电信虚拟专用网及流量计费算法的设计与实现

电信虚拟专用网及流量计费算法的与实现 华中科技大学 硕士学位论文 电信虚拟专用网及流量计费算法的设计与实现 姓名:胡夫远 申请学位级别:硕士 专业:软件工程 指导教师:沈刚 20051029华中科技大学硕士学位论文 摘要 国内拥有大量需要远程组建计算机网络的高科技企业和事业单位,数据通信 业务 发展势头良好,但虚拟专用网业务的发展却很不理想。根据客户的具体通信 需求,制 定差异化的网络建设,成为业务发展最迫切的任务。 首先简要介绍了虚拟专用网的理论基础和关键技术,对技术上和经济上的 优势进行。接着以东莞地区为例,对其业务需求进行了分析,并对网 络中结合服务级别和服务质量的流量计费方式进行了分析。 在虚拟专用网应用网络方案设计与实现中,结合东莞电信城域网的现状,提 出了安全隧道模式的改进、利用宽带接入服务器实现、/等专线接入 网络的思路和广域接入的新思路。结合实际应用给出了具体实现, 并对网络设计和实现进行了评测分析。从近期业务发展情况和网络运行情况来看,该 设计和实现是合理、正确的。 为提高球网络计费方式的公平性,提出了一种基于服务级别和流量控制的 网络计费算法,给出了具体计费函数、系统模型和算法流程,并针对该算法进行了仿 真验证。仿真结果表明该算法可以实现对不同用户按照通信网络的服务质量和通信流 量进行计费,比传统计费方式方法更合理、更公平。 该研究方法和成果同样适用于类似需要利用虚拟专用网来组建计算机网络的地 区。 关键词:虚拟专用网 数据通信 网络设计 流量计费算法华中科技大学硕士学位论文 , . ’ ., ., ,., ... / , .. . . , . . ,. .:独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他 个人或集体已经发表或撰写过的研究成果。对本文的研究傲出贡献的个入和集 体,均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 . 学位论文作者签名:毫棚 日期:纠册月日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口,在??年解密后适用本授权书。 本论文属于 / 不傈密簖 请在以上方框内打“” 学位论文作者签名: 指导教师签名:?欠月 日期:垆瞬月昌 日期:‖哒年月华中科技大学硕士学位论文 绪论 .研究背景 东莞市位于广东省中南部、珠江三角洲东北部,处于穗港经济走廊中间,是广州 与香港之间水陆交通的必经之地。改革开放以来,东莞坚持以经济建设为中心,充分 发挥地理人文优势,大力发展外向型经济,以科技推动经济发展,形成了以制造业为 主,以电子资讯产业为支柱的外向型经济结构,是国际性的加工制造业基地和中国重 要的外贸出口基地。 经济的持续发展也促进了通信业务需求的增加,东莞地区的通信业务量自 年以来一直位居全国地级市的首位,也成为了各大通信运营商市场竞争的焦点,通信 新业务和新技术的发展也在全国处于领先地位。到年底,东莞电信拥有宽带用 户数超过万户,/业务用户共使用个网络端口,预计到年底, 宽带用户将达到万户摘自《东莞市分公司年通信网络发展滚动规划》。 但可保障商业客户通信安全的虚拟专用网 ,业务却 一直发展不理想,经过年的发展,到年底只有个端口,业务发展困 难的主要原因是用户对虚拟专用网的了解不够,部分客户不知道东莞电信可提供 业务;许多商业客户和集团客户质疑网络的安全性和服务质量;并且东莞地区 网络服务水平和技术水平也相对落后,无法根据客户的需求制定合适恰当的网络 解决方案。 在实际业务推广过程中,部分客户质疑网络计费的合理性,认为包月制收 费方式中即使当月不使用也要交一样多的费用,没有象固定电话那样只在使用时才计 费,对一些网络使用率不高的客户存在着不公平,是在鼓励大家多使用通信网络,浪 费网络资源。 经过对现有的几种口网络计费方式进行分析,目前的计费方式存在一定的不足。 如按时长计费方式未考虑用户使用网络的带宽,低带宽用户支付的费用明显高于高带 宽用户的费用;按总流量计费方式未考虑网络拥塞时大量重发的流量。因此, 客户要华中科技大学硕士学位论文 求提供更合理、更公平的计费方式,真正根据用户实际使用网络的情况进行综 合计费。 .国内外现状 随着 逐渐成为口领域的热点, 的各种应用也为广大业务提供者 和用户所关注。从的费用分析可以看出,大中型企业用户的通信业务量大,而 且对业务要求也比较高,如果自己建设这样的网络不但前期投资大,而且需要专业人 员从事网络的日常管理和运营维护工作,还要不断投入,特别是网络技术日新月异, 要想保持网络的先进性是非常困难的。因此他们更倾向于使用外包方式的接入 业务,把网络托管给电信运营公司或增值业务提供商,利用业务提供商覆盖广泛而又 先进的公共通信网络、专业技术和丰富的经验,用户的各种通信业务需求可以得到满 足,而且不必关心网络的建设、组织、管理等众多繁杂的事务,更不需要大量专职人 员。 因此,业务在国外均取得了良好的发展【?。自年开始,北美、 日本、香港新世界电信、台湾中华电信等通信运营商开始向社会尝试 提供业务。年,印度最大的网络和电子商务提供商母有限公司 建成了印度最大的网络,日本通信公司建成了全国范围内的 网络,使得用户的专网可以覆盖全球的个国家或地区。