2018年7月
基于QinQ 技术的校园网扁平化研究与设计
龙桂铃(宜春学院,
江西宜春336000)【摘要】针对传统校园网三层架构存在的问题,
在现有校园网基础上采用QinQ 技术进行扁平化改造设计。扁平化网络架构能够充分发挥核心设备的高性能优势,实现用户、业务的集中控制和精细化管理,消除广播风暴影响,杜绝ARP 攻击的发生,实现有线无线一体化认证。从而提高网络维护效率,便于故障的排查;提高网络安全性及稳定性,
也保护了网络的前期投资。【关键词】QinQ ;
扁平化;网络架构;校园网;统一认证【中图分类号】TP393.18【文献标识码】A 【文章编号】1006-4222(2018)07-0121-02
引言
高校信息化发展进程影响着素质教育的实施和创新人才的培养,校园网建设是整个高校信息化的基础和载体,对高校信息化发展起着决定性作用。现有的校园网大都采用传统三层网络架构模式即“核心-汇聚-接入”,网络中性能弱的设备功能要求多,性能强的核心设备不能最大化发挥作用。各层之间没有有效的隔离措施和保障手段,导致用户和业务之间相互干扰,容易引发网络风暴、IP 冲突、ARP 欺骗、DDOS 攻击等网络安全问题。各种应用的叠加,尤其是运营商的参与,网络结构变得越来越复杂使得故障较多、排查困难、认证计费不统一,使得网络的管理和维护存在巨大压力。
扁平化组网弱化接入,强化将核心,将传统接入、汇聚上需要部署的认证、网关、路由等功能,全部集中到功能强大的核心,逻辑结构由核心层和宽带接入层组成。
1校园网扁平化方案总体设计
M 高校现有的网络结构采用传统的三层网络架构:核心层、汇聚层、接入层,网络接入主要包括学生宿舍有线区、宿舍无线区和办公区三大块。进行校园网扁平化改造[8]后,总体设计方案如图1所示。
核心采用2台Newton18000系列交换机,应用VSU 虚拟化技术(40G 接口组成),将两台核心虚拟化成一台,实现热备功能和统一管理。
2关键技术实现设计
2.1有线无线集中统一认证
方案设计如图2所示,整合现有的两套计费系形成RG-SAM+计费模式,可以灵活的与第三方支付平台对接,实现校园网运营收费的统一管理与使用,缓解运维压力。不同供应商的无线校园网设备均能通
过Newton18000核心认证网关的Portal 重定向、RG-SAM 的Portal 组件统一提供认证交互界
面,消除Portal 非标准所带来的技术壁垒,从而实现有线、无线网络的一体化与统一认证。
2.2QinQ 隔离组网
QinQ 隔离方案设计如图3所示[1],用户信息统一部署在核心设备上之后,根据网关端口加内外层VLAN 号快速定位终端用户,实现用户精准定位。同时用户与用户之间二层隔离,三层互通。
2.3出口流量控制
基于IP 的带宽控制不能细化到带宽层次,使得网络应用带宽需求无法细化,为了真正实现针对出口区域的带宽可视化,做到基于七层应用的流量控制,让关键的带宽资源给需要的用户,而不是被P2P 、大量视频应用占用。
2.4有线无线网冗余备份设计
90设计网将宿舍无线网络和宿舍有线网络两张网分离,两网分离便于后期的维护管理,同时两张网可以相互备份,提升网络的可靠性。有线汇聚交换机还可以和无线汇聚交换机部署虚拟化技术,实现统一管理,热备切换。
3结论
校园网网络架构通过扁平化改造后,解决了三层网络中存在的诸多问题,接入层数据流量稳定均衡,网络管理更加便捷,运行质量得到改善,实现了有线无线一体化认证。目前M 高校已经采用该种方案完成了校园网扁平化改造,实际
应用
图1M 校园网扁平化组
网方案
图2有线无线统一认证
方案
图3QinQ 隔离方案
通信设计与应用121
2018年7月
再次验证了扁平化网络架构能够解决校园网传统三层架构中存在的问题。
基金项目:江西省教育厅科技课题(GJJ161677)。
参考文献
[1]边永涛,左明.QinQ 模式下数据分流的设计与实现[J].计算机工程与设计,2010,19:4158~4160.
[2]边永涛,左明.QinQ 模式下标签透传的设计与实现[J].南京大学学报,2009,45:72~76.
[3]李洪民.QINQ 技术在高校校园网中的应用研究[J].数字技术与应用,2014,02:212~214.
[4]马煜.分析QinQ 与Portal 认证技术在校园网的应用[J].网络安全技
术与应用,2016,06:117.
