【正文】 H3C通過部署AP與無線交換機互聯(lián)基于IPv6的隧道，支持IPv6環(huán)境下的無線組網(wǎng)需求IPv6 ACL、IPv6組播——無線網(wǎng)實現(xiàn)IPv6，需要對用戶按照不同策略進行訪問控制支持ACLDNSTracertTelnetTFTP IPvFTP IPvDHCP clientPing6有線無線一體化實現(xiàn)統(tǒng)一認證管理實現(xiàn)PoE管理——大規(guī)模無線高密度覆蓋，必須靠電信級PoE交換機完成供電，且通過PoE供電設(shè)備隨時可以完成故障AP的遠程重啟實現(xiàn)有線無線統(tǒng)一網(wǎng)管無線網(wǎng)安全防御能力無線接入支持豐富封裝技術(shù)（WEP、Dynamic WEP、TKIP、CCMP)，防止無線報文被監(jiān)聽和篡改支持用戶身份鑒別和安全準入（PSK＋MAC authentication、＋11Key handshake、Static/ Dynamic blacklist），業(yè)務(wù)隔離，限制用戶互訪支持WAPI標準部署、室外部署支持專業(yè)的室外防雷防水防塵套件支持雙模接入（、）駐地網(wǎng)安全防御教育CNGI互聯(lián)接口防護L2L3層防御功能：針對IPv6的防火墻部署，支持部署二層三層模式F5000SecBlade FWL2L3層防御性能：支持10G性能并可線性擴容，對于大型學(xué)?？芍С?0G處理能力L4L7層防御功能：針對IPv6報文上層內(nèi)容的深度檢測與過濾，支持與微軟MAPP、CVE等全文機構(gòu)的合作并取得其正式的認證，支持與卡巴斯基等專業(yè)防毒企業(yè)的特征合作，集成漏洞庫、專業(yè)病毒庫、應(yīng)用協(xié)議庫。安全性：支持集成硬件的IPv6/IPv4防火墻與IPS入侵檢測IPv6業(yè)務(wù)：支持OSPFvRIPng、BGP4+等IPv6主要路由協(xié)議IPv6業(yè)務(wù)：支持PIMSM、PIMDM、MLD等IPv6主要組播協(xié)議IPv6業(yè)務(wù)：支持ISATAP、6to4等IPv6主要隧道過渡技術(shù)接入網(wǎng)性能：支持密度GE的線速轉(zhuǎn)發(fā)S5500EIE500可靠性：支持IRF智能彈性架構(gòu)或虛擬交換技術(shù)，將多臺物理交換虛擬為統(tǒng)一交換，并實現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一配置管理、分布式二層三層轉(zhuǎn)發(fā)。第8章 IPv6駐地網(wǎng)設(shè)施的關(guān)鍵技術(shù)考查點建設(shè)環(huán)節(jié)設(shè)施關(guān)鍵技術(shù)考查點推薦H3C設(shè)備駐地網(wǎng)交換系統(tǒng)核心網(wǎng)性能：支持高密度10GE和GE的線速轉(zhuǎn)發(fā)S12500S9500ES7500E性能：支持所有板卡的分布式轉(zhuǎn)發(fā)性能：支持端口緩存200ms能力，實現(xiàn)無損以太網(wǎng)（大型駐地網(wǎng)）可靠性：支持交換矩陣與主控的分離，并可擴展（大型駐地網(wǎng)）可靠性：支持IRF智能彈性架構(gòu)或虛擬交換技術(shù)，將多臺物理交換虛擬為統(tǒng)一交換，并實現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一配置管理、分布式二層三層轉(zhuǎn)發(fā)。在新增IPv6交換機上可以不必配置IPv4地址以避免駐地網(wǎng)IPv4報文占用IPv6資源。 IPv6出口路由器通過GE鏈路連接新增雙棧交換機，再由雙棧交換機把原有接入交換機新配置的上行鏈路進行匯聚（原有上行鏈路不變），這條鏈路需要Trunk所有擁有IPv6終端的VLAN。隧道模式缺點：隧道技術(shù)屬于過渡技術(shù)，不是最終的理想方案；隧道兩端點設(shè)備需要花費額外的系統(tǒng)開銷。隧道模式優(yōu)點：保護原有投資（不用把原有設(shè)備升級換代），原有網(wǎng)絡(luò)拓撲和路由幾乎無需調(diào)整，客戶端只要簡單設(shè)置即可訪問全球IPv6資源。