时间:2023-06-12 14:46:28
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇虚拟网络的实现,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【中图分类号】TP311 【文献标识码】A 【文章编号】1674-4810(2011)24-0041-01
一 网络虚拟实验系统及其主要功能的特点
网络虚拟实验系统以计算机系统为核心虚构出三维可视的实验场景,仿真复杂多变的实验现象,支持实验数据的采集和实验结果的模拟、分析。学习者通过网页访问的方式观察逼真的模拟实验环境,并通过普通的图形界面交互技术改变实验条件和参数,将各种虚拟仪器按实验要求、过程进行操作或组装,并从中获得良好的个人体验或发现。它一般包括相应的实验环境,有关的实验仪器设备,实验对象以及实验信息资源等。
网络虚拟实验系统属于桌面式虚拟现实系统,在一定程度上具有虚拟现实技术的沉浸性、交互性和想象性特点,可以提供一些在现实中无法体验的情境,能避免真实实验或操作所带来的各种危险。彻底打破空间、时间的限制,学习者随时进入虚拟实验室操作仪器,进行各种实验,共享仪器设备,共享数据,甚至和异地的学习者合作进行实验等。特别适合在实验设备、实验场地、教学经费缺乏等低成本的限制条件下应用,较适合于网络教育和移动学习。
二 网络虚拟实验系统的基本体系组成
1.表现层
展现实验场景,用户主要包括学习者、教师和管理员。通过注册登录,下载支持IE的3D浏览器插件后,即可进入三维虚拟实验环境中进行实验。用户通过简单和友好的界面,可实现与虚拟实验的3D对象、虚拟角色的交互,或虚拟角色相互之间的交互。
2.业务逻辑层
服务器的主要作用是开放式交互实验环境以及动态网页的生成;网页Web应用服务器数据库的主要作用则是提供Web接入服务、用户认证管理、账号管理、动态网页的生成。作为整个虚拟实验系统的核心模块,虚拟实验应用服务器主要作用是控制和管理实验仪器、采集和处理实验数据;交互控制影响学习者的实验请求并做出相应的反应,处理多用户协同通信时出现的问题。
3.数据访问层
主要是对原始数据(数据库或者文本文件等存放数据的形式)的操作。数据库主要包含用户信息库、3D对象服务器、知识库、教学资源库。用户信息库包含用户(学习者、教师)的初始数据,如用户个人信息、登录信息、首次测试水平、实验仪器设备信息和学习记录等,存储在数据库服务器中。3D对象服务器包括3D场景模型、3D虚拟角色模型和3D实验仪器设备模型等。文件服务器包含Word、PPT等教学文本文档以及预设的HTML模板。
三 网络虚拟实验系统的关键设计
一是许多网络虚拟实验系统功能更关注在实验现象和行为的模拟演示,系统的交互性和监控性有限。功能设计中需要增强对实验数据的统计分析和实验过程监控等功能,从而增强教学的评价功能。二是网络虚拟实验系统更多地集中于通过网络共享实验资源,共享数据。支持多用户协作式,分布式共享同一实验空间的系统并不多。分布式系统功能设计能进一步增强系统的实用性,同时带来更大的设计和实现的复杂度。
四 网络虚拟实验系统的实现技术
1.环境建模技术
虚拟实验环境和实验仪器的建立是虚拟实验系统的重要内容。常用的建模多使用3DMax、Maya等工具软件完成。制作人员完成建模和贴图的工作量比较大。数字三维扫描技术快速、精确地生成实体模型,与软件建模方式相结合能够缩短工作时间,提高效率。
2.实时三维图形生成技术
三维图形的生成技术已较为成熟,其关键是如何实现“实时”生成与显示。对于具有一定复杂度的模型,如何达到实时显示和便于网络传输的目的,又要保证图形的帧率和质量,需要进一步研究。
3.立体显示和传感器技术
虚拟现实的沉浸感和交互能力依赖于立体显示和传感器技术的发展。现有的桌面虚拟现实系统大多使用鼠标加键盘的WIMP图形界面,在人机交互方式上存在着较大的局限性。近年来,手写板与触摸式显示屏等新兴的人机交互设备大规模地进入应用领域,其更加自然的交互方式突破原有鼠标加键盘的WIMP桌面系统,桌面虚拟现实系统的二维交互方式带来的约束,手写板技术和触屏技术的发展与应用虚拟现实设备的跟踪精度和跟踪范围也有待提高,因此有必要开发新的三维显示技术。
4.应用系统开发工具
虚拟现实应用的设计关键是寻找合适的场合和对象,即如何发挥想象力和创造力。应用系统开发工具需要强大的平台支撑,为不同的开发者和设计者提供良好的支持,提供功能丰富且方便的工具包SDK来支持便捷的二次开发,以大幅度地提高生产效率、减轻劳动强度、提高产品开发质量、降低开发成本。目前国际上比较著名的VR技术的开发工具和平台有 VRML、Cult3D、EON、Quest3D、Virtools等,不同的平台各有其特点,通常实际使用开发平台所提供的一些实用功能模块,需要的附加付费也是需要考虑的重要问题。
【关键词】虚拟现实技术;网络虚拟实验室;3ds Max;VRML
Based on Virtual Reality Technology of The Construction of the Network Virtual Chemical Laboratory Design
YAN Xiao-li ZHENG Yan-bin YAO Fei SU Jing-xia
【Abstract】This article first introduces the network based on virtual reality technology, virtual chemical laboratory of architecture, and then introduces the combination of 3ds Max software and VRML language implementation of virtual test scenarios interaction function and the method of animation effects theory, lays the foundation for the construction of network virtual laboratory.
【Key words】Virtual reality technology; Network virtual laboratory; 3ds Max; VRML
0 引言
随着虚拟现实技术和计算机网络技术的发展,虚拟现实技术应用的领域已经深入到军事、医学、教育等各个领域。利用虚拟现实技术建立的化学实验室与传统实验室相比高效、开放、灵活、用户自定义等优点决定了它在远程教育中的良好应用前景,必将成为教学活动的重要环节。
1 虚拟现实技术与网络虚拟实验室
虚拟现实技术(Virtual Reality,VR)是以计算机技术为核心生成的一个三维空间的虚拟世界,借用专用设备为用户提供关于视觉、听觉、触觉的感官的模拟,并通过键盘鼠标等操作实现人机交互,使用户有身临其境之感。虚拟现实技术的突出特征为“3I”,即 Immersion(沉浸性)、Imagination(想象性)、Interactive(交互性)[1]。根据用户参与VR的形式以及沉浸的程度,本文用的是桌面虚拟现实系统。
1989年,美国弗吉尼亚大学(University Of Vinginia)威廉・沃尔夫(William Wulf)教授首次提出了虚拟实验室的概念:用来描述计算机网络化的虚拟实验环境[2]。本文要建立虚拟实验室就是基于互联网环境下完成的网络虚拟化学实验系统。
基于虚拟现实技术的网络虚拟实验室指的是在网络中创建一个可视化的三维环境,其中每个可视的三维模型代表一种实验对象,用户通过对鼠标和键盘的操作,可以模拟和仿真具体的试验对象、实验环境和实验过程,从而实现对实验的模拟,实现与真实实验环境下相一致的实验效果,达到同样的教学目的和要求。
2 网络虚拟化学实验室体系结构
网络虚拟化学实验室体系结构主要由两部分构成:服务器端(Server)和客户端(Client),如图1所示。其中客户端的功能是客户通过直观的界面操作来实现人机交互。界面上有各种操作,都是基于模拟软件,即虚拟实验平台来实现的。服务器端的主要功能则是及时响应客户端的请求。由于此软件的访问量较之商业网站的访问量少很多,因此可以建立一个比较小的云平台,当客户向服务器发出请求时,就把请求转入云端进行集中处理。但是为了避免多个客户对共享资源的互斥访问,要采用并发处理机制,这样才能及时的响应客户端的多用户请求。
客户端与服务器端的交互是通过一系列的协议和连接来实现的。客户主机上安装有支持Java语言的浏览器,Web服务器为Java Application,启动后服务器便会在端口侦听客户端的请求。当客户端通过浏览器向Web服务器提出HTTP请求时,Web服务器就会通过HTTP协议把客户所需要的文件资料传送到浏览器上,此时客户就可以在浏览器上阅读了。在这一过程中,通信接口作为客户端和服务器端的媒介,通过TCP/IP协议和数据库接口进行通信[3]。
3 实验场景建模实现
虚拟现实场景的制作通常有如下三种途径:第一是通过数码相机或摄像机进行实景拍摄,然后制成全景图;第二是使用计算机编程的方法直接生成,常用的程序设计语言有VRML、OpenG、LX3D等;第三则是使用商品化的软件制作虚拟的三维场景和动画,如用3ds Max、EON Studio等[4]。
为了使用户最大程度上的“沉浸感”,要求虚拟化学实验场景与真实实验环境高度一致。将虚拟实验室场景的建模分为两大类:一是实验室基础环境,包括实验室内部环境以及实验室基础设施;二是虚拟实验器材,包括实验器材以及实验药品等。对于这些虚拟实验室内部构造的实现不仅需要形似,更需要其在材质、纹理、内部结构方面都十分逼真。
图1 网络虚拟化学实验室体系结构
对于虚拟实验环境的建模,比如天花板、窗户等的建模可采用实景虚拟现实技术。实景虚拟现实平台是对现实场景的处理和再现,因而展现的是完全真实的场景。相比于利用3ds Max建模得到的效果,更能使用户沉浸其中。
对于那些比较比较简单的实验药品和仪器,由3ds Max建模实现。3ds Max建模软件包含了基本的几何模型,这些几何模型不仅在建模时可以直接使用,也可以将其作为基础,实现较复杂的模型的创建。对于实验仪器和设备而言,建模时最重要的是要根据实际情况赋予不同的物品不同的材质。赋材质时可以使用VRML中的Appearance (外观节点)反应造型的属性。如物体的材质、表面颜色、透明度等。
实验室很多其它场景如烧杯,药品架、投影仪等的建模都可以采用以上的原理实现。
4 交互功能以及动画场景的实现
VRML是一种用于建立真实世界的场景模型或人们虚构的三维世界的场景建模语言,它在3ds Max创造出的三维场景,不仅可以插入多种多种VRML节点,同时也可以将其直接导出到VRML中,因此可以利用VRML的传感器节点,实现实验中的交互功能以及动画效果。
4.1 交互功能实现
在虚拟实验系统中,可通过VRML中的检测、感知等节点实现用户和虚拟对象之间的交互。
根据用户在场景中的动作,将检测器分为两类:触摸型的传感器和感知型的传感器。将动作从广义上分为两类:一类是用户的输入设备对于对象的操作,一类是用户和场景中的某对象接近的程度,对象进而做出反应。用户在虚拟实验室系统中,将鼠标作为主要的输入设备,这时采用第一类检测器检测鼠标单击、指向和拖动等动作,从而对场景做出做出相应的回应。
以KMnO4制造O2实验为例,在实验过程中需要加热,因此单击鼠标点燃酒精炉,此时触摸型传感器中的接触检测器节点(TouchSensor)可以很好地检测鼠标是否单击了对象,从而做出反应。在实验时难免会出现虚拟空间物体之间的碰撞,此时可以感知型传感器中的碰撞传感器节点(Collision)可以用来检测何时用户和虚拟空间中的造型发生碰撞并作出反应,同时该节点中的ROUTE路由提交的事件可以启动一个声音节点,使实验场景更加真实。
对于一些复杂的计算、智能推理能力等,可以利用VRML的Script节点。Script节点包含一个程序脚本,可以定义和改变场景中对象的行为和外观。在Script初始化时(即事件被检测到时)调用程序脚本将事件和节点从VRML传递到Java程序中,同时将命令从Java程序传递到VRML中[5]。比如在实验过程中处理自由落体及反弹就可以利用此节点。
4.2 动画场景实现
对于VRML场景来说,交互功能仅仅能够实现对场景的控制,为了达到虚拟现实的目的,还需要制造动画的效果。在VRML中实现动画实际上就是借助于时间检测传感器节点确定发生变化的时间,借助于描述场景中造型的状态,利用外观变化的内插节点来控制他们的外观和状态随着时间的变化以产生动画的效果。
VRML设计了许多插补器节点对应不同的状态变化,利用插补的方法构建场景中的动画效果,如实现造型位置变化的位置插补器(PositionInterpolator)、实现方位变化的朝向插补器(OrientationInterpolator)、实现颜色变化的颜色插补器(Colour Interpolator)以及坐标插补器(CoordinateInterpolator)等[6]。
仍然以KMnO4制造O2为例说明,在此实验中涉及到的有药品颜色的变化、O2的增加等动态变化。这时可以采用时间传感器和颜色插补器(Colour Interpolator)描述实验启动后KMnO4变为MnO2时的颜色变化(紫色变为黑色);用位置插补器(PositionInterpolator)和时间传感器来描述O2由少变多时的动态效果。
5 结束语
基于虚拟现实技术的化学实验室不仅弥补传统化学实验教学的不足,同时为教师提供了一个良好的教学环境、为学生提供了一个学习化学的平台,同时为其它实验课程的教学改革与发展提供了技术支持,对于推动教学体制的改革有及其深远的意义。
【参考文献】
[1]段新昱.虚拟现实基础与VRML编程[M].北京:高等教育出版社,2004:01.
