IP数据网

IP数据网（精选十篇）

IP数据网 篇1

关键词：西铜城际铁路,综合IP数据网,规划原则

一、项目介绍

西安北至铜川城际铁路位于陕西关中北部地区, 线路从西安市引出, 经国际港务区、高陵县、阎良区、渭南市富平县, 铜川市新城区、耀州区、至本项目终点铜川市王益区, 线路全长111.74km。

二、系统功能

系统采用TCP/IP协议, 在IP网上构建不受地域限制、而由系统统一控制和管理的专用网络。根据网络资源条件, 针对不同业务系统对安全性、实时性的要求, 按服务质量 (Qo S) 分级提供服务。

系统通过LAN/WAN/WIFI技术联合组网, 并且分别组成两张物理上相互完全隔离的网络, 称之为业务网络和客户网络。其中业务网络承载铁路各业务系统的数据, 客户网络承载终端客户与互联网络间的数据通信。

三、设计原则

1、规范性原则。

网络设计所采用的组网技术和设备应符合国际标准, 为网络的扩展升级、与其他网络的互联提供良好的基础。具备与多种协议计算机通信网络互连互通的特性, 确保网络系统基础设施的作用可以充分发挥。

2、实用性原则。

以现行需求为基础, 充分考虑发展的需要为依据来确定系统规模。以较高的性能价格比构建本系统, 使资金的产出投入比达到最大值, 提供高效能与高效益。

3、安全性和可靠性原则。

本系统提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作, 保护网络建设者的合法利益。

4、结构层次化、模块化原则。

清晰各节点及模块功能, 有利于运营管理及今后的运营维护。从结构层面提供一个高可靠性、高性能的数据网络。

5、可扩充和扩展化原则。

所有网络设备不但满足当前需要, 并在扩充模块后满足可预见将来需求, 如带宽和设备的扩展, 应用的扩展和办公地点的扩展等。

四、系统结构

本项目LAN/WAN/WIFI系统启用MPLS VPN技术, 完成各铁路业务的统一承载。同时根据对互联网业务的需求不同, 构建物理上相互隔离的网络, 确保铁路业务的正常运营, 以及办公、客户互联网业务的使用。1、核心层。位于网络枢纽, 提供位于网络枢纽, 提供高吞吐量的数据汇接和交换;进行主要的策略控制, 为接入网络和服务器主机系统提供接入端口。2、汇聚层。位于网络节点的中心交换机, 提供业务汇聚和数据包的路由转发传输。3、接入层。为具体的接入设备提供各种业务接入功能。LAN/WAN/WIFI所提供有线及无线Wi-Fi网络将覆盖到所有楼宇, 以满足IP业务的承载和访问。在控制中心设置核心路由交换设备, 汇聚各楼宇、车站和区间的接入层交换机。交换机直接提供RJ45有线LAN接口, 可分别提供10M、100M、1000M光接口、1000M电接口, 并且各Wi-Fi接入点设备同时连接至此接入层交换机, 以提供完整的WIFI无线覆盖网络。

五、系统网管

通过设置网元级网管设备, 全面收集各有线、无线设备的告警信息, 并且集中对设备进行监控、管理、配置、软件升级等工作。

1、配置管理。

配置管理功能主要负责全面动态地管理全网所有网元设备的配置数据、设备保障、状态检查和安装功能, 能够以图形、文字等形式分层显示配置相关的各类信息, 并且具有编辑、分类统计和打印输出这些数据的功能。

2、性能管理。

性能管理主要负责全网性能监视、性能控制和性能分析, 完成链路性能测试以及各类性能信息的收集、统计、存储, 同时还负责性能信息数据库的维护。

3、故障/告警管理。

故障/告警管理实现对数据网内所有网元设备的告警监测和故障定位, 配合运行管理功能进行故障排除和系统设备复测, 还能收集和处理各网络单元的各种故障、告警及网络状态异常信息, 并具有各种分类统计和指导分析的功能。

4、安全管理。

安全管理对全网安全起保证作用, 主要功能包括:权限管理功能、数据安全管理以及安全检测功能。此外, 对某些关键设计信息, 如用户密码等, 还应提供加密传输和存储功能以加强保护。

5、VPN管理。通过使用MPLS VPN的VPN管理软件, 可以非常容易的对VPN用户节点进行增加。

六、结束语

在信息快速发展的今天, 不同信息系统之间互联互通的需求非常迫切, 因此建设铁路综合IP数据网迫在眉睫。铁路综合IP数据网是一个为全路各信息系统提供安全、先进、灵活、高宽带、高可靠性、多业务的通信网络平台。

参考文献

[1]许军.利用MPLSVPN技术构建铁路IP数据承载网[M].上海:上海铁道科技, 2010 (3)

[2]涂慧敏.关于铁路综合IP数据网建设方案的设想[M].铁道通信信号2007 (5) :43

IP数据网 篇2

优先级与服务类型(8位)：首部长度：IP包头首部长度最短20字节;总长度(16)：标示符、标识、段偏移量：用来对数据包进行标示，是数据到达目的的端重组的时候，不会乱序;协议号：UDP是17,TCP是6;首部校验和：TTL:数据的生命周期字段，作用：防止一个数据包在网络中无线的循环转发，原理：每经过一个路由器TTL值减一，为0时，数据包丢弃。

子网掩码用于区IP的网络为及主机位，网络位用于连续的1表示，主机位用连续的0表示。

0、1、10、100、、、10000000=0、1、2、4、8、16、32、64、128

1、11、111、、、11111111=1、3、7、15、31、63、127、

11111111、11111110、11111100、、、10000000=255、254、252、248、240、224、192、128

0、1、10、11、100、101、110、111、1000、1001、1010、1011、1101、1110、1111、10000.

网络ID:网络为IP地址不变，主机位用连续的0表示，

广播地址：网络为的IP不变，主机位用连续的1表示。IP地址的广播地址：为IP地址网段的最后一个地址(即该网段的最大值)

2的主机位次方减2.为可用主机IP个数。

三、划分子网

1、计算想主机位借几位才能们组所要划分子网的个数：2的N次方大于等于划分子网的个数;N=要借的位数

2、计算划分子网后的子网掩码：计算划分子往后的子网掩码;计算划分子往后的子网ID;

四、协议

1、ARP协议：将一个已知的IP地址解析成MAC地址。windows系统中的ARP -a:查看ARP缓存表。

2、RARP协议：MAC地址解析为IP地址。

3、代理ARP,IP地址解析为网关接口的MAC地址。

4、ICMP协议(控制消息协议);连接成功则ping通，请求时间超市：request timed out 无法访问目标主机;destination host unreachable 目标主机不可达;unknownhostabc 未知主机名

五：路由器

1、路由：跨越从源主机到目标主机的一个互联网络来转发数据包的过程

2、路由表：路由器根据路由表做路径选择

3、路由表的获得：直连路中，配置IP地址，端口up状态，形成直连路由;非直连网段：需要静态路由或动态路由，将网段调价到路由表中，

4、路由器的工作原理

5、静态路由：小网络，拓扑固定。需要管理员手工配置，是单向的，需要在两个网络之间的边缘路由器上需要双方对指，否则就会造成流量无法返回，缺乏灵活性;

配置：全局模式：ip route 目标网络ID 子网掩码 吓一跳IP(下一个路由器接口的IP地址)

查看：特权模式：show ip route

浮动路由：配置浮动静态路由，需设置管理距离大于1,从而成为备份路由，实现连鲁冗余的作用，

实验报告：配置浮动路由，写192.168.1.0/24 划分四个子网。写出划分后的子网掩码，每个子网ID,每个子网中的可用主机IP,范围及广播ID.

