基于网络安全考虑的城域网设计分析论文

基于网络安全考虑的城域网设计分析论文（精选8篇）

篇1：基于网络安全考虑的城域网设计分析论文

基于网络安全考虑的城域网设计分析论文

【摘 要】主要根据有线通信规划设计实际案例的经验，对城域网规划设计部分进行可行性、细节化的方案分析。以网络安全稳定为主线，依托于网络现状，制定出城域网规划及设计方案。通过从有线通信划分为设备侧和线路侧方面入手，对可能影响网络安全的因素进行逐一分析，并得出合理的解决设计方案。

【关键词】城域网 核心层 汇聚层 接入层 网络安全

doi：10.3969/j.issn.1006-1010..02.003 中图分类号：TN929.5 文献标识码：A 文章编号：1006-1010（2016）02-0014-04

引用格式：肖江涛，薛其林，窦勇. 基于网络安全考虑的城域网设计分析[J]. 移动通信， 2016，40（2）： 14-17.

Design and Analysis of Metropolitan Network

Based on Network Security Factor

XIAO Jiang-tao1， XUE Qi-lin2， DOU Yong2

（1. China Mobile Group Design Institute Co.， Ltd.， Shandong Branch， Jinan 250101， China;

2. GCI Science & Technology Co.， Ltd.， Jinan 250004， China）

[Abstract]According to the practical cases of wired communication planning design， the feasibility and detail of the solution of metropolitan area network design were analyzed. A planning and design solution of metropolitan area network was drawn up based on network security， stability and conditions. In the light of equipment and circuit of wired communications， the possible factors to affect network security were analyzed on by one to present the feasible design solution.

[Key words]metropolitan area network kernel layer aggregation layer access layer network security

1 引言

随着时代的发展，信息量呈现爆棚态势，用户对网络的要求也越来越高，给城域网带来了前所未有的压力。为了提升有线通信网络的承载能力，城域网在整个建设过程中有着举足轻重的地位。

现阶段，国家出台多项关于带宽提速政策，有线通信网络将逐步实现全光纤化，个别地区已实现全光网络。在一个地区，城域网容纳成百上千条各种类型的末端接入工程。由于整个有线通信网络非常庞大，为避免大面积、大范围的网络故障和网络瘫痪，整个网络的安全稳定性至关重要。因此，各单位开始通过对城域网设备侧和线路侧进行新建、扩容、升级等方式，来提升整个有线通信网络的容量和安全稳定性。

2 整网划分

按照现有工程设计来划分，城域网规划设计分为设备侧和线路侧两部分。它们之间相辅相成，不可能独立存在。独立存在将失去其真正存在的意义，也将失去其使用的价值。每个方面都存在各自可提高的安全稳定方式，下面将进行具体分析探讨。

2.1 设备侧

城域网网络结构从上至下分为核心层、汇聚层、接入层。网络的安全稳定性由高到低进行规划设计。

（1）核心层

核心层是整个城域网最重要的部分，其安全稳定性非常重要，规划设计过程中要在保护措施方面进行充分的考虑。以山东某地市核心层网络结构图为例，如图1所示：

图1 山东某地市核心层网络结构图

具体如下：

4G初期，地市公司重新对整网结构进行规划设计。为满足网络带宽需求，引入某一厂家，具备大容量、高交叉能力的高端PTN（Packet Transport Network，分组传送网）设备，进行核心层布局。综合考虑城市发展、业务需要、机房条件等，合理选取两个核心局点。如图1所示，每个核心局点有三套设备，其中L3各一套，L2/L3各两套。所属的网络层次不同，在整网中起的作用也是不同的。采取双节点上联方式（双归），增加了核心层的安全可靠性。同时，在L3和L2/L3设备不同局址之间新引入大颗粒OTN（Optical Transport Network，光传送网）设备。通过对网络结构的重新调整及高端设备的引入，使得核心层具备双归特性，同时具备设备级和网络级保护。

（2）汇聚层

汇聚层分为城区汇聚、市到县汇聚、县到乡汇聚这3种场景。

城区汇聚：汇聚节点间距离相对较短，人口密集程度高，业务相对集中。现阶段，每个业务区对应一个汇聚节点，覆盖区域已划分固定，并形成完整的一片业务区。方案实施的具体原则采取跳点方式，地理位置间断组网。

汇聚点在地理位置上是跳跃式组网，并且上联至不同的L2/L3 PTN设备。不同区域范围内数据上行链路是不一样的，个别站点故障不会导致整网故障。假设某个汇聚点因为出现故障问题完全瘫痪，此汇聚业务区将会出现掉站等业务中断事件。但相邻汇聚点及其所带站点依然正常工作，靠近瘫痪汇聚点附近的站点将承担一部分瘫痪汇聚点片区的基站业务，尽量弥补故障汇聚点完全瘫痪带来的影响，不会出现大面积的瘫痪事件。城区汇聚具备双归、设备级、网络级保护特性。

市到县汇聚：市区与县区之间距离较远，业务在县区内集中。通过裸纤或OTN系统上联至市区公司，解决各个县区的上行通道，并提供足够稳定的带宽需求。市到县汇聚整体从安全稳定性角度出发，在每个县区选取两个上联点，须符合以下条件：在县区内，位置分布合理;业务集中且机房条件优秀;资源丰富、接入方便等。同时，在市区至县区设备不同局址之间新引入大颗粒OTN设备。市到县汇聚具备双归、OTN、设备级、网络级保护特性。

县到乡汇聚：县区与乡镇之间距离适中，主业务在乡镇集中。现阶段，此部分压力的最大来源为农村宽带接入，给县乡汇聚层带来不小的建设需求。县乡汇聚规划设计类似市到县汇聚，采取乡镇地理位置分区，分别上联至县区汇聚设备。部分大型乡镇在有条件的情况下，可引入粗波分进行分担流量和保护。县到乡汇聚具备双归、设备级、网络级保护特性。

（3）接入层

接入层组网方式类似于城区汇聚方式，采取跳点思路。在条件满足的情况下，通过双路由分别上联至县区1、2两套设备。同一方向上，将接入层设备分开组网。这样就不会出现某一环路出现故障导致整条瘫痪，会在跳点位置给予补充，为保障接入层的网络安全增加了一道防线。

2.2 线路侧

城域网线路侧规划设计需关注特定的易发生故障点，从而提高整网的安全稳定性。

（1）核心层

核心局点之间原有两条出局方向不同的.光缆路由，为增加核心层在物理路由上的安全可靠性，引入第三、四路由，新增两侧不同出局方向。同路由部分，在道路另一侧新建管道资源。整体形成四纵四横的安全网络结构。

（2）汇聚层

汇聚层也分为城区汇聚、市到县汇聚、县到乡汇聚这3种场景。

城区汇聚：城区汇聚节点要求选取至少两条不同出局路由，汇聚机房之间通过不小于48芯光缆连接。汇聚机房与本业务区光交之间通过144芯光缆形成环状结构，经验建议机房和光交比例为1：5。

市到县汇聚：市到县汇聚光缆出局路由至少2条，有条件的可按核心节点方式选取4条出局方向，光缆芯数要求不小于96芯。

县到乡汇聚：近年来，新建资源经过农田等地赔补费大幅升高，单独乡镇形成对县区汇聚点的双路由比较困难。县区至乡镇一般依托于乡镇主道，将处于同一方向上的乡镇节点连接起来组成一个回环，形成路由上的双向保护。

（3）接入层

接入层设计类型较多，包含基站、集团专线、家庭客户等。每种类型接入选取光缆芯数类型及接入方式应依据地市和客户需求综合考虑，结合各类客户的重要性选取保护措施。具体如图2所示。

3 结束语

随着城市规模的发展变化，人口城镇化、集中化将是一种时代的趋势，移动通信领域中的城域网也将迎来一次飞速发展的过程。保证和满足客户对网络的需求以及整网的安全稳定，是规划设计中需要重点考虑的问题。

通过对实际设计方案的探讨，设备级的安全稳定性是对各个厂商提出的要求。同时，引入不同系统进行分担和传送数据，以及合理地规划网元布局和网络结构，都会对整网的安全给予可靠保护。每地市建议设置一对L3 PTN设备、一对或多对L2/L3 PTN设备。对存在多个厂家PTN设备的地市，每个厂家的设备至少各自设置一对L2/L3 PTN设备。L2/L3 PTN设备通过核心层OTN系统10GE通道或者裸纤实现与L3 PTN设备的上联。

线路侧的安全性需从实地物理角度出发，避免和杜绝一处故障全盘瘫痪的问题存在。从关键点出发考虑，深入整网改造提高，两个方面的结合进一步使得整个城域网的安全性和稳定性有所提高。

参考文献：

[1] 陈运清，徐向辉，等. 城域网组网技术与业务运营[M]. 北京： 人民邮电出版社， .

