【正文】 當(dāng)IPv6/IPv4用戶數(shù)量較大時(shí)，依然采用上述組網(wǎng)方式會使得配置太繁瑣，而且大量的流量直接上傳至核心設(shè)備會對原有業(yè)務(wù)造成不必要的沖擊。圖21 園區(qū)網(wǎng)典型組網(wǎng)方案 — 升級現(xiàn)有IPv4網(wǎng)絡(luò)（圖1）這種組網(wǎng)只適用少量IPv6/IPv4雙棧用戶的情況。對于原有的IPv4用戶不造成任何影響，同時(shí)實(shí)現(xiàn)了IPv6用戶的接入。1. 組網(wǎng)思路在現(xiàn)有IPv4網(wǎng)絡(luò)下分散著若干IPv6/IPv4雙棧主機(jī)，為使這些主機(jī)接入到IPv6網(wǎng)絡(luò)當(dāng)中且對現(xiàn)網(wǎng)的原有應(yīng)用的影響最小，可首先將園區(qū)網(wǎng)核心設(shè)備（核心交換機(jī)）升級為雙棧，網(wǎng)絡(luò)的其他部分保持不變。 升級/改造現(xiàn)有IPv4網(wǎng)絡(luò)由于現(xiàn)有網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò)且具備相當(dāng)?shù)挠脩粢?guī)模，如果對全網(wǎng)設(shè)備進(jìn)行升級將面臨投資較大、網(wǎng)絡(luò)重新規(guī)劃、業(yè)務(wù)整合等一系列的問題。只是第二平面模式，需要解決布線系統(tǒng)資源，第二平面作為開展IPv6新業(yè)務(wù)的平臺，同時(shí)分流現(xiàn)有壓力較大的IPv4業(yè)務(wù)，甚至在網(wǎng)絡(luò)升級、故障等特殊斷網(wǎng)的備份平臺。但是難以解決部署IPv6后帶來的管理問題以及安全防護(hù)問題等，建議直接進(jìn)行全面改造，雖然前期資金成本有所增加，但是有利于運(yùn)營成本和機(jī)會成本的降低，以實(shí)現(xiàn)整體TCO的降低。第2章 XXX大學(xué)IPv6駐地網(wǎng)架構(gòu)設(shè)計(jì) IPv6局域網(wǎng)絡(luò)設(shè)計(jì)根據(jù)不同學(xué)校的建設(shè)情況不同，通常分為升級現(xiàn)有網(wǎng)絡(luò)（核心改造、區(qū)域改造，以及全面改造）或者新建（空白建設(shè)，或者平行于現(xiàn)有網(wǎng)絡(luò)建設(shè)IPv6第二平面）。顯然，只有路由器而不是三層交換機(jī)能夠提供如此廣度和深度的IPv6業(yè)務(wù)能力，同時(shí)基于CPU的軟件處理方式或基于NP網(wǎng)絡(luò)處理器硬件編程，硬件處理的路由器，完全適應(yīng)IPv6標(biāo)準(zhǔn)發(fā)展的變化性。目前IPv6標(biāo)準(zhǔn)中仍有許多處于草案階段，即使已經(jīng)成為RFC標(biāo)準(zhǔn)的，以后仍有可能進(jìn)行協(xié)議擴(kuò)充。IPv6網(wǎng)絡(luò)的復(fù)雜度應(yīng)該大于IPv4的電信運(yùn)營網(wǎng)絡(luò)。IPv6首先應(yīng)該部署在運(yùn)營網(wǎng)絡(luò)。支持的業(yè)務(wù)種類越多越方便我們進(jìn)行研究。 XX大學(xué)IPv6駐地網(wǎng)建設(shè)需求（一下部分僅供參考，請根據(jù)項(xiàng)目具體情況做修改替換）在XXX大學(xué)部署IPv6之前，我們首先要考慮部署的總體方針和策略：首先考慮網(wǎng)絡(luò)設(shè)備對IPv6業(yè)務(wù)支持的廣度。CNGI網(wǎng)絡(luò)將成為世界上最大的IPv6網(wǎng)絡(luò)。截至2006年底，各CNGI骨干網(wǎng)建設(shè)基本就緒。 