第一篇:军队院校校园网VPN技术应用设想
军队院校校园网VPN技术应用设想(1)
摘 要 VPN是一项迅速发展起来的新技术,其在电子商务、公司各部门信息传送方面已经显现出了很大的发展潜力。相信将来其在军队院校信息化建设和信息安全传输上也能发挥应有的作用。关键词 VPN;虚拟专用网;SSL VPN;IPSec VPN1 引言 VPN(Virtual Private Network)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。2 隧道技术的实现 假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,如图1所示。图1 现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。3 军队院校校园网建设VPN技术应用设想 随着我军三期网的建设,VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用VPN技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用VPN技术可简化网络的设计和管理;第三,采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。而VPN技术的特点正好能够满足以上几点需求。首先是安全性,VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP),并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据,还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是VPN技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。目前,主要的VPN技术有IPSec VPN和SSL VPN两种。其中IPSec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外还能对IP数据包进行加密
和认证。而SSL VPN技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。
我认为军队院校校园网VPN技术应主要采用SSL VPN技术。首先因为其安全性好,由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,它可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全,而SSL VPN则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,SSL VPN与IPSec VPN相比,具有更好的可扩展性。可以随时根据需要,添加需要VPN保护的服务器。而IPSec VPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行。第四,SSL VPN的兼容性很好,而不像传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用SSL VPN还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于IPSec VPN来说,每增加一个需要访问的分支就需要添加一个硬件设备。
虽然SSL VPN的优点很多,但也可结合使用IPSec VPN技术。因为这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,IPSec VPN工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。4结论
总之,VPN是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,VPN技术将会发挥其应有的作用。
参考文献
[1] 谢希仁.计算机网络(第4版).北京:电子工业出版社,2003
[2] Cisco Systems公司,Cisco Networking Academy Program.思科网络技术学院教程(第一、二学期)(第三版).北京:人民邮电出版社,2004
第二篇:校园网VPN规划与实现
校园网VPN规划与实现
中学校园网规划方案
一. 设计目标
1.配合当前的教学发展情况,完成学校内部 Intrannet的配套基础建设,将全校的信息资源利用计算机网络连接起来,形成一个流畅、合理、可靠、安全的校园网。还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。通过各校校园网络的连接,可以更便利地互相交换信息,促进各个学校间的学术交流。
2.通过校园网络使教师和科研人员能及时了解国内外科技发展动态,加强对外技术合作,促进教学和科研水平的提高。建立新的通讯方式和环境,提高工作效率。
二. 设计原则
1.学校需求为前提原则:坚持以学校具体需求为校园网信息系统方案设计的根本和前提,同时,也要注重源于需求又高于需求的原则,注意用专业化的技术思想来进行校园网的规划与设计,确保校园网的实用性、先进性和便于扩展性。
2.设备选型兼顾原则:满足学校对现代化教学手段的要求;满足校园网建设及互联网的要求;所选设备在国际上保持技术先进性;供应商有良好的商业信誉和优质的售后服务。3.坚持标准原则:一切校园网设计和施工,均要严格遵循国际和国家标准。统一规划,分步实施。校园网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点,并且应采用统一的网络体系结构。