[2] 师严，张沛，王健全，等. 分组城域网演进技术[M]. 北京： 机械工业出版社， .

[3] 余少华，陶智勇. 城域网多业务传送理论与技术[M]. 北京： 人民邮电出版社， .

[4] 谢桂月，陈雄，曾颖. 有线传输通信工程设计[M]. 北京： 人民邮电出版社， .

[5] 佟卓，谢宇晶，尹斯星. 宽带城域网与MSTP技术[M]. 北京： 机械工业出版社， .

 

篇2：基于网络安全考虑的城域网设计分析论文

在CSS中，有两种单位。一种是绝对长度单位，包括英寸(in)、厘米(cm)、毫米(mm)、点(pt)和派卡(pc)。另一种是相对长度单位，包括em、ex和像素(px)。ex由于在实际应用中需要获取x大小，因浏览器对此处理方式非常粗糙而被抛弃(更多内容可以参考Eric A. Meyer的《CSS权威指南》)，所以现在的网页设计中对大小距离的控制使用的单位是em和px(当然还有百分数值，但它必须是相对于另外一个值的)。

在css中，1个“em”定义为一种给定字体的font-size值。所以1em可能随元素的不同而不同，它会相对于父元素字体大小而改变。在常见浏览器下，默认字体的大小为16px。常见有两种方法来进行网页设计：

设置默认字体大小为10px：

body{font-size:62.5%;}#wrapper{width:97.4em;}

这便于依次计算出其他元素的长宽值，比如某个容器#wrapper的宽度是974px，CSS中定义为97.4em。本站就是依据这种方式来实现的。

设计默认字体大小为网页中最常用字体的大小，比如最常用字体的大小是12px：

body{font-size:75%;}#wrapper{width:81.1667em;}

这样虽然省去了设置默认字体的大小，但是偶尔却为严格尺寸设计带来麻烦，比如你要设置那个宽为974px的容器#wrapper就会遇到此类麻烦。其实第一种方法也会遇到类似麻烦，只不过比第二种少些。

基于字体大小的设计好处很明显，当用户调整浏览器默认字体的大小时，字体和页面会随之缩放，能够满足挺这种方法的人常说的一个优点就是弱视的人可以通过放大字体来看清楚页面内容，增强了页面的可访问性。

每个屏幕都有分辨率，比如1280×1024分辨率时屏幕就有1280×1024个点，这每个点就是一个像素(px)。所以利用px来设计网页，不存在em那种相对于父元素字体大小变化而变化的问题。而实际上绝大部分的站点设计都是基于px设计的。在Windows平台下IE7之前都无法通过调整浏览器中的“字体大小”来调整文本大小，非IE浏览器可以，但实际上是一般基于px的页面，一旦仅仅调整了文本大小页面就会乱掉(在Firefox 2下观看除中国雅虎外的门户网站，调整一下字体大小就了解了)。

为了IE下不能调整以px为单位的字体大小，而非IE下可以的问题，YUI CSS Tools采用了如下代码来设置默认1em的大小，支持用户的字体大小调整：

body {font:13px/1.231 arial,helvetica,clean,sans-serif;*font-size:small;*font:x-small;}

为此IE默认情况下，1em的大小是13.3333px，所以你会看到YUI CSS Grids里面那些诸如width:73.076em;这样的值。

所以，基于字体大小(em)的设计和基于px的设计相比而言：

基于字体大小(em)的设计页面带来的缩放效果有限，最早基于字体大小设计的门户网站应该就是Yahoo和MSN了，而实际上它们也仅仅是保证了上下缩放三级而已，再多就乱掉了。

现在的站点越来越多的图文混排，图像的高度和宽度本身就是像素数。除非你通过CSS来把图片的大小设置为相应的em值，就像本站的Logo这样，否则图片是不会随着文字变化而变化的。但是如果采用的是背景图片，那就基本上无计可施了。所以实际上基于字体大小来做图文混排设计的网页需要对图像的设计是有相当严格的要求的，即使如此仍无法完美解决，但复杂度却上升不少。

基于字体大小的网页设计，将使长度变得的非常的不直观，导致设置一个宽度变得非常麻烦，YUI CSS Grids中说明了这点，

并且由于em会相对于父元素字体大小变化而变化的问题，导致图文混排的复杂设计时非常麻烦。特别是在盛行过度设计和精确到像素的这个浮躁时代。其实连Google和百度这种非常简单的首页都或多或少的利用px来布局。

现在主流浏览器都支持了“全网页缩放”功能，Safari尚未支持这个功能，而是像Firefox2一样支持文本缩放，但是具有讽刺意味的是Apple页面基本上都是基于px的，所以一缩放就乱掉，我深信Safari支持这个功能仅仅是时间问题。两年前有篇《95%的中国网站需要重写CSS》很流行，虽然保证用户的可访问性是应该的，但是应该找到其最佳实现的方法，毫无疑问浏览器的“全页面缩放”功能是最佳选择。从现在开始，基于px的设计不用再过于背负违背可用性的恶名了，基于em(文字大小)的设计不能给我们带来太多的好处，反而有可能耗费太多的精力挣扎于如何精确保护视觉设计上，设计师的精力应该更多的放在内容的理解、快速呈现、语义化、对屏幕阅读器的支持等等方面上。

全球范围内IE6已经不到40%了，中国用户比率应该高些，但趋势是一样的，毕竟IE8都出Beta了，IE6会很快成为历史的。如果你是偏执狂，需要考虑Firefox2和Safari的话，或许设置body{font-size:10px;}再基于em进行设计是一个不错的办法，中国雅虎的首页就是利用类似原理。总之，是时候不用考虑基于字体大小(em)的设计了，特别是针对IE6的解决方案。

评论

Huerreson说:2008-06-17 8:35#1

北京时间6月17日 早上8点35分，还没有开放下载，估计是按美国华盛顿时间来的。

roc说:2008-06-17 9:07#2

还是和平台的更新淘汰有关，xp sp3的发布延缓了vista的推进。而大部分国内用户还是十分“顽固”地使用着xp sp2(去网上看看那些流行的xxx版ghost系统们就知道了);更何况大部分网民的使用习惯是被动式的，用了电脑的人不一定会装系统，就算更新到ie 7的网民也不一定知道ie 7的右下角有一个缩放功能。

不过，从中国国内商业网站的情况来看，基于px布局的页面占绝对统治地位。举例来说，Amazon和当当都是买书的，但前者是em后者是px，因为页面风格不一样。前者的设计理念在国内估计会被第一个枪掉～

看过《95%的中国网站需要重写CSS》一文我就认为，从标准化的可用性、用户体验上来说该文说的没错;但从实用性的成本和实际体验来说，在字体这一块，95%的中国网站不需要重写CSS。

ZZZzzz说:2008-06-17 10:39#3

可用性这种东西在国内有些时候是一种讽刺,因为不少设计师90%的工作是做在了为了让1%可能都不到的特殊用户满意上面,而中国人太多,就算抛弃了这1%也照样有巨量的使用率,而且这样的工作过程是零散的,琐碎的,没有一个系统的解决方式,所以有些流程中宁愿拿掉这个环节,有些悲凉

雾雨风说:2008-06-17 18:50#5

顶6z!

说的很有道理。

具有中国特色的中国国情。

这个中国特色体现在太多的地方!

同期待ff3

秦歌说:2008-06-17 19:51#6

呵呵，良好的可访问性是能让所有人受益的，也是设计中应该考虑的，并不是为了可用性而可访问性，这些东西其实是很基础很系统的东西，不是完成之后的锦上添花，只不过现在我们被很多浮躁的过度设计蒙蔽了而已。为最可能广泛的用户提供最合适的方式虽然有些理想，但不是说说而已，应该是努力的方向。

篇3：基于局域网的安全设计的研究

随着计算机的普及和网络技术的飞速发展,计算机网络已经深入到我们生活的方方面面,给人们的生活和工作提供了巨大方便。然而,有时上网的数据也遭到了不同程度的破坏、或者被复制盗窃、或者被删除,数据的安全性和自身的利益受到了严重的威胁,使得网络安全成为备受关注的问题,也是必须首先解决的问题[1]。建立内部的计算机网络和基于计算机网络的管理系统是当代网络经济时代的基本条件,本文针对局域网络的实际安全需求进行分析,浅谈局域网络的安全设计,提出合理的网络安全设计,来提高局域网络的安全性。

