基于分层动态地址的 访问控制方案设计 朱晶 刘莉莉 李丹 吴建平 2017年10月26日.

Slides:



Advertisements
Similar presentations
CERNET2宁波节点 汇报 提 纲 CERNET2宁波 节 点建 设 背景 CERNET2宁波 节 点建 设 目的 CERNET2宁波 节 点的 设计规划 CERNET2宁波 节 点建 设进 展 节 点所提供的服 务 、 应 用及 研 究。
Advertisements

晏宏斌工程师 2014 年 9 月 “ 宽带网络校校通 ” 校园网建设要点和基础维护方法. – 中小学校园网络建设要点 – 常见网络故障处理基本方法 目 录目 录.
高级服务器设计和实现 1 —— 基础与进阶 余锋
當我已老 謹以此文獻給像我一樣流浪在外的子女們.
计算机网络 张福燕 (北京市育才学校通州分校).
基于下一代网络的大规模媒体服务 主讲人 邢卫 2006年5月26日.
2015年12月14日-2015年12月20日 缩略版.
指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
用于Windows Server迁移的Dell ChangeBASE
第1章_物联网导论 内容回顾 重点掌握 本章讨论了物联网的起源与发展,核心技术,主要特点以及应用前景。
普通话与说话训练 第六章 会话的艺术.
“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.
《计算机网络技术》 课程整体设计介绍.
本著作除另有註明外,採取創用CC「姓名標示-非商業性-相同方式分享」台灣3.0版授權釋出
第10章 局域网与Internet互联 RCNA_T010.
2.3 网络域名及其管理.
项目6.1:计算机网络基础 项目描述 能力目标 应用网络可以工作、学习,网络影响着我们的生活,了解网络知识、培养信息技术的水平和能力是工作和生活的需要。 通过对概念的理解,培养信息分析、辨别能力, 学会使用信息技术工作、学习。
串口服务器典型应用 RS232/RS485串口设备 串口服务器 A 以太网 TCP/IP或UDP模式 TCP/IP UDP协议
项目四 组建跨地区网络 授课教师:肖颖.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
VOLANS认证培训 ——DNS域名解析.
社会工作概论 个案工作 课程培训 深圳电大 赖小乐.
大 纲 一、备案系统数据迁移方案 二、备案系统过程数据处理方案 三、备案系统内存量数据核验方案 四、新备案系统信息真实性核验方案※
前言.
中青国信科技(北京)有限公司 空间域名邮局价格表.
网络地址转换(NAT) 及其实现.
第 9 章: 对 IP 网络划分子网 网络简介 第 9 章:对 IP 网络划分子网 Cisco Networking Academy 计划
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
IPV6 DHCP Server 建置 陳家祿 楊世偉.
本 章 重 點 18-1 Internet的由來與對生活的影響 18-2 Internet的服務與相關名詞簡介 18-3 IP位址表示法
TCP和UDP基本原理.
IPv6 地址空间.
網路服務 家庭和小型企業網路 – 第六章.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
基 礎 網 路 管 理 台東大學電算中心 郭俊賢 技術師.
从现在做起 彻底改变你自己 Sanjay Mirchandani EMC公司高级副总裁、首席信息官.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
P2P简介 网络模式 C/S 模式 B/S 模式 P2P(peer to peer) FTP,POP3,SMTP HTTP
华为—E8372h- 155 外观设计 产品类型:数据卡 建议零售价格:299元 上市时间:2017年6月7日 目标人群:大众
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
第4章 OSI傳輸層.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第12章 远程访问、NAT技术.
劉大川1、陳一瑋2、 陳昌盛1 、林盈達1,2 1交通大學 計算機與網路中心 2交通大學網路測試中心 2008/10/20
逆向工程-汇编语言
IPsec封装安全有效载荷.
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
手提電話與我們日常生活的關係 六年級專題研習報告 班別:6A 姓名:林芷晴 日期:2007年12月19日
SOA – Experiment 2: Query Classification Web Service
網路安全管理 期末報告 A 許之青 24/04/2019.
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
臺灣學術網路(TANet) IPv6 推動進度統計
山西大学上网方式说明及常见问题解决方式 山大网络中心
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
目次检索 打印 下载 文字摘录 更换背景 多窗口阅读.
数据报分片.
谢聪.
IPv6环境下个性化网络学习系统 设计及实现 作者:和珍珍、张晖、李波、王祎珺.
第10讲 Web服务.
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
第四代教育城域网解决方案 锐捷网络解决方案部 曲景洋.
Presentation transcript:

基于分层动态地址的 访问控制方案设计 朱晶 刘莉莉 李丹 吴建平 2017年10月26日

背景 非终端的 访问控制 流量本身造成损失:DDOS 终端防御漏洞:蠕虫

相关工作 NAT 外界难以主动访问 IPv6部署较少 动态地址 可扩展性不足 应对式访问控制 控制速度/精度存在权衡

动态地址 解决可扩展性不足: 使用IPv6地址的主机标识位来标识身份 子网前缀 主机标识 身份地址 Win vista/OSX 10.7默认开启临时IPv6地址 主要目的为取消IP-用户身份的永久绑定,隐藏用户身份 直接应用将面临可能的扩展性问题

分层身份地址 A 直接让每个网络节点动态 分配地址会导致ACL膨胀 B C D

分层身份地址 身份地址进行分层分配 子节点继承父节点身份地 址 每个节点仅对相邻(子) 节点进行身份验证 C’ B A A A B C’ 子节点继承父节点身份地 址 每个节点仅对相邻(子) 节点进行身份验证 A A B C’ B’ A A B C A B D

分层身份地址 身份地址分配实例: 身份地址占用空间从后往 前叠加 身份地址占用空间从后往 前叠加 可以根据需要自行配置用 以作为子网主机标识的长 度和继续用于身份标识的 长度 2001:1:0:0:1::1 2001:2:0:1:1::1 2001:2:1:0:1::2:1 2001:2:1:1:1::2:1 3 2 1 2001:2:1:1:2:3:2:1

动态地址 每个网络节点可以变动自己的身份地址 A A B B' 初始信息:身份地址+可用空间 占用地址空间+身份地址 回复 新身份地址 回复

动态地址 中间交换节点需要双向管理身份地址的动态情况 将自己的身份地址变更告知邻节点 A 启用新地址 B A B’ 回复 B A C B’ 通知 回复

动态地址 中间交换节点需要双向管理身份地址的动态情况 将父节点身份地址变更告知子节点 A A' 通知 B A A' 回复 B A C A'

流量过滤 在接口处设置过滤 接口过滤 ::1002::2:1 ::2001::10:1 ::1001::1:1 ::1002::2:1 ::1002::1:1 接口过滤 ::1002::2:1 ::1001::1:1 ::1001::1:1

平滑过渡 如何应对IPv6地址发生改变 方法一:双虚拟接口 TCP Phys If If.0 TCP If.1

平滑过渡 方法二:套接字迁移 UDP不需要进行迁移 存在时间较短(DNS解析等) 存在应用层连接(RTP等) TCP有成熟的迁移方案 服务器迁移 移动网络迁移

总结 IPv6主机标识编址成为身份地址 层级化身份地址继承/验证 动态可变的身份地址 流量过滤的实现方式 兼容性上的考虑

结束 请各位点评