【正文】 傳輸只有唯一的通信線路，那么，線路的效率勢必成為通信的瓶頸。另外，不可靠的通信也可能造成數(shù)據(jù)丟失。因此，通信線路必須有備份線路，用以保護(hù)數(shù)據(jù)及重要業(yè)務(wù)，保證業(yè)務(wù)能連續(xù)、正常地運轉(zhuǎn)。 因此 在使用 DDN 專線作為主要通訊線路的基礎(chǔ)上，我們建議采用 ISDN 冗余撥號線路作為備份線路，在 DDN 線路擁塞或中斷時啟用，以保證日常工作數(shù)據(jù)的不間斷傳輸。 DDN 即數(shù)字?jǐn)?shù)據(jù)網(wǎng)，是以傳輸數(shù)據(jù)信號為主的數(shù)字傳輸網(wǎng)絡(luò)， DDN 可以為用戶提供點對點，點對多點的全數(shù)字、全透明、入網(wǎng)速率在 2Mbit/s 以內(nèi)的高質(zhì)量數(shù)字專用傳 輸通道，以滿足用戶對多媒體通信和組建中高速計算機(jī)通信網(wǎng)的需要。分組交換是 20 世紀(jì) 80年代后期蓬勃發(fā)展并在世界范圍內(nèi)被廣泛應(yīng)用的數(shù)據(jù)通信技術(shù)，他以 CCITT 協(xié)議為基礎(chǔ)，將數(shù)據(jù)信息按照一定的規(guī)則分割成定 7 長的數(shù)據(jù)分組，采用 “ 存儲轉(zhuǎn)發(fā) ” 的方式在交換網(wǎng)上傳輸，到達(dá)目的地后，再組裝還原成原先網(wǎng)站的數(shù)據(jù)信息傳送給用戶。分組交換可以實現(xiàn)不同類型、不同速率和不同規(guī)程計算機(jī)之間的聯(lián)網(wǎng)通信，進(jìn)行信息檢索、資源共享。 DDN 是為用戶提供數(shù)據(jù)專線服務(wù)的網(wǎng)絡(luò)，是一種基于 TDM(時分復(fù)用 )的傳輸技術(shù)，它可以為用戶提供一條獨享 的端到端的透明傳輸信道，用戶可在該通道上加載所需的各種高層業(yè)務(wù)，如語音、 IP、 ATM和幀中繼等。由于 DDN 通道之間是完全隔離的，因此它具有很好的安全性。 DDN設(shè)備結(jié)合用戶終端設(shè)備可提供多種速率的用戶專線通道業(yè)務(wù)，包括子速率 、 、 、 ??Nx64kbps 及最高到 2Mbps 速率的 DDN 通道。 DDN作為數(shù)據(jù)通信的支撐網(wǎng)絡(luò)，其主要作用是為用戶提供高速、優(yōu)質(zhì)的數(shù)據(jù)傳輸通道，為用戶網(wǎng)絡(luò)的互連提供橋梁。 目前， DDN 專線的電氣接口主要采用 方式。 接口的機(jī)械 特性，規(guī)定使用 34 芯的連接器（符合 ISO 2593 標(biāo)準(zhǔn)），電路插針分配及功能如表 1。在實際使用中，有的只用其部分芯線插針，因而也有用芯少的連接器，接法則自己定義。對于同步接口，規(guī)程特性中最重要的是時鐘線，時鐘線指的是11 114 和 115 電路。時鐘線起很大的作用， DTE或 DCE 接口要不斷用對端時鐘線傳來的時鐘對自己的時鐘進(jìn)行校正（一般是利用鎖相環(huán)電路進(jìn)行時鐘同步），以便正確提取數(shù)據(jù)。 ISDN 是以綜合數(shù)字電話網(wǎng)為基礎(chǔ)發(fā)展起來的通信網(wǎng)絡(luò)，提供端到端的數(shù)字化連接。 ISDN 能夠通過公共電話網(wǎng)的一對用戶線為客戶提 供多種綜合業(yè)務(wù)，使信息的傳遞速度高、準(zhǔn)確性強(qiáng)， 能 節(jié)省時間及線路開銷，帶來很多方便。