（通信与信息系统专业论文）网络访问控制器的开发.pdf

北京交通大学硕士论文 第l 章绪论 1 1 历史状况 计算机的发展和普及使得信息安全的安全问题日益突出， 相关的安全技术也成为人们研究的热点。访问控制技术作为国 际化标准组织定义的五项标准安全服务之一，是实现信息系统 安全的一项重要机制。美国国防部的可信计算机系统评估把访 问控制作为评价系统安全的重要指标之一，其设计对提高系统 安全的重要性是不言而喻的。访问控制技术的应用非常广泛， 操作系统、数据库系统、防火墙以及应用程序等，都需要通过 访问控制技术实现对资源的合理利用和合法访问。 计算机信息系统访问控制技术最早产生于六十年代，随后 出现了两种重要的访问控制技术：自主型访问控制技术和强制 型访问控制技术。它们在多用户系统中得到了广泛的应用，对 计算机信息系统的安全做出了很大的贡献。然而传统的访问控 制技术远远落后于当代系统安全的需要，二十世纪九十年代以 来，基于角色的访问控制技术( r o l eb a s e da c c e s sc o n t r o l ，简 称r b a c ) 越发引起人们的关注和兴趣。 进入2 0 世纪9 0 年代以来，世界经济的发展推动着信息产 业的高速发展，信息技术与网络的应用己成为衡量2 1 世纪国 力与企业竞争力的重要标准。信息高速公路的服务对象是整个 社会，因此它要求网络无所不在，未来的计算机网络将覆盖所 有的企业、学校、科研部门、政府及家庭，其覆盖范围甚至要 北京交通大学硕士论文 超过目前的电话通信网。为了支持各种信息的传输，网络必须 具有足够的带宽、很好的服务质量和完善的安全机智，支持多 媒体通信，以满足不同的应用要求。在2 0 0 2 年，世界宽带市 场蓬勃发展的时候，就在美国硅谷成立了专门针对网络应用的 研发中心，研发中心的主要课题是解决宽带网络的资源合理配 合及最优化应用的问题。率先推出基于l i n u x 系统的流量控制 系统，并在国内几家专频微波宽带接入提供商进行实际应用。 我们在此潮流之下基于i p 管理的流量控制系统撼苍，不断推 陈出新，并在国内电信业改革及3 5 g 微波宽带接入招标成功 的大背景下，将流量控制系统转化为稳定的硬件产品。 1 2 国内外技术现状 随着计算机及网络的迅速发展，计算机系统广泛的与各类 实际部门相结合。这固然大大的提高了工作效率，但同时也把 我们的一切同计算机系统的安全联系在了一起。而就目前的现 状来看，普通的计算机系统远远达不到足够的安全要求。而即 便是安全级别很高的军用计算机系统，也是经常被非法访问 的。由此而带来的问题正使我们的世界变得越来越脆弱。所 以，计算机系统的安全问题正在越来越多的受到人们的重视。 一般情况下，计算机系统安全包括两个方面的问题： 1 )防止非法用户进入系统： 2 )防止合法用户对系统资源的非法使用。 实际上，非法用户进入系统的情况，对于一个大体安全的 系统( 之所以说“大体安全”，是因为不可能有一个绝对安全 北京交通大学硕士论文 的“终极系统”) ，在系统管理员没有错误配置系统资源或进行 错误的操作的话，只有很少的具备很高的计算机水平的“黑 客”才可能做到。所以，对这方面的研究虽然意义很重要，但 是并不那么的具有普遍性。但是，随着人们计算机水平的普遍 提高，这方面的研究的迫切性和重要性将呈现高比例的增长。 而大部分情况下，合法用户系统资源非法使用，才是对系 统的最大的危害所在。通常产生的安全事件，都是部门或企业 内部的人员超越了他们的权限，非法访问他们所不应该访问的 数据资源所导致的。这样，这一方面的重要性就显现出来了。 所以系统就必须决定合法用户对该系统的哪一类资源可以进行 哪一种类型的访问。 在实际的应用中，计算机安全问题的范围非常广泛，例 如：网络安全、计算机编码和和解码、计算机软件和安全管理 制度等。其中，最为主要的就是访问控制的技术。 1 3 发展趋势 n e t c e l e r a t o r 在微波宽带接入和光纤接入服务等业务中体 现了很强的优越性，在企业中也有非常广泛的应用。 对于一个企业的网络管理者来说，充分利用宽带接入资 源，保证关键部门的正常办公，而又得到各部门的满意是非常 重要的工作之一，n e t c e l e r a t o r 就是可以轻松帮助他实现高效 网络管理的最佳工具。 相信在不断的研究开发之下，n e t c e l e r a t o r 一定会成为功 能更为强大，应用范围更广，兼容性更佳的一流网络软件。 北京交通大学硕士论文 2 1 系统需求 第2 章总体设计 2 1 1 功能需求 2 1 1 1 功能需求( 一) 流量控制 流量规则：显示、添加、删除或更新带宽管制的规则。 带宽管制是依据所设定的带宽，在网络拥塞时决定传输的优 先顺序，相对的当网络并不拥挤时也可获得超出设定的带宽。 带宽管制规则包含名称，一个或一个以上的i p 地址，以及使 用的带宽( 所有i p 总和) 。 带宽设定基准是设定带宽管制的标准带宽。带宽管制依据由规则 所设定的带宽赋予每一个由该规则所属的i p 地址送出的数据包 一优先顺序等级。等级共分6 级，而等级大小则由此带宽基准换 算而来。