今日頭條
官方微信
官方抖音
案例頻道關(guān)鍵詞:安全網(wǎng)關(guān),IPv4,IPv6,EVOC,NPC
1 引言
IPv6取代IPv4已經(jīng)成為公認(rèn)的事實(shí),然而這將是一個長期的、漸進(jìn)的過程。IPv6的部署大致要經(jīng)歷一個過程。初始階段,在IPv4的網(wǎng)絡(luò)海洋中,會出現(xiàn)若干局部零散的IPv6孤島,為了保持通信,這些孤島通過跨越IPv4的隧道彼此連接。隨著IPv6規(guī)模的應(yīng)用,原來的孤島逐漸聚合成為了骨干的IPv6 Internet網(wǎng)絡(luò),形成于IPv4骨干網(wǎng)并存的局面。在IPv6骨干上可以引入了大量的新業(yè)務(wù),同時可以充分發(fā)揮IPv6的優(yōu)勢。為了實(shí)現(xiàn)IPv6和IPv4網(wǎng)絡(luò)資源的互訪,還需要轉(zhuǎn)換服務(wù)器以實(shí)現(xiàn)IPv6和IPv4的互通。最后,IPv4骨干網(wǎng)逐步萎縮成局部的孤島,通過隧道連接,IPv6占據(jù)主導(dǎo)地位,具備全球范圍的連通性。
IPv6提供很多過渡技術(shù)來實(shí)現(xiàn)這個漸進(jìn)過程。這些過渡技術(shù)主要圍繞著解決兩類問題:IPv6孤島互通技術(shù)——實(shí)現(xiàn)IPv6網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)的互通;IPv6和IPv4互通技術(shù)——實(shí)現(xiàn)兩個不同網(wǎng)絡(luò)之間互相訪問資源。因此我們提出研制IPv4/IPv6互聯(lián)網(wǎng)關(guān),通過協(xié)議地址翻譯的機(jī)制來解決IPv4和IPv6的互聯(lián)互通問題,實(shí)現(xiàn)IPv4向IPv6的平滑過渡。該設(shè)備可應(yīng)用在城域網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)和其他專用網(wǎng)絡(luò)上,實(shí)現(xiàn)各級子網(wǎng)對現(xiàn)有IPv6/IPv4資源的安全訪問。圖1-1為IPv4/IPv6網(wǎng)關(guān)的典型應(yīng)用場景。 圖1-2為IPv4/IPv6網(wǎng)關(guān)組網(wǎng)的連接情況。
.jpg)
圖1-1 IPv4/IPv6安全網(wǎng)關(guān)的典型應(yīng)用場景
圖1-2 IPv4/IPv6安全網(wǎng)關(guān)組網(wǎng)
2 IPv4/IPv6安全網(wǎng)關(guān)原理
IPv4/IPv6安全網(wǎng)關(guān)主要由四部分構(gòu)成,分別為機(jī)械結(jié)構(gòu)部分、路由器電器部分、一次電源和通風(fēng)散熱系統(tǒng)。機(jī)械部分包括主機(jī)箱和配線架,主機(jī)箱可以外購或者按照機(jī)械尺寸定制,配線架采用19英寸機(jī)箱的標(biāo)準(zhǔn)配線架;一次電源和電源廠家協(xié)商定制;通風(fēng)散熱系統(tǒng)由兩組風(fēng)扇組成,負(fù)責(zé)網(wǎng)關(guān)主機(jī)框和電源的散熱;路由器電器將采用主控板、交換板、電源冗余設(shè)計等模塊實(shí)現(xiàn)模塊化結(jié)構(gòu)設(shè)計,具有平滑的可升級能力。IPv4/IPv6安全網(wǎng)關(guān)的體系結(jié)構(gòu)如圖1-3所示。
.jpg)
圖1-3 IPv4/IPv6網(wǎng)關(guān)體系結(jié)構(gòu)
安全網(wǎng)關(guān)主要包括支撐子系統(tǒng),路由協(xié)議處理子系統(tǒng)(主要是BGP4+代理),IPv4/IPv6互連網(wǎng)關(guān)核心功能處理子系統(tǒng)、IP轉(zhuǎn)發(fā)子系統(tǒng)(分布式結(jié)構(gòu)),操作管理子系統(tǒng)等等。圖1-4給出了在該體系結(jié)構(gòu)下,IP分組流動的示意圖。
.jpg)
圖1-4 IP分組處理流程示意圖
? 操作與管理子系統(tǒng)
