序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇數據通信論文范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

二、數據通信的應用及發展前景

（一）移動數據通信在業務上的應用

1.移動數據通信的應用是利用移動通信的系統進行數據通信，它不僅可以作為固定的數據通信，還能夠實現移動的圖文傳真、計算機聯網、遠距離傳輸等。由于移動數據的通信設備具有個性化的特點，因此數據傳輸的時候往往會由于一個網絡端口會被人們多次使用，所以會經常出現擁堵的情況，由此便造成了多個連接終端不順利進數據傳輸。但是移動數據通信就不會出現這種情況，我們只需要根據正常的程序進行，一個終端只負責一個用戶，提高了數據傳輸的效率。除此之外，移動數據通信還能夠實現電腦與電腦之間的遠程操作和簡單的數據傳送，這樣就利于人們在業務頻繁的時候，可以隨時隨地的進行數據傳輸，從而達到省時高效的目的。由此可以發現，移動數據的通信可以使用戶及時的收發消息。

2.幀中繼技術應用。所謂的幀中繼應用，主要是指使用光纖作為主要的傳輸方式，由于幀中繼由于具有出錯率低的技術特點，從而受到了人們的廣泛關注。目前為止，這種技術被作為主要的寬帶數據接口，也是交換數據的一種手段。但是這種方式不適用語音或者是視頻這類傳輸，其具有特定的服務特性。

篇（2）

2西門子CP544的通訊協議

CP544卡是西門子S5系列的專門的點對點串口通訊卡。它有3種通訊協議，分別是RK512、3964和OPENDRIVER協議。其中前兩種協議因為需要設置西門子PLC能識別的目的地址，所以只能在西門子系列的設備中使用。要與電能表進行通訊，只能采用OPENDRIVER協議。該協議的特點是不管通訊設備的地址，只需確定西門子PLC側的發送地址和接收地址即可。圖3為西門子PLC通過CP544卡與電能表通訊的示意圖。在圖3中，PLC程序將指定的發送數據塊通過SEND發送程序塊，在物理上經CP544通訊卡與新電能表進行串口通訊，將請求報文發送給電能表。而電能表中的數據報文也通過串口通訊方式經CP544卡再經過RECEIVE－ALL接收程序塊存放到指定的接收數據塊中。串口通訊一個最基本的要求就是通訊雙方的通訊參數設置必須一致。根據電能表的要求，CP544卡有以下設置。通訊基本參數：通訊模式選擇：MODE2Variableusefuldatalength（endcharacter）波特率：2400b/s數據位：8位停止位：1位奇偶校驗：無流量控制：無字節傳送監控時間：20ms第一個結束識別字節（endcharacter1）：03H（這個非常關鍵，設置03是為了與電能表的報文終止位相適應，否則通訊不能成功）第二個結束識別字節（endcharacter2）：00H另外數據接收地址也在CP544卡設置軟件中進行設置如表2：在表2中，分別設置了CP544卡兩個通訊接口的接收地址分別為DB11和DB12，接收字長最大為64個字。通訊接口從CP544卡到RS485/232轉換器，再到電能表的通訊鏈路的通訊接口接線如圖4所示。

3通訊程序編寫

按照前面部分所述的報文收發格式及CP544的相關協議要求，對西門子PLC與電能表通訊的控制程序進行了重新編寫和調試，在程序的編寫調試過程中，解決了電能表報文應答式收發存儲、電能表數據CRC校驗碼解碼、不同數制格式的轉換和臨界數據顯示不穩定等幾個技術難點，實現了新的電能表與PLC的數據通訊，使得電度值在上位機上得以重新顯示并自動打印。

篇（3）

2USB設備驅動程序及應用程序的設計

WindowsZO00/XP驅動程序。以Windows2000操作系統為例,Windows2000系統可以使用多種驅動程序，圖2中顯示了其中幾種。WDM驅動程序的分層。WDM采用分層驅動的方法,即在用戶應用程序和硬件設備之間存在著幾個不同的驅動程序,每個驅動程序對應一層,且不同層上的驅動程序可以相互調用。為適用于即插即用系統,WDM重新定義了驅動程序的分層結構,其主要包含如下三種類型的驅動程序，即總線驅動程序、功能驅動程序和過濾驅動程序。WDM驅動程序的組成。簡單地說,驅動程序是一些例程的集合,它們被動地存在,等待主機系統軟件(PnP管理器、I/O管理器、電源管理等)來調用或激活它們。具體驅動程序不同,其所包含的例程也不同。驅動程序入口例程:處理驅動程序的初始化。DriverEntry例程是驅動程序入口點,由FO管理器在驅動程序加載時調用它負責執行一些初始化操作,主要工作是設置驅動程序對象(DriverEniry)中指向各種例程的指針。在其驅動程序中必須包括這些例程的具體函數實現,以便主機系統軟件的調用。即插即用例程:處理PnP設備的添加!刪除和停止。從用戶的角度來看,即插即用是很容易理解的,當連接某個新設備時,Windows會自動識別,并提示用戶選擇正確的驅動程序,之后它就可以被使用了;當設備被斷開時,Windows將檢測到這個事件并作相關處理,不需要用戶的干預。USB設備驅動程序的設計。Windows下的USB設備驅動程序遵循WDM標準,其主要分為三個層次:最高層,是用戶開發的被稱為USB設備驅動程序;中間層為USB類驅動程序,在Windows98中為us-bd.sys;最低層為主機控制器驅動程序,有兩種主機控制器驅動程序,即通用主機控制器驅動程序和開放主機控制器接口。

