亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb

首頁 > 學院 > 網絡通信 > 正文

DSTM過渡技術及其網絡安全策略

2019-11-03 09:01:13
字體:
來源:轉載
供稿:網友
徐貴寶


  一、DSTM概述

  ipv4/IPv6過渡問題是一個相當復雜的問題,現在已經提出了許多種不同的方法來解決這個問題,包括雙棧、SIIT、NAT-PT、SOCKS64、BIA、Tunnel Broker、6to4和BIS等等,這些方法各自適用于過渡過程中的不同情況。DSTM(Dual Stack Transition Mechanism)的目標在于解決純IPv6網絡中的主機與其他IPv4主機或應用的連接問題,它的出發點是提供IPv6節點一個獲得IPv4地址的方式,從而使之能夠與純IPv4節點或者IPv4應用程序通信。DSTM技術通過使用IPv4-over-IPv6隧道,實現了IPv4流量在純IPv6網上的傳輸,同時也提供一個為IPv6/IPv4雙棧節點分配臨時IPv4地址的方法。

  DSTM目前還處于IETF草案階段。使用DSTM機制的節點必須是雙棧節點,而且這種機制還必須要結合隧道技術進行應用。

  二、DSTM體系結構

  DSTM的體系結構(如圖1所示)中包括三個主要組成部分:DSTM服務器、網關和DSTM節點。其中,DSTM服務器負責為客戶機節點分配IPv4地址,它只需要保證在一定的時間內IPv4地址的唯一性;網關作為隧道端點承擔純IPv6域和外部的IPv4 Internet或Intranet的邊界路由器的角色;DSTM節點執行封裝/解封裝數據包,完成收發過程。這里有兩點需要注意。一是DSTM節點必須是雙棧節點,純IPv6的節點不能使用DSTM;二是在只有網關需要直接與IPv4連接并需要一個永久IPv4地址。


圖1 DSTM的體系結構


  DSTM模型假定如下:

  1.DSTM域在Intranet而不是Internet中。

  2.IPv6節點平時不維護IPv4地址(除非是與純IPv4節點通信或使用IPv4應用而臨時分配地址)。

  3.臨時IPv4地址由DSTM服務器負責分配,分配的協議有多種選擇(DHCPv6就是一個不錯的選擇)。由于服務器和客戶機是都是在同一個純IPv6網絡中,所以地址分配協議要考慮這個限制。

  4.作為地址分配功能的擴展,DSTM服務器還可以提供一個端口范圍供客戶機使用。這樣就可以允許幾個不同的DSTM節點同時使用相同的IPv4地址,從而大大減小了所需的IPv4地址池。

  5.在DSTM域內,IPv4路由表保留到最小,從而減少了過渡時期所需要的IPv4網管工作。

  6.一旦IPv6節點獲得一個IPv4地址(也可能是一個端口范圍),就會使用4over6隧道將包從該節點轉發到一個DSTM TEP,在那里拆封后再使用IPv4轉發。DSTM服務器應為客戶機提供所需TEP的IPv6地址,這也是地址分配過程的一部分工作。

  7.現有的IPv4應用不需任何修改就可以在DSTM節點上運行。

  8.只要目的地址是TEP可達的純IPv4主機,DSTM節點就可以與它進行通信。

  三、DSTM通信過程

  DSTM節點與IPv4通信的過程如下:

  ·DSTM節點向DSTM服務器請求一個臨時的IPv4地址。

  ·DSTM服務器在地址池中為該DSTM節點保留一個IPv4地址,并在應答消息中將該地址和地址的有效時間以及有關DSTM網關(也就是TEP)的信息發送給DSTM節點。

  ·DSTM節點使用申請來的地址配置其IPv4堆棧,并將所有IPv4包都通過IPv4 over IPv6隧道送到DSTM網關。

  ·DSTM網關將包拆封成IPv4包發送出去。DSTM網關保留一個含有intranet主機IPv4和IPv6地址的映射表,并利用此映射表來執行IPv4包的封裝和拆封。為保證雙向通信,IPv4路由必須要確保目的地為A的任何包都經過C。

