資源描述:
《校園網(wǎng)真實源地址驗證管理系統(tǒng)域內(nèi)sava技》由會員上傳分享�����,免費在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1�����、校園網(wǎng)真實源地址驗證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書校園網(wǎng)真實源地址驗證管理系統(tǒng)(域內(nèi)SAVA)技術(shù)白皮書CERNET網(wǎng)絡(luò)中心2011年8月16校園網(wǎng)真實源地址驗證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書目錄一��、校園網(wǎng)真實源地址驗證管理系統(tǒng)技術(shù)簡介11.概述12.功能介紹23.運行環(huán)境33.1硬件設(shè)備33.2支持軟件3二����、CPF方法簡介41.CPF的基本原理42.CPF體系結(jié)構(gòu)的設(shè)計43.CPF核心模塊及數(shù)據(jù)流64.成果創(chuàng)新性7三、CPF設(shè)計81.CPF主要的功能82.CPF系統(tǒng)總體結(jié)構(gòu)分析與設(shè)計83.網(wǎng)絡(luò)動態(tài)問題應對方法104.過濾表的下發(fā)10四�、
2�����、XFLOW121.NetFlow122.sFlow123.XFLOW在系統(tǒng)中的應用12五����、關(guān)聯(lián)SAVI網(wǎng)管系統(tǒng)141.SAVI網(wǎng)管系統(tǒng)和五元組142.關(guān)聯(lián)SAVI網(wǎng)管系統(tǒng)的設(shè)計方案14六����、文檔編者和參考文獻161.文檔編者162.參考文獻1616校園網(wǎng)真實源地址驗證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書一、校園網(wǎng)真實源地址驗證管理系統(tǒng)技術(shù)簡介1.概述校園網(wǎng)真實源地址驗證管理系統(tǒng)是源地址驗證新體系結(jié)構(gòu)中域內(nèi)部分的產(chǎn)品實現(xiàn)�����,將實際應用到校園網(wǎng)中�����,主要用于實現(xiàn)校園網(wǎng)內(nèi)的假冒包的驗證和過濾����,為網(wǎng)管人員提供網(wǎng)絡(luò)基本信息的管理和監(jiān)控功能,如圖1.1所示�����。圖1.1校園
3、網(wǎng)真實地址驗證管理系統(tǒng)應用環(huán)境真實源地址驗證管理系統(tǒng)主要分為三個部分:系統(tǒng)的web展示層(用戶界面)����、業(yè)務(wù)控制層(信息儲存和轉(zhuǎn)發(fā))����、底層實現(xiàn)(假冒包驗證過濾),如下圖1.2所示�����。16校園網(wǎng)真實源地址驗證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書圖1.2校園網(wǎng)真實地址驗證管理系統(tǒng)結(jié)構(gòu)管理員通過瀏覽器登錄到web上��,管理數(shù)據(jù)庫中的信息����。數(shù)據(jù)庫中的信息包括從前臺輸入的系統(tǒng)初始化信息、路由器配置信息���;以及后臺計算出來的并寫入到數(shù)據(jù)庫中的信息��,包括拓撲鏈路���、過濾表�����、告警報文日志等����;2.功能介紹功能名稱子功能名稱功能簡述用戶登錄用戶名密碼登錄主界面主監(jiān)控頁面設(shè)備管理輸入
4���、修改設(shè)備配置信息設(shè)備管理運行配置信息設(shè)置系統(tǒng)運行配置信息設(shè)備管理域內(nèi)前綴信息設(shè)置系統(tǒng)管理的域內(nèi)IPv6前綴范圍設(shè)備管理路由器信息設(shè)置管理路由器信息設(shè)備管理鏈路信息設(shè)置管理鏈路信息設(shè)備管理部署腳本信息查看修改準備下發(fā)到路由器的ACL腳本16校園網(wǎng)真實源地址驗證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書設(shè)備管理Flow部署點信息為路由器設(shè)置Flow部署點設(shè)備管理系統(tǒng)初始化進行系統(tǒng)初始化日志管理查看日志信息日志管理事件日志管理查看告警追溯事件日志日志管理系統(tǒng)日志管理查看系統(tǒng)日志系統(tǒng)管理系統(tǒng)相關(guān)的管理功能系統(tǒng)管理設(shè)備廠商管理設(shè)備廠商管理系統(tǒng)管理設(shè)備型號管理設(shè)備型號管
5��、理系統(tǒng)管理腳本模板管理腳本模板修改刪除系統(tǒng)管理網(wǎng)管系統(tǒng)URL管理網(wǎng)管系統(tǒng)SSO登錄信息管理系統(tǒng)管理用戶管理管理員用戶管理系統(tǒng)管理修改個人信息登錄用戶修改個人信息接入SAVI地址管理系統(tǒng)進入SAVI網(wǎng)管系統(tǒng)頁面(單點登錄進入)表1功能介紹3.運行環(huán)境3.1硬件設(shè)備主機型號:DELLR710內(nèi)存:36G硬盤:500G*4RAID5CPU:IntelXeonE5645(6核12線程)*23.2支持軟件本軟件運行在CentOS5.5操作系統(tǒng)下����。系統(tǒng)須加載PAE包���。WEB系統(tǒng)運行環(huán)境:JDK1.5.0+Tomcat6.0數(shù)據(jù)庫:MySQL5.1.5516校園網(wǎng)真實
6���、源地址驗證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書一、CPF方法簡介提出自治域內(nèi)的IPv6源地址驗證技術(shù)CPF(CalculatedPathForwarding)���。CPF方案是一種基于計算路徑過濾的域內(nèi)源地址驗證方法�����。1.CPF的基本原理采取類似網(wǎng)絡(luò)管理的體系結(jié)構(gòu)����,在域內(nèi)所有路由器上開啟SNMP代理服務(wù),中心網(wǎng)管服務(wù)器通過SNMP協(xié)議獲得各路由器路由表�����,然后根據(jù)所有的路由表計算域內(nèi)以任一節(jié)點為源到其他節(jié)點的路由路徑�,記下每個路由器的接口的所有可能出現(xiàn)的源地址前綴或者(源����,目的)前綴對作為過濾表條目,并以此作為依據(jù)用SSH將這些過濾條目配置到部署點路由器的A
7�、CL中,部署點路由器根據(jù)ACL中接口與源地址前綴或者(源���,目的)前綴對的對應關(guān)系�,對報文的源地址的真實性進行驗證���。2.CPF體系結(jié)構(gòu)的設(shè)計本方案的基本原理是:如下圖���,采取類似網(wǎng)絡(luò)管理的體系結(jié)構(gòu)���,在域內(nèi)所有路由器上開啟SNMP代理服務(wù),中心網(wǎng)管服務(wù)器通過SNMP協(xié)議獲得各路由器路由表���,然后根據(jù)所有的路由表計算域內(nèi)以任一節(jié)點為源到其他節(jié)點的路由路徑���,并記下進入每個下一跳路由器的接口。再將每條轉(zhuǎn)發(fā)路徑結(jié)合進入每個下一跳的接口ip組織成形如:Src-->(inIf)nextHop……-->(inIf)nextHop-->(inIf)Dest形式的過濾條目�����,并以此
8�����、作為依據(jù)用SSH將這些過濾條目配置到相關(guān)部署點路由器的ACL中�����。ACL的格式是(
