日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

  摘    要：該文對IPv4/IPv6安全網(wǎng)關的原理和應用情況進行了分析，對解決方案進行了論述，并給出了解決方案。

  關鍵詞：安全網(wǎng)關，IPv4，IPv6，EVOC，NPC

1 引言

        IPv6取代IPv4已經(jīng)成為公認的事實，然而這將是一個長期的、漸進的過程。IPv6的部署大致要經(jīng)歷一個過程。初始階段，在IPv4的網(wǎng)絡海洋中，會出現(xiàn)若干局部零散的IPv6孤島，為了保持通信，這些孤島通過跨越IPv4的隧道彼此連接。隨著IPv6規(guī)模的應用，原來的孤島逐漸聚合成為了骨干的IPv6 Internet網(wǎng)絡，形成于IPv4骨干網(wǎng)并存的局面。在IPv6骨干上可以引入了大量的新業(yè)務，同時可以充分發(fā)揮IPv6的優(yōu)勢。為了實現(xiàn)IPv6和IPv4網(wǎng)絡資源的互訪，還需要轉換服務器以實現(xiàn)IPv6和IPv4的互通。最后，IPv4骨干網(wǎng)逐步萎縮成局部的孤島，通過隧道連接，IPv6占據(jù)主導地位，具備全球范圍的連通性。

　　IPv6提供很多過渡技術來實現(xiàn)這個漸進過程。這些過渡技術主要圍繞著解決兩類問題：IPv6孤島互通技術——實現(xiàn)IPv6網(wǎng)絡和IPv6網(wǎng)絡的互通；IPv6和IPv4互通技術——實現(xiàn)兩個不同網(wǎng)絡之間互相訪問資源。因此我們提出研制IPv4/IPv6互聯(lián)網(wǎng)關，通過協(xié)議地址翻譯的機制來解決IPv4和IPv6的互聯(lián)互通問題，實現(xiàn)IPv4向IPv6的平滑過渡。該設備可應用在城域網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)和其他專用網(wǎng)絡上，實現(xiàn)各級子網(wǎng)對現(xiàn)有IPv6/IPv4資源的安全訪問。圖1-1為IPv4/IPv6網(wǎng)關的典型應用場景?！D1-2為IPv4/IPv6網(wǎng)關組網(wǎng)的連接情況。

         

                              圖1-1 IPv4/IPv6安全網(wǎng)關的典型應用場景

　

            

                                     圖1-2 IPv4/IPv6安全網(wǎng)關組網(wǎng)


2 IPv4/IPv6安全網(wǎng)關原理

        IPv4/IPv6安全網(wǎng)關主要由四部分構成，分別為機械結構部分、路由器電器部分、一次電源和通風散熱系統(tǒng)。機械部分包括主機箱和配線架，主機箱可以外購或者按照機械尺寸定制，配線架采用19英寸機箱的標準配線架；一次電源和電源廠家協(xié)商定制；通風散熱系統(tǒng)由兩組風扇組成，負責網(wǎng)關主機框和電源的散熱；路由器電器將采用主控板、交換板、電源冗余設計等模塊實現(xiàn)模塊化結構設計，具有平滑的可升級能力。IPv4/IPv6安全網(wǎng)關的體系結構如圖1-3所示。

           

                                                      圖1-3 IPv4/IPv6網(wǎng)關體系結構


       安全網(wǎng)關主要包括支撐子系統(tǒng)，路由協(xié)議處理子系統(tǒng)（主要是BGP4+代理），IPv4/IPv6互連網(wǎng)關核心功能處理子系統(tǒng)、IP轉發(fā)子系統(tǒng)（分布式結構），操作管理子系統(tǒng)等等。圖1-4給出了在該體系結構下，IP分組流動的示意圖。

                       

                                        圖1-4 IP分組處理流程示意圖


? 操作與管理子系統(tǒng)

