| |
|
【一、网络方案设计原则】
|
|
| 本技术方案的设计总体思想是建立一个先进、灵活、稳定的多业务平台,使网络运营商基于该平台,不仅可以提供现有的Internet服务,还可以为提供新的业务打下良好的网络基础,从而实现吸引更多的用户、提高市场竞争力和最大限度地实现网络的商用价值。根据CATV的实际情况和Internet服务的特点,我们的技术方案设计将遵循以下原则:
* 采用成熟的产品和技术构架全网
* 引入宽带IP网络技术构造骨干网络,以支持多种类型业务
* 具有完善的业务管理机制和网络管理机制
* 具有完善的安全机制以保障数据安全
* 将引入负载平衡技术,以实现高效服务
* 将引入高速缓存技术,以节省接入Internet的带宽流量
* 具有较强的系统可扩展性
* 高性能
* 高可靠性
|
| |
| 【二、Internet服务系统网络结构】 |
|
Internet作为全球最大的、开放的、由众多网络互连而成的计算机广域网,其为网络技术和网络应用的发展提供了丰富的经验,对社会的网络化和信息化的发展具有深远的影响,它已经成为未来的国家信息基础设施NII和全球信息基础设施GII的雏形。因此,无论什么样的网络建设,都把接入Internet和提供Internet服务作为基本的网络服务内容之一。
一个典型的Internet服务系统在网络结构上可以分为用户接入系统、接入Internet系统、服务器系统和计费管理系统四大部分。而安全系统应贯穿于整个的网络中。其结构如下图所示:
|
|
|
*
用户接入系统主要处理终端用户访问Internet服务系统的方式。
* 接入Internet系统的功能是处理与Internet连接的方式。
* 服务器系统是为用户提供本地的网络业务和服务,如e-mail、web、FTP等,同时提供网络管理的功能。
* 计费管理系统主要是对用户进行管理和计费。 |
| |
| 【三、用户接入系统】 |
| 在Internet服务系统的网络结构图中,用户接入系统是与数据网络的核心交换机紧密联系的,即所有用户在得到Internet服务时,都要首先通过各种不同类型的连接方式连接到核心交换机上。这些连接方式包括:HFC、PSTN或ISDN拨号、DDN专线、FR专线、直接的IP连接等等。根据CATV的实际情况,用户一般是用HFC和直接IP的连接方式为最多。 |
| #
骨干网核心交换机 |
| 骨干网的核心交换机,应随数据网的整体设计而定。在此就不做论述了。需要提出的是,核心交换机应可以提供千兆和百兆的以太网端口,用于和其它三个系统的连接。 |
#
HFC接入
HFC网络是CATV的最大的资源,是宽带接入的最好方式之一。用户终端的PC通过Cable
Modem,经HFC网络到Cable Modem的头端设备CMTS。一般的CMTS都具备以太网络的端口,例如Motorola公司的CMTS。在本方案中,考虑到设备成本和网络初期的用户数量,建议用百兆以太网端口与核心交换机互连。未来随着业务的发展,可以平滑地升级到用千兆以太网来连接。
# 直接IP接入
当数据网络建成后,会有相当多的终端用户是通过直接的以太网连接来接入Internet的。即用户的PC可以直接用以太网端口连到数据网的边缘交换机上,然后再通过数据网直接连接到核心交换机。就网络上的信号形式而言,与HFC接入没有区别,但在CATV的前端不需要CMTS。这种方式也将是接入Internet的主要方式之一。
# 其它接入方式
前面提到一些其它的接入方式,如DDN、FR等,但这些方式不符合CATV的实际情况,在此就不做论述了。需要特别提出的是,可以考虑采用很小部分的电话拨入的接入方式,主要是为方便网络管理员能在远端对网络进行管理。这种方式的连接方法是:利用一台路由器,一端用以太网端口与核心交换机相连,另一端通过Modem卡与PSTN相连。当然在条件成熟时,也可以考虑开通拨号接入的业务,但这需要看用户的情况以及与当地电信部门的协调情况而定。这仅是一个参考建议,不列入设备配置清单。
|
| |
| 【四、Internet接入系统】 |
| 这个系统是与Internet连接的重要部分,所有要访问Internet的用户都是经过这里而到达信息的海洋的。在本方案中,核心交换机通过一个以太网端口,经2133BRAS计费网关(计费管理系统),连接到Internet接入系统的可负载平衡的交换机上,该交换机再与一个路由器用以太网端口相连,并通过路由器连接到Internet上。下面将对该系统的每个部分进行说明。 |
#
路由器