例如，基准带宽为3 2k b p s ，规则设定使用带宽小于3 2 k b p s 为等级5 ，大于或等于3 2 且小于6 4 为等级4 ，大于或等于 6 4 且小于9 6 为等级3 ，大于或等于9 6 且小于1 2 8 为等级2 ，大 于或等于1 2 8 且小于1 6 0 为等级l ，大于或等于1 6 0 为等级o 。 e r s 1 0 6 n 计算出每一数据包的等级而决定传输的先后顺序。假 如菜一i p 地址使用超过其设定的带宽e r s 1 0 6 n 会根据超越多寡 增加等级( 降低权限) 以达到管制的目地。 北京交通大学硕士论文 设定绝对带宽设定入( 下行) 或出( 上行) 的带宽为绝对带宽或 可分享带宽。当设定为绝对带宽时，假如某一规则所属的i p 地址送出数据包的速度超出设定的带宽，则数据包会被丢弃以 达到不超出配置的带宽上限。假如没有设定决对带宽管制，当 使用带宽超出限定规则数据包会按照带宽设定基准中所描述的 权限分配机制来传送。 流量图表：依据带宽管制下所搜集的网络使用资料汇聚成网 络带宽使用图、每月网络带宽使用表以及最高5 爝络带宽使 用月报表。 带宽使用报表流量图表记录并显示设定的管制规则的使用情 形。选择所想要产生的管制规则名称、种类及日期范围单击 产生按钮产生报表，或单击复位按钮删除所选择管制 规则的资料或将已删除的管制规则从选项中删除。 带宽使用圈选择既有的管制规则，可以曲线图显示此规则内 所有i p 使用的带宽。r s 1 0 6 n 每5 分钟记录所使用的带宽并 以此制成每日、每星期、每月及整年的带宽使用图表。 带宽使用月报表此月报表显示本月每日每5 分钟内该管制规 则所涵盖所有i p 传输的网路使用量。 最高5 带宽使用月报表最高5 带宽使用月报表用以显示整个 网路带宽的使用情形，可依此表作为调整网路结构或升级的参 考数据。n e t c e l e r a t o r 将每5 分钟计算所得的使用带宽加以 北京交通大学硕士论文 记录汇整，删除使用带宽最低的9 5 ( 每日8 6 4 0 次，5 = 4 3 2 次) 后，将剩下的5 由低而高排序。此表显示最高5 颠峰带宽使 用可更客观的显示区域网路的使用情形。 2 1 1 2 功能需求( 二) 地址定向 添加数据包重定向的规则，这规则由四个部分所组成：源地址 是指e r s 1 0 6 n 的i p 地址：源地址端口是指共同性网络服务的 端口；目的地址是指网络内部主机的i p 地址。氲定向是一种 可以将数据包转送给另外一部主机的功能。这功能的主要用处 在于，如果将网站服务( w c bs e r v e r ) 或电子邮件服务( e m a i l s e r v e r ) 设定在网络内其它主机，那么e r s 1 0 6 n 就将特定的数 据包转送出去。 2 1 1 3 功能需求( 三) 防火墙 防火墙规则： 防火墙服务：如果本身的区域网络包含真正i p 地址，那么区 域网络就必须靠防火墙来保护。启用e r - s 】0 6 n 会根据快速协 议筛选器或是自定防火墙规则的设定来过滤因特网的使用。 快速协议筛选器：在这选项中，使用者可以控制自己的区域网 络中的某些特定的端口。例如h t t p ，f t p ，n n t p ，d n s ， s m t p ，p o p 3 和i r c 。输入到此是指数据包从外部网络进入 本地端区域网络，从此输入是指数据包从本地端区域网络送往 外部网络。转送是指e r s 1 0 6 n 将数据包从一外部网络转送到 ! ! 塞奎堡查兰堡圭鎏兰 另一外部网络。 自定义规则：提供在快速协议筛选器中所没有的防火墙的设 定。 2 1 1 4 功能需求( 四) 服务 安全服务器、n t p 服务器、邮件服务器、s n m p 代理。 2 1 2 流量指标需求 由于此软件应用在i n t e r n e t 与局域网接口处，故需要有很 大的通道流量和很强的流量控制能力。 2 1 3 运行环境要求 l i n u x 操作系统，可在m i c r o s o f tw i n d o w s 操作系统 下通过w e b 页面控制。 2 1 4 稳定性需求 能正常运行不间断1 0 0 天以上。并且稳定。流量不能低 于1 m b 。 2 1 5 可靠性需求 能防止基本的网络非法操作，保密性要求较好。系统要求 能稳定地运行。能对一般的异常进行处理。 北京交通大学硕士论文 2 1 6 保密性需求 必须通过密码和指定i p 的双重认证才可拥有用户管理员 权限来管理软件。并且在一些关键页面加入验证信息。避免非 法用户利用路径直接登陆。 2 1 7 界面需求 界面要求能尽可能的人性化，要给人留下亲切、温暖的第 一感觉。整个界面的结构清晰，各功能模块明显，操作方便。 2 1 8 进度需求 第一阶段，进行需求分析，概要设计。 第二阶段，分析与设计过程的整理工作，而后进行基本元 素的界强设计，在文档基础上进行详细设计分析； 第三阶段，在基本界面完成后，在以前成果的基础上进行 核心代码编写，并将代码嵌入界面。 