第一章下一代网络与软交换的技术特点
1.1 下一代网络思想产生的背景
作为当今科技领域中最具活力的分支, 通信技术一直是以超乎人们想象的速度发展着, 而且每一次革命性的技术与观念的飞跃, 诸如程控数字交换机的出现与普及, 多媒体技术的广泛应用以及宽带传送与交换技术的成熟等等, 都在很大程度上影响和改变了人们的生活与思维方式, 特别是互联网的出现与迅猛发展, 更是重塑了现代社会的现代生活。同时它的开放架构, 标准协议的设计思想也是深入人心以致深刻地影响和改变了传统的通信网组网的设计思想,人们梦想着有一天也能象登录互联网一样,无论谁在任何时间任何地点以任何方式都可以从通信网上获得具有个性化的通信服务。另一方面,随着电信业务市场化的加剧,各电信运营商之间的竞争日趋激烈,各种以让利为主的竞争手段的层出不穷,从而不可避免地造成电信经营的利润流失,特别是对固网用户与业务的分流,因而如何从业务上寻找新的收入增长点就成了摆在固网运营商面前迫在眉睫的问题,特别是象天津电信公司这样有着雄厚基础的运营商而言,就更是当务之急。正是在技术与业务两方面的推动下,下一代网络的体系思想应运而生,且随着NGN的功能模型、操作标准的逐渐成熟,下一代网络逐渐走向应用,甚至是商用,可以预期一个人们理想中的通信世界已初现曙光。
1.2 下一代网络与软交换的技术特点
1.2.1 下一代网络的技术特点
NGN是一个宽泛的概念,它泛指不同于前一代的以IP网为基础以数据业务为核心的统一各异构网络的融合网络。与传统的电信网相比,NGN打破其封闭集中的格局而采用开放的体系架构分布式的控制,各网络实体之间应用开放协议或标准接口(API),各种呼叫业务与其呼叫控制和连接控制相分离,控制与媒体层相分离从而使网络在水平方向分层化即业务层,控制层,接入传送层和核心媒体层。因上层的业务层与底层的异构网络无关,因而可以完全按照市场需求和业务自身的规律来发展,而同时在控制层有软交换系统的功能控制,在接入传送层有趋向实现宽带无缝接入和光联网(ASON)的传送以及在核心媒体层将信息切割打包转换成在网络上传送的格式,从而完全体现了业务驱动的思想理念,真正实现了多网合一灵活开放的从上至下的业务提供和保障体系。
下一代网络的技术特点是:
1、基于分组传输
2、呼叫控制与承载相分离
3、可与现有网络互通
4、支持各种业务
5、支持移动性
6、提供API接口支持第三方开发新业务
因受经济效益和多网合一后作用强化等因素的驱动,性能优良的下一代网络体现出下面的发展趋势:
·业务综合化:综合提供语音、数据、图象等宽窄带业务并便于引进新业务
·业务数据化:数据业务相比语音业务技术优势越来越明显,增长速率也越来越大
·网络分组化:基于包交换的网络更适合于数据业务的传送并最终取代电路交换网络
·网络宽带化:为各种性能的业务需求提供足够的通道容量
·网络光纤化:核心的传送网络趋向实现光联网,提供巨大低廉的网络带宽和成本,可持续发展的网络结构,透明支持任何业务和信号
·网络IP化:互联网的高速发展已使IP有可能承载所有业务
1.2.2 软交换的技术特点
软交换系统是下一代网络的控制核心,为下一代网络(NGN)具有实时性要求的业务提供呼叫控制和连接控制功能,它的成熟与否直接关系下一代网络走向实用。我国信息产业部电信传输研究所对软交换的定义是:“软交换是网络演进以及下一代分组网络的核心设备之一,它独立于传送网络,主要完成呼叫控制、资源分配、协议处理、路由、认证、计费等主要功能,同时可以向用户提供现有电路交换机所能提供的所有业务,并向第三方提供可编程能力。”其实,软交换是建立在一个开放的计算机平台上使用开放标准基于软件能执行分布式通信控制的功能实体,是下一代网络的控制核心。软交换系统由呼叫代理设备,媒体网关,信令网关,待征服务器,应用服务器,媒体服务器以及管理、计费接口等组成。
软交换的软件功能主要体现在媒体网关接入、呼叫控制、业务提供、互联互通、网管及计费等五个方面。
1).媒体网关接入功能。该功能可以认为是一种适配功能,软交换可以连接各种媒体网关,如PSTN/ISDN中继媒体网关,ATM媒体网关,用户媒体网关,数据媒体网关均可接入,完成H·248/MEGACO协议功能,并同时支持H·323和SIP 协议,可直接与其终端相连支持相应业务实现对媒体网关的控制、接入和管理。
2).呼叫控制功能。呼叫控制功能是软交换的重要功能之一,为各种实时性的呼叫提供基本的呼叫控制与连接控制功能,实现基本呼叫的建立、维持和释放,
包括呼叫处理、连接控制、智能呼叫触发检出和资源控制等。
3).业务提供功能。在网络从电路交换向分组交换的演进中,对终端用户而言,业务应当具有完全的继承性,它不仅支持现有各网的全部宽窄带的语音、数据等业务,而且还可以与智能网的业务控制点相结合,提供各种智能业务。因为软交换采用标准开放的设计思想并提供API接口,从而可使第三方充分利用标准的计算机平台和操作环境进行独立的业务设计和开发,大大推进新业务的发展。
4).互连互通功能。下一代网络并不是一个孤立的网络,尤其是在现有网络向NGN的发展演进中,不可避免的要实现与现有多个网络的互联互通(包括PSTN 网、PLMN网、SS7信令网、VoIP网、智能网、其它软交换网等)。因此需要软交换设备支持相应的信令与协议,例如中国ISUP、INAP、PRI、V5.2、MAP,从而完成与上述网络之间的互联互通。
5).网管与计费功能。要支持本地的维护管理以及通过SNMP协议实现与网管中心的通信;实现维护、配置、业务统计、告警以及计费信息的采集等功能。
针对不同的网络状况和业务需求,目前软交换应用主要集中在以下4个方面。
1).分组中继。针对用户数增加对汇接局、长途局容量需求激增以及传输带宽增加的情况,通过采用软交换技术构建分组中继叠加网络,利用媒体网关直接提供高速的分组数据接口,大大减少传输网络中低速交叉连接设备的数量,对语音进行静音抑制和话音压缩以及AAL2/ATM的可变速率适配,降低了网络传输成本和带宽需求(可以节省近60%的传输资源),从而满足对现有的长途局和汇接局的扩容要求。
2).本地接入。在多种多样的接入方式条件下,例如DSL、以太网、Cable、WLAN、双绞线等,采用软交换技术实现分组话音的本地接入,从某种意义上讲,它不仅完成了Class5端局的替代或新建,而且为终端用户提供了数据和语音的综合业务。
3).多媒体业务。针对用户多媒体业务的需求,利用软交换技术,将各种应用服务器上的新业务,在软交换设备的集中呼叫控制下,通过各种网关设备最终提供给广大终端用户,其中软交换直接控制着各种新业务的发放与实施,保证了业务在全网开展的及时性。
4).3G核心网。软交换技术不仅适用于固定网络,同样,在3GPPR4定义的3G无线核心网中,也采用软交换技术,实现呼叫控制与媒体承载的分离。
1.3下一代网络的新业务
因为下一代网络是真正基于业务驱动的网络,所以在支持新业务的多样性方面下一代网络具有不可比拟的优势,除了完全继承传统的语音业务的全部的同时,特别还在多媒体和多媒体增长业务以及网间业务开拓了广阔的空间,从而最
大限度的满足了人们对各种通信新业务地需求。
对多媒体可以开展下列新业务;
1)点到点多媒体通信,包括电子白板,多媒体终端间的浏览护航,协同应用等;
2)多方多媒体会议业务,该业务允许用户通过图形用户接口(GUI)直接发起、管理带视频的多媒体电话会议,还能使无视频能力的用户(没有视频的终端或者普通电话)通过音频参与会议。同时具备管理功能以及文字交流、同步冲浪、共享数据、交换保密文件等功能;
3)统一消息,终端用户可用多种方式访问语音、传真和电子邮件,如普通电话、PC、无线手持设备、PDA或WED浏览器。同时系统可方便集成模拟语音信箱系统,提供运营商向终端用户发布基于全IP网络的增强通信功能;
4)语音信箱,除了支持所有的传统语音信箱功能外,还支持呼叫监测,也就是说当用户不在时,会自动保留来电显示,并可按需回拨,支持信息反馈即允许用户在语音信箱内直接回复信息,包括打出电话,支持信息提示,将语音信箱系统的来信通知到终端用户的手机上,统一消息能够提供文本到语音功能,这样用户能到他的电子邮件;
5)个人通信管理,提供用户私人的地址薄,点击拨号,个人呼叫(主叫和被叫)记录,个人特征通信的设定,如呼叫转移等,用户在线状态显示等功能;
6)点对点即时消息即主叫向被叫发送即时消息;
7)发送文件或图片,在呼叫建立后,可在菜单中选择向被叫发送一个文件或图片;
8)发送EMAIL,只需在菜单中选择被叫方即可发送;
9)点对点白板通信,呼叫接通后,在菜单中选择向被叫发起白板请求,共享白板信息;
10)个性主页显示,用户成功注册后,可向服务器上传自己个性化的主页内容;登录时,或呼叫前,可以弹出自己的主页窗口;可以选择向被叫显示自己的主页内容;
下一代网络支持的典型PINT/PIN业务如下:
1)击拨号(Click-to-Dial),上网用户点击网络链接,触发呼叫;
2)击发送传真(Click-to-Fax),上网用户点击网络链接,并发送传真;
3)点击回送传真(Click-to-Fax-Back),上网用户点击网络链接,并回送传真;
4)语音接入信息库,(Voice-Access-to-Content)通过拨打电话来听取WED
页面信息,实现电话上网功能;
5)Internet呼叫等待(Internet Call Waiting),当被叫用户正在通过Modem 上网时有呼叫进入,将发送主叫号码至PC,提醒用户接听来电。
第二章下一代网络相关技术协议及其特点分析
2.1 各技术协议基本概述
NGN的目标是建设一个能够提供话音、数据、多媒体等多种业务的,集通信、信息、电子商务、娱乐于一体,满足自由通信的分组融合网络。为了实现这一目标,IETF、ITU-T制定并完善了一系列标准协议:H.248/Megaco、SIP、BICC、SIGTRAN、H.323。
