端口隔离技术范文10篇

摘要端口隔离技术在ISP宽带接入中已发挥重要作用，而在园区网中应用还不多，由于网络中病毒增多、危害加大，端口隔离技术越来越受到技术人员的重视。本文详细介绍了端口隔离技术的概况，端口隔离技术在不同厂商、不同层次交换机上不同的实现，具体分析和举例端口隔离技术在园区网中的规划、实施和应用。

关键词端口隔离；交换机

1引言

在小区宽带接入环境中，个别计算机中毒发包、广播对其它接入计算机都有影响，也会占用带宽，所以ISP在其接入交换机上早就实施了端口隔离技术，隔离技术对网络静化、安全和病毒隔离都有相当良好的作用，应用普遍。而在园区网中由于端口隔离实现在端口之间二、三层隔离，会对一些应用带来不便，所以应用并不是很多。但是随着网络中病毒增多、危害加大，新的难以对付、传播速度又快病毒出现的情况下，端口隔离技术在园区网中应用会越来越多，下面我们从端口隔离的原理、在H3C、D-LINK、港湾和CISCO不同厂商交换机上的实现和举例说明在园区网中的应用。

2端口隔离技术综述

端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播，病毒就不会在隔离计算机之间传播，尤其对头痛的ARP病毒效果明显。

摘要端口隔离技术在ISP宽带接入中已发挥重要作用，而在园区网中应用还不多，由于网络中病毒增多、危害加大，端口隔离技术越来越受到技术人员的重视。本文详细介绍了端口隔离技术的概况，端口隔离技术在不同厂商、不同层次交换机上不同的实现，具体分析和举例端口隔离技术在园区网中的规划、实施和应用。

关键词端口隔离；交换机

1引言

在小区宽带接入环境中，个别计算机中毒发包、广播对其它接入计算机都有影响，也会占用带宽，所以ISP在其接入交换机上早就实施了端口隔离技术，隔离技术对网络静化、安全和病毒隔离都有相当良好的作用，应用普遍。而在园区网中由于端口隔离实现在端口之间二、三层隔离，会对一些应用带来不便，所以应用并不是很多。但是随着网络中病毒增多、危害加大，新的难以对付、传播速度又快病毒出现的情况下，端口隔离技术在园区网中应用会越来越多，下面我们从端口隔离的原理、在H3C、D-LINK、港湾和CISCO不同厂商交换机上的实现和举例说明在园区网中的应用。

2端口隔离技术综述

端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播，病毒就不会在隔离计算机之间传播，尤其对头痛的ARP病毒效果明显。

摘要端口隔离技术在ISP宽带接入中已发挥重要作用，而在园区网中应用还不多，由于网络中病毒增多、危害加大，端口隔离技术越来越受到技术人员的重视。本文详细介绍了端口隔离技术的概况，端口隔离技术在不同厂商、不同层次交换机上不同的实现，具体分析和举例端口隔离技术在园区网中的规划、实施和应用。

关键词端口隔离；交换机

1引言

在小区宽带接入环境中，个别计算机中毒发包、广播对其它接入计算机都有影响，也会占用带宽，所以ISP在其接入交换机上早就实施了端口隔离技术，隔离技术对网络静化、安全和病毒隔离都有相当良好的作用，应用普遍。而在园区网中由于端口隔离实现在端口之间二、三层隔离，会对一些应用带来不便，所以应用并不是很多。但是随着网络中病毒增多、危害加大，新的难以对付、传播速度又快病毒出现的情况下，端口隔离技术在园区网中应用会越来越多，下面我们从端口隔离的原理、在H3C、D-LINK、港湾和CISCO不同厂商交换机上的实现和举例说明在园区网中的应用。

2端口隔离技术综述

端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播，病毒就不会在隔离计算机之间传播，尤其对头痛的ARP病毒效果明显。

1引言

数字电视多工器能够将多个不同频道的数字电视发射机发射的射频信号转化为组合信号，并通过一个宽频天馈系统发射出去，这样无需增加额外的天线，减少了广播电视塔的占地空间，降低了发射系统建设投资的费用。在技术方面，多工器系统具有良好的电气、机械性能，各频道信号之间互不干扰，各端口之间有较高的隔离度，后期的调试维护成本低，因此其应用范围很广。随着地面数字广播电视技术的发展及普及，数字电视多工器在无线广播电视领域得到了日益广泛的应用。

