胡晓伟[1]2006年在《基于网络处理器的NAT-PT系统的设计与实现》文中进行了进一步梳理IPv6是IP协议的新版本,被设计用来代替IPv4。IPv6与IPv4相比有很多的优点,这些优点将会允许未来因特网的增长并且将简化IP的配置和管理。IPv6比IPv4有更大的地址空间,IPv6的地址模型可以大幅的加强路由聚合并且有强大的自动配置机制。随着因特网的增长和即插即用解决方案的需求必将导致IPv6被广泛的应用。在IPv6逐渐替代IPv4的过程中将有一个很长的过渡阶段,在IPv6的网络流行于全球之前,总是有一些网络首先使用IPv6协议栈并希望能够与当前的Internet正常通信。为达到这一目的,必须开发出IPv4/IPv6互通技术以保证IPv4能够平稳过渡到IPv6,所以该过渡阶段中需要一个强大而有柔性的IPv4到IPv6的转换和共存机制。 随着Internet链路速率的指数性增长,出现了大量的新协议和新服务,而传统的基于通用处理器的纯软件网络设备解决方案或者基于ASIC(Application Specific Integration Circuit,专用集成电路)的设备解决方案很难兼顾速度与灵活胜。因此,一种基于ASIP(Application Specific Instruction Processor,专用指令处理器)技术的网络处理器得到了迅速发展。它兼具ASIC的高性能和RISC通用CPU的可编程灵活性,并有低成本和低风险的优势。 当前国内外有多家研究机构和应用厂商在进行IPv4/IPv6协议与地址转换的研究,但是大多是基于通用处理器的解决方案,其性能相当有限,很难应用于大吞吐量的骨干网中。而基于网络处理器的解决方案则还处于研究中,目前全球只有有限的一些研究成果,更还没有商品化的产品。 本论文的主要内容是设计并实现一种基于网络处理器的IPv4/IPv6协议与地址转换系统。本课题所研究实现的网络协议转换机制(NAT-PT)就是一种标准的(RFC2766)能使IPv4节点与IPv6节点间实现透明通讯的共存机制解决方案。文章重点介绍NAT-PT协议与地址转换系统的解决方案及在Intel IXP2400网络处理器上的详细实现过程。经过测试,该系统能够实现在线速下的IPv4网络和IPv6网络的透明互通和正确转换,可以作为IPv6/IPv4网络的高性能互通解决方案应用于骨干网上。
徐远翔[2]2012年在《基于Octeon多核处理器的NAT协议研究与实现》文中指出随着互联网的迅猛发展以及互联网与通信网的深度融合,互联网、移动互联网的用户数量呈几何级数增长,使得IPv4地址严重数量不足。为了解决这个问题,出现了许多解决方案,网络地址转换(NetworkAddress Translation,简称NAT)技术是较为突出的一种解决方案。Octeon网络处理器是Cavium公司针对市场需求推出的新一代网络多核处理器产品,如今被广泛使用在各种网络设备中,其中许多设备如路由器、防火墙、无线接入控制器等都对NAT功能有需求。然而当网络设备开启NAT功能时,设备的整体性能会受到较大影响。这是一个在实际应用中必须解决的问题,本文既然是研究在OCETON芯片中的实现NAT协议的,就不能不对这个问题进行研究。本文首先介绍了NAT协议的研究现状,指出了在具有NAT功能的网络产品中存在的性能问题。接着,研究了NAT协议的原理和NAT的分类,研究了Octeon多核网络处理器的硬件架构、包处理流程、软件架构和运行模式。然后,在研究的基础上提出了数据面和控制面分离的软件架构,提出了一种基于OCTEON芯片、采用简单执行程序模式运行数据面、采用Linux模式运行控制面的NAT协议实现方案,并对该设计方案进行了详细设计、软件编程和系统实现。最后,对实现的NAT系统进行了功能测试和性能对比测试,测试结果表明,本文所设计的NAT系统具有较好的性能、较强的实用性。本文还对未来如何进一步开展NAT系统研究提出了建议。
