下载文档原格式
2014春《信息系统安全》作业1.针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是(D )防火墙的特点。
A.包过滤型B.应用级网关型C.复合型防火墙D.代理服务型2.强的主机级身份鉴别,基于共享密钥,公钥的身份鉴别,以及有限的用户身份鉴别的VPN协议是(D )。
A.PPTPB.L2TPC.GRED.IPSec3.防火墙能够B。
A.防范恶意的知情者B.防范通过它的恶意连接C.防备新的网络安全问题D.完全防止传送己被病毒感染的软件和文件4.信息安全的发展大致经历了三个发展阶段,目前是处于( B )阶段。
A.通信安全B.信息保障C.计算机安全D.网络安全5.哪一种系统提供信息或者功能的重建机制(C )。
A.备份B.保密性C.故障还原D.认证6.下列密码系统分类不正确的是(D )。
A.非对称型密码体制和对称型密码体制B.单向函数密码体制和双向函数密码体制C.分组密码体制和序列密码体制D.不可逆密码体制和双钥密码体制7.身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和(B )。
A.可信性B.访问控制C.完整性D.保密性8.对于现代密码破解,(D )是最常用的方法。
A.攻破算法B.监听截获C.心理猜测D.暴力破解9.数字信封是用来解决( C )。
A.公钥分发问题B.私钥分发问题C.对称密钥分发问题D.时间戳10.第10题目前最安全的身份认证机制是(A )。
A.一次口令机制B.双因素法C.基于智能卡的用户身份认证D.身份认证的单因素法11.通常使用(D )协议用来接收E-MAIL。
A.IGMPB.ICMPC.SNMPD.POP12.一个数据包过滤系统被设计成允许你要求服务的数据包进入,而过滤掉不必要的服务。
这属于( A )基本原则。
A.最小特权B.阻塞点C.失效保护状态D.防御多样化13.审核之所以重要是因为( B ) 。
A.它们提高生产率B.它们提供过去事件的记录C.它们不受未授权修改的破坏D.它们清除机构的所有职责14.物理安全控制、文件访问控制和文件加密与(B )相关联。
运营与应用DOI:10.3969/j.issn.1006-6403.2023.04.002新基建要求下的运营商“空天地一体”广域云网产品设计与实践[安万里 黄卓君]云计算服务经历了从单一公有云、单一私有云到混合单云(单公+单私),再到混合多云(多公+多私)的形态演进。
混合多云当前已经成为大多数政企客户首选的云计算部署策略,而具备一点接入、云网通达能力的专网服务也相继成为政企客户选择云服务时重点关注的指标。
在运营商云网融合战略的基础上,提出了覆盖空天地一体及云、网、边、安的端到端政企专网业务构建方案,依托骨干IP 网络、5G 、卫星、异构多云资源池、云网操作系统、SDN 控制器,开发了提供点对点专线、单点入云、多点组网入云等功能场景于一体的复合型云网融合产品。
安万里硕士研究生,高级工程师,中国电信集团有限公司,主要研究方向为面向云网融合新型信息基础设施的政企产品体系构建。
黄卓君广州中山大学通信与信息系统专业硕士研究生,现工作于中国电信股份有限公司广州研究院,主要研究方向为电信IP 承载与接入网络。
关键词:云网融合 空天地一体 专网 SDN 多云摘要1 引言随着以5G 、AI 、云计算为代表的新一代信息技术逐渐发展成熟,党和国家高度重视新型信息基础设施建设,2021年10月18日下午中央政治局就推动我国数字经济健康发展进行第三十四次集体学习,习近平总书记在主持学习时强调,要加快新型基础设施建设,加强战略布局,加快建设高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的智能化综合性数字信息基础设施,打通经济社会发展的信息“大动脉”。
运营商作为网络强国建设的主力军,凭借自身网络基础覆盖好、IDC 资源布局广泛、云网融合一体化等特点,在提供云网基础设施服务方面具有得天独厚的优势,必将担起新基建的责任重担,同时其以国家队的角色提供的“网随云动、云网一体”的云网融合服务更值得其他云服务商及最终客户的信赖。