2 2 技术指标 协议：m e e 8 0 2 3 8 0 2 3 u1 0 ，1 0 0 b 髂e - t 广域网接口：1 1 0 1 0 0 b a s c - t 自适应 局域网接口：6 1 0 1 0 0 b a s c t 自适应 背板带宽：1 8 g m a c 地址表：2 k r a m 缓冲：1 m 二层交换模式：存储埠 发 1 3 北京交通大学硕士论文 最大包过滤转发率：1 4 ，8 8 0 p p s ( 1 0 m b p s ) 1 4 8 ，8 0 0 p p s ( 1 0 0 m b p s ) 数据流控制：支持i e e e 8 0 2 3 x s n m p r m o n ：w e b 支持 t 。l l l c l s s h 2 ：支持 v i n ：否 i p ，m a c 地址安全过滤：支持 f i r e w a l l ：支持 c a c h c ：支持 w w w ：支持 m a i l ：支持 2 3 设计方案 2 3 1 系统强壮性 嵌入式的l i n u x 内核。 最小内核技术，系统无缺陷。 不会受病毒的侵害。 系统资源利用率最高。 系统可扩展性最好。 内置路由功能，无须购买路由器就可以实 现基于路由的服务。 北京交通大学硕士论文 2 3 2 配置简单 客户端只需要设置所需要的地址和网关。 任何应用软件无须更多设置。 软件使用习惯就像你独占i n t e r n e t 一 样。 各个系统保持充分的独立性。 2 3 3 防止i p 地址盗用和i p 欺诈 客户端的网关设置错误不会引至系统崩 溃。 i p 地址冲突不会造成致命系统崩溃。 对网关的设置不会造成系统的崩溃。 2 3 4 高速c a c h e 缓存技术 ， 提供高速成的w e bc a c h e 技术，提高网络 利用效率。 透明的缓存技术，客户端无需任何设置。 提供硬盘和r a m 两个缓存模式，进一步提 高网络及系统的利用率。 北京交通大学硕士论文 2 4 3 防火墙 可对每一端口服务设定防火墙规则； 2 4 4 网络交换 整合6 个自适应二层交换端口于服务器内，可以多子网 级联： 2 4 5 虚拟专网 可以作为v p n 隧道连接网关，实现高保密幢韵跨区域数据 传输，加密位长达1 0 2 4 位。 北京交通大学硕士论文 第3 章关键技术的介绍 3 1 流量控制( t h 腑cc o n t r 0 1 ) 在e r s 1 0 6 n 中实现流量控制( t r a f f i cc o n t r 0 1 ) 主要是 在输出端口( w a n ) 处建立一个队列，并在队列的基础上增加包 过滤来实现流量控制，控制的方式是基于路由，亦即基于日的 i p 地址或目的子网的网络号的流量控制。流蠡接制的基本功 能模块为队列、分类和包过滤。 实现流量控制主要分为以下几个方面：建立队列、建立分 类、建立过滤器和建立路由，另外还需要对现有的队列、分 类、过滤器和路由进行监视。下面以一个简单的网络环境为 例： 流量控制器上的以太网卡( e t h 0 ) 的i p 地址为1 9 2 1 6 8 1 6 6 ，在 其上建立一个c b q 队列。假设包的平均大小为l o o o 字节。包间隔发送 单元的大小为8 字节，可接收冲突的发送最长包数目为2 0 字节 假如有三种类型的流量需要控制： a 是发往主机l 的，其i p 地址为1 9 2 1 6 8 1 2 4 。其流量带宽控制 在8 m b i t ，优先级为2 ； b 是发往主机2 的，其i p 地址为1 9 2 1 6 8 1 2 6 ，其流量带宽控制 在l 抽i t 优先级为1 ： c 是发往子网l 的，其子网号为1 9 2 1 6 8 1 0 ，子网掩 x 北京交通大学硕士论文 “基准带宽”是流量控制的一种策略，它的工作原理同路由器 一样，是根据不同用户的带宽预定和实际占用的资源，以排序 队列的方式实现，例如： 客户a 的带宽约定是6 4 k ， 客户b 的带宽约定是1 2 8 k ， 客户c 的带宽约定是2 5 6 k ， 此时设定基准带宽是6 4 k ，那么其优先顺序是c b a 如果设定基准带宽是1 2 8 k ，那么其优先顺序荛c b ：a 假设客户c 做f t p 数据传输，将严重占用整个带宽资源， 若此时客户a 和b 发生了流量请求，则客户c 在队列中的优先 权会逐渐降低直到a 和b 的优先权超过c ，其后三个客户发生 的数据请求按照带宽约定值动态实时地进行队列排序。 注意，这种处理机制对数据包永远不会丢弃。 绝对带宽( r a t eb o u n d e d ) 在很多情况下，仅仅使用“基准带宽”控制使不够的，那 就是当客户a 和b 都没有使用资源时，整个资源由c 独享，这 可能有悖于最初的带宽约定，由此引发费用的争议。如果出现 这种情况，我们可以通过设定“绝对带宽”的方法进行流量控 制，这样做的结果是即便a 和b 没有占用资源，c 也不能独占 带宽，而只能使用到2 5 6 k ，超过约定的数据包将被丢弃。 策略的制定是和实际使用环境密不可分的当去往直联网 的资源有限且紧张时，我们建议使用“绝对带宽”( 带宽基准 也是起作用的) ，如一些小型i s p 或通过微波实现接入的运营 商：如果去往互联网的资源充裕或在企业中应用时，可以仅使 2 0 北京交通大学硕士论文 用“带宽基准”，不必使用“绝对带宽”，这样做的好处是可以 让下面的用户充分利用网络资源，为客户或企业下属部门提供 更优越的网络环境。 