ipv6在园区网中的部署
IPv6网络部署与运维
IPv6网络部署与运维随着互联网的迅速发展,IPv4的地址空间早已耗尽,IPv6作为下一代互联网协议已经被广泛采用。
IPv6的部署和运维是网络行业中一个重要的领域,本篇文章将从多个角度详细探讨IPv6网络的部署和运维。
一、IPv6地址的规划和分配IPv6地址的长度由32位扩展到了128位,地址空间得到大大扩大。
IPv6地址的规划和分配与IPv4有所不同,IPv6的地址空间被划分为三个部分:全球单播地址、站点本地地址和唯一本地地址。
在IPv6的全球单播地址中,最高位标识了地址的类型,0表示全球单播地址,3表示本地地址,其他类型保留。
其余的位用于标识具体主机或网络的地址。
IPv6的全球单播地址有64位表示网络前缀,64位表示主机标识,这种方式保证了地址的可扩展性。
站点本地地址是指主机在自己的站点内部使用的地址,这些地址仅在站点内部通信时使用。
唯一本地地址用于主机或路由器通过本地连接互相通信,这些地址保证了局域网的安全性和不可预测性。
IPv6地址的规划和分配需要网络管理员进行谨慎的计划,合理规划可保证地址的有效利用及网络的高效运行。
二、IPv6网络的部署IPv6网络的部署需要考虑多个方面,包括网络拓扑设计、路由协议的选择、地址分配和网络测试。
网络拓扑设计是指根据网络的规模和需求,选择合适的拓扑结构。
IPv6网络的拓扑结构同IPv4网络类似,包括单层结构、二层结构和三层结构。
其中,单层结构的网络拓扑最简单,适用于小型企业或单个站点;二层结构的网络拓扑适用于大型企业或多个站点;三层结构的网络拓扑需要高级技术和设备,适用于特殊场景。
路由协议的选择是IPv6网络部署中的重要环节。
常用的IPv6路由协议包括OSPFv3、IS-IS和BGP4+。
OSPFv3和IS-IS是内部网关协议,适用于组网内路由的选择;BGP4+是外部网关协议,适用于ISP之间的网络连通。
地址分配是IPv6网络部署的另一个重要问题。
IPv6的地址是由ISP分配的,但是对于企业内部,也需要使用内部地址进行通信。
深圳某电信运营商城域网IPv6部署方案
深圳某电信运营商城域网IPv6部署方案作者:深圳xx分公司曹剑锋2010年9月20日目录一、前言 (3)二、IPv6技术简介 (4)(一) IPv6优势 (4)(二) 相关协议 (4)(三) 过渡技术 (6)三、深圳城域网现状分析 (9)(一) 网络情况 (9)(二) 业务情况 (11)(三) 设备对IPv6的支持情况 (11)四、IPv6业务实现方案 (13)(一) MPLS VPN实现 (13)(二) 宽带业务实现 (14)(三) WLAN业务的实现 (16)(四) 其他业务实现说明 (18)五、IPv6网络互联方案 (19)(一) IPv6网络互联 (19)(二) IPv6和IPv4网络互通 (21)六、IPv6网络实施方案 (25)(一) 试商用阶段 (25)(二) 规模商用阶段 (26)(三) 全面商用阶段 (27)七、总结 (28)一、前言今天互联网取得了巨大的成功,完全出乎网络创造者和IPv4设计者的预料。
29年前,当IPv4 RFC诞生时,尚没有真正意义上的互联网,网络如私有网络,主要供教育和科研使用。
在这种情况下,32位的地址空间看起来是绰绰有余的。
但随着互联网应用的日益广泛,网络规模的快速增长,IPv4地址空间迅速耗尽。
尽管NAT(Network Address Translation,网络地址转换)技术一定程度上减缓了IPv4地址空间耗尽的速度,但未从根本上解决问题。
因此为了互联网的可持续发展,人们决定开发新的技术取代IPv4,这就是IPv6。
1992年IETF(Internet Engineering Task Force,因特网工程任务组)成立了IPNG工作组,并于1994年推出IPv6推荐版本。
