時間:2022-05-17 20:37:51
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇vpn技術論文范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
2MPLSvpn互訪策略
在南水北調自動化業務系統中的應用按照MPLSVPN劃分的原則,不同MPLSVPN之間不能互相訪問,這確保了VPN的安全可靠性。但是,南水北調中線干線工程自動化應用系統之間存在MPLSVPN子系統之間、用戶至不同業務系統服務器之間的受控互訪的需求。也就是說,網絡需要方便地控制不同MPLSVPN之間的互訪,而且要實現嚴格控制互訪;同時,為保障各業務系統安全,需要對用戶訪問采取控制措施。
2.1MPLSVPN子系統之間互訪
通過BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式,通過MP-BGP協議配置建立路由信息,來達到不同VPN之間的路由擴散;通過VPN內部的路由器(或防火墻)做地址過濾、報文過濾等方式控制訪問的用戶。上述兩種方式結合使用,實現了子系統的靈活受控互訪。
2.2應用終端交互訪問不同MPLSVPN
2.2.1方案一
NAT方案此種方案是將多用途終端主機的業務流在CE進行分類,不同的業務流進行不同的靜態NAT(映射不同的IP地址)。對每個業務系統的主機/服務器可以分配連續的地址空間,PE設備只需要維護較為簡單的路由表,CE配置確定后一般不需要修改。
2.2.2方案二
PE節點作訪問控制在PE設備上,通過多角色主機技術,將某個VRF中指定的路由(特殊終端的路由),引入到另外一個VRF中,在PE的CE側接口上配置策略路由,當流量匹配ACL,則重定向到VPN組,查找并轉發,從而實現不同的MPLSVPN可以同時訪問該特殊終端。
2.2.3方案三
802.1X強制認證+Windows域管理802.1X協議在利用IEEE802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段,與VRF路由表的導入導出機制結合使用,從而達到接受合法用戶接入、保護網絡安全的目的。用戶訪問其他MPLSVPN,需要禁用、再啟用網卡,重新輸入不同MPLSVPN的不同身份信息實現。顯然,基于PE節點作訪問控制的方案配置簡單,傳輸效率高,互通網絡可靠性強,無論從網絡實現、網絡性能、網絡安全以及網絡管理各方面分析,更適用于南水北調中線干線工程自動化各系統應用終端交互訪問不同的MPLSVPN。
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2010)09-0083-02
1 引言
隨著我院辦學形式的轉變,先后在北京和杭州成立的相關研究所,以及在杭州的浙江技師學院分校。現要求使各分部區能訪問主校區的校內資源,保證連接和訪問的安。所以必須尋找一種新的互連方式解決校區間數據傳遞或教職工在校外訪問校內資源中遇到的問題。價格上要求實惠,數據要求安全,因此虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸,虛擬專用網還可以保護現有的網絡投資。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
2 VPN簡介
2.1 虛擬專用網
虛擬專用網(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。
2.2 VPN的實現技術
VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。
(1)VPN訪問點模型。首先提供一個VPN訪問點功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術和加密技術。
(2)隧道技術。隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特點
(1)安全保障。雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者了解,從而保證了數據的私有性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業網擴展到合作伙伴和客戶,對安全性提出了更高的要求。
(2)服務質量保證(QoS)。VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網絡,交互式的內部企業網應用則要求網絡能提供良好的穩定性;對于其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。QoS通過流量預測與流量控制策略,可以按照優先級分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。
(3)可擴充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
(4)可管理性。從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面,VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業自己仍需要完成許多網絡管理任務。所以,一個完善的VPN管理系統是必不可少的。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
3 VPN應用實例
利用VPN 較少的網絡設備及物理線路,使網絡的管理較為輕松。不論分校或遠程訪問用戶的多少,只需通過互聯網的路徑即可進入主校區網路。
結合我校的實際要求,采用美國網件產品FVL328、FVL318VPN產品,價格實惠,總體性能滿足要求,美國網件的VPN網絡解決方案不僅支持IPSEC等協議,以及DES、3DES、AES加密算法,同時還可通過IKE、共享秘鑰、PKI(X.509)進行身份認證等方式,加強內部網絡的安全性能。
FVL328、FVS318具有支持動態DDNS組建的IPSEC VPN網絡的功能, 并運用了產品自身的DDNS(動態域名解析)技術,整個VPN系統網絡使用方便、快速、圖形化的配置界面使維護和管理更簡單、建設費用低廉。VPN拓撲結構圖,如圖2所示:
在總校采用一臺FVL328作為中心端,在其他分校使用FVS318,整個VPN網絡通過認證密碼統一管理,形成一個集中管理的虛擬私有網絡,VPN傳輸使用IPSEC協議。對外安全邊界使用NETGEAR的寬帶防火墻技術屏蔽來自外部的各種可能攻擊。
總校可采用固定的IP地址和域名,各分校可以申請動態拔號ADSL寬帶線路, 通過從NETGEAR的VPN設備中申請獲得免費的DDNS(動態域名解析服務),從而可低成本地組建VPN網絡連接,結合美國網件公司的VPN防火墻FVL328和FVS318的先進安全策略技術,來實現實際需求和將來可能的需求. 各分院能夠直接訪問到母校的數據共享服務器資源, 同時又要保證數據能安全的在公網上進行傳輸.即實現母校與各分院之間數據和信息能夠安全、保密、高速、穩定的實時傳輸。
4 結語
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時建立的安全專用虛擬網絡,用戶就節省了租用專線的費用,在運行的資金支出上,除了購買VPN設備,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。VPN技術戶廣泛用于校際間的數據傳送,也是企業的分支機構聯系數據的主要手段。
