【正文】 L2L3層防御性能：支持2G性能并可線性擴(kuò)容，對于大型學(xué)校可支持5G處理能力教育CNGI互聯(lián)接口優(yōu)化功能：針對IPv4/IPv6出口流量，實(shí)現(xiàn)精細(xì)化的控制管理，支持對國內(nèi)常見P2P/加密P2P的識別與控制，并擁有本地化的應(yīng)用特征分析團(tuán)隊(duì)，可提供定期特征庫升級服務(wù)ACG 8800SeBlade ACG性能：支持2G性能并可線性擴(kuò)容，對于大型學(xué)校可支持4G處理能力服務(wù)器群或數(shù)據(jù)中心防護(hù)L2L3層防御功能：針對IPv6的防火墻部署，支持部署二層三層模式T5000SecBlade IPSL2L3層防御性能：支持10G性能并可線性擴(kuò)容，對于大型學(xué)?？芍С?0G處理能力L4L7層防御功能：針對IPv6報文上層內(nèi)容的深度檢測與過濾，支持與微軟MAPP、CVE等全文機(jī)構(gòu)的合作并取得其正式的認(rèn)證，支持與卡巴斯基等專業(yè)防毒企業(yè)的特征合作，集成漏洞庫、專業(yè)病毒庫、應(yīng)用協(xié)議庫。如果不支持IPv6勢必造成將來改造成本再投入。并無需另配專用虛擬化卡實(shí)現(xiàn)。并無需另配專用虛擬化卡實(shí)現(xiàn)。并無需另配專用虛擬化卡實(shí)現(xiàn)。所以此方案可行性不大，可能只有特殊的、小規(guī)模的網(wǎng)絡(luò)適合，在此僅作為一種理論方案探討。模式優(yōu)點(diǎn)：開銷小，管理簡單、IPv4和IPv6的邏輯界面清晰，原有網(wǎng)絡(luò)拓?fù)浜吐酚蓭缀鯚o需調(diào)整，客戶端只要簡單設(shè)置即可訪問全球IPv6資源。需要把IPv6客戶端的網(wǎng)關(guān)地址設(shè)置為新增IPv6交換機(jī)的地址。實(shí)現(xiàn)原理：對于雙棧終端，IPv4網(wǎng)關(guān)部署在匯聚3層IPv4交換機(jī)上。為了實(shí)現(xiàn)IPv6駐地網(wǎng)，新增1臺IPv6出口路由器。但屬于在原有IPv4網(wǎng)絡(luò)平滑支撐IPv6業(yè)務(wù)的有效手段。這種技術(shù)非常適合于在一個駐地網(wǎng)中使用，尤其在IPv4仍然是網(wǎng)絡(luò)主宰的今天。使用隧道完成的主機(jī)—路由器隧道，在主機(jī)的配置比較簡便易行，只需要確定隧道對端路由器接口的IPv4地址即可，同時對于主機(jī)的要求是必須都要有IPv4地址。操作者必須對IPv6有一定的配置經(jīng)驗(yàn)，并且能夠合理地規(guī)劃大量用戶端的6to4格式IPv6地址。配置靜態(tài)路由的作用是給主機(jī)指明到隧道的路由，跟ISATAP的不同，ISATAP主機(jī)的地址是自動從路由器獲得的、IPv6的網(wǎng)絡(luò)地址（前64位）與路由器一致，而6to4主機(jī)地址是配置獲得的，且網(wǎng)絡(luò)地址與路由器不同，所以必須指定路由。命令行下netsh interface ipv6到 `netsh interface ipv6 6to439。 進(jìn)入網(wǎng)絡(luò)配置命令行NETSH下C:\ netsh到 `netsh interface39。主機(jī)—路由器的6to4隧道應(yīng)用首先在6to4路由器上完成6to4隧道的配置（具體配置略），然后在主機(jī)上進(jìn)行相應(yīng)配置。與ISATAP隧道的典型應(yīng)用場景類似，6to4隧道也能提供主機(jī)—路由器的隧道部署方式。但是通常駐地網(wǎng)中主機(jī)和出口路由器之間建立隧道，跨越公網(wǎng)的可能性比較小。