第一篇:網絡論文畢業論文大全
network001 DOS攻擊方式的研究及實現【論文+27頁+0.9萬+doc】
network002 GSM雙頻網絡優化技術【畢業論文+25頁+1.5萬+doc】
network003 IP多媒體流穿越FWNAT的概述及發展動態【畢業論文+45頁+2.0萬+doc】 network004 Linux 下WEB服務器的架設【論文+23頁+0.8萬+doc】
network005 LINUX防火墻技術【畢業論文+31頁+1.4萬+doc】
network006 Linux環境下虛擬文件系統分析研究【畢業論文+47頁+2.2萬+doc】
network007 Linux內核移植到ARM的畢業論文【畢業論文+31頁+1.6萬+doc】
network008 LINUX系統的系統服務和工具介紹【畢業論文+59頁+2.4萬+doc】
network009 LINUX下網卡驅動程序開發【論文+33頁+2.4萬+doc】
network010 MATLAB仿真在數據可視化表達中的應用【畢業論文+30頁+0.9萬+doc】
network011 SNMP在網絡管理網中的作用與實現--管理網絡打印機【【畢業論文74頁+1.7萬+doc】 network012 WAP業務應用程序【畢業論文+28頁+1.1萬+doc】
network013 wap中的推送技術【【畢業論文+29頁+1.3萬+doc】
network014 windows 的網絡管理【畢業論文+23頁+0.9萬+doc】
network015 Winsock通信及應用【畢業論文+45頁+2.9萬+doc】
network016 WWW服務器的研究和創建【畢業論文+38頁+1.1萬+doc】
network017 XML解釋器與DOM【畢業論文22頁+0.9萬+doc】
network018 xx大廈綜合網絡方案設計【畢業論文+30頁+9千+doc】
network019 XX大學校園網組建【畢業論文54頁2.2萬+doc】
network020 XX省郵電學校校園網網絡設計【畢業論文+56頁+2.8萬+doc】
network021 xx市政府辦公自動化系統【畢業論文21頁+0.5萬+doc】
network022 XX市政府上網工程方案【畢業論文+71頁+2.5萬+doc】
network023 安全遠程接入VPN系統【畢業論文+80頁+3.4萬+doc】
network024 電子商務在國貿中面臨的法律問題【畢業論文+11頁+1.3萬+doc】
network025 電子商務中的安全問題【畢業論文+19頁2.0萬+doc】
network026 電子商務中的網上銀行系統【畢業論文+27頁+1.2萬+doc】
network027 電子郵件客戶端系統畢業論文【畢業論文+38頁+1.6萬+doc】
network028 端口漏洞掃描器的研究機理與實現【畢業論文+45頁+1.4萬+doc】
network029 短信服務平臺的組建和相關技術【畢業論文+17頁0.8萬+doc】
network030 多媒體教育軟件體系-體系研究與課件制作【畢業論文+54頁+3.6萬+doc】
network031 反病毒引擎設計【畢業論文+43頁+3.8萬+doc】
network032 防火墻免疫系統的設計與實現【畢業論文+4頁+0.4萬+doc】
network033 防火墻技術原理及其在校園網中的應用方案設計【畢業論文+17頁+1.0萬+doc】 network034 分布式入侵檢測系統設計與實現【畢業論文+69頁+3.4萬+doc】
network035 個人防火墻——包過濾的設計與實現【畢業論文+23頁+1.4萬+doc】
network036 廣域網技術應用【畢業論文+45頁+1.7萬+doc】
network038 基于IPV6協議下的防火墻技術研究【畢業論文+61頁+2.3萬+doc】
network037 基于ACL的網絡病毒過濾規則【畢業論文+35頁+2.2萬+doc】
network039 基于Linux的輕型防火墻【畢業論文+54頁+2.0萬+doc】
network040 基于Linux內核的輕型防火墻系統【畢業論文76頁+2.7萬+doc】
network041 基于SOAP協議的Web服務安全性問題的研究【畢業論文+49頁+1.8萬+doc】 network042 基于WINPCAP、ARP協議的網絡管理【畢業論文+65頁+1.4萬+doc】
network043 基于企業內部網的DHCP服務器的分析與配置【畢業論文+28頁+0.7萬+doc】 network044 基于日志的審計系統構架的探討【畢業論文+33頁+1.4萬+doc】
network045 基于網絡的虛擬儀器測試系統【畢業論文+56頁+2.3萬+doc】
network046 基于校園網的學生一卡通系統的研究與設計【畢業論文+59頁+3.6萬+doc】
network047 基于主題定制網絡爬蟲的郵件地址的自動抽取【畢業論文+52頁+2.0萬+doc】
network048 集團企業信息管理系統總體設計方案【畢業論文+32頁+2.3萬+doc】
network049 計算機局域網組建與互連【畢業論文+12頁+0.9萬+doc】
network050 計算機網絡IPV6技術探討【畢業論文+19頁+1.2萬+doc】
network051 計算機網絡安全管理的研究【畢業論文+21頁+1.5萬+doc】
network052 教學信息系統【畢業論文+20頁+0.9萬+doc】
network053 局域網建設與規劃【畢業論文+18頁+0.7萬+doc】
network054 局域網內的IP地址監控【畢業論文+62頁+2.8萬+doc】
network055 局域網上的點對點通信【畢業論文+13頁+1.7萬+doc】
network056 局域網上網管理系統的設計與實現【畢業論文+54頁+1.5萬+doc】
network057 某辦公大樓視頻安防監控系統技術方案【畢業論文+21頁+0.6萬+doc】
network058 木馬攻防技術原理【畢業論文+17頁+1.9萬+doc】
network059 木馬原理與現狀【畢業論文26頁+1.1萬+doc】
network060 內蒙古XXX網絡工程系統集成設計方案【畢業論文+78頁+3.7萬+doc】
network061 企業網網絡安全解決方案【畢業論文+46頁+2.7萬+doc】
network062 淺談入侵檢測技術【畢業論文+35頁+2.4萬+doc】
network063 淺析網絡安全技術【畢業論文+16頁+1.1萬+doc】
network064 使用UML和Rational Rose設計一個應用系統(圖書館管理系統)模型【畢業論文+53頁+2.1萬+doc】
network065 視頻增強算法研究【畢業論文+54頁+2.8萬+doc】
network066 特定主題的網絡爬蟲【畢業論文+33頁+1.4萬+doc】
network067 通過串行口及IP網絡實現遠程監控【畢業論文28頁+1.0萬+doc】
network068 通用人事工資管理系統【需求分析+doc+18頁+1.3萬字】
network069 統一建模語言UML與Rose【畢業論文+56頁+2.3萬+doc】
network070 網絡安全分析TCPIP安全研究【畢業論文+18頁+1.4萬+doc】
network099 網絡虛擬磁盤的開發--文件管理前臺【畢業論文+30頁+1.0萬+doc】
network071 網絡安全技術研究【畢業論文20頁+1.3萬+doc】
network100 文件傳輸協議FTP服務器端協議研究及編程【畢業論文+26頁+1.2萬+doc】
network072 網絡動態路由策略研究【畢業論文+54頁+2.9萬+doc】
network101 無線WIFI增益天線的制作【畢業論文+58頁+2.6萬+doc】
network073 網絡攻擊和網絡防范技術研究【畢業論文+40頁+1.9萬+doc】
network102 無線局域網的設計【畢業論文+24頁+1.1萬+doc】
network074 網絡攻擊與網絡防范【畢業論文+35頁+1.8萬+doc】
network103 無線局域網技術及其應用【畢業論文+18頁+0.9萬+doc】
network075 網絡流量測量軟件的設計與實現【畢業論文+17頁+0.7萬+doc】
network104 物流管理信息系統分析與設計【畢業論文+54頁+2.3萬+doc】
network076 網絡模擬與NS-2研究【畢業論文+71頁+1.9萬+doc】
network105 西安市某綜合辦公樓供暖設計【畢業論文+78頁+3.7萬+doc】
network077 網絡數據的捕獲與回放【畢業論文+38頁+0.8萬+doc】
network106 項目任務管理系統——架構設計【論文+33頁+1.3萬+doc】
network078 網絡信息安全與防火墻技術【畢業論文+18頁+1.5萬+doc】
network108 小靈通網絡性能分析【畢業論文+36頁+1.1萬+doc】
network079 網絡行為的檢測與分析【畢業論文+51頁+2.6萬+doc】
network109 小區網絡設計方案【畢業論文+34頁+1.2萬+doc】
network080 小區網絡組建【畢業論文+45頁+1.2萬+doc】
network081 小區智能化系統設計方案【畢業論文+58頁+2.5萬+doc】
network082 小型局域網的建設與設計【畢業論文+80頁+4.4萬+doc】
network083 校園網的建設與規劃【畢業論文+60頁+2.5萬+doc】
network084 校園網絡VPN技術與綜合部線【畢業論文+73頁+3.4萬+doc】
network085 校園網絡設計【畢業論文+16頁+0.8萬+doc】
network086 校園網絡總體結構設計【畢業論文+50頁+2.3萬+doc】
network087 校園網絡組建【畢業論文+45頁+1.3萬+doc】
network088 校園網綜合方案【畢業論文+64頁+2.9萬+doc】
network089 校園網組網規劃與設計【畢業論文+40頁+1.2萬+doc】
network090 校園一卡通管理系統設計方案【畢業論文+51頁+1.7萬+doc】】
network091 學生宿舍網絡組建方案【畢業論文+45頁+1.4萬+doc】
network092 一種高速網絡下分布式入侵檢測體系的結構設計和實現【畢業論文+36頁+2.0萬+doc】 network093 遠程視頻監控系統發射端的設計與實現【畢業論文+52頁+2.0萬+doc】
network094 智能化小區網絡組建【畢業論文+46頁+1.8萬+doc】
network095 智能小區綜合布線方案【畢業論文+32頁+3.1萬+doc】
network096 中學校園網絡工程方案【畢業論文+69頁+3.6萬+doc】
network097 組播技術在校園網的應用研究【畢業論文+19頁+1.2萬+doc】
network098 組建與維護企業網絡【論文+34頁+1.2萬+doc】
第二篇:有關網絡畢業論文
網絡性能測量技術的研究
摘 要:網絡性能測量是網絡行為分析的基礎。本文對網絡性能測量的相關內容以及網絡性能指標的測量與分析進行了系統的介紹,并對網絡性能測量的下一步發展進行了展望。
關鍵詞: 網絡性能 測量技術 性能指標 分析與研究
1.引言
隨著Internet技術和網絡業務的飛速發展,用戶對網絡資源的需求空前增長,網絡也變得越來越復雜。不斷增加的網絡用戶和應用,導致網絡負擔沉重,網絡設備超負荷運轉,從而引起網絡性能下降。這就需要對網絡的性能指標進行提取與分析,對網絡性能進行改善和提高。因此網絡性能測量便應運而生。發現網絡瓶頸,優化網絡配置,并進一步發現網絡中可能存在的潛在危險,更加有效地進行網絡性能管理,提供網絡服務質量的驗證和控制,對服務提供商的服務質量指標進行量化、比較和驗證,是網絡性能測量的主要目的。
2.網絡性能測量的概念
2.1 網絡性能的概念
網絡性能可以采用以下方式定義
[1]網絡性能是對一系列對于運營商有意義的,并可用于系統設計、配置、操作和維護的參數進行測量所得到的結果。可見,網絡性能是與終端性能以及用戶的操作無關的,是網絡本身特性的體現,可以由一系列的性能參數來測量和描述。
2.2 網絡性能參數的概念
對網絡性能進行度量和描述的工具就是網絡性能參數。IETF和ITU-T都各自定義了一套性能參數,并且還在不斷的補充和修訂之中。
2.2.1 性能參數的制定原則
網絡性能參數的制定必須遵循如下幾個原則:
1)性能參數必須是具體的和有明確定義的;
2)性能參數的測量方法對于同一參數必須具有可重復性,即在相同條件下多次使用該方法所獲得的測量結果應該相同;
3)性能參數必須具有公平性,即對同種網絡的測量結果不應有差異而對不同網絡的測量結果則應出現差異;
4)性能參數必須有助于用戶和運營商了解他們所使用或提供的IP網絡性能;
5)性能參數必須排除人為因素;
2.2.2 ITU-T定義的IP網絡性能參數
ITU-T對IP網絡性能參數的定義[2]包括:
1)IP包傳輸延遲(Packet Transfer Delay, IPTD)
2)IP包時延變化(IP Packet Delay Variation, IPDV)
3)IP包誤差率(IP Packet Error Rate IPER)
4)IP包丟失率(IP Packet Lass Rate, IPLR)
5)虛假IP包率(Spurious IP Packet Rate)
6)流量參數(Flow related parameters)
7)業務可用性(IP Service Availability)
2.2.3 IETF定義的IP網絡性能參數
IETF 將性能參數[3]稱為“度量(Metric)。由IPPM(IP Performance Metrics)工作組來負責網絡性能方面的研究及性能參數的制定。IETF對IP網絡性能參數的定義包括:
1)IP連接性
2)IP包傳送時延
3)IP包丟失率
4)IP包時延變化
5)流量參數
2.3 網絡性能結構模型
從空間的角度來看,網絡整體性能可以分為兩種結構:立體結構模型和水平結構模型。
