（计算机科学与技术专业论文）ipv6网络多宿主技术研究.pdf

国防科学技术大学研究生院硕士学位论文 摘要 多宿主技术是一种重要的网络服务方式，具有提高网络可靠性、实现均衡负 载、减少传输延迟、增加网络带宽、保证传输层存活性等许多优点。随着下一代 互联网应用和技术的发展，i p v 6 多宿主技术必将有广泛的应用前景。 当前实现i p v 6 多宿主的方法各有特点，但都存在一些缺点，需要进一步完善。 保证传输层存活性是i p v 6 多宿主的重要目标之一。多宿主站点在切换路径时，为 了保证会话不中断需要使用原来i s p 的源地址进行通信。但是，实施了准入过滤 机制的备选i s p 将丢弃合法的报文而导致上层会话中断。本文对会话存活性和准 入过滤机制的兼容性进行研究，提出了解决i p v 6 站点多宿主的新方法。 本文的主要工作和研究成果包括： 1 对i p v 6 多宿主研究现状进行分析，将i p v 6 多宿主的实现方法归纳为路由 策略、主机中心策略、网关策略和更改主机网络协议栈策略，详细阐述了每种方 法的特点，对它们进行比较分析，并指出了站点多宿主在实际应用中必须考虑的 各种因素。 2 提出了一种解决i p v 6 站点多宿主的新方法一一基于地址隐匿和识别 ( a d d r e s ss h e l t e r i n ga n di d e n t i f y i n g ，a s i ) 的i p v 6 站点多宿主机制。阐述了机制的主 要原理，详细分析了多宿主站点出口路由器和对端主机的隐匿、识别的具体实现 过程。 3 对实现a s i 机制的几种关键技术进行论述：包括路由器之间、路由器和主 机之间的信息交换过程；在隐匿过程中报文长度超过路径m t u 值的处理问题；面 对源地址欺骗等网络安全行为，a s i 所采取的应对机制等。 4 提出了具体的实现方案，对l i n u x 下t c p i p 协议网络层处理报文过程进行 分析，建立了i p v 6 环境下的隐匿模块和识别模块，介绍了模块工作流程的各个细 节，通过对相关函数的分析详细论述了如何实现报文在传输过程中的隐匿和识别。 5 对a s i 原型系统进行验证，通过分析实验数据，对正常传输路径下和切换 路径后的i h t 和t c p 链接速度进行比较，表明了a s i 机制的可行性。 目前关于i p v 6 多宿主技术的研究一直处于不断发展完善的过程中，本文提出 了一种新的i p v 6 多宿主机制，研究成果对未来网络多宿主技术的发展具有一定的 指导和应用意义。 关键词：多宿主，站点多宿主，存活性，i s p ，准入过滤，m t o 第i 页 国防科学技术大学研究生院硕士学位论文 a b s t r a c t m u l t i h o m i n gi s a l li m p o r t a n ts e r v i c em r n n e ro fn e t w o r k s i tc a l le n h a n c et h e r e l i a b i l i t yo fn e t w o r k s ，c a r r yo u tl o a d b a l a n c i n g ，r e d u c et r a n s m i s s i o nd e l a y , i n c r e a s e n e t w o r k sb a n d w i d t h ，k e e pt r a n s p o r t l a y e rs u r v i v a b i l i t ya n do f f e rm a n yo t h e rb e n e f i t s w i mt h ed e v e l o p m e n to ft h en e x tg e n e r a t i o ni n t e m e t 礤v 6m u l t i h o m i n gt e c h n o l o g y w i l lb ew i d e l ya p p l i e di nt h ef u t u r e c u r r e n t l yt h e r ea r em a n yi p v 6m u l t i h o m i n gm e t h o d sw h i c hh a v et h e i ro w n c h a r a c t e r i s t i c sr e s p e c t i v e l y h o w e v e r , a l lo ft h e mh a v ed e f e c t sa n dn e e dt ob ef u r t h e r p e r f e c t k e e p i n gt r a n s p o r t l a y e rs u r v i v a b i l i t yi so n eo ft h em a i ng o a l so