摘要端口隔離技術(shù)在ISP寬帶接入中已發(fā)揮重要作用，而在園區(qū)網(wǎng)中應(yīng)用還不多，由于網(wǎng)絡(luò)中病毒增多、危害加大，端口隔離技術(shù)越來(lái)越受到技術(shù)人員的重視。本文詳細(xì)介紹了端口隔離技術(shù)的概況，端口隔離技術(shù)在不同廠商、不同層次交換機(jī)上不同的實(shí)現(xiàn)，具體分析和舉例端口隔離技術(shù)在園區(qū)網(wǎng)中的規(guī)劃、實(shí)施和應(yīng)用。

關(guān)鍵詞端口隔離；交換機(jī)

1引言

在小區(qū)寬帶接入環(huán)境中，個(gè)別計(jì)算機(jī)中毒發(fā)包、廣播對(duì)其它接入計(jì)算機(jī)都有影響，也會(huì)占用帶寬，所以ISP在其接入交換機(jī)上早就實(shí)施了端口隔離技術(shù)，隔離技術(shù)對(duì)網(wǎng)絡(luò)靜化、安全和病毒隔離都有相當(dāng)良好的作用，應(yīng)用普遍。而在園區(qū)網(wǎng)中由于端口隔離實(shí)現(xiàn)在端口之間二、三層隔離，會(huì)對(duì)一些應(yīng)用帶來(lái)不便，所以應(yīng)用并不是很多。但是隨著網(wǎng)絡(luò)中病毒增多、危害加大，新的難以對(duì)付、傳播速度又快病毒出現(xiàn)的情況下，端口隔離技術(shù)在園區(qū)網(wǎng)中應(yīng)用會(huì)越來(lái)越多，下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機(jī)上的實(shí)現(xiàn)和舉例說(shuō)明在園區(qū)網(wǎng)中的應(yīng)用。

2端口隔離技術(shù)綜述

端口隔離技術(shù)是一種實(shí)現(xiàn)在客戶端的端口間的足夠的隔離度以保證一個(gè)客戶端不會(huì)收到另外一個(gè)客戶端的流量的技術(shù)。通過(guò)端口隔離技術(shù)，用戶可以將需要進(jìn)行控制的端口加入到一個(gè)隔離組中，實(shí)現(xiàn)隔離組中的端口之間二層、三層數(shù)據(jù)的隔離，既增強(qiáng)了網(wǎng)絡(luò)的安全性，也為用戶提供了靈活的組網(wǎng)方案。使用隔離技術(shù)后隔離端口之間就不會(huì)產(chǎn)生單播、廣播和組播，病毒就不會(huì)在隔離計(jì)算機(jī)之間傳播，尤其對(duì)頭痛的ARP病毒效果明顯。

摘要端口隔離技術(shù)在ISP寬帶接入中已發(fā)揮重要作用，而在園區(qū)網(wǎng)中應(yīng)用還不多，由于網(wǎng)絡(luò)中病毒增多、危害加大，端口隔離技術(shù)越來(lái)越受到技術(shù)人員的重視。本文詳細(xì)介紹了端口隔離技術(shù)的概況，端口隔離技術(shù)在不同廠商、不同層次交換機(jī)上不同的實(shí)現(xiàn)，具體分析和舉例端口隔離技術(shù)在園區(qū)網(wǎng)中的規(guī)劃、實(shí)施和應(yīng)用。

關(guān)鍵詞端口隔離；交換機(jī)

1引言

在小區(qū)寬帶接入環(huán)境中，個(gè)別計(jì)算機(jī)中毒發(fā)包、廣播對(duì)其它接入計(jì)算機(jī)都有影響，也會(huì)占用帶寬，所以ISP在其接入交換機(jī)上早就實(shí)施了端口隔離技術(shù)，隔離技術(shù)對(duì)網(wǎng)絡(luò)靜化、安全和病毒隔離都有相當(dāng)良好的作用，應(yīng)用普遍。而在園區(qū)網(wǎng)中由于端口隔離實(shí)現(xiàn)在端口之間二、三層隔離，會(huì)對(duì)一些應(yīng)用帶來(lái)不便，所以應(yīng)用并不是很多。但是隨著網(wǎng)絡(luò)中病毒增多、危害加大，新的難以對(duì)付、傳播速度又快病毒出現(xiàn)的情況下，端口隔離技術(shù)在園區(qū)網(wǎng)中應(yīng)用會(huì)越來(lái)越多，下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機(jī)上的實(shí)現(xiàn)和舉例說(shuō)明在園區(qū)網(wǎng)中的應(yīng)用。

2端口隔離技術(shù)綜述

端口隔離技術(shù)是一種實(shí)現(xiàn)在客戶端的端口間的足夠的隔離度以保證一個(gè)客戶端不會(huì)收到另外一個(gè)客戶端的流量的技術(shù)。通過(guò)端口隔離技術(shù)，用戶可以將需要進(jìn)行控制的端口加入到一個(gè)隔離組中，實(shí)現(xiàn)隔離組中的端口之間二層、三層數(shù)據(jù)的隔離，既增強(qiáng)了網(wǎng)絡(luò)的安全性，也為用戶提供了靈活的組網(wǎng)方案。使用隔離技術(shù)后隔離端口之間就不會(huì)產(chǎn)生單播、廣播和組播，病毒就不會(huì)在隔離計(jì)算機(jī)之間傳播，尤其對(duì)頭痛的ARP病毒效果明顯。

摘要端口隔離技術(shù)在ISP寬帶接入中已發(fā)揮重要作用，而在園區(qū)網(wǎng)中應(yīng)用還不多，由于網(wǎng)絡(luò)中病毒增多、危害加大，端口隔離技術(shù)越來(lái)越受到技術(shù)人員的重視。本文詳細(xì)介紹了端口隔離技術(shù)的概況，端口隔離技術(shù)在不同廠商、不同層次交換機(jī)上不同的實(shí)現(xiàn)，具體分析和舉例端口隔離技術(shù)在園區(qū)網(wǎng)中的規(guī)劃、實(shí)施和應(yīng)用。

關(guān)鍵詞端口隔離；交換機(jī)

1引言

在小區(qū)寬帶接入環(huán)境中，個(gè)別計(jì)算機(jī)中毒發(fā)包、廣播對(duì)其它接入計(jì)算機(jī)都有影響，也會(huì)占用帶寬，所以ISP在其接入交換機(jī)上早就實(shí)施了端口隔離技術(shù)，隔離技術(shù)對(duì)網(wǎng)絡(luò)靜化、安全和病毒隔離都有相當(dāng)良好的作用，應(yīng)用普遍。而在園區(qū)網(wǎng)中由于端口隔離實(shí)現(xiàn)在端口之間二、三層隔離，會(huì)對(duì)一些應(yīng)用帶來(lái)不便，所以應(yīng)用并不是很多。但是隨著網(wǎng)絡(luò)中病毒增多、危害加大，新的難以對(duì)付、傳播速度又快病毒出現(xiàn)的情況下，端口隔離技術(shù)在園區(qū)網(wǎng)中應(yīng)用會(huì)越來(lái)越多，下面我們從端口隔離的原理、在H3C、D-LINK、港灣和CISCO不同廠商交換機(jī)上的實(shí)現(xiàn)和舉例說(shuō)明在園區(qū)網(wǎng)中的應(yīng)用。

2端口隔離技術(shù)綜述

端口隔離技術(shù)是一種實(shí)現(xiàn)在客戶端的端口間的足夠的隔離度以保證一個(gè)客戶端不會(huì)收到另外一個(gè)客戶端的流量的技術(shù)。通過(guò)端口隔離技術(shù)，用戶可以將需要進(jìn)行控制的端口加入到一個(gè)隔離組中，實(shí)現(xiàn)隔離組中的端口之間二層、三層數(shù)據(jù)的隔離，既增強(qiáng)了網(wǎng)絡(luò)的安全性，也為用戶提供了靈活的組網(wǎng)方案。使用隔離技術(shù)后隔離端口之間就不會(huì)產(chǎn)生單播、廣播和組播，病毒就不會(huì)在隔離計(jì)算機(jī)之間傳播，尤其對(duì)頭痛的ARP病毒效果明顯。

