IPSec与NAT协同工作的研究

因特网网络层安全协议(IPSec)和网络地址翻译(NAT)不兼容,这严重限制了IPSec的应用范围。在分析IP-Sec与NAT不兼容原因、讨论IPSec与NAT协同工作的一些方法及所存在的问题的基础上,对UDP封装IPSec数据包方法中所存在的安全隐患,以及在NAPT环境下,外出的数据根据SPD的选择符无法正确定位SAD中的SA问题,提出了解决办法。     

IPSec穿越NAT技术要求

分析了IPSec穿越NAT存在的兼容性问题、技术要求及对IPSec的影响,提出了IPSec穿 越NAT的若干解决办法。     

基于NAT和IPSec的VPN配置与验证

企业或组织,为节约IP地址,普遍采用NAT技术连接互联网。针对互联网的不安全性,采用适当的安全技术保证企业或单位重要数据安全显得非常必要,目前使用最为广泛的技术是IPSec。在NAT的基础上,通过构造通道,利用通道组织企业远程局域网,从而为企业提供高效安全的网络环境。在认识NAT和IPSec的前提下,理解配置NAT和IPSec的含义,并在GNS3环境下加以仿真验证。     

IPSec 与NAT的协同工作研究

NAT设备已经广泛运用于现有网络中,而IPSec作为一种相对完备的用于构建VPN的主要网络安全协议已开始运用于网络安全通信之中,但是IPSec的广泛运用还存在较多的技术难点。本文对此进行了分析,并对其中一个普遍问题——IPSec与NAT的协同工作进行了分析,介绍了目前存在的几种解决方案,并进行了比较。     

NAT与IPSec协议兼容性问题及解决方案的研究

本文针对NAT与IPSec协议协同工作时的兼容性问题，提出了一种基于地址通告和UDP封装思想的解决方案。该方案通过对IPSec协议的扩展，有效地支持了IPSec数据流传输路径中的NAT转换，并且具有实现简单、扩展性好等优点，具有很好的应用前景。     

IPSec穿越NAT技术

介绍了NAT与IPSec之间的兼容性,分析了可能出现问题的环节,并对这些问题进行了剖析。     

IPSec协议分析

IPSec作为一种IP层安全协议簇,随着4G网络及计算机网络IPv6的发展,其受到了人们的广泛关注。文中介绍了IPSec的安全架构、认证和加密的实施过程,尤其是对AH和ESP协议进行了分析,并对IPSec实际部署中穿越NAT的问题提出了可行的解决方案。     

IPSec与NAT之间的兼容性分析和解决方案

网络安全协议(IPSec)和网络地址转换(NAT)是当前的热点技术,在因特网上都得到广泛应用,但两者在协议设计时存在的兼容性问题成为阻碍这两种技术得到进一步应用的关键问题。本文分别介绍了NAT和IPSec两种协议的基本原理,并对两者存在的不兼容性进行了详细的分析,最后给出了利用UDP封装ESP数据包的解决方案。     

VPN在双向NAT环境下的应用

根据私有网络环境的不同,VPN通信模式可分为三类:网关或客户端直接访问公网IP网关;网关或客户端通过NAT(地址映射)访问公网IP 网关;网关或客户端通过NAT 访问另一个NAT 后面的网关。为帮助用户在无需关心物理网络的接入地点、IP地址空间规划等问题的情况下构建 VPN,就必须解决双向NAT 穿透的问题。 所谓“双向NAT 穿透”的问题,实际上是指通信双方都在私有网络环境中(即采用保留IP地址上网),发起通信的VPN 设备由于无法确定被连接VPN 设备的IP地址和协商端口号,以及主要的安全协议IKE和IPSec都和传统的NAT 协议不兼容的…     

基于安全策略系统的互联型IPSec VPN模型

自从IETF指定IPSec框架作为网络层的安全协议后,IPSec开始被引入到VPN的创建方案中,IPSec VPN技术开始成为安全研究中的关键问题。文章提出将网络地址转换(NAT)技术引入虚拟专用网(VPN)后,解决IPv4/IPv6不同网络的VPN互通性问题,保证在网络过渡过程中,VPN始终能正常运行。安全策略系统需解决的问题还集中在策略的定义、存取、管理、交换以及发现机制上,因此,必须构建一致的安全策略系统管理各种策略。     

基于语音邮件的家校通服务系统的设计与实现

设计和实现了基于语音邮件的家校通服务系统。通过语音邮件网关可以实现只用普通电话就可以收发语音邮件,根据具体应用的要求对UDP协议进行了必要的改进,弥补了UDP协议在可靠性和流量控制等方面存在的不足;并使用组件化编程技术对IMAP4、SMTP邮件协议和语音格式转换模块进行封装,减轻了编程的工作量、提高了代码的可重用性。系统投入运行之后的效果表明:语音处理流畅、系统性能较好。     

