（电磁场与微波技术专业论文）网关型ip接入计费系统的研究.pdf

北京邮电大学硕士论文网关型i p 接入计费系统的研究 摘要 _ i h i i i i i ii 本论文课题来自北邮国安宽带网络技术有限公司出资研发的“网关型i p 接 入计费系统”项目。本课题主要任务是完成整个计费系统的开发和测试工作，包 括的关键功能有用户认证、计费、管理、带宽控制等。 本文简要介绍了宽带接入技术、i p 网络技术、计费技术和l i n u x 系统，并详 细阐述了计费系统的结构设计、功能实现以及最后的测试，依此来做出技术展望。 系统驻守于内部网络与i n t e r n e t 之间，依据l i n u x 操作系统下n e t f i i t e r 网络 结构设计实现，通过对内外网络交互的i p 数据包进行检查和控制，并与a c l ( 访 问控制列表) 交互操作，最终完成认证、计费、管理、控制的功能。 【关键字】接入网、i p 、n a t 、计费系统、r a d i u s 、l i n u x 、n e t f i l t e r 、i p t a b l e 、 a c l 、r e d 、网关 4 北京邮电大学硕士论文网关型i p 接入计费系统的研究 a b s t r a c t t h i st h e s i sc o n c e r n st h er e s e a r c ha n dd e v e l o p m e n to fi pn e t w o r k b i l l i n gs y s t e m b a s e do ng a t e w a y 1 1 1 ep r o j e c ti sf u n d e db yb u p t - g u o a nb r o a d b a n dn e t w o r k t e c h n o l o g yc o ，l t d t h eo b j e c t i v eo ft h i st a s ki s t o d e v e l o pa n dt e s tt h eb i l l i n g s y s t e m ，i n c l u d i n gt h e r e a l i z a t i o no fs e v e r a l k e ym o d u l e ss u c ha sa u t h e n t i c a t i o n ， b i l l i n g ，m a n a g e m e n t a n db a n d w i d t hc o n t r o l 。 t h ec o n s t r u c t i o nd e s i g na n df u n c t i o ni m p l e m e n t a t i o no ft h i sb i l l i n gs y s t e ma r e f o l l o w e d b y t h eb r i e fd e s c r i p t i o no fb r o a d b a n da c c e s s t e c h n o l o g y , i pn e t w o r k t e c h n o l o g y , b i l l i n gt e c h n o l o g ya n dl i n u xo p e r a t i o ns y s t e m a tt h es a m et i m e ，t h et e s t t ot h i sb i l l i n gs y s t e mi sm a d e t e c h n o l o g y p r e d i c t i o n i sp r e s e n t e da c c o r d i n gt ot h et e s t r e s u l t s n l i s s y s t e m l o c a t e sb e t w e e ni n t e r n a ln e t w o r ka n di n t e r n c t 、聃t l lt h e i m p l e m e n t a t i o no f n e t f i l t e rs t r u c t u r ed e s i g nu n d e rl i n u xo p e r a t i o ns y s t e ma n dt h e c o m m u n i c a t i o nt o a c l ( a c c e s sc o n t r o ll i s t ) ，a l l o ft h e a u t h e n t i c a t i o n , b i l l i n g ， m a n a g e m e n ta n dc o n t r o la l ea c c o m p l i s h e dv i a t h ec h e c ka n dc o n t r o lo ni pd a t ap a c k e t u s e dt oc o m m u n i c a t eb e t w e e ni n t e r n a la n de x t e r n a ln e t w o r k 5 北京邮电大学硕士论文 网关型i p 接入计费系统的研究 前言 随着i n t e r n e t 的飞速发展，各大网络服务提供商大力拓展宽带网络接入服 务，快速地将网络延伸到每一个角落。