【正文】 傳輸只有唯一的通信線路，那么，線路的效率勢(shì)必成為通信的瓶頸。另外，不可靠的通信也可能造成數(shù)據(jù)丟失。因此，通信線路必須有備份線路，用以保護(hù)數(shù)據(jù)及重要業(yè)務(wù)，保證業(yè)務(wù)能連續(xù)、正常地運(yùn)轉(zhuǎn)。 因此 在使用 DDN 專線作為主要通訊線路的基礎(chǔ)上，我們建議采用 ISDN 冗余撥號(hào)線路作為備份線路，在 DDN 線路擁塞或中斷時(shí)啟用，以保證日常工作數(shù)據(jù)的不間斷傳輸。 DDN 即數(shù)字?jǐn)?shù)據(jù)網(wǎng)，是以傳輸數(shù)據(jù)信號(hào)為主的數(shù)字傳輸網(wǎng)絡(luò)， DDN 可以為用戶提供點(diǎn)對(duì)點(diǎn)，點(diǎn)對(duì)多點(diǎn)的全數(shù)字、全透明、入網(wǎng)速率在 2Mbit/s 以內(nèi)的高質(zhì)量數(shù)字專用傳 輸通道，以滿足用戶對(duì)多媒體通信和組建中高速計(jì)算機(jī)通信網(wǎng)的需要。分組交換是 20 世紀(jì) 80年代后期蓬勃發(fā)展并在世界范圍內(nèi)被廣泛應(yīng)用的數(shù)據(jù)通信技術(shù)，他以 CCITT 協(xié)議為基礎(chǔ)，將數(shù)據(jù)信息按照一定的規(guī)則分割成定 7 長(zhǎng)的數(shù)據(jù)分組，采用 “ 存儲(chǔ)轉(zhuǎn)發(fā) ” 的方式在交換網(wǎng)上傳輸，到達(dá)目的地后，再組裝還原成原先網(wǎng)站的數(shù)據(jù)信息傳送給用戶。分組交換可以實(shí)現(xiàn)不同類型、不同速率和不同規(guī)程計(jì)算機(jī)之間的聯(lián)網(wǎng)通信，進(jìn)行信息檢索、資源共享。 DDN 是為用戶提供數(shù)據(jù)專線服務(wù)的網(wǎng)絡(luò)，是一種基于 TDM(時(shí)分復(fù)用 )的傳輸技術(shù)，它可以為用戶提供一條獨(dú)享 的端到端的透明傳輸信道，用戶可在該通道上加載所需的各種高層業(yè)務(wù)，如語音、 IP、 ATM和幀中繼等。由于 DDN 通道之間是完全隔離的，因此它具有很好的安全性。 DDN設(shè)備結(jié)合用戶終端設(shè)備可提供多種速率的用戶專線通道業(yè)務(wù)，包括子速率 、 、 、 ??Nx64kbps 及最高到 2Mbps 速率的 DDN 通道。 DDN作為數(shù)據(jù)通信的支撐網(wǎng)絡(luò)，其主要作用是為用戶提供高速、優(yōu)質(zhì)的數(shù)據(jù)傳輸通道，為用戶網(wǎng)絡(luò)的互連提供橋梁。 目前， DDN 專線的電氣接口主要采用 方式。 接口的機(jī)械 特性，規(guī)定使用 34 芯的連接器（符合 ISO 2593 標(biāo)準(zhǔn)），電路插針分配及功能如表 1。在實(shí)際使用中，有的只用其部分芯線插針，因而也有用芯少的連接器，接法則自己定義。對(duì)于同步接口，規(guī)程特性中最重要的是時(shí)鐘線，時(shí)鐘線指的是11 114 和 115 電路。時(shí)鐘線起很大的作用， DTE或 DCE 接口要不斷用對(duì)端時(shí)鐘線傳來的時(shí)鐘對(duì)自己的時(shí)鐘進(jìn)行校正（一般是利用鎖相環(huán)電路進(jìn)行時(shí)鐘同步），以便正確提取數(shù)據(jù)。 ISDN 是以綜合數(shù)字電話網(wǎng)為基礎(chǔ)發(fā)展起來的通信網(wǎng)絡(luò)，提供端到端的數(shù)字化連接。 ISDN 能夠通過公共電話網(wǎng)的一對(duì)用戶線為客戶提 供多種綜合業(yè)務(wù)，使信息的傳遞速度高、準(zhǔn)確性強(qiáng)， 能 節(jié)省時(shí)間及線路開銷，帶來很多方便。