【正文】 應保 證 CATV 信 息 的 安 全 傳 輸， 根 據(jù) 部 同 用 戶 的 不 同 需 求 為 其 采 取 相 應 的 安 全 措 施。 這 就 要 求 對 于 此 網 絡 的 建 設 應 充 分 考 慮 到 其 設 備 的 可 靠 性， 網 絡 設 計 的 冗 余 性。 不 但 如 此， 路 由 器 還 必 須 提 供 強 有 力 的 手 段 來 保 證 路 3 由 器 給 出 的 RSVP 的 承 諾。首 先， IP 路 由 的 硬 件 已 發(fā) 展 為 采 用 全 交 換 的 高 速 背 板結構， 可 實 現(xiàn) IP 的 線 速 的 傳 輸，是 實 現(xiàn) IP 語 音、視 頻 實時 傳 輸 的 基 礎。 因 此， 今 天 如 果 我 們 要 建 立 一 個 面 向 公 眾 的 信 息 傳 播 和 網 絡 互 聯(lián) 的 信 息 服 務 網 絡， 那 么 支 持 端 到 端 的 多 媒 體 應 用 已 是 建 網 的 最 基 本 的 要 求 了。 物理網絡的規(guī)劃和建設可分 為線路傳輸、數(shù)據(jù)通訊網絡、接入三個層次來進行。 線路傳輸層改造 傳統(tǒng)有線電視網的媒質為光纖同軸混合網。 現(xiàn) 今 的 Inter 因 其 規(guī) 模 巨 大， 涉 及 的 用 戶 數(shù) 量 非 常 龐 大， 這 就 意 味 著 在 向 支 持 多 媒 體 的 2 新 技 術 和 新 服 務 方 面 上 的 轉 移 需 要 一 個 相 當 長 的 過 渡 階 段。 基 于 Inter 信 息 服 務 的 迅 猛 發(fā) 展， 使 得 未 來 的 發(fā) 展 IP 將 占 據(jù) 主 導 的 地 位。 在 IP 服 務 層 上 需 要 提 供 的 另 一 服 務 是 VPN/VPDN（ 虛 擬 專 網 / 虛 擬 撥 號 專 網）。 尤 其 在 未 來 擴 展 ， 南昌 廣 電 綜 合 信 息 網 發(fā) 展 為 一 個 服 務 提 供 者。 網 絡 方 案 簡 介 漯 河 市 城 市 光 纜 有 線 電 視 網 絡 采 用 二 級 網 絡 方 式 建 設 ， 即 分 別 在 省 廣 播 電 視 廳 、 南 昌 市 廣 播 電 視 局 、 孺 子 路 、 青 云 譜 區(qū) 政 府 、 昌 北 建 立 五 個 分 中 心 ， 分 中 心 之 間 采 用 環(huán) 路 設 計 ， 初 期 建 設 1310 模 擬 自 愈 環(huán) 路 光 傳 輸 干 線 網 絡 ， 待 各 方 面 條 件 成 熟 ， 過 渡 到 DPT 數(shù) 字 環(huán) 型 網 絡 ； 分 中 心 至 各 光 節(jié) 點 按 星 結 構 布 局 ，光 節(jié) 點 至 用 戶 采 用 銅 軸 電 纜 傳 輸 。 漯 河 市 廣 電 綜 合 信 息 網 如 圖 所 示 ： 7 在 漯 河 廣 播 電 視 局 、 省廣 播 電 視 廳 、 孺 子 路 、 青 云 譜 區(qū)、 昌 北 區(qū) 、 各 配 置 一 臺 GSR 12020，交 換 容 量 40Gbps。 采 用 星 型 模 式 埋 設 廣 纜 ， 選 用 DPT 技 術 傳 輸 。 9 南 昌 市 CATV 市 級 寬 帶 骨 干 網 (包 括 縣 級 網 ) 如 下 圖 所 示 ： 南昌廣電綜 合 信 息 IP 骨 干 網 縣 級 節(jié) 點 市 內 節(jié) 點 CISCO7206 CISCO7206 Catalyst5505 Catalyst5505 CISCO 12020 Web 服 務 器 Catalyst2900 GSR12020 Catalyst2900 Catalyst2900 用 戶 網 用 戶 網 縣 級 節(jié) 點 155Mbps*2 POS / DPT 100Mbps 100Mbps 100Mbps 。 