參考文獻
0 引言
近年來,隨著信息技術的發展,各行各業都利用計算機網絡和通訊技術開展業務工作。廣西百色田陽縣農產品批發中心利用現代信息技術建有專門的網站,通過網站實施農產品信息、電子支付等商務工作。但是基于互聯網的電了商務的安全問題日益突出,并且該問題已經嚴重制約了農產品電子商務的進一步發展。
1 農產品電子商務的安全需求
根據電子商務系統的安全性要求,田陽農產品電子商務系統需要滿足系統的實體安全、運行安全和信息安全三方面的要求。
1) 系統實體安全
系統實體安全是指保護計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染等)破壞的措施和過程。
2) 系統運行安全系統運行安全是指為保障系統功能的安全實現,提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急)來保護信息處理過程的安全。項目組在實施項目前已對系統進行了靜態的風險分析,防止計算機受到病毒攻擊,阻止黑客侵入破壞系統獲取非法信息,因此系統備份是必不可少的(如采用放置在不同地區站點的多臺機器進行數據的實時備份)。為防止意外停電,系統需要配備多臺備用電源,作為應急設施。
3) 信息安全
系統信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統標識、控制。系統的核心服務是交易服務,因此保證此類安全最為迫切。系統需要滿足保密性,即保護客戶的私人信息,不被非法竊取。同時系統要具有認證性和完整性,即確保客戶身份的合法性,保證預約信息的真實性和完整性,系統要實現基于角色的安全訪問控制、保證系統、數據和服務由合法的客戶、人員訪問,即保證系統的可控性。在這基礎上要實現系統的不可否認性,要有效防止通信或交易雙方對已進行的業務的否認。
2 農產品電子商和安全策略
為了滿足電子商務的安全要求,電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務,具體可采用的技術如下:
2.1基于多重防范的網絡安全策略
1) 防火墻技術
防火墻是由軟件系統和硬件系統組成的,在內部網與外部網之間構造保護屏障。所有內外部網之間的連接都必須經過保護屏障,并在此進行檢查和連接,只有被授權的信息才能通過此保護屏障,從而使內部網與外部網形成一定的隔離,防止非法入侵、非法盜用系統資源,執行安全管制機制,記錄可疑事件等。
防火墻具有很好的保護作用。論文大全,信息安全。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
邊界防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。論文大全,信息安全。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。論文大全,信息安全。
2) VPN 技術
VPN 技術也是一項保證網絡安全的技術之一,它是指在公共網絡中建立一個專用網絡,數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,其分支機構就可以相互之間安全的傳遞信息。同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以進入企業網中。使用VPN 技術可以節省成本、擴展性強、提供遠程訪問、便于管理和實現全面控制,是當前和今后企業網絡發展的趨勢。
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可*的認證機制。
性能
VPN要發展其性能至少不應該低于傳統方法。盡管網絡速度不斷提高,但在Internet時代,隨著電子商務活動的激增,網絡擁塞經常發生,這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺,管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能,又不會“餓死”,低優先級的應用。
管理問題
由于網絡設施、應用不斷增加,網絡用戶所需的IP地址數量持續增長,對越來越復雜的網絡管理,網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分布,并管理大量設備。論文大全,信息安全。
2.2基于角色訪問的權限控制策略
農產品電子商務系統信息系統含有大量的數據對象,與這些對象有關的用戶數量也非常多,所以用戶權限管理工作非常重要。
目前權根控制方法很多,我們采用基于RBAC演變的權限制制思路。在RBAC之中,包含用戶、角色、目標、操作、許可權五個基本數據元素,權限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權限。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據系統作業流程的任務,并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色,低級別角色可以為高級別角色的子角色,高級別角色完全繼承其子角色的權限。
(2)分配權限策略
根據系統的實際功能結構對系統功能進行編碼,系統管理員可以創建、刪除角色所具有的權限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時角色不發生沖突,對該角色的權限不能輕易進行修改,以免造成由于修改角色權限從而造成角色發生沖突。論文大全,信息安全。論文大全,信息安全。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現。用戶登陸系統時,系統會根據用戶的角色的并集,從而得到用戶的權限,由權限得到菜單項對該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數據加密的數據安全策略
在農產品商務系統中,數據庫系統作為計算機信息系統核心部件,數據庫文件作為信息的聚集體,其安全性將是重中之重。
1)數據庫加密系統措施
(1)在用戶進入系統進行兩級安全控制
這種控制可以采用多種方式,包括設置數據庫用戶名和口令,或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。
2)防止非法復制
對于服務器來說,可以采用軟指紋技術防止非法復制,當然,權限控制、備份/復制和審計控制也是實行的一樣。
3)安全的數據抽取方式
提供兩種卸出和裝入數據庫中的加密數據的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數據還是密文,在這種模式下,可直接使用dbms提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數據明文,在這種模式下,可利用系統專用工具先進行數據轉換,再使用dbms提供的卸出、裝入工具完成。
3結束語
隨著信息化技術的快速發展,農產品電子商務創新必須適應新的變化,必須充分考慮信息安全因素與利用信息安全技術,這樣才能實現農產品電子商務業務快速增長,本文所述的安全策略,對當前實施電子商務有一定效果的,是值得推介應用的。
參考文獻:
[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報(自然科學版),2007,(12):71-73.