操作與管理子系統(tǒng)(OAM子系統(tǒng))是整個IPv4/IPv6互連網(wǎng)關(guān)的控制核心。它需要實(shí)現(xiàn)對整個IPv4/IPv6互連網(wǎng)關(guān)系統(tǒng)的控制和管理。操作與管理子系統(tǒng)的主要功能包括:提供多種用戶操作界面,包括控制臺、虛擬終端和SNMP網(wǎng)絡(luò)管理;實(shí)現(xiàn)被管理模塊之間的信息交互;提供分布式支持;實(shí)現(xiàn)錯誤檢測和錯誤恢復(fù)功能;提供一套完善的運(yùn)行時調(diào)試接口。
? IP轉(zhuǎn)發(fā)子系統(tǒng)
轉(zhuǎn)發(fā)子系統(tǒng)實(shí)現(xiàn)IPv4/IPv6互連網(wǎng)關(guān)系統(tǒng)中路由器的基本功能—IP分組的轉(zhuǎn)發(fā)。該子系統(tǒng)實(shí)現(xiàn)IPv6、ICMPv6和Neighbor Discovery三個主要協(xié)議以及IPv4協(xié)議棧中的相應(yīng)協(xié)議,并能夠同時支持單處理器平臺和分布式多處理器平臺的IP分組轉(zhuǎn)發(fā)。
? 路由協(xié)議處理子系統(tǒng)
路由協(xié)議處理子系統(tǒng)主要實(shí)現(xiàn)IPv4/IPv6互連網(wǎng)關(guān)上的BGP4+的代理,4to6過渡協(xié)議需要支持IPv4路由表向IPv6傳播,并從IPv6網(wǎng)絡(luò)中學(xué)習(xí)IPv4路由表。該部分主要實(shí)現(xiàn)4to6過渡協(xié)議中的路由處理機(jī)制,包括組播路由的支持。
? 支撐子系統(tǒng)
支撐子系統(tǒng)是整個IPv4/IPv6互連網(wǎng)關(guān)系統(tǒng)上層應(yīng)用實(shí)體的服務(wù)提供者。從協(xié)議角度看,它為BGP4+代理以及網(wǎng)管協(xié)議SNMP提供服務(wù);從系統(tǒng)角度來看,它是操作和管理系統(tǒng)的一種手段。支撐子系統(tǒng)將實(shí)現(xiàn)它的三個組成部分的協(xié)議規(guī)范要求,實(shí)現(xiàn)了端到端的數(shù)據(jù)傳輸,并且提供了一種遠(yuǎn)程登錄訪問的手段。
? IPv4/IPv6安全網(wǎng)關(guān)核心功能處理子系統(tǒng)
安全網(wǎng)關(guān)核心功能處理主要是實(shí)現(xiàn)IPv4/IPv6網(wǎng)絡(luò)過渡機(jī)制和過渡技術(shù),目前包括協(xié)議翻譯轉(zhuǎn)換技術(shù)、隧道技術(shù)、4to6過渡技術(shù)以及應(yīng)用層網(wǎng)關(guān)技術(shù)。安全網(wǎng)關(guān)3個主要的部分:報文翻譯,DNS應(yīng)用層網(wǎng)關(guān),F(xiàn)TP應(yīng)用層網(wǎng)關(guān)。
.jpg)
圖1-5 NAT_PT的總體結(jié)構(gòu)圖
? 報文翻譯
報文翻譯部分是NAT_PT的最基礎(chǔ)部分。它負(fù)責(zé)進(jìn)行IPv4和IPv6報文之間的翻譯。具體的實(shí)現(xiàn)主要針對TCP、UDP和ICMP三種不同類型的報文進(jìn)行翻譯。由于TCP自己的特性,在地址映射的時間上,還有TCP建立連接的時候,對動態(tài)地址池的操作都和UDP、ICMP有所區(qū)別。
? DNS應(yīng)用層網(wǎng)關(guān)
DNS應(yīng)用層網(wǎng)關(guān)部分是為了支持DNS的IPv6擴(kuò)展功能的。它主要對針對目的端口/源端口=53的DNS_UDP報文進(jìn)行翻譯的。DNS應(yīng)用層網(wǎng)關(guān)的主要功能是支持外部的IPv4主機(jī)對IPv6域內(nèi)服務(wù)器的訪問。這樣,當(dāng)外部的DNSv4的查詢報文通過路由器的時候,將被翻譯后送到IPv6域內(nèi)的IPv6 DNS服務(wù)器。同樣IPv6域內(nèi)的IPv6 DNS服務(wù)器的DNSv6回復(fù)報文,也將被翻譯后返回給原IPv4主機(jī)。
? FTP應(yīng)用層網(wǎng)關(guān)
由于FTP的IPv6擴(kuò)展功能和現(xiàn)有的IPv4FTP命令不相同,不完全兼容,所以需要對FTP的命令作翻譯。同時的由于TCP報文的負(fù)荷長度有所變動,所以還需要對一個FTP的連接的所有TCP數(shù)據(jù)報的順序號進(jìn)行修正。FTP應(yīng)用層網(wǎng)關(guān)部分主要對針對目的端口/源端口=21的FTP_TCP報文進(jìn)行翻譯。