2数字电视多工器的工作原理

地面广播电视发射系统所使用的数字电视多工器通常都是以桥式双工器为基本单元，经级联后，组合成数字电视多工器。2.1桥式双工器的基本构成和原理。下面以桥式双工器的实现原理为例，分析多工器的工作原理。桥式双工器结构组成示意图如图1所示。桥式双工器由两个中心频率不同的3dB定向耦合器（3dB1、3dB2）和两个带通滤波器（BPF1、BPF2）连接构成。其工作原理是：数字电视发射机射频信号f1经A1端口输入，经定向耦合器3dB1分别在B1、D1端口形成功率各一半的输出信号，其中，B1端口与A1端口同相位，D1端口经λ/4，滞后B1端口90°，两路信号分别通过带通滤波器（BPF1和BPF2）输出到定向耦合器3dB2的B2和D2端口，由于C2端口与D2端口同相位，C2端口经λ/4，滞后B2端口90°，两路信号在C2端口同相位合成，输出滞后90°的信号f1。由于B2与A2同相位，A2滞后D2信号90°，两路信号在A2端口相位相差180°，f1信号经定向耦合器（3dB2）在A2端口没有输出。f1信号经3dB1端口A1输入，输出两路信号相差90°，在C1端口形成反向180°的信号，相互抵消，在C1端口无输出。数字电视发射机射频信号f2经A2端口输入，经定向耦合器3dB2端口B2、D2输出相位差90°信号，经带通滤波器（BPF1和BPF2）全反射，再经定向耦合器3dB2后，在C2端口合成输出滞后90°的信号f2；在A2端口形成反向180°信号相抵消，无输出。自此，两部数字电视发射机输出信号f1和f2在C2端口合成输出f1+f2。实际上，两个滤波器并不能完全反射f2信号，会有一小部分信号泄漏到3dB1的B1和D1端，通常在C1端加入50Ω吸收负载进行吸收，不会传到A1端口，对f1进行串扰。2.2带通滤波器的原理与调试。带通滤波器是对输入信号的频率具有选择性的一个二端口网络，它允许某些频率范围的信号通过，而其他频率的信号幅值均要受到衰减或抑制。带通滤波器由RLC元件或RC元件构成，一般由低通滤波器和高通滤波器组合而成，如图2所示。带通滤波器的上限截止频率是低通滤波器的上限截止频率，带通滤波器的下限截止频率是高通滤波器的下限截止频率，即它可以滤掉低端频率，又可以滤掉高端频率，只让指定频率通过。用于广播发射系统的带通滤波器通常是腔体滤波器，它能够满足发射系统大功率容量的需求，带通滤波器分为传统级联滤波器和交叉耦合滤波器。传统级联滤波器各谐振腔体通过耦合结构首尾相连，腔体个数越多，越容易满足性能要求，其缺点是插入损耗的带外抑制度平缓，这样会导致相邻频道间产生干扰；交叉耦合滤波器的谐振单元，除首尾各连接一个谐振腔外，侧壁往往通过耦合结构连接其余谐振单元。交叉耦合滤波器可用更少的谐振单元实现相同的目标，其缺点是调试过程较复杂。数字广播电视带通滤波器通常采用交叉耦合滤波器，其关键是要调节腔内部谐振柱导体的长度，也就是通过改变耦合电容的大小，来调整腔体的谐振频率，使其与输入频率相同，并满足带宽要求。三腔带通滤波器结构示意图如图3所示。数字腔体滤波器将激励的方式改变为可调结构，例如通过设置可上下移动、左右旋转可调的耦合环，改变环形馈电激励的耦合大小等。三腔带通滤波器反射系数曲线调试过程图如图4所示，调试过程如下：首先微调环形馈电激励的螺栓，改变耦合度大小和强度，使得反射曲线中出现明显的三个极点，依次调节三个谐振柱的螺栓和微调谐振柱的螺栓，使反射曲线极点落于所需频道中心，如图4中的反射曲线1所示；此时再次调整环形馈电激励的螺栓，改变耦合度大小和强度，使得三个极点向中心频率靠拢逼近，再依次调节三个谐振柱的螺栓和微调谐振柱的螺栓，使极点再次落在频道中心，如图4中的反射曲线2所示；依次循环上述操作，直至频道内回波损耗指标满足要求，如图4中的反射曲线3所示。由上述调试过程可知：此种三腔带通滤波器调节方式既节约时间，又能够较为准确地得到反射曲线，且频点偏移更小。2.3定向耦合器的调试。3dB定向耦合器作为桥式双工器的基本结构，其使用最为广泛的是单节λ/4定向耦合器，单节λ/4宽边定向耦合器结构示意图如图5所示。其阻抗和频带带宽都应满足整个发射系统的频道要求，并且耦合端与直通端插入损耗的幅度和相位差应整体保持在较小误差范围内，带外信号在端口反相相消的效果才会更好，各频道之间的隔离度才会更高。3dB定向耦合器三种不同尺寸直通端和耦合端的插入损耗对比图如图6所示。由图6可知：在所用调频频带88~108MHz范围内，应保证两个端口插入损耗的差值越小越好。在图6中，曲线3输出两端口的插入损耗差值过大，并且呈现上下脱离的趋势，因此与理想指标相差甚远；曲线2在频带两端频点能够达到零差值，但是频带中心范围插损差值较大；曲线1虽然零点在频带内，但是频带内插入损耗整体差值比前者小。经过上述比较，曲线3的效果相对好一些。耦合器正常工作情况下，带外信号反相抵消作用更明显，因此，在保证各端口反射系数指标要求的情况下，调试过程中应使耦合端和直通端插入损耗差值尽可能小。在耦合端和直通端插入损耗差值过大情况下，最简单实用的方法是，调节耦合板宽度，进而调节耦合度。

