lP城域网建设及规划
一、IP网络的概念及应用
(一)IP网络的概念
1、IP网络
Internet是由世界范围内众多计算机网络(包括各种局域网、城域网和广域网)通过路由器和通信线路连接汇合而成的一个网络集合体,它是全球最大的、开放的计算机互联网。Internet是基于TCP/IP协议的网间网,也称为IP网络。
2、宽带IP城域网的概念
(二)IP网络的应用
由路由器和窄带通信线路互联起来的Internet是一个窄带IP网络,这样的网络只能传送一些文字和简单图形信息,无法有效地传送图像、视频、音频和多媒体等宽带业务。所谓宽带IP网络是指Internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的,通常中继线带宽为几至几十Gbit/s,接入带宽为1~100Mbit/s。在这样一个宽带IP网络上能送各种音视频和多媒体等宽带业务,同时支持当前的窄带业务,它集成与发展了当前的网络技术、IP技术,并向下一代网络方向发展。
二、概况
1/25
(一)IP业务预测及建设必要性
随着数据业务的快速增长,市场竞争格局的逐渐成型及新技术的涌现,网络结构也在不断演进。在这一发展过程中,用户对各类业务的需求逐渐分化:如对于小区等普通家庭用户而言,高速上网虽然仍是其基本的需求;但对物业经营者来说,他们更希望在实现用户接入的同时,提供一个集中管理平台;对于金融机构、企业、酒店、政府机关等客户群,他们不再满足于Internet接入这样一个基本业务,这些客户更需要一个安全、快速、易于维护的网络互联平台,以实现数据及信息资源的共享。这样的平台可提高企业、政府管理的可控性,并进一步为企业的发展决策提供辅助手段。
网络,这些问题都必须有充分的考虑。
(二)IP网络结构现状
IP网络结构现状详见图2-1。
三、IP城域网结构设计及设备配置
在技术选择上综合考虑先进性、成熟性及良好的性价比,以网络的可扩展性和可管理性为基础,统一规划,分步实施,秉承电信级网络的一贯要求,保证网络高效、可靠、安全,确保业务的快速开展和有效控制以及用户的计费、管理。宽带城域网的建设应遵循开放性、可运营性、可管理性、可增值性、可扩充性和安全可靠性等基本原则。
(一)网络拓扑结构设计
2/25
在大型城市(一般指直辖市及发达省会城市)的解决方案里,整个IP城域网分为三层:核心层、汇聚层和接入层。中型城市指不发达省会城市及较发达的一般地级市。其解决方案与大型城市的类似,可适当的减少核心层设备的数量,但建议一般不少于两台,以提供必要的冗余。大中型城域网的拓朴结构可参照图3-1所示。
(二)骨干层网络设计
核心层的作用是把多个汇接层连接起来,用户的数据流通过汇接层出口上行到骨干网络上,通过骨干网获取他们需要的业务。
(三)汇集层网络设计
汇接层主要完成上连至核心层,对下接入用户和进行带宽和业务分配,所有节点设备具有第三层(网络层)交换功能,可以实现线速IP交换的性能,并且能够提供QOS(服务质量)的保证,进行基于IP的多媒体业务传输。汇接层执行城域网业务的收敛、会聚等功能,完成本地业务的区域汇接。
(四)网络接入层设计
接入层的作用是提供用户的多业务接入。接入部分主要通过综合布线系统,利用光纤、五类线、无线覆盖大楼以及原有的双绞线,为用户提供10/100M、XDSL、WLAN等业务接口。
(五)传输方式设计
3/25
无论任何形式的宽带城域网,都无一例外采用光传送通道。在光传送通道的基础上,则可以选用不同的组网方案来实现宽带城域网业务信号的传输、交换和控制,这是建造宽带城域网的关键所在(本文所指的宽带城域网的组网方案不涉及光传送通道的建造)。目前组建宽带城域网有下述几种主流方案。
(六)设备选型及配置
1、设备应能提供以下基本接口