具體地說，它建立在現(xiàn)有公共交換電話網(wǎng)（ PSTN）基礎(chǔ)之上，網(wǎng)絡(luò)改造費(fèi)用低 ； 大大提高了現(xiàn)有電話線路的通信帶寬 ,通信建立時(shí)間短，可靠性高 ； 基本速率（ 2B+D 144Kbps）和基群速率 (30B+D 2Mbps)提供的帶寬可用于主干網(wǎng)傳輸，并可實(shí)現(xiàn)按需分配帶寬，有效利用資源，降低通信費(fèi)用。 ISDN 目前主要提供兩種類型服務(wù)：一種是 BRI（ Basic Rate Interface：基本速率接口）服務(wù)，再一種是 PRI（ Primary Rate Interface：一次群速率接 8 口）服務(wù)。前者適用于個(gè)人用戶和小型企業(yè)；后者適用于大型企業(yè)和集團(tuán)用戶。ISDN 作為專用的全數(shù)字化網(wǎng)，它能以迅速、準(zhǔn)確、高效的方式提供各種通信網(wǎng)絡(luò)中現(xiàn)有的服務(wù)，不論信息是語音、文字，還是圖形、圖像都可以轉(zhuǎn)換成數(shù)字信息進(jìn)行傳輸。即使是如今時(shí)髦的多媒體會(huì)議電視， ISDN 同樣可以最大限度給以滿足。由此可見， ISDN 的優(yōu)點(diǎn)在于它可直接進(jìn)行數(shù)字信號(hào)的交換和傳輸，具有完整的數(shù)字傳輸標(biāo)準(zhǔn)，并能根據(jù)需要分配其帶寬。同時(shí)將通信技術(shù)和數(shù)據(jù)處理技術(shù)有機(jī)結(jié)合后，還可以延伸很多以前未 曾涉及的新業(yè)務(wù)領(lǐng)域。專業(yè)人士都知道，利用傳統(tǒng)的 PSTN（ Public Switched Telephone Network：公共交換電話網(wǎng)）進(jìn)行數(shù)據(jù)傳輸，雖然網(wǎng)絡(luò)內(nèi)部也實(shí)現(xiàn)了數(shù)字化，但由于電話局到用戶這段線路之間采用的仍是模擬傳輸方式，因而這就不可避免的會(huì)出現(xiàn)噪聲積累而引起失真。而采用 ISDN 方式，由于用戶線路實(shí)現(xiàn)了數(shù)字化，因而傳輸質(zhì)量自然得到很大提高。 目前常用的 ISDN 線路（ BRI）工作方式是 2B＋ D 模式（它已成為 CCITT 標(biāo)準(zhǔn)），即：兩個(gè) B 信道（ Channel，它是基本數(shù)字信道 ）和一個(gè) D 信道（控制數(shù)字信道）組成，每個(gè) B 信道可以提供 64Kbps 的語音或數(shù)據(jù)傳輸， D 信道可提供 16Kbps（個(gè)別的也有 64Kbps 的）的信令控制作用，因此 BRI 總的頻寬為 144Kbps。 B 信道就是承載信道，其速率是根據(jù)數(shù)字化聲音的一項(xiàng)被稱為 PCM（ Pulse Code Modulation：脈沖編碼調(diào)制）技術(shù)標(biāo)準(zhǔn)得到的。 D 信道是信令控制信道，用戶通過它發(fā)出請(qǐng)求建立或終止聯(lián)系的信息。在 2B＋ D 模式中，用戶可以在一條電話線上（一個(gè)用戶號(hào)碼）實(shí)現(xiàn)兩路不同方式的同時(shí)傳輸。用戶只 要擁有一條 ISDN 線路，就可以提供上網(wǎng)、電話、傳真、可視圖文等多種業(yè)務(wù)，也可以享受一邊上網(wǎng)沖浪，一邊電話聊天的樂趣；當(dāng)然也可以兩個(gè)人同時(shí)電話聊天。也正因?yàn)橛写霜?dú)到之處， ISDN 在如今的高智能化小區(qū)很受寵愛。 ISDN 的傳輸速度快是 ISDN 的突出特點(diǎn)。它的一條 B 信道速率就可達(dá)到 64Kbps，其接入速率至少是普通 PSTN＋ 45Kbps 速率（必須是 56K Modem 開足馬力）所能達(dá)到的 倍。而如果將兩條 B 信道合起來使用，這樣就可以輕而易舉的達(dá)到 128Kbps 的傳輸速率。 