（计算机应用技术专业论文）多级ip管理模型的研究与实现.pdf

江苏大学硕士学位论文多级妒管理模型的研究与实现 摘要 目前，随着网络规模不断扩大，i p 地址管理不可避免的愈加复杂。 为了解决这一问题，网络管理员有必要建立规范的i p 地址分配表、 i p 地址和硬件地址( m a c ) 登记表，并且做到实时监控。 本文旨在提出一种适用于i p v 4 与i p v 6 的基于多层设备的i p 管 理模型，可有效管理i p 的分配使用，减轻网络管理人员的工作负荷， 又可遏制非法用户的网络访问权限，减少合法用户正常访问网络的复 杂性。 为了准确定位网络管理的需求，笔者一年多来坚持校园宿舍网的 配置及管理工作，深刻体会其中的繁琐及艰辛，在积累丰富的网络管 理实践经验的同时，笔者参阅了国内外大量相关的r f c 文档及研究 文献，并对当前若干较流行的i p 管理方式及管理系统进行细致的分 析，在随后提出的多级i p 管理模型中，努力做到满足用户与管理者 两方面的需求。 本文首先通过分析i p v 4 与i p v 6 的地址划分，提出适用于i p v 4 与i p v 6 的多级i p 管理模型框架，并阐述了“a b ci p 管理策略”1 及 多级设备联动作用进行i p 管理的原理：其次，根据d h c p v 4 与 d h c p v 6 协议，重点阐述了本模型采用的i p 决策分配策略，并结合 该分配策略给出具有决策分配功能的d h c p 服务器端的设计及实现； 1 “a b ci p 管理策略”是由本文提出的概念，该策略是基于i p m a c 映射的三种状态，a 态( a 1 1 0 c a t i o n 分 配态) 、b 态( b i n d i n g 绑定态) 及c 态( c y c l e 回收态) ，名称由相应单词首字母构成。请参阅本文第三章。 i 江苏大学硕士学位论文 多级口管理模型的研究与实现 接着，运用s n m p 与t e l n e t 协议通过与路由器或子网三层交换机交 互，设计并实现了本模型的用户机器信息的自动收集绑定模块；最后， 本文基于当前正运行于江苏大学校园网环境下的“网络中心网络管理 系统”给出了该多级i p 管理模型的b s 方式实现。 关键词：i p 管理，决策，d h c p ，模型 江苏大学硕士学位论文 多级管理模型的研究与实现 b s t m c t a tt h ep r e s e n tt i m e ，w i t ht h ee n l a r g e m e n to ft h es c a l eo ft h e n e t w o r k s ，i ti su n a v o i d a b l et h a ti pm a n a g e m e n tb e c o m e sm o r ec o m p l e x i no r d e rt os o l v et h ep r o b l e m ，i ti sn e c e s s a r yf o rn e t w o r ka d m i n i s t r a t o r t oe s t a b l i s ht h er e g u l a rt a b l e so fi pa l l o c a t i o na n di p m a cm a p p i n g a n db ea b l et om a k er e a l t i m em o n i t o r t h i s p a p e rp u r p o s e sa d v a n c i n g a ni pm a n a g e m e n tm o d e l s u i t i n gi p v 4a n di p v 6 ，w h i c hi sb a s e do nm u l t i - t i e r e dn e t w o r kd e v i c e s ， a n dc a nm a n a g ei pa l l o c a t i o ne f f e c t i v e l y , r e d u c et h eb u r d e no fn e t w o r k a d m i n i s t r a t o r s ，p r e v e n ti l l e g a la c c e s st on e t w o r k ，a n dc o n v e n i e n c et h e n o r m a lu s e rt os u r f t h en e t w o r k i tt a k e sm em o r et h a nay e a rt ou n d e r t a k et om a i n t a i na n d m a n a g et h ec a m p u sn e t w o r ka san e t w o r ka d m i n i s t r a t o r , i no r d e rt o l o c a t et h er e q u i r e m e n to ft h en e t w o r km a n a g e m e n ta c c u r a t e l y s oic a n u n d e r s