而且由于可以實(shí)現(xiàn)6to4 Relay的功能，使得6to4隧道可以在更加復(fù)雜的IPv6路由環(huán)境下提供IPv6孤島間的通信。起點(diǎn)在源站點(diǎn)的邊界路由器上、終點(diǎn)在目的站點(diǎn)的邊界路由器上。6to4隧道的作用就是解決孤立的IPv6站點(diǎn)、IPv6子網(wǎng)，在沒有Internet提供商提供IPv6服務(wù)的情況下的與其他孤立的IPv6站點(diǎn)、IPv6主干網(wǎng)內(nèi)部站點(diǎn)之間的通信問題。6to4隧道的地址格式6to4隧道只能將前綴為2002::/16的網(wǎng)絡(luò)連接起來，但在IPv6網(wǎng)絡(luò)中也會使用像2001::/16這樣的非6to4網(wǎng)絡(luò)地址。6to4隧道通過IPv6報文的目的地址中嵌入的IPv4地址，可以自動獲取隧道的終點(diǎn)。）6to4隧道分析和ISATAP隧道一樣，6to4隧道也是一種自動構(gòu)造隧道的方式。命令行下netsh interface ipv6到 `netsh interface ipv6 isatap39。)因此可以采用另外一種配置方式： 進(jìn)入網(wǎng)絡(luò)配置命令行NETSH下C:\ netsh到 `netsh interface39。我們需要設(shè)置這個接口所對應(yīng)的ISATAP路由器的IPv4地址：C:\ipv6 rlu 2 只需要一條命令，這就完成了主機(jī)的配置，此時這個ISATAP接口的信息變?yōu)椋篊:\ipv6 if 2Interface 2: Automatic Tunneling PseudoInterface Guid {48FCE3FCEC30E50EF1A771172AEEE3AE} does not use Neighbor Discovery uses Router Discovery routing preference 1 EUI64 embedded IPv4 address: router linklayer address: preferred global 2000::5efe:, life 29d23h53m18s/6d23h53m18s (public) preferred linklocal fe80::5efe:, life infinite link MTU 1500 (true link MTU 65515) current hop limit 64 reachable time 29000ms (base 30000ms) retransmission interval 1000ms DAD transmits 0 default site prefix length 48根據(jù)上述的配置方法，配置ISATAP隧道非常方便，只需要知道ISATAP路由器的IPv4地址就可以完成。主機(jī)上配置ISATAP隧道非常簡單：以Windows XP操作系統(tǒng)為例，在Windows XP上，ISATAP隧道的偽接口通常為接口2，只要在該接口上配置ISATAP路由器的IPv4地址（）即可完成主機(jī)側(cè)的配置。為實(shí)現(xiàn)位于IPv4駐地網(wǎng)內(nèi)部的雙棧主機(jī)與其他IPv6網(wǎng)絡(luò)的通信，或IPv6主機(jī)之間的通信，即可采用ISATAP主機(jī)—路由器的隧道部署方式。如果是內(nèi)部主機(jī)之間通訊，路由器的作用就是給主機(jī)自動分配ISATAP地址，主機(jī)利用得到的地址與其他主機(jī)通信。ISATAP隧道的地址格式ISATAP隧道可以用于在IPv4網(wǎng)絡(luò)中IPv6路由器—IPv6路由器、主機(jī)—路由器的連接。