1引言

數(shù)字電視多工器能夠?qū)⒍鄠€(gè)不同頻道的數(shù)字電視發(fā)射機(jī)發(fā)射的射頻信號(hào)轉(zhuǎn)化為組合信號(hào)，并通過(guò)一個(gè)寬頻天饋系統(tǒng)發(fā)射出去，這樣無(wú)需增加額外的天線，減少了廣播電視塔的占地空間，降低了發(fā)射系統(tǒng)建設(shè)投資的費(fèi)用。在技術(shù)方面，多工器系統(tǒng)具有良好的電氣、機(jī)械性能，各頻道信號(hào)之間互不干擾，各端口之間有較高的隔離度，后期的調(diào)試維護(hù)成本低，因此其應(yīng)用范圍很廣。隨著地面數(shù)字廣播電視技術(shù)的發(fā)展及普及，數(shù)字電視多工器在無(wú)線廣播電視領(lǐng)域得到了日益廣泛的應(yīng)用。

2數(shù)字電視多工器的工作原理

地面廣播電視發(fā)射系統(tǒng)所使用的數(shù)字電視多工器通常都是以橋式雙工器為基本單元，經(jīng)級(jí)聯(lián)后，組合成數(shù)字電視多工器。2.1橋式雙工器的基本構(gòu)成和原理。下面以橋式雙工器的實(shí)現(xiàn)原理為例，分析多工器的工作原理。橋式雙工器結(jié)構(gòu)組成示意圖如圖1所示。橋式雙工器由兩個(gè)中心頻率不同的3dB定向耦合器（3dB1、3dB2）和兩個(gè)帶通濾波器（BPF1、BPF2）連接構(gòu)成。其工作原理是：數(shù)字電視發(fā)射機(jī)射頻信號(hào)f1經(jīng)A1端口輸入，經(jīng)定向耦合器3dB1分別在B1、D1端口形成功率各一半的輸出信號(hào)，其中，B1端口與A1端口同相位，D1端口經(jīng)λ/4，滯后B1端口90°，兩路信號(hào)分別通過(guò)帶通濾波器（BPF1和BPF2）輸出到定向耦合器3dB2的B2和D2端口，由于C2端口與D2端口同相位，C2端口經(jīng)λ/4，滯后B2端口90°，兩路信號(hào)在C2端口同相位合成，輸出滯后90°的信號(hào)f1。由于B2與A2同相位，A2滯后D2信號(hào)90°，兩路信號(hào)在A2端口相位相差180°，f1信號(hào)經(jīng)定向耦合器（3dB2）在A2端口沒(méi)有輸出。f1信號(hào)經(jīng)3dB1端口A1輸入，輸出兩路信號(hào)相差90°，在C1端口形成反向180°的信號(hào)，相互抵消，在C1端口無(wú)輸出。數(shù)字電視發(fā)射機(jī)射頻信號(hào)f2經(jīng)A2端口輸入，經(jīng)定向耦合器3dB2端口B2、D2輸出相位差90°信號(hào)，經(jīng)帶通濾波器（BPF1和BPF2）全反射，再經(jīng)定向耦合器3dB2后，在C2端口合成輸出滯后90°的信號(hào)f2；在A2端口形成反向180°信號(hào)相抵消，無(wú)輸出。自此，兩部數(shù)字電視發(fā)射機(jī)輸出信號(hào)f1和f2在C2端口合成輸出f1+f2。實(shí)際上，兩個(gè)濾波器并不能完全反射f2信號(hào)，會(huì)有一小部分信號(hào)泄漏到3dB1的B1和D1端，通常在C1端加入50Ω吸收負(fù)載進(jìn)行吸收，不會(huì)傳到A1端口，對(duì)f1進(jìn)行串?dāng)_。2.2帶通濾波器的原理與調(diào)試。帶通濾波器是對(duì)輸入信號(hào)的頻率具有選擇性的一個(gè)二端口網(wǎng)絡(luò)，它允許某些頻率范圍的信號(hào)通過(guò)，而其他頻率的信號(hào)幅值均要受到衰減或抑制。帶通濾波器由RLC元件或RC元件構(gòu)成，一般由低通濾波器和高通濾波器組合而成，如圖2所示。帶通濾波器的上限截止頻率是低通濾波器的上限截止頻率，帶通濾波器的下限截止頻率是高通濾波器的下限截止頻率，即它可以濾掉低端頻率，又可以濾掉高端頻率，只讓指定頻率通過(guò)。用于廣播發(fā)射系統(tǒng)的帶通濾波器通常是腔體濾波器，它能夠滿足發(fā)射系統(tǒng)大功率容量的需求，帶通濾波器分為傳統(tǒng)級(jí)聯(lián)濾波器和交叉耦合濾波器。傳統(tǒng)級(jí)聯(lián)濾波器各諧振腔體通過(guò)耦合結(jié)構(gòu)首尾相連，腔體個(gè)數(shù)越多，越容易滿足性能要求，其缺點(diǎn)是插入損耗的帶外抑制度平緩，這樣會(huì)導(dǎo)致相鄰頻道間產(chǎn)生干擾；交叉耦合濾波器的諧振單元，除首尾各連接一個(gè)諧振腔外，側(cè)壁往往通過(guò)耦合結(jié)構(gòu)連接其余諧振單元。交叉耦合濾波器可用更少的諧振單元實(shí)現(xiàn)相同的目標(biāo)，其缺點(diǎn)是調(diào)試過(guò)程較復(fù)雜。數(shù)字廣播電視帶通濾波器通常采用交叉耦合濾波器，其關(guān)鍵是要調(diào)節(jié)腔內(nèi)部諧振柱導(dǎo)體的長(zhǎng)度，也就是通過(guò)改變耦合電容的大小，來(lái)調(diào)整腔體的諧振頻率，使其與輸入頻率相同，并滿足帶寬要求。三腔帶通濾波器結(jié)構(gòu)示意圖如圖3所示。數(shù)字腔體濾波器將激勵(lì)的方式改變?yōu)榭烧{(diào)結(jié)構(gòu)，例如通過(guò)設(shè)置可上下移動(dòng)、左右旋轉(zhuǎn)可調(diào)的耦合環(huán)，改變環(huán)形饋電激勵(lì)的耦合大小等。三腔帶通濾波器反射系數(shù)曲線調(diào)試過(guò)程圖如圖4所示，調(diào)試過(guò)程如下：首先微調(diào)環(huán)形饋電激勵(lì)的螺栓，改變耦合度大小和強(qiáng)度，使得反射曲線中出現(xiàn)明顯的三個(gè)極點(diǎn)，依次調(diào)節(jié)三個(gè)諧振柱的螺栓和微調(diào)諧振柱的螺栓，使反射曲線極點(diǎn)落于所需頻道中心，如圖4中的反射曲線1所示；此時(shí)再次調(diào)整環(huán)形饋電激勵(lì)的螺栓，改變耦合度大小和強(qiáng)度，使得三個(gè)極點(diǎn)向中心頻率靠攏逼近，再依次調(diào)節(jié)三個(gè)諧振柱的螺栓和微調(diào)諧振柱的螺栓，使極點(diǎn)再次落在頻道中心，如圖4中的反射曲線2所示；依次循環(huán)上述操作，直至頻道內(nèi)回波損耗指標(biāo)滿足要求，如圖4中的反射曲線3所示。由上述調(diào)試過(guò)程可知：此種三腔帶通濾波器調(diào)節(jié)方式既節(jié)約時(shí)間，又能夠較為準(zhǔn)確地得到反射曲線，且頻點(diǎn)偏移更小。2.3定向耦合器的調(diào)試。3dB定向耦合器作為橋式雙工器的基本結(jié)構(gòu)，其使用最為廣泛的是單節(jié)λ/4定向耦合器，單節(jié)λ/4寬邊定向耦合器結(jié)構(gòu)示意圖如圖5所示。其阻抗和頻帶帶寬都應(yīng)滿足整個(gè)發(fā)射系統(tǒng)的頻道要求，并且耦合端與直通端插入損耗的幅度和相位差應(yīng)整體保持在較小誤差范圍內(nèi)，帶外信號(hào)在端口反相相消的效果才會(huì)更好，各頻道之間的隔離度才會(huì)更高。3dB定向耦合器三種不同尺寸直通端和耦合端的插入損耗對(duì)比圖如圖6所示。由圖6可知：在所用調(diào)頻頻帶88~108MHz范圍內(nèi)，應(yīng)保證兩個(gè)端口插入損耗的差值越小越好。在圖6中，曲線3輸出兩端口的插入損耗差值過(guò)大，并且呈現(xiàn)上下脫離的趨勢(shì)，因此與理想指標(biāo)相差甚遠(yuǎn)；曲線2在頻帶兩端頻點(diǎn)能夠達(dá)到零差值，但是頻帶中心范圍插損差值較大；曲線1雖然零點(diǎn)在頻帶內(nèi)，但是頻帶內(nèi)插入損耗整體差值比前者小。經(jīng)過(guò)上述比較，曲線3的效果相對(duì)好一些。耦合器正常工作情況下，帶外信號(hào)反相抵消作用更明顯，因此，在保證各端口反射系數(shù)指標(biāo)要求的情況下，調(diào)試過(guò)程中應(yīng)使耦合端和直通端插入損耗差值盡可能小。在耦合端和直通端插入損耗差值過(guò)大情況下，最簡(jiǎn)單實(shí)用的方法是，調(diào)節(jié)耦合板寬度，進(jìn)而調(diào)節(jié)耦合度。