  四、DSTM節點要求

  網絡上的每個主機都需要有一個DSTM主機應用?,F在,已經有支持FreeBSD、linux和Microsoft Windows 2000的DSTM主機應用。主機有IPv6連接能力,因此在不需要進行IPv4通信時也可以有純IPv6應用。例如,在DSTM網絡中,一些內部應用就可以使用純IPv6的而不再需要支持IPv4。每個需要通過IPv4通信的應用都必須支持IPv6-IPv4雙棧。FreeBSD中ENST提供的主機應用需要一個“gif”(隧道)接口來支持IPv4 over IPv6隧道。

  1 IPv4協議棧的配置

  只要通信是在本地IPv6中發生的,DSTM節點就不需要使用IPv4地址。主機只有在以下情況時才需要IPv4地址:

  ·DNS解析的結果表明目的地址是一個IPv4地址時;

  ·當應用打開一個IPv4 socket時;

  ·一個IPv4數據包發往內核而又沒有接口準備轉發此包時。

  當第一個IPv4包需要發送時,DSTM客戶機不管通過什么方式,必須與DSTM服務器取得聯系。隨后,客戶機從服務器那里獲得一個臨時的IPv4地址以及一個TEP的IPv6地址。如果允許的話,服務器還可以提供所使用的端口范圍。這些信息都用來進行4over6接口的配置。只有4over6的隧道接口配置后,IPv4協議棧的配置才宣告完成。

  2 IPv4包轉發

  由于沒有IPv4路由設施,DSTM節點不能直接在網絡上發送IPv4包,所以DSTM節點必須能建立與隧道端點TEP之間的4over6隧道。DSTM節點將IPv4包封裝進IPv6包后,再通過該隧道發給隧道端點TEP(TEP可以看作是一個特殊的DSTM節點),TEP完成拆封工作后再將它們轉發到IPv4網絡上。

  在DSTM節點上,封裝工作是由4over6接口完成的。所有的IPv4流量都可以通過一個IPv4路由表項指向這個接口。具體的4over6接口和有關路由表項要視應用而定。

  3 DSTM節點中IPv4包的處理

  為了保證IPv4的連通性,在純IPv6域中的節點必須能動態配置他們的IPv4棧(通過向服務器請求臨時地址)。

  當需要發送IPv4包時,DSTM節點會把包交給4over6接口。如果4over6接口還沒有配置(也就是還沒有IPv4地址),處理過程就暫時停在這里,然后節點與DSTM服務器聯系請求獲得一個臨時地址。一旦得到IPv4地址,所有通過該4over6接口轉發的包都以這個臨時地址作為IPv4源地址,IPv4包的其他域正常處理。

  4 IPv6數據包結構

  當4over6接口將IPv4包封裝到IPv6包中,它必須確定IPv6包的目的地址。通常這個地址是TEP地址。在DSTM節點處,TEP地址可以是靜態配置的,也可以是節點獲得IPv4地址時從DSTM服務器動態獲得的。

  TEP的IPv6地址必須在DSTM節點接受臨時IPv4地址時由DSTM服務器提供。不過在使用DSTM早期,也可以手工配置DSTM節點的TEP,這種方法不宜推廣使用,也不推薦作為長期解決方案。

  封裝IPv4的包時,Next header type域填4。當隧道包到達IPv6終點,IPv6包頭被去掉,由IPv4棧來處理解封后的包。然后TEP將使用普通IPv4的方法來轉發拆封后得到的IPv4包。TEP應該緩存這種IPv4和IPv6源地址的對應關系。

  一個封裝包的IPv6源地址應該是發送該IPv6包的物理接口的IPv6地址。

  五、DSTM服務器要求

  DSTM服務器負責為節點分配臨時的IPv4地址,并且只需要在一定時間內保證該地址的唯一性。為了減少對IPv4地址的需要,有些應用還包括了一個端口范圍作為分配過程的一部分,這樣不同節點就可以同時使用同一IPv4地址了。

