网络接入控制(精选十篇)
网络接入控制(精选十篇)
网络接入控制 篇1
目前,企业经常面临网络接入难以控制的问题。随着企业信息化水平的不断提高,为了满足用户接入局域网,通常会把网络铺设到办公区的每个角落。随着无线网络的不断推广应用,射频信号经常越过公司的办公区,进入到其他不可控的区域,公司网络被盗用的可能性不断增加。另外,公司内大量流动办公人员和合作伙伴也经常带着笔记本电脑接入公司局域网,可能会带来计算机病毒和其他安全威胁,导致公司网络资源被非法利用,有时还会泄露公司商业秘密,计算机病毒还可能导致公司网络大面积瘫痪。Gartner公司近期的报告指出,即使是最好的公司也只能控制80%的网络终端(笔记本电脑/PC),剩下的20%仍得不到有效管理,这些管理不善的终端往往是公司最大的安全隐患。
由于目前普遍采用DHCP自动分配IP地址,外来用户只要在办公区找到任何一个网络接入点或者通过无线网络,在事先不知道任何信息的情况下,就可以获得合法的IP地址、网关地址、服务器信息。如果再使用一款扫描软件,LAN的信息将很快暴露无疑。为了解决这个问题,目前流行的解决办法是结合网络交换机的端口特性,采用802.1x协议进行接入认证。
本文结合微软、思科、华为等主要IT厂商的技术,详细阐述了利用802.1x认证+安全检查区域相结合的方法,分两个阶段对接入设备进行安全认证和安全检查,只有符合要求后才能完成网络接入。该解决方案包括下列功能:基于证书的身份验证、接入设备安全检查、隔离和补救措施等。
1 模型简介
模型(见图1)主要包括下面两步。
第一步:使用802.1x进行网络接入认证。利用网络交换机等硬件设备的端口控制功能,针对接入设备进行安全认证。端口缺省处于未授权状态,通过身份认证后,开启端口,端口处于授权状态,并把接入设备放在安全检查区进行下一步的安全检查。未能通过安全认证则自动关闭网络设备端口,禁止任何数据通过。
这一步主要是验证合法用户的身份问题,杜绝非法用户接入。如果外来用户确实需要临时接入公司网络,必须先提出申请,获得批准后,才能正常接入。这么做可以避免公司资源被盗用,减少泄露公司商业秘密的渠道。
针对临时用户,可以采取下面两种策略:
1)拒绝任何访问;2)给予guest的访问权限。
第二步:利用安全检查区对接入设备进行安全检查。虽然接入设备身份合法,但是接入设备是否满足企业的安全策略要求呢?是否安装了杀毒软件和操作系统的补丁程序呢?是否安装了防火墙软件呢?可以建立专门的策略服务器,只有接入设备满足安全要求后才能把接入设备放入对应的VLAN,由DHCP自动分配IP地址,完成网络接入。对达不到安全要求的接入设备,暂时放在隔离区,提醒接入设备安装杀毒软件、操作系统补丁程序和防火墙软件,只有接入设备符合安全策略要求后,才能完成接入。可以在隔离区放置必要的资源,如杀毒软件的安装文件,设置补丁更新服务器等,便于接入设备利用这些资源完成安全加固。
这一步还可以实施网络访问策略,基于用户角色进行访问控制。让不同的用户接入网络后,自动获得不同的访问权限。
这一步的主要作用是让接入设备满足安全要求,不给企业网络带来安全威胁,不要把病毒、木马和非法程序带到网络中来,杜绝有安全漏洞的计算机接入局域网。通过上面两个步骤,严格控制接入局域网的设备,大大提高了网络的整体安全性。
2 接入认证
2.1 利用802.1x进行端口控制
802.1x协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到接受合法用户接入、保护网络安全的目的。
802.1x协议的主要目的是为了解决局域网用户的接入认证问题。802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其他用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其他用户再次使用的问题。
1) 802.1x首先是一个认证协议,是一种对用户进行认证的方法和策略。
2) 802.1x是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口,也可以是一个像VLAN—样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道)。
3) 802.1x的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
为了采用802.1x协议协议进行身份认证,必须具备以下三个元素:
1)客户端Supplicant Client:—般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2)认证系统Authenticator System:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3)认证服务器Authentication Server:通过检验客户端发送的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
2.2 利用证书进行身份识别
接下来的问题是识别合法的用户。一般根据下面的信息来判别:
1) MAC地址。根据MAC地址来识别用户,需要先收集合法用户的MAC地址,建立一个数据库。但是MAC地址太抽象,不便于识别,很难与具体的用户对应起来,而且MAC地址还可以伪造,根据MAC地址来识别并不理想。
2) IP地址。根据IP地址来识别也不可行。由于目前普遍采用DHCP自动分配IP地址,用户获得的IP地址并不是固定不变的。
3)用户名。根据用户名来识别是比较好的做法。把网络用户与公司的人力资源信息一一对应,建立一个数据库。数据库信息随着人力资源信息自动变化。根据用户来识别,非常直观具体,也很准确。
目前普遍采用的LDAP协议,为每个用户注册了用户帐号,同时为每台计算机也建立了计算机帐号。802.1x认证可以根据用户帐号和计算机帐号来验证用户的身份,这大大提高了身份验证的准确性。
目前更好的做法如下:利用证书服务器,结合LDAP协议,利用组策略,自动为终端用户计算机颁发证书。同时,802.1x的控制服务器也从证书服务器申请证书并嵌入系统中。在终端用户接入网络时,相互之间通过证书来验证身份。由于外来用户在LDAP数据库中没有注册信息,也就不可能获得证书,也就无法通过身份验证,采用这种方式可以大大提高身份验证的安全性。这种验证方式的拓扑结构如图3所示。
3 安全检查
当接入设备完成802.1x身份验证后就可以进入安全检查区域进行安全检查,此时可以先分配一个临时IP地址,然后检查区域的服务器开始和接入设备进行通信,确定接入设备是否符合企业安全策略的要求。安全检查一般包括这样几个方面:
1)杀毒软件安装情况,杀毒软件的病毒库更新情况;
2)操作系统的补丁程序安装情况;
3)防火墙软件安装情况;
4)其他安全检查。
一旦符合安全检查要求,该接入设备将发起一个DHCP释放和更新。一旦DHCP服务器接收到一个IP地址更新的请求,确定接入设备已经达标,系统将被授予一个正常生产网络的DHCP租约,并被给予全部的网络访问权限。
如果接入设备不满足安全策略要求,则该接入设备将被分配一个“不可路由的”或“隔离的”IP地址。这些地址不能随意访问网络,只有受限的权限;或者这些客户端被分配一个不同IP网段的特殊IP地址,在路由器上通过访问控制列表控制这些特殊IP地址可以访问的网络;或者客户端被分配正常网段的IP地址,但是设定了特殊的静态路由,仅容许访问所需的服务器,并没有到整个网络的缺省路由。同时,安全检查服务器将触发所需的修复动作,使接入设备与企业安全策略相一致。
4 结论
本文针对网络接入难以控制的问题,详细阐述了一个解决办法。该办法通过两步来实现完善的网络接入控制。第一步利用802.1x验证合法用户的身份后再决定是否启用交换机端口,杜绝非法用户接入。同时利用LDAP协议和证书服务器,使用用户帐号、计算机帐号和证书三者结合来保证身份验证的安全性,解决实施接入认证前,用户接入网线就能自动获取到IP地址的安全问题。第二步主要是利用安全检查区域让接入设备满足企业网络访问安全要求。这一步要求接入设备满足网络接入的安全策略要求,解决了接入设备需要满足什么安全条件后才能接入。
摘要:网络接入是一个普遍认为难以控制的问题。针对网络接入,详细阐述了利用802.1x身份认证和安全检查,利用LDAP协议,结合企业证书服务,分两个阶段对接入用户或设备进行身份认证和安全检查,保证只有合法用户满足安全要求后才能接入到局域网中。
关键词:网络安全,网络接入,认证,安全检查
参考文献
[1]IEEE's 802.1x-Port Based Network Access Control.2002-3.http:// www.ieee802.org/1/pages/802.1x.html.
[2]Jim Geier.802.1x Offers Authentication and Key Management.2002- 5.http://www.80211-planet.com/tutorials/article.
[3]Kristin Burke.Wireless Network Security 802.11/802.1x.2002-5.ht- tp://www.cs.fsu.edu/~yasinsac/wns02/19b.pdf.