t a n dt h e h a r d s h i p s i ni t d e e p l y a b u n d a n t e x p e r i e n c e i s a c c u m u l a t e df r o mt h ep r a c t i c e ，a tt h es a m et i m eir e f e rt oag r e a td e a l o fi n t e r r e l a t e di 强cd o c u m e n t sa n dl i t e r a t u r e sh o m ea n do v e r s e a s a n d f o l l o w i n gt h e f i n e a n a l y s i s o ft h ec u r r e n ts e v e r a lm o r ep o p u l a ri p m a n a g e m e n tm e t h o d sa n ds y s t e m s ie x e r tm y s e l ft om a k et h e 1 p m u l t i - t i e r e dm a n a g e m e n tm o d e lm e e tt h er e q u i r e m e n to ft h et w os i d e s 江苏大学硕士学位论文 多级口管理模型的研究与实现 o fu s e r sa n da d m i n i s t r a t o r s t h i s p a p e rf i r s t l yp u t s f o r w a r da ni p m a n a g e m e n t m o d e l f r a m e w o r ks u i t i n gi p v 4a n di p v 6 ，w h i c hc o m b i n e sw i t hm u l t i - t i e r e d n e t w o r kd e v i c e s ，t h r o u g ht h ea n a l y s i so fa d d r e s sa s s i g n m e n tf o ri p v 4 a n di p v 6 ，a n dd e s c r i b e st h ei pa l l o c a t i o np o l i c yi nt h em o d e l ，n a m e d “a b ca l l o c a t i o np o l i c y ”；n e x t ，a c c o r d i n gt od h c p v 4a n dd h c p v 6 p r o t o c o l ，t h ed e s i g na n di m p l e m e n t a t i o no ft h ed h c ps e r v e rw i t h d e c i s i o n m a k i n gf u n c t i o na r ei n t r o d u c e d ；t h e n ，m a k i n gu s eo fs n m p a n dt e l n e tp r o t o c o lt oi n t e r a c tw i t hr o u t e ro rl a y e rt h r e es w i t c h ，t h e a u t o m a t i cc o l l e c t i o nm o d e lf o ru s e rm a c h i n e si n f oi sd e s i g n e da n d i m p l e m e n t e d a tt h ee n do ft h ep a p e r , t h ei m p l e m e n t a t i o no ft h ei p m a n a g e m e n tm o d e la sb sm e t h o di ss h o w n ，b a s e do nt h e “n e t w o r k c e n t e rm a n a g e m e n ts y s t e m ” k k - y 瓤取d s ：i pm a n a g e m e n t ，d e c i s i o n m a k i n g ，d h c p , m o d e l 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的 规定，同意学校保留并向国家有关部门或机构送交论文的复印 件和电子版，允许论文被查阅和借阅。本人授权江苏大学可以 将本学位论文的全部内容编入有关数据库进行检索，可以采用 影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口 本学位论文属于，在年我解密后适用本授权书。 不保密囫 学位论文作者签名：尜予 沙歹年占月f z 日 指导教师签智孓平始 多年6 月l 本人郑重声明：所呈交的学位论文，是本人在导师的指 导下，独立进行研究工作所取得的成果。除文中已经注明引 用的内容以外，本论文不包括任何其他个人或集体已经发表 或撰写过的作品成果。