基于流過濾技術(shù)的校園網(wǎng)絡(luò)的構(gòu)建

基于流過濾技術(shù)的校園網(wǎng)絡(luò)的構(gòu)建

為了促進(jìn)中國網(wǎng)絡(luò)教育的發(fā)展，我們需要一個平臺，需要對校園網(wǎng)絡(luò)教育進(jìn)行推廣，并促進(jìn)中國教育的發(fā)展。這是非常必要的。然而,基于IPv4的網(wǎng)絡(luò)環(huán)境開發(fā)的教育平臺無法真正有效的滿足這點,IIPv6協(xié)議不再需要上層協(xié)議的支持,(如DHCP,BOOTP)就可以直接實現(xiàn)地址的自動分配。這大大簡化了終端設(shè)備的網(wǎng)絡(luò)配置工作,簡化了大量非專業(yè)人士上網(wǎng)時繁瑣的設(shè)置,也使得各種各樣的非人工控制設(shè)備輕松上網(wǎng)成為可能。因此,IPv6網(wǎng)絡(luò)為作為科研平臺的校園網(wǎng)建設(shè)提供了更好的技術(shù)支持。1社會互聯(lián)網(wǎng)應(yīng)用中國教育和科研計算機(jī)網(wǎng)CERNET支持全新的更豐富的下一代互聯(lián)網(wǎng)的重大應(yīng)用,包括:網(wǎng)格計算、高清晰度電視、強(qiáng)交互點到點視頻語音綜合通信、遠(yuǎn)程教育等。CERNET2的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。2網(wǎng)絡(luò)基礎(chǔ)設(shè)施的結(jié)構(gòu)各教研室的電腦通過一臺三層交換機(jī)接入到匯聚層交換機(jī),然后通過地區(qū)核心交換機(jī)連入CERNET2的長沙接入入口。網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。3平臺結(jié)構(gòu)的設(shè)計首先,選擇適宜操作系統(tǒng)和服務(wù)器軟件,然后使用網(wǎng)頁開發(fā)工具進(jìn)行代碼開發(fā),最后完成網(wǎng)站建設(shè)。經(jīng)過討論,我們的示范網(wǎng)站包括六個大的部分,分別是:首頁、相關(guān)文檔、配置方法、軟件下載、站點服務(wù)、主題論壇。結(jié)構(gòu)圖如圖3所示。相關(guān)文檔:包括收集到的一些學(xué)習(xí)文檔,資料;配置方法:包括我們收集到的現(xiàn)有操作系統(tǒng)下IPv6的配置方法,方便大家的配置;軟件下載:包括我們使用過的軟件以及網(wǎng)上找到的一些好的軟件,主要是關(guān)于我們提供的服務(wù)的;站點服務(wù):加入了一些音頻和視頻文件實行流媒體服務(wù)和FTP下載;主題論壇:在這里可以討論、請教各種知識。4比特技術(shù)原理4.1ipv6地址空間“fp”與IPv4的32地址相比,IPv6的地址要長的多。IPv6共有128位地址,是IPv4的整整四倍。與IPv4一樣,一個字段由16位二進(jìn)制數(shù)組成,因此,IPv6有8個字段。每個字段的最大值為16384,但在書寫時用四位的十六進(jìn)制數(shù)字表示,并且字段與字段之間用“:”隔開,而不是原來的“.”。而且字段中前面為零的數(shù)值可以省略,如果整個字段為零,那么也可以省略。128位地址所形成的地址空間在可預(yù)見的很長時期內(nèi),它能夠為所有可以想象出的網(wǎng)絡(luò)設(shè)備提供一個全球唯一的地址。128位地址空間包含的準(zhǔn)確地址數(shù)是340,282,366,920,938,463,463,374,607,431,768,211,456。IPv6的地址如圖4所示?！癋P”是就是地址前綴(也稱為“格式前綴”),用于區(qū)別其它地址類型。隨后分別是13位的TLAID(頂級聚集體ID號)、8位的Res)保留位,以備將來TLA或NLA擴(kuò)充之用。)、24位的NLAID(次級聚集體ID號)、16位SLAID(節(jié)點ID號)和64位InterfaceID(主機(jī)接口ID號)。TLA、NLA、SLA三者構(gòu)成了自頂向下排列的三個網(wǎng)絡(luò)層次,并且依次向上一級申請ID號。分層結(jié)構(gòu)的最底層是網(wǎng)絡(luò)主機(jī)。4.2多播地址標(biāo)識的方式IPv6定義了三種不同的地址類型。分別為單播地址(UnicastAddress),多播地址(MulticastAddress)和任播地址(AnycastAd-dress)。所有類型的IPv6地址都是屬于接口(Interface)而不是節(jié)點(node)。一個IPv6單點傳送地址被賦給某一個接口,而一個接口又只能屬于某一個特定的節(jié)點,因此一個節(jié)點的任意一個接口的單播地址都可以用來標(biāo)示該節(jié)點。