第一篇:网络论文毕业论文大全
network001 DOS攻击方式的研究及实现【论文+27页+0.9万+doc】
network002 GSM双频网络优化技术【毕业论文+25页+1.5万+doc】
network003 IP多媒体流穿越FWNAT的概述及发展动态【毕业论文+45页+2.0万+doc】 network004 Linux 下WEB服务器的架设【论文+23页+0.8万+doc】
network005 LINUX防火墙技术【毕业论文+31页+1.4万+doc】
network006 Linux环境下虚拟文件系统分析研究【毕业论文+47页+2.2万+doc】
network007 Linux内核移植到ARM的毕业论文【毕业论文+31页+1.6万+doc】
network008 LINUX系统的系统服务和工具介绍【毕业论文+59页+2.4万+doc】
network009 LINUX下网卡驱动程序开发【论文+33页+2.4万+doc】
network010 MATLAB仿真在数据可视化表达中的应用【毕业论文+30页+0.9万+doc】
network011 SNMP在网络管理网中的作用与实现--管理网络打印机【【毕业论文74页+1.7万+doc】 network012 WAP业务应用程序【毕业论文+28页+1.1万+doc】
network013 wap中的推送技术【【毕业论文+29页+1.3万+doc】
network014 windows 的网络管理【毕业论文+23页+0.9万+doc】
network015 Winsock通信及应用【毕业论文+45页+2.9万+doc】
network016 WWW服务器的研究和创建【毕业论文+38页+1.1万+doc】
network017 XML解释器与DOM【毕业论文22页+0.9万+doc】
network018 xx大厦综合网络方案设计【毕业论文+30页+9千+doc】
network019 XX大学校园网组建【毕业论文54页2.2万+doc】
network020 XX省邮电学校校园网网络设计【毕业论文+56页+2.8万+doc】
network021 xx市政府办公自动化系统【毕业论文21页+0.5万+doc】
network022 XX市政府上网工程方案【毕业论文+71页+2.5万+doc】
network023 安全远程接入VPN系统【毕业论文+80页+3.4万+doc】
network024 电子商务在国贸中面临的法律问题【毕业论文+11页+1.3万+doc】
network025 电子商务中的安全问题【毕业论文+19页2.0万+doc】
network026 电子商务中的网上银行系统【毕业论文+27页+1.2万+doc】
network027 电子邮件客户端系统毕业论文【毕业论文+38页+1.6万+doc】
network028 端口漏洞扫描器的研究机理与实现【毕业论文+45页+1.4万+doc】
network029 短信服务平台的组建和相关技术【毕业论文+17页0.8万+doc】
network030 多媒体教育软件体系-体系研究与课件制作【毕业论文+54页+3.6万+doc】
network031 反病毒引擎设计【毕业论文+43页+3.8万+doc】
network032 防火墙免疫系统的设计与实现【毕业论文+4页+0.4万+doc】
network033 防火墙技术原理及其在校园网中的应用方案设计【毕业论文+17页+1.0万+doc】 network034 分布式入侵检测系统设计与实现【毕业论文+69页+3.4万+doc】
network035 个人防火墙——包过滤的设计与实现【毕业论文+23页+1.4万+doc】
network036 广域网技术应用【毕业论文+45页+1.7万+doc】
network038 基于IPV6协议下的防火墙技术研究【毕业论文+61页+2.3万+doc】
network037 基于ACL的网络病毒过滤规则【毕业论文+35页+2.2万+doc】
network039 基于Linux的轻型防火墙【毕业论文+54页+2.0万+doc】
network040 基于Linux内核的轻型防火墙系统【毕业论文76页+2.7万+doc】
network041 基于SOAP协议的Web服务安全性问题的研究【毕业论文+49页+1.8万+doc】 network042 基于WINPCAP、ARP协议的网络管理【毕业论文+65页+1.4万+doc】
network043 基于企业内部网的DHCP服务器的分析与配置【毕业论文+28页+0.7万+doc】 network044 基于日志的审计系统构架的探讨【毕业论文+33页+1.4万+doc】
network045 基于网络的虚拟仪器测试系统【毕业论文+56页+2.3万+doc】
network046 基于校园网的学生一卡通系统的研究与设计【毕业论文+59页+3.6万+doc】
network047 基于主题定制网络爬虫的邮件地址的自动抽取【毕业论文+52页+2.0万+doc】
network048 集团企业信息管理系统总体设计方案【毕业论文+32页+2.3万+doc】
network049 计算机局域网组建与互连【毕业论文+12页+0.9万+doc】
network050 计算机网络IPV6技术探讨【毕业论文+19页+1.2万+doc】
network051 计算机网络安全管理的研究【毕业论文+21页+1.5万+doc】
network052 教学信息系统【毕业论文+20页+0.9万+doc】
network053 局域网建设与规划【毕业论文+18页+0.7万+doc】
network054 局域网内的IP地址监控【毕业论文+62页+2.8万+doc】
network055 局域网上的点对点通信【毕业论文+13页+1.7万+doc】
network056 局域网上网管理系统的设计与实现【毕业论文+54页+1.5万+doc】
network057 某办公大楼视频安防监控系统技术方案【毕业论文+21页+0.6万+doc】
network058 木马攻防技术原理【毕业论文+17页+1.9万+doc】
network059 木马原理与现状【毕业论文26页+1.1万+doc】
network060 内蒙古XXX网络工程系统集成设计方案【毕业论文+78页+3.7万+doc】
network061 企业网网络安全解决方案【毕业论文+46页+2.7万+doc】
network062 浅谈入侵检测技术【毕业论文+35页+2.4万+doc】
network063 浅析网络安全技术【毕业论文+16页+1.1万+doc】
network064 使用UML和Rational Rose设计一个应用系统(图书馆管理系统)模型【毕业论文+53页+2.1万+doc】
network065 视频增强算法研究【毕业论文+54页+2.8万+doc】
network066 特定主题的网络爬虫【毕业论文+33页+1.4万+doc】
network067 通过串行口及IP网络实现远程监控【毕业论文28页+1.0万+doc】
network068 通用人事工资管理系统【需求分析+doc+18页+1.3万字】
network069 统一建模语言UML与Rose【毕业论文+56页+2.3万+doc】
network070 网络安全分析TCPIP安全研究【毕业论文+18页+1.4万+doc】
network099 网络虚拟磁盘的开发--文件管理前台【毕业论文+30页+1.0万+doc】
network071 网络安全技术研究【毕业论文20页+1.3万+doc】
network100 文件传输协议FTP服务器端协议研究及编程【毕业论文+26页+1.2万+doc】
network072 网络动态路由策略研究【毕业论文+54页+2.9万+doc】
network101 无线WIFI增益天线的制作【毕业论文+58页+2.6万+doc】
network073 网络攻击和网络防范技术研究【毕业论文+40页+1.9万+doc】
network102 无线局域网的设计【毕业论文+24页+1.1万+doc】
network074 网络攻击与网络防范【毕业论文+35页+1.8万+doc】
network103 无线局域网技术及其应用【毕业论文+18页+0.9万+doc】
network075 网络流量测量软件的设计与实现【毕业论文+17页+0.7万+doc】
network104 物流管理信息系统分析与设计【毕业论文+54页+2.3万+doc】
network076 网络模拟与NS-2研究【毕业论文+71页+1.9万+doc】
network105 西安市某综合办公楼供暖设计【毕业论文+78页+3.7万+doc】
network077 网络数据的捕获与回放【毕业论文+38页+0.8万+doc】
network106 项目任务管理系统——架构设计【论文+33页+1.3万+doc】
network078 网络信息安全与防火墙技术【毕业论文+18页+1.5万+doc】
network108 小灵通网络性能分析【毕业论文+36页+1.1万+doc】
network079 网络行为的检测与分析【毕业论文+51页+2.6万+doc】
network109 小区网络设计方案【毕业论文+34页+1.2万+doc】
network080 小区网络组建【毕业论文+45页+1.2万+doc】
network081 小区智能化系统设计方案【毕业论文+58页+2.5万+doc】
network082 小型局域网的建设与设计【毕业论文+80页+4.4万+doc】
network083 校园网的建设与规划【毕业论文+60页+2.5万+doc】
network084 校园网络VPN技术与综合部线【毕业论文+73页+3.4万+doc】
network085 校园网络设计【毕业论文+16页+0.8万+doc】
network086 校园网络总体结构设计【毕业论文+50页+2.3万+doc】
network087 校园网络组建【毕业论文+45页+1.3万+doc】
network088 校园网综合方案【毕业论文+64页+2.9万+doc】
network089 校园网组网规划与设计【毕业论文+40页+1.2万+doc】
network090 校园一卡通管理系统设计方案【毕业论文+51页+1.7万+doc】】
network091 学生宿舍网络组建方案【毕业论文+45页+1.4万+doc】
network092 一种高速网络下分布式入侵检测体系的结构设计和实现【毕业论文+36页+2.0万+doc】 network093 远程视频监控系统发射端的设计与实现【毕业论文+52页+2.0万+doc】
network094 智能化小区网络组建【毕业论文+46页+1.8万+doc】
network095 智能小区综合布线方案【毕业论文+32页+3.1万+doc】
network096 中学校园网络工程方案【毕业论文+69页+3.6万+doc】
network097 组播技术在校园网的应用研究【毕业论文+19页+1.2万+doc】
network098 组建与维护企业网络【论文+34页+1.2万+doc】
第二篇:有关网络毕业论文
网络性能测量技术的研究
摘 要:网络性能测量是网络行为分析的基础。本文对网络性能测量的相关内容以及网络性能指标的测量与分析进行了系统的介绍,并对网络性能测量的下一步发展进行了展望。
关键词: 网络性能 测量技术 性能指标 分析与研究
1.引言
随着Internet技术和网络业务的飞速发展,用户对网络资源的需求空前增长,网络也变得越来越复杂。不断增加的网络用户和应用,导致网络负担沉重,网络设备超负荷运转,从而引起网络性能下降。这就需要对网络的性能指标进行提取与分析,对网络性能进行改善和提高。因此网络性能测量便应运而生。发现网络瓶颈,优化网络配置,并进一步发现网络中可能存在的潜在危险,更加有效地进行网络性能管理,提供网络服务质量的验证和控制,对服务提供商的服务质量指标进行量化、比较和验证,是网络性能测量的主要目的。
2.网络性能测量的概念
2.1 网络性能的概念
网络性能可以采用以下方式定义
[1]网络性能是对一系列对于运营商有意义的,并可用于系统设计、配置、操作和维护的参数进行测量所得到的结果。可见,网络性能是与终端性能以及用户的操作无关的,是网络本身特性的体现,可以由一系列的性能参数来测量和描述。
2.2 网络性能参数的概念
对网络性能进行度量和描述的工具就是网络性能参数。IETF和ITU-T都各自定义了一套性能参数,并且还在不断的补充和修订之中。
2.2.1 性能参数的制定原则
网络性能参数的制定必须遵循如下几个原则:
1)性能参数必须是具体的和有明确定义的;
2)性能参数的测量方法对于同一参数必须具有可重复性,即在相同条件下多次使用该方法所获得的测量结果应该相同;
3)性能参数必须具有公平性,即对同种网络的测量结果不应有差异而对不同网络的测量结果则应出现差异;
4)性能参数必须有助于用户和运营商了解他们所使用或提供的IP网络性能;
5)性能参数必须排除人为因素;
2.2.2 ITU-T定义的IP网络性能参数
ITU-T对IP网络性能参数的定义[2]包括:
1)IP包传输延迟(Packet Transfer Delay, IPTD)
2)IP包时延变化(IP Packet Delay Variation, IPDV)
3)IP包误差率(IP Packet Error Rate IPER)
4)IP包丢失率(IP Packet Lass Rate, IPLR)
5)虚假IP包率(Spurious IP Packet Rate)
6)流量参数(Flow related parameters)
7)业务可用性(IP Service Availability)
2.2.3 IETF定义的IP网络性能参数
IETF 将性能参数[3]称为“度量(Metric)。由IPPM(IP Performance Metrics)工作组来负责网络性能方面的研究及性能参数的制定。IETF对IP网络性能参数的定义包括:
1)IP连接性
2)IP包传送时延
3)IP包丢失率
4)IP包时延变化
5)流量参数
2.3 网络性能结构模型
从空间的角度来看,网络整体性能可以分为两种结构:立体结构模型和水平结构模型。