3数字电视多工器的维护

数字电视多工器是通过多个桥式双工器串联得到的，以数字电视多工器中的四工器为例，介绍其维护的方法。数字电视四工器连接图如图7所示，数字电视四工器由六个六腔带通滤波器、六个3dB定向耦合器、三个吸收负载及馈管连接而成。其中，f1输入端口为DTMB宽带口，f2、f3、f4分别为470~870MHz频率连续可调的任意三个数字电视频道接口。其工作原理是，f2信号通过3dB定向耦合器和带通滤波器后，在经3dB定向耦合器与宽带口的f1频率合成输出为（f1+f2）频率；f3信号通过3dB定向耦合器和带通滤波器后，再经3dB耦合器与宽带口的（f1+f2）合成为（f1+f2+f3）信号；f4信号通过3dB定向耦合器和带通滤波器后，再经3dB定向耦合器与（f1+f2+f3）合成，总输出（f1+f2+f3+f4）信号，最后经馈线送到天线发射。数字电视四工器应满足如下技术指标要求：输入端口反射系数大于26dB；输入窄带端口到宽带端口隔离度大于50dB、宽带端口到窄带端口隔离度大于35dB；中心频率f0插入损耗小于0.5dB；f0±3.8MHz频率小于0.7dB；f0±4.2MHz频率抑制度大于4dB；f0±4.2MHz频率抑制度大于40dB。其中心频率f0为电视频道所占带宽的中心频率。为满足上述各项技术指标，保证多工器正常工作，需对其进行如下维护。3.1控制多工器的外部温度。由于机房环境温度升高或多工器工作中温度升高，会造成滤波器温度上升，由于热胀冷缩的原因，温度每升高1℃，滤波器的谐振频率降低20kHz左右。当滤波器温度上升30℃时，它的整个通带频率将向低漂移600kHz左右，多工器无法正常工作，因此，数字多工器中的带通滤波器温度的稳定性非常重要。同时，较高的温度也会降低多工器连接件的机械强度，造成3dB耦合器和带通滤波器接口处同轴馈线的连接件变形。因此，在多工器运行过程中，应定期测试工作环境的温度，通常要求温度的上限在30℃左右，一旦发现工作环境温度的异常或多工器表面金属温度过高，都应采取相应的冷却措施，保证多工器在正常的温度下进行工作。3.2保证多工器器件具有足够的机械强度。除了温度过高会影响多工器的机械强度外，另一个重要因素是各个机械加工件是否能满足足够的承重和机械强度。（1）通常腔体滤波器各腔之间是通过耦合窗实现电耦合，在腔体之间的金属隔板之间开窗，使得腔内能量之间能够相互耦合（见图3），但金属隔板的厚度不够或耦合窗口过大，都会导致因其机械强度不够，都会使得滤波器腔体上侧金属板和腔内耦合板承受更大的重力，很容易使其变形。（2）腔体滤波器除了可以调节腔内谐振柱实现频道的转换外，更多的是将滤波器输入输出端口激励设置成可调结构，以配合谐振柱调节，这样做，使得可调范围和灵活性变大。对于耦合器及各组件安装在滤波腔体侧面的情况，输入输出端口处的处理，通常都是将外部同轴馈线的内导体延伸进滤波器腔体内一段距离后，再连接激图7数字电视四工器连接图励器件（比如可旋转金属环或金属板等），这样会导致延伸进腔体的内导体需要承受激励器件的全部重力，并且在调节过程中，也会受到轻微变形产生的应力。由于内导体的尺寸有相应的标准限制（内外导体尺寸通常固定），这就要求激励器件不能过大或过小，过大会导致内导体产生变形甚至断裂；过小会使其失去调节作用，并且降低了滤波器的可调范围。3.3确保各连接件之间连接紧密。对于多工器加工后的组装，应保证各器件之间连接的紧密性。滤波器与耦合器之间同轴馈管及连接组件应确保连接紧密，否则会导致射频信号能量泄露和多工器指标变差。通常滤波器和耦合器都设有微调谐柱，通过在谐振腔和耦合器外壁开小孔并内插可调螺柱达到微调指标性能的作用。微调柱过多或由加工误差引起的螺柱小孔螺纹未能紧密结合，都会导致信号能量的泄露，并且会降低多工器的功率容量；若多工器与天线的馈电部分连接不够紧密，同样也会导致信号能量的泄露及多工器的隔离度指标变差。因此，在调试之前，应首先要保证各连接件的紧密性，避免在能量泄露的情况下，调试多工器的性能指标。3.4统调多工器指标。多工器的调试过程，应注意先后顺序，首先要对滤波器和耦合器的指标进行调试，滤波器可调性大，通常只需调节谐振柱与输入输出端口激励环便能达到指标要求；耦合器加盖封装后，可直接调节的器件只有微调螺柱，微调螺柱主要影响耦合器直通端和耦合端的插入损耗指标，并且其影响较小；在组装连接后，应由天线端口向输入端口逐级进行调试，并保证所有的连接点螺钉紧固，这样一旦发现指标不满足要求或射频泄露，便于查明原因。在保证上述测试调试过程无误，且各项指标满足要求的条件下，再对多工器进行整体测试，一般地，反射指标和端口隔离度指标若有频带偏差或未能达到要求，除了检查各连接口紧密性和调整吸收负载外，应主要调整滤波器单元，改善整体的测试指标。

