一種IPv4／IPv6安全網(wǎng)關(guān)的設計和實現(xiàn)-設計應用

精品文檔-下載后可編輯一種IPv4／IPv6安全網(wǎng)關(guān)的設計和實現(xiàn)-設計應用

1引言

目前我們使用的第二代互聯(lián)網(wǎng)IPv4技術(shù)，技術(shù)屬于美國。它的問題是網(wǎng)絡地址資源有限，從理論上講，編址1600萬個網(wǎng)絡、40億臺主機。但采用A、B、C三類編址方式后，可用的網(wǎng)絡地址和主機地址的數(shù)目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4,約30億個，而人口多的亞洲只有不到4億個，中國截止2022年6月IPv4地址數(shù)量達到2.5億，落后于4.2億網(wǎng)民的需求。地址不足，嚴重地制約了我國及其他國家互聯(lián)網(wǎng)的應用和發(fā)展。一方面是地址資源數(shù)量的限制，另一方面是隨著電子技術(shù)及網(wǎng)絡技術(shù)的發(fā)展，計算機網(wǎng)絡將進入人們的日常生活，可能身邊的每一樣東西都需要連入因特網(wǎng)。在這樣的環(huán)境下，IPv6應運而生。單從數(shù)字上來說，IPv6所擁有的地址容量是IPv4的約8×10^28倍，達到2^128（算上全零的）個。這不但解決了網(wǎng)絡地址資源數(shù)量的問題，同時也為除電腦外的設備連入互聯(lián)網(wǎng)在數(shù)量限制上掃清了障礙。

但是與IPv4一樣，IPv6一樣會造成大量的IP地址浪費。準確的說，使用IPv6的網(wǎng)絡并沒有2^128個能充分利用的地址。首先，要實現(xiàn)IP地址的自動配置，局域網(wǎng)所使用的子網(wǎng)的前綴必須等于64,但是很少有一個局域網(wǎng)能容納2^64個網(wǎng)絡終端；其次，由于IPv6的地址分配必須遵循聚類的原則，地址的浪費在所難免。但是，如果說IPv4實現(xiàn)的只是人機對話，而IPv6則擴展到任意事物之間的對話，它不僅可以為人類服務，還將服務于眾多硬件設備，如家用電器、傳感器、遠程照相機、汽車等，它將是無時不在，無處不在的深入社會每個角落的真正的寬帶網(wǎng)。而且它所帶來的經(jīng)濟效益將非常巨大。當然，IPv6并非十全十美、一勞永逸，不可能解決所有問題。IPv6只能在發(fā)展中不斷完善，也不可能在一夜之間發(fā)生，過渡需要時間和成本，但從長遠看，IPv6有利于互聯(lián)網(wǎng)的持續(xù)和長久發(fā)展。目前，國際互聯(lián)網(wǎng)組織已經(jīng)決定成立兩個專門工作組，制定相應的國際標準。圖1-1為IPv4/IPv6網(wǎng)關(guān)的典型應用場景。圖1-2為IPv4/IPv6網(wǎng)關(guān)組網(wǎng)的連接情況。

圖1-1IPv4/IPv6安全網(wǎng)關(guān)的典型應用場景

圖1-2IPv4/IPv6安全網(wǎng)關(guān)組網(wǎng)

2IPv4/IPv6安全網(wǎng)關(guān)原理

IPv4/IPv6安全網(wǎng)關(guān)主要由四部分構(gòu)成，分別為機械結(jié)構(gòu)部分、路由器電器部分、電源和通風散熱系統(tǒng)。機械部分包括主機箱和配線架，主機箱可以外購或者按照機械尺寸定制，配線架采用19英寸機箱的標準配線架；電源和電源廠家協(xié)商定制；通風散熱系統(tǒng)由兩組風扇組成，負責網(wǎng)關(guān)主機框和電源的散熱；路由器電器將采用主控板、交換板、電源冗余設計等模塊實現(xiàn)模塊化結(jié)構(gòu)設計，具有平滑的可升級能力。IPv4/IPv6安全網(wǎng)關(guān)的體系結(jié)構(gòu)如圖1--3所示。

圖1-3IPv4/IPv6網(wǎng)關(guān)體系結(jié)構(gòu)