128Kbps 至少是 45Kbps 速率（ 56K Modem 方式）的 倍，讓你盡情享受高速?zèng)_浪帶來的快感。而由此節(jié)省下來的時(shí)間和 9 通訊費(fèi)更是難以用金錢來衡量。從測(cè)試來看，正常情況下使用一個(gè) B 信道 Data Download（數(shù)據(jù)下載）速率為 6K/s 左右，如果兩個(gè)信道合并使用可以達(dá)到 12K14K，這還只是平均下載速度。而一般 56K Modem 最高不會(huì)超過 5K/s，如果遇到堵塞的話速度就很難保證了，有時(shí)甚至只有 1K/s。不僅如此， ISDN 還可以在 64K 速度上網(wǎng)的同時(shí)，在另一個(gè)通道上電話聊天，這正是 ISDN 享有 “ 一線通 ” 贊譽(yù)的主要原因。 基于上述理由， 一旦系統(tǒng)網(wǎng)絡(luò)在工作時(shí)，主用線路出現(xiàn)故障或者過載擁堵，主用線路可立即切換到 ISDN 網(wǎng)的備份線路，保證線路的暢通無阻和高速連接。由于使用 ISDN 網(wǎng)作為 DDN 的備份線路，在原有網(wǎng)絡(luò)的基礎(chǔ)上，最大限度地利用了用戶原有的資源，節(jié)省了投入資金，同時(shí)緩解了主用線路的壓力。 路由器的冗余 在國(guó)家教育部的網(wǎng)絡(luò)中心，我們將采用路由冗余結(jié)構(gòu)，即使用兩臺(tái)硬件配置相同的路由器作為網(wǎng)絡(luò)中心的接入設(shè)備，其中一臺(tái)是日常使用的主路由，負(fù)責(zé)日常的接入工作。另一臺(tái)備份路由則在日常使用的主路 由發(fā)生宕機(jī)的情況下及時(shí)替換主路由成為網(wǎng)絡(luò)的主要接入設(shè)備，以保證我們?cè)趯?duì)主路由進(jìn)行檢修時(shí)不會(huì)影響整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換。如果主路由發(fā)生了數(shù)據(jù)擁塞，備份路由也可接替主路由的位置，為主路由分擔(dān)通信流量。 目前，進(jìn)行熱備冗余設(shè)計(jì)和調(diào)試是使用 HSRP 熱備路由協(xié)議。 HSRP 協(xié)議利用一個(gè)優(yōu)先級(jí)方案來決定哪個(gè)配置了 HSRP 協(xié)議的路由器成為默認(rèn)的主動(dòng)路由器。如果一個(gè)路由器的優(yōu)先級(jí)設(shè)置得比所有其他路由器的優(yōu)先級(jí)高，則該路由器成為主動(dòng)路由器。路由器的缺省優(yōu)先級(jí)是 100，所以如果只設(shè)置一個(gè)路由器的優(yōu)先級(jí)高于 100，則該路由器將成為主 動(dòng)路由器。 通過在設(shè)置了 HSRP 協(xié)議的路由器之間廣播 HSRP 優(yōu)先級(jí)， HSRP 協(xié)議選出當(dāng)前的主動(dòng)路由器。當(dāng)在預(yù)先設(shè)定的一段（ Hold Time 缺省為 10 秒）時(shí)間內(nèi)主動(dòng)路由器不能發(fā)送 hello 消息，或者說 HSRP檢測(cè)不到主動(dòng)路由器的 hello 消息時(shí)，將認(rèn)為主動(dòng)路由器有故障，這時(shí) HSRP 會(huì)選擇優(yōu)先級(jí)最高的備用路由器變?yōu)橹鲃?dòng)路由器，同時(shí)將按 HSRP 優(yōu)先級(jí)在配置了 10 HSRP 的路由器中再選擇一臺(tái)路由器作為新的備用路由器。 所有參與 HSRP 的路由器共享一個(gè)虛的 IP 地址，網(wǎng)絡(luò)中的工作站將缺省網(wǎng)關(guān)指向該虛地址，被選出的主動(dòng)路 由器負(fù)責(zé)轉(zhuǎn)發(fā)由工作站發(fā)到虛地址的數(shù)據(jù)包。