4.坚持先进的成熟的技术原则:采用通用的、成熟的技术方案可以降低建设成本、减小设计、施工和使用难度、缩短建设周期。有利于保护投资,并且有利于校园网的维护和升级。选择品质最好的设备不一定是最佳选择,成本因素也是一个不容忽视的问题,将品质与成本实现最佳匹配。
5.坚持规范布线,考虑长远发展原则:
布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的非常重要的标志。布线系统不合理将降低网络的可靠性,使网络难以管理和维护,所以必须采用标准的综合布线系统。
6.坚持易于使用和管理原则:
校园网的各种软件应用项目必须易于使用,对最终用户的起点要求不能太高,一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜;系统的日常管理和维护工作要方便、简易。网络拓扑结构一经配置确定,不应轻易更改。
7.坚持可扩展性原则:考虑现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用价值;选用产品应具有最佳性价比,又要应充分考虑未来可能的应用,具有高扩展性。
三.用户需求分析
学校要求如下:
1.建立办公自动化系统 办公楼共有40个信息点。要求通过校园网连至INTERNET,达到100
M到桌面,并对财务科,人事科等科室进行单独子网管理。
2.建立考试监控系统
共有教学楼3座,120个信息点。
(1)综合教学楼一个,60个信息点。其中有10个实验室,每个实验室配置1台PC和1个投影仪(此处无须上网);20个教室,其中一个教室2个摄像机。
(2)普通教学楼1:40个信息点,共20个教室,其中一个教室2个摄像机。
(3)普通教学楼2:20个信息点,共10个教室,其中一个教室2个摄像机。
3.建立综合多媒体教室
信教中心:共120个信息点。有两个多媒体教室,每个教室60台PC。要求可网管,通过校园网上连至INTERNET,达到100M到桌面。
4.为了满足教职工的需要,提高教职工教学条件和水平,大力发展网上教学,优秀科目科件制作等。将教职工宿舍区的PC通过校园网上连至INTERNET,达到10M到桌面,以后可扩展到100M。
5.学校校园网建设所需PC和投影仪有校方自行选择和安装。学生宿舍由于高中阶段学习生活的特殊性,不进行任何布置。
四. 网络规划设计总体方案
(一)校园网络拓扑图
(二)设计方案
1.网络层次结构
网络结构采用分层式设计,共分三层:核心层,ぷ髯椴悖烂娼尤氩恪7植闵杓瓶梢允拐鐾缱陨隙戮哂泻艽蟮牡裕阌诓呗缘奈ず褪凳(1)核心设备
①设备名称:DCS-3926S可堆叠智能安全接入交换机
②基本介绍: 3926S具有24个10/100Mbps自适应RJ-45端口和2个模块扩展插槽(可选插百兆模块和千兆模块)可千兆或百兆聚合上联至汇聚层交换机或者核心层交换机。
③主要特征:
★高密度和灵活的堆叠
DCS-3900S系列的堆叠带宽可支持2G到4G,并且支持简单堆叠、标准堆叠、超级堆叠和混合堆叠。简单堆叠成本最低。堆叠带宽2G;标准堆叠使用堆叠模块,其带宽扩充至4G;还可以用千兆电口或千兆光口做超级堆叠,可避开堆叠线缆的限制,堆叠带宽也是4G;同时DCS-3900S系列可以和DCRS-5600S系列、DCRS-5526S交换机做混合堆叠。
★强大的ACL功能
作为新款的L2/4交换机,DCS-3926,S系列交换机提供了完整的ACL策略,可根据源/目的IP地址、源/目的MAC地址IP协议类型、TCP/UDP端口号、IP Precendence、时间范围、ToS对数据进行分类,并进行不同的转发策略。通过ACL策略的实施,用户可以在接入层交换机过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包,防止扩散和冲击核心设备
★卓越的安全特性
全面的受控组播方案DMCP,可以对源和目的进行安全控制,完整实现了在接入层网络中基于IGMP源端口和目的端口的检查技术,可完全限制合法组播在
网络中的稳定传输,有效控制组播建立的整个过程,保障了正常合法的组播应用的稳定运行;率先支持对特征复杂(64字节)的应用流量的访问控制,让用户可以在各种网络的环境中应对出现复杂情况;监控pingSweep等攻击行为,安全防扫描,并采取防攻击措施,全面保护交换机和服务器等网络设施的安全。
★更完美的性价比(DCS-3926S-G)
大多数接入交换机通过1个千兆光模块上联,为了提高产品的性价比,DCS-3926S-G固化了一个千兆光模块,可以为用户节约开支。
★丰富的QoS策略
DCS-3900S系列交换机为每个端口提供了4个优先级队列,可根据端口、802.1p、ToS、DSCP、TCP/UDP端口进行流量分类,并分配不同的服务级别,支持WRR/SP等调度方式,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。
④技术参数
★接口形式:24个10/100M端口+ 1个SFP千兆光口/堆叠口
★可选扩展模块:百兆电/光口模块;千兆电/光口模块;堆叠模块
★堆叠:支持标准堆叠,超级堆叠,混合堆叠。堆叠环境下,支持跨交换机的端口聚合、端口镜像、QoS、ACL
★生成树:802.1D(STP)、802.1w(RSTP)、802.1s(MSTP)★组播协议:IGMP Snooping&Query
★QoS:每端口4个队列,支持802.1p,ToS,应用端口号,DifferServ,支持WRR/SP等调度方式
★ACL:支持标准ACL和扩展ACL,支持IP ACL、MAC ACL、IP-MAC ACL,支持基于源/目的IP地址、源/目的MAC地址、IP协议类型、TCP/UDP端口号、IP Precendence、时间范围、ToS对数据进行过滤。
★端口聚合:支持802.3ad,最大可支持6组trunk,每trunk可到8个端口,支持基于目的MAC的负载均衡。