这些网络服务提供商大多拥有自己独立的 i p 城域网、丰富的线路资源和客户资源。为了提供最能让客户满意的服务，最 大限度的实现网络的可运营、可管理、可增值、可扩充的要求，一套能够提供计 费、认证、业务管理的计费运营支撑系统成为关键的部分和重要的竞争因素。 基于这些事实，我们设计了网关型i p 计费系统，以为宽带运营商提供运营 支撑平台。系统是基于一种集中接入、集中认证、集中计费的模型的，不但支持 普通窄带拨号、v p n 、v p d n 、c a b l em o d e m 接入、专线( 路由器、a t m 、交换机) 接入，p p p o e 、p p p o a 的宽带拨号接入。还支持宽带i n t e r n e t 接入、e - m a i l 、v o d 、 远程教育等基本宽带网络服务和很多宽带网络增值服务的计费。计费系统的核心 理念是以用户控制和多服务管理为核心，为综合服务和增值服务提供强大的支持 平台和管理平台。 我于z 0 0 1 年9 月项目启动时参加了项目组，参与了产品定位、需求分析、 概要设计、详细设计以及开发和最终的测试，并独立完成了计费数据采集、管理 控制等代码的编写和调试工作。 6 北京邮电大学硕士论文 网关型i p 接人计费系统的研究 第一章宽带接入网络 - - - _ - 一i i i _ _ _ _ _ _ - _ _ _ _ _ 1 1 宽带l p 网络 随着社会信息化程度的提高，信息化需求已从单纯的数据信息向交互式多媒 体信息发展，从分别服务向数据、语音、图像统一服务和一网传输发展。而传 统i p 网络已无法满足新业务的需求，给新业务的发展造成了瓶颈。在此情况下， 宽带i p 网便应运而生。 所谓宽带i p 就是个运行实时业务时能保证服务质量的i p 网，各种宽带多 媒体业务可以直接在宽带i p 网上运行。这种宽带i p 网络是一个真正的综合业务 网，它可以提供数据、语音、视频的综合传输业务，并为企事业单位接入i n t e r n e t 提供多种宽带接入。 i p 技术作为一种承载业务、沟通传输的中间体，随着i n t e r n e t 的成功而得 到极大发展。一方面基于i p 技术及其业务应用的快速发展，从数据通信业务发 展到传统的话音、视频业务也开始转向i p 传输；另一方面i p 协议位于网络的网 络层，需要基础网络的承载，由于庞大的i p 业务及其灵活性，使其可以构架于 多种基础传输平台上：随着d w d m 光传输技术的成熟，也将大大提高i p 网络的带 宽，并最终使得基于i p 的实时多媒体业务得以实现。 1 2 铜线接入方式 1 2 1 高比特数字用户环路( h d s l ) 它采用了先进得数字信号自适应均衡技术和回波抵消技术来消除传输线路 中近端串音，脉冲噪音，电源噪音以及因线路阻抗不匹配而产生的回波信号的干 扰，所以能够在现有的市话通信电缆线对上全双工的传输数字信号。它具有如下 的特点： - 对称性( 指电路的上下速率相等) ，高速，最高速率可达2 兆。 _ 要求的线对数多( 2 3 线对) ，成本高，不便于个体接入。 _ 传输速率受线路质量，线径大小( 线径越粗，传输距离越远) ，线对数( 线 7 北京邮电大学硕士论文 网关型i p 接入计费系统的研究 对数越多，传输距离越远) ，传输距离所限制。 接入业务单一，特别不适合视频点播业务。 1 。2 。2 不对称数字用户线( a d s l ) a d s l 是d s l 的一种非对称版本，它利用数字编码技术从现有铜质电话线上获 取最大数据传输容量，同时又不干扰在同一条线上进行的常规话音服务。其原因 是它用电话话音传输以外的频率传输数据。也就是说，用户可以在上网”冲浪” 的同时打电话或发送传真，而这将不会影响通话质量或降低下载i n t e r n e t 内容 的速度。 a d s l 能够向终端用户提供8 m b p s 的下行传输速率和1 m b p s 的上行传输速率， 比传统的2 8 8 k 模拟调制解调器快将近2 0 0 倍。这也是传输速率达1 2 8 k b p s 的 i s d n ( 综合业务数据网) 所无法比拟的。与电缆调制解调器相比，a d s l 具有独特 优势：它提供针对单一电话线路用户的专线服务，而电缆调制解调器则要求一个 系统内的众多用户分享同一带宽。尽管电缆调制解调器的下行速率比a d s l 高， 但考虑到将来会有越来越多的用户在同一时间上网，电缆调制解调器的性能将大 大下降。另外，电缆调制解调器的上行速率通常低于a d s l 。不容忽视的是，目 前，全世界有将近7 5 亿铜质电话线用户。而享有电缆调制解调器服务的家庭只 有1 2 0 0 万。 1 3 光纤接入方式 以光纤作为接入网的最主要的传输介质。它不是传统的光传输系统，而是针 对宽带接入网这一特殊的应用环境而设计的传输方式；主要的方式又可以分为： 光纤到路边小区( f t t c f t t z ) ，光纤到大楼( f t t b ) ，光纤到家( f t t h ) ，甚至光纤 到桌面( f t t d ) ，由于这种接入方式的光纡化程度最高所以它是宽带接入网的最 终接入方式。 