边界网络范文（精选12篇）

边界网络 第1篇

关键词：GSM网络,漫游,小区选择,接入控制参数

一、边界漫游问题概述

为了减少漫游投诉, 边界地区的覆盖控制成为双方优化人员的一项主要工作内容。无线信号的漂移、反射、绕射等传播使覆盖控制变得很困难, 边界漫游现象很难杜绝。相邻分公司之间往往因为边界覆盖问题反复交涉, 结果却很难使双方用户都满意。

边界地区没有漫游权限的用户还有更严重的一种投诉。漫游权限的判断在网络侧而不是在无线侧, 也就是说用户驻留到小区之后才能判断用户是否有权限使用该小区, 这就导致了边界地区一些没有漫游权限的用户开机后由于驻留到对方小区被提示拒绝服务, 用户被拒绝服务后并没有继续搜索可用小区的流程, 从而产生无网络可用的投诉。

二、边界漫游问题解决方法探讨

我们先来看一下GSM协议描述的手机用户开机驻留服务小区的过程。当移动台开机后, 它会试图与一个公用的GSM运营商取得联系。移动台将选择一个合适的小区, 并从中提取控制信道的参数和其他系统消息。这种选择过程称为“小区选择”。小区选择过程分为两种:

1、无存储表的小区选择过程。

如果移动台SIM卡中并没有存储BCCH信息, 它将首先搜索所有124个RF信道 (如果是双频手机, 还要搜索374个GSM1800频段的RF信道) , 并测出每个信道的接收信号强度, 计算出每个信道的平均电平, 整个测量过程需要3~5秒, 在这段时间内, 移动台从每个信道上至少获得了5个测量样点。然后, 移动台首先调谐到接收电平最大的载波, 并判断该载波是否为BCCH载波 (通过搜寻FCCH脉冲) , 如果是, 移动台尝试解码SCH同步该载波, 然后读取BCCH上系统消息, 如果移动台能正确读取系统消息并证实:该小区属于所选的运营商、C1大于0, 移动台的接入等级不被该小区禁止, 则手机进行位置更新, 通过后移动台就驻扎该小区;否则, 手机就调到次高载波进行相同程序的判断。

2、有存储表的小区选择过程。

移动台在关机时, 会存储一定的BCCH载波消息, 则开机时首先搜索已经存储的BCCH载波, 如果移动台可以译码该小区BCCH数据, 但不能驻留 (驻留条件与无存储表的小区选择过程相同) , 移动台会检查该小区的BA表BCCH, 若仍都不能通过, 则手机启动无BCCH表的小区选择过程。

依照GSM协议描述的用户开机选择小区过程, 我们可以看到, 用户要驻留到一个小区, 那么这个小区要满足3个条件:该小区属于所选的运营商、C1大于0, 移动台的接入等级不被该小区禁止。也就是说当我们不想让一个用户驻留到一个小区, 只需要破坏三个条件中的一个。第一个条件是判断归属运营商的, 这个条件保证了移动公司的用户不会占用联通公司的网络, 联通公司的用户也不会驻留到移动公司的小区;第二个条件与覆盖有关。这个条件是很宽松的, 一般只要用户手机接收电平在-100dbm以上就可以满足这个条件。通过调整天馈的方向和倾角来可以影响小区的覆盖范围。不过正如前文提到, 无线信号飘忽不定, 实际上无线覆盖不可能做到像行政区划分那样严格界定。也就是说通过调整小区覆盖只能缓解、而不能消除边界漫游问题;第三个条件是我们分析的重点。我们再来看一下GSM协议中对接入等级的描述。

GSM规范0211规定一般给每个GSM用户分配一个接入级别。接入等级分为等级0至等级9等十种, 他们存储于移动用户的SIM卡中 (接入等级数值的大小并不表示接入优先级的高低) 。对于一些特殊用户GSM规范保留有5个特殊的接入等级, 即等级11-15, 通常具有较高的接入优先级, 特殊用户同时可以拥有一个或多个接入等级 (11-15之间) , 他们的接入等级同样存储在用户SIM卡中。

接入等级为0-9的用户, 其接入权力同时适用于归属的运营商和拜访的 (漫游的) 运营商;接入等级为11和15的用户, 其接入权力仅适用于归属的运营商;接入等级为12、13、14的用户, 其接入权力适用于归属运营商所属的国家区域内。

接入等级为11-15的用户比接入等级为0-9的用户具有较高的接入优先级。

通常接入等级的分配如下:

等级0-9:普通用户;

等级11:用于运营商的管理等;

等级12:安全部门应用;

等级13:公用事业部门 (水、煤气等) ;

等级14:紧急业务;

等级15:运营商职员。

接入等级控制参数由16比特组成, 分别为C0-C15, 以比特映射的方式分别对应于15个接入等级 (C10用于表示紧急呼叫允许) 。某一比特为1表示不允许具有相应等级的移动台接入本小区, 否则允许接入。

如果要禁止用户接入本小区, 只需要将该用户接入等级对应的接入等级控制参数的比特位置1。如在基站的安装、开通过程中或在对某些小区的维护测试过程中, 可将所有比特位全设为“1”, 以强行禁止不同用户的接入从而减少对安装工作或维护工作的影响;一般服务小区的接入控制参数设置为全0, 即允许所有用户入网。

由以上GSM规范描述可以看出, 通过网优参数设置破坏第3个条件是有可能的, 下面是边界漫游问题的解决思路。

三、边界漫游问题解决方案

边界漫游区域如图1所示。 (图1)

由上图可知C地的用户和D地的用户会产生边界漫游问题。如果能够禁止D地用户接入A小区, 禁止C地用户接入B小区, 那么就不会产生边界漫游了。

通过前文GSM协议的分析, 如果把A小区的接入控制参数 (C0-C9) 设置为0000000100 (表示允许级别7外的用户入网) , 而在D地用户只使用接入等级为7的SIM卡, 那么D地的用户就无法接入A小区。同样, 把B小区的接入控制参数 (C0-C9) 设置为0000000010 (表示允许级别8外的用户入网) , 而在C地用户只使用接入等级为8的SIM卡, 那么C地的用户就无法接入B小区。这样就在边界形成了一个隔离带。

C地的用户在开机时, 即使对方B小区的信号很强, 由于用户的接入级别被禁止, 用户不能接入该小区。按照GSM协议描述, 用户将继续小区选择, 驻留到A小区。D地用户同样也不能接入A小区, 而只能驻留到B小区。

还有一些边界地区是三方交界的, 如图2所示。 (图2)

要解决图2的边界漫游问题, 把A小区的接入控制参数 (C0-C9) 设置为0000000110 (表示允许级别7、8外的用户入网) , 把B小区的接入控制参数 (C0-C9) 设置为0000001010 (表示允许级别6、8外的用户入网) , 把C小区的接入控制参数 (C0-C9) 设置为0000001100 (表示允许级别6、7外的用户入网) 。

A地的用户使用级别6的SIM卡, B地的用户使用级别7的SIM卡, C地的用户使用级别8的SIM卡。这样三地的用户就都只能接入自己的小区, 不会产生边界漫游。

一般情况下, 服务小区的接入控制参数都是设置的全0, 就是说所有级别的用户都可以正常接入。这就保证了边界地区设置了用户级别的用户离开边界区域后可以正常使用。

四、总结

边界网络 第2篇

用网络滤波方法探讨华北地块边界带运动

介绍了用GPS连续观测资料反演断层运动的方法--网络滤波方法.用此方法探讨了华北地块边界带运动特征,并与发生在边界带附近和地块内部的地震活动及周边强震进行了比较,得出以下初步结论:郯庐大断裂和山西断陷盆地带的`滑动量为1 mm左右,整体活动水平有减弱的趋势;张家口-渤海断裂带滑动量为0.5mm左右,活动性逐渐增强;秦岭-大别山断裂内滑动量为0.5 mm左右,活动性逐渐减弱.在底至底一年左右的时间内,华北地块边界带的滑动速率发生较大幅度的变化,同时,各边界带(秦岭-大别山断裂除外)的地震活动水平在20底达到高峰,说明边界带滑动速率急剧变化的结果导致边界带附近地震活动水平的加剧.另外,边界带滑动的特点表明了华北地块构造运动的整体性,推断华北地块的地壳运动可能与来自地球深部的地幔对流有关.