★IEEE802.1x:支持基于端口和MAC地址,支持神州数码802.1x整体解决方案,可以实现按时长/流量计费,可以实现用户帐号、密码、IP、MAC、VLAN、端口、交换机的严格绑定,可以防止代理软件,防止PC克隆,对客户发送通知/广告,上网时段控制,基于用户动态实现VLAN授权和带宽授权,可基于组策略实现动态IP地址分配而不必使用DHCP服务器等。
★认证:支持RADIUS ★端口镜象:支持。
★支持的网络标准:IEEE802.1D IEEE 802.3 IEEE 802.3u IEEE802.3ad IEEE 802.3x IEEE 802.3z IEEE802.1Q IEEE 802.1p IEEE 802.1x IEEE802.1w IEEE 802.1s等堆叠。
(2)工作组设备
①设备名称:DCS-3726S 24口+2槽可堆叠网管10/100/1000M以太网交换机
②基本介绍:DCS-3726S是神州数码网络专为校园网互连设计的一款可网管交换机,可堆叠使用提供很高的端口密度,适用于企业大中型网络组网。它具有24个10/100Mbps自适应RJ-45端口和2个模块扩展插槽(可选插百兆光纤模块或千兆模块),可千兆或百兆上联至骨干网。DCS-3726S提供有端口
限速功能,使用灵活方便。该交换机还可以下接最多24台其他交换机实现级联以扩展端口数目。它还支持VLAN、组播、优先级、端口聚合和端口镜像等实用网络功能,而且还提供了18Gbps的背板带宽,实现了数据的全线速转发,消除了网络瓶颈,为多用户接入提供了高性能的网络解决方案。
③主要特征:
★24个10/100Base-TX端口
DCS-3726S具有24个固定的10/100Base-TX端口。这些端口均支持Nway标准,可支持10/100Base-TX自适应及全双工/半双工。
★2个千兆端口
DCS-3726S交换机前面板具有2个插槽,可选插1口百兆模块或千兆模块,千兆模块可支持1000Base-SX、1000Base-LX和1000Base-T标准。所有模块支持流量控制和全双工,可处理大量数据。千兆端口可将部门网络与千兆主干网络连接起来,也可以连接高性能服务器,使得更多用户可以同时访问。★100Base-FX模块
DCS-3726S插槽可以选插1口100Base-FX(SC)短波或长波模块,运行于全双工模式下,可以应用于高电磁干扰或通信保密性要求高的场合,通常应用于远距离传输。
★大型堆叠,多达 192个10/100Base-TX端口
DCS-3726S交换机最多可以堆叠8台设备,堆叠组最多可达192个10/100Base-TX端口,使得网络可以灵活扩展,并能够有效减少网络层次,便于大型社区内大量用户的互联接入。
④技术参数
★端口聚合(Port Trunking)
DCS-3726S支持端口聚合功能,同时支持802.3ad的标准。可将2/3/4个10/100Base-TX端口聚合成一条干路,每条干路支持全双工模式,交换机最多支持6组端口聚合。
★生成树(Spanning Tree)
DCS-3726S支持多种生成树功能,如:802.1D、802.1w、802.1s。Spanning Tree协议可使LAN自动检测并解决环路问题,可提供链路的备份。802.1D为基本的Spanning Tree协议,缺省操作模式是开启状态。DCS-3726S同时支持802.1w快速生成树模式,可使收敛时间缩短至几秒内。IEEE 802.1s可使IEEE Std 802.1Q的VLAN加入到多个生成树中,即提供spanning tree per VLAN的功能。
★虚拟网络(VLAN)支持虚拟网络(VLAN)标准来控制广播域和网段流量,可以提高网络性能、安全性和可管理性。DCS-3726S支持IEEE 802.1q VLAN标记,可基于端口地址来划分VLAN,最多256个VLAN。通过控制口或网管工作站可以轻松完成结构和设备的添加、移动和更换。可根据最大网络流量和网络安全性来划分虚拟网络。DCS-3726S同时支持GVRP协议,可实现VLAN组成员动态注册,支持基于端口的VLAN划分管理方式,支持动态VLAN。生成树:802.1D(STP)、802.1w(RSTP)、802.1s(MSTP)
★MAC地址过滤:自动学习; 动态和静态地址过滤
★管理功能 : 端口安全 ; Bootp、DHCP客户 ; 配置文件上载 /下载 ; TFTP固件
升级
(3)桌面接入层设备
①设备名称:神州数码 DCS-1024普通交换机
②技术参数
★交换机类型:普通交换机
★传输速率(Mbps):10Mbps/100Mbps
★网络标准:IEEE802.3 10BASE-T 以太网;IEEE802.3u 100BASE-TX 快速以太网;IEEE802.3x流量控制
★网络协议:CSMA/CD ★ 接口介质:10BASE-T: 2对3,4或5类非屏蔽双绞线(UTP)(≤100m); EIA/TIA-568 100欧屏蔽双绞线(STP)(≤100m)。100BASE-TX: 2对或4对5类非屏蔽双绞线(UTP)(≤100m); EIA/TIA-568 100欧屏蔽双绞线(STP)(≤100m)
★传输模式:全双工/半双工自适应
★其他技术参数:数据传输速率:以太网:10Mbps(半双工);20Mbps(全双工)
快速以太网:100Mbps(半双工);200Mbps(全双工)拓扑结构:星型
MAC地址表:8K
最大包过滤/转发率:每端口14,880pps(10Mbps);每端口148,800pps(100Mbps)RAM缓冲:2.5M
2.链路设计(包括综合布线详细说明)
(1)办公楼:核心交换机DCS-3926S通过一个千兆口有1000BASE-T4对超五类STP下连服务器,通过一个千兆口由1000BASE-SX多模光纤下连办公楼各科室,教师办公室的工作组交换机,通过一个千兆口由1000BASE-LX多模光纤下连信教中心的工作组交换机,通过一个百兆端口由100BASE-FX多模光纤下连教学楼工作组交换机,通过一个百兆端口由100BASE-FX多模光纤下连教工宿舍区工作组交换机。