Hello 消息是基于 UDP 的信息包，配置了 HSRP 的路由器將會(huì)周期性的廣播 Hello消息包，并利用 Hello 消息包來選擇主動(dòng)路由器和備用路由器及判斷路由器是否失效。 配置了 HSRP 協(xié)議的路由器交換以下三種多點(diǎn)廣播消息： Hello──hello 消息通知其他路由器，發(fā)送路由器的 HSRP 優(yōu)先級(jí)和狀態(tài)信息， HSRP 路由器默認(rèn)為每 3秒鐘發(fā)送一個(gè) hello 消息； Coup── 當(dāng)一個(gè)備用路由器變?yōu)橐粋€(gè)主動(dòng)路由器時(shí)發(fā)送一個(gè) coup消息； Resign── 當(dāng)主動(dòng)路由器要宕機(jī)或者 當(dāng)有優(yōu)先級(jí)更高的路由器發(fā)送hello 消息時(shí)，主動(dòng)路由器發(fā)送一個(gè) resign 消息。 在任一時(shí)刻，配置了 HSRP 協(xié)議的路由器處于由以下六種狀態(tài)： Initial —— 表示路由器的 HSRP還未運(yùn)行，一般在配置第一臺(tái) HSRP路由器時(shí)會(huì)顯示此狀態(tài)； Learn—— 表示配置 HSRP 的路由器還未知道虛地址，并一直監(jiān)聽來自主動(dòng)路由器的消息包； Listening── 表示配置 HSRP 的路由器還已知道虛地址，路由器還在監(jiān)聽 hello 消息； Speaking and listening── 路由器正在發(fā)送和監(jiān)聽 hello 消 息； Standby── 處于被用狀態(tài)，當(dāng)主動(dòng)路由器失效時(shí)路由器可被選為主動(dòng)路由器，接管包轉(zhuǎn)發(fā)功能； Active── 路由器執(zhí)行包轉(zhuǎn)發(fā)功能。 網(wǎng)絡(luò)安全的設(shè)計(jì) 一個(gè)網(wǎng)絡(luò)的正常使用，是建立在安全的基礎(chǔ)上的。如果沒有相應(yīng)的網(wǎng)絡(luò)安全措施，那么，我們的數(shù)據(jù)將會(huì)被截流，流量將會(huì)被監(jiān)聽，系統(tǒng)將會(huì)被破壞，一些正常的網(wǎng)絡(luò)應(yīng)用將不能進(jìn)行。因此，在進(jìn)行網(wǎng)絡(luò)規(guī)劃時(shí)，我們需要全盤考慮網(wǎng)絡(luò) 11 安全的問題，同時(shí)依據(jù)這個(gè)網(wǎng)絡(luò)的特點(diǎn)進(jìn)行相關(guān)的網(wǎng)絡(luò)安全設(shè)計(jì)。 這次國(guó)家教育網(wǎng)絡(luò)的建設(shè)主體是一個(gè)完整的廣域網(wǎng)系統(tǒng)，同時(shí)，在每一個(gè)廣域網(wǎng)的節(jié)點(diǎn)上又 有一個(gè)局域網(wǎng)存在，因此，我們不但要考慮局域網(wǎng)的內(nèi)部安全，同時(shí)要考慮廣域網(wǎng)的外部安全。一般來說，整體網(wǎng)絡(luò)安全會(huì)考慮以下幾個(gè)部分： （ 1）身份驗(yàn)證、授權(quán)和統(tǒng)計(jì) 身份驗(yàn)證 —— 提供了識(shí)別用戶的方法，包括登錄和口令對(duì)話框、詢問和應(yīng)答、支持消息收發(fā)以及根據(jù)所選的安全協(xié)議進(jìn)行加密。身份驗(yàn)證是允許用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)之前對(duì)其進(jìn)行識(shí)別的方法。 授權(quán) —— 提供了進(jìn)行遠(yuǎn)程訪問控制的方法，包括一次性身份驗(yàn)證或針對(duì)每種服務(wù)的身份驗(yàn)證；用戶帳戶列表和配置文件；用戶組支持；對(duì) IP 、 IPX、 ARA和 Tel 的支持。 