IP网络安全管理系统探讨（精选10篇）

IP网络安全管理系统探讨 第1篇

IP网络安全管理系统探讨

1、引言

IP网络是电信运营的基础网络之一，网络安全是保证网络品质的基础。随着宽带业务的迅猛发展，运营商提供的数据业务越来越多，因此网络与信息的安全性也日渐重要。与此同时，互联网的开放性给网络运营带来了越来越多的安全隐患，互联网网络安全管理工作目前急需加强。对于运营商来说，相应的安全管理系统及检测手段的建设也势在必行。信产部对互联网的安全问题十分重视，要求各运营商制定“互联网网络 安全应急预案”。根据信息产业部的要求，各运营商已在建设互联网网络安全应急处理组织体系，从人员和组织架构上提供保障，但相对缺乏相应的安全管理系统和技术手段。为适应互联网业务发展的需要及加强互联网网络安全管理工作，各运营商都在积极着手建设安全管理系统。

2、IP网络安全管理的主要问题

IP网络规模庞大、系统复杂，其中包含各种网络设备、服务器、工作站、业务系统等。安全领域也逐步发展成复杂和多样的子领域，例如，访问控制、入侵检测、身份认证等。这些安全子领域通常在各个业务系统中独立建立，随着大规模安全设施的部署，安全管理成本不断飞速上升，同时对这些安全基础设施产品及其产生的信息管理成为日益突出的问题。IP网络安全管理的问题主要有以下几个方面：

(1)海量事件。

企业中存在的各种IT设备提供大量的安全信息，特别是安全系统，例如，安全事件管理系统和漏洞扫描系统等。这些数量庞大的信息致使管理员疲于应付，容易忽略一些重要但是数量较少的告警。海量事件是现代企业安全管理和审计面临的主要挑战之一。

(2)孤立的安全信息。

相对独立的IT设备产生相对孤立的安全信息。企业缺乏智能的关联分析方法来分析多个安全信息之间的联系，从而揭示安全信息的本质。例如，什么样的安全事件是真正的安全事件、它是否真正影响到业务系统的运行等。

(3)响应缺乏保障。

安全问题和隐患被发掘出来，但是缺少一个良好的机制去保证相应的安全措施得到良好执行。至今困扰许多企业的安全问题之一——弱口令就是响应缺乏保障的结果。

(4)知识“孤岛”。

许多前沿的安全技术往往只有企业内部少数人员了解，他们缺少将这些知识共享以提高企业整体的安全水平的途径。目前安全领域越来越庞大，分支也越来越细微，各方面的专家缺少一个沟通的平台来保证这些知识的不断积累和发布。

(5)安全策略缺乏管理。

随着安全知识水平的提高，企业在自身发展过程中往往制定了大量的安全制度和规定，但是数量的庞大并不能代表安全策略的完善，反而安全策略版本混乱、内容重复和片面、关键制度缺失等问题依然在企业中不同程度的存在。

(6)习惯冲突。

以往的运维工作都是基于资产+网络的运维，但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护，比如出现病毒问题就会使安全运维工作不同于以往的运维工作习惯。

随着IP技术的飞速发展，网络安全逐渐成为影响网络进一步发展的关键问题。为提升用户业务平台系统的安全性及网络安全管理水平，增强竞争力，IP网络安全管理从单一的安全产品管理发展到安全事件管理，最后发展到安全管理系统，即作为一个系统工程需要进行周密的规划设计。

3、安全管理系统建设管理需求

安全管理系统的建设需求主要表现在以下几个方面：

(1)各运营商通过安全管理系统的建设，可以完善IP网的安全管理组织机构、安全管理规章制度，指导安全建设和安全维护工作，建立一套有效的IP的安全预警和响应机制。

(2)能够提供有效的安全管理手段，能充分提高以前安全系统功能组件(如入侵检测、反病毒等)投资的效率，减小相应的管理人工成本，提高安全体系的效果。

(3)通过对网络上不同安全基础设施产品的统一管理，解决安全产品的“孤岛”问题，建立统一的安全策略，集中管理，有效地降低复杂性，提高工作效率，进一步降低系统建设维护成本，节省经济成本和人工成本。

(4)优化工作流程促进规程的执行，减轻管理人员的工作负担，增强管理人员的控制力度。

(5)实时动态监控网络能有效地保障业务系统安全、稳定运行，及时发现隐患，缩短响应时间和处理时间，有效地降低安全灾害所带来的损失，保障骨干网络的可用性及可控性，同时也可提高客户服务水平，间接地提高客户满意度。

(6)通过对安全信息的深度挖掘和信息关联，提取出真正有价值的信息，一方面便于快速分析原因，及时采取措施;另一方面为管理人员提供分析决策的数据支持，提高管理水平。

(7)通过信息化手段对资源进行有效的信息管理，有助于提高企业的资产管理水平，从而提高企业的经济效益和企业的市场竞争力等。

4、安全管理系统建设目标

安全管理系统的建设是一项长期的工作，综合考虑实际工作的需求、当前的技术条件以及相关产品的成熟度，安全管理系统的建设工作应该按照分阶段、有重点的建设的方式来规划。根据各阶段具体的安全需求，确定各阶段工作的重点，集中力量攻克重点建设目标，以保证阶段性目标的实现。建设的同时需要注意完善相关的管理制度和流程，保证安全管理系统与企业业务的有机融合和有效使用。对于IP网安全管理系统的建设，建议分近期目标、中期目标和长期目标3个阶段来实现：

*近期目标。以较为成熟的相关技术为基础，根据当前最迫切的安全管理工作需求制定，包括安全风险管理、安全策略管理、安全响应管理的基本需求。

*中期目标。在近期目标基础上提高内部各系统之间的集成度和可用度，扩大管理范围，增强各功能模块，初步实现与其他信息系统的交互和安全管理的自动化流程。

*长期目标。实现安全管理系统的集成化、自动化、智能化，保证信息、知识充分的挖掘和共享，为高水平管理工作和高效率的安全响应工作提供良好的技术平台。

5、安全管理体系与功能模型

5.1 管理体系

明确了建设目标后就要结合运营商安全需求、网络环境及整体规划方向确定安全体系模型。IP网安全包括物理安全、设备与网管系统安全、网络层安全、网络信息安全。IP网安全体系分为技术体系层面(安全基础设施)、安全管理系统、管理体系层面。

(1)管理体系层面。它包括安全策略管理、安全组织管理、安全运作管理等几个方面。安全策略是IP网安全管理工作的依据，包括安全策略、标准、过程等方面的内容。安全策略管理是整个安全体系的基础，通过对策略进行有效的发布和贯彻执行，可以规范项目建设、运行维护相关的安全内容，指导各种安全工作的开展和流程，确保IP网的安全。安全组织是安全的管理组织架构，包括运营商安全相关的管理组织和人员。安全运作管理是策略、组织、技术的结合，是通过安全组织规定的人员，按照相应的流程，采取安全措施，对安全事件进行处理，从而整体提升IP网的安全水平。