具體地說，它建立在現(xiàn)有公共交換電話網(wǎng)（ PSTN）基礎(chǔ)之上，網(wǎng)絡(luò)改造費用低 ； 大大提高了現(xiàn)有電話線路的通信帶寬 ,通信建立時間短，可靠性高 ； 基本速率（ 2B+D 144Kbps）和基群速率 (30B+D 2Mbps)提供的帶寬可用于主干網(wǎng)傳輸，并可實現(xiàn)按需分配帶寬，有效利用資源，降低通信費用。 ISDN 目前主要提供兩種類型服務(wù)：一種是 BRI（ Basic Rate Interface：基本速率接口）服務(wù)，再一種是 PRI（ Primary Rate Interface：一次群速率接 8 口）服務(wù)。前者適用于個人用戶和小型企業(yè)；后者適用于大型企業(yè)和集團(tuán)用戶。ISDN 作為專用的全數(shù)字化網(wǎng)，它能以迅速、準(zhǔn)確、高效的方式提供各種通信網(wǎng)絡(luò)中現(xiàn)有的服務(wù)，不論信息是語音、文字，還是圖形、圖像都可以轉(zhuǎn)換成數(shù)字信息進(jìn)行傳輸。即使是如今時髦的多媒體會議電視， ISDN 同樣可以最大限度給以滿足。由此可見， ISDN 的優(yōu)點在于它可直接進(jìn)行數(shù)字信號的交換和傳輸，具有完整的數(shù)字傳輸標(biāo)準(zhǔn)，并能根據(jù)需要分配其帶寬。同時將通信技術(shù)和數(shù)據(jù)處理技術(shù)有機(jī)結(jié)合后，還可以延伸很多以前未 曾涉及的新業(yè)務(wù)領(lǐng)域。專業(yè)人士都知道，利用傳統(tǒng)的 PSTN（ Public Switched Telephone Network：公共交換電話網(wǎng)）進(jìn)行數(shù)據(jù)傳輸，雖然網(wǎng)絡(luò)內(nèi)部也實現(xiàn)了數(shù)字化，但由于電話局到用戶這段線路之間采用的仍是模擬傳輸方式，因而這就不可避免的會出現(xiàn)噪聲積累而引起失真。而采用 ISDN 方式，由于用戶線路實現(xiàn)了數(shù)字化，因而傳輸質(zhì)量自然得到很大提高。 目前常用的 ISDN 線路（ BRI）工作方式是 2B＋ D 模式（它已成為 CCITT 標(biāo)準(zhǔn)），即：兩個 B 信道（ Channel，它是基本數(shù)字信道 ）和一個 D 信道（控制數(shù)字信道）組成，每個 B 信道可以提供 64Kbps 的語音或數(shù)據(jù)傳輸， D 信道可提供 16Kbps（個別的也有 64Kbps 的）的信令控制作用，因此 BRI 總的頻寬為 144Kbps。 B 信道就是承載信道，其速率是根據(jù)數(shù)字化聲音的一項被稱為 PCM（ Pulse Code Modulation：脈沖編碼調(diào)制）技術(shù)標(biāo)準(zhǔn)得到的。 D 信道是信令控制信道，用戶通過它發(fā)出請求建立或終止聯(lián)系的信息。在 2B＋ D 模式中，用戶可以在一條電話線上（一個用戶號碼）實現(xiàn)兩路不同方式的同時傳輸。用戶只 要擁有一條 ISDN 線路，就可以提供上網(wǎng)、電話、傳真、可視圖文等多種業(yè)務(wù)，也可以享受一邊上網(wǎng)沖浪，一邊電話聊天的樂趣；當(dāng)然也可以兩個人同時電話聊天。也正因為有此獨到之處， ISDN 在如今的高智能化小區(qū)很受寵愛。 ISDN 的傳輸速度快是 ISDN 的突出特點。