3 2 简单网络管理( s n m p ) 简单网络管理协议( s n m p ) 是由i n t e r n e t 工程任务组织 ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) ( i e t f ) 的研； ，、组为了 解决i n t e r n e t 上的路由器管理问题而提出的。，剁肝被设计成 与协议无关，所以它可以在i p ，i p x ，a p p l e t a l k ，0 s i 以及其 他用到的传输协议上被使用。 s n m p 是一系列协议组和规范，它们提供了一种从网络上 的设各中收集网络管理信息的方法。s n m p 也为设备向网络管 理工作站报告问题和错误提供了一种方法，同时提供了用户自 行开发或融合原有的网络管理系统的标准接口。 s n m p 工作在用户数据报协议( u d p ) 上，u d p 是t c p i p 协 议组中的一部分。最新的版本也支持其它的环境。几乎所有的 网络设备生产厂家都实现了对s n m p 的支持。领导潮流的s n 忡 是一个从网络上的设备收集管理信息的公用通信协议。设备的 管理者收集这些信息并记录在管理信息库( m i b ) 中。这些信 息报告设备的特性、数据吞吐量、通信超载和错误等。m i b 有 公共的格式，所以来自多个厂商的s n m p 管理工具可以收集 m i b 信息，在管理控制台上呈现给系统管理员。 通过将s n m p 嵌入数据通信设备，如交换机或集线器中， 就可以从一个中心站管理这世设备，并以图形方式查看信息。 北京交通太学硕士论文 目前可获取的很多管理应用程序通常可在大多数当前使用的操 作系统下运行，如w i n d o w s 3 1 l 、w i n d o w s 9 5 、w i n d o w sn t 和 不同版本u n i x 的等。 一个被管理的设备有一个管理代理，它负责向管理站请求 信息和动作，代理还可以借助于陷阱为管理站提供站动提供的 信息，因此，一些关键的网络设备( 如集线器、路由器、交换 机等) 提供这一管理代理，又称s n 盱代理，以便通过s n m p 管 理站进行管理。 从被管理设备中收集数据有两种方法：一种是只轮询 ( p 0 1 1 i n g o n l y ) 的方法，另一种是基于中断( i n t e r r u p t b a s e d ) 的方法。 如果你只使用只轮询的方法，那么网络管理工作站总是在 控制之下。而这种方法的缺陷在于信息的实时性，尤其是错误 的实时性。你多久轮询一次，并且在轮询时按照什么样的设备 顺序昵? 如果轮询问隔太小，那么将产生太多不必要的通信 量。如果轮询间隔太大，并且在轮询时顺序不对，那么关于一 些大的灾难性的事件的通知又会太慢。这就违背了积极主动的 网络管理目的。 当有异常事件发生时，基于中断的方法可以立即通知网络 管理工作站( 在这里假设该设备还没有崩溃，并且在被管理设 备和管理工作站之间仍有一条可用的通信途径) 。然赢，。这种 方法也不是没有他的缺陷的，首先，产生错误或自陷需要系统 资源。如果自陷必须转发大量的信息，那么被管理设备可能不 得不消耗更多的时间和系统资源来产生自陷，从而影响了它执 2 2 北京交通大学硕士论文 行主要的功能( 违背了网络管理的原则2 ) 。 而且，如果几个同类型的自陷事件接连发生，那么大量网 络带宽可能将被相同的信息所占用( 违背了网络管理的原则 1 ) 。尤其是如果自陷是关于网络拥挤问题的时候，事情就会变 得特别糟糕。克服这一缺陷的一种方法就是对于被管理设备来 说，应当设置关于什么时候报告问题的阂值( t h r e s h o l d ) 。但 不幸的是这种方法可能再一次违背了网络管理的原则2 ，因为 设备必须消耗更多的时间和系统资源，来决定个自陷是否应 该被产生。 结果，以上两种方法的结合：面向自陷的轮询方法 ( t r a p d i r e c t e dp o l l i n g ) 可能是执行网络管理最为有效的 方法了。一般来说，网络管理工作站轮询在被管理设备中的代 理来收集数据，并且在控制台上用数字或图形的表示方式来显 示这些数据。这就允许网络管理员分析和管理设备以及网络通 信量了。 被管理设备中的代理可以在任何时候向网络管理工作站报 告错误情况，例如预制定阈值越界程度等等。代理并不需要等 到管理工作站为获得这些错误情况而轮询他的时候才会报告。 这些错误情况就是众所周知的s n m p 自陷( t r a p ) 。 在这种结合的方法中，当一个设备产生了一个自陷时，你 可以使用网络管理工作站来查询该设备( 假设它仍然是可到达 的) ，以获得更多的信息。 北京交通大学硕士论文 3 3 简单防火墙( f i r e w a ) 防火墙是一类防范措施的总称，它使得内部网络与 i nl e r n e t 之间或者与其他外部网络互相隔离、限制网络互访 用来保护内部网络。设置防火墙目的都是为了在内部网与外部 网之间设立唯一的通道，简化网络的安全管理。 防火墙的功能有： 1 、过滤掉不安全服务和非法用户 2 、控制对特殊站点的访问 3 、提供监视i n t e r n e t 安全和预警的方便端点 设立防火墙的主要目的是保护一个网络不受来自另一个 网络的攻击。