路由器是网络互连的关键设备,任何两个网络的互连都需要路由器来担当连接的任务。
在本方案中,根据网络的实际情况,我们选用著名的网络厂商美国CISCO公司的主流路由器产品2621。该路由器有两个10/100M自适应的以太网端口,两个广域网接口卡(WIC)的插槽和一个网络模块(NM)插槽。这三个扩展插槽可以配置多种不同的模块,使其能与不同的Internet接入端口连接。在此,我们根据目前大多数集团用户与Internet互连的情况,假设是用DDN接入Internet。据此,配置一块两端口的高速串行WIC,利用其中之一个端口接入Internet,根据实际情况,可将速率定为64K~2Mbps。2621上的以太网端口用于和负载平衡交换机连接。这样连接到核心交换机上的用户就可以访问到Internet上了。
在2621还有两个扩展槽和一个以太网端口没有用,以备今后业务扩展是应用。
# 负载平衡交换机与高速缓存服务器
如果是一般的小用户量的接入系统,是不需要这样的一个交换机和高速缓存系统的。但对于象CATV的数据网接入到Internet就有必要采用这样的结构了。下面对其系统性能做一个描述。
|
关于负载平衡
WWW服务是Internet服务系统向最终用户提供的一个重要应用。以前通常采用的方式是WWW服务器由一台硬件配置非常高的服务器来担当,但这样做仍然不能保证它的可靠性、可用性、可维护性:一是因为一台服务器仍作不到容错,保证不了可靠性;二是因为一台服务器的网络带宽有限,保证不了可用性;三是因为当这台服务器进行硬件或软件升级时,不可避免地要中断WWW服务,保证不了可维护性。所以提出了WWW服务器的负载均衡解决方案。
负载均衡一般用于提高WWW服务器的整体处理能力,并提高可靠性、可用性、可维护性,最终目的是用一组低处理能力的主机提供大规模的WWW服务。一般有两种实现方案:DNS轮询方案、第四层交换机方案。以下是它们的比较与分析:
1)DNS轮询方案(DNS
Round-Robin)
即多台WWW镜像主机在DNS中对应同一域名,当用户访问WWW,要求DNS服务器解析域名时,DNS服务器按DNS请求的先后顺序把域名依次解析成其中一台WWW主机的IP地址,从而把任务平均分担到数台WWW主机上,来提高WWW服务的整体性能。它的优点是:实现简单、实施容易、成本低;缺点是:不是真正的负载均衡,DNS服务器将HTTP请求平均地分配到后台的WWW服务器上,而不考虑每个WWW服务器当前的负载情况;如果后台的WWW服务器的配置和处理能力不同,最慢的WWW服务器将成为系统的瓶颈,处理能力强的服务器不能充分发挥作用;另外未考虑容错,如果后台的某一台WWW服务器出现故障,DNS服务器仍会把DNS请求分配到这台故障服务器上,导致对客户端的不能响应。
2)第四层交换机方案(Lay4
Switch)
在第四层交换机上设置WWW服务的虚拟IP地址(Virtual
IP Address),这个虚拟IP地址是DNS服务器中的WWW服务地址,对客户端是可见的。客户端的HTTP请求被第四层交换机接收到后,会基于第四层交换技术实时检测后台WWW服务器的负载,根据设定的算法进行快速交换。它的优点在于:基于第四层交换的原理来实现WWW的负载分担(在第四层交换机上有一专用逻辑处理芯片来负责拆包、检查TCP/UDP端口),效率高;高可靠性的冗余检错机制,实时监测后端WWW服务器的状态和负载情况,支持对服务器双网卡冗余备份的能力;灵活多变的、动态的负载均衡算法。
|
关于高速缓存
为了节省广域网流量,减少Internet服务系统的运营成本,提高用户的网络访问速度,在网络的Internet
出口加载透明高速缓存设备。采用高速缓存技术来缓解广域网流量和降低成本、节约网络资源已经在业界形成共识。采用高速缓存技术可以带来的收益:
a. 信道成本降低,产生收入增加
b. 下载速度提高使用户的满意度和忠诚度增加
c. 可以提供流量和访问站点的统计资料
高速缓存方案用来加速用户(如浏览器)请求响应的时间。从网络配置观点看,这不是最简单的方法,它确实要求所有用户将其浏览器配置为将iCache1000设备作为代理服务器使用,而代理已经被定义为可以在路由器或L-4交换机(透明代理)之后透明地发挥作用。
操作原理如下:
|
|
|
| |
1)浏览器从其正向代理服务器设备iCache请求初始web服务器的web页面。
2)转发代理服务从DNS获得数字IP。
3)从Web server上获得初始服务器的对象。
4)iCache将收到的对象的副本转发到浏览器。