3數(shù)字電視多工器的維護(hù)

數(shù)字電視多工器是通過(guò)多個(gè)橋式雙工器串聯(lián)得到的，以數(shù)字電視多工器中的四工器為例，介紹其維護(hù)的方法。數(shù)字電視四工器連接圖如圖7所示，數(shù)字電視四工器由六個(gè)六腔帶通濾波器、六個(gè)3dB定向耦合器、三個(gè)吸收負(fù)載及饋管連接而成。其中，f1輸入端口為DTMB寬帶口，f2、f3、f4分別為470~870MHz頻率連續(xù)可調(diào)的任意三個(gè)數(shù)字電視頻道接口。其工作原理是，f2信號(hào)通過(guò)3dB定向耦合器和帶通濾波器后，在經(jīng)3dB定向耦合器與寬帶口的f1頻率合成輸出為（f1+f2）頻率；f3信號(hào)通過(guò)3dB定向耦合器和帶通濾波器后，再經(jīng)3dB耦合器與寬帶口的（f1+f2）合成為（f1+f2+f3）信號(hào)；f4信號(hào)通過(guò)3dB定向耦合器和帶通濾波器后，再經(jīng)3dB定向耦合器與（f1+f2+f3）合成，總輸出（f1+f2+f3+f4）信號(hào)，最后經(jīng)饋線送到天線發(fā)射。數(shù)字電視四工器應(yīng)滿足如下技術(shù)指標(biāo)要求：輸入端口反射系數(shù)大于26dB；輸入窄帶端口到寬帶端口隔離度大于50dB、寬帶端口到窄帶端口隔離度大于35dB；中心頻率f0插入損耗小于0.5dB；f0±3.8MHz頻率小于0.7dB；f0±4.2MHz頻率抑制度大于4dB；f0±4.2MHz頻率抑制度大于40dB。其中心頻率f0為電視頻道所占帶寬的中心頻率。為滿足上述各項(xiàng)技術(shù)指標(biāo)，保證多工器正常工作，需對(duì)其進(jìn)行如下維護(hù)。3.1控制多工器的外部溫度。由于機(jī)房環(huán)境溫度升高或多工器工作中溫度升高，會(huì)造成濾波器溫度上升，由于熱脹冷縮的原因，溫度每升高1℃，濾波器的諧振頻率降低20kHz左右。當(dāng)濾波器溫度上升30℃時(shí)，它的整個(gè)通帶頻率將向低漂移600kHz左右，多工器無(wú)法正常工作，因此，數(shù)字多工器中的帶通濾波器溫度的穩(wěn)定性非常重要。同時(shí)，較高的溫度也會(huì)降低多工器連接件的機(jī)械強(qiáng)度，造成3dB耦合器和帶通濾波器接口處同軸饋線的連接件變形。因此，在多工器運(yùn)行過(guò)程中，應(yīng)定期測(cè)試工作環(huán)境的溫度，通常要求溫度的上限在30℃左右，一旦發(fā)現(xiàn)工作環(huán)境溫度的異?；蚨喙て鞅砻娼饘贉囟冗^(guò)高，都應(yīng)采取相應(yīng)的冷卻措施，保證多工器在正常的溫度下進(jìn)行工作。3.2保證多工器器件具有足夠的機(jī)械強(qiáng)度。除了溫度過(guò)高會(huì)影響多工器的機(jī)械強(qiáng)度外，另一個(gè)重要因素是各個(gè)機(jī)械加工件是否能滿足足夠的承重和機(jī)械強(qiáng)度。（1）通常腔體濾波器各腔之間是通過(guò)耦合窗實(shí)現(xiàn)電耦合，在腔體之間的金屬隔板之間開窗，使得腔內(nèi)能量之間能夠相互耦合（見圖3），但金屬隔板的厚度不夠或耦合窗口過(guò)大，都會(huì)導(dǎo)致因其機(jī)械強(qiáng)度不夠，都會(huì)使得濾波器腔體上側(cè)金屬板和腔內(nèi)耦合板承受更大的重力，很容易使其變形。（2）腔體濾波器除了可以調(diào)節(jié)腔內(nèi)諧振柱實(shí)現(xiàn)頻道的轉(zhuǎn)換外，更多的是將濾波器輸入輸出端口激勵(lì)設(shè)置成可調(diào)結(jié)構(gòu)，以配合諧振柱調(diào)節(jié)，這樣做，使得可調(diào)范圍和靈活性變大。對(duì)于耦合器及各組件安裝在濾波腔體側(cè)面的情況，輸入輸出端口處的處理，通常都是將外部同軸饋線的內(nèi)導(dǎo)體延伸進(jìn)濾波器腔體內(nèi)一段距離后，再連接激圖7數(shù)字電視四工器連接圖勵(lì)器件（比如可旋轉(zhuǎn)金屬環(huán)或金屬板等），這樣會(huì)導(dǎo)致延伸進(jìn)腔體的內(nèi)導(dǎo)體需要承受激勵(lì)器件的全部重力，并且在調(diào)節(jié)過(guò)程中，也會(huì)受到輕微變形產(chǎn)生的應(yīng)力。由于內(nèi)導(dǎo)體的尺寸有相應(yīng)的標(biāo)準(zhǔn)限制（內(nèi)外導(dǎo)體尺寸通常固定），這就要求激勵(lì)器件不能過(guò)大或過(guò)小，過(guò)大會(huì)導(dǎo)致內(nèi)導(dǎo)體產(chǎn)生變形甚至斷裂；過(guò)小會(huì)使其失去調(diào)節(jié)作用，并且降低了濾波器的可調(diào)范圍。3.3確保各連接件之間連接緊密。對(duì)于多工器加工后的組裝，應(yīng)保證各器件之間連接的緊密性。濾波器與耦合器之間同軸饋管及連接組件應(yīng)確保連接緊密，否則會(huì)導(dǎo)致射頻信號(hào)能量泄露和多工器指標(biāo)變差。通常濾波器和耦合器都設(shè)有微調(diào)諧柱，通過(guò)在諧振腔和耦合器外壁開小孔并內(nèi)插可調(diào)螺柱達(dá)到微調(diào)指標(biāo)性能的作用。微調(diào)柱過(guò)多或由加工誤差引起的螺柱小孔螺紋未能緊密結(jié)合，都會(huì)導(dǎo)致信號(hào)能量的泄露，并且會(huì)降低多工器的功率容量；若多工器與天線的饋電部分連接不夠緊密，同樣也會(huì)導(dǎo)致信號(hào)能量的泄露及多工器的隔離度指標(biāo)變差。因此，在調(diào)試之前，應(yīng)首先要保證各連接件的緊密性，避免在能量泄露的情況下，調(diào)試多工器的性能指標(biāo)。3.4統(tǒng)調(diào)多工器指標(biāo)。多工器的調(diào)試過(guò)程，應(yīng)注意先后順序，首先要對(duì)濾波器和耦合器的指標(biāo)進(jìn)行調(diào)試，濾波器可調(diào)性大，通常只需調(diào)節(jié)諧振柱與輸入輸出端口激勵(lì)環(huán)便能達(dá)到指標(biāo)要求；耦合器加蓋封裝后，可直接調(diào)節(jié)的器件只有微調(diào)螺柱，微調(diào)螺柱主要影響耦合器直通端和耦合端的插入損耗指標(biāo)，并且其影響較?。辉诮M裝連接后，應(yīng)由天線端口向輸入端口逐級(jí)進(jìn)行調(diào)試，并保證所有的連接點(diǎn)螺釘緊固，這樣一旦發(fā)現(xiàn)指標(biāo)不滿足要求或射頻泄露，便于查明原因。在保證上述測(cè)試調(diào)試過(guò)程無(wú)誤，且各項(xiàng)指標(biāo)滿足要求的條件下，再對(duì)多工器進(jìn)行整體測(cè)試，一般地，反射指標(biāo)和端口隔離度指標(biāo)若有頻帶偏差或未能達(dá)到要求，除了檢查各連接口緊密性和調(diào)整吸收負(fù)載外，應(yīng)主要調(diào)整濾波器單元，改善整體的測(cè)試指標(biāo)。

