（计算机系统结构专业论文）基于层次化的教育网的设计与实现.pdf

山东大学硕士学位论文 摘要 目前，网络通信技术和计算机技术飞速发展，人们学习的内容和形式也发生 了巨大的变化。教育系统内实现信息处理计算机化，信息交流网络化，已经成为 迫在眉睫的事情。随着现代化教育对资源利用的需求，设计一个包含先进技术的 城域网，具有重要的现实意义。本文就如下的问题展开了讨论： 一网络体系结构的选择，平面拓扑结构的网络设计在开扩展性、可监测性、 可管理等方面都有着很大的局限性，所以这种拓扑结构这适用于小型广域网络的 设计。而本文要讨论的是一个县教育网络的设计，因而我们采用了分层结构设计 的思想，网络大体分为三层，中心层、转接层、接入层。中心层的功能主要是实 现骨干网络之间的优化传输，其设计重点在于冗余能力、可靠性和高速传输。转 接层的功能主要是连接转接层和中心层。对于转接层的每个设备都要承担所有中 心层和接入层的流量。接入层的设计主张使用性价比较高的设备，使系统具有即 插即用的特性，易于使用和维护，具有较大的扩充能力。在接入层的设计时，最 值得注意的问题就是扩充性问题。这种设计模块性好，便于以后的网络扩展、管 理、问题的排除，而且有很好的经济效益，是一种先进的网络设计方法。 二本文设计了先进的网络安全性，运用了基于数据融合的i p s 智能系统， 它不但可以很好的检测到网络的攻击还可以主动地阻断对网络的攻击。为了能做 出精确的判断，我们在路由器附近安装了多个基于网络的n i p s ，并在装有关键 数据主机的网络适配器附近安装了多个基于主机的h i p s 。首先这些传感器对网 络的数据进行过滤，记录下可疑的数据、并生产事件；然后针对以上多个数据源 的数据进行校对、关联，这样就可以定义出一种网络行为；其次根据这种行为利 用智能系统对其做出相应的判断，确定哪些是攻击、哪些不是：最后根据所做出 的判断系统就可以采取相应的行为，或阻止其进攻、或做出警告。由于使用了数 山东大学硕士学位论文 据融合和智能技术，使得本系统可以同时检测网络的整体行为，然后运用智能技 术得到更为精准的判断。因而可以最大限度的保证网络的安全性。 三在网络的实现上我们选用了先进的m p l sv p n 技术。在m p l s 网络中传 输的v p n 数据采用外标签( 又称隧道标签) 和内标签( 又称v p n 标签) 两层标 签的栈结构，它们分别对应着虚拟网和标记交换两个层面的路由，因而有着v p n 和m p l s 的共同优点。首先我们创建了一个v p n 路由转发表( 强) 并分配了 路由区分符( r d ) ，这样就解决了地址交叉的问题；其次在p e 路由器之间配 置了多协议的i b g p 会话，i b g p 除支持i p v 4 地址外还支持其它的地址家族；最 后我们配置了p e c e 之间的路由协议，分别使用了静态路由协议和e b g p 。由于 m i l s 的固有特点，我们还对其进行了q o s 的初步应用，使用区分服务来实现对 服务质量的管理。m il sv p n 不仅有着良好的经济效益和可扩展性，而且可以在 所组建的虚拟专网内实现快速的三层交换，大大的提高了网络的性能，非常适合 多媒体数据的传送和管理。 网络的迅速发展，必然使得网络的可扩展性、可管理性，以及网络的设计成 本成为首要问题，由此可以突现出先进网络设计的重要性。本文就此问题展开讨 论，并且紧密结合太古县教育网的设计与实现。运用了大量的先进理论和技术。 因此本文不仅有重要的理论意义，也有广泛的现实意义。 关键词：层次化设计：i p s ；i i p l sv p f l ：教育网 i v 山东大学硕士学位论文 a b s t r a c t t o d a y w i n lt h e r a p i dd e v e l o p m e n to fn e t w o r ka n dc o m m u n i c a t i o n t e c h n o l o g y t h es t y l ea n dc o n t e n to ft h ep e o p l e sl e a r n i n ga l s oc o n s i d e r a b l yv a r i e a n o wr e a l i z eu s i n gc o m p u t e rt ot a c k l ew i t hi n f o r m a t i o ni sa nu r g e n tb u s i n e s s g o i n g a l o n gt h ei n f o r m a t i o ns e a r c h i n ga n dc o l l e c t i o nd e s i g n i n gac o n v e n i e n tw a n h a sg r e a t i m p o r t a n c e f o l l o w i n ga r et h et o p i c ，d i s c u s s i n gi nt h i se s s a y 11 1 1 ec h o i c eo f t h en e t w o r kt o p o l o 百cd e s i g n t h e