(2)技术体系层面。它包括安全基础设施，安全基础设施包括访问控制系统、身份和认证管理系统等。

(3)安全管理系统层面。它是安全体系的中心枢纽，向上作为一种安全管理的形式和技术平台，协助用户实现安全策略管理、安全组织管理、安全运作管理，提供支撑手段。安全管理系统构建于安全基础设施之上，向下将管理贯彻到整个技术层面，通过收集来自所有安全产品和非安全产品的信息，进行统一的自动化风险评估，评价是否符合安全管理的策略，并报告给决策者，提供必要的响应。安全管理系统将安全管理和安全技术层面联系起来，能够保证安全产品部署符合安全管理的要求，提升安全基础设施的效率，减少相应的管理人工成本。

IP网络安全管理体系如图1所示。

5.2 安全管理系统功能模型运营商在建设安全管理系统时，可通过安全服务的建设初步建立安全策略管理、安全运作管理体系，通过IP网安全管理系统的建设，实现基本的安全策略管理、安全运作管理功能。安全管理系统的功能及核心模块如图2所示。

图2 安全管理系统功能及核心模块

(1)资产信息管理模块。

它实现对网络安全管理系统所管辖的设备和系统对象的管理。它将所辖IP设备资产信息按其重要程度分类登记入库，并为其他安全管理模块提供信息接口。

(2)脆弱性管理模块。

它实现对IP网络中主机系统和网络设备安全脆弱性信息的收集和管理，并配备远程脆弱性评估工具和本地脆弱性信息收集工具，及时掌握网络中各个系统的最新安全风险动态。该模块收集和管理的脆弱性信息主要包括两类：通过远程安全扫描可以获得的安全脆弱性信息(下称远程脆弱性信息)和通过在主机上运行脚本收集的脆弱性信息(下称本地脆弱性信息)。在定期收集到这些脆弱性信息后可以利用脆弱性管理系统进行导入和处理，以利于安全管理员对脆弱性信息的查询、呈现并采取相应的措施进行处理。

(3)安全事件监控管理模块。

安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息以及安全产品的安全事件报警信息等，及时发现正在和已经发生的安全事件，通过响应模块采取措施，以保证网络和业务系统安全、可靠运行。

(4)安全响应管理模块。

安全响应是安全工作中重要的一环。运营商应考虑目前的网络运行状况与管理机制的特点，将安全管理系统安全响应的建设重点放在通过工单系统进行工作指令的传达和网络安全评价机制的建设上。

网络安全响应是根据当前的网络安全状态，及时调动有关资源作出响应，降低风险对网络的负面影响。网络安全响应模块负责利用安全管理系统平台提供的采集和统计功能，科学合理地评价网络安全的状态指标，并根据安全的状态指标，结合安全风险控制的需要，及时通过工单系统发布工作指令，调动有关资源作出相应的响应，将剩余风险控制在可以接受的范围。

(5)安全预警模块。

结合安全漏洞的跟踪和研究，及时发布有关的安全漏洞信息和解决方案，督促和指导各级安全管理部门及时作好安全防范工作，防患于未然;同时通过安全威胁管理模块所掌握的全网安全动态，有针对性地指导各级安全管理机构做好安全防范工作，特别是针对当前发生频率较高的攻击做好预警和防范工作。

(6)安全知识库模块。

安全知识库信息的发布，不仅可以充分共享各种安全信息资源，而且也会成为运营商各级网络安全管理机构和技术人员之间进行安全知识和经验交流的平台，有助于提高人员的安全技术水平和能力。安全管理系统要求实现网络安全信息的共享和利用，在安全管理系统平台提供统一界面以安全Web的形式发布最新的安全信息，并将处理的安全事件方法和方案收集起来，形成一个安全共享知识库，该知识库的数据以数据库的形式存储及管理，为培养高素质网络安全技术人员提供培训资源。信息模块可以包括安全技术园地、安全技术交流、安全案例库、补丁库、论坛以及其他管理信息系统等子信息系统。

6、安全管理系统评估

安全管理系统建设后，应能达到以下各项目的评估：

(1)结合落实信产部对通信安全的要求，提供应急响应的技术手段，为运营商互联网网络安全应急处理小组提供安全事件应急响应的技术手段和管理平台，实现《互联网网络安全应急处理预案》所要求的安全目标。

(2)运营商IP网络安全应急信息的发布。能够以E-mail、网页、任务单等多种方式将最新的安全公告，预警信息、安全事件信息等及时发布给相关人员。

(3)实现安全事件预警、快速响应的闭环管理功能。安全预警和快速响应能够有效降低安全灾害所带来的损失，单纯的安全产品不足以呈现全网的安全状况、提供足够的预警信息，必须实现安全的集中管理，才能实现以地域、业务系统等方式统一呈现安全风险、缩短响应时间。

(4)定期进行安全审计实现风险评估，确保安全管理系统持续的适宜性和有效性。定期进行安全审计，并结合现有的安全措施及界定的各类风险处置策略对管理的资产(包括安全事件、安全事件处置策略及安全工单执行情况等)进行评估，不断充实安全知识库的内容以提高运维及网络安全技术人员的技术水平。

(5)从安全建设的角度来讲，建立完善的安全管理组织体系是非常重要的。企业应该设置专职人员对企业的安全负责、统一协调、统一管理，应定期对专职人员的安全工作进行考核，要及时发现问题、解决问题，逐步完善运营商的安全管理。

7、结束语

随着运营商业务、网络及运维的发展，国内各运营商在持续对网络和系统进行安全评估和加固的同时启动了安全管理系统的建设，并逐渐将专用的或定制开发的安全系统集成到安全管理系统中统一管理。可以看出，运营商日益重视安全管理，安全管理已逐渐成为一种趋势，IP网络安全管理的理论研究水平、实践能力有待于进一步发展和提高。

IP网络安全管理系统探讨 第2篇

关键词：IP地址；MAC地址；ARP协议；端口；绑定

1 IP地址相关知识介绍

IP地址也可以称为互联网地址或Internet地址,是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠IP地址来标识自己,IP地址必须唯一。IP地址的表示 : 4个以小数点隔开的十进制整数就是一个IP地址。每部分的十进制的整数实际上由8个二进制数组成。 IP的结构和分类：在IP地址的这四部分中，又可以分成两部分，一部分是网络号Network（用来标识不同的网络），一部分是主机号(标识用于特定网络区域内的某台主机)。IP地址的网络部分是由IANA（Internet地址分配机构）统一分配的，而主机位IP地址是由得到网络地址的机构或组织自行分配。我们把IP地址分成A、B、C、D、E类：A类地址，第一组表示网络，后面三组表示主机。B类地址，第一，二组表示网络，后面两组表示主机。C类地址，第一，二，三组表示网络，最后一组表示主机。为了确定IP地址的网络号和主机号如何划分，使用到了掩码。也就是说在一个IP地址中，通过掩码来决定哪部分表示网络，哪部分表示主机。大家规定，用“1”代表网络部分，用“0”代表主机部分。也就是说，计算机通过IP地址和掩码才能知道自己是在哪个网络中。IP地址的获得：有两种方式，一种是静态方式，一种是动态方式。