[2]KOUZESRT, MYERS JD, WULFW A. Doing science on the In-ternet[J].IEEE ComputerSociety,1996,29(08):40-46.
[3]范鹏轩,孙静.一种Web3D虚拟现实系统的场景数据调度方法[J].科技广场,2010(01):107-109.
[4]文孟飞,阳春华.网络环境下虚拟现实实验室构建探析[J].广东广播电视大学学报,2004(04):27-30.
[5]刘辉,金汉均.基于VRML虚拟实验室实现方法的研究[J].实验室研究与探索,2007,26(12):225-227.
[6]胡小强.虚拟现实技术[M].北京邮电大学出版社,2005:255-257.
基金项目:河南师范大学国家大学生创新创业训练计划项目(201210476065)。
作者简介:闫晓丽(1993―),女,河南平顶山人,本科,研究方向为虚拟现实技术 。
郑延斌(196年―),男,河南新乡人,博士,教授,主要研方向为虚拟现实、人工智能。
关键词:远程教育;DCOM;虚拟实验室;客户/服务器(C/S)
Abstract: In order to make the virtual laboratory for teaching the need for long-distance network to enable it to work on the network, the use of DCOM technology to C / S achieved the components of the virtual laboratory. The simulation as part of the server-side, the interface I / O as a client. In many cases, users did not provide DCOM Distributed strategy, the use of targeted scheduling to balance the load, so the introduction of distributed processing way.
Key words: distance education; DCOM; virtual laboratory; client / server (C / S)
前言
随着Internet的不断扩大,日益增多的计算机正在连接到互联网上,以共享资源。于是远程教育作为一种新的教育模式被提上了议事日程,现代计算机技术和网络技术为远程教育的发展提供了强有力的技术保障。尤其是WWW浏览器技术和数据库技术的发展,使得教学活动不再受地域和时间上的限制,利用Internet就能进行实时或非实时的教与学,从而实现了跨越时空的学习。然而,大学实验室里许多实验课,在远程教育的网上学习中将会有许多困难。如何在网络课件中解决好这个问题,对于进一步办好远程教育是具有重要实际意义的。本文利用DCOM(Distributed Component Object Module)技术,将单机板的虚拟电路实验系统升级为网络版的虚拟电路实验系统。
虚拟电路实验系统是一个用于仿真电子线路实验的软件。用户通过界面在计算机屏幕上选用各种元器件搭建电路,测试波形,得到实验数据等结果,以模拟真实实验的方式使用户掌握有关电路方面的知识。从功能上讲,虚拟实验室系统分为两个模块:一个是仿真计算部分,它是整个系统的核心部分,负责输入数据的处理、大量的模拟计算,并向输出界面部分传送结果;另一个则包括输入界面和输出界面两部分。输入部分完成用户电路搭建时的界面处理,从某种角度来讲,它完成了数据的采集。同样,输出界面完成结果的输出,如波形输出、数据输出等。
为了满足远程教学的需要,必须将单机虚拟实验系统改造为可在网络上运行的系统。从通信的开销上来讲,Socket是最合适的。但是Socket本身是面向通信的,有复杂的通信细节需要处理。而且,Socket服务器对于客户来说,很难提供稳定的应用程序接口,一旦服务器发生了变化,客户必须相应地变化,不利于客户和服务器单独开发和维护。另外一种则是文本采用的COM(Component Object Module)技术。
1 组件对象模型(COM)
现代的软件开发都以模块方式进行。每个模块均有自己的功能,并与其它模块以接口进行通信。于是,复杂的软件系统就可以用搭积木的方式进行。这就是组件软件的基本思想。COM就是实现软件组件化的一种努力。
实际上,COM是一种规定了组件之间的接口标准。COM还引入了面向对象的思想,COM对象是一个能完成一定功能的软件模块。COM对象是组件的基本构成,它以接口的方式向其它对象或软件提供服务。通常情况下,对象的服务与被服务都是客户/服务器的关系。COM对象不同于C++对象。C++对象是类的实例。C++是面向对象的编程语言,是人们在源码级试图实现软件模块化的一种努力。COM对象是二进制的规范。换言之,C++在源码级提供了代码重用的便利,而COM是在二进制级提供了可重用性。COM的二进制级重用是通过COM对象工作来实现的。它主要有两种方式:(1)包容,一个对象通过利用另一对象的功能实现同样的接口。(2)聚合,一个对象直接将另一对象的接口提供给客户。
由于COM的实现是在二进制级,而不是源码级,于是决定了COM与语言的无关性。一个用C或C++实现的COM可以与一个用BASIC实现的客户正常地通信。因此,整个软件的一部分可以用一种语言开发,而另一部分可以使用其它语言。这给软件开发者在根据性能的要求做出编程语言选择时提供了方便。COM的另一个特性是进程的透明性。一个组件可以有很多种形式出现,比如DLL,EXE等。DLL形式的组件与客户程序工作在同一进程,EXE组件工作在独立的进程。无论是进程内的组件还是进程外的组件,对于客户来讲都是同样的,客户无需关心进程间的通信。进程间的通信是复杂的,然而COM掩盖了这种复杂性。
2 分布式组件对象模型(DCOM)
COM给软件开发带来了极大的便利。但是,在网络环境下,单机上的组件重用和进程透明性已不能满足需要,COM必须扩展。Microsoft的DCOM便是COM在网络环境下的无缝扩展,DCOM能够支持在局域网、广域网,甚至在Internet上与不同计算机的对象之间的通信。使用DCOM,应用程序可以在位置上达到分布性,从而满足客户和应用的需求。
DCOM隐藏了网络通信的细节,在可以利用的网络协议的支持下,组件或客户无需关心对方组件的位置,便可以进行通信。因此DCOM具有协议无关性。在网络环境下,组件之间的通信不像在COM的进程内或进程间的LPC(Local Procedure Call),而是以RPC(Remote Procedure Call)来完成的。客户与COM对象必须通过Proxy和Stub来进行通信。Proxy工作在客户进程中,Stub工作在服务器进程中。此外,DCOM提供了所有在网络上工作的软件都应有的特殊性与安全性。
3 COM/DCOM在网络虚拟实验室中的应用
从程序设计的角度来看,COM/DCOM的结构是这样的:对象是构建组件的基本元素,而服务器为组件提供进程内/外的服务,提供了组件工作的场所。对象是一个自包含的结构,提供一定的功能,它不能直接被客户使用,客户必须通过接口访问它。对象必须通过接口来表现自己的功能,甚至对象的创建都不能由客户直接完成,对象的创建必须借助一个特殊的对象,即类厂来完成。
对于客户,它可以是一个组件对象也可以是一个支持COM的普通程序。它通过COM API来调用类厂创建对象,并增加引用计数,来决定对象的生存期。这样COM库和COM服务器会在适当的时候卸载。
虽然C++对象和COM对象有本质的区别,但是它们在二进制一级的构造上有一定的相似性,C++对象和COM对象都使用VTable。而且,C++的对象描述能力使它很容易创建COM。因此C++是实现COM的最佳选择。Visual C++在CO
M编程方面提供了两种方式:一种是MFC(Microsoft Foundation Class);一种是ATL(Active Template Library)。MFC是以嵌套类的方式来实现COM的;ATL大量地使用于模板,采用多重继承的方式来实现COM。但不管是MFC还是ATL,都为开发软件提供了极大的方便,很多的处理都由MFC提供,比如引用计数、服务器锁计数、类厂等。尽管MFC和ATL都能实现COM,但MFC是一种开发完全应用程序的有效手段。相比之下,ATL是专为COM设计的。所以,ATL更适合创建快速小型化的COM组件。
3.1 服务器
在本文设计的网络虚拟实验室系统中,将模拟计算部分作为服务器。对于单用户服务器的情况,可以使用STA(Single Thread Apartment)线程模型。在这种情况下,分作为一个COM对象。对于在这个组件来说,它至少应该提供一个Simulator对象、一个Isimulate接口和两种方法。
interface IDatdT’: IUnknown
{
HRESULT InputData( [ in]... );
HRESULT OutputData( [ out]... );
…
};
这个对象是一个可连接对象。在模拟算法完成之后,它必须向用户发出通知。而用户程序内置了一个接收器。客户使用InputData()向服务器传送采集的数据,服务器在处理数据完成之后,客户通过OutputData()取得处理结果。
对于多用户服务器,实际上只要简单地在这个COM组件中加入注册表信息,或者用CoCreatelnst9nEX(),以主机信息为参数就可以在指定主机上创建对象,利用DCOM进行通信。位置透明性使客户很容易使用DCOM。如果为客户指定相应的主机(即服务器),客户就可以创建并使用对象。
3.2 多用户服务器的负载平衡