2.3.1 立體結構模型
IP網絡就其協議棧來說是一個層次化的網絡,因此,對IP網絡性能的研究也可以按照一種自上而下的方法進行。可以以IP層的性能為基礎,來研究IP層不同性能與上層不同應用性能之間的映射關系。
2.3.2 水平結構模型
對于網絡的性能,用戶主要關心的是端到端的性能,因此從用戶的角度來看,可以利用水平結構模型來對IP網絡的端到端性能進行分析。
3.網絡性能測量的方法
網絡性能測量涉及到許多內容,如采用主動方式還是被動方式進行測量;發送測量包的類型;發送與截取測量包的采樣方式;所采用的測量體系結構是集中式還是分布式等等。
3.1 測量包
網絡性能測量中,影響測量結果的一個重要因素就是測量數據包的類型。
3.1.1 P類型包
類型P是對IP包類型的一種通用的聲明。只要一個性能參數的值取決于對測量中采用的包的類型,那么參數的名稱一定要包含一個具體的類型聲明。
3.1.2標準形式的測量包
在定義一個網絡性能參數時,應默認測量中使用的是標準類型的包。比如可以定義一個IP 連通性度量為:“IP 某字段為0的標準形式的P 類型IP 連通性”。在實際測量中,很多情況下包長會影響絕大多數性能參數的測量結果,包長的變化對于不同目的的測量來說影響也會不一樣
3.2主動測量與被動測量方式
最常見的IP網絡性能測量方法有兩類:主動測量和被動測量。這兩種方法的作用和特點不同,可以相互作為補充。
3.2.1主動測量
主動測量是在選定的測量點上利用測量工具有目的地主動產生測量流量,注入網絡,并根據測量數據流的傳送情況來分析網絡的性能。主動測量的優點是對測量過程的可控性比較高,靈活、機動,易于進行端到端的性能測量;缺點是注入的測量流量會改變網絡本身的運行情況,使得測量的結果與實際情況存在一定的偏差,而且測量流量還會增加網絡負擔。主動測
量在性能參數的測量中應用十分廣泛,目前大多數測量系統都涉及到主動測量。
要對一個網絡進行主動測量,需要一個測量系統,這種主動測量系統一般包括以下四個部分:測量節點(探針)、中心服務器、中心數據庫和分析服務器。有中心服務器對測量節點進行控制,由測量節點執行測量任務,測量數據由中心數據庫保存,數據分析則由分析服務器完成。
3.2.2 被動測量
被動測量是指在鏈路或設備(如路由器,交換機等)上利用測量設備對網絡進行監測,而不需要產生多余流量的測量方法。被動測量的優點在于理論上它不產生多余流量,不會增加網絡負擔;其缺點在于被動測量基本上是基于對單個設備的監測,很難對網絡端到端的性能進行分析,并且可能實時采集的數據量過大,另外還存在用戶數據泄漏等安全性和隱私問題。被動測量非常適合用來進行流量測量。
3.2.3主動測量與被動測量的結合主動測量與被動測量各有其優、缺點,而且對于不同的性能參數來說,主動測量和被動測量也都有其各自的用途。因此,將主動測量與被動測量相結合將會給網絡性能測量帶來新的發展。
3.3 測量中的抽樣
3.3.1 抽樣概念
抽樣,也叫采樣,抽樣的特性是由抽樣過程所服從的分布函數所決定的。研究抽樣,主要就是研究其分布函數。對于主動測量,其抽樣是指發送測量數據包的過程;對于被動測量來說,抽樣則是指從業務流量中采集測量數據的過程。
3.3.2 抽樣方法
依據抽樣時間間隔所服從的分布,抽樣方法可分為很多種,目前比較常用的抽樣方法是周期抽樣、隨機附加抽樣和泊松抽樣[4]。周期抽樣是一種最簡單的抽樣方式,每隔固定時間產生一次抽樣。因為簡單,所以應用的很多。但它存在以下一些缺點: 測量容易具有周期性、具有很強的可預測性、會使被測網絡陷入一種同步狀態。隨機附加抽樣的抽樣間隔的產生是相互獨立的,并服從某種分布函數,這種抽樣方法的優劣取決于分布函數:當時間間隔以概率1 取某個常數,那么該抽樣就退化為周期抽樣。隨機附加抽樣的主要優點在于其抽樣間隔是隨機產生的,因此可以避免對網絡產生同步效應,它的主要缺點是由于抽樣不是以固定間隔進行,從而導致頻域分析復雜化。
在RFC2330 中,推薦泊松抽樣,它的時間間隔符合泊松分布,它的優點是:能夠實現對測量結果的無偏估計、測量結果不可預測、不會產生同步現象。但是,由于指數函數是無界的,因此泊松抽樣有可能產生很長的抽樣間隔,因此,實際應用中可以限定一個最大間隔值,以加速抽樣過程的收斂。
4.性能指標的測量與分析
4.1 連接性
連接性[5]也稱可用性、連通性或者可達性,嚴格說應該是網絡的基本能力或屬性,不能稱為性能,但ITU-T建議可以用一些方法進行定量的測量。目前還提出了連通率的概念,根據連通率的分布狀況建立擬合模型。
4.2 延遲
延遲的定義是[6]:IP 包穿越一個或多個網段所經歷的時間。延遲由固定延遲和可變延遲兩部分組成[7][8]。固定延遲基本不變,由傳播延遲和傳輸延遲構成;可變延遲由中間路由器處理延遲和排隊等待延遲兩部分構成。對于單向延遲測量要求時鐘嚴格同步,這在實際的測量中很難做到,許多測量方案都采用往返延遲,以避開時鐘同步問題。
往返延遲的測量方法是:入口路由器將測量包打上時戳后,發送到出口路由器。出口路由器一接收到測量包便打上時戳,隨后立即使該數據包原路返回。入口路由器接收到返回的數據包之后就可以評估路徑的端到端時延。4.3 丟包率
丟包率的定義是[9]:丟失的IP 包與所有的IP 包的比值。許多因素會導致數據包在網絡上傳輸時被丟棄,例如數據包的大小以及數據發送時鏈路的擁塞狀況等。
為了評估網絡的丟包率,一般采用直接發送測量包來進行測量。對丟包率進行準確的評估與預測則需要一定的數學模型。目前評估網絡丟包率的模型主要有貝努利模型、馬爾可夫模型和隱馬爾可夫模型等等[10]。貝努利模型是基于獨立同分布的,即假定每個數據包在網絡上傳輸時被丟棄的概率是不相關的,因此它比較簡單但預測的準確度以及可靠性都不太理想。但是,由于先進先出的排隊方式的采用,使得包丟失之間有很強的相關性,即在傳輸過程中,包被丟失受上一個包丟失的影響相當大。假定用隨機變量Xi 代表包的丟失事件,Xi = 0 表示包丟失,而Xi = 1 表
示包未丟失。則第i 個包丟失的概率為P[Xi|Xi-1, Xi-2,…Xi-n], Xi-1, Xi-2,...Xi-n 取所有的組合情況。當N=2 時,該Markov 鏈退化為著名的Gilbert 模型。隱馬爾可夫模型是對馬爾可夫模型的改進。
Maya Yajnik等人所作的172 小時的測量試驗[11]結果表明,在不同的數據采樣間隔下(20ms,40ms,80ms,160ms)采用三種不同的丟包率分析模型進行分析得到的結果完全不同,在不同的估計精確度的要求下實驗結果也各有不同。因此,目前需要能夠精確描述丟包率的數學模型。
4.4 帶寬
帶寬一般分為瓶頸帶寬和可用帶寬。
瓶頸帶寬是指當一條路徑(通路)中沒有其它背景流量時,網絡能夠提供的最大的吞吐量。對瓶頸帶寬的測量一般采用包對(packet pair)技術,但是由于交叉流量的存在會出現“時間壓縮”或“時間延伸”現象,從而會引起瓶頸帶寬的高估或低估。另外,還有包列等其它測量技術。
可用帶寬是指在網絡路徑(通路)存在背景流量的情況下,能夠提供給某個業務的最大吞吐量。因為背景流量的出現與否及其占用的帶寬都是隨機的,所以可用帶寬的測量比較困難。一般采用根據單向延遲變化情況可用帶寬進行逼近。其基本思想是:當以大于可用帶寬的速率發送測量包時,單向延遲會呈現增大趨勢,而以小于可用帶寬的速率發送測量包時,單向延遲不會變化。所以,發送端可以根據上一次發送測量包時單向延遲的變化情況動態調整此次發送測量包的速率,直到單向延遲不再發生增大趨勢為止,然后用最近兩次發送測量包速率的平均值來估計可用帶寬
瓶頸帶寬反映了路徑的靜態特征,而可用帶寬真正反映了在某一段時間內鏈路的實際通信能力,所以可用帶寬的測量具有更重要的意義。
4.5 流量參數
ITU-T提出兩種流量參數作為參考:一種是以一段時間間隔內在測量點上觀測到的所有傳輸成功的IP 包數量除以時間間隔,即包吞吐量;另一種是基于字節吞吐量:用傳輸成功的IP 包中總字節數除以時間間隔。
Internet 業務量的高突發性以及網絡的異構性,使得網絡呈現復雜的非線性,建立流量模型越發變得重要。早期的網絡流量模型,是經典流量模型,也即借鑒PSTN的流量模型,用poisson模型描述數據網絡的流量,以及后來的分組火車模型,Markov模型等等。隨著網絡流量子相似性的發現,基于自相似模型的流量建模研究也取得了不少進展和得到了廣泛的應用,譬如分形布朗運動模型和分形高斯噪聲模型以及小波理論分析等等。高速網絡技術的發展使
得對巨大的網絡流量進行直接測量幾乎不可能,同時,大量的流量日志也使流量分析變得相當困難。為了解決這一問題,近幾年,流量抽樣測量研究已成為高速網絡流量測量的研究重點。
5.網絡性能測量的展望
網絡性能測量中還有許多關鍵技術值得研究。例如:單向測量中的時鐘同步問題;主動測量與被動測量的抽樣算法研究;多種測量工具之間的協同工作;網絡測量體系結構的搭建;性能指標的量化問題;性能指標的模型化分析[12]~[16];對網絡未來狀況進行趨勢預測;對海量測量數據進行數據挖掘或者利用已有的模型(Petri 網、自相似性、排隊論)研究其自相似性特征[17]~[19];測量與分析結果的可視化,以及由測量所引起的安全性問題等等都是目前和今后所要研究的重要內容。隨著網絡性能相關理論、測量方法、分析模型研究的逐漸深入、各種測量工具的不斷出現以及大型測量項目的不斷開展,人們對網絡的認識會越來越深刻,從而不斷地推動網絡技術向前發展
6.結束語:
本文對目前網絡性能測量技術的主要方面進行了介紹和分析并對未來網絡性能測量的研究重點進行了展望。
參考文獻
[1] ITU-T 建議1.350
[2] ITU-T,建議Y1540
[3] IETF, RFC2330, “Framework for IP Performance Metrics” Table of Contents 6
[4] IETF, RFC2330, “Framework for IP Performance Metrics” Table of Contents11
[5] IETF, RFC2678, “IPPM Metrics Measuring Connectivity”
[5] IETF, RFC2679, “A One-way Delay Metric for IPPM”
[6] IETF, RFC2681, “A Round-trip Delay Metric for IPPM”
[7] IETF.RFC3393, “IP Packet Delay Variation Metric for IPPM”
PDF 文件使用 “pdfFactory Pro” 試用版本創建.cn
http://
[8] IETF, RFC2680, “A One-way Packet Loss Metric for IPPM”
[9] H.Sanneck and G.Carle GMD Fokus, Kaiserin-Augusta-Allee 31, D-10589 Berlin, Germany,“A Framework
Model for Packet Loss Metrics Based on Loss Runlengths ”
[10] Maya Yajnik, Sue Moon, Jim Kurose and Don Towsley ,“Measurement and Modelling of the Temporal
Dependence in Packet Loss ”, Department of Computer Science University of Massachusetts Amherst, MA 01003
USA
[11] Jacobson V, “Pathchar A Tool to Infer Characteristics of InternetPaths.”
[12] LO PRESTI F, DUFFIELD N G, HOROWITZ J, et al.“Multicast-based Inference of Network Internet-Delay
Distributions”.University of Massachusetts, Amherst, Computer Science, Technical Report UM-CS-1999-055,1999.[13] DUFFIELD N G, LO PRESTI F.“Multicast inference of packet delay variance at interior network links”.IEEE INFOCOM 2000[C].Tel Aviv Israel, 2000.[14] HUANG L, SEZAKI K.“End-to-end Internet Delay Dynamics”.IEICE Technical Report of CQ WG, May
2000.[15] OHSAKI H, MURATA M, MIYAHARA H, “ Modeling end-to-end packet delay dynamics of the Internet”
using systemidentification[A].International Teletraffic Congress 17[C].Salvador da Bahia, Brazil, 2001.[16]Sue B.Moon, “Measurement and Analysis of End-to-End Delay and Loss in The Internet”
[17] J.-C.Bolot.“End-to-end packet delay and loss behavior in the Internet”.In Proceedings of ACM SIGCOMM,San Francisco, August 1993.[18] V.Paxson, “Measurements and Analysis of End-to-End Internet Dynamics”, Ph.D.dissertation, 1997.[19]張宏莉,方濱興,胡銘曾,姜譽,詹春艷,張樹峰,“Internet測量與分析綜述”,軟件學報,2003年1
月,Vol.14, No.