        操作與管理子系統(tǒng)（OAM子系統(tǒng)）是整個IPv4/IPv6互連網(wǎng)關的控制核心。它需要實現(xiàn)對整個IPv4/IPv6互連網(wǎng)關系統(tǒng)的控制和管理。操作與管理子系統(tǒng)的主要功能包括：提供多種用戶操作界面，包括控制臺、虛擬終端和SNMP網(wǎng)絡管理；實現(xiàn)被管理模塊之間的信息交互；提供分布式支持；實現(xiàn)錯誤檢測和錯誤恢復功能；提供一套完善的運行時調試接口。

? IP轉發(fā)子系統(tǒng)

         轉發(fā)子系統(tǒng)實現(xiàn)IPv4/IPv6互連網(wǎng)關系統(tǒng)中路由器的基本功能—IP分組的轉發(fā)。該子系統(tǒng)實現(xiàn)IPv6、ICMPv6和Neighbor Discovery三個主要協(xié)議以及IPv4協(xié)議棧中的相應協(xié)議，并能夠同時支持單處理器平臺和分布式多處理器平臺的IP分組轉發(fā)。

? 路由協(xié)議處理子系統(tǒng)

路由協(xié)議處理子系統(tǒng)主要實現(xiàn)IPv4/IPv6互連網(wǎng)關上的BGP4+的代理，4to6過渡協(xié)議需要支持IPv4路由表向IPv6傳播，并從IPv6網(wǎng)絡中學習IPv4路由表。該部分主要實現(xiàn)4to6過渡協(xié)議中的路由處理機制，包括組播路由的支持。

?   支撐子系統(tǒng)

        支撐子系統(tǒng)是整個IPv4/IPv6互連網(wǎng)關系統(tǒng)上層應用實體的服務提供者。從協(xié)議角度看，它為BGP4+代理以及網(wǎng)管協(xié)議SNMP提供服務；從系統(tǒng)角度來看，它是操作和管理系統(tǒng)的一種手段。支撐子系統(tǒng)將實現(xiàn)它的三個組成部分的協(xié)議規(guī)范要求，實現(xiàn)了端到端的數(shù)據(jù)傳輸，并且提供了一種遠程登錄訪問的手段。

?   IPv4/IPv6安全網(wǎng)關核心功能處理子系統(tǒng)

        安全網(wǎng)關核心功能處理主要是實現(xiàn)IPv4/IPv6網(wǎng)絡過渡機制和過渡技術，目前包括協(xié)議翻譯轉換技術、隧道技術、4to6過渡技術以及應用層網(wǎng)關技術。安全網(wǎng)關3個主要的部分：報文翻譯，DNS應用層網(wǎng)關，F(xiàn)TP應用層網(wǎng)關。

                         

                                           圖1-5 NAT_PT的總體結構圖


?   報文翻譯

        報文翻譯部分是NAT_PT的最基礎部分。它負責進行IPv4和IPv6報文之間的翻譯。具體的實現(xiàn)主要針對TCP、UDP和ICMP三種不同類型的報文進行翻譯。由于TCP自己的特性，在地址映射的時間上，還有TCP建立連接的時候，對動態(tài)地址池的操作都和UDP、ICMP有所區(qū)別。

?    DNS應用層網(wǎng)關

         DNS應用層網(wǎng)關部分是為了支持DNS的IPv6擴展功能的。它主要對針對目的端口/源端口=53的DNS_UDP報文進行翻譯的。DNS應用層網(wǎng)關的主要功能是支持外部的IPv4主機對IPv6域內服務器的訪問。這樣，當外部的DNSv4的查詢報文通過路由器的時候，將被翻譯后送到IPv6域內的IPv6 DNS服務器。同樣IPv6域內的IPv6 DNS服務器的DNSv6回復報文，也將被翻譯后返回給原IPv4主機。

?   FTP應用層網(wǎng)關

        由于FTP的IPv6擴展功能和現(xiàn)有的IPv4FTP命令不相同，不完全兼容，所以需要對FTP的命令作翻譯。同時的由于TCP報文的負荷長度有所變動，所以還需要對一個FTP的連接的所有TCP數(shù)據(jù)報的順序號進行修正。FTP應用層網(wǎng)關部分主要對針對目的端口/源端口=21的FTP_TCP報文進行翻譯。