在多用户的情况下,当用户的数量达到一定程度的时候,多个用户在主机上创建的对象实例会使服务器的压力增大,从而造成服务器性能的下降,影响服务质量。当然,可以使用多个服务器来提供服务,人工地平衡多个服务器上的负载,但这将给维护带来极大的困难。一旦用户群动态地变化,服务器的负载平衡将被打破。显然,这种没有任何分布式策略的分布式COM(DCOM)是不够的。虽然DCOM提供了位置透明性,但是没有提供分布式的策略,分布式策略需要软件开发者来提供。因此,提供负载平衡是DCOM组件开发的一个重要任务。为了平衡多个服务器的负载,建立了如下图所示的系统结构。
对于模拟计算的COM对象,为了避免多次重复地创建和释放,本文采用了服务对象。服务对象是已创建的COM对象实例。该系统中还引入了简单的调度对象。调度对象是一个中间对象,它以STA(单线程Apartment)方式工作。调度对象负责建立服务对象Simulator,维护主机列表COSERVERINFO Server[N]、对象列表ISimulate*pISimulate[N]和对象状态列表Int State[N]。主机列表保存主机名字,对象列表存放对象接口指针,状态列表是一个对象的状态值。对于对象来讲,它有三种状态:(1)未创建或创建失败;(2)忙;(3)闲。三个列表都以全局变量的形式出现。由于使用了STA,可以不必考虑对象的同步问题。但是,多个同类对象访问全局变量仍然可能造成对象在线程上的安全问题。因此,本文使用临界区(Critical Section)来同步。此外,调度对象是一个可连接对象,它必须与服务对象通信并获得服务对象的状态。
调度对象负责在主机列表指定的主机上创建服务对象,并初始化。所有的客户在需要服务的时候应向调度对象发出请求。当有客户向调度对象请求服务时,调度对象检索主机列表、对象列表和状态列表,在选定主机上查询并检查对象的有效性,获取服务对象接口指针,并返回给客户,然后客户与服务对象通信。根据COM的特性,此时客户和服务对象之间的通信是直接进行的,不经过调度对象。调度对象根据什么原则来获取某个主机上的对象是一个策略上的问题,实际应用中必须考虑主机的负载平衡。对于复杂的系统,这种策略可能相当的复杂。然而,为了简单起见,本文采用了以执行任务的对象在主机上的数量多少作为平衡负载的标准。在客户使用完毕对象后,对象激发一个调度对象事件,调度对象负责将对象状态复位。因此,调度对象是一个可连接对象,实现了一个接收器,接收来自服务对象的事件。
此外,调度对象还负责将服务对象卸载。应该看到调度对象的引入增加了网络通信量,但对于采用分布式策略的系统来说是必要的。实际上调度对象很大程度上起到了目录服务的作用。如果必要的话,调度对象加上适当的模块可以作为一个简单的中间管理模块,比如控制用户登录、限制用户数量等。
3.3 客户
客户控制着虚拟实验室数据的采集和输出表现,它将直接面对用户。对于客户来讲,它只需要在数据处理的时候,在执行调度的主机上创建调度对象,本文来自范文中国网fw789.com。调度对象负责返回可用的服务对象。客户将数据交给服务对象来处理,并取得输出值。在客户与服务对象通信的过程中,客户还必须接收来自服务对象激发的事件,所以客户必须内置接收器。
4 结束语
本文使用了调度对象来实现负载的平衡,采用的平衡策略是以运行在主机上的对象数目作为衡量负载的标准,这对于简单的系统已经足够了,但对于比较复杂的系统,必须有更复杂的负载平衡策略。
DCOM虽然提供了很多的优点,如位置透明性、协议无关性等,然而这是以增加开销为代价的。与Socket比较,DCOM的开销要大一些,但是DCOM提供的方便超出了它带来的额外开销。
参考文献:
[1]潘爱民 COM原理与应用[M].北京,清华大学出版社。1999。
关键词:网络安全;虚拟网络技术;实践探析
计算机网络安全问题肆虐,各种计算机病毒以及木马程序的横行,以及黑客肆无忌惮的威胁,为计算机网络安全造成了严重的威胁和不良影响。任由计算机网络安全问题发展,将会给社会生活造成巨大的损失。因此,必须采取有效措施解决计算机网络安全问题。虚拟网络技术具有先进的技术构成,对计算机网络问题具有强大的解决能力,能有效保障计算机网络完全。
1计算机网络安全面临的主要问题
1.1计算机病毒。计算机病毒的本质是一种代码,病毒制造者将该代码插入到计算机程序中,能对计算机的数据和功能等造成破坏,该种代码通常可以进行自我复制,以程序代码较为常见。计算机病毒相对隐蔽,具有极强的破坏性,且潜伏能力较强,极易感染健康的计算机[1]。计算机病毒的传播,通常是借助于计算机网络。计算机病毒通常隐蔽在计算机文件以及计算机网站之中,当计算机用户访问这些包含病毒的文件和网站时,就会导致病毒对计算机的感染。计算机病毒会对计算机系统以及计算机数据造成巨大的破坏,甚至会导致计算机网络的整体瘫痪。因此,计算机病毒对计算机网络安全造成了极大的危害。1.2黑客威胁。通常,将蓄意破坏计算机系统以及计算机网络的犯罪分子称之为“黑客”。黑客大多具有非常高的计算机技术水平。黑客通过对计算机技术以及相关工具的利用,在计算机网络上,寻找存在漏洞的计算机系统,并对该类系统进行入侵,实施对系统中数据的破坏,或者是将系统中的信息盗取,以实现对非法利益的牟取[2]。黑客经常会攻击各大网站,导致网站对计算机用户访问的拒绝,还会利用DDOS攻击,造成计算机网络的大面积瘫痪。黑客能利用高超的计算机技术,实现对各类网站访问权限的获取,对各类企业网站、政府网站以及后台等进行随意访问,并在获取各种数据的同时对系统进行破坏。当前,黑客形成了规模较大的群体,在世界各地频繁攻击各类网站,对计算机网络安全造成了严重的威胁。1.3木马以及后门程序。计算机系统,以及计算机软件系统的开发人员,通常会对开发的系统预留一定的特权通道,以后门程序实现对该系统的随意访问,以达到对系统漏洞的有效修复。此类特权通道,称之为“后门”。黑客经常利用系统的“后门”程序,实现对计算机系统和软件系统的入侵,对各类网站的重要系统,诸如数据库等进行随意访问,并将系统中有价值的信息进行盗取或者破坏[3]。有的黑客,会通过“后门”程序,将木马病毒植入到计算机系统之中。木马病毒的隐蔽性极强,会在计算机系统后台中巧妙地隐藏,黑客借助于计算机网络,实现对木马的远程操控,对各类信息进行非法获取。
2虚拟网络技术
2.1虚拟网络技术概述。虚拟网络技术,是专用网络技术的一种,可以实现在同一个物理网络的基础设施上对多个虚拟网络的同时运行,而各虚拟网络之间彼此互不干扰。各虚拟网络的拓扑结构和路由算法各自独立,其体系结构可以实现完全独立。各种网络技术都可以实现在虚拟网络中的建立,而不用对物理网络特性进行考虑。当前的互联网,主要采用IP技术。所有设备在互联网上的唯一标识,都是各自的IP地址。虽然各虚拟网络的运行,都依托在同一物理网络上,但是彼此之间互不干扰,具有极强的独立性。每一个虚拟网络都可以实现对网络资源的调整,而无需对其他虚拟网络进行考虑。各虚拟网络无法实现彼此间的直接通讯,其转发借助于路由器。因此,虚拟网络的控制性非常高,有利于实现网络完全的有效增强。2.2虚拟网络技术构成。虚拟网络技术较为复杂,其技术构成主要有以下几方面:(1)隧道技术。隧道技术能封装局域网中的数据包,并将路由信息添加到数据包中,借助互联网将之传输出去。在互联网中,数据包的传输路径,即是隧道。其网络连接并不稳定,信息的传输主要借助于数据包。(2)密钥管理技术。密钥管理技术通常与解密技术于紧密相连,严格管理密钥,能实现对加密解密的有效保障。(3)加密解密技术。加密解密技术,能实现对虚拟网络中数据的安全保障。通常将数据包加密,保障其中数据在传输过程中的安全性,并防止恶意拦截导致的数据泄露。加密解密技术,能实现对计算机网络安全的有效保障。(4)身份认证技术。身份认证技术,使得用户对虚拟网络的访问,必须经过授权。该技术有利于防止黑客对虚拟网络的随意访问。身份认证技术的实现方式,主要是用户名以及密码。随着技术的发展,各种新技术,诸如指纹识别、视网膜识别等得到了日渐广泛的应用。
3虚拟网络技术的实践探析
当前,虚拟专用网络是应用最为广泛的虚拟网络技术。虚拟专用网络对通讯的加密,是通过虚拟专用网络在公用网络上的建立实现的。虚拟专用网络技术在企业中得到了日益广泛的应用。该技术具有较低的成本和简单的操作。3.1在企业员工访问中的应用。虚拟专用网络可以对企业网络的访问权限进行有效的控制。虚拟专用网络在企业网络中建立网关和防火墙实现对公用网络的有效隔离。网关,是虚拟专用网络的服务器,能实现虚拟专用网络在公用网络上的良好架设。企业员工通过用户名及密码获得对虚拟专用网络的访问权限。该技术在企业员工访问中的应用,有利于实现远程办公、视频会议等,对于提高企业员工的办公效率具有极大帮助。该技术能有效增强企业网络安全,有效保护企业数据资料,防止病毒攻击和黑客威胁。3.2在机构之间的应用。虚拟网络技术在机构之间的应用,可以实现机构之间的信息共享。虚拟网络将各机构包含在同一的虚拟网络之中,并进行拓扑结构的良好设计,实现各机构之间的信息共享。另外,虚拟网络通常在公用网络上建立,能实现对网络建立成本的大幅度降低。虚拟网络技术能实现对各机构的远程覆盖,将各机构纳入统一的逻辑结构中。同时,实现与公用网络在逻辑上的有效隔绝。这样,既能实现机构之间的信息共享,又能有效保障数据安全。
4结语
综上所述,计算机网络安全面临着诸多问题,主要有计算机病毒、黑客威胁以及木马和后门程序,这些问题严重威胁了计算机网络安全。因此,亟须虚拟网络技术为计算机网络提供安全保障。虚拟网络技术主要由隧道技术、身份认证技术、解密技术等构成。虚拟网络技术在企业员工访问以及机构之间得到了广泛的应用,取得了良好的实践应用效果。在计算机网络中,有必要加强虚拟网络技术的应用,以确保计算机网络的安全。
作者:应光晖 单位:民航温州空中交通管理站
参考文献
[1]郑振谦,王伟.简析计算机网络安全中虚拟网络技术的作用效果[J].价值工程,2014(35):196-197.