H.248/Megaco:IETF、ITU-T制定的媒体网关控制协议,用于媒体网关控制器和媒体网关之间的通信;
SIP:IETF制定的会话初始协议,用于多方多媒体通信;
H.323:ITU-T制定的IP电话和多媒体通信协议,提供VoIP和多媒体应用;
BICC:ITU-T制定的与承载无关的呼叫控制协议,可使呼叫控制与承载控制分离;
SIGTRAN:由IETF SIGTRAN组织制定的在IP网上传送PSTN/ISDN的信令协议。
2.2 协议体系
2.2.1 协议分类
NGN协议包含非对等和对等两类协议。非对等协议主要指媒体网关控制协议H.248/Megaco;对等协议包括SIP、H.323、BICC等,SIGTRAN为信令传送协议。由于历史原因,NGN系列协议有些相互补充,有些则相互竞争。H.248/Megaco是一个非对等主从协议,与其它协议配合可完成各种NGN业务。SIP、H.323均为对等协议,存在竞争关系,由于SIP具有简单、通用、易于扩展等特性,逐渐发展成为主流协议。图1和图2分别为各协议之间的关系/分布与其体系结构。
2.2.2 协议应用和发展
NGN是一个融合网络,包括PSTN/ISDN、H.323、ATM/IP等网络,网络互通是NGN 成功的必要条件。NGN网络主要包括软交换、媒体网关、信令网关、智能终端和各种数据库/服务器等。SIP协议是NGN多媒体通信协议,用于软交换、SIP服务器和SIP终端之间的通信控制和信息交互,扩展的SIP-T可使SIP消息携带ISUP信令;在需要媒体转换的地方可设置媒体网关,H.248/Megaco为媒体网关控制器(MGC),用于控制媒体网关,完成媒体转换功能,它并不负责呼叫控制功能;H.323也是多媒体通信协议,它比SIP、H.248/Megaco的发展历史更长,是一项复杂的协议,升级和扩展性不是很好,SIP+H.248/Megaco可取代H.323,为了与H.323网络互通,NGN必须支持该项协议;SIGTRAN用于解决IP网络承载七号信令的问题,它允许七
号信令穿过IP网络到达目的地;BICC可使ISUP协议在不同承载网络(ATM、IP、PSTN)上传送。
随着网络、应用和需求的发展以及团体协作的进展,各种标准不断完善、升级。目前,NGN网络信令有两大阵营:第一种持纯IP观点,重点关注SIP(会话初始协议)、TRIP (通过IP的电话路由)和ENUM (IETF提议的电子编码);第二种强调NGN与PSTN的结合,关注ITU信令传输协议SIGTRAN。
2.3 主要协议简介
2.3.1 H.248/Megaco
H.248/Megaco协议是网关分离概念的产物。网关分离的核心是业务和控制分离,控制和承载分离。这样使业务、控制和承载可独立发展,运营商在充分利用新技术的同时,还可提供丰富多彩的业务,通过不断创新的业务提升网络价值。
H.248/Megaco是在MGCP协议(RFC2705定义)的基础上,结合其它媒体网关控制协议特点发展而成的一种协议,它提供控制媒体的建立、修改和释放机制,同时也可携带某些随路呼叫信令,支持传统网络终端的呼叫。该协议在构建开放和多网融合的NGN中,发挥着重要作用。
【基本概念】
终端(Termination)
终端是H.248/Megaco协议的两个主要抽象概念之一,是MG逻辑实体,能够发送和/或接收一种或多种媒体,如模拟用户接入网关中的电话线、中继网关中的中继电路,一个终端在任一时刻属于且只能属于一个上下文。
上下文(Context)
上下文也是H.248/Megaco协议的两个主要抽象概念之一,它是一些终端之间的联系,是描述终端间拓扑关系和媒体混合/交换的参数,可通过Add命令进行创建,通过Subtract 、Move命令进行删除。
协议介绍
H.248/Megaco协议的一条消息包含着一个或多个事务处理,每个事务处理包含一个或多个上下文,每个上下文包含一个或多个命令,每个命令包含一个或多个描述符。
H.248/Megaco包含八条命令:Add、Subtract、Move、Modify、Audit Value、Audit Capabilities、Notify、Service Change,各种命令通过其携带的参数实现各种业务。
【典型呼叫过程】
主叫摘机,MG检测到后通过Notify命令将事件(Off-Hook)报告给MGC;
MGC通过Add命令让MG将主叫端口加入一个Context,并向主叫送拨号音;
用户拨号,MG将收到的号码通过Notify命令报告给MGC;
MGC分析被叫号码,找出被叫端口,命令MG将被叫端口加入一个Context;
MGC命令MG向主叫送回铃音,向被叫送振铃音;
被叫摘机,MGC命令MG连接主被叫;
主/被叫挂机,MGC命令MG释放主被叫连接,将主/被叫端口放空Context。2.3.2 SIP 协议
会话发起协议SIP(Session Initiation Protocol)是IETF制定的多媒体通信系统框架协议之一,它是一个基于文本的应用层控制协议,独立于底层协议,用于建立、修改和终止IP网上的双方或多方多媒体会话。SIP协议借鉴了HTTP、SMTP等协议,支持代理、重定向、登记定位用户等功能,支持用户移动,与RTP/RTCP、SDP、RTSP、DNS等协议配合,支持Voice、Video、Data、Email、Presence、IM、Chat、Game......等。
【基本思想】
采用Client/Server和HTTP协议模型,每一个请求触发服务器的操作方法;
请求和响应构成一个事务,事务之间相互独立,一个完整的呼叫包含多个事务;
独立于底层传输协议UDP/TCP/SCTP,消息中可携带任意类型的消息体。
【基本功能】
SIP终端用户定位:SIP-URL+DNS;
会话属性协商:SDP Message Body;
发起会话:INVITE;
改变会话:re-INVITE;
结束会话:BYE + CANCEL
【协议特点】
1)简单
只包括六个主要请求,六类响应;
基于文本编码,易实现、易调试,便于跟踪和手工操作;
2)扩展性和伸缩性
具有灵活的扩展机制和强大的能力协商机制;
新的方法、消息头和功能添加,无须改动协议,网络简单,智能边缘;
分布式体系结构提高了系统的灵活性和可靠性;
3)安全性和可靠性
逐跳加密和认证:Ipsec、SSL;
代理认证:Proxy-Authentication;
端到端HTTP认证:基本方式和摘要方式,端到端加密PGP、S/MIME;
每次呼叫包含一个时间/空间唯一的Call-ID,每次请求都有一个Cseq,用于复制包检测,请求之后有应答,INVITE应答后有ACK确认,没有收到回应则重传;4)互通性
简单、轻型协议,基于文本编码方式,容易描述和分析;
应用层协议与底层传输无关。
【基本内容】
消息基于文本方式,共有36种消息头,六种请求方法和一系列响应
1)六种请求方法及其响应
INVITE 发起呼叫 1XX--进展指示
ACK 响应应答 2XX--成功
REGISTER 用户登记 3XX--重定向
OPTIONS 能力询问 4XX--客户端错误
CANCEL 取消呼叫 5XX--服务器错误
BYE 终止呼叫 6XX--全局错误
2)SIP体系实体
User Agent Client:发起请求的逻辑实体;
User Agent Server:接收请求的逻辑实体;
Proxy Server:代表客户端转发请求或响应的网络逻辑实体,包括路由、呼叫控制、业务提供、计费认证授权…等;
Redirect Server:将请求中的地址映射为零个或多个新的地址返回给客户端,完成路由功能;
Register Server:接收注册请求,提供定位服务。
2.3.3 BICC 协议
随着数据网络和语音网络的集成,融合的业务越来越多,PSTN 64Kbit/s、N* 64K bit/s的承载能力局限性太大,分组承载网络除IP网络外还有ATM网络,但IP分组网不具备运营级质量,为了在扩展的承载网络上实现PSTN、ISDN业务,ITU-T SG11小组制定了BICC(Bearer independent call control protocol)协议。
BICC协议解决了呼叫控制和承载控制分离的问题,使呼叫控制信令可在各种网络上承载,包括MTP SS7网络、ATM网络、IP网络。BICC协议由ISUP演变而来,是传统电信网络向综合多业务网络演进的重要支撑工具。
目前BICC协议由CS1(能力集1)向CS2、CS3发展。CS1支持呼叫控制信令在MTP SS7、ATM上的承载,CS2增加了在IP网上的承载,CS3则关注MPLS、IP QoS
等承载应用质量以及与SIP的互通问题。
2.3.4 SIGTRAN协议
SIGTRAN是IETF的一个工作组,其任务是建立一套在IP网络上传送PSTN信令的协议,SIGTRAN协议包括SCTP、M2UA、M3UA,提供了和SS7 MTP同样的功能。
SCTP:流控制传送协议,用于在IP网络上可靠地传输PSTN信令,可替代TCP、UDP协议;SCTP在实时性和信息传输方面更可靠,更安全;TCP为单向流,且不提供多个IP连接,安全方面也受到限制;UDP不可靠,不提供顺序控制和连接确认;
M2UA:MTP2用户适配,支持MTP3互通和链路状态维护,提供与MTP2同样的功能;
M3UA: MTP3用户适配,支持MTP3用户部分互通,提供信令点编码和IP地址的转换;
SUA:信令用户适配,支持SCCP用户互通,相当于TCAP over IP;
M2PA:MTP2用户对等适配层协议,支持MTP3互通,支持本地MTP3功能,支持M2PA SG(信令网关),可以作为STP。