fm u l t i h o m i n g u n d e rt h ec o n d i t i o n so fs w i t c h i n gt h ep a t h s t h em u l t i h o m i n gs i t e ss t i l lu s et h eo r i g i n a l s o u r c ea d d r e s s e st ok e e pt h es e s s i o nn o tt ob eb r o k eo f f h o w e v e r , t h ea b o v eb e h a v i o r r e s u l t si nt h ef a c tt h a tp a c k e t sw i l lb ed i s c a r d e db yt h er o u t e r so fu p s t r e a mi s pb e c a u s e o ft h ei n g r e s sf i l t e r i n g ，w h i c hm a k e st h eu p p e ra p p l i c a t i o ns e s s i o ni n t e r r u p t e d i no r d e r t os i m u l t a n e o u s l yr e a l i z es e s s i o ns u r v i v a b i l i t ya n ds a t i s f yi n g r e s sf i l t e r i n g , t h i st h e s i s p r o p o s e san e w i p v 6m u l t i h o m i n gm e t h o d 髓em a i nw o r ko ft h i st h e s i sc a l lb es u m m a r i z e db yt h ef o l l o w i n ga s p e c t s ： 1 w ei n t r o d u c et h ep r e s e n ts t a t u so fi p v 6m u l t i h o m i n ga n de x p a t i a t ea l lo fi p v 6 m u l t i h o m i n gm e t h o d s t h e nw ec l a s s i f yt h e mi n t of o u rs t r a t e g i s ：r o u t i n gs t r a t e g y ， h o s t - c e n t e rs t r a t e g y , g a t e w a ys t r a t e g ya n dc h a n g i n gt h et r a n s p o r tl a y e ro rn e t w o r k l a y e rp r o t o c o ls t a c ks t r a t e g y a f t e re l a b o r a t i o ni nd e t a i l sa sw e l la sc o m p a r i n gt h e m ， w ep o i n to u tt h er e q u i r e dc o n d i t i o n si np r a t i c a la p p l i c a t i o n 2 w em a k ead e t a i l e dd i s c u s s i o na b o u tan e wk i n d o fi p v 6m u t i h o m i n g m e t h o d - - - - a d d r e s ss h e l t e r i n ga n di d e n t i f y i n g ( a s i ) m e c h a n i s m w ee x p l a i nt h em a i n p r i n c i p l e so ft h em e c h a n i s ma n dt h e na n a l y z et h ei m p l e m e n t a t i o np r o c e s so fs h e l t e r i n g a n d i d e n t i f y i n ga ts i t ee x i tr o u t e ra n dp e e rh o s t 3 1 1 1 ek e yt e c h n i q u e si na s im e c h a n i s ma r e e l a b o r a t e dd e t a i l e d l y t l l i si n c l u d e ： h o wt h em e s s a g e se