安全網(wǎng)關(guān)主要包括支撐子系統(tǒng)，路由協(xié)議處理子系統(tǒng)（主要是BGP4+代理），IPv4/IPv6互連網(wǎng)關(guān)功能處理子系統(tǒng)、IP轉(zhuǎn)發(fā)子系統(tǒng)（分布式結(jié)構(gòu)），操作管理子系統(tǒng)等等。圖1-4給出了在該體系結(jié)構(gòu)下，IP分組流動的示意圖。

圖1-4IP分組處理流程示意圖

操作與管理子系統(tǒng)

操作與管理子系統(tǒng)（OAM子系統(tǒng)）是整個IPv4/IPv6互連網(wǎng)關(guān)的控制。它需要實現(xiàn)對整個IPv4/IPv6互連網(wǎng)關(guān)系統(tǒng)的控制和管理。操作與管理子系統(tǒng)的主要功能包括：提供多種用戶操作界面，包括控制臺、虛擬終端和SNMP網(wǎng)絡管理；實現(xiàn)被管理模塊之間的信息交互；提供分布式支持；實現(xiàn)錯誤檢測和錯誤恢復功能；提供一套完善的運行時調(diào)試接口。

IP轉(zhuǎn)發(fā)子系統(tǒng)

轉(zhuǎn)發(fā)子系統(tǒng)實現(xiàn)IPv4/IPv6互連網(wǎng)關(guān)系統(tǒng)中路由器的基本功能-IP分組的轉(zhuǎn)發(fā)。該子系統(tǒng)實現(xiàn)IPv6、ICMPv6和NeighborDiscovery三個主要協(xié)議以及IPv4協(xié)議棧中的相應協(xié)議，并能夠同時支持單處理器平臺和分布式多處理器平臺的IP分組轉(zhuǎn)發(fā)。

路由協(xié)議處理子系統(tǒng)

路由協(xié)議處理子系統(tǒng)主要實現(xiàn)IPv4/IPv6互連網(wǎng)關(guān)上的BGP4+的代理，4to6過渡協(xié)議需要支持IPv4路由表向IPv6傳播，并從IPv6網(wǎng)絡中學習IPv4路由表。該部分主要實現(xiàn)4to6過渡協(xié)議中的路由處理機制，包括組播路由的支持。

支撐子系統(tǒng)

支撐子系統(tǒng)是整個IPv4/IPv6互連網(wǎng)關(guān)系統(tǒng)上層應用實體的服務提供者。從協(xié)議角度看，它為BGP4+代理以及網(wǎng)管協(xié)議SNMP提供服務；從系統(tǒng)角度來看，它是操作和管理系統(tǒng)的一種手段。支撐子系統(tǒng)將實現(xiàn)它的三個組成部分的協(xié)議規(guī)范要求，實現(xiàn)了端到端的數(shù)據(jù)傳輸，并且提供了一種遠程登錄訪問的手段。

IPv4/IPv6安全網(wǎng)關(guān)功能處理子系統(tǒng)

安全網(wǎng)關(guān)功能處理主要是實現(xiàn)IPv4/IPv6網(wǎng)絡過渡機制和過渡技術(shù)，目前包括協(xié)議翻譯轉(zhuǎn)換技術(shù)、隧道技術(shù)、4to6過渡技術(shù)以及應用層網(wǎng)關(guān)技術(shù)。安全網(wǎng)關(guān)3個主要的部分：報文翻譯，DNS應用層網(wǎng)關(guān)，F(xiàn)TP應用層網(wǎng)關(guān)。

圖1-5NAT_PT的總體結(jié)構(gòu)圖

報文翻譯

報文翻譯部分是NAT_PT的基礎(chǔ)部分。它負責進行IPv4和IPv6報文之間的翻譯。具體的實現(xiàn)主要針對TCP、UDP和ICMP三種不同類型的報文進行翻譯。由于TCP自己的特性，在地址映射的時間上，還有TCP建立連接的時候，對動態(tài)地址池的操作都和UDP、ICMP有所區(qū)別。

DNS應用層網(wǎng)關(guān)

DNS是域名系統(tǒng)（DomainNameSystem）的縮寫，它是由解析器和域名服務器組成的。域名服務器是指保存有該網(wǎng)絡中所有主機的域名和對應IP地址，并具有將域名轉(zhuǎn)換為IP地址功能的服務器。其中域名必須對應一個IP地址，而IP地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結(jié)構(gòu)。域名服務器為客戶機/服務器模式中的服務器方，它主要有兩種形式：主服務器和轉(zhuǎn)發(fā)服務器。將域名映射為IP地址的過程就稱為"域名解析".

