時間:2023-06-12 14:46:28
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇虛擬網絡的實現,希望這些內容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
【中圖分類號】TP311 【文獻標識碼】A 【文章編號】1674-4810(2011)24-0041-01
一 網絡虛擬實驗系統及其主要功能的特點
網絡虛擬實驗系統以計算機系統為核心虛構出三維可視的實驗場景,仿真復雜多變的實驗現象,支持實驗數據的采集和實驗結果的模擬、分析。學習者通過網頁訪問的方式觀察逼真的模擬實驗環(huán)境,并通過普通的圖形界面交互技術改變實驗條件和參數,將各種虛擬儀器按實驗要求、過程進行操作或組裝,并從中獲得良好的個人體驗或發(fā)現。它一般包括相應的實驗環(huán)境,有關的實驗儀器設備,實驗對象以及實驗信息資源等。
網絡虛擬實驗系統屬于桌面式虛擬現實系統,在一定程度上具有虛擬現實技術的沉浸性、交互性和想象性特點,可以提供一些在現實中無法體驗的情境,能避免真實實驗或操作所帶來的各種危險。徹底打破空間、時間的限制,學習者隨時進入虛擬實驗室操作儀器,進行各種實驗,共享儀器設備,共享數據,甚至和異地的學習者合作進行實驗等。特別適合在實驗設備、實驗場地、教學經費缺乏等低成本的限制條件下應用,較適合于網絡教育和移動學習。
二 網絡虛擬實驗系統的基本體系組成
1.表現層
展現實驗場景,用戶主要包括學習者、教師和管理員。通過注冊登錄,下載支持IE的3D瀏覽器插件后,即可進入三維虛擬實驗環(huán)境中進行實驗。用戶通過簡單和友好的界面,可實現與虛擬實驗的3D對象、虛擬角色的交互,或虛擬角色相互之間的交互。
2.業(yè)務邏輯層
服務器的主要作用是開放式交互實驗環(huán)境以及動態(tài)網頁的生成;網頁Web應用服務器數據庫的主要作用則是提供Web接入服務、用戶認證管理、賬號管理、動態(tài)網頁的生成。作為整個虛擬實驗系統的核心模塊,虛擬實驗應用服務器主要作用是控制和管理實驗儀器、采集和處理實驗數據;交互控制影響學習者的實驗請求并做出相應的反應,處理多用戶協同通信時出現的問題。
3.數據訪問層
主要是對原始數據(數據庫或者文本文件等存放數據的形式)的操作。數據庫主要包含用戶信息庫、3D對象服務器、知識庫、教學資源庫。用戶信息庫包含用戶(學習者、教師)的初始數據,如用戶個人信息、登錄信息、首次測試水平、實驗儀器設備信息和學習記錄等,存儲在數據庫服務器中。3D對象服務器包括3D場景模型、3D虛擬角色模型和3D實驗儀器設備模型等。文件服務器包含Word、PPT等教學文本文檔以及預設的HTML模板。
三 網絡虛擬實驗系統的關鍵設計
一是許多網絡虛擬實驗系統功能更關注在實驗現象和行為的模擬演示,系統的交互性和監(jiān)控性有限。功能設計中需要增強對實驗數據的統計分析和實驗過程監(jiān)控等功能,從而增強教學的評價功能。二是網絡虛擬實驗系統更多地集中于通過網絡共享實驗資源,共享數據。支持多用戶協作式,分布式共享同一實驗空間的系統并不多。分布式系統功能設計能進一步增強系統的實用性,同時帶來更大的設計和實現的復雜度。
四 網絡虛擬實驗系統的實現技術
1.環(huán)境建模技術
虛擬實驗環(huán)境和實驗儀器的建立是虛擬實驗系統的重要內容。常用的建模多使用3DMax、Maya等工具軟件完成。制作人員完成建模和貼圖的工作量比較大。數字三維掃描技術快速、精確地生成實體模型,與軟件建模方式相結合能夠縮短工作時間,提高效率。
2.實時三維圖形生成技術
三維圖形的生成技術已較為成熟,其關鍵是如何實現“實時”生成與顯示。對于具有一定復雜度的模型,如何達到實時顯示和便于網絡傳輸的目的,又要保證圖形的幀率和質量,需要進一步研究。
3.立體顯示和傳感器技術
虛擬現實的沉浸感和交互能力依賴于立體顯示和傳感器技術的發(fā)展。現有的桌面虛擬現實系統大多使用鼠標加鍵盤的WIMP圖形界面,在人機交互方式上存在著較大的局限性。近年來,手寫板與觸摸式顯示屏等新興的人機交互設備大規(guī)模地進入應用領域,其更加自然的交互方式突破原有鼠標加鍵盤的WIMP桌面系統,桌面虛擬現實系統的二維交互方式帶來的約束,手寫板技術和觸屏技術的發(fā)展與應用虛擬現實設備的跟蹤精度和跟蹤范圍也有待提高,因此有必要開發(fā)新的三維顯示技術。
4.應用系統開發(fā)工具
虛擬現實應用的設計關鍵是尋找合適的場合和對象,即如何發(fā)揮想象力和創(chuàng)造力。應用系統開發(fā)工具需要強大的平臺支撐,為不同的開發(fā)者和設計者提供良好的支持,提供功能豐富且方便的工具包SDK來支持便捷的二次開發(fā),以大幅度地提高生產效率、減輕勞動強度、提高產品開發(fā)質量、降低開發(fā)成本。目前國際上比較著名的VR技術的開發(fā)工具和平臺有 VRML、Cult3D、EON、Quest3D、Virtools等,不同的平臺各有其特點,通常實際使用開發(fā)平臺所提供的一些實用功能模塊,需要的附加付費也是需要考慮的重要問題。
【關鍵詞】虛擬現實技術;網絡虛擬實驗室;3ds Max;VRML
Based on Virtual Reality Technology of The Construction of the Network Virtual Chemical Laboratory Design
YAN Xiao-li ZHENG Yan-bin YAO Fei SU Jing-xia
【Abstract】This article first introduces the network based on virtual reality technology, virtual chemical laboratory of architecture, and then introduces the combination of 3ds Max software and VRML language implementation of virtual test scenarios interaction function and the method of animation effects theory, lays the foundation for the construction of network virtual laboratory.
【Key words】Virtual reality technology; Network virtual laboratory; 3ds Max; VRML
0 引言
隨著虛擬現實技術和計算機網絡技術的發(fā)展,虛擬現實技術應用的領域已經深入到軍事、醫(yī)學、教育等各個領域。利用虛擬現實技術建立的化學實驗室與傳統實驗室相比高效、開放、靈活、用戶自定義等優(yōu)點決定了它在遠程教育中的良好應用前景,必將成為教學活動的重要環(huán)節(jié)。
1 虛擬現實技術與網絡虛擬實驗室
虛擬現實技術(Virtual Reality,VR)是以計算機技術為核心生成的一個三維空間的虛擬世界,借用專用設備為用戶提供關于視覺、聽覺、觸覺的感官的模擬,并通過鍵盤鼠標等操作實現人機交互,使用戶有身臨其境之感。虛擬現實技術的突出特征為“3I”,即 Immersion(沉浸性)、Imagination(想象性)、Interactive(交互性)[1]。根據用戶參與VR的形式以及沉浸的程度,本文用的是桌面虛擬現實系統。
1989年,美國弗吉尼亞大學(University Of Vinginia)威廉?沃爾夫(William Wulf)教授首次提出了虛擬實驗室的概念:用來描述計算機網絡化的虛擬實驗環(huán)境[2]。本文要建立虛擬實驗室就是基于互聯網環(huán)境下完成的網絡虛擬化學實驗系統。
基于虛擬現實技術的網絡虛擬實驗室指的是在網絡中創(chuàng)建一個可視化的三維環(huán)境,其中每個可視的三維模型代表一種實驗對象,用戶通過對鼠標和鍵盤的操作,可以模擬和仿真具體的試驗對象、實驗環(huán)境和實驗過程,從而實現對實驗的模擬,實現與真實實驗環(huán)境下相一致的實驗效果,達到同樣的教學目的和要求。
2 網絡虛擬化學實驗室體系結構
網絡虛擬化學實驗室體系結構主要由兩部分構成:服務器端(Server)和客戶端(Client),如圖1所示。其中客戶端的功能是客戶通過直觀的界面操作來實現人機交互。界面上有各種操作,都是基于模擬軟件,即虛擬實驗平臺來實現的。服務器端的主要功能則是及時響應客戶端的請求。由于此軟件的訪問量較之商業(yè)網站的訪問量少很多,因此可以建立一個比較小的云平臺,當客戶向服務器發(fā)出請求時,就把請求轉入云端進行集中處理。但是為了避免多個客戶對共享資源的互斥訪問,要采用并發(fā)處理機制,這樣才能及時的響應客戶端的多用戶請求。
客戶端與服務器端的交互是通過一系列的協議和連接來實現的。客戶主機上安裝有支持Java語言的瀏覽器,Web服務器為Java Application,啟動后服務器便會在端口偵聽客戶端的請求。當客戶端通過瀏覽器向Web服務器提出HTTP請求時,Web服務器就會通過HTTP協議把客戶所需要的文件資料傳送到瀏覽器上,此時客戶就可以在瀏覽器上閱讀了。在這一過程中,通信接口作為客戶端和服務器端的媒介,通過TCP/IP協議和數據庫接口進行通信[3]。
3 實驗場景建模實現
虛擬現實場景的制作通常有如下三種途徑:第一是通過數碼相機或攝像機進行實景拍攝,然后制成全景圖;第二是使用計算機編程的方法直接生成,常用的程序設計語言有VRML、OpenG、LX3D等;第三則是使用商品化的軟件制作虛擬的三維場景和動畫,如用3ds Max、EON Studio等[4]。
為了使用戶最大程度上的“沉浸感”,要求虛擬化學實驗場景與真實實驗環(huán)境高度一致。將虛擬實驗室場景的建模分為兩大類:一是實驗室基礎環(huán)境,包括實驗室內部環(huán)境以及實驗室基礎設施;二是虛擬實驗器材,包括實驗器材以及實驗藥品等。對于這些虛擬實驗室內部構造的實現不僅需要形似,更需要其在材質、紋理、內部結構方面都十分逼真。
圖1 網絡虛擬化學實驗室體系結構
對于虛擬實驗環(huán)境的建模,比如天花板、窗戶等的建模可采用實景虛擬現實技術。實景虛擬現實平臺是對現實場景的處理和再現,因而展現的是完全真實的場景。相比于利用3ds Max建模得到的效果,更能使用戶沉浸其中。
對于那些比較比較簡單的實驗藥品和儀器,由3ds Max建模實現。3ds Max建模軟件包含了基本的幾何模型,這些幾何模型不僅在建模時可以直接使用,也可以將其作為基礎,實現較復雜的模型的創(chuàng)建。對于實驗儀器和設備而言,建模時最重要的是要根據實際情況賦予不同的物品不同的材質。賦材質時可以使用VRML中的Appearance (外觀節(jié)點)反應造型的屬性。如物體的材質、表面顏色、透明度等。
實驗室很多其它場景如燒杯,藥品架、投影儀等的建模都可以采用以上的原理實現。
4 交互功能以及動畫場景的實現
VRML是一種用于建立真實世界的場景模型或人們虛構的三維世界的場景建模語言,它在3ds Max創(chuàng)造出的三維場景,不僅可以插入多種多種VRML節(jié)點,同時也可以將其直接導出到VRML中,因此可以利用VRML的傳感器節(jié)點,實現實驗中的交互功能以及動畫效果。
4.1 交互功能實現
在虛擬實驗系統中,可通過VRML中的檢測、感知等節(jié)點實現用戶和虛擬對象之間的交互。
根據用戶在場景中的動作,將檢測器分為兩類:觸摸型的傳感器和感知型的傳感器。將動作從廣義上分為兩類:一類是用戶的輸入設備對于對象的操作,一類是用戶和場景中的某對象接近的程度,對象進而做出反應。用戶在虛擬實驗室系統中,將鼠標作為主要的輸入設備,這時采用第一類檢測器檢測鼠標單擊、指向和拖動等動作,從而對場景做出做出相應的回應。
以KMnO4制造O2實驗為例,在實驗過程中需要加熱,因此單擊鼠標點燃酒精爐,此時觸摸型傳感器中的接觸檢測器節(jié)點(TouchSensor)可以很好地檢測鼠標是否單擊了對象,從而做出反應。在實驗時難免會出現虛擬空間物體之間的碰撞,此時可以感知型傳感器中的碰撞傳感器節(jié)點(Collision)可以用來檢測何時用戶和虛擬空間中的造型發(fā)生碰撞并作出反應,同時該節(jié)點中的ROUTE路由提交的事件可以啟動一個聲音節(jié)點,使實驗場景更加真實。
對于一些復雜的計算、智能推理能力等,可以利用VRML的Script節(jié)點。Script節(jié)點包含一個程序腳本,可以定義和改變場景中對象的行為和外觀。在Script初始化時(即事件被檢測到時)調用程序腳本將事件和節(jié)點從VRML傳遞到Java程序中,同時將命令從Java程序傳遞到VRML中[5]。比如在實驗過程中處理自由落體及反彈就可以利用此節(jié)點。
4.2 動畫場景實現
對于VRML場景來說,交互功能僅僅能夠實現對場景的控制,為了達到虛擬現實的目的,還需要制造動畫的效果。在VRML中實現動畫實際上就是借助于時間檢測傳感器節(jié)點確定發(fā)生變化的時間,借助于描述場景中造型的狀態(tài),利用外觀變化的內插節(jié)點來控制他們的外觀和狀態(tài)隨著時間的變化以產生動畫的效果。
VRML設計了許多插補器節(jié)點對應不同的狀態(tài)變化,利用插補的方法構建場景中的動畫效果,如實現造型位置變化的位置插補器(PositionInterpolator)、實現方位變化的朝向插補器(OrientationInterpolator)、實現顏色變化的顏色插補器(Colour Interpolator)以及坐標插補器(CoordinateInterpolator)等[6]。
仍然以KMnO4制造O2為例說明,在此實驗中涉及到的有藥品顏色的變化、O2的增加等動態(tài)變化。這時可以采用時間傳感器和顏色插補器(Colour Interpolator)描述實驗啟動后KMnO4變?yōu)镸nO2時的顏色變化(紫色變?yōu)楹谏挥梦恢貌逖a器(PositionInterpolator)和時間傳感器來描述O2由少變多時的動態(tài)效果。
5 結束語
基于虛擬現實技術的化學實驗室不僅彌補傳統化學實驗教學的不足,同時為教師提供了一個良好的教學環(huán)境、為學生提供了一個學習化學的平臺,同時為其它實驗課程的教學改革與發(fā)展提供了技術支持,對于推動教學體制的改革有及其深遠的意義。
【參考文獻】
[1]段新昱.虛擬現實基礎與VRML編程[M].北京:高等教育出版社,2004:01.