x c h a n gb e t w e e nt w os i t ee x i tr o u t e r sa n db e t w e e nt h es i t ee x i t r o u t e ra n di t sp e e rh o s t ，h o ww ed e a l 谢t ht h ep a c k e t st o ol a r g ea n dm t u p r o b l e m s i nt h es h e l t e r i n gp r o c e s sa n dw h a ta r et h ea s im e c h a n i s m ss o l u t i o n so nt h en e t w o r k s s a f ei s s u e s 4 、d e s i g nt h ei m p l e m e n t a t i o np r o j e c to fa s im e c h a n i s m a f t e ra b o r a t i v e a n a l y s i so fs e n d i n ga n dr e c e i v i n gd a t a g r a m si nl i n u xt c p i pp r o t o c o ls t a c k , w es e tu p t h es h e l t e r i n gm o d u l ea n di d e n t i f y i n gm o d u l ei nt h eb a c k g r o u n do fi p v 6n e t w o r k s t h e nw ei l l u s t r a t ee a c hs t a g eo fw o r k i n gp r o c e s sa n de x p l a i nt h ec o r r e s p o n d i n g f u n c t i o n si nt h ec o u r s ep r o c e s so fs h e l t e r i n ga n di d e n t i f y i n gp a c k e t s 5 w eh a v ev e r i f i e dt h ep r o t o t y p es y s t e mo fa s im e c h a n i s m t h r o u g ht h ea n a l y s i s o fe x p e r i m e n td a t a , w ec o m p a r et h ev a l u eo fr t ta n dt c pc o n n e c t i n gs p e e db e t w e e n 第i i 页 国防科学技术大学研究生院硕士学位论文 t h en o r m a lt r a n s m i t t i n gp a t ha n dt h es w i t c h i n gt r a n s m i t t i n gp a t h ，a n dt h e s ei n d i c a t et h e f e a s i b i l i t yo fa s im e c h a n i s m thei p v 6m u l t i h o m i n gt e c h n o l o g yi sd e v e l o p i n gc o n t i n u o u s l ya n dr a p i d l y i nt h i s d i s s e r t a t i o n ，w ep r o p o s ean e wi p v 6m u l t i h o m i n gm e t h o d sa n dt h es t u d ym a yh a v e s o m ei n s t r u c t i o n a ls i g n i f i c a n c ea n dc o n s t r u c t i v ec o n t r i b u t i o nt ot h ef u t u r en e t w o r k so f m u l t i h o m i n g k e yw o r d s ：m u l t i h o m i n g ，s i t em u l t i h o m i n g ，s u r v i v a b i l i t y ，i n g r e s sf i l t e r i n g 。i s p m t u 第i i i 页 国防科学技术大学研究生院硕士学位论文 表目录 表2 1i p v 6 多宿主几种策略比较工。2 0 表4 1 出口路由器之间五种交换信息3 6 表4 2 出口路由器与对端主机之间六种交换信息3 7 表4 3 不同物理网络的m t u 值3 8 表5 1i p e r f 主要命令说明5 6 第1 i i 页 国防科学技术大学研究生院硕士学位论文 图目录 圈l 。