篇（4）

2數據通信的分類

1）有線數據通信。①數字數據網（DDN），主要由四部分組成，分別是用戶環路、DDN節點、數字信道及網絡控制管理中心。DDN是一種數字通信網絡，它把數字通信技術、數據通信技術、光遷通信技術以及數字交叉連接技術有機的結合在一起。②分組交換網（PSPDN），又稱為X.25網，采用CCITTX.25協議。PSPDN采用存儲—轉發的方式，將用戶傳來的報文分割成一定長度的數據段，并在各數據段上添加控制信息，構成一個能在網上傳輸的帶有地址的分組組合群體。PSPDN的主要優點是為了達到多用戶同時使用，可同時開放多條虛通路于一條電路上，并具有先進的誤碼檢錯功能和動態路由選擇功能，但通信性能較差。③幀中繼網，起源于X.25分組交換技術，主要包括存取設備、交換設備、公共幀中繼服務網三部分。幀中繼網它可在幀中繼幀中將不同長度的用戶數據組包封，并在網絡傳輸前添加控制及尋址信息。2）無線數據通信。無線數據通信是以有線數據通信為基礎，而采用無線電波傳送數據的通信方式，也可稱為移動數據通信，它是計算機網絡與數據通信相結合的產物，可實現網絡計算機之間或人與計算機終端之間的通信。無線數據通信也是依靠有線數據網將網路應用擴展至便攜式用戶。

3網絡及其協議

篇（5）

1.2過程變量應用層接口1）過程變量標識符在一個設備內，過程變量由其所在的數據集（DS_Name）和其在數據集中的位偏移量（Var_Offset）來標識[6]。通過總線傳送時，過程變量由邏輯地址和被傳送的數據集的位偏移量來識別。2）AVI原語應用變量接口AVI定義了變量提供給總線的服務。應用變量接口原語只訪問通信存儲器的端口，并沒有觸發總線的通信。在應用變量接口中，過程變量是單個訪問的，屬于數據集的一部分。為了提高傳輸效率，屬于同一個數據集的過程變量作為一個堅固的整體進行傳送和存儲。過程變量和其所在數據集的刷新定時器一起在一次不可分割的操作中獲取[7]。應用變量接口AVI原語分為3類：單個變量訪問，集合訪問，群集訪問。

2過程數據通信設計思路

2.1過程數據鏈路層的設計

2.1.1過程數據鏈路層數據結構設計在鏈路層傳輸的數據屬于數據集的一部分，數據集由其DS_Name來標識。

2.1.2過程數據鏈路層接口函數設計此函數用于實現過程數據模塊的初始化功能。首先，讀取配置文件建立相應的端口屬性表來建立初值。然后進行差錯判斷，分為通信存儲器標識和端口地址的判斷，如果超出了系統設定的最大值，那么初始化過程失敗。只有在以上條件為真的情況下，才初始化強制變量表和數據集預定表。2）過程“lp_put_dataset”此函數用于數據集的發送，從應用拷貝一個數據集到通信存儲器中的端口。首先，要對輸入參數的合法性進行檢查，主要是對通信存儲器和端口地址進行檢查，判斷是否在系統設定的范圍內。在完成參數檢查后，開始進行數據的發送，將數據拷入相應的端口中，同時，前一次的數據集將被覆蓋。3）過程“lp_get_dataset”此函數用于接收數據集，即從端口拷貝一個數據集和其刷新定時器到應用層。首先，要檢查輸入參數的合法性，分別是對通信存儲器標識和端口地址的值的判斷。然后，根據相應的端口屬性表，將端口中的數據集和刷新定時器拷貝到應用提供的內存中。

2.2過程變量應用層的設計

2.2.1過程變量應用層數據結構設計1）單個變量數據結構設計對于單個變量，利用結構體PV_NAME來描述一個變量，如下：2）集合變量數據結構集合變量使用結構體PV_SET來標識同一個數據集的一組變量，包括每個變量拷入（或拷出）的內存地址以及整個數據集的刷新定時器。3）群集變量數據結構群集結構體PV_Cluster標識一組PV_Set，由通信存儲器進行排序。