[2]KOUZESRT, MYERS JD, WULFW A. Doing science on the In-ternet[J].IEEE ComputerSociety,1996,29(08):40-46.
[3]范鵬軒,孫靜.一種Web3D虛擬現實系統的場景數據調度方法[J].科技廣場,2010(01):107-109.
[4]文孟飛,陽春華.網絡環(huán)境下虛擬現實實驗室構建探析[J].廣東廣播電視大學學報,2004(04):27-30.
[5]劉輝,金漢均.基于VRML虛擬實驗室實現方法的研究[J].實驗室研究與探索,2007,26(12):225-227.
[6]胡小強.虛擬現實技術[M].北京郵電大學出版社,2005:255-257.
基金項目:河南師范大學國家大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目(201210476065)。
作者簡介:閆曉麗(1993―),女,河南平頂山人,本科,研究方向為虛擬現實技術 。
鄭延斌(196年―),男,河南新鄉(xiāng)人,博士,教授,主要研方向為虛擬現實、人工智能。
關鍵詞:遠程教育;DCOM;虛擬實驗室;客戶/服務器(C/S)
Abstract: In order to make the virtual laboratory for teaching the need for long-distance network to enable it to work on the network, the use of DCOM technology to C / S achieved the components of the virtual laboratory. The simulation as part of the server-side, the interface I / O as a client. In many cases, users did not provide DCOM Distributed strategy, the use of targeted scheduling to balance the load, so the introduction of distributed processing way.
Key words: distance education; DCOM; virtual laboratory; client / server (C / S)
前言
隨著Internet的不斷擴大,日益增多的計算機正在連接到互聯網上,以共享資源。于是遠程教育作為一種新的教育模式被提上了議事日程,現代計算機技術和網絡技術為遠程教育的發(fā)展提供了強有力的技術保障。尤其是WWW瀏覽器技術和數據庫技術的發(fā)展,使得教學活動不再受地域和時間上的限制,利用Internet就能進行實時或非實時的教與學,從而實現了跨越時空的學習。然而,大學實驗室里許多實驗課,在遠程教育的網上學習中將會有許多困難。如何在網絡課件中解決好這個問題,對于進一步辦好遠程教育是具有重要實際意義的。本文利用DCOM(Distributed Component Object Module)技術,將單機板的虛擬電路實驗系統升級為網絡版的虛擬電路實驗系統。
虛擬電路實驗系統是一個用于仿真電子線路實驗的軟件。用戶通過界面在計算機屏幕上選用各種元器件搭建電路,測試波形,得到實驗數據等結果,以模擬真實實驗的方式使用戶掌握有關電路方面的知識。從功能上講,虛擬實驗室系統分為兩個模塊:一個是仿真計算部分,它是整個系統的核心部分,負責輸入數據的處理、大量的模擬計算,并向輸出界面部分傳送結果;另一個則包括輸入界面和輸出界面兩部分。輸入部分完成用戶電路搭建時的界面處理,從某種角度來講,它完成了數據的采集。同樣,輸出界面完成結果的輸出,如波形輸出、數據輸出等。
為了滿足遠程教學的需要,必須將單機虛擬實驗系統改造為可在網絡上運行的系統。從通信的開銷上來講,Socket是最合適的。但是Socket本身是面向通信的,有復雜的通信細節(jié)需要處理。而且,Socket服務器對于客戶來說,很難提供穩(wěn)定的應用程序接口,一旦服務器發(fā)生了變化,客戶必須相應地變化,不利于客戶和服務器單獨開發(fā)和維護。另外一種則是文本采用的COM(Component Object Module)技術。
1 組件對象模型(COM)
現代的軟件開發(fā)都以模塊方式進行。每個模塊均有自己的功能,并與其它模塊以接口進行通信。于是,復雜的軟件系統就可以用搭積木的方式進行。這就是組件軟件的基本思想。COM就是實現軟件組件化的一種努力。
實際上,COM是一種規(guī)定了組件之間的接口標準。COM還引入了面向對象的思想,COM對象是一個能完成一定功能的軟件模塊。COM對象是組件的基本構成,它以接口的方式向其它對象或軟件提供服務。通常情況下,對象的服務與被服務都是客戶/服務器的關系。COM對象不同于C++對象。C++對象是類的實例。C++是面向對象的編程語言,是人們在源碼級試圖實現軟件模塊化的一種努力。COM對象是二進制的規(guī)范。換言之,C++在源碼級提供了代碼重用的便利,而COM是在二進制級提供了可重用性。COM的二進制級重用是通過COM對象工作來實現的。它主要有兩種方式:(1)包容,一個對象通過利用另一對象的功能實現同樣的接口。(2)聚合,一個對象直接將另一對象的接口提供給客戶。
由于COM的實現是在二進制級,而不是源碼級,于是決定了COM與語言的無關性。一個用C或C++實現的COM可以與一個用BASIC實現的客戶正常地通信。因此,整個軟件的一部分可以用一種語言開發(fā),而另一部分可以使用其它語言。這給軟件開發(fā)者在根據性能的要求做出編程語言選擇時提供了方便。COM的另一個特性是進程的透明性。一個組件可以有很多種形式出現,比如DLL,EXE等。DLL形式的組件與客戶程序工作在同一進程,EXE組件工作在獨立的進程。無論是進程內的組件還是進程外的組件,對于客戶來講都是同樣的,客戶無需關心進程間的通信。進程間的通信是復雜的,然而COM掩蓋了這種復雜性。
2 分布式組件對象模型(DCOM)
COM給軟件開發(fā)帶來了極大的便利。但是,在網絡環(huán)境下,單機上的組件重用和進程透明性已不能滿足需要,COM必須擴展。Microsoft的DCOM便是COM在網絡環(huán)境下的無縫擴展,DCOM能夠支持在局域網、廣域網,甚至在Internet上與不同計算機的對象之間的通信。使用DCOM,應用程序可以在位置上達到分布性,從而滿足客戶和應用的需求。
DCOM隱藏了網絡通信的細節(jié),在可以利用的網絡協議的支持下,組件或客戶無需關心對方組件的位置,便可以進行通信。因此DCOM具有協議無關性。在網絡環(huán)境下,組件之間的通信不像在COM的進程內或進程間的LPC(Local Procedure Call),而是以RPC(Remote Procedure Call)來完成的。客戶與COM對象必須通過Proxy和Stub來進行通信。Proxy工作在客戶進程中,Stub工作在服務器進程中。此外,DCOM提供了所有在網絡上工作的軟件都應有的特殊性與安全性。
3 COM/DCOM在網絡虛擬實驗室中的應用
從程序設計的角度來看,COM/DCOM的結構是這樣的:對象是構建組件的基本元素,而服務器為組件提供進程內/外的服務,提供了組件工作的場所。對象是一個自包含的結構,提供一定的功能,它不能直接被客戶使用,客戶必須通過接口訪問它。對象必須通過接口來表現自己的功能,甚至對象的創(chuàng)建都不能由客戶直接完成,對象的創(chuàng)建必須借助一個特殊的對象,即類廠來完成。
對于客戶,它可以是一個組件對象也可以是一個支持COM的普通程序。它通過COM API來調用類廠創(chuàng)建對象,并增加引用計數,來決定對象的生存期。這樣COM庫和COM服務器會在適當的時候卸載。
雖然C++對象和COM對象有本質的區(qū)別,但是它們在二進制一級的構造上有一定的相似性,C++對象和COM對象都使用VTable。而且,C++的對象描述能力使它很容易創(chuàng)建COM。因此C++是實現COM的最佳選擇。Visual C++在CO
M編程方面提供了兩種方式:一種是MFC(Microsoft Foundation Class);一種是ATL(Active Template Library)。MFC是以嵌套類的方式來實現COM的;ATL大量地使用于模板,采用多重繼承的方式來實現COM。但不管是MFC還是ATL,都為開發(fā)軟件提供了極大的方便,很多的處理都由MFC提供,比如引用計數、服務器鎖計數、類廠等。盡管MFC和ATL都能實現COM,但MFC是一種開發(fā)完全應用程序的有效手段。相比之下,ATL是專為COM設計的。所以,ATL更適合創(chuàng)建快速小型化的COM組件。
3.1 服務器
在本文設計的網絡虛擬實驗室系統中,將模擬計算部分作為服務器。對于單用戶服務器的情況,可以使用STA(Single Thread Apartment)線程模型。在這種情況下,分作為一個COM對象。對于在這個組件來說,它至少應該提供一個Simulator對象、一個Isimulate接口和兩種方法。
interface IDatdT’: IUnknown
{
HRESULT InputData( [ in]... );
HRESULT OutputData( [ out]... );
…
};
這個對象是一個可連接對象。在模擬算法完成之后,它必須向用戶發(fā)出通知。而用戶程序內置了一個接收器。客戶使用InputData()向服務器傳送采集的數據,服務器在處理數據完成之后,客戶通過OutputData()取得處理結果。
對于多用戶服務器,實際上只要簡單地在這個COM組件中加入注冊表信息,或者用CoCreatelnst9nEX(),以主機信息為參數就可以在指定主機上創(chuàng)建對象,利用DCOM進行通信。位置透明性使客戶很容易使用DCOM。如果為客戶指定相應的主機(即服務器),客戶就可以創(chuàng)建并使用對象。
3.2 多用戶服務器的負載平衡