(1)POS端口:155/622/2.5G等;
(2)IP端口:10/100/1000M(光口和电口)以及10G以太网端口等。
2、网络结构
(1)骨干层
考虑到网络初期的投资和收益,本次工程利用已有的T64E高端路由器作为整个城域网骨干交换设备,同时作为IP省骨干核心设备。随着网络规模以及用户数据流量的增加,以后将城域网核心与IP省骨干设备分离。
(2)汇聚层
考虑到实际业务发展情况和的网络现状,我们在区内新建2个汇聚节点,各放置一台路由交换机,实现接入层业务的汇聚、带宽的收敛等功能。路由交换机通过GE口实现和
4/25
T64E互通,充分利用城域网建设的多业务混合传输资源,节约宝贵的光纤资源。路由交换机下行通过FE/GE接口和汇聚层传输设备对接,实现和MA设备的互通,实现部分接入层设备的汇聚。
设置以太网接入服务器,作为宽带小区、酒店等用户的认证设备,并且可解决网络运营商在向用户提供IP业务过程中所面临的各种问题,使宽带城域网成为一个可运营、可管理,可持续盈利的运营网络。
四、接入方式设计
(一)ADSL方式接入
1、ADSL的定义。不对称数字用户线ADSL是一种利用现有的传统电话线路高速传输数字信息的技术,以上、下行的传输速率不相等的DSL技术而得名。ADSL下行传输速率接近8Mbit/s,上行传输速率可达1Mbit/s,并且在同一对双绞线上可以同时传输上、下行数据信号和传统的模拟话音信号等。
2、ADSL的系统结构。ADSL的系统结构如图4-1所示。它是在一对普通铜线两端,各加装一台ADSL局端设备和远端设备而构成
图4-1 ADSL的系统结构
3、ADSL的频带分割
(1)频分复用和回波抵消混合技术,采用频分复用(FDM)和回波抵消混合技术可
5/25
实现ADSL系统的全双工和非对称通信。
(2)频带分割,早期的频带分割如图,4-2(a)所示,不采用回波抵消技术,频带有所浪费。目前使用FDM和回波抵消混合技术,如图4-2(b)所示,部分上下频带交错,在频带交错部分采用回波抵消技术来降低相互影响。
图4-2 ADSL的频带分割
4、ADSL接入网络结构示例
ADSL接入网络结构示例如图4-3所示。
图4-3 ADSL接入网络结构示例
图4-3中局端的DSLAM(DSL接入复用器)是接入多路复合系统中心的Modem组合,它从多重DSL连接收取信号,将其转换到一条高速线上,用以支持视频、广播电视、快速因特网接入等。归纳起来,DSLAM的具体功能有:多路复用、调制解调、分离器功能等。
5、ADSL调制技术
ADSL常用的调制技术有QAM、CAP调制和DMT调制,ADSL主要考虑采用的是DMT调制。
6、ADSL的技术特点
6/25
(1)ADSL的技术特点
①使用高于4kHz的频带来传输数据信号;
②使用高性能的离散多音频DMT调制编码技术;
③使用FDM频分复用和回波抵消(EC)技术;
④使用Splitter信号分离技术。
(2)ADSL技术的主要优点
①可以充分利用现有铜线网络,只要在用户线路两端加装ADSL设备即可为用户提供服务;
②ADSL设备随用随装,施工简单,节省时间,系统初期投资小。且ADSL设备拆装容易,方便用户转移,非常灵活;
③ADSL设备采用先进的调制技术和数字处理技术,提供高速远程接收或发送信息,充分利用双绞线上的带宽;
④在一对双绞线上可同时传输高速数据和普通电话业务。
(3)ADSL技术的主要缺点
①对线路质量要求较高;
7/25
②抵抗天气干扰的能力较差;
③宽带可扩展的潜力不大。
7、影响ADSL性能的因素
(1)衰耗。衰耗是指在传输系统中,发射端发出的信号经过一定距离的传输后,其信号强度都会减弱。传输距离越远,线径越细;频率越高,其衰耗越大。ADSL Modem的衰耗适应范围在0~55dB之间。
