【正文】 EXCLUDE Sources（S1，S2，……）如下圖所示，網(wǎng)絡(luò)中存在Source 1（S1）和Source 2（S2）兩個IPv6組播源，均向IPv6組播組G發(fā)送IPv6組播報文。通過MLD協(xié)議，在路由器中記錄的信息是某個組播組是否在本地有組成員，而不是組播組與主機(jī)之間的對應(yīng)關(guān)系。組播組管理協(xié)議組成員關(guān)系管理是指在路由器/交換機(jī)上建立直聯(lián)網(wǎng)段內(nèi)的組成員關(guān)系信息，具體說，就是管理各接口/端口下有哪些組播組的成員。如下圖所示，是IPv6組播地址FF1E::F30E:101的MAC地址映射舉例。用來在由Scope字段所指定的范圍內(nèi)唯一標(biāo)識組播組，該標(biāo)識可能是永久分配的或臨時的，這由Flags字段的T位決定。(3) Scope：4比特，用于標(biāo)識此組播組的應(yīng)用范圍，其取值及含義如表1所示。252。252。252。如圖2所示，F(xiàn)lags字段中各位的取值如下：圖6 Flags字段格式252。圖5 IPv6組播地址格式IPv6組播地址的格式如上圖所示，其中各字段的含義如下：(1) 0xFF：最高8比特為11111111，標(biāo)識此地址為組播地址。一個節(jié)點可能屬于多個組播組。 接收者通過加入組播組來實現(xiàn)對組播信息的接收，而接收者是如何動態(tài)地加入或離開組播組的？178。 IPv6組播技術(shù)介紹組播技術(shù)的實現(xiàn)需要解決以下幾方面問題：178。作為一種與單播和廣播并列的通信方式，組播的意義不僅在于此。第5章 IPv6組播業(yè)務(wù)部署 組播技術(shù)概述組播是指在IP網(wǎng)絡(luò)中將數(shù)據(jù)包以盡力傳送的形式發(fā)送到某個確定的節(jié)點集合（即組播組），其基本思想是：源主機(jī)（即組播源）只發(fā)送一份數(shù)據(jù)，其目的地址為組播組地址；組播組中的所有接收者都可收到同樣的數(shù)據(jù)拷貝，并且只有組播組內(nèi)的主機(jī)可以接收該數(shù)據(jù)，而其它主機(jī)則不能收到。用戶安全執(zhí)行中心記錄防火墻發(fā)送的NAT前后地址信息，記錄ACG發(fā)送的發(fā)送的郵件服務(wù)器IP、用戶IP、收發(fā)件人、郵件標(biāo)題、附件標(biāo)題、時間等信息，滿足公安部82號令要求。ACG進(jìn)行URL及關(guān)鍵字過濾、上傳下載文件過濾、并可根據(jù)不同的URL策略和時間表設(shè)置不同的響應(yīng)方式，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡(luò)的健康使用。用戶安全執(zhí)行中心根據(jù)ACG發(fā)送的信息，提供P2P的分布和趨勢、P2P協(xié)議的排名、單協(xié)議的流量分布和趨勢、TOPN用戶分布、用戶流量數(shù)據(jù)和趨勢等分析，幫助管理員分析網(wǎng)絡(luò)中的P2P流量。實踐應(yīng)用之：P2P帶寬濫用訪問控制ACG根絕特征識別網(wǎng)絡(luò)中的各種P2P應(yīng)用協(xié)議和流量，可支持Thunder（迅雷）、BitTorrent、eMule（電騾）、eDonkey（電驢）、PPLive等常見P2P應(yīng)用。用戶安全執(zhí)行中心收集ACG記錄的用戶應(yīng)用訪問信息和防火墻發(fā)送的NAT日志，對HTTP、Email、FTP、IM等行為進(jìn)行分析，記錄網(wǎng)頁域名、地址、郵件收發(fā)人、主題、附件名、FTP上傳下載文件等內(nèi)容，實時輸出用戶行為審計報告，滿足公安部第82號令和駐地網(wǎng)上網(wǎng)行為審計要求。