r eh a sal o tl i m i tw i t ht h ep l a i n t o p o l o 孚cd e s i g ni ne x t e n s i v e m o n i t o r i n ga n dm a n a g e m e n t , i t so n l ya d a p t i v et 0 s m a l ll o c a ln e t w o r kd e s i g n t h et o p i co ft h i se s s a yi sa b o u tw a n , s ow ec h o i c et h e l a y e rs t r u c t u r ed e s i g n t h e r ea r et h r e el a y e r s ：c o n t e rl a y e r , a s s e m b l el a y e ra n d a c c e s s i n gl a y e r t h ef u n c t i o no f t h ec e n t e r a y e ri sm a i m y t or e a l i z et h et r a n s p o r t a t i o n b e t w e e nt h eb a c k b o n en e t w o r k ，s ow h e nw ed e s i g nt h i sl a y e r , w es h o u l dp u to u re y e s o i lt h er e b o u n dd 印e n d e n c ea n dh i g hs p e e dt r a n s p o r t a t i o n n em a i nf u n c t i o no ft h e a s s e m b l el a y e ri st oc o n n e c tt h ec e n t e rl a y e ra n d a c c e s s i n gl a y e r t ot h ee q u i p m e n to f t h ea s s e m b l el a y e rm u s tb u r d e na l lo f t h et h r o u g h o u to f t h ec e n t e rl a y e ra n da c c e s s i n g l a y e r 1 1 l ee q u i p m e n to ft h ea c c e s s i n gl a y e ri sa d v i s e dt ou s ec o m m o ne q u i p m e n ls o t i f f sc a nm a k eo u rs y s t e mh a v et h ec h a r a c t e ro fp l u gi np l u go u t , t h i sc a nm a k et h e s y s t e mm u c hm o r et 0m a i n t e n a n c ea n de m e n d w h e nw ed e s i g nt h ea c c e s s i n gl a y e r , t h em o s ti m p o r t a n tp r o b l e mi se x t e n s i v e t h i si sam o d u l ed e s i g n , s oi tc a nc o m p l e t e 血en e t w o r ke x t e n s i v e m a n a g e m e n ta n dp r o b l e md e t e o i o n m o r e o v e ri tc a np r o d u c e g o o de c o n o m i cp r o f i t i naw o r d , i taa d v a n c e dn e t w o r kd e s i g n 2t o d a y , m o r ea n dm o r ec o m p u t e ra n dn e t w o r kh a v ec o n n e c t i o nw i t ht h e i n t e m e tw h i c hc a l lg e tt h ec o n v e n i e n tt os e r f o nl i n e ，b u ta l s ob r i n gi nm o r ea n dm o r e t m s a f ep r o b l e mt i l i se s s a yb r i n go u ts o m eo p i n i o na b o u tt h en e t w o r ks e c u r i t yd e s i g n , a n da l s oc h o i c es o m et oc o m p l e t et h en e 铆o r kd e s i g n t h em o s ti m p o r t a n ts e