  DTSM服務器必須要記錄申請地址的節點的IPv6地址和臨時分配給它的IPv4地址之間的對應關系。服務器分配出去的地址都有一個使用期限,服務器把這個期限包含在回復給節點的應答中。如果客戶機需要長時間使用IPv4地址,就得申請地址續租了。

  DSTM服務器負責IPv4地址池分配。系統管理員要確定地址池。隧道端點(TEP) IPv6地址的配置必須在DSTM服務器上進行。

  在IPv4的路由方面,必須保證DSTM服務器所管理的IPv4全球地址池,能被路由到一個或多個此DSTM域中的TEP。當分配一個地址給DSTM節點時,服務器消息應該包括TEP的IPv6地址。并且當TEP不能動態建立映射或者因為安全原因取消動態映射,DSTM服務器可以負責配置TEP中的IPv4/IPv6映射表。

  DSTM的客戶端和服務器的通信必須是IPv6方式。DSTM服務器也可以在沒有客戶端請求的情況下分配臨時IPv4地址。DTSM服務器應該能夠對DTSM客戶端進行認證。

  六、DSTM的優點

  DSTM適用于IPv6域內的節點需要與域外IPv4節點通信的情況。如果應用層網關被適當的運用,IPv4的連通性需求將大大降低。常規的服務,比如HTTP、smtp就可以利用這個特點。DSTM在沒有其他的解決方案(如:應用層網關)時就可以布署使用。DSTM允許雙棧節點獲得IPv4地址并且提供一個缺省路由(通過4over6隧道)到IPv4網關。如果采用上述機制,并且DSTM被配置成能分配公有IPv4地址,那么任何純IPv4應用都可以在IPv6網絡上運行,在域內的主機將能與Internet上任何其他的主機通信。

  DSTM核心設想是對應用層透明,應用可以繼續使用IPv4地址;而且對于承載網絡也是透明的IPv6的包。能保證一些在凈核中包含IPv4地址的應用包能夠繼續正確地被傳送(如IPsec 和H.323等)。

  使用DSTM有如下幾種好處:

  1.純IPv6主機可以到達全球Internet上的相應的純IPv4節點。雖然是純IPv6環境,但是主機并沒有游離在Internet之外。

  2.還沒有支持IPv6的應用可以直接運行在純IPv6的主機和網絡上。所有IPv4流量都通過隧道(IPv4 over IPv6)發往DSTM網關。

  3.網絡只需要配置IPv6。不需要配置IPv4的地址和路由。因為網絡管理員不再需要關心IPv4,網絡配置只需要IPv6的就可以了,所以網絡監控工作就變得容易得多了。

  4.減少了IPv4全球地址的需要。只有在需要地址時才分配一個臨時的地址使用。

  5.任何類型的協議和應用都被透明地轉發。無需采用NAT技術即可實現IPv6節點與IPv4節點的互通。

  七、安全策略

  DSTM機制可以使用所有已經定義的安全規范。對于DNS,可以使用DNS安全擴展/更新。而在地址分配方面,當連接是由DSTM節點觸發時,因為DSTM是一個Intranet環境,所以對地址池的DOS危險是也很有限。Intranet DSTM中,如果布署了DHCPv6,則可以使用DHCPv6認證消息,而且由于TEP都位于Intranet中,他們不作為開放的中繼。最后,對于DSTM節點的IPv4通信,一旦節點具有IPv4地址,IPsec就能被使用,因此DSTM不會破壞在任何點的端到端的通信安全。

  1控制有權接入業務的人

  ·在 DSTM服務器上過濾

  對網絡管理員來說,確保使用DSTM服務器的主機允許控制有權接入該業務的人非常重要。下面的過濾策略就應該應用到DSTM服務器上:

  allow ipv6 tunnel_request from allowed_hosts to DSTM_server

  allow ipv6 tunnel_request from DSTM_server to TEP

  allow ipv6 tunnel_reply from DSTM_server to allowed_hosts

  allow ipv6 tunnel_delete from DSTM_server to allowed hosts

  allow ipv6 tunnel_delete from DSTM_server to TEP

  deny ipv6 from any to any

  ·認證

  現在還沒有使用認證,因為基于RCP的應用不支持認證。將來計劃使用隧道配置協議 (TSP)和DHCPv6 的應用應該支持認證。

  2 DTI問題

  目前,ENST提供的DSTM應用需要DSTM服務器和TEP在同一臺機器上來保證TEP上的隧道與服務器的分配相一致。這些DSTM應用主要是基于RPC的。現在,已經有了一些用于服務器和TEP之間建立隧道的通信協議的實際應用,雖然有些只是預見性的想法(TSP and DHCPv6)。