2.2.2過程數據應用層接口函數設計1）函數“ap_put_variable”此函數用于單個變量的發送，從應用內存地址空間拷貝一個單個過程變量及檢查變量到通信存儲器。首先，檢查PV_NAME參數的合法性，從PV_NAME中獲取數據集DS_NAME的信息，接著調用lp_get_dataset函數從相應的端口讀取數據集，然后根據PV_NAME中var_type類型，分7種情況進行數組元素個數和數據派生類型的計算，根據計算結果將過程變量和檢查變量拷貝到數據集中，變量上一次的值被覆蓋。在上述過程完成后，調用lp_put_dataset函數將數據集拷貝到宿端口中。2）函數“ap_get_variable”此函數用于單個變量的接收，從通信存儲器拷貝一個過程變量及檢查變量和刷新定時器到應用內存的地址空間。首先，要對PV_NAME進行參數檢查，然后根據PV_NAME獲取的端口信息，調用lp_get_dataset函數從相應的端口獲取數據集。接著就根據算法從數據集中獲取過程變量和檢查變量。3）函數“ap_put_set”此函數用于集合變量的發送，在一次不可分割的操作中，從應用內存地址空間拷貝集合變量到端口。首先，獲取PV_LIST中DS_NAME信息，根據相應的ts_id和port_address調用lp_get_dataset函數獲取數據集。接著，將變量寫進數據集中，在進行此操作前，先對PV_LIST進行參數的檢查。在檢查完成后，調用lp_put_dataset函數將數據集拷貝至相應的端口。4）函數“ap_get_set”此函數用于集合變量的接收，在一次不可分割的操作中，從端口拷貝屬于同一個集合中的過程變量到應用內存地址空間。首先，對PV_LIST進行參數的檢查，檢查通過后，根據PV_LIST中DS_NAME的信息，調用lp_get_dataset函數獲取數據集，然后根據算法將數據集中的變量進行提取，實現群集變量接收的功能。5）函數“ap_put_cluster”此函數用于群集變量的發送，從應用拷貝一個變量群集到通信存儲器中，屬于同一個PV_SET的變量一起拷貝。其實現的過程和函數ap_put_set相同，只是在參數檢查上改為對PV_SET的檢查。6）函數“ap_get_cluster”此函數用于群集變量的接收，從通信存儲器拷貝過程變量的一個群集到本地用戶實體。其實現的過程和函數ap_get_set基本相同，不同點在于參數檢查是對PV_SET的檢查。

3過程數據實時協議通信測試驗證

3.1測試驗證平臺由于變量服務對于MVB和WTB通信存儲器的訪問原理和實現過程相同，因此測試基于MVB設備間的過程數據通信來驗證鏈路層和應用層接口功能[8]。本測試連接以D113為核心的MVB主設備、UIC網關A、B兩組的MVB通信板以及MVB協議分析設備，組成擁有一主、三從的MVB通信網絡，如圖3所示，連接無誤后各套設備上電準備，UIC網關的兩組從設備分別與電腦主機通過以太網相連，MVB協議分析設備通過USB與電腦主機相連。

3.2過程數據鏈路層測試及驗證首先啟動D113MVB板卡的PC104核心模塊進入winxp系統，啟動UIC網關MVB板下位機VxWorks系統。然后啟動上位機Tornado集成開發環境，運行FTP服務器程序Tftpd32，建立連接后，下載MVB實時協議棧代碼。接著就開始進行端口配置，在測試中，配置0x001，0x002，0x005為源端口，接收來自D113MVB板卡發出的數據，3個端口功能碼分別為0，1，4，接收字節數為2，4，32，配置0x008，0x009，0x00a為宿端口，向D113MVB板發送數據，功能碼為2，接收的字節數為8，測試結果如圖4，圖5所示。鏈路層接口向上層應用提供數據集的讀寫操作，對于應用是不可見的，因此，為了測試的可視性，在上層應用中設計了兩個函數ap_get_dataset和ap_put_dataset，這兩個函數調用了鏈路層lp_put_dataset和lp_get_dataset這兩個收發數據集的函數，測試時能實時反應出收發數據的情況。通過以上兩個結果圖可以看出，D113板卡和UIC網關的MVB板卡能準確地互相接收和發送數據，驗證了過程數據鏈路層能正常的進行數據通信，功能得以實現。

3.3過程數據應用層測試及驗證應用層的測試針對集合和群集變量的收發進行了試驗。在進行集合變量測試時，配置主設備端口0x004為源端口，功能碼為4，從設備配置相應的宿端口。群集變量測試配置0x003端口，數據0x10和0xAA在數組1中，0xA1A2在數組2中，兩個數組整合成一個變量集合發送。測試結果如圖6~8所示。根據圖6~8，集合變量和群集變量能準確的收發和接收，驗證了實時協議變量應用層接口能正常使用，功能得以驗證。

篇（6）

數據報分為報文頭部和數據部兩部分，其格式如圖2所示。報文頭部由6字節組成，第1、2字節AB表示報文長度，即報文頭部長度加上數據部長度；第3、4字節CD表示整個報文的校驗和；第5、6字節XX表示應答ACK；第7、8字節GH表示報文序號。數據報長度AB范圍為0~65535，所以一個報文最大為8KB。數據部長度等于報文長度（AB）減去報文頭長度（8B）。2.2數據處理與報文處理數據處理包括分割上層應用提供的數據，以及從報文還原拼接數據；報文處理包括格式化報文以提供給串口發送以及從串口讀取報文、校驗報文、提取數據。

1.2.1數據分割

協議從應用程序接口獲取應用程序提供的數據并以流式數據寫入發送方數據緩沖區；然后以事先設定的數據分割長度取數據，長度不足的部分則全部取出，取數據指針移動相應距離。

1.2.2報文組裝

報文的組裝過程如下：

（1）計算取出數據的長度，填入報文第1、2字節；

（2）報文第3~6字節全部置0；

（3）計算報文序號GH；

（4）計算校驗和，從第1字節開始，每兩個字節為一個單元進行分割，末尾不足兩字節則在其后補0，再將這些單元進行二進制反碼求和，結果存在檢驗和字段中第3、4字節；

（5）將取出的數據接在報文頭部后面，將整個報文寫入報文緩沖區。

1.2.3報文拆分

報文拆分的具體步驟如下：

（1）從報文緩沖區按報文長度獲取報文數據；

（2）計算校驗和，方法同報文組裝里的計算方法：如果校驗和不為0xFFFF，則傳輸過程中發生差錯，丟棄此報文；如果校驗和為0xFFFF，取出報文長度及報文序號，計算數據部長度，取出數據。

