IPV6实施部署案例

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2018/8/12,#,IPv6,网络规划与实施案例,目录,IPv6,网络规划,IPv6,部署案例,IPv6,网络规划考虑,IP,地址规划,地址分配原则,层次性,：网络地址的分配应有层次，,每个站点从,CERNET,分配的前缀都是,48bit,的，主机的前缀是,64bit,的，还有,16bit,可供分配子网使用。在层次化的分配后，路由前缀应当能够在汇聚层进行前缀汇聚。子网的划分可以根据物理位置，也可以根据功能,进行划分,。,连续性,：网络中子网地址的分配应具有连续性。,可扩展性,：在进行,IP,地址分配时，要考虑到后续的应用扩展，由于,IPv6,的地址空间巨大，所以相对于,IPv4,，,IPv6,网络的可扩展性的提高是巨大的。,唯一性,：分配给每一个网络设备的,IP,地址必须唯一。,地址分配方式,IPv6,网络提供了多种地址分配的手段，,在实际,部署中，可以进行如下选择：,建议,部署,DHCP,有状态地址分配，以提高地址分配安全性及可靠性。,在原有使用静态,IPv4,地址,的站点，,可以使用手工配置的,IPv6,地址，此地址可以通过,IPv4,地址生成，即将,IPv4,地址放入,IPv6,地址的低,32bit,。,其余可以,使用无状态自动地址分配。,IPv6,网络规划考虑,路由协议规划,路由协议部署原则,层次性,：与,IP,地址分配相关，路由协议的规划也应该有层次性。协议中应包含骨干区域和非骨干区域，在区域间进行路由聚合，以减少路由表大小。,可靠性,：要考虑到网络动荡时路由的可靠性。可以通过合理规划多出口、多路径、区域划分等方式来达到。,可扩展性,：在,进行协议规划时,，要考虑到后续,的路由扩展。通过网络划分、区域划分、路由度量值规划等实现。,安全性,：防止不必要的路由泄漏；路由协议自身的安全性。,路由协议部署建议,IPv6,中提供了多种路由协议，在部署中可以,进行如下选择：,自治系统间建议部署,BGP4,或静态路由。,自治系统内建议部署,OSPFv3,或,ISISv6,，根据情况进行区域划分。,Stub,网络建议部署静态路由或,RIPng,。,IPv6,网络规划考虑,DNS,规划,DNS,规划原则,可靠性,：,IPv4,与,IPv6,中的,DNS,服务要分开，增强健壮性。,可,扩展性,：尽量少用静态解析，多使用现有的,DNS,服务器资源。,安全性,：,DNS,服务器易遭受攻击，需重点保护。,DNS,部署建议,DNS,服务器部署：,建立新的,IPv6DNS,服务器，增加,IPv6,域名记录；增加到,IPv4DNS,服务器和公网,IPv6DNS,服务器的迭代记录,升级原有,IPv4DNS,服务器为双栈，增加相关,IPv6,域名记录,部署,NAT-PT,，连接,IPv4DNS,服务器与,IPv6DNS,服务器,DNS,用户部署：,向双栈及,IPv6,主机下发,IPv6DNS,服务器地址,双栈主机由操作系统和应用程序决定使用,IPv6,还是,IPv4DNS,解析,CERNET,CERNET2,802.1x,认证,802.1x,认证,iMC-CAMS,接入用户认证,：支持对网络接入的用户进行,802.1X,认证，以保证接入用户身份是可控的及可靠的。,双栈用户处理,：,802.1x,认证是基于链路层进行的，与网络层地址无关。在,IPv6,层面，客户端软件识别一个双栈用户的全球单播地址，并通过认证设备将其上传到认证服务器上。,用户绑定,：通过客户端将双栈用户的地址上传到服务器上，在服务器上能够将双栈用户的,IPv4/IPv6,地址进行绑定，提高了接入用户的可信性。适用于静态配置,IPv4/IPv6,用户地址的网络中。,用户审计,：通过记录双栈用户的登陆信息,(,用户名，双栈登陆地址，登陆时间等,),，结合网流分析系统，能够对用户的上网情况进行审计。,IPv6,网络规划考虑,接入,层,安全规划,安全管理平台,SecCenter,核心交换机,DMZ,数据中心,CERNET,CERNET2,SecBlade,集成化防火墙,SecBlade,集成化防火墙,汇聚层,IPv6,安全部署,：,利用,H3C SecBlade,插卡进行安全防御，结合,H3C S95E,及,S75E,实现安全一体化部署,能够与原有的,IPv4,的安全策略共存,IPv6,的网络过滤也在双栈防火墙上部署，无需增加新的硬件设备，同时,IPv6,的过滤策略对,IPv4,网络不产生任何影响,在防火墙上终结,ISATAP,，对隧道内的地址进行过滤，避免非法地址访问,IPv6,网络。