基于流过滤技术的校园网络的构建_第1页
基于流过滤技术的校园网络的构建_第2页
基于流过滤技术的校园网络的构建_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

基于流过滤技术的校园网络的构建

为了促进中国网络教育的发展,我们需要一个平台,需要对校园网络教育进行推广,并促进中国教育的发展。这是非常必要的。然而,基于IPv4的网络环境开发的教育平台无法真正有效的满足这点,IIPv6协议不再需要上层协议的支持,(如DHCP,BOOTP)就可以直接实现地址的自动分配。这大大简化了终端设备的网络配置工作,简化了大量非专业人士上网时繁琐的设置,也使得各种各样的非人工控制设备轻松上网成为可能。因此,IPv6网络为作为科研平台的校园网建设提供了更好的技术支持。1社会互联网应用中国教育和科研计算机网CERNET支持全新的更丰富的下一代互联网的重大应用,包括:网格计算、高清晰度电视、强交互点到点视频语音综合通信、远程教育等。CERNET2的网络拓扑结构如图1所示。2网络基础设施的结构各教研室的电脑通过一台三层交换机接入到汇聚层交换机,然后通过地区核心交换机连入CERNET2的长沙接入入口。网络拓扑图如图2所示。3平台结构的设计首先,选择适宜操作系统和服务器软件,然后使用网页开发工具进行代码开发,最后完成网站建设。经过讨论,我们的示范网站包括六个大的部分,分别是:首页、相关文档、配置方法、软件下载、站点服务、主题论坛。结构图如图3所示。相关文档:包括收集到的一些学习文档,资料;配置方法:包括我们收集到的现有操作系统下IPv6的配置方法,方便大家的配置;软件下载:包括我们使用过的软件以及网上找到的一些好的软件,主要是关于我们提供的服务的;站点服务:加入了一些音频和视频文件实行流媒体服务和FTP下载;主题论坛:在这里可以讨论、请教各种知识。4比特技术原理4.1ipv6地址空间“fp”与IPv4的32地址相比,IPv6的地址要长的多。IPv6共有128位地址,是IPv4的整整四倍。与IPv4一样,一个字段由16位二进制数组成,因此,IPv6有8个字段。每个字段的最大值为16384,但在书写时用四位的十六进制数字表示,并且字段与字段之间用“:”隔开,而不是原来的“.”。而且字段中前面为零的数值可以省略,如果整个字段为零,那么也可以省略。128位地址所形成的地址空间在可预见的很长时期内,它能够为所有可以想象出的网络设备提供一个全球唯一的地址。128位地址空间包含的准确地址数是340,282,366,920,938,463,463,374,607,431,768,211,456。IPv6的地址如图4所示。“FP”是就是地址前缀(也称为“格式前缀”),用于区别其它地址类型。随后分别是13位的TLAID(顶级聚集体ID号)、8位的Res)保留位,以备将来TLA或NLA扩充之用。)、24位的NLAID(次级聚集体ID号)、16位SLAID(节点ID号)和64位InterfaceID(主机接口ID号)。TLA、NLA、SLA三者构成了自顶向下排列的三个网络层次,并且依次向上一级申请ID号。分层结构的最底层是网络主机。4.2多播地址标识的方式IPv6定义了三种不同的地址类型。分别为单播地址(UnicastAddress),多播地址(MulticastAddress)和任播地址(AnycastAd-dress)。所有类型的IPv6地址都是属于接口(Interface)而不是节点(node)。一个IPv6单点传送地址被赋给某一个接口,而一个接口又只能属于某一个特定的节点,因此一个节点的任意一个接口的单播地址都可以用来标示该节点。IPv6中的单播地址是连续的,以位为单位的可掩码地址与带有CIDR的IPv4地址很类似,一个标识符仅标识一个接口的情况。在IPv6中有多种单播地址形式,包括基于全局提供者的单播地址、基于地理位置的单播地址、NSAP地址、IPX地址、节点本地地址、链路本地地址和兼容IPv4的主机地址等。多播地址是一个地址标识符对应多个接口的情况(通常属于不同节点)。IPv6多播地址用于表示一组节点。一个节点可能会属于几个多播地址。这个功能被多媒体应用程序所广泛使用,它们需要一个节点到多个节点的传输。RFC-2373对于多播地址进行了更为详细的说明,并给出了一系列预先定义的多播地址。任播地址也是一个标识符对应多个接口的情况。如果一个报文要求被传送到一个任播地址,则它将被传送到由该地址标识的一组接口中的最近一个(根据路由选择协议距离度量方式决定)。任播地址是从单播地址空间中划分出来的,因此它可以使用表示单播地址的任何形式。从语法上来看,它与单播地址间是没有差别的。当一个单播地址被指向多于一个接口时,该地址就成为任播地址,并且被明确指明。当用户发送一个数据包到这个任播地址时,离用户最近的一个服务器将响应用户。这对于一个经常移动和变更的网络用户大有益处。那么从接口主机来讲(主要从功用来分),IPv6又可以把主机接口类型进行地址配置:全球地址(Globally)、全球单播地址Unicast)、区域地址(On-site)、链路本地地址(LinklocalAddress)、地区本地地址(SitelocalAddress)、广播地址(Broadcast)、多播群地址(MulticastGroupAddress)、任播地址(AnycastAddress)、移动地址(Mobility)、家乡地址(HomeAddress)、转交地址(Care-ofAddress)5基于tcp/ip协议栈的状态检测“流过滤”技术是以状态检测包过滤的形态实现对应用层保护的一种防火墙过滤技术,基本原理是在状态检测包过滤的基础上,针对具体应用层协议采用专门设计的TCP/IP协议栈实现对链路层数据流在应用层重组并在此基础上进行过滤,以包过滤的形态提供应用层保护能力,使得规则匹配在防火墙内部由数据链路层直达应用层。5.1利用流过滤技术的安装当对关键报文应用流过滤技术处理时,流过滤技术逻辑上断开数据发送端与数据接受端之间的直接网络连接,即发送端与接受端之间在传输数据之前建立的网络连接仍然存在,但发送端与接受端之间的数据传输必须通过使用流过滤技术的防火墙中转。防火墙利用流过滤技术对关键报文进行处理的过程,按照时间先后顺序可分为三个步骤:1)对发送端发送应答报文,并将同一会话中的全部关键报文在应用层数据重组。2)按照流过滤规则对重组后的完整数据进行合法性检查,并做相应处理。3)对通过合法性检查的数据发送给接受端,并处理接受端发出的应答报文。5.2方案一:加密不同侵权,缺乏相关信息过滤利用流过滤技术在IPv6网络通信中,数据流是以密文的形式在网络中传输,IPv6报文都是加密的,防火墙无法获得相关信息进行过滤,要么全部阻拦数据包则网络将不能进行通信,要么全部放行则容易受到攻击。为解决这一问题,本文将采用屏蔽子网防火墙系统结构在此系统中的堡垒主机上实现流过滤技术,该系统层次结构示意图如图5所示。6特殊的流场服务和创新技术在IPv6环境下搭建的校园网,可以提供多种在IPv

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论