XXX大學(xué)IPv6校園網(wǎng)絡(luò)建設(shè)方案建議書XXX大學(xué)IPv6校園網(wǎng)絡(luò)建設(shè)方案建議書杭州華三通信技術(shù)有限公司All rights reserved版權(quán)所有 侵權(quán)必究目錄第1章 建設(shè)背景與需求 3 IPv6駐地網(wǎng)建設(shè)需求 3 XX大學(xué)IPv6駐地網(wǎng)建設(shè)需求 3第2章 XXX大學(xué)IPv6駐地網(wǎng)架構(gòu)設(shè)計(jì) 5 IPv6局域網(wǎng)絡(luò)設(shè)計(jì) 5 升級/改造現(xiàn)有IPv4網(wǎng)絡(luò) 5 新建IPv6網(wǎng)絡(luò) 8 IPv6無線網(wǎng)絡(luò) 8第3章 IPv6地址規(guī)劃與路由規(guī)劃 11 IPv6地址規(guī)劃 11 IPv6路由規(guī)劃 12第4章 IPv6駐地網(wǎng)的安全防護(hù) 16 駐地網(wǎng)面臨的IPv6安全威脅 16 IPv6骨干安全防護(hù)的部署 17 IPv6接入安全防護(hù)的部署 17 地址欺騙攻擊 18 DAD攻擊 19 RA攻擊 19 針對網(wǎng)關(guān)的泛洪攻擊 20 ND防攻擊解決方案 21 IPv6外網(wǎng)流量的分析控制 22第5章 IPv6組播業(yè)務(wù)部署 26 組播技術(shù)概述 26 IPv6組播技術(shù)介紹 26 在XX學(xué)校部署IPv6可控組播的建議 30第6章 IPv6駐地網(wǎng)的管理 35 概述 35 IPv6駐地網(wǎng)管理挑戰(zhàn) 35 解決方案與價(jià)值實(shí)現(xiàn) 36第7章 IPv6駐地網(wǎng)的主要過渡與遷移策略 41 全雙棧模式 41 隧道模式 42 第二平面模式 48第8章 IPv6駐地網(wǎng)設(shè)施的關(guān)鍵技術(shù)考查點(diǎn) 50第9章 IPv6駐地網(wǎng)選擇H3C作為戰(zhàn)略合作伙伴 58第1章 建設(shè)背景與需求 IPv6駐地網(wǎng)建設(shè)需求2003年8月份，由國家發(fā)展改革委員會牽頭，信息產(chǎn)業(yè)部、科學(xué)技術(shù)部、中國工程院、國家自然科學(xué)基金委員會、教育部等8大部委聯(lián)合發(fā)起的國家級專項(xiàng)——中國下一代互聯(lián)網(wǎng)示范項(xiàng)目CNGI(China Next Generation Internet)正式啟動，并通過國務(wù)院批復(fù)。CNGI核心網(wǎng)絡(luò)建設(shè)目標(biāo)是在2003年到2005年的時(shí)間內(nèi)，采用IPv6技術(shù)，完成CNGI主干網(wǎng)（覆蓋20個(gè)城市39個(gè)核心節(jié)點(diǎn)）以及國內(nèi)與國際互聯(lián)中心的建設(shè)，并實(shí)現(xiàn)與國際下一代互聯(lián)網(wǎng)的高速連接。此項(xiàng)目涉及八大部委、六大全國性網(wǎng)絡(luò)運(yùn)營商（中國電信、中國網(wǎng)通、中國聯(lián)通、中國移動、中國鐵通、中國教育和科研網(wǎng)CERNET）、一百多所高校和研究單位、幾十個(gè)設(shè)備制造商，工作量大、參加人多，在中國通信網(wǎng)絡(luò)科技工程建設(shè)史上是第一次，對我國下一代互聯(lián)網(wǎng)技術(shù)和產(chǎn)業(yè)的發(fā)展具有深刻影響。通過大規(guī)模IPv6網(wǎng)絡(luò)建設(shè)的部署實(shí)施及商用探索，在未來的幾年內(nèi)，中國將成為以IPv6為基礎(chǔ)的下一代網(wǎng)絡(luò)領(lǐng)域的領(lǐng)先國家。比如IPv6的過渡技術(shù)有手工隧道方式，自動隧道方式，有基于MPLS VPN技術(shù)的6PE方式，有基于網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的NATPT等等，IPv6的單播路由協(xié)議有RIPng,OSPFv3,ISISv6,BGP4+等等，IPv6的組播路由協(xié)議有PIMSM,PIMSSM,MLDv1,MLDv2等等。