不断发展,对网络接入方式的灵活性要求越来越高。而传统的有线网络搭建要经历一个从线路申请到运营商开通再到线路安装调试的过程,时间少则三天多则一周,这已经不能满足普遍服务所要求的便捷性。考虑到目前3G技术已经成熟,3G线路也能够提供较高的上下行数据带宽,经过调研与评估。3G网可以实现承载邮***企业关键业务的能力,另外由于3G线路按流量收费,能节省大量线路租费。据粗略统计,以3G方式实现网点线路改造后,按1000个网点的规模、有线线路租费按800元/月计算,一年就能节省约600万元的线路租费,节约了企业的运营成本。
3G网络项目旨在借助3G无线网络部署的灵活性,通过先进的接入方式摆脱邮***网点传统有线接入方式的限制,为邮***企业降低有线线路租费的同时,拓展更多的邮***服务形式和更广泛的业务受理范围,并借助3G无线网络的安全保证机制为邮***用户提供最好的安全保障,利用无线信号加密、屏蔽非授权用户、端到端数据加密、用户认证等措施为河北邮***信息网打造一个安全的3G网络环境。
2 3G网络设计原则
数据的安全性、可管理性和可靠性是3G网络设计的主要原则。
保证3G无线网络数据传输的安全性,对数据进行有效保护和高效利用是3G网络在邮***企业中成功应用的最重要因索之一。用户数据是企业的基础,邮***要为客户提供一个可靠环境,以确保客户数据资料的准确性和服务的连贯性。安全性是指用户的接入鉴权和数据的传输安全。可管理性是指通过网络管理,统计营业网点3G网络的使用情况,并对用户数据流量进行统计,制定个性化报表。另外,鉴于3G网络容易受到外部因素干扰,因此需要充分考虑组网的可靠性。
随着第三代移动通信技术的发展,电信运营商的3G网络可以使个人用户随时随地地接入互联网。而对于企业用户的3G网络应用,更多的是要利用3G网络实现对企业内网资源的访问。为保证邮***3G网络接人的安全性,避免企业的业务数据暴露在互联网上而出现相关安全问题(攻击、黑客、窃取等),首先需要电信运营商对发放给邮***企业的SIM/UIM卡进行认证和专有域划分,在接人3G网络时首先进行安全认证,确保只有经过授权的用户才能接入邮***企业网络;其次,通过***隧道技术,在运营商与企业网络之间搭建一条***通道,确保运营商与企业间数据的安全传输;最后,对3G接人的用户进行再次认证,并在3G接人端与邮***企业网络之间通过IPSec技术,实现端到端传输数据的加密,这样通过采用用户认证、专有域、隧道和数据加密等多种技术手段,最终确保企业数据的安全性。
目前电信运营商3G专网存在GRE、L2TP两种隧道技术组网,由于GRE是***的三层隧道协议,即在协议层之间采用了Tunnel(隧道)技术,对某些网络层协议(如IP和IPX)的数据包进行封装,使这些被封装的数据包能够在另一个网络层协议(如IP)中传输,无法对***隧道进行安全认证,且企业的内网路由需要由运营商来分配和管理,不适合邮***行业3G组网的需求,所以考虑使用L2TP隧道技术组网。
3 3G网络的组网设计
3.1 网络总体架构
3G企业专网总体架构如***1所示,其建立过程分为以下四部分。
一是在网点3G路由器上安装SIM/UIM卡,配置用户名、密码(联通还需要设置APN名称),启动3G拨号连接。
二是通过3G基站传输,运营商LAC设备收到3G拨号数据后,会根据APN名称、用户名中的域名(@*****)判断此用户为企业VPDN专网用户,并通过运营商侧AAA认证服务器进行SIM/UIM卡的IMSI认证,通过认证后由LAC设备发起与用户LNS设备的L2TP ***连接。
三是L2TP ***建立过程中,企业中心用户侧LNS设备的AAA服务器需要对网点3G路由器的用户名、密码、SIM/UIM卡的IMSI信息进行认证,认证通过后,通过AAA认证服务器为网点3G路由器分配企业内部IP地址,建立PPP连接进行1P通信。