这种接入方式具有如下特点： 一可传送宽带，交换型业务，且传输质量高，可靠性高。 _ 网径般较小，可不需中继器，但是由于众多用户导致的光功率分配， 有可能采用光功率放大器进行功率补偿。 8 北京邮电大学硕士论文网关型i p 接入计费系统的研究 投资成本大，网络管理复杂，远端供电较难。 市场前景看好，应用范围广阔。 1 4 无线接入方式 无线接入是指从交换节点到用户终端部分或全部采用无线手段接入技术。即 用无需物理传输媒质的无线传输手段来代替接入网的部分甚至全部从而达到降 低成本改进灵活性和扩展传输距离的目的。无线接入技术可以分为移动接入和固 定接入两大类。 移动无线接入 移动无线接入网包括蜂窝区移动电话网、无线寻呼网、无绳电话网、集群电 话网、卫星全球移动通信网直至个人通信网等等，是当今通信行业中最活跃的领 域之一。 - 固定无线接入 固定无线接入又称无线本地环是一种提供基本电话业务的数字无线接入系 统，其网络侧有标准有线接入的2 线模拟接口或2 m b i t s 数字接口，可直接于公 用电话网的本地交换机相连，用户侧与普通话机相连可直接代替有线接入系统提 供等质量的电话业务；固定无线接入系统的终端不含或仅含有限的移动性。接入 方式有微波一点多址、蜂窝区移动接入的固定应用、无线用户环路及卫星v s a t 网等。固定无线接入系统以提供窄带业务为主，基本上是电话业务。 1 5 局域网接入方式 局域网是7 0 年代末出现，8 0 年代飞速发展和全球范围的普及，9 0 年代步入 更高速发展阶段，是目前使用最普遍的网络；局域网是将小区内的通信设备互连 在一起通信网络，一般指建立在某个单位内部进行信息交换的专用网络。具有 以下特点： - 局域网的覆盖范围不大，一般在几公里以内，其信息传输距离不大于1 0 公里 - 一般采用专用的传输媒质来组成网络，传输距离在i m b i t s 到l o o m b i t s 闻前百直 9 北京邮电大学硕士论文网关型i p 接入计费系统的研究 多台计算机设备( 一般为几十台至几百台之间) 共享和使用统一的传输 媒质 一网络的布局和结构比较简单和规则，在单个局域网内部一般不存在交换 节点和路由选择等问题。 1 0 北京邮电大学硕士论文 网关型i p 接入计费系统的研究 第二章i p 网络技术 2 1t c p i p 协议族 t c p i p 协议族是为了实现异种网络的网际互连而设计的，是最早出现的系统 化网络体系结构之一，它顺应了技术发展和网络互连的应用需求，其中处处渗透 了开放策略的思想。 在以t c p i p 协议族为核心的因特网中，任何一个网络都是可自维持的，即 无论它是否与其它网络互连，其自身都是可以自主运行的，即所有网络都是平等 的、自主的。不同网络之间通过路由器来互相连接，构成互连网。而路由器是一 种特殊的计算机，同时属于多个网络，提供网络与网络之间物理上和逻辑上的连 通功能。 因特网中，每一个网络都是全局唯一标识的。对于数据包的传输，采用了尽 力而为( b e s te f f o r t ) 的服务方式，使用了应答一重发机制：发送端在没有收 到接收端返回的确认应答时，将重发数据包。路由器中不需要维护任何与特定数 据流相关的状态信息。此外，因特网是非集中式控制的，整个网络的运行不依赖 于任何一个集中的管理实体。 t c p i p 网络的互连是透明的，即通过t c p i p 协议族实现的网际互连隐藏了 网络的细节e 包括底层网络技术、拓扑结构等) ，提供了通用的一致性的网络服 务。互联网或i n t e r n e t 在逻辑上是一个统一的、整体的虚拟网络。用户完全可 将其看作是_ 个单一的网络。 t c p i p 协议族定义了四个层次，如下图所示： 应用 t c p u d p i p 数据链路 图2 1t c p i p 协议体系结构图 数据链路层定义了各种介质物理连接的特性，定义了在不同介质上物理帧的 传输格式。i p ( i n t e r n e tp r o t o c 0 1 ) 层提供数据包转发和路由功能，根据i p 北京邮电大学硕士论文网关型l p 接入计费系统的研究 数据包的目的地址，将分组从源端转发到目的端。路由器( r o u t e r ) 是t c p i p 网络中专用的i p 数据包转发设备。t c p u d p 是传输层的两个主要协议，其中t c p 提供面向连接的、可靠的传输服务，u d p 提供无连接的、不可靠的传输服务。应 用层则包含了各种应用，如d n s 、t e l n e t 、w e b 、f t p 、e - m a i l 等等，它们通常与 应用紧密相关。 2 2i p 网络地址 在t c p i p 协议栈中，编址由互联网协议( i n t e r n e tp r o t o c o l ，i p ) 规定。 i p 标准规定每台主机分配一个3 2 位二进制数作为该主机的互联网协议地址 ( i n t e r n e tp r o t o c o la d d r e s s ) ，常简写为i p 地址或互联网地址。