不管去的多远，只要方向不变，对于路由器而言，下一跳始终都下一个路由器端口，非直连路由必须全部添加到路由表中

六、缺省路由(默认路由)

适用于只有一个出口的末节网络，优先级最低，可以作为其他路由的补充。全局：ip route 0.0.0.0 0.0.0.0 下一跳代表任意网络ID,代表任意子网掩码

七、查看路由表：特权：show ip route C直连;S静态路由;S*默认路由

路由器配置IP

IP数据网 篇3

关键词：IP网络；远程数据；同步方法

中图分类号：TP393.02文献标识码：A文章编号：1007-9599 (2011) 06-0000-01

Remote Data Synchronization Methods Research on IP Network

Chen Chuan

(96 units of 92941 Troops,Huludao125000,China)

Abstract:Web-based remote data synchronization principle carried out on the reliable synchronization of subsystems,through its core function flow analysis,and enhance business system in a continuous production environment to achieve low-cost off-site data storage and transmission of the possibility of simultaneous and to promote the application of the enhanced system reliability and service improvement.

Keywords:IP network;Remote data;Synchronization methods

一、前言

随着信息化建设进程的不断深入，越来越多的现代化、数字化技术涌入了人们工作、生活的各个领域，并担负着智能化管理与高效、安全生产管理的重任。农业、金融、电子、教育、工业等各个领域无不渗透着信息化建设的重要内涵，面对人们对信息资源的丰富多变需求，我国信息化系统的构建可谓持续、高效与人性化。然而随着人们对信息资源共享化需求的持续增加，庞大的信息数据也逐步体现了其脆弱性的一面，即信息数据传输及存储的安全性有待进一步的提高。为了构建良好的信息系统环境，我们应科学养成数据定期备份的习惯，然而在全面生产中为了保持数据备份的一致性，我们不得不停止生产系统的连续运行，而这一间断备份的过程显然与持续生产需求强烈的业务连续性背道而驰，因此对信息数据的实时备份、保护与同步传输便成为新时期信息化系统建设的重要目标。

二、基于IP网络的远程数据同步方法原理及体系结构

基于IP网络的远程数据同步方法是一种虚拟化的构建磁盘驱动程序的过程，同时利用插入操作将虚拟驱动器渗透于I/O系统路径中。一旦操作系统发生了写入数据的行为，那么该数据不仅将被写入到本地系统磁盘中，同时还会通过网络的传输功能将数据传送至远程系统中并存储到远程磁盘中，实现了基于IP网络的磁盘数据同步过程。其中虚拟磁盘的模拟过程由虚拟磁盘的设备驱动程序来执行，首先模拟出一个磁盘，并将其对应程序用标准的SCSI设备磁盘表示。本地磁盘则是在本地系统服务器中现实存在的物理磁盘，同时也是虚拟磁盘在本地的成员之一。同理，远程磁盘即是在远程系统服务器中存在的物理磁盘，属于虚拟磁盘在远程中的成员。同时该同步方式中还包含了一种命令描述模块，即CDB描述块，该模块对虚拟磁盘的执行I/O操作进行了科学定义，并细致的描述了存储指令中的数据结构。另外为了有效实现本地与远程服务器间的信息互通传输，该方式中还需一种基本单位的支持，即作为协议数据单元的PDU，该单元具有对命令描述块中的网络数据包进行封装的功能。依据以上分析我们不难看出，在远程数据同步方式中主要包含本地及远程操作两部分，他们通过IP网络实现有效的互通连接。本地部分涵盖了本地及虚拟磁盘、虚拟设备驱动程序、模拟功能的发起端及具有通信功能的本地模块等结构。而远程传输环节则包含了具有远程通信功能的模块、进行目标模拟的模块及远程磁盘等。

三、核心功能流程的科学策略强化

依据前文所述的同步方法原理及体系结构分析我们可将远程同步方式的核心流程分为磁盘虚拟设备、模拟发起端、基于软件工具的设备连接及模拟功能目标端四类，下面我们则根据流程功能机理做科学同步策略的细化分析。

（一）虚拟磁盘设备的合理流程化控制。在虚拟磁盘设备的控制操作中，我们利用其虚拟构建原理形成了一个具有标准化特性的SCSI虚拟磁盘，即VDISK磁盘，对于其底层磁盘的同步流程实现我们应充分依据上层结构的透明应用程序，从而确保在IP网络同步环境下，磁盘之间具有充分、彻底及科学的兼容性能。在进行同步流程处理时，一旦VDISK磁盘接收来自操作系统发出的I/O请求后，担负处理功能的虚拟化磁盘驱动程序便展开全面的处理操作，当遇到读操作时，该虚拟驱动便会对本地磁盘进行I/O请求的提交传输；当遇到写操作申请时，在提交以上请求时还应额外向本地磁盘及虚拟发起端同步提出I/O申请，最终由模拟发起端进行相应的远程磁盘同步操作。当本地与远程磁盘均完成相应的同步写操作后，便可将操作结果返交给操作系统，从而完成虚操作流程的科学化控制。

（二）模拟发起端的流程化操作。在模拟发起端，当其接到来自于虚拟驱动程序的I/O操作请求时，便会构成科学的命令描述，而后将描述继续交给本地系统的通信模块。在此环节我们应科学的控制本地通信模块的发送及远程等待环节，并确保其执行成果的正确性，当完成以上操作后便可进一步向虚拟驱动程序提交操作报告，并完成发起端的流程化虚拟操作。

（三）设备软件连接环节的科学控制。在本地服务器操作系统中的虚拟驱动器担负着将系统中提交的I/O请求继续发送给远程服务器的职能，当远程服务器依据指令进行相应的远程磁盘执行操作时，本地系统与远程系统之间的IP网络便成为两者之间的互通连接设备。因此在这一环节我们应确保IP网络的连接畅通、有序、稳定、高效，同时在连接中必然包含对各个设备的软件连接，因此我们应通过本地及远程的通信模块实现该连接环节。首先应建立有效的网络连接，并科学确定其协商参数，从而有效的建立两者之间的会话连接，以便在后续的操作中为本地及远程系统提供可用的通信连接。另外我们还应合理控制其本地通信模块在发起端的命令接收描述过程，从而使其构造出合理的数据协议单元，并将其如数发送至远程通信的模块中。当执行远程指令完毕后，还应对接收的响应做进一步解析，从而最终完成向模拟端发起报告的科学操作。在模拟目标端，当接收到来自于远程模块中的通信命令描述后，便可对响应的操作命令做进一步操作，从而最终实现对远程磁盘进行数据写入及存储的过程。

四、结语

基于远程同步数据传输的重要思想，笔者提出了一种基于IP网络环境的远程数据同步备份方式，不仅有效的满足了连续业务生产中对信息数据的实时保护需求，同时还使低成本的IP网络成为数据同步的基础核心，充分实现了信息数据的异地扩充与强效共享，并使网络信息数据的安全性得到了有效的强化。

参考文献：

[1]常成.大型网络系统数据同步设计[J].计算机工程与设计,2010,13

IP城域网数据配置优化思路 篇4

1.1 OSPF区域的优化

IP城域网中使用的本地路由协议一般是OSPF (开放最短路径优先) 协议。在城域网规划的前期, 一般一台SR (业务路由器) 规划为一个区域 (area) 。随着用户规模的扩大, 一台SR下所接节点 (三层交换机、光线路终端等) 不断增加, 甚至在SR旁挂了一台BRAS (宽带远程接入服务器) 。同时, 用户越来越多, 这么多设备在一个区域内已不太合理, 大量设备在一个区域里, 会增加LSA (链路状态通告) 的数量, 降低SR设备的运行效率。为此, 需要将一台SR配置多区域, 使其作为多个区域的路由器, 比如让BRAS用户在一个区域中, 让三层交换机在一个或多个区域中。合理划分区域, 可以降低路由器CPU (中央处理器) 负担, 减少LSA的数量, 提高路由的效率。图1为IP城域网的结构示意图。IP城域网的部署并不是一步到位的, 也是随着业务量的增加而不断扩大网络规模的, 在网络规模扩大的过程中, 会出现大量设备在一个OSPF区域里的情况, 这个方面的优化工作将非常有必要, 而且是长期的工作。