四是网点3G路由器和企业中心用户侧LNS设备之间配置IPSec加密,实现网点终端与企业内网之间通信数据的端到端加密。
3.2 路由协议部署
路由协议用于学习和维护路由,为网络通讯提供最佳路径,在网络出现故障时,可通过路由收敛,实现网络的高可靠性。路由协议的选择依据原则如下。
3.2.1 开放性和标准化
必须使用国际标准的路由协议,保证网络的开放性,支持不同厂商设备的路由互连。
3.2.2 可扩展性
使用的路由协议必须具备良好的扩展能力,能够支持网络规模的持续增长。
3.2.3 支持快速收敛
路由协议应该支持快速收敛,在网络出现故障时,可通过路由收敛,实现网络的高可靠性。
3G网络接人区的路由协议部署方案如***2所示。
网点3G路由器配置缺省路由下一跳指向3G拨号接口,3G拨号成功后与LNS接入路由器IPSec加密网关之间直接通过IPSec ***进行端到端加密,LNS接入路由器IPSec加密网关配置“IPSec反向路由注入”功能,就可动态根据IPSec生成网点业务网段的静态路由,且无需增加其他额外的路由协议开销,当网点路由器无法和LNS进行IPSec协商时则无法访问企业内网核心区资源。
LNS接入路由器与企业内网之间运行OSPF动态路由协议,OSPF是链路状态路由协议,采用的是最短路径树算法,协议自身的开销小,在防止路由环路的同时,可实现网络故障时的路由快速收敛,使网络具有更高的可靠性。
3.3 网管平台部署
3G网管平台负责3G接入路由器到内部防火墙的全部网络,包括设备、链路和相应事件的统计,其管理功能分为两部分:LNS、***网关管理和3G拓扑、流量、告警、IPSec ***隧道管理。网络信息查看需要实现设备状态实时监控、设备基本网管信息查看和线路的状态查看,其中线路包括局域网线路、广域网3G线路和IPSec ***链路。网管平台需要收集设备和线路信息,对异常情况产生告警,对线路切换、设备切换和设备重启等事件进行日志收集和记录。
3.4 网络安全防护
3.4.1 网点设备接入侧安全防护
网点3G路由器对接入设备的IP+MAC地址做绑定,只允许合法的IP和MAC地址接入,当非法IP或MAC地址接入时,拒绝其访问网络资源。
3.4.2 3G路由器接人侧安全防护
3G路由器接人侧安全措施包括以下三项。
3.4.2.1 3G网点接入认证
要求运营商对SIM/UIM卡的IMSI码进行认证,拒绝非法SIM/UIM卡接人;企业中心侧AAA认证服务器,要求对3G VPDN接人用户做用户名、密码认证,同时对SIM/UIM卡的IMSI码进行第二次安全认证,并由AAA认证服务器为3G VPDN接入用户下发固定IP地址,保证3GVPDN接入用户与IP地址的一一对应。
3.4.2.2 限制SIM/UIM卡互联网服务
运营商对3G接入的SIM/UIM卡限制互联网服务,即便在3G VPDN专线接入认证失败时,该SIM/UIM卡也不能连接互联网,避免业务数据暴露在互联网中而出现相关安全问题。
3.4.2.3 接入时间控制
3G接人区用户侧AAA认证服务器对3G接入用户的拨人时间进行控制,防止用户在非工作时间内接入网络。
3.4.3 运营商3G无线侧安全防护
目前联通、电信两家运营商的3G网络分别为WCD—MA、CDMA2000制式,这两种3G制式全部是基于CDMA技术发展而来。CDMA源于***用传输保密技术,它采用扩频技术和伪随机码技术,具有抗干扰、安全通信、保密性好的特性,可保证3G无线信号不被窃听和破解,保证无线传输的安全性。
3.4.4 运营商有线侧安全防护