作 者：方颖 江在森 顾国华 FANG Ying JIANG Zai-sen GU Guo-hua 作者单位：中国地震局地震预测研究所,北京,100036刊 名：地震研究 ISTIC PKU英文刊名：JOURNAL OF SEISMOLOGICAL RESEARCH年，卷(期)：30(2)分类号：P315.2关键词：网络滤波 GPS时间序列 地震活动 华北地块

论网络自由的现实边界 第3篇

关键词：网络安全；言论自由；现实边界

D921；F49

边界本是地理学名词，亦称疆界，是指划分不同政权管制的区域、领地等范围的地理分界线，进而可标示该区域的范围。边界一词也被广泛引用于生产、生活和自然科学、社会科学的研究当中，表明彼此之间存在权属划定的界限。这里所指的边界就是指言论自由和言论失范之间区分的界限，言论自由只要在其边界范围内就可以充分正当地实现。反之，就会受到法律的制裁和道德责难和非议。在网络空间中，网络是虚拟的，但网络言论是真实，发表言论的主体和受体都是真实的。所以，在发表网络言论时，必须以不得损害其他合法利益、权利与自由为界限。这就是说，言论自由是有边际的，言论自由是一个相对概念，没有绝对的言论自由。

一、网络自由必须以法律为底线

人们在现实世界获得的经验表明，合理的行为规范是自由实现的条件，个人自由的行使以不妨碍他人自由的实现为界限。因此在网络空间，自由与规范也是相辅相成的。由于网络空间中各种失范现象层出不穷，严重挑战现实的法律制度，也明显侵害他人的合法权益，所以规范网络空间秩序是防止网络自由异化，维护网络自由的唯一选择。事实上，自由从价值层面转化到现实层面，通常表现为系列现实的权利，包括法律明文规定的权利和法律没有禁止的行为，不论是前者法律肯定的积极权利还是后者法律留白的消极自由，都需要通过法律明文向社会公开发布。所以“法律不是压制自由的手段，正如重力定律不是阻止运动的手段一样，……法典是人民自由的圣经”（马克思，恩格斯.马克思恩格斯全集：第1卷[M1.北京：人民出版社，1955：176）

在法制国家，言论自由是个人的基本权利，是民主和法制的基石。网络言论自由有利于民主的更好实现，有利于文化传播，也舒缓了人们身心的压力，而其更重要的意义还在于经由思想和思想表达的自由，存利于形成一种更加进步、更加开明的社会制度，在这种社会制度下，个体作为人的尊严会得到最完全的体现。网络自由作为公民的一项基本权利，它将成为社会意识的一种表达。作为手段它促进人类利益，作为目的，它是人类奋斗的目标，这种思想自由与权利不仅会促进个人的自由发展，也为人类自由而全面的发展打下了坚实的基础。

为了统领互联网规范，约束虚拟社会行为，必须健全管理机制，完善相关法律法规，才能有效保障网络社会的自由、平等、安全。目前的互联网上却依然充斥着种种网络失范现象，其中谣言信息的传播是目前网络管理中的一个难题，因为人们缺乏诚信而又自律不强，网络就成了不良信息泛滥的理性场域。仅仅依靠道德自律远不能拥有和谐有序的网络环境，至少在目前很长的一个时期，要想杜绝谣言信息的传播，我们还必须同时依赖于相关的法律手段和技术手段。法律在网络社会依然是调节社会关系、约束人们行为的重要手段。对于缺少道德责任感和良知的人来讲，法律须以“硬”的惩戒手段来维护网络社会的公平与正义，杜绝谣言的传播。但是针对网络管理的各种法律还不系统，针对性不强且具有滞后性，所以，网络空间的相关立法就显得迫在眉睫了。技术控制可以在一定程度上对谣言信息进行预防。互联网是高科技的产物，从理论上讲，我们可以采取一定的技术手段对网上的谣言信息进行预防，并对已经发布的谣言信息进行惩戒，比如安装“防火墙”防止非法者介入，对网络信息内容进行审察，对局域网加强控制访问等等。

我国是成文法国家，对于法律制度的基本要求是法典化和明确化，以便实现法律适用上的统一。因此需要在法律规范中给网络言论自由确定一个可量化的界限，确定这一界限应当以法益为基本视角，如果网络言论侵害了受法律保护的实体利益并达到一定程度，即可界定为网络犯罪或者网络侵权。

二、网络自由必须以安全为原则

网络时代的到来使以地域为存在前提的民族国家受到日益严重的冲击和削弱。网络技术的不断发展导致影响国家安全的因素不再局限于有形，如计算机病毒通过网络传播可能造成难以挽回的安全损失，维基解密、棱镜门监听事件以及黑客对国家秘密信息中心的攻击，都严重影响国家安全和秩序。在国际社会仍以各个主权国家为主要主体的现实格局下，网络一旦成为国家的信息基础设施和载体，那么网络安全自然就属于国家安全的重要组成部分，对网络依赖程度越高，网络安全的形势就越严峻，政府有义务履行网络监管的职责，以维护国家和社会的稳定与安全。

首先是国家利益边界。不管任何时期，国家的安全利益都是非常重要的。网络言论中触及到危害国家主权、煽动分裂国家、泄露国家秘密、激化民族矛盾等形式的言论，就超出了言论自由的范畴。其次是社会公共利益。利用网络进行线上线下联络恐怖主义活动、恶意诋毁特定群体生活习惯和生活方式，造谣生事煽动社会恐慌等形式的网络暴力言论，实在地扰乱了社会公共秩序，影响了社会安定和谐，侵害这些利益的网络言论显然也不属于言论自由的范畴。再次是受法律保护的私人利益。这类网络暴力言论主要表现对特定主体的侮辱、诽谤、人身攻击、人肉搜索以及曝光个人信息和隐私等，侵犯的主要是受害者的名誉权、隐私权和肖像权。是否强调受法律保护的私人利益，学术上存在争议，但笔者认为法律保护的核心是合法权益，对于不属于法律所保护的利益，原则上无论其真实与否，都不能納入对网络言论规制的范畴。

互联网是一个政治空间，网上充斥着形式多样的政治斗争。互联网的发展在很大程度上冲击着现实世界中的民族国家观，因为互联网在本质属性上具有全球性而不是国家性，这使得以地域作为存在前提的民族国家受到严重的消弱与冲击。在现实世界存在着政治斗争的大背景下，网络空间不仅依然会受到现实世界的影响，在某种程度上还可能会加剧。所以，各个国家已将网络信息安全当作国家整体安全战略的重要组成部分。由于互联网所特有的幵放性、讯时性特点，其中的一般性局部事件都会在瞬间演变成全局性的重大事件从而危及国家的安全。网络自由离不开现实世界中的政治、经济控制，网络社会中所谓的“虚拟”也是现实人的虚拟，其内容也离不开现实社会的内容。因此，必须将网络自由和政府监管结合起来，使政府承担起维护国家安全的责任。网络自由涉及国家安全，这是我们规定网络自由及其限度的正当性与合理性时应予重视的。

三、网络自由必须以文明为旨归

首先，培养网民的道德自律意识，提高网络主体的道德修养。英国著名历史学家汤因比在《选择生命》一书中曾指出：“要对付力量所带来的邪恶结果，需要的不是智力行为，而是伦理行为……”（王正平，周中之.《现代伦理学》北京：中国社会科学出版社，2001，第405页）互联网上的许多典型事例一再告诫人们：科学技术越是发展，越是要求人的道德自律。提高网民的道德自律性，需要培养“慎独”意识。所谓“慎独，是指人们在独自活动无人监督的情况下，凭着高度自觉，按照一定的道德规范行动，而不做任何有违道德信念、做人原则之事。可见，这是一种很高的境界，是提高自我道德修养，实现道德自律的重要方法。尤其在当今虚拟网络环境下，主体的匿名化、数字化，人际关系的间接性，使得直接的道德舆论约束难以进行，道德舆论的承受对象也变得很模糊，而且，在当今市场经济浪潮的冲击下，很容易受利益诱惑迷失方向，更需要网络主体警惕、谨慎，有意识地磨练自己的意志，培养以“慎独”为特征的道德自律。在康德看来，作为理性存在者的人，有意志自由，能够为自己立法并能执法，因此应该对自己的行为负责……理性给自己立法，就是人的自由。（宋希仁.《西方伦理学思想史》湖南教育出版社，2006.第507页）“慎独”原则正是需要自由的网络主体自己给自己立法，运用理性去控制自我。只有这样，人们才能从异化状态中解脱出来。

其次，加强对网络主体伦理知识的宣传教育，充分发挥网络社会的舆论力量。强化网络道德规约，普及网络伦理知识，需要相关政府机构和单位采取具体措施，进行大规模的宣传和教育，尤其是針对青少年的宣传和教育。网络主体只有在掌握网络空间应遵循的基本道德时，才能以此来规范自己的网络行为，才能在是非、善恶、美丑之间进行权衡和取舍，使自己的道德境界不断升华。同时，这种网络道德一旦形成良好的氛围，就会在网络社会发挥正确的舆论导向，褒扬好的行为，谴责不道德的行为，用正确的人生观、价值观、道德观引导网民的自由行为，使网络社会健康发展。