2.3.5 H.323协议
H.323是一套在分组网上提供实时音频、视频和数据通信的标准,是ITU-T
制定的在各种网络上提供多媒体通信的系列协议H.32x的一部分。
【基本概念】
终端:发起呼叫或被呼叫,产生或终止信息流;
网守:为H.323终端、网关和多点控制单元提供地址翻译,控制网络访问;
网关:在分组网H.323终端和电路网其它终端之间,或H.323网关之间提供实时双向业务;
多点控制单元:用于控制多点会议。
名词解释:
SIP:Session Initiation Protocol( 会话发起协议)是IETF制定的多媒体通信系统框架协议之一,它是一个基于文本的应用层控制协议,独立于底层协议,用于建立、修改和终止IP网上的双方或多方多媒体会话。
BICC:Bearer Independent Call Control protocol, BICC协议解决了呼叫控制和承载控制分离的问题,使呼叫控制信令可在各种网络上承载,包括MTP SS7网络、ATM网络、IP网络。BICC协议由ISUP演变而来,是传统电信网络向综合多业务网络演进的重要支撑工具。
H.248/Megaco :Media Gataway Control Protocal,IETF、ITU-T制定的媒体网关控制协议,用于媒体网关控制器和媒体网关之间的通信;H.248协议又称为MeGaCo/H.248。
SIGTRAN:SIGTRAN是IETF的一个工作组,其任务是建立一套在IP网络上传送
第三章迈向多网合一的第一步
——S1240宽带P3S交换机与面向宽带的网络
3.1 S1240宽带P3S交换机的技术特点
根据实际情况,目前对电信网而言,固定用户仍有比较大的发展空间,传统的语音服务还是电信运营商的主要收入来源,因而开发新一代综合交换机,在保留原有交换机服务功能的同时,增加多种标准接口扩大交换容量,提高交换效率从而为改造现有网络,为多网融合奠定初步基础还是具有重大意义的。已在天津电信网上投入使用的S1240 P3S交换机即是这样一种综合交换机。它的最大话务负荷6MBHCA,信令最大处理能力达307200消息/秒。N7链路达成1024,最大中继容量可达24万,系统吞吐量目前可达280G,十分适用于汇接局和关口局。它摒弃了原来的电路交换方式而采用信元交换机制,内置SDH接口,并为ATM和IP提供了统一的平台,支持多种宽窄带业务的综合交换。
3.1.1信元及时隙分析
P3S交换机与传统的交换机相比,最大的不同就在于它采用了基于多时隙信元(MSC)交换机制的多路径自选路由(MPSR)的交换平台,其本质是一种快速分组交换,也是包交换。
每个MSC由1~16个时隙组成,每个时隙68bits。一个MSC的格式如下图3-1:
起始信元
数据信元
数据信元
数据信元
空闲信元
图3-1MSC格式
其中SRT为MSC的起始时隙是自选路电标签,它包含了当前的MSC在交换网络中的路由信息。SRT的随后时隙用来承载用户数据以及MPSR交换平台的维护信息而空闲信元则不传送有用信息,一般用来保持网络同步。
3.1.2 对SDH的接入
SDH链路终端模块作为SDH即STM—1接入MPSR交换平台的一个接口,提供
SDH终接功能,并与同步宽带控制模块一起实现SDH宽带接入。SDH链路终端模块的主要作用可归纳为SDH终端功能和MPSRSTM终接。
SDH终端功能主要包括SDH物理层的终端(例如E/O或E/E转换,STM—1帧同步和帧的组装/拆装)和段开销(SOH)的处理,以及高层通道层的终接即VC —4 POH处理,这其中包括AU4指针处理。由2Mb/s复用成一个STM—1国际上有两条路可选AU3和AU4,我国采用欧洲标准即AU4,但SDH链路终端模块无低层通道开销终接功能和电路层功能(例如处理2Mb/s中继线或64Kb/s业务)MPSR终接执行的功能是使同步模式类型的话务允许进入MPSR路由交换,因其是基于MSC的异步模式交换,所以STM模式的话务按照指定的STM—MAL协议进行映射,STM—MAL可应用于所有同步模式的话务,不仅仅是SDH话务。
3.1.3 ATM接入
终端链路模块终接ATM,并与异步宽带控制模块一起实现ATM的宽带接入。在接入过程中异步宽带控制模块将64Kb/s的时隙转换成ATM信令格式和副语句来实现对ATM终端的控制。时隙以64Kbps的速率进行交换并通过MPSR异步宽带控制模块对64Kbps的时隙进行收发。在VC4中包含有一套ATM适配层,通过半永久连接通向异步宽带控制模块,也就是说一个VC4包含一条ATM路径,一条ATM路径包含VP/VC连接,在两个控制平面之间有一个ATM连接。在SDH上,提供8条155.52Mb/s的ATM外部链路或两条622.08Mb/s链路。如果一个VC4包含有ATM路径,那么整个SDH结构都要给ATM连接用即不能有带有含ATM路径的VC12的SDH结构。ATM的管理者可以通过把ATM连接和路径接入给所有的终端链路模块来处理ATM的连接结构,ATM连接被指定在一个出一个入两个VC4之间。在交换机中,当一个VC4的相应的物理链路被连接到一个终端链路板上时,一条ATM路径自动生成。
通过在汇接局、关口局使用象P3S这样的综合交换机,可卸载原有的电话业务量,承载新增的业务量和全部数据业务,从而最终完成向数据网过渡。
3.2 面向宽带网络的传输与交换技术
近10年来,全世界电话用户的平均年增长率为6%左右。然而,数据业务的平均年增长率高达25%~40%,远高于电话业务。特别是IP业务正呈现爆炸式增长态势,年增幅达300%。其次,从核心网角度来看,由于网络高生存性要求,以DXC选路和自愈环为基础的自愈网分别需要消耗至少30%~60%和100%的额外网络容量,使容量需求增加。从接入网看,由于一系列宽带接入技术的应用,例如电缆调制解调器、非对称数字用户线(ADSL)和以太网等,使接入速率增加了数十至数百倍,导致核心骨干网上的业务流量大幅度增加。再有,在网络业务组成中将占主导地位的IP业务量的分布模式将使未来的网络业务量分布大幅度向核
心网转移,进一步加剧了骨干网容量需求的压力。而且,IP业务量的高度不确定性使不同路由的负荷随时发生变化,造成网络资源利用的高度不平衡。此外,日益廉价的带宽正在刺激大量宽带新业务和新应用的产生,诸如IP视频业务、高清晰度电视(HDTV)和虚拟现实(VR)等,有些特殊的宽带业务甚至需要高达Tbit/s以上的数据速率,例如未来的战场通信可能需要高达2.8 Tbit/s的速率,而Telepresence业务需要15 Tbit/s的速率。最后,在未来骨干网上用带宽换服务质量的轻载网络策略随着网络IP业务量份额的日益扩大和带宽成本的迅速降低正赢得越来越多的支持,这将会需要更大更宽松的网络带宽。而与之相适应的面向宽带网络的宽带传输与交换技术。
3.2.1向下一代电信骨干传送网的演进
下一代的电信骨干网主要由两个层面组成,如图3-2所示,下面是骨干传送网层面,负责快速、高效、透明地传送所有客户层信号(包括SDH,ATM,以太网等)。上面是骨干业务网层面,可以由各种客户层信号业务节点组成各种业务网,诸如电路交换网、ATM网和IP网等。两者在功能上是独立的,但骨干业务节点和骨干传送节点有可能在物理上集成在一起。
图3-2下一代电信骨干网
作为未来骨干传送网层面主要由超大容量的光传输链路和光传送节点组成。目前作为光传输链路的主要技术是超高速SDH和超大容量WDM。前者商用化速率已达10 Gbit/s,不少实验室已开发出40 Gbit/s的系统,预计在2001年将会实用化。至于WDM系统更是下一代电信骨干网的主要支撑技术,除了320 Gbit/s(32×10 Gbit/s WDM系统已经现场投入业务外,北电等公司的 1.6 Tbit/s(160×10 Gbit/s) WDM系统已开始商用,在实验室西门子公司则完成了
7. 04 Tbit/s(176×40 Gbit/s)传输50 km的试验,创造了传输总容量最高的新世界记录,揭示了WDM技术的巨大发展潜力。
WDM系统除了波长数和传输总容量不断突破以外,近来还有趋势大大扩展实际网络的无电中继传输距离,例如美国Corvis公司在芝加哥到西雅图的3 200 km 的路由上成功地实现了160×2.5 Gbit/s信号的传输,创造了波长数最多,无电中继传输距离最长的现场综合传输世界记录。美国Qwest公司宣布2000年计划采用Corvis和Qptera的新设备将网络全面升级到10 Gbit/s速率和2400km无电中继传输,从而可以将网络再生点减少90%,运行费用减低70%,带宽配置时间减少95%,由几个月降到几小时。
从网络角度看,尽管普通点到点WDM系统有巨大的传输容量,但其灵活性和可靠性还不理想。如果在光路上也能实现类似SDH在电路上的分插功能和交叉连接功能的话,无疑将增加新一层的联网威力。根据这一基本思路,光的交叉连接设备(OXC)等新型光节点均已在实验室研制成功,正在进行现场试验,靠光层面上的波长连接来解决节点的容量扩展问题,其带宽颗粒从VC-4增加到一个波长,即增加了16倍(2.5 Gbit/s)到64倍(10 Gbit/s)乃至256倍(40 Gbit/s)。同样1000个端口的节点容量可以从160 Gbit/s增加到2.5 Tbit/s到10 Tbit/s乃至40 Tbit/s。美国Corvis公司宣布采用其超长光传输和光层联网解决方案后,可以将网络成本降低约90%,目前已有Qwest、Williams和Broadwing等公司开始了实际现场试验。
总的看,光传送网应该是一个突破传统电传送网容量和距离限制的新一代传送网,实现光层传送联网的基本目的是:
(1) 消除电设备导致的带宽瓶颈:目前电联网的链路容量受限于单个电中继器的传输容量,不超过40 Gbit/s。而电联网的节点SDXC(电的SDH交叉连接器)的吞吐量大约为160~320 Gbit/s,其容量增长的速度大约为每2年加倍,无论节点或链路的容量均无法赶上数据业务量的指数增长速度。
(2) 降低对业务节点规模的要求:利用具有灵活疏导业务量能力的OADM(光的分插复用器)和OXC可以从光层旁路掉不在本地下路的大量业务量,从而减轻了路由器或ATM交换机等业务层节点所要处理的业务量,既提高了业务节点的效率,又降低了对业务节点规模的要求。
(3) 大幅度降低建网成本和运营维护成本:光传送联网可以简化网络层次和结构,减少网元数目和电/光转换设备的数目,从而也简化了网络管理和规划。(4) 实现网络光层的可重构性:达到在波长级、波长组级和光纤级灵活重组网络的目的,特别是波长级的连接可以提供端到端的波长业务,进而支持大量新业务。
(5) 实现网络对客户层信号的透明性:允许互连任何新老系统和不同格式的信号,不仅支持SDH信号,而且也可以直接支持IP、以太网、FR和ATM信号等。
(6) 简化和加快了高速电路的指配和业务供给速度:目前的高速电路的指配需要很长时间,例如从美国东海岸到西海岸指配一个2.5 Gbit/s电路需要一个月左右。采用光层联网消除或减少了光电转换,简化和加快了高速电路的指配速度。
(7) 实现快速网络恢复:目前电层的网络恢复时间高达几分钟,而OTN的恢复时间可以减少到100 ms量级,对绝大多数业务基本没有损伤。
(8) 同时实现业务层和光层的联网:避免了单纯IP层联网所带来的低效率,提高了网络资源的利用率,提供了灵活高效的组网能力和对付大物理层故障的快速恢复能力。
综上所述,光传送联网已经成为继SDH电联网以后的又一次新的光通信发展高潮。其初步标准化工作将于2001年基本完成,OXC的商用化时间大约也在2001年间。
3.2.2面向下一代网络的交换技术发展趋势
面向下一代网络并与下一代骨干传送网相配合,交换技术也在经历着深刻的变化,总的来说,是从电路交换向分组交换演变,电交换向光交换演变。
目前在固网中广泛使用的是电路交换。电路交换就是在每一次通信之前要为用户终端间建立一条固定的通信链路(物理连接/物理通路),通信结束后拆除。在一次接续中,一条电路(如每个交换机的某个TDM时隙逐个级联构成)就分配给一对用户固定使用,不管这条电路上是否有信息在传送,一直被占用,直到拆链。优点是直接连通,传送时延和时延抖动小,通路透明,适合于实时业务;但通信过程中带宽固定,网络资源利用率低。而分组交换又可进一步分为数据报(无连接,如:IP、IPX)、虚电路(面向连接或有连接,如X.25、FR、ATM)。其中有连接就是在用户进行数据通信前,要先为用户建立连接,称虚电路。一般地,虚电路的建立需要信令支持或由网管实现。全网唯一地址只有在建连接时有用,而在数据通信过程中不需要附地址。在通信过程中用户数据都经过同一路径 (已建好的虚电路)。而无连接不需要先建连接,用户数据打成一个个数据报,但每一个报头中必须包含全网唯一地址,每个数据报按地址单独转发,在通信过程中用户数据可能经过不同的路径。
虚电路容易实现全网的流量工程规划、 QoS保证,因为能方便地在同一路径上保留带宽、实现流量控制和拥塞控制。对于网络运营商而言,虚电路构成的网络更可控一些。而数据报通信过程中同一用户数据流可能走不同的路径,双向通信时,每个方向的数据流也可能走不同的路径,在流量规划和 QoS方面实现困难,但网络可靠性和灵活性具有优势,一旦网络发生故障,只要网络拓扑可达,数据通信一般不会中断。而虚电路中断通信,重新呼叫成功后才能通信。
对于大多数非实时数据通信来说,无连接技术更适合。如数据量极小的通信(如因特网上的域名解析包),虚电路要先建连接,连接建立时间越长相应损失的
带宽就越大,反而不如无连接技术。但是对于实时业务 (如话音通信与会议电视等),有连接技术更适合,能保证 QoS。随着技术发展与需求变化,有连接与无连接需相互结合,以互补实现需求。例如,因特网向话音、视频业务渗透,对 IP 也提出 QoS问题。而 MPLS就是用面向连接的电信思路支持无连接的 IP,以期通过虚电路实现 IP QoS,满足应用需要。但与ATM不一样的是: MPLS是用标记分配协议 (LDP)取代复杂的 ATM信令协议来实现面向连接的功能,且不是为每一次的用户数据通信建一次连接,简化了操作。这样既适合于数据量极小的通信,又能支持实时业务。
在90年代初,因特网的爆炸性发展出现了许多问题需要新技术来解决,如流量工程、QoS。因此出现了将IP与ATM结合的需求,希望实现优势互补,包括:局域网仿真 (LANE)和 ATM支持多协议 (MPOA)等等。IETF标准化的MPLS (ITU-T 也已决定采用)就是从众多的IP与ATM结合技术中脱颖而出成为其中的最佳选择。
MPLS是对第二层ATM标记交换和第三层IP路由协议的有机结合,既实现了ATM的面向连接、简单高速交换、QoS保证、流量工程等优点,又实现了IP的灵活性、有效性和可扩展性等优点。
MPLS采用面向连接的第二层交换支持无连接的第三层IP包转发,以实现IP QoS和流量工程。MPLS采用第三层(IP)的控制协议(如沿用已有的IP路由协议,新定义标记分配协议(LDP)代替ATM信令)来控制第二层(ATM)的虚电路交换。MPLS信令(如CR-LDP或RSVP-TE)主要完成:在节点间分发标记信息;建立类似ATM PVC/SVC的标记交换通道(LSP,实质是虚电路)。与ATM VPI/VCI一样,MPLS 标记只在本地有意义,多个标记可以嵌套构成标记栈,可以实现显式路由和层次化路由。
MPLS域的出入口处设备称为边缘路由器(LER),核心设备称为标记交换路由器(LSR)。根据IP包头的相关信息将不同QoS要求的IP数据流划分成不同的转发等效类(FEC),LER将IP包打上相应的标记。此类操作只在入口的LER进行一次。具有相同标记的数据流都属于相同的FEC。沿事先建好的LSP,内部多个LSR 只根据标记转发信息库(LFIB)进行简单高速的标记交换,不再做FEC处理。MPLS 实现了网络核心处理简单,智能在边缘/接入层实现的原则,这也符合IP的精髓思想。
MPLS是对IP现有组网模式的革新,包括路由和转发体系结构。MPLS提供了传统路由器与IP现有组网模式不具备的解决方案,如:显式路由、流量工程、VPN、保护现有电信网的投资(通过ATM MPLS支持),使网络运营商能在业务量快速增长和QoS要求的外部因素、网络资源优化的内部因素间找到较优的平衡点。
当前的数据网是多层结构:IP层承载应用程序,ATM层处理流量控制、提供
QoS,SDH层实现传输,DWDM提供大容量带宽。未来的发展趋势是简化体系结构的光网络,减少分散设备数量,以降低管理复杂度和网络运营维护成本。由于路由器和ATM交换机已集成了SDH的物理层和复用功能,以及光网络设备(OXC和OADM)的出现,初期阶段,现有的SDH设备将继续使用其中的一个或多个波长;但从长远看,单独的SDH物理设备(ADM和DXC)将不会新建,SDH的复用、交叉连接和保护功能将被光网络设备所替代,SDH的一部分功能并入第2/3层中,而剩下部分并到光层中。SDH将成为光网络的一个业务接口,而ATM向MPLS演变。
未来很长一段时期内的网络仍将是一个混合网络,包括现有的网络设备(电)和光网络设备。为了简化操作、降低运营维护成本,最好是由一个通用的控制平面控制上述设备,以快速提供业务。MPLS实质上是将IP控制平面(动态路由协议)推广到了电信的面向连接技术(如ATM),那么我们可继续推广到光传送网(OTN)中。可见将MPLS 控制平面与光交换功能相结合是较好的方案,椐此,IETF在1999年底提出了“Multi-Protocol Lambda (λ) Switching (MPLS)”(MPLmS或MPλS)技术。将波长或物理光口与标记绑定,实现MPLS的流量工程与光交换相结合。
在原理上,MPLmS与MPLS一样,只不过要适应OTN的一些特殊性做相应的增加或修改。如:MPLS中的LSP,到了MPLmS中就变成了波长通道(WLP);MPLS 中的LFIB,到了MPLmS中就变成了波长转发信息库(WFIB)等。另外,MPLmS还定义了新的链路管理协议(LMP),解决光链路的管理问题;需要适合光链路特性的波长路由协议,为此需修正OSPF与IS-IS协议,提供有关OTN中的可用光资源信息,如波长数量和带宽等;修正了CR-LDP、RSVP-TE,以建立WLP。MPLmS可以更灵活地分配和管理网络资源,有效地实现业务管理、网络保护恢复能力。
由于IP业务量的分配不像过去电话网业务那样均衡,其动态性较强,因此,未来将出现要求将业务量的突变与光路由相结合的运营需求。未来的核心网要求高吞吐量、大带宽、高速、低时延,采用相对简单的波长标记交换,Tbit级的波长路由交换机(WSR),具有动态路由选择功能,但只负责第二层波长标记交换。与MPLS一样,MPLmS光路由器有两类:边缘路由器,完成电子功能的标记与波长标记的对应集合处理;核心路由器,只完成波长标记交换和上下路等比较简单的光信号处理。这样,在MPLmS中,每个光通道(WLP)都可能聚合来自MPLS网中的多个标记交换通道(LSP)。
未来的业务和桌面应用都是基于IP的,但交换网络仍是基于面向连接的二层交换(虚电路、光交换),但由一个控制平面统一实现,就是MPLS(包括IP路由协议、MPLS信令协议)。