通常，被保护的网络属于我们自己，或者是我们 负责管理的，而所要防备的网络则是一个外部的网络，该网络 是不可信赖的，因为可能有入会从该网络上对我们的网络发起 攻击，破坏网络安全，对网络的保护包括下列工作：拒绝未经 授权的用户访问，阻止未经授权的用户存取敏感数据，同时允 许合法用户不受妨碍的访问网络资源。 不同的防火墙侧重点不同。从某种意义上来说，防火墙 实际上代表了一个网络的访问原则。如果某个网络决定设定防 火墙，那么首先需要有网络决策人员及网络专家共同决定本网 络的安全策略( s e c u r i t yp 0 1 i c y ) ，即确定哪些类型的信息允 许通过防火墙，哪些类型的信息不允许通过防火墙。防火墙的 职责就是根据本单位的安全策略，对外部网络与内部网路交流 的数据进行检查，符合的予以放行，不符合的拒之门外。 北京交通大学硕士论文 在设计防火墙时，除了安全策略以外，还要确定防火墙 类型和拓扑结构。一般来说，防火墙被设置在可信赖的内部网 络和不可信赖的外部网络之间。防火墙相当于个控流器，可 用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和 传输层运行，在这种情况下，防火墙检查进入和离去的报文分 组的i p 和t c p 头部，根据预先设计的报文分组过滤规则来拒 绝或允许报文分组通过。 防火墙是用来实现一个组织机构的网络安垒措施的主要 设备。在许多情况下需要采用验证安全和增强私有性技术来加 强网络的安全或实现网络方面的安全措施。本文主要介绍下列 防火墙的基本构件和技术：筛选路由器( s c r e e n i n g r o u t e r ) 、分组过滤( p a c k e t f 订t e r i n g ) 技术、代理服务 ( p r o x ys e r v i c e ) 、应用层网关( a p p l i c a t i o n1 e v e l g a t e w a y ) 和堡垒主机( b a s t i o nh o s t ) 。像筛选路由器这样的 能够实现安全措施的路由器常常被称为安全路由器或安全网 关，而实现安全管理的应用层网关又称为安全应用层网关。下 面对数据包过滤、应用网关和代理服务的定义： 包过滤( p a c k e tf i l t e r ) 技术是在网络层中对数据包实施 有选择的通过。依据系统内实现设定的过滤逻辑，检查数据流 中每个数据包后，根据数据包的源地址、目的地址、所有的 t c p 端口与t c p 链路状态等因素来确定是否允许数据包通 过。分组过滤技术作为防火墙的应用有三类：一是路由设备在 完成路由选择的数据转发之外，同时进行分组过来，这是目前 较常用的方式：二是在工作站上使用软件进行分组过滤，但是 硝一 北京交通大学硕士论文 价格较贵；三是在一种称为屏蔽路由的路由设备上启动分组过 滤功能。 应甩网关( a p p l i c a t i o ng a t e w a y ) 技术是建立在网络应用 层上的协议过滤。它针对特别的网络应用服务协议，即数据过 滤协议，并且能够对数据包分析并形成相关报告。应用网关对 某些易于登录和控制所有输出输入的通信的环境给予严格的控 制，以防有价值的程序和数据被窃取。在实际工作中，应用网 关一般由专用工作站系统来完成。 。代理服务( p r o x vs e n r i c e ) 是设置在i i l t e r i l e t 防火墙网关的 专用应用级代码。这种代理服务准许网管人员允许或拒绝特定 的应用程序或一个应用的特定功能。包过滤技术和应用网关是 通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦 判断条件满足，防火墙内部网络的结构和运行状态便“暴露” 在往来用户面前，这就引入了代理服务的概念，即防火墙内外 计算机系统应用层的“链接”由两个终止于代理服务的“链 接”来实现，这就成功地实现了防火墙内外计算机系统的隔 离。代理服务技术主要通过专用计算机硬件( 如工作站) 来承 担。 3 4 路由管理( r o u t e ) 路由就是通过互联的网络把信息从源地址传输到目的地址 的活动。路由发生在o s i 网络参考模型中的第三层即网络层。 路由规定把信息包从一个地址发送到另外一个地址的路 径。一条路由并不规定全部路由，仅仅只是主机到网关的一条 北京交通丈学碗士论文 路径，然后再由网关把包转发到目的地主机或另外一个网关。 路由选择是指选择一条发送报文的路径，而网关是指任何 能够完成路由选择功能的网络设备，用来连接不同的网络。路 由选择由i p 层来完成，在台主机上不一定需要完成路由选 择的守护进程。 报文距离通常用网关跨( h o p ) 数来表示，称作 m e t r i c 。一个报文从源地址到达目的地址的距离依赖于报文 必须经过的网关跨数。一台主机到它直联网自惜数为零，如果 通过一个网关就能就能到达指定的网络，则它到该网络的跨数 为1 ，依此类推。 路由选择协议( r o u t i n gp m t o c o l s ) ：路由选择协议，它通 过在路由器之间不断的转发路由更新，用来建立和维护路由 表，路由器则根据该路由表转发数据包。