c u r i t y s y s t e mw eu s ei no u rs y s t e mi si n t e l l i g e n c ei p ss y s t e mb a s e d o nt h ed a mm e r g e n c e , w h i c hn o to n l yc a nd e t e c t i v e1 l l en e t w o r ka n a c kb u tc a na c t i v e l yh e l db a c kt h e n e t w o r ka t t a c k b e c a u s eo fh a v i n gu s e dt h ed a t am e r g e n c ea n di n t e l l i g e n c e t e e h n o l o g y ，“c a nd e t e c t i v et h ew h o l en e t w o r ka c t i v i t yo nt h es a m et i m e , t h e nu s et h e i n t e l l i g e n c et e c h n o l o g yt 0g e tt h em o r ea c u t er e s u l t , s ow h i c hc a l lg r e a t l yg u a r dt h e v 山东大学硕士学位论文 n e t w o r ks e c u r i t y 3w h e nw er e a l i z eo u fn e t w o r k ，w ec h o i c et h ea d v a n c e dt e c h n o l o g yo ft h e m p l sv p n 1 h ev p nd a t at r a n s p o r t i n gi nt h em p l sn e t w o r ku s et h es t a c ks t r u c t m - e w h i c hc o m p o n e n tb yt w ot a g ，t h ei n n e rt a ga n dt h eo u t e rt a g t h e s et w ol a y e rc a l l r e a l i z et w or o u t e , w h i c ha l ev p nr o u t , 锄dl a b l er o u t e s ot h i sh a v e1 l l ec ：o m m o n c h a r a c t e r o f t h e v p n a n d 呼l s t h ed e v e l o p m e n to ft o d a y sn e t w o r ki sa s t o n i s h e d t h en e t w o r ko v o rt h ew o r l d i sn o to n l yi n c r e a s i n gs h a r p l y , b u ti sm o r e 锄dm o r ec o m p i l e1 1 l i sp h e n o m e n o n s e v e r e l yh o l db a c kt h ed e v e l o p m e n to f t h en e t w o r k , e - v e nr n o r ei tc a nk i l lt h en e t w o r k s ow eb a d l yn e e dan c 蚋v o r kd e s i g n , w h i c hh a sg o o de x t e n s i v e , s e c l n - i t y 1 m i si st h e m a i nt o p i co f t h i se s s a y , m o r e o v e ri tt i g h t l yl i n kw i t ht h et a i g un e t w o r kd e s i g n i ta l s o f u l le x p l a i ne a c hd e t a i lo f t h i sd e s i g r ls ow es h o u l dr e a dt h i se s s a y k e y w o r d l a y e rd e s i g n ； i p s ；m p l sv p n ；e d u c a t i o nn e t w o r k v i 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律责任由本人承担。 论文作者签名：三隍蠹e 1 期：，越占：轻乒 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保留或向国家 有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅；本人授权山东大 学可以将本学位论文的全部或部分内容编入有关数据库进行检索。