由于运营商与邮***企业是通过城域网接入,为保证企业数据的传输安全,LNS路由器要求支持IPSec ***,同时承担IPSec加密网关功能。网点3G接人路由器与加密网关建立IPSec ***,对业务数据进行端到端加密,保证业务数据的传输安全,并要求IPSec加密算法尽量使用高强度的合规算法,以保证数据报文在网络传输时的不可否认性、防重播性、数据完整性和数据可靠性。
3.4.5 3G接人区数据安全防护
防火墙对传输的数据流进行安全策略控制,只允许合法数据流通过,开启防火墙抗攻击防范功能,包括常见的DoS/DDoS攻击防范(如SYN flood、DNS Query Flood等)、欺骗类攻击防范、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范和地址/端口扫描防范等。
3.5 网络高可靠性设计
3G接入区网络整体设计,关键部位采用线路冗余和设备冗余设计,充分考虑网络的冗余性,关键部位(如LNS路由器、防火墙、核心交换机)均采用双设备双线路冗余设计,能够有效提高网络的可靠性。
4 河北省邮***金融3G网络的管理与维护
4.1 SIM/UIM卡的发放、注册、注销管理
4.1.1 发放
有3G无线接人需求的市局需要向省中心提出申请。SIM/UIM卡的申请工作由市局单独向运营商申请,申请完毕后向省中心进行报备。
4.1.2 注册
采购的SIM/UIM统一交由省中心进行3G路由器配置,用户名、lP的设定及SIM/UIM卡的IMSI码绑定工作。
4.1.3 注销
对于停用或遗失的3G卡,市局需第一时间向省中心提出注销申请·省中心接到申请后,立即进行注销处理。
4.2 系统日常管理
在3G网实际运行一段时间后,应对运行效果进行评估。若发现3G的速率过低或信号质量不好,应及时与运营商沟通。并协调解决(可以协调运营商调整附近基站的参数或增加室内分布系统)。
4.3 河北省H3C智能管理中心iMC
在Is()提出的网络管理框架模型(IS07498—4)文件中,网络管理功能划分为五个功能域,每个功能分别完成不同的网络管理功能,即故障管理、配置管理、性能管理、计费管理和安全管理。这些功能在iMC上均有显示。
4.3.1 故障管理
故障管理(Fault Management)包括故障检测、隔离和纠正OSI环境中的非正常操作,同时还包括错误记录、故障定位和诊断测试等功能,其目的是保证网络能够提供连续可靠的服务。iMC的故障管理通过对来自硬件设备或者网络节点的报警进行监控、报告和存储,对故障进行诊断、定位和处理,能够动态维护网络的运行。同时,必要时还可以启动网络控制功能,通过诊断、修理、测试、操作设备和备份设备来保证高度的可用性。
4.3.2 配置管理
配置管理(Configurating Management)以对互连服务进行准备、初始化和启动,并为其提高连续操作和终止互连服务为目的,对开发系统进行确认、实行控制。从中收集资料,并为开发系统提供资料。这些服务可以包括收集关于系统的信息,在系统发生变化和系统配置发生改变时给予提示。配置管理也是网络管理的基本功能。本系统的配置管理包括识别网络的拓扑结构、标识网络中的对象、自动修改指定设备的配置和动态维护网络配置数据库等。
4.3.3 性能管理
性能管理(Performance Management)应能使OSI环境中的资源行为和通信活动的有效性得以评估。性能管理涉及网络通信信息的收集、加工和处理等活动,其目的是保证在使用最少网络资源和具有最小延迟的前提下,提供可靠、连续的通信能力,并使网络资源的使用达到最优化。性能管理的具体内容包括:从被管理对象中收集与网络性能相关的参数;统计并分析历史数据;建立性能分析模型;预测网络性能的长期发展趋势。根据分析预测的结果对网络拓扑结构以及被网管对象的配置参数进行调整,逐步达到网络的最佳状态。
4.3.4 计费管理
