2018年基于IPv6地址測量的下一代互聯網管控系統.pdf

《2018年基于IPv6地址測量的下一代互聯網管控系統.pdf》由會員分享，可在線閱讀，更多相關《2018年基于IPv6地址測量的下一代互聯網管控系統.pdf（43頁珍藏版）》請在三個皮匠報告上搜索。

1、基于IPv6地址測量的下一代互聯網管控系統目錄底層數據采集多端口分流系統流量閥值與時間分段IPV6前綴壓縮與流量聚合底層數據采集接入網業務控制方法主干網流量IP層分析下一代互聯網管控系統目錄接入網業務控制方法支持IPV4環境下可擴展IPV6接入的業務控制方法純IPV6環境下IPV4到IPV6過渡雙棧接入控制支持IPV6多地址接入的業務控制方法底層數據采集接入網業務控制方法主干網流量IP層分析下一代互聯網管控系統目錄主干網流量IP層分析互聯口基于標識的流量IP統計分析系統基于多節點流量數據去重的大流量獨立IP分析底層數據采集接入網業務控制方法主干網流量IP層分析下一代互聯網管控系統目錄下一代互聯

2、網管控系統根據IP地址追溯用戶身份主流PC和移動認證客戶端有線和無線實名制關防底層數據采集接入網業務控制方法主干網流量IP層分析下一代互聯網管控系統底層數據采集多端口分流系統-預處理刀片自動切換流量閥值-IP地址對之間的流量采集IPV6前綴壓縮及流量聚合底層數據采集多端口分流系統多端口流量采集自動切換的分流系統，將流量處理劃分為“采集態”和“需求態”?！安杉瘧B”表示流量處理服務器可以接受任何數據流“需求態”表示流量處理服務器能夠且只能夠接受符合當前分流規則的數據流，比如：固定IP地址段流量采集；某個時間段流量采集等。自動切換體現在分流系統可以根據當前流量情況，自動在“采集態”和“需求態”來回切

3、換，提高采集性能減少采集丟包。底層數據采集多端口分流系統底層分流實現方案包括：cisco路由器+OVS交換機+SDN交換機。在二三設備上定制分流策略，實現方法包括自主研發的策略程序，及標準的分流配置方法。底層數據采集OVS+SDN交換機底層數據采集OVS配置說明底層數據采集OVS配置說明底層數據采集和分析流量閥值與時間分段流量異常自動預警，用于對每天整體流量波動超過范圍做預警并加入到采集列表。所述范圍為管理員設定，預警方式為郵件通知。白名單自動管理，用于白名單內容系統自動添加和刪除。其中添加功能，在數據流量過濾過程中，當有新的ip地址對的流量超過閥值的時候，把此條記錄當做新記錄加入白名單。其中

4、刪除功能，在記錄相關流量最后一次超過閥值的時間到現在的時間差超過系統設定的存儲時間的時候，系統會自動刪除白名單。底層數據采集和分析流量閥值與時間分段底層數據采集和分析IPV6前綴壓縮及流量聚合判斷IPv6 地址的網絡前綴的長度是否為 128 比特。如果是，則將 IPv6 地址存儲在第一存儲區域中；否則，將IPv6 地址存儲在第二存儲區域中。其中，將IPv6地址存儲在第一存儲區域中的步驟包括：對IPv6地址進行散列運算并存儲到第一存儲區域中，第一存儲區域具有由散列結構和紅黑樹 rbtree 結構形成的混合結構。第二存儲區域具有變步長多分支 trie樹結構。底層數據采集和分析IPV6前綴壓縮及流量

5、聚合在主節點（網關節點）添加部署IPV6流量聚合系統，根據IPV6地址的8個字段構建流量存儲樹。接入網業務控制方法支持IPV4環境下可擴展IPV6接入的業務控制方法純IPV6環境下IPV4到IPV6過渡雙棧接入控制支持IPV6多地址接入的業務控制方法接入網業務控制與管控支持IPV4環境下可擴展IPV6接入的業務控制方法可擴展當用戶向 NAS 網關請求接入時，NAS網關將用戶的標識信息以 RADIUS 協議的形式發送給 RADIUS服務器進行身份驗證；當 RADIUS服務器根據RADIUS授權數據庫中所存儲的信息，驗證用戶身份成功時，將與用戶的接入服務類型相對應的Configuration-To

6、ken屬性值以RADIUS協議的形式返回給 NAS 網關；NAS 網關根據 RADIUS 服務器返回的 Configuration-Token 屬性值，決定是否為此用戶開放IPv6服務。接入網業務控制與管控支持IPV4環境下可擴展IPV6接入的業務控制方法可擴展接入網業務控制與管控純IPV6環境下IPV4/IPV6接入控制場景CERID本地用戶CERID漫游用戶場景2場景3場景1場景2-跳轉到校園網場景4場景4中央WebPortal服務器中央SOA綠色通道服務器本地WebPortal服務器本地網關SOA服務器場景4本地接入控制網關場景1場景2場景4非CERID用戶本地已有WebPortal服務

7、器本地CERIDAAA服務器場景5本地網關SOA服務器場景5場景5場景1場景2本地已有AAA服務器場景5802.1X接入交換機含（Web1X認證頁面）場景6場景6接入網業務控制與管控純IPV6環境下IPV4/IPV6雙棧接入控制接收來自中央登錄服務器的、請求聯網的漫游用戶的全網唯一身份標識和該漫游用戶使用的客戶端的IP地址；根據客戶端的IP地址，利用地址匹配算法，確定該 IP 地址的所屬地區；根據 IP 地址所屬地區，獲得所屬地區的可用本地自由賬號，并將所獲得的可用本地自由賬號分配給漫游用戶，所述本地自由賬號是 IP 地址所屬地區中分配的可供漫游用戶使用的、能夠通過本地網關接入主干網的用戶資源