可以采用影印，缩印 或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：鸯匆乳导师签名： e t 期：伽瘦g ：上 山东大学硕士学位论文 第1 章绪论 1 1 教育网的产生及网络分层模型 社会的迅速发展带动了教育的飞速发展，特别是计算机网络的出现，给教育 的革新与进步带来了契机。如今，学习者的学习时间、学习地点、学习内容都逐 步转向分布式，构筑基于网络的完全开放式的学习环境是实现分布式学习的基 础。教育系统内实现信息处理计算机化，信息交流网络化，信息管理数据库化， 信息服务电子化和网上办公自动化，已经成为迫在眉睫的事情。随着现代化教育 对资源采集和资源分布共享的需求，设计一个具有现实意义的城域网，具有重要的 现实意义。 世界上第一个理论意义上的网络其实就是供教育和科研使用的，这个可供教 育和科研使用的网络就是大名鼎鼎的a r p a n e t ，所以计算机网络的发展历史就 是教育网的发展历史，a r p a n e t 开始时仅有4 个节点，到1 9 8 3 年增加到3 0 0 多个节点供美国各研究机构和政府部门使用。1 9 8 6 年美国国家科学基金会建立 了n s t n e t 它是一个三级计算机网络，分为主干网、地区网和校园网。覆盖了 全美国主要的大学和研究所。在2 0 世纪9 0 年代之前，互联网的发展基本上一 直限制在科研和教育的范围之中，只是在伯纳斯李发明了万维网之后，互联网 的发展才迎来了春天。因而互联网的发展可谓是网络发展上的一个大事件。从此 网络走上了日益蓬勃的发展道路。从以上我们可以知道网络的发展经历了一个从 简单到复杂的过程，而网络体系结构的变化贯穿始终，随着不同的阶段有着不同 的形式，因而值得我们去研究发现一种更先进的结构。 任何事物都有一个逻辑的模型，其中层次化模型是计算机网络的基本模型， 也是它的最重要的一个。几乎网络的方方面面都离不开层次模型，所以我们对它 进行一下叙述。我们将计算机网络层次结构模型和各层协议对网络功能特性的精 山东大学硕士学位论文 确定义称为计算机网络体系结构( n e t w o r ka r c h i t e c t u r e ) 。o s i 模型的分层结构在 o s i 标准的制定过程中，所采用的方法是将复杂的通信过程按功能分解为若干层 次。o s i 按功能划分为七层，它们依次是物理层，数据链路层、网络层、传输层、 会话层、表示层、应用层。i s o s i 的七层中下三层称为低层，主要是面向通信子网的通信，而上面三层称 为高层，主要是面向端到端的应用进程的通信。各层都具有自己的功能，每层上 传输的数据单位叫该层的服务数据单元( s d u ) ，每一层都在它的下一层提供的服 务基础上提供更高级的增值服务，而最高层提供能运行分布式应用程序的服务， 最低层仅提供透明的面向比特流的传输服务。 虽然o s i 是出现的最早的计算机网络分层结构，但是它的复杂性葬送了它的 发展前途，而在分层结构中不得不提的是t c p i p 结构，它虽然出现的晚，但是 以它的简单实用的特点使之成为了事实上的标准。 t c p i p 最底层称为网络接口层，它对应o s i 的物理层和数据链路层。 t c p 1 p 的第二层为网际层，与o s i 的网络层对应。本层的主要协议是无连接的 网际协议口( i n t e m e tp r o t o c 0 1 ) 。网际层传输的数据单位是分组。与口协议配 合使用的还有i n t e m e t 控制报文协议i c m p ( i n t e m e tc o n t r o lm e s s a g e p r o t o c 0 1 ) 、地址解析协议a r p ( a d d r e s sr e s o l u t i o l lp r o t o c 0 1 ) 和逆地址解析协 议r a r p ( r e v e r s ea d d r e s sr e s o l u t i o np r o t o c 0 1 ) 。i c m p 用于报告差错信息。 t c p i p 的第三层是运输层，与o s i 的运输层对应。本层有两种不同的协议，一 种是面向连接的传输控制协议t c p ( t r a n s m i s s i o nc o n t r o lp r o t o c 0 1 ) ，另一种是 无连接的用户数据报协议u d p ( u s e rd a t a g r a mp r o t o c 0 1 ) 。运输层传送的数据 单位是报文( m e s s a g e ) 。运输层为应用程序提供端到端的通信服务。最高层是 应用层，对应于o s i 的会话层、表示层和应用层。应用层协议可分为三类：依 赖于u d p 的，依赖于t c p 的，既可依赖于u d p 又可依赖于t c p 的。嘲 综上所述，o s i 的7 层协议体系结构比较复杂，但其概念清楚，非常详细 2 山东大学硕士学位论文 的阐明了网络的原理。虽然t c p i p 实际上没有一个完整的体系结构，但它得到 了全世界i n t e m e t 用户的承认，并被广泛使用。 1 2 层次化网络设计的优点 网络的设计模型很多，我们主要把它们分为层次化的和非层次化的两种。