对本文的研究做出重要贡献的个人和 集体，均已在文中以明确方式标明。本人完全意识到本声明 的法律结果承担。 学位论文作者签名：叼叶 计 力 日期：加r 年6 月r 上日 江苏大学硕士学位论文多级碑管理模型的研究与实现 1 1i p 的发展及管理需求 第一章绪论 计算机网络技术的出现及飞速发展，可望使人类的生活产生重大的革命。以 i n t e m e t 为基础全球互联网络已经对社会产生重大影响。在全球范围内，i n t e m e t 用户正以几何速度增长着，新的协议、新的应用不断出现，网络给人们提供了无 尽的资源和机会。网际互连协议( i n t e m e tp r o t o c 0 1 ) ，作为全球最大的互联网络 i n t e r a c t 的核心协议，提供了网络互连的工业标准。它屏蔽了异种网络的实现细 节，允许计算机独立于物理网络连接来通信。正是出于口技术的简洁、高效和 可实现性，才使得异种计算机网络和异种操作系统的数据互通和资源共享成为可 能。i p 技术自出现以来，已经随着软、硬件技术的不断发展而不断完成和成熟， 成为最重要的一种网络层协议，并且有统一其它网络层协议的趋势。 i p v 4 协议是在1 9 8 1 年由r f c 7 9 1 标准化的，尽管它现在已非常成熟，取得 了事实上的成功，但是随着用户数量的增加，网络带宽的成倍增长，新的应用需 求的出现，已经暴露出其当初设计不足的地方，显出过时的征兆。因此，从2 0 世纪9 0 年代初以来，国际上开始讨论下一代的口协议了。经过多年的讨论，各 种方案的比较权衡，确定了下一代i p 协议i p v 6 。 随着i p v 6 的出现，网络规模必将进一步扩大，i p 网络地址的管理不可避免 的成为更加复杂的问题。为了满足网络易用性的需要，在校园网或企业局域网内 通常会提供公共网络接口，这同时也必然带来了安全性方面的问题，即任意一台 主机只要与此段网络物理连接，通过自动获得或手动静态配址即可获得网络访问 权，而无需进行用户身份登记或认证，这样明显增加了网络的不安全因素；即使 在宿舍区、办公区，网络管理人员也需要有效的手段对所分配的地址的使用及认 证情况进行监控，但是，以往完全依赖于手工方式进行i p 地址的分配及管理是 低效繁琐的，i p 地址滥用、计算机名冒用等现象广泛存在，而管理人员缺乏有 效的监控手段。局域网上若有两台主机i p 地址相同，则两台主机相互报警，造 成应用混乱。i p 地址盗用成了网管员最棘手的问题。当几百台、甚至上千台主 江苏大学硕士学位论文 多级口管理模型的研究与实现 机同时上网，如何控制i p 地址盗用更是当务之急。在加强地址管理监控的同时， 也应充分考虑到尽可能的减少网络管理人员的工作量及合法用户使用网络的复 杂性。 较i p v 4 而言，i p v 6 协议使得基于i p 层( 网络层) 的安全易于实现，扩展头 a h ( p 身份验证头) 和e s p ( i p 封装安全净荷头) 的结合能够实现分组的身份 认证、数据完整性及分组数据的安全加密。同时i p v 6 地址借助无状态地址自动 配置可以快速高效的进行地址分配。然而，i p v 6 与i p v 4 一样面对着i p 地址的管 理问题。 实际中，用户因某种原因有改动客户端的i p 地址和更换网络适配器的可能 性。这种改动有时具有随意性，尤其当这种改动不在网络管理员的监控之内时， 将直接影响网络i p 地址的管理、通信流量的计算等网络资源环境的安全运行。 为了有效地防止和杜绝这类问题的发生，保证i p 地址的惟一性，网络管理员必 须建立规范的i p 地址分配表、碑地址和硬件地址( m a c ) 登记表，并且做到实 时监控。本文旨在提出一种适用于口v 4 与i p v 6 的基于多层设备的管理模型，可 有效管理口的分配使用，减轻网络管理人员的工作负荷，又可遏制非法用户的 网络访问权限，减少合法用户正常访问网络的复杂性。 1 2 目前i p 的管理方式 i p 管理系统重要任务之一在于口的使用者身份确认及防止i p 盗用，目前国 内外通常采用的管理方式如下： 1 2 1 二层交换机控制 使用交换机进行控制，即在t c p i p 第二层进行控制：使用交换机提供的端 口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网 络，任何其它地址的主机的访问被拒绝。 但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在 交换机相对昂贵的今天不是一个能够普遍采用的解决方案，同时存在管理不灵活 的缺点。 江苏大学硕士学位论文 多级管理模型的研究与实现 1 2 2 在三层交换机或路由器上作静态i p m a c 映射控制 m a c 地址是设备的硬件地址，对于我们常用的以太网来说，即计算机网卡 地址。每一个网卡的m a c 地址在所有以太网设备中必须是唯一的，它由i e e e 分配，是固化在网卡上的，一般不能随意改动。 此方式缺点在于需要用户提供m a c 地址，注册绑定工作完全需由手工完成， 增加网络管理者的负担，出错可能较大，且缺乏必要的灵活性，使得对一些经常 性跨子网移动上网设备的管理变得复杂( 如笔记本) ，也给正常用户带来困难。 