摘要本文以湖南鐵道職業(yè)技術(shù)學(xué)院的校園網(wǎng)為背景，從校園網(wǎng)的特點(diǎn)和傳統(tǒng)局域網(wǎng)技術(shù)入手，研究了VLAN技術(shù)在校園網(wǎng)安全中的應(yīng)用。

關(guān)鍵詞VLAN技術(shù)校園網(wǎng)網(wǎng)絡(luò)安全

引言

隨著Internet技術(shù)、網(wǎng)絡(luò)技術(shù)、信息技術(shù)、多媒體技術(shù)的迅猛發(fā)展，校園網(wǎng)已經(jīng)成為學(xué)校教學(xué)、科研、管理、信息獲取的重要手段。但是，校園網(wǎng)訪問(wèn)方式多、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性高，為了保證校園網(wǎng)的正常運(yùn)行和安全，本文主要針對(duì)校園網(wǎng)的特點(diǎn)和傳統(tǒng)局域網(wǎng)的缺陷，重點(diǎn)介紹了基于VLAN技術(shù)構(gòu)建安全校園網(wǎng)絡(luò)的應(yīng)用。

1傳統(tǒng)LAN環(huán)境

傳統(tǒng)LAN通常由HUB、網(wǎng)橋、交換機(jī)等網(wǎng)絡(luò)設(shè)備將同一網(wǎng)段的所有節(jié)點(diǎn)連接在一起而形成，各節(jié)點(diǎn)通常按照它們的物理連接被自然地劃分到各個(gè)廣播域。處于同一LAN內(nèi)的網(wǎng)絡(luò)節(jié)點(diǎn)間可以直接通信，而處于不同局域網(wǎng)之間的通信則必須通過(guò)路由器才能通信。典型的局域網(wǎng)環(huán)境如圖1所示

【摘要】當(dāng)代社會(huì)中，計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展非常迅速，我們的工作和生活均因此產(chǎn)生巨大的變化。在各級(jí)企業(yè)、事業(yè)單位中，計(jì)算機(jī)局域網(wǎng)絡(luò)應(yīng)用非常的普遍。在這樣的情況下，局域網(wǎng)絡(luò)的安全技術(shù)成為了企業(yè)、事業(yè)非常重要的關(guān)注點(diǎn)，這直接對(duì)社會(huì)經(jīng)濟(jì)生活的穩(wěn)定性起到?jīng)Q定性作用。本次研究，筆者重點(diǎn)對(duì)當(dāng)前計(jì)算機(jī)局域網(wǎng)絡(luò)常見的安全問(wèn)題進(jìn)行分析，并從解決措施上展開探究，擬解決電力企業(yè)內(nèi)部的局域網(wǎng)安全技術(shù)相關(guān)問(wèn)題。

【關(guān)鍵詞】電力企業(yè)；內(nèi)部局域網(wǎng)；安全技術(shù)

全國(guó)各個(gè)企業(yè)、事業(yè)單位因計(jì)算機(jī)局域網(wǎng)絡(luò)的到來(lái)，起到了非常大的轉(zhuǎn)變。當(dāng)前各級(jí)計(jì)算機(jī)局域網(wǎng)絡(luò)建立且規(guī)模日益擴(kuò)大，我國(guó)的網(wǎng)絡(luò)結(jié)構(gòu)和相關(guān)設(shè)備的使用也越來(lái)越復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)逐漸發(fā)展，我們正處在信息化時(shí)代當(dāng)中，局域網(wǎng)的安全問(wèn)題逐漸成為所有人關(guān)注的重點(diǎn)。在電力企業(yè)中，網(wǎng)絡(luò)安全更是決定著企業(yè)運(yùn)營(yíng)的命脈。若不能有效預(yù)防或及時(shí)解決計(jì)算機(jī)局域網(wǎng)絡(luò)的安全技術(shù)問(wèn)題，各個(gè)行業(yè)的發(fā)展均受到阻礙[1]。就此，如何確保網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)系統(tǒng)更加安全運(yùn)行，并能夠在這樣的背景下使得網(wǎng)絡(luò)資源、信息共享、數(shù)據(jù)傳輸獲得最大限度的利用，是當(dāng)前企業(yè)迫切需要解決的。

1電力企業(yè)內(nèi)部的局域網(wǎng)常見安全問(wèn)題分析

局域網(wǎng)絡(luò)作為較復(fù)雜的系統(tǒng)，安全問(wèn)題也比較復(fù)雜。技術(shù)上最大的安全問(wèn)題就是黑客入侵。當(dāng)前網(wǎng)絡(luò)上黑客攻擊日趨嚴(yán)重，對(duì)系統(tǒng)、ARP、DOS均有不同程度的入侵；其二是網(wǎng)內(nèi)入侵，如其他網(wǎng)內(nèi)或局域網(wǎng)服務(wù)器對(duì)計(jì)算機(jī)的入侵。緊隨黑客攻擊之后的是病毒危害。病毒會(huì)隨著局域網(wǎng)絡(luò)對(duì)數(shù)據(jù)進(jìn)行共享和傳輸時(shí)入侵電腦并對(duì)網(wǎng)絡(luò)造成攻擊，近兩年常見的木馬病毒、蠕蟲病毒會(huì)使得整個(gè)網(wǎng)絡(luò)癱瘓，或是將用戶的各種信息盜取，威脅企業(yè)正常運(yùn)行。還有一項(xiàng)安全問(wèn)題較為常見且嚴(yán)重，就是認(rèn)證安全漏洞。網(wǎng)絡(luò)規(guī)模逐漸增加，用戶的IP地址被盜用、IP地址沖突或是賬號(hào)被盜用，最終使得安全問(wèn)題浮出水面，管理和維護(hù)人員就此非?？鄲繹2]。