其次考慮網(wǎng)絡(luò)設(shè)備對IPv6業(yè)務(wù)支持的深度。這是因?yàn)樵贗Pv6網(wǎng)絡(luò)里沒有私網(wǎng)地址概念（Site local 地址類型已經(jīng)被IPv6工作組取消），永遠(yuǎn)不出現(xiàn)NAT（指類似IPv4私有地址訪問公有地址的方式）。最后考慮IPv6標(biāo)準(zhǔn)的變化性。綜上所述，XXX大學(xué)部署IPv6網(wǎng)絡(luò)的時(shí)候，應(yīng)該采用過渡的策略，首先完成IPv6網(wǎng)絡(luò)接入到教育CNGI網(wǎng)絡(luò)的目的，其次根據(jù)現(xiàn)有XXX大學(xué)駐地網(wǎng)內(nèi)的實(shí)際情況，應(yīng)用雙棧技術(shù)和各種過渡技術(shù)，在不影響現(xiàn)有IPv4園區(qū)網(wǎng)主體拓?fù)浣Y(jié)構(gòu)的條件下，使得駐地網(wǎng)中需要部署IPv6網(wǎng)絡(luò)的地方能夠通過各種隧道技術(shù)，隨時(shí)方便地接入CNGI骨干網(wǎng)。對于性能有要求的地方，比如連接CNGI骨干網(wǎng)的出口路由器應(yīng)采用基于NP網(wǎng)絡(luò)處理器技術(shù)（可編程，以適應(yīng)IPv6標(biāo)準(zhǔn)的變化性）的高端路由器。對于升級類型，只改造核心或者部分區(qū)域，有利于低成本快速部署IPv6業(yè)務(wù)，快速允許用戶訪問IPv6資源。對于新建，空白建設(shè)或第二平面建設(shè)并無本質(zhì)差異，都是需要全新部署。同時(shí)建議考慮利用無線網(wǎng)絡(luò)部署IPv6作為有線網(wǎng)的有效補(bǔ)充及備份。針對這種情況，建議采用升級現(xiàn)有IPv4網(wǎng)絡(luò)的方案。核心設(shè)備完成升級后，可分別提供至IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)的出口；IPv6/IPv4雙棧主機(jī)可以采用ISATAP隧道的方式直接接入核心交換機(jī)。對于大型的園區(qū)網(wǎng)，核心設(shè)備應(yīng)考慮節(jié)點(diǎn)冗余，因此建議逐步完成對所有核心設(shè)備的升級。首先，由于用戶直接接入核心設(shè)備，應(yīng)避免核心設(shè)備的負(fù)擔(dān)過重；其次，可以分別針對每個(gè)用戶的IP地址、VLAN、端口作相應(yīng)的策略，避免IPv6業(yè)務(wù)對原有網(wǎng)絡(luò)的影響，同時(shí)保障核心設(shè)備的安全。由于園區(qū)網(wǎng)中可能存在IPv6用戶相對集中的節(jié)點(diǎn)，如，駐地網(wǎng)當(dāng)中的IPv6試驗(yàn)網(wǎng)，或IPv6研究性質(zhì)的網(wǎng)絡(luò)，或者園區(qū)網(wǎng)中的IPv6用戶數(shù)量較多。這類節(jié)點(diǎn)下的IPv6主機(jī)可使用IPv6接入交換機(jī)接入后，通過雙棧直接上聯(lián)至核心交換機(jī)；也可以根據(jù)網(wǎng)絡(luò)實(shí)際情況，在IPv6接入交換機(jī)與雙棧核心交換機(jī)間采用IPv6 over IPv4隧道方式連接，以穿過核心交換機(jī)與主機(jī)間可能存在的IPv4網(wǎng)絡(luò)。根據(jù)實(shí)際用戶的帶寬情況，可以采用H3C E500系列交換機(jī)提供高性價(jià)比的IPv6安全防護(hù)、全千兆、弱IPv6三層特性的桌面級連接。新增的IPv6/IPv4雙棧用戶可以正常訪問IPv6網(wǎng)絡(luò)和IPv6業(yè)務(wù)以及IPv4網(wǎng)絡(luò)和IPv4業(yè)務(wù)。同時(shí)，IPv4用戶也會有訪問IPv6業(yè)務(wù)資源的需求。