ISATAP地址格式為：Prefix（64bit）:0:5EFE:IPv4ADDR（IPv4ADDR即隧道端點(diǎn)的IPv4源地址， 或者xxxx:xxxx，其中xxxx:）。ISATAP隧道是點(diǎn)到點(diǎn)的自動隧道技術(shù)，通過在IPv6報文的目的地址中嵌入的IPv4地址，可以自動獲取隧道的終點(diǎn)。在IPv6的過渡技術(shù)中，隧道技術(shù)是一項(xiàng)比較重要的應(yīng)用，以下我們對兩種常用的隧道原理和實(shí)現(xiàn)方法進(jìn)行詳細(xì)闡述。在6to4/ISATAP路由器上需要配置IPv4 ACL以避免駐地網(wǎng)IPv4報文占用IPv6資源。駐地網(wǎng)內(nèi)所有三層設(shè)備由于均是IPv4設(shè)備，不能完成對IPv6報文的轉(zhuǎn)發(fā)，所以需要部署客戶端到路由器的自動隧道6to4/ISATAP來完成。 IPv6出口路由器通過GE鏈路連接原有IPv4核心交換機(jī)。 隧道模式拓?fù)浜喪觯涸芯W(wǎng)絡(luò)建設(shè)已經(jīng)成熟穩(wěn)定，所有駐地網(wǎng)三層設(shè)備均為IPv4設(shè)備。雙棧模式缺點(diǎn)：由于駐地網(wǎng)原有的網(wǎng)絡(luò)實(shí)際上都是IPv4網(wǎng)絡(luò)，要建設(shè)全雙棧網(wǎng)絡(luò)，必須將原有網(wǎng)絡(luò)設(shè)備淘汰棄用，投資過大，并有不同程度的設(shè)備資源浪費(fèi)。不同協(xié)議的數(shù)據(jù)轉(zhuǎn)發(fā)路徑可能一致，也可以不同。對于雙棧終端，IPv4網(wǎng)關(guān)和IPv6網(wǎng)關(guān)均部署在匯聚3層交換機(jī)上。其中IPv4網(wǎng)絡(luò)部分與原有駐地網(wǎng)IPv4部分融合。 IPv6出口路由器通過GE鏈路連接原有雙棧核心交換機(jī)。第7章 IPv6駐地網(wǎng)的主要過渡與遷移策略 全雙棧模式拓?fù)浜喪觯核旭v地網(wǎng)三層設(shè)備均為IPv4/v6雙棧設(shè)備。H3C 立體管理IPv6駐地網(wǎng)解決方案，實(shí)現(xiàn)IPv6駐地網(wǎng)的安全、可控、可管和可運(yùn)營，有效降低學(xué)校IPv6amp。而該技術(shù)是基于公有IPV6MIB（RFC2452）實(shí)現(xiàn)，只要第三方設(shè)備支持該MIB，就可以完成自動發(fā)現(xiàn)。IPv6網(wǎng)絡(luò)管理方案 H3C iMC在進(jìn)行IPv6網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)時，采用ND方式自動發(fā)現(xiàn)。IPv6業(yè)務(wù)管理方案 H3C IPv6網(wǎng)絡(luò)流量分析管理技術(shù)NTA over IPv6，支持分布式的SFLOW、分布式IPFIX、可彈性擴(kuò)容Netstream等多種方式進(jìn)行雙棧流量、純IPv6流量數(shù)據(jù)采集，使IPv6駐地網(wǎng)的業(yè)務(wù)分布情況、壓力情況、變化趨勢一目了然完全可視化。龐大的IPv6網(wǎng)元組成的網(wǎng)絡(luò)，有些部分是雙棧，而有些部分則是純IPv6協(xié)議，這樣一張新網(wǎng)絡(luò)需要實(shí)現(xiàn)有效管理，將會面臨由于IPv6地址空間龐大而難以用傳統(tǒng)技術(shù)生成拓?fù)涞膯栴}，以及廠家私有MIB充分管理利用的問題。