命令行下netsh interface ipv6 6to4設(shè)置6to4隧道地址netsh interface ipv6　6to4add address 3 2002:201:102::1其中3是6to4隧道的偽接口，這相當于在路由器上配置隧道口IPv6地址配置靜態(tài)路由使PC有到2002::/16的網(wǎng)段netsh interface ipv6　6to4add route 2002::/16 3配置完成后可以看到PC上6to4端口狀態(tài)如下：C:\ipv6 if 3Interface 3: 6to4 Tunneling PseudoInterface Guid {A995346E9F3E2EDB47D19CC7BA01CD73} does not use Neighbor Discovery does not use Router Discovery routing preference 1 preferred global 2002:201:102::1, life infinite (manual) link MTU 1280 (true link MTU 65515) current hop limit 128 reachable time 37500ms (base 30000ms) retransmission interval 1000ms DAD transmits 0 default site prefix length 48注：使用這種方式配置，主機重啟后相關(guān)配置依然存在，不影響6to4隧道的建立和使用。依然以Windows XP操作系統(tǒng)為例，在Windows XP上，6to4隧道的偽接口通常為接口3。還有一種運用模式，如下圖所示。6to4隧道的應(yīng)用因此在實際網(wǎng)絡(luò)中，這種隧道可以很好地解決IPv6的分支網(wǎng)絡(luò)間通過IPv4網(wǎng)絡(luò)建立6to4隧道實現(xiàn)互聯(lián)。為了使這些地址可達，必須有一臺6to4路由器作為網(wǎng)關(guān)轉(zhuǎn)發(fā)到IPv6網(wǎng)絡(luò)的報文，從而實現(xiàn)6to4網(wǎng)絡(luò)（地址前綴以2002開始）與IPv6網(wǎng)絡(luò)的互通，這臺路由器就叫做6to4中繼（6to4 Relay）路由器。6to4隧道是點到多點的自動隧道，主要用于將多個IPv6孤島通過IPv4網(wǎng)絡(luò)連接到IPv6網(wǎng)絡(luò)。 命令行下netshinterface到 `netsh interface ipv639。先看看這個ISATAP接口的信息：C:\ipv6 if 2Interface 2: Automatic Tunneling PseudoInterface Guid {48FCE3FCEC30E50EF1A771172AEEE3AE} does not use Neighbor Discovery does not use Router Discovery routing preference 1 EUI64 embedded IPv4 address: router linklayer address: preferred linklocal fe80::5efe:, life infinite link MTU 1280 (true link MTU 65515) current hop limit 128 reachable time 27500ms (base 30000ms) retransmission interval 1000ms DAD transmits 0 default site prefix length 48 可以看到已經(jīng)自動生成了一個ISATAP格式的linklocal地址（fe80::5efe:）。主機—路由器的ISATAP隧道應(yīng)用在IPv6網(wǎng)絡(luò)的建設(shè)初期，出于投資的考慮，可能很難實現(xiàn)對原有IPv4網(wǎng)絡(luò)整體升級至IPv6/IPv4雙棧的模式，因此多采用將駐地網(wǎng)的匯聚層或出口設(shè)備（如，路由器）首先升級至雙棧的模式，而匯聚層設(shè)備以下仍保持原有的IPv4網(wǎng)絡(luò)。