曹继军[3]2004年在《基于网络处理器的NAT协议研究与实现》文中研究指明随着Internet的日益普及和飞速发展,上网已经成为一种流行趋势,连入Internet的局域网数量日益增长,造成目前Internet IP地址严重短缺,不可能为每一台访问Internet的网络工作站分配一个全球唯一的IP全局地址。为了解决这个问题,出现了许多解决方案,网络地址转换(Network Address Translation,简称NAT)技术是较为突出的一种解决方案,同时它也是一项重要的网络安全技术。然而纯软件NAT严重影响了路由器报文转发速度,成为路由器性能的瓶颈。为了进一步提高路由器性能,本文对基于网络处理器(Network Processor,简称NP)的路由器实现NAT协议的关键技术进行了研究。 本文首先探讨了NAT协议的优缺点、NAT协议的实现现状;接着研究了NAT协议的原理,深入地分析了NAT协议在各种应用场景下地址转换处理流程;在此基础上,结合NP开发平台,重点研究了基于NP的NAT软件结构和实现NAT协议的一些关键技术,并实现了一个基本的NAT协议。经过实际测试,本软件在百兆以太网接口环境下能够线速(wirespeed)处理报文。最后,本文对基于NP的NAT实现进行了理论上的性能评价,还针对下一步扩展应用中的关键技术作了分析和设计。
陈琪[4]2016年在《多核NAT应用模型的研究与实现》文中指出随着信息技术的飞速发展,在给亿万用户带来便利的同时,自身却面临一个致命的问题:基于IPv4协议的地址空间已经濒临枯竭。尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用是基于IPv4的,因此在IPv6广泛应用之前,网络地址转换(Network Address Translation,NAT)是解决这个问题最主要的技术手段。NAT的出现使网络终端的数量呈加速上升趋势,因此对NAT技术的研究具有重要应用价值。某公司基于降低产品硬件成本、提高产品市场竞争力的要求,需在某系列高端路由器上新研发一款成本较低的接口板。论文涉及的是接口板上NAT驱动模块的新开发,该接口板支持NAT业务功能,并获得高性能的NAT实现方案。本文在研究NAT协议和路由器的基础上,针对公司某系列高端路由器架构特点和Comware V7平台,提出了基于多核CPU实现的分布式NAT方案。本文设计的NAT模型由硬件和软件共同实现。在硬件上,该方案采用有网络处理器(Network Processor,NP)芯片和一个处理能力强的多核CPU扣卡的NP板实现NAT数据业务。软件上,实现报文的重定向等处理,保证上送正确的报文和信息到Comware V7平台。最后,基于NAT测试策略,对多核NAT应用模型进行测试。实验结果表明,NAT方案可行,性能达到预期的效果,并在常用的电子政务网和学校教育网的上网解决方案案例中得到应用。
李燕[5]2006年在《基于网络处理器的千兆防火墙中NAT的设计与实现》文中进行了进一步梳理随着互联网的飞速发展和网络犯罪案件的急剧上升,网络安全已经作为一个非常严峻的问题摆在了人们面前,受到了越来越多的关注与重视。本文介绍了作者在研究生学习期间就网络安全方面所做的研发工作,主要包括两部分内容,分别是:基于网络处理器的千兆防火墙中NAT子系统的设计与实现;无线局域网监测设备中系统控制与管理功能的设计与实现。在每个部分中,首先介绍课题的相关理论,然后阐述本人对课题的研究和实现。 本论文第一章到第四章将主要讲述NAT技术及其在基于Intel网络处理器IXP2400的千兆包过滤防火墙中的设计与实现,第五章讲述我在无线局域网监测设备项目中所做的一些工作。具体内容如下: 第一章介绍了网络处理器的相关知识,着重讲述了英特尔公司的IXP2400网络处理器的体系结构及IXA软件框架。 第二章简要介绍了防火墙技术,包括防火墙的概念、分类及其关键技术。 第叁章介绍了基于Intel网络处理器IXP2400的千兆包过滤防火墙的总体设计方案,实现的功能及功能模块的划分。 第四章详细阐述了网络地址转换(NAT)子系统的设计方案、具体实现、测试结果和经验体会。 第五章介绍了无线局域网和Windows Sockets网络编程的相关知识,重点讲述无线局域网监测设备中系统控制与管理子系统的详细设计与实现。