2.3.1 立体结构模型
IP网络就其协议栈来说是一个层次化的网络,因此,对IP网络性能的研究也可以按照一种自上而下的方法进行。可以以IP层的性能为基础,来研究IP层不同性能与上层不同应用性能之间的映射关系。
2.3.2 水平结构模型
对于网络的性能,用户主要关心的是端到端的性能,因此从用户的角度来看,可以利用水平结构模型来对IP网络的端到端性能进行分析。
3.网络性能测量的方法
网络性能测量涉及到许多内容,如采用主动方式还是被动方式进行测量;发送测量包的类型;发送与截取测量包的采样方式;所采用的测量体系结构是集中式还是分布式等等。
3.1 测量包
网络性能测量中,影响测量结果的一个重要因素就是测量数据包的类型。
3.1.1 P类型包
类型P是对IP包类型的一种通用的声明。只要一个性能参数的值取决于对测量中采用的包的类型,那么参数的名称一定要包含一个具体的类型声明。
3.1.2标准形式的测量包
在定义一个网络性能参数时,应默认测量中使用的是标准类型的包。比如可以定义一个IP 连通性度量为:“IP 某字段为0的标准形式的P 类型IP 连通性”。在实际测量中,很多情况下包长会影响绝大多数性能参数的测量结果,包长的变化对于不同目的的测量来说影响也会不一样
3.2主动测量与被动测量方式
最常见的IP网络性能测量方法有两类:主动测量和被动测量。这两种方法的作用和特点不同,可以相互作为补充。
3.2.1主动测量
主动测量是在选定的测量点上利用测量工具有目的地主动产生测量流量,注入网络,并根据测量数据流的传送情况来分析网络的性能。主动测量的优点是对测量过程的可控性比较高,灵活、机动,易于进行端到端的性能测量;缺点是注入的测量流量会改变网络本身的运行情况,使得测量的结果与实际情况存在一定的偏差,而且测量流量还会增加网络负担。主动测
量在性能参数的测量中应用十分广泛,目前大多数测量系统都涉及到主动测量。
要对一个网络进行主动测量,需要一个测量系统,这种主动测量系统一般包括以下四个部分:测量节点(探针)、中心服务器、中心数据库和分析服务器。有中心服务器对测量节点进行控制,由测量节点执行测量任务,测量数据由中心数据库保存,数据分析则由分析服务器完成。
3.2.2 被动测量
被动测量是指在链路或设备(如路由器,交换机等)上利用测量设备对网络进行监测,而不需要产生多余流量的测量方法。被动测量的优点在于理论上它不产生多余流量,不会增加网络负担;其缺点在于被动测量基本上是基于对单个设备的监测,很难对网络端到端的性能进行分析,并且可能实时采集的数据量过大,另外还存在用户数据泄漏等安全性和隐私问题。被动测量非常适合用来进行流量测量。
3.2.3主动测量与被动测量的结合主动测量与被动测量各有其优、缺点,而且对于不同的性能参数来说,主动测量和被动测量也都有其各自的用途。因此,将主动测量与被动测量相结合将会给网络性能测量带来新的发展。
3.3 测量中的抽样
3.3.1 抽样概念
抽样,也叫采样,抽样的特性是由抽样过程所服从的分布函数所决定的。研究抽样,主要就是研究其分布函数。对于主动测量,其抽样是指发送测量数据包的过程;对于被动测量来说,抽样则是指从业务流量中采集测量数据的过程。
3.3.2 抽样方法
依据抽样时间间隔所服从的分布,抽样方法可分为很多种,目前比较常用的抽样方法是周期抽样、随机附加抽样和泊松抽样[4]。周期抽样是一种最简单的抽样方式,每隔固定时间产生一次抽样。因为简单,所以应用的很多。但它存在以下一些缺点: 测量容易具有周期性、具有很强的可预测性、会使被测网络陷入一种同步状态。随机附加抽样的抽样间隔的产生是相互独立的,并服从某种分布函数,这种抽样方法的优劣取决于分布函数:当时间间隔以概率1 取某个常数,那么该抽样就退化为周期抽样。随机附加抽样的主要优点在于其抽样间隔是随机产生的,因此可以避免对网络产生同步效应,它的主要缺点是由于抽样不是以固定间隔进行,从而导致频域分析复杂化。
在RFC2330 中,推荐泊松抽样,它的时间间隔符合泊松分布,它的优点是:能够实现对测量结果的无偏估计、测量结果不可预测、不会产生同步现象。但是,由于指数函数是无界的,因此泊松抽样有可能产生很长的抽样间隔,因此,实际应用中可以限定一个最大间隔值,以加速抽样过程的收敛。
4.性能指标的测量与分析
4.1 连接性
连接性[5]也称可用性、连通性或者可达性,严格说应该是网络的基本能力或属性,不能称为性能,但ITU-T建议可以用一些方法进行定量的测量。目前还提出了连通率的概念,根据连通率的分布状况建立拟合模型。
4.2 延迟
延迟的定义是[6]:IP 包穿越一个或多个网段所经历的时间。延迟由固定延迟和可变延迟两部分组成[7][8]。固定延迟基本不变,由传播延迟和传输延迟构成;可变延迟由中间路由器处理延迟和排队等待延迟两部分构成。对于单向延迟测量要求时钟严格同步,这在实际的测量中很难做到,许多测量方案都采用往返延迟,以避开时钟同步问题。
往返延迟的测量方法是:入口路由器将测量包打上时戳后,发送到出口路由器。出口路由器一接收到测量包便打上时戳,随后立即使该数据包原路返回。入口路由器接收到返回的数据包之后就可以评估路径的端到端时延。4.3 丢包率
丢包率的定义是[9]:丢失的IP 包与所有的IP 包的比值。许多因素会导致数据包在网络上传输时被丢弃,例如数据包的大小以及数据发送时链路的拥塞状况等。
为了评估网络的丢包率,一般采用直接发送测量包来进行测量。对丢包率进行准确的评估与预测则需要一定的数学模型。目前评估网络丢包率的模型主要有贝努利模型、马尔可夫模型和隐马尔可夫模型等等[10]。贝努利模型是基于独立同分布的,即假定每个数据包在网络上传输时被丢弃的概率是不相关的,因此它比较简单但预测的准确度以及可靠性都不太理想。但是,由于先进先出的排队方式的采用,使得包丢失之间有很强的相关性,即在传输过程中,包被丢失受上一个包丢失的影响相当大。假定用随机变量Xi 代表包的丢失事件,Xi = 0 表示包丢失,而Xi = 1 表
示包未丢失。则第i 个包丢失的概率为P[Xi|Xi-1, Xi-2,…Xi-n], Xi-1, Xi-2,...Xi-n 取所有的组合情况。当N=2 时,该Markov 链退化为著名的Gilbert 模型。隐马尔可夫模型是对马尔可夫模型的改进。
Maya Yajnik等人所作的172 小时的测量试验[11]结果表明,在不同的数据采样间隔下(20ms,40ms,80ms,160ms)采用三种不同的丢包率分析模型进行分析得到的结果完全不同,在不同的估计精确度的要求下实验结果也各有不同。因此,目前需要能够精确描述丢包率的数学模型。
4.4 带宽
带宽一般分为瓶颈带宽和可用带宽。
瓶颈带宽是指当一条路径(通路)中没有其它背景流量时,网络能够提供的最大的吞吐量。对瓶颈带宽的测量一般采用包对(packet pair)技术,但是由于交叉流量的存在会出现“时间压缩”或“时间延伸”现象,从而会引起瓶颈带宽的高估或低估。另外,还有包列等其它测量技术。
可用带宽是指在网络路径(通路)存在背景流量的情况下,能够提供给某个业务的最大吞吐量。因为背景流量的出现与否及其占用的带宽都是随机的,所以可用带宽的测量比较困难。一般采用根据单向延迟变化情况可用带宽进行逼近。其基本思想是:当以大于可用带宽的速率发送测量包时,单向延迟会呈现增大趋势,而以小于可用带宽的速率发送测量包时,单向延迟不会变化。所以,发送端可以根据上一次发送测量包时单向延迟的变化情况动态调整此次发送测量包的速率,直到单向延迟不再发生增大趋势为止,然后用最近两次发送测量包速率的平均值来估计可用带宽
瓶颈带宽反映了路径的静态特征,而可用带宽真正反映了在某一段时间内链路的实际通信能力,所以可用带宽的测量具有更重要的意义。
4.5 流量参数
ITU-T提出两种流量参数作为参考:一种是以一段时间间隔内在测量点上观测到的所有传输成功的IP 包数量除以时间间隔,即包吞吐量;另一种是基于字节吞吐量:用传输成功的IP 包中总字节数除以时间间隔。
Internet 业务量的高突发性以及网络的异构性,使得网络呈现复杂的非线性,建立流量模型越发变得重要。早期的网络流量模型,是经典流量模型,也即借鉴PSTN的流量模型,用poisson模型描述数据网络的流量,以及后来的分组火车模型,Markov模型等等。随着网络流量子相似性的发现,基于自相似模型的流量建模研究也取得了不少进展和得到了广泛的应用,譬如分形布朗运动模型和分形高斯噪声模型以及小波理论分析等等。高速网络技术的发展使
得对巨大的网络流量进行直接测量几乎不可能,同时,大量的流量日志也使流量分析变得相当困难。为了解决这一问题,近几年,流量抽样测量研究已成为高速网络流量测量的研究重点。
5.网络性能测量的展望
网络性能测量中还有许多关键技术值得研究。例如:单向测量中的时钟同步问题;主动测量与被动测量的抽样算法研究;多种测量工具之间的协同工作;网络测量体系结构的搭建;性能指标的量化问题;性能指标的模型化分析[12]~[16];对网络未来状况进行趋势预测;对海量测量数据进行数据挖掘或者利用已有的模型(Petri 网、自相似性、排队论)研究其自相似性特征[17]~[19];测量与分析结果的可视化,以及由测量所引起的安全性问题等等都是目前和今后所要研究的重要内容。随着网络性能相关理论、测量方法、分析模型研究的逐渐深入、各种测量工具的不断出现以及大型测量项目的不断开展,人们对网络的认识会越来越深刻,从而不断地推动网络技术向前发展
6.结束语:
本文对目前网络性能测量技术的主要方面进行了介绍和分析并对未来网络性能测量的研究重点进行了展望。
参考文献
[1] ITU-T 建议1.350
[2] ITU-T,建议Y1540
[3] IETF, RFC2330, “Framework for IP Performance Metrics” Table of Contents 6
[4] IETF, RFC2330, “Framework for IP Performance Metrics” Table of Contents11
[5] IETF, RFC2678, “IPPM Metrics Measuring Connectivity”
[5] IETF, RFC2679, “A One-way Delay Metric for IPPM”
[6] IETF, RFC2681, “A Round-trip Delay Metric for IPPM”
[7] IETF.RFC3393, “IP Packet Delay Variation Metric for IPPM”
PDF 文件使用 “pdfFactory Pro” 试用版本创建.cn
http://
[8] IETF, RFC2680, “A One-way Packet Loss Metric for IPPM”
[9] H.Sanneck and G.Carle GMD Fokus, Kaiserin-Augusta-Allee 31, D-10589 Berlin, Germany,“A Framework
Model for Packet Loss Metrics Based on Loss Runlengths ”
[10] Maya Yajnik, Sue Moon, Jim Kurose and Don Towsley ,“Measurement and Modelling of the Temporal
Dependence in Packet Loss ”, Department of Computer Science University of Massachusetts Amherst, MA 01003
USA
[11] Jacobson V, “Pathchar A Tool to Infer Characteristics of InternetPaths.”
[12] LO PRESTI F, DUFFIELD N G, HOROWITZ J, et al.“Multicast-based Inference of Network Internet-Delay
Distributions”.University of Massachusetts, Amherst, Computer Science, Technical Report UM-CS-1999-055,1999.[13] DUFFIELD N G, LO PRESTI F.“Multicast inference of packet delay variance at interior network links”.IEEE INFOCOM 2000[C].Tel Aviv Israel, 2000.[14] HUANG L, SEZAKI K.“End-to-end Internet Delay Dynamics”.IEICE Technical Report of CQ WG, May
2000.[15] OHSAKI H, MURATA M, MIYAHARA H, “ Modeling end-to-end packet delay dynamics of the Internet”
using systemidentification[A].International Teletraffic Congress 17[C].Salvador da Bahia, Brazil, 2001.[16]Sue B.Moon, “Measurement and Analysis of End-to-End Delay and Loss in The Internet”
[17] J.-C.Bolot.“End-to-end packet delay and loss behavior in the Internet”.In Proceedings of ACM SIGCOMM,San Francisco, August 1993.[18] V.Paxson, “Measurements and Analysis of End-to-End Internet Dynamics”, Ph.D.dissertation, 1997.[19]张宏莉,方滨兴,胡铭曾,姜誉,詹春艳,张树峰,“Internet测量与分析综述”,软件学报,2003年1
月,Vol.14, No.
