睦邻点实验报告

1 / 14 睦邻点实验报告 一、嵌入式防火墙设计 1. 基于 Iptables-Ipset-NF-hipac的防火墙设计 Iptables 的优势在于具有足够的灵活度，并且功能强大，面面俱到；劣势是在数量巨大的规则集时性能低下。然而 Ipset 虽然具有很好的性能，将 Iptables 的时间复杂度从 O降到了 O，但集合里所有的 IP对应到同一个处理操作，在面对并非一次性更新的规则集合时，显得用处不大。NF-hipac 的灵活性和性能处于前二者之间，但是只能代替Iptables-t filter 选项。因 此，综合三个工具的优势，设计出一个更加优秀的防火墙方案： Ipset负责一次性大规模更新同一处理操作的 IP集； NF-hipac负责独立零散的过滤规则的更新； Iptables 用来进行其他子功能操作。 这样既保证了系统运行的高性能，又能覆盖所需的全部功能。本文设计的嵌入式 Linux 防火墙的整体体系架构如图 1 所示。硬件层为 ARM9 的处理器，操作系统内核为经过移植的 Linux 内核，并且支持 NetFilter。用户态则移植了三款防火墙工具，并且都是在 Netfilter架构的基础上进行开 发的，包括 Iptables、 Ipset 以及 NF-hipac。 2. 开发平台及编译环境 本文设计的嵌入式 Linux 防火墙方案是在2 / 14 HIT-ES-DK01 平台上实现的。该平台采用 ATMEL 公司AT91RM9200 嵌入式处理器，主频 180MHz，带有 MMU 存储器管理单元，内嵌 10M / 100M 自适应以太网。开发板上还包括 64MBSDRAM、 256MB / 1GBNand Flash 和 16MB Nor Flash，板上集成 4 线电阻式触摸屏接口、 TFT 液晶屏接口，最大支持 16BPP 模式 800 觹 600分辨率，板载 RS232、 RS485、 RJ45、USB 等接口以及 CAN 总线接口及多种存储卡接口。实验平台的接口布局如图 2 所示。 图 1 嵌入式 Linux防火墙系统架构示意 硬件层 内核态 图 2 接口布局图 所谓交叉编译就是在一个平台上生成可以在另一个平台上执行的代码，本文使用基于 gcc 的工具链，在 x86架构的 Linux主机上使用 ARM架构的编译工具链对系统内核和工具进行编译，生成可以在目标板上运行的内核，烧写到 Flash 中，便可在嵌入式 平台上运行经过裁剪的系统和相关工具。交叉编译内核的详细步骤本文不再赘述，只是简要介绍三个防火墙工具编译与移植的关键环节。 Iptables 是 Linux内核的一部分，因此与交叉编译内核一起考虑 Iptables 的编译，需要注意的是，Iptables最好编译为 built-in模式，而不要选择模块模式，这主要是考虑到嵌入式系统单内核方便管理、使用及大规模3 / 14 的工业复制。 NF-hipac是通过内核补丁的方式编译的，下载到其源码后为内核打补丁，然后与内核一起编译。另外，还需要对源码进行一定的修改，为编译移植用户层 NF-hipac工具做准备，修改的文件包括 Makefile、等。 Ipset 也是通过内核补丁的方式编译的，操作方法类似。 二、功能及性能测试 本文测试部分包括防火墙的功能测试和性能测试，使用到的测试工具 Netperf.。 Netperf是一款网络性能的测量工具，主要针对基于 TCP 或 UDP 的传输。 Netperf 根据应用的不同，可以进行不同模式的网络性能测试，即批量数据传输模式和请求 /应答模式。 Netperf 测试结果所反映的是一个系统能够以多快的速度向另外一个系统发送数据，以及另外一个系统能够以多快的速 度接收数据。本文测试用例包括两种网络拓扑，如图 3、图 4 所示。测试网络拓扑 1 主要模拟了从外网的客户端访问被防火墙保护的 内网服务器，外网 IP 用 / 24 模拟，内网 IP 用 /24模拟。由于嵌入式 Linux 防火墙本身也为一台计算机，所以将其内部假设服务器，测试网络拓扑 2如图 5所示，完成拓扑 1 所不能完成的一些性能上的测试，将测试结果进行进一步分析对比。 图 3 测试网络拓扑 1 4 / 14 图 4 测试网络拓扑 2 1.功能验证与测试 功能验证与测试包括 Iptables功能测试、 NF-hipac功能测试和 Ipset 功能测试， 在各种单项 测试通过后，进行了 ftp、 telnet、 NAT、针对 SYNFlood攻击的防御等应用场景测试，图 5 是 NAT测试的数据流示意图和测试结果，表 1 给出了针对 SYNFlood 攻击的防御的测试结果，测试结果表明了该防火墙功能的有效性。 