但至今IPv6并没有得到大规模的应用,一方面由于IPv6和相关技术标准完善需要时间,另外一方面,由于NAT技术的出现,IPv4由死刑改判了死缓,尚存残延的时间。
但现在,IPv4地址空间的耗尽已经迫在眉睫。
毕业设计任务书-开题报告-IPV6技术在园区网中的应用
上海第二工业大学本科毕业设计(论文)学生手册题目: IPV6技术在园区网中的应用学生姓名:学号:学院名称:工学部专业班级:指导教师:开始日期:年月日完成日期:年月日目录一、任务书……………………………………………………………二、开题报告…………………………………………………………三、中期检查表………………………………………………………四、论文审阅表………………………………………………………五、论文评阅表………………………………………………………六、指导记录表………………………………………………………七、答辩记录表………………………………………………………八、外文翻译稿和原稿………………………………………………毕业设计(论文)任务书毕业设计(论文)开题报告毕业设计(论文)中期检查表毕业设计(论文)审阅表毕业设计(论文)答辩记录表(接上页)上海第二工业大学本科外文翻译外文的中文题目The title of foreign language学部(院):专业:学生姓名:学号:指导教师:完成日期:外文翻译要求:1.毕业设计(论文)外文翻译的译文不得少于5千汉字。
2.译文内容必须与题目(或专业内容)有关,且正式出版日期为近5年内的外文期刊。
3.外文原文、译文应用标准A4纸单面打字成文。
4.译文的基本格式与外文格式相同,页边距:上3.5cm,下2.5cm,左2.5cm、右2.5cm;页眉:2.5cm,页眉:译文的中文题目,页脚:2cm。
文中标题为宋体,小四号,字体加粗。
5.原文中的图、表等名称必须翻译,参考文献内容不翻译。
6.外文翻译装订顺序:封面、外文原文、中文译文。
欢迎下载,资料仅供参考!!!资料仅供参考!!!。
IPv6网络安全设备部署与优化配置
IPv6网络安全设备部署与优化配置随着互联网的快速发展和IPv4地址资源的枯竭,IPv6作为下一代互联网协议已经逐渐引起广泛关注。
然而,与IPv4相比,IPv6网络安全问题也变得更加复杂和严峻。
在部署和配置IPv6网络安全设备时,必须采取一系列的措施来保护网络的稳定性和安全性。
本文将对IPv6网络安全设备的部署与优化配置进行探讨。
一、IPv6网络安全设备的部署在部署IPv6网络安全设备之前,首先需要对网络拓扑结构进行评估和规划。
网络管理员应该了解整个网络的架构和各个节点之间的连接关系,以便合理选择和部署IPv6网络安全设备。
1. 防火墙的部署防火墙是保护网络安全的第一道防线,可以过滤和监控进出网络的数据流,防止恶意攻击和未经授权的访问。
针对IPv6网络的防火墙部署,需要注意以下几个方面:- 支持IPv6协议:确保所选择的防火墙设备完全兼容IPv6协议,能够对IPv6流量进行准确的识别和管理。
- 细粒度的访问控制策略:通过配置访问控制列表(ACL)或安全策略,准确限制IPv6流量的源、目的和服务类型,阻止潜在的攻击流量。
- 入侵检测和防御:部署具备入侵检测和防御功能的防火墙设备,提升对IPv6网络的安全防护能力。
- 定期更新和升级:及时更新防火墙设备的固件和安全规则,以应对不断变化的安全威胁。
2. 入侵检测系统的布置入侵检测系统(IDS)能够实时监测网络中的异常活动和潜在威胁,及时警示和阻止入侵行为的发生。
对于IPv6网络安全设备的部署和配置,入侵检测系统的布置非常重要。
以下是一些建议:- 覆盖所有入侵检测点:合理规划入侵检测系统的部署位置,覆盖所有IPv6流量的入口和重要节点,确保能够全面监测和检测潜在的入侵行为。
- 设置恰当的告警策略:根据网络的实际情况和安全需求,设置入侵检测系统的告警策略,及时通知网络管理员发生的安全事件,以便采取相应的应对措施。