  如果TEP與DSTM服務器在物理上不是安裝在同一臺主機上,那么它就使用動態隧道接口(DTI)來建立隧道。這個機制很簡單:當TEP收到有協議4的IPv6包時(也就是攜帶IPv4包的數據),它就自動使用包內攜帶的信息(IPv6和IPv4源和目的地址)創建一個IPv4 in IPv6隧道。注意,這種情況下還沒有方法檢查TEP所建立的隧道與DSTM服務器的分配的對應關系,這一點非常重要。可能會出現下面的情況: 一個主機(A)被分給一個IPv4地址與IPv4網絡通信使用用TEP的DTI創建的IPv4 over IPv6隧道,如果另一個主機(B)使用與A相同的IPv4源地址發了一個IPv4 in IPv6的包,TEP和A之間的隧道就會被破壞掉了而備TEP和B之間的隧道所代替。這個弱點可能會被用于地址欺騙攻擊。不過目前正在考慮是否可以通過使用認證頭(AH)協議來解決這個問題。

  3網絡中的過濾策略

  支持DSTM業務的IPv6網絡中的所有設備都必須允許IPv4按照IPv4 in IPv6隧道方式傳輸。

  4監控

  為了監控一個DSTM激活的網絡,系統管理員應該監測在TEP上創建的隧道和DSTM服務器所做的分配。系統應該能檢查與DSTM服務器所做分配相對應的隧道,并在出現錯誤時發出警告消息。

  八、結論

  雖然目前DSTM還處于IETF草案階段,技術還遠遠沒有成熟,尤其是在安全方面還有許多問題值得探討,但是通過使用DSTM技術,可以明顯地減少對IPv4地址的需要、可以使IPv4的應用不需要進行修改就能直接運行在IPv6主機上、不需要對IPv4進行任何管理、可以透明地轉發任何類型的協議和應用。也正是由于這種方法有著諸多的優點,所以它才日益引人注目。隨著DSTM技術的日益成熟,相信它能夠IPv4/IPv6過渡方面發揮更大的作用。