[4]聂武超等.802.1x认证技术分析[N].华为技术.2002-02-08.
网络接入控制 篇2
简单地说,VDSL就是ADSL的快速版本,使用VDSL,短距离内的最大下传速率可达55Mbps,上传速率可达2.3Mbps(将来可达19.2Mbps,甚至更高)。上传和下传数据信道都可在现有的POTS或ISDN服务上被频分,使VDSL成为高速、低价网络的佳选。将来的升级可能需要转向回馈抑制(Echo Cancellation)或其它技术以管理线路。象ADSL一样,VDSL将主要用于实时视频传输和高速数据访问。
距离(英尺) 速率(Mbps)
>1000 51.84
>1000 to <= 3000 25.82
>3000 to <= 4500 12.96
二、原理
VDSL的体系结构就象高速的ADSL,
VDSL复用上传和下传管道以获取更高的传输速率,它也使用了内置纠错功能以弥补噪声等干扰。VDSL适于短距传输。
目前,建议使用的VDSL编码有四种:CAP、DMT(此二种见ADSL)、DWMT和SLC。DWMT(Discrete Wavelet Multitone)是使用单一载体的子波变换的多重载体调制系统。SLC(Simple Line Code)是一种基带信令版本,它过滤基带并在收发器处还原。
VDSL用频分复用(FDM)分隔信道。以后VDSL将支持对称数据速率,这可能需要转向回馈抑制。通常下传信道配置在上传信道之上,但DAVIC的规范则反之以使VDSL可用于同轴电缆。
转发错误控制是VDSL的另一特性,象ADSL(T1.413)一样,它用一种Reed Solomon编码和interleaving对线噪纠错。
三、目前情况
VDSL技术仍处于初期,长距应用仍需测试。其许多线路特性的数据仅是推测,这可能会损害其整体性能。其端点设备的普及也需要时间。
网络安全接入控制技术研究 篇3
随着Internet的快速发展,Intranet作为因特网技术运用于单位、部门和企业专用网的产物,也得到迅速普及发展。Intranet并非是地域上的概念,而是在信息空间上的虚拟网络概念,如一个国家外交系统的内域网用户可能分布全球。它在原有专用网的基础上增加了服务器、服务器软件、Web内容制作工具和浏览器,与因特网连通,从而使内域网充满了生机和活力。内域网为公司和单位信息的散播和利用提供了极为便利的条件。浏览器为网上用户提供信息,服务器对网络进行管理、组织和存储信息,并提供必要的安全服务。通常情况下,Intranet中则存有大量的单位内部的敏感信息,具有极高的商务、政治和军事价值。因此,Intranet是一种半封闭甚至是全封闭的集中式可控网,其安全保密是至关重要的,要保证内域网不被非法入侵和破坏,网中的敏感信息不被非法窃取和篡改,同时还要保证网内用户和网外用户之间正常连通,向他们提供应有的服务。这些安全业务都需要一个完善的接入控制机制。
1 网络安全接入控制技术概述
接入或访问控制是保证网络安全的重要手段,它通过一组机制控制不同级别的主体对目标资源的不同授权访问,在对主体认证之后实施网络资源的安全管理使用。
通常,我们认为计算机系统中有3类入侵者:
伪装者(Masquerader):非法用户,乔装合法用户渗透进入系统,一般来自系统外部;
违法者(Misfeasor):合法用户,非法访问未授权数据、程序或资源,一般来自系统内部;
地下用户(Clandestine user):掌握了系统的管理控制,并利用它来逃避审计和接入控制或抑制审计作用,可能来自系统的外部或者内部。
针对以上3类入侵攻击,接入控制基本功能包括以下3个:阻止非法用户进入系统;允许合法用户进入系统;使合法用户按其权限,来进行各种信息活动,不得有越权行为。
实现安全的网络接入控制的机构模型组成如图1所示。该模型包括两部分:
用户的认证与识别;
对认证的用户进行授权。
接入控制实现模型的建立主要是根据如下3种类型的信息:
主体(Subjects):是对目标进行访问的实体。主体可以是用户、用户组、终端、主机或者是一个应用程序。
客体(Objects):是一个可接受访问和受控的实体。它可以是一个数据文件、一个程序组或一个数据库。
接入权限:表示主体对客体访问时可拥有的权利。接入权要按每一对主体客体分别限定,包括读、写、执行等。读、写权含义明确,而执行权是指目标为一个程序时它对文件的查找和执行。
概括地讲,实现安全接入控制的策略包括:
最小权益策略:按主体执行任务所需权利最小化分配权力;
最小泄露策略:按主体执行任务所知道的信息最小化的原则分配权力;
多级安全策略:主体和客体按普通、秘密、机密、绝密级划分,进行权限和流向控制。
2 网络安全接入控制技术的实现
下面从两个角度讨论网络安全接入控制技术的实现。图2给出了一个简单的接入控制的实现框图。从工作方式上,网络接入控制的实现可分为如下两类:
(1)自主式网络接入控制
也称辨别接入控制,简记为DAC。它由网络资源拥有者给用户分配接入权,在辨别各用户的基础上实现接入控制。每个用户的接入权由网络系统的管理者事先建立,常以接入控制表或权限表来实现。这一方法灵活,便于合法用户访问相应的数据,在安全性要求不高的网络环境下可采用。但如果系统管理员疏于管理或者接入控制策略设置有误时,就会危及到网络系统和资源的安全。因而,DAC容易受到攻击。
(2)强制式网络接入控制
简记为MAC。它由网络系统管理员来分配接入权限和实施控制,易于与网络的安全策略协调,常用敏感标记实现多级安全控制。由于它易于针对所有用户和资源实施强化的安全接入策略,因而有较高的安全保障。
另外,针对不同的应用环境,网络接入策略也有不同应用模式。下面分别介绍目前有线网络和无线网络环境下,主要的网络安全接入技术的实现。
(1)有线网络系统中的安全接入控制技术
在有线网络系统中,通常情况下安全接入控制技术都是与防火墙技术结合使用,来保障一个Intranet的内部资源不被非法用户获得,同时给合法用户提供合理的Internet接入服务。下面结合一个有线网络环境的实例(如图3所示),来说明如何使用网络接入控制来实现Intranet到Internet的接入安全管理。
在图3中,虚线以下构造了一个Intranet,其中两处为网络接入控制点,分别说明如下:
1接入控制点1即Intranet与Internet的连接点,该处的接入控制功能通常由防火墙完成。由于控制点1直接与Internet连接,其受到入侵攻击和非法接入的可能性最大,因而也是最危险的位置。下面以屏蔽子网模式的防火墙配置为例,说明接入控制点1的网络接入控制安全要求有:
允许所有用户的电子邮件业务(SMTP);
允许DNS查询;
允许Intranet内的局域网用户有限制地访问Internet;
控制外部的IP与内部主机的直接连接;
根据外部主机使用者的身份分配临时访问权限,并给出访问地址权限列表;
根据黑名单地址,屏蔽所有可疑的连接请求;
负责入侵审计和追踪,记录所有与安全相关的网络活动。
2接入控制点2即为拨号用户或DDN和ISDN接入的用户提供的接入服务。这里通常有两种情况,即对Internet的接入和对内部资源的接入。其安全接入策略包括:
对于拨号用户,接入服务器通过用户口令确定用户身份,从而提供相应的接入业务。另外,接入服务器采用回拨技术确保用户身份的有效性。
对于DDN或ISDN的用户,通过捆绑逻辑IP地址与实际的MAC地址,实现面向主机的用户身份认证,并提供相应的接入业务。
根据拨号用户的身份分配临时访问权限,并给出访问地址权限的列表。
(2)无线网络系统中的安全接入控制技术
目前,网络安全接入技术主要应用于宽带无线接入网络和无线LAN的构建上,如蓝牙系统、无线IP系统等等。通常在无线网络中,不仅要考虑本地无线用户的接入,移动用户的安全接入也是系统的一个重要安全要求。下面结合图4,来简单说明在无线网络系统中应用的安全接入技术。
1接入控制点1即每个小区的无线接入点,负责该小区内的移动终端的无线接入服务。它的主要安全工作就是确保当前接入的用户有该接入权限。该接入点主要的工作包括:
为小区内的本地移动用户提供接入服务,通过验证用户口令和校验用户的MAC地址来确保用户的身份。出于安全的考虑,通常情况下,用户口令以密文形式提交给接入点。