第三篇:網絡畢業論文
摘 要
隨著因特網的迅猛發展,電子政務、電子商務的快速興起,人類正以前所未有的速度跨入信息化社會,進入網絡時代。對傳統的思想觀念、工作方式帶來巨大的沖擊,對現代企業提出嚴峻的挑戰,計算機網絡越來越成為人類各種活動中必不可少的一部分,成為政府施政、企業管理、商家經營的主要平臺,成為人與人之間進行溝通的主要方式。如何對日益龐大、復雜的計算機網絡實施有效的管理也越來越成為政府、企業、商家和網絡運營服務商所關注的問題,公司內部網的接入建設是工業現代化的生要標志,其重要作用日益顯現出來。
本文結合宏星建筑公司的實際網絡需求,對內部網接入進行了規劃和實施。首先對宏星建筑公司的用戶需求和技術需求進行了詳盡的分析,然后對目前流行的接入方式進行了分析和比較,選擇了適合公司需求和經濟成本的ADSL接入方式,接著對ADSL接入方式進行了具體實施,最后對網絡進行了測試和維護。
關鍵詞:需求分析,ADSL接入,ADSL實施,網絡測試
目 錄
第1章 需求分析...1 1.1設計目標...1 1.2總體需求...1 1.2.1項目概述...1 1.2.2用戶需求...1 1.2.3技術需求...1
1.2設計原則及設計目標...2 第二章 網絡接入設計...4 2.1網絡接入分析...4 2.1.1 XDSL.5 2.1.2 HFC.8 2.1.3 ISDN.9 2.1.4 ADSL.9 2.1.5 以太網接入...9 2.1.6 Cable Modem接入...10 2.1.7 DDN接入...10 2.2 接入比較與選擇...11 2.2.1 接入比較...11 2.2.2接入方式選擇...13 2.2.3 ADSL優缺點...14 2.3 ADSL應用方式的選擇...15 第3章 ADSL安裝與實施...17
更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 3.1設備選型...17 3.2方案實施...18 3.3 IP地址規劃...18 3.4 ADSL Modem.19 第4章 網絡測試和維護...22 4.1網絡測試...22 4.2網絡維護...23
4.2.1網絡維護安全風險分析...23 4.2.2網絡維護方案...24 第5章 結 論...25 參考文獻...26 致
謝...27
第1章 需求分析
隨著國內企業市場的迅猛發展,越來越多的企業開始面臨分支機構、連鎖加盟單位等新興的企業架構擴展給企業信息系統建設帶來的壓力。辦公的信息化、網絡化尤其重要。近年來,隨著先進設備的引進,信息的增多,設備共享和信息的規范的管理越來越重要,在這信息化的時代中,如何構建安全、可靠并支持遠端甚至移動辦公的企業內部網絡建立一個先進的信息網絡系統已經刻不容緩。
1.1設計目標
為了與時俱進,滿足市場供求,充分利用網絡上的信息資源是必然,以滿足不斷出現的對環境的要求。同時為了促進公司內部的信息交流和資源共享,便于管理,架設一個高性價比、性能良好、基礎且安全的網絡。
1.2總體需求
1.2.1項目概述
宏星建筑公司占地80余畝,現有員工一千多人,有兩棟辦公大樓和有兩個大型的生產部門。辦公大樓有四層,分別為一層為財務部門、人事部門;二層為銷售部門、采購部門;三層為生產部門、后勤部門;四層為總經理辦公室、客戶部門。
更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 1.2.2用戶需求
為了能讓公司更好的與現代社會接軌,更快獲取市場信息為了讓外界了解該公司最近的相關信息。現要求對該公司的網絡在原有的基礎上進行重新設計,使其可以為用戶提供更完善的服務。近年來公司已經發展到中等規模企業,設備共享和信息資源的管理越來越重要,因此公司需要一個實時、安全、高速、穩定的信息交換平臺,來保證公司那頻繁且龐大的信息傳輸量,從而提高工作效率,達到設備共享,縮小巨大的設備開支,好充分利用有限的資金來提高企業的發展,適應高速發展的信息化社會。
1.2.3技術需求
從技術角度考慮。一個好的網絡應該從它多提供的服務和網絡的安全性。在設計網絡時服務方面至少應具備以下幾點:
(1)資源共享功能
網絡內的各個桌面用戶可以共享數據庫。共享、打印機,實現辦公自動化系統中的所有功能。(2)通信服務功能
用戶能過通過代理服務器和廣域網連接進行電子郵件的收發,實現web服務,接入互聯網。進行安全的數據訪問。
(3)多媒體功能
支持視頻點播和視頻會議并具有教好的質量保證。(4)通過VPN隧道訪問公司內部資源
1.2設計原則及設計目標
根據宏星建筑公司的具體要求,基于以下原則來設計公司網絡。
1.實用性:根椐應用系統的要求確定整個系統的結構,即從系統功能和信息需求出發,擬建系統的結構必須滿足系統的傳輸能力要求、信息安全要求、人機交互能力要求、信息處理要求,遵循面向應用,注重實效,急用先上,逐步完善的原則。
2.先進性:以先進、成熟的網絡通信技術進行組網,支持數據、語音、視像等多媒體應用,用基于交換的技術替代傳統的基于路由的技術。并且能確保網絡技術和網絡產品幾年內不落后。
3.可靠性:系統必須可靠運行,主要的、關鍵的設備應有冗余,一旦系統某些部分出現故障,應能很快恢復工作,并且不能造成任何損失。
4.開放性:選擇的產品應具有好的互操作性和可移植性,并符合相關的國際標準和工業標準。5.可擴充性:系統是一個逐步發展的應用環境,在系統結構、產品系統、系統容量與處理能力等方面必須具有升級換代的可能,這種擴充不僅能充分保護原有資源,而且具有較高的性能價格比,使整個網絡系統是可擴展的,便于系統升級,改裝。
6.可伸縮性原則:網絡的建設是一項持續性的系統工程項目,堅持網絡建設規模的可伸縮性原則,將使得網絡的建設費用降低,避免不必要的浪費,也體現了網絡建設的靈活性。
更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 7.可維護性:系統具有良好的網絡管理、網絡監控、故障分析和處理能力,使系統具有極高的可維護性。
8.安全性:信息系統安全問題的中心任務是保證信息網絡的暢通,確保授權實體經過該網絡安全地獲取信息,并保證該信息的完整和可靠。網絡系統的每一個環節都可能造成安全與可靠性問題。
一個系統的建設在實用的前提下,應當在投資保護及長遠性方面做適當考慮,有效的利用現有的資源,并且從用戶的利益出發,一個好的系統應當給用戶一定的自由度,而不是束縛住他們的手腳,從技術上講應該采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。根據用戶的總體需求,結合對應用系統的考慮,我們提出網絡系統的設計目標:可靠的技術選型、標準的體系結構、高的帶寬容量、安全的流控設計、用戶互操作性、運行性能以及可擴展性。
第二章 網絡接入設計
2.1網絡接入分析
網絡接入方式的結構,統稱為網絡的接入技術,其發生在連接網絡與用戶的最后一段路程,網絡的接入部分是目前最有希望大幅提高網絡性能的環節。對本地環路網來說這是一個瓶頸,全球擁有上億條用戶接入線,因其功能有限阻礙著網絡用戶業務的發展,而與用戶線路另一端的高性能設備形成了鮮明的反差。隨著電子技術和光電技術的迅速發展,數字電子系統(從個人計算機到網絡交換機或路由器)以及信息傳輸設備性能都在快速穩步的增長,為解決這一環路瓶頸提供了廣闊的發展前景。由于在本地環路銅線上傳輸的仍然是模擬信號,人們仍然使用著狹窄的無線電頻道穿越擁擠的無線電頻譜。目前如何大規模拓寬網絡接入的瓶頸為全球現有的7.5億條接入線提供超寬頻帶,已是當前網絡技術發展的焦點,瓶頸是相對的,一對金屬線可以提供支持雙向交談的足夠容量,但傳統的銅線所能提供的帶寬,對高性能的數據網絡的因特網來說的確有些勉為其難,數據用戶不僅希望與對方交談,而希望通過視頻會議系統看到對方的虛擬影象,所以對傳統的接入技術(接入方式、接入布線)提出高性能的要求,以突破網絡接入環節的瓶頸。以增加網絡最后一段路程中的帶寬,在大范圍達到并滿足用戶在家庭或小型辦公室的通信要求的基本前提。而局部環路的瓶頸是由今天提供的較低比特率造成的,事實上,除了本地環路的帶寬限制外,當前的數據網絡技術已足以保證提供運動圖像和其它高帶寬服務。
數字用戶線路(DSL)用戶在兩個方向并非需要同等的帶寬,相反他們希望更多的帶寬用于接收視頻或因特網服務,為滿足這一非對稱的接入要求,工業界已開發出非對稱數字用戶線路技術(ADSL)。在現時中,為了滿足電視會議或建立Web主機的需求,對數據服務要求不多的用戶也可能仍需求對稱的高速支持。采用ATM無源光纖網(PON0)的光纖到家庭(FTTH),以及無線接入回路等多種接入拓撲結構。AnyMedia的設計允許隨意將一個應用插入應用框架內,并具有以下多種強化接入功能:
1.內置寬帶容量,允許系統采用ATM技術支持目前的高速數據網和因特網及視頻接入。2.ADSL功能,可將系統配置在現有遠程交換或其它接入系統,提供基于ATM寬帶能力的數字用戶專用線接入多路復用器(DSLAM)。
3.可縮擴性能,用戶可靈活構建從可容20-40網絡單元的小型網絡到可容多達600個單元的大型網絡。4.語音內和數據分離,系統可將先融入ATM業務流的語音與ADSL數據分離開來,并在不同的信道更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 上將其路由,以減少網絡的阻塞。
AnyMedia接入系統是面對未來基于ATM寬帶服務提供基礎的同時,又支持低成本窄帶服務,為用戶的應用提供了最大的靈活性。PathStar接入服務器PathStar接入服務器是為AnyMedia接入系統提供的特性與優勢分組交換方案需求而開發的技術創新產品,其獨特的設計可在IP網上提供低價可靠的本地和遠程服務。PathStar接入服務器是建立在AIP接入接口平臺上的,將諸如Inferno操作系統和Line Card操作系統等貝爾軟件與朗訊的互聯接入技術集成為一體。PathStar接入服務器滿足了對集成化的語音及數據網的用戶接入的需求,將傳統電路交換的功能和特點與高級分組路由技術相互集成,使端對端數據解決方案與IP上的語音解決方案(VOIP)同時得以實現。PathStar接入服務器是一種完全的多功能裝置,它可終止本地用戶回路,處理呼叫、路由,包括語音和數據的TCP/IP分組,提供路由與交換功能,交互連接數據和語音網絡。
2.1.1 XDSL
一、xDSL技術概述
xDSL是各種類型DSL(Digital Subscribe Line)數字用戶線路)的總稱,包括ADSL、RADSL、VDSL、SDSL、IDSL和HDSL等。xDSL是一種新的傳輸技術,在現有的銅質電話線路上采用較高的頻率及相應調制技術,即利用在模擬線路中加入或獲取更多的數字數據的信號處理技術來獲得高傳輸速率(理論值可達到52Mbps)。各種DSL技術最大的區別體現在信號傳輸速率和距離的不同,以及上行信道和下行信道的對稱性不同兩個方面。
迄今,xDSL采用的調制解調技術仍未形成較為集中的統一標準,無論是國際上還是國內,均未得到大規模的發展和推廣,仍僅應用于特殊場合下。如專線大用戶要求高速(2Mbps以上)接入附近的電信局端。由于xDSL是以現有的銅質電話線路為基礎,其采用了更好的調制解調傳輸碼型,故xDSL具有以下特征:
1、與話音工作于不同頻段,基本不影響電話的正常使用,話音所占頻帶為0-4KHz;xDSL調制頻帶為4.4KHz-1MHz。
2、在以辦公室和家庭為中心一定距離范圍內可以提供較高的數據傳輸率。
3、銅線的具體條件、天氣和片斷對話可能將影響傳輸性能。
根據以上特性可以看出,采用xDSL優點有:用戶可以花費比較低的費用獲得較高的通信帶寬;降低企事業單位的中心辦公室交換機上的負載;允許服務提供商為用戶提供新網絡服務等。但xDSL要求電信服務提供商有更大和更有效的骨干網數據網絡支持,需要定義新的服務模式和價位。
二、xDSL分類和應用
xDSL中“x”表任意字符或字符串,根據采取不同的調制方式,獲得的信號傳輸速率和距離不同以及上行信道和下行信道的對稱性不同,xDSL可以分為以下若干類型:
1、ADSL(Asymmetric Digital Subscriber Line,不對稱數字用戶線路)
ADSL是一種上行和下行傳輸速率不對稱的技術。在一條電話線上,從電信網絡提供商到用戶的下行速率可以達到1.5Mbps至8Mbps,而反方向的上行速率為16Kbps至640Kbps。ADSL最大傳輸距離為5.5Km,主要適用于用戶遠程通信、中央辦公室連接。以上特性使得ADSL技術將成為網上沖浪(Net Surfing)、視頻點播(VOD)和遠程局域網(Remote LAN)的理想方式,對于大部分Interent和Intranet應用,用戶下載的數據量遠大于比上載量。ADSL技術的優勢是其以標準形式出現,只使用一對電話線路,傳輸距離長;其不足為目前調制解調器昂貴不便推廣、傳輸速率和距離相互制約。
更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn
2、RADSL(Rate-Adaptive Digital Subscriber Line,速率自適應數字用戶線路)
RADSL除能與線路條件自適應外,提供的傳輸速率及距離范圍和ADSL基本相同。RADSL能夠根據雙絞銅線質量的好壞和傳輸距離的遠近動態地調節用戶的訪問速率,這使得用戶可以用不同的速率將不同的銅線連接起來,最大限度地利用現有的通信資源。的傳輸速率是對稱的,即為上行和下行通信提供相等的帶寬,傳輸速率可達到T1/E1,一般采用兩對電話線進行全雙工通信,有效傳輸距離只有5km,其典型的應用是代替現有的T1方式將遠程辦公室連接起來。與一般的基帶調制解調器相比,HDSL是各種DSL技術中最成熟的一種,互連性好,傳輸距離較遠,設備價格較低,故HDSL技術已經在一些電信公司和校園內聯網使用。雖然HDSL的有效傳輸距離只有5km,但是可以通過安裝信號轉發器來擴展其傳輸距離。由于HDSL使用兩對電話線進行雙向傳輸,故它很適合連接PBX系統、數字局域環路、Internet服務商和校園網等應用場合。HDSL的缺點是用戶需要第二條電話線,并且目前產品可選廠商比較少。
3、VDSL(Very-high-data-rate Digital Subscriber Line,極高速率數字用戶線路)
VDSL和ADSL一樣也是一種上行和下行傳輸速率不對稱的技術。VDSL使用一條電話線,獲得下行傳輸速率可達到13Mbps-52Mbps,上行速率為1.5Mbps-2.3Mbps,同時傳輸距離不超過1.5km,其主要用于視頻和多媒體等相關場合。可以看出,VDSL最大的優點是可以得到極高的數據傳輸速率;但其傳輸距離短,傳輸速率不穩定,并且沒有標準。