8、。接入網業務控制與管控純IPV6環境下IPV4/IPV6雙棧過渡接入控制接入控制網關典型部署場景：接入網業務控制與管控支持IPV6多地址接入的業務控制由于IPv6地址生成方式的多樣性，往往一臺機器會擁有多個不同的IPv6地址，而在RADIUS協議中，并沒有提供對IPv6多地址接入的支持。而且，在現有技術中，尚不存在對具有多個不同的IPv6地址的接入請求進行接入控制的機制，最新的RFC協議文檔中也只提供了對單 IPv6 接入的理論支持。因此，通過對 RADIUS 協議進行擴展，實現了 IPv6 多地址接入。接入網業務控制與管控支持IPV6多地址接入的業務控制在接入控制網關處，接收包含用戶信息和多

9、個 IPv6 地址的接入請求，通過將多個 IPv6地址進行拼接而形成 RADIUS 認證請求，并將該 RADIUS 認證請求發送至 RADIUS 認證服務器；以及在 RADIUS認證服務器處，接收并解析 RADIUS 認證請求以獲得 RADIUS 認證請求中包含的多個IPv6地址，對用戶信息和每一個IPv6地址進行認證和授權，并向接入控制網關返回 RADIUS 認證結果。如果 RADIUS 認證結果指示用戶信息認證通過，則接入控制網關根據RADIUS 認證結果為多個 IPv6 地址開通相應的訪問權限。將多個 IPv6 地址拼接后保存在 RADIUS 認證請求的 Called-Station-I

10、d屬性字段中。RADIUS 協議利用 FreeRadius 庫來實現。接入網業務控制與管控支持IPV6多地址接入的業務控制另一個方面，提供了一種支持 IPv6 多地址接入的接入控制網關，包括：地址拼接單元，被配置為：接收包含用戶信息和多個IPv6地址的接入請求，通過將多個IPv6地址進行拼接而形成RADIUS認證請求，并將該RADIUS認證請求發送至RADIUS認證服務器；以及結果處理單元，被配置為：接收并處理來自RADIUS認證服務器的RADIUS認證結果。接入網業務控制與管控支持IPV6多地址接入的業務控制部署流程圖主干網大流量IP層分析互聯口基于標識的流量IP統計分析基于多節點流量數據去

11、重的大流量獨立IP分析主干網大流量IP層分析基于標識的流量統計分析系統成功展示-繞圈流量：主干網大流量IP層分析基于標識的流量統計分析-地址對主干網大流量IP層分析基于標識的流量統計分析-地址塊主干網大流量IP層分析基于標識的流量統計分析-地址下鉆主干網大流量IP層分析基于標識的流量統計分析-URL主干網大流量IP層分析基于多節點流量數據去重的大流量獨立IP分析-子域名下鉆主干網大流量IP層分析基于多節點流量數據去重的大流量獨立IP分析-域名IP下鉆主干網大流量IP層分析基于多節點流量數據去重的大流量獨立IP分析-解析IP下鉆下一代互聯網管控系統根據IP地址追溯用戶身份主流PC和移動認證客戶端

12、有線和無線網絡實名制關防下一代互聯網管控系統根據IP地址追溯用戶身份SAVI及IPv6身份認證技術實現了無線場景下的源地址認證，提升了SAVI的可用性，增加了對主機移動場景的支持，提升了SAVI的靈活性，增加了用戶身份與真實源地址的綁定，提升了網絡行為的可溯源性。域內源地址驗證技術統一了網絡設備的安全管控接口、可優化過濾計算，提升了管控的效率，加強了對網絡動態性的感知，提升了源地址驗證的準確性。域間源地址驗證技術增加了對偽造流量的實時監控，提升了域間管控的可控性。增加了地址前綴的細粒度保護，提升了域間管控的靈活性。下一代互聯網管控系統根據IP地址追溯用戶身份典型部署方式：CNGI-CERNET

13、2非非SAVI子網子網域內域內源地址驗證源地址驗證SAVI子網子網路由器路由器接入子網接入子網源地址驗證源地址驗證校園網校園網校園網真實地址校園網真實地址驗證管理系統驗證管理系統路由器路由器數數據據庫庫域內域內SAVASAVICNGI-CERNET2非非SAVI子網子網域內域內源地址驗證源地址驗證SAVI子網子網出口路由器出口路由器路由器路由器接入子網接入子網源地址驗證源地址驗證校園網校園網A A校園網真實地址校園網真實地址驗證管理系統驗證管理系統路由器路由器數數據據庫庫域內域內SAVASAVI校園網校園網出口路由器出口路由器校園網校園網B B域內域內源地址驗證源地址驗證域間域間SAVA域間域間源地址驗證源地址驗證域間域間SAVA下一代互聯網管控系統WINDOWS、LINUX和MASOS和EID聯網客戶端下一代互聯網管控系統實名制關防總體架構與示意圖校園網校園網黑白名單DPI技術省節點省節點核心節點地址分配與網站報備Eduroam6+用戶實名制學術專網客戶端GFW校園網準入準出288技術網絡實名制控制學術專網服務端支持IPv6訪問的Web站點目錄服務IP發展態勢監測系統電商平臺提供IPv6升級改造服務謝 謝！