通過這個嵌入的IPv4地址就可以自動建立隧道，完成IPv6報文的傳送。ISATAP隧道分析隨著IPv6技術(shù)的推廣，現(xiàn)有的IPv4網(wǎng)絡(luò)中將會出現(xiàn)越來越多的IPv6主機，ISATAP隧道技術(shù)為這種應(yīng)用提供了一個較好的解決方案。需要把IPv6客戶端的網(wǎng)關(guān)地址設(shè)置為6to4/ISATAP路由器（新增IPv6路由器）的地址。為了實現(xiàn)IPv6駐地網(wǎng)，新增1臺IPv6出口路由器。雙棧模式優(yōu)點：從技術(shù)角度這是最理想的方案，不必為不同類型的用戶單獨部署網(wǎng)絡(luò)配置，開銷小，管理簡單、IPv4和IPv6的邏輯界面清晰。這樣對于新建的駐地網(wǎng)中雙棧用戶可以同時訪問訪問IPv6和IPv4網(wǎng)絡(luò)。為了實現(xiàn)IPv6駐地網(wǎng)，新增1臺IPv6出口路由器。而基于IPv6 ND的遞歸發(fā)現(xiàn)方式計算工作量大幅減小，極大提升了學(xué)校的管理工作效率。而對于IPv6業(yè)務(wù)集中的雙棧數(shù)據(jù)中心，采用同時支持IPv4/IPv6的服務(wù)器負載均衡方案，幫助駐地網(wǎng)IPv6新熱點業(yè)務(wù)大幅提升用戶體驗。 管理好IPv6網(wǎng)絡(luò)資源 每個學(xué)校都會有多個廠家提供的IPv6設(shè)備，數(shù)量規(guī)模不一，少則數(shù)十臺多則近千臺。而IPv6駐地網(wǎng)建設(shè)初期是以基礎(chǔ)平臺搭建為重點，缺乏對用戶管理的有效手段，存在一定的用戶資源不可控風(fēng)險。國家在CNGI與IPv6試商用的整體重視和投入，極大推進了學(xué)校IPv6業(yè)務(wù)與用戶的蓬勃發(fā)展。與組播權(quán)限控制模塊及用戶認證模塊進行配合，對駐地網(wǎng)內(nèi)部的用戶進行組播權(quán)限的動態(tài)下發(fā)，達到控制組播用戶接入權(quán)限的目的。當用戶需要申請組播服務(wù)時，管理員將用戶關(guān)聯(lián)已經(jīng)配置好的UserProfile即可。通過在交換機接口上配置ACL，做到對組播報文的過濾，能夠控制到基于端口的組播轉(zhuǎn)發(fā)。當用戶的MLD通告報文中的組播組未被授權(quán)，則接入交換機上丟棄此MLD報文，阻止未被授權(quán)的組播流被發(fā)送給終端用戶。在設(shè)備上配置的組播權(quán)限是包含在User Profile中的，當用戶上線時，會通過H3C iMC下發(fā)對應(yīng)的User Profile，對用戶的組播權(quán)限進行動態(tài)授權(quán)。組播接收者控制對組播接收者進行控制，主要是在網(wǎng)絡(luò)邊緣設(shè)備上對終端用戶的組播接收權(quán)限進行控制，對用戶的組播權(quán)限控制應(yīng)是動態(tài)的過程，在用戶使用組播前動態(tài)下發(fā)到網(wǎng)絡(luò)邊緣設(shè)備上并且應(yīng)當能夠與現(xiàn)有的認證計費系統(tǒng)配合，做到對組播用戶的計費。針對組播源的控制用于保證只有已申請并被授權(quán)的組播源才能夠發(fā)組播報文進入網(wǎng)絡(luò)。組播源控制對組播源的控制的實質(zhì)是對網(wǎng)絡(luò)中組播節(jié)目的控制，保證只有被授權(quán)的節(jié)目才能夠在網(wǎng)絡(luò)中傳輸。3． 對用戶身份的控制，能夠針對用戶的身份進行組播的授權(quán)。如下圖所示，當二層設(shè)備沒有運行MLD Snooping時，IPv6組播數(shù)據(jù)報文在二層被廣播；當二層設(shè)備運行了MLD Snooping后，已知IPv6組播組的組播數(shù)據(jù)報文不會在二層被廣播，而在二層被組播給指定的接收者。