1 2 3 使用防火墙与代理服务器相结合的方式 使用防火墙与代理服务器相结合，一定程度上解决口地址盗用问题：防火 墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用 这样的办法是将i p 防盗放到应用层来解决，变i p 管理为用户身份和口令的管理， 因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用 p 地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台i p 主 机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用i p ，也没有 身份和密码，不能使用外部网络。 然而，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操 作的复杂性，另外，对于大数量的用户群( 如高校的学生) 来说，代理服务器可 能成为网络瓶颈。 1 2 4 认证网桥结合三层交换机或路由器的方式 如卡内基梅隆大学的n e t r e g n e t m o n 系统嗍，基于认证网桥，这种方式也 不具有透明性，且由于认证网桥系统必需分布于每一子网内，故对于包含较多子 网拓扑结构的局域网，这种系统不适用。 1 2 5 基于8 0 2 1 x 协议的r a d i u s 认证 该方式的缺点在于必须与相应的二层交换机( 如港湾3 3 】) 结合，而且登录客 户端的发布及维护也给管理工作增加难度。 江苏大学硕士学位论文 多级口管理模型的研究与实现 本文所阐述的多级i p 管理模型不受网络拓扑的限制，这里以常见的层次型 图卜2 层次型子网拓扑 子网拓扑( 图1 2 ) 为例加以解释。该模型重点于防私配i p 功能，并采用“a b c 管 理策略”，在保证充分利用口资源的基础上，提高该模型对用户的透明性及易用 性。 1 3 本文的结构 为了建立适用于i p v 4 与i p v 6 的地址管理模型，本文在第二章对砰v 4 及i p v 6 地址划分作了概述，特别的，对于i p v 6 地址上的特性，如单播地址类型及有状 态与无状态的i p 地址自动配置等与管理模型密切相关的特性做了较细致的分 析： 接着，本文于第三章阐述了适用于i p v 4 与i p v 6 的多级i p 管理模型，概述 了决策d h c p ，绑定子系统及“a b ci p 管理策略”联动作用及其优势； 随后，第四章中对多级模型的决策d h c p 模块进行介绍，该模块采用标准的 d h c p 协议进行前端通讯，结合自行设计的m 决策分配策略，替代标准的d h c p i p 分配策略：第五章运用s n m p 及t e l n e t 协议设计了i p m a c 的自动收集绑定 模块； 最后，文章结合当前正运行于江苏大学校园网的“网络中心网络管理系统” 给出模型的b s 模式的实现实例，证实了本文所提出的i p 管理模型的可靠实用 性。 4 江苏大学硕士学位论文多级m 管理模型的研究与实现 第二章口地址划分的分析 本文所提出的多级i p 管理模型适用于i p v 4 与i p v 6 ，本章将根据相应的r f c 文档对i p v 4 与1 p v 6 的地址划分作较详细的分析。 2 1i p v 4 地址划分 i n t e r n e t 依靠t c p i p 协议，在全球范围内实现不同硬件结构、不同操作系统、 不同网络系统的互联。在i n t e m e t 上，每一个节点都依靠惟一的p 地址互相区分 和相互联系。每个i p 地址都包含两部分：网络i d 和主机i d 。网络i d 标识在同 一个物理网络上的所有宿主机，主机d 标识该物理网络上的每一个宿主机，于 是整个i n t e r n e t 上的每台计算机都依靠各自唯一的i p 地址来标识。i p 地址构成 了整个i n t e m e t 的基础，从网络的层次结构考虑，一个m 地址必须指明两点： ( 1 ) 属于哪个网络；( 2 ) 是这个网络中的哪台主机。于是，i p 地址的格式为： 网络号、主机号。 2 1 1i p v 4 地址的类型及其表示【1 】【9 】 目前因特网使用的地址普遍是i p v 4 地址，3 2 比特，通常用4 个点分十进制 数表示，如：2 1 1 6 5 8 6 2 2 。它主要由两部分组成：一部分是用于标识所属网络 的网络地址；另一部分是用于标识给定网络上的某个特定主机的主机地址。为了 给不同规模的网络提供必要的灵活性，i p 的设计者将碑地址空间划分为几个不 同的地址类别，地址类别的划分就针对于不同大小规模的网络。 a 类网：网络号为1 个字节，定义最高比特为0 ，余下7 比特为网络号，主 机号则有2 4 比特编址。用于超大型的网络，每个网络有1 6 7 7 7 2 1 6 台主机( 边缘 号码如全“0 ”或全“l ”的主机有特殊含义，这里没有考虑) 。全世界总共有1 2 8 个a 类网络，早已被分配完。 b 类网：网络号为2 字节，定义最高比特为1 0 ，余下1 4 比特为网络号，主 江苏大学硕士学位论文多级i p 管理模型的研究与实现 机号则可有1 6 比特编址。b 类网是中型规模的网络，总共有1 6 3 8 4 个网络，每 个网络有6 5 5 3 6 台主机( 也忽略边缘号码) 。 