[2]唐文龍.基于角色訪問控制在農產品電子商務系統中的應用[j]. 大眾科技.34-35
1 引言網絡技術,特別是Internet的興起,正在從根本上改變傳統的信息技術(IT)產業,隨著網絡技術和Internet的普及,信息交流變得更加快捷和便利,然而這也給信息保密和安全提出了更高的要求。近年來,研究人員在信息加密,如公開密鑰、對稱加密算法,網絡訪問控制,如防火墻,以及計算機系統安全管理、網絡安全管理等方面做了許多研究工作,并取得了很多究成果。
本論文主要針對網絡安全,從實現網絡信息安全的技術角度展開探討,以期找到能夠實現網絡信息安全的構建方案或者技術應用,并和廣大同行分享。
2 網絡安全風險分析影響局域網網絡安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結起來,主要有六個方面構成對網絡的威脅:
(1) 人為失誤:一些無意的行為,如:丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應進入網絡的人上網等,都會對網絡系統造成極大的破壞。
(2) 病毒感染:從“蠕蟲”病毒開始到CIH、愛蟲病毒,病毒一直是計算機系統安全最直接的威脅,網絡更是為病毒提供了迅速傳播的途徑,病毒很容易地通過服務器以軟件下載、郵件接收等方式進入網絡,然后對網絡進行攻擊,造成很大的損失。
(3) 來自網絡外部的攻擊:這是指來自局域網外部的惡意攻擊,例如:有選擇地破壞網絡信息的有效性和完整性;偽裝為合法用戶進入網絡并占用大量資源;修改網絡數據、竊取、破譯機密信息、破壞軟件執行;在中間站點攔截和讀取絕密信息等。
(4) 來自網絡內部的攻擊:在局域網內部,一些非法用戶冒用合法用戶的口令以合法身份登陸網站后,查看機密信息,修改信息內容及破壞應用系統的運行。
(5) 系統的漏洞及“后門”:操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。科技論文。另外,編程人員為自便而在軟件中留有“后門”,一旦“漏洞”及“后門”為外人所知,就會成為整個網絡系統受攻擊的首選目標和薄弱環節。大部分的黑客入侵網絡事件就是由系統的“漏洞”和“后門”所造成的。
3 網絡安全技術管理探討3.1 傳統網絡安全技術目前國內外維護網絡安全的機制主要有以下幾類:
Ø訪問控制機制;
Ø身份鑒別;
Ø加密機制;
Ø病毒防護。
針對以上機制的網絡安全技術措施主要有:
(1) 防火墻技術
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它用來控制內部網和外部網的訪問。
(2) 基于主機的安全措施
通常利用主機操作系統提供的訪問權限,對主機資源進行保護,這種安全措施往往只局限于主機本身的安全,而不能對整個網絡提供安全保證。
(3) 加密技術
面向網絡的加密技術是指通信協議加密,它是在通信過程中對包中的數據進行加密,包括完整性檢測、數字簽名等,這些安全協議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數及其它一些序列密碼算法實現信息安全功能,用于防止黑客對信息進行偽造、冒充和篡改,從而保證網絡的連通性和可用性不受損害。
(4) 其它安全措施
包括鑒別技術、數字簽名技術、入侵檢測技術、審計監控、防病毒技術、備份和恢復技術等。鑒別技術是指只有經過網絡系統授權和登記的合法用戶才能進入網絡。審計監控是指隨時監視用戶在網絡中的活動,記錄用戶對敏感的數據資源的訪問,以便隨時調查和分析是否遭到黑客的攻擊。這些都是保障網絡安全的重要手段。
3.2 構建多級網絡安全管理多級安全作為一項計算機安全技術,在軍事和商業上有廣泛的需求。科技論文。“多級”包括數據、進程和人員的安全等級和分類,在用戶訪問數據時依據這些等級和分類進行不同的處理。人員和信息的安全標識一般由兩部分組成,一部分是用“密級”表示數據分類具有等級性,例如絕密、秘密、機密和無密級;另一部分是用“類別”表示信息類別的不同,“類別”并不需要等級關系。在具體的網絡安全實現上,可以從以下幾個方面來構建多級網絡安全管理:
(1) 可信終端
可信終端是指經過系統軟硬件認證通過、被系統允許接入到系統的終端設備。網絡安全架構中的終端具有一個最高安全等級和一個當前安全等級,最高安全等級表示可以使用該終端的用戶的最高安全等級,當前安全等級表示當前使用該終端用戶的安全等級。
(2) 多級安全服務器
多級安全服務器上需要部署具有強制訪問控制能力的操作系統,該操作系統能夠為不同安全等級的用戶提供訪問控制功能。該操作系統必須具備很高的可信性,一般而言要具備TCSEC標準下B1以上的評級。
(3) 單安全等級服務器和訪問控制網關
單安全等級服務器本身并不能為多個安全等級的用戶提供訪問,但結合訪問控制網關就可以為多安全等級用戶提供訪問服務。對于本網的用戶,訪問控制網關旁路許可訪問,而對于外網的用戶則必須經過訪問控制網關的裁決。訪問控制網關的作用主要是識別用戶安全等級,控制用戶和服務器之間的信息流。科技論文。如果用戶的安全等級高于單級服務器安全等級,則只允許信息從服務器流向用戶;如果用戶的安全等級等于服務器安全等級,則允許用戶和服務器間信息的雙向流動;如果用戶的安全等級低于服務器安全等級,則只允許信息從用戶流向服務器。
(4) VPN網關
VPN網關主要用來保護跨網傳輸數據的保密安全,用來抵御來自外部的攻擊。VPN網關還被用來擴展網絡。應用外接硬件加密設備連接網絡的方式,如果有n個網絡相互連接,那么就必須使用n×(n-1)個硬件加密設備,而每增加一個網絡,就需要增加2n個設備,這對于網絡的擴展很不利。引入VPN網關后,n個網絡只需要n個VPN網關,每增加一個網絡,也只需要增加一個VPN網關。
4 結語在網絡技術十分發達的今天,任何一臺計算機都不可能孤立于網絡之外,因此對于網絡中的信息的安全防范就顯得十分重要。針對現在網絡規模越來越大的今天,網絡由于信息傳輸應用范圍的不斷擴大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點對網絡的信息安全管理系統展開了分析討論,相信通過不斷發展的網絡硬件安全技術和軟件加密技術,再加上政府對信息安全的重視,計算機網絡的信息安全是完全可以實現的。
參考文獻:
[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.
[2] 黃國言.WEB方式下基于SNMP的網絡管理軟件的設計和實現[J].計算機應用與軟件,2003,20(9):92-94.