28Internet Technology互联网+技术一、背景介绍随着时代不断发展,新技术的不断革新,当前大数据、云计算、分布式集群已经成为运营商和诸多互联网公司建设IT 的一个新趋势,而分布式、虚拟化技术在各应用系统中得到了广泛的应用,然而应用需要分部式的部署在不同的网络环境上,使得虚拟机和物理机可以在网络中的任何节点进行随意的迁移,并且要求在迁移前后IP、网关等信息保持不改变,以保障业务的继续性。
这就要求虚拟机在迁移的前后必需处在同一个网段,这给传统的数据中心网络架构带来了新的挑战。
本文总结和分析了目前大二层网络涉及的技术和设计方案,并结合现网及业务需求的实际情况,将优化后的方案部署到支撑网数据中心的网络中。
二、传统数据中心网络架构传统的数据中心网络架构分为三层,第一层为接入层,负责主机、服务器的网络接入;第二层为汇聚层,负责接入层网络的汇聚,它可以实现安全接入、策略管理、地址过滤等功能;第三层为核心层,负责整个骨干网络的路由转发,实现数据交互等功能。
三、新数据中心的网络架构由于服务器虚拟化之后,随之产生的动态迁移技术给传统的三层网络架构带来了很大的麻烦和挑战,虚拟机的动态迁移,物理机的跨机房搬迁、数据库远程RAC 的部署都有分布在不同数据中心的网络需要处于一个二层网络的需求,使得原有的网络架构必须做出改变。
为了满足服务器虚拟化、搬迁和数据库远程RAC 等业务的部署要求,数据中心的L2/L3层网络分界应该从汇聚层上移至核心层,核心路由器以下都是L2层网络,这个L2层网络可以包含多个VLAN,跨越多基于支撑网双活数据中心大二层网络架构的研究与实践邓伟伟(1983.11-),男,壮族,广西武鸣,本科,工程师,研究方向:网络通信、信息安全。
摘要:随着BOSS/CRM 业务的快速发展以及虚拟化技术的成熟,服务器虚拟化、虚拟机动态迁移、数据库远程RAC 等需求也随之诞生,相同业务的不同物理机/虚拟机在不同网络中的部署、迁移以及跨数据中心的数据库集群建设,都使得传统的网络架构已无法满足现有业务需求,新的大二层网络由此应运而生。
信息安全本身包括的围很大。
大到国家军事政治等安全,小到如防商业企业泄露、防青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。
信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
(分为难、中、易)单选题1.下面关于系统更新说确的是( A )易A.系统需要更新是因为操作系统存在着漏洞B.系统更新后,可以不再受病毒的攻击C.系统更新只能从微软下载补丁包D.所有的更新应及时下载安装,否则系统会立即崩溃2.信息安全需求不包括( D )易A.性、完整性B.可用性、可控性C.不可否认性D.语义正确性3.下面属于被动攻击的手段是( C )难A.假冒B.修改信息C.窃听D.拒绝服务4.我国信息系统安全等级保护共分为几级(D)易A.二级B.三级C.四级D.五级5.为了避免第三方偷看WWW浏览器与服务器交互的敏感信息,通常需要(A)易A.采用SSL技术B.在浏览器中加载数字证书C.采用数字签名技术D.将服务器放入可信站点区6.关于安全套结层协议的描述中,错误的是(D)难A.可保护传输层的安全B.可提供数据加密服务C.可提供消息完整性服务D.可提供数据源认证服务7.关于RSA密码体制特点的描述中,错误的是(B)难A.基于大整数因子分解的问题B.加密速度很快C.是一种公钥密码体制D.常用于数字签名和认证8.对称加密技术的安全性取决于(C)中A.密文的性B.解密算法的性C.密钥的性D.加密算法的性9.信息安全风险主要有哪些(D)中A.信息存储风险B.信息传输风险C.信息访问风险D.以上都正确10.(C)协议主要用于加密机制。
中 Telnet是进行远程登录标准协议A.HTTPB.FTPC.TELNETD.SSL11.为了防御网络监听,最常用的方法是(A)。