在互联网上 发送的每个包中含有这种3 2 位的发送方( 源) i p 地址和想要送达的接收方( 目 的) i p 地址。这样，为了在使用t c p i p 的互联网上发送信息，一台计算机必须 知道接收信息的远程计算机的i p 地址。概述如下：互联网地址( i p 地址) 是一 个分配给一台主机，并用于该主机所有通信的唯一的3 2 位二进制数。 2 2 1i p 地址的分层 概念上，每个3 2 位i p 地址被分割成两部分：前缀和后缀，这样的两级层次 结构设计使寻径很有效。她址前缀部分确定了计算机从属的物理跨络，后缀部分 确定了该网络上的一台计算机。也就是说，互联网中的每一物理网络分配了唯一 的值作为网络号( n e t w o r kn u m b e r ) 。网络号在从属于该网络的每台计算机地址 中作为前缀出现。更进一步说，同一物理网络上每台计算机分配了唯一的地址后 缀a 虽然没有两个网络能分配同一个网络号。同一网络上也没有两台计算机分配 同一个后缀，但是一个后缀值可在多个网络上使用。例如，一个互联网包含三个 网络，它们可分配网络号为l 、2 、3 。从属于网络l 的三台计算机可分配后缀为 l 、3 和5 ，同时，从属于网络2 的三台计算机也可分配后缀为l 、2 和3 。 i p 地址层次保证了两个重要性质： 一每台计算机分配一个唯一地址( 即一个地址从不分配给多台计算机) - 虽然网络号分配必须全球一致，但后缀可本地分配，不需全球一致。 1 2 北京邮电大学硕士论文 网关型1 p 接 计费系统的研究 2 2 2i p 地址的分类 一旦i p 的设计人员选择了i p 地址的长度并决定把地址分为两部分，他们就 必须决定每部分包含多少位。前缀部分需要足够的位数以允许分配唯一的网络号 给互联网上的每一个物理网络，后缀部分也需要足够位数以允许从属于同一网络 的每一台计算机都分配一个难一的后缀。这不是简单的选择就可行的，因为一部 分增加一位就意味着另一部分减少一位。选择大的前缀可容纳大量网络，但限制 了每个网的大小；选择大的后缀意味着每个物理网络能包含大量计算机，但限制 了网络的总数。 由于一含互联网可包括任意的网络技术，所以可能一个互联网由少量大的物 理网络构成，而同时另外一个互联网由许多小的网络构成。更重要的是，单个互 联网能混合包含大网络和小网络。因此，设计人员选择了一个能满足大网a n , i , 网 组合的折衷编址方案。这个方案将i p 地址空间翅j 分为三个基本类：每类有不同 长度的前缀和后缀。 地址的前四位决定了地址所属的类别并且确定如何将地址的其余部分划分 前缀和后缀。下图表示了五类地址，前几位用来决定类别和前缀及后缀的划分方 法。数字按照t c p i p 协议惯例，以0 作为第一位，从左到右计数。a 、b 和c 类 称为基本类( p r i m a r yc l a s s e s ) ，因为它们用于主机地址。d 类用于组播传输， 允许发送到一类计算机( i p 组播传输是硬件组播传输的模拟，组播地址在这两 者中都是可选的，并且即使参与组播传输，计算机也仍然保留它自己的个别地 址) 。为使用i p 组播传输，一组主机必须共享一个组播地址。旦组播传输组建 立，任何发送到组播地址的包将传送副本刭该组中每一台主机。 f a 数 ol2 ，481 62 4 3 i a 囊阿1 隋1 - 1 两 b 炎町丌丽广_ t 百万1 a ii - i c _ 赘阿币广1 涵r _ 1 霸 o 突匣 二二二= = j 匦e 二二二二= e 尝匝 二二二二二受雯堕 二二二二 图2 2 2i p 地址分类 北京邮电大学硕士论文 网关型舻接入计费系统的研究 如图所示，基本类以八位一组为单位将地址划分为前缀和后缀。a 类在第一 组和第二组间设置界限，b 类在第二组和第三组间设置界限，c 类在第三组和第 四组问设置界限。概述如下： 一i p 将主机地址划分为三个基本类。地址的类别决定了网络前缀和主机后 缀的界限。 2 2 3 特殊i p 地址 除了给每台计算机分配一个地址外，让地址用于表示整个网络或组计算机 也很方便。i p 定义了一套特殊地址格式，称为保留地址( r e s e r v e d ) 。这就是说， 特殊地址从不分配给主机。 网络地址 网络地址指网络本身而非连到该网络上的主机。因此，网络地址不应作为目 标地址在包中出现 直接广播地址 在网络前缀后面增加一个所有位全l 的后缀便形成了网络的直接广播地址。 为了确保每个网络都有直接广播，i p 保留包含所有位全1 的主机地址。管理员 不能分配全0 或全1 的主机地址给一个特定计算机，否则会导致软件功能失常。 一有限广播地址 有限广播( 1 i m i t e db r o a d c a s t ) 这一术语指在一个本地物理网的一次广播； 可不太严格地说这一广播被限于一个“单一线路”。有限广播用于一台尚不知道 网络号，但已由计算机启动的系统。i p 保留所有位都是1 的地址来表示有限广 播。因此i p 将在本地网中广播任何发送到有限广播地址的包。 本机地址 计算机需要知道它的i p 地址来发送或接收互联网数据包，因为每个数据包 包含了源地址和目的地址。t c p p 协议系列包含了这样的协议，当计算机启动 时能自动获得它的i p 地址。