第三篇:网络毕业论文
摘 要
随着因特网的迅猛发展,电子政务、电子商务的快速兴起,人类正以前所未有的速度跨入信息化社会,进入网络时代。对传统的思想观念、工作方式带来巨大的冲击,对现代企业提出严峻的挑战,计算机网络越来越成为人类各种活动中必不可少的一部分,成为政府施政、企业管理、商家经营的主要平台,成为人与人之间进行沟通的主要方式。如何对日益庞大、复杂的计算机网络实施有效的管理也越来越成为政府、企业、商家和网络运营服务商所关注的问题,公司内部网的接入建设是工业现代化的生要标志,其重要作用日益显现出来。
本文结合宏星建筑公司的实际网络需求,对内部网接入进行了规划和实施。首先对宏星建筑公司的用户需求和技术需求进行了详尽的分析,然后对目前流行的接入方式进行了分析和比较,选择了适合公司需求和经济成本的ADSL接入方式,接着对ADSL接入方式进行了具体实施,最后对网络进行了测试和维护。
关键词:需求分析,ADSL接入,ADSL实施,网络测试
目 录
第1章 需求分析...1 1.1设计目标...1 1.2总体需求...1 1.2.1项目概述...1 1.2.2用户需求...1 1.2.3技术需求...1
1.2设计原则及设计目标...2 第二章 网络接入设计...4 2.1网络接入分析...4 2.1.1 XDSL.5 2.1.2 HFC.8 2.1.3 ISDN.9 2.1.4 ADSL.9 2.1.5 以太网接入...9 2.1.6 Cable Modem接入...10 2.1.7 DDN接入...10 2.2 接入比较与选择...11 2.2.1 接入比较...11 2.2.2接入方式选择...13 2.2.3 ADSL优缺点...14 2.3 ADSL应用方式的选择...15 第3章 ADSL安装与实施...17
更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 3.1设备选型...17 3.2方案实施...18 3.3 IP地址规划...18 3.4 ADSL Modem.19 第4章 网络测试和维护...22 4.1网络测试...22 4.2网络维护...23
4.2.1网络维护安全风险分析...23 4.2.2网络维护方案...24 第5章 结 论...25 参考文献...26 致
谢...27
第1章 需求分析
随着国内企业市场的迅猛发展,越来越多的企业开始面临分支机构、连锁加盟单位等新兴的企业架构扩展给企业信息系统建设带来的压力。办公的信息化、网络化尤其重要。近年来,随着先进设备的引进,信息的增多,设备共享和信息的规范的管理越来越重要,在这信息化的时代中,如何构建安全、可靠并支持远端甚至移动办公的企业内部网络建立一个先进的信息网络系统已经刻不容缓。
1.1设计目标
为了与时俱进,满足市场供求,充分利用网络上的信息资源是必然,以满足不断出现的对环境的要求。同时为了促进公司内部的信息交流和资源共享,便于管理,架设一个高性价比、性能良好、基础且安全的网络。
1.2总体需求
1.2.1项目概述
宏星建筑公司占地80余亩,现有员工一千多人,有两栋办公大楼和有两个大型的生产部门。办公大楼有四层,分别为一层为财务部门、人事部门;二层为销售部门、采购部门;三层为生产部门、后勤部门;四层为总经理办公室、客户部门。
更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 1.2.2用户需求
为了能让公司更好的与现代社会接轨,更快获取市场信息为了让外界了解该公司最近的相关信息。现要求对该公司的网络在原有的基础上进行重新设计,使其可以为用户提供更完善的服务。近年来公司已经发展到中等规模企业,设备共享和信息资源的管理越来越重要,因此公司需要一个实时、安全、高速、稳定的信息交换平台,来保证公司那频繁且庞大的信息传输量,从而提高工作效率,达到设备共享,缩小巨大的设备开支,好充分利用有限的资金来提高企业的发展,适应高速发展的信息化社会。
1.2.3技术需求
从技术角度考虑。一个好的网络应该从它多提供的服务和网络的安全性。在设计网络时服务方面至少应具备以下几点:
(1)资源共享功能
网络内的各个桌面用户可以共享数据库。共享、打印机,实现办公自动化系统中的所有功能。(2)通信服务功能
用户能过通过代理服务器和广域网连接进行电子邮件的收发,实现web服务,接入互联网。进行安全的数据访问。
(3)多媒体功能
支持视频点播和视频会议并具有教好的质量保证。(4)通过VPN隧道访问公司内部资源
1.2设计原则及设计目标
根据宏星建筑公司的具体要求,基于以下原则来设计公司网络。
1.实用性:根椐应用系统的要求确定整个系统的结构,即从系统功能和信息需求出发,拟建系统的结构必须满足系统的传输能力要求、信息安全要求、人机交互能力要求、信息处理要求,遵循面向应用,注重实效,急用先上,逐步完善的原则。
2.先进性:以先进、成熟的网络通信技术进行组网,支持数据、语音、视像等多媒体应用,用基于交换的技术替代传统的基于路由的技术。并且能确保网络技术和网络产品几年内不落后。
3.可靠性:系统必须可靠运行,主要的、关键的设备应有冗余,一旦系统某些部分出现故障,应能很快恢复工作,并且不能造成任何损失。
4.开放性:选择的产品应具有好的互操作性和可移植性,并符合相关的国际标准和工业标准。5.可扩充性:系统是一个逐步发展的应用环境,在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能,这种扩充不仅能充分保护原有资源,而且具有较高的性能价格比,使整个网络系统是可扩展的,便于系统升级,改装。
6.可伸缩性原则:网络的建设是一项持续性的系统工程项目,坚持网络建设规模的可伸缩性原则,将使得网络的建设费用降低,避免不必要的浪费,也体现了网络建设的灵活性。
更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 7.可维护性:系统具有良好的网络管理、网络监控、故障分析和处理能力,使系统具有极高的可维护性。
8.安全性:信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。
一个系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,有效的利用现有的资源,并且从用户的利益出发,一个好的系统应当给用户一定的自由度,而不是束缚住他们的手脚,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求,结合对应用系统的考虑,我们提出网络系统的设计目标:可靠的技术选型、标准的体系结构、高的带宽容量、安全的流控设计、用户互操作性、运行性能以及可扩展性。
第二章 网络接入设计
2.1网络接入分析
网络接入方式的结构,统称为网络的接入技术,其发生在连接网络与用户的最后一段路程,网络的接入部分是目前最有希望大幅提高网络性能的环节。对本地环路网来说这是一个瓶颈,全球拥有上亿条用户接入线,因其功能有限阻碍着网络用户业务的发展,而与用户线路另一端的高性能设备形成了鲜明的反差。随着电子技术和光电技术的迅速发展,数字电子系统(从个人计算机到网络交换机或路由器)以及信息传输设备性能都在快速稳步的增长,为解决这一环路瓶颈提供了广阔的发展前景。由于在本地环路铜线上传输的仍然是模拟信号,人们仍然使用着狭窄的无线电频道穿越拥挤的无线电频谱。目前如何大规模拓宽网络接入的瓶颈为全球现有的7.5亿条接入线提供超宽频带,已是当前网络技术发展的焦点,瓶颈是相对的,一对金属线可以提供支持双向交谈的足够容量,但传统的铜线所能提供的带宽,对高性能的数据网络的因特网来说的确有些勉为其难,数据用户不仅希望与对方交谈,而希望通过视频会议系统看到对方的虚拟影象,所以对传统的接入技术(接入方式、接入布线)提出高性能的要求,以突破网络接入环节的瓶颈。以增加网络最后一段路程中的带宽,在大范围达到并满足用户在家庭或小型办公室的通信要求的基本前提。而局部环路的瓶颈是由今天提供的较低比特率造成的,事实上,除了本地环路的带宽限制外,当前的数据网络技术已足以保证提供运动图像和其它高带宽服务。
数字用户线路(DSL)用户在两个方向并非需要同等的带宽,相反他们希望更多的带宽用于接收视频或因特网服务,为满足这一非对称的接入要求,工业界已开发出非对称数字用户线路技术(ADSL)。在现时中,为了满足电视会议或建立Web主机的需求,对数据服务要求不多的用户也可能仍需求对称的高速支持。采用ATM无源光纤网(PON0)的光纤到家庭(FTTH),以及无线接入回路等多种接入拓扑结构。AnyMedia的设计允许随意将一个应用插入应用框架内,并具有以下多种强化接入功能:
1.内置宽带容量,允许系统采用ATM技术支持目前的高速数据网和因特网及视频接入。2.ADSL功能,可将系统配置在现有远程交换或其它接入系统,提供基于ATM宽带能力的数字用户专用线接入多路复用器(DSLAM)。
3.可缩扩性能,用户可灵活构建从可容20-40网络单元的小型网络到可容多达600个单元的大型网络。4.语音内和数据分离,系统可将先融入ATM业务流的语音与ADSL数据分离开来,并在不同的信道更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 上将其路由,以减少网络的阻塞。
AnyMedia接入系统是面对未来基于ATM宽带服务提供基础的同时,又支持低成本窄带服务,为用户的应用提供了最大的灵活性。PathStar接入服务器PathStar接入服务器是为AnyMedia接入系统提供的特性与优势分组交换方案需求而开发的技术创新产品,其独特的设计可在IP网上提供低价可靠的本地和远程服务。PathStar接入服务器是建立在AIP接入接口平台上的,将诸如Inferno操作系统和Line Card操作系统等贝尔软件与朗讯的互联接入技术集成为一体。PathStar接入服务器满足了对集成化的语音及数据网的用户接入的需求,将传统电路交换的功能和特点与高级分组路由技术相互集成,使端对端数据解决方案与IP上的语音解决方案(VOIP)同时得以实现。PathStar接入服务器是一种完全的多功能装置,它可终止本地用户回路,处理呼叫、路由,包括语音和数据的TCP/IP分组,提供路由与交换功能,交互连接数据和语音网络。
2.1.1 XDSL
一、xDSL技术概述
xDSL是各种类型DSL(Digital Subscribe Line)数字用户线路)的总称,包括ADSL、RADSL、VDSL、SDSL、IDSL和HDSL等。xDSL是一种新的传输技术,在现有的铜质电话线路上采用较高的频率及相应调制技术,即利用在模拟线路中加入或获取更多的数字数据的信号处理技术来获得高传输速率(理论值可达到52Mbps)。各种DSL技术最大的区别体现在信号传输速率和距离的不同,以及上行信道和下行信道的对称性不同两个方面。
迄今,xDSL采用的调制解调技术仍未形成较为集中的统一标准,无论是国际上还是国内,均未得到大规模的发展和推广,仍仅应用于特殊场合下。如专线大用户要求高速(2Mbps以上)接入附近的电信局端。由于xDSL是以现有的铜质电话线路为基础,其采用了更好的调制解调传输码型,故xDSL具有以下特征:
1、与话音工作于不同频段,基本不影响电话的正常使用,话音所占频带为0-4KHz;xDSL调制频带为4.4KHz-1MHz。
2、在以办公室和家庭为中心一定距离范围内可以提供较高的数据传输率。
3、铜线的具体条件、天气和片断对话可能将影响传输性能。
根据以上特性可以看出,采用xDSL优点有:用户可以花费比较低的费用获得较高的通信带宽;降低企事业单位的中心办公室交换机上的负载;允许服务提供商为用户提供新网络服务等。但xDSL要求电信服务提供商有更大和更有效的骨干网数据网络支持,需要定义新的服务模式和价位。
二、xDSL分类和应用
xDSL中“x”表任意字符或字符串,根据采取不同的调制方式,获得的信号传输速率和距离不同以及上行信道和下行信道的对称性不同,xDSL可以分为以下若干类型:
1、ADSL(Asymmetric Digital Subscriber Line,不对称数字用户线路)
ADSL是一种上行和下行传输速率不对称的技术。在一条电话线上,从电信网络提供商到用户的下行速率可以达到1.5Mbps至8Mbps,而反方向的上行速率为16Kbps至640Kbps。ADSL最大传输距离为5.5Km,主要适用于用户远程通信、中央办公室连接。以上特性使得ADSL技术将成为网上冲浪(Net Surfing)、视频点播(VOD)和远程局域网(Remote LAN)的理想方式,对于大部分Interent和Intranet应用,用户下载的数据量远大于比上载量。ADSL技术的优势是其以标准形式出现,只使用一对电话线路,传输距离长;其不足为目前调制解调器昂贵不便推广、传输速率和距离相互制约。
更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com
2、RADSL(Rate-Adaptive Digital Subscriber Line,速率自适应数字用户线路)
RADSL除能与线路条件自适应外,提供的传输速率及距离范围和ADSL基本相同。RADSL能够根据双绞铜线质量的好坏和传输距离的远近动态地调节用户的访问速率,这使得用户可以用不同的速率将不同的铜线连接起来,最大限度地利用现有的通信资源。的传输速率是对称的,即为上行和下行通信提供相等的带宽,传输速率可达到T1/E1,一般采用两对电话线进行全双工通信,有效传输距离只有5km,其典型的应用是代替现有的T1方式将远程办公室连接起来。与一般的基带调制解调器相比,HDSL是各种DSL技术中最成熟的一种,互连性好,传输距离较远,设备价格较低,故HDSL技术已经在一些电信公司和校园内联网使用。虽然HDSL的有效传输距离只有5km,但是可以通过安装信号转发器来扩展其传输距离。由于HDSL使用两对电话线进行双向传输,故它很适合连接PBX系统、数字局域环路、Internet服务商和校园网等应用场合。HDSL的缺点是用户需要第二条电话线,并且目前产品可选厂商比较少。
3、VDSL(Very-high-data-rate Digital Subscriber Line,极高速率数字用户线路)
VDSL和ADSL一样也是一种上行和下行传输速率不对称的技术。VDSL使用一条电话线,获得下行传输速率可达到13Mbps-52Mbps,上行速率为1.5Mbps-2.3Mbps,同时传输距离不超过1.5km,其主要用于视频和多媒体等相关场合。可以看出,VDSL最大的优点是可以得到极高的数据传输速率;但其传输距离短,传输速率不稳定,并且没有标准。