5)转发代理服务无需访问DNS或初始Web服务器即可处理相同页面对象的后续请求。
① 系统中的用户发出浏览器请求,要求访问某Web站点。为方便起见,我们称此站点为www.legend.com.cn。如果转发代理激活,Web请求将从本地的高速缓存设备或Web站点的初始服务器履行。
②为方便起见,我们假设对www.legend.com.cn的请求以前尚未由系统中的其它任何人实施过,因而请求页面无法从本地高速缓存中获取。在这种情况下,请求将沿着Internet到达Web站点的初始服务器(www.legend.com.cn),在此点上将请求的数据返回到选择此站点的用户。转发代理被激活后,这个已经访问过的Web站点(www.legend.com.cn)的所有静态元素都将本地存储于联想iCache
设备上。
③现在,如果该用户再次请求访问同一站点,或者网络系统上的另一位用户希望访问该站点,此时浏览器无需再连接到Web站点的初始服务器,只要调用本地高速缓存的数据即可。
④转发代理能大大提高每个后续用户的速度,使他们无需再穿越Internet(可能会遇到带宽和性能问题),只要从本地高速缓存中获取内容即可。
转发代理高速缓存还能起网络防火墙保护的作用。与Internet的直接连接会将网络暴露给外面,因而容易遭到入侵。转发代理服务器是Internet和网络之间的缓冲器,能作为两种系统之间的联系点。这意味着代理服务器需要对Internet"开放",因而能通过将网络在防火墙之外隔离开来而保护网络。
如前所述,必须为每个浏览器设置代理高速缓存,这样相当耗费网络管理员的时间。而且,代理高速缓存比较脆弱:作为网络的Internet"网关",代理高速缓存是潜在的最大故障点。如果代理高速缓存出现故障或瘫痪,整个网络上的Internet服务就会中断。因此为代理高速缓存服务器设立负载平衡的机制也是很重要的。
在本方案中我们建议采用美国著名的极进(Extreme)网络
公司的第四层Summit48i
负载平衡交换机和两台联想iCache1000高速缓存服务器来构架宽带Internet服务系统的高速缓存方案。 |
| |
*
第四层负载平衡交换机Summit
48i
Extreme公司的新一代具有负载平衡的交换机Summit 48i具有以下功能:
◆ 两个带GBIC模块的千兆端口、48个10/100M自适应的端口;
◆ 17.5Gbps的交换能力,无阻塞交换结构;
◆ 基于策略的QoS,具有带宽管理和流量控制功能;
◆ 可提供双向速率不同的带宽分割技术;
◆ 提供网络登陆、机动性用户的安全与带宽分配;
◆ 具有负载平衡、web cache重定向和访问控制能力;
◆ 对巨大帧的交换和路由能力;
◆ VLAN的交换和路由,可同时处理4096个VLAN。
* iCache1000高速缓存服务器
iCache1000高速缓存服务器的性能与前面的高速缓存性能的描述是一致的,其基本物理配置如下:
两个100M的RJ45以太网端口,256MB一级Cache,9GB二级Cache。 |
| |
| 【五、认证计费(AAA)】 |
宽带IP接入的认证计费系统是支持业务运营发展的核心,是Internet服务系统的良好运营的重要保障和组成部分。认证计费系统可以支持多种计费方式,以满足不同用户的接入需求:
* 流量计费
按用户使用的流量计费
* 包月制计费
对特定的用户实行包月制上网计费,即在一个月内,无论用户上网时长为多少,用户只需交纳固定的费用。
* 卡计费
用户购买公司发行特定面值的上网卡,用户利用卡上所附的帐号上网,当用户费用累计超过卡的面值时,计费系统实时切断用户上网。
* 帐号计费
用户自行开设帐号,并对帐号进行充值(预付款),当预付款用完时,帐号实时失效,仅当用户交纳一定数量的预付款后帐号继续有效。
|
| 5.1
认证计费系统的总体结构 |
|
|
| |
|
用户管理
用户管理 提供大容量、高可靠性、方便移植和管理的用户管理系统。提供用户组的管理概念,管理员可将用户按组管理和维护,方便管理大量用户。提供透明的数据接口,使系统割接更加简单。
认证授权
验证用户身份的合法性,控制用户对不同服务的不同访问权限,支持不同服务的不同访问权限。提供统一的认证接口,为各种服务提供认证/授权。
计费结算
根据系统资源的访问记录进行计费,并在资源的提供者和为用户的费用查询提供明细数据备份提供完善地数据临界备份手段。提供帐单定制。
资费管理
提供对多种计费信息源的计费模型管理。可以灵活设置计费模型,包括按照数据量、次数等进行设置,提供优惠费率的灵活设置。