摘要本文以湖南铁道职业技术学院的校园网为背景，从校园网的特点和传统局域网技术入手，研究了VLAN技术在校园网安全中的应用。

关键词VLAN技术校园网网络安全

引言

随着Internet技术、网络技术、信息技术、多媒体技术的迅猛发展，校园网已经成为学校教学、科研、管理、信息获取的重要手段。但是，校园网访问方式多、用户群庞大、网络行为突发性高，为了保证校园网的正常运行和安全，本文主要针对校园网的特点和传统局域网的缺陷，重点介绍了基于VLAN技术构建安全校园网络的应用。

1传统LAN环境

传统LAN通常由HUB、网桥、交换机等网络设备将同一网段的所有节点连接在一起而形成，各节点通常按照它们的物理连接被自然地划分到各个广播域。处于同一LAN内的网络节点间可以直接通信，而处于不同局域网之间的通信则必须通过路由器才能通信。典型的局域网环境如图1所示

【摘要】当代社会中，计算机网络的技术发展非常迅速，我们的工作和生活均因此产生巨大的变化。在各级企业、事业单位中，计算机局域网络应用非常的普遍。在这样的情况下，局域网络的安全技术成为了企业、事业非常重要的关注点，这直接对社会经济生活的稳定性起到决定性作用。本次研究，笔者重点对当前计算机局域网络常见的安全问题进行分析，并从解决措施上展开探究，拟解决电力企业内部的局域网安全技术相关问题。

【关键词】电力企业；内部局域网；安全技术

全国各个企业、事业单位因计算机局域网络的到来，起到了非常大的转变。当前各级计算机局域网络建立且规模日益扩大，我国的网络结构和相关设备的使用也越来越复杂。计算机网络技术逐渐发展，我们正处在信息化时代当中，局域网的安全问题逐渐成为所有人关注的重点。在电力企业中，网络安全更是决定着企业运营的命脉。若不能有效预防或及时解决计算机局域网络的安全技术问题，各个行业的发展均受到阻碍[1]。就此，如何确保网络数据和网络系统更加安全运行，并能够在这样的背景下使得网络资源、信息共享、数据传输获得最大限度的利用，是当前企业迫切需要解决的。

1电力企业内部的局域网常见安全问题分析

局域网络作为较复杂的系统，安全问题也比较复杂。技术上最大的安全问题就是黑客入侵。当前网络上黑客攻击日趋严重，对系统、ARP、DOS均有不同程度的入侵；其二是网内入侵，如其他网内或局域网服务器对计算机的入侵。紧随黑客攻击之后的是病毒危害。病毒会随着局域网络对数据进行共享和传输时入侵电脑并对网络造成攻击，近两年常见的木马病毒、蠕虫病毒会使得整个网络瘫痪，或是将用户的各种信息盗取，威胁企业正常运行。还有一项安全问题较为常见且严重，就是认证安全漏洞。网络规模逐渐增加，用户的IP地址被盗用、IP地址冲突或是账号被盗用，最终使得安全问题浮出水面，管理和维护人员就此非常苦恼[2]。