路由选择协议可以使 路由器全面的了解整个网络的运行。例如r i p 、i g r p 、 e i g r p 、o s p f 和b g p 等都是路由选择协议。 静态路由是依靠手工输入的信息来配置路由表的方法。静 态路由具有以下几个优点： 减小了路由器的日常开销。 在小型互联网上很容易配置。 可以控制路由选择的更新。 但是，静态路由在网络变化频繁出现的环境中并不会很好 的工作。在大型的和经常变动的互联网，配置静态路由是不现 实。 动态路由是指路由协议可以自动根据实际情况生成的路由 一2 7 北京交通大学硕i 。论文 表的方法。动态路由的主要优点是，如果存在到目的站点的多 条路径，运行了路由选择协议( 如r i p 或i g r p ) 之后，而正 在进行数据传输的一条路径发生了中断的情况下，路由器可以 自动的选择另外一条路径传输数据。这对于建立一个大型的网 络是一个优点。 高性能安全路由器具有以下主要功能： 1 ) 网络的互连： 路由器面向网络层的数据报，高性能安全路由器不仅可以 实现不同的局域网的互连，而且可以实现局域网与广域网的互 连以及广域网与广域网的互连。为了实现网络的互连，路由器 必须能完成如下几个功能：地址映射：数据转换；路由选择； 协议转换。 2 ) 网络的隔离： 路由器不仅可以根据局域网的地址和协议类型，而且可以 根据网络号、主机的网络地址、地址掩码、数据类型( 如高层 协议是文件传输、远程登录还是电子邮件) 来监控、“拦截” 和过滤信息。而桥只能根据局域网的地址和协议类型来隔离信 息。因此路由器具有更强的网络隔离能力。这种隔离功能不仅 可以避免广播风暴，提高网络性能，更主要的是有利于提高网 络的安全和保密性。因为路由器连接的网络问是彼此独立的子 网，便于分割一个大网为若干独立部分进行管理和维护。因此 现代组网技术往往采用路由器，许多安全和管理工作也在路由 器上实现( 如在路由器上实现防火墙f i r e w a l l ) 。 3 ) 流量的控制： 2 8 北京交通大学硕士论文 路由器可以有很强的流量控制能力，可以采用优化的路由 算法来均衡网络负载，从而有效地控制拥塞，避免因拥塞而使 网络性能下降。 4 ) 网络和信息安全维护： 路由器通过身份认证、加密传输、分组过滤等手段对路由 器自身及所连网络提供安全保障；对进出网络的信息进行安全 控制；同时还具有安全管理功能，包括安全审计、追踪、告警 和密钥管理e 全球因特网的迅猛增长不仅推动了因特网产品及商业工具 的不断更新和网络技术的发展，而且还对原有的数据传输路由 技术提出了更高的要求。新开发的路由技术不再仅仅是为数据 传输找到一条通道就行，还需要考虑所选路径的传输容量和服 务质量，即具有q o s 能力的路由算法，并且还得要分析全网 负荷，以平衡网络中各条通道的数据流量，此外，不论是对单 播还是组播、域内还是域间路由，都要求路由算法具有快速收 敛性和高效的路由表查询技术。具有q o s 和流量均衡能力的 路由算法探索及相应规范的制定将是未来的研究热点之一。总 之，网络技术的发展日新月异，路由器技术特别是核心路由器 技术正经历着巨大的变化。 3 4 1 动态i p 地址分配( d h c p ) d h c p 是b 0 0 t p 的扩展，是基于c s 模式的，它提供了一种 动态指定i p 地址柑配置参数的机制。这主要用于大型网络环 境和配置比较困难的地方。d h c p 服务器自动为客户机指定i p 北京交通大学硕上论文 地址，指定的配置参数有些和i p 协议并不相关，它的配置参 数使得网络上的计算机通信变得方便而容易实现了。对于许多 大型网络来说，每台计算机拥有一个固定的i p 地址有时候可 能是不必要的，为免去这样的烦琐的工作，d h c p 可以为用户 提供所有i p 配置参数。 3 4 2 地址翻译( 蛆) 为了防止i p 地址资源被耗尽，由c i d r 开发的n a t ( i pn e t w o r ka d d r e s st r a n s l a t o r ) 可以在多重的 i n t e r n e t 子网中使用相同的i p ，用来减少注册i p 地址的使 用。 n a t 技术使得一个私有网络可以通过i n t e r n e t 注册i p 连 接到外部世界，位于i n s i d e 网络和o u t s i d e 网络中的n a t 路 由器在发送数据包之前，负责把内部i p 翻译成外部合法地 址。内部网络的主机不可能同时于外部网络通信，所以只有一 部分内部地址需要翻译。 n a t 的翻译可以采取静态翻译( s t a t i ct r a n s l a t i o n ) 和 动态翻译 x 北京交通大学硕士论文 d i s t r i b u t i o n 技术。使用掣爹磊及锚；鬻翟： 颡露囊j m d d 一 * h 2 9 孥舶j 爝塌鬻斋弱醒鲫雠秸鹫誊疆集至高潮兹凛国；治 疆；毒二? ；g 处i | ；丙跏善割鞘沣j 幽砻薤曙瓣理媸犁曙馐 堙爨嚣。 嚣越譬 譬磐器蓬鍪t 受，晤嫡m ! 目l ! 吲；! f 二鼍吲4 渥囊转群等翌；! 