首 先我们分析一下非层次化网络的不足之处。没有适当的规划去发展网络，网络最 终会发展成为非结构的形式，这种没有规划的网络我们称之为“毛球”。这种称 之为“毛球”的网络在发展过程之中会引起许多的问题，比如“毛球”网络必然 引起c p u 的过度连接，这样当网络设备之间相互通信时，设备上的c p u 必然承 受相当重的负载。例如在一个大型的平面网络上数据广播会产生负担。广播数据 包会使网络上的每个c p u 产生中断，这也是“毛球”网络所必然引起的后果。 除去广播数据包外，非结构化的网络的另外一个问题是，c p u 要承担大量的路 由器之间相互通告状态的状态报告。相比之下层次网络就可以限制路由器相互之 间的状态报告数量，从而大大的降低了这种开销。 那么，相比之下层次化的网络有如下的一些优点： 1 使用层次化的网络设计可以大大的降低网络的设计费用。因为我们可以为 每一层次购买相应的不同的设备，不必要为某一特定层次购买不必要的额外的特 性，这样必然可以节省一大部分的资金。 2 使用层次化的设计可以帮助我们精确的规划每一层的网络流量，从而减少 不必要的带宽的浪费。 3 层次化的设计同样可以帮助我们简化网络的管理，节省网络管理的费用。 网络的层次化可以使得网络具有模块化管理特性，从而可以根据不同的模块进行 不同的管理t 3 9 1 。 4 层次化的设计可以让我们设计的每一个网络模块得到最大程度的精简，使 得网络可以得到充分的理解。简化的网络设计使得网络人员的培训费用和网络的 设计费用得到削减。由于定义了每一层次的功能性，使得网络的测试也变得更加 3 山东大学硕士学位论文 容易实现。由于网络的设计人员可以很方便的识别出网络的边界，使得故障隔离 得到提高，因此可以帮助隔离可能的故障点。 5 层次化的设计使得网络的改变也变得容易。当网络需要改变升级时，层次 化可以帮助把网络的变化限制在一个有限的范围之内”】。在一个大型或平面的网 络体系结构之中，网络的改变肯定要影响到大量的网络面积，相比之下层次化的 设计就有了不可比拟的优势。 6 当可扩展性是主要的目标时，毫无疑问的应该使用层次化的网络设计。因 为层次化的设计使得层次之中相同的模块可以相互的复制，这样就保证了网络的 一致性，减少了问题发生的可能性，所以很容易实现网络的可扩展性。【1 6 锄如我 们已经设计了一个地区的网络，那么当我们面f 临另一个地区的设计时，我们只有 简单的复制这个地区的网络设计就可以达到扩展性的目的。 7 当今的快速收敛路由器协议都是为层次化的网络设计的。 综上所述，我们不难看出层次化的网络相与平面的网络相比有着更多的优点 和不俗的特性，因而我们毫无疑问的应该选用层次化的网络设计。 1 3 网络设计方法的发展现状 网络拓扑的设计作为整个计算机网络设计的基础和起点，其重要性是显而易 见的。在7 0 年代，随着计算机网络的崛起，网络拓扑设计曾经成为当时的一个 十分活跃的研究课题。在这段时间内产生了大量的网络拓扑设计算法。所有这些 算法在它们产生的那段时间里都是非常先进的，因为在当时计算机已经出现了多 年，许多基础算法，如最小生成树算法、最短路径算法和图的二连通算法等都己 十分成熟。从另一个角度来看，计算机网络拓扑设计十分接近于一个图论问题。 以上这些网络拓扑算法都是基于图论的有关理论和一些计算机算法，同时考 虑了流量、延迟和费用等面向计算机网络拓扑设计的特定因素后产生的。因此， 就今天而言，在很多情况下它们仍不失其实用性。然而，由于计算机网络毕竟是 一个高速发展的领域，有许多问题和因素在当时并不重要或者说根本不存在，而 4 山东大学硕士学位论文 今已成为网络拓扑设计中不可避免的问题。譬如所有上述网络拓扑算法都只适用 于多级星形拓扑的集中器的设计和般拓扑的广域网的设计，局域网的概念在当 时还没有出现，而如今使用最广泛的计算机网络却是以传统方式( 网关、网桥) 或 交换方式互连的局域网：再譬如网络协议问题，由于当时对计算机网络协议的研 究刚刚开始起步，不像今天已有o s i , t c 嘴数十种成熟的网络协议在全世界广 泛地被使用，而这些协议之间彼此又不兼容，所以说当时的那些网络拓扑算法不 可避免地带有时间的局限性。 2 1 这就要求我们用发展的眼光来看问题，面对今天 的情形可以提出一种更加适合网络发展的新的体系结构。 本文所采用的层次化的网络体系结构，就是根据当前网络发展的情形提出的 一种先进的网络设计方法。当前的网络是以指数级的速度在迅速的发展，从而也 带来很多以前所没有预料到的问题，比如复杂性和安全性，还有诸如网络的管理 和扩充性等问题，所有这些问题的解决都依赖于网络结构的设计，从此也可见网 络结构设计的重要性。而层次化的设计似乎是解决的方案，层次化不仅可以有效 的解决复杂性带来的诸多问题，还可以很大程度的降低成本、优化管理、网络扩 展等，所以很有必要值得我们去研究。 1 4 本文的结构 本文是一篇研究网络设计和网络体系结构的文章。当网络越变越大的时候， 网络必然会从一种无组织的结构慢慢的演变出一种特殊的结构。当网络有了一种 特定的结构时，我们就可以运用更为先进的技术来实现网络，使得网络运行的更 快、更稳定。本文就是结合一个教育网的实例来详细的研究网络的实现的每一个 细节的。使得从网络分析到最终的网络实现都有着深刻的科学的依据。 