李烨[6]2006年在《基于IXP2400网络处理器的包过滤防火墙的设计与实现》文中进行了进一步梳理随着网络应用的不断发展,网络需求的不断增加,千兆防火墙成为目前网络安全领域的一个热点。网络处理器作为专门为网络应用领域设计的一种高性能的可编程设备,能够同时提供强大的性能和很高的灵活性,是开发千兆防火墙的更好的选择。 本论文研究的内容是应用网络处理器IXP2400设计与实现新一代的高性能千兆线速防火墙。论文重点探讨如何充分利用IXP2400网络处理器的特点来提高防火墙的各种性能指标,关注微引擎的利用开发,研究多处理器多线程并行相关的问题,在保证性能的前提下在其多处理器结构上更好的实现防火墙功能。在千兆防火墙的具体实现上,最主要的工作是微引擎上的编程开发,在Intel IXA SDK提供的源码的基础上进行修改和连接,实现防火墙各微引擎功能模块并添加静态包过滤、动态包过滤、NAT等功能,使系统能够在千兆网络环境下线速转发所有数据包。 论文的研究内容如下: ·分析Intel IXP2400网络处理器的软硬环境,着重阐述Intel IXP2400的并行处理问题。 ·对计划开发的防火墙进行总体设计,主要是在微引擎上的开发,初步实现防火墙各微引擎功能,使系统能够在千兆网络环境下线速转发所有数据包。 ·对防火墙的性能进行试验测试,由结果说明基于IXP2400网络处理器的防火墙的技术优势。
薛立功[7]2003年在《基于IPSec的VPN网关研究与实现》文中指出Internet的发展和宽带业务的增长,使企业、政府利用Internet这个公用平台不受区域限制地建立自己的私有网络成为可能。然而这种廉价便捷的组网方案同时也带来了安全性的问题。如何保证私密数据在公用网络上安全传输同时兼顾效率就是本文研究的重点。 本文研究了目前广泛使用的一种VPN方案——IPSec协议体系。根据IPSec协议的自身特点,结合当前对网络处理业务支持的硬件特征,初步设计了一种基于网络处理器的嵌入式高速VPN网关硬件体系结构和软件系统。并对已经实现的原型系统做了系统测试和数据分析。测试表明,本文设计的软件系统工作正常。测试数据分析得出运用IPSec协议的VPN网关系统的瓶颈所在。为我们的硬件平台的完善提供了参考。 NAT有效的解决了目前IPv4地址的短缺问题,而IPSec协议为网络数据传输提供了高质量的安全保护。NAT和IPSec协议在各自领域内都有着不可或缺的重要性,而且越来越多的应用模式要求将这两种技术结合使用。但是由于协议设计之初并没有充分考虑到这一结合趋势,NAT与IPSec的结合应用特别是当IPSec数据流传输路径中需要完成NAT转换时存在这严重的兼容性问题,二者无法良好地协同工作。针对IPSec和NAT协议的兼容性问题,本文也作了深入研究并提出一种全新的解决方案——隧道NAT。隧道NAT不需要对现有IPSec体系做任何改动,只需要在NAT网关扩充功能,就能与IPSec协议良好兼容。