- 持续监控和更新:定期检查入侵检测系统的状态,保证其正常运行,并及时更新安全规则和签名库,以应对新出现的安全威胁。
网络架构中的IPv6部署与实践方法(八)
网络架构中的IPv6部署与实践方法随着互联网的发展和使用的普及,IPv4(Internet Protocol version 4)地址空间的逐渐枯竭问题变得日益严重。
为了解决这一问题,IPv6(Internet Protocol version 6)作为下一代互联网协议被广泛引入和部署。
IPv6将大大扩展互联网的地址空间,为未来的互联网提供了无限的可能性。
本文将讨论网络架构中IPv6的部署与实践方法,以帮助IT从业人员更好地理解和应用IPv6技术。
第一部分:IPv6的基本特点在讨论IPv6的部署与实践方法之前,首先需要了解IPv6的基本特点。
IPv6采用了128位的地址空间,相较于IPv4的32位地址空间,可以为每个人,每个物品分配一个独立的IP地址。
此外,IPv6还引入了许多新的特性,如自动地址配置、改进的路由协议和多播组等。
这些特性极大地提升了网络的效率和安全性。
第二部分:IPv6部署的重要性随着移动互联网、物联网和云计算等技术的快速发展,IPv6的部署越来越重要。
大量的移动设备、嵌入式系统和物联网设备的出现,使得地址资源的需求变得更加迫切。
加上IPv6中引入的新的特性,如流媒体、多播和安全等功能的增强,使得IPv6成为未来互联网发展的关键。
第三部分:IPv6的部署方法IPv6的部署可以通过多种方法实现。
首先,可以采用双栈架构,即同时部署IPv4和IPv6协议栈,以实现IPv4和IPv6之间的互通。
这种方法在过渡期间比较常见,可以保证网络的平稳过渡。
其次,可以采用隧道技术,将IPv6数据包封装在IPv4数据包中进行传输。
这种方法适用于部分网络设备不支持IPv6的情况。
最后,可以采用网络地址转换(NAT)技术,将IPv6地址映射为IPv4地址,以实现IPv6与IPv4之间的互通。
这种方法在整个网络不支持IPv6的情况下比较常用,但会引入一定的复杂性和性能损失。
第四部分:IPv6的实践方法在实际部署IPv6时,需要考虑到网络规模、硬件设备、安全性和性能等方面的问题。
基于IPv6的网络架构实践与部署方法(三)
基于IPv6的网络架构实践与部署方法随着互联网的快速发展,IPv4的地址资源已经逐渐枯竭,为了满足不断增长的网络连接需求,IPv6作为下一代互联网协议应运而生。
在IPv6网络架构的实践和部署过程中,我们需要考虑一系列问题,包括地址规划、路由协议、安全性和适应的应用等。
本文将讨论IPv6网络的实际应用,介绍一些部署方法和面临的挑战。
一、IPv6的地址规划IPv6地址采用128位的地址长度,相比IPv4的32位地址空间更加广阔。
在进行IPv6网络部署之前,我们需要进行合理的地址规划。
首先,需要考虑子网划分的问题,确定每一个子网的地址范围和子网前缀长度。
其次,需要考虑地址分配的机制,如动态主机配置协议(DHCPv6)或状态宣告协议(SLAAC)。
最后,还需要对地址进行合理的编码,以便管理和查找。
二、IPv6的路由协议在IPv6网络架构中,路由协议的选择至关重要。
IPv6支持多种路由协议,如RIPng、OSPFv3、BGP,每个协议有其适用的场景。
我们需要根据网络规模、复杂度和需求选择合适的路由协议。
此外,还需要考虑路由器的选择和配置,以实现高效的路由转发和负载均衡。
三、IPv6的网络安全网络安全是任何网络架构的重要组成部分,IPv6也不例外。
IPv6网络架构中面临的安全挑战有很多,包括地址扫描与欺骗、漏洞利用、DDoS攻击等。
为了保障网络安全,我们需要采取一系列措施,如使用IPSec保护IPv6通信、配置防火墙和入侵检测系统等。
此外,还需要进行相关监测和日志分析,及时发现和应对网络安全威胁。
四、IPv6的应用适配在IPv6的实践和部署过程中,我们还需要考虑网络应用的适配问题。