1.2 地址分配便于聚合

在分配IP地址给Internet专线用户时, 一定不要将一个C的地址分开用于不同的SR, 这样不便于地址的有效管理, 特别不便于在SR上配置路由聚合。配置路由聚合可以减少路由的条目, 提供路由器的工作效率。

由于早期IP地址申请地不够丰富, 用户也是不集中, 会出现一个C地IP地址分散配置的情况, 后期也可以做一些调整优化, 以提高SR路由的工作效率。

2 VLAN配置的优化考虑

2.1 Internet专线用户

Internet专线用户一般配置为一个VLAN (虚拟局域网) , 同时分配一段IP地址, 这是最理想的。但由于业务的需要, 有时并不会全部这么做。比如用户只要一个IP地址, 如果我们只配置一个VLAN, 一段地址, 势必造成IP地址的浪费;而要求市场部门销售时让用户至少购买8个IP地址, 也不太现实。所以日常工作中往往会将一个VLAN中的一段地址分配给不同的用户使用。由于用户在同一个VLAN中, 有时会造成地址的冲突, 增加网络的冲突, 降低网络的运行效率。而极端的情况下, 甚至将VLAN划得更大, 让更多的专线用户在一个VLAN之中, 有时会造成网络风暴。如果通过优化整改, 实现一个专线用户在一个VLAN中, 只有少量专线用户共用一个VLAN, 但也要确保一个VLAN中的专线用户不超过3个, 网络的安全稳定性才能得到有效保证。

2.2 PPPoE用户

PPPoE (以太网上点到点协议) 认证上网的模式下, 一个用户在一个VLAN中是最佳配置, 但往往难以做到。可能有以下一些原因:

1) 由于早期BRAS设备较少, 无法做到这么多的VLAN规划;

2) 设备功能不支持QinQ (双层标签) , 实现不了多个VLAN封装在一个VLAN之中;

3) 早期用户少, 少量的用户在一个VLAN中, 而同时上网的机会也少, 所以同时在网并在一个VLAN中的用户也少, 多个用户共用一个VLAN出现的问题不明显。

VLAN的划分, 减少冲突、隔离用户, 提高网络的稳定性、安全性。在这方面的优化做法有:

1) 传统LAN接入的小区, 实现一个楼道设备在一个VLAN中, 这样可以减少互相冲突、影响, 就是有障碍也容易分析排查;

2) 支持QinQ技术的EPON (以太网无源光网络) 环境下, 建议配置一个用户一个VLAN, 真正意义上实现所有用户在网络的第二层隔离;

3) 对于DSLAM (数字用户线接入复用器) 接入的用户, 也一定要大部分做到一个用户在一个VLAN中, 少量用户只做到一块接口板在一个VLAN中。

3 MPLS VPN用户

一些本地存在多处办公或经营的用户需要实现内部网的互联, 又接受不了昂贵的物理专线, 所以VPN专线是一个选择。为了简单实用, 配置很多二层的VPN, 如果用户互连的点只有2个, 二层VPN也没有什么问题, 可是当用户的点越来越多, 二层VPN就可能会引起配置混乱, 甚至难以实现。如果用户的需求不是一次提出的, 二层VPN的扩展能力就不是很好, 比如用户有了3个以上的用户节点时, 又提出各点之间都要能够互相访问, 二层VPN配置就会碰到难以解决的问题。

另外, 当用户二层网络越来越大时, 其内网的广播域也在增大, 网络的不稳定性就会体现出来, 同时对承载于用户VPN业务的IP城域网也会产生一定的影响。

这时为用户进行网络的分段, 在IP城域网中配置本地三层VPN会是一个比较好的选择。配置本地三层VPN, 用户不必投入路由设备, 因为不同地址段之间的路由由运营商的设备通过三层VPN完成。用户要改变的是不同地点使用不同的地址段。配置三层VPN之后, 用户如果还有新的点要增加进来, 也会变得十分灵活。

摘要：为了让IP城域网稳定、高效地运行, 以及减少后期维护难度, 从路由、VLAN (虚拟局域网) 以及VPN (虚拟专用网) 等配置方面提出了优化思路。

TCP-IP协议和IP地址 篇5

TCP/IP是Transmission Control Protocol/Internet Protocol的简写，中文译名为传输控制协议/互联网络协议）协议是Internet最基本的协议，简单地说，就是由底层的IP协议和TCP协议组成的。在Internet没有形成之前，各个地方已经建立了很多小型的网络，称为局域网。Internet的中文意义是“网际网”，它实际上就是将全球各地的局域网连接起来而形成的一个“网之间的网（即网际网）”。然而，在连接之前的各式各样的局域网却存在不同的网络结构和数据传输规则，将这些小网连接起来后各网之间要通过什么样的规则来传输数据呢？这就象世界上有很多个国家，各个国家的人说各自的语言，世界上任意两个人要怎样才能互相沟通呢？如果全世界的人都能够说同一种语言（即世界语），这个问题不就解决了吗？TCP/IP协议正是Internet上的“世界语”。

TCP/IP的参考模型

要理解Internet，并不是一件非常容易的事，TCP/IP协议的开发研制人员将Internet分为五个层次，以便于理解，它也称为互联网分层模型或互联网分层参考模型，如下表：

应用层（第五层）

传输层（第四层）

互联网层（第三层）

网络接口层（第二层）

物理层（第一层）

下面对这五个层次作一些讲解，初学者对这些概念有一个感性的认识就可以了，如果想深入学习这些内容，可以参考有关计算机网络底层知识方面的书籍。

·物理层：对应于网络的基本硬件，这也是Internet物理构成，即我们可以看得见的硬件设备，如PC机、互连网服务器、网络设备等，必须对这些硬件设备的电气特性作一个规范，使这些设备都能够互相连接并兼容使用。

·网络接口层：它定义了将数据组成正确帧的规程和在网络中传输帧的规程，帧是指一串数据，它是数据在网络中传输的单位。

·互联网层：本层定义了互联网中传输的“信息包”格式，以及从一个用户通过一个或多个路由器到最终目标的“信息包”转发机制。

·传输层：为两个用户进程之间建立、管理和拆除可靠而又有效的端到端连接。·应用层：它定义了应用程序使用互联网的规程。

TCP/IP 通信协议1--网际协议IP

Internet 上使用的一个关键的低层协议是网际协议，通常称IP协议。我们利用一个共同遵守的通信协议，从而使 Internet 成为一个允许连接不同类型的计算机和不同操作系统的网络。要使两台计算机彼此之间进行通信，必须使两台计算机使用同一种“语言”。通信协议正像两台计算机交换信息所使用的共同语言，它规定了通信双方在通信中所应共同遵守的约定。计算机的通信协议精确地定义了计算机在彼此通信过程的所有细节。例如，每台计算机发送的信息格式和含义，在什么情况下应发送规定的特殊信息，以及接收方的计算机应做出哪些应答等等。网际协议IP协议提供了能适应各种各样网络硬件的灵活性，对底层网络硬件几乎没有任何要求，任何一个网络只要可以从一个地点向另一个地点传送二进制数据，就可以使用IP协议加入 Internet 了。

如果希望能在 Internet 上进行交流和通信，则每台连上 Internet 的计算机都必须遵守IP协议。为此使用 Internet 的每台计算机都必须运行IP软件，以便时刻准备发送或接收信息。IP协议对于网络通信有着重要的意义：网络中的计算机通过安装IP软件，使许许多多的局域网络构成了一个庞大而又严密的通信系统。从而使 Internet 看起来好像是真实存在的，但实际上它是一种并不存在的虚拟网络，只不过是利用IP协议把全世界上所有愿意接入 Internet 的计算机局域网络连接起来，使得它们彼此之间都能够通信。

TCP/IP通信协议2--传输控制协议TCP

尽管计算机通过安装IP软件，从而保证了计算机之间可以发送和接收数据，但IP协议还不能解决数据分组在传输过程中可能出现的问题。因此，若要解决可能出现的问题，连上 Internet 的计算机还需要安装TCP协议来提供可靠的并且无差错的通信服务。

