基于流過濾技術的校園網絡的構建

為了促進中國網絡教育的發展，我們需要一個平臺，需要對校園網絡教育進行推廣，并促進中國教育的發展。這是非常必要的。然而,基于IPv4的網絡環境開發的教育平臺無法真正有效的滿足這點,IIPv6協議不再需要上層協議的支持,(如DHCP,BOOTP)就可以直接實現地址的自動分配。這大大簡化了終端設備的網絡配置工作,簡化了大量非專業人士上網時繁瑣的設置,也使得各種各樣的非人工控制設備輕松上網成為可能。因此,IPv6網絡為作為科研平臺的校園網建設提供了更好的技術支持。1社會互聯網應用中國教育和科研計算機網CERNET支持全新的更豐富的下一代互聯網的重大應用,包括:網格計算、高清晰度電視、強交互點到點視頻語音綜合通信、遠程教育等。CERNET2的網絡拓撲結構如圖1所示。2網絡基礎設施的結構各教研室的電腦通過一臺三層交換機接入到匯聚層交換機,然后通過地區核心交換機連入CERNET2的長沙接入入口。網絡拓撲圖如圖2所示。3平臺結構的設計首先,選擇適宜操作系統和服務器軟件,然后使用網頁開發工具進行代碼開發,最后完成網站建設。經過討論,我們的示范網站包括六個大的部分,分別是:首頁、相關文檔、配置方法、軟件下載、站點服務、主題論壇。結構圖如圖3所示。相關文檔:包括收集到的一些學習文檔,資料;配置方法:包括我們收集到的現有操作系統下IPv6的配置方法,方便大家的配置;軟件下載:包括我們使用過的軟件以及網上找到的一些好的軟件,主要是關于我們提供的服務的;站點服務:加入了一些音頻和視頻文件實行流媒體服務和FTP下載;主題論壇:在這里可以討論、請教各種知識。4比特技術原理4.1ipv6地址空間“fp”與IPv4的32地址相比,IPv6的地址要長的多。IPv6共有128位地址,是IPv4的整整四倍。與IPv4一樣,一個字段由16位二進制數組成,因此,IPv6有8個字段。每個字段的最大值為16384,但在書寫時用四位的十六進制數字表示,并且字段與字段之間用“:”隔開,而不是原來的“.”。而且字段中前面為零的數值可以省略,如果整個字段為零,那么也可以省略。128位地址所形成的地址空間在可預見的很長時期內,它能夠為所有可以想象出的網絡設備提供一個全球唯一的地址。128位地址空間包含的準確地址數是340,282,366,920,938,463,463,374,607,431,768,211,456。IPv6的地址如圖4所示。“FP”是就是地址前綴(也稱為“格式前綴”),用于區別其它地址類型。隨后分別是13位的TLAID(頂級聚集體ID號)、8位的Res)保留位,以備將來TLA或NLA擴充之用。)、24位的NLAID(次級聚集體ID號)、16位SLAID(節點ID號)和64位InterfaceID(主機接口ID號)。TLA、NLA、SLA三者構成了自頂向下排列的三個網絡層次,并且依次向上一級申請ID號。分層結構的最底層是網絡主機。4.2多播地址標識的方式IPv6定義了三種不同的地址類型。分別為單播地址(UnicastAddress),多播地址(MulticastAddress)和任播地址(AnycastAd-dress)。所有類型的IPv6地址都是屬于接口(Interface)而不是節點(node)。一個IPv6單點傳送地址被賦給某一個接口,而一個接口又只能屬于某一個特定的節點,因此一個節點的任意一個接口的單播地址都可以用來標示該節點。IPv6中的單播地址是連續的,以位為單位的可掩碼地址與帶有CIDR的IPv4地址很類似,一個標識符僅標識一個接口的情況。在IPv6中有多種單播地址形式,包括基于全局提供者的單播地址、基于地理位置的單播地址、NSAP地址、IPX地址、節點本地地址、鏈路本地地址和兼容IPv4的主機地址等。多播地址是一個地址標識符對應多個接口的情況(通常屬于不同節點)。IPv6多播地址用于表示一組節點。一個節點可能會屬于幾個多播地址。這個功能被多媒體應用程序所廣泛使用,它們需要一個節點到多個節點的傳輸。RFC-2373對于多播地址進行了更為詳細的說明,并給出了一系列預先定義的多播地址。任播地址也是一個標識符對應多個接口的情況。如果一個報文要求被傳送到一個任播地址,則它將被傳送到由該地址標識的一組接口中的最近一個(根據路由選擇協議距離度量方式決定)。任播地址是從單播地址空間中劃分出來的,因此它可以使用表示單播地址的任何形式。從語法上來看,它與單播地址間是沒有差別的。當一個單播地址被指向多于一個接口時,該地址就成為任播地址,并且被明確指明。當用戶發送一個數據包到這個任播地址時,離用戶最近的一個服務器將響應用戶。這對于一個經常移動和變更的網絡用戶大有益處。那么從接口主機來講(主要從功用來分),IPv6又可以把主機接口類型進行地址配置:全球地址(Globally)、全球單播地址Unicast)、區域地址(On-site)、鏈路本地地址(LinklocalAddress)、地區本地地址(SitelocalAddress)、廣播地址(Broadcast)、多播群地址(MulticastGroupAddress)、任播地址(AnycastAddress)、移動地址(Mobility)、家鄉地址(HomeAddress)、轉交地址(Care-ofAddress)5基于tcp/ip協議棧的狀態檢測“流過濾”技術是以狀態檢測包過濾的形態實現對應用層保護的一種防火墻過濾技術,基本原理是在狀態檢測包過濾的基礎上,針對具體應用層協議采用專門設計的TCP/IP協議棧實現對鏈路層數據流在應用層重組并在此基礎上進行過濾,以包過濾的形態提供應用層保護能力,使得規則匹配在防火墻內部由數據鏈路層直達應用層。5.1利用流過濾技術的安裝當對關鍵報文應用流過濾技術處理時,流過濾技術邏輯上斷開數據發送端與數據接受端之間的直接網絡連接,即發送端與接受端之間在傳輸數據之前建立的網絡連接仍然存在,但發送端與接受端之間的數據傳輸必須通過使用流過濾技術的防火墻中轉。防火墻利用流過濾技術對關鍵報文進行處理的過程,按照時間先后順序可分為三個步驟:1)對發送端發送應答報文,并將同一會話中的全部關鍵報文在應用層數據重組。2)按照流過濾規則對重組后的完整數據進行合法性檢查,并做相應處理。3)對通過合法性檢查的數據發送給接受端,并處理接受端發出的應答報文。5.2方案一:加密不同侵權,缺乏相關信息過濾利用流過濾技術在IPv6網絡通信中,數據流是以密文的形式在網絡中傳輸,IPv6報文都是加密的,防火墻無法獲得相關信息進行過濾,要么全部阻攔數據包則網絡將不能進行通信,要么全部放行則容易受到攻擊。為解決這一問題,本文將采用屏蔽子網防火墻系統結構在此系統中的堡壘主機上實現流過濾技術,該系統層次結構示意圖如圖5所示。6特殊的流場服務和創新技術在IPv6環境下搭建的校園網,可以提供多種在IPv