中圖分類號:G250.7 文獻標識碼: A 文章編號:1672-1578(2013)03-0081-02
1 引言
信息技術的迅速發展和廣泛應用,不僅改變著人們的工作和生活方式,也改變著教育和學習方式,也促進了國內外數字資源的突飛猛進發展,高校圖書館購買的數字資源也越來越多,可供師生訪問的資源日漸增多,但是數據庫資源的知識產權和版權等因素使得相當部分數字資源使用范圍有限,只能在校園網內部訪問,不能對外網開放。電大開放教育以學生為中心,具有開放性、靈活性、針對性和適應性等特點,主要運用衛星、電視、互聯網、移動終端等信息化手段和多種教學媒介,構建全民多樣化終身學習型社會。國家開放大學數字圖書館的服務對象是開放大學及電大系統的師生,但他們多數是在職在崗的成人,學習的地方相對分散,到校園圖書館利用數字資源極為不便,也因此形成了開放大學圖書館服務方式的特殊性。為了滿足電大系統教師和學生隨時隨地便捷地使用圖書館數字資源,國家開放大學數字圖書館提供遠程訪問服務。
2 遠程訪問數字圖書館
本文所討論的遠程訪問是校外訪問,就是指非校園網用戶突破校內IP地址的物理限制使用學校購買的數字化數據庫資源。目前遠程訪問圖書館數字資源有傳統服務器技術、VPN技術、Athens項目、PKI技術、Shibbloeth項目、EZproxy技術等[1]。VPN技術實現遠程訪問已經普遍應用并逐步完善,尤其在遠程訪問圖書館數字資源中應用更為廣泛。新興的 SSL VPN 技術非常適合移動用戶的遠程接入訪問,該技術集傳統數據網絡的安全、快速及共享數據庫的低成本且簡單易行等優點特點,可以為外部網提供虛擬連接,從而成為高校圖書館為所有非校園網的師生提供資源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虛擬專用網絡,是一種網絡新技術,在公用網絡上通過加密、認證、封裝以及密鑰交換技術,建立單位內部專用網絡進行遠程虛擬訪問的連接方式。VPN具有傳輸數據安全可靠,連接方便靈活,可完全控制,成本低等特點[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接層)協議來實現遠程接入的一種新型VPN技術。SSL協議是基于WEB的安全協議,使用SSL 協議進行認證和數據加密的VPN就可以免于安裝客戶端。相對于傳統的VPN而言,SSL VPN具有部署簡單,無客戶端,維護成本低,網絡適應強等特點[4]。
4 應用VPN技術訪問數字圖書館的方法
筆者在教育教學過程中發現絕大多數學生不會遠程訪問數字圖書館,甚至很多教師都不會合理利用網上數字資源。開放大學圖書館由于涉及數據庫資源的知識產權問題,使用范圍有限,在校園網內使用沒有限制,但校外只允許屬于電大的教師和學生作為合法的用戶,提供VPN技術,用戶在登錄后,需要安裝VPN控件,才能正常的打開文獻資源列表。一般情況下,VPN系統會自動檢測電腦系統,并引導安裝VPN插件,也可以在網站下載插件安裝包進行安裝。因此要求我們提供用戶名和密碼來進行身份的確認。筆者在教學工作中發現,很多學生寫畢業論文或教師做課題研究的時候,抱怨找不到資源,找到的資源不完整或者下載需付費,下面簡單介紹校外如何訪問開放大學數字圖書館(中央廣播電視大學圖書館)。
4.1 開放大學數字圖書館介紹
國家開放大學數字圖書館為開放大學及全國電大系統提供一站式、扁平化服務,其中電子圖書書目數據達340多萬種、電子圖書全文達234萬種、學術文獻7000多萬篇、社科數字期刊2800多種,名師講座88624集,基本實現數字文獻資源全學科覆蓋[5]。主要涵蓋:(1)開放文獻資源列表,提供中央電大圖書館提供的常用電子文獻資源列表;(2)讀者論壇幫助BBS(beta),是開放數圖論壇讀者幫助模塊,在此可以反饋在使用中存在的問題,提出數字圖書改進建議;(3)數字圖書館學習空間,以圖書館培訓、教育為主要內容,同時提供教師自建課程的Moodle教學平臺;(4)電大在線?我的工作室,提供在線教學輔導的全部信息;(5)開放大學講壇,由中央電大圖書館主辦的學術講座平臺,匯集名師名家,深入講解近期發生的熱點問題,提供最全的視頻資料信息;(6)全國電大圖書館通訊,是圖書館服務與交流電子期刊,提供了最新的電大圖書館工作動態,介紹電大圖書館新引進的和推薦的文獻信息資源等;(7)社會化應用及交流網站等服務。
4.2 安裝VPN控件
開放大學數字圖書館(http://)通過VPN的方式對開放教育學生以及電大系統教職工提供授權訪問服務。打開頁面“插件”(如上圖),下載“國家開放大學數字圖書館遠程訪問控件”,即VPN控件,在安裝過程中關閉防火墻和IE安全控(上接81頁)
件軟件,并將圖書館網站的鏈接地址添加到IE信任列表,Windows Vista用戶在安裝控件時請關閉UAC,Windows 7用戶在安裝控件時請對IE點擊右鍵選擇“以管理員身份運行”,再打開安裝頁面。安裝VPN控件后,這個插件要求必須使用IE瀏覽器進行訪問,IE瀏覽器的版本最低為6.0。
4.3 登陸訪問資源列表
點擊“開放數圖”,學生用電大在線學生證號進行登錄,教師用電大在線用戶名進行登錄,通過點擊開放文獻資源列表標簽,在進入過程中檢查身份的合法性及訪問資源的安全性,檢查完畢進入應用列表,包括CNKI、維普、萬方、超星、龍源、讀秀等數據庫,涵蓋了最新期刊、會議論文、學位論文等。
4.4 文獻檢索
以中國知網(CNKI)為例,打開CNKI(國開鏡像版),期刊包括博碩士學位論文、會議、報紙、外文文獻、年鑒、百科、詞典、統計數據、專利、標準等內容,通過全文、主題、篇名、關鍵字、摘要、文獻來源等方式輸入關鍵字進行檢索,在檢索結果中打開自己感興趣的文獻進行閱讀、下載。
日新月異的信息技術,促進了教育信息化的迅猛發展,電大教師的信息技術應用能力、文獻檢索的方法和途徑直接決定了遠程教育教學資源的使用效率和科研水平,因此筆者認為提升師生信息素養,加強信息技術應用能力,通過系統內數字資源應用培訓,從數字圖書館平臺訪問、國內主要文獻數據庫的使用、移動數字圖書館的使用等方面進行培訓,使教職工掌握數字文獻資源的使用,提高數字資源的使用率,充分發揮資源共享的優勢和效益,為教學和科研提供支持。
參考文獻:
[1]張文豐,黃淑敏.開放大學數字圖書館資源校外訪問方式的研究[J].黑龍江科技信息,2007,(20):146.