4、SDSL(Single-pair/Symmetric Digital Subscriber Line,單對線路/對稱數字用戶線路)
SDSL可以說是HDSL的分支,SDSL只使用一條電話線(即一對銅線)進行全雙工通信,支持傳輸速率達到T1/E1對稱的上行和下行信道,同時傳輸距離可達到3km。SDSL技術的特性基本與HDSL相同,其標準正在制定當中。
5、IDSL(ISDN-based Digital Subscriber Line,基于ISDN數字用戶線路)
IDSL可以認為是ISDN技術的一種擴充,它用于為用戶提供基本速率BRI(128Kbps)的ISDN業務,但其傳輸距離可達5km,其主要應用場合有遠程通信和遠程辦公室連接。
三、xDSL調制技術
xDSL關鍵是其采用的調制解調技術,一般均使用高速數字信號處理技術和性能更佳的傳輸碼型,以獲得傳輸高速率和遠距離。目前ADSL調制解調技術仍未形成統一的標準,但主要技術可分為兩種:
1、CAP調制(Carrierless Amplitude and Phase Modulation,無載波幅相調制)
2、DMT調制(Discrete MultiTone Modulation,離散多音調制)
四、xDSL接入方式
下面以ADSL為例說明xDSL的接入方式,其它xDSL技術與ADSL相似。
ADSL設備連接分為兩端:用戶端設備和服務提供端設備。其中用戶端設備包括POTS(Plain Old Telephone Service)分流器和ADSL調制解調器(MODEM)。POTS分流器用于將話音和數據傳輸分開,使得將話音傳向電話機,將數據送到ADSL MODEM,以便同時傳輸話音和數據。ADSL MODEM用于將需接收和發送的數據轉換成相應的傳輸碼,以獲得高速率和遠距離傳輸,它必須與網絡服務接入端的MEDEM兼容。
五、xDSL發展現狀和趨勢
由于信息網絡的迅速普及、光纖的昂貴以致。不適合于大規模使用的因素,使得xDSL技術重新引起業界的注意。在美國,1996年政府批準的《電信改革法案》允許電信領域自由競爭,這大大地推動了xDSL技術的發展。盡管xDSL技術有許多優勢,但是在它們得到廣泛的商業應用之前還需要解決許多問題。首更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 先最重要的問題是須形成較為集中的統一開放的標準;其次還有交互操作性、安全性和干擾等問題。最后網絡服務提供商能否成功地從現有的技術轉換至xDSL技術等非技術因素也是影響xDSL發展的問題。
各種xDSL技術中,ADSL技術目前是最誘人的。ADSL為獲得高傳輸速率,使用頻分多址復用FDM和回波抵銷兩種方法將一條電話線可用的帶寬劃分為多個信道。ADSL技術的開發的實驗主要集中在北美和太平洋附近的國家,目前正處于大規模實驗的階段。ADSL MODEM已經成功地由30多家公司進行了實驗,另外在北美和歐洲已有成千上萬條線路供試驗使用。目前關鍵的問題是要形成一個統一的國際標準;并且解決將商業應用和消費者應用混合在一起所產生的問題,如管理和計費等方面的問題。
2.1.2 HFC
HFC網(光纖同軸電纜混合接入)是從有線電視(CATV)網發展起來的。有線電視網經過近年來的升級改造,正逐步從傳統的同軸電纜網升級到以光纖為主干的雙向HFC網。利用HFC網絡大大提高了網絡傳輸的可靠性、穩定性,而且擴展了網絡傳輸帶寬。HFC數字通信系統通過電纜調制解調器(Cable Modem)系統實現Internet的高速接入。
衛星通訊和計算機等一系列新的技術發展,使一種新的VSAT系統實現構架成為現實,這種新構架稱作Direct to PC或稱PCVSAT,衛星通過點到多點連接方式將ISP服務器直連到用戶計算機,使各種公司無論大小,甚至個人用戶均可利用空間數據通訊的強大功能。國際上,單向衛星Internet接入在中小企業和家庭應用比較成功,美國的Direct PC公司、日本的Direct Internet、加拿大Telesat、澳大利亞Telstra、印度的NIC India等都在本國及周邊國家采用DirePC系統提供這種業務。德國也推出了類似的稱作skyDSL的服務。隨著這些著名公司的大力推動,衛星聯網服務逐漸開始成為一種上網的新選擇。
寬帶衛星通信市場今后十年將會有快速的增長,會給業務提供商帶來巨額收入。衛星是通信系統的特殊單元,具有特殊的優點,特別是在多點寬帶接入和分布式業務方面。對于寬帶接入,衛星提供可支持Gbps速率傳輸基本帶寬。
主要優勢:使用靈活、方便。
2.1.3 ISDN
ISDN是綜合業務數字網的英文縮略詞,它以純數字方式進行語音、數據、圖像的傳輸,可在一條普通電話線上提供以64Kbps速率為基礎的端到端的數字連接,可開展上網、打電話、視頻會議等多種業務,是傳統電話的升級換代產品。
雖然ISDN有著眾多的技術優勢,但由于其設備較復雜和昂貴,速度上與56Kbps調制解調器的競爭優勢也不大,而且ISDN的適配器無法同普通調制解調器互聯,從而使其不能得到較大范圍的應用。
2.1.4 ADSL
非對稱數字用戶線路(ADSL)是一種利用現有電話傳輸線路以高帶寬傳輸數字信息的技術,其最高速率下行信號(從端局到用戶)為8Mbit/s,上行信號(從用戶到端局)為1Mbit/s。現有市話銅線網用戶數目十分龐大,而ADSL能充分利用現有市話銅線。ADSL在干線傳輸層可以利用原有SDH傳輸系統進行數據傳送,更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 也可以與原有窄帶業務共用傳輸系統,另外,也可以通過在線升級和擴容原有設備實現傳輸。ADSL能夠在現有普通電話線上提供高達8Mbps的高速下行速率,遠高于ISDN速率,而上行速率有1Mbps,傳輸距離達3km~5km。其優勢在于可以充分利用現有的銅纜網絡(電話線網絡),在線路兩端加裝ADSL設備即可為用戶提供高寬帶服務,由于不需要重新布線,降低了成本,進而減少用戶上網的費用。
2.1.5 以太網接入
以太網是一種計算機局域網組網技術。IEEE制定的IEEE 802.3標準給出了以太網技術標準。它規定包括物理層連線、電信號和介質訪問層協議的內容。在光纖到大樓或小區后采用以太網接入(即FTTx+LAN)是被廣泛看好的寬帶接入手段。以太網因接入系統構造簡易、擴展靈活且速度能不斷提升,成為構建企業網絡首選技術之一。
采用以太網作為企事業用戶接入手段的另一個主要原因是,已有巨大的網絡基礎和長期的經驗知識、目前所有流行的操作系統和應用等都與以太網兼容。目前全球企事業用戶90%以上都采用以太網接入,已成為企事業用戶主導接入方式。然而,由于認證計費、服務質量、可管理性、信息安全、可靠性和實裝率低等多種因素影響,以太網接入方式尚需進一步改講。
2.1.6 Cable Modem接入
線纜調制解調器(Cable Modem)利用已有有線電視的混合光纖同軸電纜(HFC)系統接入Internet,其接入速率高,能共享接入傳輸總線。Cable Modem接入采用同軸電纜,抗干擾能力強。有線電視系統所用的Cable Modem上/下行速率為對稱的10Mbit/s,有較大帶寬優勢,這在Internet接入應用方面具有特殊優勢。不僅Cable Modem接入速率高,有線電視網絡中的接入同軸電纜帶寬也達幾百MHz,在上下行通道中具有極好的均衡能力。這種帶寬優勢使接入Internet過程可在瞬間完成,不需要撥號和等待登錄,計算機可以每天24小時停留在網上,用戶可以隨意發送和接收數據。不發送或接收數據時不占用任何網絡和系統資源。
利用Cable Modem在有線電視同軸光纜混合網上傳送數據具有成本低、頻帶寬的優勢,用戶可以獲得最高為30Mbps的傳輸速率。
目前,大多Cable Modem還只是單向傳輸,即只能獲得高速下載和瀏覽的好處。而雙向傳輸的最大障礙是雙向線纜連接要求除了在用戶端要安裝線纜Modem之外,在有線電視公司的服務端也要安裝特定的“前端(Head-end)”設備,改造成本較高。
2.1.7 DDN接入
DDN是利用數字通道提供半永久性連接電路,向用戶提供端到端的中高速率、高質量的數字專用電路,全程實現數字信號透明傳輸的數據傳輸網。
DDN可以在兩個端點之間建立一條專用的數字通道,通道的帶寬可以是n×64bps,一般0 DDN網通常由4個部分組成,分別是: (1)本地傳輸系統。主要包括用戶設備、用戶環路(用戶線和用戶接入單元)。根據接入DDN的方式(結點機)的不同,用戶接入單元可以是頻帶型或基帶型數據傳輸設備,也可以是多路復用器。如在遠程局域網互聯時,通常使用基帶Modem和路由器。 (2)復用與交叉連接系統。DDN的復用方式可采用頻分多路復用(FDM,Frequency Division Multiplexing)或時分多路復用(TDM,Time Division Multiplexing),目前多采用TDM。交叉連接是指節點內部對復用數字碼流通過交叉連接矩陣,以64kbps為單元進行設定的交叉連接。 (3)局間傳輸與同步系統。局間利用高速數字中繼傳送信息,通常設置迂回路由,以提高系統的可靠性。 (4)網絡管理系統。DDN分為干線網和本地網,為便于管理,干線網又分為幾個等級。各級通常均要設置網管中心,以對網絡進行配置、監控、計費、管理與維護。 DDN目前仍然是許多單位用于實現WAN連接的手段,尤其對于要求持續、穩定、可靠、安全的信息流傳輸的應用環境更是如此。但對于突發性信息流傳輸,專用線路或者處于過載狀態,或者帶寬利用率只達到20%~30%時,其經濟性稍差一些。www.tmdps.cn 2.2 接入比較與選擇 2.2.1 接入比較 ADSL是目前最為主流的一種互聯網接入方式,它與其他接入方式相比,具有比較明顯的優點。本節要介紹它與其他幾種接入方式的比較。 1.ADSL與普通撥號 MODEM和N-ISDN的比較 ADSL與MODEM和N-ISDN(窄帶ISDN)撥號相比所具有的優點主要體現在接入速率和網絡配置方面,具體體現在以下幾個方面。 (1)速率高 比起普通撥號 MODEM的最高56Kbps速率,以及N-ISDN 128Kbps的速率,ADSL所具有最高8Mbps(理論上還遠不止這個速率)下行速率、1.5Mbps上行速率的優勢是不言而喻的。 (2)應用靈活? 與普通撥號 MODEM 相比,雖然用戶端的配置方面都非常簡單,但是由于ADSL接入速率的大幅提升,所以ADSL的應用更加靈活。但它有一點不足,就是不能像普通MODEM那樣進行遠程計算機之間的點對點通信,因為ADSL賬戶需要專門的設備配置,一般用戶,乃至企業都無力承受。但在本章前面也介紹到了,目前有一種G.lite技術可以使得ADSL像普通MODEM那樣進行直接端對端連接,而不必經過ISP。 (3)配置簡單? ADSL與ISDN相比,在用戶端的配置方面要簡單許多,也不需要那么多復雜的設備,只需一臺與普通MODEM價格差不多的ADSL MODEM即可。www.tmdps.cn (4)無須交電話費? 最后一點就是,ADSL在同一條電話銅線上分別傳送數據和語音信號,數據信號并不通過電話交換機更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 設備,減輕了電話交換機的負載,這意味著使用ADSL上網并不需要交付電話費。 2.ADSL與Cable MODEM的比較 有關Cable MODEM接入方式將在下章具體介紹。 與Cable Mode相比,ADSL技術具有相當大的優勢,主要表現在如下幾個方面。 (1)性能好 Cable MODEM的HFC接入方案采用分層樹型結構,是一種總線型網絡,這就意味者用戶要和鄰近用戶分享這有限的帶寬(通常為10Mbps)。當一條線路上用戶激增時,其速度將會減慢。而ADSL采用星型網絡連接,不會因為用戶的增加而降低接入速率。 (2)實現容易? Cable MODEM接入方式的配置也較ADSL復雜。首先是局端的配置,現在并不是所有的有線電視網都可以使用,要對一些老線路進行改造。在用戶終端除了需要一個Cable MODEM的設備外,還需要一種分線器的設備對電視信號和數據信號進行分離。而ADSL不用改造即可,用戶所需設備也只有ADSL MODEM,用戶配置非常簡單。再加上電話線路要遠比有線電視網分布廣,所以ADSL的實現要容易許多。 (3)有效帶寬高 有關資料表明,大部分情況下,HFC方案必須兼顧現有的有線電視節目,而占用了部分帶寬,只剩余了一部分可供傳送其他數據信號,所以Cable MODEM的理論傳輸速率只能達到一小半。國外公司的實驗表明,其速率只為1Mbps~2Mbps,更常見的是400Kbps~500Kbps。而ADSL接入方式卻是固定占用了4kHz以上的全部帶寬,有效帶寬有保障。www.tmdps.cn 3.與光纖以太網的比較 目前小區光纖以太網接入方式(也非常普及,但與ADSL接入方式相比,對于普通家庭用戶來說仍沒有太大優勢。兩者各自的優、缺點如下: (1)接入速率不同 因為光纖以太網是采用純以太網技術,所以接入速率比較高,目前最低的都是10Mbps,而且將來的發展前景大,100Mbps乃至千兆接入只是時間問題,不存在技術困擾。相比之下,ADSL的最高8Mbps的接入速率就低了許多。 (2)實現難易程度不同 ADSL是利用現有的固話網,而小區光纖以太網則需要全新鋪設網絡,相比之下,對于ISP來說,小區光纖以太網的投資成本高出許多。所以,一般來說,如果不是新型大型小區,ISP不會專門鋪設網絡的,也就實現不了小區光纖以太網的接入。而ADSL接入只受5.5km的距離限制,不受用戶多少限制,實現起來容易許多。 (3)費用不同 由于組建小區以太網的ISP前期需要投入大筆的資金,所以通常來說,小區以太網接入費用要比ADSL貴一些。但對于企業用戶來說,已不成問題。況且小區以太網接入方式中,用戶端無須購買任何專門的網絡接入設備,只需要一塊網卡。 2.2.2接入方式選擇 根據宏星建筑公司提出的要求,經過仔細研究分析,大致可以有兩種寬帶接入方案可供選擇。 更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 1)IP接入方式 采用租用電信10M光纖方式,使宏星公司直接接入電信的IP城域網。這種方案的優點是完全符合原先公司內部的建設思路,具有統一的Internet出口,便于集中管理。缺點是資費非常高,公司難以承受。并且出口帶寬也難以滿足公司提出的要求。