(2)反射干扰(回波干扰)。ADSL系统从局端设备到用户,至少有二个桥接点,每个接头的线径会相应改变,再加上电缆损失等造成阻抗的突变会引起功率反射或反射波损耗。
(3)串音干扰。串音干扰是指相邻线路间的电磁干扰。
(4)噪声干扰。噪声产生的原因很多,主要有家用电器的开关、电话摘机和挂机、其他电动设备的运动等。
(二)FTTX+LAN方式接入
1、FTTX+LAN的概念
FTTX+LAN接入网是指光纤加交换式以太网的方式(也称为以太网接入)实现用户高速接入互联网,可实现的方式是光纤到路边(FTTR)、光纤到大楼(FTTB)、光纤到户(FTTH),
8/25
泛称为FTTX。目前一般实现的是光缆到路边或光纤到大楼。
2、FTTX+LAN的网络结构
以太网接入的网络结构根据用户数量及经济情况等可以采用图4-4(a)所示的一级接入或图4-4(b)所示的两级接入。
图4-4 FTTX+LAN(以太网接入)的网络结构
3、FTTX+LAN接入网络业务种类
FTTX+LAN接入网络业务包括高速上网业务、宽带租用业务、网络互联、视频业务、IP电话业务。
4、FTTX+LAN的优缺点
(1)FTTX+LAN的优点:高速传输、网络可靠稳定、用户投资少价格便宜、安装方便、应用广泛。
(2)FTTX+LAN的缺点:五类线布线问题(五类线本身只限于室内使用,限制了设备的摆设位置,致使工程建设难度已成为阻碍以太网接入的重要问题)、故障定位困难、用户隔离方法较为烦琐且广播包较多。
(三)光纤接入方式
9/25
1、光纤接入概念
光纤接入在实际应用中主要是互联网专线接入,其业务主要面向的是各类商业、企业、事业机构用户,该类业务主要包括10/100M以太网接入。
目前运营商拥有超大容量国际出口带宽和覆盖全国的宽带骨干网,同时构建了具有综合业务接入能力的宽带城域网络,有能力承载各类用户所要求的庞大信息流,实现高速上网的需求。互联网专线接入提供2M至100M的速率端口,并支持以太网、光纤、SDH等多样化接入,可为各类用户实现真正意义的个性化宽带服务。
2、光纤接入网络结构
具体实现方式如下图4-5所示:
图4-5 互联网专线接入拓扑示意图
3、光纤接入特点
光纤接入业务的主要特点如下:
(1)高速率、多选择的解决方案。
(2)可以依据用户的不同接入速率需求,在运营商业务路由器端口启用端口限速,提供2M至100M的速率端口,互联网专线接入业务拥有的独享的接入带宽,直接接入运营商
10/25
高速Internet网。
(3)实现全面区域覆盖的宽带网络。
运营商拥有覆盖全国的宽带骨干网及具有综合业务接入能力的宽带城域网络,使用户能够快捷高效的就近应用互联网接入业务。
(4)网络安全可靠
高可靠网络通信质量保证,运营商网管对网络实行全天实时监控,并能够定期向用户提供网络运行分析报告。
(四)DDN 方式接入
1、DDN技术简介
DDN(Digital Data Network)是公共数字数据网,是运营商专为用户提供多种不同传输速率的数字专线租用服务而建立的公共网络系统。它由DDN节点机、DDN接入设备和传输线路组成。DDN数字专线可提供高质量、高速率的数据传输,它常用于实现远程局域网之间点到点的连接,是目前应用最广泛的广域网连接技术之一。
2、DDN接入方式
DDN利用现有的铜线接入用户,在用户端需要安装Modem设备,用户设备(一般为路由器)通过V.35接口连接到Modem上。设备连接关系见图4-6。
11/25
图4-6 DDN接入用户端连接关系图
网络侧局端接入设备把用户信号传送到局端节点机设备,节点机设备把用户数据汇聚成2Mbit/s中继,把中继传送到传输网上。整体网络结构见图4-7。
图4-7 DDN接入网络拓扑图
3、DDN接入特点
