今日頭條
官方微信
官方抖音
案例頻道關鍵詞:安全網關,IPv4,IPv6,EVOC,NPC
1 引言
IPv6取代IPv4已經成為公認的事實,然而這將是一個長期的、漸進的過程。IPv6的部署大致要經歷一個過程。初始階段,在IPv4的網絡海洋中,會出現若干局部零散的IPv6孤島,為了保持通信,這些孤島通過跨越IPv4的隧道彼此連接。隨著IPv6規模的應用,原來的孤島逐漸聚合成為了骨干的IPv6 Internet網絡,形成于IPv4骨干網并存的局面。在IPv6骨干上可以引入了大量的新業務,同時可以充分發揮IPv6的優勢。為了實現IPv6和IPv4網絡資源的互訪,還需要轉換服務器以實現IPv6和IPv4的互通。最后,IPv4骨干網逐步萎縮成局部的孤島,通過隧道連接,IPv6占據主導地位,具備全球范圍的連通性。
IPv6提供很多過渡技術來實現這個漸進過程。這些過渡技術主要圍繞著解決兩類問題:IPv6孤島互通技術——實現IPv6網絡和IPv6網絡的互通;IPv6和IPv4互通技術——實現兩個不同網絡之間互相訪問資源。因此我們提出研制IPv4/IPv6互聯網關,通過協議地址翻譯的機制來解決IPv4和IPv6的互聯互通問題,實現IPv4向IPv6的平滑過渡。該設備可應用在城域網、校園網、企業網和其他專用網絡上,實現各級子網對現有IPv6/IPv4資源的安全訪問。圖1-1為IPv4/IPv6網關的典型應用場景。 圖1-2為IPv4/IPv6網關組網的連接情況。
.jpg)
圖1-1 IPv4/IPv6安全網關的典型應用場景
圖1-2 IPv4/IPv6安全網關組網
2 IPv4/IPv6安全網關原理
IPv4/IPv6安全網關主要由四部分構成,分別為機械結構部分、路由器電器部分、一次電源和通風散熱系統。機械部分包括主機箱和配線架,主機箱可以外購或者按照機械尺寸定制,配線架采用19英寸機箱的標準配線架;一次電源和電源廠家協商定制;通風散熱系統由兩組風扇組成,負責網關主機框和電源的散熱;路由器電器將采用主控板、交換板、電源冗余設計等模塊實現模塊化結構設計,具有平滑的可升級能力。IPv4/IPv6安全網關的體系結構如圖1-3所示。
.jpg)
圖1-3 IPv4/IPv6網關體系結構
安全網關主要包括支撐子系統,路由協議處理子系統(主要是BGP4+代理),IPv4/IPv6互連網關核心功能處理子系統、IP轉發子系統(分布式結構),操作管理子系統等等。圖1-4給出了在該體系結構下,IP分組流動的示意圖。
.jpg)
圖1-4 IP分組處理流程示意圖
? 操作與管理子系統
操作與管理子系統(OAM子系統)是整個IPv4/IPv6互連網關的控制核心。它需要實現對整個IPv4/IPv6互連網關系統的控制和管理。操作與管理子系統的主要功能包括:提供多種用戶操作界面,包括控制臺、虛擬終端和SNMP網絡管理;實現被管理模塊之間的信息交互;提供分布式支持;實現錯誤檢測和錯誤恢復功能;提供一套完善的運行時調試接口。
? IP轉發子系統
轉發子系統實現IPv4/IPv6互連網關系統中路由器的基本功能—IP分組的轉發。該子系統實現IPv6、ICMPv6和Neighbor Discovery三個主要協議以及IPv4協議棧中的相應協議,并能夠同時支持單處理器平臺和分布式多處理器平臺的IP分組轉發。
? 路由協議處理子系統
路由協議處理子系統主要實現IPv4/IPv6互連網關上的BGP4+的代理,4to6過渡協議需要支持IPv4路由表向IPv6傳播,并從IPv6網絡中學習IPv4路由表。該部分主要實現4to6過渡協議中的路由處理機制,包括組播路由的支持。
? 支撐子系統
支撐子系統是整個IPv4/IPv6互連網關系統上層應用實體的服務提供者。從協議角度看,它為BGP4+代理以及網管協議SNMP提供服務;從系統角度來看,它是操作和管理系統的一種手段。支撐子系統將實現它的三個組成部分的協議規范要求,實現了端到端的數據傳輸,并且提供了一種遠程登錄訪問的手段。
? IPv4/IPv6安全網關核心功能處理子系統
安全網關核心功能處理主要是實現IPv4/IPv6網絡過渡機制和過渡技術,目前包括協議翻譯轉換技術、隧道技術、4to6過渡技術以及應用層網關技術。安全網關3個主要的部分:報文翻譯,DNS應用層網關,FTP應用層網關。
.jpg)
圖1-5 NAT_PT的總體結構圖