计费管理(Accounting Management)是以使用OSI环境资源和所付费用为目标而建立的。计费管理是商业化计算机网络的重要网管功能,通过统计用户的信息流量、访问资源等信息来正确计算并向用户收取网络服务费用。此外,计费管理还要进行网络资源利用率的统计和网络成本效益的核算。
4.3.5 安全管理
安全管理(Security Management)的目的是以产生、清除和控制安全服务和机制等功能来支持安全策略的应用。网络安全管理的主要内容包括:管理用户的权限分配,与安全措施有关的信息分发,与安全有关的事件通知。安全服务设施的创建、控制和删除,安全管理日志记录、维护和查询等。在开放系统中,网络安全问题日益突出,网络安全管理正成为网络管理功能模型中不可或缺的一个组成部分。
网络设计篇9
关键词:片上网络;网络接口;路由节点;数据包
1引言
随着片上可集成的晶体管数目越来越庞大,设计者可以在一个单片上集成越来越多的处理器核及配套的复杂系统。但是随着处理器核数量的增加,传统基于总线架构的SoC显现出局限性:带宽限制、可扩展性差、设计复杂等,于是片上网络[1]架构应运而生。NoC[2]架构由瑞典皇家技术学院率先提出,随后斯坦福大学提出了包交换技术代替连线结构的思想[3]。国内参与NoC研究的高校也越来越多,如西安电子科技大学在路由算法[4~5]方面的研究,南京大学、哈尔滨工业大学、合肥工业大学等都在NoC领域有所建树。针对NoC架构系统规模大、功耗相对较高的问题,合肥工业大学提出采用总线翻转(BI)编码算法和格雷码编码组成联合编码的方法来降低功耗[6]。经过十几年的发展与论证,对于NoC架构的研究也趋于成熟。片上网络的关键技术研究大致可以分为三个方向:拓扑结构,路由器和网络接口(NetworkInterface)。从结构上来说,不管什么形式的片上网络都是由路由模块和网络接口模块所构成的[7]。网络接口是NoC系统的重要组成部分,是本地子系统(处理器核)和路由节点之间的转接口,网络接口的数据转化和传输效率影响整个片上网络的工作效率。网络接口的主要作用是:(1)让处理器核承担最小的通讯服务任务;(2)将处理器核与网络通信部分分离,即计算和通讯间的分离,使计算资源对网络透明,从而实现处理器资源间的互连,且能提高设计的重用性。网络接口在处理器一侧实现了总线接口,在网络一侧实现了网络接口。网络接口主要考虑地址信号、数据的打包、解包、编码、同步等问题。本文设计的网络接口主要功能包括:对AHB总线上的数据和路由节点(Router)上的数据包(Packet)进行数据格式转化和交换;实现本地内核到其他核存储空间的数据读写;实现本地存储空间和其他核存储空间之间的大批量数据传输。数据批传输主要负责大规模的数据传输,由网络接口控制,不需要处理器核参与,处理器核可以继续处理其他程序,极大地提高了处理器的效率。
2网络接口设计
本文设计的网络接口集成在一个3×3二位mesh结构的NoC中,如***1所示,NoC系统中包含9个DSP核。网络接口(NI)连接本地DSP系统和路由节点,负责两者之间的数据交换。网络接口负责把本地DSP系统发过来的数据打包后发送到相连的路由节点中,数据包通过路由网络传送到目的路由节点,再通过目的地的网络接口解析后,取出传输的有效数据存入目的存储空间中。本文设计的网络接口支持三种数据传输模式:(1)本地DSP写异地存储器:由本地DSP发起写数据请求,数据通过网络接口打包后发送到异地存储器;(2)本地网络接口搬运本地存储器的数据到异地存储器:由本地DSP配置本地网络接口的控制寄存器,本地网络接口根据相关配置读入本地存储器的数据,打包后传输到指定的异地存储器中,支持数据批传输,传输过程中不需要DSP参与;(3)本地DSP读异地存储器:由本地DSP配置异地网络接口,异地网络接口根据相关配置,搬运异地存储器的数据到本地存储器中,支持数据批传输。