3 IPv4/IPv6安全網(wǎng)關解決方案

        根據(jù)IPv4/IPv6安全網(wǎng)關的原理和市場需求，從性能，可擴展性以及高可靠性的角度出發(fā)，推薦采用研祥（EVOC）的網(wǎng)絡系統(tǒng)平臺NPC-8205作為解決方案的硬件平臺，在此可靠的平臺上實現(xiàn)IPv4/IPv6安全網(wǎng)關。

        NPC-8205是一款基于Intlel新一代服務器JasperForest平臺的高端網(wǎng)絡應用系統(tǒng)產(chǎn)品。采取的服務器平臺，北橋集成在CPU里面，大大提高了CPU對內存和外設的訪問速度。全模塊化的網(wǎng)絡設計，可靈活選擇光電組合，并在千兆，萬兆之間靈活切換。主板支持兩顆CPU，支持12個DIMM內存槽，6個SATA接口。支持CF卡，板載PCI擴展槽和兩個PCI-E擴展槽。整機支持三個全模塊的網(wǎng)絡擴展，支持兩個2.5寸抽拉硬盤位，支持液晶屏顯示，板載2千兆電口，1個串口，2個USB，前面板可擴展兩個PCI –E設備，支持冗余電源。

?    采用JASPER FOREAST平臺具有以下優(yōu)點：

       （1）支持超線程：第三代超線程技術。 

       （2）支持虛擬化設備輸入/輸出 (VT-d)：在之前以虛擬化CPU為主的基礎上增加設備輸入/輸出的虛擬化，能有效提高虛擬機的性能和效率。

       （3）內核加速模式(Turbo Mode)：內核運行動態(tài)加速。可以根據(jù)需要開啟、關閉以及加速單個內核的運行。這樣動態(tài)的調整可以提高系統(tǒng)和CPU整體的能效比率。

       （4）Cache的設計：采用三級全內含式Cache設計，L1的設計和Core 微架構一樣；L2采用超低延遲的設計，每個內核256KB；L3采用共享式設計，被片上所有內核共享。

       （5） 集成了內存控制器(IMC)：從芯片組上移到CPU片上，支持多通道DDR3內存，內存讀取的延遲大幅度減少，內存帶寬大幅提升，最多可達三倍。

       （6）QPI：“快速通道互聯(lián)”，取代前端總線(FSB)的一種點到點連接技術，20位寬的QPI連接其帶寬可達驚人的每秒25.6GB，遠非FSB可比。QPI最初能夠發(fā)放異彩的是支持多個處理器的服務器平臺，QPI可以用于多處理器之間的互聯(lián)。

?   自由切換的光電口模塊設計

        不打開箱蓋，直接在前面板操作，就可以在光口模塊和電口模塊間任意更換?？梢造`活的搭配出光口不同數(shù)量。電口不同數(shù)量。光口模塊和電口模塊混合同時使用。

                
                                           應用原理圖


4.結束語

       綜上可見，研祥（EVOC）的網(wǎng)絡系統(tǒng)平臺NPC-8205作為實現(xiàn)IPv4/IPv6安全網(wǎng)關解決方案的硬件平臺，解決了IPv4/IPv6安全網(wǎng)關對對計算性能，存儲性能，可靠性能，擴展性能的需求，是一個比較優(yōu)秀的解決方案。

參考文獻：

（1） 馮登國. 計算機通信網(wǎng)絡安全（M）.北京：清華大學出版社，2001.2

（2） www.intel.com. 英特爾嵌入式與通信產(chǎn)品資源，技術和解決方案

（3） Christopher Y.Metz. IP Switching Protocols and Architeetures. 北京：機械工業(yè)出版社，1999.11

作者簡介：吳峰（1982-），男，學士，研祥智能科技股份有限公司網(wǎng)絡產(chǎn)品經(jīng)理。