有趣的是，启动协议也使用i p 来通信。当使用这个 启动协议时，计算机不可能支持一个正确的i p 源地址。为了处理这一情况，i p 保留全0 的地址指本计算机( t h i sc o m p u t e r ) 。 回送地址 1 4 北京邮电大学硕士论文 网关型i p 接入计费系统的研究 i p 定义一个回送地址( l o o pb a c ka d d r e s s ) 用于测试网络应用程序。在生 成一个网络应用程序后，程序员经常使用回送测试来进行预调试。要实现一个回 送测试，程序员必须有两个打算通过网络进行通信的应用程序。每个应用程序包 含了同t c p i p 协议软件进行交互所需要的代码。 程序员不是在不同的计算机上执行每个程序，而是在同一台计算机上运行两 个程序并指示它们在通信时使用回送i p 地址。当一个应用程序发送数据给另一 个应用程序时，数据向下穿过协议栈到达i p 软件。i p 软件把数据向上通过协议 栈返回第二个程序。因此，程序员可很快地测试程序逻辑而无须两台计算机，也 无须通过网络发送包。i p 保留a 类网络前缀1 2 7 供回送时使用。和1 2 7 一起使 用的主机地址是无关紧要的，所有的主机地址都一样处理。根据习惯，程序员经 常使用主机号l ，形成最普遍的回送格式1 2 7 0 0 1 。 在回送测试时，没有包离开计算机一i p 软件将包从一个应用程序转发到另一 个应用程序。因此，回送地址永远不会出现于一个在网络中传输的包中。 i 矿掰后缎j m j 】| i 炎 j f i 途 令o 脚络 网络 夺1 1 1 7 ：! ：；：o书 几 噼曲l i _ 地川i j ：0 目络 杯雌f 、剥绪 令1由 蛰r j 撬 n ：特定州1 r 播 争i莉阱广播 m 树也嘲ji 播 惩氆划蛙捌被 图2 2 3 特殊i p 地址格式 北京邮电大学硕士论文 网关型l p 接入计费系统的研究 2 3i p 数据包结构 0 12 3 01 23456tb9o123456tb9ol23456 b go1 + 一+ 一+ 一+ + + 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一。卜_ + 一+ 一+ 一+ 一+ 一+ 一+ 卜+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ j 版本l i n f 服务类型 l总长度 j + 一卜_ 。卜+ 十+ 一+ 一+ 一+ 一- 卜一+ 一+ 一+ 一+ 一十一卜_ + 一+ 一。广- + 一+ 一+ 一+ 一+ 一+ 一十一+ 一- 卜+ 一+ 一+ 一+ 一+ l( 标识) i d e n t i f i c a t i o nl 标记i 段偏移量 l + 一+ 一+ 一+ 卜+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一十一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ + 一+ 一+ 一- 卜+ l 生存时间l协议 j头校验码 i + 一4 - 4 - - + 十+ 一+ 一+ 一+ 一4 - 4 - 4 - 4 - + 一十一+ 一4 - + 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一+ 一十一+ l源地址l + 一4 - i - - + 斗一+ 一+ 一+ 一十一十一4 - 4 - 4 - + - + - 4 - 4 - + 一+ 一+ + 一卜- + 一+ 一4 - + 一+ 一+ 一+ 一+ 一+ 一十一十 l目的地址i 卜十卜+ 十+ 一+ 一+ 一+ 一4 - 4 - + 一+ 一+ 一+ 一+ 一+ 一+ 一+ 卜- - 卜+ - 4 - + 一+ 一+ 一4 - + + 一+ 一4 - - + 一+ i选项填充 + 一+ 一+ 一+ 十+ 一+ 一+ 一+ 一+ 一+ 一卜- + 一+ 一4 - 4 - 4 - + 一+ 一+ 一4 - + 一+ 一4 - 4 - + 一+ 一+ 一4 - + 一+ 一+ 一+ 包头范例 图2 - 3i p 数据包格式 通过截取i p 数据包头，可以从中获得很多需要的数据，在此，对数据包的 结构做简单说明。 版本：4 位 此域标明包头的格式。现在说明的是i p 版本4 。 i h l ：4 位 i n t e r n e t 包头长度是以3 2 位为单位标记的包头长度，它指向数据的开始位 置，这个域的最小合法值为5 。 服务类型：8 位 它是一些指示服务质量的参数，这些参数用于在特定网络指示所需要的服 务。有些网络会提供优先级服务。选择的基本原则是以下三者的权衡：低延 时，高可靠和高吞吐量。 - 总长度：1 6 位 总长度指的是数据投的长度，由字节计，包括数据和报头。允许数据报的大 小为6 4 k 。这么大的数据报对大多数主机和网络来说是不适用的。但是，所 有主机必须能够接收大于5 7 6 字节的数据报，无论它们是一起来，还是分段 来。如果知道对方主机能够接收大于5 7 6 字节的数据报，最好在发送时不要 发送小于5 7 6 字节的数据报。