www.tmdps.cn 2)ADSL接入方式 使用50根ADSL線路,通過ADSL寬帶路由器使公司的電腦共享上網。這種方案的優點是:費用便宜,完全符合公司對于寬帶接入費用的要求;滿足了公司對帶寬的要求,ADSL雖然是非對稱數字電路,上下行速率不一致,但是極高的下行速率能夠完全滿足公司業務的需求,而且ADSL是獨享帶寬,不會因為接入信息點的增多而導致網絡帶寬急劇下降;具備極高的網絡帶寬擴充能力,如果公司因為電腦數量增加而需要更多的上網帶寬的話,只需要增加ADSL線路就可以滿足需要。缺點是:需要管理的線路較多,由于每一根ADSL線路是一個網絡出口,為集中管理增加了一定的難度。 綜合以上分析,結合宏星建筑公司實際情況,最后確定使用電信的ADSL作為經濟管理公司的最終寬帶接入方案。 2.2.3 ADSL優缺點 ADSL是一種非對稱的數字用戶環路,即用戶線的上行速率和下行速率不同,根據用戶使用各種多媒體業務的特點,上行速率較低,下行速率則比較高,特別適合傳輸多媒體信息業務。ADSL不僅具有HDSL的優點,而且在信號調制數字相位均衡、回波抑制等方面采用了更先進的器件和動態控制技術,它采用正交調幅(QAM)、無載波幅度相位調制(CAP)、離散多音頻調制(DMT)等調制技術,通過對不同的業務和上下行信號采用頻分復用方式,實現了在一對普通電話線上同時傳送一路高速下行單向數據、一路雙向較低速率的數據以及一路模擬電話信號,可直接利用用戶現有的電話線路,在線路兩側各安裝一臺ADSL調制解調器即可。在普通電話雙絞線上,ADSL的典型的上行速率為16~640kbit/s,下行速率為1.544~8.192Mbit/s,傳輸距離為3~6km,有關ADSL的標準有ANSI的T1E1.4、ITU-T的G.922.2、G.992.1等。ADSL除可提供電話業務外,還能提供多種寬帶業務,在未來幾年內,ADSL接入技術將會是終端用戶最主要的寬帶接入方式。 ADSL是利用數字編碼技術從現有的銅制電話線上獲取最大數據傳輸容量,同時又不干擾在同一條線路上進行的常規語音服務。ADSL的基本原理是使用電話話音以外的頻率來傳輸數據,使用戶在瀏覽Internet的同時可以打電話或發傳真,而且不會影響通話的質量和網絡下載速度。www.tmdps.cn 傳統的電信網絡已有百年以上的歷史,它有一個龐大而良好的用戶群體,它所運用的傳輸技術已從原來的公眾電話網絡的Modem、DDN、ISDN轉換到ADSL。盡管如此,電信網現在普遍應用于用戶的接入方式仍為Modem,Modem的最大傳輸速率只有56kb/s,它不是一種寬帶接入方式,遠遠不能夠滿足網絡用戶的需求。為了在傳統的電信網絡平臺上傳輸寬帶業務,提高數據流量,電信公司先后在網絡上應用了DDN、ISDN等技術,然而這些技術的傳輸速率也遠遠達不到用戶的需求,因此,近來ADSL技術被廣泛地應用在電信網絡平臺上,以提高數據流量,為電信部門今后開展寬帶多功能業務鋪墊好物理網絡基礎。ADSL技術可以提供基于ATM的各種應用業務。而對寬帶IP接入的需求卻迅速增長,ADSL接入轉而成為寬帶因特網接入的一種新方法。由于ADSL仍然保持原來的體制和結構,其前端設備DSLAM提供的是ATM接口,故最終它還需要通過路由器連接因特網,實現因特網接入。 更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn ADSL接入的優點是:可以利用現有的市內電話網和電話交換局的機房,不需要對網絡進行大規模改造,從而大大降低了施工和維護成本,而且電話業務不會受到任何影響,因此使用ADSL可以一直聯網而不影響電話的使用。 ADSL接入的缺點是:它對線路質量要求較高,當線路質量不高時,推廣使用有困難。ADSL的實際速度還受到用戶和電話分局之間的電話線長度和電話線路質量的影響;而且ADSL系統樓內樓外使用的都是非屏蔽雙絞線,所以抵抗天氣干擾的能力較差;其帶寬可擴展的潛力也不大。因此,ADSL不能滿足今后日益增長的接入速率的需求,只能成為一種過渡性產品,應用于要求不高的舊社區單用戶的寬帶接入改造上。 2.3 ADSL應用方式的選擇 ADSL技術有利于充分利用銅纜資源,保護已有投資,能夠在正常開通現有話音業務的同時提供寬帶業務。目前ADSL的技術和產品已比較成熟、價格也在不斷下降,特別是對中國電信這樣一個擁有大量銅纜資源和超過1.35億電話用戶的運營商來說,有重要的現實意義和巨大的發展潛力。如果今后五年內有20%的電話用戶能夠使用ADSL,用戶數量就會超過2000萬,這將是一個巨大的市場。ADSL的應用主要有兩種方式: 1.在交換端局到用戶間直接使用ADSL,可以利用已有電話銅纜,快速滿足用戶的寬帶業務需求。更重要的是,這種方式從網絡結構上將話音和數據業務流量分離,將數據業務流量從接入部分直接分流到數據網絡中,能夠有效地緩解用戶上網負荷對電話交換網的壓力。可根據線路條件、設備產品價格、用戶業務需求和資費等具體情況,開通ADSL(或G.lite)的多種子速率,包括限速提供512Kbps、284Kbs等。 2.FTTx+ADSL方式。由于光節點靠近用戶,銅纜距離較短,線間串擾較小,因此可以達以較高的傳輸速率,并可隨著技術的發展向VDSL升級。www.tmdps.cn ADSL尚在起飛階段時,internet業務就已呈現了爆炸式的增長,能否經濟有效的支持internet業務已成為接入網技術考慮的重要因素。盡管ADSL技術能支持internet業務,但成本仍嫌偏高,用戶側設備的安裝仍嫌麻煩。ITU-T專家們充分意識到這一工作的重要與市場前景,成立了課題組開發簡化的無電話分離器的ADSL標準,并已在1998年10月通過建議G.922.2。其基本思路有兩點,第一是速率降低到1.5Mb/s左右,第二在用戶處不用電話分離器,價格會大大下降,其應用前景十分可觀。G.992.2規定下行速率降到64kb/s至1.5Mb/s,上行速率為32kb/s至512kb/s,線路碼仍為DMT,主要業務則為internet接入、Web流覽、IP電話、遠程教育、在家工作、可視電話和電話等。當然還有不少地方須改進,如組幀效率的改進、比特交換與速率適配等。 目前,市面上電信和鐵通都在經營ADSL業務,在他們經營的業務中,分為虛擬撥號ADSL和固定IP ADSL,在帶寬上也分有等級:512K、1M、2M等。對于普通的家庭用戶,電信提供512K的虛擬撥號ADSL,鐵通提供2M的虛擬撥號ADSL。對于非營運性的家庭用戶,電信提供512k的虛擬撥號ADSL,鐵通提供2M的虛擬撥號ADSL。但是選擇鐵通需要使用鐵通的固定電話,因此位置必須靠近鐵路才行。 第3章 ADSL安裝與實施 更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 3.1設備選型 ADSL寬帶路由器是ADSL接入方案中非常重要的設備,牽涉到網絡的穩定性以及可維護性。經過多種ADSL寬帶路由器的比較測試,最終選擇了明基電通的BenQ ASR688寬帶路由器3-1。一方面,明基電通具有較高的品牌知名度,提供了完善的產品售后保障體系;另一方面,BenQ ASR688在測試中顯示了較高的穩定性和線路激活能力,能夠工作在線路質量較差的環境中。此外,BenQ ASR688除了具備目前市場上較高端ADSL寬帶路由器的大多數功能外,還單獨內置了防火墻芯片,具備了一定的抗網絡侵襲的功能。 明基電通作為數字通信與電腦外設專業生產廠商,自1984年成立以來,已發展了顯示器、投影儀、掃描儀、移動電話、寬帶網絡設備等多樣化的產品線。日前,明基借助其強大的科研和技術實力,推出了高性能的ADSL路由器ASR688。該路由器主要針對SOHO及中小企業用戶設計,體積小,耗電小<7W,所以即使該設備長時間運作,溫度也不會很高,能夠避免電子設備因高溫而導致宕機的情況發生,可保持數據的高速持續傳輸。此外,ASR688還支持多種多媒體應用軟件,如ICQ、NetMeeting、RealPlayer等,并能提供單一賬號共享功能,內建了防火墻,以增加網絡安全性。www.tmdps.cn 3-1 ADSL路由器ASR688 3.2方案實施 在ADSL寬帶接入方案的實施階段,解決了如何對整個網絡進行管理的問題。具體的方案實施過程是: ADSL路由器的IP地址分別作為不同網段計算機的網關;同時,公司計算機設置兩級DNS解析,一級指向內部的域服務器,使公司的計算機能夠充分實用內部的資源,另一級指向電信的DNS服務器,使公司的每臺計算機都能訪問Internet,這樣,員工既能使用公司內部網資源進行網絡信息傳遞,又能方便地訪問Internet,獲取更多的網絡資源;網絡管理員可以通過設置ADSL寬帶路由器限定內部計算機能夠訪問的網絡資源以網絡通信類型,也能指定每臺寬帶路由器下聯計算機的數量,用來合理分配網絡帶寬;由于使用了ADSL寬帶路由器,內置了撥號功能,使公司局域網內的蘋果機也能方便地上網,極大地擴展了網絡的兼容性。 更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 圖3-2 宏星公司ADSL接入拓撲結構圖 3.3 IP地址規劃 在網絡規劃的過程中,我們考慮的IP分配表包含連接不同網段的各種網絡設備的信息,如路由器、網橋、網關的位置、IP地址,并用相應的網絡地址標注各網段。宏星 建筑公司有四層樓,分別為一樓:財務部、人事部;二樓:銷售部、采購部;三樓:生產部、后勤部;四樓:客戶部、總經理辦公室。有80臺PC,充分考慮到將來的需要,內網互聯采用192.168.0.1~192.168.255.254來擴展。現根據公司內部的組織結構圖和網絡拓撲結構圖確定IP地址分配表,具有IP地址分配清單: 網絡中心:192.168.0.1~192.168.0.n 一樓交換機:192.168.1.1 二樓交換機:192.168.2.1 三樓交換機:192.168.3.1 四樓交換機:192.168.4.1 部門 IP地址 子網掩碼 網關 財務部:192.168.1.2~192.168.1.31 255.255.255.0 192.168.1.1 人事部:192.168.1.31~192.168.1.63 255.255.255.0 192.168.1.1 銷售部:192.168.2.2~192.168.2.31 255.255.255.0 192.168.2.1 采購部:192.168.2.31~192.168.2.63 255.255.255.0 192.168.2.1 生產部:192.168.3.2~192.168.3.31 255.255.255.0 192.168.3.1 后勤部:192.168.3.31~192.168.3.63 255.255.255.0 192.168.3.1 更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 客戶部:192.168.4.2~192.168.4.31 255.255.255.0 192.168.4.1 總經理辦公室:192.168.4.31~192.168.4.63 255.255.255.0 192.168.4.1 3.4 ADSL Modem 組建一個辦公網絡,要求用最少的投資,得到最大的效益。ADSL共享上網基本有兩種方式:一種是通過配置,使局域網中的一臺電腦變成服務器,讓它來控制網中所有電腦的上網。這臺電腦必須插上兩塊網卡,一塊控制流入數據,另一塊通過Hub(集線器)連接局域網中的其他電腦。這種連接方式叫做雙網卡共享上網;另一種是將ADSL Modem直接連在Hub上,再由Hub將數據分流到各個電腦。相比較而言,第一種接入方式由于要多買一張網卡,而且優勢也不是太明顯,第二種接入方式只需要每部電腦配一塊網卡就行了。因此,我們決定使用第二種接入方式。 ADSL Modem也與普通Modem一樣,為了滿足不同需求的用戶和電腦配置,提供了三種不同的接口類型,它們分別是以太網、USB和PCI三種。USB、PCI適用于家庭用戶,性價比較高,小巧、方便、實用,這三種接口類型的ADSL Modem在價格方面當然是PCI的最便宜,以太網接口的最貴,USB接口的價格適中。 PCI接口的屬于一種內置式的Modem,就象我們平常所見的PCI卡、PCI普通Modem一樣,它主要適用于家庭用戶。插到電腦主板的PCI插槽中,通過金手指與插槽接觸進行數據通訊和供電,這種Modem當然就其性能來說是較差的一種了,運行速度較慢,且容易掉線,因為它主要的數據處理工作是要通過主板的CPU或MPU來實現,大大加重了CPU或MPU的工作負荷。但它最大的優點就是價格便宜,滿足了一部分對速度、性能要求不是很強烈、經濟較為緊張的用戶選擇。USB接口的又比PCI接口的性能要好,當然價格也就要高些,屬于一種外置型的Modem。它主要也是適用家庭用戶,在速度和性能方面比PCI接口的要高許多,有了好的性能,價格方面自然也會高些,就象外置普通MODEM與內置普通MODEM一樣。 以太網接口的ADSL Modem更適用于企業和辦公室的局域網,它可以帶多臺機器進行上網,屬于一種外置型的Modem。當然這種Modem的性能是最好的一種,功能也最齊全,有的還帶有橋接和路由功能,這樣對一些小型企業用戶來說就可以省掉一個路由器。價格方面自然也一分錢一分貨,比家庭用的PCI、USB接口的要貴許多。外置型以太網接口帶路由功能的ADSL Modem支持DHCP、NAT、RIP等功能,還有自己的IP POOL(IP池)可以給局域網內的用戶自動分配IP,方便網絡的搭建,從而給企業節約成本。 硬件配置:我們選擇的主機配置了奔騰Ⅲ800MHz CPU,128MB內存,硬盤剩余空間大于8.4GB;ADSL Modem和Hub各一;三塊10M網卡;一個分離器和N條網線(假設網內已有三臺主機)。電信要求的最低配置請見表格3-1。 第一步,安裝網卡。將買回來的10M網卡插進主機白色的PCI插槽中。因為ADSL調制解調器的傳輸速度達1Mbps/8Mbps,計算機的串口不能達到這么高的速度(目前的USB接口滿足速度要求,市面上也有USB接口的ADSL Modem)。加入這塊網卡就是為了在計算機和調制解調器間建立一條高速傳輸數據通道。 第二步,連接集線器。將網線兩端一頭連接計算機網卡,另一頭連接Hub非Uplink端口。 更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 第三步,連接分離器和ADSL Modem。用網線連接Hub的Uplink端口和ADSL Modem的以太網(Ethernet)端口。