它的一條 B 信道速率就可達(dá)到 64Kbps，其接入速率至少是普通 PSTN＋ 45Kbps 速率（必須是 56K Modem 開足馬力）所能達(dá)到的 倍。而如果將兩條 B 信道合起來使用，這樣就可以輕而易舉的達(dá)到 128Kbps 的傳輸速率。 128Kbps 至少是 45Kbps 速率（ 56K Modem 方式）的 倍，讓你盡情享受高速沖浪帶來的快感。而由此節(jié)省下來的時間和 9 通訊費更是難以用金錢來衡量。從測試來看，正常情況下使用一個 B 信道 Data Download（數(shù)據(jù)下載）速率為 6K/s 左右，如果兩個信道合并使用可以達(dá)到 12K14K，這還只是平均下載速度。而一般 56K Modem 最高不會超過 5K/s，如果遇到堵塞的話速度就很難保證了，有時甚至只有 1K/s。不僅如此， ISDN 還可以在 64K 速度上網(wǎng)的同時，在另一個通道上電話聊天，這正是 ISDN 享有 “ 一線通 ” 贊譽的主要原因。 基于上述理由， 一旦系統(tǒng)網(wǎng)絡(luò)在工作時，主用線路出現(xiàn)故障或者過載擁堵，主用線路可立即切換到 ISDN 網(wǎng)的備份線路，保證線路的暢通無阻和高速連接。由于使用 ISDN 網(wǎng)作為 DDN 的備份線路，在原有網(wǎng)絡(luò)的基礎(chǔ)上，最大限度地利用了用戶原有的資源，節(jié)省了投入資金，同時緩解了主用線路的壓力。 路由器的冗余 在國家教育部的網(wǎng)絡(luò)中心，我們將采用路由冗余結(jié)構(gòu)，即使用兩臺硬件配置相同的路由器作為網(wǎng)絡(luò)中心的接入設(shè)備，其中一臺是日常使用的主路由，負(fù)責(zé)日常的接入工作。另一臺備份路由則在日常使用的主路 由發(fā)生宕機(jī)的情況下及時替換主路由成為網(wǎng)絡(luò)的主要接入設(shè)備，以保證我們在對主路由進(jìn)行檢修時不會影響整個網(wǎng)絡(luò)的數(shù)據(jù)交換。如果主路由發(fā)生了數(shù)據(jù)擁塞，備份路由也可接替主路由的位置，為主路由分擔(dān)通信流量。 目前，進(jìn)行熱備冗余設(shè)計和調(diào)試是使用 HSRP 熱備路由協(xié)議。 HSRP 協(xié)議利用一個優(yōu)先級方案來決定哪個配置了 HSRP 協(xié)議的路由器成為默認(rèn)的主動路由器。如果一個路由器的優(yōu)先級設(shè)置得比所有其他路由器的優(yōu)先級高，則該路由器成為主動路由器。路由器的缺省優(yōu)先級是 100，所以如果只設(shè)置一個路由器的優(yōu)先級高于 100，則該路由器將成為主 動路由器。 通過在設(shè)置了 HSRP 協(xié)議的路由器之間廣播 HSRP 優(yōu)先級， HSRP 協(xié)議選出當(dāng)前的主動路由器。當(dāng)在預(yù)先設(shè)定的一段（ Hold Time 缺省為 10 秒）時間內(nèi)主動路由器不能發(fā)送 hello 消息，或者說 HSRP檢測不到主動路由器的 hello 消息時，將認(rèn)為主動路由器有故障，這時 HSRP 會選擇優(yōu)先級最高的備用路由器變?yōu)橹鲃勇酚善?，同時將按 HSRP 優(yōu)先級在配置了 10 HSRP 的路由器中再選擇一臺路由器作為新的備用路由器。 所有參與 HSRP 的路由器共享一個虛的 IP 地址，網(wǎng)絡(luò)中的工作站將缺省網(wǎng)關(guān)指向該虛地址，被選出的主動路 由器負(fù)責(zé)轉(zhuǎn)發(fā)由工作站發(fā)到虛地址的數(shù)據(jù)包。