收费管理
提供对用户的费用管理。可以管理用户的预交费、已收费用、欠帐等,作为费用管理的解决办法。并和第三方财务系统提供灵活的接口。
业务统计
对业务数据进行统计和分析,输出各种报表和图表,为业务运营策略的制订提供根据。
|
| |
5.2
用户管理
用户管理系统对用户属性进行登记,为整个业务管理系统形成并维护一个统一的用户数据库,这些数据在认证/授权、计费结算中都需要使用。 |
5.2.1
管理方式
系统对用户的管理是建立在传统的用户增、删改操作操作之上后又有所创新。系统对用户的增、删改操作可以说方式多变,一应俱全。既有成组开户、也有数据割接倒入用户资料,当然不会缺少管理员逐个进行用户增删改操作了。为了减轻管理员管理的负担,系统提供了客户管理的概念,充分利用Internet网络的优势,让用户在网上自己修改自己的用户资料(部分)。
5.2.2
用户属性
用户是系统资源的消费者,宽带接入计费支持多种类型的用户访问系统,不同类型用户的访问控制与计费策略不同。
用户状态信息:包括用户帐号/密码、帐号状态。
用户自然信息:包括用户的开户信息(用户姓名/年龄、电话/住址等其他系统运营者系统保留的用户自然信息)。
用户权限信息:包含用户对系统资源访问的权限信息。认证/授权系统就是通过查询用户的权限信息,判断用户对系统资源的权限。
用户费用信息:包含与计费结算相关的属性,例如:用户计费方式(包月/计时/计流量,实时/非实时等)、交费方式(月交、电话托收、用户卡等)、用户余额。
5.2.3
用户组管理
系统的用户数量非常庞大,每用户都有不同的权限和计费方式。
所谓用户组(或成为用户类型),即一组具有相同属性的用户。用户组内的所有用户具有相同的权限和计费方式,这样,管理员可以定义一系列常用的用户组,新开户的用户加入用户组后,就自动具有相应的属性,一旦修改用户组的属性,全部用户属性都相应变化,不需要逐个定义用户。
系统管理员可以随时定义新的用户组,为其定义任意访问权限和任意计费方式的组合,且新的用户组实时生效。
管理员可以把任意权限和计费方式组合起来、任意定义新的用户类型,也可以随时更改用户类型的属性,以适应灵活的业务发展需要。
5.2.4
用户费用监控
* 自动暂停控制:一旦用户的余额低于预设值,则系统会将该用户自动设置为暂停状态,直至用户交费。
* 用户在线实时监控:如果用户的余额低于预设值,系统可以将该用户立即拆线,保证系统的计费准确和实时。
5.2.5 用户管理工具
接入计费为系统管理员提供了方便灵活、功能强大的后台用户管理手段,使管理员可以对用户进行如下管理:
* 用户类型管理:增/删/改/查询用户类型
* 用户卡管理:增/删/改/查询用户卡类型,成批发放用户卡,自动维护用户卡信息数据
* 用户开户/销户:登记新用户,生成用户注册信息;删除用户,删除用户全部信息。
* 用户暂停/恢复:修改用户状态,暂停用户登录,冻结用户的信息;恢复用户状态。
* 用户信息查询:提供多种条件的模糊查询功能,查询用户的所有属性(密码除外)。
* 用户信息修改:修改用户的所有属性。
* 用户信息统计:针对用户不同属性,对用户进行不同角度的统计。
|
5.3
认证授权管理
5.3.1 网络层人证/授权体系结构 |
|
|
| |
5.3.2
认证/授权流程
1) 用户登录过程
用户登录,输入账号和密码,账号和密码加密传送到认证AAA 计费服务器;
2) 查询用户过程
向后台数据库查询用户资料;
3) 确认用户过程
计费服务器向后台查询用户的资料和授权设置,确认用户的身份。如果身份合法,允许用户使用,否则登录失败,无法使用服务;
4) 用户授权过程
根据用户的授权设置,对用使用的功能进行授权,包括时间授权、功能授权、带宽授权、访问限制授权、过滤授权和信用授权,便按照该用户的收费费率进行计费;
5) 监控用户过程
实时监控用户的使用情况,并根据每个用户的授权进行判断,是否接受或拒绝用户所要求的服务,并将用户使用情况送到后台数据库进行纪录;
6) 保存用户访问纪录过程
将用户的使用过程中产生的纪录文件送到后台数据库保存;
7) 终止授权过程
用户的使用权限超过预先设定的阀值,如累计时间、流量、信用等参数后,将给用户警告,并且终止对用户授权,强制结束服务;
8) 用户注销过程
用户要去退出服务,注销用户的授权;
9) 保存用户连接纪录过程
将用户连接纪录包括登录时间、结束时间、流量、服务内容纪录和产生费用等资料纪录在数据库内。 |
| |
5.4
计费结算
灵活的计费结算系统:
· 实时:可以实现实时计费,可以实时监控用户费用余额,与认证系统配合可实时注销透支用户。
· 多种类型:可以对各种不同类型的用户和服务提供商提供计费,并且用户类型和服务提供商类型可以扩展。
· 灵活:分布式体系结构,支持集中计费和分布计费,分别适合不同的用户使用。
· 精确的清算:提供用户与ISP、服务提供商与ISP、ISP内部各部门之间的费用清算,
· 付款:支持多种付款方式
5.4.1 计费数据采集
采集事件,生成原始计费数据,供计算费用使用。
5.4.2 资费政策制订
灵活制订各种资费政策,以适应灵活经营的需要。可以调整的资费参数包括:计费方式及费率、优惠方式及优惠率、用户透支额度及处理方式等。
5.4.3
计费数据处理
根据制订的资费策略和原始计费数据计算出用户的访问费用。
5.4.4 费用清算
费用结算负责计算用户与ISP、电信服务提供商与ISP之间的费用管理,输出费用帐单。
5.4.5 收费系统
系统输出费用清算帐单后,向用户收取费用,向电信服务提供商支付费用。
5.4.6 计费系统监控
计费系统监控台是系统管理员和用户访问计费系统的接口,监控台基于Browser/Web
Server/Database结构,支持分布式、远程管理。
监控台对系统管理员、用户和服务提供商都有权限限制,系统管理员只能访问自己管理范围内的部分,用户和服务提供商只能访问自己的信息。
A、系统管理员管理范围
(1)、计费参数调节:通过图形化界面调节资费系统中所有计费参数
(2)、出帐:输出和分发费用结算帐单,以便根据这些帐单收取和支付费用。
(3)、收费:预交费管理、已收费查询和欠帐管理等功能
(4)、查询:查询用户和信息源的费用帐单和所有计费记录明细表。
(5)、统计:系统为网络运营者提供计费统计手段,以对系统的业务收入情况进行分析。
B、用户接口
查询:用户可以在网络上远程查询自己一定时期内的计费总帐单,以及上网和访问信息源的计费记录明细表,用户还可以在线修改密码。
|
| 【六、网络安全】 |
ISP平台是一个面向大众的公共服务平台,在获取最佳性能的前提下,构筑一个有力的安全平台和提供一个完善的安全解决方案是系统建设的核心目标。
6.1
目前的网络安全漏洞
目前网络系统可能存在的安全威胁来自以下方面:
a) 操作系统安全性。
b) 防火墙安全性
c) 内部网用户的安全威胁
d) 缺乏有效的手段监视网络系统的安全性
e) 不能对电子邮件夹带的病毒以及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。
f) 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少。
6.2 网络安全技术
ISP的安全体系必须集成多种安全技术来实现。通常包括:防火墙技术、入侵监控技术、安全漏洞扫描技术、网络防病毒技术、加密技术、认证和数字签名技术等。
6.3
网络安全方案
网络系统建设建议采取下列措施保证系统的安全性。
6.3.1 网络层安全方案
a) 采用防火墙技术
对于重要的关键主机采用防火墙进行安全隔离。选用的访火墙是e-guard。
b) 数据包过滤
在骨干接入路由器上设置基于端口和IP的数据包过滤,如禁止外网用户远程登陆到内网的路由器。
c) VLAN划分
在中心交换机上划分VLAN,将服务器和一般工作平台(如PC)分隔,防止内部网络信息被非授权监听。
d) 使用RADIUS支持用户安全接入。
e) 路由器认证
设置运行动态路由协议的路由器在交换路由表先要确认路由表更新请求的合法性。
f) 事件记录
设置路由器自动记录系统的出错信息,以备管理员实时发现和跟踪潜在的安全漏洞
g) 所配备的操作系统支持到C2级。
6.3.2 应用层安全方案
在系统管理上,对所能够使用的port口采用有效的控制措施,防止非法人员通过port非法进入。
在用户服务器上限制一般用户的登录权限。
关闭不必要的网络服务。
定期进行系统和文件备份。
尽量采用安全的服务器软件。
对于不同的应用系统可以采取不同安全策略:
* Email系统(SMTP、POP、IMAP)
使用SMTP的正常的存储转发功能来通过防火墙发送所有进出的邮件;
可在防火墙上限制只是用标准的SMTP命令;
使用数据包过滤机制从外部主机到非SMTP服务器的SMTP连接;
采用安全的SMTP服务器版本;
在Internet上使用POP传输邮件时,需要设置一个加密的通道,和使用数据包过滤,限制指定的站点能够连接POP服务器。
*
文件传输(FTP)