(2)信教中心:工作组交换机DCS-3726S 通过超五类STP下连桌面接入交换机DCRS-1024。DCRS-1024通过超五类UTP接入PC。(3)教学楼:工作组交换机DCS-3726S 通过100BASE-FX下连桌面接入交换机DCRS-1024。
DCRS-1024通过超五类UTP接入摄象机和投影仪。
(4)教工宿舍区:工作组交换机DCS-3726S 通过100BASE-FX下连桌面接入交换机DCRS-1024。DCRS-1024通过超五类UTP接入PC。路由设计
采用神州数码DCR-2501V 多协议模块化路由器,确保网络的安全性和可靠性。
①设备名称:DCR-2501V 多协议模块化路由器
②基本介绍:神州数码DCR-2501V路由器是神州数码网络推出的固定配置语音路由器,性能稳定可靠。DCR-2501V提供了1个console端口,1个10Base-T以太网口,1个辅助(AUX)端口,2个高速广域网串口,2路FXS语音端口;DCR-2501V路由器支持常用的广域网协议和路由协议,支持VoIP协议,支持内置强大的防火墙和NAT功能,为用户提供了更加高速、安全、稳定可靠、方便的网际互连设备,非常适用于中小企业、政府等远程分支机构语音和数据互联或Internet接入等。
③主要特征:
(DDR)功能;支持IP Unnumbered,从属IP和ARP代理功能;支持多种队列算法以保证服务质量(QoS)的提供;支持Novell IPX路由协议;支持路由再分配功能;高稳定性;提供背对背(Back-to-Back)连接方案,可用于检测路由器的功能
④技术参数
★标准配置
▼ 1个10 Base-T以太网口
▼2个高速串口,支持RS232、V.24、V.35、X.21、EIA530A等电气标准
▼ 2路FXS语音端口
▼1个Console端口
▼1个辅助(AUX)端口,可进行远程配置和拨号备份
▼内存:DRAM 16 M,可扩充至32M;Flash Memory 2 M,可扩充至4M ▼CPU:32位RISC处理器(MPC860 50MHz)
★协议和标准
▼以太网接口标准:IEEE802.3 10Base-T标准
▼广域网接口标准:RS232、V.24、V.35、X.21、EIA530A等电气标准
▼支持VoIP标准:支持H.323协议栈,支持 G.729、G.723.1、G.711等多种语音编码压缩标准,支持T.38传真协议和Bypass方式的传真应用。
▼帧中继标准:ITU-T Q933Annex A、ANSI T1.617Annex D、兼容CISCO标准
▼广域网协议:HDLC、PPP、MP、Frame-Relay(DTE/DCE)、X.25(DTE/DCE)▼路由协议:静态路由、RIP(包括RIP v1、RIP v2)、OSPF、Novell IPX路由协议
▼用户安全认证协议:PAP、CHAP、MS-CHAP、RADIUS、TACACS+
★管理维护
提供Show、Ping、TraceRoute、Debug等命令,用于察看、测试网络的可达性,诊断网络故障;支持Telnet远程配置与管理;支持SNMP、RMON等网络管理协议;支持HTTP协议,用户可以通过Web界面对路由器进行配置、维护
4.安全设计
可启用标准或扩展访问控制列表进行数据报或数据段控制,在内外网口设置一台DCFW-1800S-L 小型企业级百兆防火墙保证整个网络抵御来自内,外网的攻击。
①设备名称:DCFW-1800S-L 小型企业级百兆防火墙
②基本介绍:神州数码DCFW-1800S-L防火墙专为中小企业分支机构、SOHO办公、中小学校的网络而设计,以功能实用、接入灵活、配置方便快捷、性能稳定为设计原则,使复杂的网络安全实施得以简化。它充分考虑中小型用户特点,支持VLAN环境、支持PPPOE与DHCP,集成防火墙、VPN,内容过滤,为中小企业的网络安全实现提供了经济的解决方案。
③主要特征:
★让中小型用户、分支机构享受无以伦比的性价比
★轻松部署,支持PPPoE协议,提供ADSL/ISDN接入方式
★设置简洁,通过浏览器可以轻松完成功能配置
★支持DHCP服务器功能,节省用户网络管理投资,支持无地址接入
★集成VPN,可以进行隧道认证及数据加密,保护了企业机密同时降低了沟通成本
★集成内容过滤、邮件过滤,防止非法信息、恶意脚本及垃圾邮件;集成防拒绝服务网关,提供攻击检测及攻击抵御
★支持用户认证;支持应用层日志及加密日志存储,有效审计进出网络的敏感信息
④技术参数
★工作模式:路由、透明、NAT
★内容过滤:URL、邮件、指令、ActiveX/Java, 诡异木马探测
★支持:网络安全域结
构体系;PPPoE协议;DHCP Relay,DHCP Server;防拒绝服务网关;VPN功能
★最大并发连接数:300,000 ★网络吞吐量:150M ★VPN隧道数:10 ★VPN拨号用户:10 ★策略数:300
5.管理设计(包括详细管理软件说明)
①设备名称:神州数码LinkManager
②基本介绍:LinkManager 网管系统是一套基于Windows NT平台的高度集成、功能较完善、实用性强、方便易用的全中文用户界面网络管理系统。它是神州数码网络有限公司根据中国用户的实际需求,遵循ISO网络管理模型的五大功能域(性能管理、配置管理、故障管理、计费管理及安全管理)的架构,自行组织研发出来的一套具有自有知识产权的网管系统。LinkManager 具有既面向指定设备,又支持通用网络设备的“垂直+水平”的管理特性。也就是说,它能够对神州数码网络有限公司推出的具有SNMP功能的网络设备提供齐全的设备管理和功能管理,同时也能够良好地支持其他任何具有通用SNMP功能的网络设备,提供整个网络的拓扑结构和常用网络管理信息。
③主要特征:
★提供两套视图-物理视图及逻辑视图,可满足操作员的不同需求:
▼对于希望了解当前网络拓扑逻辑结构的操作员,系统采用傻瓜方式,以默认形式为用户自动绘制出整个网络的逻辑视图,不需用户干预。
▼对于只想掌控自己关心的网络设备的操作员,系统采用DIY 方式,支持操作员按物理连接或自己随意的自组物理视图;
▼自动绘制出的网络拓扑图还可以通过另存为的方式供操作员修改;
★提供两种设备添加方式,增强操作员在自组物理视图时的DIY手段:
▼强大的自动发现功能,具有对第二层、第三层及应用层设备的自动识别能力,能准确定位神州数码品牌的网络设备;
▼按操作员兴趣手动添加连入网络的设备,支持操作员选择不同的设备类型;
★提供两种视图的层次结构组织,纹理清晰: ▼ 在自动方式中,逻辑视图的层次结构由各层子网、网络设备及其设备特性构成;
▼ 在 DIY方式中,物理视图的层次结构由子图、网络设备及其设备特性构成;
★提供网络设备的图形标记,用作设备的属性、特征、状态标识:
▼各被管设备类型在视图中都拥有自己的属性标志图符;
▼ 各被管设备在视图中都拥有自己的三色状态标识;
▼ 各神州数码品牌的网络设备都拥有逼真的面板图,真实反映接口状况及实际连接;
▼ 在两个视图中,各设备的图形标识具有一致性;
★友好的用户界面
▼周到的拓扑图发现方式适合操作员的不同需求;
▼采用操作员熟悉的Windows界面风格及操作方式;
▼按照中国用户的思维习惯组织
的管理内容;
▼适当的产品定位,高度的集成化,将功能统一在同一界面内,可使操作员免于因功能模块散乱而引起的无所适从。
④技术参数
★硬件平台 ▼ Intel Pentium或以上的处理器;
▼64M或以上的内存;
▼带有SVGA图形卡的800*600显示器,现仅支持小字体;
▼ 剩余磁盘空间:50MB以上;
▼网络适配卡;
▼ 光驱。
★网络平台
▼安装并配置了TCP/IP协议;
▼ 以神州数码网络有限公司的网络设备为主,同时兼容其它厂家SNMP设备。
▼ 能够为下述神州数码网络有限公司的网络设备提供齐全的设备管理和功能管理:
以太网交换机包括DCRS-7515、DCRS-7508、DCRS-7504、DCRS-6512、DCS-3652、DCS-3628S、DCS-3426、LRS-6706G/LRS-6626、DES-6000、DES-3326、DES-3624i、DES-3225G、DHS-3226;路由器包括DCR-3660、DCR-2650、DCR-2630、DCR-1750、DCR-1720、DCR-2511、DCR-2509、DCR-2501。
★操作系统平台
可选以下操作系统平台:
▼ Microsoft Windows NT 4.0(Workstation或Server,Service Pack 6);
▼ Microsoft Windows 2000(Professional或Server)。
★其它支持软件 ▼Microsoft Internet Explorer 4.0版本或以上版本,必须预先安装;
▼Acrobat Reader 4.0版本或以上版本,必须预先安装。
6.考试监控系统设计
建立经济可用的考试监控系统,采用tovi图威MP-5020硬盘录象机,韩国威视特光电科技彩色转黑白半球型摄像机VT-BW308。
ⅰ.①设备名称:tovi图威MP-5020硬盘录象机
②基本介绍:20路音/视频同步实时压缩
③基本功能:
★录像压缩比大,数据量在 50M/h至190M/h之间;
★多工操作,支持监视、压缩、录像、回放等同步工作;
★系统自动运行,录像和自检跳过损坏硬盘,支持无人职守;
★掉电保护录像资料,防止录像丢失;
★支持操作系统屏蔽、多用户权限管理和日志记录,提高系统安全性;
★支持控制多种解码器及矩阵;
★任意画面满屏显示和切换显示功能;
★实时显示系统工作的各类状态信息,显示画面叠加日期时间和字符;
★视频丢失、事件录像、硬盘状态和报警等信息提示;
★提供现场监听和监视抓拍功能;
★可调整监视图象画质;
★提供报警、移动、定时和手动等事件录像类型,支持预录像;
★录像分辨率可选 352x288(CIF)和176x144(QCIF);
★可调整录像质量、画质、数据量和录像帧率; ★录像画面叠加日期时间和字符,支持画面局部遮蔽;
★支持多硬盘自动盘满循环录像;
★设置录像文件打包的时间间隔;
④技术参数
★操作系统:Windows2000 ★压缩格式:H.264 ★视频输入:20路视频
★音频输入:20路音频
★录像速度:500帧/秒
★系统分辩率:7
04*576 /384*288 ★画面分割:1、4、8、12、16、20 ★硬盘标配:200G
★录像模式:手动、自动循环、报警驱动、移动侦测
ⅱ.①设备名称:韩国威视特光电科技彩色转黑白半球型摄像机VT-BW308。
②技术参数
★Specification:VT-BW307 ★摄像器件:1/3'Sony CCD
★水平分辨率:彩色 480 Line 黑白6000line ★视频输出:1Vp-p75Ω Negative ★自动白平衡:自动白平衡
★背光补偿:自动背光补偿
★最低照度:彩色:0.01LUX;黑白0.01lux ★电子快门:PAL:1/50-1/100000sec
第三篇:VPN代理进入校园网方法
之前西湖论坛上有一位师兄发过一个软件,能让电信网用户进入校园网,但由于这个软件有很多的兼容性问题,所以很多同学都没办法实现。
师兄的软件是帮我们建立一个VPN代理,那我们可以自行建立代理,以进入校园网。以下是WIN7建立VPN代理的教程。
首先,我们进入网络和共享中心
设置新的连接或网络
选择连接到工作区
选择下图选项
这里需要我们填写Internet地址,这时我们填写上次师兄给的IP 也就是113.106.216.154,下一步
用户名跟密码都用师兄给的那个,账号
vpdnuser 密码hello
填写完毕后,点击连接即可