表 1 不同情形下载入同一网页面所需时间 测试环境页面载入时间 未开启安全选项，未受到攻击 未开启安 全选项，受到 SYN Flood 攻击 开启安全选项，受到 SYN Flood 攻击 2.性能测试 内核精简前后性能对比测试主要是为了验证本文所做内核裁剪的有效性，本文对精简前后的内核做众多性能方面的测试，对比了批量数据传输速率、请求 /应答模式交易率、连接 /请求 /应答模式交易率三方面给出测试结果，如图5 / 14 8-图 10所示。从测试结果可以得出， TCP-CRR模式下的交易率的数值变化较为明显。由于 TCP-CRR模式为每次交易建立一个新的 TCP 连接，对系统消耗最为严重。从图 10 可以看出，未精简的内核的 交易率变得十分不稳定。但无论是三项测试数据当中的哪一项，内核精简后对比精简前均有不同程度的性能上的提升，证明对内核进行精简可以对系统性能的提升起到作用。 MTU 值是指一种通信协议的某一层上面所能通过的最大数据包大小，在大流量的网络当中，增大 MTU 的值可以很好地改善网络性能。本文测试拓扑 2，从批量数据传输速率、请求 /应答模式交易率两方面进行测试，结果如表 2、表 3所示，其中嵌入式防火墙 eth0接口连接至服务器的网络接口， eth1 接口连接至客户端的网络接口。 表 2 MTU 值对批量数据传输速率影响 100150 200 250300 表 3 MTU 值对请求 /应答模式交易率影响 100 150 200250300 通过测试结果可以观察到，在较大 MTU 值的情况下，无论是取得数据传输速率还是交易率均提升，但是也取决于6 / 14 整个网络中的瓶颈 MTU值。由测试结果可以看出， Iptables在 300 条规则之 内的性能对比 NF-hipac 与 Ipset 并没有明显的劣势，但是当规则的数量超过这一数值的时候，其性能表现就会大打折扣。而 NF-hipac 与 Ipset 的性能表现则几乎与规则的数目无关， NF-hipac的表现要稍好于 Ipset。 三、结束语 本文在 HIT-ESDK01嵌入式平台之上设计并实现了嵌入式 Linux防火墙系统。首先，根据嵌入式及防火墙的基本知识，设计了系统的总体结构，针对嵌入式系统的特点，给出了一种 Linux内核的裁剪理由及方案，并针对该方案给出了测试结果证明对其实施裁剪的必要 性；其次，指出了Netfilter/Iptables 架构在大数量规则集下性能低下的缺陷，提出了 Iptables 结合 NF-hipac、 Ipset 使用的解决方案，并针对方案给出了详细的移植方法及步骤；最后，对实现的系统进行了详细的功能及性能测试。 实 验 _三 【实验名称】 算术逻辑单元 ALU 【目的与要求】 1. 掌握多功能算术 /逻辑运算单元的工作原理 2. 学会用 ALU74181 和先行进位部件 74182 组成一7 / 14 个 32位的 ALU 【实验内容】 1. 验证 74181的逻辑功能 A=1011 B=1000 M=1 C=0 2. 用 74181 和 74182组成一个 32位的 ALU 3. 用具体的数据验证 32位 ALU的一个算术运算功能和一个逻辑运算功能 S0=1 S1=0 S2=0 S3=1 M=1 C=0 无线通信原理实验报告 ：两径模型的仿真实验一 实验工具： Mathworks Matlab 实验目的：了解 两径模型中接收功率与距离的关系，熟练操作 matlab 软件； 实现内容： 1、根据两径模型中，窄带信号的接收功率公式为： 其中， ?= 2 /l 是直射信号和反射信号的相位差。 d表示收发天线的水平距离， ht 表示发送天线高度，hr 表示接收天线高度。由几何关系有下式： 当 ? =时，可近似得到临界距离为 dc = 4ht hr /l 。 2、 如果两径模型的参数为 f = 900MHz、 R=-1、 ht =50m、 hr =2m， Gl =1，请按照不同的 Gr 8 / 14 值， Gr =1， Gr =、 Gr =、 Gr =时，画出 d=1m 到 100km内分贝接收功率和对数距离的关系 曲线。 3、 计算出临界距离 dc = 4ht hr /l ，并标注在关系曲线中。将图的起点归一化为 0dB。 