然后,將ADSL Modem的線路(DSL)端口連接到分離器的輸出端。最后,分離器的線路輸入端要連接到電話線上。 第4章 網絡測試和維護 4.1網絡測試 在整個網絡組建完成后,應馬上進行完善的網絡測試。此處所謂的網絡測試并不是網絡系統在投入使用前很少有用戶進行嚴謹的測試,許多用戶看見設備的燈亮了,進行幾次PING測試,再在PC之間傳輸一下文檔,就認為網絡系統已通過驗收,可放心使用了這樣敷衍了事。這種做法其實是不慎重的,一旦先期安裝中的隱患發作,就會令網管人員措手不及。 因此在網絡系統投稿使用前,這里有幾種測試方法: 1.網絡速度測試:利用網絡測試儀對網絡的連接速度進行測試,盡量使網絡速度穩定、高效,利用率達到最大,及時的修復網絡中存在的不足,減少網絡出現故障的頻率,以及發生故障時修復所需要的時間,從而減少公司因為網絡故障而不能應用產生的損失。 2.企業主干網絡與Internet的測試:通過企業的計算機,對Internet進行訪問,并開放和屏蔽一定的端口,達到外部能訪問到企業網頁和阻止黑客對企業進行惡意破壞的效果。 3.企業網絡內部網絡測試:該公司的內部劃分主要采用了VLAN技術,設置各部門互訪權限.測試各部門訪問是否達到預期效果,使內部資料能在LAN中快速傳輸,個別保密部門的資料又能得到安全的保護。 4.網絡協議統計和用戶統計。繁忙時對網絡的應用協議進行統計,清理不合格的協議,標注發送和接收數據包最多的用戶,統計其占用的帶寬。 5.基準測試。記錄網絡流量、碰撞、廣播、錯誤等的長期數據,分析網絡流量變化規律,幫助優化網絡性能和故障診斷。 6.單機聯通性測試。測試網卡的工作協議和物理參數;在40%加載條件下測試單機網絡速度,若鏈路流量由30%增加到40%時主觀評測速度基本不變,則鏈路驗收合格。 7.網卡、集線器、交換機端口測試。測試信號波形和抖動等,測試工作協議,判斷協議匹配狀況,100%匹配為合格。 8.網絡備案測試。對網絡設備進行文檔備案,包括名稱、IP、MAC和拓撲結構圖。 9.網絡設備的工作性能參數監測。暫時只推薦80%加載條件下的鏈路聯通性測試,觀察錯誤、碰撞指數。 10.七層流量統計分析。對各層流量進行統計分析。 網絡系統應進行基本測試,通過驗收,才可以投入使用,將來由于更新、擴容、改動而發生問題時,用戶也能快速發現、診斷和隔離故障,直到將故障排除。 4.2網絡維護 更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 4.2.1網絡維護安全風險分析 1.內部辦公網之間的安全隱患 由于該公司辦公網絡除了有正常的辦公功能以外還與其他主機相連接,如果辦公網絡遭到惡意攻擊,直接會影響到其他主機的安全性。比如: (1)入侵者使用Sniffer等嗅探程序通過網絡探測掃描網絡及操作系統存在的安全漏洞,如網絡IP地址、應用操作系統的類型、開放的TCP端口、系統保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序對內網進行攻擊。 (2)入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。 (3)入侵者通過發送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。www.tmdps.cn 2.內部局域網帶來安全威脅。在已知的網絡維護安全事件中,約70%的攻擊是來自內部網。首先,各節點內部網中用戶之間通過網絡共享網絡資源。對于常用的操作系統Windows XP/2000,其網絡維護共享的數據便是局域網所有用戶都可讀甚至可寫,這樣就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下,因此造成信息泄漏。另外,內部管理人員有意或者無意泄漏系統管理員的用戶名、口令等關鍵信息;泄漏內部網的網絡維護結構以及重要信息的分布情況,甚至存在內部人員編寫程序通過網絡進行傳播,或者故意把黑客程序放在共享資源目錄做個陷阱,乘機控制并入侵他人主機。因此,網絡安全不僅要防范外部網,同時更防范內部網。 3.電子郵件應用安全。電子郵件是最為廣泛的網絡應用之一。內部網用戶可能通過拔號或其它方式進行電子郵件發送和接收。這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等。由于許多用戶安全意識比較淡薄,對一些來歷不明的郵件,沒有警惕性,給入侵者提供機會,給系統帶來不安全因素。 4.網上瀏覽應用安全網上瀏覽也是網絡系統被入侵的一個不安全因素。我們都知道,網絡具有地域廣、自由度大等特點,同時上網的有各種各樣的人,網上瀏覽不安全因素如從網上下載資料可能帶來病毒程序或者是特洛伊木馬程序;還有利用假冒手段騙取你的關鍵信息,只是第一次信息已經被入侵者傳送到他的郵箱中去了,你也就因此泄漏了你的用戶名及口令字。這將對你的主機受到攻擊埋下的安全隱患。 4.2.2網絡維護方案 維護一個網絡時,應該記錄所有的升級和修改,還有實施改變前后網絡的變化,這就應該把由于維護或升級引起的網絡變化記錄在變化管理系統中,這些信息會使你的同事注意到所發生的變化,并且當你實施計劃時幫你記住它們,測量和記錄網絡當前工作狀態的操作叫基準線,基準線測量將包括主干網上的利用率,每小時/天的用戶量,網絡 上的協議數,錯誤的狀態,網絡應用程序被使用的頻率;對占用大量帶寬的用戶的標識。 升級時,必須考慮到實際網絡問題,流量、軟件、硬件和地址限制、必要性,適合性、交換機和路由器、主干網、技術檔案,并為用戶提供一份詳細清單。 對網絡軟件升級,首先考慮其必要性,由于本公司正處于發展階段,其公司的規模將擴大,人員增多,對網絡升級是一種必然性。其次是適用范圍,客戶服務中心是總公司的核心部分,現有80臺PC機,更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 對它的安全管理具有重要意義,將采用二層交換機,提高傳輸速度,現公司采用ADSL接入方式,對主干網的升級,將考慮本公的需求和當地電信局新推出的各項目而定。各辦事處的人員將減少,總公司人員增多,在升級時備份好當前的系統或軟件,以提高整個網絡的性能。 第5章 結 論 在這兩個多月中,在老師的指導下,我完成了宏星建筑公司內部網接入設計。基本功能都體現出來,能夠達到用戶的需求,整個系統都能正常運行。在這次畢業設計中,讓我學到了許多以前沒有學到的東西,感受到了集體的力量。這不僅是對我大學四年所學專業的總結,更是讓我體會到了知識的重要性。讓理論與實踐相結合,為我們以后的學習、工作打下堅實的基礎。也許在本次設計中還存在許多疏漏和欠缺的地方望廣大師生朋友們批評指出。 參考文獻 [1] 計算機網絡與因特網.北京機械工業出版社.DOUGLAS E.COMER.2005.9 [2] 計算機網絡.西安電子科技術大學.謝希仁.2008.1 [3] 計算機網絡系統集成與方案實例.機械工業出版社.陳俊良 黎連業.2007.8 [4] 計算機網絡.清華大學出版社.胡道元.2005.6 [5] 網絡工程師教育叢書.電子工業出版社.Kenneth D.Reed.2003.4 [6] TCP/IP網絡原理與技術.清華大學出版社.周明天.汪文勇.1997.6 [7] 面向21世紀的接入網技術.電信工程技術與標準化.韋東平.2000.2致 謝 在做畢業設計過程中,我感覺自己在很多方面都有了進步。設計過程中,離不開老師的幫助與指點,不僅傳授了做學問的秘訣,還傳授了做人的準則。另外在論文撰寫期間,論文的選題、資料查詢、撰寫等的每一個環節,得到指導老師的悉心指導和幫助。我愿借此機會向老師表示衷心的感謝! 更多論文、畢業設計請訪問或百度一代論文網:www.tmdps.cn 網絡之“后” ----云計算 丁娟 (懷化學院計算機系2班 0906402024) 摘要:下一代互聯網關系到我們整個世界的發展,其實一直都想寫一篇關于云計算的論文了,這個名詞老是聽到,云計算概念是由Google提出的,這是一個美麗的網絡應用模式。 關鍵詞:下一代互聯網,云計算。 1、引言 狹義云計算是指IT基礎設施的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需的資源;廣義云計算是指服務的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需的服務。這種服務可以是IT和軟件、互聯網相關的,也可以是任意其他的服務,它具有超大規模、虛擬化、可靠安全等獨特功效;“云計算”圖書版本也很多,都從理論和實踐上介紹了云計算的特性與功用。 2、云計算為何是網絡之后 云計算可謂是明天互聯網上的網路明星了,說它是網絡之后當之無愧了,它聯系著下一代的互聯網,互聯網飛速發展的熱潮沖擊著整個世界,最簡單的云計算技術在網絡服務中已經隨處可見,例如搜尋引擎、網絡信箱等,使用者只要輸入簡單指令即能得到大量信息。未來如手機、GPS等行動裝置都可以透過云計算技術,發展出更多的應用服務。進一步的云計算不僅只做資料搜尋、分析的功能,未來如分析DNA結構、基因圖定序、解析癌癥細胞等,都可以透過這項技術輕易達成。 3、互聯網的現狀 互聯網是人類智慧的結晶,標志著當代先進生產力的發展,中國政府大力倡導和積極推動互聯網在中國的發展和廣泛應用。隨著互聯網在中國的快速發展與普及,人們的生產、工作、學習和生活方式已經開始并將繼續發生深刻的變化。目前中國已成為世界上互聯網使用人口最多的國家,中國投入大量資金建設互聯網基礎設施。中國政府積極推動下一代互聯網研發。20世紀90年代后期,中國開始下一代互聯網的研發,實施“新一代高可信網絡”等一系列科技重大項目。2001年,中國第一個下一代互聯網地區試驗網(NFCNET)在北京建成。2003年,“中國下一代互聯網示范工程”(CNGI)正式啟動,標志著中國進入下一代互聯網的大規模研發和建設階段,現已建成世界上最大的IPv6示范網絡,試驗網所用的中小容量IPv6路由器技術、真實IPv6源地址認證技術和下一代互聯網過渡技術等處于國際先進水平。中國提出的有關域名國際化、IPv6源地址認證、IPv4-IPv6過渡技術等技術方案,獲得互聯網工程任務組(IETF)的認可,成為互聯網國際標準、協議的組成部分,中國互聯網發展、普及和應用存在區域和城鄉發展不平衡問題。受經濟發展、教育和社會整體信息化水 平等因素的制約,中國互聯網呈現東部發展快、西部發展慢,城市普及率高、鄉村普及率低的特點。正是這樣的互聯網現狀使得云計算的出現。 4、現代互聯網的現狀推動云計算的發展 為了更好的管理好互聯網,人們會依此實現虛擬化并重造互聯網應用,創造出基于服務的業務模式。云計算其實是一種新型的計算模式,能夠把 互聯網資源、數據、應用作為服務通過互聯網提供給用戶;同時,云計算也是一種新的基礎架構管理方法,能夠把大量的、高度虛擬化的資源管理起來,組成一個龐大的資源池,統一提供服務。對于各行業的企業管理而言,云計算意味著互聯網與業務相結合而引發的突破式創新——它能將 互聯網 轉化成生產力,推動商業模式的創新,從而引領企業開拓出一片經營藍海;在不斷增加的復雜系統和網絡應用、以及企業日益講求互聯網 投資回報率和社會責任的新競爭環境下,在不斷變化的商業環境和調整的產業鏈中,云計算能夠為企業發展帶來巨大的商機和競爭優勢。 5、云計算的發展趨勢 云計算是數據中心基礎架構的遷移典范,它的時代已來臨。云計算能夠把各種業務相關的上下游企業及顧客整合到一個基于云的統一應用、信息共享的虛擬化商業平臺上,甚至實現跨行業的信息整合,從而實現外部經營模式的創新、協同業務伙伴共同創造競爭藍海。例如,把銀行、賣場、分銷商以及生產廠商的 ERP 系統整合在云平臺上,以短期信貸的方式提前實現賣場/網店與分銷商/廠商/消費者之間的實時結算,大大縮短分銷商和廠商的資金占用和周轉周期,同時銀行也得到了相應的收益;另外,整合電子商務網站的信用評估系統及銀行特有的信用評級體系,可以加快拓展小額信貸業務。據預測 2011年我國網上銀行交易額將超過 1100萬億元,到 2015年網上銀行交易額將達到 3500萬億元左右,這種支撐跨行業運營的金融服務云平臺將蘊藏著巨大的利益。更多安全解決方案的推出,顯現了云計算模式自身安全有很多需要解決的地方之外,而作為企業級用戶在接受云計算服務的過程中,安全也是最為優先考慮的要素之一,在安全得不到有效解決之前,云計算的應用推廣也將是一個愿景而已。通過安全解決方案提供商近期推出的一系列安全解決方案來看,云計算的安全焦點已經從合規性、電子證據、風險管控這些較為務虛的領域,隨著實際應用的延伸拓展到了具體的安全解決方案領域。 6、云計算的應用 云計算是關于建立數據中心的計算,其數據中心允許供應商創建可擴展的網站和服務,云計算的性質和靈活性也就顯而易見了。云計算需要終端的大馬力來進行數據處理,又需要運轉那些和人們產生交互作用的可擴展性網站。云計算其基本思想是通過云提供的服務簽訂合同,用戶便能對硬件或軟件以最小的投資完成計算任務。這句話在有意傳達一個模糊的信息即用戶并不在意任務完成的地點和方式,用戶所關心的時正確的結果。當他們偶爾遇到大型的高峰負荷時,只有在需要時才會使用服務,并為服務付款。云計算使得科學計算領域的高性能發展,提供給用戶的是計算能力、存儲能力、網絡和其他基本的資源租用,用戶能夠部署和運行任意軟件,包括操作系統和應用程序。用戶不用管理或控制底層的云計算基本設施,但能控制操作系統、存儲、部署的應用。也可以選擇網絡組建(例如防火墻,負荷均衡)。 7、云計算的不足目前、云計算的分工還不過細致、廠商合作也還不夠廣泛,因此需要如何完善服務、擴大合作領域,同時加強監管,重視安全性的問題,通過互聯網的運營模式,為用戶提供高質量、有保障的云計算服務。隨著云計算的不斷發展,安全性問題成為企業高端、金融機構和政府IT部門的核心和關鍵性任務,云計算服務提供商需在信息安全方面增加投入,保證用戶商業信息。同時,云服務提供商業和用戶也需要明確保密責任,完善細化賠償條款,避免分歧。為了以后互聯網的發展應該做到以下幾點: 7.1、應該建立云計算技術聯盟。目前國內從事云計算的技術研究機構、學和研究機構發展很快。但多是各自做各自的,相互之間缺乏開放的標準,無法在技術、數據和服務上達到互聯互通、相互協調并形成合力,作為未來技術的戰略性法杖趨勢,我們應該從國家的層面,有效的促進和推動我國云計算的發展,提供相應的云計算技術聯盟,集中各方面的技術力量和資源,形成合力,加大云計算技術的研發,推動開源技術和開放標準,推動相關技術和服務的互聯互通。 7.2、發展開源云計算技術,提升服務能力。