我们检查看看VPN是否已经成功建立,并顺利连接
接下来我们就可以登录教务系统了
第四篇:VPN技术的学习总结
VPN技术的学习总结
在网络安全课程的学习过程中,我对网络安全有了一些了解和认识。特别是它的基础概念,网络安全的具体要求,安全通信模型以及目前广泛使用的安全技术等知识。其中VPN技术是目前安全通信中既能保证一定的安全性又具有经济性的一项技术,因此它目前的市场应用十分广泛。所以在学习完这门课程后,我想对所有学过的知识做一个梳理,然后把我比较感兴趣的VPN技术做深入一些的学习和整理。
1.网络安全的基本概念
网络安全包含网络系统硬件、软件以及网络上存储和传输的信息资源的安全性。而其安全性包括计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续正常运行,网络服务不中断。
网络安全的威胁包括:计算机病毒,蠕虫,木马,拒绝服务攻击,逻辑炸弹,后门和隐蔽通道等。
在网络信息传输的过程中,信息的安全特性包括:机密性,完整性,可用性,不可否认性,可控性,可审查性,可恢复性。只有在满足了以上特性的信息传输才被认为是安全的。因此相对应于各个安全特性,网络安全服务需要做到的有:认证服务,访问控制服务,数据机密性服务,数据完整性服务,不可否认服务。在认证服务中,需要提供某个实体(人或系统)的身份保证,确保通信实体就是它们所声称的实体。使用口令是一种提供认证的熟知方法,数字证书和签名也可以提供信息发送方的身份认证。认证是对付假冒攻击的有效方法;
访问控制服务中,要能够防止对系统资源(如计算资源、通信资源或信息资源)的非授权访问和非授权使用,确保只有授权的实体才能访问授权的资源。访问控制直接支持机密性、完整性、可用性以及合法使用等安全目标。访问控制系统的关键是制定访问控制策略。它是系统安全防范中应用最普遍和最重要的安全机制,可提供机密性和完整性服务。访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。
数据机密性服务,能够保护信息不泄漏或不暴露给那些未授权掌握这一信息的实体(人或组织),确保授权实体才能理解受保护的信息,防止传输的数据遭到窃听、流量分析等被动攻击。机密性服务是通过加密机制来实现的,目前已有多种加密算法来保护数据的安全,可以根据不同的需求在网络结构的不同层次来实现。比如:若需保护全部通信业务流的机密性,可在物理层加密;若希望对端系统到端系统之间的通信进行保护,可在网络层加密。有时也可根据多个需求,在多个层次上提供加密。
数据完整性服务,是用来维护信息的一致性防止对信息的非授权篡改和破坏,使消息的接受者能判断消息是否被修改或被攻击者用假消息替换。数据完整性可以通过安全协议中的认证头AH协议,ESP协议,MAC算法等来保证。
不可否认服务,其目的是保护通信用户免遭来自系统中其他合法用户的威胁,而不是来自未知攻击者的威胁。通过公证机制的数字证书和时间戳可以保证信息发送方对发出的消息不能抵赖。
2.虚拟专用网VPN技术
虚拟专用网VPN(Virtual Private Network)技术是在公共传输网络中采用隧道技术,形成逻辑私有的通讯网络的技术。这样对通信安全要求高的用户就不需要向网络运营商要求单独牵一条专线,可以节省不少成本。VPN可实现数据公网传输的机密性、完整性,对通信双方的身份进行认证,并可解决异构网传输问题等。VPN可工作在很多层次,如工作在链路层的链路密码技术,工作在IP层的IPSEC VPN,GRE封装,工作在传输层的SSL VPN等。2.1.VPN系统的组成
VPN系统由以下七个部分组成,VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:终端计算机或者路由器。隧道:数据传输通道,其中传输的数据必须经过封装。隧道协议:封装数据、管理隧道的通信标准。VPN连接:在VPN连接中,数据必须经过加密。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享型网络。下图一直观的显示了VPN系统的组成。
图一 VPN系统的组成
2.2.VPN系统通信流程与功能
首先,需要保护的主机发送明文信息到其VPN设备,其VPN设备根据管理员设置的规则,确定是对数据加密还是直接传送。如果是需要加密的数据,VPN 设备将其整个数据包进行加密和签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和初始化参数)重新封装;封装后的数据包通过隧道在公网上传输;然后数据包到达目的VPN设备,收端VPN设备将数据包解封,核对签名后,将数据包解密。
实现的基本功能有五项,分别是身份鉴别:包括验证用户的身份,限制非授权用户的时候访问了什么资源。不同的用户对不同的资源应有不同的访问权限;地址管理:为每个客户分配一个地址,并保证地址对虚拟专用网外的不可见性;数据加密:保证通过公共网络传送的信息即使被他人截获也不会泄密;密钥管理:能够为VPN的客户和服务器生成和更新加密密钥;多协议支持:VPN必需能够处理公共网络常用的各种协议,包括IP、IPX等等; 2.3.VPN系统的分类
Intranet VPN:用于集团的总部和多个分支机构之间;分支机构网络是集团总部网络的可靠延伸;
Extranet VPN:为集团的供货商、重要客户和消费者等商业伙伴提供访问权限;电子商务是Extranet VPN的一种特殊形式;
Access VPN:为移动用户远程访问集团总部网络提供服务; 2.4.关键技术
隧道技术:VPN的核心技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道由隧道协议形成,常用的有2、3层隧道协议。
密码技术(由下面三项技术组成)
加解密技术:将认证信息、通信数据等转换为密文的相关技术,其可靠性主要取决于加解密的算法及强度。