论文关键词 虚拟财产 盗窃罪 刑法规制
随着网络科学技术应用范围的拓展,网络游戏已经成为网民生活的重要组成部分,因此产生的虚拟货币、虚拟装备的虚拟财产已经成为网络生活中的重要工具。然而,随着网络游戏的发展,与之相关的犯罪行为也随之而来,盗窃网络虚拟财产已经成为危害网络游戏产业机制的重要形态。根据中国网络信息中心统计数据,有超过61%的网络游戏玩家有被盗虚拟财产的经历,甚至已经形成了制造计算机病毒、传播病毒、盗窃网络账号、构建第三方销售平台的完整产业链豍。然而,由于我国当前缺乏对盗窃网络虚拟财产犯罪的立法,甚至缺乏对网络虚拟财产界定的明确规定,这直接导致现实生活中盗窃网络虚拟财产的行为很少受到法律的追究。随着我国盗窃罪术标准的额提升,在司法实践中如何认定网络虚拟财产犯罪的数额同样存在争议,对盗窃网络虚拟财产的定性同样存在一定的难度。所以,如何有效厘清刑法对盗窃网络虚拟财产犯罪的定性和构建科学合理的刑法规制制度是解决这一问题的关键所在。
一、网络虚拟财产属性的属性
网络虚拟财产法律属性的界定是研究盗窃财产案件定性的基本前提和关键所在。网络虚拟财产是网络信息技术应用拓展过程中形成的,存在于网络游戏中的游戏账号、游戏装备、游戏货币、聊天工具、电子信箱等被游戏玩家占有、控制和支配的具有一定经济价值的电子数据。由于当前我国立法并未明确界定这一财产的法律属性,导致在司法实践中对其保护面临尴尬境地。
首先,从网络虚拟财产法律属性角度分析,网络虚拟财产与传统意义上的物具有根本的不同,是一种虚拟的,但这并不排除其具有一般物的特征和财产属性。虚拟财产的本质载体主要体现在计算机信息数据,但该数据是客观存在的,并通过计算机终端进行显示。游戏参与者通过注册账号、游戏充值、购买装备等方式,实现对该类财产的占有、使用、收益和处分权利,享有对虚拟财产的控制和支配权,可以按照自己的意志对其进行处分,不受第三人的非法干涉。但这种处分权并非无限制,需要依托网络游戏提供者和运营商所确定游戏的规则进行,不能通过恶意手段凭空增加或者减少自己的虚拟财产。在满足运营商通过网络游戏盈利目的的同时,运营商必须确保游戏者对其虚拟财产的专有权。所以,如果游戏玩家专有的、享有支配权的虚拟财产遭到盗窃,应将其作为盗窃罪的犯罪对象进行保护,以维护游戏者的合法权益;如果盗窃的对象是游戏网络运营商的数据,并使运营商利益受到侵害,也应该作为盗窃罪的对象进行认定。
其次,从网络虚拟财产财产属性角度分析,财产是指具有经济价值,依一定目的而结合之权利义务之总体豎,具有有用性和可控制性,而网络虚拟财产显然具备这些特征。网络虚拟财产具有使用价值,可以通过运用该类财产,满足玩家精神上的愉悦和需求,并通过运用该类型财产在游戏中实现升级,得到满足感。同时,很多虚拟财产具有相当的经济价值,很多玩家为了获得装备、经验等付出大量的劳动,同时,网络游戏运行商同样为此付出相当的劳动,有些游戏用户是通过直接购买装备、账号等方式获得虚拟财产。所有这些均体现了网络虚拟财产的有用性,是一种可以实现现实交易的商品。网络游戏运行商通过控制服务器对相关虚拟财产进行合理化管理,而用户通过自身账号和密码实现对网络虚拟财产的占有使用和支配权,并可以实现对虚拟装备、武器、QQ号码等进行买卖、消费等行为豏。
综上所述,从虚拟财产属性角度分析,网络虚拟财产具有完整法律意义上的财产属性,理应成为刑事法律制度财产保护的对象。
二、盗窃网络虚拟财产的定性
根据我国刑法的规定,盗窃罪是数额犯,数额较大是界定罪与非罪的主要标准。在司法实践中,认定构成盗窃罪的数额标准时通常是将犯罪嫌疑人窃取或者多次窃取的方式控制财物的最终货币形式进行界定。所以,盗窃网络虚拟财产定性应具体分析:
首先,在认定其是否构成犯罪问题上,根据我国刑法理论构成犯罪需要具备一定的犯罪要件,盗窃罪要求主体达到法定责任年龄,具备刑事责任能力,在主观上表现为直接故意,客体上要求行为人运用技术手段侵犯网络虚拟财产的排他性权利,并客观上秘密窃取较大数额的财产。从这个角度分析,盗窃网络虚拟财产行为人只要以非法占有为目的,并具备刑事责任能力既符合盗窃罪主体和客观方面的要求,主要方式是通过计算机技术植入木马程序获得网络游戏用户的账号和密码豐,侵犯网络游戏用户的财产性权益。根据上文对网络虚拟财产属性的界定,这即符合盗窃罪特征。
其次,网络虚拟财产并非货币,其价值的确定同样需要通过货币形式实现,这也是认定盗窃网络虚拟财产行为罪与非罪的前提。司法实践中通过综合利用多种方式对虚拟财产价值进行评估和确认。这些方法主要包括按照网络游戏玩家之处的实际费用对其进行评估,这些费用主要包括:上网费用、账号充值费用。网费用根据各地区实际情况确定,而充值卡费用则根据网络运营商销售充值卡的市场价格和网络游戏账户中记载的具体数额进行确定。豑根据网络虚拟财产离线交易价格确认,网络游戏参与者往往会通过线下交易购买游戏装备、经验,这直接体现为货币。除此之外,还可以根据犯罪嫌疑人销售网络虚拟财产所得确定其价值。通过综合利用这些方法确定犯罪嫌疑人盗窃网络虚拟财产的罪与非罪。
综上所述,盗窃网络虚拟财产的行为如果所涉数额达到盗窃罪犯罪标准,应认定为根据盗窃罪的相关规定定罪量刑,而如果所涉数额达不到盗窃罪的犯罪标准,则应根据《治安管理处罚法》的相关规定进行处罚。
三、盗窃网络虚拟财产的刑法规制
当前,我国并不存在专门针对盗窃网络虚拟财产的刑法规定,这导致在司法实践中对该类型犯罪进行处罚时面临同样行为不同处罚的尴尬局面,这不仅不利益维护刑法的严肃性和稳定性,也不利于实现法律效果与社会效果的统一。所以,应根据我国立法的不足,积极推动我国立法的完善,推动盗窃网络虚拟财产行为刑法规制的完善。
(一)盗窃网络虚拟财产刑法规制现状
当前,我国刑法对网络虚拟财产是否属于刑法保护财产范畴并未明确,而在具体处理盗窃网络虚拟财产行为过程中,由于缺乏专门的法律条文和相关司法解释,导致司法实践面临无法可依的困难,这也是涉及虚拟财产违法行为高发的原因之一。在司法实践中,司法机关往往在现有法律环境下根据不同情况适用法律。但也导致同类案件适用法律不统一,造成规制乱象。公安机关在接到相关报案后,亦缺乏必要的法律依据和侦查程序拒绝立案;按照侵犯通信自由罪进行处罚或者以破坏计算机信息系统罪定罪处罚。显然,以缺乏法律依据对此进行排除不利于保护游戏玩家合法权益,不利于网络信息环境和秩序的维护。而按照后两种方式进行处罚也存在一定的弊端。盗窃网络虚拟财产行为人本身目的就是为了获得网络虚拟财产,而并非破坏计算机信息系统或者侵犯他人通信自由,所以,从这个角度分析,应该按照盗窃罪定罪处罚。
根据上文阐述,盗窃网络虚拟财产数额达到盗窃罪标准时,符合盗窃罪的犯罪构成特征,应该根据盗窃罪予以定性,司法实践中也存在通过盗窃罪定罪处罚的案例。应积极推动我国刑法关于网络虚拟财产的相关规定,将盗窃网络虚拟财产行为纳入盗窃罪规制范围予以规制。
(二)盗窃网络虚拟财产刑法规制对策
法律规制的前提要求法律具有稳定性和确定性,针对盗窃网络虚拟财产行为的日起猖獗,应顺应社会发展和司法实践的需要,结合我国立法现状及不足从以下两个方面推动我国盗窃网络虚拟财产刑法规制的完善,以推动我国刑法对网络虚拟财产犯罪的规制,维护网络环境和秩序。
首先,应明确网络虚拟财产的法律地位。当前,我国《刑法》第92条规定的财产范围包含生产、生活资料、个体私营企业的合法财产以及证券类财产,并确定了“其他财产”的兜底性条款。网络虚拟财产作为新兴财产形式,将其纳入刑法规制范围符合刑法立法精神,在盗窃网络虚拟财产行为高发的情形下,仅仅依靠其他财产兜底性规定显然是不够的,而且我国也并未对“其他财产”做出司法解释。所以,结合立法和司法实践的具体情况,应出台相关法律解释,明确网络虚拟财产的法律地位,对网络虚拟财产进行明确的界定,赋予其刑法保护的法律地位,在处理相关犯罪过程中,可以直接援引相关立法解释的规定进行定罪处罚。
借助日新月异的信息技术,虚拟的计算、存储资源已经可以和云平台紧密结合,但硬件网络与云平台,以及计算、存储资源的紧密结合却不那么容易实现。即使是当下流行的SDN理念,也不能完全让网络像PC总线那样服务于云。华为认为,在云计算数据中心,网络迟早要完成云网一体化的演进,弹性架构、虚拟化、开放、自动化运维……是实现云网一体化必经的过程。
实现自动化的出路
大规模云计算数据中心面临的最大挑战是如何实现自动化的业务运营,而目前最大的阻碍则是业务与硬件网络的割裂。
“虚拟化厂商可以做到用软件构建虚拟的交换机、虚拟的路由器和虚拟的防火墙,但从实际效果来看,这种方案存在性能上的不足。在我们与业界主要的虚拟化平台合作伙伴交流的时候,他们也都明确表示客户有这样的感受。”华为数据中心网络领域营销总监程剑告诉记者,虚拟化软件厂商一直在力求实现云系统的自动化运营,但用户针对业务需求构建云系统时,最大的阻力来自硬件网络。
虚拟化技术的广泛应用,并没有从本质上改变业务与硬件网络的割裂关系。以私有云数据中心为例,在创建一个云业务集群时,业务需要的计算、存储资源,已经可以由虚拟化软件实现自动调度,但业务需要的硬件网络资源,目前还是很难实现统一调度。实际上大部分虚拟化厂商或云平台厂商都是软件起家的,他们对网络设备功能的理解还没有达到一定的高度。另外,即使能自动创建整套系统,包括虚拟机、软件网络、硬件网络在内,后期的故障定位、统一运维也是比较痛苦的。
在华为看来,云网一体化将是打破僵局的唯一出路,也是云计算网络发展的必然趋势。SDN理念的提出,实际上是迈向云网一体化的开端。