從國際趨勢來看,數據中心將成為云計算只要運營機構,目前國內的業務發展還不完善,產品和服務質量同質化嚴重,能源利用率低,運營成本過高,此外,隨著網絡游戲,web網絡的迅速發展,企業對服務的需求越來越大了,對數據中心資源和服務水平的要求更高,另外,統一平臺管理還有利于雨霧的擴展,能更大的加入到云計算的管理平臺上,進行統一的管理和部署。 7.3、發展云安全,創造安全的互聯網環境。云安全是未來互聯網安全的一種發展趨勢,也是云計算模式中一種比較活躍的領域。網絡木馬的數量的增長,使得傳統的代碼技術面臨嚴峻的挑戰。傳統的互聯網安全技術需要用戶對其升級病毒木馬,并將其保存在自己的計算機上,需要消耗一定的互聯網帶寬和系統資源。而通過云安全平臺將為用戶和安全廠商通過互聯網緊密相連,組成一個龐大的木馬軟件檢測和查殺網絡,每個用戶都為“云安全”疾患貢獻一份力量,同時分享其他所以用戶的安全成果。 8、結論 最后希望云計算成為明日互聯網上那顆璀璨的星星,永久的發光發亮。互聯網的明天將會更加的精彩 參考文獻 [1] 謝希仁.計算機網絡教程[M].第二版,北京:人民郵電出版社,2006:191—197。 [2]百度文庫,關于下一代互聯網的未來和云計算。 論計算機網絡的安全性設計 摘要 我在一家證券公司信息技術部分工作,我公司在9798年建成了與各公司總部及營業網點的企業網絡,并已先后在企業網絡上建設了交易系統、辦公系統,并開通了互聯網應用。因將對安全要求不同、安全可信度不同的各種應用運行在同一網絡上,給黑客的攻擊、病毒的蔓延打開了方便之門,給我公司的網絡安全造成了很大的威脅。作為信息技術中心部門經理及項目負責人,我在資金投入不足的前提下,充分利用現有條件及成熟技術,對公司網絡進行了全面細致的規劃,使改造后的網絡安全級別大大提高。本文將介紹我在網絡安全性和保密性方面采取的一此方法和策略,主要包括網絡安全隔離、網絡邊界安全控制、交叉病毒防治、集中網絡安全管理等,同時分析了因投入資金有限,我公司網絡目前仍存在的一些問題或不足,并提出了一些改進辦法。正文 我在一家證券公司工作,公司在98年就建成了與各公司總部及營業網點的企業網絡,隨著公司業務的不斷拓展,公司先后建設了集中報盤系統、網上交易系統、OA、財務系統、總部監控系統等等,為了保證各業務正常開展,特別是為了確保證券交易業務的實時高效,公司已于2002年已經將中心至各營業部的通訊鏈路由初建時的主鏈路64K的DDN作為備鏈路33.3KPSTN,擴建成主鏈路2M光纜作為主鏈路和256K的DDN作為備鏈路,實現了通訊線路及關鍵網絡設備的冗余,較好地保證了公司業務的需要。并且隨著網上交易系統的建設和網上辦公的需要,公司企業網與互聯網之間建起了橋梁。改造前,應用系統在用戶認證及加密傳輸方面采取了相應措施。如集中交易在進行身份確認后信息采用了Blowfish 128位加密技術,網上交易運用了對稱加密和非對稱加密相結合的方法進行身從好為人師證和數據傳輸加密,但公司辦公系統、交易系統、互聯網應用之間沒有進行安全隔離,只在互聯網入口安裝軟件防火墻,給黑客的攻擊、病毒的蔓延打開了方便之門。 作為公司信息技術中心運保部經理,系統安全一直是困擾著我的話題,特別是隨著公司集中報盤系統、網上交易系統的建設,以及風外辦公需要,網絡安全系統的建設更顯得猶為迫切。但公司考慮到目前證券市場疲軟,競爭十分激烈,公司暫時不打算投入較大資金來建設安全系統。作為部門經理及項目負責人,我在投入較少資金的前提下,在公司可以容忍的風險級別和可以接受的成本之間作為取舍,充分利用現有的條件及成熟的技術,對公司網絡進行了全面細致的規劃,并且最大限度地發揮管理功效,盡可能全方位地提高公司網絡安全水平。在網絡安全性和保密性方面,我采用了以下技術和策略:1.將企業網劃分成交易網、辦公網、互聯網應用網,進行網絡隔離。2.在網絡邊界采取防火墻、存取控制、并口隔離等技術進行安全控制。3.運用多版本的防病毒軟件對系統交叉殺毒。4.制定公司網絡安全管理辦法,進行網絡安全集中管理。 一.網絡安全隔離 為了達到網絡互相不受影響,最好的辦法是將網絡進行隔離,網絡隔離分為物理隔離 邏輯隔離,我主要是從系統的重要程度即安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問或有控制的進行訪問。針對我公司的網絡系統的應用特點把公司證券交易系統、業務公司系統之間進行邏輯分離,劃分成交易子網和辦公子網,將互聯網應用與公司企業網之間進行物理隔離,形成獨立的互聯網應用子網。公司中心與各營業部之間建有兩套網絡,中心路由器是兩臺CISCO7206,營業部是兩臺CISCO2612,一條通訊鏈路是聯通2M光纜,一條是電信256K DDN,改造前兩套鏈路一主一備,為了充分利用網絡資源實現兩條鏈路的均衡負載和線路故障的無縫切換,子網的的劃分采用VLAN技術,并將中心端和營業商的路由器分別采用兩組虛擬地址的HSRP技術,一組地址對應交易子網,一組地址對應辦公網絡,形成兩個邏輯上獨立的網絡。改造后原來一機兩用(需要同時訪問兩個網絡信息)的工作站采用雙硬盤網絡隔離卡的方法,在確保隔離的前提下實現雙網數據安全交換。 一、網絡邊界安全控制 網絡安全的需求一方面要保護網絡不受破壞,另一方面要確保網絡服務的可用性。將網絡進行隔離后,為了能夠滿足網絡內的授權用戶對相關子網資源的訪問,保證各業務不受影響,在各子網之間采取了不同的存取策略。 (1)互聯網與交易子網之間:為了保證網上交易業務的順利進行,互聯網與交易子網之間建有通訊鏈路,為了保證交易網不受互聯網影響,在互聯網與事心的專線之間安裝了NETSCREEN委托防火墻,并進行了以下控制:a)只允許股民訪問網上交易相應地址的相應端口。B)只允許信息技術中心的維護地址PING、TELNET委托機和路由器。C)只允許行情發送機向行情主站上傳行情的端口。D)其它服務及端口全部禁止。并且在互聯網和交易網之間還采用了SSL并口隔離,進一步保證了交易網的安全。 (2)辦公子網與互聯網之間:采用東大NETEYE硬件防火墻,并進行了以下控制:a)允許中心上網的地址訪問互聯網的任何地址和任何端口。B)允許股民訪問網上交易備份地址8002端口。C)允許短信息訪問公司郵件110、25端口,訪問電信SP的8001端口。D)其它的都禁止。 三、病毒防治 網絡病毒往往令人防不勝防,盡管對網絡進行網絡隔離,但網絡資源互防以及人為原因,病毒防治依然不可掉以輕心。因此,采用適當的措施防治病毒,是進一步提高網絡安全的重要手段。我分別在不同子網上部署了能夠統一分發、集中管理的熊貓衛士網絡病毒軟件,同時購置單機版kv3000和瑞星防病毒軟件進行交叉殺毒;限制共享目錄及讀寫權限的使用;限制網上軟件的下載和禁用盜版軟件;軟盤數據和郵件先查毒后使用等等。 四.集中網絡安全管理 網絡安全的保障不能僅僅依靠安全設備,更重要的是要制定一個全方位的安全策略,在 全網范圍內實現統一集中的安全管理。在網絡安全改造完成后,我制訂了公司網絡安全管理辦法,主要措施如下:1)多人負責原則,每一項與安全有關的活動,都必須有兩人或多人在場,并且一人操作一人復核。2)任期有限原則,技術人員不定期地輪崗。3)職責分離原則,非本崗人員不得掌握用戶、密碼等關鍵信息。4)營業進行網絡改造方案必須經過中心網絡安全小組審批后方可實施。5)跨網互防須綁定IP及MAC地址,增加互防機器時須經過中心批準并進行存取控制設置后方可運行。6)及時升級系統軟件補丁,關閉不用的服務和端口等等。 保障網絡安全性與網絡服務效率永遠是一對矛盾。在計算機應用日益廣泛的今天,要想網絡系統安全可靠,勢必會增加許多控制措施和安全設備,從而會或多或少的影響使用效率和使用方便性。如,我在互聯網和交易網之間設置了防火墻的前提下再進行了SSL并口隔離后,網上交易股民訪問交易網的并發人數達到一定量時就會出現延時現象,為了保證股民交易及時快捷,我只好采用增加通訊機的辦法來消除交易延時問題。 在進行網絡改造后,我公司的網絡安全級別大大提高。但我知道安全永遠只是一個相對概念,隨著計算機技術不斷進步,有關網絡安全的討論也將是一個無休無止的話題。審視改造后的網絡系統,我認為盡管我們在internet的入口處部署了防火墻,有效阻檔了來自外部的攻擊,并且將網絡分成三個子網減少了各系統之間的影響,但在公司內部的防問控制以及入侵檢測等方面仍顯不足,如果將來公司投資允許,我將在以下幾方面加強: 1. 在中心與營業部之間建立防火墻,通過訪問控制防止通過內網的非法入侵。 2. 中心與營業部之間的通訊,采用通過IP層加密構建證券公司虛擬專用網(VPN),保 證證券公司總部與各營業部之間信息傳輸的機密性。 3.建立由入侵監測系統、網絡掃描系統、系統掃描系統、信息審計系統、集中身份識別系統等構成的安全控制中心,作為公司網絡監控預警系統。 論計算機網絡的安全性設計 摘要 在計算機與網絡技術飛速發展的今天,醫院信息系統的建設已經成為醫院現代化管理的重要標志,同時也是醫院管理水平的一種體現。尤其是醫療保險制度的改革,與醫院信息系統形成了相互促進的態勢,我國很多醫院都建立了自己的信息系統。由于行業性質的緣故,醫院信息系統必須7x24小時不間斷運轉,因此對網絡系統的安全性和可靠性有很高的要求。本文通過一個醫院信息系統項目,闡述了醫院計算機網絡的安全性設計方面的一些具體措施,并就保障網絡的安全性與提高網絡服務效率之間的關系,談了自己的一點體會。正文 我于2001年4月至2003年10月參加了某醫院的醫院信息系統的建設工作,在項目中,我擔任了系統分析與系統設計工作。醫院信息系統是指利用計算機軟硬件技術、網絡通訊技術等現代化手段,對醫院及其屬各部門對人流、物流、財流進行綜合管理,對在醫療活動各階段產生的數據進行采集、存貯、處理、提取、傳輸、匯總、加工生成各種信息,從而為醫院的整體運行提供全面的、自動化的管理及各種服務的信息系統。由于行業性質的緣故,醫院信息系統必須7x24小時不間斷運轉,因此對網絡系統的安全性和可靠性有很好的要求,在該項目的系統設計階段,我們就將網絡系統的安全性作為一個重要的部分考慮在內。由于該信息系統是建立在一個物理上與公眾網完全隔離的局域網基礎上的,所以我們并沒有過多地考慮防御來自外部入侵者的威脅方面的安全問題,我們認為該系統的安全核心—是保證信息系統的正常運行,二是保證數據的安全,也就是說該醫院網絡信息系統的安全可以分為信息系統安全和數據安全。下面就我們在這兩方面所采取的措施加以論述。信息系統安全 信息系統安全涉及網絡安全、服務器組的安全、供電安全、病毒防范等。 1.網絡安全 對于醫院的業務局域網,威脅網絡安全的主要因素有:網絡設計缺陷、網絡設備損壞、非法訪問等。經過充分調研,認真分析,結合該醫院的實際情況,我們設計了一個主干為三層路由千兆交換以太網的網絡方案。 我們采用具有三層路由功能的兩臺核心交換機NORTEL PASSORT 8600、兩臺具有三層路由功能的NORTEL ACCLAR 1150交換機和千兆級光纖組成網絡主干,邊沿交換機為BAYSTACK450。本方案我們采用SMLT(Split Multi-Link Trunking)+VRRP(Virtual Router Redundancy Protocol)技術。NORTEL公司MLT(Multi-Link Trunking)是一種允許多條物理鏈路模擬成一條邏輯鏈路的取合鏈路虛擬為一條邏輯上的傳輸線路進行數據傳輸,進而可以成倍地提高兩個交換機之間(或交換機與服務器之間)的數據傳輸帶寬,同時提供了傳輸鏈路的冗余備份。當構成虛擬傳輸鏈路的幾條物理鏈路有一條由于端口或傳輸介質本身失效時,不會影響數據的正常傳輸,所受到的影響僅僅是虛擬鏈路的傳輸帶寬。SMLT,分離的多鏈路取作主干,同MLT相比,SMLT在構成上,不再是兩個交換機之間。SMLT的一端是一個支持MLT的交換機,而另一端則是由兩個交換機通過IST(Inter Switch Trunk,是連接兩臺聚合交換機以實現信息共享,使兩臺聚合交換機能作為一臺邏輯交換機運轉的點對點鏈路)形成的一個邏輯上的交換機。MLT交換機會別與這兩上SMLT交換機連接,因此,SMLT在增加帶寬的同時,可以提供最高級別的可靠性—交換機級別的可靠性。兩個SMLT交換機不論是端口失效還是端口模板失效,甚至是交換機失效都不會影響數據的正常傳輸,避免了單點失效對網絡正常連通帶來的影響。同時,傳輸負載由兩個交換機來均衡完成,可以大幅度提高網絡主干的傳輸性能。SMLT體系結構由SMLT Aggregation Switch、IST(Inter Switch Trunk)和SMLT Client構成,其結構圖如下: 在沒有使用SMLT的情況下啟動虛擬路由冗余協議(VRRP),通常只有主交換機進行數據包的轉發,如果主交換機出了故障,備用交換機什么樣自動頂替主交換機,完成數據包的轉發工具;使用SMLT,使得VRRP的性能得到擴展,除了主交換機進行數據包的轉發外,備用交換機也進行數據包的轉發,主交換機和備用交換機互為備份并互相偵聽,這樣即可以實現流量的負載均衡,也可以實現故障恢復,避免單點失效。為了避免邊沿交換機出現單點換效,我們采用了堆疊技術,把若干臺BAYSTACK450用堆疊電纜堆疊起來,在堆疊的某些交換機上加裝光纖模塊,由這些光纖端口捆綁成一條邏輯鏈路上聯到網絡主干,這樣就算堆疊的某些交換機上損壞了,整個堆疊還可以正常工作。特別地,門診收款處和門診藥房是醫院的窗口單位,為了避免由于門診樓交換機堆疊中的某臺交換機出現了故障而導致門診收款系統和門診發藥系統癱瘓,我們把門診收款工作站和門診發藥站發散地接到堆疊中的七臺交換機。 在防止非法訪問方面,我們采用了密碼管理、權限設置、虛擬子網(VLAN)的劃分等措施。 2.服務器組的安全 服務器是全院計算機網絡的大腦和神經中樞,保證服務器可靠長期有效的運行是網絡信息系統安全的一個特別重要的問題。 由于本方案中的應用程序是采用安全性較高的三層體系統結構,所以服務器組包括域控制器、應用服務器和數據庫服務器。 域控制我們采用了兩臺穩定性較好的IBM xserials 230服務器,一臺做主域控制器,另一臺做備份域控制器,這樣即可以實現登陸驗證的負載均衡,又可以避免域控制器的單點失效問題。 應用服務器部分我們采用了六臺HP 380G3服務器和一臺F5 BIG-IP5000控制器。BIG-IP控制器是針對企業本網站或數據中心的一種產品。它能夠提供高可用性和智能負載平衡功能。六臺HP380G3服務器可以通過F5 BIG-IP5000控制器連接到核心交換機PASSPORT 8600,F5 BIG-IP5000控制器可以持續監視六臺HP 380G3服務器,以確保服務器運行正常,然后再自動將輸入的服務請求路由到六臺中可用性最高的服務器。