c 类网：网络号为3 字节，定义最高三比特为1 1 0 ，余下2 l 比特为网络号， 主机号仅有8 比特编址。c 类地址适用的就是较小规模的网络了，总共有2 0 9 7 1 5 2 个网络号码，每个网络有2 5 6 台主机( 忽略边缘号码) 。 d 类网：不分网络号和主机号，定义最高四比特1 1 1 0 ，表示一个多播地址， 即多目的地传输，可用来识别一组主机。 识别一个i p 地址的属性需从点分法的最左个十进制数就可以判断其归 属。例如，1 1 2 6 属a 类地址，1 2 8 1 9 1 属b 类地址，1 9 2 2 2 3 属c 类地址， 2 2 4 2 3 9 属d 类地址。除了以上四类地址外，还有e 类地址，但暂未使用。 对于因特网i p 地址中有特定的专用地址不作分配： f 1 ) 主机地址全为“0 ”。不论哪一类网络，主机地址全为“0 ”表示指向本网， 常用在路由表中。 ( 2 ) 主机地址全为“1 ”。主机地址全为“l ”表示广播地址，向特定的所在网 上的所有主机发送数据报。 ( 3 ) 四字节3 2 比特全为“l ”。若邛地址4 字节3 2 比特全为“l ”，表示仅在 本网内进行广播发送。 ( 4 1 网络号1 2 7 。t c p i p 协议规定网络号1 2 7 不可用于任何网络。其中有一 个特别地址：1 2 7 0 0 1 称之为回送地址( l o o p b a c k ) ，它将信息通过自身的接1 3 发 送后返回，可用来测试端口状态。 2 1 2i p v 4 地址与路由的关系【7 1 为了提高i p 地址使用效率及路由效率，在基础的口地址分类上对i p 编址 进行了相应改进。 1 子网编址 为提高p 地址的使用效率，子网编址的思想是将主机号部分进一步划分为 子网号和主机号，即这种模式：网络号+ 子网号+ 主机号。 在原来的i p 地址模式中，网络号部分就标识一个独立的物理网络，引入子 网模式后，网络号部分加上子网号才能全局唯一的标识一个物理网络。子网编址 6 江苏大学硕士学位论文 多级巾管理模型的研究与实现 使得i p 地址具有一定的内部层次结构，这种层次结构便于i p 地址分配和管理。 它的使用关键在于选择合适的层次结构如何既能适应各种现实的物理网络 规模，又能充分地利用i p 地址空间即从何处分隔子网号和主机号。 2 子网路由 在子网编址模式下，仅凭地址类别提取地址的网络号和主机号将是不正确 的，而必须在路由表的每一个表目中加入子网掩码，于是子网编址模式下的路由 表条目变为：( 目的网络地址，子网掩码，下一路由器地址) ，这样可以用子网掩 码的设置来区分不同的情况，使路由算法更为简单。子网号的位数是可变的，为 了反映有多少位用于子网号，采用子网掩码来区分。二进制表示的掩码是一系列 连续的“l ”，紧跟着一系列连续的“o ”。为“1 ”的部分代表网络号码，而为“0 ” 的部分代表主机号码。我们以1 0 0 0 1 为例，网络掩码2 5 5 0 0 0 ，这样就把球 地址分成了网络部分1 0 和主机部分o o 1 。于是，每个a 、b 和c 类地址都有一 个自然掩码，它是由每类地址的网络和主机部分的确切定义产生的掩码。可以根 据掩码和i p 地址计算出子网：子网号= 子网掩码与i p 地址做逻辑“与”运算的 结果。 3 v l s m 可变长予网掩码 v l s m ( v a r i a b l el e n g t hs u b n e tm a s k 可变长子网掩码) ，这是一种产生不同大 小子网的网络分配机制，指一个网络可以配置不同的掩码。开发可变长度子网掩 码的想法就是在每个子网上保留足够的主机数的同时，把一个网分成多个子网时 有更大的灵活性。如果没有v l s m ，一个子网掩码只能提供给一个网络。这样就 限制了要求的子网数上的主机数。 v l s m 技术对高效分配i p 地址( 较少浪费) 以及减少路由表大小都起到非常 重要的作用。但是需要注意的是使用v l s m 时，所采用的路由协议必须能够支 持它，这些路由协议包括r i p 2 ，o s p f ，e i g r p 和b g p 。 4 c i d r 无类别编址 c i d r 在1 9 9 2 年引入，它意味着在路由表层次的网络地址“类”的概念已 经被取消，代之以“网络前缀”的概念。i n t e r n e t 中的c i d rc l a s s l e s si m e r - d o m a i n r o u t i n g 无类别域问路由的基本思想是取消地址的分类结构，取而代之的是允许 以可变长分界的方式分配网络数。它支持路由聚合，可限制i n t e m e t 主干路由器 江苏大学硕士学位论文多级口管理模型的研究与实现 中必要路由信息的增长。它的思想是：把许多c 类地址合起来作b 类地址分配。 采用这种分配多个i p 地址的方式，使其能够将路由表中的许多表项归并 ( s u r l l m a r i z a t i o n ) 成更少的数目。 5 专用地址和网络地址的转换( n a t ) 为了减慢i p 地址分配的进程，鉴别不同的连通需要，并有根据地分配i p 地 址是很重要的。大多数组织的连通需要可以分为以下类别：全球连通性和专用连 通性( 总体的或局部的) 。 ( 1 ) 全球连通性。 全球连通性意味着组织内部的主机既能连通内部主机又能连通因特网主机。 在这种情况下，主机必须配置组织内和组织外都可识别的全球惟一的i p 地址， 要求全球连通性的组织必须向其服务提供者申请i p 地址。 ( 2 ) 专用连通性。 专用连通性意味着组织内部主机只能连通内部主机，不能连通因特网主机。 专用主机需要一个组织内部惟一的口地址，但没有必要在组织外也是惟一的。 对于这种连通性，i a n a 为所谓的“专用因特网”保留了下列三块i p 地址空间： 1 0 0 0 0 到1 0 2 5 5 2 5 5 2 5 5 ( 一个单独a 类网络号码) 1 7 2 1 6 0 0 到1 7 2 3 1 2 5 5 2 5 5 ( 1 6 个相邻的b 类网络号) 1 9 2 1 6 8 0 0 到1 9 2 1 6 8 2 5 5 2 5 5 ( 2 5 6 个相邻的c 类网络号) 企业可以不经i a n a 或因特网登记处的允许就从上述范围内选择自己的地 址。取得专用i p 地址的主机能和组织内部任何其他主机连接，但是如果不经过 一个代理网关就不能和组织外的主机连接。这是因为离开公司的i p 数据包将有 一个源碑地址，它在公司外会被混淆，于是外部主机难以回答。因为多个建立 专用网络的公司可以使用相同的口地址，于是就可以少分配一些全球惟一的i p 地址。 ( 3 ) 网络地址转换器( n a t ) 地址转换，即n a t 功能，就是指在一个组织网络内部，根据需要可以使用 私有的i p 地址( 不需要经过申请) ，在组织内部，各计算机间通过私有i p 地址进 行通讯，而当组织内部的计算机要与外部i n t e r n e t 网络进行通讯时，具有n a t 功 能的设备负责将其私有i p 地址转换为公有i p 地址，即用该组织申请的合法i p 江苏大学硕士学位论文多级口管理模型的研究与实现 地址进行通信。简单地说，n a t 就是通过某种方式将i p 地址进行转换。c i s c o 系统提出了这个办法，作为运行在其路由器上的c i s c o 互连网络操作系统 0 s o ) t m 软件的一部分。 n a t 设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 静态地址转换 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指 定和哪个合法地址进行转换。如果内部网络有e m a i l 服务器或f t p 服务器等可 以为外部用户共用的服务，这些服务器的i p 地址必须采用静态地址转换，以便 外部用户可以使用这些服务。 动态地址转换 动态地址转换也是将本地地址与内部合法地址一对一的转换，但是是从内部 合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。 复用动态地址转换 复用动态地址转换首先是一种动态地址转换，但是它可以允许多个内部本地 地址共用一个内部合法地址。只申请到少量i p 地址但却经常同时有多于合法地 址个数的用户上外部网络的情况，这种转换极为有用。 2 2i p v 6 地址划分 3 1 【矧 1 p v 6 地址的前几位指定了地址类型，包含前几位的变量长度域叫做格式前 缀。这些前缀的分配状况见表2 一l 。 i p v 6 的单点传送地址包括可聚集全球单点传送地址、链路本地单点传送地 址、节点本地单点传送地址，共计占i p v 6 寻址总空间的1 5 。 9 江苏大学硕士学位论文 多级l p 管理模型的研宄与头现 表2 - 1i p v 6 地址空间的分配 分配状况 格式前缀占寻址空间的比例 保留 0 0 0 00 0 0 0l ，2 5 6 未分配0 0 0 00 0 0 11 ，2 5 6 未分配 0 0 0 00 1 01 1 2 8 预留给n s a p 分配 0 0 0 0 0 0 11 1 2 8 未分配 0 0 0 0 0 1 11 1 2 8 未分配 0 0 0 0 ll ，3 2 未分配 0 0 0 l1 1 6 可聚集全球单点传送地址 0 0 1l 8 未分配0 l o 1 8 未分配 0 1 ll ，8 未分配1 0 0 1 8 未分配 1 0 11 8 未分配 1 1 01 ，8 未分配 l l l o1 1 6 未分配 1 1 1 10l 3 2 未分配 1 1 1 1 1 0l 佑4 未分配 1 1 1 l1 1 0 1 1 2 8 未分配 l l l ll l l 0 0l ，5 1 2 链路本地单点传送地址 1 1 1 11 1 1 01 01 1 0 2 4 节点本地单点传送地址 1 1 1 11 1 1 01 11 ，1 0 2 4 多点传送地址 1 1 1 1 1 1 1 1 l ，2 5 6 2 2 1i p v 6 地址类型 i p v 6 地址是独立接口的标识符，所有的i p v 6 地址都被分配到接口，而非节 点。由于每个接口都属于某个特定节点，因此节点的任意个接口地址都可用来 标识一个节点。i p v 6 有三种类型地址： 1 0 江苏大学硕士学位论文多级i p 管理模型的研究与实现 1 单点传送( 单播) 地址 一个i p v 6 单点传送地址与单个接口相关联。