如果要訪問的業(yè)務(wù)位于園區(qū)網(wǎng)內(nèi)部，可以考慮在業(yè)務(wù)服務(wù)器出口處放置雙棧路由器（如，SR路由器系列，或者支持NATPT的SecBlade系列的防火墻產(chǎn)品），完成NATPT功能；如果要訪問的業(yè)務(wù)位于園區(qū)網(wǎng)外部，由于出口路由器也需要升級為雙棧，因此可以考慮在園區(qū)網(wǎng)出口的路由器上實(shí)現(xiàn)NATPT功能?？梢圆捎萌A為三康的全系列IPv6產(chǎn)品建設(shè)IPv6/IPv4雙棧園區(qū)網(wǎng)。核心層和匯聚層可選用雙棧交換機(jī)，接入層建議使用具備IPv6環(huán)境下的安全防護(hù)功能、管理功能、組播功能的交換機(jī)組網(wǎng)。為提高網(wǎng)絡(luò)的可靠性，匯聚層與核心層之間、接入層與匯聚層之間采用雙歸鏈路上聯(lián)實(shí)現(xiàn)鏈路冗余；匯聚設(shè)備作為用戶接入點(diǎn)網(wǎng)關(guān)設(shè)備；核心節(jié)點(diǎn)采用雙核心部署保證節(jié)點(diǎn)冗余。為解決IPv4用戶對于IPv6的訪問、以及純IPv6用戶對于IPv4訪問，同樣需要考慮NATPT設(shè)備的放置問題。FIT AP的組網(wǎng)模式通過將AP上的功能“剝離”出來集中到“Wireless Switch”（無線交換機(jī)）上來處理，包括動態(tài)密鑰生成、認(rèn)證的終結(jié)等，減輕了單個(gè)AP的負(fù)擔(dān)和成本；同時(shí)，因?yàn)樵黾恿薟ireless Switch和無線網(wǎng)管系統(tǒng)，Wireless Switch配合FIT AP能夠?qū)崿F(xiàn)更多的增值業(yè)務(wù)功能。IPv6無線網(wǎng)部署無線IPv6網(wǎng)應(yīng)該具備的基本要求：支持IPv6環(huán)境——有線網(wǎng)IPv6已經(jīng)是必須技術(shù)，無線網(wǎng)IPv6是必然趨勢。H3C通過部署AP與無線交換機(jī)互聯(lián)基于IPv6的隧道，支持IPv6環(huán)境下的無線組網(wǎng)需求；IPv6 ACL、IPv6組播——無線網(wǎng)實(shí)現(xiàn)IPv6，需要對用戶按照不同策略進(jìn)行訪問控制；IPv6組播往往是園區(qū)IPv6業(yè)務(wù)的支撐技術(shù)；支持ACLDNSTracertTelnetTFTP IPvFTP IPvDHCP clientPing6實(shí)現(xiàn)IPv6有線無線網(wǎng)的同等管理。按照最新的IPv6 RFC3513，IPv6地址分為全球可路由前綴和子網(wǎng)ID兩部分，協(xié)議并沒有明確的規(guī)定全球可路由前綴和子網(wǎng)ID各自占的bit數(shù)，目前APNIC能夠申請到的IPv6地址空間為/32的地址。IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，IPv6地址規(guī)劃目前尚沒有主流的規(guī)則，具體的IP地址分配通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，可以遵循一些分配原則：l 地址資源應(yīng)全網(wǎng)統(tǒng)一分配l 地址劃分應(yīng)有層次性，便于網(wǎng)絡(luò)互聯(lián)，簡化路由表地址規(guī)劃采用扁平化的規(guī)劃思路，全網(wǎng)拓樸分為兩個(gè)層次：骨干網(wǎng)和城域網(wǎng)。IP地址分配要盡量給每個(gè)區(qū)域分配連續(xù)的IP地址空間；在每個(gè)城域網(wǎng)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。IP地址的分配需要有足夠的靈活性，應(yīng)考慮到現(xiàn)有業(yè)務(wù)、新型業(yè)務(wù)以及各種特殊的業(yè)務(wù)要求、滿足各種用戶接入（如，小區(qū)用戶、專線用戶，等）的需要。IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。CERNET2分配給各個(gè)駐地網(wǎng)用戶的IPv6地址空間會是一個(gè)或幾個(gè)/48的IPv6地址前綴。