2安全解决方案和策略

虚拟机隔离安全的具体实现

虚拟机之间具有良好的隔离性，但在很多应用场合，需要虚拟机间或虚拟机与宿主机之间共享资源或者通信，很重要的一点是要保证虚拟机上的重要信息与宿主操作系统或其他虚拟机的隔离。虚拟机的硬盘等存储设备是虚拟机虚拟出来的存储设备，这些虚拟存储设备的安全性是虚拟机安全性的重要组成部分。虚拟存储设备中的数据，最常见的保存方法就是在宿主操作系统上建立一个文件来保存。例如，在VirtualBox中，虚拟机的硬盘是由一个后缀名为vdi的虚拟硬盘文件保存，而VMWare的虚拟机硬盘则是使用后缀名为vmdk的虚拟硬盘文件保存。通常，这样的文件被称为映像文件（ImageFile），每个虚拟机的客户操作系统的文件系统都完整保存在它们各自的映像文件中。在大部分的虚拟机技术中，映像文件位于宿主机操作系统的文件系统中。因此，恶意代码在宿主机操作系统中读写映像文件就成为对破坏虚拟机或窃取虚拟机信息的一条可能的途径，而且是非常高效和直接的途径。存储器的操作最终都会转换成宿主机操作系统对映像文件的操作[3]，导致映像文件很难与宿主机操作系统的文件系统完全隔离。以明文方式存储在宿主机操作系统中的映像文件使得宿主机操作系统上运行的软件或恶意代码可以从中获取到所有虚拟机操作系统的文件信息和数据，甚至恶意代码可以用病毒或其他文件替换掉映像文件。目前，少数虚拟机技术可以为虚拟机操作系统提供独立的硬盘逻辑分区，与宿主机操作系统进行有效隔离，但这种方式在存储资源的分配上是低效的，在硬盘逻辑分区的管理上也很繁琐。因此，映像文件攻击是一个重要的虚拟机隔离安全问题。一般来说，当用户因关闭系统或重新配置网络等原因不再需要已分配的IP地址时，将不再保留此IP地址。当该IP地址变为可用后，通常把它再分配给其他用户使用。从用户安全角度而论，IP地址再分配使用可能会带来问题，用户无法确信他们对资源的网络访问能否随着IP地址的释放一并终止，从DNS中的IP地址改变到DNS缓存清理，从ARP表中物理地址改变到将ARP地址从缓存中的清除，都会有一定的时间延迟。这意味着，即使地址可能已经变化，原先的地址在缓存中依旧有效，用户还是可以访问到那些理应不存在的资源。信息泄漏是计算机系统中一直存在的一个安全隐患，这是由于很多计算机系统的设计者或者一些安全手段和策略，都没有将信息泄漏考虑在内。隐蔽通道[4]是信息泄漏的重要渠道。虚拟机虽然具有天生的隔离性，但由于多台虚拟机分布在同一个虚拟机监控器之上，虚拟机之间又具有一定的耦合性，这种特性可以被利用来构造隐蔽通道。在Xen中，Hypervisor保存有一张全局的机器地址到伪物理地址的关系表，称之为M2P表。每一个Domain都能对它进行读操作，并且能通过调用Hypervisor的mmu_update接口来更新属于自己地址范围内的表项。这一特性被证明是可以利用在两虚拟机间构造隐蔽通道的[5]。通信双方的虚拟机共享一个结构数据类型，其中第一个域充当标志（双方互相知道对方的标志），而最后一个域包含实际传递的隐蔽消息。在实际的传递过程中，一方将共享的结构体更新到属于自己地址范围的表项内，而另一方则遍历M2P表的表项，直到找到对方的标志，继而就能通过结构体中的偏移量字段来找到相应的隐蔽消息。Xen虚拟机的CPU负载变化也可以用来构造隐蔽通道[6]。假设两台虚拟机的虚拟CPU（VCPU）被映射到同一个物理CPU（或CPU核），并且假设两台虚拟机运行一个相同的任务。作为隐蔽消息接收方的虚拟机一直执行该任务，而作为发送方的虚拟机则通过执行或不执行该任务来引起接收方中此任务执行时间的变化。于是双方可以这样约定，当发送方不执行此任务时，传递比特0；而当发送方执行此任务时，接收方观察到任务执行时间变长，此时传递比特1。