云网一体化新思路
华为数据中心网络领域营销部长王飞谈到,目前业界对云网一体化思路的实践主要有两个方向:一种思路是靠纯软件实现,通过虚拟机来创建整套虚拟网络,主要代表厂商是VMware、微软。其缺陷是,虽然可以完成网络自动化部署,但整体性能不佳。特别是在面向其他非虚拟化的系统,以及园区网作网关转化等需求时,仅依靠软件还无法实现硬件网络的能力。
另一种思路是在硬件上做优化,如某些网络厂商提出的SDN思路,在物理网络之上叠加一个软件控制器,把硬件网络的能力抽象出来,以一种业务可以“看得懂”的方式,将抽象的网络呈现给上层云平台。但这种方案也存在灵活调度能力不足的问题,因为相对而言,硬件的可编程能力弱于软件。
关键词: 计算网络 虚拟机 教学创新
一、虚拟机软件在网络专业课程教学中的应用
1.构建虚拟网络试验环境,降低网络搭建成本。 组建局域网是进行网络实验的基础,对于计算机网络专业课程,最少需要两台计算机进行组网,大型的试验还会更多。使用真实机搭建网络实训环境,要求实训室除具备足够多的计算机以外,同时还需要配备有网络交换机、路由器和网络传输介质,这种实训环境的搭建最接近真实,最为理想,但是组建成本相当高。通过使用VMware虚拟机软件,只要具备网络机房,且当前计算机硬件为主流配置(CPU为双核及以上,内存2GB以上,硬盘空间100G)的均可以构建成本低廉的虚拟网络实验环境,供实训教学使用。
2.虚拟机运行于宿主机中,对虚拟机的任何操作,均不会影响宿主机系统,实现对实训室主机操作系统的零损伤。虚拟机软件为网络实训课教学的实施提供了广泛的应用空间,在虚拟机中可以根据实训要求组建虚拟网络试验环境。由于虚拟机是运行在计算机上的一个软件平台,所有的虚拟计算机运行在此,即使虚拟机操作系统发生故障,不会影响其之外宿主机操作系统安全。
3.虚拟机与真实机(宿主机)结合,扩大实训网络主机数量。当实训项目要求的网络主机数量大于实训室计算机的数量时,可以将真实机与虚拟相结合,实现扩充网络主机数量。其做法很简单,只要将虚拟机的虚拟网卡的属性设置为桥接(Briged)即可。这样可以实现虚拟机与宿主机通讯,也可以实现虚拟机与网络中其他虚拟机或宿主机的通讯,以便组建大型的虚拟网络环境,达到扩充网络主机的目的。但要注意,此时需要将实训室机房与校园网隔离或断开,以免由于不当的操作会造成校园网出现冲突故障,影响校园网的安全运行。
4.虚拟机、真实机与网络交换机、路由器设备结合搭建企业网和园区网,实现大型的实训项目。在组建企业网和园区网的实验中,我们将虚拟机、真实机和网络的交换机、路由器相结合仿真网络实训环境,使得的一些难讲的课程、不好实现的实验都迎刃而解,教学目的性和操作性更强,教学效果显著。
5.运用虚拟机快照功能,保存系统断点,必要时可迅速恢复系统状态。WMware软件提供虚拟快照功能,可以帮助用户记录虚拟机的系统状态,当系统配置出现故障或需要重复演示操作时,使用恢复系统快照功能,将虚拟机迅速恢复到初始状态。
6.通过复制已建的虚拟主机,无需安装操作系统,快速建立多台虚拟主机。为快速建立虚拟网络实训环境,可以将已有的虚拟机文件进行复制,建立多个相同系统的虚拟机,减少安装虚拟机操作系统所需的时间,提高了课堂效率。
二、虚拟机软件在教学实践中的创新
1.运用远程访问虚拟主机功能,实现分组教学。VMware Server 1.0.8版本提供了远程访问虚拟主机的功能,可用于实现分组实训教学。在实训教学过程中,同学们可以通过网络连接到同一台服务器的虚拟机,在相同的实验环境中,按照角色进行任务分配,共同探讨实现步骤、方法,将分组实训落到实处。
用户通过网络远程访问虚拟主机
本文意在研究VPN网络在生活中的应用,以及VPN路由器的服务方式和组网技术,VPN技术的出现和使用,解决了网络互联过程中存在的安全问题,尤其是在高校内为实现信息共享,发挥着重要的作用。
【关键词】VPN 虚拟专网 应用
在信息化时代里,人们的生产生活发生着翻天覆地的变化。计算机和网络技术的出现,对于人们的学习、工作、生活起着重要的作用。VPN路由器在构建虚拟专网过程中提高学校内信息系统的覆盖,完善学校网络信息系统的安全性能,提高学校校区与校区之间的资源共享,可见VPN路由器在构建远程网络互联的过程中发挥着重要的作用。学校利用VPN路由器的服务方式和组网技术实现了信息的同步和互访,这种技术的应用是远程网络互联的一次新的突破。
1 VPN路由器概述
1.1 含义
VPN(Virtual Private Network)就是虚拟专用网络,也可以称为虚拟私有网络,VPN的构建原理是在公共网络环境中通过一系列的技术,建设一条虚拟的网络专用通道,这个通道在数据传输过程中更安全可靠,可以将不同地区单位的网络互联,降低学校或公司单位网络成本的投入,解决远程网络互联遇到的安全问题。
1.2 VPN的网络运行模式
由于设备和协议的不同,VPN路由器现在常用的有两种网络运行模式,一种是自建式的VPN,另一种是外包式的VPN。自建式的VPN不需要网络供应商的帮助,就可以自己建立起专用的虚拟网络通道,是对单位内部网络系统的配置和管理,自建式VPN最大的优点就是便于控制,而且安全性较高,但在使用过程中,学校或公司单位必须具备对虚拟网络的设置和维护的能力。外包式的VPN是通过网络供应商提供的设备,采用MPL技术建立自己的虚拟网络专用通道。
2 VPN路由器在构建远程网络互联的优点
2.1 提高了网络互联的安全
VPN网络技术是在公共网络的基础建立起来的虚拟专业网络通道,在继承了传统网络安全的基础上,通过数据加密技术的处理,提升了网络互联过程中的安全性。
2.2 投入较少,便于管理
VPN网络技术是以中央网站为控制中心,用户不需要在硬件上和系统软件上进行投入,可以继续使用自己的网络设备。同时,也大幅的减少了在安装虚拟网络远程配置时的开销。
2.3 实现虚拟专网的资源共享
虚拟专用网络本身就要比公共网络安全性高,加上虚拟专网有专业技术的支持,可以很好的实现公司与公司之间、学校与校区之间资源的共享,这大大降低了资源开发过程中人力物力的浪费,可以让人们投入到其他的研究活动中,这也是建立虚拟专网的一个重要目的。
3 VPN网络技术的运作流程
VPN网络技术主要由以下几个技术组合应用而成,包括封装加密、认证、接入控制、数据安全维护,根据公共网络的特点和现状,就VPN虚拟网络存在的问题进行研究,通过比较分析建立VPN虚拟网络合理的技术组合方式。
3.1 封装机制
封装机制在计算机领域又被称为隧道技术,是将原来的IP网络运用新的封装技术重新封装,通过重新建立的封装机制实现资源的传送。在整个传送过程中,公共网络无法看到传送内容,这就很好的保护了用户的信息安全,封装机制就像是一条网络上的秘密隧道,能够实现公司与公司之间、学校与校区之间的安全互联。
3.2 认证方法
如果想要在两个网络系统之间建立起一条虚拟网络隧道,首先要做的就是确认对方的身份,在这个过程中,认证就起到了两个作用,一个是能够确认两个网络系统的身份,保证网络安全;另一个是在确认好两个系统身份后,确认连入系统用户的身份。
3.3 接入控制
从封装机制的封装特点,能够看得出来,为了实现两个系统网络之间方便联系,所有使用虚拟专用网络的用户都要使用VPN提供的使用权限,这是为了将用户分组控制,目的是为了实现VPN虚拟专网在使用过程中的安全控制。用户使用VPN路由器,网络系统就可以对用户实现精细化的管理,实现对资源访问过程中的控制,使共享资源能够能到统一的控制和管理。
3.4 数据安全维护
数据安全维护包括对数据进行加密处理,这样保证了数据资源的完整性和不容易被篡改。VPN虚拟专网可以为数据提供多种加密处理,而且还可以对数据资源的完整性进行检测。在数剧安全维护上,通过多层处理的方式,对不同层级的用户配置不同的安全策略。网络管理者把用户分为不同的加密等级,普通等级的用户采用散列函数和低位的加密策略,高等级的用户采用散列函数和高位的加密策略,从根本上保证了数据资源的安全性和完整性。
4 VPN网络病毒的防护
网络病毒是网络系统的最大破坏者,对于网络病毒的防治已经成为网络防治中心一个重要的问题。虚拟专网病毒防护,就是运用防御技术阻止网络病毒对计算机网络的破坏。一般情况下,对于计算机病毒的防治是将计算机病毒分类处理,确切的说是根据计算机病毒不同的传播规则,有针对性的防治。VPN虚拟专网虽然安全性较好,但是在网络病毒的防治过程中也要引起重视。
5 结论
VPN作为一种新的网络数据资源安全通道,在构建虚拟专网过程中,网络构建方式简单、投资成本低,数据安全性能高,VPN虚拟专网在未来将是互联网运用的发展方向,尤其是高等学校和大型公司作为网络的主要使用者,为了加强自身网络的应用,建立自己的VPN虚拟专网已经是非常必要的。
参考文献
[1]孙丹东.基于SSLVPN的远程网络互联实验室的应用研究[J].无线互联科技,2011,12(09):1055-1056.
[2]王小林,程备军.虚拟专用网络(VPN)的应用[J].安徽工业大学学报(自然科学版),2012,01(03):1079-1080.
[3]陈恒法,曾碧卿.虚拟专网(VPN)技术在校区网络互联中的应用[J].科技咨询导报,2013,02(04):1038-1039.
[4]陈恒法,曾碧卿.VPN技术在校区网络互联中的应用[J].科技资讯,2011,03(06):1023-1024.