1.2.4數據拼接

將從報文取出的數據填入接收方數據緩沖區，寫數據指針移動相應距離；接收完最后一個數據后，協議將數據緩沖區中的數據提供給上層應用程序，寫數據指針恢復初始值。

1.3數據報傳輸過程

數據報傳輸情況分為考慮定時器超時和不考慮定時器超時兩種，定時器超時處理應屬于中斷調用。

1.3.1傳輸過程數據報傳輸過程如下：

（1）在進行數據報傳輸前，發送方將數據分割并裝進報文，ACK置為0x0000，計算報文序號，再將報文送入報文緩沖區。

（2）開始發送時，串口按已經設定的工作方式和波特率工作，從報文緩沖區獲取報文數據并發送。

（3）發送方發送完畢一個數據報后，停止發送，啟動定時器計時，準備接收響應。

（4）接收方串口接收數據并填入報文緩沖區。

（5）接收方從報文緩沖區獲取報文數據，進行校驗：

①若接收方校驗結果為正確，則取出數據；若接收的ACK=0x0011并且收到的序號等于前面一個報文的序號，則將數據覆蓋到前一塊數據，否則將數據填入數據緩沖區；記錄報文序號，發送數據部為空、ACK=0x1111的報文。

②若接收方校驗結果為錯誤，則丟棄數據報，發送數據部為空、ACK=0x1110的報文，通知發送方重發。

（6）接收方每次處理完數據報均初始化并啟動定時器計時，剛收到數據報時關閉定時器。

（7）發送方收到響應報文，校驗通過則關閉定時器，獲取ACK，若ACK=0x1111，則發送下一個數據報；若ACK=0x1110，則重發當前數據報（ACK置0x0011）。如果校驗不通過就丟棄此數據報，仍保持定時器計時。

（8）雙方重復以上步驟直到最后一個報文發送完畢。

（9）發送方發送最后一個報文完成后，發送數據部為空、ACK=0x0001的報文提示數據傳輸完畢，若此報文發送后收到重傳響應，則重發此數據報（ACK仍置0x0001）。

1.3.2定時器超時處理

若發送方定時器達到發送方超時等待時間仍未收到響應報文，則重傳當前數據報（ACK置0x0011），連續超時三次還沒收到應答則停止發送數據報，清空報文緩沖區和數據緩沖區，并向應用程序返回通信失敗。若接收方定時器達到接收方超時等待時間仍未收到報文，清空報文緩沖區和數據緩沖區，關閉定時器，并向上層應用程序返回通信失敗。

篇（7）

中國移動、中國電信、中國聯通三大運營商IP數據骨干網，基本覆蓋了所有省會節點和大部分地市節點，采用核心、匯聚和接入3層結構。它們基本都采用BGPMPLSVPN承載業務，建立了服務質量保證（QoS）體系，在全網部署了IGP／LDP快速收斂功能，并部署了MPLSTEFRR鏈路保護功能，域內路由協議采用IS－IS，并通過MP－iBGP傳播MPLSVPN路由信息。

1．2鐵路既有IP數據網

鐵路數據通信網由建設于不同時期的客運專線數據網、鐵通公司劃轉的專用數據網及鐵路綜合計算機網（TMIS數據網）3個相對獨立的網絡構成。客運專線數據網目前已經覆蓋了鐵路總公司，各鐵路局的調度中心，京滬、京石武、武廣、甬臺溫、溫福、鄭西、滬寧、滬杭等已建成的客運專線沿線站段、動車所等業務節點。鐵路局區域網絡由核心節點、匯聚節點、接入節點構成。骨干網絡暫采用北京、武漢、西安、上海局區域網絡的核心節點路由器作為臨時域間數據轉發節點，滿足各鐵路局對總公司區域網絡間，以及各鐵路局區域網絡間數據路由轉發需求。客運專線數據網采用MPLSVPN實現對業務的承載。既有普速線數據網大部分為鐵通公司劃轉鐵路之前的鐵通建設，目前各鐵路局網進行基礎通信網改造工程，在改造完成后基本實現了對既有普速線所有車站的覆蓋，并實現了與客運專線數據網的整合。鐵路綜合計算機網為2層網絡結構，覆蓋鐵路總公司、鐵路局及部分車站。隨著網絡安全工程的實施，鐵路總公司、鐵路局機關局域網實行三網分離，即局域網被分割成內部服務網、安全生產網、外部服務網3個邏輯子網，分屬于不同的安全域。TMIS網絡以路局為分界點，路局以上是骨干網，路局以下是基層網，總公司至各路局為星形組網。目前TMIS數據網與客運專線數據網（即鐵路數據通信網）未實現整合。

2鐵路數據通信網網絡建設

鐵路數據通信網建設的目標為以既有數據網為基礎，整合成一張綜合的IP數據網，實現對不涉及行車安全及資金往來的鐵路信息系統和通信數據業務的承載，采用適合鐵路需求的技術策略，提高數據網絡運行效率。