3 IPv4/IPv6安全網(wǎng)關(guān)解決方案
根據(jù)IPv4/IPv6安全網(wǎng)關(guān)的原理和市場需求,從性能,可擴(kuò)展性以及高可靠性的角度出發(fā),推薦采用研祥(EVOC)的網(wǎng)絡(luò)系統(tǒng)平臺NPC-8205作為解決方案的硬件平臺,在此可靠的平臺上實(shí)現(xiàn)IPv4/IPv6安全網(wǎng)關(guān)。
NPC-8205是一款基于Intlel新一代服務(wù)器JasperForest平臺的高端網(wǎng)絡(luò)應(yīng)用系統(tǒng)產(chǎn)品。采取的服務(wù)器平臺,北橋集成在CPU里面,大大提高了CPU對內(nèi)存和外設(shè)的訪問速度。全模塊化的網(wǎng)絡(luò)設(shè)計,可靈活選擇光電組合,并在千兆,萬兆之間靈活切換。主板支持兩顆CPU,支持12個DIMM內(nèi)存槽,6個SATA接口。支持CF卡,板載PCI擴(kuò)展槽和兩個PCI-E擴(kuò)展槽。整機(jī)支持三個全模塊的網(wǎng)絡(luò)擴(kuò)展,支持兩個2.5寸抽拉硬盤位,支持液晶屏顯示,板載2千兆電口,1個串口,2個USB,前面板可擴(kuò)展兩個PCI –E設(shè)備,支持冗余電源。
? 采用JASPER FOREAST平臺具有以下優(yōu)點(diǎn):
(1)支持超線程:第三代超線程技術(shù)。
(2)支持虛擬化設(shè)備輸入/輸出 (VT-d):在之前以虛擬化CPU為主的基礎(chǔ)上增加設(shè)備輸入/輸出的虛擬化,能有效提高虛擬機(jī)的性能和效率。
(3)內(nèi)核加速模式(Turbo Mode):內(nèi)核運(yùn)行動態(tài)加速。可以根據(jù)需要開啟、關(guān)閉以及加速單個內(nèi)核的運(yùn)行。這樣動態(tài)的調(diào)整可以提高系統(tǒng)和CPU整體的能效比率。
(4)Cache的設(shè)計:采用三級全內(nèi)含式Cache設(shè)計,L1的設(shè)計和Core 微架構(gòu)一樣;L2采用超低延遲的設(shè)計,每個內(nèi)核256KB;L3采用共享式設(shè)計,被片上所有內(nèi)核共享。
(5) 集成了內(nèi)存控制器(IMC):從芯片組上移到CPU片上,支持多通道DDR3內(nèi)存,內(nèi)存讀取的延遲大幅度減少,內(nèi)存帶寬大幅提升,最多可達(dá)三倍。
(6)QPI:“快速通道互聯(lián)”,取代前端總線(FSB)的一種點(diǎn)到點(diǎn)連接技術(shù),20位寬的QPI連接其帶寬可達(dá)驚人的每秒25.6GB,遠(yuǎn)非FSB可比。QPI最初能夠發(fā)放異彩的是支持多個處理器的服務(wù)器平臺,QPI可以用于多處理器之間的互聯(lián)。
? 自由切換的光電口模塊設(shè)計
不打開箱蓋,直接在前面板操作,就可以在光口模塊和電口模塊間任意更換。可以靈活的搭配出光口不同數(shù)量。電口不同數(shù)量。光口模塊和電口模塊混合同時使用。
.jpg)
應(yīng)用原理圖
4.結(jié)束語
綜上可見,研祥(EVOC)的網(wǎng)絡(luò)系統(tǒng)平臺NPC-8205作為實(shí)現(xiàn)IPv4/IPv6安全網(wǎng)關(guān)解決方案的硬件平臺,解決了IPv4/IPv6安全網(wǎng)關(guān)對對計算性能,存儲性能,可靠性能,擴(kuò)展性能的需求,是一個比較優(yōu)秀的解決方案。
參考文獻(xiàn):
(1) 馮登國. 計算機(jī)通信網(wǎng)絡(luò)安全(M).北京:清華大學(xué)出版社,2001.2
(2) www.intel.com. 英特爾嵌入式與通信產(chǎn)品資源,技術(shù)和解決方案
(3) Christopher Y.Metz. IP Switching Protocols and Architeetures. 北京:機(jī)械工業(yè)出版社,1999.11
作者簡介:吳峰(1982-),男,學(xué)士,研祥智能科技股份有限公司網(wǎng)絡(luò)產(chǎn)品經(jīng)理。
北京市公安局海淀分局備案號:11010802023656號