再次，需要大力培育广大网民的网络素养和“免疫力”，用社会主义核心价值观占领国内网络意识形态阵地，并改进和创新宣传的方式方法，使广大网民受到耳濡目染、潜移默化的教育和引导，从而在思想深处认同社会主义制度、维护党的领导，自觉抵制错误思想、不良言论的侵害，并与之开展斗争，成为捍卫我国主流意识形态安全的一支常备力量。

有一点需要我们警醒，虽然从技术角度考量我们可以采取一套安全有效的机制来杜绝谣言信息的传播，但互联网绝不仅仅是技术问题，电脑不具备人性，从根本的途径上看，道德是技术控制和法律控制的基础，三位一体才能较好地进行网络管理，杜绝谣言信息的传播，营造和谐、有序的网络管理。

总之，网络赋予人们更多选择的权利，也意味着需要承担更多的责任和义务。人们在享受网络带来自由的同时，也要对自身的网络行为有所约束。只有不断增强自律意识和底线意识，自觉遵守网络社会道德规约，恪守网络自由的边界，网络社会才能稳定健康发展。

作者简介：

刘莉，女，1978年11月，湖北武汉，汉族，讲师，中职，军事文化；

浅析CDMA无线网络边界优化 第4篇

其中, 不同厂家设备的省际边界问题最多, 通常采用调整天线、统一PN规划、开通硬切换、开通IS-page2等方法来解决。

1 天线调整

在前期的网络规划和建设中, 由于本地网之间缺少沟通和交流, 边界基站的选址存在不合理的情况, 有的建在离边界很近的地方, 造成无线信号越过边界覆盖到对方辖区内。与GSM不同, CDMA是自干扰系统, 目前1x语音业务基本都是同一频点, 边界基站之间没有做切换, 信号越区覆盖到对方, 对方基站视其为干扰信号, 这样, 边界基站相对于对方基站来说就是一个同频干扰源。调整天线的方位角和倾角是最有效的解决方法, 能够尽量避免信号覆盖到对方区域内。

从图1可以看出, 南徐村和馆陶车疃基站的第二扇区方位角设置不合理, 这两个基站离边界都很近, 第二扇区天线主瓣正对着对方覆盖。对于这两个基站, 可以将第二扇区天线的方位角调整到180度, 边界区域用天线的旁瓣覆盖即可。天线是个无源器件, 天线增益、水平波瓣、垂直波瓣是相互制约的, 天线的增益与波瓣成反比例, 高增益的天线波瓣比较窄, 低增益的天线波瓣比较宽;在相同增益的情况下, 水平波瓣比较宽的天线, 垂直波瓣比较窄。图1中, 靠近边界的扇区, 可以选择水平波瓣比较窄、增益比较高的天线, 使天线的能量向正前方集中, 减少旁瓣的覆盖, 再调整好天线的方位角, 就能较好地控制信号的越区覆盖。在本案例中, 边界三扇区基站可以选择水平半功率角为45度、增益为18d Bi的天线, 这样能更好地提高无线信号利用率。

2 PN码规划

CDMA系统中, PN码在前向信道用于区分不同扇区。在进行PN规划时, 分配给基站扇区不同相位偏置的PN码, 相邻扇区不要分配邻近相位偏置的PN码, 相位偏置的间隔要尽可能大些。

在PN规划时, 还存在一种隐含的问题, 这就是Two_way、One_way现象, 如图2所示。

假设基站A和基站D使用同一组PN码, 而且基站间距离也满足PN复用的要求, A1和B1、B1和C1、C1和D1分别是互为邻区关系。在移动台处理B1与C1的软切换过程中, 移动台收到的Neighbour List将是B1与C1的合集。因此, 如果B1与C1的邻小区关系的优先级别较高的话, C1的信息是会加到合并的Neighbour List里面的。在C1的neighbour_list中有D1的PN, B1的neighbour list中有A1的PN, 手机分不清该PN是A1还是D1的, 在切换过程中就可能造成掉话, 这种现象就是two_way。

如果基站A和基站C的PN相同, A1和B1、B1和C1分别互为邻区, 当手机从B1切往C1时, 由于A1和C1同PN, 手机分不清到底是A1还是C1的PN, 在切换过程中, 很容易造成掉话。这种现象称之为one_way。可以通过修改PN或者删掉不必要的邻区来解决two_way、one_way问题。

在PN规划时, 双方一定要相互沟通, 相互交换基础数据库, 以避免相邻基站同PN、one_way及two_way现象。

3 硬切换

与GSM不同, 在CDMA系统中, 要实现不同本地网之间的切换, MSC之间需要增加中继电路, 而且不同的厂商之间是属于硬切换, 硬切换的成功率比较低, 大约只有80%左右。如果边界区域双方信号重叠覆盖范围比较大, 即便进行调整但重叠覆盖范围仍很难缩小, 而且用户较多, 在此区域不宜开通硬切换。因为随着信号强度的变化, 手机会发生乒乓切换, 由于硬切换的成功率较低, 这样会增加掉话的次数。如果没有开通硬切换, 手机占用业务信道后就不会发生切换, 直到手机的误帧率超过门限值后才发生掉话。硬切换适用于高速公路、铁路、国道沿线的基站, 用户在车上越过边界后发生切换, 进入下一个业务区, 不会出现乒乓切换, 也不会掉话。相同厂家设备, 不同的本地网MSC之间通过中继电路, 可以实现软切换, 软切换的成功率很高。

4 边界寻呼成功率优化

在日常的网络优化中, 经常接到用户投诉, 反映边界区域不能正常接听电话, 但能正常拨打电话。造成这种情况的原因, 是手机在边界区域切换频繁, 不能及时在VLR中登记。当手机从MSC1切换到MSC2后, 手机将在VLR2中登记注册;登记成功后, 将删除VLR1中的登记记录, 这样手机就可以正常被叫。但是在边界区域, 两个MSC下的基站信号重叠区域比较大, 手机频繁在两个MSC之间切换, 为避免手机频繁登记, 系统设置两次登记的最小时延t1。当手机由MSC1切换到MSC2, 在t2时间后又切回到MSC1, 手机先登记到VLR2, t1时间后再到VLR1中登记。当t2

通常办法是调整边界基站, 以减少信号的重叠覆盖, 避免手机乒乓切换。但是由于无线信号的特殊性, 很难从根本上解决该问题。要彻底解决, 必须开通IS-page2功能。IS-page2主要功能就是先在被叫最后一次登记的MSC下基站范围内寻呼该用户, 当寻呼完成后还没有收到寻呼响应消息, 系统二次寻呼时在对本局寻呼的同时也对IS-page2所定义的对方边界基站发寻呼消息。这样, 只要IS-page2基站区域设置合理, 边界用户的寻呼成功率将大大提高, 基本解决被叫暂时无法接通的问题。

5 边界PN规划优化案例

5.1 问题现象

2009年6月, 陆续接到用户投诉, 反映在冠县东古城、斜店、乜村区域通话断续、掉话。

5.2 指标分析

从以上的统计可以看出, 这三个基站的掉话较多, 尤其是乜村第二扇区、斜店第一扇区、东古城第二扇区掉话特别突出。

5.3 问题分析与处理

从基站的分布来看, 这三个基站相邻, 很可能是某个扇区出现故障、造成周边基站不能正常运行, 但是从OMP上来看没有任何告警。通过对几个基站的ROP报告进行分析, 发现出现切换掉话情况。下面是193基站的切换掉话记录。

06/03/09 09:01:52#878938

A 01 REPT:CELL 193 CP FAILURE, AN-SWERED ORIGINATION

CALL SHUTDOWN

CALL SHUTDOWN REASON-HANDOFF COM-PLETE TIMEOUT[10]

CALL RELEASE REASON-INTERNAL ERROR BY EITHER SIDE[1]

DCS 11 TG 996 TM 561 SG 0 ANT 1

CARRIER 1, CHAN 283 FS-ECP ID 1, SYS ID13953

DN 1331062****, MIN 092625****, IMSI UN-AVAIL

SN X98a4af6c MEID NA SCM 2a

ALW CDMA, ASGN CDMA

CDM 1, CCU 1, CE 26, PP 1, ECP ID 1, SYS ID13953

CELL 6, CDM 1, CCU 1, CE 6, PP 1, SECTOR 3, ECP ID 1, SYS ID 13953

CELL 144, CDM 1, CCU 1, CE 14, PP 1, SEC-TOR 1, ECP ID 1, SYS ID 13953

CELL 193, CDM 1, CCU 1, CE 26, PP 1, SEC-TOR 2, ECP ID 1, SYS ID 13953

A 03 REPT:CELL 193 CP FAILURE, AN-SWERED TERMINATION

CALL SHUTDOWN

CALL SHUTDOWN REASON-HANDOFF COM-PLETE TIMEOUT[10]