2安全解決方案和策略

網(wǎng)絡(luò)攻擊可分成內(nèi)部及外部攻擊，其中內(nèi)部攻擊來(lái)自校園網(wǎng)內(nèi)部學(xué)生，有些學(xué)生在網(wǎng)絡(luò)方面學(xué)習(xí)能力強(qiáng)，在好奇心及欲望驅(qū)使下，有些學(xué)生嘗試網(wǎng)絡(luò)攻擊技術(shù)，學(xué)生攻擊主要應(yīng)用授權(quán)訪問(wèn)或預(yù)攻擊探測(cè)等進(jìn)行攻擊，授權(quán)訪問(wèn)攻擊是對(duì)被保護(hù)文件實(shí)施讀寫與執(zhí)行嘗試，或者獲取被保護(hù)反問(wèn)權(quán)限采取嘗試，像NetBus就是典型方法。預(yù)攻擊探測(cè)是指為獲取網(wǎng)絡(luò)內(nèi)部信息，連續(xù)非授權(quán)訪問(wèn)，像端口掃描與Satan等內(nèi)部攻擊，容易造成高校數(shù)據(jù)及文件泄漏，影響高校校園網(wǎng)正常運(yùn)行。外部攻擊主要來(lái)自互聯(lián)網(wǎng)的攻擊，由于網(wǎng)絡(luò)應(yīng)用復(fù)雜性，應(yīng)用網(wǎng)站插件、瀏覽器及代碼等漏洞實(shí)施攻擊問(wèn)題越來(lái)越突出，攻擊者通常要經(jīng)過(guò)探測(cè)、隱藏及攻擊等步驟，一些計(jì)算機(jī)攻破之后，會(huì)淪為黑客的利用工具，實(shí)施再次攻擊，給校園網(wǎng)造成嚴(yán)重威脅。隨著信息網(wǎng)絡(luò)在高校普及，計(jì)算機(jī)接入數(shù)量不斷增多，有些學(xué)校管理方法不得力，安全防范意識(shí)不強(qiáng)，致使信息丟失、病毒傳播、網(wǎng)絡(luò)攻擊及系統(tǒng)癱瘓等情況屢見不鮮。有些高校盡管重視了硬件投入，卻忽視了軟件投資，輕管理及重運(yùn)行現(xiàn)象嚴(yán)重，網(wǎng)絡(luò)安全意識(shí)不足，把網(wǎng)絡(luò)系統(tǒng)僅作為純技術(shù)工程，并未建立完善的安全管理辦法，網(wǎng)絡(luò)安全的入侵手段、發(fā)展變化及安全措施等很少關(guān)注研究，校園網(wǎng)中的很多用戶在網(wǎng)絡(luò)安全意識(shí)方面不強(qiáng)，讓計(jì)算機(jī)一再遭受病毒侵害，校園網(wǎng)絡(luò)監(jiān)控及管理軟件缺乏，使得校園網(wǎng)存在極大安全隱患。

在高校校園網(wǎng)中，存在大量安全威脅，為預(yù)防這些安全隱患，應(yīng)該依據(jù)校園網(wǎng)實(shí)際狀況及實(shí)踐，采取可靠的安全策略技術(shù)，構(gòu)建安全高效的校園網(wǎng)絡(luò)。安全策略技術(shù)主要包含防火墻、安全隔離、數(shù)字簽名、訪問(wèn)控制、VPN技術(shù)、IP地址防盜、防病毒的安全體系及IDS部署等技術(shù)，其中，防火墻技術(shù)是校園網(wǎng)及因特網(wǎng)間實(shí)施的訪問(wèn)控制策略，對(duì)經(jīng)過(guò)防火墻的各類攻擊、入侵及異常事件均能檢測(cè)到，并及時(shí)通知有關(guān)人員，高校安全管理員根據(jù)警報(bào)信息對(duì)安全策略進(jìn)行及時(shí)修改，并重新制定有關(guān)訪問(wèn)規(guī)則，避免病毒入侵及黑客攻擊；安全隔離技術(shù)目的是保證有害攻擊被隔離在校園網(wǎng)絡(luò)之外，確保校園網(wǎng)內(nèi)部信息不被泄漏，實(shí)現(xiàn)網(wǎng)絡(luò)信息之間的安全交換；IDS技術(shù)可依據(jù)不同資源信息收集，對(duì)異常行為信息進(jìn)行分析反映，并出具報(bào)告檢測(cè)，監(jiān)測(cè)過(guò)程并不影響網(wǎng)絡(luò)使用，同時(shí)對(duì)內(nèi)外攻擊及誤操作進(jìn)行實(shí)時(shí)保護(hù)；VPN技術(shù)是運(yùn)用隧道技術(shù)，把內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密封裝，通過(guò)虛擬公網(wǎng)隧道傳輸信息，避免敏感數(shù)據(jù)被盜??；網(wǎng)絡(luò)版的防毒安全軟件具有強(qiáng)大管理功能，高校校園網(wǎng)管理者只需要升級(jí)服務(wù)器端，客戶端在啟動(dòng)之后，就能自動(dòng)升級(jí)，管理者還可監(jiān)控病毒及遠(yuǎn)程殺毒，通過(guò)此軟件技術(shù)及時(shí)了解本校校園網(wǎng)的病毒狀況。在校園網(wǎng)中，第一道安全屏障為身份驗(yàn)證，在校園卡之外，校園網(wǎng)身份驗(yàn)證主要為口令機(jī)制，像登錄口令、開機(jī)口令及共享權(quán)限等，口令保護(hù)除了具有保密機(jī)制之外，其設(shè)置方法也是很重要的，通常安全口令標(biāo)明至少7個(gè)字符的，用戶應(yīng)該使用8個(gè)字符以上，口令密碼設(shè)置字母要大小寫混合，將數(shù)字沒(méi)有順序的安排在字母當(dāng)中，在口令當(dāng)中，不要使用？！%及#等符號(hào)，不要應(yīng)用英文單詞及生日、密碼等個(gè)人信息。網(wǎng)絡(luò)病毒防護(hù)主要包含預(yù)防及檢測(cè)病毒，對(duì)已入侵病毒入侵進(jìn)行定位，避免在系統(tǒng)當(dāng)中傳播，發(fā)現(xiàn)的病毒要及時(shí)清除，并調(diào)查病毒來(lái)源，在校園網(wǎng)當(dāng)中，應(yīng)該建立統(tǒng)一的病毒防范體系，尤其是重要服務(wù)器及網(wǎng)段，應(yīng)徹底堵截病毒，網(wǎng)絡(luò)殺毒軟件應(yīng)該能支持按你不主流平臺(tái)，實(shí)現(xiàn)軟件升級(jí)、安裝及配置，還要確保校園網(wǎng)全部入口安全，并具有強(qiáng)大的防護(hù)功能，保護(hù)數(shù)據(jù)及程序，從而保證校園網(wǎng)安全。信息加密主要包含協(xié)議、算法及管理等體系，其加密算法為基礎(chǔ)，協(xié)議為關(guān)鍵，而密鑰為保障，有條件的話，用戶管理及登錄等系統(tǒng)應(yīng)盡量自行開發(fā)，最小授權(quán)是網(wǎng)絡(luò)服務(wù)配置、賬號(hào)設(shè)置與主機(jī)配置等均應(yīng)在網(wǎng)絡(luò)運(yùn)行需要的最小限度內(nèi)，以降低系統(tǒng)危險(xiǎn)性。校園網(wǎng)中的計(jì)算機(jī)安裝了防火墻及殺毒軟件等，但網(wǎng)絡(luò)病毒攻擊并沒(méi)有停止，其主要原因是由于系統(tǒng)打開了不常用端口，尤其是木馬病毒，從一些漏洞端口當(dāng)中長(zhǎng)驅(qū)直入，并安家落戶，為保護(hù)端口安全，用戶應(yīng)經(jīng)常查看端口，發(fā)現(xiàn)可疑端口，應(yīng)及時(shí)分析判斷，并找出有關(guān)端口資料，對(duì)可疑端口進(jìn)行判斷，一旦確定為木馬等病毒端口，并采取防火墻及反黑軟件等限制端口，避免非法入侵，監(jiān)測(cè)日志對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)是很重要的，對(duì)系統(tǒng)經(jīng)常發(fā)生的事情，計(jì)算機(jī)用戶應(yīng)建立監(jiān)測(cè)日志，對(duì)錯(cuò)誤出現(xiàn)原因進(jìn)行檢查分析，并尋找攻擊者所留下痕跡，以確保系統(tǒng)安全。高校應(yīng)重視網(wǎng)絡(luò)安全管理，建立專門網(wǎng)絡(luò)管理部門，并配備相應(yīng)技術(shù)人員，對(duì)崗位責(zé)任要明確并強(qiáng)化，日常運(yùn)行維護(hù)工作也應(yīng)加強(qiáng)，出現(xiàn)網(wǎng)絡(luò)故障要及時(shí)處理，并做好網(wǎng)絡(luò)病毒的實(shí)施監(jiān)測(cè)，查殺網(wǎng)絡(luò)病毒，及時(shí)升級(jí)有關(guān)病毒軟件，保證網(wǎng)絡(luò)安全。校園網(wǎng)使用者主要包含管理員及用戶，對(duì)于校園網(wǎng)用戶，尤其是剛?cè)胄５男律?，?yīng)加強(qiáng)有關(guān)網(wǎng)絡(luò)安全方面的教育，增強(qiáng)網(wǎng)絡(luò)安全機(jī)制自覺(jué)性，提高整體的安全防范力，盡量不使用盜版及安全隱患軟件，陌生郵件及不可信網(wǎng)站不要打開，，特別是E-mail附件當(dāng)中的com及exe等程序。校園網(wǎng)管理者應(yīng)定期培訓(xùn)，增強(qiáng)專業(yè)素質(zhì)，使其具有高水平的網(wǎng)絡(luò)管理能力，及時(shí)修補(bǔ)漏洞及檢查，確保網(wǎng)絡(luò)管理及監(jiān)控，對(duì)于黑客事件及非法訪問(wèn)，一旦發(fā)現(xiàn)就嚴(yán)肅處理，在高校內(nèi)，培養(yǎng)具有高度安全管理意識(shí)的人員，同時(shí)，高校應(yīng)出臺(tái)有關(guān)校園網(wǎng)安全的管理制度，對(duì)網(wǎng)絡(luò)應(yīng)用方法進(jìn)行規(guī)范，將威脅降到最低。

