技术报告-基于分层动态地址的访问控制系统方案设计.ppt
《技术报告-基于分层动态地址的访问控制系统方案设计.ppt》由会员分享,可在线阅读,更多相关《技术报告-基于分层动态地址的访问控制系统方案设计.ppt(15页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、基于分层动态地址的访问控制方案设计,朱晶 刘莉莉 李丹 吴建平2017年10月26日,背景,流量本身造成损失:DDOS,访问控制,非终端的,终端防御漏洞:蠕虫,相关工作,NAT外界难以主动访问IPv6部署较少,应对式访问控制控制速度/精度存在权衡,动态地址可扩展性不足,动态地址,解决可扩展性不足:使用IPv6地址的主机标识位来标识身份,身份地址,Win vista/OSX 10.7默认开启临时IPv6地址主要目的为取消IP-用户身份的永久绑定,隐藏用户身份直接应用将面临可能的扩展性问题,分层身份地址,直接让每个网络节点动态分配地址会导致ACL膨胀,A,B,C,D,分层身份地址,身份地址进行分层
2、分配子节点继承父节点身份地址每个节点仅对相邻(子)节点进行身份验证,A,分层身份地址,身份地址分配实例:身份地址占用空间从后往前叠加可以根据需要自行配置用以作为子网主机标识的长度和继续用于身份标识的长度,2001:1:0:0:1:1,2001:2:0:1:1:1,2001:2:1:0:1:2:1,2001:2:1:1:1:2:1,2001:2:1:1:2:3:2:1,动态地址,每个网络节点可以变动自己的身份地址,初始信息:身份地址+可用空间,占用地址空间+身份地址,B,回复,B,新身份地址,回复,动态地址,中间交换节点需要双向管理身份地址的动态情况将自己的身份地址变更告知邻节点,启用新地址,回
3、复,通知,回复,B,B,动态地址,中间交换节点需要双向管理身份地址的动态情况将父节点身份地址变更告知子节点,通知,回复,通知,回复,A,A,A,流量过滤,在接口处设置过滤,:2001:10:1,:1002:2:1,:1001:1:1,:1002:2:1,:1002:1:1,平滑过渡,如何应对IPv6地址发生改变方法一:双虚拟接口,TCP,TCP,If.0,If.1,Phys If,平滑过渡,方法二:套接字迁移UDP不需要进行迁移存在时间较短(DNS解析等)存在应用层连接(RTP等)TCP有成熟的迁移方案,移动网络迁移,服务器迁移,总结,IPv6主机标识编址成为身份地址层级化身份地址继承/验证动态可变的身份地址流量过滤的实现方式兼容性上的考虑,结束,请各位点评,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 技术 报告 讲演 呈文 基于 分层 动态 地址 访问 走访 控制系统 方案设计
限制150内