《⽹络互联技术》选择题参考答案⼀、单选题1、BGP是在( D )之间传播路由的协议A、主机B、⼦⽹C、区域(area)D、⾃治系统(AS)2、要实现的最重要的访问策略是( B )A、对⽹络设备的管理访问B、⽤户对⽹络的访问C、⼴播的路由D、⽤户对⽹络上服务的访问3、关于⽮量距离算法以下那些说法是错误的( A )A、⽮量距离算法不会产⽣路由环路问题B、⽮量距离算法是靠传递路由信息来实现的C、路由信息的⽮量表⽰法是(⽬标⽹络,metric)D、使⽤⽮量距离算法的协议只从⾃⼰的邻居获得信息4、通过局域⽹交换技术建⽴虚电路,可以导致( B )A、增加冲突B、减少可⽤带宽C、增加⼴播D、增加可⽤带宽5、如果⼀个内部⽹络对外的出⼝只有⼀个,那么最好配置( A )A、缺省路由B、主机路由C、动态路由D、不⽤配置6、GBIC最长⽤来表⽰( B )A、千兆接⼝控制器B、千兆接⼝转换器C、千兆⼆进制接⼝控制器D、千兆⼆进制接⼝转换器7、10Base2中有多少双向通信信道( B )D、108、⼀个10 BaseFx链路需要多少光纤信道( B )A、1B、2C、4D、109、在RIP协议中,计算metric值的参数是( D )A、 MTUB、时延C、带宽D、路由跳数10、Ping向⽤户提供以下哪些信息(C )A、从Ping设备发送出去的分组数B、成功ping请求/应答的平均往返时间C、a和bD、以上都不是11、以太⽹⾃动协商功能能设置100BaseT链路的(D )A、只有端⼝速度B、只有双⼯模式C、端⼝速度和双⼯模式D、端⼝速度、双⼯模式以及分组速率12、访问链路可以处理从( D )个VLAN来的VLAN流量。
A、0B、1C、 16D、102413、对于ISL,下⾯哪个是正确的( A )?A、ISL⽤在访问链路上B、ISL⽤在不同⼚商的交换机间C、ISL能产⽣⾮法的以太⽹帧D、ISL指交换机间的任何链路14、Cisco的PVST⽀持( B )个⽣成树。
网络安全设备异构要求网络安全设备异构要求网络安全设备异构是指通过使用多种不同品牌、不同功能、不同性能的网络安全设备来构建一个复合型、多层次的网络安全系统。
这种异构设备的部署和运行,有助于提高网络安全性,防范多种网络威胁,并能够更好的适应网络犯罪活动持续性的特点。
网络安全设备异构要求主要包括以下几个方面:1. 多重防护层次:在异构设备的部署中,应该充分利用各种不同功能和特点的设备,建立多重防护层次。
例如,可以使用防火墙、入侵检测系统(IDS)、入侵预防系统(IPS)、反病毒网关、数据包过滤等不同类型的设备,并通过合理的配置和配合工作,构建全面、多层次的网络安全防护体系。
2. 支持协作与整合:网络安全设备异构应具备互相协作和整合的能力。
不同品牌、型号的设备之间应具备互通互联的功能,能够共享信息、协同工作,增强整个网络安全系统的可靠性和有效性。
例如,可以实现入侵检测系统与防火墙之间的信息共享,及时将入侵行为信息传递给防火墙,加强对恶意攻击的阻断。
3. 强化事件管理与响应能力:网络安全设备异构要求能够强化对网络事件的管理与响应能力。
通过不同设备之间的协同工作和信息共享,可以实现网络事件的全面感知、追踪和分析,及时发现和判别异常事件,并进行快速响应和处置。
例如,在入侵检测系统发现网络攻击行为后,应能够自动启动防火墙的反制措施,及时阻止攻击的扩散。
4. 多元化技术与策略:网络安全设备异构要求不同设备具备多种技术和策略。
只有充分利用各个设备的技术和策略,才能更全面、更有效地进行网络安全防护。
例如,可以使用黑白名单技术、基于规则的访问控制、恶意代码识别、虚拟专网(VPN)等多种技术和方法,形成一张织密的网络安全防护网。
5. 定期更新与升级:网络安全设备异构要求定期更新和升级设备的软件和固件。
网络威胁和攻击方式多种多样,网络安全设备只有保持与时俱进,才能更好地适应和防御网络安全威胁。
定期更新和升级可以获取最新的威胁情报、修复漏洞和增强设备的功能和性能。
信息技术系统间远程通信和信息交换时间敏感网络与无线网络互联第1部分:体系结构与接口要求1范围本文件确立了时间敏感网络与无线网络互联的体系结构,规定了接口要求和交互流程。
本文件适用于时间敏感网络与无线网络互联的设计、部署、应用及相关产品研发。
2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。
其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T42126.1-2022基于蜂窝网络的工业无线通信规范第1部分通用技术要求GB/T42586-2023信息技术系统间远程通信和信息交换时间敏感网络应用配置3术语和定义下列术语和定义适用于本文件。