提高虚拟机隔离的安全性考虑

（1）资源分配的问题虚拟机运行时，要求在物理机上需要有足够的处理能力、内存、硬盘容量和带宽等。为了高效利用资源，有时会分配超出处理能力的资源给虚拟机，很可能会导致拒绝服务。当无法保证所有虚拟机不会在同一时间达到峰值，虚拟机资源共享机制又比较简单，CPU、内存、磁盘、带宽都有可能出现资源不够用的问题，预留出一些额外的处理能力、内存等资源用于调度是非常必要的。（2）限制对虚拟机的访问宿主机对虚拟机的攻击有着得天独厚的条件，包括：不需要账户和密码，即可使用特定的功能来杀死进程，监控资源的使用或者关闭机器；重启机器，引导到外部媒体从而破解密码；窃取文件，比如利用外接存储器等，或直接盗走宿主机的磁盘以访问虚拟文件系统；删除一个或多个虚拟磁盘，把它们挂载到已知管理员密码的机器上，可以进入虚拟机，从而看到该磁盘全部内容；删除整个虚拟机等。宿主机的环境不同，造成的风险也不同，所以要对宿主机的安全提供周密的安全措施：宿主机的物理环境安全，包括对进入机房的身份卡验证，对机器进行加锁（避免被人窃走硬盘）；拆除软驱、光驱；BIOS设置禁止从其他设备引导，只允许从主硬盘引导。另外，对BIOS设置密码，避免被人修改启动选项；控制所有的外部接口。（1）虚拟化软件层的安全隔离软件层位于硬件和虚拟服务器之间，提供终端用户创建和删除虚拟化实例的能力，由虚拟化服务提供商管理，终端用户无法看到并访问虚拟化软件。其管理程序保证硬件和操作系统虚拟化实现在多个用户虚拟机之间共享硬件资源，而不会彼此干扰。鉴于管理程序虚拟化是保证在多用户环境下客户虚拟机彼此分隔与隔离的基本要素，保护其不受未授权用户访问是非常重要的。一旦黑客对其进行完整性攻击，突破这些隔离单元，将造成灾难性后果。虚拟化服务提供商应当建立必要的安全控制，包括限制对管理程序及其他虚拟化层面的物理和逻辑访问；而用户应当理解相关技术及虚拟化服务提供商的安全控制流程。虚拟化软件层的程序绝大部分是服务提供商专有而封闭的源代码，用户的安全保障团队要设法获得并检查提供虚拟化服务提供商的软件源代码，保障自身安全。（2）虚拟化系统采用虚拟防火墙在基于云计算的虚拟化技术中，安全等级往往采用域进行构建，域与域之间有逻辑隔离。为了实现虚拟机之间安全互访[7]，虚拟防火墙要具有基于IP地址（特定的地址或子网）、数据包类型（TCP、UDP或者ICMP）以及端口（或者端口范围）进行流量过滤的功能。同时，为了防止遭受外界攻击，要阻止所有到虚拟服务器的端口，建议只使用端口号22（SSH——安全外壳协议，要有密钥认证）来管理虚拟服务器的资源。（3）通信加密和虚拟机身份验证使用谓词加密、完全同态加密等各种手段，用HTTPS、TLS、SSH，或者加密VPN来管理。除了通信加密以外，还应有身份鉴别和认证手段，以防止伪造源IP攻击、连接劫持、中间人攻击等。虚拟机和宿主机一样也需要升级认证方式，比如使用key登录、口令的加密存储等。

虚拟机技术还面临着很多其他已知和未知的威胁，这些威胁需要逐一去研究解决，尤其是在国内这样大范围使用虚拟机但虚拟机安全技术却暂时落后的背景下，自身掌握虚拟机的安全技术就显得更加重要和必要。同时，可信边界的变动造成了人们对虚拟化技术应用的顾虑，加强对虚拟化技术安全特性的研究是一个非常有意义的课题。

本文作者：范伟韩奕黄伟庆工作单位：中国科学院信息工程研究所

摘要：本文提出一种基于网闸设备的IP组播信源切换方案，应用于有线电视前端对不同输入源的IP格式直播电视信号作切换和处理。该方案可同时服务于有线电视光纤入户和传统同轴电缆两类不同接入网用户，具有安全可控及应用开放性高的特点。

关键词：网闸;IP组播;信源切换

1引言

为提升三网融合形势下的行业竞争力，有线电视网络当前正加快部署高清化、IP化数字电视前端和光纤入户网络改造，以满足未来家庭用户至少100Mbps的带宽需求。从建设运维成本、业务承载能力、可靠性、未来演进及技术发展趋势等角度考虑，光纤入户是未来网络演进的最佳方式。当前，广电网络光纤入户主要采用单纤双波或双纤三波方式，而从网络部署和投资效益角度分析，单纤双波是未来的主要演进方向。因此，在接入网络演进过程中，有线电视前端系统需要进行IP化融合改造，以同时服务基于IP端到端的光纤入户用户，以及基于DVB标准的同轴电缆接入用户。在IP化有线电视前端系统中，信源切换模块作为较为核心的信号处理环节，需要满足广播电视前端系统多路IP组播信源切换，使用TCP/IP高标准化传输协议以及实现传输网络隔离来提升网络安全性等业务需求。本文提出一种基于网闸设备的IP组播信源切换方案，应用于有线电视前端对不同输入源的IP格式直播电视信号作切换和处理。