4、SDSL(Single-pair/Symmetric Digital Subscriber Line,单对线路/对称数字用户线路)
SDSL可以说是HDSL的分支,SDSL只使用一条电话线(即一对铜线)进行全双工通信,支持传输速率达到T1/E1对称的上行和下行信道,同时传输距离可达到3km。SDSL技术的特性基本与HDSL相同,其标准正在制定当中。
5、IDSL(ISDN-based Digital Subscriber Line,基于ISDN数字用户线路)
IDSL可以认为是ISDN技术的一种扩充,它用于为用户提供基本速率BRI(128Kbps)的ISDN业务,但其传输距离可达5km,其主要应用场合有远程通信和远程办公室连接。
三、xDSL调制技术
xDSL关键是其采用的调制解调技术,一般均使用高速数字信号处理技术和性能更佳的传输码型,以获得传输高速率和远距离。目前ADSL调制解调技术仍未形成统一的标准,但主要技术可分为两种:
1、CAP调制(Carrierless Amplitude and Phase Modulation,无载波幅相调制)
2、DMT调制(Discrete MultiTone Modulation,离散多音调制)
四、xDSL接入方式
下面以ADSL为例说明xDSL的接入方式,其它xDSL技术与ADSL相似。
ADSL设备连接分为两端:用户端设备和服务提供端设备。其中用户端设备包括POTS(Plain Old Telephone Service)分流器和ADSL调制解调器(MODEM)。POTS分流器用于将话音和数据传输分开,使得将话音传向电话机,将数据送到ADSL MODEM,以便同时传输话音和数据。ADSL MODEM用于将需接收和发送的数据转换成相应的传输码,以获得高速率和远距离传输,它必须与网络服务接入端的MEDEM兼容。
五、xDSL发展现状和趋势
由于信息网络的迅速普及、光纤的昂贵以致。不适合于大规模使用的因素,使得xDSL技术重新引起业界的注意。在美国,1996年政府批准的《电信改革法案》允许电信领域自由竞争,这大大地推动了xDSL技术的发展。尽管xDSL技术有许多优势,但是在它们得到广泛的商业应用之前还需要解决许多问题。首更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 先最重要的问题是须形成较为集中的统一开放的标准;其次还有交互操作性、安全性和干扰等问题。最后网络服务提供商能否成功地从现有的技术转换至xDSL技术等非技术因素也是影响xDSL发展的问题。
各种xDSL技术中,ADSL技术目前是最诱人的。ADSL为获得高传输速率,使用频分多址复用FDM和回波抵销两种方法将一条电话线可用的带宽划分为多个信道。ADSL技术的开发的实验主要集中在北美和太平洋附近的国家,目前正处于大规模实验的阶段。ADSL MODEM已经成功地由30多家公司进行了实验,另外在北美和欧洲已有成千上万条线路供试验使用。目前关键的问题是要形成一个统一的国际标准;并且解决将商业应用和消费者应用混合在一起所产生的问题,如管理和计费等方面的问题。
2.1.2 HFC
HFC网(光纤同轴电缆混合接入)是从有线电视(CATV)网发展起来的。有线电视网经过近年来的升级改造,正逐步从传统的同轴电缆网升级到以光纤为主干的双向HFC网。利用HFC网络大大提高了网络传输的可靠性、稳定性,而且扩展了网络传输带宽。HFC数字通信系统通过电缆调制解调器(Cable Modem)系统实现Internet的高速接入。
卫星通讯和计算机等一系列新的技术发展,使一种新的VSAT系统实现构架成为现实,这种新构架称作Direct to PC或称PCVSAT,卫星通过点到多点连接方式将ISP服务器直连到用户计算机,使各种公司无论大小,甚至个人用户均可利用空间数据通讯的强大功能。国际上,单向卫星Internet接入在中小企业和家庭应用比较成功,美国的Direct PC公司、日本的Direct Internet、加拿大Telesat、澳大利亚Telstra、印度的NIC India等都在本国及周边国家采用DirePC系统提供这种业务。德国也推出了类似的称作skyDSL的服务。随着这些著名公司的大力推动,卫星联网服务逐渐开始成为一种上网的新选择。
宽带卫星通信市场今后十年将会有快速的增长,会给业务提供商带来巨额收入。卫星是通信系统的特殊单元,具有特殊的优点,特别是在多点宽带接入和分布式业务方面。对于宽带接入,卫星提供可支持Gbps速率传输基本带宽。
主要优势:使用灵活、方便。
2.1.3 ISDN
ISDN是综合业务数字网的英文缩略词,它以纯数字方式进行语音、数据、图像的传输,可在一条普通电话线上提供以64Kbps速率为基础的端到端的数字连接,可开展上网、打电话、视频会议等多种业务,是传统电话的升级换代产品。
虽然ISDN有着众多的技术优势,但由于其设备较复杂和昂贵,速度上与56Kbps调制解调器的竞争优势也不大,而且ISDN的适配器无法同普通调制解调器互联,从而使其不能得到较大范围的应用。
2.1.4 ADSL
非对称数字用户线路(ADSL)是一种利用现有电话传输线路以高带宽传输数字信息的技术,其最高速率下行信号(从端局到用户)为8Mbit/s,上行信号(从用户到端局)为1Mbit/s。现有市话铜线网用户数目十分庞大,而ADSL能充分利用现有市话铜线。ADSL在干线传输层可以利用原有SDH传输系统进行数据传送,更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 也可以与原有窄带业务共用传输系统,另外,也可以通过在线升级和扩容原有设备实现传输。ADSL能够在现有普通电话线上提供高达8Mbps的高速下行速率,远高于ISDN速率,而上行速率有1Mbps,传输距离达3km~5km。其优势在于可以充分利用现有的铜缆网络(电话线网络),在线路两端加装ADSL设备即可为用户提供高宽带服务,由于不需要重新布线,降低了成本,进而减少用户上网的费用。
2.1.5 以太网接入
以太网是一种计算机局域网组网技术。IEEE制定的IEEE 802.3标准给出了以太网技术标准。它规定包括物理层连线、电信号和介质访问层协议的内容。在光纤到大楼或小区后采用以太网接入(即FTTx+LAN)是被广泛看好的宽带接入手段。以太网因接入系统构造简易、扩展灵活且速度能不断提升,成为构建企业网络首选技术之一。
采用以太网作为企事业用户接入手段的另一个主要原因是,已有巨大的网络基础和长期的经验知识、目前所有流行的操作系统和应用等都与以太网兼容。目前全球企事业用户90%以上都采用以太网接入,已成为企事业用户主导接入方式。然而,由于认证计费、服务质量、可管理性、信息安全、可靠性和实装率低等多种因素影响,以太网接入方式尚需进一步改讲。
2.1.6 Cable Modem接入
线缆调制解调器(Cable Modem)利用已有有线电视的混合光纤同轴电缆(HFC)系统接入Internet,其接入速率高,能共享接入传输总线。Cable Modem接入采用同轴电缆,抗干扰能力强。有线电视系统所用的Cable Modem上/下行速率为对称的10Mbit/s,有较大带宽优势,这在Internet接入应用方面具有特殊优势。不仅Cable Modem接入速率高,有线电视网络中的接入同轴电缆带宽也达几百MHz,在上下行通道中具有极好的均衡能力。这种带宽优势使接入Internet过程可在瞬间完成,不需要拨号和等待登录,计算机可以每天24小时停留在网上,用户可以随意发送和接收数据。不发送或接收数据时不占用任何网络和系统资源。
利用Cable Modem在有线电视同轴光缆混合网上传送数据具有成本低、频带宽的优势,用户可以获得最高为30Mbps的传输速率。
目前,大多Cable Modem还只是单向传输,即只能获得高速下载和浏览的好处。而双向传输的最大障碍是双向线缆连接要求除了在用户端要安装线缆Modem之外,在有线电视公司的服务端也要安装特定的“前端(Head-end)”设备,改造成本较高。
2.1.7 DDN接入
DDN是利用数字通道提供半永久性连接电路,向用户提供端到端的中高速率、高质量的数字专用电路,全程实现数字信号透明传输的数据传输网。
DDN可以在两个端点之间建立一条专用的数字通道,通道的带宽可以是n×64bps,一般0 DDN网通常由4个部分组成,分别是: (1)本地传输系统。主要包括用户设备、用户环路(用户线和用户接入单元)。根据接入DDN的方式(结点机)的不同,用户接入单元可以是频带型或基带型数据传输设备,也可以是多路复用器。如在远程局域网互联时,通常使用基带Modem和路由器。 (2)复用与交叉连接系统。DDN的复用方式可采用频分多路复用(FDM,Frequency Division Multiplexing)或时分多路复用(TDM,Time Division Multiplexing),目前多采用TDM。交叉连接是指节点内部对复用数字码流通过交叉连接矩阵,以64kbps为单元进行设定的交叉连接。 (3)局间传输与同步系统。局间利用高速数字中继传送信息,通常设置迂回路由,以提高系统的可靠性。 (4)网络管理系统。DDN分为干线网和本地网,为便于管理,干线网又分为几个等级。各级通常均要设置网管中心,以对网络进行配置、监控、计费、管理与维护。 DDN目前仍然是许多单位用于实现WAN连接的手段,尤其对于要求持续、稳定、可靠、安全的信息流传输的应用环境更是如此。但对于突发性信息流传输,专用线路或者处于过载状态,或者带宽利用率只达到20%~30%时,其经济性稍差一些。www.xiexiebang.com 2.2 接入比较与选择 2.2.1 接入比较 ADSL是目前最为主流的一种互联网接入方式,它与其他接入方式相比,具有比较明显的优点。本节要介绍它与其他几种接入方式的比较。 1.ADSL与普通拨号 MODEM和N-ISDN的比较 ADSL与MODEM和N-ISDN(窄带ISDN)拨号相比所具有的优点主要体现在接入速率和网络配置方面,具体体现在以下几个方面。 (1)速率高 比起普通拨号 MODEM的最高56Kbps速率,以及N-ISDN 128Kbps的速率,ADSL所具有最高8Mbps(理论上还远不止这个速率)下行速率、1.5Mbps上行速率的优势是不言而喻的。 (2)应用灵活 与普通拨号 MODEM 相比,虽然用户端的配置方面都非常简单,但是由于ADSL接入速率的大幅提升,所以ADSL的应用更加灵活。但它有一点不足,就是不能像普通MODEM那样进行远程计算机之间的点对点通信,因为ADSL账户需要专门的设备配置,一般用户,乃至企业都无力承受。但在本章前面也介绍到了,目前有一种G.lite技术可以使得ADSL像普通MODEM那样进行直接端对端连接,而不必经过ISP。 (3)配置简单 ADSL与ISDN相比,在用户端的配置方面要简单许多,也不需要那么多复杂的设备,只需一台与普通MODEM价格差不多的ADSL MODEM即可。www.xiexiebang.com (4)无须交电话费 最后一点就是,ADSL在同一条电话铜线上分别传送数据和语音信号,数据信号并不通过电话交换机更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 设备,减轻了电话交换机的负载,这意味着使用ADSL上网并不需要交付电话费。 2.ADSL与Cable MODEM的比较 有关Cable MODEM接入方式将在下章具体介绍。 与Cable Mode相比,ADSL技术具有相当大的优势,主要表现在如下几个方面。 (1)性能好 Cable MODEM的HFC接入方案采用分层树型结构,是一种总线型网络,这就意味者用户要和邻近用户分享这有限的带宽(通常为10Mbps)。当一条线路上用户激增时,其速度将会减慢。而ADSL采用星型网络连接,不会因为用户的增加而降低接入速率。 (2)实现容易 Cable MODEM接入方式的配置也较ADSL复杂。首先是局端的配置,现在并不是所有的有线电视网都可以使用,要对一些老线路进行改造。在用户终端除了需要一个Cable MODEM的设备外,还需要一种分线器的设备对电视信号和数据信号进行分离。而ADSL不用改造即可,用户所需设备也只有ADSL MODEM,用户配置非常简单。再加上电话线路要远比有线电视网分布广,所以ADSL的实现要容易许多。 (3)有效带宽高 有关资料表明,大部分情况下,HFC方案必须兼顾现有的有线电视节目,而占用了部分带宽,只剩余了一部分可供传送其他数据信号,所以Cable MODEM的理论传输速率只能达到一小半。国外公司的实验表明,其速率只为1Mbps~2Mbps,更常见的是400Kbps~500Kbps。而ADSL接入方式却是固定占用了4kHz以上的全部带宽,有效带宽有保障。www.xiexiebang.com 3.与光纤以太网的比较 目前小区光纤以太网接入方式(也非常普及,但与ADSL接入方式相比,对于普通家庭用户来说仍没有太大优势。两者各自的优、缺点如下: (1)接入速率不同 因为光纤以太网是采用纯以太网技术,所以接入速率比较高,目前最低的都是10Mbps,而且将来的发展前景大,100Mbps乃至千兆接入只是时间问题,不存在技术困扰。相比之下,ADSL的最高8Mbps的接入速率就低了许多。 (2)实现难易程度不同 ADSL是利用现有的固话网,而小区光纤以太网则需要全新铺设网络,相比之下,对于ISP来说,小区光纤以太网的投资成本高出许多。所以,一般来说,如果不是新型大型小区,ISP不会专门铺设网络的,也就实现不了小区光纤以太网的接入。而ADSL接入只受5.5km的距离限制,不受用户多少限制,实现起来容易许多。 (3)费用不同 由于组建小区以太网的ISP前期需要投入大笔的资金,所以通常来说,小区以太网接入费用要比ADSL贵一些。但对于企业用户来说,已不成问题。况且小区以太网接入方式中,用户端无须购买任何专门的网络接入设备,只需要一块网卡。 2.2.2接入方式选择 根据宏星建筑公司提出的要求,经过仔细研究分析,大致可以有两种宽带接入方案可供选择。 更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 1)IP接入方式 采用租用电信10M光纤方式,使宏星公司直接接入电信的IP城域网。这种方案的优点是完全符合原先公司内部的建设思路,具有统一的Internet出口,便于集中管理。缺点是资费非常高,公司难以承受。并且出口带宽也难以满足公司提出的要求。