2 IP地址及其管理

IP地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站，它都是通过IP地址这个“身份”与其他工作站进行沟通交流的，只要我们能安全妥善地管理好局域网中的所有IP地址，就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态IP地址分配。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定，使用这种方法来确认最终用户，消除IP地址盗用等情况。学校统一规划分配IP地址给每个终端机器，并建立IP地址分配登记表，统计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对照表。在交换机上采用VLAN（Virtual LAN,虚拟局域网）技术解决广播带来的不良影响。我们学校划分VLAN的方式是基于接口来划分VLAN。交换机通过接口和客户端相接，只要通过配置命令将交换机的接口分给不同的VLAN，就相当于把这些客户端划分到了不同的广播域，

将接口划分到VLAN的方式如下：以华为3100 EI系列交换机为例，登录进入交换机，输入管理口令进入系统视图，敲入命令：

[H3C]VLAN 1

[H3C-VLAN1]quit

[H3C]VLAN 2  to  4    //创建VLAN

[H3C]VLAN 2

[H3C-VLAN2]port Ethernet1/0/9 to Ethernet1/0/16   //添加9到16口到VLAN2

执行上述命令，可在3100 EI交换机创建4个VLAN，并将相应的端口划分到对应的VLAN中。

3 IP地址的绑定技术

3.1基于交换机的IP地址、MAC地址、端口的绑定

①MAC地址及MAC地址的作用。MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。MAC地址在计算机里都是以二进制表示的， MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：00-11-D8-29-09-78就是一个MAC地址，其中前6位16进制数00-11-D8代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协会）分配，而后3位16进制数29-09-78代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。 无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由ARP（address resolution protocol：地址解析协议）负责将IP地址映射到MAC地址上来完成的。数据包在传送过程中会不断询问相邻节点的MAC地址。

②交换机、端口、IP地址 三者的绑定。为了防止IP地址被盗用，就通过简单的交换机端口绑定（端口的MAC表使用静态表项），可以在每个交换机端口只连接一台主机的情况下防止修改MAC地址的盗用。第一种方法：如果是可网管交换机还可以提供：交换机、端口、IP地址三者的绑定，一般绑定MAC地址都是在交换机和路由器上配置的。以华为3100 EI系列交换机为例，登录进入交换机，输入管理口令进入系统视图，敲入命令：

网吧IP网络构建方案探讨 第3篇

1 当前网吧网络管理基本功能分析

1.1 双WAN出口链路

基于对网络出口稳定性这一重要条件考虑, 有经济实力的网吧业主一般都会租用两条独立的宽带上网线路, 以实现出口流量负载均衡、主备线路自动切换的功能。这就必须选用具有双WAN口配置的网关路由器, 根据两条出口线路带宽的动态情况, 自动均衡从内部网络流向两个WAN口的数据包流量比例, 使总体带宽的利用率始终保持一种最优的状态。

1.2 划分VLAN隔离广播域

当网吧终端数量过多时, 局域网中的广播报文风暴会导致PC掉线或瞬断现象, 因此, 要求核心交换机具有可划分VLAN功能, 以抑制端口广播风暴。

2 难点故障排查

2.1 防止AR P攻击

提到著名的ARP攻击, 在此先解说一下其攻击原理。ARP (Addre s s Re s olution Protocol) 即地址解析协议, 是一种将IP地址转化成物理地址的协议。具体说来就是将网络层 (IP层, 也就是相当于OSI的第三层) 地址解析为数据连接层 (MAC层, 也就是相当于OSI的第二层) 的MAC地址。ARP攻击主要存在于局域网中, 若有一台PC感染了ARP木马, PC上指向网关的ARP表项会被修改, 导致PC到Inte rne t的数据不能被转发到网关, 而网关的ARP表项也被修改, 不能将报文发送给相应PC, 导致该PC掉线。

对于ARP攻击, 一种有效的防范方法为通过双向ARP绑定, 即在网关路由器上建立每台终端的IP/MAC绑定表, 生成静态ARP表项, 同时配置成不再动态学习ARP表, 然后在各台终端上建立静态ARP表项绑定网关, 即可防止ARP攻击。

2.2 限制BT、P2P等对带宽的过多占用

由于网吧应用服务中BT、P2P电影等点对点或多线程业务对带宽的占用很大, 会产生一台PC下载导致整个网络速度极慢的情形。因此, 选用一台具有限速功能的路由器是必不可少的, 启用路由器上的流量限制规则, 当网吧流量超过运营商分配的出口带宽时, 保证每台终端的使用带宽, 并根据报文特征码动态限制BT、P2P等下载业务, 使每台终端都能够合理地分享带宽。

3 网络构建方案

基于以上的网吧网络管理基本功能和难点故障分析, 针对不同规模大小的网吧, 分别推荐两种组网方案如下:

方案1: (见右上图)

方案说明:

1) 此模式适合终端数量在100台以下的网吧使用, 双WAN口通过不同的物理链路联接Internet, 可实现自动/?手动流量负载均衡。

2) 网关路由器配置所有终端的IP/MAC绑定表, 并在各终端上配置指向网关的静态ARP表项, 防止ARP攻击。可用arp–a命令查看终端的ARP表项绑定情况。

3) 在网关路由器上配置限速选项, 限制BT、P2P电源等程序占用过多带宽。

方案2:

方案说明:

1) 此模式适合终端数量在100至300台的网吧使用, 双WAN口通过不同的物理链路联接Internet, 可实现自动/手动流量负载均衡。2) 在核心三层交换机上根据上网区域划分不同的VLAN, 各VLAN间设置ACL访问控制规则, 并配置端口广播风暴抑制, 防止过量广播报文致使网络拥塞。3) ARP静态表项的双向绑定注意要配置在核心三层交换机和各台终端之间, 防止ARP攻击。4) 网关路由器和核心三层交换机的IP地址必须配在同一VLAN中, 并各自设置静态路由指向对方。

4 结语

IP网络安全管理系统探讨 第4篇

关键词：IP网络 电台传输系统 应用 方案设计

中图分类号：TN943 文献标识码：A 文章编号：1674-098X（2014）08（c）-0054-01

随着信息技术产业的高速发展，计算机网络的普及率逐渐提升，通信网络与电台传输系统的结合成为了一种必然趋势。当前流媒体技术的应用主要是通过IP网络上多媒体数据流技术来完成的，而这一流式传输方式也实现了对多个数据包的编码与压缩工作，能够实时为客户传输多媒体信息。