l 多宿主网络基本结构示意图二l 图1 2b g pe n t r i e so na s 6 5 0 0 0 , 19 9 4 2 0 0 7 b yg e o f fh u s t o n 1 0 1 ( 2 0 0 7 1 1 ) 。4 图1 3 使用p i 地址的i p v 4 多宿主5 翻1 4 使用p a 地址的i p v 4 多宿主5 图2 。l 使用b g p 的i p v 6 多宿主8 圈2 2 基于“隧道 机制的i p v 6 多宿主。9 图2 3i s p 之间协商的多宿主l l 图2 4n a r o s 多宿主示意图1 2 图2 5m o b i l ei p v 6 路由示意图13 图2 6 使用n a t 的i p v 6 多宿主1 4 图2 。7s c t p 多宿主示意图。1 6 图2 。8h i p 网络协议栈。1 7 图2 9 标识符和定位符在s h i m 层的映射举例。1 8 圈3 1a s i 原理示例图2 2 图3 。2 璎v 6 报头格式2 4 图3 3a s i 自定义扩展头部示意图。2 6 图3 4 站点如口路由器隐匿处理过程2 8 圈3 。5 站点潞瑟路由器识别处理过程2 9 图3 6 对端主机识别处理过程3 l 图3 7 对端主机隐匿处理过程3 2 图4 1 信息交换过程3 7 图4 。2i c m p “报文过大报文3 9 图4 3i p v 6 分段报头格式。4 2 图5 1l i n u x 网络层次结构中数据传递过程4 5 图5 ，2s kb u f f 的数据结构示意图。4 7 图5 3s kb u f f 成员链表结构图4 8 豳5 4l i n u x 下i p 层n e t f i l t e r 结构图4 9 溪5 。5l i n u x 下a s i 出口路良器撑层函数调用流程。鞠 图5 6l i n u x 下a s i 对端主机i p 层函数调用流程5 3 图5 7 测试环境拓扑图5 5 图5 8 路径l 和路径2 的报文延迟5 6 图5 9 路径l 和路径2 的报文平均延迟比较5 7 第l v 炙 国防科学技术大学研究生院硕士学位论文 图5 1 0 路径1 和路径2 的t c p 链接速度5 7 图5 1 l 路径l 和路径2 的平均t c p 链接速度对比5 8 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文题目： ! ! 圆签耋宣圭揎苤盟窒 学位论文作者签名： 口- 7 弩 日期：，i 年j ：月二。日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：! 呈! 鱼圆鳌垒宣圭擅垄丑窒 学位论文作者签名：墨黧： 作者指导教师签名： 日期：湖7 年，2 月瑚日 f 日期：3e r l ，- 7 年z 月2 彦曰 7 国防科学技术大学研究生院硕士学位论文 第一章绪论 下一代互联网对可扩展性、可管理性、安全性、移动性和实时性具有更高的 要求。多宿主( m u l t i h 0 曲g ) 【1 1 是下一代互联网的关键技术之一，由于具有提高链路 的冗余性、容错性，实现均衡负载，减少传输延迟，增加网络带宽和保证传输层 存活性等优点【2 】，多宿主技术必将有广泛的应用前景。 i i 课题研究背景及意义 网络的连通性和安全性具有十分重要的战略意义，只通过一条链路连接到骨 干网络的模式容易发生单点失效而导致网络瘫痪，因此，许多企业和网络提供者 ( i s p ) 都迫切希望连接两个以上的提供者来实现更好的性能。据统计，目前i n t e m e t 有至少6 0 的a s 域有两个以上的i s p ，而且数量在不断增加【3 j 。a s 域通过使用 多条链路与i n t e m e t 连接，建立一个可靠的、具有容错能力的网络，这就是互联网 的多宿主概念。 一般来说多宿主可以指节点多宿主( n o d em u l t i h o m i n g ) 、站点多宿主( s i t e m u l t i h o m i n g ) 和提供者多宿主( i s pm u l t i h o m i n g ) 。节点多宿主是指将单个节点 例如主机与多个提供者相连；站点多宿主是指一个企业站点与多个提供者相连， 站点的含义是指终端网络是一个组织或私人网络，并且不为其他用户提供服务； 提供者多宿主是指一个i s p 与多个上游i s p 相连。这里多宿主定义公认为站点多宿 主，即指一个站点连接两个以上的提供者。 b 图1 1 多宿主网络基本结构示意图 如图1 1 所示是多宿主网络基本结构【4 】。多宿主站点有两个上游提供者i s pa 和i s pb 为其提供服务。多宿主主机a 通过两个站点出口路由器分别经过路径l 和路径2 接入i n t e m e t 与远端主机b 进行通信。