小区接入网技术

本文是一篇网络安全论文范文,关于网络安全方面大学毕业论文,关于小区接入网技术相关学士学位论文范文。适合网络安全及操作系统及安全管理方面的的大学硕士和本科毕业论文以及网络安全相关开题报告范文和职称论文写作参考文献资料下载。

【摘 要】近几年,随着社会的发展,计算机网络逐渐普及,渐渐向网络信息的方向发展,对人类社会产生了极大的影响,由此可见,网络已经融入到了我们的生活当中.

【关 键 词】接入网；小区；宽带

【中图分类号】TN915.65【文献标识码】A【文章编号】1672—5158（2012）08—0062-02

一般情况下,在小区内接入宽带网络,就可以令连接宽带的用户在互联网上与外界进行联系,例如发送电子邮件,浏览一些网上商城进行网购等.倘若在家里建立家庭局域网,把宽带网与家庭网络设备内部组网相互连接,由此,便能够实现家庭办公SOHO；倘若小区内的物业管理中心能够利用宽带网并与之相连,那么住户就可以享受智能小区带给人类全方位的服务.连接宽带网的用户还可以根据自己的需要来选择各种网上增值服务,例如网上金融服务、网上炒股、网络游戏、视频点拨以及网络教育等等.

一、需求分析

信息化小区作为连接宽带网络特定的大用户群,在业务需求方面主要有以下的需求和特点：

（1）用户的数据安全性需要得到保证；

（2）要求使用的网络能够具备灵活并且良好的计费策略以及用户管理能力；

（3）用户要求网络要有一定的接入速率,且要求要针对不同应用的接入速率限制；

（4）大多数居民都使用Inter网络,业务主要是以Web和HTTP的部分媒体业务和页面访问为主,在不远到的未来,也极有可能发展对称交互式媒体业务.

现如今,我国城市内大部分小区都已经开始进行综合布线工作.在这种情况下,为了满足高密度住户的网络需求,一般都是采用FTTX+LAN的以太网接入方式.它主要是利用了光纤加五类线的接入方式,并且是使用了以太网的接入技术,以此来实现连接宽带互联网的目的,形成规模较大且速率较高的家庭局域网.这种接入方式的优点主要是廉价、稳定、持续以及高速.

我国目前的很多内部局域网普遍存在着较多的安全漏洞.譬如说：普通用户可以进入重要的数据服务器系统；外来人员用便携式电脑连入住宅网络对服务器进性攻击或对数据进行窃取等.为了弥补这些漏洞,采取以下方式来保护网络安全：

（1）通过网络操作系统的安全管理加强网络安全,由于各关键业务的数据大多是以文件形式存在于网络存储设备上的,因此,要严格地限制对存放这些关键数据的权限.例如：限定特定用户在专用的时间段才能登录、访问关键数据（在Windows系统中,可以通过域用户管理来实现）.另外,网络操作系统中都提供了审计功能,可以对关键用户,关键数据文件进行审计核查工作；通过对每个内部维护人员分配独立的账户,可以清楚地记录每次关键操作,有利于提高网络的安全性.

（2）通过交换机设置限制站点对网络系统的访问,Cisco交换机提供了MAC（传输媒体访问控制）地址限制功能.在特定的端口进行设置,允许固定MAC地址网卡的包通过.只要工作站网卡MAC地址未被该端口登记,这台工作站就无法在网络上工作.这种通过对交换机设置来限制工作站点的方法能够有效组织非本公司的电脑的非法使用,保护了网络的安全；

（3）通过虚拟局域网的划分加强网络安全,可以根据地理位置将每一栋楼划分为一个虚拟局域网,将各个子网进行了有效的隔离,各个子网间的通信受到ACL（访问控制列表）的严格控制,有效地保证了核心业务的安全.

二、核心层

宽带小区中心的设备作为核心层设备,需要提供宽带小区到局域网的接口处并且将各栋楼以及各个住户的流量进行汇聚.在这里,作者推荐选择Cisco的路由器,比较适用于Inter服务供应商以及大中型住宅小区网络连接用户.产品档次与Cisco7609系列基本等同.选用的原则主要是考虑包交换能力和端口的支持能力.

作者推荐使用Cisco7609路由器.因为它比较适用于Inter服务供应商和大中型人口密度比较高的小区.Cisco7609提供多协议数据路由解决方案、拨号访问、虚拟专网以及语音集成和数据集成等服务.

三、汇聚层

汇聚层选用了华为S3300系列.网络用户能够根据自身的需求来进行选择.交换机的选择方面,作者推荐在高密度住户的楼层采用华为S3328或S3352交换机,能够根据数量与要求的差异选择型号.

华为S3300系列交换机是为满足以太网多业务承载需要而退出的新一代三层以太网交换机,可提供强大的以太网功能服务.S3300系列交换机提供增强型灵活QINQ功能,具备线速的跨VLAN组播复制能力,可满足楼宇接入、园区汇聚和接入等多种应用场景的需求

Catalyst3300提供多种用户安全保护功能,支持大ACL表象,支持IP、MAC、端口的组合绑定,支持MAC地址黑洞、端口格力、滤、MAC地址学习书目限制、动态ARP检测、IPSOURCEGUARD等安全技术,支持RADIUS、IEEE802.1X认证、SSH,为网络穿上了坚实的保护衣.

四、接入层

接入层选用了中兴2800S系列,中兴2800S系列可满足企业网络和城域网的商务楼内、小区汇聚和接入点等多种接入场合的需求,采用固定接口和模块化接口结合的机器架构,1U高度,结构紧凑小巧,支持交流电源和直流电源,既可入19英寸标准机架,也可以靠近客户端桌面放置,安装方便,应用灵活,性价比高.ZXR102800S系列支持端口入口和出口的端口限速.支持VLAN堆叠,增加支持的用户数目.支持PVLAN,实现用户隔离.

作者推荐ZXR102826S系列二层以太网交换机上行端口15KV/7.4KA的高压雷击保护能力.尤其适用于多雨多雷的地区.

五、安全措施与防火墙

防火墙选用NetScreen-100.Netscreen-100为网络管理员提供了综合的网络流量控制方法,从而实现了高效的网络流量管理.

Netscreen-100的先进功能之一,优先级管理,就是对带宽按级别来分配,保证了网络数据的高效交换要,这就使诸如视屏会议等特定服务和应用,在全部可用带宽范围内,可被确保一定比例的带宽而顺畅进行.与此相关的,Netscreen-100同时具有全面的网络分析能力,如实时的日志记录,快速准确的报警功能和方便的报表能力.NetScreen-100防火墙的专用ASIC芯片提供存取策略的功能.该功能以硬件方式实现,它比软件防火墙有着无可比拟的速度优势.CPU可专门负责管理数据流.由于做到了系统级的安全处理功能,NetScreen-100消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈.它提供了多功能和高安全性能的无缝隙连接,可自动调整端口速率,使其自适10M和100M.另外,该产品允许用户在远程实现加密通信,并且这种VPN功能不影响性能.NetScreen-100防火墙有三个端口-Trusted、DMZ、UnTrusted.分别用于连接Intra、Inter和DMZ三个网域.它独创的安全包处理器,将所有的流量策略、安全政策、加密和身份验证都交给硬件处理,从而大大提高了防火墙的处理性能；并且将包的生成交给软件处理；将包的路由交给路由器处理,集中实现安全策略下的高速吞吐量.