目标定义概要.ppt

主题,背景IPv6协议目标定义实现的方法和策略IPv6下网管的新问题总结和展望,背景(1),网络管理是为用户安全、可靠、正常使用网络服务而进行监控、维护和管理，保证网络正常、高效的运行。人工管理配置、监视.自动管理基于SNMP/RMON,背景(2),人工管理的缺点对管理员要求高工作量大实时性不好有些工作不能手工实现(如计费)不能适应大规模网络,背景(3),自动管理的优点对管理员要求相对低极大减小工作量实时性好能完成许多人工不能完成的工作可扩展性好目标简化网络管理增加安全性和可靠性,主题,背景IPv6协议目标定义实现的方法和策略IPv6下网管的新问题总结和展望,主题,背景IPv6协议目标定义实现的方法和策略IPv6下网管的新问题总结和展望,IPv4的缺陷,IPv4地址耗尽的问题A类：128个可用网络，每个具有1600万个地址B类：16000个可用网络，每个具有65000个地址C类：200万个可用网络，每个具有254个地址80地址已经分配Qos问题仅有ToS来标识，目前多数设备不支持安全机制没有安全机制,IPv6,IPv6使得IP地址长度从32位增加到128位简化报文格式,包头40字节,处理效率高报头由基本头链式扩展头组成，可扩充性好优先级，数据流标识来保证Qos有加密和认证机制,IPv6地址格式,IPv6地址格式,带有层次性质的地址具有一定灵活性(TLA和NLA可扩充)增加了LinkLocal地址，保证设备在没有任何配置之前能够与本子网内的其他设备通信地址的自动配置,IPv6对网络管理的必要性,继承IPv4环境下的网管功能IPv6网络规模更大(128位地址)，需要更强大的网络管理(管理规模)灵活的接入方式和自动配置功能，需要增加对新特性的管理对安全的增强，安全管理,IPv6环境下网络管理的可行性,SNMP协议在IPv4网管中应用广泛，可继承性好SNMP协议本身和网络传输协议无关，通过MIB定义被管理地对象，因此完全可以应用在IPv6网络环境下IETF已经定义了IPv6相关的MIB，实现网管有据可依SNMPv3的安全特性满足未来网络安全的需要,IPv6下SNMPv3现状,有IPv4下SNMPv3实现(缺少数据加密)还没有IPv6下通用SNMPv3library还不能得到IPv6下支持SNMPv3的设备(v3Agent)IPv6下的socket开发标准已经出台有支持IPv6的操作系统，具备开发环境,主题,背景IPv6协议目标定义实现的方法和策略IPv6下网管的新问题总结和展望,目标定义,建立开发环境实现IPv6环境下通用SNMPv3Library,为开发Manager和Agent打基础实现SNMPv3Manager基本功能集snmpget/getnext/set/walk/bulkwalk,主题,背景IPv6协议目标定义实现的方法和策略IPv6下网管的新问题总结和展望,开发环境,操作系统FreeBSD3.2KAMEIPv6stack其他辅助设备(LinuxIPv6host,IPv6router),技术路线,以RFC2553和RFC2292为基本依据移植UCD-SNMP软件包，使之完全使之支持IPv6和IPv4(通过条件编译选择v4或v6)补充UCD-SNMP软件包中缺乏的安全机制,移植IPv4程序的方法,地址表示IPV4兼容地址区分IPV4/IPV6专用函数具体的策略,地址表示的变化(1),structsockaddr_inu_charsin_len;u_charsin_family;u_shortsin_port;structin_addrin_addr;charsin_zero8;,structsockaddr_in6u_charsin6_len;u_charsin6_family;u_int16_tsin6_port;u_int32_tsin6_flowinfo;structin6_addrsin6_addr;u_int32_tsin6_scope_id;,地址表示的变化(2),structsockaddr_storageu_charsa_len;u_charsa_family;u_charpadding128;,可以方便地与IPv4/v6地址转换，结构内包含地址类型，程序中使用这个结构标识地址,V4兼容地址,64位0,32位v4地址,IPv4向IPv6过渡的地址，同时接收到来自IPV6协议栈和IPV4协议栈的数据服务器端在收到任何包时需要判断源地址，并根据源地址类型的不同作不同的反映,区分IPV4/IPV6专用函数,具体策略,使用条件编译语句可以方便地选择最终运行环境#ifdefIPV6/V6对应程序#else/V4对应程序#endif地址相关的数据定义(IPv4-IPv6)Socket函数的变化,SNMPv