CALL RELEASE REASON-INTERNAL ERROR BY EITHER SIDE[1]

DCS 11 TG 996 TM 124 SG 0 ANT 2

CARRIER 1, CHAN 283 FS-ECP ID 1, SYS ID13953

DN 1531577****, MIN 615070****, IMSI UN-AVAIL

SN X0a91b8d3 MEID NA SCM 2aALW CDMA, ASGN CDMA

CDM 1, CCU 1, CE 11, PP 1, ECP ID 1, SYS ID13953

CELL 144, CDM 1, CCU 1, CE 35, PP 1, SEC-TOR 1, ECP ID 1, SYS ID 13953

在ROP报告中, 这三个基站的handoff complete timeout记录很多。根据以往的经验, 切换掉话一般是基站的TFU问题引起时钟不同步, 形成孤岛效应, 导致切换掉话;或者是CCU或CBR故障也可能引起切换失败。但是通过分析ROP报告, 这几个基站的TFU、CCU、CBR均正常。于是到实地进行测试, 在用户投诉比较强烈的村子进行CQT测试。经过多次测试发现, 在通话的过程中, 只要手机检测到PN为248的导频, 手机的误帧率就开始增加, 最后掉话。查询数据, 248号PN是孙疃基站第二扇区的PN, 但是孙疃基站第二扇区应该覆盖不到此处。后又发现手机占用PN为248的信号后, SID显示13998, 而13998是邯郸的SID号。至此, 找到了问题的症结所在, 这就是典型的ONE WAY现象。

经过与邯郸分公司联系, 得知PN 80/248/416是邯郸新开基站大名营镇基站的PN, 从图5可以看出, 这两个基站相距很近, 乜村第二扇区与孙疃第二扇区是互为邻小区。在测试地点, 手机搜索到248PN, 以为是孙疃基站第二扇区的PN, 随之进行切换, 以至造成切换掉话。实际上, 该PN是大名营镇的第二扇区PN。其他几个扇区也是这种原因。经过协调, 对方将该基站的PN修改为160/328/496后, 我们又进行了测试, 没有再出现掉话现象。

用同样的方法, 又查到了烟店基站与申街基站同PN。

申街与烟店基站同PN, 造成烟店、冯圈一带用户投诉剧增。查到为同PN后, 立即与对方分公司协调, 请其修改PN。此外, 申街和萧村这两个基站离边界比较近, 越区覆盖比较严重。对方将申街、萧村两基站第二扇区的方位角调整到190度, 同时下压倾角;我们将烟店基站的第三扇区调整到270度, 冯圈基站方位角由原来的0/120/230调整到270/120/200, 通过调整以加强边界区域覆盖, 有效解决了该区域的投诉问题。

6 边界硬切换优化案例

聊城位于冀、鲁、豫三省交界处, 与河北邯郸、邢台与河南濮阳相邻。其中, 聊城冠县东城镇驻地与邯郸馆陶县城交界, 境内济邯高速、济邯铁路、309国道贯穿而过。

由于东古城基站位于乡镇驻地和馆陶县城的交界处, 两地的用户流动性比较大, 同时又是交通要道, 从聊城进入邯郸经常出现掉话现象。对此, 我们开通了2条省际硬切换电路, 采用同频硬切换来解决该问题。

根据双方基站位置及前期测试情况, 我们将东古城基站第一、第三扇区与邯郸河务局第一、第二扇区和馆陶造纸厂的第一、第二扇区添加邻小区关系。

根据邯郸电信提供的基站数据库, 经过换算, 对第一、第三扇区的邻小区设置如下:

数据添加完成后进行测试, 以下是测试覆盖图。

测试时发现切换过程中的话音质量不是很好, 但是能够切换成功。两个基站之间是一座桥, 我们往返六次, 切换均能成功。

7 结束语

边界**三年级作文 第5篇

一天下午，我正津津有味地看我最喜欢的《童年有棵神奇的树》时，同桌一不小心推了我一下，我手一抖，那薄薄的纸一分为二，我勃然大怒，对同桌吼了起来，“你知不知道这本书是我最喜欢的，现在好了，被你一推，书撕坏了，怎么办?”同桌说：“又不是故意的，你那么生气干嘛?再说，用透明胶粘一下，还是可以看的`。”同桌这个态度更加激起了我的怒火!哼，不给你点颜色瞧瞧，当我是病猫!

于是，我写了一份《分界协议书》，内容是这样的：从今天起，我俩划分“边界”，如果超越，超线方要被打手心十下。同桌看完后爽快地答应了，于是，我们一整天都盯着边界，生怕对方超线了而自己没看到，连听课的心情都没了，我们的行为影响了一些周边“国家”，他们也纷纷效仿了我们的行为，结果，下课时看见同桌互相打手也已经见怪不怪了。

一天中午，我看见同桌正眯着眼睛看黑板上的数学题，我把我的作业本递了过去。同桌感激地看了我一眼便去抄题了。

上课时也不知道同桌是有心还是无意，竟然把她的笔袋放在我桌子上。我轻轻的推了推她说：“你超线了。”没想到她却说：“算了吧，我们怎么能因为‘边界’而伤了同学之间的感情呢?我们还是取消‘边界’吧!”我想了想，同意了她的请求。

边界网络 第6篇

关键词:网络边界安全;防火墙技术;网络流量控制

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 03-0045-02

Design and Implementation of Network Border Security Based Firewall

Zhao Xia

(Tianjin,Oilfield Petroleum Engineering Research Institute Test Center of Science and

Technology, Dagang District,Tianjin300280,China)

Abstract:The paper has cleared the importance of the border security network, and analyzed the firewall technology. Then the paper has further studied the design and implementation of the network border security, involving the border architecture if parallel firewall, the control of network edge traffic stream. The research of the paper has effectively ensured the security of network border communication.

Keywords:Network Border Security;Firewall Technology;Network Traffic Control

一、引言

通常情况下,网络是以广播为技术基础的系统,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,入侵者只要接入网络上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。而网络边界安全系统的建立能有效缓解上述安全隐患。

二、防火墙技术的剖析

防火墙(Firewall)防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备,是安装了防火墙软件的主机、路由器或多机系统。在实现防火墙的众多技术中,如下技术是其实现的关键技术:包过滤技术;状态检查技术;地址转换技术[1]。

三、网络边界安全系统的设计与实现

(一)并联防火墙的边界体系结构

本文研究的并联防火墙边界体系并联模式,以不同的安全需求对网络的资源进行分段保护。多重防火墙的使用可以让网络安全系统有条理地控制资源的访问。由于几个防火墙串联工作,到达数据服务器的流量要经过几个防火墙才能到达,这会增加网络的延迟时间,降低网络的速度,在同样满足对不同资源进行分级保护的条件下,因此本文将防火墙的串联模式改成了并联模式,在并联模式下,各防火墙联接的子网在不同的安全策略下可以实现分级保护的目的,也避免了不同子网的延时不一致的问题,如图3-1所示。

在本文的研究中,我们使用了一个应用网关和一个有状态防火墙,每个设备都保护一套不同的系统,应用网关健壮的代理功能可以保护在Internet上访问的系统,如Web、SMTP和DNS服务器。本文采用有状态防火墙来保护网络中心子网(中心服务器和桌面计算机),利用并行的不同防火墙,充分发挥他们的提供的最佳功能,如表1所示:

(二)网络边界流量的控制

网络边界安全系统中的流量控制是保证网络安全的重要措施之一,因为网络中的各个服务都是通过TCP或者UDP进行数据通信,通过防火墙对单个用户IP进行连接数的限制,从而限制诸如迅雷、P2P等极大占用通道的工具,以保证网络线路的通畅[2]。下例为利用防火墙对内网的用户带宽、连接数进行管理。

定义带宽和连接数

Firewall statistic system enable

Firewall car-class 1 300000

Firewall car-class 2 500000

……

在用户入口应用定义带宽及连接数

Trust

Priority is 85

Interface of the zone is (1):

GigabitEthernet1/0/0

Statistic enable ip inzone

Statistic enable ip outzone

Statistic ip-stat inbound acl-number 3061

Statistic ip-stat outbound acl-number 3061

Statistic connect-number ip tcp outbound 3 acl 2000

……

Static car ip outbound 1 acl 2002

对于网络主干网上流量的监视、记录是网络性能管理中的一个重要方面。通过这些信息的收集,管理人员可以实时地观察网络的运行情况,发现超载的部件,找出潜在的问题。通过对不同时期、不同时间网络流量的分析,可以预测网络的发展趋势,对网络性能进行长久的规划,及时完成网络设备的更新,从而避免网络饱和所引起的低性能。