本文从结构上分为五个章节。第一个章节主要阐述了层次化网络的优势， 以及为什么要对网络的体系结构进行研究。第二章主要阐述了我们在层次化体系 结构上运用两个先进的技术，一个是关于安全方面的，另一个是有关网络构建技 术的。从第三章到第五章我们详细的阐述了一个教育网从分析到实现的每个细 5 山东大学硕士学位论文 节，并慎重的解释了其中的每一个问题。任何学科都是- i 1 发展的学科，网络设 计也不例外，既然网络可以从最初的只有几个简单的连接发展到有上千万个计算 机互联的大的系统。那么计算机的系统结构也必然会进步，所以我们可以设计更 好的网络。 1 5 本章小结 本篇从分析网络的发展入手，介绍了网络从出现到成长为今天的规模所经历 的历程，并分析了指导网络发展和设计的分层模型，这个模型也网络的根本原理， 在网络的任何领域中都有着至关重要的地位。然后详细的论述了层次化网络的优 势，说明层次化的网络不仅可以改善网络性能，还能带来诸多的便利。最后介绍 了网络设计的现状和发展。作者的目的是想通过本篇的阅读对层次化的网络设计 有一个认识，了解一下其中知识的背景，为后面的设计奠定基础。 6 山东大学硕士学位论文 第2 章网络设计的主要技术 我们要进行计算机网络的设计，就要充分的开发、利用先进的概念和技术， 下面我们简要的介绍这些概念和技术。第一个是关于安全性的技术，随着计算机 网络的迅速发展，计算机的安全性问题日益成为引人关注的问题，一个好的网络 设计，不仅仅要有好的设计结构，而且不能忽略安全性的问题。在我们这个网络 设计之中我们用了先进的安全技术，它不仅可以探测攻击，还可以主动地阻断攻 击。另一个是关于三层交换的技术，由于我们设计的是一个教育系统的网络，所 以必然会有大量的多媒体数据在网络中穿行，所以网络的服务质量和网络的速度 将成为不可避免的问题，为此我们利用了先进的m p l s 技术，它不但可以很好的 保护私密性，还是保证服务质量的有效手段。据专家的估计，m p l s 必将成为口 网络的研究热点，因此它的前景是不可估量的。 2 1 基于数据融合的i p s 智能系统 i d s ( 入侵检测系统) 系统的维护和管理较困难，它需要安全管理员有足够 的经验和时间、丰富的知识，以保证探测器引擎的更新和安全策略的有效。口d s 是以被动方式工作的，只能检测攻击，而不能真正的做到阻止攻击。基于以上的 原因，入侵防御系统( 口s ) 已成为全球安全界关注的热门话题。与所有的网络 安全解决方案相比，i p s 能够以更全面、更智能的方法阻断或防止攻击，使用户 的网络免受多种类型的网络入侵和攻击。 2 1 1i p s 的工作方式 i p s 系统是_ i d s 系统的演化和增强。i p s 继续发扬了d s 的检测引擎技术，它与 i d s 系统的关键区别在于，前者是检测入侵的系统，它的着眼点是检测，因而无 7 山东大学硕士学位论文 论i d s 系统有多么的发达，它也没有超出检测的范畴，面对各种不同的网络攻击， i d s 仅仅是被动的，而不能主动地阻断网络的入侵。伽而后者恰好是前者的合理 发展和替代，当i p s 发现网络的入侵时它会及时地阻断入侵，对于可疑的攻击， i p s 会提示网络管理员。可以说i p s 大大的减少了网络入侵的误报和漏报率，增强 了网络的监控能力。 与口) s 一样，i p s 也分为基于主机的h i p s 和基于网络的n i p s ，基于主机的h i p s 的主要目的的是预防黑客对网络的关键资产的入侵，比如关键服务器、数据库的 攻击。h i p s 的主要判断根据是主机系统的日志，它的一般位置是主机网络适配 卡的附近。 2 1 1 n 坤s 的主要目的是防止黑客对主要网段的攻击，n i p s 的主要判断 是根据网络的流量和网络协议的特性。它的位置一般在路由器附近。 i d s 在检测到数据信息中的恶意代码时不能对数据做出任何的处理，只能在 数据流中放置新的数据包，而重新设置服务器的会话。然而这种方法有着明显的 缺陷因为在i d s 重置服务器之前，也许网络的攻击已经成功了，所以这时i d s 显然无能为力了。与i d s 的判断机制不同，当黑客试图与目标服务器建立会话时 所有的流量都会经过i p s 的传感器，传感器可以及时地检测到数据中的恶意代 码，然后核对策略，在数据信息未转发到服务器之前阻断攻击。根据目前的情况 i p s 的发展方向为： 1 精简规则并提高系统的自适应能力，极大地发挥i p s 自身的优势。 2 和路由器更加紧密地结合，使得i p s 能够更大限度与路由器的功能进行 互补，也许在不久的将来i p s 会成为路由器的一部分。 3 进步的提高实时监控能力，这也是i p s 系统的一大特点。 2 1 2 数据融合的原理 l 美国国防部j d l 从军事应用的角度对数据融合的定义是：将来自多个传感 器的数据和信息联合、相关和组合，以获得精确的位置估计和身份的估计，以及 8 山东大学硕士学位论文 对威胁形式的评价。随着计算机技术的发展和数据融合的应用，我们可以比较精 确的定义通信中的数据融合为：充分利用多个传感器收集不同空间和时间的多维 数据，在一定的准则下对多维数据进行校对、关联、支配和使用，以获得对被观 测对象一致的解释和描述，进而获得比依靠单个数据源更准确地判断。