选择5 7 6 是因为5 7 6 = 5 1 2 ( 数据) + 6 4 ( 报头) 。 1 6 北京邮电大学硕士论文网关型i p 接入计费系统的研究 报头最长不超过6 0 字节，通常为2 0 字节。 标识：1 6 位 标识是i p 包分段重组的标志 标记：3 位 标记是发送用于帮助重组分段的包的。 段偏移：1 3 位 此域指示这个段在应该在数据报中什么位置，它以6 4 位为单位计算，首段 的偏移为零。 - 生存期：8 位 此域说明数据报在互联网系统生存的最大时间。如果此域的值为零，抛弃此 数据报。在处理报头的同时也处理此域。时间以秒计，但每个处理单元都至 少会对t t l 减l ，即使时间小于1 秒。 协议：8 位 此域指示用于数据报数据部分的下一层协议。 头校验码：1 6 位 校验码只在头部。因此头域会在处理时改变，因此头会经常改变。这种校验 方法比较容易计算，实验证明它也是适用的，但它可能在未来被c r c 校验过 程取代。 _ 源地址和目的地址：3 2 位 发送和接受数据包的计算机的i p 地址 _ 选项：长度不定 。 在数据报中可以有选项也可以没有，但i p 模块中必须有处理选项的功能。 有些情况下，安全选项是必须的。它的长度不定，可以没有也可以是多个。 2 4 网络地址翻译( n a t ) 技术 随着i n t e r n e t 的飞速发展，网上丰富的资源产生着巨大的吸引力。接入 i n t e r n e t 、访问i n t e r n e t 成为当今信息业最为迫切的需求。但这受到i p 地址的 许多限制。首先，许多局域网在未联入i n t e r n e t 之前，就已经运行许多年了， 局域网上有了许多现成的资源和应用程序，但它的i p 地址分配不符合i n t e r n e t 北京邮电大学硕士论文 网关型l p 接入计费系统的研究 的国际标准，因而需要重新分配局域网的i p 地址，这无疑是劳神费时的工作； 其二，随着i n t e r n e t 的膨胀式发展，其可用的i p 地址越来越少，要想在i s p 处申请一个新的i p 地址已不是很容易的事了。这不仅仅是费用的问题，而是i p 地址的现行标准i p v 4 决定的。当然，随着i p v 6 的出台，这个问题应当能够得到 解决。但从i p v 4 到i p v 6 的升级不是一两天就能完成的。 n a t ( 网络地址翻译) 能解决不少令人头疼的问题。它解决问题的办法是： 在内部网络中使用内部地址。通过n a t 把内部地址翻译成合法的i p 地址，在 i n t e r n e t 上使用。其具体的做法是把i p 包内的地址域用合法的i p 地址来替换。 n a t 功能通常被集成到路由器、防火墙、i s d n 路由器或者单独的n a t 设备中。 n a t 设备维护一个状态表，用来把非法的i p 地址映射到合法的i p 地址上去。每 个包在n a t 设备中都被翻译成合法的i p 地址发往下一级，这意味着给处理器带 来了一定的负担。但这对于一般的网络来说是微不足道的，除非是有许多主机的 大型网络。 需要注意的是，n a t 并不是一种有安全保证的方案，它不能提供类似防火墙、 包过滤、隧道等技术的安全性，仅仅在包的最外层改变i p 地址。这使得黑客可 以很容易地窃取网络信息，危及网络安全。 n a t 有三种类型：静态n a t ( s t a t i cn a t ) 、n a t 池( p o o l e dn a t ) 和端口n a t ( p a t ) 。其中静态n a t 设置起来最为简单，内部网络中的每个主机都被永久映射 威外部网络中的某个合法的地址。而n a t 池则是在外部网络中定义了系列的合 法地址，采用动态分配的方法映射到内部网络。p a t 则是把内部地址映射到外部 网络的一个i p 地址的不同端口上。根据不同的需要。各种n a t 方案都是有利有 弊。 2 4 1n a t 池 使用n a t 池，可以从未注册的地址空间中提供被外部访问的服务，也可以从 内部网络访问外部网络，而不需要重新配置内部网络中的每台机器的i p 地址。 例如，建立在n t + i i s 服务器上的内部试验子网1 9 2 1 6 8 o o ，其网络地址属于 b 类保留地址。作为企业网的一个子网，其i p 地址不分配给企业网上的设备而 仅仅局限在试验子网的设备上。为了使企业网能访问到这个内部网，在网络上增 1 8 北京邮电大学硕士论文 网关型i p 接入计费系统的研究 加一条静态路径，使信息能回传给路由器。其中的路由器可以把内部网和企业网 连接起来，使之能相互访问。在内部网中不要使用r i p 协议，因为使用r i p 后， 内部网络相对外部来说变得不可见了。 这样，本地信息可以相互访问了，但由于1 9 2 6 8 0 0 属于保留地址，故不 能直接访问i n t e r n e t 。所以在路由器中设置一个n a t 池，用来翻译来自内部网 络的i p 包，把它的i p 地址映射成地址池( p o o l e da d d r e s s e s ) 中的合法i p 地 址。那么，内部网可以访问i n t e r n e t 上的任何服务器，i n t e r n e t 上的任何主机 也能通过t c p 或u d p 访问到内部网。 