3LIbrary,SNMPv3程序结构SNMPv3LibrarySNMPv3安全机制的实现IPv6环境下SNMPv3Library性能测试,SNMPv3程序结构,IPv6,安全,SNMPv3LIbrary,SNMPv3程序结构SNMPv3LibrarySNMPv3安全机制的实现IPv6环境下SNMPv3Library性能测试,SNMPv3数据流图,SNMPv3Library,SNMPAPI-SNMPPDU处理所有与SNMP内容相关的处理(OID,Version.)SNMPv2/v3所特有的参数SESSIONAPI-会话建立、超时重发机制网络连接建立、网络传输SECURITYAPI-加密和认证的实现接收到报文的解密和认证发送出去的报文的加密和签名,SNMPv3Library(SNMPAPI),structsnmp_session*snmp_open(snmp_session*session)intsnmp_close(structsnmp_session*session)intsnmp_send(structsnmp_session*session,structsnmp_pdupdu)voidsnmp_read(fd_set*fdset)intsnmp_select_info(int*numfds,fd_set*fdset,structtimeval*timeout,int*block)voidsnmp_free_pdu(structsnmp_pdu*pdu)snmp_parse()snmp_build(),SNMPv3Library(SESSIONAPI),voidsnmp_sess_init(structsnmp_session*Session)void*snmp_sess_open(structsnmp_session*Session)intsnmp_sess_send(void*Opaque,structsnmp_pdu*PDU)intsnmp_sess_async_send(Opaque,PDU,Callback,Callback-Data)voidsnmp_sess_read(Opaque,fdset)intsnmp_sess_close(Opaque)intsnmp_synch_response(structsnmp_session*ss,structsnmp_pdu*pdu,structsnmp_pdu*response),SNMPv3Library(SECURITYAPI),sc_decrypt()sc_encrypt()sc_generate_keyed_hash()sc_check_keyed_hash(),IPv6环境下SNMPv3Library性能测试(1),理论分析,IPv6环境下SNMPv3Library性能测试(2),测试结果,结论：实验数据与理论分析基本符合，略好于理论分析值，从IPv4到IPv6的迁移并未对性能产生多大影响,主题,背景IPv6协议目标定义实现的方法和策略IPv6下网管的新问题总结和展望,IPv6下网管的新问题,IPv6使用邻居发现代替了ARP功能IPv6的地址自动配置特性对网管的要求密钥管理,邻居发现代替ARP(1),IPv6取消了ARP，通过邻居发现实现网络地址到媒体地址的转换NetToMedia表代替了ARP表若IPv4网管程序使用了ARP表，IPv6环境必须使用NetToMedia表NetToMediaTablemib-2.55.1.12,邻居发现代替ARP(2),Ipv6NetToMediaEntry:=SEQUENCEipv6NetToMediaNetAddressIpv6Address,ipv6NetToMediaPhysAddressPhysAddress,ipv6NetToMediaTypeINTEGER,ipv6IfNetToMediaStateINTEGER,ipv6IfNetToMediaLastUpdatedTimeStamp,ipv6NetToMediaValidTruthValue,IPv6的地址自动配置特性对网管的要求(1),IPv6的地址自动配置特性对网管的要求(2),使用名字还是地址来标识主机动态DNS技术可能引起混乱,密钥管理,SNMP本身的密钥管理SNMPv3USM定义了密钥更新机制双方需要加密密钥和认证密钥IPv6网络的密钥管理目前还没有有效的密钥管理策略，全部手工完成Photuris、SKIP和ISAKMP-OAKLEY协议都提供了密钥分配的策略，标准未确定最终是否提供SNMP方式的密钥管理还不确定,AGENT,如何利用UCD-SNMPAPI扩展MIB,AGENT,MIB对象实现的关键技术怎样获取系统内核有关网络的数据网络信息在内核缓存中的存