第四章针对天津通信网的下一代网络解决方案目前天津通信网大致由二部分组成即:公众电话网(PSTN)和分组网(IP)。而将天津通信网逐渐演变成下一代网络必须分阶段分步骤进行,从而将工作建立在平稳的轨道上运行,否则向下一代网络演进也就失去了意义。根据实际情况,应按照网络规模由小到大,话务负荷由轻到重的次序进行。
4.1 分组网下一代网络解决方案
天津通信网向下一代网络演进的方案中,分组网无疑是最重要的,一是因为现在分组业务覆盖面宽,二是因为下一代网络就是以IP分组网为基础的。
在目前的分组网业务中,分组话音基于IP分组网络,是目前NGN提供的多种业务中最主要和有业务收入的业务。与PSTN话音业务相似,NGN网络话音业务也可根据用户规模和应用领域划分出集团用户、小区用户和SOHO/个人用户三种典型解决方案。
4.1.1集团用户分组话音解决方案
集团用户的话音通信需求具有多样性,同样其解决方案也具多样化。典型的NGN方案是利用IAD(综合接入设备)接入普通模拟话机,并在IAD中完成话音压缩、IP封装,通过网口接入NGN。对于Ephone、Pcphone、SIPphone等智能终端,则可直接接入NGN网络,如图4-1所示。
图4-1集团用户分组话音解决方案
通过增加IP话务台,结合软交换和话音终端即可构成IP Centrex ,它完全与PSTN Centrex兼容。与此同时,可通过IP城域网将IP Centrex业务扩展到远端分支办公室,分支办公室用户具有与总部话音业务相同的特性,如短号服务、总机服务、Centrex业务等,分支到总部的连接采用融合了话音和数据的VPN,可充分利用VPN来实现广域Centrex。IP Centrex的实现方式如图4-2所示。
图4-2 IP Centrex的实现方案
在公司总部和分支机构,所有的话音终端和话务台构成了总部的IP Centrex,这些终端可以具有IP Centrex特有的业务,如短号互拨等。
对于原来使用PBX的集团用户,NGN网络可继续利用这些设备,方法是增加一个功能类似分组话音网关的设备IAD,IAD、PBX之间通过模拟中继或数字中继连接,如图4-3所示。
图4-3 NGN 接入PBX的解决方案
下一代网络习题集 一、单项选择题 1.下一代网络是()驱动的网络。 A.业务B.技术C.承载D.用户 2.在技术上和业务上,语音网络与()的融合成为网络发展的必然趋势。 A.基础网络B.传输网络C.数据网络D.多媒体网络 3.NGN核心技术任然是分组语音及其()。 A.分组数据B.移动性管理C.服务质量D.控制信令 4.下一代网络是以软交换设备和()为核心的网络。 A.呼叫服务器B.呼叫代理C.媒体网关控制器D.应用服务器 5.软交换是网络演进以及下一代()的核心设备之一。 A、分组网络 B、电话网络 C、无线网络 D、光钎网络 6.软交换提供业务的主要方式是通过()以提供新的综合网络业务。 A、增加程控交换机软件 B、增加路由器软件 C、API和应用服务器 D、增加媒体网管软件 7.下一代网络的简称是()。 A、CNC B、NGN C、NGI D、CGN 8.从狭义来讲,NGN特指以()设备为控制中心,能够实现业务与控制、接入与承载相分离各功能部件之间采用标准的协议进行互通。 A、多业务传送平台 B、软交换 C、智能光网络 D、无源光网络 9.NGN的分层结构中,()层由各种媒体网关或智能终端设备组成,其功能是通过各种接入手段将各类用户连接至网络,并将用户信息格式转换成为能够在分组网络上传递的信息格式。 A、传输 B、控制 C、媒体接入 D、业务应用 10.NGN的()层是一个开放、综合的业务接入平台,在电信网络环境中,智能地接入各种业务,提供各种增值服务。 A、业务应用层 B、媒体接入 C、传送 D、控制 答案:1、A 2、C 3、D 4、D 5、A 6、C 7、B 8、B 9、C 10、A 二、多项选择题 1.下一代网络在功能上可分为()。 A.媒体接入层B.传输服务层C.控制层D.业务应用层 2.下一代网络的重要特点有()。 A.网络互连B.开放式体系架构C.业务驱动D.分组化的网络 3.软交换应可以支持()、提供命令行和图形界面两种方式对整机数据进行配置、提供数据升级功能等。 A.SNMP协议配置B.脱机/在线配置 C.远程配置D.提供数据备份功能 4.软交换应具备完善的告警系统,主要包括()。 A.系统资源告警B.各类媒体网关及连接状况告警 C.7号信令网关告警D.传输质量告警 5.下一代网络通过接入()等设备,可实现与PSTN、PLMN、IN、Intenet等网络的互通。 A、智能光网络 B、交换机 C、媒体网关 D、信令网关 E、中继媒体网关 答案:1、ABCD 2、BCD 3、ABCD 4、ABCD 5、CDE 三、判断题 1.软交换体系结构的最大优势在于将应用层和与核心网络完全分开。 2.软交换是下一代网络中业务支撑环境的主体。 3.开放性是软交换体系结构的一个主要特点。
下一代网络(NGN)技术简述 摘要:本文通过对下一代网络(NGN)进行了初步的介绍和分析,针对NGN的特点、优势和面临的问题做出了简单的总结 关键词:下一代网络系统架构优势问题 下一代网络(NGN)是一个基于IP的全新通信网络,可以承载语音、数据、多媒体等种类丰富的业务。它是建立在单一的包交换网络基础上,应用软交换技术、各种应用服务器及媒体网关技术建立起来的一种分布式的、电信级的、端到端的统一网络。NGN汇聚了固定、移动、宽带等多种网络,致力于和PSTN(公共交换网)及移动网的完美互通。同时,NGN提供了一个开放式的体系架构,便于新业务的快速开发和部署。 下一代网络(NGN)的基本思路是具有统一的IP通信协议和巨大的传输容量,能以最经济的成本灵活、可靠、持续地支持一切已有和将有的业务和信号。显然,这样的网络其基础物理层只能是波分复用(WDM)光传送网,这样才可能提供巨大的网络带宽,保证可持续发展的网络结构、容量和性能以及廉价的成本,支持当前和未来的任何业务和信号。 总体来说,广义上的下一代网络(NGN)是指以软交换为代表,IMS为核心框架,能够为公众灵活提供大规模视视频话音数据等多种通信业务,以分组交换为业务统一承载平台,传输层适应数据业务特征及带宽需求,与通信运营商相关,可运营、维护、管理的通信网络。
一.NGN主要特征 NGN的主要特点是能够为公众灵活、大规模地提供以视频业务为代表,包含话音业务、互联网业务在的各种丰富业务。当前所谓的电信网是为业务设计的,实质上是为网服务的。要适应NGN多业务、灵活开展业务的特征,必须要有新的网络结构来支持。一般来说,NGN主要有如下特征。 1.NGN是业务独立于承载的网络 传统网的业务网就是承载网,结果就是新业务很难开展。NGN允许业务和网络分别提供和独立发展,提供灵活有效的业务创建、业务应用和业务管理功能,支持不同带宽的、实时的或非实时的各种多媒体业务使用,使业务和应用的提供有较大的灵活性,从而满足用户不断增长的对新业务的需求,也使得网络具有可持续发展的能力和竞争力。 2.NGN采用分组交换作为统一的业务承载方式 传统的网采用电路(时隙)方式承载话音,虽然能有效传输话音,但是不能有效承载数据。NGN的网络结构对话音和数据采用基于分组的传输模式,采用统一的协议。NGN把传统的交换机的功能模块分离成为独立的网络部件,它们通过标准的开放接口进行互联,使原有的电信网络逐步走向开放,运营商可以根据业务的需要,自由组合各部分的功能产品来组建新网络。部件间协议接口的标准化可以实现各种异构网的互通。 3.NGN能够与现有网络如PSTN、ISDN和GSM等互通
网络安全解决方案 网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。 此处重点针对一些普遍性问题和所应采用的相应安全技术,主要包括:建立全面的网络防病毒体系;防火墙技术,控制访问权限,实现网络安全集中管理;应用入侵检测技术保护主机资源,防止内外网攻击;应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;应用网站实时监控与恢复系统,实现网站安全可靠的运行;应用网络安全紧急响应体系,防范安全突发事件。 1.应用防病毒技术,建立全面的网络防病毒体系 随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。 1)采用多层的病毒防卫体系。 网络系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC 机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。 考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。 2)选择合适的防病毒产品
珠海市网佳科技有限公司 网络安全整体解决方案
目录 第 1 章总体分析及需求 (33) 第 2 章总体设计 (44) 第 3 章防火墙方案 (44) 3.1 本方案的网络拓扑结构 (55) 3.2 本方案的优势: (66) 3.3本方案的产品特色 (77) 第 4 章内网行为管理方案 (88) 4.1 内网安全管理系统介绍 (88) 4.2内网管理系统主要功能 (99) 第 5 章报价单........................................... 错误!未定义书签。错误!未定义书签。