[2]付凱東.SSL VPN技術在高校圖書館數字資源中的應用[J].微計算機信息,2010,26(7-3):107.
[3]百度百科:虛擬專用網絡[EB/OL].http:///view/480950.htm?fromId=19735.
論文摘要:本文討論了在遠程安全接入領域的ssl vpn技術,通過對ssl協議的分析,全面衡量了ssl vpn遠程接入方案在軍隊院校網絡應用中的綜合優勢。
1引言
打造遠程安全接入平臺,一直是網絡遠程訪問的迫切需求。當前,眾多的安全協議(如pptp.l2tp.ipsec和mpls)各具特色并側重于不同的方面,但能同時結合簡易、安全兩項特性的則非ssl莫屬,ssl vpn是平衡訪問自由度和安全性的出色解決方案。
2 ssl
安全套接層(secure sockets layer, ssl)是netscape于1994年提出的基于web應用的安全協議,它介于http及tcp之間,高層協議可以透明地運行在該協議之上,它指定了一種在應用程序協議和丁cp/ip協議之間提供數據安全性分層的機制,能為丁cp/ip連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。其安全連接基于握手協議、記錄協議和警告協議來完成。
3 ssl vpn主要特點
(1)高安全性:ssl安全通道可確保端到端真正安全可靠的連接,能有效保證信息的真實性、完整性和保密性。
(2)高易用性:無需客戶端的安裝和配置,對終端系統具有良好的兼容性。
(3)高性價比:不需要配置,易于部署及管理,可有效降低網絡配置成本。
(4)高可擴展性和兼容性:可隨時添加需要vpn保護的服務器,并適用于大多數設備。
(5)高效的資源控制能力:可區分用戶設置訪問權限,實現區分對待的資源控制策略。
4 ssl vpn應用優勢
隨著軍隊院校網絡信息化建設的推進,實際應用中面臨著越來越多的跨地域、跨部門的數據傳遞,以及大量的遠程訪問內網的需求。例如跨地域的會商研討、數據采集、資料檢索、分支部門和下屬機構的機要信息交換等。根據這些需求和實際情況,下面主要從ssl vpn和ipsec vpn對比出發,全面衡量ssl vpn的優勢。
(1)謹慎靈活的接入認證策略。在遠程接入過程中,用戶身份驗證是整個過程的第一環,也是最重要的一環,如果不能有效識別用戶的身份,使得非法用戶接入,將給內部網絡帶來極大的安全隱患。ssl vpn提供對所傳送數據的加密、認證和發送源的身份認證,支持將多種身份識別方式進行組合,一般包括usb-key、硬件特征碼、數字證書、動態令牌、短信認證等,而且可以對訪問權限進行嚴格的等級劃分,實現不同用戶對于不同應用程序的控制。
隨著信息化時代的到來,以網絡技術為代表的信息技術已經成為社會發展的重要推動力。網絡技術以其信息海量性、交互性、便捷性等優勢,正在日益深人人們的生活。同樣,由于信息技術的巨大作用,它也被廣泛應用于學校的各種活動之中。當然,網絡技術同時也存在很多缺點,比如網絡安全問題,就成為影響學校信息安全的潛在威脅。因此,學校在利用網絡技術的同時,
一定要注意研究和防范其缺點和不足。
i、我國學校網絡建設的基本情況和特點
應該說,我國學校網絡建設起步時間較晚,但是發展速度十分迅速,筆者總結出我國學校網絡建設的基本情況和特點如下:
1.1建設的普遍性
據一項不完全調查顯示,目前我國具備獨立的學校網絡系統的學校約占全體注冊學校數量的90%以上。這里所說的學校網絡建設,不僅僅指學校的門戶網站或者學校主頁,而是涵蓋學校內部行政辦公網、教學網絡以及學生網絡等網絡系統。可以說,隨著網絡技術的進一步普及,學校已經意識到建立自身獨立的網絡系統的巨大意義,能夠主動投人人力物力,聘請專業機構針對本學校特點研發、部署網絡系統。
1.2應用的廣泛性
目前我國學校在創建獨立網絡體系的同時,非常注意對于網絡功能的再開發。目前國內學校利用網絡系統可以進行內部管理、辦公自動化處理、視頻會議、網絡教學、ip電話、學校推廣等等,極大地豐富了校園網絡的應用手段,拓展了應用領域。
1.3安全意識提高
從國內市場主流網絡安全技術銷售情況可以看出,全社會網絡安全意識正在逐步提高,一些造價不菲的學校版專業軟件銷售情況也十分可觀。學校加強對網絡安全的防范,一方面體現出學校的觀念正在逐步改進,另一方面可以看出,我國國內的網絡安全市場仍然具備較大的拓展空間。
1.4交流的多樣性
學校網絡大都由外部網絡和內部網絡構成。外部網絡就是通常意義上的互聯網,而內部網絡是學校獨立的網絡系統,俗稱內網。隨著交流的不斷增多和辦公形式的多樣化,越來越多的用戶希望能隨時通過互聯網接人校園網,實現遠程辦公。而在當今日益繁多的網絡技術中,vpn技術由于具備自身獨特的優勢,可以很好地滿足建立學校網絡安全通道的需求。
2,vpn技術
2.1基本情況
vpn僅irtualprivatenetwork),即虛擬專用網,被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過非安全網絡的安全、穩定的隧道。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。vpn主要技術包括隧道技術與安全技術。簡言之,通過利用vpn技術,可以在學校內部網絡與外網之間建立一個虛擬的安全通道,實現學校充分利用校內網絡系統的要求。
2.2獨特優勢
vpn技術是比較新的網絡技術,具有許多以往網絡虛擬技術所不具備的優勢,具體說來,主要體現如下:
第一,可以最大限度地保證學校網絡系統的安全運行。在前文中,筆者談到學校關心網絡安全問題,能否保證學校網絡系統運行的穩定和安全,將是這項技術能否被大范圍推廣和使用的關鍵。在vpn技術中,學校可以在內部服務器上實現對用戶資格的認證,同時,在網絡運作過程中。 vpn技術還可以支持點對點加密及各種網絡安全加密協議,如ipsecarity,這可以最大程度上保證學校網絡系統的安全運行。
第二,可以降低學校網絡運行維護的成本。由于vpn設備本身帶有路由功能,可以有效地減少學校內部網絡與互聯網連接時需要的網絡配置設備,對一些傳統設備,vpn技術也可以很好地實現兼容。在虛擬網絡運行過程中,由于其穩定性良好,不需要學校付出大量成本進行維護,因此可以極大地降低學校網絡成本。
第三,可以實現學校網絡系統功能的提升。學校網絡系統應用vpn技術,可以將學校內部的網絡設備與外網實現安全互聯,同時也可以將學校分支機構的網絡設備進行有效連接,主要部門通過對于vpn權限的控制,可以有效地掌控學校網絡系統的運行情況,并依托學校網絡進行各項活動,從而實現對學校網絡功能的進一步擴展。
3、學校如何利用vpn技術
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0101-01
一、引言
隨著信息化經濟一體化的發展,實現資源共享是每個企業追求發展進步不可或缺的一步。利用隧道技術在公共網絡上建立安全的虛擬專用網絡(VPN)是實現資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個比較主流的VPN技術。