2 局域网安全应用需求分析

局域网是指在某一区域内由多台计算机互联成的计算机组。可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。本文这里所提到的局域网安全设计指的是某一大公司或者一个大学的网络安全设计,因此,这里的局域网应用类型包括网页浏览、视频会议、Email,FTP等,这种类型的局域网的特点主要是用户多,人员杂,不容易管理,网络传输数据量比较大。局域网接入因特网不可避免会受到外网的各种攻击和破坏,必须逐一解决局域网络的安全应用需求。网络安全是指网络的保密性、完整性、可用性和可控性,其实也就是指网络的安全有效性。所谓的保密性就是保证网络信息不泄漏给未经授权的人,完整性就是防止网络信息被未经授权的篡改,可用性就是保证授权者使用网络信息及信息系统,可控性就是监控网络信息及信息系统的安全。

网络系统是由多级组成,所以网络信息安全是非常复杂的系统工程,首先要解决内外网络的边界安全问题,其次解决内部网络的安全问题,设立入侵检测、安全检测机制[2],建立访问控制、攻击控制、加密通信等安全机制,IP地址设置分配严格管理最好达到每一个IP地址与用户帐户绑定的设置。

3 局域网网络安全设计

3.1 拓扑结构

网络拓扑结构在结构设计时应充分考虑到各种网络设备的安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等要根据地理环境尽量实行集中管理。各种通信线路要防止意外损坏。对一般局域网的拓扑结构的建议:选择千兆以太网为主干,构建骨干网络,实现汇聚到核心的千兆链路,对于各类应用服务器,选择千兆以太网技术实现与骨干网络设备的连接,实现“千兆主干、支干百兆、百兆交换桌面”的网络结构。

3.2 合理划分VLAN

虚拟局域网[3](VLAN)是建立在物理网络基础上的一种逻辑子网。是网络交换技术中一种迅速发展的组网技术,核心是通过路由器和交换机设备在网络的物理拓扑结构基础上建立一个逻辑网络,确保网络中任意LAN段或站点能够组合成逻辑上的局域网。为了防止给网络中的主机带来额外的负担,需要将网络分割成多个广播域来提高网络性能。建立VLAN需要相应的支持VLAN技术的网络设备,当网络中的不同VLAN间进行相互通信时,需要路由的支持。划分VLAN一般采用基于端口的VLAN划分和基于路由的VLAN划分。VLAN可以提高网络管理效率以及通信效率、控制广播数据来避免广播风暴、VLAN使网络的组织更具灵活性、增强网络整体安全性。内部通过划分VLAN,可以限制某个VLAN中的用户数量,并且可以禁止那些没有得到许可的用户进入到某个VLAN中,控制用户对于网络资源的访问,保证网络安全可靠。具体实施建议如下:规划全网内的IP地址确定各子网内主机的数量,并根据IP子网内主机的数量来确定掩码的长度;确定IP子网的聚合点,使聚合点向核心路由交换机通告最少的路由;选择合适的路由协议;网络管理系统采用完全独立的IP子网和VLAN,实现对所有网络设备更安全的管理;建立相应的子网间的访问策略。

3.3 防火墙技术

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,是提供信息安全服务、实现网络和信息安全的基础设施具有较强的抗攻击能力。防火墙是局域网建立安全系统中必不可少的,它用来控制内部网络和外部网络的连接,是一个分离器,一个限制器,也是一个分析器,有效的保护局域网内部不受来自Internet的侵害[4]。防火墙主要功能如下:

过滤不安全的服务和非法用户。通过过滤,防火墙可以实现阻挡攻击,根据策略禁止外部或内部访问,限制流量和连接数。

禁止未授权用户访问受保护的网络。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,所以,很多防火墙具备网关的能力。阻挡外部攻击,如果用户发送的信息是防火墙策略所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。

控制对特殊站点的访问,记录所有通过的访问,并提供统计数据,提供预警和审计功能。如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是从效率上的考虑,一般记录攻击的事情都通过IDS来完成。

选择防火墙主要考虑:质量可靠、性能的稳定的产品,产品应得到相应的机构认证;同时要考虑产品的扩展性和适应性、方便管理和控制性、网络吞吐量、提供专业代理的数量以及与其他信息安全产品的联动等;最后要考虑厂商提供的售后服务。防火墙的安全防护功能的发挥依赖很多因素,因此局域网本身必须根据自己的网络特点,制定一整套安全策略.同时,为了提高防火墙的安全性,可以将防火墙和其他安全工具相结合,充分利用它们各自的优点,最大限度地保证网络的安全。

3.4 网络数据存储及传输安全的设计

网络数据存储安全设计主要包括数据存储加密[5]、数据访问控制和数据备份等设计。

数据加密可以限制对存储数据的非法访问,是保护计算机网络数据安全的重要措施和方法之一。所谓数据加密是指对需要保护的数据或信息资源进行加密处理,将信息由明文变为密文,在对数据进行应用的时候再将密文转化为明文,从而实现数据或资源本身的安全。通过这种方式,非法用户即使得到存储的信息资源,也由于无加密设备或者密钥,无法解密密文,从而无法得到信息资源的内容。

为了防止用户非法访问受控信息和保密信息,必须对存储信息采用访问控制技术。通常采用数据信息用户身份鉴别,即对终端用户的身份进行识别和验证,防止非法用户闯入计算机系统而非法访问涉密的数据信息。目前身份鉴别方法有三种:口令验证、通行验证、以及口令与IC卡双重认证技术。一般还采用访问权限的控制,主要的方法有:确定合法用户对数据的访问权限,建立用户访问数据信息控制表,定期检查存储信息的访问权限和操作权限。

如果尽可能快地全盘恢复计算机系统所需的数据信息,确保网络中数据的安全,最好的方法就是数据备份。数据备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时也是系统灾难恢复的前提之一。一般应采取的策略是:对于关键性系统,采用双机热备份,当任何一台设备失效时,按照预先的规则快速切换;采用磁盘镜像,部署两台服务器通过光纤连接共享磁盘阵列,实现主机系统到磁盘系统的高速连接;对于关键的业务,至少保证各种必要的热备份机制;对于所有业务,提供磁带或光盘备份和恢复机制,保证系统能根据备份策略恢复至指定时间的状态。

对于网络传输安全的设计主要是在数据传输的过程中,防止数据的截收,比较有效的方法就是对传输的数据通过某种算法把网络传输中的数据转换成一种不可读或不可理解的形式,到达终端恢复原样。

4 结束语

随着计算机网络的全球化,计算机网络联结形式的多样性、网络的开放性等特征,所以局域网的安全设计是整个计算机网络系统安全的核心,因此,我们必须采取更多、更好、更有效的措施来不断完善计算机的网络安全。保证社会和国家的财产不受损失。

参考文献

[1]王超,计算机网络安全中入侵检测系统的研究与设计[J].电子科技大学,2007,4:33-36.

[2]微软公司,网络安全设计[M].高等教育出版社,2004.

[3]王卫亚,计算机网络安全设计与研究[J].长安大学,2002,6:22-26.

[4]高文莲,高校校园网安全设计与实现[J].长治学院学报,2005,(2):18-20.

篇4：基于网络安全考虑的城域网设计分析论文

关键词：城域网；网络阅卷；分析与设计

中图分类号：TP393 文献标志码：A 文章编号：1673-8454（2014）06-0071-03

近年来，随着宽带网络校校通的持续建设与不断发展，教育城域网作为一个地区教育网络的中枢和骨干，承担着越来越重要的教育教学和教育管理的核心应用。在做好网络运维管理与安全保障的同时，如何主动适应新形势，充分发挥城域网络专网专线的优势，整合分散的资源，将信息化与教育管理核心业务融合，扬州教育人开动脑筋，创辟工作路径，创革工作方法，创新工作机制，将原来分散各县区的采用局域网方式的网络阅卷充分整合，构筑起千人在线、实时监控、安全迅捷的网络阅卷大平台，在省域实现了首次真正意义上的大市范围的中考网络阅卷。

一、基于城域网架构的网络阅卷的SWOT分析

在2012年确定采取基于城域网架构的中考网络阅卷方式前，我们开展了可行性分析，主要采用SWOT分析方法。

1.优势

一是城域网阅卷的基础设施相对完备。扬州市教育城域网始建于2003年，采取了“胖中心、瘦终端、高带宽”的建设理念和MPLS _VPN建设模式，随着业务承载量的发展，不断调整优化，形成了较为成熟的、完备的网络。与此同时，扬州教育城域网和运营商建立了良好的互信关系和沟通协调机制。

二是城域网阅卷的实际价值前景光明。通过利用城域网网络资源开展教育质量检测和中考网络阅卷，可以真正构建起统一评分标准、统一阅卷进度、统一阅卷尺度、统一成绩发布等四个“统一”的评价系统，确保中考的公正性、公信力、公平度，让考生安心、家长舒心、社会放心。