根據(jù)駐地網(wǎng)的實際情況，在ACG上配置流控策略和過濾策略，ACG在識別用戶行為后根據(jù)相關(guān)策略，對用戶行為進(jìn)行細(xì)粒度的控制。管控基本原理行為識別在出口上實現(xiàn)用戶行為管控，首先必須對用戶行為做到精確識別，ACG通過深度應(yīng)用流量識別，可根據(jù)特征識別網(wǎng)絡(luò)中的各種P2P應(yīng)用協(xié)議和流量，同時可以通過深度行為分析識別用戶各種上網(wǎng)行為；防火墻對相關(guān)應(yīng)用進(jìn)行NAT地址轉(zhuǎn)換并作記錄。 外網(wǎng)流量分析控制包括了應(yīng)用控制網(wǎng)關(guān)和用戶安全執(zhí)行中心，完成行為識別、行為控制、行為審計三大環(huán)節(jié)。然而網(wǎng)絡(luò)安全問題，也明顯出現(xiàn)了上升態(tài)勢，經(jīng)常可以在網(wǎng)絡(luò)中心的工作記錄上看到像網(wǎng)上發(fā)布非法言論、發(fā)送帶病毒附件的郵件、P2P帶寬濫用、DDoS攻擊、PC機(jī)不裝殺毒軟件、Windows終端不打補(bǔ)丁、ARP攻擊、篡改IP/MAC地址等各種網(wǎng)絡(luò)信息安全相關(guān)問題。 IPv6外網(wǎng)流量的分析控制隨著園區(qū)IT技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著科研人員的工作方式和生活方式，豐富的數(shù)字化應(yīng)用成為當(dāng)今數(shù)字化發(fā)展的一個主題。綜上所述，H3C的ND防攻擊解決方案，通過在網(wǎng)絡(luò)設(shè)備學(xué)習(xí)可信的用戶接入表項，同時配合ND Detection技術(shù)，對非法報文進(jìn)行過濾，提高了用戶側(cè)ND報文的可信性及安全性。RA Trust與DHCP TrustRA Trust與DHCP Trust的功能不同，但是思路是相同的，管理員可以在相應(yīng)的連接DHCP服務(wù)器或網(wǎng)關(guān)的接口上進(jìn)行配置，通過手工指定連接DHCP服務(wù)器與連接發(fā)送RA的設(shè)備的接口接口(通常是網(wǎng)關(guān))，能夠避免網(wǎng)絡(luò)中DHCP報文與RA報文的任意發(fā)送。ND Detection是H3C在ND防攻擊方面的創(chuàng)新技術(shù)，通過結(jié)合已經(jīng)建立的綁定表項，這個綁定表項可以是使用ND snooping，DHCP snooping，手工來進(jìn)行配置的，通過比較已經(jīng)獲取到的可信表項中的IP與MAC地址，對ND報文進(jìn)行過濾，丟棄異常的報文。手工綁定表項：手工綁定是一種常用的技術(shù)，在一些規(guī)模不大的網(wǎng)絡(luò)中，或者對安全性要求較高且不經(jīng)常變化的網(wǎng)絡(luò)中，使用手工綁定來建立可信表項。H3C的ND snooping與DHCP snooping是一種動態(tài)獲取用戶IP、MAC、Port對應(yīng)關(guān)系的技術(shù)，下面分別對這兩種技術(shù)進(jìn)行簡要描述：ND snooping：ND協(xié)議報文的交互過程在上文已經(jīng)進(jìn)行了描述，在ND snooping中，監(jiān)聽ND協(xié)議的DAD交互過程，獲取用戶的IP、MAC、Port的對應(yīng)關(guān)系。H3C通過ND snooping、DHCP snooping、手工配置等手段在接入層交換機(jī)上建立的一張IP、MAC、Port的可信表項，獲取可靠的用戶IP地址與MAC地址的對應(yīng)關(guān)系。