在多用戶的情況下,當用戶的數量達到一定程度的時候,多個用戶在主機上創(chuàng)建的對象實例會使服務器的壓力增大,從而造成服務器性能的下降,影響服務質量。當然,可以使用多個服務器來提供服務,人工地平衡多個服務器上的負載,但這將給維護帶來極大的困難。一旦用戶群動態(tài)地變化,服務器的負載平衡將被打破。顯然,這種沒有任何分布式策略的分布式COM(DCOM)是不夠的。雖然DCOM提供了位置透明性,但是沒有提供分布式的策略,分布式策略需要軟件開發(fā)者來提供。因此,提供負載平衡是DCOM組件開發(fā)的一個重要任務。為了平衡多個服務器的負載,建立了如下圖所示的系統結構。
對于模擬計算的COM對象,為了避免多次重復地創(chuàng)建和釋放,本文采用了服務對象。服務對象是已創(chuàng)建的COM對象實例。該系統中還引入了簡單的調度對象。調度對象是一個中間對象,它以STA(單線程Apartment)方式工作。調度對象負責建立服務對象Simulator,維護主機列表COSERVERINFO Server[N]、對象列表ISimulate*pISimulate[N]和對象狀態(tài)列表Int State[N]。主機列表保存主機名字,對象列表存放對象接口指針,狀態(tài)列表是一個對象的狀態(tài)值。對于對象來講,它有三種狀態(tài):(1)未創(chuàng)建或創(chuàng)建失敗;(2)忙;(3)閑。三個列表都以全局變量的形式出現。由于使用了STA,可以不必考慮對象的同步問題。但是,多個同類對象訪問全局變量仍然可能造成對象在線程上的安全問題。因此,本文使用臨界區(qū)(Critical Section)來同步。此外,調度對象是一個可連接對象,它必須與服務對象通信并獲得服務對象的狀態(tài)。
調度對象負責在主機列表指定的主機上創(chuàng)建服務對象,并初始化。所有的客戶在需要服務的時候應向調度對象發(fā)出請求。當有客戶向調度對象請求服務時,調度對象檢索主機列表、對象列表和狀態(tài)列表,在選定主機上查詢并檢查對象的有效性,獲取服務對象接口指針,并返回給客戶,然后客戶與服務對象通信。根據COM的特性,此時客戶和服務對象之間的通信是直接進行的,不經過調度對象。調度對象根據什么原則來獲取某個主機上的對象是一個策略上的問題,實際應用中必須考慮主機的負載平衡。對于復雜的系統,這種策略可能相當的復雜。然而,為了簡單起見,本文采用了以執(zhí)行任務的對象在主機上的數量多少作為平衡負載的標準。在客戶使用完畢對象后,對象激發(fā)一個調度對象事件,調度對象負責將對象狀態(tài)復位。因此,調度對象是一個可連接對象,實現了一個接收器,接收來自服務對象的事件。
此外,調度對象還負責將服務對象卸載。應該看到調度對象的引入增加了網絡通信量,但對于采用分布式策略的系統來說是必要的。實際上調度對象很大程度上起到了目錄服務的作用。如果必要的話,調度對象加上適當的模塊可以作為一個簡單的中間管理模塊,比如控制用戶登錄、限制用戶數量等。
3.3 客戶
客戶控制著虛擬實驗室數據的采集和輸出表現,它將直接面對用戶。對于客戶來講,它只需要在數據處理的時候,在執(zhí)行調度的主機上創(chuàng)建調度對象,本文來自范文中國網fw789.com。調度對象負責返回可用的服務對象。客戶將數據交給服務對象來處理,并取得輸出值。在客戶與服務對象通信的過程中,客戶還必須接收來自服務對象激發(fā)的事件,所以客戶必須內置接收器。
4 結束語
本文使用了調度對象來實現負載的平衡,采用的平衡策略是以運行在主機上的對象數目作為衡量負載的標準,這對于簡單的系統已經足夠了,但對于比較復雜的系統,必須有更復雜的負載平衡策略。
DCOM雖然提供了很多的優(yōu)點,如位置透明性、協議無關性等,然而這是以增加開銷為代價的。與Socket比較,DCOM的開銷要大一些,但是DCOM提供的方便超出了它帶來的額外開銷。
參考文獻:
[1]潘愛民 COM原理與應用[M].北京,清華大學出版社。1999。
關鍵詞:網絡安全;虛擬網絡技術;實踐探析
計算機網絡安全問題肆虐,各種計算機病毒以及木馬程序的橫行,以及黑客肆無忌憚的威脅,為計算機網絡安全造成了嚴重的威脅和不良影響。任由計算機網絡安全問題發(fā)展,將會給社會生活造成巨大的損失。因此,必須采取有效措施解決計算機網絡安全問題。虛擬網絡技術具有先進的技術構成,對計算機網絡問題具有強大的解決能力,能有效保障計算機網絡完全。
1計算機網絡安全面臨的主要問題
1.1計算機病毒。計算機病毒的本質是一種代碼,病毒制造者將該代碼插入到計算機程序中,能對計算機的數據和功能等造成破壞,該種代碼通常可以進行自我復制,以程序代碼較為常見。計算機病毒相對隱蔽,具有極強的破壞性,且潛伏能力較強,極易感染健康的計算機[1]。計算機病毒的傳播,通常是借助于計算機網絡。計算機病毒通常隱蔽在計算機文件以及計算機網站之中,當計算機用戶訪問這些包含病毒的文件和網站時,就會導致病毒對計算機的感染。計算機病毒會對計算機系統以及計算機數據造成巨大的破壞,甚至會導致計算機網絡的整體癱瘓。因此,計算機病毒對計算機網絡安全造成了極大的危害。1.2黑客威脅。通常,將蓄意破壞計算機系統以及計算機網絡的犯罪分子稱之為“黑客”。黑客大多具有非常高的計算機技術水平。黑客通過對計算機技術以及相關工具的利用,在計算機網絡上,尋找存在漏洞的計算機系統,并對該類系統進行入侵,實施對系統中數據的破壞,或者是將系統中的信息盜取,以實現對非法利益的牟取[2]。黑客經常會攻擊各大網站,導致網站對計算機用戶訪問的拒絕,還會利用DDOS攻擊,造成計算機網絡的大面積癱瘓。黑客能利用高超的計算機技術,實現對各類網站訪問權限的獲取,對各類企業(yè)網站、政府網站以及后臺等進行隨意訪問,并在獲取各種數據的同時對系統進行破壞。當前,黑客形成了規(guī)模較大的群體,在世界各地頻繁攻擊各類網站,對計算機網絡安全造成了嚴重的威脅。1.3木馬以及后門程序。計算機系統,以及計算機軟件系統的開發(fā)人員,通常會對開發(fā)的系統預留一定的特權通道,以后門程序實現對該系統的隨意訪問,以達到對系統漏洞的有效修復。此類特權通道,稱之為“后門”。黑客經常利用系統的“后門”程序,實現對計算機系統和軟件系統的入侵,對各類網站的重要系統,諸如數據庫等進行隨意訪問,并將系統中有價值的信息進行盜取或者破壞[3]。有的黑客,會通過“后門”程序,將木馬病毒植入到計算機系統之中。木馬病毒的隱蔽性極強,會在計算機系統后臺中巧妙地隱藏,黑客借助于計算機網絡,實現對木馬的遠程操控,對各類信息進行非法獲取。
2虛擬網絡技術
2.1虛擬網絡技術概述。虛擬網絡技術,是專用網絡技術的一種,可以實現在同一個物理網絡的基礎設施上對多個虛擬網絡的同時運行,而各虛擬網絡之間彼此互不干擾。各虛擬網絡的拓撲結構和路由算法各自獨立,其體系結構可以實現完全獨立。各種網絡技術都可以實現在虛擬網絡中的建立,而不用對物理網絡特性進行考慮。當前的互聯網,主要采用IP技術。所有設備在互聯網上的唯一標識,都是各自的IP地址。雖然各虛擬網絡的運行,都依托在同一物理網絡上,但是彼此之間互不干擾,具有極強的獨立性。每一個虛擬網絡都可以實現對網絡資源的調整,而無需對其他虛擬網絡進行考慮。各虛擬網絡無法實現彼此間的直接通訊,其轉發(fā)借助于路由器。因此,虛擬網絡的控制性非常高,有利于實現網絡完全的有效增強。2.2虛擬網絡技術構成。虛擬網絡技術較為復雜,其技術構成主要有以下幾方面:(1)隧道技術。隧道技術能封裝局域網中的數據包,并將路由信息添加到數據包中,借助互聯網將之傳輸出去。在互聯網中,數據包的傳輸路徑,即是隧道。其網絡連接并不穩(wěn)定,信息的傳輸主要借助于數據包。(2)密鑰管理技術。密鑰管理技術通常與解密技術于緊密相連,嚴格管理密鑰,能實現對加密解密的有效保障。(3)加密解密技術。加密解密技術,能實現對虛擬網絡中數據的安全保障。通常將數據包加密,保障其中數據在傳輸過程中的安全性,并防止惡意攔截導致的數據泄露。加密解密技術,能實現對計算機網絡安全的有效保障。(4)身份認證技術。身份認證技術,使得用戶對虛擬網絡的訪問,必須經過授權。該技術有利于防止黑客對虛擬網絡的隨意訪問。身份認證技術的實現方式,主要是用戶名以及密碼。隨著技術的發(fā)展,各種新技術,諸如指紋識別、視網膜識別等得到了日漸廣泛的應用。
3虛擬網絡技術的實踐探析
當前,虛擬專用網絡是應用最為廣泛的虛擬網絡技術。虛擬專用網絡對通訊的加密,是通過虛擬專用網絡在公用網絡上的建立實現的。虛擬專用網絡技術在企業(yè)中得到了日益廣泛的應用。該技術具有較低的成本和簡單的操作。3.1在企業(yè)員工訪問中的應用。虛擬專用網絡可以對企業(yè)網絡的訪問權限進行有效的控制。虛擬專用網絡在企業(yè)網絡中建立網關和防火墻實現對公用網絡的有效隔離。網關,是虛擬專用網絡的服務器,能實現虛擬專用網絡在公用網絡上的良好架設。企業(yè)員工通過用戶名及密碼獲得對虛擬專用網絡的訪問權限。該技術在企業(yè)員工訪問中的應用,有利于實現遠程辦公、視頻會議等,對于提高企業(yè)員工的辦公效率具有極大幫助。該技術能有效增強企業(yè)網絡安全,有效保護企業(yè)數據資料,防止病毒攻擊和黑客威脅。3.2在機構之間的應用。虛擬網絡技術在機構之間的應用,可以實現機構之間的信息共享。虛擬網絡將各機構包含在同一的虛擬網絡之中,并進行拓撲結構的良好設計,實現各機構之間的信息共享。另外,虛擬網絡通常在公用網絡上建立,能實現對網絡建立成本的大幅度降低。虛擬網絡技術能實現對各機構的遠程覆蓋,將各機構納入統一的邏輯結構中。同時,實現與公用網絡在邏輯上的有效隔絕。這樣,既能實現機構之間的信息共享,又能有效保障數據安全。
4結語
綜上所述,計算機網絡安全面臨著諸多問題,主要有計算機病毒、黑客威脅以及木馬和后門程序,這些問題嚴重威脅了計算機網絡安全。因此,亟須虛擬網絡技術為計算機網絡提供安全保障。虛擬網絡技術主要由隧道技術、身份認證技術、解密技術等構成。虛擬網絡技術在企業(yè)員工訪問以及機構之間得到了廣泛的應用,取得了良好的實踐應用效果。在計算機網絡中,有必要加強虛擬網絡技術的應用,以確保計算機網絡的安全。
作者:應光暉 單位:民航溫州空中交通管理站
參考文獻
[1]鄭振謙,王偉.簡析計算機網絡安全中虛擬網絡技術的作用效果[J].價值工程,2014(35):196-197.