i s pa 为站点分配前缀为p r e a 的 地址，i s pb 为站点分配前缀为p r e b 的地址。多宿主主机a 既可以使用i s pa 也 可以使用i s pb 为其分配的地址。当网络出现故障或由于某种原因使连通性发生变 化时，多宿主主机a 能够在两条路径之间进行切换。假设通过i s pa 的路径1 失 第1 页 国防科学技术大学研究生硫硕士学位论文 效时，多宿主主机a 能够通过i s pb 的路径2 维持正常的通信。显然，这种多宿 主结构增加了路由的冗余性，提高了站点对i n t e r a c t 访阆的可靠性。 在许多实际网络中，情况往往比较复杂。例如，与多宿主站点相连的上游i s p 可能不只两个：多宿主站点出口路由器和上游i s p 可能有多种连接方式；与多宿 主节点通信的远端主机可能同时也是一个多宿主节点，这样双方的通信路径会有 更多选择；如果多宿主站点或主机不使用上游i s p 分配的地址，而是使用第三方 提供的地址空间，那么路径选择上将受到路由策略等限制。 研究多宿主技术具有很多重大的实际意义【5 1 。首先，它可以实现网络的可靠性。 路径冗余是保证网络可靠性的最好方式，不同会质的传输路径能够满足不同的业 务需求。在多宿主结构中有多条路径可以进行数据传输，当发生物理失效( 如光 缆断掉，路由器故障) 、路由协议失效( 如b g p 需要重设) 、提供者失效等情况 时，多宿主站点能够重链接到其他路径从面保证霹络的连通性，避免路径中断给 企业站点造成的损失。 其次，多宿主有利于实现负载均衡。负载均衡是建立在多宿主网络上的一种 网络流量管理技术。它主要针对不同链路的网络流量、通信质量、访问路径长短 等诸多因素，通过一系列透明的状态和性能检测，分析每条链路的状况，然后按 照一定的策略和算法，将流量分别导向到最优豹路径。通过多宿主技术，站点可 以根据链路的状况在多条路径之间动态而透明地分配流量和负载，使多个i s p 并 发执行，最大限度地扩展和利用链路的带宽，大大提高网络的效率。 第三，多宿主可以实现传输层会话存活性。在传输层会话中，多宿主可以在 底层进行透明的重链接而不影响应用层的正常通信。会话存活性，是指当网络出 现被攻击、链路或节点失效等突发事件时，会话应不受故障的影响，维持正常通 信的能力。会话拥有存活性表明如果一个本地站点的多宿主主机和远端主机使用 路径l 建立一个应用会话，当这条路径失效时，应用会话应该熊切换到路径2 ，而 不需要重建应用级的会话连接。已经建立的会话能够在网络级路由发生动态变化 时生存下来，因此上层透信双方都感觉不到底层链路的交化。 第四，多宿主有利于减少传输延迟。灵活的路由策略可以实现传输过程中最 佳路径的选择，提供较高的传输效率和较低的报文丢失率，当多宿主站点的一条 通信路径如现故障后，能迅速切换到其它正常的路径继续通信，缩短恢复时间， 从而提高网络的服务质量。 第五，多宿主有利于减少用户费用。提供者不同导致路由政策、带宽流量、 计费方式等有所差异，通过多宿主技术可以选择合适的i s p ，最优地使用网络资源， 达到花销最小、性能最好的效果。 第2 页 国防科学技术大学研究生院硕士学位论文 未来互联网的发展对信息安全和可信度的要求越来越高。然而，由于互联网 体系结构本身的脆弱性，以及现有互联网络从设计、实现到维护技术中存在的缺 陷，导致互联网上的安全事件频繁发生，人们对互联网的可信任性产生怀疑。 i p 源地址欺骗是t c p i p 环境的一种复杂的技术攻击，它能导致拒绝服务攻击 ( d o s ) j ，在i n t e m e t 领域中是黑客进行攻击时常常采用的一种重要手段。d o s 攻击 给所有网络提供商i s p 提出了挑战，因此需要迫切执行严格的流量过滤机制。 为了提高网络的安全性，防止源地址欺骗，预防攻击发生，当前很多为企业 站点提供服务的i s p 都实施了准入过滤机f l ；l j ( i n g r e s sf i l t e r i n g ) 丌。准入过滤用于管 理进入管辖范围内网络的流量，是抵御d o s 攻击的一种有效方法。在i s p 的边缘 通过配置入口过滤规则，能够区别正常或非正常的报文，阻止不合理的源地址报 文，增加了网络的安全性。当攻击者使用真正有效的源地址进行攻击时，准入过 滤能够追踪攻击者的源地址，因此很多i s p 在边界路由器处设置了准入过滤机制。 然而在多宿主技术中，报文更改路由，通过另一个i s p 的路径传输，当到达上游 i s p 的边界路由器时，会被当作源地址前缀与i s p 分配不一致的“欺骗报文过滤 掉，最终导致会话中断【8 j 。 维持会话存活性，是口v 6 多宿主设计的主要目标之一。重要的会话被中断会 导致业务中断或数据流失，造成无法弥补的巨大损失。在很多情况下，宁可出现 暂时的报文丢失现象，也不希望上层会话中断。传输层协议( 如t c p 、u d p ) 也 要支持重链接的透明性。