? 報文翻譯
報文翻譯部分是NAT_PT的最基礎部分。它負責進行IPv4和IPv6報文之間的翻譯。具體的實現主要針對TCP、UDP和ICMP三種不同類型的報文進行翻譯。由于TCP自己的特性,在地址映射的時間上,還有TCP建立連接的時候,對動態地址池的操作都和UDP、ICMP有所區別。
? DNS應用層網關
DNS應用層網關部分是為了支持DNS的IPv6擴展功能的。它主要對針對目的端口/源端口=53的DNS_UDP報文進行翻譯的。DNS應用層網關的主要功能是支持外部的IPv4主機對IPv6域內服務器的訪問。這樣,當外部的DNSv4的查詢報文通過路由器的時候,將被翻譯后送到IPv6域內的IPv6 DNS服務器。同樣IPv6域內的IPv6 DNS服務器的DNSv6回復報文,也將被翻譯后返回給原IPv4主機。
? FTP應用層網關
由于FTP的IPv6擴展功能和現有的IPv4FTP命令不相同,不完全兼容,所以需要對FTP的命令作翻譯。同時的由于TCP報文的負荷長度有所變動,所以還需要對一個FTP的連接的所有TCP數據報的順序號進行修正。FTP應用層網關部分主要對針對目的端口/源端口=21的FTP_TCP報文進行翻譯。
3 IPv4/IPv6安全網關解決方案
根據IPv4/IPv6安全網關的原理和市場需求,從性能,可擴展性以及高可靠性的角度出發,推薦采用研祥(EVOC)的網絡系統平臺NPC-8205作為解決方案的硬件平臺,在此可靠的平臺上實現IPv4/IPv6安全網關。
NPC-8205是一款基于Intlel新一代服務器JasperForest平臺的高端網絡應用系統產品。采取的服務器平臺,北橋集成在CPU里面,大大提高了CPU對內存和外設的訪問速度。全模塊化的網絡設計,可靈活選擇光電組合,并在千兆,萬兆之間靈活切換。主板支持兩顆CPU,支持12個DIMM內存槽,6個SATA接口。支持CF卡,板載PCI擴展槽和兩個PCI-E擴展槽。整機支持三個全模塊的網絡擴展,支持兩個2.5寸抽拉硬盤位,支持液晶屏顯示,板載2千兆電口,1個串口,2個USB,前面板可擴展兩個PCI –E設備,支持冗余電源。
? 采用JASPER FOREAST平臺具有以下優點:
(1)支持超線程:第三代超線程技術。
(2)支持虛擬化設備輸入/輸出 (VT-d):在之前以虛擬化CPU為主的基礎上增加設備輸入/輸出的虛擬化,能有效提高虛擬機的性能和效率。
(3)內核加速模式(Turbo Mode):內核運行動態加速。可以根據需要開啟、關閉以及加速單個內核的運行。這樣動態的調整可以提高系統和CPU整體的能效比率。
(4)Cache的設計:采用三級全內含式Cache設計,L1的設計和Core 微架構一樣;L2采用超低延遲的設計,每個內核256KB;L3采用共享式設計,被片上所有內核共享。
(5) 集成了內存控制器(IMC):從芯片組上移到CPU片上,支持多通道DDR3內存,內存讀取的延遲大幅度減少,內存帶寬大幅提升,最多可達三倍。
(6)QPI:“快速通道互聯”,取代前端總線(FSB)的一種點到點連接技術,20位寬的QPI連接其帶寬可達驚人的每秒25.6GB,遠非FSB可比。QPI最初能夠發放異彩的是支持多個處理器的服務器平臺,QPI可以用于多處理器之間的互聯。
? 自由切換的光電口模塊設計
不打開箱蓋,直接在前面板操作,就可以在光口模塊和電口模塊間任意更換。可以靈活的搭配出光口不同數量。電口不同數量。光口模塊和電口模塊混合同時使用。
.jpg)
應用原理圖
4.結束語
綜上可見,研祥(EVOC)的網絡系統平臺NPC-8205作為實現IPv4/IPv6安全網關解決方案的硬件平臺,解決了IPv4/IPv6安全網關對對計算性能,存儲性能,可靠性能,擴展性能的需求,是一個比較優秀的解決方案。
參考文獻:
(1) 馮登國. 計算機通信網絡安全(M).北京:清華大學出版社,2001.2
(2) www.intel.com. 英特爾嵌入式與通信產品資源,技術和解決方案
(3) Christopher Y.Metz. IP Switching Protocols and Architeetures. 北京:機械工業出版社,1999.11
作者簡介:吳峰(1982-),男,學士,研祥智能科技股份有限公司網絡產品經理。
北京市公安局海淀分局備案號:11010802023656號