网络接口包括控制寄存器组、数据打包模块、数据包解析模块、输入输出FIFO、数据选择判定模块等。其中,控制寄存器组包含目的地址寄存器、源地址寄存器、搬运控制寄存器、写控制寄存器、中断状态寄存器、中断使能寄存器、中断屏蔽寄存器,主要负责生成数据传输地址、传输控制信息、中断信息、数据包信息。写打包模块主要负责把本地DSP直接往异地存储器写的数据打包,其接收本地DSP直接发过来的目的地址、包个数信息、待传输数据,分别打包生成头包和中间包,然后发送到输出FIFO。搬运打包模块主要根据控制寄存器组生成的相关控制信息,从本地存储器中读入待传输数据,打包后发送到输出FIFO,支持数据批传输,传输过程中不需要本地DSP参与。输出数据缓冲、输入数据缓冲是数据FIFO,主要负责数据发送和接收时的缓冲。数据包解析模块包括VC0解析模块和VC1解析模块,主要接收输入FIFO送过来的数据包,VC0解析模块接收来自虚拟通道0的数据包,VC1解析模块接收来自虚拟通道1的数据包,数据解析模块对接收到的数据包进行解析后,根据数据包中的目的地址信息,把数据写入本地存储器的对应地址中,并根据数据包中的中断信息更新中断状态寄存器,产生相应的中断给本地DSP。数据选择判定模块根据数据解析模块生成的控制信号,把来自虚拟通道0和虚拟通道1的数据存入各自的目的地址。
2.1数据包结构
本地处理器系统中的数据通过AHB总线传输,而片上网络中的数据以数据包的形式传输,数据的打包与数据包的解析由网络接口完成。网络接口将AHB总线的数据和地址格式转化为Router能识别的数据包格式。头Flit主要包含标志位、控制信息和目的存储器地址信息,数据Flit主要用来存储需要传输的数据。
2.2数据发送逻辑
根据功能,网络接口主要划分为以下几个部分:AHB数据输出到Router的数据发送逻辑;Router数据包输入到AHB的数据接收逻辑;网络接口直接读存储器并发送数据到Router的数据搬运逻辑。数据发送逻辑负责把数据打包后发送到路由节点,主要通过以下三个步骤实现数据发送:(1)配置写目的地址寄存器;(2)配置写控制寄存器;(3)DSP核通过AHB总线发送数据给网络接口。数据发送逻辑整体结构如***5所示。MUX根据读使能信号选择将Core发送的数据或者网络接口读自MEM的数据发送到数据打包模块中。只要网络接口有读请求,则输入数据选择AHBRDDATA,否则选择AHBWRDATA。数据打包模块主要负责将接收的数据打包成Router能识别的数据包,数据包控制位有电源管理位、有效位、VC位、头Flit位、目的地址位、方向位等。打包模块将数据包发送到深度为16的输出FIFO中,该FIFO只有在不空且Router能接收数据包时才能进行RD操作,将数据包发送到路由。与Router的握手控制模块由Router输入的flow_ctrl_in信号控制,该模块中设计了一个计数器,计数器计数范围等于Router输入端口FIFO深度,网络接口每发送一个数据到Router,Router的flow_ctrl_in信号就进行一次反馈,计数器自动计数,若Router的FIFO已满,则网络接口不能发送数据,直到Router能再次接收数据。
2.3数据接收逻辑