(1)DDN数字专线是一条半永久的传输信道,在信道上传输的是数字信号,具有不易受干扰、信号损耗小、衰减小。
(2)DDN不具备交换能力,仅提供一条点到点的专用链路。
(3)DDN是任何规程都可以支持,不受约束的全透明网,可支持网络层以及其上的任何协议,从而可满足数据、图像、声音等多种业务的需要。
(4)DDN承载基于传输网络,因此传输距离远,用数字专线连接的两个用户可以处于不同城市,甚至不同国家。
五、IP地址规划
(一)公有IP地址和私有IP地址
12/25
1、公有IP地址
公有IP地址是接入Internet时所使用的全球唯一的IP地址,必须向因特网的管理机构申请。公有IP地址分配方式:
(1)静态分配方式——给用户固定分配IP地址;
(2)动态分配方式——用户访问网络资源时,从IP地址池中临时申请到一个IP地址,使用完后再归还到IP地址池中。
一般用户的公有IP地址一般采用动态分配方式。
2、私有IP地址
私有IP地址是仅在机构内部使用的IP地址,可以由本机构自行分配,而不需要向因特网的管理机构申请。私有IP地址的分配方式:
(1)静态分配方式——机构内部的每台主机固定分配私有IP地址。私有IP地址一般采用静态分配方式;
(2)动态分配方式——利用DHCP协议为机构内部新加入的主机自动配置私有IP地址。
3、私有IP地址转换为公有IP地址的方式
(1)NAT的作用。使用私有IP地址的用户在访问Internet时,需要IP地址转换设
13/25
备(NAT)将私有IP地址转换为公有IP地址。
(2)私有IP地址转换为公有IP地址的方式
①静态转换方式.静态转换方式是在NAT表中事先为每一个需要转换的内部地址(私有IP地址)创建固定的映射表,建立私有地址与公有地址的一一对应关系,即内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。这样每当内部主机与外界通信时,NAT路由器(或防火墙)可以做相应的变换。这种方式用于接入外部网络的用户数比较少时。
②动态转换方式。动态转换方式是将可用的公有地址集定义成NAT Pool(NAT池)。对于要与外界进行通信的内部主机,如果还没有建立转换映射,NAT路由器(或防火墙)将会动态地从NAT池中选择一个公有地址替换其私有地址,而在连接终止时再将此地址回收。
③复用动态方式。复用动态方式利用公有IP地址和TCP端口号来标识私有IP地址和TCP端口号,即把内部地址映射到外部网络的一个IP地址的不同端口上。TCP协议规定使用16位的端口号,除去一些保留的端口外,一个公有IP地址可以区分多达6万个采用私有IP地址的用户端口号。
(二)宽带IP城域网的IP地址规划
1、宽带IP城域网的IP地址规划原则
(1)为了避免耗用宝贵的地址资源,城域网内不能全部采用公有IP地址,较好的折中方案是在网内同时使用公有地址和私有地址这两类地址。
14/25
(2)在公有地址有保证的前提下,宽带城域网应尽量使用公有地址。
2、宽带IP城域网的IP地址规划举例
例如,采用两类地址的宽带IP城域网结构如图5-1所示。
图5-1采用两类地址的宽带IP城域网结构
图5-1中有几种情况:
(1)核心层为混合地址域,公有IP地址和私有IP地址混合使用。核心层内部公有IP地址和私有IP地址之间不需进行地址转换,路由设备要能够同时处理公有和私有IP地址路由。
(2)企业内部网和校园网用户,一般分配若干个公有IP地址,至于其内部的私有IP地址由其自行分配。但是如果使用私有IP地址的用户需要访问外部资源时,由于内部网络与公共网络的相对隔离性,则需要运用NAT(网络地址变换)技术进行地址变换。
(3)小区内个人用户的IP地址分配情况与企业内部网和校园网用户一样,内部分配私有IP地址,当接入宽带IP城域网时,由NAT设备将其私有IP地址转换为公有IP地址。