www.xiexiebang.com 2)ADSL接入方式 使用50根ADSL线路,通过ADSL宽带路由器使公司的电脑共享上网。这种方案的优点是:费用便宜,完全符合公司对于宽带接入费用的要求;满足了公司对带宽的要求,ADSL虽然是非对称数字电路,上下行速率不一致,但是极高的下行速率能够完全满足公司业务的需求,而且ADSL是独享带宽,不会因为接入信息点的增多而导致网络带宽急剧下降;具备极高的网络带宽扩充能力,如果公司因为电脑数量增加而需要更多的上网带宽的话,只需要增加ADSL线路就可以满足需要。缺点是:需要管理的线路较多,由于每一根ADSL线路是一个网络出口,为集中管理增加了一定的难度。 综合以上分析,结合宏星建筑公司实际情况,最后确定使用电信的ADSL作为经济管理公司的最终宽带接入方案。 2.2.3 ADSL优缺点 ADSL是一种非对称的数字用户环路,即用户线的上行速率和下行速率不同,根据用户使用各种多媒体业务的特点,上行速率较低,下行速率则比较高,特别适合传输多媒体信息业务。ADSL不仅具有HDSL的优点,而且在信号调制数字相位均衡、回波抑制等方面采用了更先进的器件和动态控制技术,它采用正交调幅(QAM)、无载波幅度相位调制(CAP)、离散多音频调制(DMT)等调制技术,通过对不同的业务和上下行信号采用频分复用方式,实现了在一对普通电话线上同时传送一路高速下行单向数据、一路双向较低速率的数据以及一路模拟电话信号,可直接利用用户现有的电话线路,在线路两侧各安装一台ADSL调制解调器即可。在普通电话双绞线上,ADSL的典型的上行速率为16~640kbit/s,下行速率为1.544~8.192Mbit/s,传输距离为3~6km,有关ADSL的标准有ANSI的T1E1.4、ITU-T的G.922.2、G.992.1等。ADSL除可提供电话业务外,还能提供多种宽带业务,在未来几年内,ADSL接入技术将会是终端用户最主要的宽带接入方式。 ADSL是利用数字编码技术从现有的铜制电话线上获取最大数据传输容量,同时又不干扰在同一条线路上进行的常规语音服务。ADSL的基本原理是使用电话话音以外的频率来传输数据,使用户在浏览Internet的同时可以打电话或发传真,而且不会影响通话的质量和网络下载速度。www.xiexiebang.com 传统的电信网络已有百年以上的历史,它有一个庞大而良好的用户群体,它所运用的传输技术已从原来的公众电话网络的Modem、DDN、ISDN转换到ADSL。尽管如此,电信网现在普遍应用于用户的接入方式仍为Modem,Modem的最大传输速率只有56kb/s,它不是一种宽带接入方式,远远不能够满足网络用户的需求。为了在传统的电信网络平台上传输宽带业务,提高数据流量,电信公司先后在网络上应用了DDN、ISDN等技术,然而这些技术的传输速率也远远达不到用户的需求,因此,近来ADSL技术被广泛地应用在电信网络平台上,以提高数据流量,为电信部门今后开展宽带多功能业务铺垫好物理网络基础。ADSL技术可以提供基于ATM的各种应用业务。而对宽带IP接入的需求却迅速增长,ADSL接入转而成为宽带因特网接入的一种新方法。由于ADSL仍然保持原来的体制和结构,其前端设备DSLAM提供的是ATM接口,故最终它还需要通过路由器连接因特网,实现因特网接入。 更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com ADSL接入的优点是:可以利用现有的市内电话网和电话交换局的机房,不需要对网络进行大规模改造,从而大大降低了施工和维护成本,而且电话业务不会受到任何影响,因此使用ADSL可以一直联网而不影响电话的使用。 ADSL接入的缺点是:它对线路质量要求较高,当线路质量不高时,推广使用有困难。ADSL的实际速度还受到用户和电话分局之间的电话线长度和电话线路质量的影响;而且ADSL系统楼内楼外使用的都是非屏蔽双绞线,所以抵抗天气干扰的能力较差;其带宽可扩展的潜力也不大。因此,ADSL不能满足今后日益增长的接入速率的需求,只能成为一种过渡性产品,应用于要求不高的旧社区单用户的宽带接入改造上。 2.3 ADSL应用方式的选择 ADSL技术有利于充分利用铜缆资源,保护已有投资,能够在正常开通现有话音业务的同时提供宽带业务。目前ADSL的技术和产品已比较成熟、价格也在不断下降,特别是对中国电信这样一个拥有大量铜缆资源和超过1.35亿电话用户的运营商来说,有重要的现实意义和巨大的发展潜力。如果今后五年内有20%的电话用户能够使用ADSL,用户数量就会超过2000万,这将是一个巨大的市场。ADSL的应用主要有两种方式: 1.在交换端局到用户间直接使用ADSL,可以利用已有电话铜缆,快速满足用户的宽带业务需求。更重要的是,这种方式从网络结构上将话音和数据业务流量分离,将数据业务流量从接入部分直接分流到数据网络中,能够有效地缓解用户上网负荷对电话交换网的压力。可根据线路条件、设备产品价格、用户业务需求和资费等具体情况,开通ADSL(或G.lite)的多种子速率,包括限速提供512Kbps、284Kbs等。 2.FTTx+ADSL方式。由于光节点靠近用户,铜缆距离较短,线间串扰较小,因此可以达以较高的传输速率,并可随着技术的发展向VDSL升级。www.xiexiebang.com ADSL尚在起飞阶段时,internet业务就已呈现了爆炸式的增长,能否经济有效的支持internet业务已成为接入网技术考虑的重要因素。尽管ADSL技术能支持internet业务,但成本仍嫌偏高,用户侧设备的安装仍嫌麻烦。ITU-T专家们充分意识到这一工作的重要与市场前景,成立了课题组开发简化的无电话分离器的ADSL标准,并已在1998年10月通过建议G.922.2。其基本思路有两点,第一是速率降低到1.5Mb/s左右,第二在用户处不用电话分离器,价格会大大下降,其应用前景十分可观。G.992.2规定下行速率降到64kb/s至1.5Mb/s,上行速率为32kb/s至512kb/s,线路码仍为DMT,主要业务则为internet接入、Web流览、IP电话、远程教育、在家工作、可视电话和电话等。当然还有不少地方须改进,如组帧效率的改进、比特交换与速率适配等。 目前,市面上电信和铁通都在经营ADSL业务,在他们经营的业务中,分为虚拟拨号ADSL和固定IP ADSL,在带宽上也分有等级:512K、1M、2M等。对于普通的家庭用户,电信提供512K的虚拟拨号ADSL,铁通提供2M的虚拟拨号ADSL。对于非营运性的家庭用户,电信提供512k的虚拟拨号ADSL,铁通提供2M的虚拟拨号ADSL。但是选择铁通需要使用铁通的固定电话,因此位置必须靠近铁路才行。 第3章 ADSL安装与实施 更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 3.1设备选型 ADSL宽带路由器是ADSL接入方案中非常重要的设备,牵涉到网络的稳定性以及可维护性。经过多种ADSL宽带路由器的比较测试,最终选择了明基电通的BenQ ASR688宽带路由器3-1。一方面,明基电通具有较高的品牌知名度,提供了完善的产品售后保障体系;另一方面,BenQ ASR688在测试中显示了较高的稳定性和线路激活能力,能够工作在线路质量较差的环境中。此外,BenQ ASR688除了具备目前市场上较高端ADSL宽带路由器的大多数功能外,还单独内置了防火墙芯片,具备了一定的抗网络侵袭的功能。 明基电通作为数字通信与电脑外设专业生产厂商,自1984年成立以来,已发展了显示器、投影仪、扫描仪、移动电话、宽带网络设备等多样化的产品线。日前,明基借助其强大的科研和技术实力,推出了高性能的ADSL路由器ASR688。该路由器主要针对SOHO及中小企业用户设计,体积小,耗电小<7W,所以即使该设备长时间运作,温度也不会很高,能够避免电子设备因高温而导致宕机的情况发生,可保持数据的高速持续传输。此外,ASR688还支持多种多媒体应用软件,如ICQ、NetMeeting、RealPlayer等,并能提供单一账号共享功能,内建了防火墙,以增加网络安全性。www.xiexiebang.com 3-1 ADSL路由器ASR688 3.2方案实施 在ADSL宽带接入方案的实施阶段,解决了如何对整个网络进行管理的问题。具体的方案实施过程是: ADSL路由器的IP地址分别作为不同网段计算机的网关;同时,公司计算机设置两级DNS解析,一级指向内部的域服务器,使公司的计算机能够充分实用内部的资源,另一级指向电信的DNS服务器,使公司的每台计算机都能访问Internet,这样,员工既能使用公司内部网资源进行网络信息传递,又能方便地访问Internet,获取更多的网络资源;网络管理员可以通过设置ADSL宽带路由器限定内部计算机能够访问的网络资源以网络通信类型,也能指定每台宽带路由器下联计算机的数量,用来合理分配网络带宽;由于使用了ADSL宽带路由器,内置了拨号功能,使公司局域网内的苹果机也能方便地上网,极大地扩展了网络的兼容性。 更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 图3-2 宏星公司ADSL接入拓扑结构图 3.3 IP地址规划 在网络规划的过程中,我们考虑的IP分配表包含连接不同网段的各种网络设备的信息,如路由器、网桥、网关的位置、IP地址,并用相应的网络地址标注各网段。宏星 建筑公司有四层楼,分别为一楼:财务部、人事部;二楼:销售部、采购部;三楼:生产部、后勤部;四楼:客户部、总经理办公室。有80台PC,充分考虑到将来的需要,内网互联采用192.168.0.1~192.168.255.254来扩展。现根据公司内部的组织结构图和网络拓扑结构图确定IP地址分配表,具有IP地址分配清单: 网络中心:192.168.0.1~192.168.0.n 一楼交换机:192.168.1.1 二楼交换机:192.168.2.1 三楼交换机:192.168.3.1 四楼交换机:192.168.4.1 部门 IP地址 子网掩码 网关 财务部:192.168.1.2~192.168.1.31 255.255.255.0 192.168.1.1 人事部:192.168.1.31~192.168.1.63 255.255.255.0 192.168.1.1 销售部:192.168.2.2~192.168.2.31 255.255.255.0 192.168.2.1 采购部:192.168.2.31~192.168.2.63 255.255.255.0 192.168.2.1 生产部:192.168.3.2~192.168.3.31 255.255.255.0 192.168.3.1 后勤部:192.168.3.31~192.168.3.63 255.255.255.0 192.168.3.1 更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 客户部:192.168.4.2~192.168.4.31 255.255.255.0 192.168.4.1 总经理办公室:192.168.4.31~192.168.4.63 255.255.255.0 192.168.4.1 3.4 ADSL Modem 组建一个办公网络,要求用最少的投资,得到最大的效益。ADSL共享上网基本有两种方式:一种是通过配置,使局域网中的一台电脑变成服务器,让它来控制网中所有电脑的上网。这台电脑必须插上两块网卡,一块控制流入数据,另一块通过Hub(集线器)连接局域网中的其他电脑。这种连接方式叫做双网卡共享上网;另一种是将ADSL Modem直接连在Hub上,再由Hub将数据分流到各个电脑。相比较而言,第一种接入方式由于要多买一张网卡,而且优势也不是太明显,第二种接入方式只需要每部电脑配一块网卡就行了。因此,我们决定使用第二种接入方式。 ADSL Modem也与普通Modem一样,为了满足不同需求的用户和电脑配置,提供了三种不同的接口类型,它们分别是以太网、USB和PCI三种。USB、PCI适用于家庭用户,性价比较高,小巧、方便、实用,这三种接口类型的ADSL Modem在价格方面当然是PCI的最便宜,以太网接口的最贵,USB接口的价格适中。 PCI接口的属于一种内置式的Modem,就象我们平常所见的PCI卡、PCI普通Modem一样,它主要适用于家庭用户。插到电脑主板的PCI插槽中,通过金手指与插槽接触进行数据通讯和供电,这种Modem当然就其性能来说是较差的一种了,运行速度较慢,且容易掉线,因为它主要的数据处理工作是要通过主板的CPU或MPU来实现,大大加重了CPU或MPU的工作负荷。但它最大的优点就是价格便宜,满足了一部分对速度、性能要求不是很强烈、经济较为紧张的用户选择。USB接口的又比PCI接口的性能要好,当然价格也就要高些,属于一种外置型的Modem。它主要也是适用家庭用户,在速度和性能方面比PCI接口的要高许多,有了好的性能,价格方面自然也会高些,就象外置普通MODEM与内置普通MODEM一样。 以太网接口的ADSL Modem更适用于企业和办公室的局域网,它可以带多台机器进行上网,属于一种外置型的Modem。当然这种Modem的性能是最好的一种,功能也最齐全,有的还带有桥接和路由功能,这样对一些小型企业用户来说就可以省掉一个路由器。价格方面自然也一分钱一分货,比家庭用的PCI、USB接口的要贵许多。外置型以太网接口带路由功能的ADSL Modem支持DHCP、NAT、RIP等功能,还有自己的IP POOL(IP池)可以给局域网内的用户自动分配IP,方便网络的搭建,从而给企业节约成本。 硬件配置:我们选择的主机配置了奔腾Ⅲ800MHz CPU,128MB内存,硬盘剩余空间大于8.4GB;ADSL Modem和Hub各一;三块10M网卡;一个分离器和N条网线(假设网内已有三台主机)。电信要求的最低配置请见表格3-1。 第一步,安装网卡。将买回来的10M网卡插进主机白色的PCI插槽中。因为ADSL调制解调器的传输速度达1Mbps/8Mbps,计算机的串口不能达到这么高的速度(目前的USB接口满足速度要求,市面上也有USB接口的ADSL Modem)。加入这块网卡就是为了在计算机和调制解调器间建立一条高速传输数据通道。 第二步,连接集线器。将网线两端一头连接计算机网卡,另一头连接Hub非Uplink端口。 更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 第三步,连接分离器和ADSL Modem。用网线连接Hub的Uplink端口和ADSL Modem的以太网(Ethernet)端口。