由于IPv4和IPv6的地址方案不同,一些应用需要进行适配才能在IPv6环境中运行。
例如,网络服务器需要支持IPv6地址的访问,企业应用需要进行IPv6适配和兼容性测试。
为了确保应用顺利迁移到IPv6网络,我们还需要进行充分的测试和验证。
IPv6网络安全管理平台部署方案制定发布
IPv6网络安全管理平台部署方案制定发布随着互联网的快速发展,我们的生活和工作已经离不开网络。
然而,网络安全问题成为了一个不容忽视的挑战。
IPv6网络安全管理平台的部署方案的制定与发布,成为了保障网络安全的重要举措。
本文将针对IPv6网络安全管理平台部署方案的制定与发布,详细探讨相关内容。
一、背景介绍在IPv6网络的快速发展背景下,网络安全问题引起了广泛关注。
传统的IPv4网络安全管理已经无法满足IPv6网络的需求,因此,制定和发布IPv6网络安全管理平台部署方案显得尤为重要。
该方案旨在有效防范各类网络攻击、保护用户数据信息安全。
二、制定IPv6网络安全管理平台部署方案的原则1. 综合性原则制定IPv6网络安全管理平台部署方案时,需要考虑网络的综合性,包括网络规模、用户需求、其它网络设备和系统的结合等。
方案的制定应具有可操作性、有效性和可持续性,并符合互联网安全的最佳实践。
2. 安全策略原则方案的制定应明确IPv6网络的安全策略,包括网络接入控制、身份认证、数据加密和传输完整性保护等。
安全策略的制定应兼顾保护用户数据安全和网络服务的正常运行。
3. 监管合规原则方案的制定应遵循相关法律法规的规定,确保网络安全管理的合规性。
同时,应设立监管机构,并建立相应的监管制度,对网络安全管理平台的部署与运行进行监督和检查。
三、IPv6网络安全管理平台部署方案的主要内容1. 系统架构设计IPv6网络安全管理平台的部署方案应明确系统的架构设计,包括各个组件、模块和功能的关系及其相互配合。
该方案应采用模块化设计,使得系统的安全性能和可维护性得到保障。
2. 安全策略制定方案中应包含建立完善的安全策略,从网络接入控制、身份认证、数据加密等方面保障网络的安全。
合适的安全策略能够有效防范各类网络攻击,保护用户数据的安全。
3. 安全设备部署方案中需明确安全设备的部署位置和选型,包括防火墙、入侵检测系统、入侵防御系统等。
通过合理的安全设备部署,可以提高系统的抵御风险的能力。
技术盛宴丨IPv6系列安全篇:园区网IPv6的接入安全策略
园区网技术发展了这么多年,想必大家对于IPv4场景下的接入安全问题已经烂熟于心。
随着IPv6技术的发展和推广,未来园区网架构向IPv6演进已经成为不可阻挡的趋势,而我们对于IPv6架构下的接入安全问题了解多少?比如,终端可以获取到正确的IPv6地址吗?拿到地址就可以正确封装报文信息吗?报文封装正确就可以转发正常吗?等等。
在IPv6环境下接入层还有哪些安全问题?我们又该如何解决?上一篇文章(IPv6系列安全篇——SAVI技术解析)为大家介绍了SAVI(Source Address Validation Improvements,源址合法性检验) 的技术原理,本文将聚焦IPv6在园区网有线部署的场景,阐述如何应用SAVI技术解决接入安全问题。
IPv6园区网接入安全问题众所周知,终端正常访问资源的前提是需要有一个可用的IP地址,那么如何获取正确的地址是我们要讨论的一个问题。
其次,为了正常访问网络资源进行流量转发,还需要正确解析对端的MAC地址或者网关的MAC地址(跨网段时),这样才能进行一个报文的完整封装。
在IPv4的场景中是通过ARP协议来解析地址,对应到IPv6场景是通过ND协议中的NS/NA报文交互来解析。
除此之外,为了给所有终端分配地址资源,地址源可谓是“尽心竭力”,因此它的资源是有限的,也需要额外关注。
看似平淡无奇的过程中暗藏着很多安全问题,下面我们来详细分析一下这些问题是如何发生,以及有何威胁。