而IPv6業(yè)務(wù)在管理的維度將成為新的“黑盒子”，學(xué)校某些關(guān)鍵鏈路出現(xiàn)異常流量，而管理者并不清楚這是因?yàn)樾聵I(yè)務(wù)正常增長而需要新的規(guī)劃，還是因?yàn)槟承┌踩[患導(dǎo)致的異常；對于IPv6熱點(diǎn)應(yīng)用服務(wù)，也缺乏有效的服務(wù)質(zhì)量保障。比如基于IPv6的用戶可控運(yùn)營、IPv6非法網(wǎng)絡(luò)行為審計(jì)、ND攻擊與偽DHCPv6服務(wù)等造成的安全隱患、IPv4與IPv6網(wǎng)絡(luò)使用授權(quán)不統(tǒng)一的問題。 IPv6駐地網(wǎng)管理挑戰(zhàn) 管理好IPv6用戶資源 在原有IPv4網(wǎng)中，用戶管理一直是管理聚焦的環(huán)節(jié)，很多管理員和供應(yīng)商都設(shè)計(jì)、開發(fā)了相關(guān)技術(shù)以解決用戶網(wǎng)絡(luò)使用授權(quán)與運(yùn)營、網(wǎng)絡(luò)行為審計(jì)、用戶攻擊行為、安全準(zhǔn)入等問題。正式由于業(yè)務(wù)與用戶的迅猛增長，致使雙棧網(wǎng)絡(luò)還是隧道過渡，已經(jīng)不再是關(guān)注的重點(diǎn)。第6章 IPv6駐地網(wǎng)的管理 概述 隨著CNGI骨干網(wǎng)的成功運(yùn)行、IPv6駐地網(wǎng)出口改造完成，各校級駐地網(wǎng)建設(shè)也陸續(xù)完善起來。通過在園區(qū)網(wǎng)部署可控組播技術(shù)，能夠同時對網(wǎng)絡(luò)中的組播源及接收者同時進(jìn)行控制，使得在網(wǎng)絡(luò)中部署組播業(yè)務(wù)時，能夠達(dá)到可部署，可管理，可運(yùn)營的效果?？煽亟M播的典型部署場景如上圖所示，對組播源的控制上，使用靜態(tài)組播授權(quán)，在駐地網(wǎng)出口及駐地網(wǎng)接入層進(jìn)行過濾，對校外及校內(nèi)的非法組播源進(jìn)行過濾。在對組播用戶的計(jì)費(fèi)上，可以使用原有的計(jì)費(fèi)系統(tǒng)進(jìn)行計(jì)費(fèi)，對于使用單播包月計(jì)費(fèi)的用戶，在計(jì)費(fèi)時，添加組播的費(fèi)率就可以實(shí)現(xiàn)對組播用戶的計(jì)費(fèi)。在組播權(quán)限控制模塊上，用戶的組播權(quán)限在以套餐的形式表示，即針對與多個組播組，可以定義為一個組播套餐，這些組播套餐使用UserProfile標(biāo)識，UserProfile會隨認(rèn)證結(jié)果動態(tài)的下發(fā)到接入設(shè)備上。這種授權(quán)是一種靜態(tài)的組播接收者控制，通過這種方式，可以部分實(shí)現(xiàn)可控組播的功能。當(dāng)使用非H3C交換機(jī)時，可能不支持如上所述的動態(tài)組播權(quán)限下發(fā)，在這種情況下，如果交換機(jī)支持對IPv6組播報文的過濾，也是能夠?qū)崿F(xiàn)部分的可控組播功能。4． 當(dāng)用戶下線后，在接入設(shè)備上將已經(jīng)下發(fā)的用戶User Profile刪除。3． 當(dāng)用戶需要接收組播流量時，發(fā)送MLD的組播組通告報文，當(dāng)MLD報文經(jīng)過接入交換機(jī)時，接入交換機(jī)通過比較下發(fā)的針對此用戶的User Profile包含的過濾信息，將已經(jīng)授權(quán)的組播加入報文發(fā)送到上游PIM設(shè)備。