這樣接,只要有一臺HP380G3服務器不出現故障,中間層應用程序便可以正常運行。這樣設計即可以實現中間層應用程序的負載均衡,同時在F5 BIG-IP5000控制器不出現故障的前提下,又避免了應用服務器的單點失效問題。 數據庫服務器部分我們采用了一臺穩定性較高、存儲性能較好的HP DL760 G2服務器、一臺HP DL580 G2服務器和一臺HP MSA1000光纖磁盤陣列柜。兩臺服務器分別通過光纖通道連接到磁盤陣列柜,組成存儲局域網(SAN)。本方案采用了微軟的群集技術,實現了Active/Passive雙機熱備份模式,HP DL760 G2做主數據庫服務器,HP DL580 G2做備份數據庫服務器,在主服務器發生故障的情況下,備份服務器將自動在30秒內將所有服務接管過來,從而保證了數據庫服務器的正常運行。在磁盤陣列柜,我們安裝了5塊146G的scsi服務器硬盤,其中4塊硬盤做RAID5,一塊硬盤做Hot spare,這樣可以保證陣列柜在兩塊硬盤發生故障時,系統還可以正常運行。 3.供電安全 由于醫院許多大型診療議器設備啟動時有瞬間高壓、高磁場等,會對計算機產生影響因此我們要求院方做到中心機房的電源專線專供,同時采用功率足夠大的ups.4.病毒防范 我們通過設置VLAN和要求院方安裝網絡版殺毒軟件來防范病毒。數據安全 我們采用數據備份來保證數據安全。 本方案我們采用冗余備份策略。1.利用Vertias Backup Exec 9.1軟件將數據備份到磁帶庫中。Veritas Backup Exec能為跨網絡的服務器和工作站提供快速可靠的備份和恢復能力。我們利用Veritas Backup Exec的作業管理功能設置備份定時任務,每天進行一次數據庫數據完全備份,每三個月進行一次系統的災難備份。災難備份能在數據庫服務器崩潰時,避免重裝系統,利用最新的數據備份使系統盡快憂愁到運行狀態。2.利用MS SQL SERVER 2000自身的備份功能,每天定時自動地進行一次數據完全備份,備份數據存放到另一臺數據備份服務器HP ML570中,同時在HP ML570中設置一定時任務,對每天的備份數據進行一次完整性檢查,這樣可以保證備份數據是完整、可用的。 通過數據備份,能使醫院在破壞數據的災難事件中造成的損失降到最低。 計算機網絡安全是一個系統工程,除了采用保障網絡安全的技術外,還要加強安全教育和制度管理,因此我們強烈要求院方重視對各級計算機操作人員進行計算機網絡安全的教育,并制定較為完善的計算機網絡管理制度,如嚴禁非操作人員使用電腦;計算機中心指定專職系統管理員掌握服務器密碼,每次更新或升級計算機軟件必須有兩人同時在場,并做好記錄等。 在整個項目方案中,我們用于保障計算機網絡系統安全的措施主要是設備的冗余、鏈路的冗余。采用冗余的措施,除了可以避免單點失效問題,還可以增加網絡帶寬和實現業務流量的負載均衡。因此保障計算機網絡的安全性不僅可以保證網絡服務的持續不中斷,還可以更好地提高網絡服務效率。 在整個項目完成至今一年,從系統運行的情況來看,整個方案是合理的,高可靠性的,院方也感到滿意。當然,方案中也有不足的地方,如F5 BIG-IP5000控制器存在單點失效問題;隨著院方的網上掛號等業務的開展,本方案中沒有考慮到內網與公眾網相連的安全措施等。 長春經濟技術開發區的網絡安全建設 一、系統安全目標 保證電子政務內部網絡、外部網絡的信息傳輸、信息存儲是安全的、保密的,確保電子政務網絡系統安全、可靠、平穩地運行,我們要實現如下系統安全目標: 1.建成開發區完整的網絡安全體系,并建立一套可行的網絡安全與網絡管理策略; 2.采用防火墻系統對開發區電子政務內、外網絡進行安全訪問控制; 3.通過網絡監控系統,全面監視和跟蹤進、出網絡的所有訪問行為,發現不安全的操作和黑客攻擊行為,及時告警和拒絕; 4.建設網絡定期安全掃描系統,檢測網絡安全漏洞,及時了解和掌握計算機當前或近期使用情況,減少被黑客利用的不安全因素; 5.建立病毒防范體系,防止網絡系統被病毒的侵害; 6.通過 CA 認證和 PKI 數據加密技術進行用戶身份識別,為電子政務系統提供安全保障; 7.對內、外網絡的信息發布平臺 WEB 進行保護,防止網站網頁被非法人員篡改,為領導決策提供安全的文件傳輸服務; 8.利用安全評估系統進行系統審計、敏感信息檢查,確保電子政務信息的安全; 9.進行重要數據庫系統的冗余備份,以備不測或災難時快速恢復網絡系統。 二、實施方案 1、物理安全體系 物理安全是整個系統安全的前提,是保護設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞的過程。具體實施方案包括機房、通訊線路、物理隔離卡、設備和電源的安全措施。 (1)機房環境安全 接地系統:對政務中心所在的開發大廈內所有計算機和各種地線系統采用統一的防雷處理,即建筑物內共地系統,保證設備安全,并能防止電磁信息泄漏。 防雷措施:開發區在樓頂安裝了避雷設施,即在主機房外部安裝了接閃器、引下線和接地裝置,吸引雷電流,并為泄放提供了一條低阻值通道。機房內部采取屏蔽、合理布線、過電壓保護等技術措施,以此達到防雷的目的。另外,還采取相應的防盜、防靜電、防火、防水等措施。 (2)通信線路安全 主要是對電源線和信號線采取加裝性能良好的濾波器功能,減小阻抗和導線間的交叉耦合,阻止傳導發射。對機房水管、暖氣管、金屬門采用各種電磁屏蔽措施,阻止輻射發生。 3、物理隔離卡 物理隔離卡系統從安全的角度出發,提供了一種安全的用戶訪問機制,終端用戶可以在多網物理隔離的條件下安全自由地訪問其中任意一個網絡。為如何解決開發區管委會領導班子、機關處室、企事業、駐區單位等既要接入電子政務內網又要接入電子政務外網的實際需求提供了一套經濟、高效、安全的解決方案。根據開發區各部門接入的政務網絡類別和數量,選擇雙網線隔離卡來實現相關功能設計。 4.設備、電源安全 主要是加強對網絡系統硬件設備的使用管理,強調堅持做好硬件設備(如交換機、路由器、主機、顯示器等)的日常維護和保養工作,定期檢查供電系統的各種保護裝置及地線是否正常。電源系統電壓的波動、浪涌電流和突然斷電等意外情況的發生可能引起計算機系統存儲信息的丟失、存儲設備的損壞等情況的發生,必須依照國家的相關標準配備。 2、防火墻 將防火墻部署在路由器與受保護的內部網絡之間,作為數據包進/出的唯一通道。過濾進、出網絡的數據,管理進、出網絡的訪問行為,封堵某些禁止的業務,記錄通過防火墻的信息內容和活動,對網絡攻擊進行檢測和告警。同時,通過設置 DMZ(Demilitarized Zone)實現政府對外網站及信箱與外部暢通的訪問。它具體適用范圍包括:長春經濟技術開發區電子政務門戶網站的出入口處;長春經濟技術開發區管委會下屬各部門的電子政務辦公網與電子政務公共網的連接處;長春經濟技術開發區電子政務系統的資源中心、數據中心、管理中心、CA中心的邊緣。 在電子政務門戶網站的出、入口處,資源數據中心與電子政務連接處,各配置兩臺千兆防火墻,并對防火墻作雙機熱備、負載均衡。防火墻組位于電子政務網核心路由器和與 INTERNET 連接的前級路由器設備之間,該組防火墻一方面實現電子政務辦公網訪問門戶網站,另一方面實現 INTERNET 用戶訪問門戶網站,同時實現電子政務公眾服務網與電子政務辦公網的隔離。即 INTERNET 用戶可以通過防火墻訪問門戶網站,但是卻不能訪問電子政務辦公網。 同時考慮到穩定可靠性的問題,對防火墻作雙機熱備。確保當主防火墻被宕機后,能在最短時間內啟動從防火墻,不影響網絡的正常運轉和安全。為確保門戶網站的服務器群高效、穩定工作,應對服務器群實現負載均衡。負載均衡一般用于提高服務器的整體處理能力,并提高可靠性,可用性,可維護性,最終目的是加快服務器的響應速度,從而防火墻位于資源數據中心與核心交換機之間,實現電子政務外網與提供其辦公應用服務器區隔離。考慮到二者之間的服務量、訪問量很大,防火墻負擔過重,會出現瓶頸問題,因此,需要對防火墻作負載均衡,以此來增加網絡安全性,降低或消除瓶頸,增強防火墻甚至整個網絡的可用性。 電子政務網絡管理中心及數據容災備份中心分別配置一臺千兆防火墻設備,不使用雙機備份。綜上所述,我們在開發區電子政務門戶網站的出入口、電子政務對外應用服務處、資源數據中心、網絡管理中心處配置了高性能的千兆防火墻,并采用了負載均衡設備,實施相應的安全策略控制,保證網絡安全,提高整體功能。 3、IDS 針對長春經濟技術開發區電子政務系統,入侵檢測系統設置用于如下幾方面:政府門戶網站區域:由于電子政務網絡系統的涉密性,黑客會滲透到職能部門,內部人員也很容易通過網絡安全防護不嚴的特點使黑客直接攻擊系統漏洞、利用漏洞竊取信息、假冒身份、阻塞服務等。在政府門戶網站區域配備入侵檢測系統,將有效發現、抵御來自外部的惡意攻擊行為。內部辦公網絡各節點的網絡出入口:為對內部用戶的網絡行為進行審計時提供詳盡信息,識別內部用戶的非法操作,對內部用戶起到一定的約束作用,降低了內部攻擊的影響。內部辦公網關鍵區域:如內部主要服務器區域、網絡管理中心等。 內部辦公網關鍵區域,是內部網絡資源、管理的核心區域。在這些區域配備入侵檢測系統,將有利于進行網絡異常行為分析,為內部辦公網的正常運行和管理提供有力保障。入侵檢測設備是作為防火墻的合理補充,為每個監測區域根據實際安裝一臺符合相應帶寬需求的入侵檢測設備。通過交換機配置,選擇合適的入侵檢測點進行網絡信號的監測。 4、安全漏洞掃描系統 在網絡管理中心處配置一臺基于網絡掃描為主,同時輔以主機和數據庫掃描的綜合性漏洞掃描與評估系統,可掃描路由器、交換機、防火墻等網絡設備以及 Windows、Unix 和 Linux 操作系統、MS SQL Server 和Oracle 數據庫。 5、防病毒系統 采取統一集中管理和分級管理相結合,除了在政務中心安裝中央控管防毒軟件外,在各應用服務器及用戶端都要安裝相應的防毒軟件。電子政務網絡病毒防護是一個重要而復雜的任務,必須將技術、工具和管理三者結合才行。 6、頁面防篡改 頁面防篡改(InforGuard,簡稱 iGuard)系統用來保護開發區電子政務網站不發送被篡改的頁面內容,支持網頁的自動發布、篡改檢測、警告和自動恢復,保證傳輸、鑒別、審計等各個環節的安全。iGuard 使用先進和可靠的Web 服務器核心內嵌技術,在部分操作系統上輔助以事件觸發式技術,從而完全實時地杜絕篡改后的網頁被訪問的可能性。 Web服務器和內容管理系統(CMS)都沿用原來的機器,需在其間增加一臺發布服務器。iGuard自動同步機制完全與內容管理系統無關,與其協同工作,內容管理系統本身無須變動。 發布服務器上具有與Web服務器上的網站文件完全相同的結構,任何文件/目錄的變化都會自動映射到Web服務器的相應位置上。網頁的合法變更(包括增加、修改、刪除、重命名)都在發布服務器上進行,由自動發布子系統將其同步到Web服務器上。無論任何情況,不允許直接變更Web服務器上的頁面文件。 在開發區電子政務網絡中,Iguard 設計安裝在兩臺機器上:Web 服務器和發布服務器。發布服務器位于內網中,有著較高的安全防護級別,其上運行自動發布程序和管理子系統。Web 服務器位于 DMZ 中,容易受到篡改攻擊,其上運行防篡改模塊和同步服務器程序。 7、數據備份與容災方案的設計 根據開發區的網絡結構和應用系統的特點,我們從資源數據中心備份容災和門戶網站的備份與容災二方面目標,以及 RAID 保護、冗余結構、數據備份、故障預警等多方種方式來考慮,設計采用本地容災和異地容災兩套系統。 在數據中心采用磁盤陣列為主要設備,采用 SAN 方式進行本地數據存儲,支持 NAS 對遠程數據進行異地備份。對門戶網站的備份與容災體現在 Web 服務器和防火墻的冗余備份與流量負載均衡等方面。 三、應用及結果分析 分別采取物理安全、防火墻、入侵檢測、安全漏洞掃描、CA認證、病毒防范、網頁防篡改和數據備份與容災等八項措施進行系統安全保護和防范。每種防范措施都從不同的角度,針對不同層的結構,采取相應的應對設備和策略,來阻止來自黑客、網絡間諜、信息戰敵對分子和恐怖分子的違法犯罪行為。 開發區電子政務外網統一出口,這一措施已經最大限度地防止了網上泄密和入侵攻擊。防火墻、入侵檢測、漏洞掃描等設施有效地制止了黑客侵擾和對敏感信息破壞、修改或竊取。通過CA認證體系,控制了外部人員非法進入電子政務系統。病毒防治和網頁防篡改系統及時阻止惡意移動代碼等行徑的造訪,數據備份與容災系統為天災人禍作最后的保障。 本方案在實際應用過程中,已起到很好的安全防范效果,電子政務系統得以安全運作。實踐證明,使用更高、更強、更好的網絡安全工具和技術,配以更有效的安全管理機制,才會收到更好的安全效果。由于電子政務網絡的復雜性,必然導致電子政務網絡安全防護的復雜性。 “三分技術,七分管理”是對網絡安全狀況的客觀描述。任何網絡僅在技術上是做不到徹底的安全,還需要建立一套科學、嚴密的網絡安全管理體系,將工具、技術和管理三種手段結合起來,才能杜絕和防止因非法訪問或惡意攻擊而造成損失。 四、管理政策及目標 網絡安全管理目標是:采取集中控制、分級管理的模式,建立由專人負責安全事件定期報告和檢查制度,從而在管理上確保全方位、多層次、快速有效的網絡安全防護。 實踐證明,只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態的安全過程,才能為電子政務網絡提供制度上的保證。 總之,本文對電子政務網絡信息安全的主要安全防范措施進行了深入細致地研究,確定了具有較高性價比和實用價值的相應的解決方案。 由于能力和精力有限,有一些防范措施研究的不夠透徹,也有一些電子政務的安全措施沒有探討和使用,如郵件安全、遠程訪問、敏感信息檢查等,有待在將來的工程設計中更周全地考慮和利用。 總之,電子政務外網是政府面向公眾和社會服務的重要窗口,要加強對電子政務外網的網絡安全建設和管理。對網絡的重要區域,要增設防火墻、入侵檢測關卡,或加大防火墻的火力。對重要部門實行特殊保護。同時,加強安全管理意識,健全制度和定期培訓。通過對電子政務網絡信息安全的安全防范措施和報告深入細致地研究,發現問題和漏洞,及時采取措施加以解決,使電子政務更有效地行使政府職能。 另外,在電子政務安全建設中,需要權衡安全、成本、效率三者的關系。實際上,絕對的安全是沒有的,電子政務系統也不是“越安全越好”。不同的電子政務系統,需要根據對信息安全的不同要求而配置安全方案和設施。一個門配幾把鎖取決于門內放的東西的重要程度,因為鎖越多,門的安全成本也就越高,而門的使用效率就越低。因此,必須根據電子政務系統的實際要求做到恰到好處。內外網的劃分第四篇:網絡論文
第五篇:網絡論文
點擊咨詢 