隨著計(jì)算機(jī)及信息技術(shù)不斷發(fā)展，高校校園網(wǎng)被廣泛普及，已成為高校的基礎(chǔ)設(shè)置，學(xué)校教學(xué)、科研、管理及生活等均離不開校園網(wǎng)的支持，在校園網(wǎng)規(guī)模擴(kuò)大，計(jì)算機(jī)數(shù)量增多情況下，校園網(wǎng)安全問(wèn)題日益突出，為確保校園網(wǎng)安全，應(yīng)該綜合考慮防毒軟件、防火墻、用戶認(rèn)證及加密等技術(shù)策略，同時(shí)，制定合理的校園網(wǎng)管理制度，通過(guò)教育培訓(xùn)及宣傳等手段，增強(qiáng)校園用戶及管理者的安全意識(shí)，充分保證高校校園網(wǎng)的安全運(yùn)行。

本文作者：趙軍工作單位：呼和浩特職業(yè)學(xué)院美術(shù)與傳媒學(xué)院

虛擬機(jī)隔離安全的具體實(shí)現(xiàn)

虛擬機(jī)之間具有良好的隔離性，但在很多應(yīng)用場(chǎng)合，需要虛擬機(jī)間或虛擬機(jī)與宿主機(jī)之間共享資源或者通信，很重要的一點(diǎn)是要保證虛擬機(jī)上的重要信息與宿主操作系統(tǒng)或其他虛擬機(jī)的隔離。虛擬機(jī)的硬盤等存儲(chǔ)設(shè)備是虛擬機(jī)虛擬出來(lái)的存儲(chǔ)設(shè)備，這些虛擬存儲(chǔ)設(shè)備的安全性是虛擬機(jī)安全性的重要組成部分。虛擬存儲(chǔ)設(shè)備中的數(shù)據(jù)，最常見的保存方法就是在宿主操作系統(tǒng)上建立一個(gè)文件來(lái)保存。例如，在VirtualBox中，虛擬機(jī)的硬盤是由一個(gè)后綴名為vdi的虛擬硬盤文件保存，而VMWare的虛擬機(jī)硬盤則是使用后綴名為vmdk的虛擬硬盤文件保存。通常，這樣的文件被稱為映像文件（ImageFile），每個(gè)虛擬機(jī)的客戶操作系統(tǒng)的文件系統(tǒng)都完整保存在它們各自的映像文件中。在大部分的虛擬機(jī)技術(shù)中，映像文件位于宿主機(jī)操作系統(tǒng)的文件系統(tǒng)中。因此，惡意代碼在宿主機(jī)操作系統(tǒng)中讀寫映像文件就成為對(duì)破壞虛擬機(jī)或竊取虛擬機(jī)信息的一條可能的途徑，而且是非常高效和直接的途徑。存儲(chǔ)器的操作最終都會(huì)轉(zhuǎn)換成宿主機(jī)操作系統(tǒng)對(duì)映像文件的操作[3]，導(dǎo)致映像文件很難與宿主機(jī)操作系統(tǒng)的文件系統(tǒng)完全隔離。以明文方式存儲(chǔ)在宿主機(jī)操作系統(tǒng)中的映像文件使得宿主機(jī)操作系統(tǒng)上運(yùn)行的軟件或惡意代碼可以從中獲取到所有虛擬機(jī)操作系統(tǒng)的文件信息和數(shù)據(jù)，甚至惡意代碼可以用病毒或其他文件替換掉映像文件。目前，少數(shù)虛擬機(jī)技術(shù)可以為虛擬機(jī)操作系統(tǒng)提供獨(dú)立的硬盤邏輯分區(qū)，與宿主機(jī)操作系統(tǒng)進(jìn)行有效隔離，但這種方式在存儲(chǔ)資源的分配上是低效的，在硬盤邏輯分區(qū)的管理上也很繁瑣。因此，映像文件攻擊是一個(gè)重要的虛擬機(jī)隔離安全問(wèn)題。一般來(lái)說(shuō)，當(dāng)用戶因關(guān)閉系統(tǒng)或重新配置網(wǎng)絡(luò)等原因不再需要已分配的IP地址時(shí)，將不再保留此IP地址。當(dāng)該IP地址變?yōu)榭捎煤?，通常把它再分配給其他用戶使用。從用戶安全角度而論，IP地址再分配使用可能會(huì)帶來(lái)問(wèn)題，用戶無(wú)法確信他們對(duì)資源的網(wǎng)絡(luò)訪問(wèn)能否隨著IP地址的釋放一并終止，從DNS中的IP地址改變到DNS緩存清理，從ARP表中物理地址改變到將ARP地址從緩存中的清除，都會(huì)有一定的時(shí)間延遲。這意味著，即使地址可能已經(jīng)變化，原先的地址在緩存中依舊有效，用戶還是可以訪問(wèn)到那些理應(yīng)不存在的資源。信息泄漏是計(jì)算機(jī)系統(tǒng)中一直存在的一個(gè)安全隱患，這是由于很多計(jì)算機(jī)系統(tǒng)的設(shè)計(jì)者或者一些安全手段和策略，都沒(méi)有將信息泄漏考慮在內(nèi)。隱蔽通道[4]是信息泄漏的重要渠道。虛擬機(jī)雖然具有天生的隔離性，但由于多臺(tái)虛擬機(jī)分布在同一個(gè)虛擬機(jī)監(jiān)控器之上，虛擬機(jī)之間又具有一定的耦合性，這種特性可以被利用來(lái)構(gòu)造隱蔽通道。在Xen中，Hypervisor保存有一張全局的機(jī)器地址到偽物理地址的關(guān)系表，稱之為M2P表。每一個(gè)Domain都能對(duì)它進(jìn)行讀操作，并且能通過(guò)調(diào)用Hypervisor的mmu_update接口來(lái)更新屬于自己地址范圍內(nèi)的表項(xiàng)。這一特性被證明是可以利用在兩虛擬機(jī)間構(gòu)造隱蔽通道的[5]。通信雙方的虛擬機(jī)共享一個(gè)結(jié)構(gòu)數(shù)據(jù)類型，其中第一個(gè)域充當(dāng)標(biāo)志（雙方互相知道對(duì)方的標(biāo)志），而最后一個(gè)域包含實(shí)際傳遞的隱蔽消息。在實(shí)際的傳遞過(guò)程中，一方將共享的結(jié)構(gòu)體更新到屬于自己地址范圍的表項(xiàng)內(nèi)，而另一方則遍歷M2P表的表項(xiàng)，直到找到對(duì)方的標(biāo)志，繼而就能通過(guò)結(jié)構(gòu)體中的偏移量字段來(lái)找到相應(yīng)的隱蔽消息。Xen虛擬機(jī)的CPU負(fù)載變化也可以用來(lái)構(gòu)造隱蔽通道[6]。假設(shè)兩臺(tái)虛擬機(jī)的虛擬CPU（VCPU）被映射到同一個(gè)物理CPU（或CPU核），并且假設(shè)兩臺(tái)虛擬機(jī)運(yùn)行一個(gè)相同的任務(wù)。作為隱蔽消息接收方的虛擬機(jī)一直執(zhí)行該任務(wù)，而作為發(fā)送方的虛擬機(jī)則通過(guò)執(zhí)行或不執(zhí)行該任務(wù)來(lái)引起接收方中此任務(wù)執(zhí)行時(shí)間的變化。于是雙方可以這樣約定，當(dāng)發(fā)送方不執(zhí)行此任務(wù)時(shí)，傳遞比特0；而當(dāng)發(fā)送方執(zhí)行此任務(wù)時(shí)，接收方觀察到任務(wù)執(zhí)行時(shí)間變長(zhǎng)，此時(shí)傳遞比特1。