2．1骨干網建設方案

骨干網絡由匯接節點、轉發節點和接入節點組成。骨干網匯接節點設置在鐵路總公司；轉發節點設置在北京、西安、武漢、上海、成都；接入節點設置在各鐵路局。每個節點設置2臺路由器。骨干網為一個獨立自治域。北京、武漢、西安轉發節點間構成半網狀連接方式，相鄰骨干網轉發節點間互聯，每個轉發節點與總公司節點間直聯，實現全網流量在骨干網層面轉發；骨干網接入節點同時與2個大區轉發節點互聯。骨干網節點間采用10GEWAN接口互聯。

2．2區域網絡建設方案

每個鐵路局區域網絡均作為一個獨立的自治域，區域網絡間的互訪通過骨干網絡實現。鐵路局區域網絡由鐵路局所在地的核心節點、業務相對集中的匯聚節點和接入節點組成。接入節點到匯聚節點間、匯聚節點到核心節點間的連接，在城市范圍內或有需求的節點，采用星形或環形方式接入上層節點，在鐵路沿線范圍，接入節點采用鏈型雙歸方式接入匯聚節點。對于接入節點，采用分層PE技術，在大型車站部署SPE節點，小型站段或工區部署UPE節點。

2．3既有數據網整合方案

由于TMIS數據網承載著貨票、確報、調度、車號自動識別、行車安全監控（5T）、鐵路辦公自動化、統計、工務、財務核算等多個應用系統，因此，鐵路數據網與TMIS網絡的整合要分步驟實施。第一步：TMIS數據網業務之間存在大量互通需求，因此沒有對承載業務做嚴格的訪問隔離，而鐵路數據通信網采用VPN方式實現業務接入，為避免對TDMS廣域網承載業務造成影響，第一步將承載的全部業務以一個統一VPN接入鐵路數據網。第二步：新的信息業務直接接入鐵路數據網，TMIS既有業務逐步向鐵路數據網割接，業務割接后TMIS網絡設備根據性能及配置情況，融入鐵路數據網各類節點中，實現一張統一的數據網，實現信息資源共享。

2．4技術策略

鐵路數據通信網采用骨干網絡及區域網絡二級構建，在區域網絡接入節點，采用分層PE構建。鐵路數據通信網骨干網絡鏈路由OTN承載，采用10GE接口；鐵路局區域網絡核心、匯聚節點間的鏈路及接入節點到匯聚節點間的鏈路，主要由OTN承載，采用GE接口；接入節點間的鏈路主要由光纖承載，采用GE接口。為保證數據網對業務承載的可靠性，數據網要求OTN承載網啟用保護機制，并利用傳輸網絡保護機制、數據網故障檢測恢復機制及兩者的協調配合，來共同保證數據網的可靠性。數據網通過lay－er3MPLSVPN實現對業務的承載，保證不同業務組的安全隔離，采用OptionB方式實現VPN跨域互通；將layer2MPLSVPN作為補充，提供基于MartiniVLL業務。采用區分業務（DiffServ）同時結合CBQ以及CAR等多種技術方式，來保證各類業務的QoS。骨干網絡依靠高帶寬的設計提供網絡的輕載來保證SLA，采用IPDSCP、IPTOS和MPLSEXP字段標識QoS等級；在PE路由器實現QoS的等級化標記，根據初始業務類型提供6類服務等級對應6種隊列；部分關鍵業務，如GSM－R／GPGS、會議電視、軟交換等，考慮直接在區域網核心節點下設置獨立的PE接入設備，基于物理端口進行分類和標識。在全網部署路由快速收斂功能，啟用BFD完成快速鏈路故障探測，先期在骨干網絡轉發節點間對重要業務（如GSM－R／GPRS業務）進行MPLS－TEFRR的部署。域內路由協議采用IS－IS，并通過MP－iBGP傳播MPLSVPN路由信息，域間協議采用E－BGP。骨干網絡及各區域網絡均為獨立AS。在骨干網接入路由器部署流量采集設備，在鐵路總公司節點設置流量分析與統計服務器，對各鐵路局引入骨干網流量進行統計分析，并對異常流量進行告警。數據網為鐵路專網綜合IP網，與公眾互聯網采用物理隔離；全網通過實施MPLSVPN，完成各業務系統的隔離；網絡支持分域、分權管理；對于網絡設備的服務配置，遵循最小化服務原則，關閉網絡設備不需要的物理端口及服務；對網絡設備實行交互式訪問安全措施；支持對接入業務限速處理；在IS－IS、BGP等協議中啟用校驗和認證功能；網管區域的防火墻具有入侵檢測功能；在網絡互聯端口開啟I－SISHello的MD5認證；在區域網出口限制BGP對等體（peer）以外IP地址對179端口的訪問。在MPLS環境下向IPv6演進，在所有IPv6業務不需隔離時，可采用6PE技術實現；在IPv6業務需隔離的情況下，可采用6VPE技術實現。

篇（8）

有效保障數據通信網絡的穩定性和安全性，就必須充分發揮技術人力資源的作用，積極構建起健全完善的數據通信平臺，并積極對系統平臺的安全性進行科學的全面的評估。作為一名合格具備專業化技術的人員，應按照相關制度要求和標準流程，設置科學的評估方式，對整個網絡環境進行系統的評估，并適時給予安全調整，準確分析潛在的用戶群體以及信息源，并對他們進行安全評估和識別，充分了解數據通信網絡的發展實際，以此為出發點開展系統安全性的分析活動。