1 关于IP网络

关于IP网络的应用，有人曾提出关于IP网络能力的大胆设想，未来的IP网络将覆盖公众信息网络的所有内容。IP网络在现有对传统电信业务以及信息服务领域的支持之外，对于多媒体业务像是广播电视、体育娱乐等也涉及到相关的大众传媒业务，在特定的IP地址控制下各种信息服务的过程变得更加便捷。在各种业务体系的互相关联下，利益的获得是以IP网络信息产业为主的各种业务体系的综合过程。随着当前IP网络的商业化进程不断加快，关于IP网络的管理问题也日渐得到人们的广泛重视。需要注意的是，针对IP网络的管理并非仅仅是网络拥有者的责任，而是需要通过社会各界的力量来对IP网络和IP网络业务供应商进行有效管理。用户在对IP网络业务提供商进行接入选择时往往会对其与传统电信网进行对比，这一内容在广告刊登以及网页设置方面均有所体现。我们往往会通过网络消费者协会构建的方式来对实际服务质量进行调查，以便用户在众多的网络业务商中挑选出最为合适的，这对于IP网络和IP网络业务提供商而言都形成了有效的公告与监视作用。

2 IP网络在电台传输系统中的应用

2.1 设计理念

随着广播传播模式的多元化发展，各式各样主题户外活动的举办对于电台来说是不可缺少的活动，而现场音频信号采集与传输工作就显得不可或缺，并且节目需要以同步直播的方式来发送至电台的总部。现阶段电台传输系统除了需要解决信号传播的技术问题之外，还需要就现场与台内信号的统一与同步进行研究，尽可能在音质传输方面满足广播播出的实际需求。从信号传播方式研究，电台节目传输方式有调频、微波以及模拟电话线等综合业务，这些技术在实际使用过程中也表现出全然不同的特点，由于微波本身造价较高，因此，它更加适用于长距离的信号传输；而调频由于面积覆盖有限，并且极易受到楼房建筑的干扰而影响到信号的传输质量；至于模拟电话则存在着频带较窄和音质较差的弊端；而ISDN编码解码器则由于价格高加之应用范围有限而影响到线路搭建的灵活性。伴随光线通信等技术的不断拓展与普及，互联网与多媒体技术的融合成为了必然的发展趋势，而其中流媒体技术的出现不仅实现了对互联网视频和音频信息的实时传输，同时这一主流技术也有效弥补了传统多媒体技术的信号传输弊端，加之其音质效果不会受到物理距离的限制，因此，流媒体的使用在实时音频传输方面的优势更加突出，这一主流媒体技术的应用范围不断扩大。

2.2 方案设计

关于IP网络在电台传输系统中的应用主要是通过硬件设备以及必要的软件设施来辅助完成，由于系统构建过程中的灵活性，因此，这一IP音频传输终端设备也常见于省市级的广播电台当中。例如广东电台的技术部就引入了TIELINE、ZEPHYR-X、PYKO等来自于各个品牌的专业IP设备，它们在电台传输系统构建方面的作用不容小觑。从投入控制角度分析，笔者尝试利用必要的软件设施来实现对IP电台传输系统的构建，并通过专业声卡的配置来达到既定的信号质量需求，这一方式不仅具有方便经济的优势，同时也符合市县一级的电台信号传输需求，因此，有着极高的研究与推广价值。

这一系统的主要构成内容为两个部分，即发送端软件和接收端软件，无论是发送端还是接收端都需要有较好的网络带宽条件，并且通过必要的连接来促进音频信号的传播。最常见的接入方式为局域网、ADSL以及无线3G接入方法，而实际的应用过程中往往对于广播的立体声信号标准也有着另外的要求，独享带宽需要达到1 Mb左右。由于其中的所占用的资源不多，因此，在发送端PC机与接收端PC机在标准配置方面需要表现出一定的相似性，而两端的PC机在与INTERNET/INTRANET 网络连接之后只需要对PC机的发送端信号与流媒体协议端口相连接即可，这就实现了对节目的实时传输。在应用过程中，我们发现可进行流媒体实时传播的相关软件在数量上还是较多的，由于本身的功能和界面之间存在着差异性，因此，无论是客户端的选择还是单点传送的维护都需要从实际使用需求出发来进行合理选择。

2.3 效果检测

从效果检验的角度出发，我们在对互联网技术进行检验的过程中通过ADSL介入的操作实现了对互联网技术与检验效果之间的对应处理，不难发现接收端的PC机在输入地址之后很快便完成了缓存工作，并顺利实现了对声音的播放操作，并且音质效果明亮清晰，与原始音质相统一。在数小时接连不断的播放过程中我们没有发现系统出现任何阻滞或是停顿的问题。运用这一系统结构不仅对于信号质量构成了有效的保障，同时与电台传输系统之间的对应关系也更加突出，这就使得软件与电脑硬件配置之间的差异更加突出，其中的延时长度可达3～4 s。由此可见，我们在将IP网络应用于电台传输系统的过程中需要考虑的内容除了网络本身的多样性和开放性特征之外，还需要从网络的互联性角度分析，通过单向音频节目传输来防止网络使用过程中病毒或是黑客额肆意滋扰，这对于网络应用安全而言是有效的保障，同时对于电台信号传输安全也有着极其重要的促进意义。

TCP/IP工具网络管理命令 第5篇

“ping”的声音的声波确定周围区域的目标。

ping选项 选项描述

-c count 要求ping命令连续发送数据包，直到发出并接收到count个请求

- d为使用的套接字打开调试状态 -f是一种快速方式ping。使得ping输出数据包的速度和数据包从远程主机返回一样快，或者更快，达到每秒100次。在这种方式下，每个请求用一个句点表示。对于每一个响应打印一个空格键。

-i scconds在两次数据包发送之间间隔一定的秒数。不能同

-f 一起使用。 -n只使用数字方式。在一般情况下ping会试图把IP地址转换成主机名。这个选项要求ping打印IP地址而不去查找用符号表示的名字。如果由于某种原因无法使用本地DNS服务器这个选项就很重要了。

-p pattern拥护可以通过这个选项标识16 pad字节，把这些字节加入数据包中。当在网络中诊断与数据有关的错误时这个选项就非常有用。

-q使ping只在开始和结束时打印一些概要信息。

-R把ICMP RECORD-ROUTE选项加入到ECHO_REQUEST数据包中，要求在数据包中记录路由，这样当数据返回时ping就可以把路由信息打印出来。每个数据包只能记录9个路由节点。许多主机忽略或者放弃这个选项。