渊总的来 说多数据源的融合数据与单数据源的收据相比有以下优点： l 有更加广阔的空间探测范围 单数据源显然只能探测单点数据，而多数据源可以分布在更广阔的空间，从 而扩大了探测的范围。因为多数据源的数据是多维的，因而所收集的情况就比单 点数据源要全面，其可信度自然就比单点高。 2 更好的空间分辨率 因为是在多个数据点进行采集数据，因而可以分辨各个点的数据情况，这样 就可以更好定位。 3 不存在单点故障 和所有的分布式相似，多点数据源存在单点与多点的问题，因为是多点数据 源，因而可以排除单点故障的问题。 多传感器的数据融合技术和生物系统的信息处理过程有着很大的相似性。瞄1 人类通过五官对自身周围的信息进行多重的判断，从而得到比单一器官更全面更 系统的信息。多传感器的数据融合是通过多个分布在三维空间的多个传感器作为 数据源，从而也就得到了更丰富更全面的信息。 这多个传感器数据源的数据可以是同质的也可以是异质，比如多个数据源的 数据可以是离散的和连续的、时变的和时不变的、实时性的和非实时性的、模糊 的和确定的等。由于这多个数据源的数据在空间和性质上有着很大的区别，所以 应该在某种意义上使它们关联起来，得到系统大于部分的更多的信息。 9 山东大学硕士学位论文 e ! ! 自e ! e ! ! 置i i i ! g ! ! 目e ! ! ! 目! 自= _ _ e _ e ! 目_ j 自e | e _ e 目e 一 2 1 3 专家系统的概念 专家系统是人工智能的一个重要分支，它实现了人工智能从理论研究走向实 际应用，从一般思维方法转入从专门知识求解专门领域问题的突破。专家系统一 般采用人工智能中的知识表示和知识推理技术来模拟专门由领域专家才能解决 的专业问题，达到与专家有同等解决问题的能力和水平。系统的基本组成公式是： 专家系统= 知识库斗于匪理机 知识库与传统数据库不同，传统数据库是静态的，其数据要么在数据库中要 么不在数据库中，而知识库是动态的，它可以根据专业的规则产生新的数据，也 就是知识。推理机是实施问题求解的专门机制，它实际是对知识进行解释的技术， 根据知识的语义，对按一定的策略找到的知识进行解释执行，并把知识记录到动 态库的适当的空间。 我们这个安全系统就是运用智能化的专家系统来实现多数据源的i p s 系统， 使得我们的i p s 系统更加准确，更加智能。多数据源使得对网络的行为和攻击的 判断有了更全面的了解，大大的降低了误判和漏判的概率，而专家系统使得判断 更为准确。这就是我们所采用的安全措施的主要手段。 总之，我们所采用的基于数据融合的i p s 智能系统就是综合了它们的优势， 最大程度的提高了系统的安全防御功能。使得系统可以根据多个数据源，在更广 的范围中更加精确的对攻击做出判断。 2 2m p l sv p n 的工作方式 m p l s 是第三层的一种交换技术，它有着传统路由器的灵活性，和第二层交 换机的快速性。因此m p l s 被业界广泛的看好，认为它必将融合成为口技术的 一部分。v p n 是已经很广泛使用的一种成熟的网络技术，它有着很好的安全性 和便捷性。而m p l s v p n 是一种正在兴起的新技术，它结合了两者的优点，可 以让用户更方便的在公网上建立快速的专用网络，有着非常广阔的应用领域。 1 0 山东大学硕士学位论文 2 2 1 m i l s 的工作原理 m p l s 是一种特殊的转发机制，它为进入网络中的口数据包分配标记，并通 过对标记的交换来实现d 数据包的转发。当数据包要退出m p l s 网络时，数据包 被解开封装，去掉标记，继续按照m 包的路由方式到达目的地【卅。总的来讲在 m p l s ! 网络中有两种不同的节点，在网络边缘的节点是边缘路由器0 l e r ) ，网络 的核心节点是标记交换路由器( l s r ) 。l e r 节点在m p l s 网络中完成的是口包的进 入和退出过程；l s r 节点在网络中提供高速交换功能。在m p l s 节点之间的路径 就叫做标记交换路径。一条l s p 可以看做是一条已经建好的虚电路。 m i l s 的工作流程可以分为几个方面，即网络的边缘行为、网络的中心行为 以及如何建立标记交换路径。 l 网络的边缘行为 当口数据包到达一个l e r 时，m il s 第一次应用标记。首先，l e r 要分析p 包头的信息，并且按照它的目的地址和业务等级加以区分。在l e r 中，m p l s 使用了转发等价类0 f e c ) 的概念来将输入的数据流映像到一条l s p 上。旧简单地 说，f e c 就是定义了一组沿着同一条路径、有相同处理过程的数据包。这就意味 着所有f e c 相同的包都可以映像到同一个标记中。转发数据包时，l e r 检查标记 信息库中的f e c ，然后将数据包用l s p 的标记封装，从标记信息库所规定的下一 个接口发送出去。 2 网络的核心行为 当一个带有标记的包到达l s r 的时候，l s r 提取入局标记，同时以它作为 索引在标记信息库中查找。当l s r 找到相关信息后，取出出局的标记，并由出 局标记代替入局标签，从标记信息库中所描述的下一跳接口送出数据包。