密钥管理技术:如何在公用网上安全地传递密钥而不被窃取。身份认证技术:在正式的隧道连接开始之前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。2.5.身份认证方法
PAP(Password Authentication Protocol):是一种简单的明文用户名/口令认证方式。
CHAP(Challenge Handshake Authentication Protocol询问握手身份验证协议):是一种挑战响应式协议。它是PPP(MODEM或ADSL拨号)中普遍使用的认证协议。MS-CHAP:是微软针对Windows系统设计的,采用MPPE加密用户密码和数据。
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统):最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。
2.6.具体通信协议与方法 2.6.1.点对点隧道协议(PPTP)
PPTP(point – to – point Tunneling Protocol)是1996年Microsoft 和Ascend等在PPP协议上开发的支持Client-to-LAN类型的VPN连接。PPTP 使用 PPP 拨号连接,通过对PPP 分组的封装传输,将PPP 链接逻辑地延伸到远程用户与企业总部的PPTP服务器之间,从而借用PPP 协议成熟的机制对用户进行身份鉴别、访问授权以及网络配置,同时,通过PPTP封装传输,也使得使用企业内部地址的分组,能成功地穿越IP 异构网络,到达企业总部,以此达到资源共享。PPTP只能在两端点间建立单一隧道。
PPTP工作模式分为被动和主动两种模式。被动模式中,PPTP会话通过一个一般位于ISP 处的前端处理器发起,客户端不需安装任何PPTP软件,ISP 为用户提供相应的服务,这种方式降低了对客户的要求,但限制了客户对Internet 其他部分的访问。主动模式中,客户与网络另一端的服务器直接建立PPTP隧道,不需ISP 的参与,不需位于ISP 处的前端处理器,ISP 只提供透明的传输通道。这种方式的优点是客户对PPTP有绝对的控制。
PPTP隧道机制的特点有,PPTP不提供数据安全性保证,它必须借助PPP 的加密机制,如MPPE(Window自带),或者与其它安全协议如IPsec)结合使用,才能为隧道通信提供安全保护;由于PPP协议本身支持多协议传输,PPTP因此支持多协议传输; PPTP不支持多隧道复用,但通过呼叫ID 能支持对隧道的会话复用; PPTP通过GRE头中的序列号支持有限的分组排序功能; PPTP协议的系统开销适中;除了有限的流量控制功能,PPTP也基本不能提供QoS 保障。2.6.2.第2层转发L2F(Layer 2 Forward)协议
L2F(Layer 2 Forward)协议由Cisco公司提出,通过对PPP或SLIP分组的封装传输,能使PPP/SLIP分组在多种网络(如ATM、帧中继和IP网络)中传输。其标准于1998年提交IETF,发布在RFC 2341。L2F协议设计了L2F封装头, 形成L2F分组。L2F分组可在任何能提供点到点链接的底层媒体上发送。当L2F分组在IP网络上发送时,L2F分组将作为UDP协议的上层协议数据单元被封装成为UDP报文,经过IP协议发送。
以下是一个典型的L2F协议的实现:
图二 L2F协议的典型实现
远程用户通过ISDN/PSTN 网与NAS建立PPP 连接。VPN客户机通过VPN拨号向NAS服务器发送请求,希望建立与远程HGW的VPN连接。NAS根据用户名称等信息向HGW发送隧道建立连接请求,实现与HGW之间通过IP 网、帧中继或其它网络建立L2F 隧道,总部局域网通过HGW与外界连接。即远程用户与NAS之间建立一条PPP 链接。这条链接被NAS与HGW之间的L2F 隧道逻辑地延伸到HGW。2.6.3.第2层隧道协议(L2TP)
因特网工程任务组(IETF)希望统一虚拟拨号的标准,由此产生了L2TP(Layer 2 Tunneling Protocol)协议。它由微软、Ascend、Cisco、3COM等公司参予制定,结合了PPTP和L2F两种协议的优点,成为IETF标准RFC 2661。L2TP是典型的被动式隧道协议,可让用户从客户机或接入服务器发起VPN连接。L2TP协议设计了L2TP封装头,设计思想类似于L2F头。封装形成的L2TP分组可在任何能提供点到点链接的媒体上发送,如IP网、ATM和帧中继。当L2TP分组在IP网上进行发送时,L2TP分组被封装入UDP报文,再递交给IP协议进行发送。
而L2TP协议的工作流程如下:远程用户通过PSTN或ISDN网,向ISP发起PPP链接请求。在ISP的呈现点 POP处,LAC接受此连接,建立远程用户到LAC的PPP链接。远程用户与LAC互换LCP配置信息,并可能实现如CHAP身份鉴别信息的局部交换;
ISP的LAC依据CHAP应答中的名字信息,确定是否对此远程用户提供虚拟的拨号访问服务。若需要,则由名字信息确定该用户的总部所在地,即目的LNS;
如果LAC与该LNS之间没有建立隧道,或者因为保证QoS服务的需要,由LAC向LNS发起隧道的建立,并为该隧道分配一个隧道号,即Tunnel ID;并在隧道中为该用户呼叫分配一个ID号,称Call ID。LAC随后向LNS发出入站呼叫请求。该请求中可能包括LAC对远程用户收集的鉴别信息以及其它配置信息;如果LNS接受此入站呼叫,则在LNS为此呼叫产生一个“虚拟接口”,该虚拟接口为L2TP隧道的终点,其另一终点是建立于LAC上的一个L2TP虚拟接口;
LNS为远程用户分配IP地址。LNS分配给远程用户的IP地址由管理员设置,一般使用私有地址,但LAC和LNS需使用公共IP地址。从远程用户发送的PPP帧到达LAC后,LAC上的L2TP虚拟接口将PPP帧封装为L2TP分组之中,在特定的传输媒体上发送。当L2TP分组到达LNS端后,L2TP头被剥去,剩余的PPP或SLIP分组将与正常进入的分组一样被送入相应的接口进行处理。