論文關鍵詞 虛擬財產 盜竊罪 刑法規(guī)制
隨著網絡科學技術應用范圍的拓展,網絡游戲已經成為網民生活的重要組成部分,因此產生的虛擬貨幣、虛擬裝備的虛擬財產已經成為網絡生活中的重要工具。然而,隨著網絡游戲的發(fā)展,與之相關的犯罪行為也隨之而來,盜竊網絡虛擬財產已經成為危害網絡游戲產業(yè)機制的重要形態(tài)。根據中國網絡信息中心統計數據,有超過61%的網絡游戲玩家有被盜虛擬財產的經歷,甚至已經形成了制造計算機病毒、傳播病毒、盜竊網絡賬號、構建第三方銷售平臺的完整產業(yè)鏈豍。然而,由于我國當前缺乏對盜竊網絡虛擬財產犯罪的立法,甚至缺乏對網絡虛擬財產界定的明確規(guī)定,這直接導致現實生活中盜竊網絡虛擬財產的行為很少受到法律的追究。隨著我國盜竊罪術標準的額提升,在司法實踐中如何認定網絡虛擬財產犯罪的數額同樣存在爭議,對盜竊網絡虛擬財產的定性同樣存在一定的難度。所以,如何有效厘清刑法對盜竊網絡虛擬財產犯罪的定性和構建科學合理的刑法規(guī)制制度是解決這一問題的關鍵所在。
一、網絡虛擬財產屬性的屬性
網絡虛擬財產法律屬性的界定是研究盜竊財產案件定性的基本前提和關鍵所在。網絡虛擬財產是網絡信息技術應用拓展過程中形成的,存在于網絡游戲中的游戲賬號、游戲裝備、游戲貨幣、聊天工具、電子信箱等被游戲玩家占有、控制和支配的具有一定經濟價值的電子數據。由于當前我國立法并未明確界定這一財產的法律屬性,導致在司法實踐中對其保護面臨尷尬境地。
首先,從網絡虛擬財產法律屬性角度分析,網絡虛擬財產與傳統意義上的物具有根本的不同,是一種虛擬的,但這并不排除其具有一般物的特征和財產屬性。虛擬財產的本質載體主要體現在計算機信息數據,但該數據是客觀存在的,并通過計算機終端進行顯示。游戲參與者通過注冊賬號、游戲充值、購買裝備等方式,實現對該類財產的占有、使用、收益和處分權利,享有對虛擬財產的控制和支配權,可以按照自己的意志對其進行處分,不受第三人的非法干涉。但這種處分權并非無限制,需要依托網絡游戲提供者和運營商所確定游戲的規(guī)則進行,不能通過惡意手段憑空增加或者減少自己的虛擬財產。在滿足運營商通過網絡游戲盈利目的的同時,運營商必須確保游戲者對其虛擬財產的專有權。所以,如果游戲玩家專有的、享有支配權的虛擬財產遭到盜竊,應將其作為盜竊罪的犯罪對象進行保護,以維護游戲者的合法權益;如果盜竊的對象是游戲網絡運營商的數據,并使運營商利益受到侵害,也應該作為盜竊罪的對象進行認定。
其次,從網絡虛擬財產財產屬性角度分析,財產是指具有經濟價值,依一定目的而結合之權利義務之總體豎,具有有用性和可控制性,而網絡虛擬財產顯然具備這些特征。網絡虛擬財產具有使用價值,可以通過運用該類財產,滿足玩家精神上的愉悅和需求,并通過運用該類型財產在游戲中實現升級,得到滿足感。同時,很多虛擬財產具有相當的經濟價值,很多玩家為了獲得裝備、經驗等付出大量的勞動,同時,網絡游戲運行商同樣為此付出相當的勞動,有些游戲用戶是通過直接購買裝備、賬號等方式獲得虛擬財產。所有這些均體現了網絡虛擬財產的有用性,是一種可以實現現實交易的商品。網絡游戲運行商通過控制服務器對相關虛擬財產進行合理化管理,而用戶通過自身賬號和密碼實現對網絡虛擬財產的占有使用和支配權,并可以實現對虛擬裝備、武器、QQ號碼等進行買賣、消費等行為豏。
綜上所述,從虛擬財產屬性角度分析,網絡虛擬財產具有完整法律意義上的財產屬性,理應成為刑事法律制度財產保護的對象。
二、盜竊網絡虛擬財產的定性
根據我國刑法的規(guī)定,盜竊罪是數額犯,數額較大是界定罪與非罪的主要標準。在司法實踐中,認定構成盜竊罪的數額標準時通常是將犯罪嫌疑人竊取或者多次竊取的方式控制財物的最終貨幣形式進行界定。所以,盜竊網絡虛擬財產定性應具體分析:
首先,在認定其是否構成犯罪問題上,根據我國刑法理論構成犯罪需要具備一定的犯罪要件,盜竊罪要求主體達到法定責任年齡,具備刑事責任能力,在主觀上表現為直接故意,客體上要求行為人運用技術手段侵犯網絡虛擬財產的排他性權利,并客觀上秘密竊取較大數額的財產。從這個角度分析,盜竊網絡虛擬財產行為人只要以非法占有為目的,并具備刑事責任能力既符合盜竊罪主體和客觀方面的要求,主要方式是通過計算機技術植入木馬程序獲得網絡游戲用戶的賬號和密碼豐,侵犯網絡游戲用戶的財產性權益。根據上文對網絡虛擬財產屬性的界定,這即符合盜竊罪特征。
其次,網絡虛擬財產并非貨幣,其價值的確定同樣需要通過貨幣形式實現,這也是認定盜竊網絡虛擬財產行為罪與非罪的前提。司法實踐中通過綜合利用多種方式對虛擬財產價值進行評估和確認。這些方法主要包括按照網絡游戲玩家之處的實際費用對其進行評估,這些費用主要包括:上網費用、賬號充值費用。網費用根據各地區(qū)實際情況確定,而充值卡費用則根據網絡運營商銷售充值卡的市場價格和網絡游戲賬戶中記載的具體數額進行確定。豑根據網絡虛擬財產離線交易價格確認,網絡游戲參與者往往會通過線下交易購買游戲裝備、經驗,這直接體現為貨幣。除此之外,還可以根據犯罪嫌疑人銷售網絡虛擬財產所得確定其價值。通過綜合利用這些方法確定犯罪嫌疑人盜竊網絡虛擬財產的罪與非罪。
綜上所述,盜竊網絡虛擬財產的行為如果所涉數額達到盜竊罪犯罪標準,應認定為根據盜竊罪的相關規(guī)定定罪量刑,而如果所涉數額達不到盜竊罪的犯罪標準,則應根據《治安管理處罰法》的相關規(guī)定進行處罰。
三、盜竊網絡虛擬財產的刑法規(guī)制
當前,我國并不存在專門針對盜竊網絡虛擬財產的刑法規(guī)定,這導致在司法實踐中對該類型犯罪進行處罰時面臨同樣行為不同處罰的尷尬局面,這不僅不利益維護刑法的嚴肅性和穩(wěn)定性,也不利于實現法律效果與社會效果的統一。所以,應根據我國立法的不足,積極推動我國立法的完善,推動盜竊網絡虛擬財產行為刑法規(guī)制的完善。
(一)盜竊網絡虛擬財產刑法規(guī)制現狀
當前,我國刑法對網絡虛擬財產是否屬于刑法保護財產范疇并未明確,而在具體處理盜竊網絡虛擬財產行為過程中,由于缺乏專門的法律條文和相關司法解釋,導致司法實踐面臨無法可依的困難,這也是涉及虛擬財產違法行為高發(fā)的原因之一。在司法實踐中,司法機關往往在現有法律環(huán)境下根據不同情況適用法律。但也導致同類案件適用法律不統一,造成規(guī)制亂象。公安機關在接到相關報案后,亦缺乏必要的法律依據和偵查程序拒絕立案;按照侵犯通信自由罪進行處罰或者以破壞計算機信息系統罪定罪處罰。顯然,以缺乏法律依據對此進行排除不利于保護游戲玩家合法權益,不利于網絡信息環(huán)境和秩序的維護。而按照后兩種方式進行處罰也存在一定的弊端。盜竊網絡虛擬財產行為人本身目的就是為了獲得網絡虛擬財產,而并非破壞計算機信息系統或者侵犯他人通信自由,所以,從這個角度分析,應該按照盜竊罪定罪處罰。
根據上文闡述,盜竊網絡虛擬財產數額達到盜竊罪標準時,符合盜竊罪的犯罪構成特征,應該根據盜竊罪予以定性,司法實踐中也存在通過盜竊罪定罪處罰的案例。應積極推動我國刑法關于網絡虛擬財產的相關規(guī)定,將盜竊網絡虛擬財產行為納入盜竊罪規(guī)制范圍予以規(guī)制。
(二)盜竊網絡虛擬財產刑法規(guī)制對策
法律規(guī)制的前提要求法律具有穩(wěn)定性和確定性,針對盜竊網絡虛擬財產行為的日起猖獗,應順應社會發(fā)展和司法實踐的需要,結合我國立法現狀及不足從以下兩個方面推動我國盜竊網絡虛擬財產刑法規(guī)制的完善,以推動我國刑法對網絡虛擬財產犯罪的規(guī)制,維護網絡環(huán)境和秩序。
首先,應明確網絡虛擬財產的法律地位。當前,我國《刑法》第92條規(guī)定的財產范圍包含生產、生活資料、個體私營企業(yè)的合法財產以及證券類財產,并確定了“其他財產”的兜底性條款。網絡虛擬財產作為新興財產形式,將其納入刑法規(guī)制范圍符合刑法立法精神,在盜竊網絡虛擬財產行為高發(fā)的情形下,僅僅依靠其他財產兜底性規(guī)定顯然是不夠的,而且我國也并未對“其他財產”做出司法解釋。所以,結合立法和司法實踐的具體情況,應出臺相關法律解釋,明確網絡虛擬財產的法律地位,對網絡虛擬財產進行明確的界定,賦予其刑法保護的法律地位,在處理相關犯罪過程中,可以直接援引相關立法解釋的規(guī)定進行定罪處罰。
借助日新月異的信息技術,虛擬的計算、存儲資源已經可以和云平臺緊密結合,但硬件網絡與云平臺,以及計算、存儲資源的緊密結合卻不那么容易實現。即使是當下流行的SDN理念,也不能完全讓網絡像PC總線那樣服務于云。華為認為,在云計算數據中心,網絡遲早要完成云網一體化的演進,彈性架構、虛擬化、開放、自動化運維……是實現云網一體化必經的過程。
實現自動化的出路
大規(guī)模云計算數據中心面臨的最大挑戰(zhàn)是如何實現自動化的業(yè)務運營,而目前最大的阻礙則是業(yè)務與硬件網絡的割裂。
“虛擬化廠商可以做到用軟件構建虛擬的交換機、虛擬的路由器和虛擬的防火墻,但從實際效果來看,這種方案存在性能上的不足。在我們與業(yè)界主要的虛擬化平臺合作伙伴交流的時候,他們也都明確表示客戶有這樣的感受。”華為數據中心網絡領域營銷總監(jiān)程劍告訴記者,虛擬化軟件廠商一直在力求實現云系統的自動化運營,但用戶針對業(yè)務需求構建云系統時,最大的阻力來自硬件網絡。
虛擬化技術的廣泛應用,并沒有從本質上改變業(yè)務與硬件網絡的割裂關系。以私有云數據中心為例,在創(chuàng)建一個云業(yè)務集群時,業(yè)務需要的計算、存儲資源,已經可以由虛擬化軟件實現自動調度,但業(yè)務需要的硬件網絡資源,目前還是很難實現統一調度。實際上大部分虛擬化廠商或云平臺廠商都是軟件起家的,他們對網絡設備功能的理解還沒有達到一定的高度。另外,即使能自動創(chuàng)建整套系統,包括虛擬機、軟件網絡、硬件網絡在內,后期的故障定位、統一運維也是比較痛苦的。
在華為看來,云網一體化將是打破僵局的唯一出路,也是云計算網絡發(fā)展的必然趨勢。SDN理念的提出,實際上是邁向云網一體化的開端。