第 1 章总体分析及需求 珠海市网佳科技有限公司新办公大楼由五层办公区域组成,公司规模较大、部门较多,总PC 数量估计在200左右,其中公司财务部门需要相对的独立,以保证财务的绝对安全;对于普通员工,如何防止其利用公司网络处理私人事务,如何防止因个人误操作而引起整个公司网络的瘫痪,这些都是现在企业网络急待解决的问题。随着公司规模的不断壮大,逐渐形成了企业总部-各地分支机构-移动办公人员的新型互动运营模式,怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。同时,如何防止骇客攻击、病毒传播、蠕虫攻击、敏感信息泄露等都是需要考虑的问题,如: 第一、随着电脑数量的增加,如果网络不划分VLAN,所有的PC都在一个广播域内,万一网内有一台PC中了ARP,那么将影响到整个网络的稳定; 第二、各类服务器是企业重要数据所在,而服务器如果不采取一定的保护机制,则会经常遭受来自内外网病毒及其它黑客的攻击,导致服务器不能正常工作及信息泄露,经企业带来不可估量的损失; 第三、网络没有网管型的设备,无法对网络进行有效的控制,使网络管理员心有余力而力不从心,往往是事倍功半,如无法控制P2P软件下载而占用网络带宽;无法限制QQ、MSN、SKYPE等即时聊天软件;网管员无法对网络内的流量进行控制,造成网络资源的使用浪费; 第四、企业有分支机构、移动办公人员,无法与总部互动、访问总部K3、ERP等重要数据资源,从而不能及时获取办公所需数据。 综上分析,珠海市网佳科技有限公司按照企业目前网络情况,有针对性地实施网络安全方面的措施,为网络的正常运行及服务器数据的安全性做好前期工作。
物流管理101班第十三组 韦春兰、张焱义、陈亮 1、下一代互联网是做什么的? 答:简单来说,下一代互联网是指不同于现在互联网的新一代互联网。它将解决现有互联网I P地址不足的缺点。互联网是人类社会重要的信息基础设施,对经济社会发展和国家安全具有战略意义,与构建和谐社会、建设创新型国家和走新型工业化道路等重大战略的实施紧密相关。中国下一代互联网示范工程(CNGI)项目是由国家发展和改革委员会主导,中国工程院、科技部、教育部、中科院等八部委联合于2003年酝酿并启动的。下一轮互联网竞争,对中国来讲是一个绝好的发展机会。在下一代互联网的建设中,中国应利用自己的优势,把技术开发放在第一位,并尽快实现相关产品的产业化。 2、下一代互联网的基本构架。 答:基于层叠方法的新型体系结构。2003年英特尔研究院的研究人员提出了延迟容忍网络(D e l a y T o l e r a n t N e t w o r k,D T N)。这是一个建立在网络传输层上的层叠网,在网络协议中增加一个称为B u n d l i n g(绑定)的协议层,提供了编址、报文封装、路由、数据重传和流量控制等机制。延迟容忍网络采用“存储—转发”工作模式,将暂时无法端到端连接的报文存储在转发结点,待重建通信路径后,再将报文发送到下一跳,实现在网络拓扑断续频繁、传输延迟长、错误率高等条件下的可靠传输。此后,研究人员又针对断续拓扑的路由技术开展了相关研究,提出多种路由算法。随后人们又将这些算法引入到传感器网络和无线网络中。 研究人员认为通过在应用层构建层叠网,结合应用需求对网络实施控制,能够有效提高网络在故障条件下的持续服务能力。例如,2001年,麻省理工学院实验室的大卫·安德森(D a v i d A n d e r s e n)等人提出了弹性层叠网(R e s i l i e n t O v e r l a y N e t w o r k s),它是在现有互联网结构基础上建立的一种应用层层叠网络。弹性层叠网结点可以监控结点之间路径的质量,并根据这些信息决定是否直接利用互联网转发分组或者通过其它弹性层叠网结点转发分组。利用该网络的选路机制,可以为加入弹性层叠网的用户提供更有弹性和容错能力更强的互联网服务。实验测试表明弹性层叠网路由机制能够快速检测失效,发现路径并恢复路由。 3、下一代互联网的主要技术。 答:下一代互联网的技术要从离散走向统一;从一维走向三维;从窄带走向宽带;从固定走向无线;从.com时代走向.net时代;网络拓扑结构伸展的同时,巨大潜能将得到释放。 下一代互联网的关键技术有: IPv6:版本6的IP协议。 下一代互联网的安全技术:互联网的最大安全问题是结构安全和路由安全,其次是设备安全,再其次才是业务安全,但是所有的安全解决方案的目的都是保证业务的安全。 下一代互联网的服务质量技术:下一代互联网需要有可运营的QoS机制,这要求网络具备业务和质量保证和业务质量控制两方面的能力。而QoS业务相关的关键技术包括:质
网络安全解决方案概述 一、网络信息安全系统设计原则目前,对于新建网络或者已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 依照上述思想,网络信息安全系统应遵循如下设计原则 1、满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 2、需求、风险、代价平衡的原则对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 3、综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当
下一代通信网络技术 1、世界范围内电信业的发展期待振兴 目前,全世界电话用户大约22亿多,固定电话和移动电话各占一半,移动电话略多;因特网用户数(包括无线互联网用户数)5亿;预计,电话用户数发展速度:移动通信用户即将超过固定电话用户;预计互联网用户数在4-5年时间后,将超过固定电话用户数;历来,网络的发展对于运营商影响极大,因为运营商几乎所有的业务都是依靠网络进行的。这些影响是:原有网络能否满足用户的需要,是运营商能否取得稳定收入的决定性因素;新的网络的诞生,将从老的网络中抢走大量用户,使得运营商的利润大量转移。例如移动网络的诞生和发展,使得固话用户流失,收入下降。小灵通对于移动通信也有极大的影响,在老的网络上开展新的业务或者增值业务,将使得运营商增加大量的业务和利润。网络业务发展停滞,运营商就将“下课”。 2、最近的两个动向: (1)美国宽带发展提速: 2002年,美国宽带用户增加了640万户,达到1740万户.其中仅Comcast 公司cable modem 用户就增加了120万户;预测至2005年,宽带用户将超过窄带用户,至2007年,宽带用户将达到4900万户。图1 : 图1 美国宽带发展提速 (2)光纤到户(FTTH )启动,美、日走向实用 目前的最新进展,表明,网络的干线在向全光网络发展,接入网则向光纤到家庭(FTTH )发展。图2 : 美国宽带用户增长率预测 2002年新增电缆用户数
图2 FTTH-EPON实验网 光器件价格不断下降,使FTTH如约到来: 据介绍,今年以来,FTTH用的激光器和收发器价格, VCSEL(850nm) 3-5US$/只, 收发器(850nm)40US$/只, 用户对于FTTH的承受能力:估记在300US$,(据了解,目前中国电信ADSL的建设费用约180US$。) 根据资料介绍,美国和日本的FTTH最近有较大的发展: *美国加快光纤到户的部署 据FTTH协会估计,美国已经有20个州的70个社区,72000个用户铺设了光纤到户的网络,可以为用户提供话音、视频和互联网服务;预计到2004年传统运营商将开始全面铺设和提供FTTH服务。据分析和预测,至今年年底,美国的FTTH用户可达31.5万户,2004年底可达80万户;图3 :
中小企业网络安全整体解决方案 一、现状分析 中小企业用户的局域网一般来说网络结构不太复杂,主机数量不太多,服务器提供的服务相对较少。这样的网络通常很少甚至没有专门的管理员来维护网络的安全。这就给黑客和非法访问提供了可乘之机。这样的网络使用环境一般存在下列安全隐患和需求: 计算机病毒在企业内部网络传播。造成网络速度慢,电脑程序运行速度慢,CPU使用率高等,直接影响工作。 内部网络可能被外部黑客的攻击。 对外的服务器(如:等)没有安全防护,容易被黑客攻击。 内部网络用户上网行为没有有效监控管理,影响日常工作效率,容易形成内部网络的安全隐患。远程、移动用户对公司内部网络的安全访问。 造成网络速度慢、电脑程序运行速度慢、CPU使用率高、上网时会自动打开网页等,严重影响工作。 二、解决方案及维护方案 众频公司针对中小企业的上述特点,为中小企业量身定制一种安全高效的网络安全解决方案及维护方案。 1、解决方案 A、对用户的所有电脑的重要数据进行备份并重装系统,并对单击进行全盘查杀病毒,确保单击不带任何病毒和重要数据丢失。 B、对用户的网络进行重新检查和连接,使网络不存任何回路,彻底避免电脑因网络回路而产生的网速慢。 C、为用户架起硬件防火墙及杀毒软件,使电脑和网络得到保护。 2、维护方案 在完成了解决方案中所说得操作后,贵公司的电脑网络应该已经恢复正常了,但因企业内部员工对使用电脑的安全意识并不是全都很高,为避免日后会出现同样的问题,我们将为您提供更全面的维护(详见我司的IT维护方案) 三、选用产品 美国飞塔FG-50A 瑞星2008版杀毒软件(含软件防火墙) 四、产品介绍 硬件防火墙(美国飞塔FG-50A) VPN防火墙、防毒墙,最大吞吐量:50M,2个10/100M以太网端口,安全过滤带宽:10M,用户限制:无用户限制,CPU:ST486-133 内存:64M。 防火墙性能:通过联合反病毒、WEB及邮件内容过滤、基于网络入侵检测、阻断和硫量等功能全面实时网络保护。 瑞星杀毒软件 即时升级 升级:300多台高性能刀片机型服务器,7x24小时全天候监控 支持每天高达2亿次升级请求 第3方CDN加速服务,200多个下载节点遍布全国,无论身在何处,升级一样迅速