地址获取欺骗在IPv6的场景中,地址获取的方式有多种:1、DHCPv6:通过DHCPv6协议实现地址的获取,整个流程和IPv4下的DHCP协议类似,但协议报文有部分差异,具体可以参考DHCPv6的报文详解。
2、SLAAC(Stateless Address Auto Configuration,无状态地址自动配置):根据网关设备通告RA (Router Advertisement,路由器通告)报文中携带的网络前缀生成网络ID,根据EUI-64算法生成接口ID,通过两者结合生成一个IPv6地址。
IPv6地址分配的应用
2019.0959基础设施与数据管理C o m m e n t I n f r a s t r u c t u r e M g m t. &D a t a M g m t.IPv6地址分配的应用■ 湖南 周序生某高校学生宿舍区已实现扁平化改造,认证及地址分配全部集中在锐捷N18014核心交换机上,下联用户约35000人,采用dot1x 及Web 认证,现申请到2001:DA8:D021::/48这一段IPV6的地址,拟分配给用户使用,希望快速部署。
因无状态IPv6地址获取的功能主要是运用在三层交换机作为局域网用户的网关,需要启用v4/v6双栈服务,下联的主机用户有访问IPv6资源的需要,但是由于IPv6的地址有128位之多,配置起来复杂而且还容易出错,所以希望各主机能够不用配置即可获取到IPv6的前缀和网关信息,实现IPv6的即插即用的特点。
故考虑在用户的网关上启用无状态IPv6地址分配功能,给下联的各主机分配编者按:随着移动互联网、物联网、工业4.0等新兴产业迅速发展,当前互联网(IPv4)地址已分配殆尽,而下一代互联网(IPv6)拥有足够IP 地址长度,广阔的网络地址空间完全满足发展需要,IPv6经过二十多年的发展,目前IPv6技术应用完全成熟。
下面以某高校园区网为例,探讨如何实现IPV6地址分配及要注意的问题。
IPv6地址前缀及网关信息。
功能简介一个主机的IPv6地址由前缀和接口ID 组成,接口ID 的长度固定是64位,可以由 48位MAC 地址自动生成64位Interface ID,通常称为EUI-64。
IPv6前缀的实际作用是标识主机与路由器之间的网络。
主机需要的这个前缀就是网关的前缀。
为了自动获得这个前缀,只要在网关交换机和主机之间运行一个协议即可。
使用NDP 协议的Router Solicitation 恳求和Router Advertisement 通告消息,前者用于发现网关,并促使网关发送Router Advertiseme nt 消息通报前缀信息给主机。
IPV6在中国联通IP城域网中的部署策略 孙明明
IPV6在中国联通IP城域网中的部署策略孙明明发表时间:2018-04-16T10:26:25.970Z 来源:《电力设备》2017年第32期作者:孙明明1 文怀斌2[导读] 摘要:在2011年, ISOC、IAB、ICANN发表联合声明,宣布IPV4已经被分配完毕。
(1.北京华麒通信科技股份有限公司;2.吉林省邮电规划设计院有限公司)摘要:在2011年, ISOC、IAB、ICANN发表联合声明,宣布IPV4已经被分配完毕。
据统计,我国拥有的IPV4地址3亿余个,而同期我国互联网网民大规模增长,每户平均IPV4地址越来越少。
随着高速发展的互联网,在未来的一段时间内人们对IP地址的需求会飞速增加,因此就IPV4目前的情况来看,会在一定程度上阻碍着互联网的持续发展,时代发展需求得不到很好的满足,这就表示加强IPV6发展是十分必要和关键的,是顺应时代发展趋势的重要方面。
本文主要是对目前中国联通IP城域网发展现状、中国联通在IP城域网中部署IPV6需要遵循的原则、中国联通在IP城域网中部署IPV6的有效策略三个方面做出了详细的分析和研究。
关键词:中国联通;IP城域网;IPV6;原则;部署策略随着经济全球化、信息一体化时代的到来,互联网行业发展迅猛,我国已经逐渐全面普及了互联网,为人们的生活提供了更多便利。