二、IPSec VPN
IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術,用來提供公用和專用網絡的端對端加密和驗證服務。IPsec給出了應用于IP層上網絡數據安全的一整套體系結構,包括AH網絡認證協議、ESP封裝安全載荷、IKE因特網密鑰交換和用于網絡認證及加密的一些算法等[1]。其中,AH協議和ESP協議用來提供安全服務,IKE協議用于密鑰交換。
(一)認證頭(AH)協議
IPsec認證頭協議是IPsec體系結構中的一種主要協議(AH協議把AH頭插入IP數據包),它為IP數據報提供無連接完整性、數據源認證、保護以避免重播情況[1]。
(二)封裝安全載荷(ESP)協議
封裝安全載荷(ESP)協議是IPsec體系結構中的一種用來提高IP的安全性的主要協議。ESP加密要保護的數據并且在IPsec ESP的數據部分進行數據的完整性校驗,以達到其數據機密性和完整性的目的。ESP提供了與AH相同的安全服務并提供了一種保密。
(三)IKE
IKE是一種混合型協議,由Internet安全聯盟(SA)和密鑰管理協議(ISAKMP)這兩種密鑰交換協議組成。IKE是以受保護的方式為SA協商并提供經過認證的密鑰信息的協議。IKE用于協商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協議協商SA。
三、MPLS VPN
MPLS VPN與傳統的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術,而是依靠轉發表和數據包的標記來創建一個安全的VPN,MPLS VPN的所有技術產生于Internet。MPLS VPN是一種以MPLS技術為基礎的IP VPN,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協議標記交換)技術,簡化核心路由器的路由選擇方式,結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN)。
(一)MPLS VPN的基本原理
每個MPLS VPN網絡的內部是由P(供應商)設備組成,這些設備構成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網絡發揮VPN的作用。在MPLS VPN中,用戶站點通常運行的是IP。它們并不需要運行MPLS和其他特殊的VPN協議。在PE路由器中,RD對應同每個用戶站點連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設置VPN站點工作的一部分,它并不在用戶設備上進行配置,對于用戶來說是透明的[2]。
(二)MPLS VPN的優點
1.減少時延。由于數據包不再經過封裝或者加密,所以時延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創建一個專用網,它同幀中繼網絡具備的安全性很相似[2]。
2.配置MPLS VPN網絡的設備比較容易。配置MPLS VPN網絡的設備也變得容易了,僅需配置核心網絡不許訪問CPE。
3.提高了資源利用率。由于在網內使用標簽交換,用戶各個點的局域網可以使用重復的IP地址,提高了IP資源利用率。
4.安全性高。采用MPLS作為通道機制實現透明報文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。
四、SSL VPN
SSL VPN的出現是為了解決IPSec VPN的固有的缺點,SSL VPN繼承了IPSec VPN的遠程使用與內網使用體驗一致優點,避免了因有客戶端而導致的使用維護不便、帶來大量病毒和蠕蟲的入侵、無法與企業現有認證服務器結合、無法審計等問題[2]。IPSec VPN與SSL VPN的對比。傳統的IPSec VPN在部署時,往往需要在每個遠程接入的終端都安裝相應的IPSec客戶端并需要作復雜的配置。若企業的遠程接入數量增多,企業的維護成本就會隨之增加。而SSL VPN最大的優點之一就是不需要安裝客戶端程序遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內部網絡。對比表如下:
五、總結
由于VPN的優秀安全特性,讓它越來越受到安全要求較高的企業或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復雜的VPN系統會繼續出現。所以,其安全策略管理的問題將逐步顯現,這方面的研究也將受到高度重視。
(試 行)
一、 網絡類題目的特點
學生絡類題目的特點主要以校園網、小型企業網、大型企業網(多地互聯)為應用場合,進行網絡工程設計類或網絡安全類論文的寫作。
二、 網絡工程設計類論文的寫作
1.論文寫作要求
類似于投標書,但有不同于投標書,不要有商務性質的內容(項目培訓、售后服務、產品說明書、產品報價……),也一般不考慮具體綜合布線(職院學校的要求),主要傾向于其技術實現。
2.論文寫作基本環節
采用工程業務流程,類似于軟件工程:
1)需求分析
2)功能要求
3)邏輯網絡設計(設計原則、拓撲結構圖、背景技術簡介、IP地址規劃表),也稱為總體設計
4)物理網絡設計(實現原則、技術方案對比,一般考慮結構化布線),也稱為詳細設計
5)網絡實現(設備選型和綜合布線屬于這個階段,但我們主要強調各種設備的配置與動態聯調以實現具體目標)
6)網絡測試(比較測試預期結果與實際結果)
具體實現通過采用Dynamips 模擬平臺和Cisco Packet Tracer(PT)模擬平臺。
3.注意事項
1)抓住題目主旨和側重點(類似題目的需求不同,取材角度不同、參考資料的取舍也不同。不同的應用場合會采用不同的拓撲結構、路由技術(BGP、RIP、單區域和多區域的OSPF)、交換技術(Vlan、生成樹、鏈路聚合、堆疊)、訪問(接入)技術、安全技術等,只有這樣題目才能各有千秋,否則就都變成了XX公司(校園)網絡設計。)
2)不要有商務性質的內容(項目培訓、售后服務……)
3)不要產品使用說明書和安裝調試說明書
4)不建議包含綜合布線的整個過程。
4.存在的問題與案例分析
1)結構不太清楚,有些環節沒有
2)不應有產品說明書,具體實現要更清楚
三、 網絡安全類論文的寫作
1.論文寫作基本環節與要求
從技術上講主要有:
1)Internet安全接入防火墻訪問控制;
2)用戶認證系統;
3)入侵檢測系統;
4)網絡防病毒系統;
5)VPN加密系統;
6)網絡設備及服務器加固;
7)數據備份系統;
從模型層次上講主要有:
1)物理層安全風險
2)網絡層安全風險
3)系統層安全風險
不同的應用需求采用不同的技術。
2. 存在的問題與案例分析
1)選題有些過于復雜而有些過于簡單
2)只是簡單敘述各種安全技術,沒有具體實現
四、 論文答辯要求
1)論文格式:從總體上,論文的格式是否滿足《韶關學院本科畢業設計規范》的要求?