云網一體化新思路
華為數據中心網絡領域營銷部長王飛談到,目前業(yè)界對云網一體化思路的實踐主要有兩個方向:一種思路是靠純軟件實現,通過虛擬機來創(chuàng)建整套虛擬網絡,主要代表廠商是VMware、微軟。其缺陷是,雖然可以完成網絡自動化部署,但整體性能不佳。特別是在面向其他非虛擬化的系統,以及園區(qū)網作網關轉化等需求時,僅依靠軟件還無法實現硬件網絡的能力。
另一種思路是在硬件上做優(yōu)化,如某些網絡廠商提出的SDN思路,在物理網絡之上疊加一個軟件控制器,把硬件網絡的能力抽象出來,以一種業(yè)務可以“看得懂”的方式,將抽象的網絡呈現給上層云平臺。但這種方案也存在靈活調度能力不足的問題,因為相對而言,硬件的可編程能力弱于軟件。
關鍵詞: 計算網絡 虛擬機 教學創(chuàng)新
一、虛擬機軟件在網絡專業(yè)課程教學中的應用
1.構建虛擬網絡試驗環(huán)境,降低網絡搭建成本。 組建局域網是進行網絡實驗的基礎,對于計算機網絡專業(yè)課程,最少需要兩臺計算機進行組網,大型的試驗還會更多。使用真實機搭建網絡實訓環(huán)境,要求實訓室除具備足夠多的計算機以外,同時還需要配備有網絡交換機、路由器和網絡傳輸介質,這種實訓環(huán)境的搭建最接近真實,最為理想,但是組建成本相當高。通過使用VMware虛擬機軟件,只要具備網絡機房,且當前計算機硬件為主流配置(CPU為雙核及以上,內存2GB以上,硬盤空間100G)的均可以構建成本低廉的虛擬網絡實驗環(huán)境,供實訓教學使用。
2.虛擬機運行于宿主機中,對虛擬機的任何操作,均不會影響宿主機系統,實現對實訓室主機操作系統的零損傷。虛擬機軟件為網絡實訓課教學的實施提供了廣泛的應用空間,在虛擬機中可以根據實訓要求組建虛擬網絡試驗環(huán)境。由于虛擬機是運行在計算機上的一個軟件平臺,所有的虛擬計算機運行在此,即使虛擬機操作系統發(fā)生故障,不會影響其之外宿主機操作系統安全。
3.虛擬機與真實機(宿主機)結合,擴大實訓網絡主機數量。當實訓項目要求的網絡主機數量大于實訓室計算機的數量時,可以將真實機與虛擬相結合,實現擴充網絡主機數量。其做法很簡單,只要將虛擬機的虛擬網卡的屬性設置為橋接(Briged)即可。這樣可以實現虛擬機與宿主機通訊,也可以實現虛擬機與網絡中其他虛擬機或宿主機的通訊,以便組建大型的虛擬網絡環(huán)境,達到擴充網絡主機的目的。但要注意,此時需要將實訓室機房與校園網隔離或斷開,以免由于不當的操作會造成校園網出現沖突故障,影響校園網的安全運行。
4.虛擬機、真實機與網絡交換機、路由器設備結合搭建企業(yè)網和園區(qū)網,實現大型的實訓項目。在組建企業(yè)網和園區(qū)網的實驗中,我們將虛擬機、真實機和網絡的交換機、路由器相結合仿真網絡實訓環(huán)境,使得的一些難講的課程、不好實現的實驗都迎刃而解,教學目的性和操作性更強,教學效果顯著。
5.運用虛擬機快照功能,保存系統斷點,必要時可迅速恢復系統狀態(tài)。WMware軟件提供虛擬快照功能,可以幫助用戶記錄虛擬機的系統狀態(tài),當系統配置出現故障或需要重復演示操作時,使用恢復系統快照功能,將虛擬機迅速恢復到初始狀態(tài)。
6.通過復制已建的虛擬主機,無需安裝操作系統,快速建立多臺虛擬主機。為快速建立虛擬網絡實訓環(huán)境,可以將已有的虛擬機文件進行復制,建立多個相同系統的虛擬機,減少安裝虛擬機操作系統所需的時間,提高了課堂效率。
二、虛擬機軟件在教學實踐中的創(chuàng)新
1.運用遠程訪問虛擬主機功能,實現分組教學。VMware Server 1.0.8版本提供了遠程訪問虛擬主機的功能,可用于實現分組實訓教學。在實訓教學過程中,同學們可以通過網絡連接到同一臺服務器的虛擬機,在相同的實驗環(huán)境中,按照角色進行任務分配,共同探討實現步驟、方法,將分組實訓落到實處。
用戶通過網絡遠程訪問虛擬主機
本文意在研究VPN網絡在生活中的應用,以及VPN路由器的服務方式和組網技術,VPN技術的出現和使用,解決了網絡互聯過程中存在的安全問題,尤其是在高校內為實現信息共享,發(fā)揮著重要的作用。
【關鍵詞】VPN 虛擬專網 應用
在信息化時代里,人們的生產生活發(fā)生著翻天覆地的變化。計算機和網絡技術的出現,對于人們的學習、工作、生活起著重要的作用。VPN路由器在構建虛擬專網過程中提高學校內信息系統的覆蓋,完善學校網絡信息系統的安全性能,提高學校校區(qū)與校區(qū)之間的資源共享,可見VPN路由器在構建遠程網絡互聯的過程中發(fā)揮著重要的作用。學校利用VPN路由器的服務方式和組網技術實現了信息的同步和互訪,這種技術的應用是遠程網絡互聯的一次新的突破。
1 VPN路由器概述
1.1 含義
VPN(Virtual Private Network)就是虛擬專用網絡,也可以稱為虛擬私有網絡,VPN的構建原理是在公共網絡環(huán)境中通過一系列的技術,建設一條虛擬的網絡專用通道,這個通道在數據傳輸過程中更安全可靠,可以將不同地區(qū)單位的網絡互聯,降低學校或公司單位網絡成本的投入,解決遠程網絡互聯遇到的安全問題。
1.2 VPN的網絡運行模式
由于設備和協議的不同,VPN路由器現在常用的有兩種網絡運行模式,一種是自建式的VPN,另一種是外包式的VPN。自建式的VPN不需要網絡供應商的幫助,就可以自己建立起專用的虛擬網絡通道,是對單位內部網絡系統的配置和管理,自建式VPN最大的優(yōu)點就是便于控制,而且安全性較高,但在使用過程中,學校或公司單位必須具備對虛擬網絡的設置和維護的能力。外包式的VPN是通過網絡供應商提供的設備,采用MPL技術建立自己的虛擬網絡專用通道。
2 VPN路由器在構建遠程網絡互聯的優(yōu)點
2.1 提高了網絡互聯的安全
VPN網絡技術是在公共網絡的基礎建立起來的虛擬專業(yè)網絡通道,在繼承了傳統網絡安全的基礎上,通過數據加密技術的處理,提升了網絡互聯過程中的安全性。
2.2 投入較少,便于管理
VPN網絡技術是以中央網站為控制中心,用戶不需要在硬件上和系統軟件上進行投入,可以繼續(xù)使用自己的網絡設備。同時,也大幅的減少了在安裝虛擬網絡遠程配置時的開銷。
2.3 實現虛擬專網的資源共享
虛擬專用網絡本身就要比公共網絡安全性高,加上虛擬專網有專業(yè)技術的支持,可以很好的實現公司與公司之間、學校與校區(qū)之間資源的共享,這大大降低了資源開發(fā)過程中人力物力的浪費,可以讓人們投入到其他的研究活動中,這也是建立虛擬專網的一個重要目的。
3 VPN網絡技術的運作流程
VPN網絡技術主要由以下幾個技術組合應用而成,包括封裝加密、認證、接入控制、數據安全維護,根據公共網絡的特點和現狀,就VPN虛擬網絡存在的問題進行研究,通過比較分析建立VPN虛擬網絡合理的技術組合方式。
3.1 封裝機制
封裝機制在計算機領域又被稱為隧道技術,是將原來的IP網絡運用新的封裝技術重新封裝,通過重新建立的封裝機制實現資源的傳送。在整個傳送過程中,公共網絡無法看到傳送內容,這就很好的保護了用戶的信息安全,封裝機制就像是一條網絡上的秘密隧道,能夠實現公司與公司之間、學校與校區(qū)之間的安全互聯。
3.2 認證方法
如果想要在兩個網絡系統之間建立起一條虛擬網絡隧道,首先要做的就是確認對方的身份,在這個過程中,認證就起到了兩個作用,一個是能夠確認兩個網絡系統的身份,保證網絡安全;另一個是在確認好兩個系統身份后,確認連入系統用戶的身份。
3.3 接入控制
從封裝機制的封裝特點,能夠看得出來,為了實現兩個系統網絡之間方便聯系,所有使用虛擬專用網絡的用戶都要使用VPN提供的使用權限,這是為了將用戶分組控制,目的是為了實現VPN虛擬專網在使用過程中的安全控制。用戶使用VPN路由器,網絡系統就可以對用戶實現精細化的管理,實現對資源訪問過程中的控制,使共享資源能夠能到統一的控制和管理。
3.4 數據安全維護
數據安全維護包括對數據進行加密處理,這樣保證了數據資源的完整性和不容易被篡改。VPN虛擬專網可以為數據提供多種加密處理,而且還可以對數據資源的完整性進行檢測。在數劇安全維護上,通過多層處理的方式,對不同層級的用戶配置不同的安全策略。網絡管理者把用戶分為不同的加密等級,普通等級的用戶采用散列函數和低位的加密策略,高等級的用戶采用散列函數和高位的加密策略,從根本上保證了數據資源的安全性和完整性。
4 VPN網絡病毒的防護
網絡病毒是網絡系統的最大破壞者,對于網絡病毒的防治已經成為網絡防治中心一個重要的問題。虛擬專網病毒防護,就是運用防御技術阻止網絡病毒對計算機網絡的破壞。一般情況下,對于計算機病毒的防治是將計算機病毒分類處理,確切的說是根據計算機病毒不同的傳播規(guī)則,有針對性的防治。VPN虛擬專網雖然安全性較好,但是在網絡病毒的防治過程中也要引起重視。
5 結論
VPN作為一種新的網絡數據資源安全通道,在構建虛擬專網過程中,網絡構建方式簡單、投資成本低,數據安全性能高,VPN虛擬專網在未來將是互聯網運用的發(fā)展方向,尤其是高等學校和大型公司作為網絡的主要使用者,為了加強自身網絡的應用,建立自己的VPN虛擬專網已經是非常必要的。
參考文獻
[1]孫丹東.基于SSLVPN的遠程網絡互聯實驗室的應用研究[J].無線互聯科技,2011,12(09):1055-1056.
[2]王小林,程備軍.虛擬專用網絡(VPN)的應用[J].安徽工業(yè)大學學報(自然科學版),2012,01(03):1079-1080.
[3]陳恒法,曾碧卿.虛擬專網(VPN)技術在校區(qū)網絡互聯中的應用[J].科技咨詢導報,2013,02(04):1038-1039.
[4]陳恒法,曾碧卿.VPN技術在校區(qū)網絡互聯中的應用[J].科技資訊,2011,03(06):1023-1024.