-r使ping命令旁路掉用于发送数据包的正常路由表。

-s packetsize使用户能够标识出要发送数据的字节数。缺省是56个字符，再加上8个字节的ICMP数据头，共64个ICMP数据字节。

-v使ping处于verbose方式。它要ping命令除了打印ECHO-RESPONSE数据包之外，还打印其它所有返回的ICMP数据包。

在缺省情况下，finger命令列出当前每个用户的注册名、全名、，终端名和终端写状态(如果没有写权限，在终端前就会有一个“*”)、空闲时间、注册时间、办公室地点和电话号码(如果有的话)。

finger选项

-b较短的输出格式 -f压缩首行的打印(短格式)

-i提供用户及空闲时间的快速列表

-l强制使用长输出格式

-p压缩.plan文件的打印 -q提供用户的快速列表

-s强制使用短输出格式

-w强制使用窄格式列出指定用户

netstat命令用于查询与某类信息有关的子系统。打印路由选择表、活动连接、正在使用的流以及其他一些信息。 netstat选项

-A显示任何关联的协议控制块的地址。主要用于调试

-a显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字 -i显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列

-m打印网络存储器的使用情况

-n打印实际地址，而不是对地址的解释或者显示主机，网络名之类的符号

-r打印路由选择表

-f address

-family对于给出名字的地址簇打印统计数字和控制块信息，

到目前为止，唯一支持的地址簇是inet

-I interface只打印给出名字的接口状态

-p protocol

-name只打印给出名字的协议的统计数字和协议控制块信息

-s打印每个协议的统计数字

-t在输出显示中用时间信息代替队列长度信息。

netstat命令的列标题

列描述

Name接口的名字

Mtu接口的最大传输单位

Net/Dest接口所在的网络

Address接口的IP地址 Ipkts接收到的数据包数目

Ierrs接收到时已损坏的数据包数目

Opkts发送的数据包数目

Oeers发送时已损坏的数据包数目

Collisions由这个接口所记录的网络冲突数目

TCP套接字解释 状态意义

CLOSED没有使用这个套接字

LISTEN套接字正在监听入境连接

SYN_SENT套接字正在试图主动建立连接

SYN_RECEIVED正在处于连接的初始同步状态

ESTABLISHED连接已建立

CLOSE_WAIT远程套接字已经关闭：正在等待关闭这个套接字

FIN_WAIT_1套接字已关闭，正在关闭连接

CLOSING套接字已关闭，远程套接字正在关闭，暂时挂起关闭确认

LAST_ACK远程套接字已，正在等待本地套接字的关闭确认

FIN_WAIT_2套接字已关闭，正在等待远程套接字关闭

TIME_WAIT这个套接字已经关闭，正在等待远程套接字的关闭传送

traceroute/tracert命令

traceroute/tracert命令用于跟踪数据包到达目标机器的路由，使用IP数据包的time-to-live(TTL)域，在数据包到达远程主机前所经过的每一个网关引发一个ICMP TIME_EXCEEDED响应。

arp命令

arp命令显示并修改Internet到以太网的地址转换表。这个表一般由地址转换协议(ARP)来维护。当只有一个主机名作为参数时，arp显示这个主机的当前ARP条目。如果这个主机不在当前ARP表中那么ARP就会显示一条说明信息。

选项描述

-a列出当前ARP表中的所有条目

-d host从ARP表中删除某个主机的对应条目

-s host address 使用以太网地址在ARP表中为指定的[temp][pub][trail]主机创建一个条目。如果包含关键字[temp]创建的条目就是临时的;否则这个条目就是永久的。[pub]关键字标识这个ARP条目将被公布。使用[trail]关键字表示将使用报尾封装

-f file读去一个给定名字的文件，根据文件中的主机名创建ARP表的条目

发布者: beyond

IP网络安全管理系统探讨 第6篇

网络配置与IP路由实例

摘自《计算机世界》作者：中国工商银行池州分行刘东明

--------------------------------------------------------------------------------

计算机网络是计算机系统的重要组成部分，网络可以使用户共享应用程序、数据文件、系统资源(打印机、Modem等)，并可交换E-mail和其他信息，在网络中，计算机系统间能够以对用户透明的协同方式相互通信。网络中的计算机虽不需要运行同样的操作系统，但它们一定使用同样的协议进行通信。目前最热门、应用最广泛的当首推TCP/IP协议。在TCP/IP协议中配置和管理网络时，最重要的是IP网络地址和路由，本文以Unix操作系统和Cisco路由器为例，总结笔者多年的网络配置、管理和使用经验，给出网络配置的几个实例，供计算机网络爱好者和网络管理员参考。

配置局域网卡

IP地址分为两个部分，即网络号和主机号，利用网络掩码可以将大的逻辑网络(IP网络地址通常分为A、B、C、D、E五类，大的逻辑网络指其中的某类)分割成小的物理网络，即若干个子网，此时的网络地址是网络号+子网络号。因此在配置网卡前，网络管理员必须清楚网卡的中断、地址、所在局域网的网络地址和掩码、分配给机器的IP地址。例如，假设某局域网为A类地址，系统管理员分配给机器的IP地址为18.48.232.19，网络掩码为255.255.255.0，则此时的网络号是18，网络地址是18.48.232，主机号为19;若网络掩码为255.255.0.0，则网络号为18，网络地址为18.48，主机号为232.19等等。网管员对网卡的中断、地址和机器的IP地址、掩码清楚后，在SCOUnixOpenServer中，用scoadmin.netconfig命令根据菜单提示可以很方便地进行网络配置，重新链接后再重启系统，用ping命令测试网络是否连通。

ValinkX25网卡与路由器连接

在实际的Unix网络应用中，单纯的局域网已不能满足应用的需求，网络的应用已很普遍地拓展到网络互连，即通过租用电信的通信线路(X.25、DDN等)将若干个局域网或营业网点的主机进行互连，这种互连大都采用路由器作为网络的接入设备。

在实际应用中，如金融系统的某个储蓄所，若采用上述方案，因路由器比较昂贵，所以投资较大。比较好的解决方法是用ValinkX25网卡通过电信通信线路与路由器连接，这样既可解决网络互连又可减少投资。这种连接在X.25通信线路中实现比较方便，但在DDN(或模拟专线、自架设专线)通信线路中，实现连接尚需在路由器的配置中做一些改进。下面将网络配置过程和改进方法概述如下。

1.路由器的参数设置

网络如果通过路由器的seria12口连接，参数配置如下：

interfaceseria12

ipaddress18.48.232.18255.255.255.0

encapsulationX25dce

X25address12345678

X25htc16

X25mapip18.48.232.1912345679broadcast

noipmroute-cache

2.Valink网卡的配置

在SCOUnixOpenServer中，Valink网卡的驱动程序安装、网卡IP地址的配置同X.25通信线路完全一样，但网管员须注意，此时网络IP地址选18.48.231.19，掩码为255.255.255.0，X.25的网络号为12345679，对方的网络IP地址是18.48.232.18，对方的X.25网络号为12345678，并增加路由：routeadddefault18.48.232.19(或routeadddefault18.48.232.18)。

