《基于分层动态地址的访问控制方案设计》由会员分享,可在线阅读,更多相关《基于分层动态地址的访问控制方案设计(15页珍藏版)》请在金锄头文库上搜索。
1、基于分层动态地址的访问控制方案设计 朱晶 刘莉莉 李丹 吴建平2017年10月26日背景流量本身造成损失:DDOS访问控制非终端的终端防御漏洞:蠕虫相关工作NAT外界难以主动访问IPv6部署较少应对式访问控制控制速度/精度存在权衡动态地址可扩展性不足动态地址解决可扩展性不足:使用IPv6地址的主机标识位来标识身份子网前缀主机标识身份地址Win vista/OSX 10.7默认开启临时IPv6地址主要目的为取消IP-用户身份的永久绑定,隐藏用户身份直接应用将面临可能的扩展性问题分层身份地址直接让每个网络节点动态分配地址会导致ACL膨胀ABCD分层身份地址 身份地址进行分层分配 子节点继承父节点身
2、份地址 每个节点仅对相邻(子)节点进行身份验证AABABCABDCBACBA分层身份地址身份地址分配实例: 身份地址占用空间从后往前叠加 可以根据需要自行配置用以作为子网主机标识的长度和继续用于身份标识的长度2001:1:0:0:1:12001:2:0:1:1:12001:2:1:0:1:2:12001:2:1:1:1:2:12001:2:1:1:2:3:2:1321动态地址 每个网络节点可以变动自己的身份地址初始信息:身份地址+可用空间占用地址空间+身份地址AAB回复B新身份地址回复动态地址 中间交换节点需要双向管理身份地址的动态情况 将自己的身份地址变更告知邻节点启用新地址回复通知回复AB
3、ABACBB动态地址 中间交换节点需要双向管理身份地址的动态情况 将父节点身份地址变更告知子节点通知回复通知回复ABABACAAA流量过滤在接口处设置过滤:2001:10:1:1002:2:1:1001:1:1接口过滤:1002:2:1:1001:1:1:1002:2:1:1002:1:1平滑过渡 如何应对IPv6地址发生改变 方法一:双虚拟接口TCPTCPIf.0If.1Phys If平滑过渡 方法二:套接字迁移1.UDP不需要进行迁移存在时间较短(DNS解析等)存在应用层连接(RTP等)2.TCP有成熟的迁移方案移动网络迁移服务器迁移总结 IPv6主机标识编址成为身份地址 层级化身份地址继承/验证 动态可变的身份地址 流量过滤的实现方式 兼容性上的考虑结束 请各位点评