四、小结

网络边界安全系统能为网络用户的信息交换提供一个安全的环境和完整的平台,可以从根本上解决来自网络外部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案为基础形成一个更加完善的教学与管理自动化系统。利用高性能的网络安全环境,有效地保证秘密、机密文件的安全传输。因此,本文的研究将有相当大的现实与社会效益。

参考文献:

[1]周国勇.基于多重访问控制的网络边界防御技术研究[J].信息网络安全,2009,(10)

边界网络 第7篇

1 HTC硬切换场景介绍

HTC是一种异频解决方案技术。主要利用华为基站多载波特性, 在边界基站上增加过渡载波F2, F2没有同频干扰, 可以在边界区域覆盖一个足够宽的过渡带。由于F2是边界过渡载波, 其负荷很低, 在硬切换边界有足够高的强度, 与基本载波之间只存在一次异频硬切换, 彻底消除了乒乓切换;对于F2之间, 采用软切换或更软切换, 有效保障通话质量和切换成功率。其应用场景及策略如下。

1.1 HTC->异厂商的业务态切换策略

手机从华为覆盖区域向异厂商覆盖范围移动时, 采用hand-down硬切换到F2, 当基本载波F1满足切换触发门限时, 直接命令手机硬切换到在数据库预先配置好的hand-down过渡载频F2, 由于F2负荷很低, 在硬切换边界有足够高的强度, F2和基本载波之间只存在1次异频硬切换。手机会一直在F2上面保持通话, 直到通话结束, 自然挂机。

根据实际应用, F2不存在同频干扰, 覆盖范围可以达到20km左右, 按照车速60km/h, 可以保持20min的通话, 满足用户移动性需求。

对于极少数用户到过渡载频覆盖范围边界处, 采用手机辅助硬切换算法, 手机通过不断测量和报告其接收到的各个异频导频信道的信号强度, 当导频强度符合预定门限, 手机向BSC报告候选频率搜索报告消息, 辅助BSC进行硬切换, 切换到异厂商的基本载波。

1.2异厂商->HTC的业务态切换策略

手机从异厂商覆盖区域向华为覆盖区域移动时, 异厂商按照传统同频硬切换的方式进行数据配置, 当满足同频硬切换触发条件的时候, 华为作为硬切换目标侧直接给手机在F2载波上分配信道, 使得手机直接从异厂商的基本载波硬切换到华为的F2载波。

在华为同一基站的不同扇区的过渡载频之间进行更软切换, 在华为不同基站的过渡载频之间进行软切换, 可以很好地保证切换质量及HTC的覆盖范围。

对于极少数用户到过渡载频覆盖范围边界处, 可以采用Hand-down硬切换到华为基本载波, 当过渡载波F2满足切换触发门限时, 直接命令手机硬切换到在数据库预先配置好的hand-down基本载频F1。

1.3空闲态、接入态切换策略

1.3.1空闲态

异厂商网络当前空闲态的驻留策略不用任何修改;

MS在华为覆盖的边界区域时, 通过HASH驻留在基本载波, 不会驻留在过渡载频F2上;

双方的边界区域的小区, 通过相互配置对方为空闲邻区, 可以完成空闲态切换。

1.3.2接入状态

接入时在哪个载频上驻留就在哪个载频上发起呼叫。

2网络问题描述

兰州市红古区海石湾周边区域与青海省海东地区民和县接壤, 存在省际漫游边界, 两地CDMA基站距离很近, 且呈现出隔河分布地势。红古区海石湾周边区域是华为CDMA网络, 而青海省海东地区民和县是中兴CDMA网络。边界区域用户对频繁切换和掉话问题投诉严重。

3优化方案及指标对比

根据对现网KPI指标进行分析可知, 边界掉话较高的主要集中在两个区域:璇子村和河桥镇两处。其中璇子村区域将HTC硬切换调整为同频硬切换;河桥镇区域的站点将背向外地市扇区283频点hand-down开关关闭, 且配置其119频点手机辅助异频切换邻区。

3.1璇子村边界优化方案

璇子村区域站点掉话高, 周围是村庄, 存在乒乓切换多, 在调整HTC切换参数后无效果, 建议改造这些站点的HTC载频, 直接使用同频硬切换来实现边界切换问题。

3.1.1调整方案:

1) 关闭283频点Handdown硬切换开关;

2) 关闭160频点手机辅助硬切换开关;

3) 开启283频点同频硬切换开关;

4) 降低119频点导频增益与射频增益;

5) 增加外部载频及外部邻区。

3.1.2优化对比。

通过上述优化调整前后的指标对比均有明显改善, 其中掉话次数由75次降低至40次左右。掉话率由1.69%降低1%左右。

3.2河桥镇边界优化方案

通过KPI指标分析得知河桥镇边界站点掉话主要集中在背向外地市民和载扇。因此, 将河桥镇区域背向外地市扇区283频点hand-down开关关闭, 且配置其119频点手机辅助异频切换邻区。

3.1.3调整方案

1) 关闭283频点Handdown硬切换开关;

2) 配置119载频异频切换邻区。

共有34个扇区开通HTC载频 (119频点) , 涉及18个基站, 见表1。

3.2.2优化对比

通过优化对比可知掉话次数、掉话率均明显下降, 其中掉话次数由优化前23次降低至8次左右, 掉话率由0.9%降低至0.35%。

4建议与总结

通过对红古区域边界硬切换采取的两种不同优化方案实施效果来看均对掉话率指标得到改善。但从整体效果来看同频硬切换的效果更为明显。由于异厂商边界区域的切换必须采用硬切换方式解决跨系统问题, 采用HTC异频切换方式可以大大减少乒乓次数, 提高切换成功率, 降低掉话可能性, 提高用户感知。

摘要：CDMA网络边界切换参数优化主要解决在异厂商边界区域同频硬切换存在的同频干扰和乒乓效应导致的前向误帧率高、通话质量差、掉话率高等网络问题。利用华为基站的多载频特性, 在边界区域增加一个没有同频干扰的HTC F2载频, 来覆盖一个足够宽的过渡带, 用不易产生乒乓切换的硬切换方式代替同频硬切换, 从而保证切换的成功率, 规避同频硬切换造成的同频干扰及易掉话的问题。

关键词：HTC过渡载频,切换策略,干扰,掉话

参考文献

边界网络 第8篇

随着城市的进一步发展, 边界用户数量日渐增多, 作为一种特殊场景, 其网络问题既有一般网络的共性问题, 还具有边界或异厂家等特有的疑难问题, 其网络质量提升的策略, 对网络中其它问题的解决有很好的借鉴作用, 因此对高层建筑的网络疑难问题解决策略进行探讨显得更具意义。

本文以异厂家边界疑难问题的解决作为研究背景, 采用理论方法综述总结, 结合高层建筑场景、话务特征和现网配置, 为典型异厂家边界网络问题提出解决方案, 并为案例中所用的优化策略作出技术总结, 得出两种技术策略的应用场景和对策。

二、CDMA切换概述

2.1切换的基本概念

当MS靠近原来服务小区的边缘, 将要进入另一个服务小区时, 原基站与MS之间的链路将由新基站与MS之间的链路来取代的一个过程。

2.2CDMA通话状态下的切换

在CDMA网络中, 通话状态下的切换按照MS与网络之间连接建立释放的情况以及频率占用情况可以分为:硬切换、软切换 (小区间切换) 、更软切换 (扇区间切换) 、软/更软切换。

1. 硬切换 (hardhandoff) :

在切换过程中, MS与新的基站联系前, 先中断与原基站的通信, 再与新基站建立联系。硬切换过程中有短暂的中断, 容易掉话。

2. 软切换 (softhandoff) :

MS在两个或多个基站的覆盖边缘区域进行切换过程中, 在中断与旧的小区的联系之前, 先用相同频率建立与新的小区的联系, MS同时接收多个基站 (大多数情况下是两个) 的信号, 几个基站也同时接收MS的信号, 直到满足一定的条件后MS才切断同原来基站的联系, 在切换过程中, MS同时与所有的候选基站保持业务信道的通信。软切换仅能用于具有相同频率的CDMA信道之间。软切换会带来更好的话音质量, 实现无缝切换、减少掉话可能, 且有利于增加反向容量。

3. 更软切换 (softrthandoff) :

发生在同一基站具有相同频率的不同扇区之间的切换, 实际上是相同信道板上的导频之间的切换。

三、异厂家的边界切换优化

3.1HTC解决方案

HTC技术:所谓HTC (Huawei Transition Carrier, 简称过渡载频) 是华为公司提出的专利技术, 其原理是在华为边界基站上的每个扇区增加过渡载频F2, 该载波没有同频干扰, 因此F2可以在边界区域覆盖一个足够宽的过渡带。根据对用户的移动性统计, 只有极少数的用户在通话态下会有较大范围的移动, 绝大部分基本上是不动的, 用户切换到过渡载频上面以后可以保持足够长的通话时间, 确保用户在过渡载频上面通话结束, 如图1所示:

终端用户从华为覆盖区域向异厂家覆盖区域移动时, 采用RTD结合导频强度触发handdown切换到F2, 手机会一直在F2上面保持通话, 直到通话结束。F2不存在同频干扰, 导频强度好, 覆盖范围广, 绝大多数用户都会在此覆盖范围内完成通话, 用户感知度基本不会受到影响。对于极个别通话时间超长的用户, 有可能超出F2的覆盖范围, 在其覆盖范围边界, 采用手机辅助硬切换方式切换到异厂家的基本载波上。

3.2异频加伪导频解决方案

在异厂家基站双方配置伪导频的情况下, 终端处于华为BTS小区201频点服务区, 从华为BTS移动至异厂家BTS时, 逐渐移动至两者重叠覆盖区域, 手机不断检测周边所有小区的导频信号强度, 当达到允许进行切换的门限时, 手机则会发送PSMM (功率强度测量) 消息给提供服务的华为BTS;当华为BTS收到PSMM消息后, 查询邻区参数配置情况, 则会发现异厂家BTS的201频点是不能提供业务信道的伪导频信号, 但其283频点可以提供业务信道;因此手机会先切换到异厂家BTS的伪频点上, 然后从其201伪频点切换到至283频点, 从而保证切换顺利进行, 反之亦然。

3.3Handdown方案

经过对华为HTC算法的深入研究及现网实践验证, 发现华为HTC载频于普通的业务载频无明显区别, 只要在华为基本载波打开handdown开关, 切换目标为本扇区的F2载频, 可以起到和华为HTC相同的切换效果。

当终端用户在异厂家BTS覆盖区域内起呼, 并且向华为BTS覆盖区域移动, 如图2所示。

终端用户从异厂家覆盖区域向华为覆盖区域移动时, 异厂家基站配置了传统的硬切换数据, 当满足其判决条件的时候, 华为基站作为硬切换目标侧将会给终端在过渡载频F2上分配信道, 使得移动终端直接从异厂家的基本载波硬切换到华为的F2载频。在华为不同基站的过渡载频之间进行软切换, 可以很好地保证切换质量, 对于极个别通话时间超长的用户, 在其覆盖范围边界, 根据实际情况采用手机辅助或伪导频硬切换等切换方式切换到基站服务扇区的基本载波, 反向切换原理相同。

经各异厂家边界切换方案优缺点及适用场景理论比较以及实证场景应用研究, 发现本方案为比较科学的优化策略。

四、结束语

利用边界路由器构筑网络的防护屏障 第9篇

关键词：边界路由器,访问控制列表,加密,虚拟专用网,网络地址翻译功能

0 引言

2010年, 思科路由器软件出现漏洞, 引发短暂的互联网瘫痪事故, 影响到全球约1%的互联网。2012年9月, 电信运营商AT&T部分大客户在亚特兰大的ME业务出现故障, 部分区域电话和互联网中断长达3小时, 故障原因就是思科的核心路由器7600出现故障[1]。

从技术角度来说, 边界路由器是通往因特网的网关, 是连接外网的重要关卡, 是内网与外网连接的桥梁, 所以边界路由器是黑客的攻击目标。因此, 当今的网络必须在允许访问网络资源与保护敏感数据之间找到平衡点, 边界路由器是否能够为内网的安全提供有效保障, 对整个单位的网络安全起着举足轻重的作用。

1 边界路由器安全的理论依据

网络攻击来自各个方面, 形式更是多种多样。攻击者可以使用各种方法来破坏路由器, 常见的攻击方法有读取攻击、操纵攻击、欺骗攻击、泛洪攻击、重定向攻击和混合型攻击[2]。病毒、蠕虫和特洛伊木马都可以穿透网络, 并持续传播感染设备。

边界路由器是攻击者进入内网的第一个目标设备, 遭到攻击后带来的很多安全隐患:访问控制列表遭到破坏会暴露详细配置信息, 借此做为攻击其它网络设备的跳板;路由表遭受破坏将使网络性能下降、拒绝通信服务并暴露敏感内部信息;路由器的错误配置会暴露内部组件, 导致易被扫描攻击, 从而攻击者更易逃避安全检测。路由器应承当自身的安全功能, 首先进行必要的安全配置, 在路由器设置安全攻击检测, 从各方面有效防范网络安全攻击。

2 边界路由器安全的解决方案

边界路由器安全的解决方案主要由以下六个方面组成[3]:

(1) 身份鉴别。身份鉴别是对所有用户的验证, 路由器中的身份鉴别主要包括访问路由器身份鉴别、对端路由器身份鉴别和路由信息身份鉴别。访问路由器的用户必须通过安全外壳 (SSH) 或安全HTTP (HTTPS) 连接, 输入用户名和密码进行鉴别, 要求密码以密文形式保存在TACACS+或RADIUS认证服务器上。

(2) 信息隐藏性。主机在通信时, 可通过路由器的NAT技术, 隐藏内网地址, 以公网地址访问因特网, 但外网用户不能直接访问内网资源。

(3) 数据加密性。为避免信息泄漏, 需对传输的信息进行加密, 可使用隧道技术 (例如GRE) 的数据分离方法, 从而在公网上建立属于自己的专网, 但高私密性环境中仍需用数字加密技术和协议 (例如IPSec) , 只有与之通信的对端才能对此密文进行解密, 这样保证数据传输的保密性、安全性和可管理性。

(4) 高可用性。高可用性是针对故障快速恢复和负载平衡能力而提出来的。对于路由器来说, 当主接口出现故障时, 备份接口自动投入工作, 保证网络的正常运行;当网络流量增大时, 备份接口又可承担负载均衡的作用, 如通用的国际标准的虚拟路由器冗余 (VRRP) 协议等。

(5) 日志管理。日志可用于检验路由器是否正常工作或路由器是否已遭到攻击, 利用路由器的日志功能对于整个网络安全来说是十分重要的。路由器支持AAA和Snmp trap日志。如果需要记录大量的系统事件, 最好使用syslog服务器, 将日志信息送到该服务器保存下来。

(6) 安全管理。内部网络与外部网络之间的传送的每份数据报都要经过路由器, 在路由器上进行报文审计可以提供网络运行的必要信息, 有助于分析网络的运行情况, 真正实现网络的安全管理。

3 边界路由器安全的结构图解

边界路由器安全的设计首先能满足自身的路由控制和数据转发功能, 能够灵活地提供安全的解决方案, 能够提供了灵活的服务管理策略, 在同一个平台上起用ACL、VPN、NAT、加密和认证等多功能融合安全通信的关键技术, 全面控制来自对边界路由器的安全威胁, 以满足远程接入以及站点间连接的安全要求。如下图1所示。

4 边界路由器安全的关键技术

4.1 系统管理

随着网络技术的飞速发展, 对路由器技术的不断深入, 这使路由器系统的安全漏洞呈现出来, 致使从路由表到路由协议, 都成为新的安全隐患。路由器的操作系统是路由器发挥各项功能的一个关键环节。如果路由器操作系统受损, 则会对网络的安全带来风险, 攻击者可能掌控路由器访问权, 并能进一步变更或删除配置文件。所以, 要使路由器的操作系统具有最佳安全性能, 路由器操作系统需要定期更新到最新稳定版本, 这些更新对于修正已知的安全漏洞、支持新增加的功能满足应用更高级的安全策略或提升路由性能等很有必要[4]。管理员要确保在TFTP服务器上始终拥有配置和现有IOS的备份副本, 以便应对路由器发生故障的情况下能及时恢复使用。

4.2 服务管理

为方便广大用户的应用和管理, 路由器提供了大量的网络服务, 如Web管理、Snmp和Redirect等, 其中部分服务属于应用层协议, 用于允许设定的用户和主机进程连接到路由器, 而其它服务则是用于支持传统或特定配置的自动进程和设置。默认情况下, 路由器上启用了这些服务, 但是由于该路由器上的系统软件的漏洞、配置错误问题等原因, 有些服务可能被攻击者利用来收集内部信息或进行探查等一系列攻击活动, 影响路由器和网络的安全。因此网络管理员可以限制或禁用那些不必要或暂不使用的端口和服务, 以提升网络的安全性, 同时不会影响路由器的正常使用。

4.3 ACL技术

访问控制列表 (ACL) 是一种路由器配置脚本, 根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过。ACL定义了一组应用于地址或高层协议的规则, 是由一系列permit或deny语句顺序组成的列表, 用于对进出路由器接口的数据包实施控制, 但对路由器自身产生的数据包不起作用。