2网闸功能概述

网闸设备是由两套各自独立的系统组成的，分别连接安全和非安全的网络，这两套系统通过网闸进行信息摆渡，保证两套系统之间没有直接的物理通路。在本方案广播电视IP化前端机房的应用中，信号源接入节点上下游网络在技术管理上属于互为非信任域：上游网络为省级干线网络或市级对联专线网络、不同节目源或来源于不同单位运维的网络；下游网络为地市广电单位自主运维的业务承载城域网络。网闸设备实现切换不同信源输出，同时实现了上下游网络的逻辑隔离，防止两个网络间的非法流量互相影响，以确保双边平台的安全。2.1物理层特性。网闸的物理层隔离技术确保不同网络中主机在任何时间是物理性断开的。本方案中，网闸设备需具备多路万兆数据接口，各万兆接口可作为信源输入口连接上游网络，也可作为信源输出口连接下游城域网。上下游网络主机物理性隔离，数据传递时，各网络主机只通过各自网络连接的万兆接口就可与网闸设备有数据交互。该组网方式舍弃交换机等互联设备，减少了系统横向数据交互，并能通过网闸设备实现上下游系统平台聚合，以及提升平台安全性。对于信源输出接口，通过N+1端口备份模式实现信源切换，并进一步提升系统组网安全性。2.2链路层特性。网闸的链路层隔离技术就是消除不同端口间数据链路的建立，网闸设备与外部网络交互是基于链路通信协议的数据交换，而内部不同端口间数据交互是使用串口通信协议等。在本方案中，数据交换方面以直播电视的IP封装数据作为核心处理对象，从网闸设备各端口接入到数据转发都有严格控制，并针对媒体数据特点全面优化，极大地降低了信号丢包和延迟。而且，为了提升网闸管控安全，特设独立网管模块，管理系统与设备间的安全通信则由HTTPS安全访问协议保障。2.3重建TCP/IP协议。网闸设备为了消除TCP/IP协议在不同网络间引起串扰，在通过网闸进行数据传输时，数据包输入时须剥离TCP/IP协议，输出时再重建TCP/IP协议。在本方案中，网闸设备对同一个信号需要支持多组播输出，输出的组播可以同时支持IPv4及IPv6的双栈模式，并可完成两种协议的互相映射。2.4重建应用协议。网闸设备为了消除应用协议的串扰，在数据经过网闸设备时同样必须重建应用协议。本方案中的直播电视IP组播流通过地市的网闸重新封装后，输出为“同源同组”的IP组播流，经城域网到接入的PON网络，一直到光口终端，均启用IGMPv2协议。

网络攻击可分成内部及外部攻击，其中内部攻击来自校园网内部学生，有些学生在网络方面学习能力强，在好奇心及欲望驱使下，有些学生尝试网络攻击技术，学生攻击主要应用授权访问或预攻击探测等进行攻击，授权访问攻击是对被保护文件实施读写与执行尝试，或者获取被保护反问权限采取尝试，像NetBus就是典型方法。预攻击探测是指为获取网络内部信息，连续非授权访问，像端口扫描与Satan等内部攻击，容易造成高校数据及文件泄漏，影响高校校园网正常运行。外部攻击主要来自互联网的攻击，由于网络应用复杂性，应用网站插件、浏览器及代码等漏洞实施攻击问题越来越突出，攻击者通常要经过探测、隐藏及攻击等步骤，一些计算机攻破之后，会沦为黑客的利用工具，实施再次攻击，给校园网造成严重威胁。随着信息网络在高校普及，计算机接入数量不断增多，有些学校管理方法不得力，安全防范意识不强，致使信息丢失、病毒传播、网络攻击及系统瘫痪等情况屡见不鲜。有些高校尽管重视了硬件投入，却忽视了软件投资，轻管理及重运行现象严重，网络安全意识不足，把网络系统仅作为纯技术工程，并未建立完善的安全管理办法，网络安全的入侵手段、发展变化及安全措施等很少关注研究，校园网中的很多用户在网络安全意识方面不强，让计算机一再遭受病毒侵害，校园网络监控及管理软件缺乏，使得校园网存在极大安全隐患。