同時，為了避免網(wǎng)關(guān)的ND表項被異常的ND報文打滿溢出造成DoS攻擊，在網(wǎng)關(guān)上能夠針對端口配置最大的ND表項學(xué)習(xí)數(shù)量，能夠緩解此類攻擊。H3C公司解決這一關(guān)鍵問題的思路是，通過自動的ND 監(jiān)控模式、DHCP監(jiān)控模式與手工配置的方式，獲取到合法用戶的IPMAC對應(yīng)關(guān)系。 ND防攻擊解決方案通過對上述的ND攻擊類型的介紹。 針對網(wǎng)關(guān)的泛洪攻擊通過發(fā)送大量的NS/RS報文，造成網(wǎng)關(guān)的表項溢出。 2)偽造網(wǎng)關(guān)的MAC及l(fā)ifetime，造成受害主機(jī)的默認(rèn)網(wǎng)關(guān)改變。如果受害者接收了虛假的RA信息，會造成網(wǎng)絡(luò)配置錯誤，從而引發(fā)欺騙攻擊。這兩種情況，受害主機(jī)都無法獲取地址，進(jìn)行正常的網(wǎng)絡(luò)通信。 DAD攻擊當(dāng)受害主機(jī)進(jìn)行DAD查詢的時候，攻擊者通過NS或NA報文進(jìn)行干擾，使得受害主機(jī)的DAD過程失敗，無法獲取到IP地址，這種攻擊的概率和NS/NA的欺騙攻擊相比，相對較少。 地址欺騙攻擊攻擊者可以使用RS/NS/NA報文來修改受害主機(jī)或網(wǎng)關(guān)上受害主機(jī)的MAC地址，造成受害主機(jī)無法與網(wǎng)絡(luò)進(jìn)行正常的通信。針對ARP攻擊，大部分的網(wǎng)絡(luò)設(shè)備廠商都推出了自己的ARP防攻擊解決方案，在很大程度上解決了ARP攻擊的問題。當(dāng)然，作為IPv6的基礎(chǔ)性協(xié)議，ND還提供了其他功能，如前綴發(fā)現(xiàn)、鄰居不可達(dá)檢測、重復(fù)地址檢測、地址自動配置等。 IPv6骨干安全防護(hù)的部署n 互聯(lián)網(wǎng)出口防御：n 利用雙棧防火墻/IPS進(jìn)行互聯(lián)網(wǎng)出口防御。－ ICMPv6：作為IPv6重要的組成部分，需要防止DoS攻擊、反射攻擊等。但熟知的地址為攻擊者提供了明確的攻擊目標(biāo)，如所有節(jié)點地址FF01::1和FF02::所有路由器地址FF01::FF02::2，等。－ NATPT：破壞了網(wǎng)絡(luò)層端到端的安全特性，需實施保護(hù)措施，并保證算法不會收到DoS攻擊。－ 隧道技術(shù)：隧道的入口和出口可以進(jìn)行安全認(rèn)證，因此首選配置隧道。教育網(wǎng)網(wǎng)接入路由器將指向駐地網(wǎng)的靜態(tài)路由引入到IBGP4+中宣告出去。駐地網(wǎng)IPv6出口的路由規(guī)劃：通常來講，按照國際上IPv6地址的分配規(guī)則，教育網(wǎng)會分配一塊或幾塊 IPv6 PREFIX ::/48的地址給駐地網(wǎng)。改造后駐地網(wǎng)全網(wǎng)部署雙協(xié)議棧，和原有網(wǎng)平滑對接。同時OSPFv3域的設(shè)計可以沿用OSPFv2的思路。IPv6駐地網(wǎng)的IPv6路由規(guī)劃，需要考慮到現(xiàn)有用戶的使用習(xí)慣和主流的應(yīng)用模式?？偟膩碚f，由于OSPF發(fā)展成熟，廠商支持廣泛，已經(jīng)成為世界上使用最廣泛的IGP，尤其在企業(yè)級網(wǎng)絡(luò)，也是IETF推薦的唯一的IGP。 為實現(xiàn)單鏈路上多OSPF進(jìn)程的實現(xiàn)，在OSPF包頭中加入了Instance ID域；167。 Hello信息中不再包含地址信息；167。 Hello包和Database description包的選項域增加到24位；167。