进行上述配置后，Unix主机可以和路由器所在局域网段所有的机器通信。上述的配置方法实质是让DDN通信线路用X.25封装去实现路由器和Valink网卡的通信。

Modem直连路由器

企业如租用电信的X.25、DDN等通信线路，实现路由器与路由器的连接比较方便，但若使用模拟专线或自架设专线，则路由器与路由器通过Modem连接，网管员需在路由器的参数配置上做点改动，

具体配置方法如下。

设定路由器1的seria12口与路由器2的serial1口通过Modem直连。

1.路由器1的参数为：

iptfaceseria12

ipaddress10.251.68.9255.255.255.252

encapsulationX25dce

X25address12345619

X25htc16

X25mapip10.251.68.1012345691broadcast

Noipmroute-cache

2.路由器2的参数为：

interfaceserial1

ipaddress10.251.68.10255.255.255.252

encapsulationX25

X25address12345691

X25htc16

X25mapip10.251.68.9123454619broadcast

noipmroute-cache

Modem参数设置同专线X.25或DDN方式完全一样，但必须设定其中一只为主叫，另一只为被叫。配置好参数后，用ping命令测试证实路由器1与路由器2已连通。

Unix系统主机做IP路由器

Unix系统主机也可以配置成为IP路由器，假设Unix主机装有两块局域网卡(若使用一块局域网卡、一块广域网卡，如Valink网卡，配置方法同两块局域网卡，惟一区别是广域网卡的配置用Valink网卡驱动程序)，两块网卡的IP地址分别为18.248.232.200(掩码为255.255.255.0)、18.250.241.188(掩码为255.255.255.0)，两块网卡通过双绞线分别连入一个局域网(两个局域网不是同一网段，在Unix主机配置成IP路由器前，不能进行信息共享)，此时可将该Unix主机配置成IP路由器，使得两个局域网相互之间可以通信。配置方法是分别配置两块网卡，同时在配置第二块网卡的IP地址时，再选AdvancedOptions选项，将Gateways(网关)设为yes，重新链接核心。重启系统后，Unix主机已配置成IP路由器，两个局域网之间的主机可以相互通信，实现信息共享，即Unix主机可在两个网段间进行数据包转发。若在两个网段中分别有路由器，而路由器又连接另外的网段或主机，那么具体实现跨网段的通信方法如下。

设路由器1的局域网口IP地址为18.248.232.1(与18.248.232.200在同一局域网)，路由器2的局域网口IP地址为18.250.241.1(与18.250.241.188在同一局域网)，在两台路由器中需要分别增加IP路由如下：

路由器1：iproute18.250.241.0255.255.255.018.248.232.200

路由器2：iproute18.248.232.0255.255.255.018.250.241.188

增加路由后，两台路由器通过Unix主机(作为IP路由器)已连通，可以相互通信，但路由器1尚不能同路由器2的Serial口连接的网络或Unix主机进行通信，若需实现路由器1与路由器2的Serial口上连接的网络或主机通信(路由器2的Serial口已通过电信通信线路连通其他局域网或Unix主机)，设路由器2的Serial口连接路由器3，路由器3的局域网所在网段为20.15.18.0(掩码为255.255.255.0)，则需在路由器1与Unix主机中分别增加如下IP路由：

路由器1：iproute20.15.48.0255.255.255018.250.241.1

Unix主机：routeadddefault18.250.241.1

增加路由后，路由器1通过Unix主机可与路由器3所在的局域网段的所有主机通信。

以上所述均在SCOUnixOpenServer5.0.4和SCOUnixOpenServer5.0.5及Cisco路由器中实现。

freesys 回复于：-09-01 23:16:09在简单的两个网络里还可以，但是如果有路由协议就不能采用该方式

level 回复于：-02-27 18:44:22可以

监狱ip网络广播系统解决方案 第7篇

 概况及需求

监狱是国家司法机关的重要组成部分，担负着执行法纪、教育改造的重要使命。随着监狱管理需求不断增长，目前监狱广播系统的应用也不仅仅局限于公共广播的功能，因此建设一套功能完善的广播系统，既可实现整个监狱集中统一广播，又可实现分区、寻址及呼叫对讲等个性化的广播，以便利用这套系统向服刑人员提供专业丰富的科学、教育、法律及文化知识。

监狱的周边及门口是监狱与外界联接的部分，往往是在押人员越狱逃跑的地方，通过图像监控系统与广播系统联动发出警报、警示广播进行语音威慑，可以有效的保证在此看管的人员安全，并且可有效地配合监狱看管人员工作，防止在押人员越狱行为的发生。

为了防止监舍内意外事件发生，一般需要对囚犯的活动进行实时监控，监看囚犯在监舍内有任何违规活动，则通过监控报警系统与广播系统联动，狱警都可以通过远程控制中心广播来提醒囚犯注意，进行警示广播。若监舍内发生意外情况，犯人也可通过紧急求助终端向值班狱警求助。

监狱内部、食堂、室外操场等公共场合是犯人相对比较集中的地方。由于在押犯人情况混杂，容易出现各种异常情况，在狱警相对比较少的情况下，为保证各公共区域的人员、设施的安全，必须要有一定的安全监控报警措施。通过图像监控系统与IP网络广播系统联动，在出现非正常情况时，及时向现场在押犯人发出警示广播，同时向有关监狱管理部门发出报警信号，以便对各种紧急情况做出及时处理，有效保证看管人员及在押人员的安全，为监狱的整体安全与稳定打好基础。

 方案设计

IP网络安全管理系统探讨 第8篇

IP技术是随互联网的出现、发展而产生与发展的, 而互联网采用非连接、尽力而为的方式、不具备Qo S功能, 一度被认为非电信级网络。但随着NGN技术的快速发展, IP技术不断发展, 基于IP网络的MPLS技术、Qo S技术、MPLS TE/MPLS FRR保护技术、OAM技术等, IP网络已经演化成传统电信运营商的基础网络平台, 成为人们可以接受的电信多业务承载网平台。

近年来, Internet业务、Vo IP、网络视频、IPTV等IP业务发展迅速, 且全部实现了IP化。PON网络的全面覆盖, 电话业务也正在IP化, IP业务已占传输网络所承载业务量的绝大部分, 通信业务的IP化已成为不争的事实。

