国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 學(xué)院 > 網(wǎng)絡(luò)通信 > 正文

DSTM過渡技術(shù)及其網(wǎng)絡(luò)安全策略

2019-11-03 09:01:13
字體:
供稿:網(wǎng)友
徐貴寶


  一、DSTM概述

  ipv4/IPv6過渡問題是一個(gè)相當(dāng)復(fù)雜的問題,現(xiàn)在已經(jīng)提出了許多種不同的方法來解決這個(gè)問題,包括雙棧、SIIT、NAT-PT、SOCKS64、BIA、Tunnel Broker、6to4和BIS等等,這些方法各自適用于過渡過程中的不同情況。DSTM(Dual Stack Transition Mechanism)的目標(biāo)在于解決純IPv6網(wǎng)絡(luò)中的主機(jī)與其他IPv4主機(jī)或應(yīng)用的連接問題,它的出發(fā)點(diǎn)是提供IPv6節(jié)點(diǎn)一個(gè)獲得IPv4地址的方式,從而使之能夠與純IPv4節(jié)點(diǎn)或者IPv4應(yīng)用程序通信。DSTM技術(shù)通過使用IPv4-over-IPv6隧道,實(shí)現(xiàn)了IPv4流量在純IPv6網(wǎng)上的傳輸,同時(shí)也提供一個(gè)為IPv6/IPv4雙棧節(jié)點(diǎn)分配臨時(shí)IPv4地址的方法。

  DSTM目前還處于IETF草案階段。使用DSTM機(jī)制的節(jié)點(diǎn)必須是雙棧節(jié)點(diǎn),而且這種機(jī)制還必須要結(jié)合隧道技術(shù)進(jìn)行應(yīng)用。

  二、DSTM體系結(jié)構(gòu)

  DSTM的體系結(jié)構(gòu)(如圖1所示)中包括三個(gè)主要組成部分:DSTM服務(wù)器、網(wǎng)關(guān)和DSTM節(jié)點(diǎn)。其中,DSTM服務(wù)器負(fù)責(zé)為客戶機(jī)節(jié)點(diǎn)分配IPv4地址,它只需要保證在一定的時(shí)間內(nèi)IPv4地址的唯一性;網(wǎng)關(guān)作為隧道端點(diǎn)承擔(dān)純IPv6域和外部的IPv4 Internet或Intranet的邊界路由器的角色;DSTM節(jié)點(diǎn)執(zhí)行封裝/解封裝數(shù)據(jù)包,完成收發(fā)過程。這里有兩點(diǎn)需要注意。一是DSTM節(jié)點(diǎn)必須是雙棧節(jié)點(diǎn),純IPv6的節(jié)點(diǎn)不能使用DSTM;二是在只有網(wǎng)關(guān)需要直接與IPv4連接并需要一個(gè)永久IPv4地址。


圖1 DSTM的體系結(jié)構(gòu)


  DSTM模型假定如下:

  1.DSTM域在Intranet而不是Internet中。

  2.IPv6節(jié)點(diǎn)平時(shí)不維護(hù)IPv4地址(除非是與純IPv4節(jié)點(diǎn)通信或使用IPv4應(yīng)用而臨時(shí)分配地址)。

  3.臨時(shí)IPv4地址由DSTM服務(wù)器負(fù)責(zé)分配,分配的協(xié)議有多種選擇(DHCPv6就是一個(gè)不錯(cuò)的選擇)。由于服務(wù)器和客戶機(jī)是都是在同一個(gè)純IPv6網(wǎng)絡(luò)中,所以地址分配協(xié)議要考慮這個(gè)限制。

  4.作為地址分配功能的擴(kuò)展,DSTM服務(wù)器還可以提供一個(gè)端口范圍供客戶機(jī)使用。這樣就可以允許幾個(gè)不同的DSTM節(jié)點(diǎn)同時(shí)使用相同的IPv4地址,從而大大減小了所需的IPv4地址池。

  5.在DSTM域內(nèi),IPv4路由表保留到最小,從而減少了過渡時(shí)期所需要的IPv4網(wǎng)管工作。

  6.一旦IPv6節(jié)點(diǎn)獲得一個(gè)IPv4地址(也可能是一個(gè)端口范圍),就會(huì)使用4over6隧道將包從該節(jié)點(diǎn)轉(zhuǎn)發(fā)到一個(gè)DSTM TEP,在那里拆封后再使用IPv4轉(zhuǎn)發(fā)。DSTM服務(wù)器應(yīng)為客戶機(jī)提供所需TEP的IPv6地址,這也是地址分配過程的一部分工作。