如下圖所示，一個組播用戶在網(wǎng)絡(luò)中獲得組播權(quán)限的過程如下：可控組播技術(shù)簡介1． 當(dāng)用戶接入網(wǎng)絡(luò)時。用戶可以根據(jù)不同的應(yīng)用場景為User Profile配置不同的內(nèi)容，比如CAR（Committed Access Rate，承諾訪問速率）策略和QoS（Quality of Service，服務(wù)質(zhì)量）策略等。H3C結(jié)合用戶認(rèn)證技術(shù)提供了對組播接收者的控制技術(shù)，當(dāng)一個用戶接入網(wǎng)絡(luò)時，在確認(rèn)身份后，結(jié)合組播控制服務(wù)器，對特定用戶的組播權(quán)限進(jìn)行實(shí)時控制。這樣就限制了在一個園區(qū)網(wǎng)內(nèi)部，只能使用被授權(quán)的組播流量。H3C目前提供的組播源的控制方法如下：目前H3C對組播源控制采用靜態(tài)授權(quán)：即園區(qū)網(wǎng)管理者為組播源分配源地址、組播地址、帶寬等必要信息之后，通過在與組播源直接相連的邊緣交換機(jī)上配置ACL，完成長期性的授權(quán)，直到組播提供者終止組播業(yè)務(wù)時取消授權(quán)。當(dāng)組播業(yè)務(wù)的提供者將組播流量發(fā)送到網(wǎng)絡(luò)中后，需要提供給組播接收者接收組播數(shù)據(jù)的方式，一般來說，建議采用WEB網(wǎng)頁的方式進(jìn)行組播業(yè)務(wù)的的發(fā)布。在一個組播業(yè)務(wù)需要被發(fā)布之前，組播的提供者必須向園區(qū)網(wǎng)的管理者申請，管理者經(jīng)過對組播業(yè)務(wù)的評審后，提供用于組播源發(fā)送的相關(guān)參數(shù)，包括組播源地址，組播組地址，所用帶寬等必要信息。通過部署可控組播技術(shù)，園區(qū)網(wǎng)的管理者能夠?qū)尤刖W(wǎng)絡(luò)的組播流量及接收者進(jìn)行控制，達(dá)到對組播業(yè)務(wù)的可部署，可管理，可運(yùn)營要求。4． 抑制二層組播報文，使其無法在接入層泛濫。2． 對組播接收者的嚴(yán)格控制，能夠阻止特定的用戶對未授權(quán)的組播流量的獲取。圖8 MLD Snooping技術(shù)簡介 在XX學(xué)校部署IPv6可控組播的建議H3C可控組播技術(shù)解決在園區(qū)網(wǎng)的部署組播的同時，需要對組播進(jìn)行控制的環(huán)境中，對組播流量進(jìn)行控制。運(yùn)行MLD Snooping的二層設(shè)備通過對收到的MLD報文進(jìn)行分析，為端口和MAC組播地址建立起映射關(guān)系，并根據(jù)這樣的映射關(guān)系轉(zhuǎn)發(fā)IPv6組播數(shù)據(jù)。MLD Snooping技術(shù)MLD Snooping是Multicast Listener Discovery Snooping（組播偵聽者發(fā)現(xiàn)協(xié)議窺探）的簡稱。指定源組播的組播流量路徑如果主機(jī)與路由器之間運(yùn)行的是MLDv1，Host B加入IPv6組播組G時無法對IPv6組播源進(jìn)行選擇，因此無論Host B是否需要，來自Source 1和Source 2的IPv6組播信息都將傳遞給Host B。當(dāng)主機(jī)加入IPv6組播組時：若要求只接收來自指定IPv6組播源如SS……發(fā)來的IPv6組播信息，則其報告報文中可以標(biāo)記為INCLUDE Sources（S1，S2，……） 若拒絕接收來自指定IPv6組播源如SS……發(fā)來的IPv6組播信息，則其報告報文中可以標(biāo)記為