同时在信息化的背景下,互联网行业也取得了突破性的进展。
互联网在原先的发展中,其基础主要是IPV4,但随着人们不断增加的网络需求,IPV4已经难以很好的满足人们的需求,进而在一定程度上限制着互联网的长效发展。
因此当前运营商需要普遍考虑的问题就是,如何在IPV4的基础上实现IPV6的顺利演进,这也是迫切需要解决的一大问题。
IPV6的应用前景十分广泛,与国家利益之间存在一定的关联性,因此社会各界都需要共同努力,加强IPV6的开发、发展以及推广普及。
一、目前中国联通IP城域网发展现状我国的IP城域网在经过十几年的发展,其网络构架已经逐渐完善,其中包括宽带接入层、业务控制层、核心路由层几个部分组成,尤其是随着三网融合政策的推广,我国国内各运营商在IP城域网建设中会面临着更多的挑战。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[导读]园区网络是支撑企业业务的核心网络。
在一个园区网络中,内部的终端数量庞大,业务种类丰富。
在园区网从IPv4升级为IPvWlPv4双栈网络中,如何考虑所涉及的网络设备、安全以及无线用户接入等方面的部署?一、IPv6园区网的整体结构IPv6园区网建设经过了多种方案的变化演进,从早期的使用隧道接入到部分网络采用双栈组网,再到现在的以双栈组网为主。
这样的变化是由IPv6业务的开展及网络设备的不断创新所推动的。
图1.典型的园区网络图1是一个典型的园区网组网方式,将一个园区网络分为接入、汇聚、核心的层次性结构。
一般的网络设计中,接入层网络为二层网络,用户的网关设置在汇聚层。
核心层起到互连汇聚层做高速转发。
在功能模块的划分中,园区网络主要由网络出口、数据中心及用户接入三大部分组成。
将该类型组网升级为双栈网络时,常规选择采用双栈部署,从汇聚层到核心层网络开始升级,然后根据网络的情况,升级防火墙等附加的业务设备;在另外的一些情况中,可以采用双栈网络为主、隧道技术为补充的升级方式。
在一个双栈网络升级后,原有的应用服务器可能无法同网络一起一步到位升级为双栈服务器,在这种情况下如果有一部分纯IPv6用户需要访问IPv4的服务器,需要在网络中部署NAT-PT设备,进行IPv6,IPv4的协议转换。
可见,将一张仅支持IPv4的园区网升级为支持IPv6/IPv4双栈的网络,涉及到多项网络技术,面临着多种升级方式的选择。
在这种情况下,对园区网络进行IPv6技术升级前,需要制定详细的升级流程:1)制定网络设备的升级计划。
2)评估网络中的现有产品对IPv6的支持情况。
3)评估网络中需要升级到双栈的网络服务。
4)制定IPv6地址的分配方案。
5)制定详细的IPv6网络升级方案。
6)在升级后进行必需的IPv6技术培训。
通过上述的IPv6升级步骤,逐步的将园区升级为IPv6/IPv4双栈网络,满足现阶段的双栈用户的接入需求。
二、IPv6园区网的部署1.双栈模式的园区网骨干部署在双栈模式的园区网的骨干网络进行建设时,遵循分层的网络建设模式。
主要关注汇聚层与核心层的IPv6技术部署。
图2.双栈园区网示意图部署IPv6后的双栈园区骨干网如图2所示,在核心层和汇聚层使用双栈交换机,接入层可使用现有的二层接入交换机组网或者将不支持IPv6的三层交换机降为二层使用,用以保护历史投资。
根据用户带宽的需要,选用“百兆到桌面”或“千兆到桌面”的模式。
网络出口双栈网络梭心层 双核网络注聚层 双栈网络接入层假心将设管种极广与桂.讲行Q 杖新地的高拜诺先汇聚导联品升需台欢程他品.作力下刖用。
狗同去在升级后,IPv6网络部分与原有园区网IPv4部分融合,园区网中双栈用户可以同时访问IPv6和IPv4网络。
对于双栈终端,IPv4网关和IPv6网关均部署在汇聚三层交换机上。
由于网内所有三层设备均是双栈设备,既运行IPv4也运行IPv6路由协议。
不同协议的数据转发路径可能一致,也可以不同。