  7.現(xiàn)有的IPv4應(yīng)用不需任何修改就可以在DSTM節(jié)點(diǎn)上運(yùn)行。

  8.只要目的地址是TEP可達(dá)的純IPv4主機(jī),DSTM節(jié)點(diǎn)就可以與它進(jìn)行通信。

  三、DSTM通信過程

  DSTM節(jié)點(diǎn)與IPv4通信的過程如下:

  ·DSTM節(jié)點(diǎn)向DSTM服務(wù)器請(qǐng)求一個(gè)臨時(shí)的IPv4地址。

  ·DSTM服務(wù)器在地址池中為該DSTM節(jié)點(diǎn)保留一個(gè)IPv4地址,并在應(yīng)答消息中將該地址和地址的有效時(shí)間以及有關(guān)DSTM網(wǎng)關(guān)(也就是TEP)的信息發(fā)送給DSTM節(jié)點(diǎn)。

  ·DSTM節(jié)點(diǎn)使用申請(qǐng)來的地址配置其IPv4堆棧,并將所有IPv4包都通過IPv4 over IPv6隧道送到DSTM網(wǎng)關(guān)。

  ·DSTM網(wǎng)關(guān)將包拆封成IPv4包發(fā)送出去。DSTM網(wǎng)關(guān)保留一個(gè)含有intranet主機(jī)IPv4和IPv6地址的映射表,并利用此映射表來執(zhí)行IPv4包的封裝和拆封。為保證雙向通信,IPv4路由必須要確保目的地為A的任何包都經(jīng)過C。

  四、DSTM節(jié)點(diǎn)要求

  網(wǎng)絡(luò)上的每個(gè)主機(jī)都需要有一個(gè)DSTM主機(jī)應(yīng)用。現(xiàn)在,已經(jīng)有支持FreeBSD、linux和Microsoft Windows 2000的DSTM主機(jī)應(yīng)用。主機(jī)有IPv6連接能力,因此在不需要進(jìn)行IPv4通信時(shí)也可以有純IPv6應(yīng)用。例如,在DSTM網(wǎng)絡(luò)中,一些內(nèi)部應(yīng)用就可以使用純IPv6的而不再需要支持IPv4。每個(gè)需要通過IPv4通信的應(yīng)用都必須支持IPv6-IPv4雙棧。FreeBSD中ENST提供的主機(jī)應(yīng)用需要一個(gè)“gif”(隧道)接口來支持IPv4 over IPv6隧道。

  1 IPv4協(xié)議棧的配置

  只要通信是在本地IPv6中發(fā)生的,DSTM節(jié)點(diǎn)就不需要使用IPv4地址。主機(jī)只有在以下情況時(shí)才需要IPv4地址:

  ·DNS解析的結(jié)果表明目的地址是一個(gè)IPv4地址時(shí);

  ·當(dāng)應(yīng)用打開一個(gè)IPv4 socket時(shí);

  ·一個(gè)IPv4數(shù)據(jù)包發(fā)往內(nèi)核而又沒有接口準(zhǔn)備轉(zhuǎn)發(fā)此包時(shí)。

  當(dāng)?shù)谝粋€(gè)IPv4包需要發(fā)送時(shí),DSTM客戶機(jī)不管通過什么方式,必須與DSTM服務(wù)器取得聯(lián)系。隨后,客戶機(jī)從服務(wù)器那里獲得一個(gè)臨時(shí)的IPv4地址以及一個(gè)TEP的IPv6地址。如果允許的話,服務(wù)器還可以提供所使用的端口范圍。這些信息都用來進(jìn)行4over6接口的配置。只有4over6的隧道接口配置后,IPv4協(xié)議棧的配置才宣告完成。

  2 IPv4包轉(zhuǎn)發(fā)

  由于沒有IPv4路由設(shè)施,DSTM節(jié)點(diǎn)不能直接在網(wǎng)絡(luò)上發(fā)送IPv4包,所以DSTM節(jié)點(diǎn)必須能建立與隧道端點(diǎn)TEP之間的4over6隧道。DSTM節(jié)點(diǎn)將IPv4包封裝進(jìn)IPv6包后,再通過該隧道發(fā)給隧道端點(diǎn)TEP(TEP可以看作是一個(gè)特殊的DSTM節(jié)點(diǎn)),TEP完成拆封工作后再將它們轉(zhuǎn)發(fā)到IPv4網(wǎng)絡(luò)上。

  在DSTM節(jié)點(diǎn)上,封裝工作是由4over6接口完成的。所有的IPv4流量都可以通過一個(gè)IPv4路由表項(xiàng)指向這個(gè)接口。具體的4over6接口和有關(guān)路由表項(xiàng)要視應(yīng)用而定。

