資源描述:
《校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)域內(nèi)sava技》由會(huì)員上傳分享��,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)(域內(nèi)SAVA)技術(shù)白皮書CERNET網(wǎng)絡(luò)中心2011年8月16校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書目錄一�����、校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)技術(shù)簡介11.概述12.功能介紹23.運(yùn)行環(huán)境33.1硬件設(shè)備33.2支持軟件3二��、CPF方法簡介41.CPF的基本原理42.CPF體系結(jié)構(gòu)的設(shè)計(jì)43.CPF核心模塊及數(shù)據(jù)流64.成果創(chuàng)新性7三�����、CPF設(shè)計(jì)81.CPF主要的功能82.CPF系統(tǒng)總體結(jié)構(gòu)分析與設(shè)計(jì)83.網(wǎng)絡(luò)動(dòng)態(tài)問題應(yīng)對(duì)方法104.過濾表的下發(fā)10四、
2��、XFLOW121.NetFlow122.sFlow123.XFLOW在系統(tǒng)中的應(yīng)用12五�����、關(guān)聯(lián)SAVI網(wǎng)管系統(tǒng)141.SAVI網(wǎng)管系統(tǒng)和五元組142.關(guān)聯(lián)SAVI網(wǎng)管系統(tǒng)的設(shè)計(jì)方案14六�、文檔編者和參考文獻(xiàn)161.文檔編者162.參考文獻(xiàn)1616校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書一、校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)技術(shù)簡介1.概述校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)是源地址驗(yàn)證新體系結(jié)構(gòu)中域內(nèi)部分的產(chǎn)品實(shí)現(xiàn),將實(shí)際應(yīng)用到校園網(wǎng)中,主要用于實(shí)現(xiàn)校園網(wǎng)內(nèi)的假冒包的驗(yàn)證和過濾����,為網(wǎng)管人員提供網(wǎng)絡(luò)基本信息的管理和監(jiān)控功能���,如圖1.1所示。圖1.1校園
3、網(wǎng)真實(shí)地址驗(yàn)證管理系統(tǒng)應(yīng)用環(huán)境真實(shí)源地址驗(yàn)證管理系統(tǒng)主要分為三個(gè)部分:系統(tǒng)的web展示層(用戶界面)����、業(yè)務(wù)控制層(信息儲(chǔ)存和轉(zhuǎn)發(fā))、底層實(shí)現(xiàn)(假冒包驗(yàn)證過濾)�,如下圖1.2所示�。16校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書圖1.2校園網(wǎng)真實(shí)地址驗(yàn)證管理系統(tǒng)結(jié)構(gòu)管理員通過瀏覽器登錄到web上,管理數(shù)據(jù)庫中的信息����。數(shù)據(jù)庫中的信息包括從前臺(tái)輸入的系統(tǒng)初始化信息��、路由器配置信息;以及后臺(tái)計(jì)算出來的并寫入到數(shù)據(jù)庫中的信息����,包括拓?fù)滏溌?����、過濾表�����、告警報(bào)文日志等;2.功能介紹功能名稱子功能名稱功能簡述用戶登錄用戶名密碼登錄主界面主監(jiān)控頁面設(shè)備管理輸入