DNS應用層網(wǎng)關(guān)部分是為了支持DNS的IPv6擴展功能的。它主要對針對目的端口/源端口=53的DNS_UDP報文進行翻譯的。DNS應用層網(wǎng)關(guān)的主要功能是支持外部的IPv4主機對IPv6域內(nèi)服務器的訪問。這樣，當外部的DNSv4的查詢報文通過路由器的時候，將被翻譯后送到IPv6域內(nèi)的IPv6DNS服務器。同樣IPv6域內(nèi)的IPv6DNS服務器的DNSv6回復報文，也將被翻譯后返回給原IPv4主機。

FTP應用層網(wǎng)關(guān)

由于FTP的IPv6擴展功能和現(xiàn)有的IPv4FTP命令不相同，不完全兼容，所以需要對FTP的命令作翻譯。同時的由于TCP報文的負荷長度有所變動，所以還需要對一個FTP的連接的所有TCP數(shù)據(jù)報的順序號進行修正。FTP應用層網(wǎng)關(guān)部分主要對針對目的端口/源端口=21的FTP_TCP報文進行翻譯。

3IPv4/IPv6安全網(wǎng)關(guān)解決方案

根據(jù)IPv4/IPv6安全網(wǎng)關(guān)的原理和市場需求，從性能，可擴展性以及高可靠性的角度出發(fā)，推薦采用研祥（EVOC）的網(wǎng)絡系統(tǒng)平臺NPC-8205作為解決方案的硬件平臺，在此可靠的平臺上實現(xiàn)IPv4/IPv6安全網(wǎng)關(guān)。

NPC-8205是一款基于Intlel新一代服務器JasperForest平臺的高端網(wǎng)絡應用系統(tǒng)產(chǎn)品。采取的服務器平臺，北橋集成在CPU里面，大大提高了CPU對內(nèi)存和外設的訪問速度。全模塊化的網(wǎng)絡設計，可靈活選擇光電組合，并在千兆，萬兆之間靈活切換。主板支持兩顆CPU,支持12個DIMM內(nèi)存槽，6個SATA接口。支持CF卡，板載PCI擴展槽和兩個PCI-E擴展槽。整機支持三個全模塊的網(wǎng)絡擴展，支持兩個2.5寸抽拉硬盤位，支持液晶屏顯示，板載2千兆電口，1個串口，2個USB,前面板可擴展兩個PCI–E設備，支持冗余電源。

采用JASPERFOREAST平臺具有以下優(yōu)點：

（1）支持超線程：第三代超線程技術(shù)。

（2）支持虛擬化設備輸入/輸出（VT-d）：在之前以虛擬化CPU為主的基礎(chǔ)上增加設備輸入/輸出的虛擬化，能有效提高虛擬機的性能和效率。

（3）內(nèi)核加速模式（TurboMode）：內(nèi)核運行動態(tài)加速?？梢愿鶕?jù)需要開啟、關(guān)閉以及加速單個內(nèi)核的運行。這樣動態(tài)的調(diào)整可以提高系統(tǒng)和CPU整體的能效比率。

（4）Cache的設計：采用三級全內(nèi)含式Cache設計，L1的設計和Core微架構(gòu)一樣；L2采用超低延遲的設計，每個內(nèi)核256KB;L3采用共享式設計，被片上所有內(nèi)核共享。

（5）集成了內(nèi)存控制器（IMC）：從芯片組上移到CPU片上，支持多通道DDR3內(nèi)存，內(nèi)存讀取的延遲大幅度減少，內(nèi)存帶寬大幅提升，多可達三倍。

（6）QPI:"快速通道互聯(lián)",取代前端總線（FSB）的一種點到點連接技術(shù)，20位寬的QPI連接其帶寬可達驚人的每秒25.6GB,遠非FSB可比。QPI初能夠發(fā)放異彩的是支持多個處理器的服務器平臺，QPI可以用于多處理器之間的互聯(lián)。

自由切換的光電口模塊設計

不打開箱蓋