为提高网络的可靠性,汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余;汇聚设备作为用户接入点网关设备,通过运行VRRP协议实现网关冗余;核心节点采用双核心部署保证节点冗余。
在使用了双栈技术的网络中,所有双栈的终端用户都有明确的IPv6数据转发路径,IPv6与IPv4层面的数据路径明确,便于网络管理及故障定位。
双栈模式的IPv6园区网络建设是目前最为常见的模式。
2.双栈园区网中的隧道技术部署一些园区网的用户由于预算、技术等方面的原因无法部署双栈园区网或只能将部分园区网升级为双栈网络,这种情况下可以在园区网中采用隧道技术作为补充,将纯IPv6终端接入IPv6广域网络。
图3.ISATAP隧道部署对于双栈终端,IPv4网关部署在汇聚层交换机上。
驻地网内所有三层设备由于均是IPv4设备,不能完成对IPv6报文的转发,因此需要部署客户端到出口路由器的自动隧道来完成。
在部署中采用较多的是ISATAP自动隧道。
在自动隧道的部署中,需要考虑设备的性能,如果网络中有较多的IPv6用户需要接入,可以增加隧道终结路由器的数量,以保证IPv6报文的转发能力。
使用隧道技术进行IPv6部署能够保护原有的设备投资,原有网络拓扑和路由几乎无需调整,只需要增加隧道终结的设备就能够使客户端访问广域的IPv6资源。
隧道技术属于过渡技术,不是最终的理想方案。
隧道两端点设备需要花费额外的系统开销。
而且在网络中部署隧道技术后,IPv6用户进行的IPv6资源访问只能通过隧道进行,无法像通常情况下,利用汇聚层及核心层网络进行高速的转发,同时,IPv6用户之间的互访的开销也非常大。
隧道技术不适合大规模IPv6的用户进行接入,只适合在过渡网络中,满足小部分用户的IPv6访问。
3.双栈园区网中的IP地址划分良好的地址划分,能够保证后续网络部署的稳定性及可维护性。
IP地址规划主要涉及到网络资源的利用以及方便有效的管理网络的问题,IPv6地址有128位,其中可供分配为网络前缀的空间有64bit。
根据最新的IPv6RFC4291,IPv6地址分为全球可路由前缀和子网ID两部分,但协议并没有明确规定其各自占的bit数,目前APNIC能够申请到的IPv6地址空间为/32的地址。
这样,相比IPv4的地址划分,在IPv6的地址划分上的灵活性更强。
IP地址的分配与网络组织、路由策略以及网络管理等都有密切的关系,具体的IP地址分配通常在工程实施时统一规划实施,遵循以下分配原则:l地址资源应全网统一分配;l地址划分应有层次性,便于网络互联,简化路由表;IP地址分配要尽量给每个物理区域分配连续的IP地址空间;在每个城域网中,相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制。
lIP地址的规划与划分需要考虑到网络的发展要求;地址使用兼顾到近期的需求、远期的发展以及网络的扩展,预留相应的地址段。
IP地址的分配需要有足够的灵活性,应考虑到现有业务、新型业务以及各种特殊的业务要求、满足各种用户接入的需要。
l充分合理利用已申请的地址空间,提高地址的利用效率;IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。
尽可能和网络层次相对应,应该是自顶向下的一种规划。
在园区网进行IPv6地址划分时,可以根据功能划分为三类地址:1)公共服务器地址,如DNS,EMAIL,FTP等。
2)网络设备互联地址和网络设备的LOOPBACK地址根据IETFIPv6工作组的建议,IPv6网络设备互联地址采用/64的地址块。
IPv6网络设备的LOOPBACK地址采用/128的地址。
由于目前OSPFv3中ROUTERID要求是IPv4地址,所以在采用OSPFv3作为路由协议的网络中,即使是纯IPv6的网络也必须要求每个网络设备拥有IPv4地址。