在高校校园网中，存在大量安全威胁，为预防这些安全隐患，应该依据校园网实际状况及实践，采取可靠的安全策略技术，构建安全高效的校园网络。安全策略技术主要包含防火墙、安全隔离、数字签名、访问控制、VPN技术、IP地址防盗、防病毒的安全体系及IDS部署等技术，其中，防火墙技术是校园网及因特网间实施的访问控制策略，对经过防火墙的各类攻击、入侵及异常事件均能检测到，并及时通知有关人员，高校安全管理员根据警报信息对安全策略进行及时修改，并重新制定有关访问规则，避免病毒入侵及黑客攻击；安全隔离技术目的是保证有害攻击被隔离在校园网络之外，确保校园网内部信息不被泄漏，实现网络信息之间的安全交换；IDS技术可依据不同资源信息收集，对异常行为信息进行分析反映，并出具报告检测，监测过程并不影响网络使用，同时对内外攻击及误操作进行实时保护；VPN技术是运用隧道技术，把内部网络数据进行加密封装，通过虚拟公网隧道传输信息，避免敏感数据被盗取；网络版的防毒安全软件具有强大管理功能，高校校园网管理者只需要升级服务器端，客户端在启动之后，就能自动升级，管理者还可监控病毒及远程杀毒，通过此软件技术及时了解本校校园网的病毒状况。在校园网中，第一道安全屏障为身份验证，在校园卡之外，校园网身份验证主要为口令机制，像登录口令、开机口令及共享权限等，口令保护除了具有保密机制之外，其设置方法也是很重要的，通常安全口令标明至少7个字符的，用户应该使用8个字符以上，口令密码设置字母要大小写混合，将数字没有顺序的安排在字母当中，在口令当中，不要使用？！%及#等符号，不要应用英文单词及生日、密码等个人信息。网络病毒防护主要包含预防及检测病毒，对已入侵病毒入侵进行定位，避免在系统当中传播，发现的病毒要及时清除，并调查病毒来源，在校园网当中，应该建立统一的病毒防范体系，尤其是重要服务器及网段，应彻底堵截病毒，网络杀毒软件应该能支持按你不主流平台，实现软件升级、安装及配置，还要确保校园网全部入口安全，并具有强大的防护功能，保护数据及程序，从而保证校园网安全。信息加密主要包含协议、算法及管理等体系，其加密算法为基础，协议为关键，而密钥为保障，有条件的话，用户管理及登录等系统应尽量自行开发，最小授权是网络服务配置、账号设置与主机配置等均应在网络运行需要的最小限度内，以降低系统危险性。校园网中的计算机安装了防火墙及杀毒软件等，但网络病毒攻击并没有停止，其主要原因是由于系统打开了不常用端口，尤其是木马病毒，从一些漏洞端口当中长驱直入，并安家落户，为保护端口安全，用户应经常查看端口，发现可疑端口，应及时分析判断，并找出有关端口资料，对可疑端口进行判断，一旦确定为木马等病毒端口，并采取防火墙及反黑软件等限制端口，避免非法入侵，监测日志对网络安全来说是很重要的，对系统经常发生的事情，计算机用户应建立监测日志，对错误出现原因进行检查分析，并寻找攻击者所留下痕迹，以确保系统安全。高校应重视网络安全管理，建立专门网络管理部门，并配备相应技术人员，对岗位责任要明确并强化，日常运行维护工作也应加强，出现网络故障要及时处理，并做好网络病毒的实施监测，查杀网络病毒，及时升级有关病毒软件，保证网络安全。校园网使用者主要包含管理员及用户，对于校园网用户，尤其是刚入校的新生，应加强有关网络安全方面的教育，增强网络安全机制自觉性，提高整体的安全防范力，尽量不使用盗版及安全隐患软件，陌生邮件及不可信网站不要打开，，特别是E-mail附件当中的com及exe等程序。校园网管理者应定期培训，增强专业素质，使其具有高水平的网络管理能力，及时修补漏洞及检查，确保网络管理及监控，对于黑客事件及非法访问，一旦发现就严肃处理，在高校内，培养具有高度安全管理意识的人员，同时，高校应出台有关校园网安全的管理制度，对网络应用方法进行规范，将威胁降到最低。

随着计算机及信息技术不断发展，高校校园网被广泛普及，已成为高校的基础设置，学校教学、科研、管理及生活等均离不开校园网的支持，在校园网规模扩大，计算机数量增多情况下，校园网安全问题日益突出，为确保校园网安全，应该综合考虑防毒软件、防火墙、用户认证及加密等技术策略，同时，制定合理的校园网管理制度，通过教育培训及宣传等手段，增强校园用户及管理者的安全意识，充分保证高校校园网的安全运行。

本文作者：赵军工作单位：呼和浩特职业学院美术与传媒学院

摘要：本文综合介绍了北京有线电视网络目前实施的系统组成，特别是光纤同轴电缆混合网络-HFC款待接入网的拓扑结构，及双向传输的实现方式。

关键词：线电视网络同轴电缆混合网络HFC双向传输

l有线电视系统技术发展的阶段性

中国有线电视开始于二十世纪七十年代，经过二十多年的发展，从无到有，从小到大。今天，已经发展成为我国广播电视领域一支新兴产业。中国有线电视技术从自力更生、白手起家，到引进国外先进设备，系统技术水平发展很快。从VHF频段、全频道共用天线系统到750MHz、860MHz有线电视城域网系统，从同轴电缆传输到光缆、电缆、MMDS等多种传输技术的混合应用，从只传输模拟信号到模拟、数字信号的混合传输，从单向广播网到双向交互网络。同时，先进的数据传输设备、数字传输系统以及计算机技术在有线电视系统中的成功运用，中国有线电视技术的发展日益接近国际先进水平。今天已经确立了它在国家信息化结构框架“三网一平台”的基础网络地位。有线电视技术先进，有良好的社会效益和经济效益，是国家的基础设施建设项目。

我国有线电视的发展历程，总体上看，可分为三个阶段，即：小型共用天线系统、大型共用天线系统和有线电视系统。

1．1小型共用天线系统阶段(1975—1985年)