  3 DSTM節(jié)點(diǎn)中IPv4包的處理

  為了保證IPv4的連通性,在純IPv6域中的節(jié)點(diǎn)必須能動(dòng)態(tài)配置他們的IPv4棧(通過向服務(wù)器請(qǐng)求臨時(shí)地址)。

  當(dāng)需要發(fā)送IPv4包時(shí),DSTM節(jié)點(diǎn)會(huì)把包交給4over6接口。如果4over6接口還沒有配置(也就是還沒有IPv4地址),處理過程就暫時(shí)停在這里,然后節(jié)點(diǎn)與DSTM服務(wù)器聯(lián)系請(qǐng)求獲得一個(gè)臨時(shí)地址。一旦得到IPv4地址,所有通過該4over6接口轉(zhuǎn)發(fā)的包都以這個(gè)臨時(shí)地址作為IPv4源地址,IPv4包的其他域正常處理。

  4 IPv6數(shù)據(jù)包結(jié)構(gòu)

  當(dāng)4over6接口將IPv4包封裝到IPv6包中,它必須確定IPv6包的目的地址。通常這個(gè)地址是TEP地址。在DSTM節(jié)點(diǎn)處,TEP地址可以是靜態(tài)配置的,也可以是節(jié)點(diǎn)獲得IPv4地址時(shí)從DSTM服務(wù)器動(dòng)態(tài)獲得的。

  TEP的IPv6地址必須在DSTM節(jié)點(diǎn)接受臨時(shí)IPv4地址時(shí)由DSTM服務(wù)器提供。不過在使用DSTM早期,也可以手工配置DSTM節(jié)點(diǎn)的TEP,這種方法不宜推廣使用,也不推薦作為長(zhǎng)期解決方案。

  封裝IPv4的包時(shí),Next header type域填4。當(dāng)隧道包到達(dá)IPv6終點(diǎn),IPv6包頭被去掉,由IPv4棧來處理解封后的包。然后TEP將使用普通IPv4的方法來轉(zhuǎn)發(fā)拆封后得到的IPv4包。TEP應(yīng)該緩存這種IPv4和IPv6源地址的對(duì)應(yīng)關(guān)系。

  一個(gè)封裝包的IPv6源地址應(yīng)該是發(fā)送該IPv6包的物理接口的IPv6地址。

  五、DSTM服務(wù)器要求

  DSTM服務(wù)器負(fù)責(zé)為節(jié)點(diǎn)分配臨時(shí)的IPv4地址,并且只需要在一定時(shí)間內(nèi)保證該地址的唯一性。為了減少對(duì)IPv4地址的需要,有些應(yīng)用還包括了一個(gè)端口范圍作為分配過程的一部分,這樣不同節(jié)點(diǎn)就可以同時(shí)使用同一IPv4地址了。

  DTSM服務(wù)器必須要記錄申請(qǐng)地址的節(jié)點(diǎn)的IPv6地址和臨時(shí)分配給它的IPv4地址之間的對(duì)應(yīng)關(guān)系。服務(wù)器分配出去的地址都有一個(gè)使用期限,服務(wù)器把這個(gè)期限包含在回復(fù)給節(jié)點(diǎn)的應(yīng)答中。如果客戶機(jī)需要長(zhǎng)時(shí)間使用IPv4地址,就得申請(qǐng)地址續(xù)租了。

  DSTM服務(wù)器負(fù)責(zé)IPv4地址池分配。系統(tǒng)管理員要確定地址池。隧道端點(diǎn)(TEP) IPv6地址的配置必須在DSTM服務(wù)器上進(jìn)行。

  在IPv4的路由方面,必須保證DSTM服務(wù)器所管理的IPv4全球地址池,能被路由到一個(gè)或多個(gè)此DSTM域中的TEP。當(dāng)分配一個(gè)地址給DSTM節(jié)點(diǎn)時(shí),服務(wù)器消息應(yīng)該包括TEP的IPv6地址。并且當(dāng)TEP不能動(dòng)態(tài)建立映射或者因?yàn)榘踩蛉∠麆?dòng)態(tài)映射,DSTM服務(wù)器可以負(fù)責(zé)配置TEP中的IPv4/IPv6映射表。

  DSTM的客戶端和服務(wù)器的通信必須是IPv6方式。DSTM服務(wù)器也可以在沒有客戶端請(qǐng)求的情況下分配臨時(shí)IPv4地址。DTSM服務(wù)器應(yīng)該能夠?qū)TSM客戶端進(jìn)行認(rèn)證。