到年, 公司宣布建成了一个架构在智能光网络上的网络,该网络扩展到个国 家,拥有个节点,多个端口和多个大客户。据 公司统计,美国的业务收入从年的亿美元发展到年底的亿美 元。 在国内,年月由中国电信总公司开始建设覆盖北京、上海、广东、江苏、 浙江、山东、湖北、辽宁、陕西、四川、福建、天津等个省的省会城市的网 络,之后又逐步扩展到各省内的发达城市。广东省自年开始建设广州和深圳 两 地的网络,到年底才建成覆盖全省的网络。目前国内的业务发 华中科技大学硕士学位论文 展普遍不理想,以广东省为例,到年底,全省使用的端口约为个, 其中绝大多数是位于深圳、广州和东莞三地。 至于流量计费方面,目前国内外采用的都是按照用户使用总流量和费率计算 用户 应该支付的费用,没有考虑用户的带宽、传送内容以及网络拥塞情况,具有一 定的不 完善性。 .本文的内容和组织 本文主要以东莞地区为例,根据需要组建远程计算机通信网的企事业单位对 网络的需求和合理计费的要求,对网络的设计和实现方式进行研究,提出了 安 全隧道模式改进、/、和等专线接入 、广域接入 等新的网络设计方法,提出了一种基于服务级别和流量控制的计费算法,并 给 出了算法实现。 全文的结构安排如下: 首先介绍了研究网络的背景、国内外业务发展情况和流量计费的研究 背景及发展情况。 接着简要介绍了理论基础和关键技术安全隧道技术、加密解密技术、密 钥管理技术和身份认证技术,对网络的技术优势、安全优势和经济性优势进 行了分析。 接下来对东莞地区的网络需求进行分析,展望了业务的未来,对流量 计费的需求进行了分析。 结合东莞电信坤城域网对网络设计进行论述,对路由协议的规划、礤地址 规划、、和的规划等给出了解决办法。结合部分客户的特殊需要,讨论 了安全隧道模式的改进、利用宽带接入服务器完成/、、等专线接 入以及广域接入等问题。并结合一个已经完成的具体案例,给出了 网络的实现步骤和方法,并对方案的设计和实现进行评测分析。这也是本文 的重 点之一。华中科技大学硕士学位论文 为了加强网络计费方式的准确性与合理性,提出了一种基于服务级别和流 量控制的计费算法,给出了逻辑模型和关键模块的算法实现,并对算法进行 了仿真分 析。这也是本文的重点之一。 最后对整个研究工作进行总结,并对下一步研究方向进行了展望。 华中科技大学硕士学位论文 理论基础及关键技术 以下对基础理论和关键技术进行简要介绍,并对其技术优势和经济性优势 进行分析。 . 基本理论 虚拟专用网,指的是依靠服务提供商 和其它网络服务提供商在公用网上为一组客户或~些点实现的一种专用数据 通信网络。 具有三种含义: .它是虚拟的网,即没有固定的物理连接,网络只有用户需要时才建立。 .它是利用公众网络设施构成的专用网,用于构建的公众网络包括 网、口网、网和/网等。 .在公共网络上组建的利用虚拟专用网的隧道技术、认证技术和加密技术, 能够在一种不可信、不安全的网络上的两个单独实体之间建立一条安全的、 私有的专 用信道,象企业现有的私有网络一样,提供安全性、、可靠性和可管理性等,使 得企业网络几乎可以无限延伸到地球的每一个角落,从而以安全、低廉的网络互联模 式为包罗万象的应用服务提供发展的舞台。 系统根据系统设置的安全规则来实施的,对用户来说完全是透明的和自动 的。在系统后面的使用网络的企业员工照样发送电子邮件或下载文件,由 系统决定他们的任务哪些需要加密或不加密。 一般有三类情况】:图?为三种类型的相结合的结构图。华中科技大学硕士学位论文 图 体系结构图 .远地接入.一链接在外工作人员包括居家办公人员和出差流动人员 与公司网络。 接入使用户能够在任何时间,任何地点,以任何方式连接到他们公司的 或中。接入在一个共享基础设施上利用与专用网相同的策略提 供到公司和的接入。它包括对移动用户,居家办公者和小型办公室 提供远程接入连接,所采用的技术包括拨号,,,移动口和电缆。 接入包括两种不同的体系结构选项:客户机启动或启动连接。利用客 户机启动接入,用户建立一条从他们跨越业务提供者共享网络的客户机到企业网 络的加密隧道。利用这个体系结构,企业可对开启隧道的客户机软件进行管 理。华中科技大学硕士学位论文 另一个接入的替换体系结构是从开启隧道。在这个方案中,远程用户 通过本地或长途免费号码拨入本地业务提供者的,业务提供者按顺序开启到企业 网络的安全加密隧道。利用启动的体系结构,业务提供者对到企业网络的用户 进行认证。与此同时,企业保留对自己网络安全策略,认证用户,定义用户授权优先 权和计费等方面的控制。 接入可使企业将他们的拨号或其它宽带远程连接托管给,但不托管他 们的安全策略。 ~如,公司拥有 .?,一一链接一个公司的总部与远地分支机构 整个网络的每个端点源点和终点, . 一链接本公司的伙伴单位、供应商、顾客、投资者等。大家共享 和分配信息,范围可能覆盖全球。 . 关键技术 实现的关键技术主要有项【】隧道技术蛐、加密解密技术 &、密钥管理技术 和使用者与设备身份认证 技术。 ..安全隧道技术 隧道技术是技术的基础,它是一种封装技术,用一种信息传输协议将其它 协议产生的数据封装在自己的报文中,然后在网络中传输。目前最为流行的 隧道技术 主要包括、和。由于可以在不同的协议层上实现,所以按协 议层的不同,可以将的实现分为以下几种不同的方式: 第二层隧道协议在数据链路层实现,先把各种网络协议封装到中,再把 整个数据包封装入隧道协议中。第二层隧道协议有、、、等。 