,IPv6,网络规划考虑,汇聚,层,安全规划,出口防火墙,出口防火墙,安全管理平台,SecCenter,出口防火墙,核心交换机,DMZ,数据中心,CERNET,CERNET2,SecBlade,集成化防火墙,SecBlade,集成化防火墙,互联网出口防御,：,利用双栈防火墙进行互联网出口防御。对非法的,IPv6,入站报文进行过滤。,对,IPv4,的互联网流量，利用原有的防御规则。,在防火墙上终结,ISATAP,，对隧道内的地址进行过滤，避免非法地址访问,IPv6,网络。,在一些规模较小的网络中，也可以使用汇聚层防火墙插卡替代出口防火墙,IPv6,网络规划考虑,出口安全规划,出口防火墙,目录,IPv6,网络规划,IPv6,部署案例,部署特点,：,IPv4/v6,双栈,千兆接入，核心万兆线速转发,路由协议使用,OSPF/OSPFv3,IPv6,网络部署案例,1,整体说明,IPv6,地址设计：,申请的,IPv6,地址：,2001:DA8:E000:/48,互联网段使用,2001:DA8:E000:9000:/59,。各设备间互连地址使用,/64,地址段。,业务网段均使用,/64,地址段，采用无状态地址方式分配前缀；预留部分地址段以便于扩展。,全网使用,2001:DA8:E000:9040: /64,作为设备管理地址,(loopback,地址,),IPv6,网络部署案例,1,IPv6,地址规划,编号,设备名称,本端端口,互联,IPV6,地址,所连设备名称,VLAN ID,对端端口,互联,IPV6,地址,1,CNGI_Yuquan_S12508,TG2/0/4,2001:DA8:E000:9001:1/64,CNGI_Zijingang_S12508,100,TG3/0/4,2001:DA8:E000:9001:2/64,2,TG2/0/5,2001:DA8:E000:9002:1/64,YQ_Caozhu_603_S7503,101,TG2/0/1,2001:DA8:E000:9002:2/64,3,TG2/0/6,2001:DA8:E000:9003:1/64,YQ_CaoDong_310_S7503,102,TG2/0/1,2001:DA8:E000:9003:2/64,4,TG2/0/7,2001:DA8:E000:9004:1/64,YQ_jiaoshiyi_301_S7503,103,TG2/0/1,2001:DA8:E000:9004:2/64,5,G4/0/47,2001:DA8:E000:9005:1/64,YQ_jiaoshiyi_400_S5500,104,TG,2001:DA8:E000:9005:2/64,6,G4/0/45,2001:DA8:E000:9006:1/64,YQ_jiaoyi_320-1_S5500,105,TG,2001:DA8:E000:9006:2/64,7,G4/0/29,2001:DA8:E000:9007:1/64,YQ_Tushuguan_215_S5500,106,G1/0/49,2001:DA8:E000:9007:2/64,8,G4/0/31,2001:DA8:E000:9008:1/64,YQ_Tushuguan_201_S5500,107,G1/0/49,2001:DA8:E000:9008:2/64,9,TG2/0/8,2001:DA8:E000:9:2/64,清华比威,IPV6,出口,1000,2001:DA8:E000:9:1/64,10,CNGI_Zijingang_S12508,TG3/0/5,2001:DA8:E000:9010:1/64,ZJG_CAD_411_S7503,301,TG2/0/1,2001:DA8:E000:9010:2/64,11,TG3/0/6,2001:DA8:E000:9011:1/64,ZJG_Dongsan_301_S5500,302,G1/0/49,2001:DA8:E000:9011:2/64,IPv6,路由设计：,采用,OSPF v3,动态路由协议，同时汇聚层采用,IPv6,静态路由接入核心层,OSPFv3,区域编号与,IPv4,的,OSPF,区域编号保持一致,OSPFv3,使用的,Router ID,与,OSPF,相同,IPv6,网络部署案例,1,IPv6,路由规划,现状：,现用域名为,。