統(tǒng)計(jì) —— 提供了 收集和發(fā)送安全服務(wù)器信息的方法，這些信息包括用戶身份、開始和結(jié)束時(shí)間、已執(zhí)行的命令、分組數(shù)目以及字節(jié)數(shù)等，可以用來計(jì)費(fèi)、審計(jì)以及制作報(bào)表等。通過統(tǒng)計(jì)，可以跟蹤用戶正在訪問的服務(wù)，以及他們占用的網(wǎng)絡(luò)資源。 （ 2）安全服務(wù)協(xié)議 RADIUS—— 一種分布式客戶機(jī) /服務(wù)器系統(tǒng)，通過 AAA 來實(shí)現(xiàn)，可以防止網(wǎng)絡(luò)遭受未經(jīng)授權(quán)的訪問，并向中央 RADIUS 服務(wù)器發(fā)送身份認(rèn)證請(qǐng)求。 TACACS+—— 一種安全應(yīng)用程序，通過 AAA 來實(shí)現(xiàn)，對(duì)用戶試圖訪問路由器或網(wǎng)絡(luò)訪問服務(wù)器的舉動(dòng)進(jìn)行集中驗(yàn)證。 TACACS+服務(wù)保存在 TACACS+ daemon上的一個(gè)數(shù)據(jù)庫中，而 TACACS+ daemon 通常運(yùn)行在 UNIX 或 Windows NT 工作站上。 TACACS+提供了單獨(dú)的、模塊化的身份認(rèn)證、授權(quán)和統(tǒng)計(jì)功能。 TACACS和擴(kuò)展 TACACS—— TACACS是一種較老的訪問協(xié)議，與較新的 TACACS+協(xié)議不兼容。出于安全和統(tǒng)計(jì)的用途， TACACS 對(duì)用戶行為進(jìn)行口令檢查、身份認(rèn)證和通知。擴(kuò)展 TACACS 是較老的 TACACS 協(xié)議的擴(kuò)展，提供了一些附加的功能。 Kerberos—— 一種通過 AAA 實(shí)現(xiàn)的密鑰網(wǎng)絡(luò)身份認(rèn)證協(xié)議，使用數(shù)據(jù)加密標(biāo) 12 準(zhǔn)（ DES）加密算法進(jìn)行加密和身份認(rèn)證。 Kerberos 用來對(duì)網(wǎng)絡(luò)資源進(jìn)行身份認(rèn)證。 Kerberos 基于這樣一種概念，即由可信的第三方對(duì)用戶和服務(wù)實(shí)施安全驗(yàn)證。 Kerberos 的主要用途是驗(yàn)證用戶及其使用的網(wǎng)絡(luò)服務(wù)是否名副其實(shí)。為此，由可信的 Kerberos 服務(wù)器對(duì)用戶發(fā)放證書。這些證書有一定的期限，存儲(chǔ)在用戶的憑證 cache 中，可以用來代替標(biāo)準(zhǔn)的用戶名 — 口令身份認(rèn)證機(jī)制。 （ 3）數(shù)據(jù)流過濾 我們通過訪問控制列表來實(shí)現(xiàn)數(shù)據(jù)流過濾。訪問列表可以對(duì)針對(duì)所有網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)流過濾。通過對(duì)訪問列表的配置，可以控制對(duì)網(wǎng)絡(luò)的 訪問，訪問列表能夠禁止特定的數(shù)據(jù)流進(jìn)入或離開網(wǎng)絡(luò)。 訪問列表通過控制在路由器的接口上轉(zhuǎn)發(fā)還是阻斷被路由的分組來過濾網(wǎng)絡(luò)數(shù)據(jù)流。路由器檢查每一個(gè)分組，并根據(jù)訪問列表指定的準(zhǔn)則來確定轉(zhuǎn)發(fā)還是丟棄該分組。訪問列表指責(zé)可以針對(duì)數(shù)據(jù)流的源地址、目標(biāo)地址、上層協(xié)議或其他信息。由于高級(jí)用戶無須進(jìn)行身份驗(yàn)證，所以他們有時(shí)可以繞過或欺騙基本訪問列表。 應(yīng)該使用訪問列表為網(wǎng)絡(luò)訪問提供基本的安全