TCP协议被称作一种端对端协议。这是因为它为两台计算机之间的连接起了重要作用：当一台计算机需要与另一台远程计算机连接时，TCP协议会让它们建立一个连接、发送和接收数据以及终止连接。传输控制协议TCP协议利用重发技术和拥塞控制机制，向应用程序提供可靠的通信连接，使它能够自动适应网上的各种变化。即使在 Internet 暂时出现堵塞的情况下，TCP也能够保证通信的可靠。

众所周知，Internet 是一个庞大的国际性网络，网路上的拥挤和空闲时间总是交替不定的，加上传送的距离也远近不同，所以传输数据所用时间也会变化不定。TCP协议具有自动调整“超时值”的功能，能很好地适应 Internet 上各种各样的变化，确保传输数值的正确。因此，从上面我们可以了解到：IP协议只保证计算机能发送和接收分组数据，而TCP协议则可提供一个可靠的、可流控的、全双工的信息流传输服务。

综上所述，虽然IP和TCP这两个协议的功能不尽相同，也可以分开单独使用，但它们是在同一时期作为一个协议来设计的，并且在功能上也是互补的。只有两者的结合，才能保证 Internet 在复杂的环境下正常运行。凡是要连接到 Internet 的计算机，都必须同时安装和使用这两个协议，因此在实际中常把这两个协议统称作TCP/IP协议。

IP地址

在Internet上连接的所有计算机，从大型机到微型计算机都是以独立的身份出现，我们称它为主机。为了实现各主机间的通信，每台主机都必须有一个唯一的网络地址。就好像每一个住宅都有唯一的门牌一样，才不至于在传输数据时出现混乱。

Internet的网络地址是指连入Internet网络的计算机的地址编号。所以，在Internet网络中，网络地址唯一地标识一台计算机。

我们都已经知道，Internet是由几千万台计算机互相连接而成的。而我们要确认网络上的每一台计算机，靠的就是能唯一标识该计算机的网络地址，这个地址就叫做IP（Internet Protocol的简写）地址，即用Internet协议语言表示的地址。

目前，在Internet里，IP地址是一个32位的二进制地址，为了便于记忆，将它们分为4组，每组8位，由小数点分开，用四个字节来表示，而且，用点分开的每个字节的数值范围是0~255，如202.116.0.1，这种书写方法叫做点数表示法。

IP地址可确认网络中的任何一个网络和计算机，而要识别其他网络或其中的计算机，则是根据这些IP地址的分类来确定的。一般将IP地址按节点计算机所在网络规模的大小分为A，B，C三类，默认的网络掩码是根据IP地址中的第一个字段确定的。

1.A类地址

A类地址的表示范围为：0.0.0.0~126.255.255.255，默认网络掩码为：255.0.0.0；A类地址分配给规模特别大的网络使用。A类网络用第一组数字表示网络本身的地址，后面三组数字作为连接于网络上的主机的地址。分配给具有大量主机（直接个人用户）而局域网络个数较少的大型网络。例如IBM公司的网络。

2.B类地址

B类地址的表示范围为：128.0.0.0~191.255.255.255，默认网络掩码为：255.255.0.0；B类地址分配给一般的中型网络。B类网络用第一、二组数字表示网络的地址，后面两组数字代表网络上的主机地址。

3.C类地址

C类地址的表示范围为：192.0.0.0~223.255.255.255，默认网络掩码为：255.255.255.0；C类地址分配给小型网络，如一般的局域网和校园网，它可连接的主机数量是最少的，采用把所属的用户分为若干的网段进行管理。C类网络用前三组数字表示网络的地址，最后一组数字作为网络上的主机地址。

实际上，还存在着D类地址和E类地址。但这两类地址用途比较特殊，在这里只是简单介绍一下：D类地址称为广播地址，供特殊协议向选定的节点发送信息时用。E类地址保留给将来使用。

从上两节的知识可以知道，连接到Internet上的每台计算机，不论其IP地址属于哪类都与网络中的其他计算机处于平等地位，因为只有IP地址才是区别计算机的唯一标识。所以，以上IP地址的分类只适用于网络分类。

IP数据网 篇6

1 数据流量的统计方法

通常情况下, 流量统计的方法主要有数据采集和数据分析两个方面, 其中以数据采集最为重要。就目前来说, 统计网络数据流量的方法有很多, 最主要的是通过两个途径完成网络流量的数据采集:使用代理服务器对网络流量进行采集和直接使用路由器实现数据的流量统计。

1.1 使用代理服务器实现网络流量的统计

代理服务器是一种介于客户端和Web服务器之间的服务器, 有了它之后, 浏览器不是直接到Web服务器去取回自己想要的网页, 而是向代理服务器发出信息、网页请求, 信号会被先送到代理服务器, 然后由代理服务器来从web浏览器上取回所需要的信息并传送给你的浏览器。代理服务器有很多功能, 如缓冲功能、安全功能、日志功能等等, 另外, 代理服务器还具有日志功能, 能够实现对网络流量的数据统计就是因为其本身具有记录流量的日志功能。这样就可以直接读取代理服务器上的日志文件实现网络流量数据的采集工作。利用代理服务器取得流量数据的方法比较方便, 但是有时候也会出现一些偏差, 因为代理服务器会出现丢失数据包的现象, 从而不能准确的记录网络的数据流量。

1.2 使用路由器实现网络流量的统计

除了代理服务器外, 路由器是实现网络流量数据采集的最重要、最便捷的方式。路由器一般利用其内部所具有的流量记载功能, 如Show Ip Accouting命令、SNMP协议和Telnet程序来实现流量数据的分析和采集。使用路由器对网络流量的数据进行采集避免了使用代理服务器出现的数据包丢失问题, 因此, 网络流量的数据采集比较精确。下面将重点介绍基于路由器IP数据包统计的流量数据采集方法。

2 基于路由器IP数据包统计的流量数据采集方法

众所周知, 路由器是一种连接多个网络和网段的设备, 它能将不同网络和网段的信息进行解码、然后重新编码, 使其网络间能够互相连接, 路由器可以根据数据包的目的地址选择最有效、最简捷的路径与其他网络实现连接, 然后形成一个更大的网络, 这样就能够最大程度的实现网络间的资源共享。它是流量数据出入的咽喉, 局域网中所有到因特网的网络流量都必须经过路由器。因此, 路由器充当了数据采集的角色。通过路由器对网络流量的数据进行采集的方法也有很多种, 如show IP account命令、SNMP协议和Telnet程序等。因为路由器的主要功能是帮助IP数据包选择正确的路由, 时期更快捷的到达目的地址, 因此, 我们通常不使用其本身自带的记录功能获取网络流量的数据统计, 否则就会大大降低路由器的选择功能。从路由器上获取数据包的流量统计我们一般使用SNMP协议和Telnet程序的方法。

2.1 通过SNMP协议获取数据流量

SNMP协议是互联网的标准网络管理协议, 在SNMP协议中定义了具有支持操作寓意的管理信息变量, 这些变量被称为MIB变量, MIB变量是与计费有关的一种变量。因为路由器是网络间互联的关键设备, 因此只要对边界路由器作适当的配置, 当一个数据包进入路由器后, 路由器奖会寻找记录内是否有与之相匹配的源IP地址和目标IP地址, 如果找到一直相匹配的记录, 程序就会自动将其累加到记录上, 这样一来就会获得网络的数据流量。例如:在Cisco公司为其路由器产品定义的SNMP的MIB变量的IP组中, 提供了一个IP Check point Accounting Table变量表, 通过读取表中的值和重新设置数据过期标志, 可以连续获取流经该路由器的网络情况。Cisco为流量统计功能提供了相应的SNMP访问和控制方法, 利用Cisco路由器提供的“show IP account”命令查看当前的网络数据流量的统计情况。