第三层隧道协议在网络层实现,把各种网络协议直接封装到隧道协议中,形 成的数据包依靠第三层协议进行传输。第三层隧道协议有、等。 】.华中科技大学硕士学位论文 的开放协议结合了甲协议和协议的优点,特别适合于组 建远程接入方式的,已经成为事实上的工业标准【。 拓朴结构主要由 和 构成, 使得协议终点延伸到上。可以是任何一台支持协议的网络 设备,如路由器、网络主机。允许把真正的包的处理与二层链路的终点分开 的一 个明显好处是不要示二层连接终结在处,连接有可能在本地的电路集中器处 终 结,而本地的电路集中器再在帧中继电路或网等共享的基础设施上把逻辑加 以延伸。图.描述了典型的情形。 图 实现的网络拓朴结构图 工作过程 是基于连接的协议,建立一条连接包括以下两个步骤 建立一条隧道的控制连接; 建立入流/出流呼叫请求触发的一个会话 。 .华中科技大学硕士学位论文 的安全体系结构 安全结构由身份认证报头、负载安全封装和安全密钥管理协议 三个基本部分组成,各协议之间的关系如图.所示。 图 体系结构 曲为口数据包提供无连接的数据完整性和数据源身份认证,同时具有防重 放攻击的能力。数据完整性校验通过认证码如产生的校验值来保证;数据 源身份认证通过在待认证的数据中接入一个共享密钥来实现;报中序列号可 以防 止重放攻击。 ”为坤数据包提供数据的保密性、无连接的数据完整性、数据源身份认证 以及防重放攻击保护。与相比,数据保密性是的新增功能,数据源身份认证、 数据完整性检验以及重放保护都是可以实现的。 和可以单独使用,也可以配合使用。通过这些组合方式,可以在两 台主机、两台安全网关或者主机与安全网关之间配置多种灵活的安全机制。 】解释域将所有的协议捆绑在一起,是安全参数的主要数 据。华中科技大学硕士学位论文 密钥管理包括协议和安全联盟等部分。在通信系统之间建立 安全联盟,提供密钥确定、密钥管理机制,是一个产生和交换密钥材料并协调 参数的框架。将密钥协商的结果保留在中,供和通信时使用。 有两种腰包封装格式:传输模式和隧道模式。前者主要用于隧道终点是主 机的场合,而当隧道终点是网关环境时则采用后者。图是一个典型的 隧道模式示意图。首先发信端路由器会接收到一 个需要发送的数据包,路由器查询安全数据策略引擎并找到安全策略入:, 然后再查询安全数据库获得安全联盟;如果发现没有有效的,则 触发因特网密钥交换进程,对没有的安全策略建立新的,存入通信双 方网关的中;在得到的详细信息后,进程根据这个,给数据包加 上或头数据包经过加密,增加序列号字段防止重播攻击;通常 用的是隧道模式,所以需要加上一个额外的头;此时路由器可以发送这个安 全的 数据包了。 图.隧道模式 华中科技大学硕士学位论文 当收信端路由器收到这个数据包时,首先剥去额外的头并利用数据包的 或口头调用进行;:层从或头摘录出安全策略索引,从 被封装的口头中获取源和目的地址及协议;然后进程用以上的参数从中 取出所需的并根据或定义的规则对该包进行处理;通过验证与该包对应 的安全策略,决定处理方法是否正确,安全策略是通过中的指针或利用选 择符查询获得的;如果验证正确,那么加密并把这个包转发到真正的目的主 机。 . 的工作原理 的具体工作过程,简单来说主要包括以下个步骤【】: 在的控制下,根据传统路由协议和等为有业务需求 的转发等价类建立路由表和标签映射表。 接收分组,完成第三层功能,判定分组所属的转发等价类,并给分组? 上标签形成分组。 此后,在构成的网络中,对标签分组不再进行任何第三层处理,只 是依据分组上的标签转发表通过交换单元对其进行转发。 在出口的路由器上,将分组中的标签去掉后继续进行转发。 的技术实现 的解决方案目前主要有虚拟路由方案和/ 方案两种。 / 是所倡导的一种基于网络 ,能够为运营商提供一种 易于管理、扩展性好、高可用性、配置灵活、有保障、任意节点间互联、具 有 与/虚电路的相同安全级别的。 图给出了/ 的连接模型【】。 从图?可以看出,路由器位于网络的核心。它们与服务提供者 边缘路由器使用路由协议内部网关协议来建立核心网络中的路径, 并且使用实现路由器之间的标记分发。路由器并不使用协议而且对 一无所知,它们使用普通的协议。使用与核心网络通信,同 时使用路由技术与用户边缘路由器通信。将计算得到的路径映射华中科技大学硕士学位论文 到它们的路由表中,以便把从收到的分组转发到正确的上。不必实现 ,对也没有任何了解。之间使用多协议进行通信,完成标签的交 换和每一个策略。图中的处于同一自治域中,它们之间使用内部 协议。这一方案使用两级标签:内部标签用于对各个的识别,外 部标签则为网络中的所用??它们将使用这些标签把分组转发给正确的 :。 图 / 用户模型 ..加密解密技术 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使 非受权者不能了解被保护信息的内容【。加解密技术是数据通信中一项较成熟的技 术,可直接利用现有技术。华中科技大学硕士学位论文 在应用中还需注意加密算法与系统/连接状态的相关性,若算法本身与状态 相关,而却使用无连接的协议实现,则底层协议数据包的乱序或丢失都将导致 算法的失败。 加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层 中的加密标准是。网络层加密实现的最安全方法是在主机的端到端进行。