2.劣势

城域网阅卷没有先例可供参考，利用城域网架构开展阅卷这种方式在全市乃至全省都是首试，之前没有成功的范本和案例作为参考，一切都需要从零起步，从头研究，从速推进，从严落实。同时，城域网阅卷存在安全薄弱环节，一旦出现单点故障，所有的阅卷活动必须中止，其返工的工作量巨大，不能保证按时完成阅卷任务和发布成绩，将直接导致家长的焦虑情绪和社会的信任危机，严重影响教育声誉和政府形象。

3.机遇

往年中考已经采用局域网阅卷方式，积累了一定的经验。往年在各个县（市、区）已有利用局域网开展阅卷的成功基础，只不过地理位置各自分散、网络结构相对隔离，但随着网络技术的不断发展，软硬件的高速更新，安全管理的不断强化，完全有可能移植到城域网上来。另外，在初期调研考试和质量检测中，城域网方式已经开始试水。相关软件系统已经进行过三次大规模阅卷的模拟测试和实战演练，经推算完全能够为中考阅卷服务。项目上线可以也必将为全市4万多名考生提供公正、公信、公平的保障平台。

4.挑战

中考关联着千家万户，反映着教育质量，连接着教育民生。城域网阅卷是一项复杂的系统工程，需要各个方面的统一配合，协同作战，过程中存在着的任何风险和安全隐患必须得以有效控制和彻底排除。经测算，阅卷教师的阅卷终端到阅卷服务器，其间共有12个关节点，任何一个节点上出问题都会带来重大影响。特别是流量的控制、安全的控制、并发的控制，网络阅卷只能成功不许失败。

综上分析，基于城域网架构的网络阅卷系统的设计既是一种尝试，也是一项创新；既要看到前途的光明，也要看到道路的曲折；既不能盲目乐观，认为无外乎是将局域网转换为城域网，而不周密思考精心计划，也不能“难”字当头，畏首畏尾，而不大胆尝试放手去做。应该牢牢抓住网络安全这个核心，突破网络并发这个瓶颈，充分发挥优势，迅速弥补弱势，通过技术与管理双管齐下，安全与性能双轮驱动、阅卷点与中心端双向配合，抓住机遇，趁势而上。

二、基于城域网架构的网络阅卷的系统设计

城域网架构的网络阅卷和传统方式的最大区别就在于网络安全，网络安全同样也要依靠设计。网络安全领域的一句名言就是“三分技术、七分管理”，充分说明了安全也要依靠管理和技术方面的设计。

1.管理方面的三项设计

（1）设计拓扑结构，体现过程管理

网络设计的逻辑起点在其拓扑结构。设计中，我们在中心端、服务器前增加专门安全设备（VPN），审计设备及安全和性能监控平台（见图1）。安全设备的作用在于保证阅卷下载内容和上传数据的完整性、一致性和保密性，重在事前预防；审计设备可以详尽记录访问行踪，便于事后追查；安全和性能监控平台随时反馈流量，捕捉现场数据，做到事中监测。在此拓扑优化设计中还要考虑多个运营商的备份链路，以强化保障。

（2）设计技术选型，实施分级管理

系统设计中技术选型的原则是安全第一，性能优先，速度保障，同时考虑高可用性、健壮性和冗余性。为此，我们将该系统的设计定位为“一个中心、三级管理”。“一个中心”即在城域网网络中围绕最核心的阅卷服务器，做好阅卷服务中心的安全配套、建设与管理，“三级管理”即第一级做好城域网与运营商之间的链路传输和安全管理，第二级做好运营商与阅卷点学校的链路管理，第三级做好学校内部的链路传输和安全管理。确定最优技术选型之后，就要对方案的各个环节开展联调，实施压力测试，如图2、图3所示。

（3）设计安全制度，落实责任保障

安全离不开安全制度的制定和设计。中考网络阅卷期间，执行最严格的管理制度，人员进入机房前必须刷卡通过门禁系统，进入机房后全程视频监控，离开机房须将工作内容登记，全程具有可追溯性，确保数据万无一失。网络阅卷是一项系统工作，必须依靠各个部门和相关人员的密切配合和协调。技术上，召开协调会，明确设备提供商、链路运营商的各自责任。业务上，召开联席会，从试卷入库扫描直到最后生成数据，明确几方职责，确保业务岗位没有空缺，管理空间没有死角，安全链条没有松动。

2.技术方面的三项设计

（1）访问控制技术

针对阅卷点制作ACL列表，做好安全系列设备的访问控制限制，实施双人管理密码的策略。阅卷点的共享访问由教师机控制，具体操作为，通过右键点击“网上领居”，打开计算机的“网络连接”对话框，右键点击“外网链接”属性，点击“高级”选项，如图4所示。在“高级”选项中，钩选“Internet连接共享”选项下的两个对话框，如图5所示。

点击“确定”按钮，完成“本地链接”共享设置，完成后对话框如图6所示。

（2）安全检测技术

在网络阅卷过程中，时刻不能放松对各项设备的及时检测和监控。在交换机中开放镜像端口，采用协议分析软件或嗅探器（如sniffer、wireshark等），采用网络流量监控软件（如prtg、mrtg等）。当然最基本的方法也是最管用的，打开任务管理器，就可以发现CPU、内存、网络吞吐、进程、线程的运行和使用情况，如图7所示。

（3）安全备份技术

任何设备和应用都会“生老病死”，有其生命周期，要求保持其“基业长青”，就要考虑好冗余备份和灾难恢复问题。我们采取的策略是实时备份和定期阶段备份相结合、热备份与冷备份相结合、系统备份和数据备份相结合的方式，不但考虑设备备份，也考虑链路备份、人员备份等等。确保网络阅卷的系统不因设备宕机而损坏，网络阅卷的数据不因停电而消失，网络阅卷的业务不因链路中断而受影响，切实做到随机应变、有备无患。

三、结束语

囿于篇幅和安全因素，本文并未就基于城域网的网络阅卷系统的技术细节完全展开，谈的仅仅是整体架构分析与设计，在系统分析层面和技术框架上做了比较粗浅的阐释，所述的内容不涉及考务安排，和阅卷具体采用的软件也无任何关联。实际上，笔者深知，在这一框架下还有许多值得深究和改进的地方，如利用虚拟化的技术，实现服务器的集群和资源分配；采用专业灾备系统，实现在线备份与迁移；采用云框架云资源云服务的理念，建设阅卷云，把中考阅卷这一重要资源放大，把紧缺的安全技术充分发挥，实现学校学业质量检测的常态化等等。可以预见，随着大数据和云技术的深入研究和实作推进，基于城域网架构的网络阅卷必将拥有更光明的应用前景。

篇5：基于网络安全考虑的城域网设计分析论文

1 常规校园网防御现状

在校园网中，除了屡见不鲜的病毒外，它还面临着黑客攻击。互联网的每个网关都是进入网络的门户，由于校园网在全意识和资金方面的原因，普遍存在“重技术、轻安全、轻管理”的倾向，校园网络的建设者在安全方面没有高度重视，常只是设置一个防火墙而已，这些弱点正好为黑客提供了机会，使他们通过校园的互联网连接入侵学校的网络，并给系统和数据造成了严重的破坏。

2 蜜罐技术特点

作为一种主动的防御系统，蜜罐技术具有如下特点：

1)数据价值高:蜜罐收集的信息有较高的价值，因为它是攻击者的信息。由于蜜罐系统无任何服务功能，那么进出该系统的所有数据都可以认为是不可靠的，于是该系统收集数据相对来说简单一些，而且其数据量也比防火墙日志、入侵检测系统所发出的报警信息等海量数据要少得多，而且这些数据都是关于扫描、探测和攻击等行为的记录，价值非常高。

2)资源优势:通常防病毒、防火墙、入侵检测等安全防御产品必须对所有的流量进行检查，而如果负荷超过了这些产品的承受能力，只能丢弃那些无力检测的数据，甚至造成系统本身的崩溃。

3)实现简单:蜜罐的思想很简单，不需要采用特殊的运算规则就可记录攻击行为。技术越简单，错误率和错误配置的可能性就越小。

4)取证优势:在很多情况下，将被攻击的系统进行离线取证这一事情本身就会给用户带来不小的经济损失。而蜜罐系统能够使用户在不干扰系统的情况下完成攻击行为的证据采集和诉讼支持，这是蜜罐系统所带来的一个潜在的却是不容忽视的好处。

3 蜜罐网络系统

蜜罐技术发展成果之一就是出现了蜜网(Honey Net),实质上仍是一种蜜罐技术。蜜网是一种对攻击者进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务以及信息诱使攻击者对它们进行攻击,减少对实际系统所造成的安全威胁。