關鍵詞: NFV;管理和編排(MANO);Hypervisor
1 NFV架構和應用場景
1.1 NFV架構
網絡功能虛擬化(NFV)的基礎架構由歐洲電信標準化協會(ETSI) NFV行業(yè)規(guī)范組織(ISG)設計完成,NFV邏輯架構如圖1所示。
NFV邏輯架構主要分為4個部分:NFV的管理和編排(MANO)系統用于整體編排和控制管理;NFV基礎設施(NFVI)提供網元部署所依賴的基礎設施環(huán)境;虛擬網絡功能(VNF)這一層包括虛擬網元自身以及負責管理VNF的網元管理系統(EMS);運營支持系統/業(yè)務支持系統(OSS/BSS)是運營支撐系統。
1.2 NFV應用場景
NFV的應用范圍非常廣泛,從網絡邊緣到網絡核心,從固定網絡到移動網絡,所有網絡功能的實現都有可能重新設計或改造。以下介紹幾種NFV應用的典型場景[1]。
(1)固定接入網。
虛擬客戶終端設備(vCPE)和虛擬寬帶遠程接入服務器(vBRAS)是NFV部署的典型案例之一。vCPE將復雜的網絡功能及新增業(yè)務以虛擬化方式部署在網絡側而非用戶側,同時為運營商未來新增業(yè)務乃至第三方業(yè)務提供開放平臺。vCPE的部署使得傳統固定接入網絡變得更加靈活,用戶可以根據需求定制自己的網絡。從目前的產業(yè)發(fā)展現狀來看,固定接入網絡的NFV化已經成為業(yè)界的共識,但目前技術方案尚未完全成熟,各類VNF的功能仍有待完善。
(2)移動核心網。
核心網虛擬化一直是NFV應用的重點領域。目前,全球運營商在該領域概念驗證(POC)、試點乃至部署案例眾多,比如:日本DoCoMo公司嘗試自主集成構建物聯網解決訪問虛擬演進的數據核心網(vEPC)。同時,中國移動也以虛擬IP多媒體子系統(vIMS)和基于IMS的語音業(yè)務(VoLTE)為切入點,進行了深入的NFV試點。
(3)移動接入網。
移動接入網的分布式特征所帶來的高成本、高管理復雜度的挑戰(zhàn)使得NFV成為其未來發(fā)展的重要解決方案。新一代基站布建架構――云化無線接入網(C-RAN)就是一種典型應用場景。C-RAN通過將基帶處理器從站點移開,并置于核心更深處,可有效降低設備成本,改善協作,增加網絡容量。同時,在無線接入網絡方面,基于虛擬技術的無線控制器(AC)虛擬化和池化技術也逐漸引起廣泛關注。AC虛擬池的實現可以有效降低AC設備成本,增強設備的可靠性,提高AC設備利用率,簡化運營商運維管理AC設備的復雜度。
(4)數據中心應用。
虛擬防火墻(vFW)、虛擬負載均衡器(vLB)和虛擬安全套接層(vSSL)/Internet協議安全性(IPSEC)網關(GW)當前在數據中心也得到了大量應用。得益于NFV帶來的靈活性特點,上述虛擬化網元可以靈活擴容和縮容。其次,基于SDN的業(yè)務鏈功能,能夠實現非常靈活的增值業(yè)務編排,真正實現用戶按需定制。
2 NFV關鍵技術及其解決方案
2.1 硬件及硬件管理技術
2.1.1 硬件概述
硬件作為NFV最底層的基礎設施,涉及的硬件包括3類:計算類、存儲類和網絡類。
(1)計算。
計算類硬件采用商用通用服務器(COTS),目前業(yè)界主流的指令集為X86,服務器為雙中央處理器(CPU)的2路服務器。主流服務器形態(tài)包括5種:刀片式、機架式、多節(jié)點(也稱為高密度服務器)、整機柜、機柜級架構(RSA)。
?刀片式服務器是一種刀框集成多個卡式服務器單元(形態(tài)像刀片)的服務器,刀框內同時集成背板、交換背板、管理單板、電源和風扇等部件。其集成度較高,可以節(jié)省大量機柜空間。
?機架式服務器是一種集成CPU、內存、主板、網卡、硬盤、電源和風扇的服務器。一個機架式服務器為一個計算單元。
?多節(jié)點服務器是一種在特定空間的框內,集成電源、風扇和多個服務器單元的服務器,多個服務器單元共享電源和風扇。
?整機柜服務器是一種標準化的服務器,整機柜內集成電源模塊、風扇模塊、交換模塊、管理模塊、服務器模塊。
?RSA是Intel提出的一種未來服務器形態(tài),是芯片資源池化,通過資源池虛擬出需要的服務器的技術。
(2)存儲。
當前NFV業(yè)界主流存儲技術采用IP存儲區(qū)域網絡(IP-SAN)和分布式存儲,相應的存儲介質為磁陣和存儲型服務器。
磁陣是一種可靠性達5個9、性能高的成熟存儲硬件。存儲型服務器是一種配置硬盤多,滿足大容量存儲需求的服務器。不同存儲介質需要結合相應的存儲技術,以發(fā)揮最大的技術優(yōu)勢。
(3)網絡。
網絡類硬件主要采用交換機。為滿足站點組網的要求,實現設備間互通,采用接入交換機和核心交換機實現站點組網。接入交換機一般采用1U的盒式交換機,主要實現二層互通,核心交換機采用模塊交換機,主要實現三層互通。
2.1.2 硬件資源池共享
NFV業(yè)務種類繁多,主要集中在無線接入、固網接入、核心網和部分業(yè)務平臺等。硬件資源池的共享是實現資源共享的第一步,網元部署地理位置和業(yè)務特性,決定了硬件資源有無共享的必要,硬件配置則決定硬件資源池有無共享的可行性。因此,在相同地理位置,網元業(yè)務特性相同的網元,應保證其硬件配置的一致,同一個硬件資源池中應盡量減少硬件配置的種類。
2.1.3 硬件管理
硬件管理是NFV網絡部署、運營、保證業(yè)務質量必不可少的部分。然而當前硬件管理范方面并不是十分標準。
服務器一般采用簡單網絡管理協議(SNMP)和智能平臺管理接口(IPMI)實現管理,不同廠商SNMP和IPMI存在差異。磁陣一般采用SNMP和存儲管理接口標準(SMI-S)實現管理,SNMP方面不同廠商存在較大差異,SMI-S為全球存儲網絡工業(yè)協會(SINA)組織主導的國際標準,是統一的標準;然而SMI-S,在故障告警方面沒有涉及。交換機可采用SNMP實現管理,不同廠商在實現方面存在較大差異。
目前臺式系統管理任務組(DMTF)正在制訂服務器、磁陣和交換機的相關技術標準,即Redfish和Swordfish。主流服務器、磁陣廠商均在推動該標準的成熟。Redfish和Swordfish均基于Restful 應用程序編程接口(API)實現,接口符合未來發(fā)展的趨勢。Redfish和Swordfish在故障管理方面暫未成熟,DMTF正在大力推動其完善
2.2 虛擬層技術
虛擬層是基礎架構層NFVI的重要組成部分,包含Hypervisor和虛擬化基礎設置管理(VIM)。虛擬層將物理計算、存儲、網絡資源通過虛擬化技術轉換為虛擬的計算、存儲、網絡資源池,提供給虛擬機使用,同時,提供虛擬資源的管理和運維[2]。
2.2.1 VIM
虛擬化基礎設施管理平臺,負責對虛擬化資源進行統一的管理、監(jiān)測控制、優(yōu)化,對虛擬機進行生命周期管理等。
目前,主流VIM平臺基于OpenStack社區(qū)進行開發(fā),包括身份認證及授權、虛擬機鏡像管理、計算資源管理、存儲資源管理、網絡資源管理、虛擬機生命周期管理等能力。同時,VIM平臺整合了NFVI的運維和管理能力,包括虛擬化層的關鍵績效指標(KPI)監(jiān)測控制,故障告警收集及上報等。
2.2.2 虛擬化軟件Hypervisor
Hypervisor將通用物理服務器與上層軟件應用分開,使得具有不同操作系統的多個虛擬機可以在同一個物理服務器上運行,最大化地利用硬件資源,即一個物理服務器的硬件資源可以被多個虛擬機共享。Hypervisor把硬件相關的CPU、內存、硬盤、網絡資源全面虛擬化,并提供給上層VNF使用,具備計算虛擬化、存儲虛擬化和網絡虛擬化能力。Hypervisor可以與VIM系統交互實現對虛擬機的創(chuàng)建、刪除等操作以及故障管理、性能管理等功能。
(1)計算虛擬化。
實現對服務器物理資源的抽象,將CPU、內存、輸入/輸出(I/O)等服務器物理資源轉化為一組可統一管理、調度和分配的邏輯資源,并基于這些邏輯資源在單個物理服務器上構建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境,實現更高的資源利用率,同時滿足應用更加靈活的資源動態(tài)分配需求。
為實現5個9的高可用性,NFV對計算虛擬化提出了新的技術要求,包括CPU核綁定、大頁內存、非均勻存儲器存取(NUMA)、親和性/反親和性部署等能力,同時需禁止CPU、內存的超分配。
(2)存儲虛擬化。
將存儲設備進行抽象,以邏輯資源的方式呈現,統一提供全面的存儲服務。可以在不同的存儲形態(tài),設備類型之間提供統一的功能。
(3)網絡虛擬化。
在服務器的CPU中實現完整的虛擬交換的功能,虛擬機的虛擬網卡對應虛擬交換的一個虛擬端口,服務器的物理網卡作為虛擬交換的上行端口。
目前,業(yè)界主流的網絡虛擬化技術包括虛擬交換機及單根I/O設備虛擬化技術(SR-IOV)。虛擬交換機(OVS)是在開源的Apache2.0許可下的產品級質量的虛擬交換標準,通過虛擬化軟件提供的部署在主機上的虛擬交換功能,主機節(jié)點的物理接口及虛擬機的虛擬網卡(vNIC)分別與虛擬交換機連接,通過虛擬交換機實現與外部網絡的數據傳輸。SR-IOV基于虛擬功能的虛擬機直通,虛擬機直接使用物理網卡資源進行網絡通信,減少傳統的虛擬交換帶來的CPU消耗,提升性能,減少時延。
2.3 管理編排技術
2.3.1 管理編排
NFV MANO的架構由NFV編排器(NFVO)、VNF管理器(VNFM)、VIM組成,完成對于NFV系統內虛擬資源、虛擬網元和網絡服務的管理。MANO系統架構圖2所示。
NFVO實現網絡服務和網元管理及處理,提供網絡服務生命周期的管理。VNFM實現虛擬化網元VNF的生命周期管理,包括VNF實例的初始化、VNF的擴容/縮容、VNF實例的終止。VIM是虛擬化基礎設施管理系統,主要負責虛擬基礎設施的管理,監(jiān)測控制和故障上報,面向上層VNFM和NFVO提供虛擬化資源池。VIM提供虛擬機鏡像管理功能。
2.3.2 管理編排產業(yè)發(fā)展
MANO由ETSI NFV ISG首先提出,并于2014年底MANO階段1規(guī)范,明確了MANO系統架構、功能實體、接口和參考流程,為業(yè)界NFV管理系統的設計提供了參考。
目前NFV MANO相關標準化工作尚未完成接口和模版的數據模型定義,尚無法指導各廠家設備基于統一格式開發(fā)并實現互通;與此同時,很多開源社區(qū)提供了開源版本的MANO或MANO部分組件,形成了對標準的重要補充。
在NFVO層面,目前最重要的開源組織是剛剛宣布成立的開放網絡自動化平臺(ONAP)組織,ONAP由中國移動主導的OPEN-O和AT&T主導的ECOMP合并成立。在VIM層面, OpenStack已經成為VIM的事實標準,多數廠家VIM基于OpenStack實現,并支持OpenStack API,供VNFM和NFVO調用。
2.3.3 NFV后的網絡管理
MANO的引入,實現了網絡的靈活管理和動態(tài)調整,同時也為運營商運維帶來了全新的挑戰(zhàn)。
首先,MANO引入了NFVO、VNFM、VIM等一系列新的管理實體,將原有煙囪式的一體化運維分拆成了資源和應用兩個層面,對現有OSS網管管理架構和流程均造成較大影響,需著重考慮MANO與OSS的協作關系。
其次,NFV引入了NFVI、VNF、網絡服務(NS)等一系列新的管理對象,對現有OSS管理的資源管理模型、配置模型、性能模型、故障模型和多層故障關聯等均造成較大改變。
再次,NFV MANO向運營商提供了更為智能化的網絡管理手段,有望使網絡運維由傳統的故障驅動型運維轉向依靠預定義的策略和模版,依靠大數據和機器學習,實現網絡的自動調整和治愈。這對未來網管及網絡運維人員的技能均提出了極大的挑戰(zhàn)。
基于以上挑戰(zhàn),未來網管的一種形態(tài)將發(fā)生大的變化,在管理模式上分為設計態(tài)和運行態(tài)。設計態(tài)采用形式化語言提供系統運行的策略和編排的模版,供機器執(zhí)行,實現網絡的自動調整和治愈;運行態(tài)監(jiān)測控制資源和應用,對其進行實時的調度和治愈。
2.4 可靠性技術
引入虛擬化技術后,如何保證虛擬網元依然能夠表現出與傳統物理設備相當的可靠性成為人們關心的主要問題。虛擬軟件和云管理技術可靠性要求較低。如何基于相對不可靠的虛擬化和云技術提供高可靠的電信業(yè)務呢?