为小区内的漫游用户提供接入服务。通常,漫游用户将根据信号强度和监测到的包错误率,选择其中性能最好的一个接入点并与之联系,请求接入。接入点则通过联系根服务器来确定该用户的身份。
2接入控制点2主要负责对系统资源的接入控制。该接入点的工作包括:
验证小区内用户身份并分配临时权限,以访问其权限内的资源。
验证来自Internet的用户身份并分配临时权限,以访问其权限内的资源。
控制来自Internet用户与当前小区内的用户建立连接,并进行安全检查,作审计和日志工作。
3 总结
以上对当前网络安全接入技术作了简单的介绍,并讨论了在不同的环境下,网络安全接入控制技术的实现。到目前为止,有线网络环境下的安全接入控制技术较为成熟,安全性也较高;而在无线网络系统中,现有的接入控制技术还不是十分成熟,其主要的接入控制多集中于MAC层的访问控制和WEP(Wired Equivalent Privacy)加密机制,但安全性较低,容易遭到IP欺骗攻击或被非法用户解密接入口令(因为WEP中的密钥长度仅为40bit)。因此,如何提高无线网络系统中的安全接入控制技术是当前的一个研究热点,一个可能的思路是将PKI(Public Key Infrastructure)引入无线网络系统的安全设计中。□
参考文献
1王育民,刘建伟.通信网的安全—理论与技术.西安:西安电子科技大学出版社:1999
2 Denning D E.An intrusion-detection model. IEEE Trans on Software Engineering,1987,SE-13(2):222—232
3 王常杰,秦浩,王育民.基于IPv6防火墙设计.计算机学报,2001,24(2):219—223
4 Amoroso E G.Fundamentals of Computer Security Technology.Prentice Hall Inc,1994
(收稿日期:2001-07-09)
作者简介
浅谈网络探针接入控制技术 篇4
一、网络探针
网络探针是对接入网络的计算机终端进行接入控制的一种程序, 它由网络探针服务器和网络探针客户端两部分组成。它能够监测到同一子网内没有安装运行指定程序或没有进行入网授权的计算机, 并采取措施自动将其引导至指定服务器下载指定程序或申请入网授权, 也可以直接阻断这些计算机的网络通信。
二、网络探针的工作原理
1. 网络探针的轮询功能
由哪台计算机终端担任网络探针角色是网络探针服务器在安装有网络探针客户端的计算机终端中自动指定的, 不需要网络管理员的特别指定, 这样就杜绝了指定计算机终端没有开机, 无法运行网络探针客户端的可能性。
网络探针轮询功能的优点是只要同一子网内的计算机终端有一台运行网络探针客户端, 就可以保证网络探针对整个网络探测子网生效。当指定计算机终端关机或断开网络后, 网络探针服务器会自动将网络探针角色赋予另一台运行了网络探针客户端的计算机终端, 并同时保证在同一时间, 同一子网内只有一台安装有网络探针客户端的计算机终端具有网络探针功能, 担任网络探针角色。
2. 网络探针限制计算机访问服务器工作模式
当网络探针发现没有安装指定程序或授权的计算机终端试图通过HTTP、FTP、SMTP等协议访问网络域名时, 将自动截断其访问网络的DNS请求, 将要访问域名对应的IP地址转换为指定服务器地IP地址, 这样计算机终端得到的是假的域名解析结果, 访问路径会跳转至指定服务器, 下载并安装指定程序或进行授权认证。
3. 网络探针的阻断计算机终端访问网络工作模式
网络探针可以利用ARP重定向技术阻断网络探针检测到的没有安装指定程序或授权的计算机终端试图访问网络的行为。例如:当这些计算机终端试图通过网关访问外部网络时, 网络探针会向网关设备告知这些计算机终端的IP地址和与IP地址对应的错误的MAC地址, 这样网关设备就不能将数据包转发至这些计算机终端, 同理网络探针也会告知这些计算机终端网关设备的IP地址和一个与网关IP对应的错误MAC地址, 这样计算机终端就不能将数据包发送至网关。
同理, 在网络探针的阻断计算机终端访问网络工作模式下, 没有安装指定程序或授权的计算机也是无法和内网中的其他计算机终端进行通信的。
三、网络探针在网络中的部署
网络探针对于网络交换设备没有依赖性, 网络探针服务器无需接入网络主干链路, 而是以旁路方式接入网络, 因此网络探针产生的网络流量不会对网络带宽产生影响。通过网络探针服务器管理网络探针, 可以实现对所有计算机终端的全网接入集中式管理控制。
网络探针在部署初期, 可采用网络探针的限制工作模式, 因为此时网络中可能存在大量没有安装指定程序或授权的计算机终端, 可以让它们跳转到指定服务器进行授权或下载指定程序, 部署一段时间后, 网内计算机终端中可能仅剩一小部分没有安装指定程序或授权, 这时可转用网络探针的阻断工作模式, 拒绝这些不符合相关标准和要求的计算机终端从事网络活动。
摘要:本文主要介绍了一种无需依赖于网络交换设备的接入控制技术——网络探针技术。网络探针是对接入网络的计算机终端进行接入控制的一种程序, 网络探针角色是网络探针服务器在安装有网络探针客户端的计算机终端中自动指定的, 网络探针有限制计算机访问服务器工作模式和阻断计算机访问网络工作模式。网络探针对于网络交换设备没有依赖性, 不会对网络带宽产生影响。通过网络探针, 能够实现全网接入集中式管理控制。
如何建设接入层光缆网络 篇5
如何建设接入层光缆网络
。过去,光缆网络主要是满足传输网络建设需求,接入层光缆需求较少,少量的接入层光缆一般直接从汇聚节点拉出。随着近年来数据光纤和用户光纤需求的迅速增加,电信运营商在接入层光缆的建设量也随之急剧增加。如何建设接入层光缆网络,已成为业界广泛讨论的课题。
一、接入层光缆建设原则
根据网络分层原则,我们将本地网光缆分为中继层和接入层,接入层光缆是指从本地局用局站到用户设备终端之间的光缆,接入层光缆又分为主干层光缆和配线层光缆。
接入层光缆是各电信运营商重点建设的基础资源,总体上要从网络投资控制、安全性、可扩展性、结构清晰等几方面进行组织建设。
1.适度超前、分步实施
为了避免重复建设、重复投资,同时快速满足业务发展需求,在建设过程中要坚持适度超前建设的原则。同时由于接入层网络环境复杂多变,接入技术日新月异,在充分考虑投资成本的情况下,要根据市场需求加强接入层光缆网络规划,并按照规划分步实施。---bianceng.cn(学电脑)
2.分层建设
根据网络结构清晰的要求,接入层光缆要分为主干层光缆和配线层光缆进行建设。主干层包括主干层光缆和光交接节点设备,配线层包括配线层光缆、光分配节点和用户终端设施。主干层光缆建设要根据规划保持相对稳定,配线层光缆建设要适应市场和技术变化快的特点,要满足这些要求和特点就需分层建设。
3.拓扑结构选择
光纤接入层主要有星型、线型和环型三种基本结构。主干层光缆原则上采用环形拓扑结构,主要是因为用户业务接入的汇集层所承载的业务都需要提供环形保护或双路由保护。对于农村等业务非密集区,光缆路由不具备成环条件的,主干光缆拓扑可以考虑暂不成环。
配线层光缆主要受成本和路由限制,难于成环组网,常采用树型或星型结构。对部分需要较高安全性的业务,可以采用环形结构或双路由保护。根据配线区域内用户及业务分布情况、安全性要求、客观地理条件等因素,灵活采用多个光分配点与单光交接点组网,或多个光分配点通过双光交接点组网的拓扑结构。
4.光交接设备设置
光交接设备是指对接入层光缆进行灵活调度分配的光交接节点和交分配节点,其设置原则主要从管孔资源、业务需求、用户性质、网络安全等方面考虑。
综合考虑管孔资源、用户属性、潜在业务需求,确定光交接区。如选择在用户密度较大、管孔资源较富裕处设立光交接节点,方便光缆出入,便于各配线光缆的建设。
光交接点与光分配点的设置应结合当地城市规划和电信网规划进行,应在党政部门、高等院校、企事业单位、写字楼、住宅小区等地方设置,以便快速实现用户接入。
从网络安全考虑,应尽可能设置在具备产权或长期使用权的室内机房;室外光交接节点应设置在地理位置比较稳定的区域,以后不易受市政建设的影响,同时避开外部高电压干扰,高温、腐蚀和易燃易爆区影响。