  六、DSTM的優(yōu)點(diǎn)

  DSTM適用于IPv6域內(nèi)的節(jié)點(diǎn)需要與域外IPv4節(jié)點(diǎn)通信的情況。如果應(yīng)用層網(wǎng)關(guān)被適當(dāng)?shù)倪\(yùn)用,IPv4的連通性需求將大大降低。常規(guī)的服務(wù),比如HTTP、smtp就可以利用這個(gè)特點(diǎn)。DSTM在沒有其他的解決方案(如:應(yīng)用層網(wǎng)關(guān))時(shí)就可以布署使用。DSTM允許雙棧節(jié)點(diǎn)獲得IPv4地址并且提供一個(gè)缺省路由(通過4over6隧道)到IPv4網(wǎng)關(guān)。如果采用上述機(jī)制,并且DSTM被配置成能分配公有IPv4地址,那么任何純IPv4應(yīng)用都可以在IPv6網(wǎng)絡(luò)上運(yùn)行,在域內(nèi)的主機(jī)將能與Internet上任何其他的主機(jī)通信。

  DSTM核心設(shè)想是對(duì)應(yīng)用層透明,應(yīng)用可以繼續(xù)使用IPv4地址;而且對(duì)于承載網(wǎng)絡(luò)也是透明的IPv6的包。能保證一些在凈核中包含IPv4地址的應(yīng)用包能夠繼續(xù)正確地被傳送(如IPsec 和H.323等)。

  使用DSTM有如下幾種好處:

  1.純IPv6主機(jī)可以到達(dá)全球Internet上的相應(yīng)的純IPv4節(jié)點(diǎn)。雖然是純IPv6環(huán)境,但是主機(jī)并沒有游離在Internet之外。

  2.還沒有支持IPv6的應(yīng)用可以直接運(yùn)行在純IPv6的主機(jī)和網(wǎng)絡(luò)上。所有IPv4流量都通過隧道(IPv4 over IPv6)發(fā)往DSTM網(wǎng)關(guān)。

  3.網(wǎng)絡(luò)只需要配置IPv6。不需要配置IPv4的地址和路由。因?yàn)榫W(wǎng)絡(luò)管理員不再需要關(guān)心IPv4,網(wǎng)絡(luò)配置只需要IPv6的就可以了,所以網(wǎng)絡(luò)監(jiān)控工作就變得容易得多了。

  4.減少了IPv4全球地址的需要。只有在需要地址時(shí)才分配一個(gè)臨時(shí)的地址使用。

  5.任何類型的協(xié)議和應(yīng)用都被透明地轉(zhuǎn)發(fā)。無需采用NAT技術(shù)即可實(shí)現(xiàn)IPv6節(jié)點(diǎn)與IPv4節(jié)點(diǎn)的互通。

  七、安全策略

  DSTM機(jī)制可以使用所有已經(jīng)定義的安全規(guī)范。對(duì)于DNS,可以使用DNS安全擴(kuò)展/更新。而在地址分配方面,當(dāng)連接是由DSTM節(jié)點(diǎn)觸發(fā)時(shí),因?yàn)镈STM是一個(gè)Intranet環(huán)境,所以對(duì)地址池的DOS危險(xiǎn)是也很有限。Intranet DSTM中,如果布署了DHCPv6,則可以使用DHCPv6認(rèn)證消息,而且由于TEP都位于Intranet中,他們不作為開放的中繼。最后,對(duì)于DSTM節(jié)點(diǎn)的IPv4通信,一旦節(jié)點(diǎn)具有IPv4地址,IPsec就能被使用,因此DSTM不會(huì)破壞在任何點(diǎn)的端到端的通信安全。

  1控制有權(quán)接入業(yè)務(wù)的人

  ·在 DSTM服務(wù)器上過濾

  對(duì)網(wǎng)絡(luò)管理員來說,確保使用DSTM服務(wù)器的主機(jī)允許控制有權(quán)接入該業(yè)務(wù)的人非常重要。下面的過濾策略就應(yīng)該應(yīng)用到DSTM服務(wù)器上:

  allow ipv6 tunnel_request from allowed_hosts to DSTM_server

  allow ipv6 tunnel_request from DSTM_server to TEP

  allow ipv6 tunnel_reply from DSTM_server to allowed_hosts

  allow ipv6 tunnel_delete from DSTM_server to allowed hosts

  allow ipv6 tunnel_delete from DSTM_server to TEP

  deny ipv6 from any to any

  ·認(rèn)證

  現(xiàn)在還沒有使用認(rèn)證,因?yàn)榛赗CP的應(yīng)用不支持認(rèn)證。將來計(jì)劃使用隧道配置協(xié)議 (TSP)和DHCPv6 的應(yīng)用應(yīng)該支持認(rèn)證。