六、业务发展及实现
(一)XDSL接入用户解决方案
15/25
对于ADSL、VDSL接入用户,采用EBAS节点(MA5200、MA5200E/F)汇聚IPDSLAM设备进行组网,这一组网方式在目前网络已经有比较广泛的应用,应用状况良好。
在这一组网方式下,建议在DSLAM处划分VLAN,由路由交换机来进行VLAN的终结以及不同VLAN用户间的访问控制,以便有效识别、隔离用户,增强对于网络、对于用户的管理。
MA5200、MA5200E/F支持多种用户认证方式(如PPPoE、VLAN、VLAN+WEB、802.1X等等),可以根据运营实际加以选择。
MA5200系列产品可以实现严格的带宽控制。CAR(承诺访问速率)以64K为单位实现对用户的带宽管理,最小可至128K,可以满足用户的不同带宽需求。
(二)LAN接入用户解决方案
LAN是一种比较理想的接入技术,技术简单,组网灵活,带宽高,平均端口成本低廉。
在LAN接入上,建设主要考虑新建的比较集中的小区、商业大楼、学校、酒店。这些地方用户都非常集中,适合采用LAN接入,在布线方面也比较方便。根据各个地方的用户以及小区、大楼、学校、酒店的分布情况,分别在相应的局点配置LAN接入局端设备,对这些区域的LAN接入用户进行统一接入汇聚,同时通过光纤以100M/1000M接口连接到城域汇聚设备。
对于无需认证的以太网接入用户,通过新增的路由交换机汇聚。新增的汇聚层路由交换机可以有效的减少城域内流量对于城域网骨干层节点的冲击。
16/25
对于需要进行认证计费以及完善管理的LAN接入用户的组网方式,存在着两种主要的组网方式:
1、利用已有的BAS设备旁挂在三层以太网交换机旁边,集中管理LAN接入用户;
2、新增分布式BAS设备,放置在三层以太网交换机下,分布式管理LAN接入用户;
在网络建设初期,采用在汇聚节点放置的集中式BAS UAS5000,提供对IP接入(IP DSLAM和LAN)的用户管理、认证、计费等功能。
图6-1
在网络建设初期,用户数目较少时集中式BAS具有综合投资成本低的优点。
当用户增多后,集中式BAS在L3和BAS之间容易出现网络处理瓶颈(如图6-1所示,虽然通过GE TRUNK方式上下行带宽都可以达到多个GE,但是BAS和三层以太网交换机之间的两个GE不能采用捆绑方式用于报文转发,带宽受限)。在城域网中所有需要处理的数据均需经过L3BAS(进行认证后)L3的过程,在这样的处理过程中,骨干层的处理速度主要受限于BAS的处理能力。另外,此种组网不能有效发挥L3处理效率高的特点。
采用PPPoE或VLAN等方式认证时,BAS以下的网络需配成二层网络。目前业界通用的PPPoE、VLAN+Web等认证方式皆采用二层认证协议,不能穿过三层,因此在上图中L3下行需要认证的端口不能启动三层功能,只能配置二层功能来透传认证报文;因此旁挂BAS的L3设备下行网络必须为二层网络。如果在网络中存在大量的PPPoE认证的用户,则透传PPP报的L3组网相当于大规模的二层以太网,在城域网范围内的大规模二层以太
17/25
网,可能产生严重的广播风暴,导致网络瘫痪。
这一组网方式对于网络的全局VLAN数目要求高,维护量大。集中式BAS若要保证用户之间的隔离,需要采用全局VLAN方式,这要求BAS以下网络支持的VLAN数目巨大,带来巨大的维护工作量;同时按照VLAN协议标准全局VLAN的数目最多为4096,用户数目受限。
同时,如上所述,与BAS相连的L3设备必须同时配置二、三层链路,配置比较复杂、工作量比较大,对于网络的运营维护要求比较高。
对于新建的节点、新增的LAN接入用户,建议采用EBAS分布式放置的方式,二层以太网交换机直接下挂在路由交换机下。