IPv6中的單播地址是連續(xù)的,以位為單位的可掩碼地址與帶有CIDR的IPv4地址很類似,一個標(biāo)識符僅標(biāo)識一個接口的情況。在IPv6中有多種單播地址形式,包括基于全局提供者的單播地址、基于地理位置的單播地址、NSAP地址、IPX地址、節(jié)點本地地址、鏈路本地地址和兼容IPv4的主機(jī)地址等。多播地址是一個地址標(biāo)識符對應(yīng)多個接口的情況(通常屬于不同節(jié)點)。IPv6多播地址用于表示一組節(jié)點。一個節(jié)點可能會屬于幾個多播地址。這個功能被多媒體應(yīng)用程序所廣泛使用,它們需要一個節(jié)點到多個節(jié)點的傳輸。RFC-2373對于多播地址進(jìn)行了更為詳細(xì)的說明,并給出了一系列預(yù)先定義的多播地址。任播地址也是一個標(biāo)識符對應(yīng)多個接口的情況。如果一個報文要求被傳送到一個任播地址,則它將被傳送到由該地址標(biāo)識的一組接口中的最近一個(根據(jù)路由選擇協(xié)議距離度量方式?jīng)Q定)。任播地址是從單播地址空間中劃分出來的,因此它可以使用表示單播地址的任何形式。從語法上來看,它與單播地址間是沒有差別的。當(dāng)一個單播地址被指向多于一個接口時,該地址就成為任播地址,并且被明確指明。當(dāng)用戶發(fā)送一個數(shù)據(jù)包到這個任播地址時,離用戶最近的一個服務(wù)器將響應(yīng)用戶。這對于一個經(jīng)常移動和變更的網(wǎng)絡(luò)用戶大有益處。那么從接口主機(jī)來講(主要從功用來分),IPv6又可以把主機(jī)接口類型進(jìn)行地址配置:全球地址(Globally)、全球單播地址Unicast)、區(qū)域地址(On-site)、鏈路本地地址(LinklocalAddress)、地區(qū)本地地址(SitelocalAddress)、廣播地址(Broadcast)、多播群地址(MulticastGroupAddress)、任播地址(AnycastAddress)、移動地址(Mobility)、家鄉(xiāng)地址(HomeAddress)、轉(zhuǎn)交地址(Care-ofAddress)5基于tcp/ip協(xié)議棧的狀態(tài)檢測“流過濾”技術(shù)是以狀態(tài)檢測包過濾的形態(tài)實現(xiàn)對應(yīng)用層保護(hù)的一種防火墻過濾技術(shù),基本原理是在狀態(tài)檢測包過濾的基礎(chǔ)上,針對具體應(yīng)用層協(xié)議采用專門設(shè)計的TCP/IP協(xié)議棧實現(xiàn)對鏈路層數(shù)據(jù)流在應(yīng)用層重組并在此基礎(chǔ)上進(jìn)行過濾,以包過濾的形態(tài)提供應(yīng)用層保護(hù)能力,使得規(guī)則匹配在防火墻內(nèi)部由數(shù)據(jù)鏈路層直達(dá)應(yīng)用層。5.1利用流過濾技術(shù)的安裝當(dāng)對關(guān)鍵報文應(yīng)用流過濾技術(shù)處理時,流過濾技術(shù)邏輯上斷開數(shù)據(jù)發(fā)送端與數(shù)據(jù)接受端之間的直接網(wǎng)絡(luò)連接,即發(fā)送端與接受端之間在傳輸數(shù)據(jù)之前建立的網(wǎng)絡(luò)連接仍然存在,但發(fā)送端與接受端之間的數(shù)據(jù)傳輸必須通過使用流過濾技術(shù)的防火墻中轉(zhuǎn)。防火墻利用流過濾技術(shù)對關(guān)鍵報文進(jìn)行處理的過程,按照時間先后順序可分為三個步驟:1)對發(fā)送端發(fā)送應(yīng)答報文,并將同一會話中的全部關(guān)鍵報文在應(yīng)用層數(shù)據(jù)重組。2)按照流過濾規(guī)則對重組后的完整數(shù)據(jù)進(jìn)行合法性檢查,并做相應(yīng)處理。3)對通過合法性檢查的數(shù)據(jù)發(fā)送給接受端,并處理接受端發(fā)出的應(yīng)答報文。5.2方案一:加密不同侵權(quán),缺乏相關(guān)信息過濾利用流過濾技術(shù)在IPv6網(wǎng)絡(luò)通信中,數(shù)據(jù)流是以密文的形式在網(wǎng)絡(luò)中傳輸,IPv6報文都是加密的,防火墻無法獲得相關(guān)信息進(jìn)行過濾,要么全部阻攔數(shù)據(jù)包則網(wǎng)絡(luò)將不能進(jìn)行通信,要么全部放行則容易受到攻擊。為解決這一問題,本文將采用屏蔽子網(wǎng)防火墻系統(tǒng)結(jié)構(gòu)在此系統(tǒng)中的堡壘主機(jī)上實現(xiàn)流過濾技術(shù),該系統(tǒng)層次結(jié)構(gòu)示意圖如圖5所示。6特殊的流場服務(wù)和創(chuàng)新技術(shù)在IPv6環(huán)境下搭建的校園網(wǎng),可以提供多種在IPv