1 引言
目前我们使用的第二代互联网IPv4技术,技术属于美国。它的问题是网络地址资源有限,从理论上讲,编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后,可用的网络地址和主机地址的数目大打折扣,以至目前的IP地址近乎枯竭。其中北美占有3/4,约30亿个,而人口多的亚洲只有不到4亿个,中国截止2010年6月IPv4地址数量达到2.5亿,落后于4.2亿网民的需求。地址不足,严重地制约了我国及其他国家互联网的应用和发展。一方面是地址资源数量的限制,另一方面是随着电子技术及网络技术的发展,计算机网络将进入人们的日常生活,可能身边的每一样东西都需要连入因特网。在这样的环境下,IPv6应运而生。单从数字上来说,IPv6所拥有的地址容量是IPv4的约8×10^28倍,达到2^128(算上全零的)个。这不但解决了网络地址资源数量的问题,同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。
但是与IPv4一样,IPv6一样会造成大量的IP地址浪费。准确的说,使用IPv6的网络并没有2^128个能充分利用的地址。首先,要实现IP地址的自动配置,局域网所使用的子网的前缀必须等于64,但是很少有一个局域网能容纳2^64个网络终端;其次,由于IPv6的地址分配必须遵循聚类的原则,地址的浪费在所难免。但是,如果说IPv4实现的只是人机对话,而IPv6则扩展到任意事物之间的对话,它不仅可以为人类服务,还将服务于众多硬件设备,如家用电器、传感器、远程照相机、汽车等,它将是无时不在,无处不在的深入社会每个角落的真正的宽带网。而且它所带来的经济效益将非常巨大。当然,IPv6并非十全十美、一劳永逸,不可能解决所有问题。IPv6只能在发展中不断完善,也不可能在一夜之间发生,过渡需要时间和成本,但从长远看,IPv6有利于互联网的持续和长久发展。 目前,国际互联网组织已经决定成立两个专门工作组,制定相应的国际标准。图1-1为IPv4/IPv6网关的典型应用场景。图1-2为IPv4/IPv6网关组网的连接情况。
图1-1 IPv4/IPv6安全网关的典型应用场景
图1-2 IPv4/IPv6安全网关组网
2 IPv4/IPv6安全网关原理
IPv4/IPv6安全网关主要由四部分构成,分别为机械结构部分、路由器电器部分、电源和通风散热系统。机械部分包括主机箱和配线架,主机箱可以外购或者按照机械尺寸定制,配线架采用19英寸机箱的标准配线架;电源和电源厂家协商定制;通风散热系统由两组风扇组成,负责网关主机框和电源的散热;路由器电器将采用主控板、交换板、电源冗余设计等模块实现模块化结构设计,具有平滑的可升级能力。IPv4/IPv6安全网关的体系结构如图1--3所示。
图1-3 IPv4/IPv6网关体系结构
安全网关主要包括支撑子系统,路由协议处理子系统(主要是BGP4+代理),IPv4/IPv6互连网关功能处理子系统、IP转发子系统(分布式结构),操作管理子系统等等。图1-4给出了在该体系结构下,IP分组流动的示意图。
图1-4 IP分组处理流程示意图
操作与管理子系统
操作与管理子系统(OAM子系统)是整个IPv4/IPv6互连网关的控制。它需要实现对整个IPv4/IPv6互连网关系统的控制和管理。操作与管理子系统的主要功能包括:提供多种用户操作界面,包括控制台、虚拟终端和SNMP网络管理;实现被管理模块之间的信息交互;提供分布式支持;实现错误检测和错误恢复功能;提供一套完善的运行时调试接口。
IP转发子系统
转发子系统实现IPv4/IPv6互连网关系统中路由器的基本功能-IP分组的转发。该子系统实现IPv6、ICMPv6和Neighbor Discovery三个主要协议以及IPv4协议栈中的相应协议,并能够同时支持单处理器平台和分布式多处理器平台的IP分组转发。
路由协议处理子系统
路由协议处理子系统主要实现IPv4/IPv6互连网关上的BGP4+的代理,4to6过渡协议需要支持IPv4路由表向IPv6传播,并从IPv6网络中学习IPv4路由表。该部分主要实现4to6过渡协议中的路由处理机制,包括组播路由的支持。
支撑子系统
支撑子系统是整个IPv4/IPv6互连网关系统上层应用实体的服务提供者。从协议角度看,它为BGP4+代理以及网管协议SNMP提供服务;从系统角度来看,它是操作和管理系统的一种手段。支撑子系统将实现它的三个组成部分的协议规范要求,实现了端到端的数据传输,并且提供了一种远程登录访问的手段。
IPv4/IPv6安全网关功能处理子系统
安全网关功能处理主要是实现IPv4/IPv6网络过渡机制和过渡技术,目前包括协议翻译转换技术、隧道技术、4to6过渡技术以及应用层网关技术。安全网关3个主要的部分:报文翻译,DNS应用层网关,FTP应用层网关。
图1-5 NAT_PT的总体结构图
报文翻译
报文翻译部分是NAT_PT的基础部分。它负责进行IPv4和IPv6报文之间的翻译。具体的实现主要针对TCP、UDP和ICMP三种不同类型的报文进行翻译。由于TCP自己的特性,在地址映射的时间上,还有TCP建立连接的时候,对动态地址池的操作都和UDP、ICMP有所区别。
DNS应用层网关
DNS 是域名系统 (Domain Name System) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为"域名解析".