基于路由器IP数据包统计的数据处理流程如图1所示。

采用SNMP对数据流量进行采集的应用最广泛的就是使用网络流量负荷的监测工具即MRTG。这是一个有Perl script和一个C程序组成的监测工具。前者在其中的作用是可以使用SNMP获得路由器上的数据流量, 后者的功能是记录数据流量并生成一些可以表示网络数据流量的图标, 使其更形象、生动。MRTG最大的优点就是它保存的数据时间较长并可以随时查看。它能够保留过去两年之内的从路由器上获取的所有数据, 可以产生一个周、一个月甚至是一年的流量的可视化图表。

目前国内大多数的ISP都采用SNMP进行数据的采集, 它能够保护路由器的操作口令, 可以提高数据采集的速度, 但同时也增加了系统的复杂性, 有利有弊。

2.2 使用Telnet程序实现网络数据的流量采集

使用Telnet程序登陆到路由器上获取网络的流量数据的方法比SNMP的方法简单。它主要通过编码模仿, 把Telnet在终端设备上输出的数据重新定向到另一个临时文件中, 然后对这个临时文件进行分析, 这样就可以得到一个关于数据流量的清单。这种通过编码模仿得到数据流量的方法类似于前面所说的利用代理服务器上的日志文件获取数据流量的方式。使用Telnet程序获取网络数据流量的速度很快, 但它的局限性在于通用性不是很好。

3 路由器IP数据包流量统计方法的特点

通过对网络的数据流量进行统计的方法还有很多, 每种方法都有其利弊之处, 通过路由器实现网络数据流量的统计方法具有以下特点:

3.1 数据流量的统计精确

因为路由器是流量数据出入的咽喉, 是实现网络间相互连接的重要的设备, 网络间的通信都必须通过路由器的转换来完成。路由器的任务就是根据数据包的目的地址选择相应的路由, 然后与其他的网络连接。因此, 路由器可以准确的反映除了出入的网络数据流量。

3.2 使计费服务器不受地点限制

我们知道, 对网络的数据流量进行统计和监测的最终目的就是对其进行收费, 由于各种统计方式本身的局限性使得计费的服务器必须要放在计费网段之内。结果就导致了有多少个计费网段就需要多少个计费服务器, 大大增加了工作量。而如果使用路由器就会大道事半功倍的效果, 我们只要计费服务器能够通过网络访问到网段所在的路由器就可以实现通过一个计费服务器完成所有网络流量的数据采集工作, 至于计费服务器位于哪个计费网段并不重要。而且, 这种计费所使用的路由器并不需要太复杂, 也不需要增加其他硬件, 实现起来比其他的计费方式简单。

3.3 与其他网络管理功能的一致性

因特网采用的是标准的网络管理协议SNMP, 而路由器也主要通过SNMP协议的一些命令对网络数据流量进行统计和监测。这样就保证了在数据采集手段上与其他网络管理功能的一致性。

3.4 利用路由器统计网络数据流量的缺点:

利用路由器实现网络数据流量的统计采集方法虽然有很多的有点, 大大提高了网络流量计费的速度, 但是, 对待任何事物都要用一分为二的观点, 用路由器计算网络数据的流量也是有利有弊的, 它必然存在一些不足、需要改进的地方。一方面, 路由器的主要功能是实现数据的路由选择, 帮助数据包选择最快捷的路径, 使其尽快把数据出送到目标地址。然而, 使用路由器对网络数据流量进行统计就会额外的占用路由器的内存和CPU开销, 特别是对于通信流量比较大的网络, 其矛盾会更加突出。严重的会导致计费缓冲区出现溢出的情况, 导致出入的流量数据的丢失, 最终也会影响网络的速度。另一方面, 路由器是针对IP地址进行流量计费的, 因此它不支持对用户的流量计费, 也不能防止有心人士对IP地址的盗用, 所以也会影响对网络数据流量的统计与监测。

5 结束语

伴随现代科学技术的迅猛发展, 网络计费已经成为网络管理中的重要组成部分, 如何最有效的完成网络计费的工作也成为网络管理部门的一大难题。而网络计费的前提是如何统计网络的数据流量, 本文就对网络流量的数据采集方法进行了简要的论述分析, 基于路由器IP数据包统计流量的数据采集方法在目前的网络管理中已经应用的十分广泛了。因此本文重点讲述了基于路由器IP数据包的数据采集方法及其各种方法的利弊之处, 随着网络设备的不断更新、发展, 网络流量的数据采集方法会越来越多, 基于路由器数据包统计的流量数据采集方法也会越来越成熟。

摘要：随着现代计算机科学技术的飞速发展, 网络传输的数据量也在不断的增大, 统计网络流量已经成为人们关注的一个问题。在众多的统计网络流量的方法中, 路由器是流量统计的最有效的一种方式。路由器是流量数据出入的咽喉, 是实现网络间相互连接的重要的设备, 网络间的通信都必须通过路由器的转换来完成。路由器的任务就是根据数据包的目的地址选择相应的路由, 然后与其他的网络连接。因此, 路由器充当了数据采集的角色。对一个企业或者学校的内部网络来说, 它们与外界网络进行通信的所有数据包也都必须由路由器进行路由, 然后才能达到最终的目的地址。因此, 利用路由器对数据包进行统计分析, 可以很便捷地实现网络流量的检测及控制, 大大提高了对路由器数据包的管理速度。该文通过对路由器IP数据包统计的流量数据采集方法和特点进行了详细地论述说明, 以期能对网络研究和网络管理和流量数据采集起到一定的作用。

关键词：路由器,IP数据包,流量数据采集方法

参考文献

[1]杨晓朋, 李雄, 董栋, 等.TRUNK技术在IP数据网络中的应用[A]//2009通信理论与技术新发展——第十四届全国青年通信学术会议论文集, 2009.

[2]王晓东.动态分组传输技术 (DPT) 在天津教育科研宽带城域网中的成功应用[A]//第十八届中国 (天津) ’2004IT、网络、信息技术、电子、仪器仪表创新学术会议论文集, 2004.

[3]张军伟, 罗红, 乔向东.基于路由器的访问控制列表保护内部网络安全[J].计算机与信息技术, 2008 (9) .

[4]刘宴兵, 李秉智, 尚明生, 等.基于IP信源模型的数据包丢失分析的研究[J].重庆邮电学院学报:自然科学版, 2001 (4) .

网络IP数据报的捕获与解析 篇7

在网络的TCP/IP协议分层体系结构中,网际互联层是实现异构网络互联的最关键的一个协议层。它使用网间协议(Interne Protocol,IP)使不同物理网络在逻辑上互联起来,实现了主机“端到端”的连通性。IP的协议机制完全体现在它的协议数据单元———IP数据报的结构上,掌握了IP数据报每个域的含义与就基本掌握了IP协议机制。解析了IP数据报的内容,对把握网络的组织运行状况,数据流向,传输协议和网络安全方面都很有帮助。本文在VC++环境下使用套接字编程,完成了对流经本节点的IP数据报的捕获和解析。运行后从捕获的结果分析了各个参数字段,生成解析结果文件,初步分析了网间协议的传输机制。

2 IP数据报

IP数据报格式包含了标头固定部分,标头可变部分和数据区三部分。IP数据报标头部分固定为20个字节,其中包含了12个参数域。各参数域隐含着网间协议的传输机制。IP具体的标头格式如图1所示。

各参数域的具体含义如下[1]:

1)版本号:长度4位,表示所使用的IP协议的版本。IPv4,版本号字段的值为4;IPv6,版本号字段的值为6。

2)标头长:长度4位,定义了一个以4B为一个单位的IP包的报头长度。

3)服务类型:共8位,高3位组成优先级子域,随后4位组成服务类型子域。

4)数据报总长度:总长度为2B(即16位)。定义了以字节为单位的数据报的总长度。

5)重装标识:长度16位,用于识别IP数据报的编号,让目的主机判断新来的数据属于哪个分组。

6)分片标志:共3位,最高位为0;DF:禁止分片标志。DF=0,可以分片;DF=1,不能对数据报分片。MF:分片标志。MF=0,表示接收到的是最后一个分片;MF=1,不是最后一个分片。