因此保证会话存活性，对目前网络的q o s 提出了更高的 要求。多宿主技术可以实现会话存活性，进行透明的重链接而不影响上层会话的 正常通信。 如何使会话存活性和准入过滤机制同时兼容成为目前多宿主研究的重点。我 们希望多宿主技术不管采用什么方式实现，都尽量保证多宿主主机或站点在切换 路径时维持正在进行的应用层会话不中断。 1 2 多宿主技术研究现状 i p v 4 网络主要是通过边界网关协议b g p 来实现多宿主。b g p 是目前i n t e m e t 上广泛使用的外部网关协议，该协议允许各个自治系统根据自身情况独立地配置 i p 策略来选择和发布路由信息，交换网络可达信息，是i s p 互连的基本手段。i n t e m e t 上每个i s p 都至少拥有一个唯一的a s 号，并且通过b g p 向其对等互联同伴广播 其网络信息。b g p 交换的网络可达性信息提供了足够的信息来检测路由回路并根 据性能优先和策略约束对路由进行决策。特别地，b g p 交换包含全部a s p a t h 的 网络可达性信息，按照配置信息执行路由策略。 第3 页 国防科学技术大学研究生院醭士学娩论文 采用b g p 方式的多宿主技术有两种寻址方式【9 】。一种是使用 p i ( p r o v i d e r - i n d e p e n d e n o 地址，p l 地址是由地区互联网注册组织r i r ( r e g i o n a l i n t e m e tr e g i s t r y ) 分配的全局唯一地址。使用p i 地址的多宿主方式是传统i p v 4 多宿 主的首选。但是到了9 0 年代中期，由于地址空间紧张，r i r 不再给小规模的多宿 主站点分配地址。另一种是使用p a ( p r o v i d e r - a g g r e g a t a b l e ) 地址，p a 地址是由 提供者给那些不能获得p i 地址的站点用户分配的全局唯一地址。不管使用p i 或 p a 地缝，多宿主技术都会增加全局路由表项，使得b g p 路圭表顼急剧膨胀，给 全局路由系统带来沉重的负担。 图l 。2 所示是g e o f f h u s t o n 根据a s 6 5 0 0 0 的b g p 数据得到的最新的a c t i v e b g p e n t r i e s ( f i b ) 数量图 1 0 1 。可以看出近几年来随着网络规模豹不断扩大，b g p 路由表 入口数量成指数增长。随着互联网中采用多宿主技术的网络站点的持续增长，这 种情况会嚣趋严重，弓| 起严重的路由振荡。 ， ： ! ；歹 | | 。 【一 l“y 一 一1 1 1i ： ； i d 一一 o 图1 2b g pe n t r i e so na s 6 5 0 0 0 ，19 9 4 - 2 0 0 7 b yg e o f rh u s t o n 【1 0 1 ( 2 0 0 7 11 ) i p v 4 踺络中路由表项膨胀的根本原因是由于p v 4 地址的层次结构缺乏统一的 分配和管理。大多数婵地址空间的拓扑结构只有两层或三层，i n t e m e t 每增加一个 a s 域，骨干路由器中就要增加一项或几项路由，这导致主干路由器中存在大量的 路豳表项。庞大豹路由表项增加了路南查找和存储的开销，而且路由表项的增加 一旦超过路由器设计的最大路由表项数，就需要对路由器硬件进行升级。 无类域闻路壶c i d r ( c l a s s l e s si n t e r - d o m a i nr o u t i n g ) i | l l 是一种1 p v 4 路蠢聚合技 术，它并不使用传统的有类网络地址的概念，即不再区分a 、b 、c 类网络地址， 焉是将l p 掰络地址空间看成怒一个整体，用可变长分块的方式分配所剩的网络号 并划分成连续的地址块，然后采用分块的方法进行分配。这种寻址方式可以自由 地划分地址，减缓i p 地址和路由表增大的问题。但是在多宿主情况下路由聚合失 效。p i 地址和p a 地址不能聚合，都会增加b g p 路由表项【| 2 1 。 第4 页 一 一 一 。 盆v圭叁各-，曩 国防科学技术大学研究生院硕士学位论文 使用p i 地址的i p v 4 多宿主 2 0 0 0 0 8 a s p a t h ：a $ 2 0i 1 2 3 0 0 0 8l 3 0 o o o 8 a s p a t h ：a $ 3 0l 1 2 3 0 0 o 8i 屈黑是3 图1 3 使用p i 地址的i p v 4 多宿主 如图1 3 所示，假设多宿主站点a s l 2 3 足够大，拥有p i 地址，它向上游两个 提供者a s 2 0 和a s 3 0 通告它的p i 地址前缀1 2 3 0 0 0 8 。由于a s 2 0 和a s 3 0 的前 缀都不能聚合a s l 2 3 的前缀，因此a s 2 0 和a s 3 0 在向i n t e r n e t 通告自己前缀的同 时也要通告a s l 2 3 的前缀。