采用n a t 池意味着可以在内部网中定义很多的内部用户，通过动态分配的办 法，共享很少的几个外部i p 地址。而静态n a t 则只能形成一一对应的固定映射 方式。该引起注意的是，n a t 池中动态分配的外部i p 地址全部被占用后。后续 的n a t 翻译申请将会失败。庆幸的是，许多有n a t 功能的路由器有超时配置功能。 例如在上述配置开始1 5 分钟后删除当前的n a t 进程，为后续的n a t 申请预留出 外部i p 地址。通过试验表明，一般的外部连接不会很长，所以短的时间闽值也 可以接受。当然用户可以自行调节时间阀值，以满足各自的需求。 n a t 池提供很大灵活性的同时，也影响到网络原有的一些管理功能。例如， s n m p 管理站利用i p 地址来跟踪设备的运行情况。但使用n a t 之后，意味着那些 被翻译的地址对应的内部地址是变化的，今天可能对应一台工作站，明天就可能 对应一台服务器。这给s n m p 管理带来了麻烦。一令可行的解决方案就是把划分 给n a t 池的那部分地址在s n 船管理平台上标记出来，对于这些不响应管理信号 的地址不予报警，如同它们被关掉了一样。 2 4 2p a t p a t 在远程访问产品中得到了大量的应用，特别是在远程拨号用户使用的设 备中。p a t 可以把内部的t c p i p 映射到外部一个注册i p 地址的多个端口上。p a t 可以支持同时连接6 4 5 0 0 个t c p i p 、u d p i p ，但实际可以支持的工作站个数会 少一些a 因为许多i n t e r n e t 应用如h t t p ，实际上由许多小的连接组成。 在i n t e r n e t 中使用p a t 时，所有不同的t c p 和u d p 信息流看起来仿佛都来 源于同一个i p 地址。这个优点在小型办公室( s o h o ) 非常实用，通过从i s p 处 1 9 北京邮电大学硕士论文 网关型i p 接入计费系统的研究 申请的一个i p 地址，将多个连接通过p a t 接入i n t e r n e t 。实际上，许多s o h o 远程访问设备支持基于p p p 的动态i p 地址。这样，i s p 甚至不需要支持p a t ，就 可以做到多个内部i p 地址共用一个外部i p 地址上i n t e r n e t 。虽然这样会导致 信道的一定拥塞，但考虑到节省的i s p 上网费用和易管理的特点，用p a t 还是很 值得的。 2 4 3 基于n a t 的负载平衡 以上所谈论的均是关于使用n a t 和p a t 来把内部i p 地址转换成外部合法的 i p 地址使用。下面介绍n a t 的另一个运用：作为用于负载平衡的d n s 系列服务 器( d n sr o u n d - - r o b i n ) 的一个替代品。d n s 系列服务器解决了多个i p 地址共 用一个域名的问题。它会在响应d n s 申请时跳跃式地寻找可用的i p 地址。达到 的效果就是一个域名可以对应多个i p 地址。这种功能可以应用在一个h t t p 服务 器群中，利用它可以平衡多个服务器的负载。但是这里还有一个问题，i p 客户 端会在本地缓冲d n s i p 地址解析。从而使它的后续的申请都会到达同一个i p 地址，减弱了d n s 系列服务器的作用。 使用基于n a t 的负载平衡方案，则可以避免这个问题。路由器或其它n a t 设 备把需要负载平衡的多个i p 地址翻译成一个公用的i p 地址，每个t c p 连接被 n a t 送到一个i p 地址，而后续的t c p 连接则被n a t 送到下一个i p 地址。真正实 现了负载平衡。当然，基于n a t 的负载平衡只能在n a t 上实现，而不能在p a t 上实现。 2 4 4 安全问题 当n a t 改变包的i p 地址后，需要认真考虑这样做对安全设施带来的影响。 对于防火墙，它利用i p 地址、t c p 端c l 、目标地址以及其它在i p 包内的信 息来决定是否干预网络的连接。当使用了n a t 之后，可能就不得不改变防火墙的 规则，因为n a t 改变了源地址和目的地址。 在许多配置中，n a t 被集成在防火墙系统之中，提供访问控制和地址翻译的 功能。不要把n a t 设在防火墙之外，因为黑客可以轻易地骗过n a t ，让n a t 认为 它是一个授权用户，从而进入网络。 北京邮电大学硕士论文 网关型l p 接入计费系统的研究 若企业网中使用了v p n ( 虚拟专用网) ，并用i p s e c 进行加密安全保证，那么 错误地设置n a t 将会破坏v p n 的功能。把n a t 放在受保护的v p n 内部，而不是在 中间。因为n a t 改变i p 包内的地址域，而i p s e c 规定一些信息是不能被改变的。 若i p 地址被改变了，i p s e c 就会认为这个包是伪造的，拒绝使用。 虽然n a t 带来了许多优越性，例如使现有网络不必重新编址、减少了i s p 接 入费用，还可以起平衡负载的作用，但n a t 潜在地影响到一些网络管理功能和安 全设施，这就需要谨慎地使用它。 