蜜网是由多个蜜罐以及防火墙、入侵防御系统、系统行为记录、自动报警、辅助分析等一系列系统和工具所组成的一整套体系结构,这种体系结构创建了一个高度可控的网络,使得安全研究人员可以控制和监视其中的所有攻击活动,从而去了解攻击者的攻击工具、方法和动机;蜜网也是一种高交互型的用来获取广泛的安全信息的蜜罐,高交互意味着蜜网是用真实的系统,应用程序以及服务来与攻击者进行交互。

蜜网体系结构具有3大关键需求:数据控制、数据捕获和数据分析。数据控制是对攻击者在蜜网中对第三方发起的攻击行为进行限制的机制,用以降低部署蜜网所带来的安全风险,这时既要给入侵者一定的操作权限,同时也要其拒绝所有攻击其它机器的行为,这就需要一个自由度和安全性的权衡。数据捕获,即监控和记录攻击者在蜜网内的所有行为,最大的挑战在于要搜集尽可能多的数据,而又不被攻击者所察觉。数据分析则是对捕获到的攻击数据进行整理和融合,以辅助网络管理员从中分析出这些数据背后蕴涵的攻击工具、方法、技术和动机。

4 基于蜜罐网络系统的校园局域网的设计

4.1 基于蜜罐网络系统的校园局域网的设计目标

针对校园网的安全问题，本文设计的基于蜜罐的校园网系统需要达到以下几个目标：1)具有捕获有价值的攻击数据的能力;2)当威胁出现时能做出及时的响应;3)系统要包含能较好的自动分析日志审计的工具;4)根据日志审计得出的结果，能采取有效的防御措施;5)该系统除了对所受的威胁起控制作用外，自身也要有一安全性;6)对收集到的信息要保证其完整性和安全性。

4.2 结合蜜网的校园网络安全系统模型

深入的研究后，发现现有的DOS攻击手段,如SYN等攻击已经为大多人所知晓，同时对这些现有的攻击形成了比较成熟的防御措施。而伴随着网络攻击技术以及攻击手段的快速发展，现有的大多数被动式防御手段对新出现的DOS攻击技术束手无策，因此如何改被动为主动，基于主动防御的蜜罐技术提供了解决这种局面的方法。Honey Net的方案是将Honey Pot机与被保护的系统分离并单独组成陷阱网，它的组成是将数台Honey Pot组成一个模拟网络，组成方案如图1。

4.3 系统组成部分

根据以上系统模型，此安全系统由4个部分构成：带有IDS组件的防火墙、地址重新定向系统、蜜罐系统、日志记录系统。其中数据控制的实现主要是防火墙，对防火墙设置相关的安全策略。然后依次按顺序与事先设定好的安全策略进行一一匹配。一旦与访问安全控制策略相匹配，便执行规定好的动作。防火墙自带的IDS能够通过策略匹配的方法，对整个网络数据流进行实时监控并做好相关分析;同时防火墙自带的IDS能够通过防火墙事先设置好的相关访问控制规则结合端口重定向，将攻击数据或者“非法”数据流重新定向导向蜜罐区域内。再通过抓取、监控蜜罐区内所有数据流，并将其通过日志、记录等方式导入到相关数据库中，供网管员做日后分析之用。

4.4 系统的构成的原理性设计

对进入网络的数据流进行入侵检测分析，由防火墙自带的IDS重定向功能进行控制，将与防火墙安全策略不匹配，具有恶意性的数据流重定向到相应的蜜罐中去，进而诱骗其攻击并通过相关技术手段对其具体攻击行为进行观察，根据安全安全策略的需要，灵活设计不同安全层次的蜜罐，如WEB、FTP、TELNET等。

4.5 蜜罐区的部署

蜜罐区依据入侵特性的不同，分别部署蜜罐区蜜罐机，分别部署一台WEB服务器，另一台蜜罐则部署为FTP服务器等。

对于蜜罐区主机的不同功能分别实施不同的策略。网络数据一旦被IDS判定为非法或疑似非法数据流量时候，改数据包将被重新定向到蜜罐主机，形成攻击诱骗。这样可以起到保护相关服务器免受网络相关攻击，而且将潜在的入侵者引入陷阱，形成主动防御状态。当网络入侵行为对整个网络进行探测时候，防火墙将允许攻击者进行合法的链接，这样就消除了侵入者的戒心。从而引诱其实施攻击。

5 结束语

蜜罐网络技术可以通过分析、记录入侵者的攻击行为得出其攻击的手段和目的，以采取主动的防御措施。结合校园网络安全的现存状况，在校园网络中引入蜜罐技术，就是将主动防御引入网络安全，这种技术越来越受到人们的注意，在校园网络中的安全防护中起到了很大的作用。

摘要：随着校园网络系统的广泛普及,校园网络的安全与防护问题也被大家日益重视。为此该文结合蜜罐技术和校园网的安全问题,提出将蜜罐技术应用到校园网中,结合蜜罐技术设计局域网的安全系统,以期实现和保障校园网络的安全畅通。

关键词：蜜罐技术,校园网络安全

参考文献

[1]http://soft.chinabyte.com/492/2412992.shtml.

[2]Spitzner L.Honey pot,Tracking Hackers[M].邓云佳,译.北京:清华大学出版社,2004.

篇6：宽带城域网地址问题的若干考虑

文章从IP地址分配的角度，分析了在建设宽带城域网时存在的地址问题，介绍了与解决这些问题相关的技术——应用级网关技术和特定域IP协议技术，并提出了解决问题的初步思路。

关键词：

宽带城域网；地址分配；网络地址翻译协议；应用级网关；特定域IP协议

ABSTRACT:

InviewofIPaddressallocation,thepaperanalyzessomeexistin

gproblemsintheconstructionofbroadbandMAN,andgivesintroductionstotheapplicat

ionlevelgatewaytechniqueandtheRSIPtechnique.Bothofthemarerelatedtot

hesolutionoftheabove-mentionedproblems.Attheendofthepapertheauthor‘

spreliminaryconsiderationonsolvingtheseproblemsisalsonoted.

KEYWORDS:

BroadbandMAN;Addressallocation;NAT;ALG;RSIP

1引言

进入21世纪，中国的宽带城域网建设达到了高潮。当人们在欣喜地享受宽带带给人们的种种快捷、高效、便利时，也不无遗憾地发现它所带来的种种问题。其中如何有效地分配和规划IP地址以解决IP地址资源紧张的问题突出地呈现在我们的面前。

2城域网IP地址规划

由于IPv4地址大部分已被分配，而Internet的用户数目仍然保持着快速增长，使得IPv4的地址资源越来越紧张，因此城域网内不能全部采用公有IP地址，必须避免耗用宝贵的地址资源。较好的折衷方案是在网内同时使用公有地址和私有地址这两类地址。当然，在公有地址有保证的前提下，应尽量使用公有地址。

根据RFC1918规定，私有IP地址包括：

10.0.0.0—10.255.255.255，一个A类地址包含256个B类或65536个C类，共约1677万个IP地址；

172.16.0.0—172.31.255.255，一个B类地址包含4096个C类，约104万个IP地址；

192.168.0.0—192.168.255.255，一个B类地址包含256个C类，约65536个IP地址。

由此得出采用两类地址的城域网结构如图1所示。

在图1中，核心层为混合地址域，公有地址和私有地址混合使用。核心层内部公有地址和私有地址之间不需进行地址转换，路由设备要能够同时处理公有和私有地址路由。

对于小区内个人用户，缺省分配私有地址，并可访问网内宽带业务。

对于企业内部网和校园网用户，一般分配若干个公有IP地址，至于其内部的IP地址由其自行分配。

采用混合地址方案解决了宽带接入小区和个人用户永远在线占用大量地址的问题，从而有力地缓解了地址资源短缺的压力。使用私有地址的用户在享受城域服务时不需经过任何变换，因此对城域网内诸如VoIP、VoD、Netconference等增值业务的访问不受限制。但是如果使用私有地址的用户需要访问外部资源时，由于内部网络与公共网络的相对隔离性，则需要运用NAT(网络地址变换)技术进行地址变换。

3NAT技术和存在的问题

由于网络内部IP地址不是合法地址,或者为了保证网络内部IP地址私有性造成了内部地址无法在公共网络使用，为了解决这一问题提出了NAT技术。通过地址翻译，可以使内部网络的主机透明地访问外部网络。其工作机制为当内部节点要与外界网络发生联系时，边缘路由器或者防火墙根据预先建立好的静态或动态地址映射表，将数据包的IP包头进行相应的转换。如数据包是从内部发往外部，则将包头的内部地址替换成全局地址(合法地址，可路由)，而从外部进入内部的数据包则将包头的全局地址转换成内部的私有地址，从而在内网与公网间顺利地建立通信。

一般来说，NAT地址转换有两种类型：静态转换(StaticTranslation)和动态转换(DynamicTranslations)。

静态转换是在NAT表中事先为每一个需要转换的内部地址创建固定的映射表，建立内部地址与全局地址的一一对应关系。这样每当内部节点与外界通信时，边缘路由器或者防火墙可以作相应的变换。