另一 个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这 种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。 终端到终端的加密方案中,安全粒度达到个人终端系统的标准;而“隧道模式” 方案,安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因 此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。 采用何种加密技术依赖于服务器的类型,因此可分为两种情况【“: 对于服务器,将采用加密技术可以支持位密钥的标准加 密方案和位密钥的增强加密方案。只有在.、.或 身份验证被协商之后,数据才由进行加密,需要这些类型的身份验证 生成的公用客户和服务器密钥。 对于服务器,将使用机制对数据进行加密是基于密码学的保 护服务和安全协议的套件。对使用协议的连接提供机器级身份验 证和数据加密。在保护密码和数据的连接建立之前,在计算机及其远程 服务器之间进行协商。可用的加密包括位密钥的数据加密标准 和位密钥的三倍。 中的加密技术需要与隧道技术一起使用,因此需要在隧道机制中提供对多种 加密算法的支持以及对使用的加密机制的协商功能。不同的加密算法有不同的效率和 安全性能,用户需要根据实际应用的特点灵活选用。而对于每种采用的加密算法,还 需要确定其使用的算法模式、密钥长度等信息。对于具体的加密过程,需要考虑对原 始数据流的格式化、加密运算操作以及加密数据块.密文数据包的影射机制。在算法 的具体实现过程中需要考虑与状态的相关性问题。 对于采用协议的网络,其加密和解密在和内存上的开销势必影华中科技大学硕士学位论文 响原来的网络传输速度【”】。一般应用了协议后,网络传输速度均会有不同程度 的下降,其中采用加密比单用的影响更大。因此建议解决这一问题的办法是 采用硬件加密卡,将加密、解密、密钥管理等与密码相关的工作都交由硬件加密卡进 行,这样可以极大地提高加解密速度,提高设备的性能。 ..密钥管理技术 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配 置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难, 只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网 络的情况且密钥可快速更新,可以显著提高的安全性。目前主要的密钥交换与 管理标准有 ,互联网密钥交换、互联网简单密 钥管理和,目前使用最多的是协议,以下以协议为主进行分析。 协议利用认证和加密机制,以及特有的密钥材料生成与共享密钥协商技术, 。它主要包括三个功 能够动态地为协商建立和维护 能: .对使用的协议、加密算法和密钥进行协商。 .方便的密钥交换机制这可能需要周期性的进行。 .跟踪对以上这些约定的实施。 ..身份认证技术 用户身份认证技术是相对比较成熟的一类技术,是在正式的隧道连接开始之前进 行对用户身份的确认,以便系统时进一步实施相应的资源访问控制和用户授权。在实 际的网络中,一般利用以下几种方法进行身份验证:。是通过使用 . ,信息?摘要算法来协商的一种加密身份验证的安全 形式。在响应时使用质询一响应机制和单向散列。用这种方法,要以向 服务器证明客户机知道密码,但不必实际地将密码发送到网络上。 华中科技大学硕士学位论文 ..。同相似,微软开发.是为了对远程工 作站进行身份验证。它在响应时使用质询一响应机制和单向加密,而且?不 要求使用原文或可逆加密解码。 .. 。这是微软开发的第二版的质询握手身份验证协议,它提供了 相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密 钥。如果 作为唯一的身份验证方法,那么客户端和服务器 将连接配置为用. 端都要证明其身份的验证,以确定连接是否被断开。 . 。其开发是为了适应使用其它安全设备 的远程访问用户进行身份验证的需求。通过使用,可以增加对许多身份验证 方案 的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书 及其它身 份验证。对于来说,使用可以防止暴力或词典攻击及密码猜测,提供比其 它身份验证方法例如更高安全性。 在系统中,对于采用智能卡进行的身份验证,将采用验证方法; 对于通过密码进行的身份验证,一般采用、.或. 进行验 证的方法。 . 网络的技术优势 兼具了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能 与专用网的灵活、高效结合在一起。其技术优势主要表现在: .容易扩展 如果企业想扩大 的容量和覆盖范围。企业需做的事情很少,而且能立时 实现:企业只需与新的签约,建立帐户;或与原有的重签合约,扩大服务范 围。在远程办公室增加能力也很简单:几条命令就可以使路由器拥有 和的能力,路由器还能对工作站自动进行配置。 的易扩展性可以对企业组织结构的变化和市场需求做出迅速响应。例如, 一个公司可以在几天之内完成十几个分支结构与其网络的连接,并且增加对 上千个移华中科技大学硕士学位论文 动用户的支持,相比较起来,如果要安装租用线或帧中继电路,则需要用几个 星期甚 至几个月来完成。企业利用 可以很容易地连接到其国际分支机构,避免了帧 中继电路引起的延迟。 .可随意与合作伙伴联网 在过去,企业如果想与合作伙伴联网,双方的信息技术部门就必须协商如何 在双 方之间建立租用线路或帧中继线路,有了 之后,这种协商也毫无必要,真正 达到了要连就连、要断就断。 .完全控制主动权 使企业可以利用的设施和服务,同时又完全掌握着自己网络的控制 权。例如,企业可以把拨号访问交给去做,由自己负责用户的检验、访问权、 网络地址、安全性和网络变化管理等重要工作。 与专用网络的技术特点如表所示。 表专用网络与技术特点 专用网络 网络管理 用户直接监控,牵涉环节 牵涉环节多,安全管理不利, 少,管理成本高 管理成本低廉 伸缩性 改变、升级困难 伸缩性好,加入和断开便捷 投资总成本 高昂 便宜 可靠性 可靠 受公网性能限制 网络构造 难度高 容易 带宽利用 平时可能闲置。但在高峰时 较好的平均利用率 期可能发生阻塞 移动接入 设备复杂,难度大 公用设备、难度小 . 网络安全性分析 由于是从公网上传输私有信息,的安全性对用户来说就显得十分重要。在 数据传输过程中,用户和他的服务器之间可以协商数据加密传输。加密之后, 即使是的也无法看到数据包的内容。而且用户如不对其数据加密,用户和 服务器建立的“隧道”两侧也可以协商加密传输,使得上的其它用户无法 华中科技大学硕士学位论文 看到“隧道”中传输的数据信息。加密和用户授权双保险为用户在公网上进行通信提供 了安全保证,因此技术的安全性是完全可以放心的。这里仅对和 两种协议的安全性进行进一步的分析。 ..安全的和 对采用的用户,在管理上沿用的用户数据库,可把其中的某些 用户组别设定为可接受接入【。其中用于加密的密钥根本不经线上传送,因而 普通人是无法将位、位或加密的密钥推算出来的。因此通过传输信 息是有安全保障的。在对付网络黑客攻击方面,路由器可将非用户名单 上的人员从连线闸道上排除,这样黑客便无法进行攻击了。 在中使用的安全性能较更高,因为是根据“协议的安全 结构”的安全机制和服务管理技术标准建立的【“,目的就是用来填补目前在安全 方面的空白。能够防止利用口进行欺骗和对攻击,可以满足用户严格的 安全要求。从结构图中可以看出,安全结构是协议的主要部分【】,三个安 全子协议在通信系统之间建立了一整套安全机制。认证包头是用于对 数据包进行完整性认证的手段,它验证数据的来源,包括主机、用户、网络等,从而 确保数据包的内容不会被篡改。设计了密钥确定协议 来实施密钥管理功能。密钥确定协议起到产生和交换 密钥材料并且协调参数的作用。是最高级别的安全协议。 .. 和比较 这两种协议都具有较高的安全性,但稍有差异。在具体实现过程中,两种协议的 复杂程度不同。的设计人员必须针对客户需求的特点决定使用哪种协议。 以下从三个方面对两种协议进行对比。 和最初推出的目的不同。的目的是让使用桌面系统 的用户通过拨号远程接入与另一台入网的计算机之间传输数据。后来被使用到 技术中。在设计时就是为了在网络上建立一条数据传输的安全隧道。 和的加密方法不同。所选用的加密协议为点到点加 华中科技大学硕士学位论文 密方案,是基于标准的,它支持位或位加密算法, 与中的位三重数据加密标准相比,安全性方面略逊一筹。 中的加密算法将密钥管理与对.认证、信息集成和内容安全性的支持结合在一起, 还提供了逐包加密与验证功能。 呼和的接入方法不同。协议通过使用户拨号进入本地提供的 服务器并利用隧道方式接入到企业网络中。对一般企业来说,从平台 、、和使用,就可以实现的无缝建立。这 支持 种接入方式简便易行。使用远程接入时,需要在每个使用者的桌面系统上安装 专用的客户软件。这种专用软件的设置比较复杂,并要进行日常维护。另外, 可以通过路由器建立连接两个专用网络的路由器对路由器的连接。 . 网络的经济性分析 对于网络的经济性,可以从用户和通信运营商两个方面来分析。以东莞地 区目前可以提供的/业务、专线业务和 业务为例进行分析统 一以租用速率端口计算。为了计算简便,不计算通信机房等沉没成本、关 联业务的机会成本以及客户端设备的费用和支出。 .. 用户的经济性分析 根据广东省物价局核准的通信业务资费,对于/业务,其业务资费包括一 次性费用和月租费两个方面。其一次性费用包括安装调测费含工料费元/端 口通达国内或通达国际端:安装调测费元/端口含国内段费用。由于 /的单个接入接口速率最大为,所以如果需要的总速率,则需 要租用个的端口。单个端口的月租费为元本地营业区内、 元本地营业区间或元国内长途。由于东莞地区专线组网客户使用 的都是本地营业区间的业务类型,故/用户的月租费以元计。 另外,为保障客户通信维护水平,每个端口每月还收取元的代维费,即共收取 代 维费元/月。华中科技大学硕士学位论文 对于业务,其业务资费也包括一次性费用和月租费两个方面。其一次性费 用包括含工料费元/端和调测费元/端口。速率的端口的月租 费为元,另每个端每月还收取元的代维费。 至于 业务,其业务资费也包括一次性费用和月租费两个方面。其一次性 费用包括含安装调测费元/端口。速率的端的月租费为 元,另每个端每月还收取元的代维费。 从以上数据可以看出,对于这三种业务,一次性费用相差较小,最大的差距在 月 租费方面未计算因市场竞争而采取的价格打折的情况。同样使用速率的 技术来组建企业专网,使用/业务,则每年需要支出万元通信月租费;使 业务,则只需要. 用业务,则每年需支出万元通信月租费;而使用 网络来组 万元通信月租费。