  2 DTI問題

  目前,ENST提供的DSTM應(yīng)用需要DSTM服務(wù)器和TEP在同一臺(tái)機(jī)器上來保證TEP上的隧道與服務(wù)器的分配相一致。這些DSTM應(yīng)用主要是基于RPC的。現(xiàn)在,已經(jīng)有了一些用于服務(wù)器和TEP之間建立隧道的通信協(xié)議的實(shí)際應(yīng)用,雖然有些只是預(yù)見性的想法(TSP and DHCPv6)。

  如果TEP與DSTM服務(wù)器在物理上不是安裝在同一臺(tái)主機(jī)上,那么它就使用動(dòng)態(tài)隧道接口(DTI)來建立隧道。這個(gè)機(jī)制很簡(jiǎn)單:當(dāng)TEP收到有協(xié)議4的IPv6包時(shí)(也就是攜帶IPv4包的數(shù)據(jù)),它就自動(dòng)使用包內(nèi)攜帶的信息(IPv6和IPv4源和目的地址)創(chuàng)建一個(gè)IPv4 in IPv6隧道。注意,這種情況下還沒有方法檢查TEP所建立的隧道與DSTM服務(wù)器的分配的對(duì)應(yīng)關(guān)系,這一點(diǎn)非常重要。可能會(huì)出現(xiàn)下面的情況: 一個(gè)主機(jī)(A)被分給一個(gè)IPv4地址與IPv4網(wǎng)絡(luò)通信使用用TEP的DTI創(chuàng)建的IPv4 over IPv6隧道,如果另一個(gè)主機(jī)(B)使用與A相同的IPv4源地址發(fā)了一個(gè)IPv4 in IPv6的包,TEP和A之間的隧道就會(huì)被破壞掉了而備TEP和B之間的隧道所代替。這個(gè)弱點(diǎn)可能會(huì)被用于地址欺騙攻擊。不過目前正在考慮是否可以通過使用認(rèn)證頭(AH)協(xié)議來解決這個(gè)問題。

  3網(wǎng)絡(luò)中的過濾策略

  支持DSTM業(yè)務(wù)的IPv6網(wǎng)絡(luò)中的所有設(shè)備都必須允許IPv4按照IPv4 in IPv6隧道方式傳輸。

  4監(jiān)控

  為了監(jiān)控一個(gè)DSTM激活的網(wǎng)絡(luò),系統(tǒng)管理員應(yīng)該監(jiān)測(cè)在TEP上創(chuàng)建的隧道和DSTM服務(wù)器所做的分配。系統(tǒng)應(yīng)該能檢查與DSTM服務(wù)器所做分配相對(duì)應(yīng)的隧道,并在出現(xiàn)錯(cuò)誤時(shí)發(fā)出警告消息。

  八、結(jié)論

  雖然目前DSTM還處于IETF草案階段,技術(shù)還遠(yuǎn)遠(yuǎn)沒有成熟,尤其是在安全方面還有許多問題值得探討,但是通過使用DSTM技術(shù),可以明顯地減少對(duì)IPv4地址的需要、可以使IPv4的應(yīng)用不需要進(jìn)行修改就能直接運(yùn)行在IPv6主機(jī)上、不需要對(duì)IPv4進(jìn)行任何管理、可以透明地轉(zhuǎn)發(fā)任何類型的協(xié)議和應(yīng)用。也正是由于這種方法有著諸多的優(yōu)點(diǎn),所以它才日益引人注目。隨著DSTM技術(shù)的日益成熟,相信它能夠IPv4/IPv6過渡方面發(fā)揮更大的作用。

  
摘自 泰爾網(wǎng)

發(fā)表評(píng)論 共有條評(píng)論
用戶名: 密碼:
驗(yàn)證碼: 匿名發(fā)表
主站蜘蛛池模板: 额济纳旗| 奉化市| 江门市| 东方市| 广汉市| 上饶市| 定襄县| 正阳县| 平陆县| 博白县| 阿图什市| 如皋市| 增城市| 泽普县| 正镶白旗| 兰考县| 来安县| 东乌| 洞口县| 凤城市| 贵德县| 鄂州市| 伊春市| 黄冈市| 宾阳县| 永年县| 江源县| 庆元县| 淳安县| 灌云县| 蒙城县| 南澳县| 永泰县| 依兰县| 图木舒克市| 石泉县| 太和县| 新泰市| 泗水县| 即墨市| 应用必备|