祁利涛[8]2006年在《无线局域网(802.11b)监测系统驱动程序设计和实现及若干技术研究》文中研究指明无线局域网是计算机网络与无线通信技术相结合的产物,网络处理器是下一代网络的关键技术。本文介绍了作者在研究生学习期间就无线局域网监测系统和Intel网络处理器所做的研发工作,主要包括两个部分的内容,分别是:无线局域网(802.11b)监测系统驱动程序设计和实现,基于IXP2400的防火墙中网络地址转换子系统的设计和实现。全文也是按照这两部分内容组织安排的,这两部分内容介绍如下: 第一部分无线局域网(802.11b)监测系统驱动程序设计和实现,首先介绍了课题背景、无线局域网和802.11b协议等基本理论,然后介绍了本监测系统框架结构和驱动程序功能,接着分别阐述了驱动程序在Windows系统和Linux系统下不同类型的驱动程序开发过程和功能实现。 在此部分中,本人主要完成如下工作: 针对Windows操作系统中网络驱动接口规范NDIS体系特点,开发完成基于网络驱动接口规范NDIS的协议层驱动程序,可以实现用于本项目的Linksys公司的无线网卡和接入点(AP)数据包的正确采集,在上层模块的工作下,能实现文件的重组和显示。并进一步研究了Miniport驱动程序的设计。 基于Linux操作系统开放源代码的特点,利用netfilter框架,在本网卡设备的部分固件(firmware)代码和Linux内核修改的基础上,实现了针对本无线网卡的802.11b数据包的捕获。 第二部分基于IXP2400的防火墙中网络地址转换子系统的设计和实现,首先介绍了网络处理器基础理论和防火墙关键技术,然后详细阐述了基于网络处理器的防火墙中网络地址转换(NAT)子系统的软件设计与实现。 在此部分中本人主要学习了网络处理器、防火墙系统和网络地址转换(NAT)理论知识,掌握了intel公司的IXP2400网络处理器的操作和软件开发过程,参入并完成了网络地址转换(NAT)子系统的框架设计和多个数据表的功能实现。
刘刚[9]2004年在《基于网络处理器的千兆防火墙设计与实现》文中进行了进一步梳理目前,互联网的速率在飞速增长,宽带网络静悄悄地走进千家万户,人们在享受网络带来的便利性的同时,也面临着黑客入侵、网络病毒等诸多安全性问题。面对日益增长的网络安全需求和令人堪忧的安全现状,防火墙产品成为当前研究热点。 本文的核心是设计和实现基于IXP1200网络处理器(Network Processor,NP)的千兆硬件防火墙,在开发过程中,解决了多层体系结构、防火墙工作模式、微引擎分配、攻击防范策略、图形用户界面等多方面的问题,在今后网络处理器应用的推广和防火墙产品开发方面都提出了独特的见解。 传统的防火墙一般采用专用硬件芯片或者基于纯粹的软件方案,很难兼顾性能与灵活性两方面的要求。NP是用于实现报文处理、协议分析、路由、语音数据集成和QoS等通信工作的可编程硬件。它综合两者优点,摒弃它们的不足,提出了全新的软硬件联合解决方案。基于NP来设计网络设备符合中国国情。 Intel公司推出了一系列并行可编程的网络处理器IXP425、IXP1200、IXP2400和IXP2800,其中IXP1200是面向企业网络设备的入门级NP芯片,它具有一个通用处理器和六个微引擎,非常适合IP宽带网接入设备,是千兆防火墙核心处理器的理想选择。 本文从网络安全现状及NP应用角度出发,介绍了Intel网络处理器硬件和软件开发平台,设计了防火墙多层并行结构、剖析了防火墙基本工作模式,实现了TCP中继、ARP代理透明模式、WebUI防火墙控制界面等关键模块,并通过叁个性能对比实验,确定了最佳微引擎分配方式,最后完成了NetChannel5000系列防火墙的研制工作,并展望了未来的发展方向。 本论文的创新点体现在如下叁个方面: ·提出了基于NP的TCP中继方法,在保证吞吐率的前提下避免内网遭受恶意SYN攻击。基于网络处理器的千兆防火墙设计与实现摘要通过微引擎分配的叁个实验,提出了优于参考设计的微引擎分配方案,在NP快通道性能研究方面作出一定贡献。实现了高度人性化的V几b图形管理界面,提出了配置向导,使普通网络管理人员能有效配置防火墙。