1.2及時排查隱存的安全威脅

定期開展網絡安全的檢查與維修活動，以及時確保數據信息的可靠性與真實性得到有效的安全確認，避免服務器的終端設備以及信息網中的硬件設備和軟件設備受到惡意破壞，防止系統網絡受到不法分子的嚴重攻擊，達到對數據庫內部的信息進行保密的目的。所以這就要求專業化的技術人員需以對網絡安全性的有效評估為前提，全面仔細存在的隱形的安全威脅，積極設置高效的網管設置等形式，不斷優化系統漏洞，拒絕一切不法分析用戶的對網絡系統的入侵和攻擊，降低安全風險的發生。

2路由器與交換機漏洞的發現和防護

作為通過遠程連接的方式實現網絡資源的共享是大部分用戶均會使用到的，不管這樣的連接方式是利用何種方式進行連接，都難以避開負載路由器以及交換機的系統網絡，這是這樣，這些設備存在著某些漏洞極容易成為黑客的攻擊的突破口。從路由器與交換機存在漏洞致因看，路由與交換的過程就是于網絡中對數據包進行移動。在這個轉移的過程中，它們常常被認為是作為某種單一化的傳遞設備而存在，那么這就需要注意，假如某個黑客竊取到主導路由器或者是交換機的相關權限之后，則會引發損失慘重的破壞。縱觀路由與交換市場，擁有最多市場占有率的是思科公司，并且被網絡領域人員視為重要的行業標準，也正因為該公司的產品普及應用程度較高，所以更加容易受到黑客攻擊的目標。比如，在某些操作系統中，設置有相應的用于思科設備完整工具，主要是方便管理員對漏洞進行定期的檢查，然而這些工具也被攻擊者注意到并利用工具相關功能查找出設備的漏洞所在，就像密碼漏洞主要利用JohntheRipper進行攻擊。所以針對這類型的漏洞防護最基本的防護方法是開展定期的審計活動，為避免這種攻擊，充分使用平臺帶有相應的多樣化的檢查工具，并在需要時進行定期更新，并保障設備出廠的默認密碼已經得到徹底清除；而針對BGP漏洞的防護，最理想的辦法是于ISP級別層面處理和解決相關的問題，假如是網絡層面，最理想的辦法是對攜帶數據包入站的路由給予嚴密的監視，并時刻搜索內在發生的所有異常現象。

3交換機常見的攻擊類型

3.1MAC表洪水攻擊

交換機基本運行形勢為：當幀經過交換機的過程會記下MAC源地址，該地址同幀經過的端口存在某種聯系，此后向該地址發送的信息流只會經過該端口，這樣有助于節約帶寬資源。通常情況下，MAC地址主要儲存于能夠追蹤和查詢的CAM中，以方便快捷查找。假如黑客通過往CAM傳輸大量的數據包，則會促使交換機往不同的連接方向輸送大量的數據流，最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰。

3.2ARP攻擊

這是在會話劫持攻擊環節頻發的手段之一，它是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上后，這個節點會收到確認其物理地址的應答，這樣的數據包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，ARP欺騙過程如圖1所示。

3.3VTP攻擊

以VTP角度看，探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時，VTP上所配置的版本號均會增多1，當用戶觀察到所配置的版本號明顯高于當前的版本號時，則可判斷和VTP服務器實現同步。當黑客想要入侵用戶的電腦時，那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接，然后再本臺計算機與其構建一條有效的中繼通道，然后就能夠利用VTP。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器，那么就會致使全部的交換機同黑客那臺計算機實現同步，最終將全部除非默認的VLAN移出VLAN數據庫的范圍。

4安全防范VLAN攻擊的對策

4.1保障TRUNK接口的穩定與安全

通常情況下，交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種，前者是指用戶接入設備時必備的端口狀態，后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時，能夠避免開展任何的命令式操作行為，也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態，為各項攻擊的發生埋下隱患，可通過如下的方式防止安全隱患的發生。首先，把交換機設備上全部的接口狀態認為設置成Access狀態，這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后，不管以怎樣的方式進行協商其最終結果均是Accese狀態，致使黑客難以將交換機設備上的空閑接口作為攻擊突破口，并欺騙為Turnk端口以實現在局域網的攻擊。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態。不管黑客企圖通過設置什么樣的端口狀態進行攻擊，這邊的接口狀態始終為Turnk狀態，這樣有助于顯著提高設備的可控性[3]。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置，對出入Turnk端口的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk端口，這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊，保障數據傳送的安全性。

4.2保障VTP協議的有效性與安全性

VTP（VLANTrunkProtocol，VLAN干道協議）是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議，它主要用于管理在同一個域的網絡范圍內VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內的其他所有交換機，這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTPServer保持一致，從而減少在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統一性。處于VTP模式下，黑客容易通過VTP實現初步入侵和攻擊，并通過獲取相應的權限，以隨意更改入侵的局域網絡內部架構，導致網絡阻塞和混亂。所以對VTP協議進行操作時，僅保存一臺設置為VTP的服務器模式，其余為VTP的客戶端模式。最后基于保障VTP域的穩定與安全的目的，應將VTP域全部的交換機設置為相同的密碼，以保證只有符合密碼相同的情況才能正常運作VTP，保障網絡的安全。