如果使用支持被动模式的FTP客户,在防火墙上设置允许内部主机通过包过滤与外部服务器联系;
如果使用不支持被动模式的FTP客户,使用FTP代理服务器;
使用包过滤允许FTP请求只能到达相应的服务器;
认真设置匿名FTP用户的可读区域,防止敏感信息的丢失;
认真设置匿名FTP用户的可写区域,以保证第三者不能用它传输文件。
* WWW服务(HTTP)
小心配置HTTP服务器的访问权限,防止HTTP服务器运行无关的程序;
限制外网用户只能访问标准的端口(80),或使用代理服务器访问;
在发布敏感数据时使用加密协议,如SSL;
经常审查HTTP服务器的配置情况和运行日志;
在运行新的应用之前,如新的CGI应用,先进行安全测试;
对需要用户认证的站点,认证过程采用加密通讯或使用X.509证书模式。
*l 域名服务(DNS)
建立备份的DNS,以防DNS服务意外中断;
不要让HINFO记录被外界看到,也不要使用HINFO记录;
使用最新的BIND(现为BIND8.1.2)工具和双反转查找以防受骗;
隐藏索要内部DNS数据,使用转发和伪记录;
取消任何人的区域转换。
|
| 【七、宽带Internet
服务商提供的服务】 |
做为Internet服务提供商应该为用户提供基本的Internet
服务,而提供服务的关键硬件是服务器。为了服务数据的安全,服务器组应与数据网在结构上相对独立。本方案中心结构系统体现了这一点。为以后提供更好的服务,服务器组交换机采用负载平衡交换机是必要的。关于交换机Summite48i在上面已有描述,这里不做叙述。
以下是对这些服务的阐述以及我们建议的系统建设方案。
7.1
Internet 原理及域名系统(DNS)
计算机网络是由许多计算机组成的,要实现网络的计算机之间传输数据,必须要作两件事,数据传输目的地址和保证数据迅速可靠传输的措施,这是因为数据在传输过程中很容易丢失或传错,Internet使用一种专门的计算机语言(协议),以保证数据安全、可靠地到达指定的目的地,这种语言分两部TCP(Transmission Control Protocol
传输控制协议)和 IP (Internet
Protocl网间协议)。
7.1.1
TCP/IP协议的数据传输过程:
TCP/IP协议所采用的通信方式是分组交换方式。所谓分组交换,简单说就是数据在传输时分成若干段,每个数据段称为一个数据包,TCP/IP协议的基本传输单位是数据包,TCP/IP协议主要包括两个主要的协议,即TCP协议和IP协议,这两个协议可以联合使用,也可以与其他协议联合使用,它们在数据传输过程中主要完成以下功能:
1)首先由TCP协议把数据分成若干数据包,给每个数据包写上序号,以便接收端把数据还原成原来的格式。
2)IP协议给每个数据包写上发送主机和接收主机的地址,一旦写上的源地址和目的地址,数据包就可以在物理网上传送数据了。IP协议还具有利用路由算法进行路由选择的功能。
3)这些数据包可以通过不同的传输途径(路由)进行传输,由于路径不同,加上其它的原因,可能出现顺序颠倒、数据丢失、数据失真甚至重复的现象。这些问题都由TCP协议来处理,它具有检查和处理错误的功能,
必要时还可以请求发送端重发。简言之,IP协议负责数据的传输,而TCP协议负责数据的可靠传输。
7.1.2
标准的IP地址
无论是从使用Internet的角度还是从运行Internet的角度看IP地址和域名都是十分重要的概念,当你与Internet上其它用户进行通信时,或者寻找Internet的各种资源时,都会用到IP地址或者域名。
IP地址是Internet主机的一种数字型标识,它由两部分构成,一部分是网络标识(netid),另一部分是主机标识(hostid)。
目前所使用的IP协议版本规定:IP地址的长度为32位。Internet的网络地址可分为三类(A类、B类、C类),每一类网络中IP地址的结构即网络标识长度和主机标识长度都有所不同。
如:129.111.9.96
A类网络:第一个字节为网络地址(共126个),其余3个字节为主机地址(共
16387064),地址范围:0.0.0.0~127.255.255.255
B类网络:
前两个字节为网络地址(共16256个),其余两个字节为主机地址(共64576个),地址范围:128.0.0.0~191.255.255.255
C类网络:前三个字节为网络地址(共2064512个),后一个字节为主机地址(共254个),地址范围:192.0.0.0~223.255.255.255