然后,将ADSL Modem的线路(DSL)端口连接到分离器的输出端。最后,分离器的线路输入端要连接到电话线上。 第4章 网络测试和维护 4.1网络测试 在整个网络组建完成后,应马上进行完善的网络测试。此处所谓的网络测试并不是网络系统在投入使用前很少有用户进行严谨的测试,许多用户看见设备的灯亮了,进行几次PING测试,再在PC之间传输一下文档,就认为网络系统已通过验收,可放心使用了这样敷衍了事。这种做法其实是不慎重的,一旦先期安装中的隐患发作,就会令网管人员措手不及。 因此在网络系统投稿使用前,这里有几种测试方法: 1.网络速度测试:利用网络测试仪对网络的连接速度进行测试,尽量使网络速度稳定、高效,利用率达到最大,及时的修复网络中存在的不足,减少网络出现故障的频率,以及发生故障时修复所需要的时间,从而减少公司因为网络故障而不能应用产生的损失。 2.企业主干网络与Internet的测试:通过企业的计算机,对Internet进行访问,并开放和屏蔽一定的端口,达到外部能访问到企业网页和阻止黑客对企业进行恶意破坏的效果。 3.企业网络内部网络测试:该公司的内部划分主要采用了VLAN技术,设置各部门互访权限.测试各部门访问是否达到预期效果,使内部资料能在LAN中快速传输,个别保密部门的资料又能得到安全的保护。 4.网络协议统计和用户统计。繁忙时对网络的应用协议进行统计,清理不合格的协议,标注发送和接收数据包最多的用户,统计其占用的带宽。 5.基准测试。记录网络流量、碰撞、广播、错误等的长期数据,分析网络流量变化规律,帮助优化网络性能和故障诊断。 6.单机联通性测试。测试网卡的工作协议和物理参数;在40%加载条件下测试单机网络速度,若链路流量由30%增加到40%时主观评测速度基本不变,则链路验收合格。 7.网卡、集线器、交换机端口测试。测试信号波形和抖动等,测试工作协议,判断协议匹配状况,100%匹配为合格。 8.网络备案测试。对网络设备进行文档备案,包括名称、IP、MAC和拓扑结构图。 9.网络设备的工作性能参数监测。暂时只推荐80%加载条件下的链路联通性测试,观察错误、碰撞指数。 10.七层流量统计分析。对各层流量进行统计分析。 网络系统应进行基本测试,通过验收,才可以投入使用,将来由于更新、扩容、改动而发生问题时,用户也能快速发现、诊断和隔离故障,直到将故障排除。 4.2网络维护 更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 4.2.1网络维护安全风险分析 1.内部办公网之间的安全隐患 由于该公司办公网络除了有正常的办公功能以外还与其他主机相连接,如果办公网络遭到恶意攻击,直接会影响到其他主机的安全性。比如: (1)入侵者使用Sniffer等嗅探程序通过网络探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放的TCP端口、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。 (2)入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。 (3)入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。www.xiexiebang.com 2.内部局域网带来安全威胁。在已知的网络维护安全事件中,约70%的攻击是来自内部网。首先,各节点内部网中用户之间通过网络共享网络资源。对于常用的操作系统Windows XP/2000,其网络维护共享的数据便是局域网所有用户都可读甚至可写,这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏。另外,内部管理人员有意或者无意泄漏系统管理员的用户名、口令等关键信息;泄漏内部网的网络维护结构以及重要信息的分布情况,甚至存在内部人员编写程序通过网络进行传播,或者故意把黑客程序放在共享资源目录做个陷阱,乘机控制并入侵他人主机。因此,网络安全不仅要防范外部网,同时更防范内部网。 3.电子邮件应用安全。电子邮件是最为广泛的网络应用之一。内部网用户可能通过拔号或其它方式进行电子邮件发送和接收。这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等。由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。 4.网上浏览应用安全网上浏览也是网络系统被入侵的一个不安全因素。我们都知道,网络具有地域广、自由度大等特点,同时上网的有各种各样的人,网上浏览不安全因素如从网上下载资料可能带来病毒程序或者是特洛伊木马程序;还有利用假冒手段骗取你的关键信息,只是第一次信息已经被入侵者传送到他的邮箱中去了,你也就因此泄漏了你的用户名及口令字。这将对你的主机受到攻击埋下的安全隐患。 4.2.2网络维护方案 维护一个网络时,应该记录所有的升级和修改,还有实施改变前后网络的变化,这就应该把由于维护或升级引起的网络变化记录在变化管理系统中,这些信息会使你的同事注意到所发生的变化,并且当你实施计划时帮你记住它们,测量和记录网络当前工作状态的操作叫基准线,基准线测量将包括主干网上的利用率,每小时/天的用户量,网络 上的协议数,错误的状态,网络应用程序被使用的频率;对占用大量带宽的用户的标识。 升级时,必须考虑到实际网络问题,流量、软件、硬件和地址限制、必要性,适合性、交换机和路由器、主干网、技术档案,并为用户提供一份详细清单。 对网络软件升级,首先考虑其必要性,由于本公司正处于发展阶段,其公司的规模将扩大,人员增多,对网络升级是一种必然性。其次是适用范围,客户服务中心是总公司的核心部分,现有80台PC机,更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 对它的安全管理具有重要意义,将采用二层交换机,提高传输速度,现公司采用ADSL接入方式,对主干网的升级,将考虑本公的需求和当地电信局新推出的各项目而定。各办事处的人员将减少,总公司人员增多,在升级时备份好当前的系统或软件,以提高整个网络的性能。 第5章 结 论 在这两个多月中,在老师的指导下,我完成了宏星建筑公司内部网接入设计。基本功能都体现出来,能够达到用户的需求,整个系统都能正常运行。在这次毕业设计中,让我学到了许多以前没有学到的东西,感受到了集体的力量。这不仅是对我大学四年所学专业的总结,更是让我体会到了知识的重要性。让理论与实践相结合,为我们以后的学习、工作打下坚实的基础。也许在本次设计中还存在许多疏漏和欠缺的地方望广大师生朋友们批评指出。 参考文献 [1] 计算机网络与因特网.北京机械工业出版社.DOUGLAS E.COMER.2005.9 [2] 计算机网络.西安电子科技术大学.谢希仁.2008.1 [3] 计算机网络系统集成与方案实例.机械工业出版社.陈俊良 黎连业.2007.8 [4] 计算机网络.清华大学出版社.胡道元.2005.6 [5] 网络工程师教育丛书.电子工业出版社.Kenneth D.Reed.2003.4 [6] TCP/IP网络原理与技术.清华大学出版社.周明天.汪文勇.1997.6 [7] 面向21世纪的接入网技术.电信工程技术与标准化.韦东平.2000.2致 谢 在做毕业设计过程中,我感觉自己在很多方面都有了进步。设计过程中,离不开老师的帮助与指点,不仅传授了做学问的秘诀,还传授了做人的准则。另外在论文撰写期间,论文的选题、资料查询、撰写等的每一个环节,得到指导老师的悉心指导和帮助。我愿借此机会向老师表示衷心的感谢! 更多论文、毕业设计请访问或百度一代论文网:www.xiexiebang.com 网络之“后” ----云计算 丁娟 (怀化学院计算机系2班 0906402024) 摘要:下一代互联网关系到我们整个世界的发展,其实一直都想写一篇关于云计算的论文了,这个名词老是听到,云计算概念是由Google提出的,这是一个美丽的网络应用模式。 关键词:下一代互联网,云计算。 1、引言 狭义云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源;广义云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的,也可以是任意其他的服务,它具有超大规模、虚拟化、可靠安全等独特功效;“云计算”图书版本也很多,都从理论和实践上介绍了云计算的特性与功用。 2、云计算为何是网络之后 云计算可谓是明天互联网上的网路明星了,说它是网络之后当之无愧了,它联系着下一代的互联网,互联网飞速发展的热潮冲击着整个世界,最简单的云计算技术在网络服务中已经随处可见,例如搜寻引擎、网络信箱等,使用者只要输入简单指令即能得到大量信息。未来如手机、GPS等行动装置都可以透过云计算技术,发展出更多的应用服务。进一步的云计算不仅只做资料搜寻、分析的功能,未来如分析DNA结构、基因图定序、解析癌症细胞等,都可以透过这项技术轻易达成。 3、互联网的现状 互联网是人类智慧的结晶,标志着当代先进生产力的发展,中国政府大力倡导和积极推动互联网在中国的发展和广泛应用。随着互联网在中国的快速发展与普及,人们的生产、工作、学习和生活方式已经开始并将继续发生深刻的变化。目前中国已成为世界上互联网使用人口最多的国家,中国投入大量资金建设互联网基础设施。中国政府积极推动下一代互联网研发。20世纪90年代后期,中国开始下一代互联网的研发,实施“新一代高可信网络”等一系列科技重大项目。2001年,中国第一个下一代互联网地区试验网(NFCNET)在北京建成。2003年,“中国下一代互联网示范工程”(CNGI)正式启动,标志着中国进入下一代互联网的大规模研发和建设阶段,现已建成世界上最大的IPv6示范网络,试验网所用的中小容量IPv6路由器技术、真实IPv6源地址认证技术和下一代互联网过渡技术等处于国际先进水平。中国提出的有关域名国际化、IPv6源地址认证、IPv4-IPv6过渡技术等技术方案,获得互联网工程任务组(IETF)的认可,成为互联网国际标准、协议的组成部分,中国互联网发展、普及和应用存在区域和城乡发展不平衡问题。受经济发展、教育和社会整体信息化水 平等因素的制约,中国互联网呈现东部发展快、西部发展慢,城市普及率高、乡村普及率低的特点。正是这样的互联网现状使得云计算的出现。 4、现代互联网的现状推动云计算的发展 为了更好的管理好互联网,人们会依此实现虚拟化并重造互联网应用,创造出基于服务的业务模式。云计算其实是一种新型的计算模式,能够把 互联网资源、数据、应用作为服务通过互联网提供给用户;同时,云计算也是一种新的基础架构管理方法,能够把大量的、高度虚拟化的资源管理起来,组成一个庞大的资源池,统一提供服务。对于各行业的企业管理而言,云计算意味着互联网与业务相结合而引发的突破式创新——它能将 互联网 转化成生产力,推动商业模式的创新,从而引领企业开拓出一片经营蓝海;在不断增加的复杂系统和网络应用、以及企业日益讲求互联网 投资回报率和社会责任的新竞争环境下,在不断变化的商业环境和调整的产业链中,云计算能够为企业发展带来巨大的商机和竞争优势。 5、云计算的发展趋势 云计算是数据中心基础架构的迁移典范,它的时代已来临。云计算能够把各种业务相关的上下游企业及顾客整合到一个基于云的统一应用、信息共享的虚拟化商业平台上,甚至实现跨行业的信息整合,从而实现外部经营模式的创新、协同业务伙伴共同创造竞争蓝海。例如,把银行、卖场、分销商以及生产厂商的 ERP 系统整合在云平台上,以短期信贷的方式提前实现卖场/网店与分销商/厂商/消费者之间的实时结算,大大缩短分销商和厂商的资金占用和周转周期,同时银行也得到了相应的收益;另外,整合电子商务网站的信用评估系统及银行特有的信用评级体系,可以加快拓展小额信贷业务。据预测 2011年我国网上银行交易额将超过 1100万亿元,到 2015年网上银行交易额将达到 3500万亿元左右,这种支撑跨行业运营的金融服务云平台将蕴藏着巨大的利益。更多安全解决方案的推出,显现了云计算模式自身安全有很多需要解决的地方之外,而作为企业级用户在接受云计算服务的过程中,安全也是最为优先考虑的要素之一,在安全得不到有效解决之前,云计算的应用推广也将是一个愿景而已。通过安全解决方案提供商近期推出的一系列安全解决方案来看,云计算的安全焦点已经从合规性、电子证据、风险管控这些较为务虚的领域,随着实际应用的延伸拓展到了具体的安全解决方案领域。 6、云计算的应用 云计算是关于建立数据中心的计算,其数据中心允许供应商创建可扩展的网站和服务,云计算的性质和灵活性也就显而易见了。云计算需要终端的大马力来进行数据处理,又需要运转那些和人们产生交互作用的可扩展性网站。云计算其基本思想是通过云提供的服务签订合同,用户便能对硬件或软件以最小的投资完成计算任务。这句话在有意传达一个模糊的信息即用户并不在意任务完成的地点和方式,用户所关心的时正确的结果。当他们偶尔遇到大型的高峰负荷时,只有在需要时才会使用服务,并为服务付款。云计算使得科学计算领域的高性能发展,提供给用户的是计算能力、存储能力、网络和其他基本的资源租用,用户能够部署和运行任意软件,包括操作系统和应用程序。用户不用管理或控制底层的云计算基本设施,但能控制操作系统、存储、部署的应用。也可以选择网络组建(例如防火墙,负荷均衡)。 7、云计算的不足目前、云计算的分工还不过细致、厂商合作也还不够广泛,因此需要如何完善服务、扩大合作领域,同时加强监管,重视安全性的问题,通过互联网的运营模式,为用户提供高质量、有保障的云计算服务。随着云计算的不断发展,安全性问题成为企业高端、金融机构和政府IT部门的核心和关键性任务,云计算服务提供商需在信息安全方面增加投入,保证用户商业信息。同时,云服务提供商业和用户也需要明确保密责任,完善细化赔偿条款,避免分歧。为了以后互联网的发展应该做到以下几点: 7.1、应该建立云计算技术联盟。目前国内从事云计算的技术研究机构、学和研究机构发展很快。但多是各自做各自的,相互之间缺乏开放的标准,无法在技术、数据和服务上达到互联互通、相互协调并形成合力,作为未来技术的战略性法杖趋势,我们应该从国家的层面,有效的促进和推动我国云计算的发展,提供相应的云计算技术联盟,集中各方面的技术力量和资源,形成合力,加大云计算技术的研发,推动开源技术和开放标准,推动相关技术和服务的互联互通。 7.2、发展开源云计算技术,提升服务能力。