IPv4/IPv6安全網(wǎng)關(guān)的應用與分析

發(fā)布時(shí)間:2011-1-18 14:29    發(fā)布者:eetech
關(guān)鍵詞: IPv4 , IPv6 , 安全網(wǎng)關(guān)
1 引言

IPv6取代IPv4已經(jīng)成為公認的事實(shí),然而這將是一個(gè)長(cháng)期的、漸進(jìn)的過(guò)程。IPv6的部署大致要經(jīng)歷一個(gè)過(guò)程。初始階段,在IPv4的網(wǎng)絡(luò )海洋中,會(huì )出現若干局部零散的IPv6孤島,為了保持通信,這些孤島通過(guò)跨越IPv4的隧道彼此連接。隨著(zhù)IPv6規模的應用,原來(lái)的孤島逐漸聚合成為了骨干的IPv6 Internet網(wǎng)絡(luò ),形成于IPv4骨干網(wǎng)并存的局面。在IPv6骨干上可以引入了大量的新業(yè)務(wù),同時(shí)可以充分發(fā)揮IPv6的優(yōu)勢。為了實(shí)現IPv6和IPv4網(wǎng)絡(luò )資源的互訪(fǎng),還需要轉換服務(wù)器以實(shí)現IPv6和IPv4的互通。最后,IPv4骨干網(wǎng)逐步萎縮成局部的孤島,通過(guò)隧道連接,IPv6占據主導地位,具備全球范圍的連通性。

IPv6提供很多過(guò)渡技術(shù)來(lái)實(shí)現這個(gè)漸進(jìn)過(guò)程。這些過(guò)渡技術(shù)主要圍繞著(zhù)解決兩類(lèi)問(wèn)題:IPv6孤島互通技術(shù)——實(shí)現IPv6網(wǎng)絡(luò )和IPv6網(wǎng)絡(luò )的互通;IPv6和IPv4互通技術(shù)——實(shí)現兩個(gè)不同網(wǎng)絡(luò )之間互相訪(fǎng)問(wèn)資源。因此我們提出研制IPv4/IPv6互聯(lián)網(wǎng)關(guān),通過(guò)協(xié)議地址翻譯的機制來(lái)解決IPv4和IPv6的互聯(lián)互通問(wèn)題,實(shí)現IPv4向IPv6的平滑過(guò)渡。該設備可應用在城域網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)和其他專(zhuān)用網(wǎng)絡(luò )上,實(shí)現各級子網(wǎng)對現有IPv6/IPv4資源的安全訪(fǎng)問(wèn)。圖1-1為IPv4/IPv6網(wǎng)關(guān)的典型應用場(chǎng)景。圖1-2為IPv4/IPv6網(wǎng)關(guān)組網(wǎng)的連接情況。




圖1-1 IPv4/IPv6安全網(wǎng)關(guān)的典型應用場(chǎng)景




圖1-2 IPv4/IPv6安全網(wǎng)關(guān)組網(wǎng)

2 IPv4/IPv6安全網(wǎng)關(guān)原理

IPv4/IPv6安全網(wǎng)關(guān)主要由四部分構成,分別為機械結構部分、路由器電器部分、一次電源和通風(fēng)散熱系統。機械部分包括主機箱和配線(xiàn)架,主機箱可以外購或者按照機械尺寸定制,配線(xiàn)架采用19英寸機箱的標準配線(xiàn)架;一次電源和電源廠(chǎng)家協(xié)商定制;通風(fēng)散熱系統由兩組風(fēng)扇組成,負責網(wǎng)關(guān)主機框和電源的散熱;路由器電器將采用主控板、交換板、電源冗余設計等模塊實(shí)現模塊化結構設計,具有平滑的可升級能力。IPv4/IPv6安全網(wǎng)關(guān)的體系結構如圖1-3所示。




圖1-3 IPv4/IPv6網(wǎng)關(guān)體系結構

安全網(wǎng)關(guān)主要包括支撐子系統,路由協(xié)議處理子系統(主要是BGP4+代理),IPv4/IPv6互連網(wǎng)關(guān)核心功能處理子系統、IP轉發(fā)子系統(分布式結構),操作管理子系統等等。圖1-4給出了在該體系結構下,IP分組流動(dòng)的示意圖。