从业务覆盖考虑,一个主干光交接节点覆盖范围为以500m-800m为半径组成的小区或5-15幢多层住宅楼群,收容用户数量为300-800户,具体应根据光交接区内用户分布密度合理布置,郊区或乡村可根据业务实际需求进一步扩大覆盖范围。
5.光缆纤芯数量选择
光缆纤芯数量的取定要在对服务区内用户分布及业务需求充分预测的基础上进行,合理制定光缆的业务满足年限,根据光缆服务范围内的纤芯需求量、光缆的路由条件、管道资源情况、光缆纤芯公里造价等因素,合理规划光交接节点的数量。光缆纤芯业务满足期建议考虑在5年左右,主干层每个光交接点落地芯数建议36-96芯,配线层每个光分配点落地芯数建议24-48芯。
主干光缆一般采用环形无递减配纤方式,选用芯数:72-288芯。在纤芯配置上,主干光缆的纤芯分配应以6或12芯为单位进行,同时可根据实际需求配置共享纤芯、独享纤芯和直通纤芯。
配线光缆一般根据实际情况灵活采用星树型无递减配线或星树型递减配线方式,采用星树型无递减方式的优点是光缆的灵活性较高,光缆纤芯易于调整、共享,对于突发性的新用户的需求较易满足,缺点是成本相对较高,安全可靠性较环网拓扑低。采用星树型递减方式是配线光缆呈星形、树形连接拓扑,光缆纤芯从发起端起向远端节点逐级减少,其优点是光缆的灵活性较高,成本容易控制。缺点是光纤资源不共享,如果节点的用户预测稍有偏差,就会造成新节点无纤芯而原有节点纤芯过剩,另外安全可靠性不足。配线光缆的芯数不宜过大,建议以6芯为单位组织,高密度区以12芯为单位确定配线光缆芯数,一般选用芯数:36-48芯/12-24芯。光交接点中配线光缆芯数可适当多于主干光纤的下纤数,对于用户光缆建议采用4-12芯光缆,并一次布放到位。
主干光缆与配线光缆的配比建议最小为1:1.2,最大为1:4。
以大芯对建设接入层光缆主干环,在大商客群体密集区域设立光交接点,并根据业务需求跟进光分配点的建设。
6.光缆型号选择
接入层传输距离近,近期带宽要求不高,建设成本应为主要考虑的因素,因此建议使用1310nm波长性能最佳的单模光纤,即G.652光纤。
由于层绞式光缆机械性能好,中心束管式光缆成本相对较低。72芯以上光缆建议选用中心束管式带状光缆,小芯数光缆建议选用层绞式光缆。
二、接入层光缆发展策略
接入层光缆建设还需要考虑未来发展策略,以更好地适应业务网络的新要求。
1.按需建设光缆接入层
接入层光缆的建设目的主要是为了满足用户对宽带多媒体业务的接入需求,在建设过程中要以市场需求为导向,根据各地用户分布、业务需求的不同加强光缆接入层网络的规划,并按照满足需求、控制成本的原则分步实施。在规划过程中要重点考虑以下几个方面的需求。
接入层网络设备联网的需求,包括窄带设备、宽带设备、城域网和小区驻地网设备对光缆的需求。主要考虑主干层光缆的建设,尽可能实现光缆成环,提高网络安全性。
大客户光缆组网需求。主要考虑配线层光缆建设,根据光交接节点覆盖范围内用户性质、业务需求综合考虑。
光缆网元出租业务的需求,这方面的需求相对较少。
3G等新业务开展的需求。随着将来3G网络的建设,基站(NODEB)和远端接入单元(RRU)都需要通过光缆传输,在规划时要重点考虑这方面的需求。
2.充分利用现有铜缆资源
使用双绞线传送的ADSL技术传输8M带宽数据时距离可达到1公里-2公里,传送4M时可达到2-3公里,随着XDSL技术的发展,传输带宽将会更高。在近期用户宽带需求普遍不高的情况下,中国电信要充分利用现有大量铜缆资源,通过综合接入网的建设,缩短用户电缆接入距离,提高接入带宽,实现普遍用户的宽窄带业务接入。对于少量的大客户高带宽接入需求(如10M、20M以上带宽),则使用光缆接入传输。因此,在实施“光进铜退”时,要结合综合接入网点规划做好接入层光缆的规划建设,将光交接点与接入网点同步规划,优先建设主干层光缆网络,配线层光缆则根据用户需求情况逐步推进。这样不仅能够充分利用现有铜缆资源,又能够快速满足业务发展需求,使网络结构具有较强的灵活性和可扩展性。
3.加强对新技术的跟踪
PON(无源光网络)和CWDM(波分复用)等光通信技术的发展,必然对接入层光缆的建设产生深远影响。
通过PON或其他设备的汇聚收敛作用可以节省接入层光缆的纤芯数量,提高光缆纤芯单芯带宽利用率。引入PON技术后,PON光分路器(Splitter)一般放置于接入层光缆网络的光交接节点或光分配点,需要对光交接点或分配点的具体交接设备的空间分配提出新的要求,在建设时需要预留相应的空间和端口。
但因目前PON、CWDM设备成本还较昂贵,主要考虑建设直连光缆,同时适时跟踪技术进展,开展相应的设备试验和测试。随着PON等光通信技术的发展和光通信设备成本的下降,再逐步增加设备,减少接入层光缆资源的压力。
宽带IP网络的接入技术 篇6
关键词:宽带IP网络ADSLHFCFTTX+LAN无线宽带接入
1 宽带IP网络的概念
所谓宽带IP网络是指Internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的,通常中继线带宽为每秒数吉比特至几十吉比特,接入带宽为1~100Mbit/s。在这样一个宽带IP网络上能传送各种音视频和多媒体等宽带业务,同时支持当前的窄带业务,它集成与发展了当前的网络技术、IP技术。
2 宽带IP网络的特点
宽带IP网络具有以下几个特点:
2.1 TCP/IP是宽带IP网络的基础与核心。
2.2 通过量大程度的资源共享,可以满足不同用户的需要,IP网络的每个参与者既是信息资源的创建者,也是使用者。
2.3 “开放”是IP网络建立和发展中执行的一惯策略,对于开发者和用户极少限制,使它不仅拥有极其庞大的用户队伍,也拥有众多的开发者。
2.4 网络用户透明使用IP网络,不需要了解网络底层的物理结构。
2.5 IP网络宽带化,具有宽带传输技术、宽带接入技术和高速路由器技术。
2.6 IP网络将当今计算机领域的网络技术、多媒体技术和超文本技术融为一体,为用户提供极为丰富的信息资源和十分友好的用户操作界面。
3 宽带IP网络的接入技术
宽带IP网络常用的宽带接入技术主要有:ADSL,HFC,FTTX+LAN和无线宽带接入等。
3.1 ADSL接入技术
3.1.1 ADSL的定义
不对称数字用户线(ADSL)是一种利用现有的传统电话线路高速传输数字信息的技术,以上行和下行的传输速率不相等的DSL技术而得名。ADSL下行传输速率接近8Mbit/s,上行传输速率理论上可达1Mbit/s,并且在同一对双绞线上可以同时传输上行和下行数据信号和传统的模拟话音信号等。
ADSL技术将大部分带宽用来传输下行信号(即用户从网上下载信息),而只使用一小部分带宽来传输上行信号(即接收用户上传的信息),这样就出现了所谓不对称的传输模式。
3.1.2 ADSL的技术特点
3.1.2.1 ADSL的技术特点
①使用高于4kHz的频带来传输数据信号。②使用高性能的离散多音频DMT调制编码技术。③使用FDM频分复用和回波抵消(EC)技术。④使用Splitter信号分离技术。
3.1.2.2 ADSL技术的主要优点
①可以充分利用现在铜线网络,只要在用户线路两端加装ADSL设备即可为用户提供服务。②ADSL设备随用随装,施工简单,节省时间,系统初期投资小。且ADSL设备拆装容易,方便用户转移。非常灵活。③ADSL设备采用先时宜的调制技术和数字处理技术,提供高速远程接收或发送信息,充分利用双绞线上的带宽。④在一对双绞线上可同时传输高速数据和普通电话业务。
3.1.2.3 ADSL技术的主要缺点
①对线路质量要求较高。②抵抗天气干扰的能力较差。③宽带可扩展的潜力不大。
3.2 HFC接入技术
3.2.1 HFC网的概念
混合光纤/同轴电缆(HFC)网是一种以模拟频分复用技术为基础,综合应用模拟和数字传输技术、光纤和同轴电缆技术、射频技术等的宽带接入网络,是CATV网和电话网结合的产物,也是将光纤逐渐推向用户的一种新的经济的演进策略。
HFC网可以提供除CATV业务以外的语声、数据和其他交互型业务,称之为全业务网(FSN)。当然,HFC网也可以只用于传送CATV业务,即所谓单向HFC网,但通常指双向HFC。
3.2.2 HFC的网络结构