从上图看出:A类网络地址数量最少,可以用于主机数多达1600多万台的大型网络,B类网络适用于中等规模的网络,C类网络地址适用于主机数不多的小型网络。
由于二进制不容易记忆,通常用四组三位的十进制数表示,中间用小数点分开,每组十进制数代表8位二进制数,其范围为0─255,但是0和255这两个地址在Internet有特殊用(用于广播),因此实际上每组数字可以真正使用的范围1─254。
7.1.3
域名、域名系统和域名服务器
前面讲到,IP地址是一种数字型网络标识和主机标识,数字型标识对计算机网络来讲自然是最有效的,但是对使用网络的人来说有不便记忆的缺点,为此人们研究出一种字符型标识,
这就是域名。 目前所使用的域名是一种层次型命名法。
第n级子域名……..第二级子域名
第一级子域名 (这里一般: 2≤n≤5)。
域名可以以一个字母或数字开头和结尾,并且中间的字符只能是字母、数字和连字符,标号必须是小于255。经验表明为了简便并容易记住名字,每个标号小于或等于8个字符,
但这不是必须的。
第一级子域名是一种标准化的标号,如下表:
COM 商业组织、EDU
教育机构、GOV
政府部门、MIL
军事部门、NET
主要网络支持中心、ORG
上述以外的机构、INT
国际组织、COUNTRY CODE
国家(采用国际通用两字符编码) 。
NIC(网络信息中心)将第一级域名的管理特权分派给指定管理机构,各管理机构再对其管理下的域名空间继续划分,并将各子部分管理特权授予子管理机构,如此下去,便形成层次型域名,由于管理机构是逐级授权的,所以最终的域名都得到NIC承认,成为Internet全网中的正式名字。
Internet地址中的第一级域名和第二级域名是由NIC管理,我国国家级域名(CN)由中国科学院计算机网络中心(NCFC)进行管理,第三级以下的域名由各个子网的NIC或具有NIC功能的节点自已负责管理。
注意几点:
1)域名在整个Internet中必须是唯一的,当高级子域名相同时,低级子域名不允许重复。
2)大小写字母在域名中没有区别。
3)一台计算机可以有多个域名 ( 通常用于不同的目的 ) , 但只能有一个IP地址。
4)主机的IP地址和主机的域名对通信协议来说具有相同的作用,从使用的角度看,两者没有区别。但是,当你所使用的系统没有域名服务器,只能使用IP地址不能使用域名。
5)为主机确定域名时应尽量使用有意义的符号。
所谓域名系统是把域名翻译成IP地址的软件称为域名系统(DNS)。从功能上说,域名系统基本上相当于一本电话簿,已知一个姓名就可以查到一个电话号码,它与电话簿区别是可以自动完成查找过程,此时,
完整的域名系统应该具有双向查找功能。
所谓域名服务名:实际上就是装有域名系统的主机。
7.2 WWW服务
WWW的含义是环球网(world wide web)是一个基于超文本(hypertxet)方式的信息查询工具,它最大特点是拥有非常友善的图形界面,非常简单的操作方法以及图文并茂的显示方式。WWW系统也采用服务器_客户机结构,在服务器端,定义了一种组织多媒体文件的标准──超文本标识语言(HTML),按HTML格式储存的文件被称作hypertxet超文本文件,在每一个hypertxet超文本文件中通常都有一些hyperlink(超级链接),把该文件与别的hypertxet超文本文件联接起来构成一个整体,在客户端WWW系统通过netscape,或Internet explorer等这样工具软件提供了查阅超文本方便的手段。
7.3
Email服务
电子邮件服务Email是一种通过计算机网络与其它用户进行联系的快速、简便、高效、价廉的现代化通信手段。使用Internet提供的电子邮件服务的前提,是首先要拥有自己的电子邮箱。电子邮箱是由提供电子邮件服务的机构为你建立的,实际上是在该机构与Internet联网的计算机上为你分配的一个专门用于存放往来邮件的磁盘存储区域,且这个区域是由电子邮件软件系统操作管理的。电子邮件系统有如下特点:
1)方便性:通过电子邮件,你不仅可以传送文本信息,而且可以传送图像文件,报表和计算机程序。
2)廉价性和快捷性。电子邮件系统是采用"存储转发"方式为用户传递电子邮件的,当用户期望通过Internet给某人发送信件时,他先要同为自己提供电子邮件服务的计算机联机,然后将要发送的信件与收信人的电子邮件地址输入自己的电子邮箱,电子邮件系统会自动将用户的信件通过网络一站一站地送到目的地,当信件送到目的地计算机后,该计算机的电子邮件系统就将它存在收件人的电子邮箱中等候用户自行读取。用户只要随时以计算机联机的方式打开自已的电子邮箱,便可以查阅自已的邮件了。