显然，使用p i 地址增加了全局路由表选项，这种多宿 主方式使得路由表规模迅速扩大。 使用p a 地址的p v 4 多宿主 2 0 0 0 0 8 a s - p a t h ：( a 2 07 0 。1 2 37 0 2 4 a s p a t h ：a s1 2 3 图1 4 使用p a 地址的l p v 4 多宿主 如图1 4 所示，a s l 2 3 使用p a 地址，它的地址空间由主要提供者a s 2 0 分配， a s 3 0 作为它的备选提供者。a s l 2 3 同时向两个提供者通告它的前缀范围 2 0 0 1 2 3 0 2 4 。a s 2 0 可以将a s l 2 3 聚合在它的前缀范围2 0 0 0 0 8 内，所以a s 2 0 只向i n t e m e t 通告聚合后的前缀。a s 3 0 不能聚合a s l 2 3 的前缀，因此a s 3 0 在通 告自己前缀的同时也要通告a s l 2 3 的前缀。 可见使用p a 地址仍然会增加路由表的表项，而且当站点的主要提供者改变 时，要对其进行重编号。 如果a s 域之间不使用路由协议b g p ，可以采用网络地址翻译n a t ( n e t w o r k a d d r e s st r a n s l a t i o n ) 1 3 】来实现多宿主。n a t 是目前应用于中小型局域网络的一种常 第5 页 一一一一 国防科学技术大学硒究生陵硕士学使论文 见技术，通过n a t 把内部地址翻译成合法的i p 地址在i n t e m e t 上使用，可以解决 i p 地址不足的问题。在n a t 中，站点内部主机使用私有地址，n a t 再将其翻译 成上游提供者分配的地址。从个人用户到大企业网络都能采用n a t 技术，适用范 围广泛，不需要p i 地址，也没有加重i n t e m e t 全局路由系统的负担。 相比l p v 4 ，l p v 6 协议湖有许多新的技术特点。近乎无限的地垃空闻，简纯的 报头格式，网络层认证和加密，路由表项汇聚能力，更高的服务质量保证，真正 的即插即用功能，可移动性的真正实现等等。这些特点解决了地址空闻不足和路 由表急剧膨胀等问题。 i p v 6 协议拥有巨大的地址空闻，为下一代网络的发展奠定了坚实的基础，谨 慎合理的分配方式显得尤为重要。路由聚合可以减少路由器必需工作的路径数量， 使路由表项减小。因此在进行地址分配时应尽可能分配较大的连续地址空间并留 下定的空闻供将来扩展使用。 i p v 4 中处理多宿主的方法已经不再适用于i p v 6 b s 】。一方面，i p v 6 的地址空间 增大得太多，对于消除多宿主对d f z ( d e f a u l t o f r e ez o n e ) 中i p v 6 路由表影响的要求 高了很多，如果不妥善解决，i p v 6 路由表可能超过p v 4 中由于无类域问路由技术 ( c i d r ) 而产生的路内表膨胀的情况，甚至更糟；另一方面，i p v 6 的地址结构比i p v 4 更加结构化、层次化，地址分配采用可聚合的方案。i s p 分配到一个网络号后，可 以根据网络的情况，自己划分子网结构，以便于路由聚合。因此在i p v 6 中可以采 用更好的处理多宿主的办法。 目前关于i p v 6 多宿主技术的研究一直处于不断发展完善的过程中，在2 0 0 4 年1 2 月份，i e t f 成立了m u l t i 6w o r k i n gg r o u p 6 】工作组专门研究多宿主，主要内 容包括i p v 6 站点多宿主的发展；设计出一种3 5 层协议，将主机标识符和定位符 分离；并由此提出了在i p 层协议栈加入s h i m 层的解决方法等等。i e t f 在2 0 0 5 年6 月又缀成了s h i m 6w o r k i n gg r o u p 1 7 】工作组，它是从m u l t i 6i 作组延伸过来的， 确定将s h i m 6 方法作为多宿主技术的长期解决方法。目前m u l t i 6 工作组已经写出 了若干个d r a f t s ，接下来的蠢标是希望提出标准的r f c 文档，继续研究和分析 s h i m 6 结构。 1 3 课题研究内容 本课题首先对现有v p v 6 多宿主方法进行研究，全面详细地分析了这些方法的 特点，并将其归纳分类成几种策略：路由策略、主机中心策略、网关策略和更改 主机网络协议栈策略。对它们进行比较，总结各自的特点。根据现有方法的特点， 提出、设计并验证了基于地址隐匿和识别的i p v 6 站点多宿主视制a s l ( 削d r e s s 第6 页 国防科学技术大学研究生院硕士学位论文 s h e l t e r i n ga n di d e n t i f y i n g ) ，并对机制的其它相关问题进行了研究。 