从LNS发送到远程用户的数据的处理过程与此完全相似。2.6.4.IP安全协议(IPSec)与SSL VPN VPN技术虽然种类众多,但IETF下的IPSec工作组推出的IPSec协议是目前工业界IP VPN标准,安全性明显优于其它隧道协议,以IPSec协议构建虚拟专用网已成为主流。
基于IPSec构建IP VPN是指利用实现IPsec协议的安全网关(Security Gateway)充当边界路由器,完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等。
IPSec VPN的建立方式包括:Host 对Host,Host 对VPN 网关,VPN 对VPN 网关,Remote User 对VPN 网关,Host 对Host,Host 对VPN 网关,VPN 对VPN 网关,Remote User 对VPN 网关。SSL VPN主要供远程用户访问内部网络资源时使用,包括Web服务、文件服务(包括FTP 服务、Windows网上邻居服务)、可转化为Web方式的应用(如Webmail)以及基于C/S的各类应用等。SSL 应用模式基本分为三类:Web浏览器模式、专门的SSL VPN客户端模式和LAN 到LAN 模式。
在Web浏览器模式中,SSL VPN服务器使用https和socks 协议(实现代理功能,负责转发数据)。SSL VPN客户端与SSL VPN服务器间使用https协议;而SSL VPN服务器与单位内部服务器间使用http 协议。当客户端需要访问内部网络中的C/S应用时,它从SSL VPN服务器下载控件。该控件是一个服务监听程序,用于将客户端的C/S数据包转换为Http 协议支持的连接方法,并通知SSL VPN服务器它所采用的通信协议(TCP/UDP)及访问的目的服务地址和端口。客户端控件与SSL VPN服务器建立安全通道后,在本机接收客户端数据包后,通过SSL 通道转发给SSL VPN服务器。SSL VPN服务器解密数据后转发给内部网络的目的服务器。SSL VPN服务器接收到内部网络的服务器的响应数据包后,通过SSL 通道发给客户端控件。客户端控件解密后转发给客户端应用程序。
3.学习总结
网络安全技术是保证网络通信过程中,传递信息的机密性,完整性,可用性,不可否认性等。硬件层面的设备,线缆等安全性可以通过加强设计和提高生产技术来保证。软件层面的通信安全就需要靠安全通信协议和对明文内容的加密算法来实现。在通信网络的OSI分层中,软件层面的通信安全主要体现在网络层,传输层,会话层,表示层。在每个层中,根据网络通信类型和服务不同,使用的安全协议也有区别。密钥技术,数字证书技术等保证信息机密性,完整性,可用性,不可否认性的技术主要工作在表示层。而VPN技术是从链路层到表示层都有一整套协议和通信方式的技术,在各个层都能够保证信息不被篡改,阅读,抵赖。所以几乎能够相当于在用户之间建立了一条专线进行通信。
第五篇:设想射频通信技术应用
射频通信技术的应用设想
人类对野生动物的研究自古已有,甚至可以说人类的进步和发展在很大的程度上得益于向大自然学习,向大自然中的各种生物学习。在很多野生动物濒临灭绝的今天,监测并保护它们是我们义不容辞的责任。在科学技术大发展的今天,野生动物跟踪技术也在飞速的发展着。无线电跟踪技术、电子标志技术、以及全球定位系统的应用,都大放异彩,极大地推动了野生动物研究工作的发展。下面主要就对射频技术来追踪检测,并对未来野生动物跟踪技术的发展方向和发展前景指明方向。
射频识别(RFID),又称电子标签(E-Tag),是一种利用射频信号自动识别目标对象并获取相关信息的技术。RFID 最早的应用可追溯到第二次世界大战中用于区分联军和纳粹飞机的“敌我辨识”系统。随着技术的进步,RFID 应用领域日益扩大,现已涉及到人们日常生活的各个方面,并将成为未来信息社会建设的一项基础技术。RFID 典型应用包括:在物流领域用于仓库管理、生产线自动化、日用品销售;在交通运输领域用于集装箱与包裹管理、高速公路收费与停车收费;在农牧渔业用于羊群、鱼类、水果等的管理以及宠物、野生动物跟踪;在医疗行业用于药品生产、病人看护、医疗垃圾跟踪;在制造业用于零部件与库存的可视化管理;RFID 还可以应用于图书与文档管理、门禁管理、定位与物体跟踪、环境感知和支票防伪等多种应用领域。
所谓动物跟踪与识别,就是利用特定的标签,以某种技术手段与拟识别的动物相对应(注射、狗牌和耳标等),可以随时对动物的相关属性进行跟踪与管理的一种技术。进行动物跟踪与识别的主要原因包括:对野生动物疾病和健康进行控制、监督与预防;本土物种的安全保护。在动物识别中使用RFID,代表了当前动物识别技术的最高水平。在动物上上安装电子标签,并写入代表该动物的ID代码。当动物进入RFID固定式阅读器的识别范围,或者工作人员拿着手持式阅读器靠近动物时,阅读器就会自动将动物的数据信息识别出来。如果将阅读器的数据传输到动物管理信息系统,便可以实现对动物的跟踪。射频识别RFID技术也是一项比较成熟的科学技术了。RFID技术在动物跟踪领域已经应用多年,并经常和先进的全球定位系统一起应用来跟踪设备,以便研究人员可以在更遥远的距离内实现对动物的跟踪,有时,还会使用到飞机或者直升机来帮助高空视察。此项技术在很多项目中都得到了应用。世界野生动物基金会在亚马逊河流域使用无源RFID标签来监视野兽,这是生物多样化研究的一部分。
在动物识别和跟踪中是否能大力度的推广射频通信技术的应用,我觉得主要取决于两个方面的因素:技术标准和价格成本。目前全世界貌似还没有统一的技术标准。而将该技术用于野生动物的监控花费毕竟很高。所以要实现利用射频通信技术来普遍实现对动物的监护还是有很长一段路要走,但我还是希望在不久的将来它能成为我们人类挽救大自然的得力助手。
点击咨询 