与普通信件类似,Internet的电子邮件也有自已的信封和信纸,它被称邮件头(mail header)和邮件体(mail body),邮件头主要由三部分组成:收信人电子邮箱地址(To:),发信人电子邮箱地址(From:)和信件标题(Subject:)。邮件体为邮件实际要传送的内容。
目前的Email系统均支持以下的功能:
提供支持Web的收信、发信功能;
提供支持POP3收信、SMTP发信的功能;
7.4
FTP服务
文件传送服务ftp允许
Internet网上的用户将一台计算机上的文件传送到另一台上,FTP服务是由TCP/IP的文件传送协议(File transfer Protocl)支持的。FTP是一种实时的联机服务,在进行工作时先要登录到对方的计算机上。使用FTP几乎可以传送任何类型的文件,文本文件、二进制文件、图像文件、声音文件、数据压缩文件等。在Internet网上许多数据服务中心提供一种称为"不记名文件传送服务"(anonymous ftp),用户在登录时可以用anonymous作用户名,用自己的电子信箱地址作口令。
7.5
远程登录服务(Telnet)
远程登录是指在网络通讯协议Telnet的支持下,用户的计算机通过Internet网暂时成为远程计算机终端的过程。当然要在远程计算机登录,首先要成为该系统的合法用户,并有相应的帐户便可以实时使用远程计算机对外开放的全部资源。全世界的许多大学图书馆都通过Telnet对外提供联机检索服务,一般政府部门、研究机构也将它们的数据库开放,供用户通过Telnet查阅。
在进行远程登录时,用户首先应在Telnet命令中给出远程计算机的通讯域名或IP地址,然后根据对方系统的询问,正确地键入自己的用户名和口令。
一些Internet网上数据库还提供开放远程登录服务,查询这类数据库不需要事先取得帐户及口令,或可以使用该系统公开的公共用户。
7.6
服务系统建议方案
系统提供的服务可以建立在统一的系统平台,也可以建立在不同系统平台。
我们建议:
|
|
设备类型
|
主要用途
|
配置
|
|
PC
SERVER
|
DNS服务+WWW服务
|
| 1
PIII CPU |
| 512MB
RAM |
| 9G,system
disk |
| 30G
hard disk |
| 2x
100M Ether Net Card |
|
|
PC
SERVER
|
Email服务
|
| 1
PIII CPU |
| 512MB
RAM |
| 9G,system
disk |
| 50G
hard disk |
| 2x
100M Ether Net Card |
|
|
PC
SERVER
|
FTP服务
|
| 1
PIII CPU |
| 512MB
RAM |
| 9G,system
disk |
| 30G
hard disk |
| 2x
100M Ether Net Card |
|
|
| |
| 【八、网管系统】 |
据网络管理系统需求和ISO标准化的网络管理模式,一个完善的网络管理系统应具备以下四大功能:
配置管理:配置管理主要是自动发现网络拓扑结构和进行网络配置,实时监控设备状态,创建并维护配置数据库,访问、分析和编辑被管理设备的配置文件,配置网络节点设备部件、端D和系统软件,配置和管理网络业务等。
故障管理:实时地自动地检测、记录网络故障并通知用户,以便能使网络安全有效地运行,由于差错可以导致系统的瘫痪或不可接受的网络性能下降。它包括:判断故障、状态隔离、该故障修复、该故障对所有重要的子系统进行修复、记录故障的检测及其结果。
性能管理:通过对管理设备的监控或轮询,获取有关网络运行的信息及统计数据;并在所收集的数据的基础上,提供网络的性能统计,对历史统计数据的分析,以达到优化网络性能、消除网络中的瓶颈和实现网络流量的均匀分布的目的。性能 统计包括:网络节点设备的可用率、CPU利用率、故障率统计、中继线路流量统计、网络各类业务量统计及各类应用占用系统资源的统计、网络时延统计。
安全管理:按照本地网络管理人员的要求来控制对网络资源的访问,以保证网络资源和网络管理系统本身不被侵害,并保证重要的信息不被本授权的用户访问。其主要功能包括:标识重要的网络资源、确定重要的网络资源和用户集间的映射关系、监视对重要资源的访问、记录对重要资源的非法访问。
建议采用Extreme
网管系统来实现。
|
| |
| 【附录】 |
| 宽带IP网络基于用户的实时的互动的验证、授权、计费、客户管理系统 |
| |