李剑虹[10]2007年在《基于网络处理器的双栈路由器的设计与实现》文中指出当前Internet的迅速发展,给我们带来了许多便利,也产生了许多新的问题,其中IPv4地址即将用尽是许多问题中最迫切需要解决的一个,为此,IETF提出了新的协议,即IPv6协议来代替目前的IPv4协议。目前,IPv6骨干网正逐步建成并走向实用,CERNET2的纯IPv6网络已经顺利部署,而已有的大量互联网服务和应用仍存在于IPv4网络中,因此出现了大规模复杂IPv4网络通过IPv6骨干网互联的需求。并且当IPv4网络和IPv6网络同时存在时,IPv4网络和IPv6网络之间的互通又也成为必须解决的问题。现在综合的IPv4/IPv6互通的解决方案成为当今研究的热点。随着Internet链路速率的指数性增长,出现了大量的新协议和新服务,而传统的基于通用处理器的纯软件网络设备解决方案或者基于ASIC(Application specific integrationcircuit,专用集成电路)的设备解决方案很难兼顾速度与灵活性。因此,一种基于ASIP(Application specific instruction processor,专用指令处理器)技术的网络处理器得到了迅速发展。它兼具ASIC的高性能和RISC通用CPU的可编程灵活性,并有低成本和低风险的优势。当前国内外有多家研究机构和应用厂商在进行IPv4/IPv6协议互联互通的研究,但是早期的研究都集中在通用处理器或者ASIC上,并且因为国外IPv6发展的比较早,所以主要研究也都集中在IPv4隧道封装IPv6技术和IPv4/IPv6的协议转换上。对于我国目前IPv6作为骨干网,而IPv4作为边缘网络的研究才刚刚开始。而清华大学针对IPv4边缘网络如何通过IPv6骨干网互通,适时地提出了IPv4 over IPv6 tunnel的解决方案,并得到了IETF的认可,目前IETF成立了专门的工作组对此方案进行研究和标准化操作,并已经出台了相关的Draft和RFC。本论文在实验室现有NAT-PT协议与地址转换系统的基础上,根据清华大学提出的4over6架构,实现了基于网络处理器的4over6 tunnel(IPv4 over IPv6 tunnel)模块,完善了IPv4/IPv6高性能互通的机制。文章重点介绍4over6隧道的原理及在Intel IXP2400网络处理器上的详细实现过程。经过测试,该系统能够实现在线速下的IPv4网络和IPv6网络的透明互通和正确转换,可以作为IPv4/IPv6网络的高性能互通解决方案应用于骨干网上。
参考文献:
[1]. 基于网络处理器的NAT-PT系统的设计与实现[D]. 胡晓伟. 大连理工大学. 2006
[2]. 基于Octeon多核处理器的NAT协议研究与实现[D]. 徐远翔. 武汉邮电科学研究院. 2012
[3]. 基于网络处理器的NAT协议研究与实现[D]. 曹继军. 国防科学技术大学. 2004
[4]. 多核NAT应用模型的研究与实现[D]. 陈琪. 南京邮电大学. 2016
[5]. 基于网络处理器的千兆防火墙中NAT的设计与实现[D]. 李燕. 北京邮电大学. 2006
[6]. 基于IXP2400网络处理器的包过滤防火墙的设计与实现[D]. 李烨. 解放军信息工程大学. 2006
[7]. 基于IPSec的VPN网关研究与实现[D]. 薛立功. 湖南大学. 2003
[8]. 无线局域网(802.11b)监测系统驱动程序设计和实现及若干技术研究[D]. 祁利涛. 北京邮电大学. 2006
[9]. 基于网络处理器的千兆防火墙设计与实现[D]. 刘刚. 东华大学. 2004
[10]. 基于网络处理器的双栈路由器的设计与实现[D]. 李剑虹. 大连理工大学. 2007
标签:互联网技术论文; 防火墙论文; ipv6论文; 网络处理器论文; 防火墙透明模式论文; 包过滤防火墙论文; 千兆路由器论文; 无线控制器论文; 无线协议论文; 路由器功能论文; 功能测试论文; 无线局域网论文; 无线模式论文; 网络硬件论文; 处理器技术论文; 路由论文; ipsec论文; 解决方案论文;