因此对于通信用户来说,使用通信运营商提供的 建企业专网是一个较好的选择。 ..通信运营商的经济一眭分析 在年底,东莞电信监察审计部针对全市通信网络建设的投资效益问题做了 专题分析,并形成了年东莞市宽带网络投资效益审计报告》,在报告中对 /、和 网络的投资回收期进行了计算,现将部分内容摘录如下: 对于/网络,年扩容总端口为个,单项工程总投资. 元,网络承载层设备成本分摊为元,传输光缆成本分摊为元,管道资 源成本分摊为.元,即总建设成本为.元,每端建设成本为 .元。 对于/网络的维护,每年需要运营费元,维护人员工资元 以东莞电信平均工资计算,维护人员职工福利元,低值易耗品摊销 元,管理费用元,即维护总成本为元,平均每端每年维护成本为. 元。 在业务资费方面,用户在报装时每端口收取元的工料费和调测费,月租费 为元,代维费为元。按此数据计算,可以得出/网络端口的投 华中科技大学硕士学位论文 资静态回收期为个月。在实际网络运营过程中,网络建设端口要稍稍领先于业务发 展,即端口实装率一般控制在%左右,所以该项目的实际投资静态回收期为个月。 同理,至于 端口,一般是在速率的.端口上重新划分 ,年每端建设成本为.元,平均每端每年维护成本为.元,可 以得出网络端口的投资静态回收期为个月。在实际网络运营过程中,网 络建设端要稍稍领先于业务发展,即端实装率一般控制在%左右,所以该项目 的实际投资静态回收期为个月。 至于端,一般是在端口通过流量限制来实现的。年每端 建设成本为.元,平均每端每年维护成本为.元,可以得出 网络 端口的投资静态回收期为个月。在实际网络运营过程中,网络建设端口要稍稍 领先于业务发展,即端实装率一般控制在%左右,所以该项耳的实际投资静态回 收期为个月。 从以上的分析可以看出,对于通信运营商而言,虽然/的静态回收期比 的静态回收期要短,但从投资效益来讲,静态回收期低于年的项目都属于具有 良好经济效益的,何况三者中最长的静态回收期才是个月,因此这三种网络都是值 得通信运营商大力发展的。这也是数据业务成为各个通信运营商的竞争焦点的最主要 的原因。 .本章小结 本章主要对网络的基础理论进行了介绍,是一种建立在公共网络设施 上的虚拟网络,它可以提供安全的、专用的私有通道。实现网络有项关键技 术;安全隧道技术、加密解密技术、密钥管理技术和身份认证技术。 接着对网络的技术优势、安全性和经济性进行了分析,认为网络虽然 还存在一些需要改进的地方,但可以提供等同于删脓网络安全级别的通信服务, 基本满足连接,无连接数据传输过程中的机密性、完整性要求,可以保护传输的数据 免遭未授权的暴露或泄露及非法修改,它可以最小的代价采取预置、防范和对抗措旖 将风险加以控制至最小化,即系统可以形成相对安全的网络平台。并且网 络在技术上、安全上和经济上具有一定的优势。华中科技大学硕士学位论文 东莞电信业务的需求分析 本章以东莞电信为例,对业务和流量计费系统的需求进行分析。 .东莞地区数据通信需求特点 东莞地区的通信发展重点随着计算机技术和通信技术的发展,逐渐从语音业务转 移到数据业务上,东莞市邮电局自年开始向社会提供、.、等低 速专线技术组建企业专网,年东莞市成为国内首批个网络试点城市之一 另外三个城市为北京、广州和深圳,于年正式向社会提供业务。在 邮电分营之后,东莞市电信局于年开始组建城域网,当时主要用于提供国际 专线租用业务和作为上行支撑网络,直到年才逐渐开始向社会提供 业务。 东莞地区拥有众多的外资企业和“三来一补”企业,并且大部分是从事电子制造 业。随着企业规模的发展和企业对信息化的迫切需求,企业内部数据通信和对外数据 通信的数据量增长迅猛,原有的采用低速专线技术组建的企业专网已经无法满足通信 需要,因此迫切需要更高速、更安全、更经济的通信网络。 与此同时,不同企业的通信需求也是千差万别的,如金融行业专网对安全性、可 靠性要求非常高,但对成本要求却不高;而科教文卫行业专网则对安全性、可靠性要 求相对较低,但对成本要求却非常高。这就要求通信运营商去理解客户的需 求,细分 客户市场,为企业专网建设提供各种成套的综合组网解决方案,按照不同的专线、宽 带产品的技术和应用特点有的放矢地组合起来,为满足客户组网的复杂需求提供一揽 子总体解决方案。 经过东莞电信业务支持中心对所有专线用户的通信需求进行分析,总结东莞地区 客户的数据通信要求主要有以下几点: ,带宽:随着计算机技术的发展,用户间传送信息量与日俱增,尤其是多媒体 文件的容量越来越大,传输的实时速率要求也越来越高。华中科技大学硕士学位论文 .时延:时延为被测节点收到第一比特到发出第一比特的时间间隔,有些业务 需要收发双方应答确认重发,如果对延较大就会延缓传输时间,从而相当于带宽降低。 .误码率:信息在传递过程中有可能发生误码,如果误码率过高,则需要系统 不断重发,加大系统和网络负担,降低传输效率。 .稳定性:网络已经成为现代企业生产和管理的必备工具,一旦中断,将严重 影响生产和管理,影响客户对通信业务的使用信心。 .灵活性:通信发展是渐进式的,网络设备的发展又是开放式的,要求通信网 络能够兼容千差万别的类型的设备,并且可以根据用户需要灵活组建网络。 .可扩展性:由于业务发展快,网络扩容频繁,要求网络具有良好的可扩展性。 在端口速率上,不需要额外的加密运算,支持从到.的各种速率接口,能 够满足用户节点间高速、安全通信的需要;此外在用户节点数目上,可以进行 成员的 分配和管理,用户节点的数目不受限制,并可以实现任何节点与任何其他节 点问的直 接通信。 .保密性:信息不泄漏给非授权的用户、实体或过程,或供其利用的特性。 .完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保 持不被修改、不被破坏和丢失的特性。 .可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需 的信息。例如网络环境下拒绝报务、破坏网络和有关系统的正常运行等都属 于对可用 性的攻击。 .可控性:对信息的传播及内容具有控制能力。 东莞地区的通信用户的特点总结为: .通信节点众多,特别是单个用户和远程办公室站点多,例如企业用户、远程 教育用户; .通信节点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信, 甚至国际长途手段联系; .稳定性和可靠性高,企业生产和管理都依赖于通信网络,一旦中断,将造成 企业经济上的损失:华中科技大学硕士学位论文 .安全性高,对线路保密性和可用性有较高的要求 .带宽和时延要求相对适中。 .东莞地区业务发展现状 改革开放以来,东莞实施经济国际化战略,大力吸引外资,发展外向型经济。二 十年来,东莞的经济以平均每年%的增长率蓬勃发展,年全市生产总值. 亿元,全市现有工商注册登记企业户,其中内资企业户,外商投资企 业户,“三来”企业户,私营企业和个体户户截至年 月,摘自《东莞市统计局月月统计监测月报》四。是中国综合经济实力 强城市之一,成为中国经济发展最快的地区之一,形成了以制造业为主,以电子资讯 产业为支柱的外向型经济结构,是国际性的加工制造业基地和中国重要的外贸出口基 地。 经济的持续发展也促进了通信业务需求的发展,东莞地区的通信业务量自 年以来一直位居全国地级市的首位,也成为了各大通信运营商市场竞争的焦点,通信 新业务和新技术的发展也在全国处于领先地位。东莞地区于年向社会提供 接入服务,于年开始建设/网络,于年开始进行网络 建设试点,向社会重点客户提供业务和专线业务。经过东莞电信各部门 的共同努力,目前东莞地区已经建成了拥有个节点的覆盖全市的数据通信网络, 可以为用户提供各类接入业务和专网业务。到年底,东莞电信拥有宽带 用户超过万户,有/用户户,预计到年底,宽带用户将达到 万户摘自《东莞市分公司年通信网络发展滚动规划》。 由于东莞地区外向性经济的特点,全市拥有近.万的外资企业和“三来一补”企 业,因此商业客户在普通电话用户中占有较高的比重,但在数据业务方面,保障商业 客户通信安全的虚拟专用网业务却一直发展不理想,到年底只有个端 口,业务发展困难的主要原因是用户对虚拟专用网的了解不够,部分客户不知道可以 东莞电信可提供业务;许多商业客户和集团客户质疑网络的安全性和服务华中科技大学硕士学位论文 质量:并且东莞地区网络服务水平和技术水平也相对落后,无法根据客户的需 求制定满足的网络解决方案。 由于虚拟专用网是建立在公共网络基础上的,许多商业客户和集团客户不明白 在安全性方面的保障措施,因是由于虚拟专用网未能和公共网络物理隔离而质疑 网络的安全性,如《东莞市电子政府建设总体规划纲要》中明确规定“.?要建 立和网完全物理隔离的电子政务专用通信网络一,’【”。原来已有使用业 务意向的一些商业客户,或者继续使用/业务,导致通信成为阻碍企业进一步 发展的瓶颈/业务端最大速率为;或者自行组建专网,在物理上 和公网相隔离,如电子政府网络、公安系统网络、国税系统网络、地税系统网络、各 大银行系统网络、教育系统网络等,造成大量浪费管道资源和光纤资源,重复购买交 换设备,网络维护能力参差不齐,反而影响了通信网络的使用,影响了企业的进一步 发展。 .东莞地区业务发展趋势 从第二章中的分析可以看出,在技术上和经济上有较大的优势,在东莞地区 也有巨大的发展潜力,但目前业务在东莞发展得不理想,用户数和用户使用端 口数较少,客户对业务不理解、不信任。相信随着用户对技术了解的深入, 随着用户通信网对带宽、服务质量要求的提高,网络将会逐步取代现有的 /、网络和用户用裸光纤自行组建的网络。 总结制约的发展、普及的因素大致可分为客观因素和主观因素两方面。影 响业务发展的客观因素主要包括新技术在发展过程中的不成熟性、新技术的层 出不穷、技术人员对新技术掌握的熟练程度、不同技术间的合理组合等问题。 网络中的各种通信协议也正由组织对其不断完善,并且目前还没有在带宽、服 务质量、安全性、灵活性和可扩展性明显优于网络的通信技术,只要提高 网络从业人员的素质,加强培训和再教育,将会逐渐将这些客观因素的影响降到最低。 影响业务发展的主观因素主要包括用户的网络安全不信任感和应用局限性华中科技大学硕士学位论文 方面。虽然网络上还存在着个别黑客攻击事件,但只要在网络规划、建设和管理过程 中加强安全意识和防范意识,许多信息泄露、更改等事件是可以避免的,并且 网络本身在安全性方面已做了加强,全力保障用户数据的安全性。至于应用的局限性, 只要企事业加大计算机应用系统的开发与应用力度,真正利用科技手段来提高生产率 和管理效率,将单位的生产和管理工作全部和计算机网络联系起来,才会有真正 的用武之地。 自年底,东莞地区一些新兴通信运营商纷纷出租裸光纤给客户,由客户自 行组建和维护数据通信网,结果由于维护水平不够而导致通信网络影响了企事业单位 的正常生产和管理,许多客户只能向东莞电信分公司求援,要求协助解决数据通信网 络故障维护问题。