动态转换是将可用的全局地址集定义成NATPool(NAT池)。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态地从NAT池中选择一个全局地址替换其内部地址，而在连接终止时再将此地址回收。

NAPT(端口地址转换)是动态转换的另一种形式，它使多个内部节点共享一个全局IP地址，用源和目的地址的TCP/UDP端口号来区分NAT表中的转换条目。

虽然NAT可以有效地解决地址短缺的问题，但是实际上IP地址在许多应用中不仅仅只是数据包的传输地址，往往还作为用户的身份标识封装在应用层的数据信息中，这样势必会造成一些网络应用由于NAT的阻隔而无法成功地实现。因此仅仅依靠NAT设备无法为所有的应用提供必要的透明性，此时需要借助ALG(应用级网关)的帮助或者采用RSIP(特定域IP协议)。下面列出一些由于使用NAT设备进行路由而使网络应用受到影响的情况。

(1)净荷中含有特定域的IP地址信息

由于采用NAT设备进行路由，使得大量在消息净荷中包含特定域的IP地址或端口号的应用失败。在某些情况下，可以使用ALG来弥补。

(2)捆绑式的会话应用

FTP、H.323、SIP、RTSP等采用控制信令建立联系的捆绑式的会话应用由于NAT的阻隔也会被中断。因为这些应用都是在控制信令中交换地址和端口参数以实现数据流的建立，NAT设备并不清楚他们之间的相互联系，从而导致应用的失败。在这种情况下失败的原因可能有两种：一是控制信令中的地址信息是属于特定域的非法IP地址，二是NAT设备不允许通过控制信息中创建数据流方向的信息。

(3)端到端应用

与Client/Server应用不同，端到端应用可以由任何一方发起，因而更容易被NAT破坏。当端点分别位于内部网络和外部网络时，由于从外部网络发起的会话事先并不知道位于内部网络的端点所对应的全局IP地址，因此就无法建立联系。

(4)需保留地址映射关系的应用

NAT很有可能中断那些需要将地址映射保留到下一次会话的应用。因为这些应用要求保留内部地址到外部地址的映射关系以便后续的通信可以重复使用这些外部地址，而NAT并不了解这一要求，就有可能会将此外部地址回收，分配给其它需要与外部通信的主机。为了防止NAT设备丢弃相关的信息，需要另行制定协议以确保NAT设备保留地址映射关系，或者可以采用应用级网关技术来实现此类应用。

从以上所列的几种情况，可以清楚地看出单纯依靠NAT并不能解决混合地址变换问题，当消息净荷中包含IP地址和TCP/UDP端口信息时，尤其如此。因此我们必须考虑采用其它辅助技术，在这里我们讨论两种技术：一是建立应用级网关技术，使之与网络地址变换设备相互作用，通过互相协调支持特定应用；二是采用专门制订的RSIP（特定域IP协议）。

4应用级网关技术

ALG是针对特定应用进行处理转换的代理设备，通过ALG，可以使在某一地址域的主机与处在不同域的对端透明地建立联系，创建应用。ALG可以与NAT相互作用，建立状态，利用NAT的状态信息，修改特定的应用层数据信息以及执行某些必要的任务以实现跨越不同地址区域的应用业务。ALG不仅仅只是利用NAT的状态信息，在某些情况下它会收集应用层的负载信息，提醒NAT设备增加额外的状态消息。在工作方式上，ALG与Proxy(代理服务器)十分类似，两者都是为了方便客户端与服务器建立特定的应用连接。但是，Proxy在与代理客户端取得联系时是通过另外的通信协议，然后再将所得到的客户端数据传递给服务器，相反方向的数据流亦如此。与Proxy不同，ALG没有使用任何协议与应用客户端联系，同时也不需要客户端加装额外的软件。

在这里我们以在VoIP应用中广泛运用的H.323协议为例来说明ALG的作用。H.323协议包括若干个TCP、UDP数据流，端口动态分配。H.323协议的信令过程可分为3个步骤：RAS(登记、接纳和状态)消息用于H.323终端与关守(H.323协议中的网络管理点)之间的注册、鉴权、申请发起业务等信息的交互；Q.931消息用于建立呼叫的控制信令，以实现主叫用户到被叫用户的端到端连接的建立、维护和释放；H.245消息用于建立逻辑通道，交换主叫与被叫能力，确定主从关系等。根据协议，下一级信令地址和端口参数值在上一级信令中交换，如被叫H.245控制信道地址参数是在Q.931的Alerting、CallProceeding或者Connect消息中指明的，因此，

H.323-ALG必须能够检测H.323包，解释各种H.323控制信令，根据NAT地址变换修改控制数据包中的相应地址参数。由于Q.931和H.245消息采用的是ASN.1语言编码格式，所以H.323-ALG必须具有ASN.1语言的编解码功能。更为复杂的是，在Q.931消息中还规定可以对H.245消息进行加密，那么除非ALG具有加密功能并能获知密钥，否则就无法解释消息的内容。因此，一般说来ALG功能比较复杂，且针对不同应用需要不同的ALG，这就限制了ALG技术在大规模网络中的应用。

5RSIP技术

RSIP是位于内网的主机与外界发生联系时发布特定IP地址所采用的一种协议。RSIP客户端位于内网，但采用外网地址与外部主机发生联系以建立端到端通信。任何一方发起呼叫所构造的呼叫建立(Setup)控制信令包中所包含的地址都是外网中唯一的公有地址，因此控制信令包通过NAT设备时，其内容不需要进行任何变换。RSIP服务器是可同时与内网和外网通信的节点，处理由RSIP客户端产生或发往RSIP客户端的数据信息。RSIP协议分为两种，一种是专门针对IP地址的RSA-IP，另一种是针对IP地址和端口号的RSAP-IP。

下面我们以RSA-IP的工作流程为例说明RSIP协议的工作机制，RSAP-IP的原理与RSA-IP类似，只是增加了对端口号的处理。

RSA-IP客户端发起与外网主机的会话时，首先需从外部地址空间中获取一个IP地址。一旦此外部地址被RSA-IP客户端发布后，就不能再被其他用户使用直到该地址被客户端释放时为止。RSA-IP服务器则要求能够静态或动态地为RSA-IP客户端分配外网地址，同时建立与内网和外网的传送层通信，为外网数据在内网传输提供路由机制。通常，我们把RSA-IP服务器放在NAT设备上。一般来说，端到端的RSA-IP包有两种路由方式：一种是在源和目的地之间建立隧道，NAT设备只常规处理外部包头，并不影响内部包头使用的地址；另外一种方法是在RSA-IP客户端和边界路由器之间建立双向内部隧道，客户端发送和接收的数据包都将被封入隧道中，而边界路由器和远端目标之间的数据被正常传送。如果内部网络不执行基于源地址的数据流过滤，则可以建立客户端与边界路由器之间的隧道。图2和图3分别画出RSIP数据包的两种传输方式。图中，主机A为RSA-IP客户端，其内网地址为Addr-A，分配得到的外网地址为Addr-k，主机B为远端目的端点，其对应的外网地址为Addr-B。

由RSIP协议的工作机制可知，采用RSIP协议后，进行地址转换时不需要对控制数据包的内容进行解析和变换，NAT设备对任何应用都是透明的。这样大大简化了地址变换的复杂度，有利于大容量NAT设备的开发。RSIP技术的问题在于，它要求所有主机都能支持RSIP协议，而目前RSIP协议尚未成为标准。

根据以上分析可知，ALG和RSIP方法各有其技术特点和运用范围，但是也各有其局限性。因此，进一步的考虑是将两种模式结合起来，提出一种新的适于网络部署的使用方法。该方法在网络结构上，借鉴ALG技术，设置专门的Proxy服务器；在变换处理上，借鉴RSIP技术，在NAT设备和主机间交换变换信息，保持NAT设备对所有应用透明的特性。变换信息交换不需要另外制订协议，而是沿用已有的标准协议，如MGCP(媒体网关控制协议)。已有人提出了这种想法，笔者正在进行这方面的研究，限于篇幅，不在此展开介绍。

6结束语

如何解决IP地址资源不足是优化宽带城域网的关键技术之一。在IPv6尚未启用之前，使用私有地址是唯一可行的方法；NAT和ALG以及RSIP协议的结合可以在不同应用环境下支持私有地址的透明使用；基于已有标准协议的进一步解决方案可以更有效地用于大规模网络。上述技术和方法均可望应用于业界正在热烈讨论的软交换网络。□