4、修改設(shè)備配置信息設(shè)備管理運(yùn)行配置信息設(shè)置系統(tǒng)運(yùn)行配置信息設(shè)備管理域內(nèi)前綴信息設(shè)置系統(tǒng)管理的域內(nèi)IPv6前綴范圍設(shè)備管理路由器信息設(shè)置管理路由器信息設(shè)備管理鏈路信息設(shè)置管理鏈路信息設(shè)備管理部署腳本信息查看修改準(zhǔn)備下發(fā)到路由器的ACL腳本16校園網(wǎng)真實(shí)源地址驗(yàn)證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書設(shè)備管理Flow部署點(diǎn)信息為路由器設(shè)置Flow部署點(diǎn)設(shè)備管理系統(tǒng)初始化進(jìn)行系統(tǒng)初始化日志管理查看日志信息日志管理事件日志管理查看告警追溯事件日志日志管理系統(tǒng)日志管理查看系統(tǒng)日志系統(tǒng)管理系統(tǒng)相關(guān)的管理功能系統(tǒng)管理設(shè)備廠商管理設(shè)備廠商管理系統(tǒng)管理設(shè)備型號(hào)管理設(shè)備型號(hào)管
5����、理系統(tǒng)管理腳本模板管理腳本模板修改刪除系統(tǒng)管理網(wǎng)管系統(tǒng)URL管理網(wǎng)管系統(tǒng)SSO登錄信息管理系統(tǒng)管理用戶管理管理員用戶管理系統(tǒng)管理修改個(gè)人信息登錄用戶修改個(gè)人信息接入SAVI地址管理系統(tǒng)進(jìn)入SAVI網(wǎng)管系統(tǒng)頁面(單點(diǎn)登錄進(jìn)入)表1功能介紹3.運(yùn)行環(huán)境3.1硬件設(shè)備主機(jī)型號(hào):DELLR710內(nèi)存:36G硬盤:500G*4RAID5CPU:IntelXeonE5645(6核12線程)*23.2支持軟件本軟件運(yùn)行在CentOS5.5操作系統(tǒng)下。系統(tǒng)須加載PAE包。WEB系統(tǒng)運(yùn)行環(huán)境:JDK1.5.0+Tomcat6.0數(shù)據(jù)庫:MySQL5.1.5516校園網(wǎng)真實(shí)
6、源地址驗(yàn)證管理系統(tǒng)(域內(nèi)SAVA)——技術(shù)白皮書一���、CPF方法簡介提出自治域內(nèi)的IPv6源地址驗(yàn)證技術(shù)CPF(CalculatedPathForwarding)�。CPF方案是一種基于計(jì)算路徑過濾的域內(nèi)源地址驗(yàn)證方法���。1.CPF的基本原理采取類似網(wǎng)絡(luò)管理的體系結(jié)構(gòu)�����,在域內(nèi)所有路由器上開啟SNMP代理服務(wù)�����,中心網(wǎng)管服務(wù)器通過SNMP協(xié)議獲得各路由器路由表���,然后根據(jù)所有的路由表計(jì)算域內(nèi)以任一節(jié)點(diǎn)為源到其他節(jié)點(diǎn)的路由路徑,記下每個(gè)路由器的接口的所有可能出現(xiàn)的源地址前綴或者(源��,目的)前綴對(duì)作為過濾表?xiàng)l目��,并以此作為依據(jù)用SSH將這些過濾條目配置到部署點(diǎn)路由器的A
7��、CL中�,部署點(diǎn)路由器根據(jù)ACL中接口與源地址前綴或者(源�,目的)前綴對(duì)的對(duì)應(yīng)關(guān)系,對(duì)報(bào)文的源地址的真實(shí)性進(jìn)行驗(yàn)證�����。2.CPF體系結(jié)構(gòu)的設(shè)計(jì)本方案的基本原理是:如下圖,采取類似網(wǎng)絡(luò)管理的體系結(jié)構(gòu)��,在域內(nèi)所有路由器上開啟SNMP代理服務(wù),中心網(wǎng)管服務(wù)器通過SNMP協(xié)議獲得各路由器路由表�����,然后根據(jù)所有的路由表計(jì)算域內(nèi)以任一節(jié)點(diǎn)為源到其他節(jié)點(diǎn)的路由路徑�,并記下進(jìn)入每個(gè)下一跳路由器的接口����。再將每條轉(zhuǎn)發(fā)路徑結(jié)合進(jìn)入每個(gè)下一跳的接口ip組織成形如:Src-->(inIf)nextHop……-->(inIf)nextHop-->(inIf)Dest形式的過濾條目,并以此
8、作為依據(jù)用SSH將這些過濾條目配置到相關(guān)部署點(diǎn)路由器的ACL中��。ACL的格式是(