3.1时间敏感网络time sensitive networking基于IEEE802.1TSN任务组制定的一整套数据链路层协议规范构建的支持时间同步、确定性调度等机制、提供可靠的、低延迟及确定性数据传输能力的以太网。
3.2蜂窝网络cellular network将服务区分成许多小区(采用蜂窝结构组网),其中每个小区分配一组或若干组频率的通信网络。
[来源:GB/T42126.1-2022]4缩略语下列缩略语适用于本文件。
5G:第五代移动通信网络(5th Generation Mobile Communication Networking)6TiSCH:互联网协议第六版融合时隙信道跳频模式下的IEEE802.15.4e(IPv6over the TSCH Mode of IEEE802.15.4e)AF:应用功能(Application Function)AMF:接入和移动管理功能(Access and Mobility Management Function)CNC:集中式网络配置器(Centralized Network Configuration)DS-TT:设备侧TSN转换器(Device-Side TSN Translator)NW-TT:网络侧TSN转换器(Network-Side TSN Translator)PDU:协议数据单元(Protocol Data Unit)QoS:服务质量(Quality of Service)SDN:软件定义网络(SoftwareDefined Network)SDNC:软件定义网络集中控制器(SDN Controller)SMF:会话管理功能(Session Management Function)TSN:时间敏感网络(TimeSensitive Networking)UE:用户设备(User Equipment)UPF:用户平面功能(User Plane Function)WIA-PA:用于工业自动化过程自动化的无线网络(Wireless Networks for Industrial Automation Process Automation)WIA-FA:用于工业自动化工厂自动化的无线网络(Wireless Networks for Industrial Automation Factory Automation)(R)AN:无线电接入网((Radio)Access Network)5概述本文件所述无线网络包括但不限于5G、6TiSCH网络、WIA-PA网络以及WIA-FA网络等。
基于复合跨模态交互网络的时序多模态情感分析杨力;钟俊弘;张赟;宋欣渝【期刊名称】《计算机科学与探索》【年(卷),期】2024(18)5【摘要】针对多模态情感分析中存在的不同模态间语义特征差异性导致模态融合不充分、交互性弱等问题,通过研究分析不同模态之间存在的潜在关联性,搭建一种基于复合跨模态交互网络的时序多模态情感分析(CCIN-SA)模型。
该模型首先使用双向门控循环单元和多头注意力机制提取具有上下文语义信息的文本、视觉和语音模态时序特征;然后,设计跨模态注意力交互层,利用辅助模态的低阶信号不断强化目标模态,使得目标模态学习到辅助模态的信息,捕获模态间的潜在适应性;再将增强后的特征输入到复合特征融合层,通过条件向量进一步捕获不同模态间的相似性,增强重要特征的关联程度,挖掘模态间更深层次的交互性;最后,利用多头注意力机制将复合跨模态强化后的特征与低阶信号做拼接融合,提高模态内部重要特征的权重,保留初始模态独有的特征信息,将得到的多模态融合特征进行最终的情感分类任务。
在CMU-MOSI和CMUMOSEI数据集上进行模型评估,结果表明,CCIN-SA模型相比其他现有模型在准确率和F1指标上均有提高,能够有效挖掘不同模态间的关联性,做出更加准确的情感判断。
【总页数】10页(P1318-1327)【作者】杨力;钟俊弘;张赟;宋欣渝【作者单位】西南石油大学计算机与软件学院【正文语种】中文【中图分类】TP391【相关文献】1.基于跨模态Transformer的多模态细粒度情感分析方法研究2.基于跨模态Transformer的多模态细粒度情感分析方法3.基于跨模态门控机制和改进融合方法的多模态情感分析4.基于模态信息交互的多模态情感分析5.基于跨模态交叉注意力网络的多模态情感分析方法因版权原因,仅展示原文概要,查看原文内容请购买。
