基于分层动态地址的 访问控制方案设计 朱晶 刘莉莉 李丹 吴建平 2017年10月26日.

Presentation on theme: "基于分层动态地址的 访问控制方案设计 朱晶 刘莉莉 李丹 吴建平 2017年10月26日."— Presentation transcript:

1 基于分层动态地址的 访问控制方案设计 朱晶 刘莉莉 李丹 吴建平 2017年10月26日

2 背景 非终端的 访问控制 流量本身造成损失：DDOS 终端防御漏洞：蠕虫

3 相关工作 NAT 外界难以主动访问 IPv6部署较少 动态地址 可扩展性不足 应对式访问控制 控制速度/精度存在权衡

4 动态地址 解决可扩展性不足： 使用IPv6地址的主机标识位来标识身份 子网前缀 主机标识 身份地址
Win vista/OSX 10.7默认开启临时IPv6地址 主要目的为取消IP-用户身份的永久绑定，隐藏用户身份 直接应用将面临可能的扩展性问题

5 分层身份地址 A 直接让每个网络节点动态 分配地址会导致ACL膨胀 B C D

6 分层身份地址 身份地址进行分层分配 子节点继承父节点身份地 址 每个节点仅对相邻（子） 节点进行身份验证 C’ B A A A B C’
子节点继承父节点身份地 址 每个节点仅对相邻（子） 节点进行身份验证 A A B C’ B’ A A B C A B D

7 分层身份地址 身份地址分配实例： 身份地址占用空间从后往 前叠加
身份地址占用空间从后往 前叠加 可以根据需要自行配置用 以作为子网主机标识的长 度和继续用于身份标识的 长度 2001:1:0:0:1::1 2001:2:0:1:1::1 2001:2:1:0:1::2:1 2001:2:1:1:1::2:1 3 2 1 2001:2:1:1:2:3:2:1

8 动态地址 每个网络节点可以变动自己的身份地址 A A B B' 初始信息：身份地址+可用空间 占用地址空间+身份地址 回复 新身份地址 回复

9 动态地址 中间交换节点需要双向管理身份地址的动态情况 将自己的身份地址变更告知邻节点 A 启用新地址 B A B’ 回复 B A C B’
通知 回复

10 动态地址 中间交换节点需要双向管理身份地址的动态情况 将父节点身份地址变更告知子节点 A A' 通知 B A A' 回复 B A C A'

11 流量过滤 在接口处设置过滤 接口过滤 ::1002::2:1 ::2001::10:1 ::1001::1:1 ::1002::2:1
::1002::1:1 接口过滤 ::1002::2:1 ::1001::1:1 ::1001::1:1

12 平滑过渡 如何应对IPv6地址发生改变 方法一：双虚拟接口 TCP Phys If If.0 TCP If.1

13 平滑过渡 方法二：套接字迁移 UDP不需要进行迁移 存在时间较短（DNS解析等） 存在应用层连接（RTP等） TCP有成熟的迁移方案
服务器迁移 移动网络迁移

14 总结 IPv6主机标识编址成为身份地址 层级化身份地址继承/验证 动态可变的身份地址 流量过滤的实现方式 兼容性上的考虑

15 结束 请各位点评