  
摘自 泰爾網

發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb
欧美黑人xxx| 欧美精品少妇videofree| 国产精品视频免费在线| 久久影视免费观看| 国产精品人人做人人爽| 久久久国产在线视频| 国产精品久久久久aaaa九色| 2019中文字幕在线| 欧美另类极品videosbest最新版本| 国内精品一区二区三区| 黑人与娇小精品av专区| 亚洲精品国产精品国自产在线| 韩国欧美亚洲国产| 久久精品视频中文字幕| 国产精品久久久一区| 国产精品国模在线| 亚洲人成电影在线观看天堂色| 亚洲深夜福利网站| 中文字幕久久久av一区| 国产亚洲欧美日韩一区二区| 亚洲色图在线观看| 69影院欧美专区视频| 日韩电影中文字幕av| 亚洲三级av在线| 欧美午夜美女看片| 欧美日韩国产中文精品字幕自在自线| 亚洲国产成人精品久久久国产成人一区| 九九热最新视频//这里只有精品| 精品女厕一区二区三区| 国内揄拍国内精品| 国产精品毛片a∨一区二区三区|国| 久久久久久综合网天天| 热久久美女精品天天吊色| 日韩在线免费视频观看| 日韩国产在线看| 青草青草久热精品视频在线观看| 成人网址在线观看| 亚洲性xxxx| 8090成年在线看片午夜| 疯狂欧美牲乱大交777| 国产亚洲视频在线观看| 欧美专区日韩视频| 亚洲精品白浆高清久久久久久| 91极品视频在线| 亚洲一区av在线播放| 国产精品久久久久久久久男| www.久久色.com| 91精品国产亚洲| 国产精品自产拍在线观看| 日本三级韩国三级久久| 欧美日韩免费在线观看| 九九九久久国产免费| 亚洲性夜色噜噜噜7777| 91精品国产色综合久久不卡98口| 日韩中文理论片| 成人免费高清完整版在线观看| 久久精品国产视频| 日本在线精品视频| 日韩在线免费视频| 国产午夜精品全部视频播放| 综合激情国产一区| 日韩大胆人体377p| 亚洲国产精品人久久电影| 欧美情侣性视频| 亚洲精品自拍偷拍| 欧美xxxx14xxxxx性爽| 国产日韩精品在线| 中文字幕av一区中文字幕天堂| 亚洲精品在线观看www| 日韩av三级在线观看| 中文字幕在线观看亚洲| 另类少妇人与禽zozz0性伦| 伊人伊人伊人久久| 精品久久久久久中文字幕大豆网| 亚洲国产日韩欧美在线图片| 久久九九全国免费精品观看| 91成品人片a无限观看| 亚洲国产精品va在线看黑人动漫| 欧美成人激情图片网| 91精品国产免费久久久久久| 欧美成人黑人xx视频免费观看| 欧美性猛交视频| 国产精品欧美久久久| 精品中文字幕久久久久久| 国产99久久精品一区二区 夜夜躁日日躁| 国产精品入口免费视频一| 国产一区二中文字幕在线看| 九色91av视频| 欧美成人自拍视频| 日韩在线观看免费高清| 91精品国产网站| 亚洲欧美日韩精品| 国产成人精品电影久久久| 亚洲国产精品一区二区三区| 高潮白浆女日韩av免费看| 欧美精品videossex性护士| 精品国产一区二区三区久久久狼| 国产精品影院在线观看| 欧美尤物巨大精品爽| 国产视频精品久久久| 欧美一级bbbbb性bbbb喷潮片| 欧美一区二区三区免费视| 亚洲精品99久久久久中文字幕| 久久免费高清视频| 97国产成人精品视频| 亚洲国产精品成人av| 欧美在线观看www| 精品一区二区三区四区| 亚洲高清色综合| 国产福利视频一区| 日韩视频免费在线| 亚洲tv在线观看| 国产精品91视频| 久久久久久国产精品三级玉女聊斋| 成人在线视频网站| 国内揄拍国内精品| 久久这里只有精品视频首页| 欧美成年人视频网站欧美| 国产在线拍偷自揄拍精品| 色偷偷噜噜噜亚洲男人| 91精品国产成人www| 久久99久久99精品免观看粉嫩| 91av在线精品| 国模私拍一区二区三区| 尤物九九久久国产精品的特点| 国产深夜精品福利| 午夜精品三级视频福利| 在线观看国产精品91| 欧美国产极速在线| 91久久久久久久久| 精品女同一区二区三区在线播放| 亚洲欧洲国产一区| 国产精品一二三视频| 欧美日韩中文字幕日韩欧美| 红桃视频成人在线观看| 538国产精品视频一区二区| 亚洲精品国产美女| 亚洲图片在区色| 亚洲激情久久久| 色播久久人人爽人人爽人人片视av| 亚洲色图17p| 欧美日韩亚洲一区二区三区| 亚州欧美日韩中文视频| 91黑丝在线观看| 成人性生交大片免费看视频直播| 欧美福利在线观看| 国产精品∨欧美精品v日韩精品| 久久久久久久久久久人体| 国产精品国产自产拍高清av水多| 亚洲欧洲成视频免费观看| 国产精品久久久久aaaa九色| 日韩高清电影免费观看完整版| 日韩精品中文字幕在线| 欧美在线视频网| 国产在线999| 懂色av影视一区二区三区| 久久九九国产精品怡红院| 久久99亚洲热视| 国产亚洲美女精品久久久| 国内揄拍国内精品少妇国语| 欧美电影免费观看| 久久99精品视频一区97| 久久精品国产69国产精品亚洲| 日韩高清av在线|