NFV的可靠性可以自底向上,分別從硬件、虛擬云平臺、虛擬網元3個層次實現。
(1)硬件可靠性。
硬件層面的可靠性即包括NFV所在的硬件節(jié)點的可靠性,也包括物理網絡、存儲的可靠性。通過多年信息技術(IT)和通信技術(CT)的積累,這些設備的可靠性已經有了較為完備的部署方案,基本可以滿足NFV的需求。
(2)虛擬云平臺可靠性。
虛擬云平臺的可靠性包括云管理平臺的可靠性和虛擬管理平臺(Hypervisor)的可靠性。目前OpenStack已被普遍認可作為云管理平臺。在IT和CT關于OpenStack可靠性的需求中,流傳著一個“牲口還是寵物”的玩笑。IT領域認為虛擬資源就是“牲口”,需要成群的管理,卻不需要對每一個都格外關注,當某一個虛擬資源出現故障后,我們只需要為用戶重新啟動一個虛擬資源補充這個空白即可。然而,在CT領域,由于其虛擬資源上運行的是電信網元,每一個故障都可能е碌縲乓滴竦拇砦竽酥撂被荊因此CT運營商必須把這些虛擬資源看成是“寵物”,即對每一個虛擬資源都要格外關注,一旦出現故障,就要及時發(fā)現并恢復,以保障其上業(yè)務的正常運行。
Hypervisor的可靠性問題目前業(yè)界未能達成一致意見。雖然存在一些私有的Hypervisor的可靠性解決方案,然而廣泛采用的開源的Hypervisor并沒有可靠性保障,而主要是依靠云管理節(jié)點發(fā)現故障并進行修復。這就導致Hypervisor的可靠性機制完全依賴于云管理平臺及其二者之間網絡的可靠性。同時,云管理節(jié)點目前發(fā)現故障及修復的接口尚未完善,因此在Hypervisor發(fā)現故障和修復方面存在較大問題。
(3)虛擬網元可靠性。
傳統的電信網元軟件一般都有較為完善的可靠性機制。當引入虛擬化技術后,由于引入了虛擬層,電信網元軟件無法直接讀取到網元硬件的信息,而只能看到其依賴的虛擬層信息。因此,引入虛擬化后,電信網元的可靠性方案也要因此進行相應的修改和優(yōu)化,以滿足電信網絡的快速故障發(fā)現和恢復要求。目前,大部分虛擬網元在交付同時都能提供可靠性方案。然而各種可靠性方案存在差別,且對硬件和云平臺的要求各異。
2.5 數據面加速技術
傳統的IT通用服務器采用的多核處理器的包處理性能無法滿足通信網絡數據面網元的高性能要求,因此出現了多種數據面加速技術。傳統支撐包處理的主流硬件平臺大致可分為3個方向:硬件加速器、網絡處理器、多核處理器。
2.5.1 硬件加速器
硬件加速器由于本身規(guī)模化的固化功能具有高性能、低成本的特點。專用集成電路(ASIC)和現場可編程門陣列(FPGA)是其中最廣為采用的器件。
ASIC是一種應特定用戶要求和特定電子系統的需要而設計、制造的集成電路。ASIC的優(yōu)點是面向特定用戶的需求,在批量生產時與通用集成電路相比體積更小,功耗更低,可靠性提高,性能提高,保密性增強,成本降低等;但是ASIC的靈活性和擴展性不夠,開發(fā)費用高,開發(fā)周期長。
FPGA作為ASIC領域中的一種半定制電路而出現,與ASIC的區(qū)別是用戶不需要介入芯片的布局布線和工藝問題,而且可以隨時間改變其邏輯功能,使用靈活。FPGA以并行運算為主,其開發(fā)相對于傳統PC、單片機的開發(fā)有很大不同,以硬件描述語言來實現。相比于PC或單片機的順序操作有很大區(qū)別。
2.5.2 網絡處理器
網絡處理器(NPU)是專門為處理數據包而設計的可編程通用處理器,采用多內核并行處理結構,提供了包處理邏輯軟件可編程的能力,在獲得靈活性的同時兼顧了高性能的硬件包處理。其常被應用于通信領域的各種任務,比如包處理、協議分析、路由查找、聲音/數據的匯聚、防火墻、服務質量(QoS)等。其通用性表現在執(zhí)行邏輯由運行時加載的軟件決定,用戶使用專用指令集即微碼進行開發(fā)。其硬件體系結構大多采用高速的接口技術和總線規(guī)范,具有較高的I/O能力,使得包處理能力得到很大提升。
NPU擁有高性能和高可編程性等諸多優(yōu)點,但其成本和特定領域的特性限制了它的市場規(guī)模。
2.5.3 多核處理器
多核處理器在更為復雜的高層包處理上具有優(yōu)勢,隨著包處理開源生態(tài)系統逐漸豐富,為軟件定義的包處理提供了快速迭代的平臺。現代CPU性能的擴展主要通過多核的方式進行演進。這樣利用通用處理器同樣可以在一定程度上并行地處理網絡負載。由于多核處理器在邏輯負載復雜的協議及應用層面上的處理優(yōu)勢,以及越來越強勁的數據面的支持能力,它在多種業(yè)務領域得到廣泛的采用。再加上多年來圍繞CPU已經建立起的大量成熟軟件生態(tài),多核處理器發(fā)展的活力和熱度也是其他形態(tài)很難比擬的。
當前的多核處理器也正在走向片上系統(SoC)化,針對網絡的SoC往往集成內存控制器、網絡控制器,甚至是一些硬件加速處理引擎。
多核處理器集成多個CPU核以及眾多加速單元和網絡接口,組成了一個SoC。在這些SoC上,對于可固化的處理交由加速單元完成,而對于靈活的業(yè)務邏輯則由眾多的通用處理器完成,這種方式有效地融合了軟硬件各自的優(yōu)勢。
2.5.4 VNF加速
對于性能要求一般的控制面/數據面網元,可以直接部署在通用多核處理器服務器上執(zhí)行。
對于性能要求嚴苛的數據面網元,可以考慮采用輔助硬件加速器的方式。取決于業(yè)務功能的定制化和靈活性考慮,綜合成本因素,選擇ASIC或者FPGA加速器。
3 結束語
NFV作為運營商網絡轉型的核心技術架構,是虛擬化和云計算等IT技術在電信領域的一次大規(guī)模應用。目前以ETSI NFV架構為技術架構,運營商和業(yè)界廠商大力推動NFV的分層解耦和資源池化,并且在固定接入W、移動接入網、移動核心網、數據中心等場景下開展試驗驗證和商用嘗試。
雖然ETSI在NFV架構上已經定型,但在具體模塊、接口、流程等實現上還不完善,目前業(yè)界的開源社區(qū)、標準組織和廠家乃至運營商都在積極推動相關技術的進步和成熟。文章中,我們詳細分析了采用NFV分層解耦后之后,需要關注的關鍵技術。首先需要通過虛擬化技術在硬件資源池之上形成虛擬資源池,并且考慮硬件共享和硬件管理、虛擬資源管理的問題,完成虛擬資源生命周期管理;其次,通過管理和編排系統對各類資源形成視圖,完成虛擬網元的生命周期管理和網絡服務的管理,并且解決各層故障上報和故障關聯的問題,同時還要處理好NFV管理編排和OSS的關系,形成新的網管體系。電信業(yè)務有著高可靠性和實時性等要求,因此僅僅實現NFV分層解耦無法滿足這類特殊要求。要實現電信業(yè)務的5個9可靠性要求,需要從下向上在每個層面都提供可靠性保障,并且各層面能夠進行聯動,提供系統級別的可靠性;要實現電信業(yè)務實時性的要求,數據面網元功能需從硬件實現到系統設計都進行針對性的加速。
以NFV為基礎的運營商網絡轉型大幕已經開啟,隨著技術的成熟,未來將很快看到NFV架構的電信網絡,以NFV為出發(fā)點CT和IT將走向深度融合。
參考文獻
虛擬網絡技術其本身作為一種主流網絡技術,對網絡的劃分恰恰突破了網絡搭建過程中的物理位置約束,大大的增強了網絡信息的有效性。所以將虛擬網絡技術應用到計算機網絡安全管理工作中,對提升計算機網絡安全性有著十分顯著的作用。尤其是面對現如今不少計算機用戶在網絡安全的管理上不具備針對性經驗,使用虛擬網絡技術保護計算機網絡安全就顯得十分必要。所以如何做好虛擬網絡技術在計算機網絡安全中的應用則成為當前的熱點話題,也是以下筆者闡述的重點。
1虛擬網絡技術
虛擬網絡技術又被稱之為VPN技術,是目前最受歡迎的一種技術。結合目前虛擬網絡技術的應用形式我們可以清楚的看到,其在數據信息中的傳輸主要借助于公共網絡服務中的ATM以及因特網等局域性邏輯網絡,一方面確保了數據信息的傳輸安全,另一方面也顯著的表現出了計算機網絡特點。虛擬網絡技術包含了隧道技術、身份認證技術、加密技術等多種技術手段。其中隧道技術可以二次加密傳輸數據包,從而大大提升數據包的傳輸安全;身份認證技術能夠對訪問者的身份進行識別,從而保證了擁有訪問權限的訪問者合法權利不受到侵害;加密技術主要以密碼學作為依托,借助于相關技術手段對需要傳輸的數據信息實施加密處理,從而使數據信息轉換成為不可讀代碼,直到客戶接收后利用自己手中的密鑰,對數據包進行解鎖,這個過程大大的提高了數據信息傳輸的安全性。從上述虛擬網絡技術的概念,我們可以看到安全性較高,靈活性與可靠性較強,管理能力較好都是虛擬網絡技術所具備的主要特點。這是因為應用虛擬網絡技術能夠對重要數據進行加密,從而保證了公共網絡數據平臺上數據信息傳輸的安全性。同時還能夠在虛擬網絡技術的使用過程中根據實際需求隨時添加全新的節(jié)點,使其能夠接洽于更多的傳輸媒介,滿足數據信息傳輸的多元化需求,保證數據信息傳輸的有序進行,使計算機網絡安全管理能力得到有效提升。
2虛擬網絡技術在計算機網絡安全中的應用
2.1MPLSVPN技術在計算機網絡安全中的應用
MPLSVPN技術說的就是MPLS技術的實際應用,實質上就是在運營商寬帶IP網絡中為企業(yè)搭建了一個專用IP網絡,從而使企業(yè)的數據信息在跨地域傳輸過程中更加的安全,并且該項技術與差異化服務、流量工程相結合,即實現了公共網絡與專用網絡的有效結合,也同時能夠為網絡用戶提供更加高效、更加高質量的服務。安全、穩(wěn)定、靈活可以說都是MPLSVPN技術的優(yōu)點所在,其中安全又是該項技術最為突出的一個優(yōu)點,這是因為MPLSVPN技術能夠提供等同于專線級別的安全防護,在PE設備上使用該項技術,即能夠將語音、視頻等業(yè)務有效的區(qū)分開,還能夠實現不同業(yè)務之間的安全隔離,避免出現數據信息泄露的問題。通常情況下在計算機網絡安全中使用MPLSVPN技術需要完成構建分層服務提供商,在PE路由器實現VPN信息這兩個步驟。構建MPLS虛擬網絡技術受限,需要將其技術引入,通過CR-LDP實現對計算機網絡PE路由器中間分層服務商的建立,實現分層服務也就是LSP。之后還要充分利用PEI設備的關鍵性作用,對數據進行及時的標記,并且要利用PE路由器加強對CE設備的連接水平,確保計算機網絡安全不會受到不法分子的威脅。而在這個環(huán)節(jié)中虛擬網絡技術實際上是對虛擬網絡數據傳遞形式進行了統一管理,從而為虛擬網絡技術的實現奠定了良好基礎。也就是說在創(chuàng)建出了一個虛擬網絡技術轉發(fā)表數據在PEZ路由器之上,為CE設備的連接奠定良好的基礎,并且按照該數據的順序,順次安放在CE各個設備之上,最后在LDP協議的幫助下虛擬網絡技術連接標準通過PEZ傳輸到網絡拓撲結構之中,構建出適合的VPN發(fā)表子集,最終完成虛擬網絡數據的傳輸。
2.2IPSecVPN技術在計算機網絡安全中的應用
所謂的IPSecVPN技術是指結束IPSec協議后實現的遠程接入VPN技術,借助這一技術能夠構建出一個安全高效的計算機IP地址,并且在虛擬網絡的數據信息傳遞過程中確保不會受到外界攻擊的威脅。這項技術在計算機網絡安全中的應用首先在PC端連接過程中得以表現,也就是說可以不通過網絡連接就能夠加強計算機網絡的安全。同時在企業(yè)內部信息的交流上,數據的傳遞上利用隧道虛擬技術能夠實現部門間在公共網絡上的交流,并且也能夠保護個人電腦端與網絡之間的通信。因為ESP、端到端與PC到網絡這三種協議構成了IPSec框架體系,其中ESP協議本身具有較強的抗干擾能力,能夠在統一的時代提供完整的數據信息;端到端協議則具有兩個網絡端點,IPSec協議數據通信保護,保護方式同ESP協議的差異較大;PC到網關協議保護兩個PC端的通信從網關至其它PC端間的信息傳輸。
3結束語
綜上所述本文筆者就計算機網絡安全中虛擬網絡技術的應用展開粗淺的探討,也是希望通過本文筆者的粗淺闡述能夠為虛擬網絡技術的應用提供一些新思路,能夠讓更多的人們認識到虛擬網絡技術的重要性,從而加強對虛擬網絡技術的研究與探討,進而更好的保證計算機網絡安全的良好發(fā)展。
關鍵詞:開放數字化;系統結構;虛擬化技術;優(yōu)勢分析
中圖分類號:TN79 文獻標識碼:A 文章編號:1674-7712 (2012) 10-0039-01