此 外 ， 還 配 置 一 臺 網 絡 交 換 機 Catalyst5505， 上 配 一 塊 24 端 口 10/100 自 適 應 以 太 模 板 用 于 接 入 用 戶 網 。 高 性 能 的 網 絡 設 備 的 高 性 能 ： 方 案 中 選 用 的 GSR 12020 的 交 換 矩 陣 容 量 為 40Gbps ， 數(shù) 據(jù) 包 的 有 效 吞 吐 能 力 達 四 千 萬 PPS，可提 供 的 STM－ 1 的 SDH 的 端 口 達 28 個， STM－ 4 的 端 口 可 支 持 7 端 口。 Cisco3640 的話 音 端 口 提 供 PBX 的 模 擬 中 繼 接 入。通過路由器將內部網連入廣電骨干網，運用 VPN 技術組建自己的虛擬專網，可以取代 DDN 的組網方式，從而每年為用戶節(jié)省大量的線路租用費。這是目前解決最后一公里接入的最經濟且性價比最優(yōu)，極具競爭力的聯(lián)網方案。它不但具有基本的調制解調器功能，而且還能夠提供網絡集線器（ HUB），路由器（ ROUTE），加密解密器等設備的功能。 使用 CableModem 可以對 Inter 進行高速度的訪問，并可提供音頻、視頻等多項業(yè)務內容。 本期方案中，我們也考慮了IP 電話的應用。 網絡的安全可從兩個層次加以分析： 外部網絡安全 南昌 CATV 寬帶 IP 網通過數(shù)據(jù)專線進入 INTERNET 國際互連網絡。 安 全 系 統(tǒng) 的 實 施 南 昌 廣 電 CATV 網 絡 安 全 系 統(tǒng) 采 用 系 統(tǒng) 設 計 、統(tǒng) 一 規(guī) 劃 、統(tǒng) 一 實 施 的 原 則 。作用有兩個： 一、完成南昌市 C AT V 網私有 IP 地址與 I N T E R N E T 真地址之間的地址轉換功能 ( N AT )； 南 昌市 C AT V 網 絡將按照綜合網 絡平 臺的規(guī)模做細致的全 網IP 規(guī)劃，我們可將全網分為 C AT V 內部網和與 I N T E R N E T 服務提供商 ( I S P ) 相連的外部網部分?；?WWW 的 U R L (統(tǒng)一資源定位 )、 J AVA控件等的進一步限制，我們可在防火墻系統(tǒng)上建立 D M Z( 安全的非軍事區(qū) ) 來達 到控制 目的。 (6) 信息安全保密技術與措施： 通過路由器、服務器和重要的工作站上設置“防火墻 ”，重要或敏感的網絡出入設置專用訪問控制機構，對所有各級保密數(shù)據(jù)在傳送之前進行加密處理。攻擊者可以采用字典攻擊法破解。靜態(tài)的口令不再足夠安全，因為口令是入侵者最常用的切入點。 特點 一步完成的簡易用戶身份認證； 防止未經授權者獲取信息資源； 對網絡、系統(tǒng)、應用或交易過程中的用戶進行身份認證； 每 60 秒自動變換出不可推測、一次性使用的訪問密碼； 無需令牌閱讀器，可用于任何終端，包括臺式機、便攜機或工作站 對遠程訪問非常適宜； 在多平臺企業(yè)安全環(huán)境中，能兼容各種訪問控制模式； 終生保修； 防損壞。當授權用戶欲訪問一個被保護的資源時，他只需輸入自己的 P I N，然后輸入當前 S e c u r l D 令牌顯示的密碼。