如***6所示,数据接收逻辑主要负责接收Router发送过来的数据并进行数据包解析,将有效数据通过AHB总线发送到本地存储器。路由数据包有VC0和VC1两种类型,根据数据包VC位(即bit34)判定数据包来自哪个虚拟通道,输入FIFO接收来自不同虚拟通道的数据,并根据虚拟通道位的值分别发送到VC0和VC1的解码逻辑中解码,把有效数据发送到总线。输入FIFO存入Router数据后,只有当网络接口不对本地存储器进行RD操作时,才会根据数据输出选择逻辑的data_sel信号,选择是输出VC1还是VC0的数据,该数据位宽是36位,与Router数据位宽相同。VC1和VC0数据分别有自己的数据解析模块,该模块主要工作原理如下:若接收的Flit是头Flit,即数据[32]位为“1”,则记录该数据包的bit[31:0]位到寄存器中,这32位数据作为该数据包的目的地址基址;若接收数据不是头Flit,表示该数据包内数据是需要存入本地存储器的数据,数据解析逻辑将其中的bit[31:0]位提出并存入寄存器;并且目的地址自动增加偏移地址。根据data_sel信号,选择输出VC0还是VC1的数据和地址。有一种特殊情况,数据地址是网络接口搬运控制寄存器(地址寄存器、源地址寄存器)的地址,那么该数据将会存入指定寄存器中。当数据搬运寄存器组配置完成后会启动数据搬运操作,也就是异地核读本地存储器操作。
2.4数据搬运逻辑
数据搬运逻辑的主要功能是搬运本地存储器数据到异地存储器中,支持批量传输模式。数据搬运逻辑结构如***7所示,数据搬运工作步骤如下:(1)配置数据搬运源地址寄存器,该寄存器中存的地址是本地存储器的本地地址;(2)配置数据搬运目的地址寄存器,该寄存器中存的地址是全局地址;(3)配置数据搬运控制寄存器,该寄存器由两部分组成,bit[31]是使能位,bit[9:0]是数据Flit个数位。整个数据搬运逻辑工作原理如下:本地DSP核通过AHB总线或者其他核通过路由传输数据,给数据搬运控制寄存器配置读取请求信息,使得网络接口作为Master通过AHB总线对本地存储器进行读操作。网络接口读取本地存储器中对应地址的数据,并将读取的数据发送到读功能实现逻辑,进行数据打包等一系列工作,并将数据包发送给FIFO,由其发送给路由。网络接口搬运过程中使用的FIFO和本地核写操作使用的FIFO是同一个,但是网络接口读操作优先级更高,如果网络接口正在进行读操作,Core数据写入操作将暂停,直到网络接口读操作完成才继续执行。
2.5中断系统
网络接口完成数据传输任务后,通过中断系统通知本地DSP核,由DSP核产生相关响应。网络接口中包含中断信息输入寄存器、中断信息输出寄存器、中断使能寄存器、中断屏蔽寄存器、中断状态寄存器等寄存器。在网络接口进行数据传输前,需要预先配置好中断信息输入寄存器,中断使能寄存器和中断屏蔽寄存器。网络接口发送数据后,会自动发送一个中断信息包,该包中含中断信息输入寄存器的内容。接收端网络接口根据中断信息包的内容及中断使能情况决定是否产生中断。
3仿真验证
网络接口在完成RTL设计及模块级仿真后,集成到3×3二维mesh结构的NoC中,并完成系统级仿真验证。网络接口在NoC中主要负责本地系统和router之间的数据转换和传输,因此在系统仿真中主要测试在各核进行数据传输时,网络接口的数据转换和交换是否正常,包括其三种传输模式。
4结论
本文所设计的网络接口支持单周期完成数据打包工作,并把数据包传输到路由节点中,只要路由节点中的FIFO不满,数据包就可以连续传输,保证了数据的传输效率。同时网络接口设计支持数据批传输,在需要大批量的数据传输时,由网络接口本身完成,不需要处理器参与,节省了处理器资源,提升了整个系统的处理效率。网络接口设计完成后,集成到整个NoC系统中并通过了系统仿真,确保了功能的正确性。
参考文献:
[1]段宜宾,王晓东,唐磊.片上网络关键技术及仿真方法研究[J].通信技术,2009,42(12).
[4]朱小兵.片上网络路由算法研究[D].西安:西安电子科技大学硕士学位论文,2009.
[5]张香香.片上网络虚通道分配算法研究[D].西安:西安电子科技大学硕士学位论文,2012.
[6]杜高明,李向阳.基于多路径路由片上网络的低功耗联合编码电路设计[J].微电子学与计算机,2017,34.