當主機與路由器之間運行了MLDv2之后，Host B就可以要求只接收來自Source 發(fā)往G的IPv6組播信息（S1，G），或要求拒絕來自Source 發(fā)往G的IPv6組播信息（S2，G），這樣就只有來自Source 1的IPv6組播信息才能傳遞給Host B了。目前MLD有以下兩個版本：MLDv1（RFC 2710）對應(yīng)IGMP v2MLDv2（RFC 3810）對應(yīng)IGMP v3 MLDv2原理簡介MLDv2的原理與MLDv1基本相同，并新增了一些特性：對IPv6組播源的過濾MLDv2增加了針對IPv6組播源的過濾模式（INCLUDE/EXCLUDE），使主機在加入某IPv6組播組G的同時，能夠明確要求接收或拒絕來自某特定IPv6組播源S的IPv6組播信息。圖7 IPv6組播MAC地址如上圖所示，IPv6的組播MAC地址為將128 bit的IPv6組播地址的低32bit：F30E0101直接映射到了MAC地址的低32bit中。表1 Scope字段的取值及其含義(4) Group ID：112比特，組播組標識號。 P bit：取0表示非基于單播前綴的組播地址；取1則表示基于單播前綴的組播地址，此時T位也必須置1。 最高位為保留位，必須為 0。發(fā)往組播地址的報文被組播地址標識的所有接口接收。 組播源向一組確定的接收者發(fā)送信息，而如何來標識這組確定的接收者？178。組播技術(shù)有效地解決了單點發(fā)送、多點接收的問題，實現(xiàn)了IP網(wǎng)絡(luò)中點到多點的高效數(shù)據(jù)傳送，能夠大量節(jié)約網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)負載。用戶安全執(zhí)行中心記錄防火墻發(fā)送的NAT前后地址信息，記錄ACG發(fā)送的網(wǎng)頁IP、域名、訪問用戶、訪問時間等信息，滿足公安部82號令要求。ACG基于用戶、IP、應(yīng)用、時間段的任意組合進行多維度細粒度的控制，可提供阻斷、限流等多種控制方式，并可提供應(yīng)用控制黑白名單功能，實現(xiàn)對于P2P的帶寬控制。行為審計根據(jù)公安部82號令的要求，網(wǎng)絡(luò)管理者或者運營者必須記錄并留存用戶登錄和退出時間、主叫號碼、帳號、互聯(lián)網(wǎng)地址或域名等信息，能夠記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對應(yīng)關(guān)系，并保留3個月以上的上網(wǎng)日志信息備查。行為識別：ACG采用H3C專利技術(shù)UAAE（智能應(yīng)用感知引擎），具備強大的應(yīng)用識別能力，可識別P2P、非法網(wǎng)站訪問等行為；行為控制：ACG通過阻斷、限流、過濾等方式實現(xiàn)用戶行為精細化控制控制，有效解決帶寬濫用、訪問非法網(wǎng)站感染病毒等問題；行為審計：用戶安全執(zhí)行中心對ACG檢測出的網(wǎng)絡(luò)安全事件進行深入分析并輸出審計報告，同時收集防火墻發(fā)送的NAT日志，幫助管理員全面了解用戶行為和流量趨勢，為加強整網(wǎng)安全、滿足合規(guī)性要求提供決策依據(jù)。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴大，使網(wǎng)絡(luò)安全問題變得越來越重要。當進行了RA Trust與DHCP Trust后，DHCP的服務(wù)器端報文與RA報文只能從配置了TRUST的端口進入，避免了DHCP服務(wù)器欺騙與RA攻擊，提升了局域網(wǎng)安全性。在建立了綁定表項之后，能夠保證一個已經(jīng)獲取了IP地址的用戶只能使用已獲取的地址進行通信，過濾掉所有的不在綁定表項中的IPv6的非法用戶發(fā)送的IP報文。通過這張表項，結(jié)合ND Detection技術(shù)，對異常的ND報文進行過濾，達到防止ND攻擊的效果。再配合RA trust與DHCP trust對RA報文與DHCP報文進行限制，從而解決不同環(huán)境下的ND防攻擊問題。圖4 泛洪攻擊示意圖攻擊者通過偽造大量的NS/RS報文，發(fā)送給網(wǎng)關(guān)，使得網(wǎng)關(guān)的表項溢出，造成網(wǎng)關(guān)無法提供正常的服務(wù)。圖3 RA攻