ACL配置的主要目的是为内部网络通信提供安全性。默认情况下, 路由器上没有配置任何ACL, 也不会过滤流量。所以, 在路由器上, 配置ACL可以过滤掉不必要的流量, 使网络通信使用效率更高。目前ACL有标准ACL、扩展ACL和复杂ACL, 如动态ACL、自反ACL和基于时间的ACL等。ACL可以采用基于源和目的IP地址、协议、端口号、用户和时间等的访问控制, ACL的放置位置决定了是否能有效减少不必要的流量。

4.4 VPN技术

VPN虚拟专用网 (Virtual Private NetWork) 指的是在公网上建立虚拟专用网, 由若干个不同的站点组成的集合, 一个站点可以属于不同的VPN, 站点具有IP连通性, VPN间可以实现防问控制[4]。使用VPN的单位不仅提升了效率, 而且单位的各分支机构间的连接更加灵活。只要能够上网, 远程站点和工作者均可以安全访问到单位内部网。使用VPN数据加密传输, 保证信息在公网中传输的私密性和安全性。VPN按OSI模型分层来分类有: (1) 数据链路层有PPTP、L2F和L2TP; (2) 网络层有GRE、IPSEC、MPLS和DMVPN; (3) 应用层有SSL。

4.5 加密认证

由于路由本身协议的脆弱性, 使黑客容易篡改路由信息, 或伪装成路由器发送虚假信息, 致使网络系统瘫痪。路由协议使用密码认证机制使通信系统的安全起保障作用, 可以从以下几方面来考虑[5]:

(1) 确保路由器安全的最基本方法是配置口令。强口令是控制安全地访问路由器的基本要素。因此, 应该始终配置强口令, 使用加密口令。使用命令security passwords min-length为所有路由器的加密口令规定最短长度字符, 从而大大增强了路由器访问的安全性。

(2) 确保对路由器的安全管理访问。管理员可以从本地或远程连接到路由器。要保护到路由器的管理访问, 首先需要保护管理线路 (VTY) , 然后需要配置网络设备在SSH隧道中加密流量, SSH连接能够加强隐私性和会话完整性, 使用身份验证和加密在非安全网络中进行安全通信。

(3) 使用路由协议身份验证。路由信息的发送方要根据密钥和将要发送的路由数据, 利用加密算法生成签名。接收方可以使用相同的密钥、收到的数据和路由数据重复该过程。如果接收方计算得到的签名与发送方计算的签名相同, 那么数据和密钥必定与发送方传输的内容相同, 这样就得到了验证[6]。路由协议RIPv2、EIGRP、OSPF、IS-IS和BGP都支持该身份验证。

4.6 NAT技术

NAT (Network Address Translation, 网络地址翻译) 技术负责把内部私有的IP地址翻译成外部合法的IP地址, 最终连接到外部世界。NAT工作在存根网络的边缘, 由边界路由器执行NAT功能, 允许一个内部网络的主机透明地与外部网络上的目的主机进行通信, 由经过NAT设备时修改IP包的源地址来实现的[7]。

NAT技术有3种, 即静态NAT、动态NAT和PAT。NAT能在一定程度上增加网络的私密性和安全性, 因为它对外部网络隐藏了内部IP地址, 减少了很多网络攻击和网络欺骗的发生。

5 结束语

路由器是网络设备中最为重要组件, 是实现网间互联的纽带和桥梁。因此, 需要加强对边界路由器自身安全建设, 对边界路由器实施无缝的管理和监控。本文对边界路由器自身安全的关键技术进行深入研究实施, 可以有效防止网络性能降低或崩溃、数据丢失或破坏, 抵挡来自恶意或善意的用户而造成具有破坏性的错误, 这将对整个网络安全起至关重要的作用。

参考文献

[1]曾亮.思科路由器被曝留后门产品安全性再受质疑[EB].2014-04-03.http://it.people.com.cn/n/2014/0403/c1009-24809455.ht ml.

[2][美]Sean Convery.王迎春, 谢琳, 江魁译.网络安全体系结构[M].人民邮电出版社.2005.6.

[3]中国国家标准化管理委员会.GB/T18018信息安全技术路由器安全技术要求[S].2007.

[4]Teare D.Cisco CCNP Route学习指南[M].袁国忠译.北京人民邮电出版社.2011.

[5]斯托林斯.密码编码学与网络安全:原理与实践 (第5版) [M].电子工业出版社.2012.

[6]Russ White, CCIE#2635, Don Slice, CCIE#1929, Alvaro Retana, CCIE#1609著.夏俊杰译.路由设计的优化[M].人民邮电出版社.2013.

边界网络 第10篇

时钟同步是无线传感器网络的关键技术之一, 为分布式系统提供一个统一的时间尺度。然而由于传感节点自身晶振的不稳定性以及易受到环境的影响, 导致节点间的时钟存在一定的偏差。对于需要协同工作的传感节点来说, 统一的时间尺度是必要的。另外, 无线传感器网络中一些任务, 如信息融合, 能量管理, 传输调度等都需要一个统一的时间基准作为支撑。因此, 无线传感器网络时钟同步问题作为一个重要的研究挑战吸引广泛关注。

对于时钟同步问题, 早期的研究侧重于协议的设计, 如TPSN, RBS, FTSP等。还有其它很多方法对以上经典协议进行优化, 如[1, 2等。以上对时钟同步进行各种各样的建模, 其目的是为了设计出更加优化的同步算法, 提高同步精度。但这些研究较少分析同步误差的方差的随机分布。即使有研究, 也没有对同步误差的方差超出设计方差边界的分析问题进行研究。例如丢包使得传感节点收到的时钟信息减少, 时钟参数估计误差增大, 影响同步精度。并且, 丢包的随机出现使得同步误差的方差是随机变量。另外, 不同的应用背景对同步精度有不同的需求。我们如何保证现有的网络状况满足同步精度的需求。

为了解决以上提出的分析问题, 本文建立该问题的数学模型, 试图寻找一个最小的时钟信息包到达待同步节点的概率, 保证网络需要的时钟同步精度。

1 问题描述

无线传感器网络时间同步算法分类方法很多, 按照一对节点的同步方式大致可以分为3类[3]:基于接收方—接收方的时间同步机制的算法;基于发送方—接收方的双向时间同步机制的算法;基于发送方—接收方的单向时钟同步机制的算法。

这些无线传感器网络时钟同步算法以及基于这些机制的改进算法不断提高时钟同步的精度。但是, 现实的无线传感网络复杂多变, 影响时钟同步的因素是多方面的以及对时钟同步的要求也不尽相同。比如, 无线网络的引入带来许多不确定因素, 网络中出现延迟, 丢包现象不可避免, 这些不确定因素严重影响待同步节点的估计性能。另外, 基于不同的应用背景对时钟同步又有不同的要求。有些应用需要高精度的时钟同步作为依托, 而有些应用则需要时钟同步阶段尽可能的减少能量的消耗, 毕竟, 传感节点的能量有限, 严重制约着网络的寿命。因此, 考虑无线网络的不可靠因素或综合考虑多方面需求给研究无线传感网络时钟同步问题带来了巨大的挑战。

对于一个含丢包的无线传感网络, 丢包的存在严重影响待同步节点的估计。丢包越严重, 待同步节点的估计误差越大, 时钟同步的精度越低。当网络丢包情况恶劣到一定程度时, 时钟同步难以达到精度要求。假设我们采用某种时钟同步算法, 获得时钟偏移θ和时钟偏斜f时钟参量, 并且可以计算出估计误差协方差Pk。由于丢包的随机出现造成该估计误差协方差也是个随机变量。另外, 不同的网络应用背景对时钟同步有不同的要求, 如对同步误差方差设计为Pdesired。丢包使得传感节点收到的时钟信息减少, 时钟参数估计误差增大, 有可能超过设计的同步误差方差边界。那么, 现有的网络通信情况能够满足同步精度要求?对于该问题, 我们希望能够寻找一个最小的网络包到达率, 保证待同步节点的同步误差方差Pk在设计的同步方差Pdesired内。

则, 对以上问题形式化描述为:对于任意给定期望的同步精度Pdesired>0, 找到一个最小的包到达率λmin, 满足

其中, N为在一次同步周期内时钟信息交换的次数。

2 同步误差方差的分析思路

对于以上提出的问题, 我们的目的是要找到一个最小的包到达率, 使得同步误差方差满足精度需求。

首先, 由于方差矩阵Pk是随机变量, 我们应该分析其统计特性, 找到方差矩阵Pk期望的稳定状态的一个上界, 假设为。则, 跟网络的包到达率λ有关。

紧接着, 我们判断稳态误差方差与包到达率λ间的函数关系。从直观上来看, 丢包越多, 估计误差越大。则, 稳态误差方差应该是包到达率λ的非增函数。

最后, 通过设计一个搜索算法找到一个最小的λ, 使得。又因为, 则该最小包到达率λ也必然使得。

3 总结

在本文中, 我们讨论时钟同步中同步误差的方差和丢包率间的分析问题。提出一种思路寻找一个最小的包到达率使得同步误差方差满足设计的同步精度要求。这对判断现有网络的通信状态是否满足同步精度需要, 以及对网络参数调整具有一点的参考价值。

摘要：基于时钟同步在无线传感器网络中的重要性, 由于网络丢包造成同步误差的方差是随机变量, 可能超出同步方差的设计边界, 本文对同步误差方差进行分析, 提出一种保证同步精度需求的解决方案。

关键词：无线传感网络,时钟同步,同步误差的方差

参考文献

[1]孙强, 黄勋, 徐晨.南通大学学报 (自然科学版) [J].2006 (06) .