記者:今年以來,Unihub公司在業界頻頻出動,大有推動證券互聯之勢。請您給我們介紹一下Unihub公司作為一家專業的網絡服務提供商的優勢是什么?
鄧航:首先是我們已有的成功案例和客戶群,如長城證券,大鵬證券、PA18。我們在為客戶服務的過程中不但努力追求客戶最大的滿意度,而且不斷的改造和完善我們的服務體系和服務水準。這種服務市場經驗值的產生和積累很重要。它需要時間,不象通常賣產品,想做馬上就能做到
二是我們與國內許多企業有良好的業務合作關系,如中國電信等骨干網絡公司,還擁有金融、證券、保險、物流等各行業的優良資源,隨著Unihub公司的市場拓展,這些合作貿易與資源不斷地在超越與發展著
三是我們有完備的網絡管理體系,通過北京的中心機房輻射到分布在華東、華中、華南、西南等區域各層次的網絡,實行統一管理
四是人才優勢,Unihub公司網羅了一批IT業優秀的人才,他們有的原本就是.com公司的技術骨干。可以為客戶提供及時、細致、到位的技術支持,幫客戶解決網絡營運中的各種問題。如我們的主要機房24小時對客戶的數據流量進行監控,一旦發現異常,即時報警和提醒,并幫客戶作出分析處理方案
五是我們有雄厚的資金投入。計劃三年內投入20億元資金,在2002年中建成由數據中心為基礎的全國性基礎運營設施,并通過戰略合作伙伴在國外提供基礎運營設施和相關服務。有效地利用其資金優勢,實現自己的目標。
記者:現在為金融證券業提供IDC以及網絡服務的公司很多,Unihub的獨到之處在哪里?
Unihub的增值服務包括CDN(內容分發服務),如全局負載均衡、全局高速緩存、流媒體分發等。還通過高效廉價的互聯服務提供真正的7*24*365監控維護,系統的設計優化,進行數據容災和備份以及網絡安全管理
與高速公路塞車一樣,互聯網上的瓶頸永遠無法完全解決。Unihub在基于電信資源的基礎上建立了自己的專有寬帶網絡,將CDN技術成功地應用于金融證券業的客戶服務中,較好地解決了接入、骨干網、互聯互動和最后一公里等各種瓶頸問題,從而有效地優化客戶網絡的工作狀態指標
VPN(虛擬專用網)服務市場需求目前在全球具有明顯的上升趨勢,它可以使客戶克服傳統連接Extrannet和Intranet價格高和缺乏靈活性等問題。如當用戶的專線、FR、衛星等方式連接分公司時,就會產生昂貴的接入費用,而且線路不支持突發大數據量,一旦超負荷工作,沒有可擴展性,維護困難,數據易丟失。VPN的應用可使上述問題迎刃而解。UnihubMPLSVPN具有四大優點:VPN連接配置簡單,對現有骨干網沒有壓力;對現有用戶的技術要求為零,不需作任何改動。用戶加入VPN的配置也很簡單,可以延伸原有的路由地址,在骨干網絡采用VPN-ID,可以保持全網的唯一性,網絡可擴展性很強
由于Unihub對市場的信心和定位準確,投入決心大,擁有眾多國外知名公司的合作伙伴,如CA、Cisco、NETSREEN等,采用高質量設備構建了強大的安生設施,能為用戶提供有效的安全手段
總而言之,Unihub通過提供專業的網絡技術服務,可以使企業級用戶在節省投入,提高效益的情況享受電信級的技術服務,從而克服本身IT人才短缺的矛盾,專注于自身的核心業務,贏得快速進入市場的寶貴時間
記者:Unihub為何首先選擇金融證券行業,這個行業的需求特點如何?Unihub做金融證券行業過程中感觸最深的地方是什么?