傳統(tǒng)的用戶口令，在傳輸過程中，是不加密的，對于傳統(tǒng)口令的破譯，是當前黑客攻擊網絡并侵入的常用手段。 (4) 操作系統(tǒng)上運行的每個進程的檢查。 結論：對于南昌市 C A T V 網絡信息平臺，以上從撥號用戶 A C S、一次性口令系統(tǒng)、防火墻技術、應用網關代理等層次解決了網絡安全問題。 25 . 2 接 入 網 IP 話 音 業(yè) 務 在 IP骨 干 網 的 傳 輸 IP語 音 所 采 用 的 技 術 如 第 二 章 所 述 為 的 協(xié) 議 。 26 . 4 接 入 網 VPN 業(yè) 務 在 IP 骨 干 網 的 傳 輸 VPN 業(yè) 務 是 ATM 接 入 網 對 于 企 業(yè) 用 戶 提 供 的 主 要 業(yè) 務 ， 其 提 供 VPN 的 主 要 方 式 有 MPOA， PVC， VP Tunnel 的 做 法 。 28 如 果 采 用 MPLS 標 記 交 換 TAGVPN 的 方 式 ， 主 要 利 用 標 記 來 區(qū) 分 ATM接 入 網 中 企 業(yè) 用 戶 VPN 的 通 道 ， 在 ATM接 入 網 中 VPN 的 通 道 可 用 VPI/VCI 來 區(qū) 別 ， 而 標 記 交 換 中 的 標 記 即 采 用 VPI/VCI。 在 這 里 同 樣 不 介 意 用 戶 的 數(shù) 據(jù) 類 型 與 接 入 方 式 。 另 外 ， 此 類 用 戶 的 接 入 方 式 也 較 為 豐 富 10/100Mbps， Cable Modem， CES E1， FR 等 。 通 過 RFC 1577， LANE ， 在 ATM 網 上 的 傳 輸 。 作 為 南 昌 市 IP 骨 干 網 ， 以 下 主 要 針 對 如 果 南 昌 市 IP骨 干 網 中 有 ATM 接 入 網 通 過 IP 骨 干 網 涉 及 的 幾 方 面 內 容 進 行 討 論 。 (6) 反病毒。通過與 SD 令牌結合使用的 A C E S E R V E R ，完成對令牌持有者、用戶組的認證和授權。 A C M 可放置在主機中，也可在操作系統(tǒng)、網絡 / 客戶資源或通訊設施中，或其他任何需要安全保護的信息資源中。而當一個未經授權的用戶進入一個被視為完全安全的系統(tǒng)時，所有特權的定義和訪問路徑核審功能都變得毫無意義 ┅┅ 總而言之，損失已成事實。 21 A C E / S e r v e r 在您的網絡周圍形成一個安全界限，確保只有授權用戶方能進入，與 S e c ur l D 家族的軟、硬件令牌一起使用時，A C E / S e r v e r 將強勁的雙因素身份認證與強有力的、獨特的、基于時間的安全算法規(guī)則相結合，以驗證試圖訪問網絡資源的用戶的身份及合法性。 一 次 性 口 令 就 是 針 對 以 上 弱 點 的 安全的口令認證 機 制， 其 特 征 是 口 令 不 能 夠 重 用 ， 口 令 一 次 使 用 后 就 失 效 ， 下 次 的 口 令 必 然 隨 機 變 化。 防火墻采用CISCO 的 PIX 硬件。 由 上 所 述 ， 在 內 外 網 相 連 處 采 用 防 火 墻 來 保 證 避 免 來 自 19 IN T E R N E T 上不安全因素的攻擊。而在 C AT V 網外部，它是與 IN T E R N E T 真正相連的部分，這種連通性是由真正的 I N T E R N E T / IP 地址來保證的，為了使部分 I N T E R N E T I P 地址來對應 C AT V 內部網規(guī)劃的合法 IP來保證網絡的連通性，我們利