关键词: NFV;管理和编排(MANO);Hypervisor
1 NFV架构和应用场景
1.1 NFV架构
网络功能虚拟化(NFV)的基础架构由欧洲电信标准化协会(ETSI) NFV行业规范组织(ISG)设计完成,NFV逻辑架构如图1所示。
NFV逻辑架构主要分为4个部分:NFV的管理和编排(MANO)系统用于整体编排和控制管理;NFV基础设施(NFVI)提供网元部署所依赖的基础设施环境;虚拟网络功能(VNF)这一层包括虚拟网元自身以及负责管理VNF的网元管理系统(EMS);运营支持系统/业务支持系统(OSS/BSS)是运营支撑系统。
1.2 NFV应用场景
NFV的应用范围非常广泛,从网络边缘到网络核心,从固定网络到移动网络,所有网络功能的实现都有可能重新设计或改造。以下介绍几种NFV应用的典型场景[1]。
(1)固定接入网。
虚拟客户终端设备(vCPE)和虚拟宽带远程接入服务器(vBRAS)是NFV部署的典型案例之一。vCPE将复杂的网络功能及新增业务以虚拟化方式部署在网络侧而非用户侧,同时为运营商未来新增业务乃至第三方业务提供开放平台。vCPE的部署使得传统固定接入网络变得更加灵活,用户可以根据需求定制自己的网络。从目前的产业发展现状来看,固定接入网络的NFV化已经成为业界的共识,但目前技术方案尚未完全成熟,各类VNF的功能仍有待完善。
(2)移动核心网。
核心网虚拟化一直是NFV应用的重点领域。目前,全球运营商在该领域概念验证(POC)、试点乃至部署案例众多,比如:日本DoCoMo公司尝试自主集成构建物联网解决访问虚拟演进的数据核心网(vEPC)。同时,中国移动也以虚拟IP多媒体子系统(vIMS)和基于IMS的语音业务(VoLTE)为切入点,进行了深入的NFV试点。
(3)移动接入网。
移动接入网的分布式特征所带来的高成本、高管理复杂度的挑战使得NFV成为其未来发展的重要解决方案。新一代基站布建架构――云化无线接入网(C-RAN)就是一种典型应用场景。C-RAN通过将基带处理器从站点移开,并置于核心更深处,可有效降低设备成本,改善协作,增加网络容量。同时,在无线接入网络方面,基于虚拟技术的无线控制器(AC)虚拟化和池化技术也逐渐引起广泛关注。AC虚拟池的实现可以有效降低AC设备成本,增强设备的可靠性,提高AC设备利用率,简化运营商运维管理AC设备的复杂度。
(4)数据中心应用。
虚拟防火墙(vFW)、虚拟负载均衡器(vLB)和虚拟安全套接层(vSSL)/Internet协议安全性(IPSEC)网关(GW)当前在数据中心也得到了大量应用。得益于NFV带来的灵活性特点,上述虚拟化网元可以灵活扩容和缩容。其次,基于SDN的业务链功能,能够实现非常灵活的增值业务编排,真正实现用户按需定制。
2 NFV关键技术及其解决方案
2.1 硬件及硬件管理技术
2.1.1 硬件概述
硬件作为NFV最底层的基础设施,涉及的硬件包括3类:计算类、存储类和网络类。
(1)计算。
计算类硬件采用商用通用服务器(COTS),目前业界主流的指令集为X86,服务器为双中央处理器(CPU)的2路服务器。主流服务器形态包括5种:刀片式、机架式、多节点(也称为高密度服务器)、整机柜、机柜级架构(RSA)。
・刀片式服务器是一种刀框集成多个卡式服务器单元(形态像刀片)的服务器,刀框内同时集成背板、交换背板、管理单板、电源和风扇等部件。其集成度较高,可以节省大量机柜空间。
・机架式服务器是一种集成CPU、内存、主板、网卡、硬盘、电源和风扇的服务器。一个机架式服务器为一个计算单元。
・多节点服务器是一种在特定空间的框内,集成电源、风扇和多个服务器单元的服务器,多个服务器单元共享电源和风扇。
・整机柜服务器是一种标准化的服务器,整机柜内集成电源模块、风扇模块、交换模块、管理模块、服务器模块。
・RSA是Intel提出的一种未来服务器形态,是芯片资源池化,通过资源池虚拟出需要的服务器的技术。
(2)存储。
当前NFV业界主流存储技术采用IP存储区域网络(IP-SAN)和分布式存储,相应的存储介质为磁阵和存储型服务器。
磁阵是一种可靠性达5个9、性能高的成熟存储硬件。存储型服务器是一种配置硬盘多,满足大容量存储需求的服务器。不同存储介质需要结合相应的存储技术,以发挥最大的技术优势。
(3)网络。
网络类硬件主要采用交换机。为满足站点组网的要求,实现设备间互通,采用接入交换机和核心交换机实现站点组网。接入交换机一般采用1U的盒式交换机,主要实现二层互通,核心交换机采用模块交换机,主要实现三层互通。
2.1.2 硬件资源池共享
NFV业务种类繁多,主要集中在无线接入、固网接入、核心网和部分业务平台等。硬件资源池的共享是实现资源共享的第一步,网元部署地理位置和业务特性,决定了硬件资源有无共享的必要,硬件配置则决定硬件资源池有无共享的可行性。因此,在相同地理位置,网元业务特性相同的网元,应保证其硬件配置的一致,同一个硬件资源池中应尽量减少硬件配置的种类。
2.1.3 硬件管理
硬件管理是NFV网络部署、运营、保证业务质量必不可少的部分。然而当前硬件管理范方面并不是十分标准。
服务器一般采用简单网络管理协议(SNMP)和智能平台管理接口(IPMI)实现管理,不同厂商SNMP和IPMI存在差异。磁阵一般采用SNMP和存储管理接口标准(SMI-S)实现管理,SNMP方面不同厂商存在较大差异,SMI-S为全球存储网络工业协会(SINA)组织主导的国际标准,是统一的标准;然而SMI-S,在故障告警方面没有涉及。交换机可采用SNMP实现管理,不同厂商在实现方面存在较大差异。
目前台式系统管理任务组(DMTF)正在制订服务器、磁阵和交换机的相关技术标准,即Redfish和Swordfish。主流服务器、磁阵厂商均在推动该标准的成熟。Redfish和Swordfish均基于Restful 应用程序编程接口(API)实现,接口符合未来发展的趋势。Redfish和Swordfish在故障管理方面暂未成熟,DMTF正在大力推动其完善
2.2 虚拟层技术
虚拟层是基础架构层NFVI的重要组成部分,包含Hypervisor和虚拟化基础设置管理(VIM)。虚拟层将物理计算、存储、网络资源通过虚拟化技术转换为虚拟的计算、存储、网络资源池,提供给虚拟机使用,同时,提供虚拟资源的管理和运维[2]。
2.2.1 VIM
虚拟化基础设施管理平台,负责对虚拟化资源进行统一的管理、监测控制、优化,对虚拟机进行生命周期管理等。
目前,主流VIM平台基于OpenStack社区进行开发,包括身份认证及授权、虚拟机镜像管理、计算资源管理、存储资源管理、网络资源管理、虚拟机生命周期管理等能力。同时,VIM平台整合了NFVI的运维和管理能力,包括虚拟化层的关键绩效指标(KPI)监测控制,故障告警收集及上报等。
2.2.2 虚拟化软件Hypervisor
Hypervisor将通用物理服务器与上层软件应用分开,使得具有不同操作系统的多个虚拟机可以在同一个物理服务器上运行,最大化地利用硬件资源,即一个物理服务器的硬件资源可以被多个虚拟机共享。Hypervisor把硬件相关的CPU、内存、硬盘、网络资源全面虚拟化,并提供给上层VNF使用,具备计算虚拟化、存储虚拟化和网络虚拟化能力。Hypervisor可以与VIM系统交互实现对虚拟机的创建、删除等操作以及故障管理、性能管理等功能。
(1)计算虚拟化。
实现对服务器物理资源的抽象,将CPU、内存、输入/输出(I/O)等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源,并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境,实现更高的资源利用率,同时满足应用更加灵活的资源动态分配需求。
为实现5个9的高可用性,NFV对计算虚拟化提出了新的技术要求,包括CPU核绑定、大页内存、非均匀存储器存取(NUMA)、亲和性/反亲和性部署等能力,同时需禁止CPU、内存的超分配。
(2)存储虚拟化。
将存储设备进行抽象,以逻辑资源的方式呈现,统一提供全面的存储服务。可以在不同的存储形态,设备类型之间提供统一的功能。
(3)网络虚拟化。
在服务器的CPU中实现完整的虚拟交换的功能,虚拟机的虚拟网卡对应虚拟交换的一个虚拟端口,服务器的物理网卡作为虚拟交换的上行端口。
目前,业界主流的网络虚拟化技术包括虚拟交换机及单根I/O设备虚拟化技术(SR-IOV)。虚拟交换机(OVS)是在开源的Apache2.0许可下的产品级质量的虚拟交换标准,通过虚拟化软件提供的部署在主机上的虚拟交换功能,主机节点的物理接口及虚拟机的虚拟网卡(vNIC)分别与虚拟交换机连接,通过虚拟交换机实现与外部网络的数据传输。SR-IOV基于虚拟功能的虚拟机直通,虚拟机直接使用物理网卡资源进行网络通信,减少传统的虚拟交换带来的CPU消耗,提升性能,减少时延。
2.3 管理编排技术
2.3.1 管理编排
NFV MANO的架构由NFV编排器(NFVO)、VNF管理器(VNFM)、VIM组成,完成对于NFV系统内虚拟资源、虚拟网元和网络服务的管理。MANO系统架构图2所示。
NFVO实现网络服务和网元管理及处理,提供网络服务生命周期的管理。VNFM实现虚拟化网元VNF的生命周期管理,包括VNF实例的初始化、VNF的扩容/缩容、VNF实例的终止。VIM是虚拟化基础设施管理系统,主要负责虚拟基础设施的管理,监测控制和故障上报,面向上层VNFM和NFVO提供虚拟化资源池。VIM提供虚拟机镜像管理功能。
2.3.2 管理编排产业发展
MANO由ETSI NFV ISG首先提出,并于2014年底MANO阶段1规范,明确了MANO系统架构、功能实体、接口和参考流程,为业界NFV管理系统的设计提供了参考。
目前NFV MANO相关标准化工作尚未完成接口和模版的数据模型定义,尚无法指导各厂家设备基于统一格式开发并实现互通;与此同时,很多开源社区提供了开源版本的MANO或MANO部分组件,形成了对标准的重要补充。
在NFVO层面,目前最重要的开源组织是刚刚宣布成立的开放网络自动化平台(ONAP)组织,ONAP由中国移动主导的OPEN-O和AT&T主导的ECOMP合并成立。在VIM层面, OpenStack已经成为VIM的事实标准,多数厂家VIM基于OpenStack实现,并支持OpenStack API,供VNFM和NFVO调用。
2.3.3 NFV后的网络管理
MANO的引入,实现了网络的灵活管理和动态调整,同时也为运营商运维带来了全新的挑战。
首先,MANO引入了NFVO、VNFM、VIM等一系列新的管理实体,将原有烟囱式的一体化运维分拆成了资源和应用两个层面,对现有OSS网管管理架构和流程均造成较大影响,需着重考虑MANO与OSS的协作关系。
其次,NFV引入了NFVI、VNF、网络服务(NS)等一系列新的管理对象,对现有OSS管理的资源管理模型、配置模型、性能模型、故障模型和多层故障关联等均造成较大改变。
再次,NFV MANO向运营商提供了更为智能化的网络管理手段,有望使网络运维由传统的故障驱动型运维转向依靠预定义的策略和模版,依靠大数据和机器学习,实现网络的自动调整和治愈。这对未来网管及网络运维人员的技能均提出了极大的挑战。
基于以上挑战,未来网管的一种形态将发生大的变化,在管理模式上分为设计态和运行态。设计态采用形式化语言提供系统运行的策略和编排的模版,供机器执行,实现网络的自动调整和治愈;运行态监测控制资源和应用,对其进行实时的调度和治愈。
2.4 可靠性技术
引入虚拟化技术后,如何保证虚拟网元依然能够表现出与传统物理设备相当的可靠性成为人们关心的主要问题。虚拟软件和云管理技术可靠性要求较低。如何基于相对不可靠的虚拟化和云技术提供高可靠的电信业务呢?