内部有,DNS,服务器，提供给内部用户解析使用,外部,DNS,服务由中国万网,提供，只解析,IPv4,地址,IPv6,网络部署案例,2,DNS,规划,DNS,服务器设计：,外部,IPv4DNS,服务器（万网,DNS,服务器）负责,、,IP,及其他外网,IPv4,域名解析,内部,IPv4DNS,服务器负责内部,IPv4,用户的内部域名解析及其他域名解析的代理；上一级为外部,IPv4DNS,服务器,内部,IPv6DNS,服务器负责内部,IPv6,用户的,IP,解析及其他域名解析的代理；上一级为,CNGIIPv6DNS,服务器,CNGIIPv6DNS,服务器负责,IPv6,用户除,IP,外的域名解析,IPv6,网络部署案例,2,DNS,规划,用户,DNS,设计：,内部部署有,NAT-PT,内部,IPv4,用户的,DNS,服务器地址为内部,IPv4DNS,服务器；,内部双栈用户的,DNS,服务器地址为内部,IPv4DNS,服务器和内部,IPv6DNS,服务器地址；但访问时优先使用内部,IPv4DNS,服务器进行解析,内部纯,IPv6,用户的,DNS,服务器地址为内部,IPv6DNS,服务器地址,外部用户通过外部,IPv4DNS,服务器访问,IP,IPv6,网络部署案例,2,DNS,规划,由三层交换机通过无状态地址分配方式给一般用户分配,IPv6,前缀,重要的,iMC,服务器及部分用户配置静态地址，并在相应端口进行静态绑定,在接入层交换机,S5100,EI,上配置,ND Detection,和,ND Snooping,特性，使交换机建立可信任转发表项，过滤攻击源,在,S5100,EI,上配置,802.1x,，与,CAMS,配合实现认证、计费、,IPv6,地址上传等,IPv6,网络部署案例,3,整体说明,三,层交换机分配,IPv6,前缀,CERNET2,S5100,EI,一般用户,G1/0/1,G1/0/5,S5500,iMC,2001:250:7401:3,:100,网管,客户端,2001:250:7401:3:2,配置了静态,IPv6,地址和,MAC,地址的绑定后，交换机只转发被绑定主机发送的,ND,及业务报文，过滤其它报文,CERNET2,S5100,EI,正常用户,G1/0/1,G1/0/5,interface,GigabitEthernet1/0/48,ipv6 source static binding ip-address,2001:250:7401:3:2 mac-address 001f-16b3-519b,CERNET2,iMC,2001:250:7401:3,:100,网管,客户端,2001:250:7401:3:2,攻击,源,S5500,IPv6,网络部署案例,3,静态地址防攻击,配置了,ND Snooping,后，交换机根据最初接入主机的,ND,报文而建立可信任表项，只转发可信任表项中的主机发送的,ND,及业务报文，过滤其它报文,可防止地址欺骗攻击、,DAD,攻击,IPv6,网络部署案例,3,动态,地址防攻击,S5100,EI,正常用户,G1/0/1,G1/0/5,CERNET2,vlan,1,ipv6 nd snooping enable,CERNET2,iMC,2001:250:7401:3,:100,网管,客户端,2001:250:7401:3:2,攻击,源,S5500,在端口上配置,ND,学习的数量，限制上送,CPU,的,ND,报文，减轻设备负担,在网关上可以基于三层口配置，也可以基于物理端口配置,IPv6,网络部署案例,3,防,Dos,攻击,S5100,EI,正常用户,G1/0/1,G1/0/5,CERNET2,5500-Vlan-interface1ipv6,neighbors max-learning-num ?,INTEGER The max-learning-num under one interface,CERNET2,iMC,2001:250:7401:3,:100,网管,客户端,2001:250:7401:3:2,攻击,源,S5500,配置了,ND detection,后，交换机只在,Trust,端口转发,RA,报文,可防止人为网络连接错误、,RA,攻击,IPv6,网络部署案例,3,RA,Trust,S5100,EI,正常用户,G1/0/1,G1/0/5,CERNET2,vlan,1,ipv6 nd detection enable,interface GigabitEthernet1/0/1,ipv6 nd detection trust,CERNET2,iMC,2001:250:7401:3,:100,网管,客户端,2001:250:7401:3:2,攻击,源,S5500,采用,802.1x,认证可降低攻击风险,在,CAMS,上配置,IPv6,地址绑定，可限定一个登录用户只能使用指定的一个或多个,IPv6,地址，否则不予接入网络。,在,CAMS,上可查看到用户的,IPv6,地址,IPv6,网络部署案例,3,接入用户认证,S5100,EI,正常用户,G1/0/1,G1/0/5,CERNET2,iMC,2001:250:7401:3,:100,网管,客户端,2001:250:7401:3:2,S5500,