课题的研究内容主要分为以下几个方面： 对现有多宿主技术发展状况、分类和特点进行深入研究，将其归纳分类成 几种策略，并对比总结。 从防止i p 源地址欺骗和维持会话存活性等因素考虑多宿主技术应该解决 的问题。针对这个问题，课题提出了一种解决i p v 6 站点多宿主的新方法。 对a s i 机制中的关键技术进行研究，这些关键技术包括实体之间的信息交 换过程、m t u 问题以及安全问题。 通过对l i n u xt c p i p 协议栈数据包接收和发送过程的分析，设计了隐匿模 块和识别模块，并对工作流程进行详细阐述。 验证a s i 原型系统，对正常路径和切换路径后的情况进行数据测试，表明 了a s i 机制的可行性。 提出了在实现过程中还应该注意的关键问题。 1 4 论文的组织结构 论文总共分为六章，各章内容如下： 第一章绪论，介绍i p v 6 多宿主技术的应用背景以及当前的研究情况。 第二章i p v 6 多宿主相关机制研究，介绍目前i p v 6 多宿主的解决方案，并对它 们的特点分析比较，引出在实际应用中需要考虑的问题。 第三章一种i p v 6 站点多宿主机制一一a s i ，提出一种解决多宿主问题的新方 法一一基于地址隐匿和识= 5 | l j ( a d d r e s ss h e l t e r i n ga n di d e n t i f y i n g ，a s i ) 的i p v 6 站点多 宿主机制，介绍设计原理，进行协议分析，并设计了扩展报头格式。 第四章a s i 关键技术，说明设计过程中几个关键问题。 第五章l i n u x 下a s i 机制的实现方案，首先介绍l i n u x 下t c p i p 协议栈的结 构特点，然后详细阐述了a s i 各模块的实现，同时对原型系统进行验证，表明机 制的可行性。 第六章总结及展望，对课题的研究工作进行总结，指出课题研究的创新点和 实际意义，并提出进一步工作的建议。 最后是结束语和致谢。 第7 页 国防科学技术大学研究生院硕士学位论文 第二章i p v 6 多宿主相关机制研究 i p v 6 多宿主的解决方案主要基于以下原则【l s 】：尽量不增加b g p 路由表项，保 持路离系统的稳定性；从安全角度考虑，要防止源地址欺骗，不排斥过滤准荧| j ； 对主机、路由器和d n s 的影响要尽可能小；不可特殊化，要适用于大多数站点； 由于提供者的差异，它们之间最好不要协商。i p v 6 多宿主的实施方法有很多，但 是每种方法都有一定缺点，且缺乏统一、有效的解决标准，分类方式也不明确。 本章按照这些方法的实施主体，将现有酶多宿主方法概括分为疆类：路由策略； 主机中心策略；网关策略；更改主机网络协议栈策略。 2 1 路由策略 路由策略是通过路由系统来解决多宿主闻题的一种策略。路由系统是i n t e m e t 的基础设施和用户网络的关键支撑，多宿主站点经过路由控制或路由优化以确定 使用哪一条路径连接到i n t e m e t 。路由策略可以分为使用b g p 的i p v 6 多宿主、“隧 道机制的i p v 6 多宿主1 嗣和i s p 之间协商的多宿主。 2 1 1 使用b g p 的i p v 6 多宿主 n 。触：2 0 0 i ：2 0 ：3 2t l跏叙：2 0 0 1 ：3 0 ：3 ：2 la s - 嘲：a $ 3 0 p r e f i x ：2 0 0 1 ：2 0 ：1 2 3 ：4 1 t f i x ：2 0 0 1 ：2 0 ：1 2 3 ：，4 3 图2 1 使用b g p 的i p v 6 多宿主 i p v 6 多宿主站点网络使用上游i s p 分配的p a 地址，与使用b g p 的i p v 4 多宿 主类似，多宿主站点或主机前缀地址的路由信息将通告给两个或更多个上游i s p 。 如图2 。l 所示，多宿主站点a s l 2 3 使用主要提供者a s 2 0 分配的地址前缀，a s 3 0 作为它的备选提供者。a s l 2 3 同时向两个提供者通告它的前缀范围 2 0 0 1 ：2 0 ：1 2 3 ：缮8 。a s 2 0 可以将a s l 2 3 聚合在它的前缀范围2 0 0 l ：2 0 ：3 2 内，因此 a s 2 0 只向i n t e m e t 通告聚合后的前缀。a s 3 0 不能聚合a s l 2 3 的前缀，因此a s 3 0 在通告自己前缀的同时也要通告a s l 2 3 的前缀。 第8 页 国防科学技术大学研究生院硕士学位论文 使用b g p 的i p v 6 多宿主增加了路由表项，将引起全局路由表急剧膨胀。虽然可 以增加路由器的转发速度和存储空间，但是路由表项迅速扩大仍然会给b g p 带来 不稳定性。而且当站点的主要提供者改变时，要对其进行重编号。i p v 6 庞大的地址 空间使得路由系统根本无法承受，同时i p v 6 的地址分配策略和b g p 广