HFC由信号源、前端(可能还有分前端)、馈线网(光纤主干网)、配线网(同轴电缆分配网)和用户引入线等组成(HFC线路网的组成包括馈线网、配线网和用户引入线)。
这种HFC网干线部分采用光纤以传输高质量的信号,而配线网部分仍基本保留原有的树形——分支型模拟同轴电缆网,这部分同轴电缆网还负责收集来自用户的回传信号经若干双向放大器到光纤节点再经光纤传送给前端。
3.2.3HFC的优缺点
3.2.3.1 HFC的优点
①成本较低。与FTTC相比,仅线路设备的成本就低20%~30%。②HFC频带较宽,能适应未来一段时间内的业务需求,并能向光纤接入网发展。③HFC适合当前模拟制式为主体的视像业务及设备市场,用户使用方便。④与现有铜线接入网相比,运营、维护、管理费用较低。
3.2.3.2 HFC的不足之处
①成本虽然低于光纤接入网,但要取代现存的铜线环境投入将很大,需要对CATV网进行双向改造。
②建设周期长。
③拓扑结构需进一步改进,以提高网络可靠性,一个光电节点为500个用户服务,出问题影响面大。
④漏斗噪声难以避免。
⑤当用户数多时,每户可用的带宽下降。
3.3 FTTX+LAN
3.3.1 FTTX+LAN的概念
FTTX+LAN接入网是指光纤加交换式以太网的方式(也称为以太网接入)实现用户高速接入互联网,可实现的方式是光纤到路边(FTTR)、光纤到户(FTTH),泛称为FTTX。目前一般实现的是光缆到路边或光纤到大楼。
3.3.2 FTTX+LAN的网络结构
FTTX+LAN(以太网接入)的网络结构采用星形结构,以接入宽带IP城域网的汇聚层为例,如下图:
3.3.3 FTTX+LAN接入网络业务种类
3.3.3.1 高速上网业务
FTTX+LAN接入网可为小区居民用户和企业用户提供高速上网业务,可分为拨号和专线两种业务形式。
3.3.3.2 宽带租用业务
FTTX+LAN接入网可为企业集团等用户提供2~100Mbit/s甚至更高速率的宽带租用业务,通过宽带IP城域网将用户局域网络接入IP网。
3.3.3.3 网络互连
网络互连是指简单地为用户提供两个或多个节点之间的宽带IP数据传送通道,其适用对象是包括政府、大中小学校、医院、企业、商业及各分支结构等集团用户。
3.3.3.4 视频业务
宽带IP网可以承载基于IP的视频流,开展视频点播、远程监控和远程教学等交互视频服务,FTTX+LAN接入网可视频业务提供高带宽的传输通道,将视频业务接入宽带IP网。
3.3.3.5 IP电话业务
为了适应基于IP上承载语音这一Internet发展的趋势,FTTX+LAN接入网可以提供IP电话接入业务。
3.3.4 FTTX+LAN的优缺点
3.3.4.1 FTTX+LAN的优点
①高速传输——用户上网速率目前为10Mbit/s或100Mbit/s,以后还可根据用户需要升级。
②网络可靠、稳定——楼道交换机和小区中心交换机、小区中心交换机和局端交换机之间通过光纤相连,网络稳定性高、可靠性强。
③用户投资少、价格便宜——用户只需一台带有网络接口卡(NIC)的PC即可上网。
④安装方便——小区、大厦、写字楼内采用综合布线,用户端采用5类线方式接入,即插即用。
⑤应用广泛——通过FTTX+LAN方式即可实现高速上网,远程办公、VOD点播、VPN等多种业务。
3.3.4.2 FTTX+LAN的缺点
①5类线布线问题——5类线本身只限于室内使用,限制了设备的摆设位置,致使工程建设难度已成为阻碍以太网接入的重要问题。
②故障定位困难——以太网接入网络层次复杂,而网络层次多导致故障点增加且难以快速判断排除,使得线路维护难度大。
③用户隔离方法较为烦琐,且广播包较多。
3.4 无线接入
3.4.1 无线接入网的概念
无线接入网是指从业务节点接口到用户终端部分全部或部分采用无线方式,即利用卫星、微波及超短波等传输手段向用户提供各种电信业务的接入系统。
3.4.2 无线接入网的分类
3.4.2.1 固定无线接入网
固定无线接入网主要为固定位置的用户或仅在小区内移动的用户提供服务,其用户终端主要包括电话机、传真机或数据终端(如计算机)等。
固定无线接入网的实现方式主要包括无线本地环路一点多址系统、甚小型天线地球站(VSAT)系统、本地多点分配业务(LMDS)系统、无线局域网(WLAN)等。
3.4.2.2 移动无线接入网
移动无线接入网是为移动用户提供各种电信业务。由于移动接入网服务的用户是移动的,因而其网络组成要比固定网复杂,需要增加相应的设备和软件等。
移动接入网使用的频段范围很宽,其中可有高频、甚高频、特高频和微波等。
实现移动通信的方式有多种,如蜂窝移动通信系统、卫星移动通信系统等。
3.4.2.3 固定无线接入或移动无线接入
微波存取全球互通(WiMax)系统,它既可以提供固定无线接入,也可以提供移动无线接入。
4 结束语
在以上几种宽带接入方式中,在选择接入方式时,要综合考虑各种接入方式的优缺点及当地的具体情况。在宽带IP网络中,几种接入方式中用得较多的是ADSL和FTTX+LAN。ADSL适合零散用户的接入,而FTTX+LAN适合用户集中地区(如小区)的接入。
网络接入控制 篇7
如何防止非法外联等重大信息安全事件发生是信息安全工作关注的一个焦点, 因此有必要采取一定技术措施来管制各类计算机 (含服务器、办公PC、移动便携式上网设备) 接入内部网络, 防止各类非法接入, 实现网络接入控制 (准入控制) 。经实践检验, 实现接入控制是避免非法外联等信息安全事件的关键一环, 本文介绍如何运用交换机提供的端口安全特性, 实现接入层对各类计算机接入内部网络进行控制的方法。
二、交换机端口安全特性介绍
交换机端口安全 (switchport portsecurity) 功能是指通过定义交换机端口安全策略, 实现人为控制某台计算机设备MAC地址 (计算机设备网卡硬件地址) 的数据流通过该交换机端口;对其他任何设备MAC地址试图与该交换机端口进行通信的数据流进行限制, 甚至可设置成直接关闭交换机端口 (shutdown) 的行为。通过配置适合的交换机端口安全策略并与IP访问控制列表相结合, 可轻松实现在接入层交换机 (二层) 上完成对计算机IP地址、MAC地址与交换机端口的相互绑定, 达到网络接入控制的目的。
在接入层设备开启端口安全功能实现接入控制具有明显优势, 具体体现为:一是尽可能减少核心交换机的访问控制条目, 不影响核心交换机交换性能, 极大地降低核心交换机用于处理访问控制的开销, 保障核心网络的稳定与可靠, 最大限度发挥核心交换机的核心交换这一主要功能。二是尽量减少核心交换机配置修改的频率, 最大程度消除核心交换机配置变更影响全局的各类操作安全隐患。因此, 在实际工作中, 接入控制适合在楼层等接入交换设备上实现, 而不宜在三层核心交换机上实现接入控制。
三、实际运用
以工作实际中常见的Cisco与H3C品牌交换机为例, 介绍运用交换机端口安全特性功能实现网络接入控制的配置思路与方法。
(一) Cisco品牌系列交换机配置案例 (以Cisco2960为例, *为配置注释)
第一步:运用端口安全功能实现计算机设备MAC地址与交换机对应接口的绑定。
Cisco2960 (config) #interface fastEthernet0/8*以fastEthernet0/8端口为例*
Cisco2960 (config-if) #description to kjc-tls*接口描述说明*
Cisco2960 (config-if) #switchport mode access*设置交换机端口工作模式*
Cisco2960 (config-if) #switchport port-security*在接口配置模式下开启端口安全功能*
Cisco2960 (config-if) #switchport port-security maximum 1*该接口只允许一台计算机MAC地址的访问通过*
Cisco2960 (config-if) #switchport port-security violation restrict*其他MAC地址试图访问该端口时设置成限制接入*
Cisco2960 (config-if) #switchport port-security macaddress sticky*开启MAC地址绑定选项*