第22卷第2期宁波大学学报(理工版)V ol.22 No.2 2009年6月JOURNAL OF NINGBO UNIVERSITY ( NSEE ) June 2009文章编号:1001-5132(2009)02-0212-05基于复合网关的网络互联策略实现鞠洪尧(浙江纺织服装职业技术学院科研处, 浙江宁波 315211)摘要: 通过对VPN和NAT技术原理及实用性的研究与分析, 在将两者进行有效结合的基础上, 提出集VPN和NAT技术于一体的复合网关网络互联策略, 实现了异地局域网可通过Internet进行有效互联, 解决了远程用户登陆局域网访问内部资源的问题. 测试结果表明: 该复合策略具有良好的稳定性和可靠性, 且易于实现.关键词: 复合网关; 网络互联;VPN;NAT中图分类号: TP393.03 文献标识码: A网络互联技术是解决同构或异构网络间顺利实现通信和资源互访的关键技术, 随着计算机网络技术的不断进步, 网络规模也不断扩大, 各种类型的中小型局域网相继涌现, 网络中的特色资源建设不断完善, 人们生活、工作也已经不再局限于某个固定场所, 因此, 网络互联互通、资源的便捷访问就变得十分迫切和必要. 而通常情况下的网络互联基本都局限于专线连通, 这样的连通方式不但会造成网络中原有的IP地址资源在网络连通后发生冲突, 而且使网络系统造价及运营成本极其昂贵. 于是, 在既不改变原有网络的格局、避免IP资源冲突, 又能实现异地用户对局域网中的公共和私有资源进行便捷的访问, 同时尽量降低网络互联成本的前提下, 寻求一种有效、便捷的连接手段和连接方法就变得尤为重要.通过对虚拟专用网络(VPN)技术[1]和网络地址转换(NAT)技术[2]及其适用性的研究与分析, 笔者设计并实现了一种复合网关, 该复合网关顺利实现了异地局域网通过Internet进行互联、互访公共信息资源, 且实现了异地用户对局域网内部私有资源的便捷访问, 解决了网络互联及异地办公问题, 有效地降低了网络互联成本, 提高了异地网络间的通信和资源共享的能力.1网络互联系统架构设计在参与互联的每个局域网与Internet连接处设置1台服务器作为复合网关, 复合网关安装双网卡, 一端连接Internet, 另一端连接局域网, 并作为局域网的网关, 复合网关负责内外网互访公共资源时的IP地址转换及授权外网用户访问内网私有资源时的VPN接入. 每个局域网配置外部公共应用服务器和内部私有应用服务器各2台, 分别用负载均衡群集(NLB)技术进行群集[3], 保证应用服务的可靠性和可伸缩性; 每个局域网中设置内部DHCP 服务器及内部DNS服务器各1台, 以完成局域网收稿日期:2009-01-04. 宁波大学学报(理工版)网址: 基金项目:中国高等教育学会“十一五”教育科学研究规划项目(06AIP0070130).作者简介:鞠洪尧(1966-), 男, 浙江宁波人, 副教授, 主要研究方向: 计算机网络技术. E-mail: juhongyao@第2期鞠洪尧: 基于复合网关的网络互联策略实现 213内部用户TCP/IP参数的自动配置和内部域名的解析, 而内部DNS服务器通过转置解析功能提供内网用户对外网域名的解析, 文中以2个局域网通过Internet互联为例, 其系统架构如图1所示.2网络互联策略设计2.1内网用户访问外网资源策略设计局域网内部用户访问Internet网络资源采用复合网关中NAT的动态地址转换技术[4], 将复合网关与Internet连接的网卡绑定多个合法的IP地址. 在局域网用户访问外网时, 将局域网用户使用的私有地址随机地转换为复合网关空闲的合法地址, 以实现将局域网用户的访问转向外网的目的.在动态地址转换中, 由于绑定在复合网关外联网卡上的合法IP地址个数有限, 当局域网用户访问外网的需求增多时, 通过使用同一合法IP地址及不同的TCP/UDP端口号来标识不同的转换连接, 建立相应的NAT转换表项, 以实现多个局域网用户使用私有IP地址与同一个合法IP地址进行转换, 即端口地址转换方式[5]. 局域网用户访问外网的具体数据传输及地址转换过程见表1、表2、表3和表4.