Understanding CHOKe: throughput and spatial characteristics

A recently proposed active queue management, CHOKe, is stateless, simple to implement, yet surprisingly effective in protecting TCP from UDP flows. We present an equilibrium model of TCP/CHOKe. We prove that, provided the number of TCP flows is large, the UDP bandwidth share peaks at (e+1)/sup -1/=0.269 when UDP input rate is slightly larger than link capacity, and drops to zero as UDP input rate tends to infinity. We clarify the spatial characteristics of the leaky buffer under CHOKe that produce this throughput behavior. Specifically, we prove that, as UDP input rate increases, even though the total number of UDP packets in the queue increases, their spatial distribution becomes more and more concentrated near the tail of the queue, and drops rapidly to zero toward the head of the queue. In stark contrast to a nonleaky FIFO buffer where UDP bandwidth shares would approach 1 as its input rate increases without bound, under CHOKe, UDP simultaneously maintains a large number of packets in the queue and receives a vanishingly small bandwidth share, the mechanism through which CHOKe protects TCP flows.     

基于2-D稳定条件的混合流网络参数设置

由于网络容量的限制,任何一个网络都不可能避免拥塞问题。传统的RED算法只考虑了少量TCP用户,没有涉及UDP用户的情况,同时随着网络应用的多样化,如越来越多的UDP用户接入网络,传统的RED机制无法控制它们,保证不了TCP用户的服务质量(QoS)。针对TCP/UDP混合流多用户的情况,本文提出TCP/UDP混合流的区分控制,这里TCP和UDP流使用不同的带宽,及TCP/UDP混合流单瓶颈网络的2-D稳定条件。基于该稳定条件可以选择一个合适的RED控制参数Pmax,获得满意的网络拥塞控制性能。本文建立了一个TCP和UDP流单瓶颈网络的线性时滞系统模型,利用2-D拉普拉斯-Z变换,推导出基于稳定条件的混合流网络参数配置。利用NS2仿真验证所提出的混合流网络参数配置能够有效获得关于路由器队列长度和TCP窗口的稳定性。     

一种流方式的UDP测量系统的设计与实现

近年来迅猛发展的P2P、流媒体、网络游戏等UDP新应用占总流量的比重越来越大,这些UDP数据没有TCP数据本身的流的标识,也没有流开始的握手和流结束时候的Reset包。面向高速网络环境,提出一种流方式的UPD系统（FlowUDP）的思路。该系统考虑骨干网络中UDP流的单向特性,使用了winpcap捕包技术。系统包括网络数据包捕获模块、数据包重放模块、数据包拼流模块、UDP分析模块,同时采用st1中的map模板类,通过自定义高效的比较函数,提高了UDP数据包性能,从而提高系统运行效率。针对复杂网络环境下的数据特点,系统采用分步骤小工具设计方式,方便系统扩充新的分析功能。通过一个骨干网数据集和两个DARPA1999数据集,可以看出,UDP数据流的总体发展是占网络带宽越来越多,而且小的UDP流比较多,网络带宽发展越来越快,UDP流的平均时间越来越短。     

WinpCap实现UDP网络数据包的分析与设计

介绍了WinpCap和UDP（UserDataProtocol，用户数据包协议）的组成结构和功能，并就如何生成IP和UDP首部检验和进行了探讨，并给出了如何在VC＋＋中通过WinpCap发送和接收符合UDP协议的网络数据包的实现方法。     

基于UDP的可靠传输协议的研究与实现

在高速数据传输网络中,用户数据报协议(UDP)有着其他数据传输协议无法比拟的优势,但同时也存在着传输可靠性差的问题.文章作者在详细分析UDP特点的基础上,对其关键技术进行了改进,设计了一种可靠的传输机制.文章最后给出了在VxWorks操作系统下实现UDP可靠传输的方法和流程.     

QUIC协议研究

为了解决当前TCP传输存在的两个主要问题:(1)建立连接、断开连接的耗时传输机制;(2)前序包阻塞(Head-of-line blocking,HOL)问题,本文介绍一种基于UDP作为底层传输的全新协议(Quick UDP Internet Connections,QUIC),通过采用UDP为传输层协议,避免建立连接、断开连接的耗时问题和前序包阻塞问题,并且通过一种巧妙的机制保证可靠性传输,克服UDP传输存在的问题.     

Fixed-point analysis of a network of routers with persistent TCP/UDP flows and class-based weighted fair queuing

Fixed-point models have already been successfully used to analytically study networks consisting of persistent TCP flows only, or mixed TCP/UDP flows with a single queue per link and differentiated buffer management for these two types of flows. In the current study, we propose a nested fixed-point analytical method to obtain the throughput of persistent TCP and UDP flows in a network of routers supporting class-based weighted fair queuing allowing the use of separate queues for each class. In particular, we study the case of two classes where one of the classes uses drop-tail queue management and is intended for only UDP traffic. The other class targeting TCP, but also allowing UDP traffic for the purpose of generality, is assumed to employ active queue management. The effectiveness of the proposed analytical method is validated in terms of accuracy using ns-3 simulations and the required computational effort.