OSPF數(shù)據(jù)包格式發(fā)生了一些變化：167。在OSPF v3中不再有認(rèn)證方面的信息。除了Virtual link必須使用Global unicast地址或者使用Sitelocal地址。協(xié)議的運行是按照每一條鏈路（Perlink）進(jìn)行的，而不是按照每個子網(wǎng)進(jìn)行的（persubnet）；把地址域從OSPF包和一些LSA數(shù)據(jù)包中去除掉，使得成為網(wǎng)絡(luò)層協(xié)議獨立的路由協(xié)議：與OSPFv2不同，IPv6的地址不再出現(xiàn)在OSPF包中，而是會在鏈路狀態(tài)更新數(shù)據(jù)包中作為LSA的負(fù)載出現(xiàn)；RouterLSA和NetworkLSA也不再包含網(wǎng)絡(luò)地址，而只是簡單的表示拓?fù)湫畔?；鄰居路由器的識別將一直使用Router ID，而不是像OSPFv2一樣在某些使用端口會將端口地址作為標(biāo)識。對比OSPF v2，在OSPF v3中有以下區(qū)別：雖然OSPFv3是為IPv6設(shè)計的，但是OSPF的Router ID、Area ID和LSA Link State ID依然保持IPv4的32位的格式，而不是指定一個IPv6的地址。OSPF是基于IP層的協(xié)議，OSPF v3是為IPv6開發(fā)的一套鏈路狀態(tài)路由協(xié)議。OSPFv3OSPFv3與OSPFv2相比，雖然在機(jī)制和選路算法并沒有本質(zhì)的改變，但新增了一些OSPFv2不具備的功能。對于大規(guī)模的IP網(wǎng)絡(luò)，為了保證網(wǎng)絡(luò)的可靠性和可擴(kuò)展性，內(nèi)部路由協(xié)議（IGP）必須使用鏈路狀態(tài)路由協(xié)議，只能在OSPF與ISIS之間進(jìn)行選擇，下面對兩種路由協(xié)議進(jìn)行簡單的對比。從路由協(xié)議標(biāo)準(zhǔn)化進(jìn)程看，RIPng和OSPFv3協(xié)議已較為成熟，支持IPv6的ISIS協(xié)議標(biāo)準(zhǔn)草案也已經(jīng)過多次討論修改，標(biāo)準(zhǔn)正在形成之中，而且ISISv6已經(jīng)在主流廠家的相關(guān)設(shè)備得到支持。從路由協(xié)議的應(yīng)用范圍來看，OSPFvRIPng和ISISv6適用于自治域內(nèi)部路由，為內(nèi)部網(wǎng)關(guān)協(xié)議；BGP4+用來在自治域之間交換網(wǎng)絡(luò)可達(dá)信息，是外部網(wǎng)關(guān)協(xié)議。所以一個純IPv6網(wǎng)絡(luò)也必須規(guī)劃IPv4地址（僅需要網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址）。用戶終端的業(yè)務(wù)地址。根據(jù)IETF IPv6工作組的建議IPv6網(wǎng)絡(luò)設(shè)備互聯(lián)地址采用/64的地址塊。IPv6的地址規(guī)劃時考慮三大類地址：公共服務(wù)器地址，如DNS，EMAIL，F(xiàn)TP等。我們知道全球可聚集IPv6地址的前綴為64位，后64位為主機(jī)的interface 。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。l 充分合理利用已申請的地址空間，提高地址的利用效率。l IP地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的發(fā)展要求地址使用兼顧到近期的需求與遠(yuǎn)期的發(fā)展以及網(wǎng)絡(luò)的擴(kuò)展，預(yù)留相應(yīng)的地址段。