DNS应用层网关部分是为了支持DNS的IPv6扩展功能的。它主要对针对目的端口/源端口=53的DNS_UDP报文进行翻译的。DNS应用层网关的主要功能是支持外部的IPv4主机对IPv6域内服务器的访问。这样,当外部的DNSv4的查询报文通过路由器的时候,将被翻译后送到IPv6域内的IPv6 DNS服务器。同样IPv6域内的IPv6 DNS服务器的DNSv6回复报文,也将被翻译后返回给原IPv4主机。
FTP应用层网关
由于FTP的IPv6扩展功能和现有的IPv4FTP命令不相同,不完全兼容,所以需要对FTP的命令作翻译。同时的由于TCP报文的负荷长度有所变动,所以还需要对一个FTP的连接的所有TCP数据报的顺序号进行修正。FTP应用层网关部分主要对针对目的端口/源端口=21的FTP_TCP报文进行翻译。
3 IPv4/IPv6安全网关解决方案
根据IPv4/IPv6安全网关的原理和市场需求,从性能,可扩展性以及高可靠性的角度出发,推荐采用研祥(EVOC)的网络系统平台NPC-8205作为解决方案的硬件平台,在此可靠的平台上实现IPv4/IPv6安全网关。
NPC-8205是一款基于Intlel新一代服务器JasperForest平台的高端网络应用系统产品。采取的服务器平台,北桥集成在CPU里面,大大提高了CPU对内存和外设的访问速度。全模块化的网络设计,可灵活选择光电组合,并在千兆,万兆之间灵活切换。主板支持两颗CPU,支持12个DIMM内存槽,6个SATA接口。支持CF卡,板载PCI扩展槽和两个PCI-E扩展槽。整机支持三个全模块的网络扩展,支持两个2.5寸抽拉硬盘位,支持液晶屏显示,板载2千兆电口,1个串口,2个USB,前面板可扩展两个PCI –E设备,支持冗余电源。
采用JASPER FOREAST平台具有以下优点:
(1)支持超线程:第三代超线程技术。
(2)支持虚拟化设备输入/输出 (VT-d):在之前以虚拟化CPU为主的基础上增加设备输入/输出的虚拟化,能有效提高虚拟机的性能和效率。
(3)内核加速模式(Turbo Mode):内核运行动态加速。可以根据需要开启、关闭以及加速单个内核的运行。这样动态的调整可以提高系统和CPU整体的能效比率。
(4)Cache的设计:采用三级全内含式Cache设计,L1的设计和Core 微架构一样;L2采用超低延迟的设计,每个内核256KB;L3采用共享式设计,被片上所有内核共享。
(5) 集成了内存控制器(IMC):从芯片组上移到CPU片上,支持多通道DDR3内存,内存读取的延迟大幅度减少,内存带宽大幅提升,多可达三倍。
(6)QPI:"快速通道互联",取代前端总线(FSB)的一种点到点连接技术,20位宽的QPI连接其带宽可达惊人的每秒25.6GB,远非FSB可比。QPI初能够发放异彩的是支持多个处理器的服务器平台,QPI可以用于多处理器之间的互联。
自由切换的光电口模块设计
不打开箱盖,直接在前面板操作,就可以在光口模块和电口模块间任意更换。可以灵活的搭配出光口不同数量。电口不同数量。光口模块和电口模块混合同时使用。
4.结束语
综上可见,研祥(EVOC)的网络系统平台NPC-8205作为实现IPv4/IPv6安全网关解决方案的硬件平台,解决了IPv4/IPv6安全网关对对计算性能,存储性能,可靠性能,扩展性能的需求,是一个比较的解决方案。
免责声明: 凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