NFV的可靠性可以自底向上,分别从硬件、虚拟云平台、虚拟网元3个层次实现。
(1)硬件可靠性。
硬件层面的可靠性即包括NFV所在的硬件节点的可靠性,也包括物理网络、存储的可靠性。通过多年信息技术(IT)和通信技术(CT)的积累,这些设备的可靠性已经有了较为完备的部署方案,基本可以满足NFV的需求。
(2)虚拟云平台可靠性。
虚拟云平台的可靠性包括云管理平台的可靠性和虚拟管理平台(Hypervisor)的可靠性。目前OpenStack已被普遍认可作为云管理平台。在IT和CT关于OpenStack可靠性的需求中,流传着一个“牲口还是宠物”的玩笑。IT领域认为虚拟资源就是“牲口”,需要成群的管理,却不需要对每一个都格外关注,当某一个虚拟资源出现故障后,我们只需要为用户重新启动一个虚拟资源补充这个空白即可。然而,在CT领域,由于其虚拟资源上运行的是电信网元,每一个故障都可能е碌缧乓滴竦拇砦竽酥撂被荆因此CT运营商必须把这些虚拟资源看成是“宠物”,即对每一个虚拟资源都要格外关注,一旦出现故障,就要及时发现并恢复,以保障其上业务的正常运行。
Hypervisor的可靠性问题目前业界未能达成一致意见。虽然存在一些私有的Hypervisor的可靠性解决方案,然而广泛采用的开源的Hypervisor并没有可靠性保障,而主要是依靠云管理节点发现故障并进行修复。这就导致Hypervisor的可靠性机制完全依赖于云管理平台及其二者之间网络的可靠性。同时,云管理节点目前发现故障及修复的接口尚未完善,因此在Hypervisor发现故障和修复方面存在较大问题。
(3)虚拟网元可靠性。
传统的电信网元软件一般都有较为完善的可靠性机制。当引入虚拟化技术后,由于引入了虚拟层,电信网元软件无法直接读取到网元硬件的信息,而只能看到其依赖的虚拟层信息。因此,引入虚拟化后,电信网元的可靠性方案也要因此进行相应的修改和优化,以满足电信网络的快速故障发现和恢复要求。目前,大部分虚拟网元在交付同时都能提供可靠性方案。然而各种可靠性方案存在差别,且对硬件和云平台的要求各异。
2.5 数据面加速技术
传统的IT通用服务器采用的多核处理器的包处理性能无法满足通信网络数据面网元的高性能要求,因此出现了多种数据面加速技术。传统支撑包处理的主流硬件平台大致可分为3个方向:硬件加速器、网络处理器、多核处理器。
2.5.1 硬件加速器
硬件加速器由于本身规模化的固化功能具有高性能、低成本的特点。专用集成电路(ASIC)和现场可编程门阵列(FPGA)是其中最广为采用的器件。
ASIC是一种应特定用户要求和特定电子系统的需要而设计、制造的集成电路。ASIC的优点是面向特定用户的需求,在批量生产时与通用集成电路相比体积更小,功耗更低,可靠性提高,性能提高,保密性增强,成本降低等;但是ASIC的灵活性和扩展性不够,开发费用高,开发周期长。
FPGA作为ASIC领域中的一种半定制电路而出现,与ASIC的区别是用户不需要介入芯片的布局布线和工艺问题,而且可以随时间改变其逻辑功能,使用灵活。FPGA以并行运算为主,其开发相对于传统PC、单片机的开发有很大不同,以硬件描述语言来实现。相比于PC或单片机的顺序操作有很大区别。
2.5.2 网络处理器
网络处理器(NPU)是专门为处理数据包而设计的可编程通用处理器,采用多内核并行处理结构,提供了包处理逻辑软件可编程的能力,在获得灵活性的同时兼顾了高性能的硬件包处理。其常被应用于通信领域的各种任务,比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、服务质量(QoS)等。其通用性表现在执行逻辑由运行时加载的软件决定,用户使用专用指令集即微码进行开发。其硬件体系结构大多采用高速的接口技术和总线规范,具有较高的I/O能力,使得包处理能力得到很大提升。
NPU拥有高性能和高可编程性等诸多优点,但其成本和特定领域的特性限制了它的市场规模。
2.5.3 多核处理器
多核处理器在更为复杂的高层包处理上具有优势,随着包处理开源生态系统逐渐丰富,为软件定义的包处理提供了快速迭代的平台。现代CPU性能的扩展主要通过多核的方式进行演进。这样利用通用处理器同样可以在一定程度上并行地处理网络负载。由于多核处理器在逻辑负载复杂的协议及应用层面上的处理优势,以及越来越强劲的数据面的支持能力,它在多种业务领域得到广泛的采用。再加上多年来围绕CPU已经建立起的大量成熟软件生态,多核处理器发展的活力和热度也是其他形态很难比拟的。
当前的多核处理器也正在走向片上系统(SoC)化,针对网络的SoC往往集成内存控制器、网络控制器,甚至是一些硬件加速处理引擎。
多核处理器集成多个CPU核以及众多加速单元和网络接口,组成了一个SoC。在这些SoC上,对于可固化的处理交由加速单元完成,而对于灵活的业务逻辑则由众多的通用处理器完成,这种方式有效地融合了软硬件各自的优势。
2.5.4 VNF加速
对于性能要求一般的控制面/数据面网元,可以直接部署在通用多核处理器服务器上执行。
对于性能要求严苛的数据面网元,可以考虑采用辅助硬件加速器的方式。取决于业务功能的定制化和灵活性考虑,综合成本因素,选择ASIC或者FPGA加速器。
3 结束语
NFV作为运营商网络转型的核心技术架构,是虚拟化和云计算等IT技术在电信领域的一次大规模应用。目前以ETSI NFV架构为技术架构,运营商和业界厂商大力推动NFV的分层解耦和资源池化,并且在固定接入W、移动接入网、移动核心网、数据中心等场景下开展试验验证和商用尝试。
虽然ETSI在NFV架构上已经定型,但在具体模块、接口、流程等实现上还不完善,目前业界的开源社区、标准组织和厂家乃至运营商都在积极推动相关技术的进步和成熟。文章中,我们详细分析了采用NFV分层解耦后之后,需要关注的关键技术。首先需要通过虚拟化技术在硬件资源池之上形成虚拟资源池,并且考虑硬件共享和硬件管理、虚拟资源管理的问题,完成虚拟资源生命周期管理;其次,通过管理和编排系统对各类资源形成视图,完成虚拟网元的生命周期管理和网络服务的管理,并且解决各层故障上报和故障关联的问题,同时还要处理好NFV管理编排和OSS的关系,形成新的网管体系。电信业务有着高可靠性和实时性等要求,因此仅仅实现NFV分层解耦无法满足这类特殊要求。要实现电信业务的5个9可靠性要求,需要从下向上在每个层面都提供可靠性保障,并且各层面能够进行联动,提供系统级别的可靠性;要实现电信业务实时性的要求,数据面网元功能需从硬件实现到系统设计都进行针对性的加速。
以NFV为基础的运营商网络转型大幕已经开启,随着技术的成熟,未来将很快看到NFV架构的电信网络,以NFV为出发点CT和IT将走向深度融合。
参考文献
虚拟网络技术其本身作为一种主流网络技术,对网络的划分恰恰突破了网络搭建过程中的物理位置约束,大大的增强了网络信息的有效性。所以将虚拟网络技术应用到计算机网络安全管理工作中,对提升计算机网络安全性有着十分显著的作用。尤其是面对现如今不少计算机用户在网络安全的管理上不具备针对性经验,使用虚拟网络技术保护计算机网络安全就显得十分必要。所以如何做好虚拟网络技术在计算机网络安全中的应用则成为当前的热点话题,也是以下笔者阐述的重点。
1虚拟网络技术
虚拟网络技术又被称之为VPN技术,是目前最受欢迎的一种技术。结合目前虚拟网络技术的应用形式我们可以清楚的看到,其在数据信息中的传输主要借助于公共网络服务中的ATM以及因特网等局域性逻辑网络,一方面确保了数据信息的传输安全,另一方面也显著的表现出了计算机网络特点。虚拟网络技术包含了隧道技术、身份认证技术、加密技术等多种技术手段。其中隧道技术可以二次加密传输数据包,从而大大提升数据包的传输安全;身份认证技术能够对访问者的身份进行识别,从而保证了拥有访问权限的访问者合法权利不受到侵害;加密技术主要以密码学作为依托,借助于相关技术手段对需要传输的数据信息实施加密处理,从而使数据信息转换成为不可读代码,直到客户接收后利用自己手中的密钥,对数据包进行解锁,这个过程大大的提高了数据信息传输的安全性。从上述虚拟网络技术的概念,我们可以看到安全性较高,灵活性与可靠性较强,管理能力较好都是虚拟网络技术所具备的主要特点。这是因为应用虚拟网络技术能够对重要数据进行加密,从而保证了公共网络数据平台上数据信息传输的安全性。同时还能够在虚拟网络技术的使用过程中根据实际需求随时添加全新的节点,使其能够接洽于更多的传输媒介,满足数据信息传输的多元化需求,保证数据信息传输的有序进行,使计算机网络安全管理能力得到有效提升。
2虚拟网络技术在计算机网络安全中的应用
2.1MPLSVPN技术在计算机网络安全中的应用
MPLSVPN技术说的就是MPLS技术的实际应用,实质上就是在运营商宽带IP网络中为企业搭建了一个专用IP网络,从而使企业的数据信息在跨地域传输过程中更加的安全,并且该项技术与差异化服务、流量工程相结合,即实现了公共网络与专用网络的有效结合,也同时能够为网络用户提供更加高效、更加高质量的服务。安全、稳定、灵活可以说都是MPLSVPN技术的优点所在,其中安全又是该项技术最为突出的一个优点,这是因为MPLSVPN技术能够提供等同于专线级别的安全防护,在PE设备上使用该项技术,即能够将语音、视频等业务有效的区分开,还能够实现不同业务之间的安全隔离,避免出现数据信息泄露的问题。通常情况下在计算机网络安全中使用MPLSVPN技术需要完成构建分层服务提供商,在PE路由器实现VPN信息这两个步骤。构建MPLS虚拟网络技术受限,需要将其技术引入,通过CR-LDP实现对计算机网络PE路由器中间分层服务商的建立,实现分层服务也就是LSP。之后还要充分利用PEI设备的关键性作用,对数据进行及时的标记,并且要利用PE路由器加强对CE设备的连接水平,确保计算机网络安全不会受到不法分子的威胁。而在这个环节中虚拟网络技术实际上是对虚拟网络数据传递形式进行了统一管理,从而为虚拟网络技术的实现奠定了良好基础。也就是说在创建出了一个虚拟网络技术转发表数据在PEZ路由器之上,为CE设备的连接奠定良好的基础,并且按照该数据的顺序,顺次安放在CE各个设备之上,最后在LDP协议的帮助下虚拟网络技术连接标准通过PEZ传输到网络拓扑结构之中,构建出适合的VPN发表子集,最终完成虚拟网络数据的传输。
2.2IPSecVPN技术在计算机网络安全中的应用
所谓的IPSecVPN技术是指结束IPSec协议后实现的远程接入VPN技术,借助这一技术能够构建出一个安全高效的计算机IP地址,并且在虚拟网络的数据信息传递过程中确保不会受到外界攻击的威胁。这项技术在计算机网络安全中的应用首先在PC端连接过程中得以表现,也就是说可以不通过网络连接就能够加强计算机网络的安全。同时在企业内部信息的交流上,数据的传递上利用隧道虚拟技术能够实现部门间在公共网络上的交流,并且也能够保护个人电脑端与网络之间的通信。因为ESP、端到端与PC到网络这三种协议构成了IPSec框架体系,其中ESP协议本身具有较强的抗干扰能力,能够在统一的时代提供完整的数据信息;端到端协议则具有两个网络端点,IPSec协议数据通信保护,保护方式同ESP协议的差异较大;PC到网关协议保护两个PC端的通信从网关至其它PC端间的信息传输。
3结束语
综上所述本文笔者就计算机网络安全中虚拟网络技术的应用展开粗浅的探讨,也是希望通过本文笔者的粗浅阐述能够为虚拟网络技术的应用提供一些新思路,能够让更多的人们认识到虚拟网络技术的重要性,从而加强对虚拟网络技术的研究与探讨,进而更好的保证计算机网络安全的良好发展。
关键词:开放数字化;系统结构;虚拟化技术;优势分析
中图分类号:TN79 文献标识码:A 文章编号:1674-7712 (2012) 10-0039-01