理论上, 1个合法的Internet地址可以支持的全部转换表项为216个, 即65536个. NAT网关能够同时支持地址转换数量的另一个决定因素是NAT网关动态随机存储器(DRAM)的大小, 地址转换表中表1 局域网主机发送访问请求数据包名称标识目标IP地址Internet资源IP地址源IP地址私有IP地址目标端口 Internet资源TCP或UDP端口源端口源应用程序TCP或UDP端口表2 NAT网关发送数据包名称标识目标IP地址Internet资源IP地址源IP地址 ISP分配的公用地址(可变)目标端口 Internet资源TCP或UDP端口源端口重新映射的源应用程序TCP或UDP端口(可变)表3 NAT网关收到目标主机响应数据包名称标识目标IP地址ISP分配的公用地址源IP地址Internet资源IP地址目标端口重新映射的源应用程序TCP或UDP端口源端口 Internet资源的TCP或者UDP端口表4 局域网主机收到响应数据包名称标识目标IP地址私有 IP 地址(不可变)源IP地址Internet资源IP地址目标端口源应用程序TCP或者UDP端口(不可变)源端口 Internet资源TCP或UDP端口的每个表项通常约占用160Byte, 对于512MB的内存而言, 理论上可约容纳约335.5万个地址转换记录. 因此, 可根据实际网络用户的数量扩大NAT 网关的动态随机存储器容量, 使NAT网关能够容图1 网络互联系统架构示意图214 宁波大学学报(理工版) 2009纳更多的表项. 文中使用的NAT网关动态随机存储器容量为2GB.2.2远程用户访问内网公共资源策略设计内网公共资源如WEB和E-MAIL服务等应用以同等模式配置在内网的2台外部服务器上, 并通过负载均衡群集技术在2台外部服务器进行群集. 群集通过内部负载均衡机制及服务器的具体状态来确定哪台服务器为用户提供服务, 以消除单台外部服务器故障而造成用户无法访问应用的问题.远程用户访问内网公共资源则采用复合网关中NAT的静态IP地址映射技术, 将复合网关连接Internet网卡中绑定的部分合法IP地址, 静态地映射到局域网中公共应用服务器群集使用的群集IP 地址上, 形成1:1的映射关系, 使来自Internet对合法IP地址的访问直接转向局域网内部的私有IP地址(VIP). IP地址静态映射的原理与IP地址动态映射原理相同, 但映射关系在网关中长久保存, 直到人为删除为止.2.3授权的远程用户访问内网私有资源策略设计内网私有资源如OA系统、业务管理等的应用以同等模式配置在内网的2台内部服务器上, 并通过负载均衡群集技术将2台内部服务器进行群集, 以消除由于单台内部服务器故障造成内部用户及授权的远程用户无法访问内部应用系统的问题.授权的远程用户访问内网私有资源需通过复合网关中虚拟专用网络(VPN)技术来实现[6]. VPN 网关与NAT网关一起被集成在复合网关上, 授权的远程用户通过Internet与VPN网关建立专用隧道连接到局域网上, 并获得局域网资源的使用权限, 达到使用局域网资源的目的.VPN是一种仿真的专用网络连接方式, 它采用加密和认证技术, 在物理网络连接的基础上建立安全可靠的专用隧道来实现网络连接, 这种连接是一种专用的逻辑连接, 并且依靠对数据通信进行加密来实现.VPN在工作过程中需对传输的数据进行封装, 然后再加上1个VPN包头, 并且在包头中提供路由信息, 以便被封装的数据包能通过公用网络到达目标地址. 为保证数据包在公用网络上传输时的安全性, 还必须对封装的数据进行加密, 使得数据包具有可靠的保密性、真实性和完整性. VPN的接收方在收到封装的数据包后, 先将VPN包头进行解封, 再对数据进行解密, 并验证数据的真实性和完整性. 于是, 在建立连接的不同网络系统之间形成了逻辑上的安全隧道, 即VPN隧道, 而所有的通信过程都在隧道上进行.以PPTP VPN为例. VPN通信首先建立PPP连接, PPP客户机通过PPP连接到Internet上, 在建立PPP连接的过程中进行用户身份验证, 然后再对数据进行加密建立PPTP控制. 并在PPP连接的基础上, PPTP创建客户机到目标主机的连接控制来管理通信使用的隧道. 最后建立PPTP隧道, PPTP生成加密PPP帧的IP数据包通过PPTP隧道与目标主机进行数据传输, 而目标主机对接收到的数据包进行拆封和解密.3网络互联策略实现局域网LAN1和LAN2中各设备具体参数见表5、表6、表7及表8.