2 5i p v 6 技术简介 i p v 6 是“i n t e r n e tp r o t o c o lv e r s i o i l6 ”的缩写，它是i e t f 设计的用于替 代现行版本i p 协议一i p v 4 一的下一代i p 协议。 目前i n t e r n e t 中广泛使用的i p v 4 协议，也就是人们常说的i p 协议，已经 有近2 0 年的历史了。随着i n t e r n e t 技术的迅猛发展和规模灼不断扩大，i p v 4 已经暴露出了许多问题，而其中最重要的一个问题就是i p 地址资源的短缺。有 预测表明，以目前i n t e r n e t 发展的速度来计算，在未来的5 到1 0 年间，所有的 i p v 4 地址将分配完毕。尽管目前已经采取了一些措施来保护i p v 4 地址资源的合 理利用，如非传统网络区域路由和网络地址翻译，但是都不能从根本上解决问题。 为了彻底解决i p v 4 存在的问题，i e t f 从1 9 9 5 年开始就着手研究开发下一代 i p 协议，即i p v 6 。i p v 6 具有长达1 2 8 位的地址空间，可以彻底解决i p v 4 地址 不足的问题，除此之外，i p v 6 还采用了分级地址模式、高效i p 包头、服务质量、 主机地址自动配置、认证和加密等许多技术。 2 5 1i p v 6 的地址格式和结构 i p v 6 采用了长度为1 2 8 位的i p 地址，面i p v 4 的i p 地址仅有3 2 位，因此 i p v 6 的地址资源要比i p v 4 丰富得多。 i p v 6 的地址格式与i p v 4 不同。一个i p v 6 的i p 地址由8 个地址节组成，每 节包含1 6 个地址位，以4 个十六进制数书写，节与节之间用冒号分隔，其书写 格式为x ：x ：x ：x ：x ：x ：x ：x ，其中每一个x 代表四位十六进制数。除了1 2 8 位的地 址空间，i p v 6 还为点对点通信设计了一种具有分级结构的地址，这种地址被称 2 l 北京邮电大学硕士论文 网关型i p 接入计费系统的研究 为可聚合全局单点广播地址( a g g r e g a t a b l eg l o b a l u n i c a s ta d d r e s s ) ，开头3 个地址位是地址类型前缀，用于区别其它地址类型，其后依次为1 3 位t l ai d 、 3 2 位n l ai d 、1 6 位s l ai d 和6 4 位主机接1 3i d ，分别用于标识分级结构中自 顶向底排列的t l a ( t o pl e v e la g g r e g a t o r ，顶级聚合体) 、n l a ( n e x tl e v e l a g g r e g a t o r ，下级聚合体) 、s l a ( s i t el e v e la g g r e g a t o r ，位置级聚合体) 和 主机接口。t l a 是与长途服务供应商和电话公司相互连接的公共网络接入点， 它从国际i n t e r n e t 注册机构( 如i a n a ) 处获得地址。n l a 通常是大型i s p ，它 从t l a 处申请获得地址，并为s l a 分配地址。s l a 也可称为订阅者( s u b s c r i b e r ) ， 它可以是一个机构或一个小型i s p 。s l a 负责为属于它的订阅者分配地址。s l a 通常为其订阅者分配由连续地址组成的地址块，以便这些机构可以建立自己的地 址分级结构以识别不同的子网。分级结构的最底层是网络主机。 2 5 2i p v 6 中的地址配置 大家知道，当主机i p 地址需要经常改动的时候，手工配置和管理静态i p 地 址是一件非常烦琐和困难的工作。在i p v 4 中，d h c p 协议可以实现主机i p 地址 的自动设置。其工作过程大致如下：一个d h c p 服务器拥有一个i p 地址池，主机 从d h c p 服务器申请i p 地址并获得有关的配置信息( 如缺省网关、d n s 服务器等) ， 由此达到自动设置主机i p 地址的目的。i p v 6 继承了i p v 4 的这种自动配置服务， 并将其称为全状态自动配置( s t a t e f u la u t o c o n f i g u r a t i o n ) 。 除了全状态自动配置，i p v 6 还采用了一种被称为无状态自动配置( s t a t e l e s s a u t o c o n f i g u r a t i o n ) 的自动配置服务。在无状态自动配置过程中。主机首先通 过将它的网卡m a c 地址附加在链接本地地址前缀1 1 1 1 1 1 1 0 1 0 之后，产生一个链 接本地单点广播地址( i e e e 已经将网卡m a c 地址由4 8 位改为了6 4 位。如果主 机采用的网卡的m a c 地址依然是4 8 位，那么i p v 6 网卡驱动程序会根据i e e e 的 一个公式将4 8 位m a c 地址转换为6 4 位m a c 地址) 。接着主机向该地址发出一个 被称为邻居探测( n e i g h b o rd i s c o v r e y ) 的请求，以验证地址的唯一