参考文献

1IETFRFC2766.NetworkAddressTranslation-ProtocolTranslation(NAT-PT).2000

2IETFRFC3022.TraditionalIPNetworkAddressTranslator(TraditionalNAT).2001

3IETFRFC3027.ProtocolComplicationswiththeIPNetworkAddressTranslator.2001

4BorellaM.RealmSpecificIP:Framework.IETFdraft.2000

5戴建东.宽带IP城域网的规划和建设.江苏通信技术,2001,7(2):21—25

(收稿日期：2002-01-29)

作者简介

熊晶晶，南京邮电学院通信工程系在读硕士研究生，研究方向为IP宽带网络技术。

篇7：基于网络安全考虑的城域网设计分析论文

1.1 公路设计考虑交通安全因素的意义

由于我国经济的飞速发展,汽车的数量在我国日益增多。我国尽管修建了大量的交通设施,然而在我国道路交通拥挤以及交通的安全问题依然普遍存在,公路上交通事故死亡的人数呈现逐年增加的趋势,严重威胁了人民的生命和财产安全。我国公路上交通事故死亡的人数在2013年的时候就达到了121649人。我国公路交通事故的致死率是21.6%,着比国外的一些发达国家高出了许多,比如在美国公路的交通致死率只是1.65%,在日本的公路交通致死率只有0.87%,而且比较严重的道路交通事故大部分是在高速公路以及地形比较复杂的山区国道或者是省道上发生的。对公路交通安全造成影响的因素是来自各个方面,其中主要有人、公路、车辆以及公路周边的环境等,所以在公路设计的过程中就必须要考虑交通安全因素,它是公路设计的重中之重。据不完全统计,大约有15%的交通事故和公路的条件有着直接的关系,大约有有55%的交通事故和公路条件有着间接的联系。所以,分析公路中各方面的设计和交通事故的联系,对公路设计给交通安全带来的影响作出深入的研究,在公路的线形设计中严格把握安全尺度,这对减少交通事故的发生有着十分重要的意义

1.2 公路设计考虑交通安全因素对社会经济的影响

当前,我国的宏观经济运行态势良好,但一些深层次的问题已经凸显出来。其中,由于公路设计中还存在着诸多的不合理性,这样造成了交通运输市场相对比较紧张这就会影响我国经济的发展,交通安全问题严重扰乱了我国运输市场中的正常经济秩序,使得运输业不断萎缩,给国家人民造成巨额的财产损失,甚至会造成对人民群众的生命损失,这才是危害到社会经济发展的最大因素。因此在公路的设计过程中一定要考虑安全因素的影响应,让运输业能够在相对稳定的环境中快速发展起来,使那些闲置起来的社会运力有事可干,这样运输业会随之兴旺,经济也会快速发展。

2 公路设计对公路交通安全产生的影响

2.1 公路设计中的平面设计对交通安全产生的影响

在对公路的平面进行设计时,直线的长度应该保持在合理的范围区间内,不能过长也不能过短,所以在设计中应要对直线的长度进行限制。我国目前的公路设计规范对直线的最大长度没有作出准确的限制,直线的长度只是由设计人员根据项目实际情况来决定。根据查阅一些有关的统计资料表明,如果直线的长度超过两千米的时后,造成交通事故发生的几率就会大大增加,所以直线的最大长度不能过长,理想长度是控制在2000m左右。平原地区的公路一般情况下会有较多的横向干扰,这样车辆的行驶速度也比较低,这时公路直线段长度的控制值可以依照当地的地形特点和工程的经济性适当给予放宽。在对车速比较高的高速公路和充当干线公路的高级公路进行设计的时候,要最大限度的避免长直线在公路中的出现。

2.2 公路设计中的纵面设计对交通安全产生的影响

在公路设计中纵面线形主要由纵坡和竖曲线所构成的,纵面线形是公路线形中不可或缺的组成部分。在对纵坡和竖曲线的设计的过程中,需要纵坡和竖曲线的设计不但要满足汽车行驶力学以及交通安全的需要,还要满足驾驶员视觉上的舒适性。在对纵坡和竖曲线的设计时:①安全问题;②公路的的纵向视觉容易对驾驶员的心理安全感造成影响,所以在公路的纵面设计中纵断面线形保持连续也十分重要。在对竖曲线设计的过程中曲线的长度以及曲线的半径要远远超出行车安全所规定的最小范围,一般情况下竖曲线的长度应是驾驶员开始觉察到竖曲线时的视距。当在坡差非常小时,经过计算得到的竖曲线长度非常短,在这种曲线上开车会给司机一种比较急促的感受。根据安全操作的规定,竖曲线最小长度一定要有3秒的行车距离。除此之外小半径竖曲线所在的位置也一定要考虑对交通安全造成的的影响,除了认真的考虑平纵线形相结合作之外,通常不将小半径竖曲线的始点或者是末点设在桥梁或者隧道的起点或末点,也不能将小半径竖曲线设在比较大的平交道口,以可以保证行车的安全。

2.3 公路设计中横断面设计对交通安全产生的影响

公路设计中的路面横向分布方式会对交通安全产生一定的影响。路肩、公路中央分隔带及其形状和大小,都需要按照实际的使用功能以及交通量大小来进行合理设计,保持整个公路工程的连续性和一致性。通常情况下车行道的宽度在3.5～4m之间,路缘带和路肩能够保证车行道宽度得到有效的利用。路缘带可以起到把车行道、路肩以及车辆行驶道分开的作用,还能对驾驶员做出行车的指引,这样可以保障行车的安全。当桥梁净宽与公路路基宽度不相等导致公路断面发生变化时,这些因素都会使驾驶员心理产生变化,诱发交通事故。在公路实际设计过程中,合理设置分隔带(绿化带),重视横断面的优化设计;在道路构造物两侧可以利用路缘石、护栏等进行行车指引,使行车平顺,减少交通事故的发生。

2.4 公路设计中视距设计对交通安全的影响

视距就是驾驶人员在公路上行驶的过程中能够清楚看到前方道路某一个地点的距离,公路中的视距设计是公路几何设计的重要组成部分。宽广的视距对行车安全作出有效的保障,对于提高公路通行能力有着至关重要的作用。当驾驶员行驶在公路上,需要保证有足够的时间对路况信息或者突发情况作出处理,这就需要在公路设计的时候要考虑保持足够的行驶距离,驾驶员反应时间的取值不得小于所有正常驾驶员的总体平均值,在十字路口,交通标志设施以及立交桥等复杂的情况下一定要加大视距的设置,这样可以增加驾驶员的判断时间,这个值应该不小于2.5s。

3 在公路设计中需要考虑的内容

3.1 在公路设计过程中要考虑公路的安全可靠性

我们在公路设计的过程中,要充分考虑到公路要在强度、稳定性和耐久性这三方面应该具有完全的安全性质。公路设计的时候,防撞栏杆设计的时候要考虑到人与车流之间的安全性。防撞栏杆要具有足够的高度和强度,为了防止车辆撞坏人行道或者栏杆而导致事故的发生。公路的照明设施要考虑到第一位,良好的照明可以避免很多事故的发生。尤其是在交通繁忙的道路上,不光需要设计良好的照明设施,还应该设置有明确的交通指示标志,完整的交通指示牌可以避免很多事故的发生。针对修建在地震区的公路,我们必须按照抗震要求对公路进行合理的设计,采取必要的防震措施。

3.2 在公路设计过程中要考虑公路的适用耐久性

公路设计时候要考虑到路基宽度必须要满足当前与以后的规划期限内的交通流量(包括行人通道中的交通流量)。保证设计的公路在进行常规荷载试验时候不会出现较大的变形和较宽的裂缝,只有满足标准荷载承受力的公路才能放心的投入使用。所设计的公路两端要便于紧急情况下车辆的进入和疏散,并且不会导致交通堵塞等现象的发生。在设计公路的时候,还应该考虑到综合利用方面,桥梁设计要求方便各种管线(水、电气、通信等)的搭载和铺设。

3.3 在公路设计的过程中要考虑公路的经济合理性

对于公路的设计需要遵循因地制宜、就地取材和方便施工的基本原则以争取效益最大化。经济型的公路应该是多方面进行综合考虑的,设计时应该充分考虑维修的方便和维修费用的多少,维修时尽可能做到不中断交通,如果有必要中断交通,则保证中断交通的时间最短。所选择的公路施工地段应该是地质、水文等条件好的地区,在进行公路建设的时候,要考虑到公路的具体使用年限。我们在建设的时候,就要选择好的方案,尽力做到选择成熟而又先进的结构和建设材料,避免短时间内发生公路被淘汰的情况。

4 小结

公路的安全设计应该贯穿整个公路设计过程的始末,其中线形的设计是公路设计过程中最基本的内容,在公路设计的过程中不能疏忽公路线形设计,否则在公路后期的运营工程中可能会导致交通事故的出现,造成不必要的损失。我国公路的使用频率很高,因此公路使用过程中也会导致交通事故的发生,为了保证公路的正常的运营使用,公路设计中就要克服多种多样的问题。我们平时对公路设计过程中,就应该投入全部的精力和心血,不断追求创新、努力地进行探索,力争采用最先进的技术工艺和施工材料,在对公路的设计和加固工作中,确保一步到位,保证桥梁的正常使用,使加固后的桥梁能够继续发挥它本身的使用功能,以保证我国的桥梁交通畅通无阻,最大限度的解决公路中存在的交通安全问题。

参考文献

[1]任福田,刘小明.道路交通系统安全分析——论道路交通安全[M].北京:人民交通出版社.2001.