在这一方式下,EBAS节点分担处理下行用户的管理、认证计费,可以有效的避免瓶颈,降低网络运行的风险;同时由于EBAS节点终结了二层报文,从而可以有效地减小二层网络的规模、减少广播风暴;又由于EBAS节点分别终结VLAN信息,避免了繁琐的全局VLAN划分和规划。
专线接入
1、银行、邮政、公安等专网中各个分散机构间的专线互联(普遍为64K及128K)
2、集团用户的集中专线(N×2M)
(三)产品应用模式
18/25
1、Internet接入
针对有综合布线的小区和大楼,在楼顶安装H宽带固定无线接入系统的远端用户侧室外无线单元,并在建筑物内或小区内安装用户侧室内单元和以太网交换机,利用现有综合布线接入用户,通过无线空中接口提供宽带上网业务。
2、LAN局域网互联
对于大型企业,如果在地域内有多个企业分部,利用 宽带固定无线接入系统,可以方便实现总部和各个分部之间的局域网连接。在厂址变迁时,通过无线空中接口实现局域网互联显示了它特有的灵活和经济性优势。
3、数据专线业务
以宽带固定接入系统提供TDM传输(E1 或部分E1),在终端站上提供E1接口或X.21接口。为进一步提供64k和Nx64Kbps的业务,可在用户端安装小型复用器,提供传统的数据传送业务。
4、会议电视业务
方式一:针对传统会议电视系统。在用户端安装会议电视终端,用宽带无线接入为会议电视系统提供电路传输(E1/PRI/BRI)。
方式二:针对基于IP的会议电视系统。在用户端安装会议电视终端,用宽带无线接入为会议电视系统提供IP的宽带连接。
19/25
七、路由策略
(一)路由策略设计原则
宽带IP城域网的路由策略将采用下列原则:
1、通过路由策略的实施,实现正确的路由信息接收与宣告。
2、通过路由策略的实施,在网络拓扑的配合下,应实现避免网络中出现单故障点、提高网络的生存能力。
3、通过路由策略的实施,应实现预期的路由选择方案,实现网络流量规划,使网络业务流量合理的分布在各条电路上。
4、路由策略应保证网络具有可扩展性,使得网络扩展后全部资源可以被优化利用。
5、路由策略应简单、明了,含义明确、便于管理维护,应对业务流量流向的变化具有适应性,可以根据流量流向变化方便、快速地进行调整。
(二)路由信息的接收与宣告
采用域内路由协议承载网络中继电路信息,并确定BGP 路由的下一跳路径;采用域间路由协议BGP 承载外部网络路由信息以及用户路由信息。根据与之互联的网络的互通协议以及对用户的服务内容,接收与宣告对方网络的路由信息及用户的路由信息,并采用BGP 实现对接收、宣告的内容的控制。
20/25
为减少互联网路由数目,降低路由设备的资源消耗,各级路由设备对外宣告路由时应采用无类域间路由等方式最大化的进行路由聚合。
根据业务发展需求,网络可设计合适的组播路由域。
(三)流量流向规划与路由选择规则
根据网络所承载的业务种类,对于网络存在多条可能路由的情况下,进行合适的流量流向规划。一般的规划方式有:
1、主备疏通方式;
2、按流量分担疏通方式;
3、按业务分担疏通方式;
4、按服务质量分担疏通方式。
规划优化的原则为尽量满足网络所承载业务的质量、可靠性等要求,全网的整体资源利用率高,同时要易于维护管理,并方便进行流量调整。
由于按业务和服务质量分担流量回加重路由其负担,导致路由其CPU利用率上升而影响网络正常运行。宽带IP 城域网将采用主备疏通方式与按流量分担疏通方式相结合的方式。即在按流量分担疏通的基础上提供主备疏通机制,按流量分担疏通方式优先,当网络出现故障时使用主备疏通机制。
21/25
(四)网络的路由设计
1、网络路由必须进行聚合。BAS(宽带接入服务器)、VOD(视频点播服务器) 等需与省相应服务器直连的部分设备路由不必聚合
2、网络中不应存在路由选择循环,避免出现路由黑洞。
(五)确保路由协议运行的稳定性与扩展性