最后， 数据包到达了m p l s 域的另一端，在这一点，l e r 剥去封装的标记，仍然按照 p 包的路由方式将数据包继续传送到目的地。 3 如何建立标记交换路径 l l 山东大学硕士学位论文 建立l s p 的方式主要有两种：第一种是逐跳路由，一个逐跳的l s p 是所有 从源站点到一个特定目的站点的口树的一部分。对于这些l s p ，m il s 模仿m 转发数据包的面向目的地的方式建立了一组树。在每一个节点，m i l s 生成的 树是通过一级一级为下一跳分配标记，而且是通过与它们的对等层交换标记而生 成的。交换是通过l d p 的请求以及对应的消息完成的。 另一种是显式路由，m p l s 最主要的一个优点就是它可以利用流量设计“引 导”数据包，比如避免拥塞或者满足业务的q o s 等。m p l s 允许网络的运行人 员在源节点就确定一条显式路由的l s p ( e r - l s p ) ，以规定数据包将选择的路径。 m p l s 将显式路由嵌入到限制路由的标记分配协议的信息中，从而建立这条路 径。 2 2 2 m p l s v p n 的工作原理 在介绍m p l sv p n 之前，我们先来简要的理解一下v p n 的工作原理。v p n ( v i r t u a l p r i v a t e n e t ) 虚拟专用网就是在企业网中形成企业专用的链路，为了形成 这样的链路我们采用了所谓的“隧道”的技术。可以利用i n t e m e t 网络服务提供 商( i s p ) 和其它的网络服务提供商( n s p ) 在公用网络之中建立自己的专用隧 道，让数据包通过隧道进行传输。对于不同的信息来源，我们可以为之开出不同 的隧道，于是，兼容性问题、服务质量要求、以及其它的一些麻烦都可以迎刃而 解。因此v p n 虚拟专用网是一种建立在公共网络之上的一种私有网络，然而它 却有着与专有网络相同的网络管理、安全和服务质量等策略。使用v p n 的优点 有，降低成本；将连续性扩展到远程工作人员、移动用户以及一些新用户。 m p l sv p n 集成了m p l s 和v p n 的优势。在m p l s n 络中传输的 n 数据采用 外标签( 又称隧道标签) 和内标签( 又称v p n f , 示签) 两层标签的栈结构，它们分 别对应于两个层面的路由：域内路由和v p n 路由。i 2 7 1 域内路由即咖p l s 中的l s p 是由p e 路由器和p 路由器通过运行标签分发协议( l d p ) 或资源预留协议( r s v p ) 山东大学硕士学位论文 建立的，它所产生的标签转发表用于) n 分组外层标签的交换。v p n 路由是由p e 路由器之间通过运行m p - i b g p 建立的，该协议跨越骨干网的p 路由器分发v p n 标 签形成v p n 路由。 具体数据转发过程如下：当c e 路由器通过某个子接口将一个、，1 ) n 分组发 给入口p e 路由器后，p e 路由器查找该子接口对应的v r f 表，从v r f 表中得到 v p n 标签、初始外层标签以及到出口p e 路由器的输出接口。当v p n 分组被打 上两层标签之后，就通过输出接口发送到相应l s p 上的第一个p 路由器。骨干 网中p 路由器根据外层标签逐跳转发v p n 分组，直至最后一个p 路由器弹出外 层标签，将只含有v p n 标签的分组转发给出口p e 路由器。出口p e 路由器根据 v p n 标签，查找m p l s 路由表得到对应的输出接口，在弹出v p n 标签后通过该 接口将v p n 分组发送给正确的c e 路由器，从而实现了整个数据转发过程。 路由信息分发过程是： 在m p l s v p n 中，因为采用了两层标签的栈结构，所以p 路由器并不参与v p n 路由信息的交互，客户路由器是通过c e 和p e 路由器之间、p e 路由器之间的路由 交互知道属于某个，n 的网络拓扑信息唧。 当入口p e 路由器从某个子接口接收到来自c e 路由器的路由信息时，除了 将该路由导入对应的v r f 表，p e 路由器还要为该路由分配一个v p n 标签。该 v p n 标签用以识别接收路由信息的子接口，因此从同一个子接口接收到的路由 信息将被分配同样的v p n 标签，从而p e 路由器可以将收到的v p n 分组转发到 合适的子接口。 当入口p e 路由器分发路由信息时，将同时携带路由所在v r f 表的r d ， 即将路由的i p v 4 地址转化为v p n - i p v 4 地址。分发的具体路由信息包括该路由的 ) n i i i v 4 地址前缀、下一跳b g p 即入口p e 路由器的v p n - i p v 4 地址( 其中 r d = 0 ) 、分配给该路由的v p n 标签和该路由所在v r f 表的e x p o r tr t 。该路由 信息我们称为带有标签的v p n - i p v 4 路由信息。 山东大学硕士学位论文 当出口p e 路由器收到路由信息时，将查看该路由的r t ，如果r t 和其任意v r f 表中任意一个i m p o r tr t 相符时，就将该路由存入v p n - i p v 4 r i b 表。【1 6 1 在进行路 由选择之后，将最优路由中的v p n - i p