[2]冯贵炎.公路设计交通安全审查手册[M].北京:人民交通出版社,2000.

[3]叶志成.论皖西南山区高速公路线形设计[J].工程与建设,2010,2(4).

篇8：公路设计应考虑的交通安全因素

关键词：公路设计;交通安全;视距;平纵线形;道路景观

一、当前我国公路交通存在的突出问题

就目前我国的公路交通运行来说，呈现出一个并不乐观的状态。我们可以从大量的公路运行资料中发现这样一个普遍存在的问题，即交通事故越来越多。当然，导致交通事故越来越多的原因是多方面的，交通量的不断增多与车道的相对有限、驾驶员的疏忽以及公路法规的不完善，都在一定程度上导致了这样不乐观现实的发生。然而，从另一个方面来说，由于交通系统其实就是一个多环节系统的集合体，而在漫长的公路线上发生的交通事故而言，其通常存在着一个或多个交通事故频发路段，而这种路段之所以存在，则与公路设计有着不可切断的联系。

为此，面临着交通事故与公路设计之间的那种千丝万缕的关系，我们相关方面就应该给予公路设计足够的重视，并且试着将各种涉及到的交通安全因素充分全面地考虑进来。

二、公路设计应考虑的交通安全因素

（一）视距

行车视距对于公路设计来说是至关重要的。平面视距和纵断面视距这两方面是构成行车视距的重要标准。良好的行车视距有助于司机对道路行车环境做出正确的判断，有助于驾驶行为的规范化，增加了司机的有效操控时间。停车视距、超车视距和会车视距经常出现在公路设计之中，相比较而言超车视距最大。现行“规范”对等级不同的公路视距进行规定。高速公路或一级公路都专门设置有分隔带，并对快车道和慢车道进行划分。对超、会车视距无要求，停车视距是其采用的形式。但对于等级相对较低的双向行驶公路来说对会车视距有要求。基于两辆汽车相向会车同时制动的距离考虑，会车视距应达到停车视距两倍以上;双车道公路上的汽车如果要进行超车就会占用相向车道，为对车辆的安全行驶提供保障，规范指出：具有干线能力的二级公路能够为行车在三分钟的行车时间内，提供符合超车视距的条件的超车区段。其他双车道应结合自身情况对超车视距区段进行设计，但是对于相应区段的比例大小，并没有严格的对其设置形式进行界定。

设计时注重沿线视野和视距的设置，达到允许出现超速的公路的行车视距标准，如果要在平平曲线内侧设置构筑物，或在平曲线内侧进行挖方土坡施工的时候不能妨碍视线，同时对于中央若要进行防眩设施设置，应该进行视距验算和检测。对于中央或者边缘的隔离带开口处若需要设置一些绿化植物或者摆放景观石，对于这些位置的安排不得太临近分隔带开口，因为绿化树木和景观石的几何尺寸、以及排列密度是否会对司机或者路边行人的视野造成影响。

（二）线形设计因素

1、平面线形设计

公路平面设计应尽量顺势布设，以与地形、地物相匹配。就行车安全性而言，平曲线组合、圆曲线半径、直线长度、缓和曲线的取值对其影响较大。从行车轨迹与线形的适应性看，曲线线形应优先选用基本型、S 形曲线，其次选用卵形曲线、复曲线，C形曲线、凸曲线则尽量避免，同时如长直线与小半径曲线、连续不均衡的曲线组合也不宜采用。为保证行车舒适性和安全性，平曲线半径宜尽量取大些，确保停车视距及超高在 2% ～4% 范围。因受地形、地质等条件限制，选用较高平曲线半径往往比较困难。《公路路线设计规范》（JTG D20-2006）中圆曲线最小半径“一般值”是使按设计速度行驶的车辆能保证其安全性与舒适性建议值，因此，若不能争取到高指标采用一般最小半径也是可以的，但是再小或极限半径要慎重采用。

2、纵断面

纵断面主要组成元素为纵坡及敷设的竖曲线。竖曲线、单一坡度及坡长按照现行路线设计规范取值后对行车安全影响不大，主要的影响来自纵坡组合。尤其是山区地形变化较大，纵面需连续起伏，在坡差较大尤其是存在反坡路段驾驶员需换挡、变速适应纵面线形，使得行车安全性差。

在设计时，要充分考虑交通量、交通组成，权衡潜在的安全隐患和经济之间的关系，尽量避免长、大纵坡;不能避免时，缓坡段纵坡尽量控制在 2%左右，不要突破 2.5%，坡长要大于规范规定的最小坡长值。

3、平、纵配合

对这一因素的考虑，应注意以下几点：

（1）长直线不要跟坡度大、短竖曲线结合;

（2）短竖曲线不应过多夹杂在长平曲线内;

（3）短平曲线跟短竖曲线之间不要组合;

（4）半径小的平曲线的两端不要和竖凸线顶部或者竖凹线底部相连接;

（5）竖长曲线内部不得出现半径小的平曲线;

（6）竖凸线顶部或者竖凹线底部不要同相反方向的曲线驻点相重合。

4、路线交叉

交叉道路的路况必须使驾驶员便于识别，并能在车辆相互干扰最小的情况下使车辆安全通过。为此，交叉处主线与被交路线平纵指标应尽量取高值，而且视距良好。否则，驾驶员将难以识别其他车辆的运行和交通管理设施的信息，从而难以控制自己的车辆运行。

平面交叉口的车流会产生交叉冲突点、分流冲突点及合流冲突点，这些冲突点的存在是影响交叉口的行车速度和交通安全的主要因素。因此，在交叉设计中，要根据流量和流向，分别采取不同的交叉形式、或采用灯控、或采取渠化、分隔等控制方法，以尽可能减少和消灭这些冲突点。

（三）道路景观因素

良好的景观设计，可以使公路和自然景观融为一体，给驾驶员和乘客创造舒适感和美感。此外，从交通心理学的角度讲，公路景观设计的好坏，会直接或间接地对驾驶员的心理产生影响，从而影响到道路行车安全。

行车实践表明：在空旷的地段设置长直线线形，因景观单调，不能有效地诱导驾驶员的视线，极易诱发事故。因而，公路的设计应坚持与自然景观相协调的原则，以使驾车环境对驾驶员的驾驶行为从心理和生理方面产生积极作用，以利于行车安全。安全是道路景观设计的基础和前提，景观的布设应突出强调道路行车安全感。

如何消除司乘人员在行车过程产生的压抑、恐俱、压迫等不良感受，是线形设计、景观布设、绿化布设的重要内容。如在高速公路的下坡与转弯处应在安全视距范围内安排一定的视觉要素，如绿化等，以使驾驶员的视点能随之变化。在高填方弯道外侧边坡植树，既可以使曲线变化非常明显，又可以减轻行车时的恐俱心理，起到增加安全感的作用。

（四）运行速度因素

根据初始设计线形采用运行速度的预测模型推算出某个单独路段上运行车速V值，计算出其与设计速度口之间速度差的绝对值进行评价，当速度差大于20km/h则需要根据运行速度对路段的线形指标进行调整优化，然后根据调整后的线形和运行速度最终确定曲线超高、加宽、视距等指标。这种方法的目的在于确保设计速度与驾驶员实际行驶速度保持一致，使得线形几何设计能够较好地满足驾驶员实际的操作，对单一路段路线线形指标的安全评价起着重要的作用。

结语

综上，随着公路运输事业的迅猛发展，道路各个方面的设计因素除了要考虑最大限度地满足道路的基本功能外，还必须从交通安全的角度给予高度重视。在道路线形设计、特征要素设计和构造物的设计中，不仅要使其基本要素符合相应的技术标准，还必须使各要素的组合更趋科学、合理，以达到确保交通安全、顺适之目的。此外，利用科学的交通管理与控制手段，设置合理的交通安全设施，创造协调的道路周边环境，才能使道路安全问题得到妥善的解决。

参考文献：

[1]张国生，王培林.山区高速公路设计与交通安全问题研究[J].中国水运，2010.10.

[2]佘艳华，苏华友.公路线形设计因素对交通安全的影响分析[J].道路交通与安全，2006.12.