开放式数字化校园中,开放与数字化是两个不同的目标与任务,要实现这两个目标就需要借助网络技术,构建一个虚拟化的校园,一方面实现资源共享,一方面实现数字化信息传递,而借助虚拟化技术可以将二者更好的统一到一个应用平台中,并以此实现校园的数字化。
一、开放数字学校的概念与基本结构
(一)开放式数字校园的概念
开放式数字化校园实际上就是一种将教学过程开放化,将教与学、管理与应用数字化的校园管理模式,其核心的思想就是将校园网络与社会网络相结合,将学校与家庭、学校与社会的信息连接起来,形成一套集合音频视频、信息等系统的综合性数字化网络系统,以此为基础实现教学、研究、管理、办公为一体的自动化网络系统,以此形成一个双向互动的教学办公网络。满足学生和教师等对校园信息的多方需求,并在网络上实现互动,体现了教学资源共享的基本思路。
(二)开放式数字校园的基本构成
为了更好的实现校园的教与学、管理与应用的数字化,校园数字化系统必须具备以下几个部分:基础设施:即校园的数据网络系统,也还该了电视与卫星网络,这些网络中所需要的硬件设施,如线路、网络设备、服务器等都是系统的一部分,同时计算机和储存设备等也是其不可缺少的数字化基础。网络服务:网络服务主要是为数据的互联提供基本的技术支持,包括最为常见的Internet网服务和实现局域网络功能的基础服务。通过服务服务系统可以有效的对校园网络资源进行配置与协调,从而实现资源有效利用。应用平台和数据库:应用平台和数据库为网络提供的是数据管理与资源,即应用平台提供部门设置、管理权限等系统管理功能,使得互动有一定的安全保障,是系统运行的基础。而数据库则是为整网络提供数字化资源,如教学资源、信息资源等等。系统软件:是数字化功能实现的必要基础,软件可以实现功能的丰富,如音频视频播放、课件播放等都离不开软件系统。
二、开放式数字化校园实现的虚拟化技术方案
开放式数字化校园所要大的目标就是让资源网络化,即利用先进的网络技术将教与学拓展到课外、校外,实现教学的网络化、管理的智能化,在这样的需求下,构建网络的技术方案就成为了影响数字化校园建设的重要基础,在实际的建设中,需要借助虚拟化技术来实现对校园数字化的升级与完善,这样才能建立一个高效的数字化校园。目前要实现校园数字化必须对服务器和存储资源进行虚拟化的整合,也就是提高数据处理与应用平台的服务能力,做到系的平滑与无缝升级,从而使之上升到可以为数字化校园服务的水平。具体的实施方案如下:
(一)应用平台虚拟化
借助于硬件改进,利用高性能的网络服务器作为系统核心,并借助于软件系统对其进行升级,虚拟机文件则集中保存在存储阵列中。每台服务器都设置为HBA双卡形式,通过两台光纤交换设备与服务器的双控器进行连接,使之在硬件上保持一种冗余状态。软件系统将为平台提供相应的高级功能,如DRS、HA等,方便客户在访问是可以快速的调用虚拟机的分布和资源等,如果出现故障则可以实现快速回复,配合所提供的备份功能为系统的虚拟文件进行备份与恢复,保证功能稳定。同时虚拟化设备所提供的克隆技术可以大幅度的缩短新业务平台或者测试平台的建立耗时,提高了系统效率。独立的虚拟机管理服务器可以为整个虚拟化平台提供强大的管理功能,利用高度集成化的管理完提高整体平台的工作效率。利用虚拟化技术也可解决多个数据中心之间存在的硬件设备资源利用效率低,以及多个硬件设备造成耗能、散热等问题。
(二)数据库系统
在实施阶段,利用双服务器和存储阵列建立一个数据库集群,从而构建起负载平衡、故障自动切换的数据库系统,以此满足客户对数字资源的需求。应用系统的虚拟化采用的是操作系统虚拟化技术,可以按照服务类型和操作平台的不同对资源进行分类,分布建立不同的服务器集群,满足需求。数据库中心的应用系统部署到虚拟技术虚拟出来的服务集权上,对关键的应用在虚拟化服务器集群上进行镜像设置,如邮件系统、OA系统等,此时不需要额外增加硬件投入即可提高系统的安全性能,每个服务器上的应用数据是相对独立的,且可以高效灵活的被系统调用,而升级和防护则只需要维护服务器平台即可,使得系统维护更加的简单便利。
存储阵列的虚拟就是利用光纤交换机将多个存储阵列相互连接,构成一个存储网络,然后配置虚拟软件,将存储实体虚拟为一个存储库,提供给服务器的虚拟化平台,并且可以对空间进行合理配置。这样做可以节省磁盘的有限空间,存储库分配给服务器的空间不再是设定好的大小,而是按照需求而设定空间容量;虚拟的存储镜像原本是不同型号的镜像,只能通过卷管理实现分配,卷管理的成本较高,而虚拟化的存储资源则可以在本身做镜像,而不需要了解底层的硬件型号。
(三)虚拟化平台的应用效果
利用虚拟化数字技术构建开放式数字化校园,从长远的角度看其可以获得以下效益回报:一方面与传统的构建方案相比,虚拟化的投资相对低廉,且回报的时间段,即投资效率高;同时建成的业务平台相对灵活,用户可以根据实际的需求快速部署和实施新业务单元的软件平台,或者快速部署新的测试环境平台;性能可靠,虚拟化方案的硬件部分为冗余结构设计,可以保证系统稳定;配合虚拟化软件可以实现多种高,实现整体系统的潜能开发与利用;最后虚拟化平台的集中式管理模式可以大幅度提高数字化校园的管理效率。
三、结束语
数字化校园还存在一些信息化水平上的差异,要实现整体开放与数字化就必须将整体资源整合起来,才能实现真正意义上的数字化校园,因此借助虚拟技术方案来提高信息资源共享的整体性,是实现开放式数字校园的有效途径之一。
参考文献:
[1]周杰.高校教育信息化与数字化校园建设的探究[J].制造业自动化,2011,5
关键词:网络安全;虚拟机;模拟器;虚拟网络环境
中图分类号:TP393
文献标识码:A 文章编号:1672-7800(2014)003-0128-02
0 引言
网络安全课程是目前高等院校计算机专业和其它信息技术类专业的一门专业必修课,该课程的教学目标是让学生深入理解和掌握网络安全技术理论和方法,能够利用理论知识解决实际应用中出现的网络安全问题。为了达到这一教学目标,课程内容的设置和讲授非常重要。如果课程内容偏重理论,就会削弱对学生专业技能的培养,造成学生对该课程听不懂、不会用的现象,进而使学生对网络安全课程的学习失去兴趣。同样,如果课程内容偏重实践,就会导致学生对所学的理论理解不深,无法在实际应用中很好地分析问题并解决问题。
理论与实践相结合是高校教学的一贯宗旨。但是,很多院校的网络安全课程却由于网络实验设备紧缺、网络安全实验平台难以搭建而使课程的教学停留在理论阶段,理论与实践难以结合。为解决网络安全教学中理论与实践脱节的问题,提出了利用虚拟机和模拟器搭建一个虚拟的网络安全实验环境,其中包括网络安全实验所需要的各种网络设备,如路由器、交换机、防火墙、IPS、服务器等,通过使用该虚拟网络安全平台,模拟实际网络安全环境中的各种操作,达到跟真实设备几乎一样的实践效果。
1 利用GNS3与VMware搭建虚拟网络环境
GNS3是一款优秀的图形化Cisco网络模拟器,在网络安全课程中,用它可以完成网络环境的模拟,而且这样的操作和在真实的安全设备上实施完全一样。GNS3是一款开源的网络虚拟软件,它可以适用于多种操作系统,在现有的学校机房中,很容易进行软件的安装,并可以和其它网络类的课程共用,这样不但节省了教学资源,还可以让学生体验与真实硬件平台相同的学习环境。
VMware是一个虚拟机软件,它能够在一台真实的物理主机上运行多个虚拟主机,这些虚拟主机可以像真实主机一样安装Windows、Linux或FreeBSD 等多种类型的操作系统。利用VMware可以让一台机器实现一个局域网的功能,这大大节省了硬件设备和物理空间,且管理方便,安全性高。同时,虚拟主机上可以运行网络安全实验需要的各种软件工具,包括对操作系统具有破坏性的网络安全工具,特别适合做网络安全实验。
虽然网络模拟器GNS3和虚拟机软件VMware是两款不同厂商的软件,但两者可以结合使用。要实现GNS3和VMware的结合应用,仅需要将GNS3模拟的网云桥接到某个网络适配器,同时将VMware模拟的计算机也桥接到这个网络适配器即可,这台运行在VMware软件上的虚拟计算机就这样融入了GNS的网络架构体系,成为所搭建的网络拓扑结构中对应的一台计算机或服务器。图1显示了利用GNS3和VMware搭建的一个虚拟网络安全实验平台。
在图1中使用两台路由器模拟内网和外网,ASA防火墙作为隔离内部与外部网络的安全设备,将运行在VMware软件上的Web服务器和GNS3中的模拟网云桥接到同一个网络适配器,并将该网云连接到ASA的DMZ区域,这样便实现了利用一台主机完成网络安全实验环境的搭建,为教师讲授理论和学生在单机环境下学习和实践提供了必要的条件,进而为学生进行课外实践操作提供了保证。
2 虚拟网络环境在网络安全技术中的应用
网络安全课程是一门综合性很强的课程,其内容涉及计算机网络、密码学、操作系统等众多理论与实践知识,教师应根据不同的授课内容搭建相应的虚拟网络安全实验环境。下面以PAT(Port Address Translation,端口地址转换)为例,验证虚拟网络环境的工作情况。根据课程内容搭建的网络安全实验环境如图2所示。
图2中路由器Router1用于模拟内部网络的NAT路由器,路由器Router2用于模拟Internet路由器,同Router2相连的网络云与虚拟机桥接到同一个网络适配器,该虚拟机安装了Windows Server 2003操作系统并开启了FTP服务。为使192.168.1.0/24网段内的内网用户访问Internet上的FTP服务器,需要在NAT路由器上配置PAT,使私有网段内的用户复用一个公网IP地址访问Internet。
在教学过程中,教师可以在讲解完PAT的工作原理后利用该实验环境演示PAT的配置,这不仅会加深学生
对PAT理论知识的理解,还可让他们掌握该技术在实际网络工程中的配置实现。在虚拟网络环境中双击NAT路由器就可以进入路由器的配置界面,完成PAT的配置操作,具体配置命令如下:
Router1(config)#interface serial 0/0
Router1(config-if)#ip nat inside
Router1(config-if)#exit
Router1(config)#interface fastEthernet 1/0
Router1(config-if)#ip nat outside
Router1(config-if)#exit
Router1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router1(config)#ip nat inside source list 1 interface serial 0/0 overload
这种虚拟网络环境中的配置方式和命令与实际环境中的配置方式和命令一致。通过该虚拟网络环境,学生既掌握了利用Windows server 2003搭建FTP服务器的方法,又掌握了PAT的技术原理以及该技术在思科路由器上的配置实现方法,为教师讲授和学生学习网络安全相关技术创造了良好的条件。
3 结语
网络安全教学过程中,注重理论与实践相结合,是提高教学质量和培养应用型人才的主要途径。通过模拟器GNS3和虚拟机VMware的有机结合,教师可以根据网络安全课程内容搭建不同的实验环境,为学生提供理论结合实际、实用性和针对性强的学习环境,有利于学生学以致用,培养分析问题、解决问题的能力,大大提高了理论和实践教学的质量和效果。
当然,为了保证学习效果,学生还需要接触真实的网络设备,在实践中掌握相关知识。虚拟网络环境可以作为真实网络安全设备的有效补充,使学生在设备不足的情况下或课堂之外完成网络安全的实践操作。
参考文献:
[1] 李佟鸿,张天长.《网络安全》课程建设与教学改革研究[J].计算机教育,2012(8):25-28 .
[2] 李海鹏.《网络安全》课程理论与实践教学中的几点探讨[J].电脑知识与技术,2012 (28):6739-6741.