圖1-4 IP分組處理流程示意圖

操作與管理子系統

操作與管理子系統(OAM子系統)是整個(gè)IPv4/IPv6互連網(wǎng)關(guān)的控制核心。它需要實(shí)現對整個(gè)IPv4/IPv6互連網(wǎng)關(guān)系統的控制和管理。操作與管理子系統的主要功能包括:提供多種用戶(hù)操作界面,包括控制臺、虛擬終端和SNMP網(wǎng)絡(luò )管理;實(shí)現被管理模塊之間的信息交互;提供分布式支持;實(shí)現錯誤檢測和錯誤恢復功能;提供一套完善的運行時(shí)調試接口。

IP轉發(fā)子系統

轉發(fā)子系統實(shí)現IPv4/IPv6互連網(wǎng)關(guān)系統中路由器的基本功能—IP分組的轉發(fā)。該子系統實(shí)現IPv6、ICMPv6和Neighbor Discovery三個(gè)主要協(xié)議以及IPv4協(xié)議棧中的相應協(xié)議,并能夠同時(shí)支持單處理器平臺和分布式多處理器平臺的IP分組轉發(fā)。

路由協(xié)議處理子系統

路由協(xié)議處理子系統主要實(shí)現IPv4/IPv6互連網(wǎng)關(guān)上的BGP4+的代理,4to6過(guò)渡協(xié)議需要支持IPv4路由表向IPv6傳播,并從IPv6網(wǎng)絡(luò )中學(xué)習IPv4路由表。該部分主要實(shí)現4to6過(guò)渡協(xié)議中的路由處理機制,包括組播路由的支持。

支撐子系統

支撐子系統是整個(gè)IPv4/IPv6互連網(wǎng)關(guān)系統上層應用實(shí)體的服務(wù)提供者。從協(xié)議角度看,它為BGP4+代理以及網(wǎng)管協(xié)議SNMP提供服務(wù);從系統角度來(lái)看,它是操作和管理系統的一種手段。支撐子系統將實(shí)現它的三個(gè)組成部分的協(xié)議規范要求,實(shí)現了端到端的數據傳輸,并且提供了一種遠程登錄訪(fǎng)問(wèn)的手段。

IPv4/IPv6安全網(wǎng)關(guān)核心功能處理子系統

安全網(wǎng)關(guān)核心功能處理主要是實(shí)現IPv4/IPv6網(wǎng)絡(luò )過(guò)渡機制和過(guò)渡技術(shù),目前包括協(xié)議翻譯轉換技術(shù)、隧道技術(shù)、4to6過(guò)渡技術(shù)以及應用層網(wǎng)關(guān)技術(shù)。安全網(wǎng)關(guān)3個(gè)主要的部分:報文翻譯,DNS應用層網(wǎng)關(guān),FTP應用層網(wǎng)關(guān)。




圖1-5 NAT_PT的總體結構圖

報文翻譯

報文翻譯部分是NAT_PT的最基礎部分。它負責進(jìn)行IPv4和IPv6報文之間的翻譯。具體的實(shí)現主要針對TCP、UDP和ICMP三種不同類(lèi)型的報文進(jìn)行翻譯。由于TCP自己的特性,在地址映射的時(shí)間上,還有TCP建立連接的時(shí)候,對動(dòng)態(tài)地址池的操作都和UDP、ICMP有所區別。

DNS應用層網(wǎng)關(guān)

DNS應用層網(wǎng)關(guān)部分是為了支持DNS的IPv6擴展功能的。它主要對針對目的端口/源端口=53的DNS_UDP報文進(jìn)行翻譯的。DNS應用層網(wǎng)關(guān)的主要功能是支持外部的IPv4主機對IPv6域內服務(wù)器的訪(fǎng)問(wèn)。這樣,當外部的DNSv4的查詢(xún)報文通過(guò)路由器的時(shí)候,將被翻譯后送到IPv6域內的IPv6 DNS服務(wù)器。同樣IPv6域內的IPv6 DNS服務(wù)器的DNSv6回復報文,也將被翻譯后返回給原IPv4主機。

FTP應用層網(wǎng)關(guān)