发给单播地址的包传送到由该 地址标识的单接口上。但是为了满足负载平衡系统，在r f c2 3 7 3 中允许多个接 口使用同一地址，只要在实现中这些接v 1 看起来形同一个接1 3 2 3 1 。 2 多点传送( 组播) 地址 一个多点传送地址标识多个接口。发给组播地址的包传送到该地址标识的所 有接口上。i p v 6 协议不再定义广播地址，其功能可由组播地址替代。 3 任意点传送( 任播) 地址 任意点传送地址标识一组接口( 通常属于不同的节点) ，发送给任播地址的 包传送到该地址标识的一组接口中根据路由算法度量距离为最近的一个接口。如 果说多点传送地址适用于o n e t o m a n y 的通讯场合，接收方为多个接口的话，那 么任意点传送地址则适用于o n e t o o n e o f - m a n y 的通讯场合，接收方是一组接口 中的任意一个。 2 2 21 p v 6 单点传送地址【1 5 】 单播地址是碑资源的管理的重点，i p v 6 单点传送地址包括：可聚集全球单 点传送地址、链路本地地址、站点本地地址和其他一些特殊的单点传送地址。 1 可聚集全球单点传送地址 可聚集全球单点传送地址，顾名思义是可以在全球范围内进行路由转发的地 址，格式前缀为0 0 1 ，相当于m v 4 公共地址。全球地址的设计有助于构架一个 基于层次的路由基础设施。与目前i p v 4 所采用的平面与层次混合型路由机制不 同，i p v 6 支持更高效的层次寻址和路由机制。可聚集全球单点传送地址结构如 图2 - 1 所示。 图2 - 1 可聚集全球单点传送地址 0 0 1 是格式前缀，用于区别其它地址类型。随后分别是1 3 位的t l ai d 、8 江苏太学硕士学位论文 多级i p 管理模型的研究与实现 位的r e s 、2 4 位的n l a i d 、1 6 位s l a i d 和6 4 位主机接口i d 。t l a ( t o pl e v e l a g g r e g a t o r ，顶级聚合体) 、n l a ( n e x tl e v e l a g g r e g a t o r ，下级聚合体) 、s l a ( s i t e l e v e la g g r e g a t o r ，节点级聚合体) 三者构成了自顶向下排列的三个网络层次。 t l a 是与长途服务供应商和电话公司相互连接的公共骨干网络接入点，其i d 的 分配由国际i n t e m e t 注册机构i a n a 严格管理。n l a 通常是大型i s p ，它从t l a 处申请获得地址，并为s l a 分配地址。s l a 也可称为订户( s u b s c r i b e r ) ，它可 以是一个机构或个小型i s p 。s l a 负责为属于它的订户分配地址。s l a 通常 为其订户分配由连续地址组成的地址块，以便这些机构可以建立自己的地址层次 结构以识别不同的子网。分层结构的最底层是网络主机。r e s 是8 位保留位，以 备将来a 或n l a 扩充之用。 2 本地使用单点传送地址 本地单点传送地址的传送范围限于本地，又分为链路本地地址和站点本地地 址两类，分别适用于单条链路和一个站点内： ( 1 ) 链路本地地址 链路本地地址，格式前缀为1 1 1 l1 1 1 01 0 ，用于同一链路的相邻节点间通信， 如单条链路上没有路由器时主机间的通信。链路本地地址相当于当前在w i n d o w s 下使用1 6 9 2 5 4 0 0 1 6 前缀的a p i p ai p v 4 地址，其有效域仅限于本地链路。链路 本地地址可用于邻居发现，且总是自动配置的，包含链路本地地址的包永远也不 会被i p v 6 路由器转发。 ( 2 ) 站点本地地址 站点本地地址，格式前缀为1 1 1 11 1 1 01 1 ，相当于1 0 0 0 0 8 、1 7 2 1 6 0 0 1 2 和1 9 2 1 6 8 0 0 1 6 等i p v 4 私用地址空间。例如企业专用i n t r a n e t ，如果没有连接 到i p v 6i n t e r n e t 上，那么在企业站点内部可以使用站点本地地址，其有效域限于 一个站点内部，站点本地地址不可被其他站点访问，同时含此类地址的包也不会 被路由器转发到站外。一个站点通常是位于同一地理位置的机构网络或子网。与 链路本地地址不同的是，站点本地地址不是自动配置的，而必须使用无状态或全 状态地址配置服务。 站点本地地址允许和i n t e m e t 不相连的企业构造企业专用网络，而不需要申请 一个全球地址空间的地址前缀。如果该企业日后要连入i n t e m e t ，它可以用它的 1 2 江苏大学硕士学位论文多级管理模型的研究与实现 子网i d 和接口i d 与一个全球前缀组合成一个全球地址。i p v 6 自动进行重编号。 3 兼容性地址 在i p v 4 向i p v 6 的迁移过渡期，两类地址并存，我们还将看到一些特殊的地 址类型： ( 1 ) i p v 4 兼容地址 i p v 4 兼容地址，可表示为0 ：0 ：0 ：0 ：0 ：0 ：w x y z 或：、j v x y z ( w x y z 是以点分十 进制表示的i p v 4 地址) ，用于具有口v 4 和i p v 6 两种协议的节点使用i p v 6 进行通 信。 ( 2 ) i p v 4 映射地址 i p v 4 映射地址是又一种内嵌i p v 4 地址的i p v 6 地址，可表示为 0 ：0 ：0 ：0 ：o ：f f f f ：w x y z 或：f f f f ：w x y z 。这种地址被用来表示仅支持i p v 4 地址的 节点。 ( 3 ) 6 t 0 4 地址 6 t 0 4 地址用于具有i p v 4 和i p v 6 两种协议的节点在i p v 4 路由架构中进行通信。 6 t 0 4 是通过i p v 4 路由方式在主机和路由器之间传递i p v 6 分组的动态隧道技术。 2 2 3i p v 6 多点传送地址 i p v 6 的多点传送( 组播) 与i p v 4 运作相同。多点传送可以将数据传输给组 内所有成员。组的成员是动态的，成员可以在任何时间加入一个组或退出一个组。 i p v 6 多点传送地址格式前缀为1 1 1 l1 1 1 1 ，此外还包括标志( f l a g s ) 、范围域 和组i d 等字段，如图2 2 所示。 誊l 一，赫 膨 零骧l 爨g 骥 s c o p 9g r o u p i d 图2 - 2i p v 6 多点传送地址 4 位f l a g s ，可表示为：0 0 0 t 。其中高三位保留，必须初始化成0 。t = 0 表 示一个被i a n a 永久分配的多点传送地址；t = i 表示一个临时的多点传送地址。 4 位s c o p e 是一个多点传送范围域，用来限制多点传送的范围。表2 2 列出了在 r f c 2 3 7 3 中定义的s c o p e 字段值【2 3 1 。 江苏大学硕士学位论文多级i p 管理模型的研究与实现 表2 - 2s c o p e 字段值 值 范围域 o 保留 1 节点本地范围 2 链路本地范围 5 站点本地范围 8机构本地范围 e全球范围 f保留 g r o u pi d 标识一个给定范围内的多点传送组。永久分配的组i d 独立于范围 域，临时组i d 仅与某个特定范围域相关。 2 2 4i p v 6 任意点传送地址 一个i p v 6 任意点传送地址被分配给一组接口( 通常属于不同的节点) 。发往 任意点传送地址的包传送到该地址标识的一组接口中根据路由算法度量距离为 最近的一个接口。目前，任意点传送地址仅被用做目标地址，且仅分配给路由器。 任意点传送地址是从单点传送地址空间中分配的，使用了单点传送地址格式中的 一种。 子网路由器任意点传送地址必须经过预定义，该地址从子网前缀中产生。为 构造一个子网路由器任意点传送地址，子网前缀必须固定，余下的位数置为全 “0 ”，见图2 3 。 _ 一n 位 卜一啪一n 位一 图2 - 3 子网一路由器任意点传送地址 一个予网内的所有路由器接口均被分配该子网的子网一路由器任意点传送地 址。子网一路由器任意点传送地址用于一组路由器中的一个与远程子网的通信。 江苏大学硕士学位论文 多级管理模型的研究与实现 2 3i p v 6 的地址配置 i p v 6 可以采用i f c o n f i g 命令进行手工配置主机i p 地址，但i p v 6 地址1 2 8 位 的长度使手工配置主机i p 地址既费时又乏味，而管理分配给主机的静态i p 地址 更是一项艰难的任务，尤其当主机i p 地址需要经常改动的时候。i p v 6 的个基 本特性是它支持无状态和有状态两种地址自动配置的方式。 2 3 1 无状态自动配置【1 7 】 无状态的自动配置过程设计满足以下要求： 在i p v 6 主机连到网络前，不需要任何形式的手工配置。必须产生一种机制 来为每个接口自动产生一个唯一的地址。 由一些连在同一链路的主机组成的小型l a n 不是必须要指定服务器 ( d h c p ) 来通信。由主机和路由器组成的大公司网络不是必须要使用有状态的 服务器( d h c p ) 来通信。主机必须能够从包含和链路相关的前缀列表的路由器 宣告得出本地或全局地址。 应当允许网络管理员指定他们是否愿意使用无状态配置。 在了解这些必要条件后，现在讨论一下接口怎样自动配置自身。首先，必须 确定只有具备多点传送能力的接口( 那些能够传送多点传送信息包) 能配置自身， 并且因此自动配置只有在支持多点传送通信的链路上发生。主机首先通过将它的 网卡m a c 地址附加在链接本地地址前缀1 1 1 1 1 1 1 0 1 0 之后，产生一个链路本地单 点传送地址。接着主机向该地址发出个被称为邻居发现 i 螂( n e i g h b o rd i s c o v e r y ) 的请求，以验证地址的唯一性。如果请求没有得到响应，则表明主机自我设置的 链路本地单点传送地址是唯一的。否则，主机将使用一个随机产生的接口i d 组 成一个新的链路本地单点传送地址。然后，以该地址为源地址，主机向本地链路 中所有路由器多点传送一个被称为路由器请求( r o u t e rs o l i c i t a t i o n ) 的配置信息。 路由器以一个包含一个可聚集全球单点传送地址前缀和其它相关配置信息的路 由器公告响应该请求。主机用它从路由器得到的全球地址前缀加上自己的接口 i d ，自动配置全球地址，然后就可以与i n t e r n e t 中的其它主机通信了。使用