Hello 消息是基于 UDP 的信息包，配置了 HSRP 的路由器將會周期性的廣播 Hello消息包，并利用 Hello 消息包來選擇主動路由器和備用路由器及判斷路由器是否失效。 配置了 HSRP 協(xié)議的路由器交換以下三種多點廣播消息： Hello──hello 消息通知其他路由器，發(fā)送路由器的 HSRP 優(yōu)先級和狀態(tài)信息， HSRP 路由器默認(rèn)為每 3秒鐘發(fā)送一個 hello 消息； Coup── 當(dāng)一個備用路由器變?yōu)橐粋€主動路由器時發(fā)送一個 coup消息； Resign── 當(dāng)主動路由器要宕機(jī)或者 當(dāng)有優(yōu)先級更高的路由器發(fā)送hello 消息時，主動路由器發(fā)送一個 resign 消息。 在任一時刻，配置了 HSRP 協(xié)議的路由器處于由以下六種狀態(tài)： Initial —— 表示路由器的 HSRP還未運行，一般在配置第一臺 HSRP路由器時會顯示此狀態(tài)； Learn—— 表示配置 HSRP 的路由器還未知道虛地址，并一直監(jiān)聽來自主動路由器的消息包； Listening── 表示配置 HSRP 的路由器還已知道虛地址，路由器還在監(jiān)聽 hello 消息； Speaking and listening── 路由器正在發(fā)送和監(jiān)聽 hello 消 息； Standby── 處于被用狀態(tài)，當(dāng)主動路由器失效時路由器可被選為主動路由器，接管包轉(zhuǎn)發(fā)功能； Active── 路由器執(zhí)行包轉(zhuǎn)發(fā)功能。 網(wǎng)絡(luò)安全的設(shè)計 一個網(wǎng)絡(luò)的正常使用，是建立在安全的基礎(chǔ)上的。如果沒有相應(yīng)的網(wǎng)絡(luò)安全措施，那么，我們的數(shù)據(jù)將會被截流，流量將會被監(jiān)聽，系統(tǒng)將會被破壞，一些正常的網(wǎng)絡(luò)應(yīng)用將不能進(jìn)行。因此，在進(jìn)行網(wǎng)絡(luò)規(guī)劃時，我們需要全盤考慮網(wǎng)絡(luò) 11 安全的問題，同時依據(jù)這個網(wǎng)絡(luò)的特點進(jìn)行相關(guān)的網(wǎng)絡(luò)安全設(shè)計。 這次國家教育網(wǎng)絡(luò)的建設(shè)主體是一個完整的廣域網(wǎng)系統(tǒng)，同時，在每一個廣域網(wǎng)的節(jié)點上又 有一個局域網(wǎng)存在，因此，我們不但要考慮局域網(wǎng)的內(nèi)部安全，同時要考慮廣域網(wǎng)的外部安全。一般來說，整體網(wǎng)絡(luò)安全會考慮以下幾個部分： （ 1）身份驗證、授權(quán)和統(tǒng)計 身份驗證 —— 提供了識別用戶的方法，包括登錄和口令對話框、詢問和應(yīng)答、支持消息收發(fā)以及根據(jù)所選的安全協(xié)議進(jìn)行加密。身份驗證是允許用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)之前對其進(jìn)行識別的方法。 授權(quán) —— 提供了進(jìn)行遠(yuǎn)程訪問控制的方法，包括一次性身份驗證或針對每種服務(wù)的身份驗證；用戶帳戶列表和配置文件；用戶組支持；對 IP 、 IPX、 ARA和 Tel 的支持。 