(1) 打开LAN1中的复合网关服务器, 点击“开始”|“管理工具”|“路由和远程访问”选项, 在服务器名称上点击鼠标右键, 选择“配置并启用路由和远程访问”选项, 打开路由和远程访问服务器安装向导, 点击“下一步”按钮. 在配置窗口中选择“虚拟专用网络(VPN)访问和NAT(V)”选项, 点击“下一步”按钮.(2) 在“VPN连接”窗口中选择连接到外网的网卡, 然后选中“通过设置基本防火墙来对选择的接口进行保护”选项, 然后点击“下一步”按钮.(3) 在“IP地址指定”窗口中选择“自动”按钮, 点击“下一步”按钮.第2期 鞠洪尧: 基于复合网关的网络互联策略实现 215表5 局域网服务器IP 配置 设备名称 IP 地址外部服务器ps11及ps21 192.168.0.1 外部服务器ps12及ps22 192.168.0.2 内部服务器s11及s21 192.168.0.3 内部服务器s12及s22 192.168.0.4群集NLB11及NLB21 192.168.0.5 群集NLB12及NLB22 192.168.0.6 DHCP 服务器h11及h21 192.168.0.7 DNS 服务器d11及d21 192.168.0.8 LAN1及LAN2中用户 DHCP 分配表6 复合网关IP 配置 设备名称 IP 地址g11及g21内网网卡 192.168.0.254 218.0.3.66218.0.3.67 218.0.3.68 g11外联网卡218.0.3.69 218.0.3.70218.0.3.71 218.0.3.72 g21外联网卡218.0.3.73表7 DHCP 服务器h11及h21作用域 设备名称配置参数IP 地址范围 192.168.0.20~192.168.0.253 子网掩码 255.255.255.0 网关 192.168.0.254DNS 192.168.0.8 表8 复合网关静态IP 地址映射关系表 复合网关 IP 地址g11与NLB12 192.168.0.6 218.0.3.66 g21与NLB22 192.168.0.6 218.0.3.70(4) 在“管理多个远程访问服务器”窗口中选择“否, 使用路由和远程访问来对连接请求进行身份验证”选项, 点击“下一步”按钮, 仔细观察“摘要”窗口内容并记录, 点击“完成”按钮结束复合网关的初步配置.(5) 展开路由和远程访问服务器中的“IP 路由选择”项, 选中“NAT/基本防火墙”项, 然后在右边的窗口中选择连接外网的网卡, 点击右键并选择“属性”选项, 打开外网网卡的属性窗口, 选择“地址池”选项卡, 点击“添加”按钮, 将连接外网的网卡绑定的4个连续IP 地址的起始IP 地址、子网掩码及结束IP 地址添入其中, 具体信息见表6.(6) 点击保留公用地址窗口中的“保留”按钮,在打开的窗口中点击“添加”按钮, 在添加保留区窗口中按照表8中外部IP 地址与内网应用服务器IP 地址的映射关系, 填入外部IP 与内部IP 地址218.0.3.66~192.168.0.6, 并选中“允许将会话传入到此地址”项, 完成复合网关g11外联网卡上绑定的合法IP 地址与应用服务器群集私有IP 地址间的静态映射关系的建立, 以实现外网用户访问局域网中的公共服务器. g11网关外联网卡上绑定的其他合法IP 地址留作LAN1用户动态租用, 以实现局域网用户顺利访问外网资源.(7) 选择服务与端口选项卡, 选中允许外网用户访问的内网服务, 如WEB 服务器(HTTP)服务, 然后在公用地址栏中选择“在此接口(F)”选项, 在专用地址(P)栏后的对话框中输入专用IP 地址192.168.0.6, 点击“确定”按钮, 结束外网用户访问内网公共资源的配置过程.(8) 选择“DHCP 中继代理程序”并点击右键, 选择“新增接口”项, 分别添加外网和内网网卡为中继接口. 然后在“DHCP 中继代理程序”上点击右键并选择“属性”项, 在打开的窗口的“服务器地址”中添加局域网中DHCP 服务器的IP 地址.(9) 打开复合网关g11中的“开始”|“管理工具”| “计算机管理”选项, 选择“系统工具”中的“本地用户和组”选项, 在“用户”上点击右键, 选择“新用户”, 输入用户名和密码, 创建用于VPN 连接的用户, 如user1, 然后在用户user1上点击右键并选择“属性”项, 选择“拨入”选项卡, 选中“允许拨入”选项, 然后, 点击“确定”按钮, 结束VPN 用户拨入的权限设置.