3)用户终端的地址用于最终用户接入的地址,可以根据物理位置进行划分用户的接入网段,也可以根据用户所属的逻辑位置,如部门类型,职务等进行划分。
4.双栈园区网中的安全考虑网络安全策略的总体目标是保护网络不受攻击,控制异常行为影响网络高效数据转发,以及保护日常园区网的正常使用。
在IPv6/IPv4的网络中,不仅要考虑针对IPv4的接入层,汇聚层的安全防御,同样也要考虑在设备升级为双栈设备后,针对IPv6协议族的攻击带来的安全问题。
在双栈园区网中的网络设备自身的安全风险主要有:1)网络设备的安全及网络协议安全网络设备的安全风险主要指设备对外提供的网络服务风险,网络管理协议SNMP非授权访问的风险,设备访问密码安全等对于网络设备相关的安全风险。
网络协议安全主要指动态路由协议,VRRP协议等网络的安全问题。
在IPv6网络中,部分网络协议的安全性得到了提高,如OSPFv3可以IPSec进行协议报文的保护。
2)用户的非法访问用户非法访问的风险主要指IPv4/IPv6双栈用户对资源的非法访问。
低权限的用户非法访问高权限的资源等风险。
3)接入层攻击及非法用户接入在接入层防止ND攻击及对用户进行身份认证防止非法用户接入网络。
L 对网洛注语的配定市咯遂行和售;J 使用SSH 注网.美闭不便闻的商」1情用SNMFH 件吁往制,在招回“1被中停用受江於制:在汇集层强舒上昵财式目火桶如I 空板卡,时园区内酹IP 帼语向港行!!童蹄控胡 图4.IPv6园区网安全部署针对以上安全风险,在IPv6园区网中可以采用如下网络安全技术:1)双栈防火墙专用的双栈硬件防火墙/防火墙模块,例如SecPath 双栈硬件防火墙/防火墙模块,是IPv6/IPv4双栈网络中重要的安全设备,为网络提供快速、安全的保护。
首先,专用的软硬件,设备自身安全性很高;其次,提供网络地址转换功能,把内部地址转换为外部地址,以保护内部地址的私密性;第三,提供严格的安全管理策略,除了显式被允许通过的数据,默认其他数据都是被拒绝的;第四,多层次的安全级别,为不同的安全区域提供差异化的安全级别;另外它还可以提供多样的系统安全策略和日志功能。
2)双栈用户认证在用户侧首要解决的是“接入安全”的问题。
为保证接入用户的合法性,建议采用传统的802.1x 认证。
用户在通过认证后才可以正常访问网络。
通过认证后,双栈用户的本地地址信息能够上传到认证服务器上,为后续的用户审计提供了参考依据。
3)接入层ND 防攻击在IPv6网络中,ARP 协议被ND 协议所替代,于是ND 防攻击就成为在IPv6网络部署时一个必不可少的组成部分。
目前ND 防攻击的主要功能有l 防欺骗攻击:通过DHCPSnooping/手工配置等手段,建立其可信表项,配合ND 异常报文过滤特性,对虚假的NA 报文进行过滤。
l 防DoS 攻击:通过限制网关上基于VLAN 或端口的ND 学习数量,保护网关上的ND 表项避免遭受DoS 攻击。
l 防DAD 攻击:防御的方法与欺骗攻击相同,通过绑定表项进行伪造的ND 报文过滤。
l 防RA 攻击:利用RATRUST 特性,利用可信端口进行RA 报文的转发。
网络出,门后橇心区 房层粢A 汇接5.双栈园区网中的无线部署当进行双栈园区网的无线网络部署时不仅需要考虑当前的普通IPv4网络中的应用,而且同时支持在IPv6网络中应用。
在IPv4/IPv6双栈园区网或纯IPv6园区网中,建议部署无线控制器+FITAP的集中式无线局域网。
这种部署结构对无线设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FITAP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。
在使用集中式无线网络部署时,FitAP设备为零配置设备,对于AP和AC建立IPv4隧道还是建立IPv6隧道,由FitAP自动进行选择,接入控制器则同时可以支持IPv4隧道和IPv6隧道。