鄧航:當初我們也做過.com夢,由于在進入市場前對.com公司的狀況作了透徹的分析,得出結論;我們并非互聯網業界先進技術設備的制造商,而只是此類技術設備的應用服務商。金融證券業對先進技術的應用是最有需求和承接力的行業,所以我們就定位做金融證券業。現在回過頭來看,當初不做.com的決策是正確的。在條件成熟的情況下,我們也會定時的介入如保險,物流等行業,PA18就是一例。
我們在做金融證券業服務中感觸最深的地方是Unihub的技術人員與用戶的技術人員在工作的配合非常融洽,就象原來就是一個整體
記者:請談談Unihub在金融證券業的發展戰略和金融證券行業在線業務市場發展的觀點
1.引言
網絡流量的指數級增長,導致網絡數據的處理越加復雜,特別是在跨區域大型企業,政府等部門對新業務的需求越來越大的情況下,現有城域網絡各方面的瓶頸越來越突出,而且隨著NGN、IPTV等基于IP的話音與視頻業務的發展,對城域網與接入網的功能與性能又提出了許多更高更新的要求:高帶寬、高可靠性、高QoS、低延時和靈活的擴展性。網絡處理器,作為新一代的高性能路由器的核心設備,在數據傳輸處理方面有許多特別的優勢,它不但擁有ASIC處理器的高速高帶寬,而且具有非常強的靈活性高端路由器,同時在流量管理、QoS、OAM等技術也有獨特的優勢。
2.城域網技術概述
從橫向劃分,承載網通常可以分為骨干網、城域網與接入網,城域網位于骨干網與接入網的交匯處,是通信網中最復雜的應用環境,各種業務和各種協議都在此匯聚、分流和進出骨干網。多種交換技術和業務網絡并存的局面是城域網建設所面對的最主要問題。而基于IP/MPLS技術建設多業務綜合承載網絡已經被全球運營商認同。
在城域網絡中,骨干層通過出口路由器實現與兩張骨干網的連接完成高速的數據轉發,并充當IP 城域網出口設備。匯聚層作為IP城域網骨干區域向下的延伸,與骨干層構成了核心路由區域,并充當三層MPLS VPN (Multi-PropocolLabel Switching VirtualPrivate Network) 的P 設備論文參考文獻格式。匯聚層BAS (寬帶接入服務器)和路由器以上運行三層網絡,以下視具體的情況運行三層或二層網絡。接入層負責用戶接入,采用二層網絡。
3. NP-3網絡處理器概述
Ezchip公司的NP-3處理器,是一款高靈活性的網絡處理器,它提供10G線速的包處理能力及良好的帶寬控制能力。通過編程能實現如二層交換,Q-in-Q,PBT,T-MPLS,VPLS,MPLS,IPV4/IPV6等多種功能。同時該芯片集成的一個流量控制器,能提供較強的流量管理功能。
NP-3的數據處理流圖如圖3.1:
圖3.1:NP-3數據處理流圖
TOPparse解析和提取各種數據幀的幀頭、地址、端口、協議等作為查表的關鍵字。同時也可利用硬件或軟件解析報文,過濾非法的畸形報文、攻擊報文。
TOPsearch使用TOPparse提取出的關鍵字查找相關的路由表、會話表、策略表、統計計數表等。
TOPresolve根據TOPsearchI查找表所得的結果進行判斷和決策。同時可以通過高學更新會話狀態信息等。
TOPserach II可選,在TOPresolve完成后,進行比較簡單的額外的數據表查找。
TOPmodify對報文的內容進行修改并發送到不同的路徑上。
4.城域網關鍵技術分析及NP-3平臺下的數據轉發面實現
4.1網絡結構及關鍵技術分析
典型的城域網由服務商骨干網絡(serviceprovider backbone network, SP-BN)和多個服務商網絡(serviceprovider network, SP-N)構成高端路由器,服務商網絡之間通過骨干網連接,用戶之間則通過服務商網絡連接到骨干網,如圖1所示,圖中SP-BN通過MPLS協議連接,而SP-N通過Q-in-Q(IEEE802.1ad)協議連接。本文將基于該網絡實例進行研究討論。
圖4.1:城域網絡基本結構
在城域網網絡中涉及的三類關鍵服務:
?點到點二層VPN服務(VPWS)
兩個單獨的用戶站點之間可通過本服務實現二層連接,預先配置好一個統一的服務ID(service ID),建立一條通過SP-N和SP-BN的鏈路論文參考文獻格式。數據幀只需通過預先配置好的service ID進行轉發。如圖4.1中的Client A與Client B之間的二層服務。
?點到多點二層VPN服務(VPLS)
本服務提供了多個站點之間的二層連接,相當于構建了一個虛擬的局域網,數據幀的轉發基于service ID和報文的目的MAC地址(destination MAC address, DA)。如圖4.1中的Client A、Client B、Client C之間的二層服務。
?點到多點路由服務(L3VPN)
本服務提供了多個站點之間的三層連接,同時也能夠實現本城域網絡與外網的連接。在各個用戶站點看來,SP-N就是一個虛擬的私有IP網絡。數據幀的轉發基于service ID和目的IP地址(destination IP address, DIP)。如圖4.1中的Client A、Client B、Client C之間的三層服務
?NP-3硬件支持
NP-3的TOPparse模塊能實現硬件快速分析和提取數據報文對應OSI七層網絡模型的關鍵字段,包括MAC地址信息,VLAN標記,以太幀類型,MPLS標簽,IP地址,端口,HTTP,UTL等等。在本設計中,重點是對含有多個VLAN標記和MPLS標簽的復雜城域網服務的快速處理,NP-3能實現至少4級標簽棧的解析,對跨越多重網絡結構的復雜服務有強大的支持能力。
4.2NP-3處理器上的關鍵數據轉發面處理流程分析
NP-3處理器的數據轉發處理能力強,而對于控制協議的處理能力就較弱。在NP-3上高端路由器,對數據幀的處理依賴于以下三個因素:端口的配置,數據幀的格式以及網絡所提供的服務。根據設備的位置,端口的配置又分為四種模式:C-tagged模式,聚合模式,Q-in-Q模式,MPLS模式。
首先確定有幾下幾類數據幀:標準以太網幀,Q-in-Q幀,MPLS封裝的IP幀,各幀的結構如下。
?標準以太網幀,有三種類型:
DA
SA
0X800
IF
DATA
DA
SA
0X8100
C_TAG
0X800
IF
DATA
DA
SA
0X8100
C_TAG1
0X8100
C_TAG2
0X800