(10) LAN2中复合网关的配置参照上述(1)~(8)步骤即可.216 宁波大学学报(理工版) 20094测试与分析在局域网LAN1和LAN2中, 用户均能够访问到彼此内网中公共WEB服务器及Internet上的服务器. Internet用户及局域网用户通过VPN连接到相应的复合网关后, 均能够获得局域网内部DHCP 服务器分配的私有IP地址、子网掩码、网关和DNS 参数, 并能通过内部域名顺利访问局域网的内部WEB服务器及授权的应用资源. 测试说明: 复合网关顺利实现了局域网通过Internet的有效低成本互联, 且互联后对原局域网的结构及IP地址分配均不产生影响, 并实现了远程用户对内部私有资源的便捷访问.5结语基于复合网关的网络互联策略有效的集成了VPN与NAT技术, 实现了局域网通过Internet的有效互联, 规避了局域网网络互联后IP地址的冲突问题, 解决了用户通过Internet授权访问局域网内部资源的问题以及内部用户通过有限的IP地址资源访问Internet资源的问题, 同时提高了局域网应用服务的安全性, 且该网络互联方法实现简便, 成本低廉, 具有广泛的实用价值.参考文献:[1]鞠洪尧, 宋宇新. 实用组网技术[M]. 北京: 科学出版社, 2007.[2]杜大鹏, 岳丽君, 杜墨, 等. Windows Server 2003深层解决方案[M]. 北京: 中国水利水电出版社, 2005. [3]黄道颖, 张杰, 甘勇, 等. 计算机网络[M]. 北京: 科学出版社, 2006.[4]刘风华, 丁贺龙, 张永平. 关于NAT技术的研究与应用[J]. 计算机工程与设计, 2006, 27(10):1814-1817. [5]刘雅辉, 张全林, 祝跃飞. IPSec穿越NAT方案研究与改进[J]. 计算机工程与设计, 2005, 26(7):1918-1921.[6]林惠君, 彭宏, 李君. 应用服务器动态负载均衡的设计与实现[J]. 计算机工程与设计, 2007, 28(14):3388-3390.Synthetic Gateway Based Implementation of Network Interconnection StrategyJU Hong-yao( Department of Science, Zhejiang Textile & Fashion College, Ningbo 315211, China )Abstract: A network interconnection strategy based on composite gateway is proposed using the analysis and study on the principle and functionalities of combined technology of both virtual private network and network address translation. The synthetic strategy achieves the interconnection among the local area networks in various areas through Internet, and solves the login problems found with the remote user who attempts to use the local area network to visit private resource. From the perspective of application, the test result demonstrates the stability, reliability and simplicity of the proposed strategy.Key words: synthetic gateway; network interconnection; virtual private network; network address translation CLC number: TP393.03 Document code: A(责任编辑 章践立)。