Cisco2960 (config-if) #switchport port-security macaddress sticky 0016.35ac.a1cf*开启MAC地址绑定后, 交换机将该接口学习到的mac地址完成绑定配置*
第二步:定义IP访问列表实现计算机IP地址与交换机端口的绑定操作。
Cisco2960 (config) #access-list 2008 permit ip host192.168.1.1 any*允许IP为192.168.1.1的计算机访问通过该端口*
Cisco2960 (config) #access-list 2008 deny ip any any*禁止其他IP地址接入访问*
Cisco2960 (config-if) #ip access-group 2008 in*在接入端口应用访问控制策略*
完成以上配置步骤后, 交换机端口fastEthernet0/8设置成只允许MAC地址为0016.35ac.a1cf, IP地址为192.168.1.1的计算机接入该交换机端口。同样MAC地址为0016.35ac.a1cf, IP设置成192.168.1.1的计算机只能接入交换机端口8, 其他端口禁止接入, 完成了IP, MC地址与交换机端口三者绑定。用户如果自行修改IP, MC地址与交换机接入端口三者中任意一项, 该用户计算机均无法上网, 达到网络接入控制的目标。
(二) H3C品牌系列交换机配置方案 (以S5500-SI型号为例, *为配置注释部分)
接下来以H3C品牌交换机为例进行说明, H3C交换机端口安全MAC绑定与Cisco系列配置类似, 但H3C系列IP访问列表配置较复杂, 以下分步进行说明。
第一步:运用端口安全功能实现计算机设备MAC地址与交换机对应端口的绑定。
[F16-H3C S5500]port-security enable*全局配置模式下开启端口安全功能*
[F16-H3C S5500]interface GigabitEthernet1/0/8*以GigabitEthernet1/0/8端口为例进行接入控制说明*
[F16-H3C S5500-GigabitEthernet1/0/8]description tokjc-wlaqk*接口描述说明*
[F16-H3C S5500-GigabitEthernet1/0/8]portsecurity max-mac-count 1*该接口只允许一台计算机MAC地址的访问通过*
[F16-H3C S5500-GigabitEthernet1/0/8]portsecurity port-mode autolearn*在接口配置模式下开启端口MAC地址学习功能*
[F16-H3C S5500-GigabitEthernet1/0/8]port-security mac-address security 0016.35ac.a1cf vlan 1*开启MAC地址学习功能后, 交换机将该接口学习到的MAC地址完成与接口及vlan的绑定配置*
第二步:定义ip访问列表实现IP地址与交换机端口绑定。
1. 定义ip访问控制列表
[F16-H3C S5500]acl number 3008*允许通过IP访问列表3008*
[F16-H3C S5500-acl-adv-3008]rule 0 permit ip source 192.168.1.1 0
[F16-H3C S5500-acl-adv-3008]quit
[F16-H3C S5500]acl number 3000*定义deny ip访问列表3000*
[F16-H3C S5500-acl-adv-3000]rule 0 deny ip
[F16-H3C S5500-acl-adv-3000]quit
2. 定义两类流行为, 即permitip与denyip行为
[F16-H3C S5500]traffic behavior permitip*定义流行为permitip*
[F16-H3C S5500-behavior-permitip]filter permit*匹配permit过滤器*
[F16-H3C S5500]traffic behavior denyip*定义流行为denyip*
[F16-H3C S5500-behavior-denytip]filter deny*匹配deny过滤器*
3. 定义两类流分类器port8dc与port8pc
traffic classifier port8dc operator and*定义port8dc分类器标识符表示IP访问列表规则间逻辑与关系*
[F16-H3C S5500-classifier-port8dc]if-match acl3000*匹配IP访问列表3000*
[F16-H3C S5500]traffic classifier port8pc operator and*定义port8pc分类器标识符表示ip访问列表规则间逻辑与关系*
[F16-H3C S5500-classifier-port8pc]if-match acl3008*匹配IP访问列表3008*
4. 定义交换机端口8的qos策略port8policy
[F16-H3C S5500]qos policy port8policy*port8policy为端口8策略标识符*
[F16-H3C S5500-qospolicy-port8policy]classifier port8pc behavior permitip*分类器port8pc调用permitip流行为动作*
[F16-H3C S5500-qospolicy-port8policy]classifier port8dc behavior denyip*分类器port8dc调用denyip流行为动作*
5. 在交换机端口8上应用qos策略port8policy
[F16-H3C S5500]interface GigabitEthernet1/0/8
[F16-H3C S5500-GigabitEthernet1/0/8]qos apply policy port8policy inbound*在接口inbound方向调用策略port8policy*
网络接入控制 篇8
关键词:有线电视,双向化,三网融合
0引言
为了满足目前广播电视台在运营过程中所显示出的业务多样化及网络化的发展方向,就一定要针对有线电视连接网络进行进一步的改革与创新,借助先进的技术及手段实现电视网络双向化的转变[1]。如此一来才可以满足客户的各种交互式服务的实际需要,为用户提供更加多样化的服务。为了实现双向有线网络,就必然要采用先进的技术进行双向宽带接入网络体的规划与设计,所以说针对双向电视有线网络技术的探究工作十分关键,体现出极大的现实性价值。
1有线网络的组织架构浅析
从我国当前的有线电视网络技术发展情况来看,其属于多点网络的范畴,是在三网融合的主要电台和电视网络[2]。 对着社会的发展及人们生活水平的提高, 对于有线网络有了越来越多的需求,当前优先网络已经进入了我们的生活,成为我们生活中必不可少的组成部分,是我国信息基础规划与建设的一个关键环节。相对来说, HFC网络的组织与建设具有成本费用较低,且在实际的运用过程中表现出容积量较大,低于外界干扰水平较高的优势特征。从总体上来说,HFC网络可以进一步的分成下面几个部分:总前端和几个分前端、一级与二级域光纤干线网、 局端接入网[3]。一般情况下,一级光纤干线网都选择环形网的组织形式,二级光纤干线网都选择树状的组织形式,在某些情况下,比如说城市区间过大的情况下,二级光纤干线网同时也能够选择环状网的组织形式。在这种情况下,就要规划设计第三级光纤网,一般情况下是选择树状、零星状的组织形式,见下图1。
HFC网络是在骨干网络和长距离路径使用光纤,并且用户接入侧使用同轴电缆网络模型。从当前我国有线电视网络系统的发展情况来看,通常存在一个电缆支持多个用户使用的情况。这一运用模式可以体现出一定的长处,不过在上网浏览的情况下,用户可能会占用所有的带宽。目前由长电缆的主要分解,然后直接连接到每一个部分的光纤节点的方法来解决这个问题。
2网络双向化技术方案