統(tǒng)計 —— 提供了 收集和發(fā)送安全服務(wù)器信息的方法，這些信息包括用戶身份、開始和結(jié)束時間、已執(zhí)行的命令、分組數(shù)目以及字節(jié)數(shù)等，可以用來計費、審計以及制作報表等。通過統(tǒng)計，可以跟蹤用戶正在訪問的服務(wù)，以及他們占用的網(wǎng)絡(luò)資源。 （ 2）安全服務(wù)協(xié)議 RADIUS—— 一種分布式客戶機(jī) /服務(wù)器系統(tǒng)，通過 AAA 來實現(xiàn)，可以防止網(wǎng)絡(luò)遭受未經(jīng)授權(quán)的訪問，并向中央 RADIUS 服務(wù)器發(fā)送身份認(rèn)證請求。 TACACS+—— 一種安全應(yīng)用程序，通過 AAA 來實現(xiàn)，對用戶試圖訪問路由器或網(wǎng)絡(luò)訪問服務(wù)器的舉動進(jìn)行集中驗證。 TACACS+服務(wù)保存在 TACACS+ daemon上的一個數(shù)據(jù)庫中，而 TACACS+ daemon 通常運行在 UNIX 或 Windows NT 工作站上。 TACACS+提供了單獨的、模塊化的身份認(rèn)證、授權(quán)和統(tǒng)計功能。 TACACS和擴(kuò)展 TACACS—— TACACS是一種較老的訪問協(xié)議，與較新的 TACACS+協(xié)議不兼容。出于安全和統(tǒng)計的用途， TACACS 對用戶行為進(jìn)行口令檢查、身份認(rèn)證和通知。擴(kuò)展 TACACS 是較老的 TACACS 協(xié)議的擴(kuò)展，提供了一些附加的功能。 Kerberos—— 一種通過 AAA 實現(xiàn)的密鑰網(wǎng)絡(luò)身份認(rèn)證協(xié)議，使用數(shù)據(jù)加密標(biāo) 12 準(zhǔn)（ DES）加密算法進(jìn)行加密和身份認(rèn)證。 Kerberos 用來對網(wǎng)絡(luò)資源進(jìn)行身份認(rèn)證。 Kerberos 基于這樣一種概念，即由可信的第三方對用戶和服務(wù)實施安全驗證。 Kerberos 的主要用途是驗證用戶及其使用的網(wǎng)絡(luò)服務(wù)是否名副其實。為此，由可信的 Kerberos 服務(wù)器對用戶發(fā)放證書。這些證書有一定的期限，存儲在用戶的憑證 cache 中，可以用來代替標(biāo)準(zhǔn)的用戶名 — 口令身份認(rèn)證機(jī)制。 （ 3）數(shù)據(jù)流過濾 我們通過訪問控制列表來實現(xiàn)數(shù)據(jù)流過濾。訪問列表可以對針對所有網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)流過濾。通過對訪問列表的配置，可以控制對網(wǎng)絡(luò)的 訪問，訪問列表能夠禁止特定的數(shù)據(jù)流進(jìn)入或離開網(wǎng)絡(luò)。 訪問列表通過控制在路由器的接口上轉(zhuǎn)發(fā)還是阻斷被路由的分組來過濾網(wǎng)絡(luò)數(shù)據(jù)流。路由器檢查每一個分組，并根據(jù)訪問列表指定的準(zhǔn)則來確定轉(zhuǎn)發(fā)還是丟棄該分組。訪問列表指責(zé)可以針對數(shù)據(jù)流的源地址、目標(biāo)地址、上層協(xié)議或其他信息。由于高級用戶無須進(jìn)行身份驗證，所以他們有時可以繞過或欺騙基本訪問列表。 應(yīng)該使用訪問列表為網(wǎng)絡(luò)訪問提供基本的安全