[5]边永涛.灵活QinQ 技术在校园网中的设计与实现[J].微计算机信息,2010,12:125~126.
[6]边永涛,侯效礼,李苏丰.基于灵活QinQ 的数字图书馆网络精细化管理应用研究[J].网络安全技术与应用,2016,11:127~128.
[7]薛建,曲守宁.QinQ 在扁平化改造中的应用[J].智能计算机与应用,2016,05:88~89.
[8]张代华,陈宓宓.基于扁平化和精细化管理的校园网基础平台建设[J].软件,2014,08:59~62.
收稿日期:2018-6-16作者简介:龙桂铃(1987-),女,江西宜春人,讲师,硕士,研究方向为计算机网络。
基于信令的监测定位技术研究
卢文铄,黄正国(国家计算机网络应急技术处理协调中心广东分中心,
广州510665)【摘要】是一种仿真移动通信无线的系统,它通过对移动通信网络运营商的网络系统频率资源或网号进行运用实现仿真伪
装,对网络通信安全形成干扰、危害等。本文通过对的技术原理及其对移动通信网络安全的危害影响分析基础上,
对基于信令的监测定位技术及其设计应用进行研究。
【关键词】信令;;监测定位技术;
设计应用;研究【中图分类号】TN929.5【文献标识码】A 【文章编号】1006-4222(2018)07-0122-02
1的技术原理与影响分析
系统是利用移动通信网络运营商的频率资源,在通过大功率进行强信号发射以及无线参数优选设置情况下,诱使移动通信网络用户的手术接入,进而获取用户手机信息进行任意发送号码伪造并向网络服务覆盖区域的手机用户发送不法信息,从事非法营销或犯罪行为,导致移动通信网络安全受破坏。一般情况下,在移动通信网络用户进入信号覆盖区域后,就会通过实现位置更新,并接收发送的垃圾短信或不法消息,而用户在接收短信后,通过设置快速与断网并注册到正常移动通信服务网络。如图1所示,即为的非法行为工作流程示意图。
通过设置中国移动的通信网号460-01,然后利用中国移动无线通信网络的频率资源进行更优的小区重选参数设置,在用户手机进入覆盖信号区域后,就很容易在位置更新同时切换到网络系统,从而对非法行为的实施创造机会。①在利用移动通信网络频率资源及网号等,通过优化小区重选参数诱使手机用户接入系统实施非法行为过程中,主要是通过设置较小的最低接入电平值与较大CRO 值等方式,使手机用户相对容易的在小区重选参数向重选;②伪
通过设置与移动通信网络运营商不同的LAC 值,在手机用户重选参数后存在LAC 变化,从而使用户发起位置更新请求,而用户的位置更新请求中包含有原来的LAC 值,为仿真移动通信网络及诱使用户接入创造机会;而在接收到手机用户的位置更新请求后,通过信令通道分配,实施位置更新流程操作,这一过程中向手机用户进行二次身份识别请求发出,完成对用户信息的收集,并在向手机发动位置更新成功消息后,进行垃圾短信发送。此外,在变更LAC 值后,手机LAC 值发生变化并向发出位置更新请求,向手机发动位置更新请求的拒绝消息,而被拒绝的LAC 值是正常的LAC 值,而手机从向正常更新成功后的原LAC 值为的LAC 值。手机位置更新请求被拒绝后,需要通过重新搜索网络以进行位置更新并回到网络,这一过程中手机会出现暂时脱网,脱网时间约为10~20s ,同时,由于手机向发送的位置更新请求被拒绝,而手机中会保留LAC 值,在LAC 无变更或没有进行关机重启情况下,手机不会重选LAC 值,针对这种情况,为了使手机用户在进入覆盖区后都进行位置更新,一些会隔一段时间后进行LAC 值变换,以实现用户信息获取和非法行为实施。
利用移动通信运营商的网络频率,仿真运营商系统,通过大功率发射信号与无线参数优选设置,诱使手机用户接入进行用户信息获取,并伪造任意号码对覆盖区手机发送非法信息,不仅对用户正常生活造成影响,而且导致运营商信誉度降低,对移动通信网络用户的合法财产及权益造成侵害,对市场秩序及社会稳定造成干扰,形成即为不利的影响。2基于信令的监测定位技术及应用研究
基于信令的准实时监测定位系统是在现有的包含传统定位技术与基于非邻区位置更新定位技术基础上,通过对移动通信网络信令监测系统A/Iu 接口中的位置更新消息进行处理情况下,根据移动通信网络管理后台的数据库数据,实现现网小区非邻区位置更新数据的自动统计,并以最小粒度为5min 的实时监测分析标准对有关信息进行发现、定位和跟踪处理
图1工作流程示意图
通信设计与应用
122