网络IP化是业务网络的发展趋势, 从核心层的IMS和软交换的应用, 到移动网络的IP化, 网络IP化减少了网络层次、降低了网络处理复杂度、提升了网络性能、减少了网络成本、增强了网络扩展灵活性、降低了网络管理复杂度。同时基于IP的应用, 可快速灵活地推出新业务并便于向未来平滑演进。面对业务IP化和网络IP化, 如何高效地承载IP业务是传输网络必须面临的问题。

2 城域传输网与IP网络关系

电信级IP网和Internet网的理念不一样, 电信级IP网必须能够支持所有的通信业务, 包括宏观范畴的公用或专用VPN业务、固定业务、移动业务和从业务特性划分的单一媒体或多媒体业务, 固定比特率或可变比特率业务, 实时或非实时业务, 单播或组播业务等。这就要求电信级IP网络要保证服务质量, 要有足够的安全性、可靠性和可运营可管理能力。Internet则不一样, 其主要任务是实现计算机互联, 用户在此基础上可以获得一些服务, 网络是以“尽力而为”提供传输服务准则, 无服务质量保证, 安全问题由用户自行解决。本文所讨论的IP网是指电信级IP网络, 并非Internet网络。

目前城域IP网络和城域传输网络分别组网, 即传输网与IP网络节点设备分离。IP网络规划好之后, 再配置相应的传输链路, 或通过光纤直连, 传输网络提供一个传送通道, 提供点到点的传输。传输链路在这种叠加的网络构架中IP网络对传输层提供的物理通道拓扑结构是不可见的, 也不区分传送层面是否具有丰富的链路连通度和网络可用性保护机制。这样造成IP网络规划并没有考虑如何更好地利用传输资源, 造成传送资源的浪费。其次, IP骨干网并未做到真正网状互连, 这种情况下, 路由器需要处理大量的中转业务, 随着业务量的迅速增加, 单台路由器的容量可能有70%~80%处理中转业务, 从而造成IP层的不必要浪费。

3 目前城域传输网络承载IP业务方式及特点

目前IP业务主流承载方式有:IP Over Fiber、IP Over SDH/MSTP、IP Over PTN、IP Over WDM/OTN。

IP Over Fiber:指光纤直连承载IP网络, 省略了传输设备, 路由器或交换机光模块直接经光纤连接, 是目前最为简单、便捷的连接方式。但光纤承载网不能给IP业务提供保护, 保护需要IP网络自身通过路由协议的方式实现, 电路中断后恢复时间在秒级以上, 难以满足电信级网络倒换不大于50ms的时间要求。

IP Over SDH/MSTP:SDH网络最初为承载TDM窄带业务设计, 在IP业务的驱动下, 虽然基于SDH的多业务传送平台 (MSTP) 技术得到了长足发展, 提出了VC虚级联、链路容量调整方案 (LCAS) 、通用成帧规程 (GFP) 、弹性分组环技术 (RPR) 和Martini MPLS等技术, 形成了多业务传送平台 (MSTP) 设备。

MSTP利用TDM的机制, 将SDH中的VC指配给以太网端口, 独享SDH指定的线路带宽, 业务的带宽、安全隔离有保证, 适合有较高Qo S的以太网租用业务和核心层应用。但这种方式基于固定时隙结构, 不具备动态带宽分配特性, 无法实现流量控制、业务统计复用和带宽共享, 难以适应IP业务突发性与速率可变性的特点, 业务带宽利用率较低, 缺乏灵活性。MSTP设备所改善的只是接口和传送能力, 设备的核心结构仍然为时隙交换, 不能有效地利用分组技术统计复用的优点, 难以满足以分组业务为主的应用需求。

IP Over PTN:PTN是基于分组交换的、以分组处理作为技术内核、面向连接的多业务统一传送技术。PTN分组内核提供了统计复用能力、强大的弹性管道, 带宽利用率高, 更适应分组业务突发性强的特点。PTN以承载电信级太网业务为主, 同时继承了类似SDH的传输网络特性, 包括快速的业务保护和恢复能力、端到端的业务配置和管理能力、便捷的OAM和网管能力、严格的QOS保障能力等的同时, 还可提供高精度的时钟同步和时间同步。目前国内通信网络运营商建设PTN网络主要是解决IP化基站的电路回传以及重要的大客户电路传送。PTN网络很好地解决了中、小颗粒IP业务电路传送的需求, 但目前PTN设备组网只支持10GE、GE两种速率组网, 受PTN设备网络侧带宽的限制, PTN网络对大颗粒、大规模的IP业务需要采用网络叠加的方式组网, 比较浪费光纤、设备槽位资源。

IP Over WDM/OTN:基于WDM的IP承载解决了核心层传输带宽的问题, 但由于受WDM技术自身特点的限制, 不具备开销处理能力, 无法对通道运营质量实施有效监控, 配置通道保护时灵活性较差, 也不具备交叉功能, 无法进行组网运用。OTN技术就是针对WDM的不足而开发出来的。由于OTN加入光开销实现了对各类通道的质量监控, 具备了光波道、ODUk不同等级颗粒的交叉能力, 且可加载自动交换光网络智能控制平面, 因此基于OTN的IP承载的适应性得到了很大拓展, 但由于目前商用化的OTN设备在电层主要是继承了SDH技术, 采用时隙交叉, 对IP化分组业务处理能力不够。

4 业务、网络IP化对传输网络的要求

4.1 分组化

面对通信业务的加速IP化以及多样化的业务环境, MSTP设备通过端口IP化和相关技术的应用, 解决了MSTP网络承载IP业务的问题, 但这种承载方式, 是一种粗旷性的承载, 是一种过渡。采用MSTP网络承载IP业务, MSTP网络配置处理复杂、带宽效率低、成本高、网络扩展性差, 不能有效地利用分组技术统计复用的优点。随着TDM业务在网络中占的比重逐渐下降及“全IP环境”的逐渐成熟, 传送设备要从“业务接口IP化”转变为“传输设备内核IP化”。

从网络IP化的发展路径来看, 网络IP化应该逐步实现接口IP化、内核IP化、业务IP化、全架构IP化。网络IP化对传输网络的要求也是逐步提高的, 首先是对接口的支持, 进一步是对IP化业务的分组处理传送功能的需求, 最终将是传输网络和IP网络的融合组网, 在联合设计之下实现传输网络和IP网络的效率、生存性和成本的最优化。

4.2 大容量化

随着3G移动网络的大规模部署、建设, 大量移动业务的应用以及高速下载给用户带来了新的感知和体验, 用户逐渐接受这些新的应用并形成习惯, 大量平板电脑、手机和其他智能设备终端入网, 同时高速增长的互联网用户和更高宽带接入速度, IPTV、VOD、网络视频业务、P2P下载等, 以上这些变化在传输网络核心层体现的就是大容量带宽需求, 而且带宽需求逐年递增, 且有指数增长的趋势, 传输设备大容量化、传输网络带宽大容量化是满足新增业务需求的前提。