各個骨干網(wǎng)絡(luò)或者特殊區(qū)域網(wǎng)絡(luò)按照業(yè)務(wù)量需求，在骨干區(qū)域分配不同的地址段；對于城域網(wǎng)，考慮IETF對IPv6地址空間的/48的分配建議，結(jié)合大城域網(wǎng)的地址空間需求，劃分為兩級：城域區(qū)域和站點區(qū)域，其中城域區(qū)域劃分為骨干區(qū)域到/48地址之間的地址空間，而站點區(qū)域，按照IETF的建議，使用/48到/64之間的地址空間。IPv6的地址使用方式有兩類，一類是普通網(wǎng)絡(luò)申請使用的IP地址，這類地址完全遵從前綴+接口標(biāo)識符的IP地址表示方法；另外一類就是取消接口標(biāo)識符的方法，只使用前綴來表示IP地址。第3章 IPv6地址規(guī)劃與路由規(guī)劃 IPv6地址規(guī)劃IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源的利用的方便有效的管理網(wǎng)絡(luò)的問題，IPv6地址有128位，其中可供分配為網(wǎng)絡(luò)前綴的空間有64bit。如果不支持IPv6勢必造成將來改造成本再投入。H3C自適應(yīng)無線網(wǎng)通過4個關(guān)鍵組件（無線交換機(jī)、AP、PoE交換機(jī)、無線業(yè)務(wù)管理系統(tǒng)）可實現(xiàn)在現(xiàn)有有線網(wǎng)基礎(chǔ)上靈活、平滑的疊加室外區(qū)域和主要樓宇的無縫覆蓋，實現(xiàn)有線無線的統(tǒng)一管理。 IPv6無線網(wǎng)絡(luò)概述無線管理中心無線網(wǎng)策略管理中心無線交換機(jī)運營管理中心室內(nèi)型熱點無線覆蓋圖書館閱覽室辦公室會議室/學(xué)術(shù)廳室外型熱點無線覆蓋廣場室外集會干道有線骨干網(wǎng)PoE供電接入無線業(yè)務(wù)應(yīng)用移動數(shù)據(jù)業(yè)務(wù)WiFi語音漫游組網(wǎng)模式采用FIT AP+ Wireless Switch + 無線網(wǎng)管軟件 + 認(rèn)證計費系統(tǒng)實現(xiàn)組網(wǎng)； Portal的認(rèn)證和計費（可選）。IPv6/IPv4雙棧用戶可以正常訪問IPv6網(wǎng)絡(luò)和IPv6業(yè)務(wù)以及IPv4網(wǎng)絡(luò)和IPv4業(yè)務(wù)。建議采用H3C E500系列交換機(jī)提供高性價比的IPv6安全防護(hù)、全千兆、弱IPv6三層特性的桌面級連接。1. 組網(wǎng)思路新建IPv6網(wǎng)絡(luò)相對前一種組網(wǎng)模式簡單，選取支持雙棧的交換機(jī)設(shè)備，按照現(xiàn)有的園區(qū)網(wǎng)建設(shè)模式組建網(wǎng)絡(luò)即可。圖22 升級現(xiàn)有IPv4網(wǎng)絡(luò)組網(wǎng)下的IPv6/IPv4互訪業(yè)務(wù) 新建IPv6網(wǎng)絡(luò)隨著IPv6網(wǎng)絡(luò)規(guī)模的擴(kuò)大，需要建設(shè)全新的IPv6網(wǎng)絡(luò)。為實現(xiàn)這兩種可能的業(yè)務(wù)互訪的需求，需要考慮如何放置NATPT設(shè)備。在IPv6建設(shè)初期，IPv6業(yè)務(wù)資源相對較少，因此需要考慮純IPv6（Native IPv6）用戶對于現(xiàn)有IPv4業(yè)務(wù)資源的訪問。通過升級，原有的IPv4網(wǎng)絡(luò)下的IPv4用戶的業(yè)務(wù)不受影響。從整網(wǎng)的角度來看，這樣的組網(wǎng)也具有更好的可擴(kuò)展性。針對這種情況，建議先用一個雙棧低端設(shè)備作一次匯聚。