開放式數字化校園中,開放與數字化是兩個不同的目標與任務,要實現這兩個目標就需要借助網絡技術,構建一個虛擬化的校園,一方面實現資源共享,一方面實現數字化信息傳遞,而借助虛擬化技術可以將二者更好的統一到一個應用平臺中,并以此實現校園的數字化。
一、開放數字學校的概念與基本結構
(一)開放式數字校園的概念
開放式數字化校園實際上就是一種將教學過程開放化,將教與學、管理與應用數字化的校園管理模式,其核心的思想就是將校園網絡與社會網絡相結合,將學校與家庭、學校與社會的信息連接起來,形成一套集合音頻視頻、信息等系統的綜合性數字化網絡系統,以此為基礎實現教學、研究、管理、辦公為一體的自動化網絡系統,以此形成一個雙向互動的教學辦公網絡。滿足學生和教師等對校園信息的多方需求,并在網絡上實現互動,體現了教學資源共享的基本思路。
(二)開放式數字校園的基本構成
為了更好的實現校園的教與學、管理與應用的數字化,校園數字化系統必須具備以下幾個部分:基礎設施:即校園的數據網絡系統,也還該了電視與衛(wèi)星網絡,這些網絡中所需要的硬件設施,如線路、網絡設備、服務器等都是系統的一部分,同時計算機和儲存設備等也是其不可缺少的數字化基礎。網絡服務:網絡服務主要是為數據的互聯提供基本的技術支持,包括最為常見的Internet網服務和實現局域網絡功能的基礎服務。通過服務服務系統可以有效的對校園網絡資源進行配置與協調,從而實現資源有效利用。應用平臺和數據庫:應用平臺和數據庫為網絡提供的是數據管理與資源,即應用平臺提供部門設置、管理權限等系統管理功能,使得互動有一定的安全保障,是系統運行的基礎。而數據庫則是為整網絡提供數字化資源,如教學資源、信息資源等等。系統軟件:是數字化功能實現的必要基礎,軟件可以實現功能的豐富,如音頻視頻播放、課件播放等都離不開軟件系統。
二、開放式數字化校園實現的虛擬化技術方案
開放式數字化校園所要大的目標就是讓資源網絡化,即利用先進的網絡技術將教與學拓展到課外、校外,實現教學的網絡化、管理的智能化,在這樣的需求下,構建網絡的技術方案就成為了影響數字化校園建設的重要基礎,在實際的建設中,需要借助虛擬化技術來實現對校園數字化的升級與完善,這樣才能建立一個高效的數字化校園。目前要實現校園數字化必須對服務器和存儲資源進行虛擬化的整合,也就是提高數據處理與應用平臺的服務能力,做到系的平滑與無縫升級,從而使之上升到可以為數字化校園服務的水平。具體的實施方案如下:
(一)應用平臺虛擬化
借助于硬件改進,利用高性能的網絡服務器作為系統核心,并借助于軟件系統對其進行升級,虛擬機文件則集中保存在存儲陣列中。每臺服務器都設置為HBA雙卡形式,通過兩臺光纖交換設備與服務器的雙控器進行連接,使之在硬件上保持一種冗余狀態(tài)。軟件系統將為平臺提供相應的高級功能,如DRS、HA等,方便客戶在訪問是可以快速的調用虛擬機的分布和資源等,如果出現故障則可以實現快速回復,配合所提供的備份功能為系統的虛擬文件進行備份與恢復,保證功能穩(wěn)定。同時虛擬化設備所提供的克隆技術可以大幅度的縮短新業(yè)務平臺或者測試平臺的建立耗時,提高了系統效率。獨立的虛擬機管理服務器可以為整個虛擬化平臺提供強大的管理功能,利用高度集成化的管理完提高整體平臺的工作效率。利用虛擬化技術也可解決多個數據中心之間存在的硬件設備資源利用效率低,以及多個硬件設備造成耗能、散熱等問題。
(二)數據庫系統
在實施階段,利用雙服務器和存儲陣列建立一個數據庫集群,從而構建起負載平衡、故障自動切換的數據庫系統,以此滿足客戶對數字資源的需求。應用系統的虛擬化采用的是操作系統虛擬化技術,可以按照服務類型和操作平臺的不同對資源進行分類,分布建立不同的服務器集群,滿足需求。數據庫中心的應用系統部署到虛擬技術虛擬出來的服務集權上,對關鍵的應用在虛擬化服務器集群上進行鏡像設置,如郵件系統、OA系統等,此時不需要額外增加硬件投入即可提高系統的安全性能,每個服務器上的應用數據是相對獨立的,且可以高效靈活的被系統調用,而升級和防護則只需要維護服務器平臺即可,使得系統維護更加的簡單便利。
存儲陣列的虛擬就是利用光纖交換機將多個存儲陣列相互連接,構成一個存儲網絡,然后配置虛擬軟件,將存儲實體虛擬為一個存儲庫,提供給服務器的虛擬化平臺,并且可以對空間進行合理配置。這樣做可以節(jié)省磁盤的有限空間,存儲庫分配給服務器的空間不再是設定好的大小,而是按照需求而設定空間容量;虛擬的存儲鏡像原本是不同型號的鏡像,只能通過卷管理實現分配,卷管理的成本較高,而虛擬化的存儲資源則可以在本身做鏡像,而不需要了解底層的硬件型號。
(三)虛擬化平臺的應用效果
利用虛擬化數字技術構建開放式數字化校園,從長遠的角度看其可以獲得以下效益回報:一方面與傳統的構建方案相比,虛擬化的投資相對低廉,且回報的時間段,即投資效率高;同時建成的業(yè)務平臺相對靈活,用戶可以根據實際的需求快速部署和實施新業(yè)務單元的軟件平臺,或者快速部署新的測試環(huán)境平臺;性能可靠,虛擬化方案的硬件部分為冗余結構設計,可以保證系統穩(wěn)定;配合虛擬化軟件可以實現多種高,實現整體系統的潛能開發(fā)與利用;最后虛擬化平臺的集中式管理模式可以大幅度提高數字化校園的管理效率。
三、結束語
數字化校園還存在一些信息化水平上的差異,要實現整體開放與數字化就必須將整體資源整合起來,才能實現真正意義上的數字化校園,因此借助虛擬技術方案來提高信息資源共享的整體性,是實現開放式數字校園的有效途徑之一。
參考文獻:
[1]周杰.高校教育信息化與數字化校園建設的探究[J].制造業(yè)自動化,2011,5
關鍵詞:網絡安全;虛擬機;模擬器;虛擬網絡環(huán)境
中圖分類號:TP393
文獻標識碼:A 文章編號:1672-7800(2014)003-0128-02
0 引言
網絡安全課程是目前高等院校計算機專業(yè)和其它信息技術類專業(yè)的一門專業(yè)必修課,該課程的教學目標是讓學生深入理解和掌握網絡安全技術理論和方法,能夠利用理論知識解決實際應用中出現的網絡安全問題。為了達到這一教學目標,課程內容的設置和講授非常重要。如果課程內容偏重理論,就會削弱對學生專業(yè)技能的培養(yǎng),造成學生對該課程聽不懂、不會用的現象,進而使學生對網絡安全課程的學習失去興趣。同樣,如果課程內容偏重實踐,就會導致學生對所學的理論理解不深,無法在實際應用中很好地分析問題并解決問題。
理論與實踐相結合是高校教學的一貫宗旨。但是,很多院校的網絡安全課程卻由于網絡實驗設備緊缺、網絡安全實驗平臺難以搭建而使課程的教學停留在理論階段,理論與實踐難以結合。為解決網絡安全教學中理論與實踐脫節(jié)的問題,提出了利用虛擬機和模擬器搭建一個虛擬的網絡安全實驗環(huán)境,其中包括網絡安全實驗所需要的各種網絡設備,如路由器、交換機、防火墻、IPS、服務器等,通過使用該虛擬網絡安全平臺,模擬實際網絡安全環(huán)境中的各種操作,達到跟真實設備幾乎一樣的實踐效果。
1 利用GNS3與VMware搭建虛擬網絡環(huán)境
GNS3是一款優(yōu)秀的圖形化Cisco網絡模擬器,在網絡安全課程中,用它可以完成網絡環(huán)境的模擬,而且這樣的操作和在真實的安全設備上實施完全一樣。GNS3是一款開源的網絡虛擬軟件,它可以適用于多種操作系統,在現有的學校機房中,很容易進行軟件的安裝,并可以和其它網絡類的課程共用,這樣不但節(jié)省了教學資源,還可以讓學生體驗與真實硬件平臺相同的學習環(huán)境。
VMware是一個虛擬機軟件,它能夠在一臺真實的物理主機上運行多個虛擬主機,這些虛擬主機可以像真實主機一樣安裝Windows、Linux或FreeBSD 等多種類型的操作系統。利用VMware可以讓一臺機器實現一個局域網的功能,這大大節(jié)省了硬件設備和物理空間,且管理方便,安全性高。同時,虛擬主機上可以運行網絡安全實驗需要的各種軟件工具,包括對操作系統具有破壞性的網絡安全工具,特別適合做網絡安全實驗。
雖然網絡模擬器GNS3和虛擬機軟件VMware是兩款不同廠商的軟件,但兩者可以結合使用。要實現GNS3和VMware的結合應用,僅需要將GNS3模擬的網云橋接到某個網絡適配器,同時將VMware模擬的計算機也橋接到這個網絡適配器即可,這臺運行在VMware軟件上的虛擬計算機就這樣融入了GNS的網絡架構體系,成為所搭建的網絡拓撲結構中對應的一臺計算機或服務器。圖1顯示了利用GNS3和VMware搭建的一個虛擬網絡安全實驗平臺。
在圖1中使用兩臺路由器模擬內網和外網,ASA防火墻作為隔離內部與外部網絡的安全設備,將運行在VMware軟件上的Web服務器和GNS3中的模擬網云橋接到同一個網絡適配器,并將該網云連接到ASA的DMZ區(qū)域,這樣便實現了利用一臺主機完成網絡安全實驗環(huán)境的搭建,為教師講授理論和學生在單機環(huán)境下學習和實踐提供了必要的條件,進而為學生進行課外實踐操作提供了保證。
2 虛擬網絡環(huán)境在網絡安全技術中的應用
網絡安全課程是一門綜合性很強的課程,其內容涉及計算機網絡、密碼學、操作系統等眾多理論與實踐知識,教師應根據不同的授課內容搭建相應的虛擬網絡安全實驗環(huán)境。下面以PAT(Port Address Translation,端口地址轉換)為例,驗證虛擬網絡環(huán)境的工作情況。根據課程內容搭建的網絡安全實驗環(huán)境如圖2所示。
圖2中路由器Router1用于模擬內部網絡的NAT路由器,路由器Router2用于模擬Internet路由器,同Router2相連的網絡云與虛擬機橋接到同一個網絡適配器,該虛擬機安裝了Windows Server 2003操作系統并開啟了FTP服務。為使192.168.1.0/24網段內的內網用戶訪問Internet上的FTP服務器,需要在NAT路由器上配置PAT,使私有網段內的用戶復用一個公網IP地址訪問Internet。
在教學過程中,教師可以在講解完PAT的工作原理后利用該實驗環(huán)境演示PAT的配置,這不僅會加深學生
對PAT理論知識的理解,還可讓他們掌握該技術在實際網絡工程中的配置實現。在虛擬網絡環(huán)境中雙擊NAT路由器就可以進入路由器的配置界面,完成PAT的配置操作,具體配置命令如下:
Router1(config)#interface serial 0/0
Router1(config-if)#ip nat inside
Router1(config-if)#exit
Router1(config)#interface fastEthernet 1/0
Router1(config-if)#ip nat outside
Router1(config-if)#exit
Router1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router1(config)#ip nat inside source list 1 interface serial 0/0 overload
這種虛擬網絡環(huán)境中的配置方式和命令與實際環(huán)境中的配置方式和命令一致。通過該虛擬網絡環(huán)境,學生既掌握了利用Windows server 2003搭建FTP服務器的方法,又掌握了PAT的技術原理以及該技術在思科路由器上的配置實現方法,為教師講授和學生學習網絡安全相關技術創(chuàng)造了良好的條件。
3 結語
網絡安全教學過程中,注重理論與實踐相結合,是提高教學質量和培養(yǎng)應用型人才的主要途徑。通過模擬器GNS3和虛擬機VMware的有機結合,教師可以根據網絡安全課程內容搭建不同的實驗環(huán)境,為學生提供理論結合實際、實用性和針對性強的學習環(huán)境,有利于學生學以致用,培養(yǎng)分析問題、解決問題的能力,大大提高了理論和實踐教學的質量和效果。
當然,為了保證學習效果,學生還需要接觸真實的網絡設備,在實踐中掌握相關知識。虛擬網絡環(huán)境可以作為真實網絡安全設備的有效補充,使學生在設備不足的情況下或課堂之外完成網絡安全的實踐操作。
參考文獻:
[1] 李佟鴻,張?zhí)扉L.《網絡安全》課程建設與教學改革研究[J].計算機教育,2012(8):25-28 .
[2] 李海鵬.《網絡安全》課程理論與實踐教學中的幾點探討[J].電腦知識與技術,2012 (28):6739-6741.