由于FTP的IPv6擴展功能和現有的IPv4FTP命令不相同,不完全兼容,所以需要對FTP的命令作翻譯。同時(shí)的由于TCP報文的負荷長(cháng)度有所變動(dòng),所以還需要對一個(gè)FTP的連接的所有TCP數據報的順序號進(jìn)行修正。FTP應用層網(wǎng)關(guān)部分主要對針對目的端口/源端口=21的FTP_TCP報文進(jìn)行翻譯。

3 IPv4/IPv6安全網(wǎng)關(guān)解決方案

根據IPv4/IPv6安全網(wǎng)關(guān)的原理和市場(chǎng)需求,從性能,可擴展性以及高可靠性的角度出發(fā),推薦采用研祥(EVOC)的網(wǎng)絡(luò )系統平臺NPC-8205作為解決方案的硬件平臺,在此可靠的平臺上實(shí)現IPv4/IPv6安全網(wǎng)關(guān)。

NPC-8205是一款基于Intlel新一代服務(wù)器JasperForest平臺的高端網(wǎng)絡(luò )應用系統產(chǎn)品。采取的服務(wù)器平臺,北橋集成在CPU里面,大大提高了CPU對內存和外設的訪(fǎng)問(wèn)速度。全模塊化的網(wǎng)絡(luò )設計,可靈活選擇光電組合,并在千兆,萬(wàn)兆之間靈活切換。主板支持兩顆CPU,支持12個(gè)DIMM內存槽,6個(gè)SATA接口。支持CF卡,板載PCI擴展槽和兩個(gè)PCI-E擴展槽。整機支持三個(gè)全模塊的網(wǎng)絡(luò )擴展,支持兩個(gè)2.5寸抽拉硬盤(pán)位,支持液晶屏顯示,板載2千兆電口,1個(gè)串口,2個(gè)USB,前面板可擴展兩個(gè)PCI –E設備,支持冗余電源。

采用JASPER FOREAST平臺具有以下優(yōu)點(diǎn):

(1)支持超線(xiàn)程:第三代超線(xiàn)程技術(shù)。

(2)支持虛擬化設備輸入/輸出 (VT-d):在之前以虛擬化CPU為主的基礎上增加設備輸入/輸出的虛擬化,能有效提高虛擬機的性能和效率。

(3)內核加速模式(Turbo Mode):內核運行動(dòng)態(tài)加速?梢愿鶕枰_(kāi)啟、關(guān)閉以及加速單個(gè)內核的運行。這樣動(dòng)態(tài)的調整可以提高系統和CPU整體的能效比率。

(4)Cache的設計:采用三級全內含式Cache設計,L1的設計和Core 微架構一樣;L2采用超低延遲的設計,每個(gè)內核256KB;L3采用共享式設計,被片上所有內核共享。

(5) 集成了內存控制器(IMC):從芯片組上移到CPU片上,支持多通道DDR3內存,內存讀取的延遲大幅度減少,內存帶寬大幅提升,最多可達三倍。

(6)QPI:“快速通道互聯(lián)”,取代前端總線(xiàn)(FSB)的一種點(diǎn)到點(diǎn)連接技術(shù),20位寬的QPI連接其帶寬可達驚人的每秒25.6GB,遠非FSB可比。QPI最初能夠發(fā)放異彩的是支持多個(gè)處理器的服務(wù)器平臺,QPI可以用于多處理器之間的互聯(lián)。

自由切換的光電口模塊設計

不打開(kāi)箱蓋,直接在前面板操作,就可以在光口模塊和電口模塊間任意更換?梢造`活的搭配出光口不同數量。電口不同數量。光口模塊和電口模塊混合同時(shí)使用。




(應用原理圖)

4.結束語(yǔ)

綜上可見(jiàn),研祥(EVOC)的網(wǎng)絡(luò )系統平臺NPC-8205作為實(shí)現IPv4/IPv6安全網(wǎng)關(guān)解決方案的硬件平臺,解決了IPv4/IPv6安全網(wǎng)關(guān)對對計算性能,存儲性能,可靠性能,擴展性能的需求,是一個(gè)比較優(yōu)秀的解決方案。
本文地址:http://selenalain.com/thread-49541-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页