篇（9）

2當前網絡數據通信中存在的主要安全隱患

2.1網絡病毒

當前，Internet已經成為了各種計算機網絡病毒的最大傳播途徑，一旦用戶終端被網絡病毒感染，就可能造成與其進行數據通信的其他用戶終端被連帶感染，特別是當前病毒的破壞形式多種多樣，能在不被發現的情況下對傳輸數據進行復制、篡改和毀壞，也可以通過侵入終端內部對系統數據進行攻擊，從而造成數據通信質量下降或中斷。在政府機構或企業中，一些非法分子出于經濟或政治目的，通過對政府機關網或企業局域網的服務器植入病毒，造成機密信息外泄，從而造成不可估量的損失，嚴重時還可能威脅到國家安全和社會穩定。

2.2黑客攻擊

正常的網絡通信是通過合法訪問的形式實現的，而在現實中，一些網絡黑客出于不同的目的，在未經允許的情況下就利用網絡傳輸協議、服務器以及操作系統上的安全漏洞進行非法訪問，使得系統內部的信息和數據被盜取或刪改等，從而造成系統崩潰、重要信息丟失或泄露等嚴重事件。

2.3管理缺失

在實際工作中，很多用戶在利用網絡進行數據通信時沒有充分重視安全方面的問題。一方面沒有投入先進的網絡硬件設備，或者投入時只重視服務器、交換機等硬件設備的性能而忽略了安全防護性；另一方面由于相關技術人員和管理人員缺乏，使得信息的使用和傳輸非常隨意，再加上對傳輸和終端設備的入網安全性檢測工作不嚴，容易被不法分子在設備內部設置后門，從而給數據通信安全造成威脅。

3網絡數據通信中的安全防范技術措施

3.1對網絡入侵進行檢測

網絡數據通信一般都是基于TCP/IP等網絡通信協議的基礎上完成的，在這個過程中可以加強對網絡訪問行為的監視和分析，判斷其是否屬于合法訪問的范疇。一旦發現其存在違反安全策略的行為，就要立即對訪問實施攔截，同時發出報警，提示相關工作人員進行進一步的處理。

3.2實施訪問控制

首先，對不同的訪問用戶設置不同的安全權限。通過設置不同的安全權限可以有效防止未經授權的用戶訪問敏感信息，避免了機密信息數據的外泄。其次，局域網用戶還應做好內部訪問外網的控制，通過部署網絡版防火墻等方式杜絕外部病毒和木馬程序順著訪問路徑入侵。最后，采用認證技術來限制用戶訪問網絡。用戶只有通過門戶網站或客戶端的形式完成認證步驟，才能實施對外部網絡的訪問。

3.3進行數據加密將信息數據在傳輸前進行加密，被接收之后通過解密機進行還原，從而有效提高數據在傳輸過程中的安全性。目前常用的數據加密技術有兩種：

（1）端到端加密技術。在數據信息的發送端和接收端同時以加密的形式存在。

（2）鏈路加密技術。在數據信息的傳輸過程中以加密的形式存在。在實際應用中，這兩種加密技術一般混合采用，以提高數據信息的安全性。

篇（10）

2命令／應答式通信協議

2．1協議框架

V8＿Loader（監控主機，PC）與V8＿Agent（目標機）之間采用命令／應答式通信協議進行命令、數據、狀態等信息的傳送．通信過程總是由監控主機首先向目標機發送一個命令包，目標機在收到命令包后，執行相應讀寫操作，再根據通信協議向監控主機回送相應的狀態應答包．因為遠程監控系統對于不同命令的反應實效性是不一樣的，為了便于管理，將協議命令分為三種類型，包括立即命令、緩沖命令和數據命令．立即命令信息量短，用于需要馬上執行的命令；緩沖命令用于對可延時命令進行延時管理，主要是對數據包進行管理；數據命令主要是用來對大量數據信息進行數據包裝．三種命令的具體定義如下：（1）立即命令：目標機接收到立即命令后進行校驗，如果正確則立即執行，完成相應控制和狀態查詢等功能，并回送狀態應答包．若校驗不正確，則不進行處理和響應．（2）緩沖命令：目標機接收到緩沖命令后，首先存儲在緩沖區中，并不立即執行，當監控主機發送執行命令后才執行緩沖區中的命令；執行完成后，也不立即向監控主機回送狀態應答包，而是將執行結果存儲在緩沖區中，當接收到監控主機發來的查詢命令時，才將緩沖區中的狀態應答信息作為查詢命令的應答包回送給監控主機．（3）數據命令：目標機接收到數據命令后，將數據放在緩沖區中，同時進行校驗，根據校驗結果設置數據緩沖區的狀態，數據包接收后不回送狀態應答包給監控主機．