从国际趋势来看,数据中心将成为云计算只要运营机构,目前国内的业务发展还不完善,产品和服务质量同质化严重,能源利用率低,运营成本过高,此外,随着网络游戏,web网络的迅速发展,企业对服务的需求越来越大了,对数据中心资源和服务水平的要求更高,另外,统一平台管理还有利于雨雾的扩展,能更大的加入到云计算的管理平台上,进行统一的管理和部署。 7.3、发展云安全,创造安全的互联网环境。云安全是未来互联网安全的一种发展趋势,也是云计算模式中一种比较活跃的领域。网络木马的数量的增长,使得传统的代码技术面临严峻的挑战。传统的互联网安全技术需要用户对其升级病毒木马,并将其保存在自己的计算机上,需要消耗一定的互联网带宽和系统资源。而通过云安全平台将为用户和安全厂商通过互联网紧密相连,组成一个庞大的木马软件检测和查杀网络,每个用户都为“云安全”疾患贡献一份力量,同时分享其他所以用户的安全成果。 8、结论 最后希望云计算成为明日互联网上那颗璀璨的星星,永久的发光发亮。互联网的明天将会更加的精彩 参考文献 [1] 谢希仁.计算机网络教程[M].第二版,北京:人民邮电出版社,2006:191—197。 [2]百度文库,关于下一代互联网的未来和云计算。 论计算机网络的安全性设计 摘要 我在一家证券公司信息技术部分工作,我公司在9798年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统、办公系统,并开通了互联网应用。因将对安全要求不同、安全可信度不同的各种应用运行在同一网络上,给黑客的攻击、病毒的蔓延打开了方便之门,给我公司的网络安全造成了很大的威胁。作为信息技术中心部门经理及项目负责人,我在资金投入不足的前提下,充分利用现有条件及成熟技术,对公司网络进行了全面细致的规划,使改造后的网络安全级别大大提高。本文将介绍我在网络安全性和保密性方面采取的一此方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,我公司网络目前仍存在的一些问题或不足,并提出了一些改进办法。正文 我在一家证券公司工作,公司在98年就建成了与各公司总部及营业网点的企业网络,随着公司业务的不断拓展,公司先后建设了集中报盘系统、网上交易系统、OA、财务系统、总部监控系统等等,为了保证各业务正常开展,特别是为了确保证券交易业务的实时高效,公司已于2002年已经将中心至各营业部的通讯链路由初建时的主链路64K的DDN作为备链路33.3KPSTN,扩建成主链路2M光缆作为主链路和256K的DDN作为备链路,实现了通讯线路及关键网络设备的冗余,较好地保证了公司业务的需要。并且随着网上交易系统的建设和网上办公的需要,公司企业网与互联网之间建起了桥梁。改造前,应用系统在用户认证及加密传输方面采取了相应措施。如集中交易在进行身份确认后信息采用了Blowfish 128位加密技术,网上交易运用了对称加密和非对称加密相结合的方法进行身从好为人师证和数据传输加密,但公司办公系统、交易系统、互联网应用之间没有进行安全隔离,只在互联网入口安装软件防火墙,给黑客的攻击、病毒的蔓延打开了方便之门。 作为公司信息技术中心运保部经理,系统安全一直是困扰着我的话题,特别是随着公司集中报盘系统、网上交易系统的建设,以及风外办公需要,网络安全系统的建设更显得犹为迫切。但公司考虑到目前证券市场疲软,竞争十分激烈,公司暂时不打算投入较大资金来建设安全系统。作为部门经理及项目负责人,我在投入较少资金的前提下,在公司可以容忍的风险级别和可以接受的成本之间作为取舍,充分利用现有的条件及成熟的技术,对公司网络进行了全面细致的规划,并且最大限度地发挥管理功效,尽可能全方位地提高公司网络安全水平。在网络安全性和保密性方面,我采用了以下技术和策略:1.将企业网划分成交易网、办公网、互联网应用网,进行网络隔离。2.在网络边界采取防火墙、存取控制、并口隔离等技术进行安全控制。3.运用多版本的防病毒软件对系统交叉杀毒。4.制定公司网络安全管理办法,进行网络安全集中管理。 一.网络安全隔离 为了达到网络互相不受影响,最好的办法是将网络进行隔离,网络隔离分为物理隔离 逻辑隔离,我主要是从系统的重要程度即安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问或有控制的进行访问。针对我公司的网络系统的应用特点把公司证券交易系统、业务公司系统之间进行逻辑分离,划分成交易子网和办公子网,将互联网应用与公司企业网之间进行物理隔离,形成独立的互联网应用子网。公司中心与各营业部之间建有两套网络,中心路由器是两台CISCO7206,营业部是两台CISCO2612,一条通讯链路是联通2M光缆,一条是电信256K DDN,改造前两套链路一主一备,为了充分利用网络资源实现两条链路的均衡负载和线路故障的无缝切换,子网的的划分采用VLAN技术,并将中心端和营业商的路由器分别采用两组虚拟地址的HSRP技术,一组地址对应交易子网,一组地址对应办公网络,形成两个逻辑上独立的网络。改造后原来一机两用(需要同时访问两个网络信息)的工作站采用双硬盘网络隔离卡的方法,在确保隔离的前提下实现双网数据安全交换。 一、网络边界安全控制 网络安全的需求一方面要保护网络不受破坏,另一方面要确保网络服务的可用性。将网络进行隔离后,为了能够满足网络内的授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间采取了不同的存取策略。 (1)互联网与交易子网之间:为了保证网上交易业务的顺利进行,互联网与交易子网之间建有通讯链路,为了保证交易网不受互联网影响,在互联网与事心的专线之间安装了NETSCREEN委托防火墙,并进行了以下控制:a)只允许股民访问网上交易相应地址的相应端口。B)只允许信息技术中心的维护地址PING、TELNET委托机和路由器。C)只允许行情发送机向行情主站上传行情的端口。D)其它服务及端口全部禁止。并且在互联网和交易网之间还采用了SSL并口隔离,进一步保证了交易网的安全。 (2)办公子网与互联网之间:采用东大NETEYE硬件防火墙,并进行了以下控制:a)允许中心上网的地址访问互联网的任何地址和任何端口。B)允许股民访问网上交易备份地址8002端口。C)允许短信息访问公司邮件110、25端口,访问电信SP的8001端口。D)其它的都禁止。 三、病毒防治 网络病毒往往令人防不胜防,尽管对网络进行网络隔离,但网络资源互防以及人为原因,病毒防治依然不可掉以轻心。因此,采用适当的措施防治病毒,是进一步提高网络安全的重要手段。我分别在不同子网上部署了能够统一分发、集中管理的熊猫卫士网络病毒软件,同时购置单机版kv3000和瑞星防病毒软件进行交叉杀毒;限制共享目录及读写权限的使用;限制网上软件的下载和禁用盗版软件;软盘数据和邮件先查毒后使用等等。 四.集中网络安全管理 网络安全的保障不能仅仅依靠安全设备,更重要的是要制定一个全方位的安全策略,在 全网范围内实现统一集中的安全管理。在网络安全改造完成后,我制订了公司网络安全管理办法,主要措施如下:1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核。2)任期有限原则,技术人员不定期地轮岗。3)职责分离原则,非本岗人员不得掌握用户、密码等关键信息。4)营业进行网络改造方案必须经过中心网络安全小组审批后方可实施。5)跨网互防须绑定IP及MAC地址,增加互防机器时须经过中心批准并进行存取控制设置后方可运行。6)及时升级系统软件补丁,关闭不用的服务和端口等等。 保障网络安全性与网络服务效率永远是一对矛盾。在计算机应用日益广泛的今天,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,从而会或多或少的影响使用效率和使用方便性。如,我在互联网和交易网之间设置了防火墙的前提下再进行了SSL并口隔离后,网上交易股民访问交易网的并发人数达到一定量时就会出现延时现象,为了保证股民交易及时快捷,我只好采用增加通讯机的办法来消除交易延时问题。 在进行网络改造后,我公司的网络安全级别大大提高。但我知道安全永远只是一个相对概念,随着计算机技术不断进步,有关网络安全的讨论也将是一个无休无止的话题。审视改造后的网络系统,我认为尽管我们在internet的入口处部署了防火墙,有效阻档了来自外部的攻击,并且将网络分成三个子网减少了各系统之间的影响,但在公司内部的防问控制以及入侵检测等方面仍显不足,如果将来公司投资允许,我将在以下几方面加强: 1. 在中心与营业部之间建立防火墙,通过访问控制防止通过内网的非法入侵。 2. 中心与营业部之间的通讯,采用通过IP层加密构建证券公司虚拟专用网(VPN),保 证证券公司总部与各营业部之间信息传输的机密性。 3.建立由入侵监测系统、网络扫描系统、系统扫描系统、信息审计系统、集中身份识别系统等构成的安全控制中心,作为公司网络监控预警系统。 论计算机网络的安全性设计 摘要 在计算机与网络技术飞速发展的今天,医院信息系统的建设已经成为医院现代化管理的重要标志,同时也是医院管理水平的一种体现。尤其是医疗保险制度的改革,与医院信息系统形成了相互促进的态势,我国很多医院都建立了自己的信息系统。由于行业性质的缘故,医院信息系统必须7x24小时不间断运转,因此对网络系统的安全性和可靠性有很高的要求。本文通过一个医院信息系统项目,阐述了医院计算机网络的安全性设计方面的一些具体措施,并就保障网络的安全性与提高网络服务效率之间的关系,谈了自己的一点体会。正文 我于2001年4月至2003年10月参加了某医院的医院信息系统的建设工作,在项目中,我担任了系统分析与系统设计工作。医院信息系统是指利用计算机软硬件技术、网络通讯技术等现代化手段,对医院及其属各部门对人流、物流、财流进行综合管理,对在医疗活动各阶段产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息,从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。由于行业性质的缘故,医院信息系统必须7x24小时不间断运转,因此对网络系统的安全性和可靠性有很好的要求,在该项目的系统设计阶段,我们就将网络系统的安全性作为一个重要的部分考虑在内。由于该信息系统是建立在一个物理上与公众网完全隔离的局域网基础上的,所以我们并没有过多地考虑防御来自外部入侵者的威胁方面的安全问题,我们认为该系统的安全核心—是保证信息系统的正常运行,二是保证数据的安全,也就是说该医院网络信息系统的安全可以分为信息系统安全和数据安全。下面就我们在这两方面所采取的措施加以论述。信息系统安全 信息系统安全涉及网络安全、服务器组的安全、供电安全、病毒防范等。 1.网络安全 对于医院的业务局域网,威胁网络安全的主要因素有:网络设计缺陷、网络设备损坏、非法访问等。经过充分调研,认真分析,结合该医院的实际情况,我们设计了一个主干为三层路由千兆交换以太网的网络方案。 我们采用具有三层路由功能的两台核心交换机NORTEL PASSORT 8600、两台具有三层路由功能的NORTEL ACCLAR 1150交换机和千兆级光纤组成网络主干,边沿交换机为BAYSTACK450。本方案我们采用SMLT(Split Multi-Link Trunking)+VRRP(Virtual Router Redundancy Protocol)技术。NORTEL公司MLT(Multi-Link Trunking)是一种允许多条物理链路模拟成一条逻辑链路的取合链路虚拟为一条逻辑上的传输线路进行数据传输,进而可以成倍地提高两个交换机之间(或交换机与服务器之间)的数据传输带宽,同时提供了传输链路的冗余备份。当构成虚拟传输链路的几条物理链路有一条由于端口或传输介质本身失效时,不会影响数据的正常传输,所受到的影响仅仅是虚拟链路的传输带宽。SMLT,分离的多链路取作主干,同MLT相比,SMLT在构成上,不再是两个交换机之间。SMLT的一端是一个支持MLT的交换机,而另一端则是由两个交换机通过IST(Inter Switch Trunk,是连接两台聚合交换机以实现信息共享,使两台聚合交换机能作为一台逻辑交换机运转的点对点链路)形成的一个逻辑上的交换机。MLT交换机会别与这两上SMLT交换机连接,因此,SMLT在增加带宽的同时,可以提供最高级别的可靠性—交换机级别的可靠性。两个SMLT交换机不论是端口失效还是端口模板失效,甚至是交换机失效都不会影响数据的正常传输,避免了单点失效对网络正常连通带来的影响。同时,传输负载由两个交换机来均衡完成,可以大幅度提高网络主干的传输性能。SMLT体系结构由SMLT Aggregation Switch、IST(Inter Switch Trunk)和SMLT Client构成,其结构图如下: 在没有使用SMLT的情况下启动虚拟路由冗余协议(VRRP),通常只有主交换机进行数据包的转发,如果主交换机出了故障,备用交换机什么样自动顶替主交换机,完成数据包的转发工具;使用SMLT,使得VRRP的性能得到扩展,除了主交换机进行数据包的转发外,备用交换机也进行数据包的转发,主交换机和备用交换机互为备份并互相侦听,这样即可以实现流量的负载均衡,也可以实现故障恢复,避免单点失效。为了避免边沿交换机出现单点换效,我们采用了堆叠技术,把若干台BAYSTACK450用堆叠电缆堆叠起来,在堆叠的某些交换机上加装光纤模块,由这些光纤端口捆绑成一条逻辑链路上联到网络主干,这样就算堆叠的某些交换机上损坏了,整个堆叠还可以正常工作。特别地,门诊收款处和门诊药房是医院的窗口单位,为了避免由于门诊楼交换机堆叠中的某台交换机出现了故障而导致门诊收款系统和门诊发药系统瘫痪,我们把门诊收款工作站和门诊发药站发散地接到堆叠中的七台交换机。 在防止非法访问方面,我们采用了密码管理、权限设置、虚拟子网(VLAN)的划分等措施。 2.服务器组的安全 服务器是全院计算机网络的大脑和神经中枢,保证服务器可靠长期有效的运行是网络信息系统安全的一个特别重要的问题。 由于本方案中的应用程序是采用安全性较高的三层体系统结构,所以服务器组包括域控制器、应用服务器和数据库服务器。 域控制我们采用了两台稳定性较好的IBM xserials 230服务器,一台做主域控制器,另一台做备份域控制器,这样即可以实现登陆验证的负载均衡,又可以避免域控制器的单点失效问题。 应用服务器部分我们采用了六台HP 380G3服务器和一台F5 BIG-IP5000控制器。BIG-IP控制器是针对企业本网站或数据中心的一种产品。它能够提供高可用性和智能负载平衡功能。六台HP380G3服务器可以通过F5 BIG-IP5000控制器连接到核心交换机PASSPORT 8600,F5 BIG-IP5000控制器可以持续监视六台HP 380G3服务器,以确保服务器运行正常,然后再自动将输入的服务请求路由到六台中可用性最高的服务器。