4.3 智能化

由于IP业务的分配不像过去电话业务流量比较均衡, 它动态性、突发性强。作为通信网络运营者, 很难对瞬时的业务量作出恰当评估。这就需要网络智能化, 能根据用户需求作出响应, 动态地建立传输路由, 将业务量的突变与光路由的建立联系起来, 实现网络资源的动态分配, 更迅速地引入各种新的业务。当网络出现故障时, 它能够根据网络拓扑信息、可用的资源信息、配置信息等动态地实现最佳恢复路由。

5 传输网与IP网络融合探讨

为顺应网络IP化, 作为业务承载的传输网络设备接口IP化、内核分组化是网络发展的必然趋势。而在传输网络演进的过程中, 城域传输网与IP城域网又是怎样的关系?是网络的替代、网络的叠加还是功能的融合?这是传输网络演进必须思考的问题。

业务需求是网络发展的动力, 网络现状是基础。在传输网络接入层, PON接入技术很好地解决了用户最后一公里接入的问题, 但是PON技术主要是针对普通用户, 解决了用户语音、Internet上网和普通大客户组网等需求。但PON网络采用星形结构组网, 网络安全性、可靠性不高, 不能满足对网络安全有要求的大客户接入。针对网络安全有要求的大客户IP业务需求, 通信网络运营商主要采用MSTP或PTN方式接入, 对于中小颗粒、规模不大的电路需求, 以上两种技术都能很好解决用户接入需求, 但随着用户带宽的增加, MSTP网络会过快消耗网络资源, 最终不能满足业务需求。为了解决传输网络带宽、带宽利用率的问题, 必然会形成一种整合传输和IP技术的综合产品。PTN、IPRAN目前主要是为解决3G基站以及未来的LTE电路回传和中小颗粒大客户业务接入, 但并不能解决目前所有业务的接入, 是传输网络IP化的一种过渡产品。

采用不同的接入技术和不同的网络来接入不同的业务, 这是目前的接入网络现状。从通信网络运营商保护现有投资的角度考虑, 这种现状有可能会持续一段时间。但随着技术的发展、传输网络的IP化, 特别是传输网络已具有1层和2层的功能, 采用一张接入网络面向所有的业务, 不同的业务根据业务的Qo S要求, 对业务SLA管理是传输接入网络发展的必然趋势。

在城域网核心、汇聚层业务进行汇聚、收敛, 传输网络需要解决的是带宽问题, 必须有足够大的带宽才能满足业务的承载。IP业务经过汇聚后, 并发率明显高于接入层, 但为充分利用传输带宽, 设备具备分组功能也是必需的。随着业务的带宽不断增加, 可能现有速率的一个波长不能满足业务的带宽要求, 为了避免网络的叠加建设, 设备具备WDM能力也是网络发展的必然趋势。通信网络运营商为满足不断增长的IP业务承载, 近几年也加大了OTN设备下沉的力度, 但现网配置的OTN设备在电层大量继承了SDH技术, 基于时隙交叉, 随着IP业务的所占的比重逐渐提升, 基于分组的OTN设备 (POTN) 会很好适应未来网络的发展, 并且能满足未来所有业务一张网络承载的需求。

IP网络和传输网络都具有保护、恢复功能。从故障恢复的速度、复杂度来说, 传输网络的保护和恢复机制优于IP网络, 特别是对于一些点到点、业务量大的场合, 光网络的保护方式优点比较明显, 可以在很短的时间 (<50ms) 内应对光纤切断等故障, 而且无须高层协议和信令的介入。但是对于传输节点瘫痪等故障, 传输网络的保护和恢复机制无法处理, 必须依靠IP网络的保护和恢复机制参与。因此, 在一个规模大、节点多的网状 (Mesh) IP光网络中, 采用传输网络和IP网络联合保护机制。首先从光网络层进行保护, 若在某个确定的计时期间内无法恢复再转由IP层进行恢复是较为可行的一种方法。

6 结语

网络IP化促使传输网络IP化, 采用一张传输网络来承载所有业务, 根据业务Qo S要求, 对业务进行SLA管理是未来传输网络的发展趋势。即使如此, 传送层和IP层也会长期以重叠网络方式共存, IP层应注重节点的、端口的保护。传送层重选路由时带宽颗粒大, 恢复方法更有效, 尤其是对于光缆切断之类的大故障, 传送层的恢复快而且简单。

摘要：随着IP业务、IP技术的迅猛发展及大量应用, 业务网络IP化是业界公认的一种发展趋势。面对网络IP化这一发展趋势, 作为承载主体的传输网络如何来顺应这一发展趋势、如何来承载IP化业务的需求是当前传输网络发展必须思考的问题。本文从国内通信网络运营商传输网络承载IP业务的现状着手, 进行优缺点分析, 同时结合IP业务的特点、现有城域传输网络与IP城域网络的关系, 分析未来传输网络必须具备的特点以及传输网络分组化的演进进行探讨。

关键词：OTN,PTN,MSTP,POTN,QoS,SLA

参考文献

[1]光传送网 (OTN) 多业务承载技术要求[S/OL].[2011-10-15]http://wenku.baidu.com/view/21e36552f01dc281e53af03b.html

[2]唐剑锋, 徐荣.PTN-IP化分组传送[M].北京:北京邮电大学出版社, 2010

TCP／IP协议安全问题的探讨 第9篇

IP网络安全管理系统探讨 第10篇

最简单的办法就是――禁止终端用户修改网络配置!

隐藏网络设置界面

如果将网络连接等设置对象隐藏起来，用户就无从下手了，此时即可达到维护IP地址的目的。首先在终端上打开注册表(regedit)，依次展开“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”，在右侧键值窗口中新建然后一个名为NoNetHood的双字节值，并将其值设置为1，这样就无法通过桌面的网络邻居进入TCP/IP设置界面了。

接下来在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork”创建一个名为“NoNetSetup”的双字节值，并将它设置为1;以后终端用户再想打开“网上邻居”或“网络”属性窗口时，将会看到无权访问的提示，

注销组件防止篡改IP

很多用户为了达到某些特殊的目的会在TCP/IP中修改地址，这对于管理员的管理工作带来了麻烦。基于目前常见的Windows /XP系统，其IP地址修改无非调用了Netcfgx.dll，Netshell.dll和Netman.dll三个文件，只要将这些组件注销即可达到保护IP地址的目的。在运行窗口中分别输入Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll将三个组件注销。这样在整个系统中将无法修改IP地址了。恢复的时候可以分别使用命令Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll进行恢复。建议管理员将其制作成批处理文件，进行统一的执行操作。

绑定IP地址

以上的两种方法针对一般用户比较有效。但如果终端用户自行修改，则又可以自由的修改IP地址了。此时可以通过IP与MAC地址绑定，然后在服务器端控制的方法达到一劳永逸。