2．2協議包格式

協議包從傳輸方向上分為兩類：上行協議包，由監控主機發送，目標機接收；下行協議包，由目標機發送，監控主機接收．其中上行協議包又包括立即命令包、緩沖命令包和數據命令包三種類型；下行協議包又包括狀態應答包和數據應答包兩種類型．各種協議包的格式如下：（1）立即命令包：監控主機發送的立即命令，包括前導字符、命令長度、命令內容和校驗字節等部分．立即命令的類型包括很多種，具體使用中可以根據需要添加和擴展．（2）緩沖命令包：監控主機發送的緩沖命令，也是實際的功能命令，包括前導字符、命令長度、命令內容和校驗字節等部分．緩沖命令包從功能上分為擦除命令、上傳命令、下載命令、轉移命令等，根據需要可以添加不同的功能命令．（3）數據命令包：監控主機發送的數據命令，用來向目標機的接收數據緩沖區注入一個數據塊，包括前導字符、數據塊長度、數據塊內容和校驗字節等部分．（4）狀態應答包：目標機發送的狀態應答信息，對來自監控主機的立即命令進行響應，包括長度、狀態數據和校驗字節等部分，長度表示狀態數據的字節數，狀態數據根據立即命令的不同而不同，從而給宿主機發送不同的狀態響應．（5）數據應答包：目標機發送的數據信息，數據應答包是功能命令的數據塊，包括長度、數據塊和校驗字節等部分，長度表示數據塊的字節數，數據塊是從宿主機接收到的具體數據信息．

3軟件實現方法

遠程監控系統軟件具體實現分為兩部分，分別為目標機上運行的V8＿Agent，監控主機上運行的V8＿Loader程序．本文按照圖2所示的系統體系結構模型，采用模塊化的設計方法進行了實現．軟件整體設計框圖如圖3所示［9］．下面分別從目標機和監控主機兩個方面對該系統的軟件實現進行說明．

3．1V8＿Agent的實現

V8＿Agent主要完成各種通信協議命令的解析、執行，在V8＿Loader的控制下，將數據傳送到目標機的指定區域，或將目標機指定區域的數據傳給V8＿Loader．圖4給出了目標機解析命令的運行過程，主要分為以下幾個步驟執行：（1）初始化所有通信端口和緩沖區，轉步驟（2），進入通信端口選擇過程；（2）采用自動識別方法對通信端口進行識別，按照預先設定的通道順序查詢各端口，首先查到數據的端口將被選擇為臨時端口；如果從臨時端口接收到一個正確的命令，則認為收到該命令的通信通道就是當前選擇的通信通道，將當前通道選擇標志送給通信通道選擇標志，完成通信通道的選擇；（3）識別到可用通信端口后，執行命令解析過程；由所接收信息包的第一個字符確定監控主機送來的包類型；如果是緩沖命令包則執行步驟（4），數據命令包執行步驟（5），立即命令包執行步驟（6），其他轉步驟（7）；（4）接收到緩沖命令包后，將接收到的數據暫存到命令接收緩沖區，當監控主機確認目標機正確接收了緩沖命令后，再將其切換到命令執行緩沖區，并設置命令執行緩沖區狀態為命令就緒狀態后轉步驟（7）；（5）接收到數據命令包后，將接收到的數據暫存到數據接收緩沖區，當監控主機確認目標機正確接收了該包數據后，設置數據接收緩沖區狀態為數據就緒狀態后轉步驟（7）；（6）接收到立即命令包后，根據命令包類型執行不同的功能命令，同時給監控主機回送一個應答包，并轉步驟（7）；如果接收的是執行緩沖區中命令的命令，則執行命令緩沖區中存儲的緩沖命令，執行完畢后轉步驟（7）；（7）結束本次通信命令解析過程，轉步驟（2）

3．2V8＿Loader的實現

V8＿Loader軟件在監控主機上運行，采用Vis－ualC＋＋6．0進行開發．V8＿Loader完成通信接口選擇、文件管理、數據打包等功能，并按照通信協議與V8＿Agent進行通信，完成數據上下傳．考慮到未來擴展應用功能方面的需求，遠程監控系統在實現時不僅需要提供如前面應用說明中的完整功能，還需要為未來的嵌入式應用提供其它方面的支持．因此V8＿Loader在實現時，采用了如圖5所示的多層次結構進一步細化了軟件的層次結構，增強軟件的可擴展性，提高軟件的廣泛適應性．界面管理層直接向用戶提供文件上傳、數據下載等用戶界面管理，完成對文件的管理操作．文件上傳是要將指定數據文件或程序文件的內容上傳到目標機指定區域，而數據下載則是從目標機指定區域下載的指定長度二進制數據保存到主機的文件中．此外界面管理層還向用戶提供了轉移執行、FLASH擦除等功能．線程處理層完成基于文件和控制界面的監控功能處理．它將上傳文件、下載數據區分成若干個包，通過調用功能處理層的上、下傳支持函數來完成文件數據的上傳和數據下載功能．線程處理層同時完成對界面上的進度條的實時處理與更新，完成與用戶之間的信息交換，完成文件數據的讀取與存儲功能．功能處理層是真正的上傳、下載、轉移等功能的處理模塊，按照協議規定通過通信管理層與V8＿A－gent之間進行協議命令及上下傳數據的交互，完成規定大小數據的上傳與下載．通信管理層提供各種通信功能到不同總線接口的映射．在總線驅動程序的基礎上，完成通信字符到協議包的簡單轉換工作．總線驅動層可以根據實際的通信端口添加相應的驅動程序，可以很方便的擴展其他通信總線，從而完成對通信端口的底層管理．