[2]叶宇光.哈尔滨师范大学自然科学学报[J].2013 (04) .

无边界革命 第11篇

怎佯才能让企业回到无边界状态呢?

一个最可行的办法就是，将企业现有的边界打破，保持小企业的活力，让每一个部门真正成为企业的一部分。

培养小企业心态。我们希望员工保持一个心态——公司的大小是相对我们自己来说的，与未来的小天鹅相比，我们现在仍然是一家小企业。我们不能因为部门内部规模变大，而认为自己是大企业，而应保持小企业时期的简朴和平牙口。

设立第一则任制。实践证明，第一责任制可以避免企业对外的推委和搪塞。企业第一个接触到问题的员工，就是第一责任人，他将解决这个难题，而不是推给别的部门或别的同事。

鼓励交流。除了传统的谈话形势的交流外，在公司进行跨部门研讨会以解决问题。

设立流程负责人。我们更重视对流程的管理，同其他公司的流程是分段负责制不同，我们的流程由源头的责任人充当负责人，充分整合了各部门的资源，又避免相互埋怨，防止大企业病。

就像从流程主导到流程责任入主导的转变一样，我们正在从企业家主导到制度主导。企业不能选择宏观制度，只能遵守并利用制度保护自己。

边界网络 第12篇

伴随我国电力体制改革的发展步伐, 电力企业竞争加剧, 信息化建设作为电力企业优化升级的关键手段, 成为电力企业谋求生存和发展的必然选择。其中, 安全体系更是电力企业业务稳定的关键环节。

作为中国南方电网有限责任公司下属的全资子公司, 贵州电网公司全面负责贵州省内的电网规划、建设、运行、管理和电力销售, 近年来业绩显著。为了进一步强化电网安全稳定运行, 持续为用户提供优质服务, 贵州电力开始建设电力调度数据网络, 保证贵州电网业务数据系统的通信安全。

1 稳定重于泰山, 边界不容有失

目前, 贵州电网直属单位22个, 并对全省88个县 (市、区) 供电 (电力) 局 (公司) 进行直管或代管。随着信息化建设和应用的深入, 数据网络在贵州电力经营管理中的作用日益明显, 也使得电力信息安全问题变得更加重要。

贵州电力相关负责人表示, 对于贵州电力这样的大型企业来说, 信息系统庞大、复杂, 要保证网络稳定运行, 网络边界不容有失。因此, 面对层出不穷的网络威胁, 贵州电力也在寻求最有效、最适当的防护手段, 在网络边界进行安全策略和设备的部署, 将来自外部的安全威胁阻挡在网络边界。

为了保证电力调度业务的稳定展开, 贵州电力着手建设贵州电力调度数据网, 从网络结构来看, 网络包含骨干层网络和汇聚层网络, 分别规划了7个骨干节点和15个汇聚节点。从贵州电力网络应用来看, 整个网络包含省级和地级2级调度数据系统, 在实际应用中划分为一区和二区, 一区是实时调度控制区, 二区是非实时被控制区, 由于不同网络节点的地位和应用不尽相同, 相互间的安全隔离和互相访问策略也形成差异, 对于安全系统的构建提出了很高要求。

对于贵州电力来说, 要实现整个电网的顺畅稳定运行, 保证电力调度数据网的完整性, 网络必须具有优秀的安全性策略, 避免内部和外部的各种攻击可能带来的隐患。立足当前, 着眼未来, 贵州电力加快了电力系统安全防护系统的建设步伐。

2 统一安全策略, 扼守网络边界

针对贵州电力调度数据网的系统安全性需求, H3C提出了从防护到管理的完整安全解决方案, 并重点采用统一边界防护解决方案确保电力系统所关注的边界安全, 应用业界领先的安全网关、入侵防御系统和安全管理平台, 强化网络边界安全能力, 为贵州电力整个网络平台构建统一、完整的安全防护体系, 赢得了贵州电力的认可。

从安全策略方面, 贵州电力安全网络系统建设中, 将多种安全策略集中部署, 进行2~7层的整体安全防护, 有效抵御各种网络攻击事件, 并实现对安全网关、入侵防御系统以及网络设备的智能化统一管理。

具体到安全系统建设, 贵州电力在省调数据中心的网络核心交换区, 部署了入侵防御系统Sec Path T 1 0 0 0-A和安全管理中心Sec Center A1000, 并应用了基于H3C OAA开放应用架构理念的Sec Blade II插卡, 提供全面的防病毒保护, 实现省调度中心全面可靠的安全防护功能。而在各供电局调度节点, 则部署入侵防御系统Sec Path T1000-S进行2~7层的全面安全防护, 保障关键业务的安全可靠。

3 安全融入网络, 边界无忧更可靠

路由器、交换机、DNS服务器以及防火墙都是有可能被攻击的网络设备, 贵州电力在此次安全系统建设中, 采用了基于标准SOA架构的MPLS VPN技术, 提供各种网络资源的融合管理, 优化和重整业务流程, 将网络与安全深度融合, 实现不同VPN间相同业务的穿透, 构建起防护功能更加完备的安全体系。通过在核心交换机中增加万兆Sec Blade模块提供完善的安全防护功能, 并且有效简化网络结构, 避免单点故障, 更加便于网络管理。

针对入侵、病毒、蠕虫和拒绝服务攻击的新特点, 贵州电力调度网络进行了更加主动的安全部署, 在核心路由器和核心交换区之间部署业界唯一集成漏洞库、专业病毒库、协议库的IPS产品——Sec Path T1000-A入侵防御系统, 精确实时地识别并抵御各种网络攻击, 为整个网络提供应用程序防护、网络架构防护与性能保护。通过防火墙和IPS的有机结合和功能互补, 为贵州电力提供网络2~7层的全面防护, 有效地抵御来自网络边界的各种安全风险。

整个系统通过设备的双机状态热备、L3 Monitor等先进技术, 可实现双链路、双网关备份, 在链路故障或设备故障的情况下, 及时发现故障并快速自动切换, 极大提高网络可靠性, 保证贵州电力业务的不间断运行。

4 策略多样, 简化管理, 降低成本

根据贵州电力调度数据网的各个节点的实际状况, 结合网络节点的级别和功能的差异化, 贵州电力在边界安全防护体系建设中, 在统一安全策略、构建可管理安全网络的理念下, 成功应用了多样化的安全策略, 针对性地进行安全策略部署, 为整网安全提供保障。

通过H3C Sec Blade II防火墙和Sec Path T系列IPS产品的部署, 贵州电力在数据调度系统中构建了虚拟化安全服务, 通过虚拟系统对多个业务执行独立的安全策略。其中, 在贵州电力省调节点, 通过采用虚拟防火墙技术, 将安全体系进行逻辑划分, 实现VPN业务全面打通, 在地调节点则应用了4~7层的IPS, 实现边界的安全控制。依托灵活的安全策略, 贵州电力在业务终端、数据中心、广域网都做到了有效的安全控制, 不仅实现了安全策略的集中部署, 而且还解决了后续网络扩展的问题, 简化网络管理的复杂度, 有效降低安全系统建设的成本。

5 安全评估, 防患于未然

由于贵州电力网络节点众多, 来自内部、外部的安全威胁层出不穷, 且各种威胁的隐蔽性和危害也越来越大, 因此在此次安全建设中, 针对大型网络中容易出现的网络和安全设备间缺乏信息沟通的实际情况, 贵州电力应用Sec Center安全管理中心对网络和安全设备进行统一管理, 通过对海量信息的采集、分析、关联、汇聚和统一处理, 实时输出分析报告, 帮助管理员及时对网络安全状况进行分析与决策。

贵州电力相关负责人表示, 除了安全事件和日志的集中收集和统一分析外, H3C还为贵州电力提供每年一次的安全评估, 帮助贵州电力更科学地评估网络安全状态, 并根据电力系统业务运行状况, 进行安全策略的针对性调整, 让网络安全体系更好地满足贵州电力实际需求。这种从专家视角进行的安全评估, 对于贵州电力来说, 有十分重要的意义。

6 电网步入安全经济运行轨道