击掣罂蒹 存；瑟型妻连擂篙羹薛鸹翮秘憨醮啪二卫襄包进行排列以 便将它们传送到 输出接口( o u t p u ti n t e r f a c e) 。l i n u x 流量控制正是在排列 7 时进行处理和实现的。 图2 流量控制基本框架 如图2 所示，l i nu x 流量控制主要由三大部分来实现 队列规则( q u eu ed i s c i p l i n e ) 分类( c l a s se s ) 过滤器( f i l te r s 因此，l i n u x 流量 x 北京交通大学硕士论文 含一组有着相同需求的计算机工作站，与物理上形成的l a n 有 着相同的属性。但由于它是逻辑地而不是物理地划分，所以同 一个v l a n 内的各个工作站无须被放置在同一个物理空间里， 即这些工作站不一定属于同一个物理l a n 网段。一个v l a n 内 部的广播和单播流量都不会转发到其他v l a n 中，从而有助于 控制流量、减少设备投资、简化网络管理、提高网络的安全 性。 e r s 1 0 6 n 采用网络层划分v l a n 的方法，撮据每个主机的 网络层地址或协议类型( 如果支持多协议) 划分的，这种方法的 优势在于用户的物理位置改变了，不需要重新进行配置，这种 方法不需要附加的帧标签来识别v l a n ，因此可以减少网络的 通信量。 北京交通大学_ 畹士论文 滤器三个方面。其基本实现步骤为： ( 1 ) 针对网络物理设备( 如以太网卡e t h 0 ) 绑定一个队列； ( 2 ) 在该队列上建立分类 ( 3 ) 为每一分类建立一个基于路由的过滤器。 4 1 2 流量控制的编译实现 4 1 2 1 编译内核 首先要确保选中k e r n e l u s e rn e t l i n ks o c k e t ，因为只 有这样t c 才能通过n e t l i n k 与内核通讯。 然后，把队列规定和分类器都编进内核。这其中包括： q o so rf a i rq u e u e i n g ，c b qp a c k e ts c h e d u l e r ，c s z p a c k e ts c h e d u l e r ， t h es i m p l e s tp r i op s e u d o s c h e d u l e r ， r e dq u e u e ， s f qq u e u e ， t b fq u e u e ， q o ss u p p o r t ， r a t e e s t i m a t o r ，p a c k e tc l a s s i f i e ra p i ，f o u t i n g t a b l e s b a s e d c l a s s i f i e r 。 u 3 2c l a s s i f i e r ， s p e c i a lr s v pc l a s s i f i e r 和 s p e c i a lr s v pc l a s s i f i e rf o ri p v 6 。 然后就是编译和安装过程了。 4 1 2 2 建立 【因特网】( e 3 、t 3 等) 【“n u x 路由器】 【0 f f i c e + i s p l l i n u x 路由器有两个接口，不妨称之为e t h o 和e t h l 。 e t h l 连接到路由器，e t h 0 连接到包括公司防火墙在内的子网 上。由于我们只能限制发送的内容，所以我们需要两套独立 一3 北京交通大学硕士论文 的、但可能非常相似的规则集。我们可以通过改变发送次序来 控制传输速率。通过修改e t h 0 上的队列，我们可以确定客户 的下载( d o w n l o a d ) 速率；通过修改e t h l 上的队列，我们以 确定我们公司自己的用户的上载( u p l o a d ) 速率。 比如说，公司连接到因特网的线路带宽为1 0 兆，同时满 足外部客户和公司自己用户的需要：此时，我们就需要一种策 略，来进行管理和协调。c b q 就可以满足我们的要求。我们 有两个主类：i s p 和o f f i c e 。我们可以决定，客户有8 兆的 带宽，o f f i c e 用户有2 兆的带宽。 我们首先发布如下的命 令： # t cq d i s ca d dd e ve t h or 。o th a n d l el o ：c b qb a n d w i d t h 1 0 i l b na y p k ti o o o 其含义是：我们配置了e t h o 的队列规定，r o o t 表示这是根 ( r o o t ) 规定，其句柄( h a n d l e ) 设定为l o ：。其类型为 c b q 。带宽为l om ，平均包大小为1 0 0 0 字节。 下面生成根类( r o o tc l a s s ) ： # t cc i a s sa d dd e ve t h op a r e n t1 0 ：oc i a s s i di o ：ic b q b a n d i d t hj 0 m b jtr a t e 1 8 m b ita n o t1 5 i 4w e i g h tl m b i t p r i 08m a x b u r s t2 0a v p k t 1 o 这条命令其实不比前一条命令有更多的含义。