有线电视网络作为区域转型过程中的一个重要组成部分的信息基础设施必须给予充分考虑当地的政治、经济和文化背景。为了满足多媒体互动服务和支持三重播放平台和技术要求。
根据市场需求的双向有线网络要承载四类业务:视频服务,数据服务,互动服务和增值服务。其中广播电视节目视频服务为主,双向有线电视网作为一个基本的业务网络。有线电视模拟和数字电视信号(包括数据广播服务)下行广播给用户,在87?862MHz的频带中的下行链路信号传输、部分模拟TV广播和数百套数字音频和数字TV广播业务。
这里我们所说的数据服务,其实从根本上来说指的是IPTV网络电视、互联网接入、网络游戏、电子邮件和其他信息技术应用中。为了进行这种类型的新业务需要双向有线电视网络的网络一定要有充分的下行带宽做保障。
增值服务是收费业务,包括IP电话、 视频会议和视频电话等业务。虽然这项业务并不需要双向网络的上下行高带宽,但网络必须支持TCP / IP协议。
2.1 FTTB+EPON+LAN组网技术方案
双向联网技术解决方案在方案中的纤维为双向HFC网络覆盖模式转型建设。 通过一个双向系统的实现,最终用户访问以选择LAN技术。最后通过五类线连接的用户,用1310/1490nm波长为IP上行链路和下行链路数据传输的EPON接入网络。 使用HFC网络传输系统通过同轴电缆型光链路拓扑结构,光接收机进行禁止所有用户集中接入解决方案,使用1550nm波长的无线电和电视信号单向传输到用户。
2.2 FTTB+EPON+EOC组网技术方案
本技术方案在光纤到楼的应用场景下,采用单网覆盖模式进行HFC双向化改造。通过一个双向系统的实现,最终用户访问以选择EOC技术,最后EPON接入网络通过同轴电缆连接的用户。使用网络传输系统通过同轴电缆的楼栋光接收机内的拓扑结构的光链路结构承载所有用户, 与集中接入解决方案,传输单向广播电视信号的到用户家中。
2.3 FTTC+EPON+EOC组网技术方案
在光纤到小区的情况与双向HFC网络覆盖模式转型的技术方案。通过一个双向系统的实现,最终用户访问以选择EOC技术,最后EPON接入网络通过同轴电缆连接的用户。细胞通过同轴电缆承载的光接收器的所有用户,与集中接入解决方案,传输广播电视信号的单向到用户家中的拓扑结构的光链路结构以HFC网络传输系统。
2.4 FTTC+CMTS组网技术方案
在光纤到小区的情况与单双向HFC网络覆盖模式转型的技术方案。双向通过CMTS接入网络技术,然后通过同轴电缆连接的用户,通过对CM的用户设备的访问。使用HFC网络传输系统通过同轴电缆型光学链路拓扑结构,在细胞内光工作站进行的所有用户集中接入解决方案,传输广播电视信号的单向到用户家中,同时提供两个路数据信号。
3结束语
网络接入控制 篇9
油浸式电力变压器的油箱内充满了起绝缘和散热作用的变压器油,是饱和碳氢化合物,闪点为135℃左右,同时内部的绝缘垫等多是一些有机可燃物。当浸在绝缘油中的各裸金属接点(如电压分接开关触头)接触不良或由于过载而导致局部过热时,会使绝缘油分解,产生氢烃类易燃气体;绝缘材料则易分解产生一氧化碳和二氧化碳。这些气体产生的直接结果是使绝缘油的闪点降至50℃左右,而变压器绝缘油的正常工作温度在85℃以下。显然,变压器已经具备了被点燃的条件,此时可能出现以下几种情况:一是在正常条件下,由于变压器箱体完全密封,空气不能与易燃油气混合,故不能发生燃烧爆炸,但在上述故障长时间作用下,易燃气体不断产生,变压器箱体内部压力不断增大,最终使箱体炸裂;二是变压器内由于故障而产生火花、电弧,直接引燃箱体内易燃气体而发生爆炸燃烧;三是在变压器内部的易燃气体压力作用下,变压器箱体的密封被破坏,变压器箱体内的可燃气体喷出遇空气燃烧引发火灾。
变压器引发火灾的原因主要有以下几种:
(1)制造质量不佳,接点触头接触不良使局部过热或绝缘失效导致短路。
(2)长期过负荷运行,变压器的保护装置设置不当。
(3)维护检修失当,未能及时发现并消除诸如绝缘油变质、减少、油温等不正常现象。
(4)变压器铁芯绝缘老化,或固定铁芯的螺栓套管损坏,使铁芯产生涡流,引起发热而加速绝缘的老化。
(5)三相负荷不平衡,引起中线电流过大,导致变压器部分绕组过热。
(6)当三相负载不平衡而又接地不良,导致零线电流过大而接地点接触电阻又较大时接地点就会出现高温引燃可燃物。
2 排油注氮灭火装置的应用及其发展
传统的变压器火灾主要采用水喷淋系统和气体灭火系统,水喷淋系统必须有水池和水泵等一套完整的供水系统,且系统的使用温度也有一定的局限性;气体灭火系统主要受应用空间的限制,大部分气体灭火系统要求应用于全淹没灭火空间,而电厂和变电站的大部分变压器都安装在室外露天场所,不满足气体灭火系统保护的基本要求。因此,对于一些偏远、相对缺水、温度较低且空间不封闭的场所,利用水喷淋系统和气体灭火系统保护变压器设备具有很大困难。1989年,我国从法国SERGI公司引入了变压器排油注氮灭火装置后,为解决上述问题提供了很大的方便。我国于2005年和2009年先后颁布了该装置的应用规程和产品标准,即CECS 187:2005《油浸变压器排油注氮装置技术规程》和GA 835-2009《油浸变压器排油注氮灭火装置》。应用规程和产品标准的颁布,进一步规范了产品的设计、制造、施工和验收,为保证产品的质量和应用起到了积极的作用。
变压器排油注氮灭火装置主要由四部分构成:消防柜、消防控制柜、断流阀和温度探测装置。消防柜内主要有氮气瓶、减压装置、排油阀和氮气释放阀等部件;断流阀主要安装在变压器储油柜与本体之间,当灭火系统动作时,断流阀可以阻止油从储油柜流到变压器本体中。装置动作原理:当气体继电器和温度探测装置探测到火灾信号后,将信号传送给消防控制柜,消防控制柜发出指令驱动排油阀开启,变压器本体内上层温度较高、易燃烧的油会从排油管道内排放出来;同时,储油柜内的油通过安装在其下部的断流阀进行截止,从而防止“火上浇油”的现象。排油阀开启并延时一定时间后,控制装置驱动氮气释放阀开启,氮气瓶内的氮气经减压装置减压后注入变压器本体内,搅动、翻滚变压器本体内的油,将变压器底部温度较低的油与上层温度较高的油进行混合,从而降低变压器油的闪点,使火焰最终熄灭。图1是油浸变压器排油注氮灭火装置的安装示意图。图2与图3分别是两种常用的消防柜结构示意图,控制消防柜动作程序的电路除了采用传统的继电器控制外,还有采用PLC可编程控制器控制的。
随着排油注氮灭火装置在我国应用范围的逐步扩大,我国消防工程技术人员对排油注氮灭火装置的结构不断进行了改进和增型使装置的工作可靠性有了进一步提高,装置的应用范围也进一步拓展。变压器排油注氮灭火装置与电力系统网络接入后,可实现远程监控、操作灭火装置,是装置应用范围拓展的有利例证。
3 排油注氮灭火装置与电力系统网络接入的实现
当前,随着电力系统的不断发展,无人值守变电站逐渐增多。为保障电网安全运行,并解决无人值守变电站的安全防范问题,研究开发了排油注氮灭火装置与电力控制中心网络的接入,使电力监控人员对无人值守变电站的排油注氮灭火装置进行远程监控、操作,大大提高了装置运行的可靠性,且发生火灾时,监控人员能够及时、准确地进行远程操作启动装置扑灭火灾。
电力系统网络主要针对无人值守变电站的综合监控系统,需要将远程的视频监控、报警管理、动环数据采集、门禁管理、综合联网、分布/集中存储等系统功能有机地结合起来,做到既可以远程监视、遥控和图像的传输,又具备动力环境的整体监控,且具有通常联网报警网络的功能、门禁管理人员出入控制功能等。监控系统将变电站的各被监视点通过远程图像监控系统传输到电力局巡检中心和调度所,对重要变电站,调度人员可通过图像监控系统对变电站的环境进行监视;无人值守综合监控系统集成以上功能,减少巡检人员工作强度,弥补变电站取消运行人员后直观性不强的弱点,加强对变电站的安全、保卫工作,提高变电站运行水平,解决了传统的无人值守变电站管理系统多套、无法统一联动、管理的弊端,为变电站的科学管理提供了更为集中有效的技术支撑。
通常,可以把现场消防系统(设备)分解为如下几部分:总控主机、消防子系统、PLC控制模块(或RTU采集与控制模块)、消防控制软件、消防设备。
(1)总控主机:负责将信号采集器采集到的所有信息通过网络传输到系统远程消防控制平台,并把系统远程消防控制平台的信号或状态回馈给消防控制柜。