网络设计篇10
关键词:网络监控 系统开发 实现
中***分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)12-0175-01
随着网络技术的不断发展,网络监控系统的应用越来越不可忽视。网络系统中可能存在危险内容或者危险操作,所以需要网络监控系统对其管辖范围进行管理,给予实时的、动态的监控。通过软路由技术,能够实现统一观测不同的网络。
1 网络监控系统的开发环境
网络监控系统用高级电脑编程语言VC++编写程序,能够实现直接在底层的操作,且占用较少的空间资源,使系统的稳定性更高,效率更高。网络监控系统的开发环境还应该包括服务终端和客户端,两者都需要硬件组成,即PC机、硬盘、网卡,服务终端的要求要高于客户端。此外服务终端用Windows98/NT/2000操作系统,客户端用Windows98/NTworkststion/2000的操作系统;服务终端支持动、静态IP协议,客户端要求IE4.01以上的浏览器。
2 网络监控系统的功能
网络监控系统能够进行全方位的网络监控,能够实现的功能有:网络控制、网络监控、远程制定、计费管理。
2.1 网络控制
网络控制包括两种控制方式:访问控制、***控制。访问控制是保证健康、安全的上网环境而设置的,通过对IP地址的管理分类,筛选出可以进行访问的IP列表,以及禁止访问的IP列表。***控制是通过对IP参数的设置,来禁止或限制从INTERNET上***信息,以保护网络的安全和效率。
2.2 网络监控
网络监控包括:监控的设置、远程锁屏、实时通信、屏幕监看和远程控制等。客户端和服务器的监控参数、客户端登录口令、启动方式是由监控的设置来管理的;远程锁屏要选中要进行锁屏操作的客户端,进行锁定指令的执行。实现与任意客户端进行实时对讲、实时消息传送的功能,即为实时通信。屏幕监看,在不影响客户端的情况下,屏幕监控选中的客户机。远程控制即远程控制客户机,在监控的服务终端对客户端进行操作。
2.3 远程定制
远程定制由一般定制、客户机中我的电脑的定制、菜单定制、控制面板定制组成。能够改变客户端属性、以及客户基本信息的为一般定制;改变客户端启动设置及其他设置,则由客户机的我的电脑定制控制;菜单定制,对客户机开始菜单中的定制,防止操作失误;控制面板定制,屏蔽客户机控制面板,防止操作失误。
2.4 计费管理
系统提供多种计费方法,收费管理包含:设置发卡参数,用户单位设置,用户类别设置,新用户注册,计费参数设置。
3 网络监控系统的设计实现
3.1 服务器与客户端的通信
在internet上传输数据,用的是基于消息的异步存取策略,即Winsock,服务器与客户端的信息传递便建立在Winsock的基础上。PC间的通信利用面向连接的TCP、和面向无连接的UDP协议建立。UDP是网络监控系统常用的协议。客户端和服务器间的通信通道,通过建立Socket端口,执行ReceiveMsg和SendMsg等函数来实现。
3.2 网络监控系统中线程通信
一个***的进程可由多条线程组成,一个线程是一个运行的程序。CWinThread派生CWinApp,通常,主线程由CWinApp等派生类提供。CWinThread支持辅助线程、用户界面线程。CWinThread对象允许一个给定程序,包含多个线程。根据需要,创建其中一种类型的线程,调用AfxBeginThread函数,运行时,可设定的参数实现修改安全属性、创建标志、优先级、堆栈大小。线程间的通信靠事件维持操作同步。
3.3 系统的设置实现
注册表读写函数class RegEdit等,编写其代码。系统运行中,可以对注册表进行管理和操作,如修改系统设置、IE属性等。对注册表的操作属于对系统底层进行的操作。
3.4 托盘的实现
系统运行时,要求客户端的监控系统界面不能占用桌面其他空间,以防影响其他程序的运行和显示,将其设置成为可最小化的程序,设计其***标在界面右下角任务栏,便于操作。代码中定义MainFrame等函数,进行相应的程序编写,来实现监控系统的最小化。
3.5 对数据库的连接、访问
在计费管理中,存在着用户的数据和信息,需要建立数据库来进行整合和管理。利用SQL SERVER建立数据库,ODBC是SQL的程序设计接口,ODBC的使用可以简化程序,避免与数据源冲突。再利用ODBC编写代码时,经常要用到的以下几种函数:数据库类的CDatabase,记录集类的CRecordSet,可视记录集的CRecordView。定义CDatabase函数,可实现对数据源的连接;定义CRecordSet,从数据源中提取记录集;CRecordView类对象能够通过控制,现实数据可数据记录。
3.6 网络数据安全
在网络监控系统中,需要提供验证过程,即客户端向服务器发送带有账号、密码的数据报。一旦在发送过程中,账号和密码被网络中其他用户、或者其他监听软件截获,会造成数据泄密、非法篡改等不良后果,所以,数据报不能够用明文发送,应对其应用加密算法,数据报传送至服务器,服务器利用相应算法进行解密,这样一来,传送过程便有了保密措施。网络监控系统中常采用对称密码体制的一种——DES,对数据报进行加密解密,此算法已经足够满足对安全性的要求。
4 结语
在网络监控系统中,用VC++进行编程开发,网络系统中基于底层的设计,与操作系统紧密结合。它能够在管辖区域内对监控源进行实时、动态的监视、控制、管理。而且含有多种计费方式,助于提高系统的稳定性,提高效率。
参考文献