提高虛擬機(jī)隔離的安全性考慮

（1）資源分配的問(wèn)題虛擬機(jī)運(yùn)行時(shí)，要求在物理機(jī)上需要有足夠的處理能力、內(nèi)存、硬盤容量和帶寬等。為了高效利用資源，有時(shí)會(huì)分配超出處理能力的資源給虛擬機(jī)，很可能會(huì)導(dǎo)致拒絕服務(wù)。當(dāng)無(wú)法保證所有虛擬機(jī)不會(huì)在同一時(shí)間達(dá)到峰值，虛擬機(jī)資源共享機(jī)制又比較簡(jiǎn)單，CPU、內(nèi)存、磁盤、帶寬都有可能出現(xiàn)資源不夠用的問(wèn)題，預(yù)留出一些額外的處理能力、內(nèi)存等資源用于調(diào)度是非常必要的。（2）限制對(duì)虛擬機(jī)的訪問(wèn)宿主機(jī)對(duì)虛擬機(jī)的攻擊有著得天獨(dú)厚的條件，包括：不需要賬戶和密碼，即可使用特定的功能來(lái)殺死進(jìn)程，監(jiān)控資源的使用或者關(guān)閉機(jī)器；重啟機(jī)器，引導(dǎo)到外部媒體從而破解密碼；竊取文件，比如利用外接存儲(chǔ)器等，或直接盜走宿主機(jī)的磁盤以訪問(wèn)虛擬文件系統(tǒng)；刪除一個(gè)或多個(gè)虛擬磁盤，把它們掛載到已知管理員密碼的機(jī)器上，可以進(jìn)入虛擬機(jī)，從而看到該磁盤全部?jī)?nèi)容；刪除整個(gè)虛擬機(jī)等。宿主機(jī)的環(huán)境不同，造成的風(fēng)險(xiǎn)也不同，所以要對(duì)宿主機(jī)的安全提供周密的安全措施：宿主機(jī)的物理環(huán)境安全，包括對(duì)進(jìn)入機(jī)房的身份卡驗(yàn)證，對(duì)機(jī)器進(jìn)行加鎖（避免被人竊走硬盤）；拆除軟驅(qū)、光驅(qū)；BIOS設(shè)置禁止從其他設(shè)備引導(dǎo)，只允許從主硬盤引導(dǎo)。另外，對(duì)BIOS設(shè)置密碼，避免被人修改啟動(dòng)選項(xiàng)；控制所有的外部接口。（1）虛擬化軟件層的安全隔離軟件層位于硬件和虛擬服務(wù)器之間，提供終端用戶創(chuàng)建和刪除虛擬化實(shí)例的能力，由虛擬化服務(wù)提供商管理，終端用戶無(wú)法看到并訪問(wèn)虛擬化軟件。其管理程序保證硬件和操作系統(tǒng)虛擬化實(shí)現(xiàn)在多個(gè)用戶虛擬機(jī)之間共享硬件資源，而不會(huì)彼此干擾。鑒于管理程序虛擬化是保證在多用戶環(huán)境下客戶虛擬機(jī)彼此分隔與隔離的基本要素，保護(hù)其不受未授權(quán)用戶訪問(wèn)是非常重要的。一旦黑客對(duì)其進(jìn)行完整性攻擊，突破這些隔離單元，將造成災(zāi)難性后果。虛擬化服務(wù)提供商應(yīng)當(dāng)建立必要的安全控制，包括限制對(duì)管理程序及其他虛擬化層面的物理和邏輯訪問(wèn)；而用戶應(yīng)當(dāng)理解相關(guān)技術(shù)及虛擬化服務(wù)提供商的安全控制流程。虛擬化軟件層的程序絕大部分是服務(wù)提供商專有而封閉的源代碼，用戶的安全保障團(tuán)隊(duì)要設(shè)法獲得并檢查提供虛擬化服務(wù)提供商的軟件源代碼，保障自身安全。（2）虛擬化系統(tǒng)采用虛擬防火墻在基于云計(jì)算的虛擬化技術(shù)中，安全等級(jí)往往采用域進(jìn)行構(gòu)建，域與域之間有邏輯隔離。為了實(shí)現(xiàn)虛擬機(jī)之間安全互訪[7]，虛擬防火墻要具有基于IP地址（特定的地址或子網(wǎng)）、數(shù)據(jù)包類型（TCP、UDP或者ICMP）以及端口（或者端口范圍）進(jìn)行流量過(guò)濾的功能。同時(shí)，為了防止遭受外界攻擊，要阻止所有到虛擬服務(wù)器的端口，建議只使用端口號(hào)22（SSH——安全外殼協(xié)議，要有密鑰認(rèn)證）來(lái)管理虛擬服務(wù)器的資源。（3）通信加密和虛擬機(jī)身份驗(yàn)證使用謂詞加密、完全同態(tài)加密等各種手段，用HTTPS、TLS、SSH，或者加密VPN來(lái)管理。除了通信加密以外，還應(yīng)有身份鑒別和認(rèn)證手段，以防止偽造源IP攻擊、連接劫持、中間人攻擊等。虛擬機(jī)和宿主機(jī)一樣也需要升級(jí)認(rèn)證方式，比如使用key登錄、口令的加密存儲(chǔ)等。

虛擬機(jī)技術(shù)還面臨著很多其他已知和未知的威脅，這些威脅需要逐一去研究解決，尤其是在國(guó)內(nèi)這樣大范圍使用虛擬機(jī)但虛擬機(jī)安全技術(shù)卻暫時(shí)落后的背景下，自身掌握虛擬機(jī)的安全技術(shù)就顯得更加重要和必要。同時(shí)，可信邊界的變動(dòng)造成了人們對(duì)虛擬化技術(shù)應(yīng)用的顧慮，加強(qiáng)對(duì)虛擬化技術(shù)安全特性的研究是一個(gè)非常有意義的課題。

本文作者：范偉韓奕黃偉慶工作單位：中國(guó)科學(xué)院信息工程研究所

摘要：本文提出一種基于網(wǎng)閘設(shè)備的IP組播信源切換方案，應(yīng)用于有線電視前端對(duì)不同輸入源的IP格式直播電視信號(hào)作切換和處理。該方案可同時(shí)服務(wù)于有線電視光纖入戶和傳統(tǒng)同軸電纜兩類不同接入網(wǎng)用戶，具有安全可控及應(yīng)用開放性高的特點(diǎn)。

關(guān)鍵詞：網(wǎng)閘;IP組播;信源切換

1引言

為提升三網(wǎng)融合形勢(shì)下的行業(yè)競(jìng)爭(zhēng)力，有線電視網(wǎng)絡(luò)當(dāng)前正加快部署高清化、IP化數(shù)字電視前端和光纖入戶網(wǎng)絡(luò)改造，以滿足未來(lái)家庭用戶至少100Mbps的帶寬需求。從建設(shè)運(yùn)維成本、業(yè)務(wù)承載能力、可靠性、未來(lái)演進(jìn)及技術(shù)發(fā)展趨勢(shì)等角度考慮，光纖入戶是未來(lái)網(wǎng)絡(luò)演進(jìn)的最佳方式。當(dāng)前，廣電網(wǎng)絡(luò)光纖入戶主要采用單纖雙波或雙纖三波方式，而從網(wǎng)絡(luò)部署和投資效益角度分析，單纖雙波是未來(lái)的主要演進(jìn)方向。因此，在接入網(wǎng)絡(luò)演進(jìn)過(guò)程中，有線電視前端系統(tǒng)需要進(jìn)行IP化融合改造，以同時(shí)服務(wù)基于IP端到端的光纖入戶用戶，以及基于DVB標(biāo)準(zhǔn)的同軸電纜接入用戶。在IP化有線電視前端系統(tǒng)中，信源切換模塊作為較為核心的信號(hào)處理環(huán)節(jié)，需要滿足廣播電視前端系統(tǒng)多路IP組播信源切換，使用TCP/IP高標(biāo)準(zhǔn)化傳輸協(xié)議以及實(shí)現(xiàn)傳輸網(wǎng)絡(luò)隔離來(lái)提升網(wǎng)絡(luò)安全性等業(yè)務(wù)需求。本文提出一種基于網(wǎng)閘設(shè)備的IP組播信源切換方案，應(yīng)用于有線電視前端對(duì)不同輸入源的IP格式直播電視信號(hào)作切換和處理。