xx校园网网络安全解决方案1 xx校园网网络安全解决方案 校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。 一、网络信息安全系统设计原则 1.1满足Internet分级管理需求 1.2需求、风险、代价平衡的原则 1.3综合性、整体性原则 1.4可用性原则 1.5分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。 --第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 --第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 --第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
文档信息 文档说明 本文档是某某科技(北京)有限公司(以下简称某某)就某某住房公积金管理中心网络安全建设项目制作的建议解决方案,仅供项目相关人员参考。文中的资料、说明等相关内容归某某所有。本文中的任何部分未经某某许可,不得转印、影印或复印。 版本变更记录
目录 一.方案概述 (5) 二.方案设计原则及建设目标 (6) 2.1方案设计原则 (6) 2.2建设目标 (6) 三.安全风险分析 (7) 3.1安全风险分析方法 (7) 3.2网络层安全风险 (8) 3.2.1网络设备存在的安全风险 (8) 3.2.2网络服务器的风险 (9) 3.2.3网络访问的合理性 (10) 3.2.4TCP/IP协议的弱点 (10) 3.2.5信息的存储安全 (11) 3.2.6数据传输的安全性 (11) 3.3系统层安全风险分析 (12) 3.3.1Windows系统 (12) 3.3.2Unix系统 (13) 3.4应用层安全风险分析 (13) 3.4.1Web服务器安全风险 (14) 3.4.2文件服务器安全风险 (14) 3.4.3业务应用系统安全风险 (15) 3.4.4数据库安全风险 (15) 3.5管理层安全风险分析 (15) 四.安全需求分析 (17)
4.1.1访问控制技术 (17) 4.1.2物理隔离技术 (18) 4.2系统层安全建设 (18) 4.2.1服务器安全加固技术 (18) 4.2.2终端桌面安全管理技术 (18) 4.3应用层安全建设 (19) 4.3.1网络防病毒技术 (19) 4.3.2入侵防御技术 (21) 4.3.3网络入侵检测技术 (21) 4.3.4数据传输加密及远程安全接入技术 (22) 4.3.5WEB应用安全防护技术 (23) 4.3.6核心业务数据库审计技术 (23) 4.4管理层安全建设 (24) 4.4.1网络安全集中管理需求 (24) 五.方案设计 (26) 5.1整体解决方案阐述 (26) 5.2网络层安全 (27) 5.2.1安全域划分 (27) 5.2.2网络边界访问控制 (27) 5.2.3物理隔离网闸 (37) 5.3系统层安全 (44) 5.3.1服务器安全加固 (44) 5.3.2终端安全管理 (51) 5.4应用层安全 (59) 5.4.1网络边界防病毒 (59) 5.4.2核心业务入侵防御 (63)
下一代互联网的现状与 发展 文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
中国下一代互联网的现状与发展 2010-4-7 0引言 20世纪90年代中期,鉴于互联网的引擎作用,美国政府从国家层面重视下一代互联网的研究。1996年,美国国家科学基金会设立了下一代互联网(next generation internet,NGI)研究计划。同时,美国34所学校发起了下一代互联网Internet2的项目。随后,欧洲、日本等也迅速推出了自己的下一代互联网计划。 目前,世界上着名的下一代互联网计划(组织)及其试验网主要包括:美国的Internet2计划的主干网Abilene、第二代欧盟学术网的主干网GEANT2、亚太地区先进网络APAN及其主干网、跨欧亚高速网络TEIN2及其主干网、中国的CNGI及其主干网、日本的第二代学术网SUPERSINET和加拿大新一代学术网CA*net4等。 1新一代互联网呼之欲出 现在我们用的Internet协议,也就是通常说的IPv4,采用32位地址长度,其地址空间大约有43亿个,全世界每个人分一个地址都不够,同时还有组播地址、试验地址等不能用。预计在2012年前后,将不能够再申请到可以全球路由的IPv4地址。在中国,互联网用户数是亿,虽然只占人口总数的27%,但是目前正在大力推行的物联网、云计算、3G多媒体通信和三网融合等都将大量地使用IP地址。因此,IPv4地址耗尽的问题对中国的互联网来说,更是严峻的挑战。 随着互联网规模的不断扩大,路由表容量增长非常迅速,目前互联网的路由表条目已达30万条,庞大的路由表对路由系统造成了巨大负担。目前的互联网还存在严重的安全问题,虽然现在已经出台了许多有关安全性方面的解决方案,但由于TCP/IP协议本身存在安全漏洞,因此这些方案大都治标不治本。
《安全系统整体解决方案设计》
第一章企业网络的现状描述 (3) 1.1企业网络的现状描述 (3) 第二章企业网络的漏洞分析 (4) 2.1物理安全 (4) 2.2主机安全 (4) 2.3外部安全 (4) 2.4内部安全 (5) 2.5内部网络之间、内外网络之间的连接安全 (5) 第三章企业网络安全整体解决方案设计 (5) 3.1企业网络的设计目标 (5) 3.2企业网络的设计原则 (6) 3.3物理安全解决方案 (6) 3.4主机安全解决方案 (7) 3.5网络安全解决方案 (7) 第四章方案的验证及调试 (8) 第五章总结 (9) 参考资料 ...................................................... 错误!未定义书签。
企业网络整体解决方案设计 第一章企业网络的现状描述 1.1企业网络的现状描述 网络拓扑图 以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。 以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造
成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。 安全的漏洞往往存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。 第二章企业网络的漏洞分析 2.1 物理安全 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃,破坏活动的发生,这些风险是可以避免的。 2.2 主机安全 对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 与日常生活当中一样,企业主机也存在着各种各样的安全问题。使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。同时,企业主机也会受到来自病毒,黑客等的袭击,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。 2.3外部安全 拒绝服务攻击。值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。 外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。
下一代互联网体系结构研究现状和发展趋势 互联网已成为支撑现代社会发展及技术进步的重要的基础设施之一。深刻地改变着人们的生产、生活和学习方式,成为支撑现代社会经济发展、社会进步和科技创新的最重要的基础设施。互联网及其应用水平已经成为衡量一个国家基本国力和经济竞争力的重要标志之一。随着超高速光通信、无线移动通信、高性能低成本计算和软件等技术的迅速发展,以及互联网创新应用的不断涌现,人们对互联网的规模、功能和性能等方面的需求越来越高。三十多年前发明的以I Pv4协议为核心技术的互联网面临着越来越严重的技术挑战,主要包括:网络地址不足,难以更大规模扩展;网络安全漏洞多,可信度不高;网络服务质量控制能力弱,不能保障高质量的网络服务;网络带宽和性能不能满足用户的需求;传统无线移动通信与互联网属于不同技术体制,难以实现高效的移动互联网等等。 为了应对这些技术挑战,美国等发达国家从20世纪90年代中期就先后开始下一代互联网研究。中国科技人员于20世纪90年代后期开始下一代互联网研究。目前,虽然基于IPv6协议的新一代互联网络的轮廓已经逐渐清晰,许多厂商已开始提供成熟的IPv6互联设备,大规模IPv6网络也正在建设并在迅速发展。但是互联网络面临的基础理论问题并不会随着IPv6网络的应用而自然得到解决,相反,随着信息社会和正在逐渐形成的全球化知识经济形态对互联网络不断提出新的要求,更需要人们对现有的互联网络体系结构的基础理论进行新的思考和研究。近年来国际上已经形成了两种发展下一代互联网的技术路线:一种是“演进性”路线,即在现有IPv4协议的互联网上不断“改良”和“完善” 网络,最终平滑过渡到IPv6的互联网;另一种是“革命性”路线,以美国FIND/GENI项目为代表,即重新设计全新的互联网体系结构,满足未来互联网的发展需要。 本文首先介绍国际下一代互联网体系结构的研究现状,涉及美国和欧洲的GENI [1]、FIND[2]、FIRE[3]以及FIA等计划。然后介绍中国下一代互联网体系结构的研究进展,涉及国家重点基础研究发展(“973”)计划、国家高技术研究发展(“863”)计划和中国下一代互联网(CNGI)等项目的研究。在此基础上,本文分析展望未来下一代互联网体系结构研究的发展趋势。 1 国际下一代互联网体系结构研究现状 国际上各个国家的下一代互联网研究计划不断启动、实施和重组,其研究和实验正在不断深入。从国家地域方面看,美国、欧洲、日、韩都有其各自的计划和举措;从研究内容方面看,有的关注网络基础设施和试验平台的建立,有的关注体系结构理论的创新;从技术路线上看,有的遵从“演进性”的路线,有的遵从“革命性”的路线。 1996年10月,美国政府宣布启动“下一代互联网”研究计划。陆续地,一些全球下一代互联网项目分别启动。全球下一代互联网试验网的主干网逐渐形成,规模不断扩大,