1、为提高网络的稳定性,在域内和域间两种路由协议之间不进行路由信息的互相注入。
2、采用不分级和不分区域的域内OSPF路由协议,以方便优化网络路由,以提高网络的稳定性。
3、为了快速跟踪网络中继电路状态变化情况,降低可能的电路中断对业务的影响,采用域内路由协议OSPF的快速收敛技术,并合理设计有关的故障检测定时器范围(将OSPF的状态检测包间隔设置为10S)。在网络边缘进行路由收敛,减小路由波动范围。
八、网络安全
IP网络的覆盖范围如此广泛、网络规模如此庞大、用户数量如此之多、业务传输如此频繁,保障其安全性显然是至关重要的。
(一)网络安全的含义
22/25
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从其本质上来讲,网络安全主要就是网络上的信息安全,即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。从内容看,网络安全大致包括网络实体安全、软件安全、数据安全和安全管理等四个方面。
(二)宽带IP网络面临的安全性威胁
宽带IP网络面临的安全性威胁分为两类:被动攻击和主动攻击。
(三)宽带IP网络安全服务的基本需求
1、保密性。保密性指信息不泄露给未授权的用户,不被非法利用,被动攻击中的截获信息(即监听)就是对系统的保密性进行攻击。采用数据加密技术可以满足保密性的基本需求。
2、完整性。完整性就是保证信息系统上的数据处于一种完整和未受损的状态,不会因有意或无意的事件而被改变或丢失,即防止信息被未授权的人进行篡改。主动攻击中的篡改即是对系统的完整性进行破坏。
3、可用性。可用性指可被授权者访问并按需求使用的特性,即当需要时授权者总能够存取所需的作息,攻击者不能占用所有的资源而妨碍授权者的使用。网络环境下拒绝服务、破坏网络和有关系统的正常运行等(即主动攻击中的中断)属于对可用性的攻击。可用性中的按需使用可通过鉴别技术来实现,即每个实体都的确是它们所宣称的那个实体。
23/25
4、可控性。可控性指对信息及信息系统应实施安全监控管理,可以控制授权范围内的信息流向及行为方式,对信息的传播及内容具有控制能力。主动攻击中的伪造即是对系统的可控性进行破坏。保证可控性的措施有:
5、不可否认性。不可否认性指信息的行为人要对自己的信息行为负责,不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息。主动攻击中的抵赖即是对系统的不可否认性进行破坏。通常将数字签名和公证技术一同使用来保证不可否认性。
(四)宽带IP网络安全的措施
1、数据加密。
2、数据签名。
3、鉴别。
4、防火墙。
5、VPN。除了上述保障宽带IP网络安全的措施外,特别需要说明的是,在不安全的公共网络上建立一个安全的专用通信网络VPN也称得上是实现网络安全性的一项举措。
虚拟专网是虚拟私有网络(VPN)的简称,它是一种利用公共网络(如公共分组交换网、帧中继网、ISDN或Internet等)来构建的私有专用网络,VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。
24/25
VPN有两层含义:它是虚拟的网,虚拟(Virtual)的概念是指网络没有固定的物理连接,而是利用共享的通信基础设施,仿真出专用网络的效果。任意两个结点之间的连接并不是传统专网中的端到端的物理链路,而是利用某种公众网网络的资源动态组成的;专用(Private)的含义是用户可以为自己制定一个最符合自己需求的网络,使网内业务独立于网外的业务流,且具有独立的寻址空间和路由空间,使得用户获得等同于专用网络的通信体验。
25/25
因篇幅问题不能全部显示,请点此查看更多更全内容