这样接,只要有一台HP380G3服务器不出现故障,中间层应用程序便可以正常运行。这样设计即可以实现中间层应用程序的负载均衡,同时在F5 BIG-IP5000控制器不出现故障的前提下,又避免了应用服务器的单点失效问题。 数据库服务器部分我们采用了一台稳定性较高、存储性能较好的HP DL760 G2服务器、一台HP DL580 G2服务器和一台HP MSA1000光纤磁盘阵列柜。两台服务器分别通过光纤通道连接到磁盘阵列柜,组成存储局域网(SAN)。本方案采用了微软的群集技术,实现了Active/Passive双机热备份模式,HP DL760 G2做主数据库服务器,HP DL580 G2做备份数据库服务器,在主服务器发生故障的情况下,备份服务器将自动在30秒内将所有服务接管过来,从而保证了数据库服务器的正常运行。在磁盘阵列柜,我们安装了5块146G的scsi服务器硬盘,其中4块硬盘做RAID5,一块硬盘做Hot spare,这样可以保证阵列柜在两块硬盘发生故障时,系统还可以正常运行。 3.供电安全 由于医院许多大型诊疗议器设备启动时有瞬间高压、高磁场等,会对计算机产生影响因此我们要求院方做到中心机房的电源专线专供,同时采用功率足够大的ups.4.病毒防范 我们通过设置VLAN和要求院方安装网络版杀毒软件来防范病毒。数据安全 我们采用数据备份来保证数据安全。 本方案我们采用冗余备份策略。1.利用Vertias Backup Exec 9.1软件将数据备份到磁带库中。Veritas Backup Exec能为跨网络的服务器和工作站提供快速可靠的备份和恢复能力。我们利用Veritas Backup Exec的作业管理功能设置备份定时任务,每天进行一次数据库数据完全备份,每三个月进行一次系统的灾难备份。灾难备份能在数据库服务器崩溃时,避免重装系统,利用最新的数据备份使系统尽快忧愁到运行状态。2.利用MS SQL SERVER 2000自身的备份功能,每天定时自动地进行一次数据完全备份,备份数据存放到另一台数据备份服务器HP ML570中,同时在HP ML570中设置一定时任务,对每天的备份数据进行一次完整性检查,这样可以保证备份数据是完整、可用的。 通过数据备份,能使医院在破坏数据的灾难事件中造成的损失降到最低。 计算机网络安全是一个系统工程,除了采用保障网络安全的技术外,还要加强安全教育和制度管理,因此我们强烈要求院方重视对各级计算机操作人员进行计算机网络安全的教育,并制定较为完善的计算机网络管理制度,如严禁非操作人员使用电脑;计算机中心指定专职系统管理员掌握服务器密码,每次更新或升级计算机软件必须有两人同时在场,并做好记录等。 在整个项目方案中,我们用于保障计算机网络系统安全的措施主要是设备的冗余、链路的冗余。采用冗余的措施,除了可以避免单点失效问题,还可以增加网络带宽和实现业务流量的负载均衡。因此保障计算机网络的安全性不仅可以保证网络服务的持续不中断,还可以更好地提高网络服务效率。 在整个项目完成至今一年,从系统运行的情况来看,整个方案是合理的,高可靠性的,院方也感到满意。当然,方案中也有不足的地方,如F5 BIG-IP5000控制器存在单点失效问题;随着院方的网上挂号等业务的开展,本方案中没有考虑到内网与公众网相连的安全措施等。 长春经济技术开发区的网络安全建设 一、系统安全目标 保证电子政务内部网络、外部网络的信息传输、信息存储是安全的、保密的,确保电子政务网络系统安全、可靠、平稳地运行,我们要实现如下系统安全目标: 1.建成开发区完整的网络安全体系,并建立一套可行的网络安全与网络管理策略; 2.采用防火墙系统对开发区电子政务内、外网络进行安全访问控制; 3.通过网络监控系统,全面监视和跟踪进、出网络的所有访问行为,发现不安全的操作和黑客攻击行为,及时告警和拒绝; 4.建设网络定期安全扫描系统,检测网络安全漏洞,及时了解和掌握计算机当前或近期使用情况,减少被黑客利用的不安全因素; 5.建立病毒防范体系,防止网络系统被病毒的侵害; 6.通过 CA 认证和 PKI 数据加密技术进行用户身份识别,为电子政务系统提供安全保障; 7.对内、外网络的信息发布平台 WEB 进行保护,防止网站网页被非法人员篡改,为领导决策提供安全的文件传输服务; 8.利用安全评估系统进行系统审计、敏感信息检查,确保电子政务信息的安全; 9.进行重要数据库系统的冗余备份,以备不测或灾难时快速恢复网络系统。 二、实施方案 1、物理安全体系 物理安全是整个系统安全的前提,是保护设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。具体实施方案包括机房、通讯线路、物理隔离卡、设备和电源的安全措施。 (1)机房环境安全 接地系统:对政务中心所在的开发大厦内所有计算机和各种地线系统采用统一的防雷处理,即建筑物内共地系统,保证设备安全,并能防止电磁信息泄漏。 防雷措施:开发区在楼顶安装了避雷设施,即在主机房外部安装了接闪器、引下线和接地装置,吸引雷电流,并为泄放提供了一条低阻值通道。机房内部采取屏蔽、合理布线、过电压保护等技术措施,以此达到防雷的目的。另外,还采取相应的防盗、防静电、防火、防水等措施。 (2)通信线路安全 主要是对电源线和信号线采取加装性能良好的滤波器功能,减小阻抗和导线间的交叉耦合,阻止传导发射。对机房水管、暖气管、金属门采用各种电磁屏蔽措施,阻止辐射发生。 3、物理隔离卡 物理隔离卡系统从安全的角度出发,提供了一种安全的用户访问机制,终端用户可以在多网物理隔离的条件下安全自由地访问其中任意一个网络。为如何解决开发区管委会领导班子、机关处室、企事业、驻区单位等既要接入电子政务内网又要接入电子政务外网的实际需求提供了一套经济、高效、安全的解决方案。根据开发区各部门接入的政务网络类别和数量,选择双网线隔离卡来实现相关功能设计。 4.设备、电源安全 主要是加强对网络系统硬件设备的使用管理,强调坚持做好硬件设备(如交换机、路由器、主机、显示器等)的日常维护和保养工作,定期检查供电系统的各种保护装置及地线是否正常。电源系统电压的波动、浪涌电流和突然断电等意外情况的发生可能引起计算机系统存储信息的丢失、存储设备的损坏等情况的发生,必须依照国家的相关标准配备。 2、防火墙 将防火墙部署在路由器与受保护的内部网络之间,作为数据包进/出的唯一通道。过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警。同时,通过设置 DMZ(Demilitarized Zone)实现政府对外网站及信箱与外部畅通的访问。它具体适用范围包括:长春经济技术开发区电子政务门户网站的出入口处;长春经济技术开发区管委会下属各部门的电子政务办公网与电子政务公共网的连接处;长春经济技术开发区电子政务系统的资源中心、数据中心、管理中心、CA中心的边缘。 在电子政务门户网站的出、入口处,资源数据中心与电子政务连接处,各配置两台千兆防火墙,并对防火墙作双机热备、负载均衡。防火墙组位于电子政务网核心路由器和与 INTERNET 连接的前级路由器设备之间,该组防火墙一方面实现电子政务办公网访问门户网站,另一方面实现 INTERNET 用户访问门户网站,同时实现电子政务公众服务网与电子政务办公网的隔离。即 INTERNET 用户可以通过防火墙访问门户网站,但是却不能访问电子政务办公网。 同时考虑到稳定可靠性的问题,对防火墙作双机热备。确保当主防火墙被宕机后,能在最短时间内启动从防火墙,不影响网络的正常运转和安全。为确保门户网站的服务器群高效、稳定工作,应对服务器群实现负载均衡。负载均衡一般用于提高服务器的整体处理能力,并提高可靠性,可用性,可维护性,最终目的是加快服务器的响应速度,从而防火墙位于资源数据中心与核心交换机之间,实现电子政务外网与提供其办公应用服务器区隔离。考虑到二者之间的服务量、访问量很大,防火墙负担过重,会出现瓶颈问题,因此,需要对防火墙作负载均衡,以此来增加网络安全性,降低或消除瓶颈,增强防火墙甚至整个网络的可用性。 电子政务网络管理中心及数据容灾备份中心分别配置一台千兆防火墙设备,不使用双机备份。综上所述,我们在开发区电子政务门户网站的出入口、电子政务对外应用服务处、资源数据中心、网络管理中心处配置了高性能的千兆防火墙,并采用了负载均衡设备,实施相应的安全策略控制,保证网络安全,提高整体功能。 3、IDS 针对长春经济技术开发区电子政务系统,入侵检测系统设置用于如下几方面:政府门户网站区域:由于电子政务网络系统的涉密性,黑客会渗透到职能部门,内部人员也很容易通过网络安全防护不严的特点使黑客直接攻击系统漏洞、利用漏洞窃取信息、假冒身份、阻塞服务等。在政府门户网站区域配备入侵检测系统,将有效发现、抵御来自外部的恶意攻击行为。内部办公网络各节点的网络出入口:为对内部用户的网络行为进行审计时提供详尽信息,识别内部用户的非法操作,对内部用户起到一定的约束作用,降低了内部攻击的影响。内部办公网关键区域:如内部主要服务器区域、网络管理中心等。 内部办公网关键区域,是内部网络资源、管理的核心区域。在这些区域配备入侵检测系统,将有利于进行网络异常行为分析,为内部办公网的正常运行和管理提供有力保障。入侵检测设备是作为防火墙的合理补充,为每个监测区域根据实际安装一台符合相应带宽需求的入侵检测设备。通过交换机配置,选择合适的入侵检测点进行网络信号的监测。 4、安全漏洞扫描系统 在网络管理中心处配置一台基于网络扫描为主,同时辅以主机和数据库扫描的综合性漏洞扫描与评估系统,可扫描路由器、交换机、防火墙等网络设备以及 Windows、Unix 和 Linux 操作系统、MS SQL Server 和Oracle 数据库。 5、防病毒系统 采取统一集中管理和分级管理相结合,除了在政务中心安装中央控管防毒软件外,在各应用服务器及用户端都要安装相应的防毒软件。电子政务网络病毒防护是一个重要而复杂的任务,必须将技术、工具和管理三者结合才行。 6、页面防篡改 页面防篡改(InforGuard,简称 iGuard)系统用来保护开发区电子政务网站不发送被篡改的页面内容,支持网页的自动发布、篡改检测、警告和自动恢复,保证传输、鉴别、审计等各个环节的安全。iGuard 使用先进和可靠的Web 服务器核心内嵌技术,在部分操作系统上辅助以事件触发式技术,从而完全实时地杜绝篡改后的网页被访问的可能性。 Web服务器和内容管理系统(CMS)都沿用原来的机器,需在其间增加一台发布服务器。iGuard自动同步机制完全与内容管理系统无关,与其协同工作,内容管理系统本身无须变动。 发布服务器上具有与Web服务器上的网站文件完全相同的结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,由自动发布子系统将其同步到Web服务器上。无论任何情况,不允许直接变更Web服务器上的页面文件。 在开发区电子政务网络中,Iguard 设计安装在两台机器上:Web 服务器和发布服务器。发布服务器位于内网中,有着较高的安全防护级别,其上运行自动发布程序和管理子系统。Web 服务器位于 DMZ 中,容易受到篡改攻击,其上运行防篡改模块和同步服务器程序。 7、数据备份与容灾方案的设计 根据开发区的网络结构和应用系统的特点,我们从资源数据中心备份容灾和门户网站的备份与容灾二方面目标,以及 RAID 保护、冗余结构、数据备份、故障预警等多方种方式来考虑,设计采用本地容灾和异地容灾两套系统。 在数据中心采用磁盘阵列为主要设备,采用 SAN 方式进行本地数据存储,支持 NAS 对远程数据进行异地备份。对门户网站的备份与容灾体现在 Web 服务器和防火墙的冗余备份与流量负载均衡等方面。 三、应用及结果分析 分别采取物理安全、防火墙、入侵检测、安全漏洞扫描、CA认证、病毒防范、网页防篡改和数据备份与容灾等八项措施进行系统安全保护和防范。每种防范措施都从不同的角度,针对不同层的结构,采取相应的应对设备和策略,来阻止来自黑客、网络间谍、信息战敌对分子和恐怖分子的违法犯罪行为。 开发区电子政务外网统一出口,这一措施已经最大限度地防止了网上泄密和入侵攻击。防火墙、入侵检测、漏洞扫描等设施有效地制止了黑客侵扰和对敏感信息破坏、修改或窃取。通过CA认证体系,控制了外部人员非法进入电子政务系统。病毒防治和网页防篡改系统及时阻止恶意移动代码等行径的造访,数据备份与容灾系统为天灾人祸作最后的保障。 本方案在实际应用过程中,已起到很好的安全防范效果,电子政务系统得以安全运作。实践证明,使用更高、更强、更好的网络安全工具和技术,配以更有效的安全管理机制,才会收到更好的安全效果。由于电子政务网络的复杂性,必然导致电子政务网络安全防护的复杂性。 “三分技术,七分管理”是对网络安全状况的客观描述。任何网络仅在技术上是做不到彻底的安全,还需要建立一套科学、严密的网络安全管理体系,将工具、技术和管理三种手段结合起来,才能杜绝和防止因非法访问或恶意攻击而造成损失。 四、管理政策及目标 网络安全管理目标是:采取集中控制、分级管理的模式,建立由专人负责安全事件定期报告和检查制度,从而在管理上确保全方位、多层次、快速有效的网络安全防护。 实践证明,只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证。 总之,本文对电子政务网络信息安全的主要安全防范措施进行了深入细致地研究,确定了具有较高性价比和实用价值的相应的解决方案。 由于能力和精力有限,有一些防范措施研究的不够透彻,也有一些电子政务的安全措施没有探讨和使用,如邮件安全、远程访问、敏感信息检查等,有待在将来的工程设计中更周全地考虑和利用。 总之,电子政务外网是政府面向公众和社会服务的重要窗口,要加强对电子政务外网的网络安全建设和管理。对网络的重要区域,要增设防火墙、入侵检测关卡,或加大防火墙的火力。对重要部门实行特殊保护。同时,加强安全管理意识,健全制度和定期培训。通过对电子政务网络信息安全的安全防范措施和报告深入细致地研究,发现问题和漏洞,及时采取措施加以解决,使电子政务更有效地行使政府职能。 另外,在电子政务安全建设中,需要权衡安全、成本、效率三者的关系。实际上,绝对的安全是没有的,电子政务系统也不是“越安全越好”。不同的电子政务系统,需要根据对信息安全的不同要求而配置安全方案和设施。一个门配几把锁取决于门内放的东西的重要程度,因为锁越多,门的安全成本也就越高,而门的使用效率就越低。因此,必须根据电子政务系统的实际要求做到恰到好处。内外网的划分第四篇:网络论文
第五篇:网络论文
点击咨询 