网络信息安全整体解决方案 随着信息化进程的不断加速,来自快速增长的网络威胁无疑成为了企业信息安全的巨大隐患。由于企业自身业务的需要及网络的庞大复杂性,由网络攻击、黑客入侵、病毒传播等造成的网络堵塞、系统崩溃、数据损毁、机密外泄等事件,对企业来说极易产生灾难性的后果。企业内部网络一般存在如下需求: 抵御内外部网络的计算机病毒 防止非法访问造成的信息泄密 确保各个分支机构的通讯安全 企业整体的网络安全成本控制 防范来自外部网络的攻击和入侵 防止由内部人员引起的内部威胁 杜绝垃圾邮件对网络资源的占用 保护内部重要的服务器及网络资源 针对这种安全需求,金山做出典型的网络安全整体解决方案: 从网络的边界防护到网络中的分布式防护,金山信息安全产品为企业级网络层层设防把关,不仅能够有效防御来自网络之外的安全威胁,亦能有效遏制网络内部威胁,做到安全管理内外兼备。 网内防护 金山毒霸网络版 金山毒霸网络版采用了业界主流的B/S开发模式,由管理中心、系统中心、升级服务、服务防毒模块、客户机防毒模块共同组成全网反病毒体系。能够有效拦截和清除目前泛滥的各种网络病毒,并提供强大的管理功能和全网漏洞统一扫描修复功能,真正使企业反病毒工作变的轻松高效: 您可以在总部的IT中心实现对总部、分支部门、派出机构、办事处等网络的反病毒集中统一管理 基于WEB的控制台将使您在任何一台联网的终端实施全局操控,真正实现了管理“无处不在” 快速智能的升级体系将自动更新您的反病毒体系,多种安装部署方式能够最大限度贴和网络需求 结合反黑的“全网漏洞扫描”使您能够彻底杜绝利用漏洞传播和攻击的病毒威胁。强大的病毒防杀能力和可靠的实时检测将成为安全的坚实后盾 多途径报警将使您能在第一时间获取病毒疫情报告,快速制定应对策略 金山毒霸中小企业版 金山毒霸中小企业版是一套专为中小型企业级网络环境设计的反病毒解决方案,它采用业界主流的B/S开发模式,由系统中心(拥有基于Web的控制台)、客户端、服务器端形成了全网反病毒体系,能够为企事业单位网络范围内的桌面系统和网络服务器提供可伸缩、跨平台的全面病毒防护: 金山毒霸中小企业版率先推出采用了全网智能漏洞修复技术,它支持管理员通过控制台统一扫描网络内计算机的各种安全漏洞,并作针对性修复。整个修复过程对普通用户完全透明,且不会因用户登录权限而受到限制。 率先实现的全天候全网主动实时功能让安全永远领先一步
要求有具体的问题,比如,信息系统安全(硬件,场地,软件,病毒,木马,),网络安全(网络入侵,服务器/客户端的连通性,vpn的安全问题),人员安全(身份识别,分权访 问,人员管理),电子商务安全(密钥,PKI),或者其它! 【为保护隐私,公司原名用XX代替。 内容涉及企业网络安全防护,入侵检测,VPN加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合解决方案设计 一.引言 随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢? 二.XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁
中国下一代互联网的现状与发展2010-4-7 0引言 20世纪90年代中期,鉴于互联网的引擎作用,美国政府从国家层面重视下一代互联网的研究。1996年,美国国家科学基金会设置了下一代互联网(next generation internet,NGI)研究打算。同时,美国34所学校发起了下一代互联网Internet2的项目。随后,欧洲、日本等也迅速推出了自己的下一代互联网打算。 目前,世界上闻名的下一代互联网打算(组织)及其试验网要紧包括:美国的Internet2打算的主干网Abilene、第二代欧盟学术网的主干网GEANT2、亚太地区先进网络APAN及其主干网、跨欧亚高速网络TEIN2及其主干网、中国的CNGI及其主干网、日本的第二代学术网SUPERSINE T和加拿大新一代学术网CA*net4等。 1新一代互联网呼之欲出 现在我们用的Internet协议,也确实是通常讲的IPv4,采纳32位地址长度,其地址空间大约有43亿个,全世界每个人分一个地址都不够,同时还有组播地址、试验地址等不能用。估量在2012年前后,将不能够再申请到能够全球路由的IPv4地址。在中国,互联网用户数是3.6亿,尽管只占人口总数的27%,然而目前正在大力推行的物联网、云运算、3G多媒体通信和三网融合等都将大量地使用IP地址。因此,IPv4地址耗尽的咨询题对中国的互联网来讲,更是严肃的挑战。 随着互联网规模的持续扩大,路由表容量增长专门迅速,目前互联网的路由表条目已达30万条,庞大的路由表对路由系统造成了庞大负担。目前的互联网还存在严峻的安全咨询题,尽管现在差不多出台了许多有关
安全性方面的解决方案,但由于TCP/IP协议本身存在安全漏洞,因此这些方案大都治标不治本。 IPv6采纳128位地址长度,几乎能够不受限制地提供地址,能够形象地讲,地球上每一粒沙子都能获得一个IPv6地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺咨询题以外,还考虑了在lPv4中解决不行的其它咨询题。IPv6的要紧优势体现在以下几方面:扩大地址空间,提升网络的整体吞吐量,改善服务质量(QoS),安全性有更好的保证,支持即插即用,能更好地实现多播功能。 互联网立即进入IPv4和IPv6共存的时期,而IPv6的部署规模将更大。尽管IPv6并不等同于下一代互联网,但下一代互联网必定选择IPv6。国际互联网普遍认同的是,互联网的核心咨询题是目前的IP地址、前缀、路由的增长态势在专门长一段时期内可不能改变,而且用IPv6取代IPv4 是坚持当前增长趋势,或者制造一种全新的可连续增长方式的惟一途径。 2中国下一代互联网的进展过程 中国从1996年起就开始跟踪和探究下一代互联网的进展;1998年,CERNET(中国教育和科研运算机网)采纳隧道技术组建了我国第一个连接国内八大都市的IPv6试验床,获得中国第一批IPv6地址;1999年,与国际上的下一代互联网实现连接;2001年,以CERNET为主承担建设了中国第一个下一代互联网北京地区试验网NSFCNET;2001年3月,首次实现了与国际下一代互联网络Internet2的互联。不难看出,中国在短短几年的时刻里,拉近了与美国、欧洲等西方发达国家和地区在互联网研究与建设方面的距离。中国在短期内启动了多项下一代互联网(NGI)的试验,其中阻碍最大的是中国下一代互联网示范工程(CNGI)。
中国下一代互联网的现状与发展 ——信管1101班:汤炜 前言:20世纪90年代中期,鉴于互联网的引擎作用,美国政府从国家层面重视下一代互联网的研究。1996年,美国国家科学基金会设立了下一代互联网(next generation internet,NGI)研究计划。同时,美国34所学校发起了下一代互联网Internet2的项目。随后,欧洲、日本等也迅速推出了自己的下一代互联网计划。 目前,世界上著名的下一代互联网计划(组织)及其试验网主要包括:美国的Internet2计划的主干网Abilene、第二代欧盟学术网的主干网GEANT2、亚太地区先进网络APAN及其主干网、跨欧亚高速网络TEIN2及其主干网、中国的CNGI及其主干网、日本的第二代学术网SUPERSINET和加拿大新一代学术网CA*net4等。 一、下一代互联网的出现背景: 我们过去用的Internet协议,也就是通常说的IPv4,采用32位地址长度,其地址空间大约有43亿个,全世界每个人分一个地址都不够,同时还有组播地址、试验地址等不能用。随着用户数增加将不能够再申请到可以全球路由的IPv4地址。在中国,互联网用户数超5.5亿,虽然只占人口总数的34%,但是目前正在大力推行的物联网、云计算、3G多媒体通信和三网融合等都将大量地使用IP地址。因此,IPv4地址耗尽的问题对中国的互联网来说,更是严峻的挑战。 随着互联网规模的不断扩大,路由表容量增长非常迅速,目前互联网的路由表条目已达30万条,庞大的路由表对路由系统造成了巨大负担。目前的互联网还存在严重的安全问题,虽然现在已经出台了许多有关安全性方面的解决方案,但由于TCP/IP协议本身存在安全漏洞,因此这些方案大都治标不治本。 IPv6采用128位地址长度,几乎可以不受限制地提供地址,可以形象地说,地球上每一粒沙子都能获得一个IPv6地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在lPv4中解决不好的其它问题。IPv6的主要优势体现在以下几方面:扩大地址空间,提高网络的整体吞吐量,改善服务质量(QoS),安全性有更好的保证,支持即插即用,能更好地实现多播功能。 互联网即将进入IPv4和IPv6共存的阶段,而IPv6的部署规模将更大。虽然IPv6并不等同于下一代互联网,但下一代互联网必然选择IPv6。国际互联网普遍认同的是,互联网的核心问题是目前的IP地址、前缀、路由的增长态势在很长一段时期内不会改变,而且用IPv6取代IPv4是维持当前增长趋势,或者创造一种全新的可持续增长方式的惟一途径。 二、中国下一代互联网的发展历程