7)片偏移值:共13位,说明分片在整个数据报中的相对位置。

8)生存期:8位,用来设置数据报在网络传输过程中的寿命,常以一个数据报可以经过的最多的路由器跳步数来限定的。

9)协议类型:共8位,表示该IP数据报的高层协议类型。

10)标头校验和:共16位,用于存放检查报头错误的校验码。

11)源、宿主机地址:共32位,分别表示发送和接收数据报的源主机和宿主机的IP地址。

12)选项数据域:0～40B,用于控制和测试。

3 套接字及Winsock编程

套接字是网络编程的接口,在进行网络编程时,为了进行数据的传输,一般使用套接字进行与网络协议的交互。Windows socket是一套开放的Windows下网络应用程序编程接口,是基于socket模型的API。使得人们可以方便地使用Windows的消息映射机制进行编程。套接字有三中情形,分别是流式套接字,数据报套接字和原始套接字。在调用socket(int af,int type,int protocol)创建套接字的时候可以根据第二个参数来指定其类型。具体如下:

为了能够捕获并解析IP数据报,需要对底层的机制更好地把握。原始套接字用来处理低层的协议机制,因此这里使用原始套接字。使用的套接字的地址结构如下:

4 具体实现

实现的目标是:运行程序后,捕获节点上所有经过的IP数据报,解析每个数据报参数域的内容和含义,显示解析结果,生成输出结果文档,保存数据。程序的大致流程是:设置标头结构并构造参数域解析函数,结果输出文件的生成,创建并初始化套接字,设置网卡混杂模式并监听网卡,捕获并解析IP数据报,显示并写入结果文档,如图2所示。

标头结构的定义如下:

其思想是:参考图1可知,分段标志位于所在字的高三位,即第16,15和14位,其中第16位保留,第15位是DF标志位,第14位是MF标志位,因此为了解析出DF与MF,采取将其所在的字变量分别右移14位和13位,其结果是DF和MF标志位都移到了最低位。然后将所得结果和01H相与,相与的目的就是保留最低位不变,其它位相与的结果变为0,因此最后相与的结果就是DF和MF的值。其它诸多参数域的解析各自编写函数完成,这里不一一列出。

网卡的设置:网络当中数据的发送和接收都需要经过网卡,一般情形网卡只发送和接收与自己本机相关的数据报或者网络当中的广播数据报。为了能将流经本节点的数据报都捕获到,需要将网卡设置为混杂模式。将原始套接字绑定到网卡:

监听网卡,即通过recv函数接收数据:size=recv(sock,buffer,BUFFER_SIZE,0),在获取了网络节点上的数据报之后,调用前面已经编写好的参数域解析函数对数据报的各个参数域进行逐个解析,并显示和保存结果。

5 实验和演示

通过命令行方式运行编写好的程序,当网络上有数据流经本节点的时候,可以将它们捕获,并且界面上会依次闪现一个个数据报的解析信息,最后将所有的数据报解析结果以txt文本文档的形式保存在指定文件里。图3中截取了其中一个数据报的解析信息,可以看出,该数据报从IP地址为202.195.102.24的节点发往61.200.81.136,使用的IP协议版本号是IPV4,标头长为20字节。服务类型为普通服务,优先级普通。数据报总长度12288字节。重装标志显示该IP数据报的编号是53662,允许分段,是原始数据的最后一个分片。所处位置的偏移量为64。在网路中传输已经经过了128跳。该数据报送TCP高层协议处理。头校验和是0xca9b。

6 结束语

本文使用VC编程,实现了网络IP数据报的捕获和解析,通过实际验证,能够详细地获取各参数域的内容并解释其含义,生成分析文档。以后可以进一步地研究网络数据的获取方法。在获取大量原始数据的基础上,采取合适的数据分析工具和手段,可以与网络安全等具体应用进一步结合。

摘要：IP数据报的内容体现了网际互联层的网间协议的协议机制。解析IP数据报,对把握网络的运行情况以及协议机理都很有帮助。很多具体应用也与此紧密相关。在VC++环境下用套接字进行编程,实现了对网络节点上的数据报的捕获,并对其中各个参数域进行了解析。最后通过实例进行了演示。

关键词：IP数据报,网间协议,套接字

参考文献

[1]高传善,钱松荣.数据通信与计算机网络[M].北京:高等教育出版社,2003.

[2]熊安萍.基于Winsock技术的数据包解析研究[J].计算机科学,2006,33(12):81-83.

[3]赵新辉,李祥.捕获网络数据报的方法[J].计算机应用研究,2004,21(8):242-255.

[4]高庆峰,李春林.基于TCP/IP协议网络数据报的截获并篡改的研究及实现[J].计算机安全,2007,4:27-31.

[5]林生,韩海雯.计算机通信与网络教程[M].北京:清华大学出版社,2006.

IP数据网 篇8

一、基于TCP/IP协议的数据通讯与图像数据传输方法

作为目前广泛采用的一组完整的网络协议,TCP/IP协议的传输层协议为用户提供了用于虚电路服务及数据传输可靠性检查的传送控制协议(TCP)和用于数据传送的数据报协议(UDP)。同时,Socket的出现,为用户提供了基于TCP/IP网络应用编程接口。

在利用Socket进行通信时,有两种主要方式:一种叫做流方式(Stream Socket),也称面向连接方式,在这种方式下两个通信的应用程序之间先要建立一种虚拟的连接,只有连接建立以后才能开始传输数据,这种方式对应的是TCP协议。

第二种叫数据报文方式(Datagram Socket),又称无连接方式,在这种方式下,数据在传送过程中有可能会丢失,而且,后发出的数据也有可能先收到。由于本系统的客户端与服务器端间的通讯对实时性、快速性和可靠性的要求非常高,传输效率将会影响到检测过程所消耗的时间,过多的时间消耗会导致系统检测精度的降低,同时会对图像的后续处理产生影响;错误的或者顺序颠倒的数据信息可能会带来很严重的后果。

因此,采用TCP协议可以在连接虚电路建立后消除隐含在建立客户机/服务器间通讯时的非对称性,保证通讯两端的对等数据通信和图像数据的准确传输。

二、基于TCP协议和Csocket类的网络通信实现

在基于TCP协议的网络通信的实现过程中,采用Microsoft Visual C++的MFC类库中提供的CSocket类,采取面向连接的流方式实现了客户端与服务器端之间的实时通讯。其服务器与客户端的进程。系统通信的工作过程如下:在印刷图像在线检测系统中,上位机作为服务器,调用Listen()函数进行监听,等待下位机的连接;下位机作为客户机,当某一客户机要联通上位机时,调用Connect()函数主动进行连接。

客户端在连通服务器之前先发送连通请求,并把包括站名、IP地址、端口地址等客户机信息发送到服务器。服务器端对进行连接请求的身份确认,若身份不符则主动中断连接;若身份得到确认则允许连接并发送确认信息到客户端,开始接收由客户端上传的数据。

三、网络连接状态的在线诊断

在印刷图像在线检测系统的实际检测过程中,会出现这样一种情况:服务器端不能实时获得检测对象的缺陷数据,而此时系统软件亦没有捕捉到任何异常,从而导致整个系统缺陷检测与缺陷分类功能的失效。因此,为了保证网络的正常工作,需要对网络进行在线化检测,从而能够网络及时进行修复。

引起该检测失效故障的可能原因很多,最可能的一种原因是:应用程序的其他部件都处于正常运行状态,客户端已经检测到产品缺陷,而服务器端显示的却是之前检测到的缺陷数据,即检测系统的网络通讯功能失效,Client Socket和CSever Socket之间丢失有效连接,导致客户端采集到的缺陷数据不能实时地上传到服务器端,或者由于某种原因延迟一段时间,同客户端机之后所检测到缺陷数据一起上传至服务器端,导致缺陷的误报与漏报。为了诊断服务器端Csever Socket与客户端Client Socket之间是否建立有连接,有两种可能的方法:

(1)在服务器端设置定时器,定时向每个客户端发送测试信息,若客户端能够及时返回确认信息,则证明服务器与客户端之间建立有连接;否则服务器端会继续向客户端发送测试信息,若服务器端在第n次(n值由用户设置)发测试信息之前收到客户端的确认信息,仍然认为服务器与客户端之间建立有连接;若超过n次,则认为二者之间已经断开连接。

(2)在每个客户机端都设置定时器,定时向服务器端发送测试信息,若服务器端能够及时返回确认信息,则证明服务器与客户端之间建立有连接;否则客户机会继续向服务器端发送测试信息,若客户端在第n次发测试信息之前收到服务器端的确认信息,仍然认为服务器与客户端之间建立有连接;若超过n次,则认为二者之间已经断开连接。

由于socket的通讯机制只能是服务器端处于监听状态,由客户端发送连接请求,来实现网络连接状态诊断,当检测到与服务器端断开连接,即可向服务器端进行Socket重连。

基于IP数据包生存期的隐蔽信道 篇9

关键词：信息安全,隐写术,隐蔽信道,IP包生存期

0 前言

本文根据对IP数据包结构和网络传输过程的分析,提出一种基于IP生存时间TTL的信息隐藏方法,通过替换原有的TTL值,可以把秘密消息嵌入到数据包中。由于IP数据包的TTL值在网络中是动态可变的(通过路由器、防火墙等),即在信道中存在噪声,本文设计了几种编码方法,使之有广泛的适用范围并且具有良好的隐蔽性。

1 IP包结构分析

IP数据报的结构如图1所示。

各部分含义如下:

版本:用于传输数据的IP版本,大小为4位;

头部长度:用于规定报头长度;

服务类型:用于设置数据传输的优先权或者优先级,其大小为8位;

总长度:指出数据报的总长,数据报总长=报头长度+数据长度,大小为16位;

标识:用于标识所有的分段,大小为16位;

分段标志:确定一个数据报是否可以分段,同时也指出当前分段后面是否还有更多分段,大小为3位;

分段偏移量:由目标计算机用于查找分段在整个数据报中的位置,大小位13位;

生存时间:设置数据报可以经过的最多路由器数。长度为8位;

协议:指定用于创建数据字段中的数据的上层协议,大小为8位;

校验和:检查所传输数据的完整性,大小为16位;

源地址:源IP地址,字段长度为32位;

目标地址:目标IP地址,字段长度为32位;

选项:上一个必须的字段,字段长度具体取决于所选择的IP选项;

数据:包含网络中传输的数据,IP数据报还包括上层协议的报头信息;

其中,生存时间(TTL)字段设置了数据报经过的最多路由器数。它指定了数据报的生存时间。TTL的初始值由源主机设置,经过一个处理它的路由器,它的值就减1,当该字段为0时,数据报就被丢弃。设置该字段主要是为了防止无法到达的数据报永久停留在网络中阻塞网络。该字段成为隐蔽位置的原因是:(1)由于网络情况和路径变化频繁,该TTL值改变不会被认为是异常。(2)对这个值的操作也可以被认为是合法的,因为对该字段的操作可以认为是用于另外一种用途:在一组拥有相同功能的服务器中找到距离源主机最近的服务器。源主机在开始寻找时,首先会发送TTL=1的请求包到这个地址。请求包在被丢弃前将到达一些路由器。如果没有回复信息,那么源主机就在TTL值上加1,继续搜索。由于有原因(1)和(2)的存在,所以TTL在网络中的取值是变化的,满足了成为隐蔽信息字段的条件。

2 基于TTL的信息隐藏

本文提出的隐藏算法的主要思想就是将要隐藏的秘密消息编码替换到原IP报文的TTL值。并提出编码方法抵抗由于网络中正常TTL变化引起的噪声,并使调制后的TTL值接近自然的TTL值。隐藏与传输的原理如图2所示。

在发送端将秘密消息c经过变换得到m,将m放入TTL中,TTL在数据包中占一个字节,利用该方法进行隐蔽通信需要考虑通信连路上路由器的数量N,接收方必须知道该数据包在网络中共经过多少路由器,从而可以将收到的信息m’加上N得到发送方发送的数据m。在局域网中,由于路由路径一般固定,所以N一般不会发生变化,这使得这种简单的信息隐藏方法可行。为了让接收方得知IP数据包在网络上经过的路由数N,本文设计了训练序列,接收方可以由已知的训练序列规律求出N值。以下是该隐藏方法的流程。

发送端:

(1)将待隐藏的信息c预加密达到m,增加隐秘性。

(2)构造双方预知的一段序列如长度为l的全1串嵌入到TTL字段中,即将TTL值设为255作为训练序列和开始标志。

(3)将待发送的秘密信息m按字节嵌入到TTL字段中发送。

接收端:

(1)接收数据包,将TTL字段的取值存储得到m’。

(2)在TTL值序列中寻找训练序列特征,将序列中TTL取值M与255相减,得到数据包在网络上经过的路由器数N,即255-M=N。

(3)将接收到的TTL值m’加上N得到发送的秘密消息,即m=N+m’。

(4)将m按照预共享的密钥解密得到原始的隐藏信息c。

在局域网中,该方法可以正确的传输隐藏信息。但在复杂的互联网中,由于路由的路径不同,数据包所经过的路由等设备的数目N是动态变化的,这种方法有极高的误码率,这极大的限制了该方法的适用范围,并且由于m直接嵌入TTL中,使隐藏数据包TTL值的统计特性与自然的统计特征相差巨大,容易被检测和消除。对于这个问题,本文提出以下几种方法。

(1)采用两个不同的TTL值,这两个值之间的差要比较大,它们分别代表二进制数0和1。这样的话,即使经过的路由器数量对方不知道,对方也可以根据接收到的数值的大小来判断,这样就提高了系统的稳定性和隐蔽性。

(2)采用两个不同的TTL值,这两个值之间的差比较小,分别代表二进制数0和1。定义一个计数器L,发送0或1是都连续发送L次,接收方收到序列后可以根据收到的重复数值来确定原信息,这样的TTL值变化较小,更符合一般的TTL变化规律。为进一步加强隐蔽性,L可以由一个带密钥的函数决定,使之动态变化,这样即使攻击者发现了隐蔽信道的存在,由于没有密钥也很难恢复秘密信息。

(3)采用扩频编码。将待发送信息m用扩频编码调制,如长度为L的Walsh-Hadamard码,使每一比特都调制成一个值为±1的码序列C=(C1,C2,……,CL),用预设的TTL值T与C相加得到一个t序列t=(T+C1,T+C2,……,T+CL),再将t序列嵌入到TTL中发送给接收方。由于W-H码的均值为0,接收方只要分段计算收到的TTL值的均值就可以得到估计的路由数N’,把接收到的t’序列减去N’,就可以得到序列C’,由于扩频编码的特性,用相应的W-H码即可解扩出原有的信息m。如果攻击者如果没有相应的码字,根本无法察觉隐藏信息的存在。这种方法也适用于当网络发生较大改变时的情形,由于N’是分段计算的,当网络拓扑突然发生较大改变时,该方法可以自适应的计算出当前网络环境下的N值。

采用这三种编码方法的流程与前面提到的简单的基于TTL的信息隐藏方法大致相同,增加了编码的步骤以对抗网络上的噪声提高隐蔽性,但不需要训练序列的帮助来获得N值了。

3 可行性与性能分析

在确定的发送和接受端之间,路由的路径一般变化比较缓慢,即N在大多数时间内都是确定值,故以上几种方法在理论上都是可行的。本文通过Winpcap编程实验,在局域网及城域网中以上三种方法均能正确的解析出隐藏信息。