(2)PLC(或RTU)采集与控制模块:负责采集高温探测器的温度状态、瓦斯体积分数、变压器内部压力、加热器工作状况、氮气压力值以及氮气阀、断流阀和排油阀的“关/开”状态。
(3)消防控制软件:实时监控各个消防灭火装置系统的状态和参数,记录相关数据,在变压器发生火灾状况下报警并判断是否启动消防设备。
(4)消防设备:现场执行排油注氮动作的灭火设备。
排油注氮灭火装置与电力控制中心的网络接入的拓扑结构如图4所示。
对于采用继电器控制实现灭火装置动作逻辑的电路,可直接采用RTU模块与消防设备提供的触点信号连接,进行数据采集和远程控制。对于采用PLC控制实现灭火装置动作逻辑的电路,使PLC与RTU连接,采用标准的RS 485或RS 232方式连接,采集数据,进行显示和警告处理。通常采用工业标准的MODBUS通信协议,如果采用其他通信协议,可由PLC可提供接口确定。消防子系统可以通过网络向电力控制系统转发数据,用于主控系统对现场的监视。目前,该通信模块常用的协议有:DL451-91、MODBUS,MODBUS/TCP、IEC101、IEC104。也可自定义通信协议,具体可通过协商确定。图5为无人值守变电站主控系统与外接设备示意图。
4 电力监控网络安全性及防范措施
现,减少了人员巡视的工作量,进一步提高了装置运行的可靠性,保证装置能够及时准确发挥作用,避免了装置由于误动作所造成的损坏。但是,也应认识到,网络并非是绝对的安全,其安全性也应该引起使用者的足够重视。一般说来,在电力网络系统中的安全防护主要包括两个方面:一是网络系统中存储和传输的信息数据;二是网络系统中的各类设备。只有保证上述两方面,才能保证生产、经营业务的正常运行,同时防止信息数据被非授权访问者窃取、篡改和破坏。在电力系统的网络中,包含的设备主要有各类服务器和路由器/交换机系统。在服务器上主要有操作系统、数据库系统和其他应用系统。这些系统都或多或少地存在着各种各样的“后门”和漏洞,这些都是重大的安全隐患。一旦被利用并攻击,将带来不可估量的损失。例如,网络通信的TCP/IP协议缺乏相应的安全机制,其中某些协议存在一定的安全漏洞,恶意攻击者可以利用这些安全漏洞直接攻击设备,修改配置,影响网络的正常运行,或使网络中断;以这些设备为跳板,继续攻击内部网络资源,甚至在未发生火灾情况下启动灭火装置,造成装置误动作。对各类操作系统(UNIX、WINDOWS NT等)和数据库而言,其中存在大量已知和未知的漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。计算机病毒也是危险源之一,它在所有破坏性设备中最具危险性,可以导致服务拒绝、破坏数据,甚至使计算机系统完全瘫痪。当病毒被释放到网络环境时,其无法预测的扩散能力使它极具危险性。病毒会突破系统的访问控制,对系统造成破坏,可能造成机器死机、信息泄漏、文件丢失等。要解决上述网络安全性问题,必须做好以下几方面工作:(1)加强防火墙配置的有效性;(2)加强管理入侵监测系统的配置;(3)加强信息传输加密产品的配置;(4)增强防病毒系统的安装。
参考文献
[1]刘汝义,杜世铃.发电厂与变电所消防设计使用手册[M].北京:中国计划出版社,1999.
[2]GA835-2009,油浸变压器排油注氮灭火装置[S].
[3]CECS 187:2005,油浸变压器排油注氮装置技术规程[S].
搭建安全的网络接入层 篇10
计算机网络应用面临诸多安全问题, 为了有效地保护信息的安全, 必须建立一个安全的网络。人们常采用防火墙、入侵检测、防病毒网关来抵御黑客攻击、病毒、蠕虫等外部入侵。然而, 网络内部的安全威胁比外部侵袭更普遍, 危害性更大。因此必须搭建安全的接入层来保护内网的安全。
1. 网络接入层
一般将网络中直接面向用户连接的部分称为接入层, 用于控制用户对网络资源的访问。接入层是网络管理的逻辑控制点, 必须支持一些分布层的关键特性, 应考虑限制非法设备连接、用户身份认证与用户权限设置、网络入侵检测等几个方面, 从而实现设备和网络的永续性[1]。
2. 网络接入层的安全问题
网络的安全威胁来自多方面, 但据美国FBI调查统计, 80%以上是来自内部。网络接入层的安全威胁既有来自软硬件配置方面的, 又有人为因素造成的, 常见的安全问题主要有以下几种。
2.1 病毒与恶意攻击。
计算机病毒、蠕虫很容易通过各种途径侵入到内部网络, 内网用户将危险网络环境下使用过的笔记本、移动存储 (如U盘、移动硬盘等) 接入到内网, 无形中将病毒、木马等带入内网中。像冲击波病毒这类蠕虫足以使整个网络陷入瘫痪。
2.2 非授权访问。
非授权访问指对网络设备及信息资源进行非正常使用或越权使用等。它是一种有预谋的破坏、窃取计算机系统信息的行为, 其危害性非常大。
2.3 操作系统、应用软件的安全漏洞。
目前广泛使用的Windows操作系统本身就存在漏洞和缺陷, 网络攻击者或病毒很可能利用这些漏洞发动攻击;内网的业务软件也可能存在被利用的漏洞或“后门”, 这都会给网络带来安全隐患。
2.4 网络软件的无限制使用。
聊天软件 (QQ、MSN等) 、网络游戏的滥用将严重影响网络的正常运行, 还可能通过其传播病毒和木马。BitTorrent、迅雷、电驴等P2P软件的疯狂下载也极大地消耗网络带宽资源, 甚至造成网络拥塞, 使业务系统无法工作。
2.5 人为因素。
内网用户的安全意识普遍不强, 加之管理人员的专业技术水平不高、管理制度不完善等人为因素常常造成了接入层的不安全。
3. 网络接入层的安全防范措施
笔者根据多年的网络系统建设和管理经验, 就如何构建一个安全的接入层网络, 提出以下建议来确保内网安全。
3.1 安全体系结构。
建立完整的安全解决方案和安全体系结构是实现网络接入层安全的前提, 这包括网络结构、安全策略和设备配备。图1为一个典型的安全接入层结构。
本方案以接入交换机和认证服务器、网管服务器为核心, 全面防范多种安全问题, 可以大大提高网络发现、预防和抵御安全威胁的能力。
3.2 病毒、蠕虫和恶意攻击的防护。
杀毒软件、软件防火墙等对新类型、新变异的病毒、蠕虫的查杀和抵御总要落后一步。针对这类威胁, 首先要安装正版杀毒软件, 及时查杀服务器、客户端病毒, 实现全网全系统的病毒防护;其次, 可利用交换机的端口流量管理来实现对未知病毒、蠕虫和恶意攻击的隔离。接入交换机应当具有端口策略管理功能, 如美国凯创的N系列交换机。动态监视用户流量, 当发现某一端口流量异常时, 交换机立即将其断开并发出警告, 问题解决后再开放该端口。这样能极大地减小未知病毒、蠕虫和恶意攻击对网络的危害。
3.3 非授权访问的安全措施。
用户接入网络前必须先通过认证, 可用802.1X或Radius认证。如图1, 用户接入时, 交换机向认证服务发出认证请求, 通过认证后由DHCP服务器提供IP地址、子网掩码、网关、DNS等配置。同时将该用户划入相应的VLAN, 把带宽限制、访问权限等安全策略绑定到该端口;未通过认证的用户则被拒绝接入。一旦用户断开, 交换机则立即清除策略配置, 等待新的接入请求;这里最好是支持单端口多认证的交换机。认证机制从源头上就阻止了大量非法用户入侵的可能。
3.4 系统软件、应用软件的漏洞处理。
对于系统软件的漏洞, 采用定期漏洞扫描, 及时升级、打补丁等手段解决。网管人员要经常检查内网用户机器和服务器, 关闭不必要的服务及端口。另外就是要使用正版软件, 尽量少使用网上下载的未通过安全测试和认证的软件, 并经常检查是否有新版本或升级包、补丁, 并及时更新。
结束语
随着接入网络的设备种类和数量不断增加, 网络接入层的安全将面临更大挑战。既要依靠不断创新的技术和完善的监控手段来建立一个安全的接入层网络, 还要建立严格的安全管理制度, 执行安全策略, 消除不安全因素。同时还需定期评估网络接入层的安全状况, 及时升级、完善自身的防御措施, 才能有效地保护内网安全。
参考文献
[1]操惊雷.局域网接入层安全保障技术应用.黄冈职业技术学院学报, 2008年6月, 第10卷第2期.
[2]曾梦良, 郑雪峰.基于接入层的网络安全解决方案研究.微计算机信息, 2007年30期.