其中，1 5 1 4 是m t u 的值。 j ! 垂圣堡查主堡耋堡耋 下面生成i s p 类： 4t cc i a s sa d dd e ve t b op a r e n ti 0 ：ic i a s s i di 0 ：i o oc b q b a n d w i d t h1 油b nr 8 t e 、8 i ta u o t 1 5 hw e i g h t 8 0 0 k b i tp r i 05m a x b u r s t2 0a v p k ti 0 0 0 b o u n d e d 。 我们分配了8 兆的带宽给它，其中b o u n d e d 表示该类不 能超过该阀值。 下面生成o f f i c e 类： 再t cc i a s sa d dd e ve t h op a r e n t1 0 ：ic i a s s i di 0 ：2 0 0c b q b a n d i d t hi o 树b i tr a t e 2 甜b i ta i l o tj 5 i 4 e i g h t 2 0 0 k b itp r i 05m a x b u r s t2 0a v p k tl o o o b o u n d e d 为了更清晰起见，我们的类可以用下图表示 + 一一一- 一 1 0 ：1 0 m b i t + 一一一 1 0 ：1r o o t1 0 m b i t l 一一 j + 我们已经向内核通知了我们的类，我们还需要告诉内核如何管 理队列如下所示： 3 7 t1 l b m2oo20 +一一一一 一一一 一 tbm e 8 c 付 l o ol 一 l l p s ll i 一 苎量奎鎏查兰至圭丝圣 # t cq d j s ca d dd e ve t h op a r e n tl o ：1 0 0s f qq u a n t 址m i 5 i 4 bp e r t u r bi 5 # t cq d i s ca d dd e ve t h op a r e n ti o ：2 0 0s f qq u a n t u m 1 5 1 4 bp e r t u r bi 5 这里，我们使用了随机公平队列( s f q ) ，在消耗c p u 周 期较少的情况下，其性能还是可以接受的。其它一些队列规定 可能更好，但要占用较多的c p u 资源。令牌桶过滤器也经常 使用。 下面还有一件事要作：告诉内核网络包和类的映射关系。 # t cf ii t e ra d dd e ve t h op a r e n ti o ：op r o t o c o ii pp r j o i o ou 3 2m a t c hi pd s t 1 6 0 1 5 i 。2 3 2 4f i o w i dl o ：2 0 0 # t cf i l t e ra d dd e ve t h op a r e n ti o ：ep r o t o c 0 1i pp r i o 2 5u 3 2m a t c bi pd s t j 5 0 i 6 i o ，o j 6f j o w i d1 0 ：i o o 这里，我们假定o f f i c e 位于防火墙1 5 0 1 5 1 2 3 2 4 的 后面，其它i p 地址都属于i s p 。u 3 2 匹配是一种比较简单 的匹配，我们可以使用n e t f i l t e r 生成更加复杂的匹配规 则。 我们已经分配了下载带宽，下面是上载带宽的分配： # t cq d j s ca d dd e ve t h lr o o th a n d l e2 0 ：c b qb a n d w i d t h j o 鼢na 叩k ti o o o 3 8 北京变通大学硕士论文 t cc l a s sa d dd e ve t h lp a r e n t2 0 ：oc l a s s i d2 0 ：l c b q b a n d w i d t hl o 髓b i tr a t e i o b i ta l l o ti 5 i 4w e i g h tl 触b i t p r i o8m a x b u r s t2 0a v p k ti 0 0 0 4t cc i a s sa d dd e ve t h ip a r e n t ：，o ：ic i a s s i d2 0 ：i o oc b q b a n d w i d t hl ( 瑚b i tr a t e 8 m b i ta i l o t1 5 1 4w e i g h t 8 0 0 k b i tp r i o5m a x b u r s t2 0a v p k t1 0 0 8 b o u n d e d # t cc l a s sa d dd e ve t h lp a r e n t2 0 ：ic i a s s i d 0 0 ：2 0 0c b q f b a n d w i d t h1 0 毓b i tr a t e 2 b i ta l l o t1 5 1 47 _ e i g h