2網(wǎng)閘功能概述

網(wǎng)閘設(shè)備是由兩套各自獨(dú)立的系統(tǒng)組成的，分別連接安全和非安全的網(wǎng)絡(luò)，這兩套系統(tǒng)通過(guò)網(wǎng)閘進(jìn)行信息擺渡，保證兩套系統(tǒng)之間沒(méi)有直接的物理通路。在本方案廣播電視IP化前端機(jī)房的應(yīng)用中，信號(hào)源接入節(jié)點(diǎn)上下游網(wǎng)絡(luò)在技術(shù)管理上屬于互為非信任域：上游網(wǎng)絡(luò)為省級(jí)干線網(wǎng)絡(luò)或市級(jí)對(duì)聯(lián)專線網(wǎng)絡(luò)、不同節(jié)目源或來(lái)源于不同單位運(yùn)維的網(wǎng)絡(luò)；下游網(wǎng)絡(luò)為地市廣電單位自主運(yùn)維的業(yè)務(wù)承載城域網(wǎng)絡(luò)。網(wǎng)閘設(shè)備實(shí)現(xiàn)切換不同信源輸出，同時(shí)實(shí)現(xiàn)了上下游網(wǎng)絡(luò)的邏輯隔離，防止兩個(gè)網(wǎng)絡(luò)間的非法流量互相影響，以確保雙邊平臺(tái)的安全。2.1物理層特性。網(wǎng)閘的物理層隔離技術(shù)確保不同網(wǎng)絡(luò)中主機(jī)在任何時(shí)間是物理性斷開的。本方案中，網(wǎng)閘設(shè)備需具備多路萬(wàn)兆數(shù)據(jù)接口，各萬(wàn)兆接口可作為信源輸入口連接上游網(wǎng)絡(luò)，也可作為信源輸出口連接下游城域網(wǎng)。上下游網(wǎng)絡(luò)主機(jī)物理性隔離，數(shù)據(jù)傳遞時(shí)，各網(wǎng)絡(luò)主機(jī)只通過(guò)各自網(wǎng)絡(luò)連接的萬(wàn)兆接口就可與網(wǎng)閘設(shè)備有數(shù)據(jù)交互。該組網(wǎng)方式舍棄交換機(jī)等互聯(lián)設(shè)備，減少了系統(tǒng)橫向數(shù)據(jù)交互，并能通過(guò)網(wǎng)閘設(shè)備實(shí)現(xiàn)上下游系統(tǒng)平臺(tái)聚合，以及提升平臺(tái)安全性。對(duì)于信源輸出接口，通過(guò)N+1端口備份模式實(shí)現(xiàn)信源切換，并進(jìn)一步提升系統(tǒng)組網(wǎng)安全性。2.2鏈路層特性。網(wǎng)閘的鏈路層隔離技術(shù)就是消除不同端口間數(shù)據(jù)鏈路的建立，網(wǎng)閘設(shè)備與外部網(wǎng)絡(luò)交互是基于鏈路通信協(xié)議的數(shù)據(jù)交換，而內(nèi)部不同端口間數(shù)據(jù)交互是使用串口通信協(xié)議等。在本方案中，數(shù)據(jù)交換方面以直播電視的IP封裝數(shù)據(jù)作為核心處理對(duì)象，從網(wǎng)閘設(shè)備各端口接入到數(shù)據(jù)轉(zhuǎn)發(fā)都有嚴(yán)格控制，并針對(duì)媒體數(shù)據(jù)特點(diǎn)全面優(yōu)化，極大地降低了信號(hào)丟包和延遲。而且，為了提升網(wǎng)閘管控安全，特設(shè)獨(dú)立網(wǎng)管模塊，管理系統(tǒng)與設(shè)備間的安全通信則由HTTPS安全訪問(wèn)協(xié)議保障。2.3重建TCP/IP協(xié)議。網(wǎng)閘設(shè)備為了消除TCP/IP協(xié)議在不同網(wǎng)絡(luò)間引起串?dāng)_，在通過(guò)網(wǎng)閘進(jìn)行數(shù)據(jù)傳輸時(shí)，數(shù)據(jù)包輸入時(shí)須剝離TCP/IP協(xié)議，輸出時(shí)再重建TCP/IP協(xié)議。在本方案中，網(wǎng)閘設(shè)備對(duì)同一個(gè)信號(hào)需要支持多組播輸出，輸出的組播可以同時(shí)支持IPv4及IPv6的雙棧模式，并可完成兩種協(xié)議的互相映射。2.4重建應(yīng)用協(xié)議。網(wǎng)閘設(shè)備為了消除應(yīng)用協(xié)議的串?dāng)_，在數(shù)據(jù)經(jīng)過(guò)網(wǎng)閘設(shè)備時(shí)同樣必須重建應(yīng)用協(xié)議。本方案中的直播電視IP組播流通過(guò)地市的網(wǎng)閘重新封裝后，輸出為“同源同組”的IP組播流，經(jīng)城域網(wǎng)到接入的PON網(wǎng)絡(luò)，一直到光口終端，均啟用IGMPv2協(xié)議。

摘要：本文綜合介紹了北京有線電視網(wǎng)絡(luò)目前實(shí)施的系統(tǒng)組成，特別是光纖同軸電纜混合網(wǎng)絡(luò)-HFC款待接入網(wǎng)的拓?fù)浣Y(jié)構(gòu)，及雙向傳輸?shù)膶?shí)現(xiàn)方式。

關(guān)鍵詞：線電視網(wǎng)絡(luò)同軸電纜混合網(wǎng)絡(luò)HFC雙向傳輸

l有線電視系統(tǒng)技術(shù)發(fā)展的階段性

中國(guó)有線電視開始于二十世紀(jì)七十年代，經(jīng)過(guò)二十多年的發(fā)展，從無(wú)到有，從小到大。今天，已經(jīng)發(fā)展成為我國(guó)廣播電視領(lǐng)域一支新興產(chǎn)業(yè)。中國(guó)有線電視技術(shù)從自力更生、白手起家，到引進(jìn)國(guó)外先進(jìn)設(shè)備，系統(tǒng)技術(shù)水平發(fā)展很快。從VHF頻段、全頻道共用天線系統(tǒng)到750MHz、860MHz有線電視城域網(wǎng)系統(tǒng)，從同軸電纜傳輸?shù)焦饫|、電纜、MMDS等多種傳輸技術(shù)的混合應(yīng)用，從只傳輸模擬信號(hào)到模擬、數(shù)字信號(hào)的混合傳輸，從單向廣播網(wǎng)到雙向交互網(wǎng)絡(luò)。同時(shí)，先進(jìn)的數(shù)據(jù)傳輸設(shè)備、數(shù)字傳輸系統(tǒng)以及計(jì)算機(jī)技術(shù)在有線電視系統(tǒng)中的成功運(yùn)用，中國(guó)有線電視技術(shù)的發(fā)展日益接近國(guó)際先進(jìn)水平。今天已經(jīng)確立了它在國(guó)家信息化結(jié)構(gòu)框架“三網(wǎng)一平臺(tái)”的基礎(chǔ)網(wǎng)絡(luò)地位。有線電視技術(shù)先進(jìn)，有良好的社會(huì)效益和經(jīng)濟(jì)效益，是國(guó)家的基礎(chǔ)設(shè)施建設(shè)項(xiàng)目。

我國(guó)有線電視的發(fā)展歷程，總體上看，可分為三個(gè)階段，即：小型共用天線系統(tǒng)、大型共用天線系統(tǒng)和有線電視系統(tǒng)。

1．1小型共用天線系統(tǒng)階段(1975—1985年)