实验代码： f=900000000; c=300000000; %光速 r=c/f; %波长 R=-1; ht=50; %发送天线高度 hr=2; %接收天线高度 Gl=1; %Gr=1, , , ; Pt=0;%发送功率自定义为 0dB d=1:100000; %收发天线的水平距离 x = sqrt + d. ); %x+x l = sqrt + d. ); a=2*pi*/r;%直射信号和反射信号的相位差 dc=4*ht*hr/r Gr=1;%画出 Gr=1 时， d=1m 到 100km 内分贝接收功率和对数距离的关系 9 / 14 Pr1 = Pt + 20*log10) + 20*log10./l + R*sqrt*exp./x ) ); plot, Pr1-Pr1, r ) grid on; hold on; Gr=;%画出 Gr=时， d=1m到 100km 内分贝接收功率和对数距离的关系 Pr2 = Pt + 20*log10) + 20*log10./l + R*sqrt*exp./x ) ); plot,Pr2-Pr2 , g) hold on; Gr=;%画出 Gr=时 ， d=1m到 100km 内分贝接收功率和对数距离的关系 Pr3 = Pt + 20*log10) + 20*log10./l + R*sqrt*exp./x ) ); plot,Pr3-Pr3 , b) hold on; Gr=;%画出 Gr=时， d=1m到 100km 内分贝接收功率和对数距离的关系 Pr4 = Pt + 20*log10) + 20*log10./l + R*sqrt*exp./x ) ); plot,Pr4-Pr4 , y) plot log10,-100 40, -b) legend 实验效果图： 其中： Pr = Pt + 20*log10) + 20*log10./l 10 / 14 R*sqrt*exp./x ) ) + 就是对公式 的表述。 ：两径模型的仿真实验二 实验工具： Mathworks Matlab 实验目的：了解两径模型中的路径损耗，熟练操作matlab 软件； 实现内容： 1、 根据 两径模型中，窄带信号的接收功率公式为： 其中， ?= 2 /l 是直射信号和反射信号的相位差。 d表示收发天线的水平距离， ht 表示发送天线高度，hr 表示接收天线高度。由几何关系有下式： 当 ? =时，可近似得到临界距离为 dc = 4ht hr /l 。 当 d足够大时， d ht + hr 时，接收功率近似为： 2、当两径模型的距离范围是 1m 到 1000m，参数为f = 900MHz、 R=-1、 ht =50m、 hr =2m， Gl =Gr =1，请确定三段折线 近似模型的参数，画出此距离范围内的路径损耗和其折线的近似结果。 实验代码： clear all f=900000000; c=300000000; %光速 11 / 14 r=c/f; %波长 R=-1; ht=50; %发送天线高度 hr=2; Gl=1; Gr=1; Pt=0;%发送功率自定义为 0dB dc=4*ht*hr/r d=1:100000; %收发 天线的水平距离 x = sqrt + d. ); %x+x l = sqrt + d. ); a=2*pi*/r;%直射信号和反射信号的相位差 Pr = Pt + 20*log10) + 20*log10./l + R*sqrt*exp./x ) ); Pr plot, Pr-Pr) %两径模型路径损耗归一化曲线 grid on; hold on; d1 = 1:50; x1 = sqrt; %x+x l1 = sqrt; a1 =2*pi*/r; Pr1 = Pt + 20*log10)+ 20*log10./l1 ) - 12 / 14 R*sqrt./x1);%第一段折线 d2 = 50:dc; x2 = sqrt + d2. ); %x+x l2 = sqrt + d2. ); Pr2 = Pt + 20*log10)+ 20*log10./l2 ) - 2*R*sqrt./x2); %第二 段折线 d3 = dc:100000; Pr3 = Pt + 20*log10) - 40*log10;%第三段折线 plot, Pr1-Pr1, log10, Pr2-Pr1, log10, Pr3-Pr1 ) 实验效果图： ：瑞利衰落的仿真实验 实验工具： Mathworks Matlab 实验目的：设计移动通信信道