IPv6的地址分配原則同IPv4一樣遵循CIDR原則。網(wǎng)絡(luò)設(shè)備互聯(lián)地址和網(wǎng)絡(luò)設(shè)備的LOOPBACK地址。IPv6網(wǎng)絡(luò)設(shè)備的LOOPBACK地址采用/128的地址。此外由于目前網(wǎng)絡(luò)設(shè)備的IPv6 MIB信息的獲取和OSPFv3中ROUTER ID等均要求即使是一個(gè)純IPv6網(wǎng)絡(luò)也必須要求每個(gè)網(wǎng)絡(luò)設(shè)備擁有IPv4地址。 IPv6路由規(guī)劃路由協(xié)議分為域內(nèi)路由協(xié)議和域間路由協(xié)議，目前主要的路由協(xié)議都增加了對IPv6的支持功能。1. 域內(nèi)路由協(xié)議選擇支持IPv6的內(nèi)部網(wǎng)關(guān)協(xié)議有：RIPng、OSPFvISISv6協(xié)議。從協(xié)議的應(yīng)用范圍的角度，RIPng協(xié)議適用于小規(guī)模的網(wǎng)絡(luò)，而OSPF和ISIS協(xié)議可用于較大規(guī)模的網(wǎng)絡(luò)。目前在IPv4網(wǎng)絡(luò)中大量使用的OSPF路由協(xié)議版本號為OSPFv2，能夠支持IPv6路由信息的OSPF版本稱為OSPFv3，能夠支持IPv6路由信息交換的ISIS路由協(xié)議稱為ISISv6。OSPFv3只能用來交換IPv6路由信息，ISISv6可以同時(shí)交換IPv4路由信息和IPv6路由信息。大體與支持IPv4的OSPF v2版本相似。所以即使運(yùn)行OSPF v3也需要為路由器分配IPv4地址。LinkLocal地址可以作為OSPF的轉(zhuǎn)發(fā)地址。去掉了認(rèn)證信息。如果需要加密，可以使用IPv6中定義的IP Authentication Header來實(shí)現(xiàn)。 OSPF的版本號由2變成了3；167。 認(rèn)證域去掉了；167。 引入了兩個(gè)新的選項(xiàng)：R位和V6位；167。 類型LSA 3名字改為：InterAreaPrefixLSA，類型LSA 4名字改為：InterAreaRouterLSAOSPF v2和OSPF v3都使用最短路經(jīng)優(yōu)先算法，在Area劃分、鏈路類型、LSA傳播等方面基本一致。其他路由協(xié)議所能適應(yīng)的網(wǎng)絡(luò)和具備的主要優(yōu)點(diǎn)，OSPF都能適應(yīng)。IPv6的IGP可以選擇ISISv6或者OSPFv3，但是考慮到多數(shù)駐地網(wǎng)的習(xí)慣以及協(xié)議支持的廣泛程度，部署OSPFv3可能更為實(shí)際。網(wǎng)絡(luò)管理和路由規(guī)劃等設(shè)計(jì)細(xì)節(jié)也可以參考原有的OSPFv2的原則。在部署的核心、匯聚、接入（三層）交換機(jī)上同時(shí)運(yùn)行OSPFv2和OSPFv3兩個(gè)路由協(xié)議，盡管運(yùn)行在同一個(gè)設(shè)備上，這兩個(gè)路由是互相獨(dú)立的，OSPFv3的區(qū)域規(guī)劃和OSPFv2可以完全不同。對于單出口的情況，可能較為簡單。第4章 IPv6駐地網(wǎng)的安全防護(hù) 駐地網(wǎng)面臨的IPv6安全威脅實(shí)現(xiàn)和部署上的漏洞和不足－ IPv6協(xié)議、機(jī)制和算法實(shí)現(xiàn)中的漏洞－ IPv6地址和配置的復(fù)雜度更高，大規(guī)模部署中考慮不周非IP層攻擊 IPv6協(xié)議和IPv4協(xié)議一樣工作在網(wǎng)絡(luò)層，傳輸數(shù)據(jù)報(bào)的基本機(jī)制沒有發(fā)生改變，IPv4網(wǎng)絡(luò)中除IP層以外的其他6層中出現(xiàn)的攻擊在IPv6網(wǎng)絡(luò)中依然會存在過渡時(shí)期的安全問題－ 雙棧協(xié)議：必須同時(shí)考慮IPv4和IPv6的安全性，一種協(xié)議的漏洞會影響另外一種。自動隧