新型智能小区宽带接入网络典型设计..docVIP

网络方案需求性分析 ??? 对于传统企业网络来说，网络的安全性更侧重于外网安全问题，网络整体一致对外， 安装一个功能强大的防火墙来防止外界对网络内部的攻击。对于整个企业网络来说， 外界的攻击将是网络体系的最大威胁。基于对社区网络内网安全性的特殊需求性，我们推荐采用一种全新的网络应用模式， 从硬件体系，网络物理平台上就要保证社区每一个用户的绝对个体私密性，即保证每一个小区用户具有自己安全的网络机制。???? 一、信息化小区宽带接入系统安全问题分析 ??? 社区网络与传统企业网络在安全机制要求方面有很大区别。 ??? 1. 传统企业网安全解决模式　　对于传统企业网络来说，网络的安全性更侧重于外网安全问题，网络整体一致对外， 安装一个功能强大的防火墙来防止外界对网络内部的攻击。网络模式如图。对于整个企业网络来说， 外界的攻击将是网络体系的最大威胁。 ??? 然而，社区网络对于安全机制要求将更加全面。社区网络的对象将会把社会上的千家万户连接到一起。 传统企业网所面对的社会上或者是外界公网里的黑客、骇客等网络危险分子，将成为社区网络里的用户， 社区网络系统的内部成员。也就是说，社区网络的建设，将把各形各色的社会用户、网络爱好者连接在自己内部网络中， 这样，社区网络所面对的安全威胁将不仅仅是外网系统的威胁，更大的隐患将是来自内部系统的直接攻击。 　　举例来说，如果按照传统企业网络模式来建设社区网络结构的话，我们可以描述结构如下图： ??? 按照传统连接模式，用户B、C有可能处于同一个广播域中，甚至用户A、B、C、D都处于同一VLAN中， A、B、C、D等用户将处于同一个广播域中。这样用户B可以很方便地探测到用户C或者其它用户的网络IP地址， 使用社会或者网上很多的公开的黑客软件便可以做到这一点。如果该用户具有一些很浅显的网络知识或者能熟悉地应用这些黑客软件， 那么用户B就可以很容易地对用户C或者其它用户进行攻击，如使用IPCrack、Win95/98Nuke核武器、死亡之Ping、 特略依木马等等等等许多黑客软件进行攻击，或者使用一些网络侦听软件进行网络探测、监听，结果造成用户C及其他用户系统崩溃、 私人信息丢失，甚至丢失、泄密自己的私人信用卡等重要信息密码，造成可怕的后果。 　　可见，采用传统企业网模式来建筑社区网络，对于网络内部体系安全没有得到真正保护，将给社区用户带来网络安全隐患， 甚至给小区开发运营商带来不必要的因内网泄密问题带来的法律纠纷。 ??? 2. 新型社区宽带接入网理想的安全模式　　基于对社区网络内网安全性的特殊需求性，我们推荐采用一种全新的网络应用模式，从硬件体系， 网络物理平台上就要保证社区每一个用户的绝对个体私密性，即保证每一个小区用户具有自己安全的网络机制。拓扑示意如图： ??? 基于这一特殊需求和解决方案原理，3COM公司推出新一代适合社区网络建设的交换机VCNSwitch。??? ??? 二、汇聚交换机、接入交换机选型原则及依据 ??? ??? 考虑到应用于社区网络，所以在权衡安全性和灵活性的基础上我们推荐使用VCN交换机。 　　因为对于社区网络，在社区中的各个用户都需要通过边缘层交换机来完成所需的应用服务，那么， 对于传统交换机由于所有的用户都在同一个广播域中所以任何一个用户都可以在该广播域中利用这一特点帧听其他用户的数据， 这样用户的通信安全就会受到威胁。 　　在今天，电子商务和网上交易正在逐渐的得到大范围的推广，越来越多的人开始认可这种便捷的商品和货币的流通方式， 所以用户数据的安全性就变得更加重要。 　　1. 传统交换机数据转发机制及安全实现模式　　传统交换机的广播机制使得在社区内用户的数据安全性变得更为脆弱， 为了弥补机制的缺陷使用传统交换机的社区网不得不通过在用户端进行繁琐的安全设置并且 通过在交换机上通过划分VLAN来隔离各个互不信任的用户区域,但是使用VLAN将会带来以下几种副面影响：　　1)．由于传统交换机的VLAN功能是基于软件来实现的，所以大量的VLAN设置将会增加用户数据的负荷， 由于每一个数据帧在进出交换机的时候都要经过交换机引擎的处理，从而导致交换机性能的急剧下降和网络带宽的开销增加。 　　2)．由于大量的VLAN设置工作要做，所以给社区网络管理人员带了了大量的维护和设置的工作。 　　3)．随着社区用户的急剧增加，社区网络的VLAN需求也将大量的增加，由于VLAN标记自身结构的限制不可能超过4095个， 所以仅就VLAN数目来说传统的交换机是不可能支持这种规模的VLAN的。 　　设想一下，如果社区中每个用户都需要相互隔离的话那么将需要划分上千个VLAN。在这种情况下， 当整个网络处在使用的高峰期时，交换机将很可能因为大量的