信息隐藏算法的性能一般可以从隐蔽性、鲁棒性和信道容量几方面来考虑。

(1)隐蔽性

隐蔽信道的隐蔽性就是要求携密数据和普通数据类似,不引起怀疑,如果能够很容易的被检测出来隐藏也就失去了意义。简单的基于TTL的信息隐藏由于使用的一般安全网络设备不关注的TTL值来隐藏消息,隐蔽性是比较高的,但利用基于统计特性的检测方法还是可以被发现的。正常的网络数据包中TTL的取值变化不大,随不同的网络环境其统计特性也不同。由实际从网络截取的数据包中统计分析得出,在局域网中,由于路由路径基本不变,TTL值一般也是不变的;在一个较复杂网络网关内外间通信时,由于中间一般经过防火墙、负载均衡等设备,其TTL取值一般在某一取值附近波动;在更大距离的互联网中,TTL的取值也呈现了在一定值附近变化的特点。由此可见,自然的IP数据包中TTL取值是符合一定规律的,针对这种规律,分布特点设置合理的阈值,可以检测出简单的基于TTL的隐蔽信道。简单的将秘密信息直接替换TTL值的方法在局域网中是可行的,但由于其TTL的取值分布规律就是信源信息的分布规律,与合法的IP数据包TTL取值相差很大,很容易被检测出来,隐蔽性不够好。本文提到的第一种编码方法用相差较大的两个TTL值来映射秘密消息,考虑到的是正确的解码,而没有考虑TTL取值的分布,故隐蔽性相对较差。第二种编码方法使用重复序列代替单独的码字,由于发送的TTL值差别很小,类似于正常传输的IP包中的TTL取值,故具有很强的隐蔽性。第三种编码方法利用了扩频编码的方法,TTL的取值仅在极小的±1范围内变化,统计特性上可以看作是TTL信道中的随机噪声,故此方法具有很强的隐蔽性。

(2)鲁棒性

鲁棒性描述算法抵抗蓄意或非蓄意攻击的能力或程度。蓄意攻击包括被动和主动攻击。被动攻击指监测者分析检查所有数据,尝试发现可能存在的隐蔽通信,其最高目标是窃听、截断或篡改秘密信息。主动攻击则不关心隐蔽通信是否存在,其目的是:在不破坏数据包功能的前提下,尽可能地干扰可能存在的秘密信息的提取。非蓄意攻击指传输路径中,数据包可能遭遇的操作和处理,例如:过滤、筛选、地址翻译等。实用算法产生的携密数据包,经过非蓄意攻击后,大部分秘密信息能够保留。

简单的信息直接嵌入TTL的方法鲁棒性很差,传输过程中任何噪声都会造成接收方误码率的急剧增高,这种方法仅适用于无噪声信道,比如局域网。本文提到的第一种编码方法其鲁棒性取决于比特0和1对应TTL取值的差ΔT,若信道本身的TTL变化值大于ΔT,就会造成误码。后两种编码方法的鲁棒性取决于设计的码长L,对于第二种方法,只要在L长的序列中误码的个数不超过L/2个,接收端就可以正确的还原秘密信息。对于第三种方法,由于引入了扩频增益,鲁棒性更好。

(3)信道容量

容量指隐藏的秘密比特数。从保密通信的角度,带宽或传输速率能更好地刻画隐藏算法的容量特性。基于此种隐蔽信道的特点,我们定义每个数据包隐藏的比特数bpp来定义该隐蔽信道的容量。容易得知,第一种编码方法的信道容量为1bpp,第二和第三种方法的信道容量为1/L bpp。隐藏效率比较低,后两种编码方法通过降低信道容量的方法获得隐蔽性和鲁棒性的提升。当然,也可以对信道容量进行改进,引入多进制编码来提高隐藏效率,但相应的会降低信道的隐蔽性。如简单的信息直接嵌入TTL的方法,信道容量达到了每数据包隐藏1字节的,但其隐蔽性和鲁棒性都很弱。

总体来说,基于IP数据包TTL构造的隐蔽信道的带宽很小,这有利于提高信道的隐蔽性,并且由于网络流量巨大,即使在低带宽情况下也可以传输大量的隐蔽信息。

4 总结

基于网络协议的信息隐藏是在信道中隐藏信息,相对于基于信源的隐藏通常具有更高的安全性。本文通过对IP包的封装结构和通信过程的分析,指出IP包的TTL值隐藏信息的可能性,并提出了基于IP包生存时间的信息隐藏方法。理论分析和实践表明,该方法具有实际应用的可行性和较好的安全性。

参考文献

[1]Girling,N.and C.,Covert Channels in LAN's.IEEE Transactions on Software Engineering.1987.

[2]万宏辉.基于TCP/IP的信息隐藏.湘潭师范学院学报:自然科学版.2007.

[3]杨智丹等.基于IP报头选项的网络隐蔽通道技术.计算机工程.2009.

IP数据网 篇10

首先说一下BICC CMN的特性, 对于支持BICC信令的节点, 若节点有相关的承载控制功能, 则该节点被称为服务节点;若没有, 则称之为呼叫仲裁节点, 即CMN。汇接局在不需要控制网关, 仅仅转发BICC信令的场景下, 必须要支持CMN特性。

CMN组网的数据配置流程如下图所示, CMN组网情况下, TMSC (CMN) 需要配置TMSC (CMN) -MSC Server1的对接数据和TMSC (CMN) -MSC Server1的对接数据如图1所示。

1.1 M3UA信令配置

ADD M3LE (增加M3UA本地实体) :“本地实体类型”设为“AS”。

ADD M3DE (增加M3UA目的实体) :“目的实体类型”设为“AS”。

ADD M3LKS (增加M3UA链路集) :“工作模式”设为“IPSP”。

ADD M3LNK (增加M3UA链路) :“客户端/服务器端模式”设置为“客户端”。

ADD M3RT (增加M3UA路由) :略。

1.2 BICC中继配置

ADD BICCT (增加BICC中继群) :“媒体网关名称”配置成“CMN”, 电路类型配置成“BICC_IP”;承载建立方向为“前向”;隧道建立模式为“延迟”;DT MF是否需要确认消息设为“否”。AD D BICCICMDU (增加BICC CIC模块数据) :“起始CIC和结束CIC”与对端配置一致。

1.3 话务路由配置

ADD OFC (增加MSC Server的局向) :“信令类别”设为“选择BICC OVER M3UA_4096";“BICC CIC选择模式”要求两端一边主控奇, 另一边主控偶;“BICC支持Tr FO”设为“是”;“无Tr FO的默认编码”配置为“UMTSAMR2”。

2 关口局组网数据配置

2.1 关口局组网

由于关口局的基础配置已经完成, 那么对接配置包括关口局和PSTN的对接 (M3UA方式) 配置;关口局和端局的对接配置。关口局和PSTN的对接 (M3UA方式) 配置包括MSC Server的配置命令和MGW的配置命令。首先, 关口局MSC Server的配置如下: (1) 话务路由配置; (2) 中继路由配置; (3) 到PSTN的M3UA信令配置; (4) 到MGW的M3UA信令配置。

2.2 关口局和他局的BICC对接配置

关口局与他局进行BICC对接的时候, 配置命令和CMN一样, 不同的地方在于关口局Server配置MGW的时候:ADD MGW:M G W N A M E=“非C M N”, B C U I D=2, S P C A T T R=S U P C O D E C C F G-1, E N C T-N S U P, UMTSAMR2R=RATE122-1, TC=UMTSAMR2-1&PCMA-1, VQECTRL=NSUP。

3 端局组网数据配置

端局在从TDM-IP的改造中, 由于网关之间的承载变化, 所以在多网关的组网场景上配置有一些不同。后面将分别介绍不同场景下的数据配置。 (表1)

3.1 M3UA方式组网下MSC Server的配置

(1) 移动业务配置。 (2) A接口中继配置。 (3) SCCP层信令数据配置。 (4) 到BSC的M3UA信令配置。 (5) 到MGW的M3UA信令配置。

3.2 M3UA方式组网下MGW的配置

(1) 到BSC的MTP链路配置。 (2) 到MSC Server的M3UA信令配置。以上就是所有相关的数据配置。

4 结语

本文介绍了联通核心网电路域在VOIP组网场景下的数据配置, 并且介绍了CMN、关口局、端局的对接数据配置, 仅供参考。

参考文献