年初,东莞电信决定加大业务的推介力度,提高现有网 络资源的利用率,成立了专门的工作小组,针对客户需求进行分析,制定合理的网络 解决方案。经过工作组成员的共同努力,到年月日,网络用户端口 增至个,预计到年底将达到个端口,预计到年底将达到个, 业务在东莞地区将进入市场快速增长期,有利于业务的进一步普及。 .流量计费需求分析 业务原来的计费方式比较简单,采用包月制为计费方式。但在年月 东莞市教育局的网络投入使用后,部分教师质疑网络收费的合理性,认为有些 客户申请了网络后实际使用率不高,包月制意味着用与不用都要交钱,而且用 多用少的费用都是一样,这将打消一部分用户使用网络的热情,因此客户要求 提供更加合理、公平的业务计费方式。 根据客户的要求,项目组针对业务收费方式进行了专题讨论,认真分析了各种 网络计费方式的优缺点。由于用户对网络的需求不同,有些用户上网仅仅是浏览新闻, 收发邮件,上网的时间较短,对网络的带宽占用率也很低。而有些用户则上网看视频, 玩网络游戏,或是大量下载视频文件和数据文件,上网的时间长,对网络资源的占用 率也高。单一的不受限的上网方式使得一些用户滥用网络资源,将直接导致网络整体华中科技大学硕士学位论文 运行效率降低。如果单一的采用包月制,将阻碍用户数量的增长,并且由于收费方式 将直接涉及到用户的使用成本,往往也成为用户选择网络提供商的重要考虑内素。因 此,宽带计费管理系统应提供灵活而贴切的计费策略,以用户为中心,满足不同用户 的需求,进而全面提升服务质量,赢得用户弘。 现有的网络计费方式主要有包月制、按时长计费和按流量计费三种,三种计 费方式分别存在着以下的缺点: 包月制方式不符合中国通信使用客户的计费习惯,象程控交换用户一样,数据用 户只是占用了接入端的线路,对于骨干层网络只在进行数据传送时候才占用,因此在 用户不使用网络的时候,不应该收取费用。 按时长计费方式没有考虑到用户传送内容对区别,有些客户只是利用网络进行浏 览新闻和收发邮件,占用网络资源较少,而有些客户利用软件进行文件视频文件 传送,大量占用带宽和网络资源,因此,也存在一些不合理性。 按流量计费方式没有考虑到网络服务质量问题,在用户下载过程中,可能由于网 络拥塞的原因导致大量的数据重发工作,增加用户发送和接收的数据流量, 导致费用 的上升。并且用户无法自主控制和掌握传送的数据流量。 等提出了基于流量控制的 针对上述三种计费方式的缺陷,计费系鲥捌,但它没有考虑服务质量,不能提供多级服务; 等提出了采用多级服务、渐进优化和需求代理的静态计费系统儿,但只是给出了计费 方式的理论描述,没有涉及具体的实现方式。 为了真正地体现多用多交费、少用少交费、不用免交费的计费系统,项目组采用 依据服务级、带宽需求和呼叫时长相结合的计费服务,在网络发生拥塞和服 务质量下降的时候,能够适当地减少用户的网络使用费。 .本章小结 本章主要对东莞地区的网络需求和流量计费系统的需求进行了分析,东莞 地区的业务需求是旺盛的,在不久的将来将会逐渐取代现有的/、华中科技大学硕士学位论文 和裸光纤自行组建的口网络,因此网络在东莞地区有着美好的未来。 在网络计费方面,现有的几种网络计费方式均存在着一定的缺陷,有必 要开发一套综合服务级别、服务质量、数据流量的计费系统,提高计费的合理性,以 便更好地普及业务。华中科技大学硕士学位论文 网络设计与实现 针对用户需求,下面结合东莞地区口城域网的现状,对网络方案设计和具 体实现方案进行讨论。 东莞电信本地城域网经过年来的建设和优化,目前网络主要分为核心骨干 层和边缘接入层两层结构。核心骨干层由台 系列高端路由器、 和台 设备组成由原来的交换式城域网 台 升级为路由式城域网,实现路由器功能,即根据 的二层标签实现 数据包的快速转发。边缘接入层由台 系统和台 构成设备,与核心骨干层设备进行连接,同时与客户端设 备做普通的连接。 目前东莞电信口城域网网络结构拓朴图如图.所示。 经过东莞电信客户响应部门的统计,目前东莞地区业务客户的典型应用主 要有以下种摘自广东省电信有限公司东莞市分公司《年月东莞地区数据通 信业务统计分析》: .典型应用一星形拓扑 公司总部各地分支机构 分支机构主要访问公司总部 分支机构间需经过总部彼此互访 .典型应用二全网状拓扑 公司总部各地分支机构 分支机构间互访需求较大 分支机构间直接彼此访问 .典型应用三/因特网访问 在以上一、二情况下,公司总部同时需要因特网访问。 .典型应用四国际/业务华中科技大学硕士学位论文 境内:地区性总部、分支机构 境外:总部、地区性总部、分支机构 境内、境外互访 图东莞电信本地口城域网网络拓朴结构示意图华中科技大学硕士学位论文 .路由协议和地址的规划 为保证网络的正确连通,在网络设计中首先要进行路由协议的规划和地址的 规划 工作。 ..路由协议的规划 路由协议在网络中的应用分为三个层面:骨干层域即通信运营商 网络,包括所有和、与互连、以下网络。作为通信运营商主要关心 前面两个层面。 .骨干层域需要内部网关协泌与.多协议扩展边界网 关协议相结合使用捌,同时运行这两种协议。协议的作用是保证?邻居 各、之间的可达性,要求网络中使用的必须是链路状态协议 或.协议,本城域网阿部采用?。.的主要作用是通过其扩展 属性完成各间的路由和路由标签在通信运营商网中的传递和分发,不 能用其它的协议来代替。 .和互联可以采用